Nghiên cứu bảo mật mạng riêng ảo trên công nghệ chuyển mạch nhãn đa giao thức

4 1.5 Các giao thức tạo đường hầm trong VPN 1.5.1 Giao thức PPTPPoint-To-Point Tunning Protocol Giao thức PPTP Point-to-Point Tunneling Protocol - giao thức tạo đường hầm điểm nối điể

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

QUÁCH NHƯ THẾ

NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ

CHUYỂN MẠCH NHÃN ĐA GIAO THỨC Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TS NGUYỄN VĂN TAM

HÀ NỘI – 2012

1

MỞ ĐẦU

Mạng VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS MPLS VPN đã đơn giản hóa quá trình tạo

“đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin (Lable) trên thiết bị mạng nhà cung cấp Thay vì phải tự thiết lập, quản trị, và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp – đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tốt hơn cho mạng của doanh nghiệp

Luận văn “ Nghiên cứu bảo mật mạng riêng ảo trên công nghệ chuyển mạch nhãn đa giao thức” đã nghiên cứu

VPN trên mạng MPLS có kết hợp với IPSEC và mô phỏng

Luận văn được chia làm 3 chương:

Chương I: Tổng quan về mạng riêng ảo

Chương II: Giải pháp bảo mật VPN trên nền MPLS

Chương III: Mô phỏng

2

CHƯƠNG I: TỔNG QUAN VỀ MẠNG RIÊNG ẢO

1 Tổng quan về mạng riêng ảo

1.1 Giới thiệu về mạng riêng ảo

Khái niệm mạng riêng ảo

Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động như một mạng cục bộ kết hợp với các giải pháp bảo mật trên đường truyền VPN cho phép thành lập các kết nối riêng với người dùng ở xa, các văn phòng chi nhánh của công

ty và các đối tác của công ty đang sử dụng chung một mạng công cộng

VPN = định đường hầm + bảo mật + các thoả thuận QoS

1.2 Ưu và nhược điểm của VPN

 Giảm chi phí đường truyền

 Giảm chi phí đầu tư

 Giảm chi phí quản lý và hỗ trợ

 Truy cập mọi lúc mọi nơi

 Cải thiện kết nối

 An toàn trong giao dịch

 Hiệu quả về băng thông

 Enhanced scalability

Nhược điểm:

 Phụ thuộc trong môi trường Internet

 Thiếu sự hổ trợ cho một số giao thức kế thừa

3

1.3 Phân loại mạng và các mô hình VPN

 Remote access VPN

 Intranet VPN

 Extranet VPN

1.4 Các thành phần trong mạng VPN

1.4.1 Mạng khách hàng (Customer Network)

Gồm các router tại các site khách hàng khác nhau Các router kết nối các site cá nhân với mạng của nhà cung cấp dịch

vụ được gọi là các router biên phía khách hàng (CE- Customer Edge)

1.4.2 Mạng nhà cung cấp (Provider Network)

Được dùng để cung cấp các kết nối point-to-point qua

hạ tầng mạng của nhà cung cấp dịch vụ Các thiết bị của nhà cung cấp dịch vụ mà nối trực tiếp với CE router được gọi là router biên phía nhà cung cấp (PE-Provider Edge) Mạng của nhà cung cấp còn có các thiết bị dùng để chuyển tiếp dữ liệu trong mạng trục (SP backbone) được gọi là các router nhà cung cấp (P- Provider)

VPN có thể chia thành hai loại mô hình: Overlay và Peer-to-Peer

4

1.5 Các giao thức tạo đường hầm trong VPN

1.5.1 Giao thức PPTP(Point-To-Point Tunning

Protocol)

Giao thức PPTP (Point-to-Point Tunneling Protocol -

giao thức tạo đường hầm điểm nối điểm) ban đầu được phát

triển và được thiết kế để giải quyết vấn đề và duy trì các đường

hầm VPN trên các mạng public dựa vào TCP/IP bằng cách sử

dụng PPP PPTP là kết quả của sự nỗ lực chung của Microsoft

và một loạt các nhà cung cấp sản phẩm bao gồm chẳng hạn

Ascend Communications, 3Com/Primary Access, ECI

Telematics, và U.S Robotics

1.5.2 Giao thức L2TP (Layer 2 Tunneling Protocol)

Giao thức L2TP sử dụng hai loại thông điệp, thông điệp

điều khiển (Control Message) và thông điệp dữ liệu (Data

Message) Thông điệp điều khiển được sử dụng trong việc thiết

lập và duy trì đường ống Thông điệp dữ liệu được sử dụng để

đóng gói PPP frame để chuyển qua đường ống

1.5.3 Giao thức IPSec (IP Security Protocol)

IPSec là một giao thức bảo mật tích hợp với tầng IP,

cung cấp dịch vụ bảo mật mã hóa linh hoạt Những dịch vụ này

là

1.5.3.1 Chứng thực nguồn gốc dữ liệu/Tính toàn vẹn

dữ liệu phi kết nối

17

KẾT LUẬN

Mạng riêng ảo VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS Các công ty, doanh nghiệp đặc biệt các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch

vụ này Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng dịch vụ Bên cạnh đó là việc nghiên cứu các công nghệ bảo mật trong MPLS VPN, nổi bật hiện nay chính là sử dụng IPSec

Sau nghiên cứu đề tài đã tổng kết được các vấn đề sau:

Tổng quan VPN: Giới thiệu tổng quan VPN

Giải pháp bảo mật VPN trên nền MPLS, tìm hiểu IPsec MPLS

Tìm hiểu phần mềm mô phỏng GNS để mô phỏng vấn

đề bảo mật MPLS VPN

16

CHƯƠNG III: MÔ PHỎNG

3.1 Thực hiện MPLS VPN, IPSEC

3.1.1 Sơ đồ mạng – cấu hình các interface cơ bản

3.1.2 Yêu cầu:

 Tạo MPLS core

 Thực hiện MPLS VPN , IPSEC cho hai khách

hàng CE1và CE2

5

1.5.3.2 Bảo vệ chống replay 1.5.3.3 Bảo mật

1.5.3.4 Encapsulating Security Payload (ESP) 1.5.3.5 Tiêu đề chứng thực (AH)

1.5.3.6 Trao đổi khóa Internet (IKE) 1.5.3.7 Chế độ vận hành

1.5.3.8 Chế độ Tunnel CHƯƠNG II: GIẢI PHÁP BẢO MẬT VPN TRÊN NỀN MPLS

2.1 Công nghệ chuyển mạch MPLS 2.1.1 Tổng quan về MPLS

MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn (label)

Đặc điểm mạng MPLS:

- Không có MPLS API, cũng không có thành phần giao thức phía host

- MPLS chỉ nằm trên các router

- MPLS là giao thức độc lập nên có thể hoạt động cùng với giao thức khác IP như IPX, ATM, Frame Relay,…

- MPLS giúp đơn giản hoá quá trình định tuyến và làm tăng tính linh động của các tầng trung gian

6

Phương thức hoạt động:

Thay thế cơ chế định tuyến lớp ba bằng cơ chế chuyển

mạch lớp hai MPLS hoạt động trong lõi của mạng IP Các

Router trong lõi phải enable MPLS trên từng giao tiếp Nhãn

được gắn thêm vào gói IP khi gói đi vào mạng MPLS Nhãn

được tách ra khi gói ra khỏi mạng MPLS Nhãn (Label) được

chèn vào giữa header lớp ba và header lớp hai Sử dụng

nhãn trong quá trình gửi gói sau khi đã thiết lập đường đi

MPLS tập trung vào quá trình hoán đổi nhãn (Label

Swapping) Một trong những thế mạnh của kiến trúc MPLS là

tự định nghĩa chồng nhãn (Label Stack)

2.1.2 Cấu trúc của nút MPLS

Một nút của MPLS có hai mặt phẳng: mặt phẳng

chuyển tiếp MPLS và mặt phẳng điều khiển MPLS Nút

MPLS có thể thực hiện định tuyến lớp ba hoặc chuyển mạch

lớp hai

2.1.2.1 Mặt phẳng chuyển tiếp (Forwarding plane):

Mặt phẳng chuyển tiếp có trách nhiệm chuyển tiếp

gói dựa trên giá trị chứa trong nhãn Mặt phẳng chuyển tiếp

sử dụng một cơ sở thông tin chuyển tiếp nhãn LFIB để chuyển

tiếp các gói

15 IPsec tĩnh: trong mô hình này, mỗi nút IPsec được cấu hình tĩnh với tất cả IPsec đồng cấp của nó, thông tin nhận thực

và chính sách bảo mật

IPsec tĩnh được mô tả trong RFC 2401, 2412 Nó có thể được áp dụng trên CE-CE và PE-PE

IPsec động: trong môi trường hub- và-spoke, hub có thể được cấu hình mà không cần thông tin đặc điểm của spoke; chỉ các spoke biết cách đến được hub, và một đường hầm IPsec được thiết lập chỉ khi nào spoke có thể xác thực được chính nó IPsec truy cập từ xa sử dụng ý tưởng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA IPsec động có thể được sử dụng cho CE-CE cũng như PE-PE

14 tương tự như trong bảo mật nhưng dễ thực thi hơn

nhiều, đặc biệt đối với khách hàng

Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE

hiện tại không được sử dụng nhiều vì lí do bảo mật

Rõ ràng nó không là một giải pháp tổng thể cho bảo

mật VPN Trong các trường hợp này nên sử dụng

IPsec CE-CE

2.3.2.3 IPsec truy cập từ xa vào một mạng MPLS

VPN

Đường hầm IPsec từ người dùng từ xa được kết thúc

trên các bộ định tuyến PE, dựa trên sự nhận dạng

của người dùng, được ánh xạ vào VPN Do đó, bộ

định tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm

cuối truy cập từ xa IPsec và PE MPLS

Trong ứng dụng này, IPsec phục vụ chủ yếu như

một phương pháp truy cập an toàn vào VPN của

người dùng, như các điểm truy cập không dây công

cộng hay mang internet

2.3.3 IPsec trên MPLS

Các mô hình đã xem xét trong phần trước mô tả các

đường hầm IPsec đã được thiết lập (ví dụ PE-PE), nhưng không

xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế

thứ 2 khi triển khai mạng IPsec Các lựa chọn chính để thiết lập

đường hầm IPsec:

7

2.1.2.2 Mặt phẳng điều khiển (Control Plane):

Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra

và lưu trữ LFIB Tất cả các nút MPLS phải chạy một giao thức định tuyến IP để trao đổi thông tin định tuyến IP với các nút MPLS khác trong mạng

Các môđun điều khiển MPLS gồm:

• Định tuyến Unicast (Unicast Routing)

• Định tuyến Multicast (Multicast Routing)

• Kỹ thuật lưu lượng (Traffic Engineer)

• Mạng riêng ảo (VPN – Virtual private Network)

• Chất lượng dịch vụ (QoS – Quality of Service)

2.1.3 Các phần tử chính của MPLS 2.1.3.1 LSR (label switch Router)

Có 3 loại LSR trong mạng MPLS:

o Ingress LSR – LSR vào nhận gói chưa có nhãn, chèn nhãn (ngăn xếp) vào trước gói và truyền đi trên đường kết nối dữ liệu

o Egress LSR – LSR ra nhận các gói được gán nhãn, tách nhãn và truyền chúng trên đường kết nối dữ liệu LSR ra

và LSR vào là các LSR biên

o LSR trung gian (intermediate LSR) – các LSR trung gian này sẽ nhận các gói có nhãn tới, thực hiện các thao tác trên nó, chuyển mạch gói và truyền gói đến đường

8 kết nối dữ liệu đúng

2.1.3.2 LSP (label switch Path)

Đường chuyển mạch nhãn là một tập hợp các LSR

mà chuyển mạch một gói có nhãn qua mạng MPLS hoặc

một phần của mạng MPLS Về cơ bản, LSP là một đường

dẫn qua mạng MPLS hoặc một phần mạng mà gói đi qua LSR

đầu tiên của LSP là một LSR vào, ngược lại LSR cuối cùng

của LSP là một LSR ra

2.1.3.3 FEC (Forwarding Equivalence Class)

Lớp chuyển tiếp tương đương (FEC) là một nhóm hoặc

luồng các gói được chuyển tiếp dọc theo cùng một tuyến

và được xử lý theo cùng một cách chuyển tiếp Tất cả các

gói cùng thuộc một FEC sẽ có nhãn giống nhau Tuy nhiên,

không phải tất cả các gói có cùng nhãn đều thuộc cùng một

FEC, bởi vì giá trị EXP của chúng có thể khác nhau; phương

thức chuyển tiếp khác nhau và nó có thể phụ thuộc vào FEC

khác nhau

2.1.4 Các giao thức sử dụng trong MPLS

2.1.4.1 Phân phối nhãn

nhãn LDP

13

2.3.2 Vị trí các điểm kết thúc của IPsec

Trong một môi trường MPLS VPN, IPsec có thể được

sử dụng tại các điểm khác nhau của mạng:

 Giữa các bộ định tuyến CE của VPN

 Giữa một điểm trong VPN và PE

 Giữa các bộ định tuyến PE trong lõi MPLS VPN

2.3.2.1 CE-CE IPsec

Nếu IPsec được sử dụng giữa các CE, toàn bộ đường dẫn giữa các CE được bảo mật các đường truy cập (giữa CE và PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các đường dẫn

IPsec CE-CE không bảo vệ chống lại các mối đe dọa sau đây:

 Tấn công từ chối dịch vụ (DoS)

 Các mối đe dọa trong khu vực đáng tin cậy Nhìn chung, CE-CE IPsec cung cấp một phương tiện lý tưởng đảm bảo một MPLS VPN vượt quá tiêu chuẩn an ninh của các mạng MPLS Đây là kỹ thuật của sự lựa chọn cho việc cung cấp an ninh bổ sung, chẳng hạn như mã hóa lưu lượng truy cập đến một MPLS VPN

2.3.2.2 PE-PE IPsec

Thường, PE-PE IPsec được xem như một cách để tránh khách hàng VPN phải thiết lập CE dựa trên IPsec Một vài vị trí tư vấn này là một cấu trúc

12

2.3.1.1 Tổng quan IPsec

IPsec là một kỹ thuật cung cấp các dịch vụ bảo mật qua

mạng IP:

 Tính bảo mật thông qua sử dụng mã hóa

 Tính xác thực thông qua việc sử dụng xác thực

đồng cấp và xác thực thông điệp

 Tính toàn vẹn thông qua việc sử dụng kiểm tra

toàn vẹn thông điệp

 Chống lại việc phát lại, bằng cách sử dụng các

chuỗi số đã được xác thực để đảm bảo tính mới mẻ của thông

điệp

Một trong những lợi ích quan trọng của IPsec là các

dịch vụ bảo mật tất cả được áp dụng trên lớp 3 (lớp mạng) cũng

giống như với IP Bằng cách này, các dịch vụ bảo mật vẫn độc

lập với cơ chế vận chuyển ưu tiên cũng như các giao thức và

các ứng dụng được dùng ở lớp trên của ngăn xếp

Khi thiết kế một mạng dùng IPsec, cần xem xét 2 vấn

đề:

 Vị trí các đường hầm IPsec nên được áp dụng

 Cách thức thiết lập các đường hầm IPsec

Để giải quyết 2 vấn đề trên có nhiều cách Trước hết, ta

sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm

được thiết lập giữa các vị trí

9

2.1.4.2 Giao thức đặt trước tài nguyên 2.2 Ứng dụng VPN trên mạng MPLS

2.2.1 Giới thiệu về MPLS trong VNP 2.2.4 Các bộ định tuyến ảo MPLS

Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh

và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý

Các đặc tính mà bộ định tuyến ảo cần có là:

 Cấu hình của bất cứ sự kết hợp giữa các giao thức định tuyến

 Giám sát mạng

 Xử lý sự cố

2.2.3 Kiến trúc MPLS VPN 2.2.3.1 Gửi chuyển tiếp trong MPLS VPN

a) Gửi chuyển tiếp

Để cung cấp việc gửi chuyển tiếp các gói tin IP dọc theo các bộ định tuyến người ta sử dụng MPLS Lý do mà MPLS giúp chúng ta làm được điều này là vì nó tách riêng thông tin sử dụng cho việc gửi chuyển tiếp gói tin với thông tin mang trong tiêu đề IP Do vậy, chúng ta có thể kết hợp LSP với các bộ định tuyến VPN-IP và sau đó gửi chuyển tiếp các gói tin IP dọc theo những bộ định tuyến đó sử dụng MPLS đóng vai trò cơ chế gửi chuyển tiếp

10

b) Gửi chuyển tiếp trong MPLS VPN

LSP riêng

LSP này được coi là tuỳ chọn trong các cơ sở VPN

LSP này thường kết hợp với việc dự trữ trước băng thông và

với các dịch vụ khác nhau riêng biệt hoặc lớp QoS Nếu LSP

này sẵn sàng, nó được sử dụng cho dữ liệu người sử dụng và

cho việc gửi chuyển tiếp dữ liệu điều khiển cá nhân VPN

LSP công cộng

Các gói tin VPN được gửi chuyển tiếp sử dụng LSP này

nếu LSP riêng với băng thông xác định và các đặc tính QoS

hoặc không được cấu hình hoặc hiện tại không sẵn sàng LSP

được sử dụng là một LSP được tính trước cho bộ định tuyến lối

ra trong VPN0 VPNID trong tiêu đề chèn thêm được sử dụng

để phân các gói dữ liệu từ các VPN khác nhau tại bộ định tuyến

lối ra

2.2.3.2 Nhận biết đồng bộ định tuyến lân cận trong

MPLS VPN

Các VR trong một VPN cho trước thuộc về một số các

SPED trong mạng Những VR này cần phải nhận biết về các

VR khác và phải được kết nối với các VR khác Một cách để

thực hiện điều này là yêu cầu thiết lập cấu hình của các VR lân

cận

11

2.2.3.3 DiffSer trong MPLS VPN

Việc cấu hình các LSP riêng cho các VPN cho phép SP cung cấp DiffSer dành cho các khách hàng Những LSP riêng này có thể được kết hợp với bất cứ lớp QoS L2 nào có sẵn hoặc với các điểm mã dịch vụ Trong một VPN, nhiều LSP riêng với các lớp dịch vụ khác nhau có thể được cấu hình với các thông tin luồng cho việc sắp xếp các gói tin trong các LSP Đặc tính này, cùng với khả năng thay đổi kích thước các bộ định tuyến

ảo, cho phép SP cung cấp các dịch vụ hoàn toàn khác nhau tới các khách hàng VPN

2.3 MPLS VPN kết hợp IPSEC 2.3.1 IPSEC MPLS VPN

Ngày nay mạng MPLS VPN và IPsec VPN đã được triển khai khá rộng, cho thấy rằng cả hai đều có những lợi ích riêng Các lợi ích của MPLS VPN chủ yếu bên phía nhà cung cấp dịch vụ do kỹ thuật này cho phép các kiến trúc VPN có khả năng mở rộng cao có tích hợp hỗ trợ QoS Và các khách hàng VPN có lợi ích gián tiếp nhờ việc cung cấp các dịch vụ VPN có giá cả thấp Trong khi đó, IPsec VPN có lợi ích chính là bảo mật mạng khách hàng: dữ liệu được mã hóa, chứng thực và tính toàn vẹn