Tải bản đầy đủ (.pdf) (28 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Trin khai SSL VPN dùng mã nguồn mở openconnect VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.9 MB, 28 trang )

KHOA CÔNG NGHỆ THÔNG TIN
BỘ MÔN KỸ THUẬT MẠNG

BÁO CÁO ĐỒ ÁN NHÓM

AN NINH INTERNET
Tên đề tài:
Triển Khai SSL VPN dùng nguồn mở OpenConnect VPN

Chuyên Ngành: KỸ THUẬT MẠNG

Đà Nẵng, tháng 9 năm 2018


Mục Lục
Chương 1 Lý Thuyết Tổng Quan Về Đề Tài .......................................................................... 1
1.
Tổng Quan .................................................................................................................... 1
1.1.

Mạng riêng ảo là gì? ................................................................................................. 1

1.2. Các giao thức thường dùng trong VPN. ....................................................................... 1
1.2.1. PPTP VPN. .......................................................................................................... 1
1.2.2. Site-to-Site VPN. ................................................................................................. 2
1.2.3.L2TP VPN. ........................................................................................................... 2
1.2.4. IPsec. ................................................................................................................... 2
1.2.5. SSL and TLS. ...................................................................................................... 3
1.2.6. MPLS VPN. ......................................................................................................... 3
1.2.7. Hybrid VPN. ........................................................................................................ 3
1.3. OpenConnect VPN là gì? ............................................................................................. 4


1.4. SSL VPN ? ................................................................................................................... 4
Phân loại SSL VPN. ..................................................................................................... 4

2.
1.

SSL Portal VPN: .......................................................................................................... 4

2.

SSL Tunnel VPN: ........................................................................................................ 4
Mô hình và cấu trúc. ................................................................................................... 5

3.
3.1

. VPN-SSL gateway on a DMZ (service network)................................................... 5

3.2

. VPN-SSL gateway with 2 interfaces ...................................................................... 6

3.3

. Wireless environment ............................................................................................. 7

4. Ưu điểm và Nhược điểm. .................................................................................................. 8
4.1

. Ưu điểm. ................................................................................................................. 8


4.2

. Nhược điểm. ........................................................................................................... 9

5. Các rủi ro và cách khắc phục rủi ro. ............................................................................. 10
5.1

. Rủi ro an ninh chung: ........................................................................................... 10

5.2

. Rủi ro SSL VPN ................................................................................................... 11

5.3

. Giảm thiểu rủi ro .................................................................................................. 12

Chương 2 Triển Khai ............................................................................................................. 16
1.
Giới Thiệu Kịch Bản. ................................................................................................ 16
2.

Mô Hình Triển Khai. ................................................................................................. 16

3.

Kiểm Thử.................................................................................................................... 16
-


Cài đặt ocserv. ............................................................................................................. 16

-

Kiểm tra trạng thái sau khi cài đặt thành công status ocsevr:...................................... 16

-

Tạo các mẫu CA. ......................................................................................................... 17

-

Tạo mẫu máy chủ. ....................................................................................................... 17

-

Tạo khóa CA, chứng chỉ CA: ...................................................................................... 18

-

Tạo khóa và chứng chỉ máy chủ .................................................................................. 19

1


4.

-

Định cấu hình ocserv ................................................................................................... 20


-

Tắt Tường Lửa. ............................................................................................................ 21

-

Cài đặt và kích hoạt IP Tables. .................................................................................... 21
Kết Luận. .................................................................................................................... 24

TÀI LIỆU THAM KHẢO ........................................................................................................ 25

2


Chương 1 Lý Thuyết Tổng Quan Về Đề Tài
1.

Tổng Quan

Trước khi xuất hiện mạng riêng ảo (Virtual Private Network – VPN), khi những
nhân viên làm việc ở xa muốn truy cập vào mạng công ty hoặc là những văn phòng ở
xa có thể dùng đường dây thuê bao, hoặc là những người làm việc ở xa hầu như phải
sử dụng việc kết nối quay số. Cả hai cách này đều tốn kém về chi phí và không bảo
mật về thông tin. Sự xuất hiện của mạng riêng ảo không những đã giúp cho những
người làm việc ở xa có thể truy cập tài nguyên của công ty như thể họ đang ngồi
trước màn hình máy tính ở bàn làm việc tại công ty họ, mà còn tiết kiệm hơn về chi
phí.

1.1.


Mạng riêng ảo là gì?

Mạng riêng ảo - Virtual private Network, gọi tắt là VPN
- VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private
network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng lẻ
sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng
riêng lẻ) hay nhiều người sử dụng từ xa.
- Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường
leasedline, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng
riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ
liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật

1.2. Các giao thức thường dùng trong VPN.
1.2.1. PPTP VPN.
PPTP là từ viết tắt của Point-to-Point Tunneling Protocol (giao thức tạo đường
hầm điểm nối điểm). Giống như tên gọi của mình, mạng riêng ảo PPTP tạo một đường
hầm cho dữ liệu đi qua. Quả là một cái tên khá dài cho mạng VPN được sử dụng nhiều
nhất. Người dùng sẽ kết nối đến mạng PPTP VPN bằng đường truyền Internet sẵn có
của họ. Loại mạng riêng ảo này phù hợp cho cả doanh nghiệp và người dùng cá nhân.
Để truy cập vào mạng PPTP, người dùng sẽ phải đăng nhập bằng mật khẩu. Sở dĩ nói
PPTP phù hợp với cả 2 đối tượng trên là vì nó hoàn toàn miễn phí, bạn không cần cài
đặt chương trình khi sử dụng, và các tính năng của dịch vụ này thường được bán dưới
dạng phần mềm add on với giá rất rẻ. PPTP được ưa chuộng cũng vì khả năng tương
thích với cả 3 hệ điều hành Windows, Mac OS, và Linux.

1


Bên cạnh rất nhiều ưu điểm, PPTP có một nhược điểm là nó không sử dụng bộ mã

hóa. Trong khi mọi người sử dụng mạng VPN chính vì tính năng đó. Một điểm trừ
khác của PPTP là nó sử dụng giao thức PPP để bảo mật đường truyền.

1.2.2. Site-to-Site VPN.
Site to Site VPN còn có tên gọi khác là Router to Router VPN. Nó thường được dùng
trong các công ty và tổ chức đoàn thể. Ngày nay, nhiều công ty có văn phòng đặt ở cả
trong và ngoài nước; do đó, họ dùng mạng Site to Site VPN để kết nối mạng lưới của
văn phòng chính với các văn phòng còn lại. Hình thức kết nối này gọi là “Intranet”
(mạng cục bộ). Ngoài ra, mạng Site to Site còn hữu ích trong việc thiết lập đường
truyền giữa các công ty với nhau, gọi là “Extranet” (mạng mở rộng). Nói một cách dễ
hiểu, Site to Site VPN xây dựng một chiếc cầu ảo kết nối các mạng lưới ở cách xa
nhau lại với nhau thông qua đường truyền Internet, đảm bảo việc truyền tải thông tin
được an toàn và bảo mật.
Tương tự như PPTP VPN, Site to Site VPN cũng được dùng để đảm bảo an toàn cho
mạng lưới. Tuy nhiên, vì không sử dụng đường line tĩnh nên mọi vị trí trong mạng lưới
của công ty đều có thể hợp thành một mạng riêng ảo. Khác với PPTP, quá trình định
tuyến, mã hóa, và giải mã đều được thực hiện bởi các bộ định tuyến sử dụng phần
cứng hoặc phần mềm đặt ở 2 đầu đường truyền.

1.2.3.L2TP VPN.
L2TP, Layer 2 Tunneling Protocol (giao thức đường hầm lớp 2), là mạng riêng ảo
được phát triển bởi Microsoft và Cisco. L2TP là mạng VPN thường được kết hợp với
một giao thức VPN khác để thiết lập một kết nối an toàn hơn. Mạng L2TP hình thành
một đường hầm giữa 2 điểm kết nối L2TP, đồng thời một mạng VPN khác (chẳng hạn
như giao thức IPSec) sẽ đảm nhận vai trò mã hóa dữ liệu và chú trọng vào việc đảm
bảo an toàn cho các thông tin truyền qua đường hầm.
Điểm giống nhau giữa L2TP và PPTP là chúng đều không sử dụng bộ mã hóa mà dựa
vào giao thức PPP để bảo mật dữ liệu. Tuy nhiên, L2TP vẫn đảm bảo được tính nhất
quát và sự an toàn của dữ liệu, trong khi PPTP thì không.


1.2.4. IPsec.
IPSec là từ viết tắt của thuật ngữ Internet Protocol Security (Giao thức bảo mật
Internet). IPSec là một giao thức VPN được dùng để đảm bảo an toàn cho việc truyền
dữ liệu qua mạng IP. Một đường hầm thiết lập từ xa cho phép người dùng truy caập
đến vị trí trung tâm. Giao thức IPSec bảo vệ đường truyền bằng cách xác minh từng
phiên và mã hóa riêng rẽ các gói dữ liệu trong suốt đường truyền. IPSec hoạt động
theo 2 chế độ là chế độ vận chuyển và chế độ đường hầm. Cả 2 chế độ đều có cùng tác
dụng là bảo vệ dữ liệu trong quá trình chuyển giao giữa 2 mạng lưới. Ở chế độ vận
chuyển, thông tin trong gói dữ liệu sẽ được mã hóa. Còn ở chế độ đường hầm, toàn bộ
gói dữ liệu đều được mã hóa. Lợi ích của việc sử dụng giao thức IPSec là hỗ trợ các
giao thức khác trong việc tăng cường độ an toàn và bảo mật.

2


Mặc dù IPSec là một giao thức rất hữu dụng, nhưng nhược điểm lớn nhất của nó là
người dùng phải mất nhiều thời gian chờ đợi cho quá trình cài đặt chương trình hoàn
tất mới có thể bắt đầu sử dụng.

1.2.5. SSL and TLS.
SSL là từ viết tắt của Secure Socket Layer (Tẩng ổ bảo mật), và TLS là từ viết tắt của
Transport Layer Security (Bảo mật lớp vận chuyển). Cả 2 được kết hợp lại thành một
giao thức dùng để xây dựng kết nối VPN. Đây là một mạng VPN trong đó trình duyệt
web đóng vai trò máy khách và người dùng chỉ được truy cập một số ứng dụng nhất
định, thay vì toàn bộ mạng lưới. Giao thức SSL và TLS chủ yếu được dùng trong các
trang web bán hàng online và bởi các nhà cung cấp dịch vụ. Mạng VPN SSL và TLS
sẽ đảm bảo các phiên truy cập an toàn từ trình duyệt của người dùng đến máy chủ của
ứng dụng. Nguyên nhân là do trình duyệt web dễ dàng chuyển sang SSL và người sử
dụng không cần phải làm gì cả. Trình duyệt web luôn tương thích với SSL và TLS.
Các kết nối SSL sẽ có đường link bắt đầu bằng https thay vì http.


1.2.6. MPLS VPN.
Chuyển mạch nhãn đa giao thức (MPLS) là một công nghệ được dùng nhiều nhất cho
kết nối Site to Site. Nguyên nhân là vì MPLS là lựa chọn có tính linh hoạt và khả năng
thích nghi cao nhất. MPLS là một nguồn dựa trên các tiêu chuẩn được dùng để tăng
tốc độ phân chia các gói mạng lưới thông qua nhiều giao thức khác nhau. Mạng MPLS
VPN là những hệ thống mạng VPN điều chỉnh bởi các nhà cung cấp dịch vụ Internet.
Mạng VPN điều chỉnh bởi các nhà cung cấp dịch vụ Internet là một mạng lưới được
hình thành khi có từ 2 máy trở lên kết nối với nhau và sử dụng cùng 1 nhà cung cấp
dịch vụ Intenet. Nhược điểm lớn nhất của MPLS là không dễ gì để thiết lập cho 2
mạng VPN tương thích với nhau. Quá trình chỉnh sửa cũng khá khó khăn. Chính vì
vậy mà sử dụng MPLS thường đắt tiền hơn các giải pháp khác.

1.2.7. Hybrid VPN.
Mạng VPN lai là sự kết hợp giữa MPLS VPN và IPSec VPN. Dù 2 loại mạng riêng ảo
này thường được sử dụng cho các mục đích khác nhau, nhưng chúng ta vẫn có thể kết
hợp chúng lại với nhau. Mục đích là dùng IPSec VPN làm phương án dự phòng cho
MPLS.
Người dùng IPSec cần một số thiết bị để sử dụng dịch vụ. Đó thường là bộ định tuyến
hoặc ứng dụng bảo mật đa nhiệm. Thông qua các thiết bị này, dữ liệu sẽ được mã hóa
và hình thành một đường hầm VPN như tôi đã giải thích ở trên. MPLS VPN được
dùng bởi các carrier (vật mang), với sự trợ giúp từ các thiết bị trong mạng lưới của
carrier.
Để có thể kết hợp IPSec và MPLS, một cổng sẽ được thiết lập để loại bỏ đường hầm
IPSec từ một phía và đưa nó vào MPLS ở cuối đầu bên kia, trong khi vẫn phải đảm
bảo sự an toàn cho dữ liệu của người dùng.
Mạng VPN lai chủ yếu được dùng trong các công ty, vì MPLS có lẽ không phải là lựa
chọn phù hợp nhất. MPLS có rất nhiều ưu điểm so với mạng Internet thông thường,
tuy nhiên giá thành rất cao. Vì vậy, sử dụng mạng VPN lai cho phép họ truy cập đến
3



máy chủ trung tâm từ một vị trí khác. Mạng VPN lai cũng không phải là rẻ, nhưng bù
lại nó rất linh hoạt.

1.3. OpenConnect VPN là gì?
- OpenConnect sử dụng giao thức tương thích với giao thức SSL của
AnyConnect, được triển khai trong một dự án nguồn mở không liên kết với Cisco. Các
VPN AnyConnect sử dụng TLS để xác thực và định cấu hình định tuyến, sau đó DTLS
để mã hóa và vận chuyển hiệu quả lưu lượng VPN đường hầm và có thể quay trở lại
giao thông dựa trên TLS nơi tường lửa chặn lưu lượng dựa trên UDP.

1.4. SSL VPN ?
- Lớp cổng bảo mật (SSL) là giao thức bảo mật được sử dụng phổ biến nhất để
thiết lập liên kết được mã hóa giữa máy chủ web và trình duyệt. Liên kết được mã hóa
này đảm bảo rằng tất cả dữ liệu được truyền đạt giữa máy chủ web và trình duyệt vẫn
an toàn và riêng tư. Ngoài ra, các chứng chỉ SSL giúp ngăn chặn các cuộc tấn công ở
giữa (MitM) bằng cách đảm bảo người dùng kết nối với máy chủ chính xác. Khi nói
đến Mạng riêng ảo, mật mã SSL được sử dụng để cung cấp một đường hầm được mã
hóa an toàn giữa các máy khách VPN và máy chủ VPN. Điều này, khá đáng ngạc
nhiên, là lý do tại sao chúng thường được gọi là SSL VPN.

2.

Phân loại SSL VPN.

- Có hai lọai SSL VPN chính:

1.


SSL Portal VPN: Cho phép các kết nối SSL duy nhất tới các trang

web, cho phép người dùng cuối truy cập một cách an toàn vào nhiều dịch vụ mạng.
Người dùng từ xa có thể truy cập cổng SSL VPN bằng bất kỳ trình duyệt Web nào sau
khi xác thực thông qua một phương thức được cổng hỗ trợ. Truy cập được thực hiện
thông qua một trang Web hoạt động như một cổng thông tin cho các dịch vụ khác.
2.

SSL Tunnel VPN: Cho phép các trình duyệt web truy cập an toàn vào

nhiều dịch vụ mạng, cũng như các giao thức và ứng dụng không dựa trên Web, thông
qua các đường hầm chạy dưới SSL. SSL tunnel VPN yêu cầu trình duyệt Web xử lý
4


nội dung hoạt động và cung cấp chức năng không thể truy cập thông qua VPN cổng
thông tin SSL

3.

Mô hình và cấu trúc.

3.1

. VPN-SSL gateway on a DMZ (service network)

- Tất cả các mạng phải được bảo vệ bằng một thiết bị an ninh vành đai mạnh.
Điều này kiến trúc có cổng VPN-SLL như một công ty có thể truy cập công cộng dịch
vụ được bảo vệ bởi cổng an ninh chu vi. Một thiết kế bảo mật tốt thường tách biệt lưu
lượng truy cập không an toàn khỏi lưu lượng truy cập an toàn để ngăn chặn các cuộc

tấn công. Lợi ích của việc đặt cổng VPN-SSL trên DMZ là nó bị cô lập từ các máy chủ
có sẵn công khai khác thường có nguy cơ cao hơn bị xâm phạm. Việc tách mạng này
bảo vệ gateway khỏi tấn công nếu một trong các máy chủ truy cập công khai bị xâm
phạm. Tiềm năng vấn đề với thiết kế này là cả hai không an toàn (lưu lượng SSL đến)
vàlưu lượng truy cập an toàn (được xác thực và không được mã hóa) được thực hiện
trên cùng một network.

5


3.2

. VPN-SSL gateway with 2 interfaces

rong cấu hình này, cổng VPN-SSL được kết nối trực tiếp với Internet. Cổng thứ hai
được kết nối với một mạng dịch vụ được bảo mật bởi cổng an ninh chu vi. Lợi ích của
việc triển khai này là lưu lượng truy cập là giảm (và sử dụng tài nguyên) trên cổng chu
vi vì người dùng từ xa sẽ sử dụng VPN Gateway đầu tiên trong việc thiết lập đường
hầm an toàn cho nội bộ mạng. Các quy tắc kiểm soát truy cập có thể được sử dụng trên
Cổng SSL-VPN tới tiếp tục lọc lưu lượng truy cập được phép truy cập cổng bảo mật
ngoại vi cung cấp xác thực bảo mật bổ sung.

6


- Một vấn đề tiềm năng của cấu hình này là VPN gateway còn lại không được
bảo vệ bởi cổng an ninh chu vi. Ví dụ: VPN Gateway có thể dễ bị tấn công bất thường
trong giao thức hoặc mạng tấn công.

3.3


. Wireless environment

Công nghệ SSL-VPN cũng có thể được sử dụng để bảo mật không dây môi
trường. Khi ngành công nghiệp chờ đợi một tiêu chuẩn sẽ đảm bảo an toàn. Thông tin
liên lạc Wi-Fi, cổng VPN-SSL có thể được đặt giữa điểm truy cập không dây và mạng
7


công ty, đảm bảo mã hóa mạnh qua phương tiện không dây và kiểm soát quyền truy
cập vào tài nguyên của công ty

4. Ưu điểm và Nhược điểm.
4.1

. Ưu điểm.

- Một trong những ưu điểm chính của SSL VPN là nó sử dụng công nghệ TLS
được triển khai trong các trình duyệt web hiện đại, do đó không cần cài đặt phần mềm
ứng dụng khách cụ thể. Điều đó giúp dễ dàng triển khai. Ngoài ra, các mạch được mã
hóa được tạo ra bằng TLS cung cấp bảo mật kết nối outbound tinh vi hơn nhiều so với
các giao thức VPN truyền thống.
- Một lợi ích khác là SSL VPN đòi hỏi ít chi phí quản trị và hỗ trợ kỹ thuật hơn
so với các máy khách VPN truyền thống nhờ vào tính dễ sử dụng và sự tin cậy của họ
trên các ứng dụng web được sử dụng rộng rãi. SSL VPN cho phép người dùng chọn
bất kỳ trình duyệt web nào, bất kể hệ điều hành (OSes) mà thiết bị của họ đang chạy.
- Ngoài ra, người dùng không cần tải xuống bất kỳ tệp phần mềm hoặc cấu hình
bổ sung nào hoặc thực hiện các bước phức tạp để tạo SSL VPN. Không giống như các
giao thức bảo mật đường hầm khác, chẳng hạn như Giao thức Đường hầm Lớp 2
(L2TP) hoặc Bảo mật IP (IPsec), SSL VPN chỉ yêu cầu trình duyệt được cập nhật để

thiết lập một mạng bảo mật.
- L2TP hoạt động ở tầng liên kết dữ liệu (lớp 2) của mô hình mạng kết nối hệ
thống mở, trong khi IPsec hoạt động ở tầng mạng OSI (lớp 3); điều này có nghĩa là
nhiều siêu dữ liệu mạng hơn có thể được mã hóa khi sử dụng các phương thức đường
hầm đó, nhưng nó cũng yêu cầu phần mềm và cấu hình bổ sung để tạo VPN với các
giao thức đó.
- SSL VPN hoạt động ở tầng truyền tải, vì vậy lưu lượng mạng có thể dễ dàng
được chia thành các mạch đường hầm an toàn để truy cập tài nguyên hoặc ứng dụng
được bảo vệ và các mạch không được nối mạng để truy cập tài nguyên hoặc ứng dụng
công cộng.
- Các máy chủ SSL VPN cũng có thể được cấu hình để cho phép kiểm soát truy
cập chính xác hơn bởi vì chúng xây dựng đường hầm cho các ứng dụng cụ thể hơn là
cho toàn bộ mạng doanh nghiệp. Điều đó có nghĩa là người dùng trên các kết nối SSL
VPN có thể bị giới hạn chỉ những ứng dụng mà họ đã được cấp, chứ không phải toàn
bộ mạng
8


4.2

. Nhược điểm.

- Mặc dù những lợi ích mà SSL VPN cung cấp, cũng có một số rủi ro bảo mật
liên quan đến công nghệ này. Mặc dù các biện pháp bảo mật nâng cao của nó, mạng
SSL có thể dễ lây lan phần mềm độc hại, bao gồm phần mềm gián điệp, sâu, vi-rút và
chương trình Trojan horse.
- Vì người dùng từ xa có thể truy cập máy chủ SSL VPN từ xa, mọi người dùng
từ xa sử dụng thiết bị không chạy phần mềm diệt vi-rút được cập nhật có thể lây lan
phần mềm độc hại từ mạng cục bộ sang mạng của tổ chức.
- Tin tặc cũng có thể khai thác tính năng chia đường hầm của SSL VPN, cho

phép người dùng truyền lưu lượng truy cập được bảo mật qua đường hầm SSL VPN
trong khi sử dụng các kênh không được truyền thông để giao tiếp trên các kênh không
an toàn. Tách đường hầm cho phép người dùng có quyền truy cập từ xa để chia sẻ lưu
lượng mạng với cả mạng riêng và mạng công cộng cùng một lúc, điều này có thể khiến
kẻ tấn công có khả năng thực hiện một cuộc tấn công bằng kênh không an toàn của
người dùng làm trung gian trong cuộc tấn công.
- Ngoài ra, nếu máy tính từ xa có kết nối mạng SSL VPN được thiết lập với
mạng nội bộ của công ty và người dùng rời khỏi phiên mở, mạng công ty nội bộ đó sẽ
được hiển thị cho bất kỳ ai có quyền truy cập vào hệ thống đó.
- Một nguy cơ tiềm tàng khác xảy ra khi người dùng cố gắng thiết lập kết nối
SSL VPN bằng máy tính có thể truy cập công cộng, chẳng hạn như máy tính tại kiốt.
Trong những trường hợp đó, người dùng có thể dễ bị tấn công liên quan đến các logger
chính được cài đặt trên một hệ thống không tin cậy mà không có khả năng đáp ứng các
chính sách và tiêu chuẩn bảo mật của doanh nghiệp. Nếu có logger gõ phím, kẻ tấn
công có thể chặn thông tin đăng nhập của người dùng và các thông tin bí mật khác.

9


Mô hình: SSL VPNs
- Sử dụng SSL VPN có thể có lợi thế hơn khi sử dụng VPN IPsec. Đầu tiên, các
kết nối VPN truy cập từ xa IPsec yêu cầu cài đặt phần mềm máy khách IPsec trên các
hệ thống máy khách, do đó, có thể yêu cầu mua và cấu hình phần mềm bổ sung. SSL
VPN có thể được thiết lập bằng các trình duyệt hiện có và sửa đổi cấu hình tối thiểu.
- Một ưu điểm khác của SSL VPN trên IPsec VPN nằm ở tính dễ sử dụng của nó.
Mặc dù các nhà cung cấp IPsec VPN khác nhau có thể có các yêu cầu triển khai và cấu
hình khác nhau, SSL VPN có thể được triển khai với hầu như bất kỳ trình duyệt web
hiện đại nào.
- Ngoài ra, khi người dùng được xác thực với IPsec VPN, máy khách có toàn
quyền truy cập vào toàn bộ mạng riêng, vi phạm nguyên tắc đặc quyền tối thiểu

(POLP) và kết quả là có thể phơi bày một số tài nguyên riêng để tấn công. Mặt khác,
việc sử dụng SSL VPN có thể cho phép kiểm soát truy cập chính xác hơn bằng cách
cho phép tạo đường hầm cho các ứng dụng cụ thể bằng cách sử dụng ổ cắm thay vì
cho toàn bộ mạng. Điều này cho phép các tổ chức cung cấp các quyền truy cập khác
nhau cho những người dùng khác nhau.

5. Các rủi ro và cách khắc phục rủi ro.
5.1

. Rủi ro an ninh chung:

-

Rủi ro liên quan đến thông tin xác thực người dùng:

VPN cung cấp khả năng truy cập dễ dàng từ Internet vào mạng công ty và các tài
nguyên nội bộ của nó. Bảo mật VPN chỉ mạnh bằng các phương thức được sử dụng để
xác thực người dùng (và các thiết bị) ở đầu từ xa của kết nối VPN,Các phương thức
xác thực đơn giản dựa trên mật khẩu tĩnh có thể bị tấn công “bẻ khóa” mật khẩu, nghe
lén hoặc thậm chí là các cuộc tấn công kỹ thuật.Xác thực hai yếu tố, bao gồm một cái
gì đó bạn biết và một cái gì đó bạn có, là một yêu cầu tối thiểu để cung cấp truy cập từ
xa an toàn vào mạng công ty. Trong một số trường hợp, xác thực ba yếu tố có thể cần
thiết; hình thức xác thực này bổ sung thêm một yêu cầu nữa - một cái gì đó (ví dụ sinh
trắc học chẳng hạn như vân tay hoặc quét mống mắt).
-

Sự lây lan của virus, worms và trojan: Truy cập từ xa là một vectơ đe dọa

lớn đối với an ninh mạng. Mỗi máy tính từ xa không đáp ứng các yêu cầu bảo mật của
công ty có thể có khả năng chuyển tiếp "lây nhiễm" từ môi trường mạng cục bộ của nó

10


tới mạng nội bộ của tổ chức. Phần mềm chống vi-rút cập nhật trên máy tính từ xa là
bắt buộc để giảm thiểu loại rủi ro này. và trojan từ các máy tính từ xa đến mạng nội
bộ.

5.2

. Rủi ro SSL VPN

-

Thiếu phần mềm bảo mật máy chủ yêu cầu trên các máy công cộng:SSL

VPN giúp việc kết nối từ mọi nơi trên Internet với mạng nội bộ của công ty trở nên dễ
dàng và thuận tiện. Tuy nhiên, các máy công cộng được sử dụng cho SSL VPN có thể
không có phần mềm diệt vi-rút bắt buộc được cài đặt và bảo trì đúng cách; ngoài ra,
chúng thường không được cài đặt và kích hoạt tường lửa dựa trên máy chủ. Những
máy công cộng này gây ra một mối đe dọa lớn khi được sử dụng cho SSL VPN. Chúng
có thể lây lan virus, worms và trojan — và thậm chí có thể trở thành cánh cửa sau cho
những kẻ tấn công nguy hiểm. Ngay cả việc xác thực người dùng mạnh sẽ không bảo
vệ được mạng nếu một máy tính từ xa bị xâm nhập, bởi vì kẻ tấn công có thể
“piggyback” vào một phiên trực tiếp thông qua Trojan và nhắm vào các tài nguyên nội
bộ.
- Physical access to shared machines: Nếu máy tính từ xa có kết nối mạng được
thiết lập với mạng nội bộ của bạn và người dùng rời khỏi phiên mở, mạng nội bộ của
bạn hiện được hiển thị với những người có quyền truy cập vật lý vào máy. Nhân viên
không được phép có thể sử dụng máy tính này để khám phá và tấn công các nguồn lực
nội bộ của bạn. SSL VPN làm tăng đáng kể loại rủi ro này - một kết nối có thể được

bắt đầu từ bất kỳ máy dựa trên Internet nào. Tính chất truy cập vật lý của các máy chia
sẻ thêm nhiều rủi ro bên cạnh việc cung cấp kết nối mạng trái phép vào mạng nội bộ
của công ty.
- Keystroke logger: SSL VPN máy khách có thể dễ bị tổn thương hơn đối với
keystroke logger vì các máy tính truy cập công khai (tại ki-ốt, ví dụ) có thể tham gia.
Các máy tính này có thể không đáp ứng các tiêu chuẩn và chính sách bảo mật của tổ
chức của bạn. Khi các máy này bị xâm phạm, các bộ ghi logstroke có thể cho phép
chặn các thông tin người dùng và các thông tin bí mật khác. Có thể cài đặt phần mềm
độc hại hoặc thậm chí là các bộ ghi bàn phím dựa trên phần cứng để thu thập thông tin
nhạy cảm.
- Thiết bị đầu cuối-mất những thông tin nhạy cảm và sở hữu trí tuệ: thông tin
nhạy cảm bao gồm một loạt các mặt hàng, bao gồm cả thông tin người dùng (tài khoản
11


tên / mật khẩu), dự báo bán hàng, thông tin nhân sự nội bộ, và thông tin khách hàng.
Sở hữu trí tuệ bao gồm mã nguồn, công ty và thậm chí cả thông tin công nghệ và thiết
kế của bên thứ ba (theo NDA). Thông tin quan trọng có thể được để lại trên một máy
tính từ xa nếu máy tính không được bảo vệ đúng cách - điều này đặc biệt quan trọng
khi máy tính từ xa được chia sẻ với công chúng. Bảo vệ điểm cuối là chìa khóa để giải
quyết loại rủi ro này. Nhận thức và giáo dục của người dùng cũng đóng vai trò quan
trọng.
- Các cuộc tấn công trung gian: Trong một cuộc tấn công trung gian, kẻ tấn công
chặn lưu lượng người dùng để nắm bắt thông tin đăng nhập và các thông tin liên quan
khác. Kẻ tấn công sau đó sử dụng thông tin này để truy cập vào mạng đích thực tế.
Trong quá trình này, kẻ tấn công thường phục vụ như một proxy / gateway trình bày
một trang web SSL VPN giả cho người dùng; proxy / cổng này chuyển bất kỳ xác thực
nào mà người dùng nhập vào trang đích đích thực. Tùy thuộc vào sự tinh tế của proxy /
cổng độc hại, nhiều hành động có thể được thực hiện khi truy cập vào mạng nội bộ
được lấy. Một số thông tin có thể được gửi lại cho người dùng hoặc người dùng có thể

bị chấm dứt bằng thông báo tin nhắn "dịch vụ không khả dụng" .Cuộc tấn công này
thường hoạt động khi người dùng không xác minh chính xác rằng họ đang liên lạc với
trang web đầu trang SSL VPN thực. Người dùng chung của công ty thường không có
đủ kiến thức để đọc và xác minh rằng chứng chỉ SSL thuộc về một bên thích hợp trước
khi kết nối; thông thường, người dùng nhấp vào "có" và chấp nhận chứng chỉ vĩnh
viễn. Và trong một số quán, các máy công cộng có thể có cài đặt bảo mật trình duyệt
web của họ quá thấp nên không có cảnh báo nào được phát hành khi chứng chỉ SSL
xuất hiện đáng ngờ.

5.3

. Giảm thiểu rủi ro

- Trong khi nhiều nhà cung cấp và sản phẩm có sẵn trên thị trường hiện nay, họ
có thể không cung cấp đầy đủ các cơ chế và khả năng giảm thiểu rủi ro. Quy trình lập
kế hoạch và so sánh toàn diện có thể giúp bạn xác định những gì phù hợp và hiệu quả
nhất để bảo vệ tổ chức của bạn. Dưới đây là một phân tích chi tiết về các biện pháp
bảo mật cần được áp dụng khi triển khai SSL VPN
-

Chính sách bảo mật và truy cập an toàn thông qua xác thực người

dùng mạnh:triển khai SSL VPN xác thực người dùng mạnh và người dùng SSL VPN
phải tuân thủ chính sách bảo mật VPN và truy cập từ xa trong tổ chức của bạn. Xác
12


thực người dùng mạnh là ưu tiên hàng đầu; một số lựa chọn có sẵn để đạt được mục
đích này. Thông thường, một bắt đầu bằng cách thực hiện các kỹ thuật xác thực hai
yếu tố. Ví dụ bao gồm mã thông báo phần cứng, chứng chỉ kỹ thuật số (dưới dạng hình

thức xác thực người dùng) và thẻ thông minh.

Ngoài ra, tổ chức của bạn cũng phải

nêu rõ loại yêu cầu bảo mật máy chủ nào phải được đáp ứng (chẳng hạn như tường lửa
cá nhân, chống vi-rút, bản sửa lỗi nóng hoặc các bản vá bảo mật).
-

Xác minh danh tính máy chủ: ó sự khác biệt giữa việc tin tưởng

người

dùng (sau khi vượt qua xác thực người dùng mạnh) và tin tưởng vào

máy tính của người dùng đó. Trong khi trước đây đã được nhấn mạnh theo truyền
thống, chỉ gần đây mới có được sự chú ý đầy đủ (xem Trusted Platform Module TPM). Như đã thảo luận trước đó, một máy tính Trojan-laden đánh bại xác thực người
dùng mạnh mẽ. Nhưng một "máy tính của công ty",

thường được hỗ trợ và quản lý

theo các chính sách bảo mật của công ty, thường đáng tin cậy hơn một "máy tính
không phải của công ty". Cơ sở hạ tầng SSL VPN an toàn sẽ cho phép bạn xác minh
danh tính của máy chủ từ xa bằng cách kiểm tra các thông số thiết bị đầu cuối được
xác định trước. Ví dụ bao gồm các mục đăng ký, các tệp đặc biệt ở vị trí được chỉ định
hoặc chứng chỉ kỹ thuật số (dưới dạng xác thực thiết bị).
- Lưu trữ xác thực bảo mật máy chủ: Khi máy tính từ xa được phép truy cập vào
VPN, nó sẽ trở thành một phần mở rộng của mạng của tổ chức bạn. Bảo mật máy chủ
để bảo vệ thiết bị đầu cuối này là rất quan trọng để bảo vệ cả dữ liệu nằm trên máy
chủ và kết nối với mạng nội bộ của bạn. Cơ sở hạ tầng SSL VPN của bạn sẽ có thể
xác thực tư thế bảo mật máy chủ bằng cách kiểm tra phiên bản phần mềm chống virút, tường lửa cá nhân, cập nhật dịch vụ, mức bản vá bảo mật và tập lệnh và tệp tùy

chỉnh có thể bổ sung. Việc xác thực này là rất quan trọng để đảm bảo tuân thủ các
chính sách và tiêu chuẩn bảo mật của công ty bạn.
-

Máy tính để bàn an toàn: Bạn sẽ làm gì nếu một máy tính từ xa không đáp ứng

các tiêu chuẩn và chính sách bảo mật nghiêm ngặt của công ty bạn? Lợi ích kinh
doanh SSL VPN chính là cho phép người dùng “VPN in” từ bất kỳ máy tính dựa trên
Internet nào. Nhiều người trong số họ là tài sản phi công ty thường không đáp ứng
các tiêu chuẩn và chính sách bảo mật của bạn. Để giải quyết tình trạng khó xử này,
một số sản phẩm SSL VPN gần đây cung cấp khả năng tạo “hộp cát” an toàn hoặc
“máy tính để bàn an toàn” trên máy tính từ xa. Máy tính để bàn an toàn này thường
13


được bảo vệ khỏi các quy trình khác trên máy tính và có hệ thống tệp được mã hóa
“on-the-fly”. Mã độc hại, ngay cả khi chúng xuất hiện trên máy tính, không thể truy
cập nội dung được lưu trữ trong màn hình an toàn. Loại triển khai này cũng giúp
đảm bảo rằng dữ liệu sẽ bị xóa một cách an toàn vào cuối phiên.
- Làm sạch bộ nhớ cache: Để bảo vệ thêm thông tin bí mật và các thuộc tính trí
tuệ, việc triển khai SSL VPN nâng cao sẽ cho phép xóa tất cả các dấu vết của dữ liệu
phiên từ các vị trí như lịch sử trình duyệt, tệp Internet tạm thời và cookie. Tính năng
dọn dẹp bộ nhớ cache giảm nhẹ rủi ro để lại thông tin nhạy cảm.
- Phát hiện logger: keystroke Lý tưởng nhất, các mã độc hại như logstroke
loggers có thể được phát hiện trước khi người dùng bắt đầu một phiên VPN. Các sản
phẩm SSL VPN gần đây cung cấp các tính năng bảo mật như vậy. Chúng cho phép
phát hiện logger keystroke trước khi phiên đăng nhập của người dùng được thực
hiện. Tuy nhiên, hãy lưu ý rằng các nhà cung cấp khác nhau có thể cung cấp các mức
độ thành công và hiệu quả khác nhau — và hầu hết là bất lực khi xử lý các logger
keystroke dựa trên phần cứng.Xem xét cấu hình Kiểm tra các sản phẩm SSL VPN dự

định của bạn để xem liệu chúng có cho phép bạn định cấu hình những điều sau:
- Thời gian chờ phiên - Thời gian chờ ngắn (thường được đặt là 10 phút hoặc ít
hơn) giảm cơ hội cho nhân viên không được phép truy cập vào mạng nội bộ của bạn
qua máy tính công cộng.
- Xác minh phiên bản SSL — Chức năng máy chủ SSL của bộ tập trung VPN
phải được cấu hình để từ chối kết nối SSL 2.0. SSL phiên bản 2.0 chứa nhiều lỗ hổng
bảo mật, đã được khắc phục trong phiên bản SSL 3.
- Hỗ trợ chứng chỉ máy chủ — Để tạo đường hầm SSL / TLS và để ngăn chặn sự
giả mạo máy chủ (các cuộc tấn công trung gian), bộ tập trung VPN sẽ cài đặt một
chứng chỉ máy chủ bị xích vào cơ quan cấp chứng chỉ gốc của công ty bạn. Ngoài ra,
bạn nên sử dụng chứng chỉ máy chủ do tổ chức phát hành chứng chỉ tin cậy cấp.Để
giảm thêm rủi ro do máy tính từ xa gây ra, bạn có thể cân nhắc áp đặt các hạn chế
bảo mật bổ sung. Một tùy chọn (dựa trên các thông số bảo mật máy chủ của máy tính
từ xa) là yêu cầu các phiên SSL VPN để bắt đầu từ một số địa chỉ IP nguồn được
chấp thuận trước và hạn chế quyền truy cập vào danh sách tài nguyên hạn chế, nếu
máy tính từ xa không đáp ứng máy chủ hiện tại của bạn Yêu cầu bảo mật. Một tùy
14


chọn khác (dựa trên nhận dạng thiết bị của máy tính từ xa) là hạn chế quyền truy cập
vào một số lượng tối thiểu các ứng dụng / tài nguyên, nếu máy tính từ xa không thể
được xác minh là "tài sản công ty". Việc lựa chọn các ứng dụng / tài nguyên bị hạn
chế này phải như vậy mà chúng cung cấp các nhu cầu cơ bản của người dùng mà
không hiển thị thông tin nhạy cảm. Giáo dục người dùng và nhận thức bảo mậtGiáo
dục người dùng và nhận thức bảo mật là một thành phần không thể thiếu trong nỗ lực
bảo mật tổng thể của một tổ chức. Các chiến dịch nâng cao nhận thức bảo mật người
dùng SSL VPN có thể tập trung vào những điều sau:
- Nhận thức thông tin về lý do VPN nói chung và SSL VPN nói riêng về rủi ro
an ninh hiện tại cho tổ chức của bạn
- Khuyến khích sử dụng tại các trạm công cộng không đáp ứng các tiêu chuẩn và

chính sách bảo mật của công ty . để thực hiện các biện pháp phòng ngừa an ninh,
chẳng hạn như chấm dứt các phiên VPN và xóa các tài liệu / thông tin trước khi rời
khỏi máy tính công cộng
- Mẹo nhắc người dùng chú ý đến chi tiết URL và kiểm tra chứng chỉ máy chủ
(qua ổ khóa vàng nhỏ ở góc của trình duyệt web) , ví dụ) để bảo vệ chống lại các cuộc
tấn công man-in-the-middle.

15


Chương 2 Triển Khai
1. Giới Thiệu Kịch Bản.
Kịch bản: Sử dụng Openconnet cho phép các nhân viên thường đi công
tác xa có thể ngồi bất kì nơi đâu có kết nối internet đều có thể truy cập
vào các ứng dụng, dịch vụ của hệ thống mạng nội bộ trong công ty 1 cách
an toàn và đảm bảo tính toàn vẹn của dữ liệu và thông tin người dùng
2. Mô Hình Triển Khai.

Hình 2.1: Sơ đồ triển khai.

3. Kiểm Thử.
- Cài đặt ocserv.
#apt-get install ocserv

- Kiểm tra trạng thái sau khi cài đặt thành công status ocsevr:
#systemctl status ocserv

16



- Tạo các mẫu CA.
cn = "your organization’s certificate authority"
organization = "your organization"
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key

- Tạo mẫu máy chủ.
cn = "a sever's name, usually matches hostname"
organization = "your organization"
serial = 2
expiration_days = 3650
signing_key
encryption_key
tls_www_server
dns_name = "your organization's host name"

17


#ip_address = "if no hostname uncomment and set the IP address
here"

- Tạo khóa CA, chứng chỉ CA:
certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem -template ca.tmpl --outfile


ca-cert.pem

18


- Tạo khóa và chứng chỉ máy chủ
certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem -load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem -template server.tmpl --outfile server-cert.pem

19


- Định cấu hình ocserv
1. Mở tệp /etc/ocserv/ocserv.conf
nano /etc/ocserv/ocserv.conf

2. Trong phần Xác thực, hãy nhận xét tất cả các dòng và thêm dòng sau:
auth = "pam"

3. Trong số cổng TCP và UDP, hãy để mặc định và đảm bảo cả hai dòng đều
không được chú ý
tcp-port = 443
udp-port = 443

4. Trong phần seccomp, hãy quyết định xem bạn có muốn sử dụng seccomp
hay không. Nếu bạn đã gỡ bỏ seccomp khi biên dịch hoặc không cài đặt
các gói seccomp, hãy tắt seccomp hoặc ocserv sẽ không khởi động được.
isolate-workers = true

5. Trong phần Cài đặt mạng, thay đổi các dòng sau:

#ipv4-network = 192.168.5.254
#ipv4-netmask = 255.255.255.0
dns = 8.8.8.8

6. Trong phần "Tuyến đường được chuyển tiếp tới khách hàng", hãy khen tất
cả các dòng và thêm dòng sau:
route = 192.168.5.0/255.255.255.0

7. Lưu tệp và thoát (CTRL + o để lưu, CTRL + x để thoát)

20


- Tắt Tường Lửa.
systemctl stop firewalld
systemctl mask firewalld

- Cài đặt và kích hoạt IP Tables.
apt-get install iptables-persistent
service iptables start

21


-

Cấu Hình IP Tables.

-


Cài đặt và kết nối tới máy chủ Openconnect.

22


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×