MÔ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN CHỦ ĐỀ 10 MÔ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN Giảng viên: Cấn Thị Phượng Thành viên nhóm: Nguyễn Ngọc Hồng Hân Nguyễn Mai Diễm Hương Lê Lâm Nhàn Nguyễn Anh Tuấn Phạm Đan Trường I. VPN 1. Tổng quan Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCPIP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn thông công cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thể quản lý , cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual Private Network ). Với mô hình này, chúng ta không phải đầu tư thêm quá nhiều trang thiết bị , cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó đảm bảo an toàn thông tin giữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay các đối tác kinh doanh trong môi trường truyền thông rộng lớn. Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC NHA TRANG

KHOA CÔNG NGHỆ THÔNG TIN

CHỦ ĐỀ 10

MÔ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC

TRONG VPN

Giảng viên: Cấn Thị Phượng Thành viên nhóm: Nguyễn Ngọc Hồng Hân

Nguyễn Mai Diễm Hương

Lê Lâm Nhàn Nguyễn Anh Tuấn Phạm Đan Trường

I VPN

1 Tổng quan

Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet đã bùng nổ Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn thông công cộng Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến…

đã trở nên dễ dàng Tuy nhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thể quản lý , cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết Từ đó các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual Private Network ) Với mô hình này, chúng

ta không phải đầu tư thêm quá nhiều trang thiết bị , cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của

tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó đảm bảo an toàn thông tin giữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay các đối tác kinh doanh trong môi trường truyền thông rộng lớn Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí

2 Khái niệm

VPN là mạng riêng ảo(Virtual Private Network), là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, các cơ

sở giáo dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình

Mạng riêng ảo được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các chính sách quản lý và bảo mật giống như mạng cục bộ

3 Các tính năng, ưu điểm và hạn chế của mạng riêng ảo

a Các tính năng của mạng riêng ảo

Mạng riêng ảo hỗ trợ các tính năng sau: tính xác thực, tính toàn vẹn và tính bảo mật

- Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía

phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

Hình 1 Mô hình mạng riêng ảo

- Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không

có bất kỳ sự xáo trộn nào trong quá trình truyền và trao đổi dữ liệu

- Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền

qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Vì như vậy không ai có thể đọc được thông tin khi cố tình xâm nhập và bắt gói tin

b Ưu điểm của mạng riêng ảo

Mạng riêng ảo mang lại lợi ích thực sự cho các doanh nghiệp Mạng riêng ảo không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng di động, mở rộng đến từng văn phòng, chi nhánh… Những lợi ích thực sự mà mạng riêng ảo mang lại như: Tính tiết kiệm chi phí, tính mềm dẻo, khả năng mở rộng cùng nhiều ưu điểm khác

- Tiết kiệm chi phí: VPN có thể giúp các doanh nghiệp tiết kiệm từ 50%

-70% chi phí đầu tư vào các kết nối leased line và remote access truyền thống, giảm đáng kể các chi phí đầu tư cho hạ tầng truyền thông và chi phí hàng tháng đối với các kết nối site to site

- Tính linh hoạt: Tính linh hoạt ở đây không chỉ là linh hoạt trong quá

trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu

sử dụng Khách hàng có thể sử dụng kết hợp với các công nghệ sẵn có và

cơ sở hạ tầng mạng của doanh nghiệp trước đó

- Khả năng mở rộng: Mạng VPN được xây dựng dựa trên cơ sở hạ tầng

mạng công cộng Vì thế với bất kỳ doanh nghiệp nào có nhiều chi nhánh

ở xa nhau mà muốn kết nối với nhau sử dụng công nghệ mạng riêng ảo thì điều cần và đủ là các chi nhánh được kết nối tới mạng Internet

- Tính bảo mật: Mạng riêng ảo cung cấp chế độ bảo mật cao nhất nhờ các

cơ chế mã hóa trên nền tảng mạng riêng ảo (mã hóa, xác nhận truy cập và bảo mật hệ thống) Quản lý các kết nối dễ dạng thông qua tên và mật khẩu truy cập vào hệ thống mạng riêng ảo trong mạng nội bộ

c Hạn chế của mạng riêng ảo

Mặc dù phổ biến nhưng mạng riêng ảo (VPN) không hẳn là hoàn hảo và hạn chế thì luôn luôn tồn tại trọng bất kì hệ thống mạng nào Một số hạn chế cần lưu ý khi triển khai hệ thống VPN:

- VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài đặt phải cẩn thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet công cộng.

- Độ tin cậy và hiệu xuất của một VPN dựa trên Internet không phải là dưới sự kiểm soát trực tiếp của công ty , vì vậy giải pháp thay thế là hãy sử dụng một nhà cung cấp dịch vụ (ISP) tốt và chất lượng.

- Vấn đề bảo mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phòng bằng máy tính xách tay, máy tính riêng, khi đó nếu máy tính của họ thực hiện hàng loạt các ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì hacker (kẻ tấn công, tin tặc) có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ thống của công ty Vì vậy việc bảo mật cá nhân luôn được các chuyên gia khuyến cáo phải đảm bảo an toàn.

4 Một số loại mạng riêng ảo

Dựa vào cộng nghệ hoặc dựa vào mô hình, cấu trúc của từng tổ chức mà có thể phân loại mạng riêng ảo thành các loại khác nhau Và nếu dựa vào kiến trúc của doanh nghiệp chúng ta có thể phân loại mạng riêng ảo thành ba loại sau:

- Mạng riêng ảo truy nhập từ xa (Remote Access VPN)

- Mạng riêng ảo cục bộ (Intranet VPN)

- Mạng riêng ảo mở rộng (Extranet VPN)

II Bảo mật trong mạng riêng ảo

1 Khái niệm bảo mật

a Thế nào là bảo mật thông tin

Thông tin là một loại tài sản cũng giống như các tài sản khác của một doanh nghiệp Thông tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì vậy thông tin cần phải được bảo vệ thích hợp Bảo vệ thông tin khỏi sự “mất cắp” cũng chính là bảo vệ sự phát triển liên tục và bền vững của doanh nghiệp Đảm bảo cho doanh nghiệp tối thiểu hóa đƣợc các thiệt hại khi có rủi ro xẩy ra, đồng thời tối đa được các lợi nhuận thu đƣợc từ các hoạt động kinh doanh Thông tin có thể được lưu trữ ở dưới nhiều dạng khác nhau như in viết trên giấy, trên ổ cứng máy vi tính, trên film hoặc thông qua các cuộc đàm thoại,… Bất kể thông tin tồn tại dưới dạng nào, khi thông tin được lưu trữ , được chia sẻ thì chúng phải được bảo mật một cách phù hợp

b Bảo mật thông tin nhằm mục đích

- Thông tin tin cậy: Đảm bảo thông tin chỉ được truy xuất bởi những người

có chức năng

- Thông tin trung thực: Đảm bảo các phương pháp xử lý thông tin chính xác, an toàn và trọn vẹn

- Thông tin sẵn sàn: Đảm bảo những người có chức năng có thể truy cập thông tin mọi lúc, mọi nơi khi có yêu cầu

c Tại sao cần bảo mật thông tin

Thông tin cũng giống như các tài sản khác như hệ thống máy tính, thiết bị sản xuất, văn phòng, nhà xưởng,… là những tài sản quan trọng của doanh nghiệp Thông tin trung thực, tin cậy và sẵn sàn là những yếu tố cần thiết để duy trì khả năng cạnh tranh, khả năng thu lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp Thông tin có thể bị mất cấp từ nhiều nguyên nhân khác nhau như: hệ thống máy tính bị hư, động đất, lũ lụt, sống thần, tình báo công nghiệp,…Bên cạnh đó còn có những nguyên nhân khác như : hệ thống máy tính bị virus tấn công, bị hacker tấn công

2 Giao thức IPSec

a Khái niệm

IPSec (Internet Protocol Security) là một giao thức được IETF phát triển IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị

Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng mạng khi định tuyến dữ liệu từ nguồn đến đích Bởi vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào Cũng giống IP, IPSec trong suốt với người dùng, người không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuổi các hoạt động Liên kết an ninh IPSec/IPSec Security Associations Security Associations (SA)

là một khái niệm cơ bản của bộ giao thức IPSec SA là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec

b IPSec hỗ trợ 3 tính năng chính:

- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity): IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi ngời nhận Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và

từ chối dịch vụ

- Sự cẩn mật (Confidentiality): Các giao thức IPSec mã hóa dữ liệu bằng cách

sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén

- Quản lý khóa (Key management): IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán

mã hóa trước và trong suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi đợc yêu cầu

3 Các chế độ đóng gói dữ liệu IP của IPSec

Giao thức ESP và giao thức AH là hai giao thức chính trong việc mã hoá và xác thực dữ liệu ESP sử dụng IP Protocol number là 50 (ESP được đóng gói bởi giao thức IP và trường protocol trong IP là 50) AH sử dụng IP Protocol number là 51 ( AH được đóng gói bởi giao thức IP và trường protocol trong IP

là 51)

Bộ giao thức IPSec hoạt động trên 2 chế độ chính : chế độ truyền tải (Transports Mode ) và chế độ Tunnel (Tunnel Mode) Khi giao thức IPSec hoạt động ở Tunnel Mode thì sau khi đóng gói dữ liệu, giao thức ESP mã hoá toàn

bộ Payload, frame Header, IP Header thì nó sẽ thêm một IP Header mới vào gói tin trước khi forward đi Khi giao thức IPSec hoạt động ở Transport Mode thì IP Header vẫn được giữ nguyên và lúc này giao thức ESP sẽ chèn vào giữa Payload và IP Header của gói tin

- Chế độ giao vận: Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới

được mã hóa hoặc chứng thực IP header không bị chỉnh sửa hay mã hóa, nhưng khi chế độ Authentication header của IPSec được sử dụng thì địa chỉ

IP cũng sẽ được mã hóa bằng cách chia nhỏ thành các gói tin riêng rẽ và độc lập (Hash) Các tầng giao vận và ứng dụng thường được bảo đảm bởi hàm Hash, vì vậy chúng không thể bị sửa đổi theo bất kỳ cách nào

Ở chế độ này, vấn đề an ninh được cung cấp bởi các giao thức từ lớp 4 trở lên Chế độ này bảo vệ phần tải tin của gói nhưng vẫn để phần IP header ban đầu ở dạng bản rõ Địa chỉ IP ban đầu được sử dụng để định tuyến gói tin qua Internet

Chế độ giao vận chỉ thêm vào gói tin IP một lượng byte nhất định, vì thế dung lượng tăng không đáng kể Kiểu Transport có ưu điểm là chỉ thêm vào gói

IP ban đầu một số it byte Nhưng tại chế độ này các thiết bị trong mạng có thể phát hiện và đọc được IP địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân tích lưu lượng) dựa trên các thông tin của IP header Tuy nhiên nếu được mật mã bởi ESP các thiết bị trong mạng sẽ không biết được dữ liệu cụ thể bên trong gói tin IP Và theo khuyến cáo của IETF thì chế độ truyền tải chỉ nên sử dụng khi các đầu cuối đều sử dụng công nghệ mã hóa bảo mật là IPSec

- Chế độ Tunnel: Toàn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực Sau

đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới Chế độ tunnel được sử dụng để tạo VPN phục vụ cho việc liên lạc giữa các mạng (ví

dụ như giữa các bộ định tuyến để liên kết các trang web), liên lạc giữa máy

Authenticated

Encrypted

Authenticated

Original

Original Header

ESP

AH- kiểu Transport

ESP- kiểu Transport

Hình 2 Gói tin IP ở chế độ giao vận

Encrypted

Authenticated

Original Header

AH Header

Payload

Original Header ESP Header

Payload

AH- kiểu Tunnel

ESP- kiểu Tunnel

New Header

New Header

chủ và mạng (ví dụ như truy cập người sử dụng từ xa), và giữa các máy chủ (ví dụ như chat cá nhân)

Trong trường hợp dùng giao thức ESP: thì giao thức này sẽ làm công việc

mã hóa (encryption), xác thực (authentication), bảo đảm tính toàn vẹn dữ liệu ( integrity protection) Sau khi đóng gói xong bằng ESP, mọi thông tin và mã hoá và giải mã sẽ nằm trong ESP Header Các thuật toán mã hoá sử dụng trong giao thức như: DES, 3DES, AES, các thuật toán hash như: MD5 hoặc SHA-1 Trong trường hợp dùng giao thức AH: thì AH chỉ làm công việc xác thực (Authentication), và đảm bảo tính toàn vẹn dữ liệu Giao thức AH không có tính năng mã hoá dữ liệu

4 Các cơ chế làm việc của IPSec

Mục đích của IPSec là bảo vệ luồng dữ liệu truyền tải giữa các mạng LAN với nhau và chúng ta có thể hiểu hơn về IPSec qua các bước dưới đây

 Host A gửi lưu lượng cần bảo vệ tới hosr B

 Router A và B thỏa thuận một phiên trao đổi IKE Phase 1 – IKE

Hình 3 Gói tin IP ở kiểu Tunnel

Hình 4: 5 bước hoạt động của IPSec

 Router A và B thỏa thuận một phiên trao đổi IKE Phase 2 – IKE

 Thông tin được truyền dẫn qua đường hầm IPSec

 Kết thúc đường hầm IPSec

Bước 1: Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec Ở đây, các thiết bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ

Bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch

vụ bảo mật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SA (Security Associations)) Trong phase này, thiết lập một kênh truyền thông an toàn

để tiến hành thoả thuận IPSec SA trong Phase 2

Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập các IPSec SA tương đương ở hai phía Những thông số an ninh này được sử dụng

để bảo vệ dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối kết quả cuối cùng của hai bước IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía

Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa trên cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA

Bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc

do hết hạn