Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 4

ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNGCHƯƠNG 4BẢO MẬT TRONG VPNMột trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật dữ liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép không chỉ là một vấn đề trên các mạng.
Nội dung trích xuất từ tài liệu:
Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 4 ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG Đề tài:Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật CHƯƠNG 4 BẢO MẬT TRONG VPN Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mậtdữ liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép khôngchỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính hay giữacác mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập hơnlà khi dữ liệu vẫn còn trên một máy tính đơn. Bảo mật không phải là vấn đề riêng của VPN mà thực tế là mối quan tâm vàthách thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng Internet đểtrao đổi thông tin. Để thực hiện bảo mật cho dữ liệu trong mạng VPN người ta thựchiện hai quá trình đó là xác thực (Authentication) và mật mã (Encryption).4.1 Quá trình xác thực Xác thực là một phần không thể thiếu được trong kiến trúc bảo mật của mộtmạng VPN. Xác thực được dựa trên ba thuộc tính: Cái gì ta có (một khoá hay mộtcard token); cái gì chúng ta biết (một mật khẩu); hay cái gì chúng ta nhận dạng(giọng nói, quét võng mạc, dấu vân tay,..). Xác thực là thuật ngữ dùng chung, nóbao gồm hai khái niệm: Xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn dữliệu.4.1.1 Xác thực nguồn gốc dữ liệua) Mật khẩu truyền thống Thực tế cho thấy, các loại xác thực đơn giản, như số nhận dạng ID của ngườidùng, mật khẩu không đủ mạnh cho việc bảo mật truy cập mạng. Mật khẩu có thểbị đón bắt và giữ lấy trong suốt quá trình truyền dữ liệu của mạng. Hệ thống mậtkhẩu một lần là phương pháp tốt sử dụng mật khẩu truyền thống. * Hệ thống mật khẩu một lần Để ngăn chặn việc sử dụng trái phép, các mật khẩu bị giữ lại và ngăn khôngcho chúng không được dùng trở lại, bằng cách cầu một mật khẩu mới cho phiênlàm việc mới. Những hệ thống này, thì mỗi khi người dùng đăng nhập vào mạng thì luônluôn phải chọn một mật khẩu mới cho mỗi phiên làm việc kế tiếp. Do đó để khắcphục khó khăn này bằng cách tạo ra một cách tự động một danh sách mật khẩu cóthể chấp nhận được cho người dùng. Nhược điểm của các hệ thống này là khó cóthể quản trị những danh sách mật khẩu cho một số lượng lớn người dùng.b) Giao thức xác thực mật khẩu PAP Giao thức xác thực mật khẩu PAP (Passwork Authentication Protocol) đượcthiết kế một các đơn giản cho một máy tính tự xác thực đến một máy tính khác khigiao thức điểm-điểm PPP được sử dụng làm giao thức truyền thông. PAP là mộtgiao thức bắt tay hai chiều; đó là, máy tính chủ tạo kết nối gửi nhận dạng ngườidùng và mật khẩu kép (passwork pair) đến hệ thống đích mà nó cố gắng thiết lậpmột kết nối và sau đó hệ thống đích xác thực rằng máy tính đó được xác thực đúngvà được chấp nhận cho việc truyền thông. Xác thực PAP có thể được dùng khi bắtđầu của kết nối PPP, cũng như trong suốt một phiên làm việc của PPP để xác thựckết nối. Khi một kết nối PPP được thiết lập, xác thực PAP có thể có thể được diễn ratrong kết nối đó. Điểm ngang hàng gửi một nhận dnạg người dùng và mật khẩu đếnbộ xác thực cho đến khi bộ xác thực chấp nhận kết nối hay kết nối bị huỷ bỏ. PAPkhông bảo mật bởi vì thông tin xác thực được truyền đi rõ ràng và không có khảnăng bảo mật chống lại tấn công trở lại hay lặp lại quá nhiều bởi những người tấncông nhằm cố gắng dò ra mật khẩu đúng hay một cặp nhận dạng người dùng.c) Giao thức xác thực yêu cầu bắt tay CHAP Giao thức xác thực mật khẩu yêu cầu bắt tay CHAP (Challenge HandshakeAuthentication Protocol) được thiết kế cho việc sử dụng tương tự như PAP nhưnglà một phương pháp bảo mật tốt hơn đối với xác thực các kết nối PPP. Hình 4.1: Hệ thống đáp ứng thách đố người dùng CHAP là một giao thức bắt tay ba chiều bởi vì nó bao gồm ba bước để thực hiệnkiểm tra một kết nối, sau khi kết nối được khởi tạo đầu tiên hay tại bất kỳ thờiđiểm nào sau khi kết nối được thiết lập. Thay vì dùng một mật khẩu hay tiến trìnhchấp nhận giống như trong PAP, CHAP s ử dụng một hàm băm một chiều (one-way hashing function). 1. Máy tính xác thực gửi một bản tin thách đố (challenge massage) đến máy tính ngang cấp (peer). 2. Máy tính ngang cấp tính toán một giá trị sử dụng một hàm băm một chiều và gửi lại cho máy tính xác thực. 3. Máy tính xác thực có thể đáp ứng chấp nhận nếu giá trị gửi lại tương ứng với giá trị mong muốn. Tiến trình này có thể lặp lại tại bất kỳ thời điểm nào trong suốt quá trình kếtnối để đảm bảo rằng kết nối luôn đ ược nắm quyền và không bị suy yếu trong mộitrường hợp. Máy chủ điều khiển quá trình xác thực tại CHAP. PAP và CHAP có nhược điểm giống nhau, đó là: - Đều phụ thuộc vào một mật khẩu bí mật được lưu trữ trên máy tính của người dùng ở xa và máy tính nội bộ. Nếu bất kỳ một máy t ...