TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE ACCESS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.65 MB, 53 trang )
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
BÁO CÁO BÀI TẬP LỚN
GIAO THỨC AN TOÀN MẠNG
ĐỀ TÀI: TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS
VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE
ACCESS VPN
Nhóm sinh viên: Trịnh Thị Mai
Vũ Ngọc Tiến
Vũ Tiến Tới
Lê Thị Hồng Nhung
Cán bộ hướng dẫn: Nguyễn Tuấn Anh
Hà Nội, ngày 17 tháng 5 năm 2017
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
BÁO CÁO BÀI TẬP LỚN
GIAO THỨC AN TOÀN MẠNG
ĐỀ TÀI: TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS
VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE
ACCESS VPN
Nhóm sinh viên: Trịnh Thị Mai
Vũ Ngọc Tiến
Vũ Tiến Tới
Lê Thị Hồng Nhung
Cán bộ hướng dẫn: Nguyễn Tuấn Anh
Hà Nội, ngày 17 tháng 5 năm 2017
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
MỤC LỤC
MỤC LỤC..............................................................................................................i
BẢNG PHÂN CÔNG CÔNG VIỆC...................................................................iii
DANH MỤC TỪ VIẾT TẮT...............................................................................iv
DANH MỤC HÌNH VẼ........................................................................................v
LỜI MỞ ĐẦU......................................................................................................vi
CHƯƠNG 1. Tổng quan....................................................................................1
1.1.
Giới thiệu chung........................................................................................1
1.2. Remote Access
Community.......................................................................3
1.3. Các
thành phần chính...............................................................................4
1.4. Chế
độ kết nối.............................................................................................4
1.5. Access
1.6. Các
Control for Remote Access Community......................................5
chương trình xác thực........................................................................5
1.7. Digital
1.8. Bí
Certificates.....................................................................................6
mật được chia sẻ trước.........................................................................6
1.9. Phương
pháp xác thực thong qua chế độ Hybrid...................................7
1.10.
Cấu hình xác thực...................................................................................7
1.11.
How the Gateway Searches for Users....................................................8
1.12.
Các tính năng tiên tiến khác…...............................................................9
CHƯƠNG 2: Giải pháp Remote Access VPN.................................................10
2.1. Giải pháp:...............................................................................................11
2.1.1
IPSec VPN....................................................................................11
2.1.2
SSL VPN. .....................................................................................13
2.1.3
So sánh IPSec VPN với SSL VPN..............................................14
2.2. Tìm hiểu chi tiết SSL VPN....................................................................15
2.2.1
Giao thức đường hầm SSL..........................................................18
Triển khai Remote Access VPN
2.2.2.
GV:Nguyễn Tuấn Anh
Xác thực trong giao thức SSL…………………………………27
2.2.2.1. Xác thực máy chủ.....................................................................27
2.2.2.2. Xác thực máy khách.................................................................28
2.2.3.
Giao thức bản ghi SSL...............................................................29
2.2.4.
Giao thức cảnh báo....................................................................32
2.2.5
Giao thức ChangeCipherSpec....................................................33
2.2.6
Thiết lập đường hầm trong SSL VPN........................................33
CHƯƠNG 3: Triển khai hệ thống hỗ trợ Remote Access VPN.....................36
3.1.
Sơ đồ hệ thống thử nghiệm:...............................................................36
3.2.
Hoạt động của hệ thống.....................................................................37
3.3.
Cấu hình hệ thống..............................................................................39
KẾT LUẬN.........................................................................................................43
TÀI LIỆU THAM KHẢO...................................................................................44
Triển khai Remote Access VPN
[Type text]
GV:Nguyễn Tuấn Anh
Page 4
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
BẢNG PHÂN CÔNG CÔNG VIỆC
[Type text]
Page 5
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
DANH MỤC TỪ VIẾT TẮT
HTTP
Hypertext Transfer Protocol
ICMP
Internet Control Message Protocol
IMAP
Internet Message Access Protocol
IP
Internet Protocol
MAC
Message Authentication Code
OSI
Open System Interconnection
SSL
Secure Socket Layer
TCP
Transmission Control Protocol
UDP
User Datagram Protocol
VPN
Virtual Private Network
DANH MỤC HÌNH V
[Type text]
Page 6
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
Hình 1. 1. Mô hình VPN........................................................................................3
Hình 2.1. Xu hướng.............................................................................................10
Hình 2.2.Giải pháp IPSec VPN...........................................................................12
Hình 2.3.Giải pháp SSL VPN.............................................................................13
Hình 2.4.So sánh giữa 2 giải pháp......................................................................15
Hình 2.5.Sơ đồ quan hệ giữa SSL và mô hình OSI.............................................17
Hình 2.6.Sơ đồ quan hệ giữa SSL và các giao thức khác...................................18
Hình 2.7.Sơ đồ quá trình bắt tay trong SSL không xác thực máy khách............19
Hình 2.8.Sơ đồ quá trình bắt tay trong SSL xác thực máy khác ........................19
Hình 2.9.Sơ đồ quá trình cập nhật trạng thái tại máy khách ............................25
Hình 2.10.Sơ đồ quá trình cập nhật trạng thái tại máy chủ...............................26
Hình 2.11.Các bước xử lí dữ liệu trong bản ghi................................................ 30
Hình 2.12.Khuôn dạng thông điệp bản ghi SSL..................................................30
Hình 2.13.Sơ đồ tính toán MAC trong SSL.........................................................31
Hình 2.14.Mã hóa thông điệp với thuật toán mã hóa dòng và mã hóa khối......32
Hình 2.15.Khuôn dạng thông điệp Alert.............................................................33
Hình 3.1.Sơ đồ hệ thống thử nghiệm .................................................................36
Hình 3.2.Cấu hình mạng cho Client1.................................................................37
Hình 3.3.Cấu hình mạng cho DC1......................................................................38
Hình 3.4.Các dịch vụ cài đặt khi cần thiết..........................................................39
Hình 3.5.Cấu hình mạng Private VPN1..............................................................39
Hình 3.6.Cấu hình mạng Public VPN1...............................................................40
Hình 3.7.Các cài đặt dịch vụ khi cần thiết..........................................................40
Hình 3.8.Certificates của VPN1..........................................................................41
Hình 3.9.Kếta qả Client Trust CA.......................................................................42
Hình 3.10. Kết quả ping của client giao tiếp với DC1........................................42
[Type text]
Page 7
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
LỜI MỞ ĐẦU
Trong những năm gần đây công nghệ thông tin đã phát triển một cách
nhanh chóng với nhiều loại hình dịch vụ phong phú đáp ứng yêu cầu ngày càng
cao của con người. Thông tin là nhu cầu không thể thiếu đối với con người và
nói đến thông tin thì đồng thời cũng là nói đến sự giao lưu trao đổi và bảo mật
an toàn thông tin, đặc biệt là trong các hệ thống truyền tin, các mạng dữ liệu và
mạng máy tính.
Có nhiều cách thức và giải pháp để đảm bảo an toàn cho thông tin. Trong
số đó, mạng riêng ảo là một giải pháp tốt cho vấn đề trao đổi thông tin qua
mạng. Mạng riêng ảo thực chất là việc kết nối mạng của các cơ quan, tổ chức sử
dụng hạ tầng cơ sở mạng công cộng. Các công nghệ mạng riêng ảo hiện nay rất
phong phú và đa dạng, mỗi loại có có một thuận lợi riêng.
Trong bài tập lớn này chúng em lựa chọn tìm hiểu đề tài: “Tìm hiểu các
giải pháp remote access VPN và triển khai hệ thống hỗ trợ remote access
VPN”.Nội dung đề tài bao gồm:
Chương 1. Công nghệ SSL VPN.
Chương 2. Cài đặt thử nghiệm và phân tích quá trình kết nối trao đổi
thông tin.
Chương 3: Triển khai hệ thống hỗ trợ Remote Access VPN
Do thời gian có hạn nên đề tài của chúng em còn nhiều thiếu sót. Chúng em
rất mong nhận được sự góp ý, chỉ bảo của thầy để đề tài của chúng em được
hoàn thiện hơn. Chúng em xin chân thành cảm ơn!
[Type text]
Page 8
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
CHƯƠNG 1. Tổng quan
1.1. Giới thiệu chung
- Mạng riêng ảo (Virtual Private Network- VPN) là mạng sử dụng mạng
công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch
vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một
mạng riêng và kiểm soát được truy nhập.
- Bất cứ khi nào người dùng truy cập vào tổ chức từ các địa điểm từ xa,
điều cần thiết là phải đáp ứng các yêu cầu thông thường về kết nối an toàn
mà còn là các yêu cầu đặc biệt của khách hàng ở xa, ví dụ:
Địa chỉ IP của một khách hàng truy cập từ xa có thể không được biết.
Khách hàng truy cập từ xa có thể được kết nối với mạng LAN của
công ty trong ngày làm việc và được kết nối với mạng LAN của
khách sạn vào buổi tối, có thể ẩn sau một số thiết bị NATing.
Máy khách từ xa có thể cần kết nối với mạng LAN của công ty thông
qua một điểm truy cập không dây.
Thông thường, khi một người dùng máy khách từ xa ngoài văn phòng,
họ không được bảo vệ bởi chính sách bảo mật hiện tại; Khách hàng
truy cập từ xa vừa bị phơi nhiễm với các mối đe dọa từ Internet và có
thể cung cấp một cách để vào mạng công ty nếu một cuộc tấn công
xảy ra với khách hàng.
- Để giải quyết những vấn đề này, một khuôn khổ an ninh là cần thiết để
đảm bảo truy cập từ xa vào mạng được đảm bảo đúng cách.
- Các giải pháp VPN của Check Point Remote Access cho phép bạn tạo một
đường hầm VPN giữa người dùng từ xa và mạng nội bộ của bạn. Đường
hầm VPN đảm bảo:
Tính xác thực, bằng cách sử dụng phương pháp chứng thực chuẩn
Riêng tư, bằng cách mã hóa dữ liệu
Tính toàn vẹn, bằng cách sử dụng các phương pháp đảm bảo tính toàn
vẹn theo ngành công nghiệp
- Khách hàng Truy cập từ xa của Check Point mở rộng chức năng VPN cho
người dùng từ xa, cho phép người dùng truyền thông tin nhạy cảm đến
các mạng và máy chủ qua đường hầm VPN, sử dụng LAN, LAN không
dây và các kết nối dial-up (bao gồm cả băng rộng). Người dùng được
quản lý trong cơ sở dữ liệu nội bộ của Security Gateway hoặc thông qua
một máy chủ LDAP bên ngoài.
1
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
- Sau khi một người dùng được xác thực, một kết nối an toàn trong suốt
được thiết lập.
Thiết lập kết nối giữa người dùng từ xa và cổng bảo mật.
- Để cho phép người dùng truy cập tài nguyên mạng được bảo vệ bởi một
Cổng bảo mật, một quá trình thiết lập đường hầm VPN được bắt đầu. Cuộc
đàm phán IKE (Internet Key Exchange) xảy ra giữa các đồng nghiệp.
- Trong quá trình thương lượng IKE, danh tính của bạn bè được xác
thực. Cổng bảo mật xác minh danh tính của người dùng và khách hàng xác
minh nó của Cổng bảo mật. Chứng thực có thể được thực hiện bằng cách sử
dụng một số phương pháp, bao gồm các chứng chỉ số do Cơ quan phát hành
nội bộ (ICA) cấp. Cũng có thể xác thực bằng cách sử dụng các giải pháp
PKI của bên thứ ba, bí mật trước khi chia sẻ hoặc phương pháp xác thực của
bên thứ ba (ví dụ SecurID, RADIUS , v.v ... ).
- Sau khi cuộc đàm phán IKE kết thúc thành công, một kết nối bảo mật (một
đường hầm VPN) được thiết lập giữa khách hàng và Cổng bảo mật. Tất cả
các kết nối giữa máy khách và miền VPN của An ninh Mạng (LAN bên dưới
Cổng An ninh) được mã hóa bên trong đường hầm VPN này, sử dụng tiêu
chuẩn IPsec. Trừ khi người dùng được yêu cầu xác thực theo cách nào đó,
quy trình thiết lập VPN là minh bạch.
Hình 1.1. Mô hình VPN
- Trong hình này, người dùng từ xa bắt đầu kết nối với Security Gateway 1.
Quản lý người dùng không được thực hiện thông qua cơ sở dữ liệu VPN,
2
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
nhưng một máy chủ LDAP thuộc VPN Site 2. Việc xác thực xảy ra trong
quá trình đàm phán IKE. Gateway an ninh 1 xác minh rằng người sử dụng
tồn tại bằng cách truy vấn máy chủ LDAP phía sau Gateway bảo mật 2. Khi
người dùng đã được xác minh, Security Gateway xác thực người dùng, ví dụ
bằng cách xác nhận chứng chỉ của người dùng. Một khi IKE được hoàn
thành thành công, một đường hầm được tạo ra; Khách hàng từ xa kết nối đến
Host 1.
- Nếu khách hàng ở đằng sau Cổng bảo mật (ví dụ, nếu người dùng truy cập
mạng LAN của công ty từ văn phòng công ty), các kết nối từ khách hàng
đến các điểm đến cũng nằm phía sau cổng LAN bảo mật LAN không được
mã hóa.
1.2.
Remote Access Community
o Một cộng đồng Check Point Remote Access cho phép bạn nhanh
chóng cấu hình VPN giữa một nhóm người dùng từ xa và một hoặc
nhiều Cổng bảo mật. Cộng đồng Truy cập từ xa là một thực thể ảo xác
định thông tin liên lạc an toàn giữa Cổng bảo mật và người dùng từ
xa. Mọi thông tin liên lạc giữa người dùng từ xa và các miền VPN của
cổng bảo mật được bảo mật (xác thực và mã hoá) theo các thông số
được định nghĩa cho truyền thông truy cập từ xa trong
SmartDashboard Global Properties.
1.3.
Các thành phần chính.
- Client cần biết các yếu tố của mạng nội bộ của tổ chức trước khi nó có thể
xử lý các kết nối được mã hóa đến và từ các tài nguyên mạng. Các yếu tố
này, được gọi là topo , được tải về từ bất kỳ cổng an ninh nào được Security
Management Server quản lý.
- Thông tin cấu trúc mạng của trang bao gồm các địa chỉ IP trên mạng và địa
chỉ host trong các miền VPN của các Cổng an ninh khác được điều khiển
bởi cùng một Security Management Server. Nếu một IP đích nằm bên trong
topo của trang web, kết nối được truyền qua đường hầm VPN.
- Khi người dùng tạo ra một trang web, khách hàng tự động liên lạc với trang
web và tải thông tin cấu trúc liên kết và các thuộc tính cấu hình khác nhau
được xác định bởi quản trị viên cho khách hàng. Kết nối này được bảo mật
và xác thực bằng IKE qua SSL. Topo của trang web có một thời gian chờ
hợp lệ sau đó khách hàng sẽ tải về một topo cập nhật. Quản trị viên mạng
3
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
cũng có thể định cấu hình bản cập nhật topo tự động cho các máy khách từ
xa. Điều này không đòi hỏi sự can thiệp của người dùng.
1.4.
Chế độ kết nối.
- Các máy khách truy cập từ xa kết nối với Security Gateways sử dụng chế độ
Connect.
- Trong chế độ kết nối, người dùng từ xa cố tình bắt đầu một liên kết VPN tới
một Cổng bảo mật cụ thể. Các kết nối tiếp theo tới bất kỳ máy chủ lưu trữ
bên ngoài Cổng bảo mật khác sẽ minh bạch khởi tạo các liên kết VPN bổ
sung theo yêu cầu.
- Chế độ kết nối cung cấp:
Office , để giải quyết các vấn đề định tuyến giữa khách hàng và Cổng
bảo mật. Xem, Chế độ văn phòng .
Chế độ khách truy cập , khi khách hàng cần để đường hầm cho tất
cả khách hàng đến giao thông của Security Gateway thông qua kết nối
TCP thông thường trên cổng 443.
Định tuyến tất cả lưu lượng truy cập thông qua Cổng bảo mật
(Chế độ Hub) , để đạt được mức độ bảo mật và kết nối cao hơn.
Kết nối tự động , khi một ứng dụng cố gắng mở một kết nối đến một
máy chủ đằng sau một cổng an ninh, người sử dụng sẽ được nhắc nhở
để bắt đầu một liên kết VPN tới cổng an ninh đó. Ví dụ, khi ứng dụng
e-mail cố gắng truy cập vào máy chủ IMAP phía sau Security
Gateway X, SecureClient nhắc nhở người dùng khởi tạo một đường
hầm đến Cổng bảo mật đó.
Hồ sơ người dùng (Hồ sơ Vị trí).
1.5.
Access Control for Remote Access Community.
- Thông thường quản trị viên cần xác định một tập hợp các quy tắc xác định
kiểm soát truy cập đến và đi từ mạng. Điều này cũng đúng cho các khách
hàng truy cập từ xa thuộc cộng đồng truy cập từ xa. Các quy tắc chính sách
phải được tạo ra để kiểm soát cách các khách hàng từ xa truy cập mạng nội
bộ thông qua Cổng bảo mật. (Thành viên của cộng đồng không cho phép
truy cập tự động vào mạng.)
- Cơ chế Chính sách An ninh của Cổng An ninh xác định kiểm soát truy
cập; Nói cách khác, cho dù một kết nối được cho phép. Cho dù một kết nối
được mã hóa được xác định bởi cộng đồng. Nếu cả nguồn và đích đến thuộc
về cộng đồng, kết nối được mã hóa; Nếu không, nó không được mã hóa. Ví
4
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
dụ, hãy xem xét một quy tắc cho phép các kết nối FTP. Nếu kết nối phù hợp
với quy tắc là giữa các thành viên cộng đồng, kết nối được mã hóa. Nếu kết
nối không phải là giữa các thành viên cộng đồng, kết nối không được mã
hóa.
- Chính sách an ninh của Security Gateway kiểm soát việc truy cập các tài
nguyên đằng sau Cổng bảo mật, bảo vệ Cổng bảo mật và các mạng đằng sau
nó. Kể từ khi máy khách từ xa không phải là phía sau Gateway An ninh, nó
không được bảo vệ bởi Security Gateway Security Policy. Truy cập từ xa
bằng SecureClient có thể được bảo vệ bởi Chính sách Bảo mật Máy tính để
bàn.
1.6.
Các chương trình xác thực.
- Xác thực là một yếu tố quan trọng trong việc thiết lập kênh truyền thông an
toàn giữa Security Gateways và khách hàng từ xa. Có nhiều phương pháp
xác thực, ví dụ:
Giấy chứng nhận kỹ thuật số
Bí mật trước khi chia sẻ
Các phương pháp chứng thực khác (có sẵn thông qua chế độ Hybrid)
1.7.
Digital Certificates.
- Chứng chỉ số là phương pháp được đề nghị và quản lý nhất để xác thực. Cả
hai bên đều có giấy chứng nhận như một phương tiện để chứng minh bản
sắc của họ. Cả hai bên xác minh rằng chứng chỉ của peer là hợp lệ (tức là nó
đã được ký bởi một CA đã biết và đáng tin cậy, và chứng chỉ chưa hết hạn
hoặc bị thu hồi).
- Chứng chỉ số được cấp bởi Cơ quan Chứng nhận Nội bộ của Check Point
hoặc các giải pháp PKI của bên thứ ba. Check Point's ICA được tích hợp
chặt chẽ với VPN và là cách đơn giản nhất để cấu hình VPN truy cập từ
xa. ICA có thể cấp chứng chỉ cho cả Cổng An ninh (tự động) và cho người
dùng từ xa (được tạo ra hoặc khởi tạo).
- Sử dụng ICA, tạo ra một chứng chỉ và chuyển nó cho người dùng "out-ofband". Ngoài ra, bắt đầu quá trình tạo chứng chỉ trên Security Management
Server. Quá trình này hoàn thành độc lập bởi người sử dụng. Quản trị viên
cũng có thể bắt đầu tạo chứng chỉ cho công cụ quản lý ICA (tùy chọn duy
nhất có sẵn nếu người dùng được xác định trên một máy chủ LDAP).
- Cũng có thể sử dụng Tổ chức phát hành Chứng chỉ bên thứ ba để tạo các
chứng chỉ để xác thực giữa Cổng Bảo mật và người dùng từ xa. Các định
dạng chứng chỉ được hỗ trợ là PKCS # 12, CAPI, và Entrust .
5
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
- Người dùng cũng có thể được cung cấp một token phần cứng để lưu trữ
chứng chỉ. Tùy chọn này mang lại lợi thế về mức độ bảo mật cao hơn, vì
khoá cá nhân chỉ trú trên mã thông báo phần cứng.
- Là một phần của quá trình xác nhận chứng chỉ trong quá trình thương lượng
IKE, cả khách hàng và Cổng bảo mật kiểm tra chứng chỉ của peer đối
với danh sách thu hồi chứng chỉ (CRL) do CA phát hành. Nếu khách hàng
không thể truy xuất CRL, Cổng bảo mật sẽ lấy CRL thay mặt cho khách
hàng và chuyển CRL tới khách hàng trong quá trình thương lượng IKE
(CRL được ký bởi cơ quan CA về bảo mật).
1.8. Bí mật được chia sẻ trước.
- Phương pháp xác thực này có lợi thế là đơn giản, nhưng nó kém an toàn hơn
các chứng chỉ. Cả hai bên thỏa thuận một mật khẩu trước khi thiết lập
VPN. Mật khẩu được trao đổi "out-of-band", và sử dụng lại nhiều lần. Trong
quá trình xác thực, cả khách hàng và Cổng bảo mật xác minh rằng bên kia
biết mật khẩu đã đồng ý.
1.9. Phương pháp xác thực thong qua chế độ Hybrid.
- Các tổ chức khác nhau sử dụng các phương tiện xác thực người dùng khác
nhau có thể muốn sử dụng các phương tiện này để truy cập từ xa. Chế độ
Hybrid là một chế độ IKE hỗ trợ cách xác thực bất đối xứng để đáp ứng yêu
cầu này. Sử dụng chế độ Hybrid, người dùng sử dụng một trong các phương
pháp được liệt kê dưới đây để xác thực với Security Gateway. Đổi lại, Cổng
bảo mật tự xác thực cho khách hàng sử dụng chứng thực mạnh mẽ, dựa trên
chứng chỉ. Các phương pháp xác thực có thể được sử dụng trong chế độ
Hybrid là tất cả những hỗ trợ cho việc xác thực người dùng thông thường
trong VPN, cụ thể là:
Một Lần Mật khẩu - Người dùng được yêu cầu nhập số được hiển
thị trên thẻ Security Dynamics SecurID. Không có các tham số cụ thể
của lược đồ cho lược đồ xác thực SecurID. Môđun VPN hoạt động
như một ACE / Agent 5.0. Đối với cấu hình agent.
SoftID (phiên bản phần mềm của SecurID của RSA) và nhiều thẻ One
Time Password khác cùng các thẻ USB cũng được hỗ trợ.
Cổng bảo mật - Mật khẩu - Người dùng được yêu cầu nhập mật
khẩu của mình được lưu giữ trên Cổng bảo mật.
Hệ điều hành Mật khẩu - Người dùng được yêu cầu nhập mật khẩu
Hệ điều hành của mình.
RADIUS - Người sử dụng bị thách thức vì đáp ứng chính xác, như
được định nghĩa bởi máy chủ RADIUS.
6
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
TACACS - Người dùng bị thách thức để có được phản hồi chính xác,
như được xác định bởi máy chủ TACACS hoặc TACACS
SAA . SAA là một mở rộng OPSEC API cho các Khách hàng Truy
cập từ xa cho phép các phương pháp xác thực của bên thứ ba, chẳng
hạn như Biometrics, được sử dụng với Endpoint Security VPN, Check
Point Mobile cho Windows và SecuRemote.
1.10. Cấu hình xác thực.
- Trên Security Gateway, bạn có thể cấu hình xác thực ở một trong hai nơi:
Cửa sổ Thuộc tính Gateway của cổng trong Xác
thực. Trong trang Xác thực , bạn có thể cho phép truy cập tới người
dùng xác thực bằng mật khẩu Check Point , SecurID , Hệ điều
hành Mật khẩu , máy chủ RADIUS hoặc máy chủ TACACS . Việc
xác thực bằng Client Certificates từ Internal Certificate Authority
được kích hoạt mặc định ngoài phương pháp đã chọn.
Một số lưỡi có cài đặt chứng thực riêng của họ. Cấu hình nó trong cửa
sổ Gateway Properties của gateway dưới < name of the
blade >> Authentication . Ví dụ, cấu hình phương pháp xác thực cho
các máy khách IPsec VPN trong Gateway Properties > IPsec
VPN > Authentication . Nếu bạn chọn phương pháp xác thực cho
lưỡi dao, đó là phương pháp mà tất cả người dùng phải sử dụng để
xác thực với lưỡi dao đó. Bạn có thể định cấu hình các phương pháp
chứng thực khác mà người dùng phải sử dụng cho các lưỡi dao khác
nhau trên các trang khác nhau.
Nếu bạn không thực hiện lựa chọn trên trang Xác thực cho một lưỡi
cụ thể, Cổng bảo mật sẽ cài đặt xác thực cho lưỡi từ trang Xác thực
cổng chính.
1.11. How the Gateway Searches for Users.
- Nếu bạn cấu hình xác thực cho một lưỡi từ trang Chính Security
Gateway Legacy Authentication , Cổng bảo mật sẽ tìm kiếm người dùng
theo cách chuẩn khi họ cố gắng xác thực. Các tìm kiếm cổng:
Cơ sở dữ liệu người dùng nội bộ.
Nếu người dùng được chỉ định không được định nghĩa trong cơ sở dữ
liệu này, cổng truy vấn các máy chủ Thư mục Người dùng
(LDAP) được định nghĩa trong Đơn vị Tài khoản một lần và theo mức
độ ưu tiên của chúng.
Nếu vẫn không thể tìm thấy thông tin, cổng này sử dụng mẫu người
dùng bên ngoài để xem liệu có phù hợp với cấu hình chung. Tiểu sử
7
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
chung này có các thuộc tính mặc định được áp dụng cho người dùng
được chỉ định.
-
Nếu bạn cấu hình một phương pháp xác thực cho một lưỡi cụ thể, gateway sẽ tìm kiếm người
dùng theo các nhóm người dùng được sử dụng để ủy quyền trong lưỡi kiếm đó.
- Ví dụ: trong Truy cập Di động, cổng nhìn chính sách Mobile Access để xem
nhóm người dùng nào là một phần của chính sách. Khi gateway cố gắng xác
thực người dùng, nó bắt đầu tìm kiếm người dùng trong các cơ sở dữ liệu có
liên quan đến các nhóm người dùng đó.
- Trong IPsec VPN, cổng truy cập vào Cộng đồng VPN truy cập từ xa để xem
nhóm người dùng nào được bao gồm. Nó bắt đầu tìm kiếm người dùng trong
các cơ sở dữ liệu liên quan đến những nhóm người sử dụng.
- Một tìm kiếm dựa trên sơ đồ xác thực là nhanh hơn, với kết quả tốt hơn. Bạn
có thể có người dùng có cùng tên người dùng trong các nhóm không liên
quan. Cửa ngõ sẽ biết người dùng nào có liên quan đến lưỡi dựa trên các
nhóm người sử dụng.
1.12. Các tính năng tiên tiến khác…
- Remote Access VPN hỗ trợ các tính năng tiên tiến khác như:
Giải quyết sự kết nối và các vấn đề định tuyến.
IP-per-user / group.
Khách hàng L2TP.
8
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
CHƯƠNG 2: Giải pháp Remote Access VPN.
- Nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn (data security)
trong một tổ chức, công ty dẫn đến nhu cầu về các giải pháp mạng riêng ảo
VPN (Virtual Private Network). Thêm vào đó, khuynh hướng làm việc qua
mạng từ xa, phân tán của các doanh nghiệp công ty có nhiều chi nhánh và
sự phát triển của lượng nhân viên di động cũng làm gia tăng nhu cầu cho
việc truy cập tài nguyên thông tin của công ty.
Bài viết muốn trao đổi về việc tìm kiếm, lựa chọn các giải pháp bảo mật
mạng máy tính an toàn dữ liệu sử dụng công nghệ VPN và có so sánh hai
giải pháp về VPN, đó là giải pháp VPN truyền thống dựa trên IPSec
(Internet Protocol Security) và giải pháp SSL (Secure Socket Layer) giúp
cho việc quyết định lựa chọn giải pháp VPN phù hợp.
9
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
Hình 2.1. Xu hướng
2.1.
Giải pháp:
2.1.1 IPSec VPN.
- IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật
(security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể
dùng IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truyền
tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình
OSI thông qua các router mạng công cộng Internet được cung cấp phổ biến
hiện nay như: ADSL router, FTTH router.v.v. VPN (ở lớp mạng-Network)
đề cập đến những thách thức trong việc sử dụng Internet như là một môi
trường truyền và đưa các dữ liệu đa giao thức và nhạy cảm.
- Việc thiết lập một đường hầm IPSec VPN (IPSec tunnel) giữa hai nơi,
10
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
trước tiên, phải thỏa thuận về chính sách an ninh (security policy), giải
thuật mã hóa (encryption algorithm), kiểu xác thực (authentication method)
sẽ được dùng để tạo kênh đường hầm IPSec VPN. Trong IPSec tất cả dịch
vụ mạng như TCP, UDP, SNMP, HTTP, POP, SMTP…đều được mã hóa
một khi kênh IPSec được thiết lập trong mô hình mạng máy tính chuẩn
OSI.
Hình 2.2. Giải pháp IPSec VPN
2.1.2 SSL VPN.
- . Cũng cần nói rõ là bản thân giao thức SSL không mới nhưng tích hợp
giao thức SSL với công nghệ VPN lại là một mô hình mới. Sử dụng SSL
VPN để kết nối giữa người dùng từ xa vào tài nguyên mạng công ty thông
qua kết nối HTTPS ở lớp ứng dụng thay vì tạo “đường hầm” ở lớp mạng
11
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
như giải pháp IPSec đã nói ở trên. Vậy SSL VPN cũng là một giải pháp
VPN dưới dạng là một ứng dụng (application based VPN)
Hình 2.3. Giải pháp SSL VPN
2.1.3 So sánh IPSec VPN với SSL VPN
- SSL VPN và IPSec VPN không phải là hai công nghệ loại trừ lẫn nhau.
Thường thì hai công nghệ này đồng thời được triển khai trong cùng một
công ty. Việc xem xét các khía cạnh liên quan đến chi phí/lợi nhuận
(cost/benefit) cũng như các vấn đề công nghệ mà hai giải pháp SSL và IPsec
đề cập giúp cho việc lựa chọn triển khai VPN sẽ trở nên dễ dàng hơn.
SSL VPN
Kiểu kết Phù hợp cho truy cập tài nguyên
nối, kiểu từ các vị trí phân bố rải rác khắp
truy cập nơi, hay khi người dùng di động
từ xa từ các vị trí công cộng ít
tin cậy như sân bay, nhà ga,
12
IPsec VPN
Phù hợp cho các kết nối theo
kiểu site-to-site. Nó là sự lựa
chọn tốt nhất cho các mạng
LAN từ xa kết nối với nhau
hay kết nối với mạng trung
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
tâm. Các kết nối yêu cầu băng
thông rộng, hiệu suất cao, dữ
liệu lớn, kết nối liên tục
(always on), cố định là đối
tượng cung cấp của giải pháp
IPsec VPN truyền thống này
khách sạn…..
Phần
mềm
khách
(Client
software)
Chỉ cần hệ điều hành có tích hợp
một trình duyệt (browser) bất kỳ
hỗ trợ SSL là thực hiện được
một kết nối an toàn => dễ triển
khai
hơn.
Cần phải có phần mềm client
cài đặt tại các máy tính -> hạn
chế tính linh động của người
dùng , chi phí cao hơn, …
IPSec VPN được thiết kế để
mở rộng phạm vi của mạng
LAN. Người dùng ở các chi
nhánh văn phòng cũng muốn
Kiểm
truy cập không hạn chế tài
soát truy Cơ chế kiểm soát chi tiết nguyên mạng một cách hiệu
cập
(granular access control).
quả, đòi hỏi các chính sách an
ninh của mạng từ xa cũng
tương tự như của mạng tại
trung tâm. Do đó các giải pháp
IPSec được áp dụng rất hiệu
quả cho mô hình site-to-site.
Tương
thích
Tương thích hoàn toàn với Khó tương thích hơn SSL
Firewall, Firewall, NAT hay Server proxy VPN
NAT
Khả năng truy cập các ứng dụng,
Ứng
IPSec VPN hỗ trợ tất cả các
dịch vụ của giải pháp SSL VPN
dụng
ứng dụng trên nền tảng IP
hạn chế hơn
13
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
Hình 2.4. Bảng so sánh giữa 2 giải pháp
2.2.
Tìm hiểu chi tiết SSL VPN.
- Giao thức SSL (Secure Socket Layer) được hình thành và phát triển bởi
Netscape vào năm 1994, ngày nay giao thức này được sử dụng rộng rãi và trở
thành một chuẩn bảo mật tin cậy trong lĩnh vực an ninh mạng. Cho tới hiện
nay SSL đã có 3 phiên bản.
- SSL 1.0: Được sử dụng nội bộ Netspace Commications. Nó chứa một số
khiếm khuyết nghiêm trọng và không bao giờ được tung ra bên ngoài.
- SSL 2.0: Nó có một số điểm yếu liên quan đến sự hiện thân cụ thể của cuộc
tấn công của đối tượng trung gian. Trong một nỗ lực nhằm dùng sự không
chắc chắn của công chúng về bảo mật SSL, Microsoft đã giới thiệu giao thức
PCT cạnh tranh trong lần tung ra Internet Explorer đầu tiên của nó vào năm
1996.
- Netspace đã phản ứng lại bằng việc cho ra mắt phiên bản 3.0 bao gồm việc
giải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng mới. Vào thời
điểm này, Microsoft nhượng bộ và đồng ý hỗ trợ SSL trong tất cả các phiên
bản phần mềm dựa vào TCP/IP của nó. Thông số kỹ thuật mới nhất của SSL
14
Triển khai Remote Access VPN
GV:Nguyễn Tuấn Anh
3.0 được tung ra chính thức vào tháng 3 năm 1996. Nó được thực thi trong tất
cả các trình duyệt chính bao gồm như Microsoft Internet Explorer 3.0 (và
phiên bản cao hơn), Netspace 3.0 (và các phiên bản cao hơn) và Open.
- SSL là một giao thức mạng được đặt giữa giao thức TCP và các giao thức
tầng ứng dụng. Trong mô hình OSI, các giao thức dịch vụ như HTTP, IMAP
điều khiển việc các trang web hoặc chạy các máy chủ thư điện tử. Giao thức
tầng giao vận như TCP, UDP điều khiển các luồng dữ liệu giữa hai bên giao
tiếp. Các giao thức tầng mạng như IP, ICMP cung cấp cơ chế chuyển tiếp,
điều khiển các gói tin qua mạng.
- SSL hoạt động độc lập và trong suốt với các giao thức khác vì vậy nó có thể
làm việc với bất kỳ giao thức nào trên tầng ứng dụng và tầng giao vận trong
mô hình OSI. Mối quan hệ giữa SSL và mô hình OSI được mô tả qua hình vẽ
sau:
Hình 2.5. Sơ đồ mối quan hệ giữa SSL và mô hình OSI
15
