Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 5

ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNGCHƯƠNG 5QUẢN LÝ MẠNG VPNĐảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạng lớn là vấn đề đóng vai trò quan trọng. Người quản trị mạng phải nắm bắt được đầy đử và thường xuyên các thông tin về cấu hình
Nội dung trích xuất từ tài liệu:
Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 5 ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG Đề tài: Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật CHƯƠNG 5 QUẢN LÝ MẠNG VPN Đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạnglớn là vấn đề đóng vai trò quan trọng. Người quản trị mạng phải nắm bắtđược đầy đử và thường xuyên các thông tin về cấu hình, sự cố và tất cảsố liệu liên quan đến việc sử dụng mạng. Việc quản lý mạng VPN bao gồm: quản lý bảo mật, quản lý địa chỉIP và quản lý chất lượng mạng.5.1 Quản lý bảo mật (mật mã và xác thực) Quản lý bảo mật không chỉ bao hàm việc xác thực những ngườidùng từ những vị trí khác nhau, điều khiển quyền truy cập mà còn cóquản lý khoá, liên kết với các thiết bị VPN. Trong phần này ta sẽ thảoluận các vấn đề về bảo mật các máy tính, các mạng và dữ liệu. Trước tiên là một số vấn đề tổng quát về chính sách bảo mật thốngnhất, những vấn đề liên quan đến bảo mật xung quanh việc quản lýVPN. Sau đó, chúng ta sẽ tập trung vào chọn lọc một số giải thuật mãhoá và các chiều dài khoá, phân phối các khoá và liên kết thông tin trongtập liên kết bảo mật IPSec, cũng như xác thực người dùng và điều khiểntruy cập. IPSec đưa ra các chính sách bảo mật dữ liệu với bất kỳ giaothức nào và có nhiều lựa chọn nên việc quản lý bảo mật cho VPN sẽ tậptrung trên nền IPSec, có bao hàm PPTP và L2TP ở những vị trí thíchhợp.5.1.1 Các chính sách bảo mật thống nhất Một khung làm việc bảo mật cho một tổ chức bao gồm các yếu tố:xác thực, tính bảo mật, tính nguyên vẹn, cấp quyền, tính sẵn sàng, quảnlý và độ tin cậy. Một cơ chế bảo mật thống nhất cần thực hiện:- Xem xét những gì ta đang bảo mật.- Xem xét những gì ta cần bảo mật từ đâu.- Xác định các nguy cơ có thể.- Tiến hành đánh giá những việc bảo mật trong phương pháp xác thực giá.- Xem xét việc xử lý một cách liên tục.- Hoàn thiện mọi thời gian thực. Hình 5.1: Các thành phần của hệ thống bảo mật Chính sách bảo mật truyền thống nhận biết tất cả các tài sản, thôngtin đang được bảo mật, cơ sở dữ liệu tập trung và phần cứng máy tính.Nhưng, khi các hệ thống thông tin đã trở nên phân tán hơn, nhiều hơn thìcác chính sách bảo mật thống nhất bao hàm quản lý trên phạm vi cácLAN. Khi định nghĩa các chính sách bảo mật cho mạng thì cần nhận biếtmọi điểm truy cập tới hệ thống thông tin và định nghĩa các nguyên tắccủa chính sách để bảo mật các điểm vào/ra. Một số vấn đề khi lập một chính sách bảo mật:- Việc tổ chức, lập kế hoạch sử dụng các dịch vụ Internet?- Các dịch vụ sẽ được sử dụng ở đâu?- Điều gì sẽ xảy ra khi liên kết việc cung cấp các dịch vụ và truy cập?- Định giá cái gì trong giới hạn của điều khiển và tác động trên mạng không tin cậy được cung cấp bảo mật ?- Cần bổ sung những gì (mã hoá, xác thực..) để có thể hỗ trợ?- Ngân sách để thực hiện việc bảo mật? Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng các biếncố, sự cố phức tạp xảy ra. 5.1.2 Các phương thức mã hoá Khi xây dựng một mạng VPN thì tuỳ theo mức độ yêu cầu mà ta cóthể thiết lập các mức độ bảo mật dữ liệu khác nhau.a) Các giao thức và giải thuật cho VPN Các giao thức IPSec, PPTP và L2TP đưa ra các giải thuật cho phépđể mã hoá dữ liệu. Giao thức PPTP có thể sử dụng PPP, DES, 3DES để mã hoá dữ liệu.Microsoft đưa ra một phương thức mã hoá gọi là mã hoá điểm-điểmMPPE (Microsoft Point-to-Point Encryption) để sử dụng với đường hầmPPTP. MPPE sử dụng giải thuật RC4 với các khoá 40 bit hoặc 128 bit. Giao thức L2TP có thể sử dụng PPP để mã hoá dữ liệu, tuy nhiêntrong L2TP, thường sử dụng IPSec để mã hoá dữ liệu. Trong IPSec, giải thuật mã hoá được mặc định để sử dụng trongESP là DES và 3DES.b) Chiều dài khoá Cần phải xác định độ nhạy của dữ liệu để có thể tính toán nó nhạybao lâu và nó sẽ được bảo mật trong bao lâu. Khi tính được, ta có thểchọn một giải thuật mã hoá và chiều dài khoá để đảm bảo thời gian phálâu hơn nhiều thời gian nhạy của dữ liệu. Bảng: là thông tin tóm lược của Brude Schnier (Thực hành mã hoá_Applied Cryptography) đưa ra thời gian và phí tổn cần thiết để phá khoá. Chiều dài khoá theo bit Giá (USD) 40 64 80 128 1019 năm 1 năm100 2 giây 70.000 nămngàn 1018 năm 2 giây 37 ngày1 triệu 7.000 1016 năm 9 giờ 2ms năm100 1015 năm ...