1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Đỗ Thị Hương Quỳnh NGHIÊN CỨU XÂY DỰNG HỆ THỐNG ĐẢM BẢO AN TOÀN TRUYỀN TIN TRÊN MẠNG VINAPHONE Ngành: Công nghệ thông tin Chuyên nghành: Hệ thống thông tin Mã số: 60 48 05 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến Hà Nội – 2009 2 MỤC LỤC LỜI MỞ ĐẦU ............................................................................................................. 1 Chương 1. TỔNG QUAN VỀ CISCO VPN CLIENT .................................................. 8 1.1. GIỚI THIỆU CISCO VPN CLIENT .................................................................. 8 1.2. CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT ............................ 11 1.3. CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN ......................... 13 1.4. THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN................................................. 13 1.5. CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT .............................................. 14 1.6. NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT .......................... 15 1.6.1. Giao thức IPSec ......................................................................................... 15 1.6.2. Giao thức IKE ........................................................................................... 15 1.7. MỘT SỐ HOẠT ĐỘNG CƠ BẢN CỦA CISCO VPN CLIENT ..................... 16 1.8. CÁC CÔNG NGHỆ KẾT NỐI TRONG CISCO VPN CLIENT ...................... 17 1.8.1. Dịch vụ điện thoại analog (POTS) ............................................................. 17 1.8.2. Mạng số các dịch vụ tích hợp (ISDN) ........................................................ 17 1.8.3. Cáp (Cable) ............................................................................................... 17 1.8.4. Đƣờng thuê bao số (DSL) .......................................................................... 17 1.9. CÁC TÍNH NĂNG CỦA CISCO VPN CLIENT ............................................. 18 1.9.1. Các tính năng chƣơng trình........................................................................ 18 1.9.2. Các tính năng Windows NT, Windows 2000 và Windows XP ................... 19 1.9.3. Các tính năng của bộ giao thức IPSec ........................................................ 19 1.9.4. Các tính năng xác thực .............................................................................. 23 1.9.5. Các tính năng tƣờng lửa............................................................................. 24 1.9.6. Các thuộc tính của IPSec do Cisco VPN Client hỗ trợ .............................. 25 Chương 2. CÔNG NGHỆ XÁC THỰC RSA SECURID ........................................... 31 2.1. TỔNG QUAN CÔNG NGHỆ XÁC THỰC RSA SECURID ........................... 31 2.1.1. ĐỊNH NGHĨA CÔNG NGHỆ RSA SECURID ............................................. 31 2.1.2. ĐẶC ĐIỂM CÔNG NGHỆ XÁC THỰC RSA SECURID ............................ 31 2.2. ƢU ĐIỂM CỦA CÔNG NGHỆ RSA SECURID ............................................. 33 2.3. CÁC THÀNH PHẦN CỦA CÔNG NGHỆ RSA SECURID ........................... 34 2.3.1. Thẻ xác thực RSA SecurID ....................................................................... 35 2.3.2. Phân loại thẻ xác thực RSA SecurID ......................................................... 37 2.3.3. Phần mềm xác thực (RSA Authentication Agent) ...................................... 44 2.3.4. Máy chủ xác thực (RSA Authentication Manager) .................................... 47 3 2.4. CƠ CHẾ XÁC THỰC CỦA CÔNG NGHỆ RSA SECURID........................... 49 2.4.1. Mô hình xác thực....................................................................................... 49 2.4.2. Thủ tục xác thực ........................................................................................ 50 2.4.3. Nguyên tắc đồng bộ thời gian trên RSA Authentication Manager .............. 51 2.5. GIỚI THIỆU THUẬT TOÁN MÃ HÓA CỦA RSA SECURID ...................... 54 2.5.1. Giới thiệu .................................................................................................. 54 2.5.2. Các vấn đề liên quan đến thuật toán........................................................... 55 2.6. CÁC ĐIỂM YẾU TRONG RSA SECURID .................................................... 59 2.6.1. Giới thiệu .................................................................................................. 59 2.6.2. Giao thức Ace ........................................................................................... 61 2.6.3. Tấn công giao thức .................................................................................... 66 2.6.4. Phòng thủ phía ngƣời dùng ........................................................................ 68 2.6.5. Cố định giao thức ...................................................................................... 69 2.7. CÁC TẤN CÔNG DỰA TRÊN ĐIỂM YẾU CỦA THẺ RSA SECURID ....... 70 2.7.1. Tấn công dựa vào mã Token của thẻ Token có độ dài cố định ................... 70 2.7.2. Tấn công từ chối dịch vụ ........................................................................... 71 2.7.3. Tấn công replay khi máy chủ và máy slave tách biệt ................................. 72 2.7.4. Hiểm họa trong giao tiếp giữa máy chủ ACE và máy khách ..................... 74 Chương 3. CÀI ĐẶT HỆ THỐNG ĐẢM BẢO AN TOÀN TRUYỀN TIN CHO VINAPHONE ............................................................................................................ 76 3.1. LỜI MỞ ĐẦU ................................................................................................. 76 3.2. GIỚI THIỆU CISCO VPN CLIENT 5.0.00.0340 ............................................ 79 3.2.1. Giới thiệu .................................................................................................. 79 3.3.2. Tính năng của Cisco VPN Client ............................................................... 79 3.3. GIỚI THIỆU THẺ BẢO MẬT RSA SECURID SID700 ................................. 80 3.3.1. Giới thiệu .................................................................................................. 80 3.3.2. Tính năng của RSA SecurID SID700 ........................................................ 80 3.3.3. Đặc tả kỹ thuật RSA SecurID700 .............................................................. 81 3.4. CẤU HÌNH CÀI ĐẶT CISCO VPN CLIENT 5.0.00.0340 CHO CÁC TRUY CẬP VÀO MẠNG VINAPHONE .......................................................................... 82 3.4.1. Các yêu cầu hệ thống................................................................................. 82 3.4.2. Thực hiện cài đặt Cisco VPN Client 5.0.00.0340 ...................................... 84 3.4.3. Cấu hình Cisco VPN Client 5.0.00.0340 để truy nhập vào mạng Vinaphone ............................................................................................................................ 85 3.4.4. Yêu cầu xác thực ngƣời dùng .................................................................... 88 KẾT LUẬN ............................................................................................................... 89 4 TÀI LIỆU THAM KHẢO ......................................................................................... 90 5 DANH MỤC CÁC HÌNH VẼ Hình 1.1. Sơ đồ kết nối Cisco VPN Client........................................................... 10 Hình 1.2. Các ứng dụng của Cisco VPN Client ................................................... 14 Hình 1.3. Trao đổi thông điệp ở chế độ chính của IKE ........................................ 25 Hình 1.4. Trao đổi thông điệp ở chế độ linh hoạt của IKE ................................... 26 Hình 2.1. Các thành phần của RSA SecurID ....................................................... 34 Hình 2.2. RSA SecurID SD200 ........................................................................... 37 Hình 2.3. RSA SecurID SD520 PINpad .............................................................. 38 Hình 2.4. RSA SecurID 600 ................................................................................ 38 Hình 2.5. RSA SecurID SID700 .......................................................................... 39 Hình 2.6. RSA SecurID SID800 .......................................................................... 39 Hình 2.7. RSA SecurID 900 ................................................................................ 40 Hình 2.8. Mô hình xác thực của RSA SecurID .................................................... 49 Hình 2.9. Thủ tục xác thực của RSA SecurID ..................................................... 50 Hình 2.10. Sơ đồ đồng bộ thời gian trên RSA Authentication Manager ............... 51 Hình 2.11. Thủ tục tạo tokencode ........................................................................ 55 Hình 2.12. Giao thức Ace Client/Server .............................................................. 62 Hình 2.13. Thông điệp (Hello) ............................................................................ 63 Hình 2.13. Thông điệp (Time) ............................................................................. 64 Hình 2.14. Yêu cầu xác thực passcode ................................................................ 65 Hình 2.15. Giao thức Ace Client/Server bị tấn công ............................................ 67 Hình 3.1. Các file có trong Cisco VPN Client 5.0.00.0340 ................................. 84 Hình 3.2. Chế độ nâng cao của Cisco VPN Client 5.0.00.0340 ........................... 85 Hình 3.3. Tạo một connection entry mới ............................................................. 85 Hình 3.4. Nhập thông tin kết nối tới mạng công ty Vinaphone ............................ 86 Hình 3.5. Connection entry kết nối tới mạng công ty Vinaphone ......................... 87 Hình 3.6. Nhập thông tin ngƣời dùng truy nhập vào mạng công ty Vinaphone .... 88 Hình 3.7. Thành phần của passcode .................................................................... 88 6 LỜI MỞ ĐẦU Công ty Vinaphone là một công ty trực thuộc Tập đoàn Bƣu chính Viễn thông Việt nam (VNPT) hoạt động trong lĩnh vực thông tin di động. Là một trong các mạng di động lớn nhất Việt Nam, Vinaphone luôn luôn cố gắng để thực hiện cam kết trong thƣơng hiệu là nhà cung cấp sản phẩm và dịch vụ thông tin di động với chất lƣợng tốt nhất, đồng thời không ngừng chú trọng nâng cao chất lƣợng chăm sóc khách hàng. Ngoài trụ sở chính tại Hà Nội, Vinaphone thành lập thêm 3 trung tâm khu vực lớn và 64 điểm chăm sóc khách hàng trên khắp các tỉnh thành của cả nƣớc. Tuy nhiên, một vấn đề đặt ra là tất cả thông tin liên quan đến thuê bao của các tỉnh thành chỉ đƣợc tập hợp và lƣu trữ trên cơ sở dữ liệu thuê bao tại trụ sở chính. Do đó, để khâu chăm sóc khách hàng đạt hiệu quả cao nhất thì đòi hỏi nhân viên tại mỗi điểm đều có sẵn mọi thông tin liên quan đến thuê bao tại khu vực mình phục vụ các hoạt động nhƣ cắt mở dịch vụ, giải quyết khiếu nại, nợ đọng,…Tất cả các thông tin về thuê bao đều là những thông tin nội bộ của công ty, do đó yêu cầu quá trình truyền các thông tin thuê bao từ trụ sở chính đến các điểm phải an toàn, bí mật, thông tin truyền đến phải nguyên vẹn. Trên cơ sở tính phân tán các đơn vị của công ty cũng nhƣ các tiêu chí về việc đảm bảo an toàn cho dữ liệu truyền, mạng riêng ảo là lựa chọn hàng đầu của Vinaphone. Mặt khác, để có thể chắc chắn một điều rằng chỉ những ngƣời có quyền mới đƣợc truy cập vào cơ sở dữ liệu thông tin thuê bao, Vinaphone đã chọn công nghệ xác thực dựa trên hai yếu tố RSA SecurID của RSA Security để xác thực ngƣời dùng. Xây dựng đƣợc hệ thống đảm an toàn truyền dữ liệu và quản lý nhân viên thao tác dữ liệu đƣợc xây dựng bằng phần mềm mạng riêng ảo của Cisco kết hợp với thẻ bảo mật RSA SecurID sẽ giúp cho công ty Vinaphone hoàn toàn có thể đáp ứng đƣợc các mục tiêu của mình. Luận văn này đƣợc thực hiện nhằm mu ̣c đích ―Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng Vinaphone‖ để đƣa lý thuyết vào xây dựng một hệ thống thực sự. Nội dung của luận văn gồm ba chƣơng đƣợc bố cục nhƣ sau: - Chƣơng 1: Giới thiệu các kiến thức cơ bản về mạng riêng ảo của Cisco. - Chƣơng 2: Giới thiệu các kiến thức cơ bản về thẻ bảo mật RSA SecureID. 7 - Chƣơng 3: Cấu hình, cài đặt một mạng riêng ảo và sử dụng SecureID để truy cập vào cơ sở dữ liệu thuê bao Vinaphone. 8 Chương 1. TỔNG QUAN VỀ CISCO VPN CLIENT 1.1. GIỚI THIỆU CISCO VPN CLIENT Ngày nay, các doanh nghiệp thƣờng có xu hƣớng mở rộng địa bàn hoạt động trên toàn quốc hoặc toàn cầu. Thông tin ở các chi nhánh đƣợc tập hợp và quản lý về trung tâm và ngƣợc lại, thông tin nội bộ của công ty có thể gửi đến các chi nhánh để cập nhật phục vụ mọi hoạt động của doanh nghiệp. Do đó, đối với mỗi doanh nghiệp, giải pháp để truyền tin an toàn trong nội bộ mỗi doanh nghiệp đó đều là bài toán cần phải giải quyết tốt góp phần thực hiện tốt các chiến lƣợc kinh doanh. Do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng nhƣ trong việc quản lý các dịch vụ. Từ đó ngƣời ta đã đƣa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN). Với mô hình mới này, ngƣời ta không phải đầu tƣ thêm nhiều về cơ sở hạ tầng mà các tính năng nhƣ bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng đƣợc hoạt động của mạng này. VPN cho phép ngƣời sử dụng làm việc tại nhà, trên đƣờng đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng đƣợc cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các đại lý, ngƣời cung cấp. Trong nhiều trƣờng hợp VPN cũng giống nhƣ một mạng diện rộng, tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng nhƣ Internet mà đảm bảo tính riêng tƣ và tiết kiệm hơn nhiều. Một mạng riêng ảo truy cập từ xa gọi tắt là VPN là một công nghệ kết nối cung cấp kết nối an toàn và bí mật cho những ngƣời dùng truy cập từ xa đến các tài nguyên của công ty qua mạng Internet. Ngƣời của công ty truy cập từ xa cần phải có phần mềm VPN client cài đặt trên máy tính của mình và một kết nối Internet (thông qua Dial-up, broadband ADSL, wifi,…). 9 Cisco VPN Client là một phần mềm mạng riêng ảo phổ biến đƣợc sử dụng để cung cấp kết nối truy cập từ xa cho các mạng doanh nghiệp. Cisco VPN Client cho Windows là chƣơng trình phần mềm chạy trên máy tính trên cơ sở Microsoft Windows. Cisco VPN Client trên một máy điều khiển từ xa giao tiếp với một Cisco VPN server trên một mạng doanh nghiệp hoặc với các nhà cung cấp dịch vụ, tạo một kết nối an toànqua Internet. Thông qua kết nối này để truy cập đến một mạng riêng giống nhƣ một ngƣời dùng tại chỗ. Máy chủ xác minh rằng các kết nối đến phải có chính sách cập nhật trƣớc khi thiết lập các kết nối đó.[1] Khi một ngƣời dùng điều khiển từ xa, đầu tiên phải kết nối đến mạng Internet, sau đó sử dụng VPN Client để truy cập an toàn tới các mạng riêng của doanh nghiệp qua một Cisco VPN server có hỗ trợ Cisco VPN Client. Cấu hình sau đây chỉ ra một cách cài đặt cơ bản cho một ứng dụng điều khiển từ xa sử dụng Cisco VPN Client để kết nối an toàn qua mạng Internet đến mạng công ty. 10 Hình 1.1. Sơ đồ kết nối Cisco VPN Client Đầu tiên ngƣời điều khiển từ xa kết nối đến một nhà cung cấp dịch vụ mạng (ISP). Tiếp theo, khởi động Cisco VPN Client đã đƣợc cài đặt trên máy và thiết lập kết nối đến máy chủ VPN đặt tại công ty. Máy chủ VPN có thể là một tƣờng lửa Cisco (PIX hay ASA), một bộ tập trung Cisco VPN hoặc một bộ định tuyến Cisco với phần mềm IPSec. Mỗi khi kết nối VPN đƣợc thiết lập, ngƣời dùng truy cập từ xa có thể giao tiếp với máy chủ trong công ty và các tài nguyên giống nhƣ đang ở một máy trong nội bộ công ty. 11 1.2. CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT 1/. Bộ định tuyến (Cisco VPN Router) Những router này tạo ra một hạ tầng mạng, cho phép truy cập nhanh và an toàn vào những ứng dụng kinh doanh với độ bảo mật cao. 2/. Tường lửa an toàn Cisco PIX (Cisco Private Internet Exchange Firewall) Tƣờng lửa PIX là thành phần chính trong giải pháp bảo mật của Cisco, bảo mật về phần cứng và phần mềm, đáp ứng bảo mật mạng mức độ cao mà không ảnh hƣởng đến hoạt động của mạng. PIX là một thiết bị lai vì nó kết hợp các đặc điểm của công nghệ lọc gói tin và máy chủ uỷ quyền (proxy server). 3/. Nhóm thiết bị tập trung Cisco VPN (Cisco VPN Concentrator series) Thiết bị tập trung Cisco VPN 3000 sử dụng RSA SecurID Authentication để cung cấp quá trình xác thực hai yếu tố thông qua cơ chế xác thực RSA SecurID hoặc xác thực RADIUS cho cả các kết nối IPSec VPN lẫn SSL VPN. Để giao tiếp một cách dễ dàng giữa thiết bị tập trung Cisco VPN và thiết bị quản lý xác thực RSA (RSA Authentication Manager) hay thiết bị RSA SecurID (RSA SecurID Appliance), phải thêm một bản ghi Agent Host vào cơ sở dữ liệu RSA Authentication Manager và cơ sở dữ liệu RADIUS Server (nếu sử dụng RADIUS). Bản ghi Agent Host nhận dạng thiết bị tập trung Cisco VPN trong cơ sở dữ liệu của nó và chứa thông tin về cách thức giao tiếp cũng nhƣ thông tin mã hóa. 4/. Phần mềm đảm bảo an toàn Cisco VPN (Cisco Secure VPN Client) Cisco Secure VPN Client là một chƣơng trình chạy trên hệ điều hành Window, cho phép bảo mật việc truy cập từ xa tới bộ định tuyến Cisco và tƣờng lửa PIX. Cisco Secur VPN Client cho phép thiết lập các hành lang an toàn trên mạng riêng ảo nối từ xa. 12 5/. Hệ thống phát hiện xâm nhập an toàn và máy quét an toàn Thƣờng đƣợc sử dụng để giám sát và kiểm tra các vấn đề an toàn trên mạng riêng ảo. o Hệ thống phát hiện xâm nhập (Cisco Secure Intrusion Detection System) Cung cấp cơ chế phát hiện xâm nhập một cách hoàn chỉnh. Cisco đƣa ra một giải pháp an toàn một cách toàn diện và rộng khắp cho việc chống lại các xâm nhập bất hợp pháp, các sâu mạng có hại, cùng với băng thông rộng và các tấn công vào các ứng dụng thƣơng mại điện tử. o Máy quét (Cisco Secure Scanner) Cho phép các doanh nghiệp chuẩn đoán và sửa chữa các vấn đề an toàn thông tin trong các môi trƣờng mạng. Sử dụng máy quét cùng với bức tƣờng lửa, hệ thống phát hiện xâm nhập và các độ đo an toàn khác để đảm bảo tính bảo mật theo chiều sâu. 6/. Chương trình quản lý chính sách an toàn và công cụ quản lý mạng Cung cấp việc quản lý hệ thống mạng riêng ảo rộng khắp: o Chƣơng trình quản lý chính sách an ninh (Cisco Secure Policy Manager) Hoạt động trong một vị trí trung tâm trên mạng và phân phối các chính sách an ninh cho các thiết bị khác trong mạng, bao gồm bộ định tuyến Cisco, tƣờng lửa, các thiết bị của mạng riêng ảo và hệ thống phát hiện xâm nhập. o Công cụ quản lý mạng Cisco (CiscoWorks 2000) Là tập hợp các sản phẩm quản lý mạng của Cisco, quản lý các bộ chuyển mạch, bộ định tuyến và tƣờng lửa của Cisco. Công cụ quản lý mạng Cisco đơn giản hoá quá trình cấu hình, quản lý và điều khiển trong các mạng của Cisco, đồng thời tối đa tính tính an toàn thông qua việc tích hợp với các dịch vụ điều khiển truy cập và theo các thay đổi trên mạng. 13 1.3. CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN Để tạo đƣợc kết nối VPN, cần có các thành phần sau đây: 1/. Hệ thống xác thực người dùng (User Authentication) Cung cấp cơ chế chứng thực ngƣời dùng, chỉ cho phép ngƣời dùng hợp lệ kết nối và truy cập hệ thống VPN. Cơ chế xác nhận ngƣời dùng thƣờng đƣợc triển khai tại các điểm truy cập và đƣợc dùng để xác nhận cho ngƣời dùng truy cập vào tài nguyên bên trong mạng. Kết quả là chỉ có ngƣời dùng hợp lệ thì mới có thể truy cập vào bên trong mạng, điều này làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ liệu đƣợc lƣu trữ trên mạng. 2/. Hệ thống quản lý địa chỉ (Address Management) Cung cấp địa chỉ IP hợp lệ cho ngƣời dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ. 3/. Hệ thống mã hóa dữ liệu (Data Encryption) Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tƣ và toàn vẹn dữ liệu. 4/. Hệ thống quản lý khoá (Key Management) Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu. 1.4. THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN Quá trình thiết lập một kết nối VPN gồm các bƣớc sau: 1/. Máy khách (VPN Client) có nhu cầu kết nối tạo kết nối (VPN Connection) tới máy chủ cung cấp dịch vụ (VPN Server) thông qua kết nối Internet. 2/. Máy chủ cung cấp dịch vụ chứng thực cho kết nối và cấp phép cho kết nối. 3/. Bắt đầu trao đổi dữ liệu giữa máy khách Cisco VPN và mạng công ty. 14 1.5. CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT Cisco VPN Client có các ứng dụng sau, cho phép lựa chọn từ trình đơn Programs[1]: Hình 1.2. Các ứng dụng của Cisco VPN Client Theo thứ tự sử dụng các ứng dụng nhƣ sau:  Help: Hiển thị một hƣớng dẫn trực tuyến với các chỉ dẫn sử dụng các ứng dụng.  VPN Dialer: Cho phép cấu hình các kết nối tới một VPN server và cho phép bắt đầu các kết nối.  Certificate Manager: Cho phép kết nạp các chứng chỉ để xác thực các kết nối đến các VPN server.  Log Viewer: Cho phép hiển thị các sự kiện từ các bản ghi sự kiện.  Uninstall VPN Client: Cho phép loại bỏ một cách an toàn các phần mềm VPN Client từ hệ thống và tiếp tục kết nối cùng với các cấu hình xác thực.  SetMTU: Cho phép thay đổi bằng tay kích thƣớc tối đa của các khối truyền. 15 1.6. NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT Cisco VPN Client làm việc với một Cisco VPN server để tạo ra một kết nối an toàn, đƣợc xem nhƣ ―hành lang an toàn‖ cho kết nối và gọi là một tunnel, giữa máy tính và mạng riêng. Nó sử dụng các giao thức IKE (Internet Key Exchange) và IPSec (Internet Protocol Security) để tạo và quản lý kết nối an toàn. 1.6.1. Giao thức IPSec Giao thức IPSec (Internet Protocol Security) có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác), đƣợc phát triển bởi Tổ chức quản lý kỹ thuật Internet (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu an toàn ở tầng 3 (Network layer) của mô hình OSI. Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó, khi một cơ chế an toàn cao đƣợc tích hợp với giao thức IP, toàn bộ mạng đƣợc bảo vệ bởi vì các giao tiếp đều đi qua tầng 3. 1.6.2. Giao thức IKE Giao thức IKE là một trong những giao thức nằm trong bộ giao thức của IPSec. IPSec dùng giao thức này để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi đƣợc yêu cầu. IKE giúp cho các thiết bị tham gia mạng riêng ảo trao đổi với nhau các thông tin nhƣ mã hóa thế nào? Mã hóa bằng thuật toán gì? Bao lâu mã hóa 1 lần? IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia mạng riêng ảo. Do đó IKE giúp cho IPSec có thể áp dụng cho các hệ thống mạng mô hình lớn. Trong quá trình trao đổi khoá, IKE dùng thuật toán mã hóa bất đối xứng gồm bộ khóa công khai và khoá riêng để bảo vệ việc trao đổi key giữa các thiết bị tham gia mạng riêng ảo. 16 1.7. MỘT SỐ HOẠT ĐỘNG CƠ BẢN CỦA CISCO VPN CLIENT  Điều chỉnh các tham số tunnel: địa chỉ, thuật toán, lifetime,…  Thiết lập các tunnel theo các tham số.  Xác thực ngƣời dùng: đảm bảo ngƣời dùng phải cho biết họ là ai thông qua các. tên đăng nhập, tên nhóm và mật khẩu và chứng chỉ X.509.  Thiết lập các quyền truy cập ngƣời dùng: thời gian truy cập, thời gian kết nối, các đích cho phép, các giao thức cho phép,…  Quản lý các khoá bí mật cho việc mã hóa và giải mã.  Xác thực, mã hóa và giải mã dữ liệu thông qua tunnel. Ví dụ, để sử dụng một máy điều khiển từ xa để đọc thƣ điện tử tại cơ quan, ngƣời sử dụng kết nối qua mạng Internet, sau đó bắt đầu Cisco VPN Client và thiết lập kết nối bảo mật đến mạng riêng của công ty thông qua mạng Internet. Khi mở thƣ điện tử, Cisco VPN server sử dụng IPSec để mã hoá thông điệp của thƣ điện tử. Sau đó truyền thông điệp đó qua tunnel đến Cisco VPN Client, tại đây thông điệp đƣợc giải mã để có thể đọc đƣợc trên máy tính điều khiển từ xa. Nếu trả lời thông điệp, Cisco VPN Client sử dụng IPSec để xử lý và trả về một thông điệp đến mạng riêng thông qua Cisco VPN server. 17 1.8. CÁC CÔNG NGHỆ KẾT NỐI TRONG CISCO VPN CLIENT Cisco VPN Client cho phép sử dụng các loại công nghệ sau đây để kết nối tới mạng Internet [1]: 1.8.1. Dịch vụ điện thoại analog (POTS) Là dịch vụ điện thoại analog (kỹ thuật ―tƣơng tự‖ ) hoạt động trên hệ thống dây dẫn đồ ng xoắ n đôi và dƣ̣a trên hê ̣ thố ng điê ̣n thoa ̣i B ell nguyên thủy. Các dây dẫn xoắ n đôi nố i các nhà ở và cƣ̉a hàng kinh doanh với các văn phòng trung tâm quanh vùng. Kiể u này đƣơ ̣c go ̣i là vành đai cu ̣c bô .̣ Văn phòng trung tâm đƣơ ̣c nố i với các văn phòng trung tâm khác và các phƣ ơng tiê ̣n đƣờng dài . Sử dụng một dial-up modem để kết nối. 1.8.2. Mạng số các dịch vụ tích hợp (ISDN) Có thể sử dụng một bộ điều giải dạng quay số (dial-up modem) để kết nối. ISDN là mô ̣t hê ̣ thố ng điê ̣n thoa ̣i chuyể n ma ̣ch số hoàn toàn đƣơ ̣c thiế t kế đầ u tiên bởi các công ty điê ̣n thoa ̣i và các nhà cung cấ p dich ̣ vu ̣ toàn cầ u nhƣ m ột sự thay thế cho hê ̣ thố ng điê ̣n thoa ̣i tƣơng tƣ̣. Nó đƣợc đề xuất vào năm 1984, với mu ̣c tiêu xây dƣ̣ng hê ̣ chuyể n ma ̣ch hoàn toàn vào cuố i thế kỷ . Mô ̣t hê ̣ thố ng số hoàn toàn có nhiều thuận lợi , bao gồ m sƣ̣ tin câ ̣y , tính khả mở và thích hợp cho việc truyền dƣ̃ liê ̣u. 1.8.3. Cáp (Cable) Sử dụng một bộ điều giải dạng cáp (cable modem), luôn luôn kết nối. Mô ̣t khi đã đƣơ ̣c nố i, ngƣời sƣ̉ du ̣ng có mô ̣t liên kế t thƣờng trƣ̣c vào Internet thông qua mạng băng tần rộng của các công ty cáp. 1.8.4. Đƣờng thuê bao số (DSL) Sử dụng một bộ điều giải dƣới dạng đƣờng thuê bao số (DSL modem), luôn luôn kết nối. Công nghê ̣ đƣờng thuê bao số cải tiến đáng kể băng thông. Nó có thể cung cấ p tốc độ truyền dữ liệu (throughput) lên đế n 52 Mbit/s qua nhƣ̃ng khoảng cách giới hạn. Ngoài ra cũng có thể sử dụng Cisco VPN Client trên một máy với một kết nối mạng LAN trực tiếp. 18 1.9. CÁC TÍNH NĂNG CỦA CISCO VPN CLIENT Cisco VPN Client bao gồm các tính năng sau[1]: 1.9.1. Các tính năng chƣơng trình  Trợ giúp hoàn chỉnh trên cơ sở HTML theo ngữ cảnh dựa trên trình duyệt.  Hỗ trợ các các nền bộ tập trung (VPN 3000 Series Concentrator) chạy phiên bản 3.0 hoặc cao hơn. (VPN Client Release 3.0 và cao hơn sẽ không làm việc với phiên bản 2.x của VPN 3000 Series Concentrator)  Giao diện Command-line đến VPN Dialer.  Truy cập LAN cục bộ: khả năng cho phép truy cập các tài nguyên trên một mạng LAN cục bộ trong khi kết nối qua một cổng bảo mật đến một central-site VPN server (nếu central site gán quyền).  Chức năng cấu hình Cisco VPN Client tự động: khả năng nạp một tệp tin cấu hình.  Log Viewer: một ứng dụng tập hợp các sự kiện cho việc xem xét và phân tích.  Thiết lập kích thƣớc MTU: Cisco VPN Client thiết lập kích thƣớc tối ƣu một cách tự động cho môi trƣờng. Tuy nhiên, có thể thiết lập kích thƣớc bình thƣờng.  Application Launcher: khả năng để bắt đầu chạy một ứng dụng hoặc trình quay số thứ ba từ Cisco VPN Client.  Tự động gỡ Nortel Networks VPN Client và phần mềm 5000 VPN Client với gói cài đặt InstallShiel.  Kết nối tự động bằng cách của Microsoft Dial-Up hoặc bất kỳ trình quay số truy cập từ xa thứ ba nào khác.  Thông báo cập nhật phần mềm từ Cisco VPN server dựa vào kết nối.  Khả năng chạy một phần mềm nâng cấp từ một thông báo Cisco VPN server.  Khả năng thiết lập tự động các kết nối mạng riêng ảo không dây bảo mật một cách liền mạch.  NAT-T (NAT Transparency), cho phép Cisco VPN Client và bộ tập trung Cisco VPN tự động phát hiện khi sử dụng IPSec qua UDP để hoạt động một cách chính xác trong các môi trƣờng chuyển đổi địa chỉ cổng. 19  Cập nhật danh sách máy chủ sao lƣu đƣợc điều khiển tập trung: Cisco VPN Client học danh sách bộ tập trung VPN sao lƣu thông qua việc thiết lập kết nối. Tính năng này đƣợc cấu hình trên VPN 3000 Concentrator và đẩy vào Cisco VPN Client.  Hỗ trợ cho Dynamic DNS (DDNS hostname population): Cisco VPN Client gửi tên máy chủ (hostname) của nó đến VPN Concentrator trong suốt quá trình thiết lập kết nối. VPN Concentrator có thể gửi hostname trong một DHCP request mà có thể dẫn đến một máy chủ DNS để cập nhật cơ sở dữ liệu của nó bao gồm tên máy chủ mới và địa chỉ máy khách. 1.9.2. Các tính năng Windows NT, Windows 2000 và Windows XP  Thông tin mật khẩu hết hạn khi quá trình xác thực thông qua một RADIUS server tham chiếu đến một cơ sở dữ liệu ngƣời dùng NT. Khi ngƣời dùng đăng nhập, VPN Concentrator gửi một message thông báo mật khẩu hết hạn và yêu cầu nhập mật khẩu mới, sau đó xác thực mật khẩu mới này.Với các VPN Client phiên bản trƣớc 3.5 sẽ nhắc ngƣời dùng đƣa ra một PIN và xác thực nó. Với VPN Client phiên bản từ 3.5 trở nên, yêu cầu nhập và xác thực một mật khẩu.  Start Before Logon: là khả năng thiết lập kết nối VPN trƣớc khi đăng nhập vào một giao diện Windows NT, bao gồm cả Windows NT 4.0, Window 2000 và cả Windows XP.  Khả năng vô hiệu hóa ngắt kết nối một cách tự động khi thoát khỏi Windows NT.[1] 1.9.3. Các tính năng của bộ giao thức IPSec 1/. Giao thức IPSec tunneling Là một chuẩn bảo mật quốc tế về mạng riêng ảo do Tổ chức quản lý kỹ thuật Internet phát triển nhằm đảm bảo sự an toàn cho việc truyền những thông tin nhạy cảm tới một mạng riêng thông qua thiết bị VPN, qua các mạng không có bảo vệ nhƣ Internet. IPsec áp dụng bảo mật ở lớp xử lý các gói dữ liệu trong khi những giải pháp trƣớc đó áp dụng bảo mật ở lớp ứng dụng. 20 2/. Transparent tunneling IPSec qua UDP cho NAT và PAT, và IPSec qua TCP cho NAT, PAT, và các firewall. Transparent tunneling cho phép truyền thông bảo mật giữa VPN Client và một cổng an toàn thông qua một bộ định tuyến giống nhƣ một firewall thực hiện bằng cả hai kỹ thuật Chuyển đổi địa chỉ mạng (NAT) và kỹ thuật Chuyển đổi địa chỉ cổng (PAT). - Chuyển đổi địa chỉ mạng: chuyển đổi nhiều địa chỉ cục bộ ra một dải địa chỉ toàn cục. - Chuyển đổi địa chỉ cổng: chuyển đổi nhiều địa chỉ cục bộ ra một hay một số địa chỉ toàn cục. Sau khi chuyển đổi, các địa chỉ toàn cục có thể giống nhau nhƣng khác về số hiệu cổng. Nói cách khác, đây không đơn thuần là chuyển đổi một địa chỉ mà là chuyển đổi một cặp địa chỉ IP/số hiệu cổng (IP Address/Port). Transparent Tunneling đóng gói giao thức số hiệu 50 (ESP) trong các gói UDP và có thể cho phép cả giao thức IKE (sử dụng UDP cổng 500) và giao thức có trƣờng protocol trong IP là 50 đƣợc đóng gói trong các gói TCP trƣớc khi chúng đƣợc gửi thông qua các thiết bị NAT/PAT hay các fireware. Các ứng dụng phổ biến cho transparent tunneling là dƣới dạng bộ định tuyến thực thi kỹ thuật PAT. Cisco VPN Client cũng gửi các tín hiệu duy trì kết nối (keepalive) một cách tuần tự, đảm bảo rằng những gì đƣợc sắp đặt trên các thiết bị luôn duy trì hoạt động. Không phải tất cả các thiết bị hỗ trợ nhiều kết nối đồng thời. Một vài thiết bị không thể sắp đặt các phiên bổ sung cho các cổng nguồn duy nhất. Đảm bảo kiểm tra các hãng cung cấp thiết bị để xác minh liệu giới hạn này có tồn tại hay không. Một vài hãng hỗ trợ giao thức chuyển đổi địa chỉ cổng với giao thức đóng gói ESP, đƣợc đóng gói bởi giao thức IP và trƣờng protocol trong IP là 50 cho phép hoạt động, mà không cần kích hoạt chế độ transparent tunneling. Để sử dụng transparent tunneling, phía trung tâm trong thiết bị Cisco VPN phải đƣợc cấu hình để hỗ trợ nó. Tham số này đƣợc kích hoạt là mặc định.