Internet đã được thiết kế để nhằm kết nối các mạng con khác nhau lại với nhau và cho phép thông tinchuyển đến người sử dụng một cách nhanh chóng mà không cần xét đến máy vàmạng mà người
Trang 1Luận văn Cấu hình VPN site to site trên Windows Server 2008
Trang 2LỜI CẢM ƠN
Đầu tiên cho em xin gửi lời cảm ơn đến tất cả các thầy cô trong khoa Kỹthuật - công nghệ trường Đại học Hà Tĩnh đã hỗ trợ, tạo điều kiện về cơ sở vật chấtcho em trong quá trình thực hiện khóa luận
Đặc biệt em xin gửi lời cám ơn đến thầy Nguyễn Quốc Dũng – người đã
trực tiếp hướng dẫn em hoàn thành khóa luận này Bên cạnh đó là những ý kiếnđóng góp của bạn bè, đã cho em nguồn động viên lớn để hoàn thành nhiệm vụ củakhóa luận Qua đó, em đã đạt được nhiều tiến bộ về kiến thức cũng như những kĩnăng làm việc bổ ích
Em chân thành gửi lời cám ơn sâu sắc đến toàn thể thầy cô và các bạn!
Hà Tĩnh, ngày 25/05/2013
Lê Đức Long
1
Trang 3LỜI CAM ĐOAN
Tôi xin cam đoan những kết quả nghiên cứu trong đề tài này hoàn toàn thực
tế Nếu xảy ra bất kỳ trường hợp nào liên quan đến bản quyền, tôi xin chịu hoàntoàn trách nhiệm
Hà Tĩnh, ngày 24/05/2013
Lê Đức Long
Trang 4MỤC LỤC
LỜI CÁM ƠN 1
LỜI CAM ĐOAN 2
LỜI MỞ ĐẦU 4
Chương 1 TỔNG QUAN CHUNG VỀ MẠNG VPN 5
1.1.Giới thiệu 5
1.2.Khái niệm VPN 6
1.3.Các loại mạng VPN 7
1.4 Ưu điểm của VPN .8
1.5 Nhược điểm .9
Chương 2 KIẾN TRÚC CỦA MẠNG RIÊNG ẢO VPN 11
2.1.Kiến trúc mạng riêng ảo VPN 11
2.2.Các giao thức của VPN .12
2.3.Các khối trong VPN .13
Chương 3 BẢO MẬT TRONG MẠNG RIÊNG ẢO VPN 14
3.1 Các dạng tấn công mạng .14
3.2 Giao thức IP Security - IPSec 15
3.3 Giao thức Layer 2 Tunneling Protocol (L2TP) .21
Chương 4: CẤU HÌNH VPN TRÊN WINDOWS SERVER 2008 27
4.1 Một số yêu cầu cần thiết khi triển khai mạng VPN 27
4.2 Kịch b ả n VPN site to site 30
4.3 Cấ u hình VPN site to site trên Windows Server 2008 30
KẾT LUẬN 37
TÀI LIỆU THAM KHẢO 38
PHỤ LỤC: CÁC THUẬT NGỮ VIẾT TẮT 39
Trang 5LỜI MỞ ĐẦU
Ngày nay, với các nhu cầu ngày càng cao của con người, khoa học và côngnghệ ngày càng phát triển để đáp ứng các nhu cầu đó Trong mỗi tổ chức, mỗi
doanh nghiệp đều có cơ sở hạ tầng riêng của mình, chỉ khác nhau ở quy mô và cách
tổ chức Mọi tổ chức, các doanh nghiệp ngày càng muốn phát triển để tăng lợi
nhuận, chính vì vậy cơ sở hạ tầng ngày càng được nâng cấp mở rộng để đáp ứngcho các hoạt động đó Đi kèm với việc công nghệ phát triển là sự mở rộng khôngngừng về quy mô và chất lượng của cơ sở vật chất, của hạ tầng mạng Tất cả các tổchức, các doanh nghiệp đều khác nhau, nhưng sự ảnh hưởng của hệ thống mạng đốivới hoạt động của doanh nghiệp hầu như không thay đổi Thực tế, khi doanh nghiệpphát triển, mạng lưới phát triển không chỉ về quy mô và tính phức tạp, mà còn trong
ý nghĩa và giá trị Hạ tầng mạng còn đặc biệt quan trọng khi mọi hoạt động của các
tổ chức, doanh nghiệp phụ thuộc hầu hết vào chúng
VPN – Virtual Private Network ra đời sẽ là sự lựa chọn số một của các
doanh nghiệp, tổ chức, cơ quan khi muốn đảm bảo chắc chắn về độ an toàn, bảo mậttrong hệ thống mạng, cũng như về giải pháp tiết kiệm chi phí đầu tư cơ sở hạ tầngmạng VPN có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại
có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line
Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế.Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng
và hiệu quả hơn so với các giải pháp mạng diện rộng WAN Với VPN, ta có thểgiảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chiphí thường xuyên, mềm dẻo trong xây dựng
Trang 6CHƯƠNG 1 TỔNG QUAN CHUNG VỀ MẠNG VPN 1.1.Giới thiệu
Hiện nay, với sự phát triển mạnh mẽ như vũ bão của Internet về mặt mô hìnhcho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết
kế để nhằm kết nối các mạng con khác nhau lại với nhau và cho phép thông tinchuyển đến người sử dụng một cách nhanh chóng mà không cần xét đến máy vàmạng mà người sử dụng đó đang sử dụng Để làm được điều này, người ta sử dụngmột máy tính đặc biệt gọi là Router để kết nối các LAN và WAN lại với nhau Các
máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP – Internet
Service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuật còn phải
tiếp tục giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế vàrất nhiều dịch vụ hữu ích khác đã trở thành hiện thực Tuy nhiên do Internet cóphạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khókhăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầutrên mà vẫn có thể tận dụng cơ sở hạ tầng hiện có của Internet, đó chính là mô hìnhmạng riêng ảo (VPN – Virtual Private Network) Với mô hình mới này, người takhông phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độtin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạngnày VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các vănphòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạtầng được cung cấp bởi mạng công cộng Nó có thể đảm bảo an toàn thông tin giữacác đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trườngtruyền thông rộng lớn Trong nhiều trường hợp VPN cũng giống như WAN (WireArea Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạngcông cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệm chi phí đầu tư
Trang 71.2.Khái niệm VPN
VPN - Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1
mạng công cộng (ví dụ mạng internet) hoạt động giống như 1 mạng cục bộ, có cùng
các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưu thích VPN chophép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chinhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng.Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiềuloại đường dây riêng… Trong khi đó VPN không bị những rào cản về chi phí nhưcác mạng WAN do được thực hiện qua một mạng công cộng
sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu
Trang 8Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuêbao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng củamột tổ chức với địa điểm hoặc người sử dụng ở xa
Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường
thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên
ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí vàthời gian
Nói cách khác, đây là dạng kết nối áp dụng cho các công ty mà các nhân viên
có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa Điển
hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diệnrộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP ESP cài đặt một công
nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm
Trang 9client trên mỗi máy của họ Các nhân viên từ xa này sau đó có thể quay một số từ
1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truycập mạng công ty của họ Các công ty khi sử dụng loại kết nối này là những hãnglớn với hàng trăm nhân viên thương mại Remote-access VPN đảm bảo các kết nốiđược bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua
có thể dựa trên Intranet hoặc Extranet
- Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham
gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ)
để nối LAN với LAN
- Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có
thể làm việc trên một môi trường chung
Ví dụ trong hình 1.1 thì kết nối giữa Văn phòng chính và Văn phòng từ xa làloại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPNExtranet
1.4 Ưu điểm của VPN.
- Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý do là VPN đãloại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ
và mạng truyền tải như ISP, hay ISP's Point of Presence (POP).
Trang 10- Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng
cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể Ngoài racác tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN
sử dụng trong VPN được quản lý bởi ISP Một nguyên nhân nữa giúp làm giảm chiphí vận hành là nhân sự, tổ chức không mất chi phí để đào tạo và trả cho nhiềungười người quản lý mạng
- Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho
kết nối nội bộ giữa các phần xa nhau của intranet Do Internet có thể được truy cậptoàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kếtnối dễ dàng với mạng intranet chính
- Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông
qua mạng công cộng cho nên tính bảo mật cũng được cải thiện Thêm vào đó, VPN
sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủyquyền Do đó VPN được đánh giá cao bảo mật trong truyền tin
- Hiệu suất băng thông: Sự lãng phí băng thông khi không có kết nối Internet
nào được kích hoạt Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thànhkhi có yêu cầu truyền tải thông tin Băng thông mạng chỉ được sử dụng khi có kíchhoạt kết nối Internet Do đó hạn chế rất nhiều sự lãng phí băng thông
- Có thể nâng cấp dễ dàng: Bởi bì VPN dựa trên cơ sở Internet nên các nó
cho phép các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinhdoanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tốithiểu Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triểntrong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng
1.5 Nhược điểm.
- Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạngVPN
Trang 11- Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay chưa hoàn toàn trên cơ
sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes)
và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPNkhông phù hợp được với các thiết bị và giao thức này Vấn đề này có thể được giảiquyết một cách chừng mực bởi các “tunneling mechanisms” Nhưng các gói tinSNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suấtlàm việc của cả mạng
- Nhược điểm của các thiết bị VPN hiện nay :
+ Khi có một gói tin được gửi thông qua mạng Internet giữa 2 mạng Intranet,thì gói tin này được gửi đến mọi đường hầm trong mạng Điều này khiến cho lưulượng thông tin trao đổi gia tăng một cách đáng kể
+ Khi cấu hình mạng con thay đổi, các nhà quản trị mạng phải cập nhật, cấuhình các thiết bị VPN theo phương pháp thủ công, chưa có những công cụ tự độngcập nhật lại tình trạng của các mạng con
+ Khi cấu hình của các Intranet phức tạp, như bao gồm nhiều mạng con,nhiều mạng bên trong, thì thông tin của Intranet bên trong không được lưu trữ mộtcách trọn vẹn đầy đủ
+ Thiết bị VPN hiện nay không hỗ trợ đối với những đường hầm được thiếtlập với cơ chế mã hóa có khóa thay đổi theo thời gian Phương pháp mã hóa dữ liệutrong những đường ống luôn được định trước, cả về phương pháp mã hóa, khóa mã
dữ liệu Khi muốn thay đổi khóa mã hóa, nhà quản trị mạng phải thực hiện việcthay đổi khóa một cách thủ công trên tất cả các thiết bị VPN trong VPN đó
Trang 12CHƯƠNG 2 KIẾN TRÚC CỦA MẠNG RIÊNG ẢO VPN
2.1.Kiến trúc mạng riêng ảo VPN
2.1.1.Đường hầm.
Không như những kết nối sử dụng đường kênh thuê riêng trong các mạngtruyền thống, VPN không duy trì những kết nối thường trực giữa các điểm cuối tạothành mạng công ty Thay vào đó, một kết nối được tạo ra giữa các site khi cần đến
Và khi kết nối này không còn cần thiết nữa thì nó sẽ bị hủy bỏ, làm cho băng thông
và các tài nguyên mạng khác sẵn sàng cho những kết nối khác sử dụng Đó là phần
“ảo” trong VPN mang ý nghĩa linh động với các kết nối được thiết lập dựa trên nhucầu của tổ chức, doanh nghiệp
Phần “ảo” trong VPN cũng mang ý nghĩa về cấu trúc logic của mạng đượchình thành chỉ cho những thiết bị mạng tương ứng của mạng đó, bất chấp cấu trúc
vật lý của mạng cơ sở (trong trường hợp này là Internet) Các thiết bị như bộ định tuyến (router), chuyển mạch (switch) hay những thành phần mạng của các ISP được
giấu đi khỏi những thiết bị và người dùng của mạng ảo Do đó, những kết nối tạonên mạng riêng ảo VPN không có cùng tính chất vật lý với những kết nối cố định
(hard-wired) được dùng trong mạng LAN Việc che dấu cơ sở hạ tầng của nhà cung
cấp dịch vụ ISP và Internet được thực hiện bởi một khái niệm gọi là định đường
hầm (tunneling).
Để tạo ra một đường hầm, điểm cuối nguồn phải đóng gói (encapsulate) các gói (packets) của mình trong những gói IP (IP packets) cho việc truyền qua Internet.
Việc đóng gói trong VPN có thể bao gồm việc mã hóa gói gốc và thêm vào một tiêu
đề IP (IP header) mới cho gói Tại điểm cuối nhận, cổng nối (gateway) gỡ bỏ tiêu
đề IP và giải mã gói nếu cần thiết và chuyền gói nguyên thủy đến đích của nó
Trang 13- Điều khiển truy cập (Access control): hạn chế việc đạt được quyền cho phép
vào mạng của những người dùng bất hợp pháp
- Tin cậy (Confidentiality): ngăn không cho một ai đó đọc hay sao chép dữ
liệu khi dữ liệu được truyền đi qua mạng Internet
- Tính toàn vẹn của dữ liệu (Data integrity): đảm bảo không một ai làm thay
đổi dữ liệu khi nó truyền đi trên mạng
Nhưng việc thực hiện bảo mật tại những mức độ này có thể diễn ra hai hìnhthức mà nó tác động đến trách nhiệm của một cá nhân cho việc bảo mật dữ liệu củariêng mình Bảo mật có thể được thực hiện cho các thông tin đầu cuối – đến – đầu
cuối (end – to – end communication), ví như giữa hai máy tính, hay giữa các thành
phần mạng khác với nhau, ví dụ như tường lửa hay bộ định tuyến Trong trường
hợp cuối có thể được xem như bảo mật kết nối nút-nút (node-to-node security).
Máy trạm
Cổng nốibảo mật 1
INTERNET
Cổng nốibảo mật 2
Hình 2.1: So sánh bảo mật nút-nút và đầu cuối – đầu cuối
2.2.Các giao thức của VPN.
2.2.1.Các giao thức đường hầm và bảo mật
Có ba giao thức được thiết kế để làm việc ở lớp thứ 2, lớp liên kết dữ liệu,gồm: giao thức chuyển tiếp lớp 2 – L2F, giao thức định đường hầm điểm – điểmPPTP và giao thức định đường hầm lớp 2 – L2TP Giao thức mạng VPN duy nhấtcho lớp 3 là IPSec
Một số đặc điểm của những giao thức này:
Trang 14- PPTP là một cơ chế xây dựng đường hầm điểm – điểm được tạo ra trước tiên
để hỗ trợ các gói đường hầm (packet tunneling) trong phần cứng máy chủ truy cập
là giao thức dùng cho xác thực và tính cước
Với kết nối LAN – LAN dùng giao giao thức quản trị ISAKMP/Oakley, là
một biến thể của giao thức IPSec
2.3.Các khối trong VPN.
Theo hình 3.3, chúng ta thấy có bốn thành phần chính của một mạng VPN,
đó là: Internet, cổng nối bảo mật (security gateway), máy chủ chính sách bảo mật(security policy server) và cấp quyền CA (certificate authority)
Mạng LAN
được bảo vệ
Hình 2.2: Các thành phần trong một mạng VPN
Mạng LANđược bảo vệ
Trang 15CHƯƠNG 3 BẢO MẬT TRONG MẠNG RIÊNG ẢO VPN
Một trong những mối quan tâm chính của bất kỳ tổ chức, công ty nào là việcbảo mật dữ liệu của họ Bảo mật dữ liệu chống lại các truy cập và thay đổi trái phépkhông chỉ là một vấn đề trên các mạng Việc truyền dữ liệu giữa các máy tính haygiữa các mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhậphơn là khi dữ liệu vẫn còn trên một máy tính đơn
Vấn đề bảo mật trên hệ thống mạng riêng ảo VPN dựa chủ yếu vào các vấn
đề về thiết lập đường hầm (tulneling), các dịch vụ bảo mật và các giao thức sử dụng
trong VPN Những vấn đề trên đã được khái quát ở chương 2 (chương cấu trúc VPN).
Chương 3 sẽ bàn về vấn đề bảo mật VPN và sẽ đi sâu hơn về hai giao thứcđược chọn làm hai giao thức bảo mật trong khóa luận này là L2TP và IPSec
Trước khi đi sâu vào vấn đề chính, chúng ta lướt qua các dạng tấn công
mạng hiện nay, từ đó sẽ có cái nhìn tổng quan hơn với việc bảo mật thế nào để ngănchặn những luồng tấn công đó:
3.1 Các dạng tấn công mạng.
3.1.1 Đánh lừa
Tấn công kiểu đánh lừa (spoofing) là việc một người tấn công có thể sử dụng
địa chỉ IP của một ai đó và giả vờ trả lời người khác
dụng một loại phần mềm gọi là đánh hơi (sniffer) để ghi lại tất cả lưu lượng mạng
và có thể xâm nhập vào hệ thống mà người tấn công không có quyền truy nhập
Trang 163.1.4 Tấn công ngay chính giữa
Một người tấn công sử dụng phương pháp đánh lừa, ăn cắp phiên và nghetrộm có thể thu được một số trao đổi khóa, khóa này được người dùng trao đổi để sửdụng cho mã hóa Người tấn công có thể nhanh chóng tạo ra khóa riêng cho mìnhtrong tiến trình, vì thế trong khi người dùng tin rằng mình đang truyền thông vớimột khóa của một thành viên, thì trên thực tế người dùng đó đang dùng một khóa đã
bị tấn công ngay chính giữa
3.2 Giao thức IP Security - IPSec
Khác với giao thức nguyên thủy TCP/IP không bao gồm các đặc tính bảomật, họ giao thức IPSec có kiến trúc cơ bản gồm 2 loại tiêu đề được sử dụng tronggói IP để điều khiển quá trình xác thực và mã hóa: một là xác thực tiêu đề IP-AH
(IP-Authentication Header) là điều khiển việc xác thực và hai là bọc gói bảo mật tải ESP (Encapsulating Security Payload) cho mục đích mã hóa.
IPSec được phát triển nhắm vào họ giao thức kế tiếp là IPv6, nhưng do việcchấp nhận IPv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã đượcthay đổi cho phù hợp với IPv4 Việc hỗ trợ cho IPSec chỉ là tùy chọn đối với IPv4nhưng đối với IPv6 thì đã có sẵn IPSec
Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hìnhOSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực
hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI) Điều này tạo
ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP,hầu hết các giao thức sử dụng tại tầng này IPsec có một tính năng cao cấp hơn SSL
và các phương thức khác hoạt động tại các tầng trên của mô hình OSI Với một ứng
dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc
sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thìđoạn mã ứng dụng đó sẽ bị thay đổi lớn
Trang 17Hình 3.1 : IPSec và các giao thức được sử dụng trong VPN
3.2.1 Dạng thức của IPSec.
Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính đó là:
- Kết hợp bảo mật SA (Security Association).
- Xác thực tiêu đề AH (Authentication Header).
- Bọc gói bảo mật tải ESP (Encapsulating Security Payload).
SA đảm nhận Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA
và có thể đòi hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA riêngcho nó Do đó, một gói được xác thực đòi hỏi một SA, một gói được mã hóa cũngyêu cầu một SA Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mãhóa thì cũng cần phải có 2SA khác nhau do sử dụng những bộ khóa khác nhau
3.2.1.2 Xác thực tiêu đề AH.
Trang 18Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử
dụng cho các dịch vụ xác thực AH được chèn vào giữa tiêu đề IP và nội dung phíasau, không làm thay đổi gói dữ liệu
Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field), chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).
Hai khái niệm mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận góibiết họ giao thức bảo mật mà phía gửi dùng trong truyền thông và dữ liệu xác thựcAuthentication Data mang thông tin về giải thuật mã hóa được định nghĩa bởi SPI
Hình 3.2 : Xác thực tiêu đề AH
Khi nhận gói dữ liệu, đầu nhận sẽ tính toán giá trị bộ xác thực của riêng nó là
128bits hay 160 bits (tùy theo sử dụng loại nào), chia nhỏ nó ra tùy theo chiều dài
được chỉ định trong trường xác thực và so sánh giá trị của nó với giá trị xác thựcnhận được Khi mà cả hai giống nhau thì dữ liệu không bị thay đổi trên đườngtruyền Do có thể có cuộc tấn công bằng cách chặn một loạt các gói và sau đó phát
Trang 19lại chúng vào thời điểm sau nên AH cung cấp dịch vụ chống phát lại để ngăn chặncác tấn công dựa trên cách thức trên.
Với AH, dữ liệu không được giữ bí mật Nếu một kẻ tấn công chặn các góitrên mạng lại và sử dụng một mật mã thích hợp thì cũng có thể đọc được nội dungcủa dữ liệu mặc dù không thể thay đổi được nội dung của dữ liệu Để bảo mật dữliệu chống lại việc nghe trộm chúng ta cần sử dụng thành phần thứ hai của IPSec
đó là ESP
3.2.1.3 Bọc gói bảo mật tải ESP (Encapsulating Security Payload)
Bọc gói dữ liệu tải được sử dụng cho việc mã hóa dữ liệu Cũng giống như
AH, ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của gói Tuy nhiênESP có nhiệm vụ mã hóa dữ liệu nên nội dung gói sẽ bị thay đổi
Hình 3.3: Bọc gói dữ liệu tải ESP.
Giống như AH, ESP cũng gồm có SPI (Security Parameter Index) để chỉ cho bên nhận biết cơ chế bảo mật thích hợp cho việc xử lý gói Số tuần tự (Sequence Number) trong ESP là bộ đếm sẽ tăng mỗi khi một gói được gửi đến cùng một địa
Trang 20chỉ và sử dụng cùng SPI Số tuần tự chỉ ra có bao nhiêu gói được gửi đến có cùngmột nhóm các tham số Số tuần tự giúp cho việc bảo mật chống lại các vụ tấn côngbằng cách chép các gói và gửi chúng sai thứ tự để làm rồi loạn quá trình truyền
thông Phần còn lại của gói (ngoại trừ xác thực tiêu đề) sẽ được mã hóa trước khi
gửi lên mạng
ESP cũng có thể sử dụng với mục đích xác thực Trường xác thực ESP, mộttrường tùy chọn trong ESP, bao gồm một tổng kiểm tra tổng mã hóa Độ dài củatổng kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng Nó cũng cóthể được bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP Xác thựcđược tính toán sau khi tiến trình mã hóa dữ liệu đã hoàn thành
Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thực trongESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đã bọcgói trong chế độ đường hầm
Hình 3.4: So sánh xác thực bởi AH và ESP
Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọnxác thực trong ESP? AH chỉ sử dụng trong những trường hợp khi xác thực gói là
Trang 21cần thiết Mặt khác khi xác thực và tính riêng tư được yêu cầu thì sử dụng ESP vớitùy chọn xác thực sẽ tốt hơn Sử dụng ESP cho mã hóa và xác thực, thay vì sửdụng AH và ESP không có tùy chọn xác thực, sẽ giảm kích thước nên các gói sẽđược xử lý hiệu quả hơn.
3.2.1.4 Chế độ làm việc trong IPSec
Có hai chế độ làm việc trong IPSec:
- Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói là
được xử lý Chế độ này chỉ mã hóa phần payload của mỗi gói tin, nhưng bỏ đi phầnheader Nhược điểm của chế độ này là nó cho phép các thiết bị trong mạng nhìn
thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (như phân tích lưu lượng) dựa trên các thông tin của tiêu đề IP Tuy nhiên, nếu dữ liệu được
mã hóa bởi ESP thì sẽ không biết được thông tin cụ thể từ bên trong gói tin IP là gì
- Chế độ đường hầm (Tunnel mode): Toàn bộ gói sẽ được xử lý cho mã hóa
xác thực Chế độ này mã hóa cả phần header và payload để cung cấp sự thay đổibảo mật nhiều hơn của gói tin
3.2.2 Quản lý khóa
Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giaokhóa, do đó phải có cơ chế quản lý khóa Có hai phương thức để chuyển khóa đó là
chuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange) Cả
hai phương thức này không thể thiếu trong IPSec Phương thức chìa khóa trao taynày chẳng hạn như khóa thương mại ghi trên giấy, trên đĩa mềm hay thông qua bưuphẩm hoặc Email Giao thức quản lý chuyển giao khóa mặc định trong IPSec là
Internet Key Exchange (IKE) là kết quả của kết hợp bảo mật Internet ISA (Internet Security Association) và giao thức chuyển khóa (ISAKMP) IKE còn có tên gọi
khác là ISAKMP/Oakley
3.2.3 Sử dụng IPSec
Trong các thành phần tạo nên một VPN như cổng nối bảo mật, LAN nội bộ,Client truy cập từ xa, máy chủ truy cập thì có 3 thành phần được trang bị IPSec
