Công nghệ mạng riêng ảo

Giới thiệu chung về VPN 1 Ưu và nhược điểm của VPN Tiết kiệm chi phí giảm được chi phí đầu tư và chi phí thường xuyên Tính linh hoạt mềm dẻo đối với yêu cầu Khả năng mở rộng cơ sở h

3

M ạng riêng

ảo trên nền IPsec

4

M ạng riêng

ảo trên nền MPLS

Công nghệ mạng riêng ảo

Người trình bày:

Nguyễn Tiến Ban

Khoa Viễn thông 1 Học viện Công nghệ BCVT

Giới thiệu chung về VPN

1 Khái niệm chung về VPN

Đường hầm

Internet

Mạng riêng (LAN)

Mạng riêng (LAN)

Hai loại VPN:

- Kiểu tin cậy (Trusted VPN)

- Kiểu an toàn (Secure VPN)

Mô hình VPN an toàn

Tính xác thực Tính toàn vẹn Tính bảo mật

Giới thiệu chung về VPN

1

Ưu và nhược điểm của VPN

Tiết kiệm chi phí (giảm được chi phí đầu tư và chi phí thường xuyên) Tính linh hoạt (mềm dẻo đối với yêu cầu )

Khả năng mở rộng ( cơ sở hạ tầng mạng công cộng )

Giảm thiểu các hỗ trợ kỹ thuật (Việc chuẩn hoá kết nối )

Giảm thiểu các yêu cầu về thiết bị

Đáp ứng các nhu cầu thương mại

Sự rủi ro an ninh

Độ tin cậy và sự thực thi Vấn đề lựa chọn giao thức

Các mô hình VPN

1

Dựa trên khách hàng (Customer-based)

- chồng lấn (overlay);

- được cấu hình trên các thiết bị của khách hàng và sử dụng các giao

thức đường hầm xuyên qua mạng công cộng;

- Nhà cung cấp dịch vụ bán các mạch ảo giữa các site của khách hàng như là đường kết nối thuê riêng

Dựa trên mạng (Network-based)

VPN truy nhập từ xa

– Không cần sự hỗ trợ của nhân viên mạng do quá trình kết nối từ

xa được các ISP thực hiện;

– Giảm được các chi phí cho kết nối từ khoảng cách xa do được thay thế bởi kết nối cục bộ thông qua mạng Internet;

– Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa; – Do kết nối truy nhập là nội bộ nên các modem hoạt động ở tốc

độ cao hơn so với cách truy nhập khoảng cách xa;

– Cung cấp khả năng truy nhập tốt hơn đến các site của công ty

– Không hỗ trợ các dịch vụ đảm bảo QoS;

– Nguy cơ bị mất dữ liệu cao;

– Do thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể

PIX Firewall

Văn phòng ở xa

Văn phòng trung tâm

– Do kết nối trung gian được thực hiện thông qua Internet, nên nó

có thể dễ dàng thiết lập thêm một liên kết ngang hàng mới;

– Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao

Mô hình

VPN mở rộng

Intranet

DSL cable

DSL

– Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng, làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty;

– Khả năng mất dữ liệu trong khi truyền qua mạng công cộng;

– Thách thức trong việc truyền khối lượng lớn dữ liệu với yêu cầu tốc

độ cao và thời gian thực

3

M ạng riêng

ảo trên nền IPsec

4

M ạng riêng

ảo trên nền MPLS

Các giao thức đường hầm phổ biến

 Giao thức chuyển tiếp lớp 2

(L2F – Layer Two Forwarding);

 Giao thức đường hầm điểm tới điểm

(PPTP – Point to Point Tunneling Protocol);

gateway

Data Tunnel

Mạng riêng Mạng của ISP

Giao thức L2F

 Ưu điểm

– Cho phép thiết lập đường hầm đa giao thức;

– Được hỗ trợ bởi nhiều nhà cung cấp

 N hược điểm

– Không có mã hoá;

– Hạn chế trong việc xác thực người dùng;

– Không có điều khiển luồng cho đường hầm

Giao thức đường hầm điểm tới điểm – PPTP

Phần đuôi liên kết dữ liệu Tiêu đề TCP

Tiêu đề

liên kết dữ liệu

Bản tin điều khiển PPTP Tiêu đề IP

Gói dữ liệu kết nối điều khiển PPTP

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá (IP, IPX, NETBEUI)

Phần đuôi liên kết dữ liệu

Tiêu đề

liên kết dữ liệu

Đóng gói dữ liệu đường hầm PPTP

Giao thức đường hầm điểm tới điểm – PPTP

Cấu trúc gói

Phần đuôi liên kết dữ liệu

Tiêu đề GRE

Tiêu đề liên kết dữ liệu

Tải PPP được mã hóa (IP, IPX, NetBEUI)

Tiêu đề IP

Tiêu đề PPP

NDIS NDISWAN

Bắt đầu gói ở đây

Cấu trúc gói tin cuối cùng

Giao thức đường hầm điểm tới điểm – PPTP

Hệ thống cung cấp VPN dựa trên PPTP

Máy chủ mạng PPTP

Mạng riêng

được bảo vệ

Mạng riêng được bảo vệ

Kết nối LAN-LAN

Client PPTP

Bộ tập trung truy cập mạng PPTP

Kết nối Client -LAN NAS

Giao thức đường hầm điểm tới điểm – PPTP

Phần đuôi liên kết

dữ liệu

Tiêu đề IPSec ESP

Tiêu đề liên

Tiêu đề UDP

Phần đuôi IPSec ESP Bản tin L2TP

Phần đuôi xác thực IPSec ESP

Mã hóa bởi IPSec

Bản tin điều khiển L2TP

Tiêu đề

liên kết

dữ liệu

Tiêu đề IP

Tiêu đề IPSec ESP

Tiêu đề UDP

Tiêu đề L2TP

Tiêu đề PPP

Tải PPP (IP, IPX, NetBEUI)

Phần đuôi IPSec ESP

Phần đuôi nhận thực IPSec ESP

Phần đuôi liên kết

dữ liệu

Được mã hoá Được xác thực

Đóng gói dữ liệu đường hầm L2TP

Giao thức đường hầm lớp 2 – L2TP

Cấu trúc gói

Hệ thống cung cấp VPN dựa trên L2TP

Máy chủ mạng L2TP

Mạng riêng

được bảo vệ

Mạng riêng được bảo vệ

Kết nối LAN-LAN

Client L2TP

Bộ tập trung truy cập mạng L2TP

Kết nối Client -LAN

Giao thức đường hầm lớp 2 – L2TP

3

M ạng riêng

ảo trên nền IPsec

4

M ạng riêng

ảo trên nền MPLS

Mạng riêng ảo trên nền IPsec

3

Đóng gói thông tin IPSec

Tiêu đề gốc

Tiêu đề

Được xác thực

Được mật mã

ESP - chế độ truyền tải

Xử lí gói tin IP ở chế độ truyền tải

Đóng gói thông tin IPSec

Xử lí gói tin IP ở chế độ đường hầm

Tiêu đề mới

Tiêu đề AH

Tiêu đề

Được xác thực

Tiêu đề mới

Tiêu đề ESP

Tiêu đề

Được mật mã Được xác thực

AH - chế độ đường hầm

ESP - chế độ đường hầm

Bộ định tuyến A Bộ định tuyến B

Cấu trúc tiêu đề AH

Tiêu đề IP gốc Tiêu đề lớp 4 gốc Dữ liệu

Tiêu đề IP gốc Tiêu đề AH Tiêu đề lớp 4 gốc Dữ liệu

Security Parameters Index (SPI)

Sequence Number

Dữ liệu xác thực (độ dài thay đổi - số nguyên lần của 32 bit)

Giao thức tiêu đề xác thực AH

Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

IPv4 Sau khi thêm AH (Transport mode)

Trước khi thêm AH IPv4 Tiêu đề

Xác thực (Trừ các trường biến đổi ở tiêu đề mới)

Giao thức tiêu đề xác thực AH

Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH

Giao thức tiêu đề xác thực AH

Tiêu đề

IP gốc

Hop-nối-Hop, đích định tuyến, phân mảnh AH tuỳ chọnĐích TCP Dữ liệu

Tiêu đề

IP gốc Các tiêu đề phụ (nếu có) TCP Dữ liệu

Trước khi thêm AH

IPv6

IPv6

Sau khi thêm AH (Transport mode)

Xác thực (trừ các trường biến đổi)

Tiêu đề

IP mới

Các tiêu đề phụ (nếu có) AH

Tiêu đề

IP gốc Tiêu đề phụ (nếu có) TCP Dũ liệu

Sau khi thêm AH (Tunnel mode)

IPv6

Xác thực

Next

Giao thức đóng gói tải tin an toàn ESP

Cấu trúc gói

Security Parameters Index (SPI)

Sequence Number

Dữ liệu tải tin (độ dài thay đổi - số nguyên lần của byte)

Pad Length Next Header Padding (0 – 255 byte)

Dữ liệu xác thực (độ dài thay đổi) (tùy chọn)

Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

IPv4

Sau khi thêm ESP (Transport mode)

Trước khi thêm ESP IPv4 Tiêu đề

IP gốc TCP Dữ liệu

Tiêu đề

IP gốc Tiêu đềESP TCP Dữ liệu

Sau khi thêm ESP (Tunnel mode)

IPv4

Phần đuôi ESP

Cấp quyền ESP Được mã hoá

Giao thức đóng gói tải tin an toàn ESP

Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

Giao thức đóng gói tải tin an toàn ESP

Tiêu đề

IP gốc

Hop-nối-Hop, đích định tuyến, phân mảnh ESP

Đích tuỳ chọn TCP Dữ liệu

Tiêu đề

IP gốc

Các tiêu đề phụ (nếu có) TCP Dữ liệu

Trước khi thêm ESP

IPv6

IPv6

Sau khi thêm ESP (Transport mode)

Tiêu đề

IP mới Các tiêu đề phụ mới ESP Tiêu đề IP gốc Tiêu đề phụ (nếu có) TCP Dữ liệu

Sau khi thêm ESP (Tunnel mode)

IPv6

Phần đuôi ESP

Cấp quyền ESP

Được xác thực Được mã hoá

Phần đuôi ESP

Cấp quyền ESP Được mã hoá

Liên kết an ninh và hoạt động trao đổi khóa

 Khái niệm

– Khi thiết lập kết nối IPSec, hai bên phải xác định các thuật toán sẽ được

sử dụng, loại dịch vụ cần đảm bảo an ninh Sau đó thương lượng để chọn các tham số và giải thuật áp dụng cho bảo mật hay xác thực

– Dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận

truyền thông an toàn được gọi là liên kết an ninh (SA - Security

– Mỗi SA có một thời gian sống riêng và được nhận dạng duy nhất bởi:

 địa chỉ IP đích

– Cơ chế quản lý SA của IPSec hiện nay chỉ được định nghĩa cho SA

đơn hướng

Kết hợp các SA kiểu đường hầm khi hai điểm cuối trùng nhau

Liên kết an ninh 1 (đường hầm) Liên kết an ninh 2 (đường hầm)

Liên kết an ninh 1

Kết hợp các liên kết an ninh

Kết hợp các SA kiểu đường hầm khi một điểm cuối trùng nhau

Hoạt động trao đổi khóa IKE

 T hiết lập kết nối IPSec:

– IPSec cung cấp việc xử lý ở mức gói,

– IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các SA

 IKE (Internet Key Exchange) được chọn là chuẩn để cấu hình SA cho IPSec

 Các bước IKE:

– 1 Quyết định lưu lượng cần được quan tâm bảo vệ;

– 2 Thương lượng chế độ chính (Main Mode) hoặc chế độ linh hoạt

(Aggressive Mode) sử dụng IKE, kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec;

– 3 Thương lượng chế độ nhanh (Quick Mode) sử dụng IKE, kết quả là

tạo ra hai IPSec SA giữa hai bên IPSec;

– 4 Dữ liệu bắt đầu truyền qua đường hầm mã hóa sử dụng kỹ thuật

đóng gói ESP hay AH (hoặc cả hai);

– 5 Kết thúc đường hầm IPSec-VPN (do IPSec SA kết thúc, hết hạn

hoặc bị xóa)

Pha I (ISAKMP SA)

Pha II SA (IPSec SA)

Pha II SA (IPSec SA) Đường hầm IPSec mới

……

Dữ liệu được bảo vệ

Hoạt động trao đổi khóa IKE

Hoạt động điều khiển truy nhập mật mã theo ACL

Gói bản rõ

IPSec

Crypto ACL

Gói AH hoặc ESP

Gói AH, ESP hoặc bản rõ

Gói bản rõ

IPSec

Crypto ACL

Gói AH hoặc ESP

IKE pha một sử dụng chế độ chính

Host B Host A

IKE pha 1 Chế độ chính Thương lượng

chính sách

Thương lượng chính sách

Trao đổi

Diffie-Hellman

Trao đổi Diffie-Hellman

Kiểm tra xác

thực các bên

Kiểm tra xác thực các bên

Hoạt động trao đổi khóa IKE

Trao đổi các tập chuyển đổi IPSec

Host B Host A

Thỏa thuận các tập chuyển đổi Tập chuyển đổi

30 ESP 3DES SHA Tunnel Lifetime

Tập chuyển đổi

50 ESP 3DES SHA Tunnel Lifetime

Tập chuyển đổi

40 ESP DES MD5 Tunnel Lifetime

Hoạt động trao đổi khóa IKE

Hoạt động trao đổi khóa IKE

Một số vấn đề kĩ thuật trong thực hiện VPN trên nền IPSec

– Mã xác thực bản tin băm HMAC

– Thuật toán giản lược bản tin MD5

– Thuật toán băm an toàn SHA

 Xác thực các bên

– Khóa chia sẻ trước (Pre-shared Keys);

– Chữ ký số RSA (RSA Signatures);

– Số ngẫu nhiên mật mã RSA (RSA-encrypted Nonces)

 Quản lí khóa

Ví dụ thực hiện kết nối VPN trên nền IPSec

Đường ngầm Nhận thực Mật mã

Computer Computer Văn bản được mật mã

Văn bản rõ

Các vấn đề còn tồn tại trong IPSec

 Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau;

 IKE là công nghệ chưa thực sự khẳng định được khả năng

 Phương thức chuyển khoá thủ công không thích hợp cho mạng có

số lượng lớn các đối tượng di động

 IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không

3

M ạng riêng

ảo trên nền IPsec

4

M ạng riêng

ảo trên nền MPLS

Mạng riêng ảo trên nền MPLS

4

Mạng riêng ảo trên nền MPLS

Các thành phần cơ bản MPLS-VPN

Bộ định tuyến PE và sơ đồ kết nối các site khách hàng

Mạng riêng ảo trên nền MPLS

Mô hình MPLS L3VPN

Mạng riêng ảo trên nền MPLS

Mô hình MPLS L2VPN

Mạng riêng ảo trên nền MPLS

Địa chỉ VPN-IPv4

Việc mở rộng tiền tố địa chỉ IP của khách hàng VPN đã dẫn đến một khái niệm mới là địa chỉ VPN-IP

Địa chỉ VPN-IP được tạo ra bằng cách ghép hai thành phần có độ dài không đổi

là trường phân biệt tuyến (Route Distinguisher) và địa chỉ IP cơ sở

Mạng riêng ảo trên nền MPLS

Khuôn dạng trường phân biệt tuyến

Mạng riêng ảo trên nền MPLS

Sử dụng nhãn để chuyển tiếp gói tin VPN

Mạng riêng ảo trên nền MPLS

Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN

Mạng riêng ảo trên nền MPLS

Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS

AS 777 Mạng lõi nhà cung cấp

Site khách hàng

10.12.0.0/16

AS 73

CE1 VPN A

Site khách hàng

10.24.0.0/16

AS 88

CE6 VPN A

CE5 VPN A

Mạng riêng ảo trên nền MPLS

Mô hình vòi chất lượng dịch vụ

Chất lượng dịch vụ trong MPLS-VPN

VPN B/Site1

VPN A/Site 3

VPN B/Sitte 3 VPN A/Site 1

ICR 15 Mbit/s ECR 15 Mbit/s

ICR 7 Mbit/s ECR 7 Mbit/s

CE B11

ICR 7 Mbit/s ECR 7 Mbit/s

ICR (Ingress Committed Rate) - tốc độ cam kết đầu vào

Xác thực phiên

Thiết lập các thành viên VPN trong quá trình cung cấp dịch vụ, định nghĩa truy nhập tới nhóm dịch vụ trong khi cấu hình, từ chối các truy nhập không hợp pháp

Xác thực qua chứng thực số hoặc khóa xác định trước

Loại bỏ gói không phù hợp với chính sách bảo mật

Tính riêng tư Tách lưu lượng thành các luồng riêng

biệt

Sử dụng mã hoá và kỹ thuật đường hầm thích hợp tại lớp địa chỉ mạng

QoS và SLA Cho phép lập các SLA với nhiều mức, có

các kỹ thuật đảm bảo QoS và kỹ thuật lưu lượng

Không chỉ ra các QoS và SLA trực tiếp

kế hoạch, phân phối khoá, quản lý khoá và

Mạng riêng ảo trên nền MPLS

Giảm các chi phí điều hành mạng qua phương pháp cung cấp tập trung

Triển khai dịch

vụ

Yêu cầu các phần tử mạng MPLS mở dịch vụ tại các thiết bị lõi và biên của mạng nhà cung cấp

Có thể triển khai trên bất kỳ hạ tầng mạng IP