Tải bản đầy đủ

Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng vinaphone

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Thị Hương Quỳnh

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG
ĐẢM BẢO AN TOÀN TRUYỀN TIN
TRÊN MẠNG VINAPHONE
Ngành: Công nghệ thông tin
Chuyên nghành: Hệ thống thông tin
Mã số: 60 48 05

LUẬN VĂN THẠC SĨ

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến

Hà Nội – 2009


LỜI MỞ ĐẦU
Công ty Vinaphone là một công ty trực thuộc Tập đoàn Bưu chính Viễn thông

Việt nam (VNPT) hoạt động trong lĩnh vực thông tin di động. Là một trong các mạng
di động lớn nhất Việt Nam, Vinaphone luôn luôn cố gắng để thực hiện cam kết trong
thương hiệu là nhà cung cấp sản phẩm và dịch vụ thông tin di động với chất lượng tốt
nhất, đồng thời không ngừng chú trọng nâng cao chất lượng chăm sóc khách hàng.
Ngoài trụ sở chính tại Hà Nội, Vinaphone thành lập thêm 3 trung tâm khu vực
lớn và 64 điểm chăm sóc khách hàng trên khắp các tỉnh thành của cả nước. Tuy
nhiên, một vấn đề đặt ra là tất cả thông tin liên quan đến thuê bao của các tỉnh thành
chỉ được tập hợp và lưu trữ trên cơ sở dữ liệu thuê bao tại trụ sở chính. Do đó, để
khâu chăm sóc khách hàng đạt hiệu quả cao nhất thì đòi hỏi nhân viên tại mỗi điểm
đều có sẵn mọi thông tin liên quan đến thuê bao tại khu vực mình phục vụ các hoạt
động như cắt mở dịch vụ, giải quyết khiếu nại, nợ đọng,…Tất cả các thông tin về
thuê bao đều là những thông tin nội bộ của công ty, do đó yêu cầu quá trình truyền
các thông tin thuê bao từ trụ sở chính đến các điểm phải an toàn, bí mật, thông tin
truyền đến phải nguyên vẹn. Trên cơ sở tính phân tán các đơn vị của công ty cũng
như các tiêu chí về việc đảm bảo an toàn cho dữ liệu truyền, mạng riêng ảo là lựa
chọn hàng đầu của Vinaphone. Mặt khác, để có thể chắc chắn một điều rằng chỉ
những người có quyền mới được truy cập vào cơ sở dữ liệu thông tin thuê bao,
Vinaphone đã chọn công nghệ xác thực dựa trên hai yếu tố RSA SecurID của RSA
Security để xác thực người dùng.
Xây dựng được hệ thống đảm an toàn truyền dữ liệu và quản lý nhân viên
thao tác dữ liệu được xây dựng bằng phần mềm mạng riêng ảo của Cisco kết hợp với
thẻ bảo mật RSA SecurID sẽ giúp cho công ty Vinaphone hoàn toàn có thể đáp ứng
được các mục tiêu của mình.
Luận văn này được thực hiện nhằm mục đí ch “Nghiên cứu xây dựng hệ thống
đảm bảo an toàn truyền tin trên mạng Vinaphone” để đưa lý thuyết vào xây dựng một
hệ thống thực sự.
Nội dung của luận văn gồm ba chương được bố cục như sau:
- Chương 1: Giới thiệu các kiến thức cơ bản về mạng riêng ảo của Cisco.


- Chương 2: Giới thiệu các kiến thức cơ bản về thẻ bảo mật RSA SecureID.
- Chương 3: Cấu hình, cài đặt một mạng riêng ảo và sử dụng SecureID để truy

cập vào cơ sở dữ liệu thuê bao Vinaphone.


Chương 1. TỔNG QUAN VỀ CISCO VPN CLIENT
1.1. GIỚI THIỆU CISCO VPN CLIENT
Ngày nay, các doanh nghiệp thường có xu hướng mở rộng địa bàn hoạt động trên
toàn quốc hoặc toàn cầu. Thông tin ở các chi nhánh được tập hợp và quản lý về trung

tâm và ngược lại, thông tin nội bộ của công ty có thể gửi đến các chi nhánh để cập
nhật phục vụ mọi hoạt động của doanh nghiệp. Do đó, đối với mỗi doanh nghiệp, giải
pháp để truyền tin an toàn trong nội bộ mỗi doanh nghiệp đó đều là bài toán cần phải
giải quyết tốt góp phần thực hiện tốt các chiến lược kinh doanh.
Do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản
lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản
lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn
những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của
Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN).
Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà
các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng
được hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà, trên
đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ
chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm
bảo an toàn thông tin giữa các đại lý, người cung cấp. Trong nhiều trường hợp VPN
cũng giống như một mạng diện rộng, tuy nhiên đặc tính quyết định của VPN là
chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết
kiệm hơn nhiều.
Một mạng riêng ảo truy cập từ xa gọi tắt là VPN là một công nghệ kết nối cung
cấp kết nối an toàn và bí mật cho những người dùng truy cập từ xa đến các tài
nguyên của công ty qua mạng Internet. Người của công ty truy cập từ xa cần phải có


phần mềm VPN client cài đặt trên máy tính của mình và một kết nối Internet (thông
qua Dial-up, broadband ADSL, wifi,…).
Cisco VPN Client là một phần mềm mạng riêng ảo phổ biến được sử dụng để cung
cấp kết nối truy cập từ xa cho các mạng doanh nghiệp. Cisco VPN Client cho
Windows là chương trình phần mềm chạy trên máy tính trên cơ sở Microsoft
Windows. Cisco VPN Client trên một máy điều khiển từ xa giao tiếp với một Cisco
VPN server trên một mạng doanh nghiệp hoặc với các nhà cung cấp dịch vụ, tạo một
kết nối an toànqua Internet. Thông qua kết nối này để truy cập đến một mạng riêng
giống như một người dùng tại chỗ. Máy chủ xác minh rằng các kết nối đến phải có
chính sách cập nhật trước khi thiết lập các kết nối đó.[1]
Khi một người dùng điều khiển từ xa, đầu tiên phải kết nối đến mạng Internet, sau
đó sử dụng VPN Client để truy cập an toàn tới các mạng riêng của doanh nghiệp qua
một Cisco VPN server có hỗ trợ Cisco VPN Client.
Cấu hình sau đây chỉ ra một cách cài đặt cơ bản cho một ứng dụng điều khiển từ
xa sử dụng Cisco VPN Client để kết nối an toàn qua mạng Internet đến mạng công
ty.


Hình 1.1. Sơ đồ kết nối Cisco VPN Client
Đầu tiên người điều khiển từ xa kết nối đến một nhà cung cấp dịch vụ mạng
(ISP). Tiếp theo, khởi động Cisco VPN Client đã được cài đặt trên máy và thiết lập
kết nối đến máy chủ VPN đặt tại công ty. Máy chủ VPN có thể là một tường lửa
Cisco (PIX hay ASA), một bộ tập trung Cisco VPN hoặc một bộ định tuyến Cisco
với phần mềm IPSec. Mỗi khi kết nối VPN được thiết lập, người dùng truy cập từ xa
có thể giao tiếp với máy chủ trong công ty và các tài nguyên giống như đang ở một
máy trong nội bộ công ty.


1.2. CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT
1/. Bộ định tuyến (Cisco VPN Router)
Những router này tạo ra một hạ tầng mạng, cho phép truy cập nhanh và an toàn
vào những ứng dụng kinh doanh với độ bảo mật cao.

2/. Tường lửa an toàn Cisco PIX (Cisco Private Internet Exchange Firewall)
Tường lửa PIX là thành phần chính trong giải pháp bảo mật của Cisco, bảo
mật về phần cứng và phần mềm, đáp ứng bảo mật mạng mức độ cao mà không ảnh
hưởng đến hoạt động của mạng. PIX là một thiết bị lai vì nó kết hợp các đặc
điểm của công nghệ lọc gói tin và máy chủ uỷ quyền (proxy server).

3/. Nhóm thiết bị tập trung Cisco VPN (Cisco VPN Concentrator series)
Thiết bị tập trung Cisco VPN 3000 sử dụng RSA SecurID Authentication để
cung cấp quá trình xác thực hai yếu tố thông qua cơ chế xác thực RSA SecurID
hoặc xác thực RADIUS cho cả các kết nối IPSec VPN lẫn SSL VPN.
Để giao tiếp một cách dễ dàng giữa thiết bị tập trung Cisco VPN và thiết bị
quản lý xác thực RSA (RSA Authentication Manager) hay thiết bị RSA SecurID
(RSA SecurID Appliance), phải thêm một bản ghi Agent Host vào cơ sở dữ liệu
RSA Authentication Manager và cơ sở dữ liệu RADIUS Server (nếu sử dụng
RADIUS). Bản ghi Agent Host nhận dạng thiết bị tập trung Cisco VPN trong cơ
sở dữ liệu của nó và chứa thông tin về cách thức giao tiếp cũng như thông tin mã
hóa.

4/. Phần mềm đảm bảo an toàn Cisco VPN (Cisco Secure VPN Client)


Cisco Secure VPN Client là một chương trình chạy trên hệ điều hành Window,
cho phép bảo mật việc truy cập từ xa tới bộ định tuyến Cisco và tường lửa PIX.
Cisco Secur VPN Client cho phép thiết lập các hành lang an toàn trên mạng riêng
ảo nối từ xa.

5/. Hệ thống phát hiện xâm nhập an toàn và máy quét an toàn
Thường được sử dụng để giám sát và kiểm tra các vấn đề an toàn trên mạng
riêng ảo.
o

Hệ thống phát hiện xâm nhập (Cisco Secure Intrusion Detection
System)
Cung cấp cơ chế phát hiện xâm nhập một cách hoàn chỉnh. Cisco đưa ra

một giải pháp an toàn một cách toàn diện và rộng khắp cho việc chống lại các xâm
nhập bất hợp pháp, các sâu mạng có hại, cùng với băng thông rộng và các tấn công
vào các ứng dụng thương mại điện tử.

o

Máy quét (Cisco Secure Scanner)

Cho phép các doanh nghiệp chuẩn đoán và sửa chữa các vấn đề an toàn thông
tin trong các môi trường mạng. Sử dụng máy quét cùng với bức tường lửa, hệ
thống phát hiện xâm nhập và các độ đo an toàn khác để đảm bảo tính bảo mật theo
chiều sâu.

6/. Chương trình quản lý chính sách an toàn và công cụ quản lý mạng
Cung cấp việc quản lý hệ thống mạng riêng ảo rộng khắp:
o Chương trình quản lý chính sách an ninh (Cisco Secure Policy Manager)


Hoạt động trong một vị trí trung tâm trên mạng và phân phối các chính sách an
ninh cho các thiết bị khác trong mạng, bao gồm bộ định tuyến Cisco, tường lửa,
các thiết bị của mạng riêng ảo và hệ thống phát hiện xâm nhập.
o Công cụ quản lý mạng Cisco (CiscoWorks 2000)
Là tập hợp các sản phẩm quản lý mạng của Cisco, quản lý các bộ chuyển
mạch, bộ định tuyến và tường lửa của Cisco. Công cụ quản lý mạng Cisco đơn
giản hoá quá trình cấu hình, quản lý và điều khiển trong các mạng của Cisco, đồng
thời tối đa tính tính an toàn thông qua việc tích hợp với các dịch vụ điều khiển truy
cập và theo các thay đổi trên mạng.

1.3. CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN
Để tạo được kết nối VPN, cần có các thành phần sau đây:
1/. Hệ thống xác thực người dùng (User Authentication)
Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết
nối và truy cập hệ thống VPN.
Cơ chế xác nhận người dùng thường được triển khai tại các điểm truy cập và
được dùng để xác nhận cho người dùng truy cập vào tài nguyên bên trong mạng.
Kết quả là chỉ có người dùng hợp lệ thì mới có thể truy cập vào bên trong mạng,
điều này làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ liệu được lưu
trữ trên mạng.
2/. Hệ thống quản lý địa chỉ (Address Management)
Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để
có thể truy cập tài nguyên trên mạng nội bộ.
3/. Hệ thống mã hóa dữ liệu (Data Encryption)


Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính
riêng tư và toàn vẹn dữ liệu.
4/. Hệ thống quản lý khoá (Key Management)
Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ
liệu.
1.4. THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN
Quá trình thiết lập một kết nối VPN gồm các bước sau:
1/. Máy khách (VPN Client) có nhu cầu kết nối tạo kết nối (VPN Connection) tới
máy chủ cung cấp dịch vụ (VPN Server) thông qua kết nối Internet.
2/. Máy chủ cung cấp dịch vụ chứng thực cho kết nối và cấp phép cho kết nối.
3/. Bắt đầu trao đổi dữ liệu giữa máy khách Cisco VPN và mạng công ty.

1.5. CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT
Cisco VPN Client có các ứng dụng sau, cho phép lựa chọn từ trình đơn
Programs[1]:


Hình 1.2. Các ứng dụng của Cisco VPN Client
Theo thứ tự sử dụng các ứng dụng như sau:


Help: Hiển thị một hướng dẫn trực tuyến với các chỉ dẫn sử dụng các ứng dụng.



VPN Dialer: Cho phép cấu hình các kết nối tới một VPN server và cho phép bắt
đầu các kết nối.



Certificate Manager: Cho phép kết nạp các chứng chỉ để xác thực các kết nối đến
các VPN server.



Log Viewer: Cho phép hiển thị các sự kiện từ các bản ghi sự kiện.



Uninstall VPN Client: Cho phép loại bỏ một cách an toàn các phần mềm VPN
Client từ hệ thống và tiếp tục kết nối cùng với các cấu hình xác thực.



SetMTU: Cho phép thay đổi bằng tay kích thước tối đa của các khối truyền.


1.6. NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT
Cisco VPN Client làm việc với một Cisco VPN server để tạo ra một kết nối an
toàn, được xem như “hành lang an toàn” cho kết nối và gọi là một tunnel, giữa máy tính
và mạng riêng. Nó sử dụng các giao thức IKE (Internet Key Exchange) và IPSec (Internet
Protocol Security) để tạo và quản lý kết nối an toàn.
1.6.1. Giao thức IPSec
Giao thức IPSec (Internet Protocol Security) có quan hệ tới một số bộ giao thức
(AH, ESP, FIP-140-1, và một số chuẩn khác), được phát triển bởi Tổ chức quản lý kỹ
thuật Internet (IETF).
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu an toàn ở tầng 3
(Network layer) của mô hình OSI. Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa
trên các giao thức IP. Do đó, khi một cơ chế an toàn cao được tích hợp với giao thức IP,
toàn bộ mạng được bảo vệ bởi vì các giao tiếp đều đi qua tầng 3.
1.6.2. Giao thức IKE
Giao thức IKE là một trong những giao thức nằm trong bộ giao thức của IPSec.
IPSec dùng giao thức này để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa.
Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những
khóa đó khi được yêu cầu.
IKE giúp cho các thiết bị tham gia mạng riêng ảo trao đổi với nhau các thông tin
như mã hóa thế nào? Mã hóa bằng thuật toán gì? Bao lâu mã hóa 1 lần? IKE có tác dụng
tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia mạng riêng ảo. Do
đó IKE giúp cho IPSec có thể áp dụng cho các hệ thống mạng mô hình lớn. Trong quá
trình trao đổi khoá, IKE dùng thuật toán mã hóa bất đối xứng gồm bộ khóa công khai và
khoá riêng để bảo vệ việc trao đổi key giữa các thiết bị tham gia mạng riêng ảo.


TÀI LIỆU THAM KHẢO
Tiếng Anh
1. Cisco System (2004), VPN Client User Guide for Windows, Corporate
Headquarters Cisco Systems , USA.
2. Friend, R. (1998), “IP Payload Compression Using LZS”, RFC2395, CA.
3. Pradosh Kumar Mohapatra and Mohan Dattatreya (2002), IPSec VPN
Fundamentals, TechOnline community, USA.
4. Mudge and Kingpin (2001), Initial Cryptanalysis of the RSA SecurID Algorithm.
5. Peiterz, Weaknesses In SecurID.
6. Shacham, A. (1998), "IP Payload Compression Protocol (IPComp)", RFC 2393,
CA.
7. Adam Shostack (1996), Apparent Weaknesses in the Security Dynamics
Client/Server Protocol.

Internet
8. http://en.wikipedia.org/wiki/SecurID.
9. http://www.cisco.com.
10. http://www.rsa.com.
11. http://www.vnexperts.com/bai-viet-ky-thuat/security/629-gii-phap-an-ninh-bomt-ca-rsa.html.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×