đồ án : NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS

đồ án :NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN

NỀN CÔNG NGHỆ MPLS

Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng Lớp : D2004VT1

KHOA VIỄN THÔNG 1

-*** -ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

KHOA VIỄN THÔNG 1 Độc lập - Tự do - Hạnh phúc

Ngành : Điện tử – Viễn thông

TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS" NỘI DUNG ĐỒ ÁN :

Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.

Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.

Ngày giao đề tài: ………

Ngày nộp đồ án: ……….

Hà Nội, ngày tháng năm 2008

Giáo viên hướng dẫn

Hoàng Trọng Minh

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (Bằng chữ: )

Hà Nội, Ngày tháng năm 2008

Giáo viên hướng dẫn

Hoàng Trọng Minh

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (Bằng chữ: )

Ngày tháng năm 2008 Giáo viên phản biện

LỜI NÓI ĐẦU

Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã trở thành một động lực quan trọng trong sự phát triển kinh tế thế giới

Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.

Để đáp ứng được những yêu cầu đó, trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:

- Thứ nhất, thuê các đường thông tin riêng (Leased-line) của các nhà cung cấp dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.

- Thứ hai, họ có thể sử dụng chung hạ tầng của nhà khai thác, giải pháp này có nhiều bất cập khi không đáp ứng được các yêu cầu đặc thù của dịch vụ Ví dụ như chất lượng, độ tin cậy an toàn thông tin

Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line Vì vậy, có thể nói VPN chính

là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ

sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.

Để tiếp cận các hướng công nghệ mới đang triển khai trong môi trường mạng viễn thông hiện nay, tôi lựa chọn đề tài “Nghiên cứu các giải pháp VPN trên nền công

nghệ MPLS” Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp hướng tới, làm chủ công nghệ.

Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn:

Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng

đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.

Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.

Nội dung của mỗi chương cụ thể như sau:

Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN Trong chương này chỉ ra các

khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai hiện nay

Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN Chương này giới

thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay Đó cũng là những quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như ATM/MPLS

Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS Với các đặc tính của hai

công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự phát triển của công nghệ VPN/MPLS.

Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.

Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em hoàn thành đề tài

Hà nội, ngày tháng năm 2008

Sinh viên: Nguyễn Mạnh Hùng

MỤC LỤC

PHẦN I 1

CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN 1

1.1 Khái niệm mạng riêng ảo 1

1.2 Những lợi ích do VPN đem lại 3

1.3 Nhược điểm và một số vấn đề cần phải khắc phục 4

1.4 Phân loại VPN và ứng dụng 5

1.4.1 VPN truy nhập từ xa 5

1.4.2 VPN điểm tới điểm 7

1.4.2.1 VPN cục bộ 8

1.4.2.2 VPN mở rộng 9

1.5 Các loại mạng VPN 10

1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN) 10

1.5.2 Nối các mạng trên Internet (Intranet VPN) 11

1.5.3 Nối các máy tính trên một Intranet (Extranet VPN) 12

1.6 Kết luận 13

2.1 Dạng thức hoạt động 14

2.1.1 Kết hợp bảo mật SA 14

2.1.2 Xác thực tiêu đề AH 15

2.1.3 Bọc gói bảo mật tải ESP 17

2.1.4 Chế độ làm việc 19

2.2 Quản lý khóa 21

2.2.1 Các chế độ của Oakley và các pha của ISAKMP 22

2.2.2 Đàm phán SA 26

2.3 Sử dụng IPSec 26

2.3.1 Các cổng nối bảo mật 27

2.3.2 Các SA đại diện 27

2.3.3 Host từ xa 28

2.3.4 Một ví dụ minh họa 29

2.4 Các vấn đề còn tồn đọng trong IPSec 30

2.5 Các giao thức đường hầm 31

2.5.1 Giới thiệu về các giao thức đường hầm 31

2.5.2 Giao thức chuyển tiếp lớp 2 – L2F 32

2.5.2.1 Cấu trúc gói L2F 32

2.5.2.2 Hoạt động của L2F 33

2.5.2.3 Ưu nhược điểm của L2F 35

2.5.3 Giao thức đường hầm điểm tới điểm – PPTP 35

2.5.3.1 Khái quát về hoạt động của PPTP 35

2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 37

2.5.3.3 Đóng gói dữ liệu đường hầm PPTP 37

2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP 40

2.5.3.5 Triển khai VPN dựa trên PPTP 40

2.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP 42

2.5.4 Giao thức L2TP 43

2.5.4.1 Dạng thức của L2TP 44

2.5.4.2 Sử dụng L2TP 53

2.5.4.3 Khả năng áp dụng của L2TP 56

PHẦN II 58

CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS 58

3.1 Các thành phần của MPLS – VPN 58

3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN 58

3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ 59

3.1.3 Bảng định tuyến và chuyển tiếp ảo 60

3.2 Các mô hình MPLS – VPN 62

3.2.1 Mô hình V3VPN 62

3.2.2 Mô hình L2VPN 63

3.3 Hoạt động của MPLS – VPN 64

3.3.1 Truyền thông tin định tuyến 64

3.3.2 Địa chỉ VPN – IP 66

3.3.3 Chuyển tiếp gói tin VPN 69

3.4 Bảo mật trong MPLS - VPN 73

3.5 Chất lượng dịch vụ trong MPLS – VPN 74

3.5.1 Mô hình ống 75

3.5.2 Mô hình vòi 77

3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLS 78

3.6.1 Các tiêu chí đánh giá 79

3.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN 80

3.8 Kết chương 83

BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN 84

1 ĐẶT VẤN ĐỀ 84

2 XÂY DỰNG BÀI TOÁN 84

3 SỬ DỤNG CÔNG CỤ MÔ PHỎNG 100

3.1 Phần mềm GNS3 100

3.2 Phầm mềm NS2 100

3.3 Lựa chọn phần mềm mô phỏng 102

4 KẾT QUẢ VÀ ĐÁNH GIÁ 102

KẾT LUẬN 109

TÀI LIỆU THAM KHẢO 111

LỜI CẢM ƠN 112

DANH MỤC HÌNH VẼ

Hình 1.1: Mô hình VPN truy cập từ xa 6

Hình 1.2: Mô hình VPN cục bộ 8

Hình 1.3: Mô hình VPN mở rộng 9

Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng 11

Hình 1.5: Tổ chức truy nhập Ipass 11

Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa 12

Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN 13

Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH 16

Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH 16

Hình 2.3: Bọc gói bảo mật tải 17

Hình 2.4: So sánh xác thực bởi AH và ESP 18

Hình 2.5: Chế độ đường hầm AH 19

Hình 2.6: Chế độ đường hầm ESP 20

Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm 20

Hình 2.8: Chế độ chính ISAKMP 23

Hình 2.9: Chế độ năng động ISAKMP 24

Hình 2.10: Chế độ nhanh ISAKMP 25

Hình 2.11: Các thành phần của một Internet VPN 26

Hình 2.12: IPSec và các chính sách bảo mật 29

Hình 2.13: Ví dụ về IPSec VPN 30

Hình 2.14: Khuôn dạng của gói L2F 32

Hình 2.15: Mô hình hệ thống sử dụng L2F 33

Hình 2.18: Sơ đồ đóng gói PPTP 39

Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP 41

Hình 2.20: Kiến trúc của L2TP 44

Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP 45

Hình 2.22: Bọc gói L2TP 45

Hình 2.23: Các đường hầm tự nguyện và bắt buộc 46

Hình 2.24: Mã hóa gói cho đường hầm bắt buộc 50

Hình 2.26: Mã hóa gói cho đường hầm tự nguyện 51

Hình 2.27: Đường hầm L2TP kết nối LAN – LAN 52

Hình 2.28: Các thành phần cơ bản của L2TP 54

Hình 2.29: Quay số L2TP trong VPN 56

Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần 59

Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng 60

Hình 3.3: Mô hình MPLS L3VPN 62

Hình 3.4: Mô hình MPLS L2VPN 64

Hình 3.5: Địa chỉ VPN – Ipv4 66

Hình 3.6: Khuôn dạng trường phân biệt tuyến 67

Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN 70

Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN 70

Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS 72

Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN 76 Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN 78

THUẬT NGỮ VIẾT TẮT

A

ATM Asynchronous Transfer Mode Phương thức truyền tải không

đồng bộ

B

BGPv4 Border Gateway Protocol version 4 Giao thức cổng biên phiên bản 4

EAP Extensible Authentication Protocol Giao thức xác thực mở rộngESP Encapsulating Security Payload Đóng gói bảo mật tải

F

IS – IS Intermediate System to Intermediate

SystemIPSec Internet Protocol Security Bảo mật giao thức Internet

ISAKMP Internet Security Association and

Key Management Protocol

Giao thức kết hợp an ninh và quản lí khóa qua Internet

ICMP Internet Control Message Protocol Giao thức bản tin điều khiển

Internet

IP – AH IP – Authentication Header Xác thực tiêu đề IP

ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ

ISP Internet Service Provider Nhà cung cấp dịch vụ InternetIMAP Internet Message Access Protocol Giao thức truy cập nhập thông tin

Internet

L

truyềnL2TP Layer Two Tunneling Protocol Giao thức đường hầm lớp 2

L2F Layer Two Forwarding Giao thức chuyển tiếp lớp 2

M

MPLS Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãn

N

NAT Network Address Translation Biên dịch địa chỉ mạng

O

OSPF

Open Shortest Path First (ATM) Giao thức định tuyến OSPF

P

PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm tới

điểmPKI Public Key Infrastructure Cơ sở hạ tầng khóa công cộngPPP Point-to-Point Protocol Giao thức điểm tới điểm

PAP Password Authentication Protocol

R

RADIUS Remote Authentication Dial-in User

Service

Dịch vụ nhận thực người dùng quay số từ xa

S

SLA Service Level Agreements Các thỏa thuận mức dịch vụ

SPI Security Parameter Index Chỉ số thông số an ninh

SPE (Sonet) Synchronous Payload

T

TACACS+ Terminal Access Controller Access

Control System Plus

Hệ thống điều khiển bộ điều khiển truy nhập đầu cuốiTCP Transmission Control Protocol Giao thức điều khiển truyền tải

U

UDP User Datagram Protocol Giao thức Datagram của khách

hàng

V

VRF Virtual Routing and Forwording Bảng định tuyến chuyển tiếp ảo

W

X

xDSL X-Type Digital Subscriber Line Đường dây thuê bao số loại

PHẦN I

CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN

VPN có thể được hiểu như là mạng kết nối các site khách hàng đảm bảo an ninhtrên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mậtnhư một mạng riêng Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công côngnhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đườngkênh thuê riêng Trong phần giới thiệu này chúng ta sẽ xem xét đến những vấn đề cơbản về VPN, các loại hình VPN, những lợi ích mà nó đem lại, cùng với một số vấn đềliên quan

1.1 Khái niệm mạng riêng ảo

Mạng riêng ảo là phương pháp làm cho một mạng công cộng (ví dụ như mạngInternet) hoạt động giống như một mạng cục bộ, có cùng các đặc tính như bảo mật vàtính ưu tiên mà người dùng từng ưa thích VPN cho phép thành lập các kết nối riêng vớinhững người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công tyđang sử dụng chung một mạng công cộng Mạng diện rộng WAN (Wide Area Network)truyền thống yêu cầu công ty phải chi phí và duy trì nhiều loại đường dây riêng, songsong với việc đầu tư các thiết bị và đội ngũ cán bộ Nhưng những vấn đề về chi phí làmcho các công ty dù muốn hưởng những lợi ích mà việc mở rộng mạng đem lại nhưngđôi khi họ không thực hiện nổi Trong khi đó, VPN không bị những rào cản về chi phínhư các mạng WAN trên do được thực hiện qua một mạng công cộng

Thực ra, khái niệm VPN không phải là một công nghệ mới, chúng đã từng được

sử dụng trong các mạng điện thoại (Telephone Networks) cách đây nhiều năm và trởnên phổ biến do sự phát triển của mạng thông minh Các mạng VPN chỉ trở nên thực sựmới mẻ khi chúng chuyển thành các mạng IP (mạng sử dụng giao thức Internet) chẳnghạn như mạng Internet VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người dùngkhông được phép truy cập đến dữ liệu và bảo đảm dữ liệu không bị sửa đổi

Định đường hầm (tunneling) là một cơ chế dùng cho việc đóng gói (encapsulate)một giao thức vào trong một giao thức khác Trong ngữ cảnh Internet, định đường hầmcho phép các giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong

IP Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạngnguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc

IP (IP envelope) Vỏ bọc IP này, thực ra là một gói IP, sau đó sẽ được chuyển đi mộtcách bảo mật qua mạng Internet Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành

gỡ bỏ vỏ bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đếnthiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến

VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuậnnày thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình của gói tintrong mạng Ngoài ra, các thỏa thuận trên có thể kèm theo một sự chỉ định cho giới hạndưới của băng thông hiệu dụng cho mỗi người dùng Các thỏa thuận này được phát triểnthông qua các thỏa thuận mức dịch vụ SLA (Service Level Agreements) với nhà cungcấp dịch vụ

Qua những vấn đề đã trình bày ở trên ta có thể định nghĩa VPN một cách ngắngọn qua công thức sau:

VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS

Nhờ vào lợi thế của các ứng dụng quan trọng được triển khai trên mạng Intranet

và các mạng truy cập từ xa đã làm cho khách hàng thỏa mãn hơn trong công việc của

họ, các hoạt động kinh doanh của công ty trở nên hợp lý, hiệu quả và đạt tới những thịtrường rộng lớn hơn Tuy nhiên các vấn đề về chi phí mạng (bao gồm chi phí thiết bị,đường dây, chi phí cho việc bảo dưỡng…) cũng như việc quản lý mạng là những vấn đềquan trọng đối với nhiều công ty, đặc biệt là những công ty muốn thu hồi vốn nhanh đểtái sản xuất Do đó người ta đã đưa ra giải pháp xây dựng những mạng riêng ảo để giảmthiểu chi phí mạng cho công ty, thay thế cho các giải pháp dùng đường truyền chuyênbiệt truyền thống như trước đây

Nhờ vào việc nối mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê baođường truyền, các doanh nghiệp có thể tự mình mở rộng tầm hoạt động của công ty ởmức toàn cầu (thông qua mạng Internet) mà không cần đầu tư ở mức quy mô toàn cầu.VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc giảm chi phí kết nối đối vớicác nhân viên lưu động (mobile worker) – vì các công ty có nhiều chi nhánh trên thếgiới thì đội ngũ nhân viên của họ đông, nhiều người phải làm việc ở những quốc gia xatrung tâm – mở rộng Intranet đến văn phòng chi nhánh, liên lạc với đối tác và kháchhàng chủ yếu thông qua mạng Extranet Sau đây chúng ta sẽ đề cập đến một số lợi ích,

giá trị của VPN, các thuật ngữ liên quan đến VPN, cũng như trình bày tổng quát cácphương thức hoạt động hiện nay của các VPN, để tạo điều kiện cho việc lựa chọnphương thức thích hợp, hiệu quả nhất để xây dựng một VPN.

1.2 Những lợi ích do VPN đem lại

VPN mang lại lợi ích thực sự và tức thời cho công ty Có thể dùng VPN để đơngiản hóa việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộngIntranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng

và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấphơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng VPN do mộtnhà cung cấp dịch vụ làm chủ và quản lý, bằng quy mô kinh tế và các công nghệ tiêntiến, họ có thể phục vụ nhiều tổ chức trên cùng một mạng, dùng các phần mềm hiện đại

để phân biệt lưu lượng dữ liệu của công ty này được tách riêng với các công ty khác Cóthể dẫn chứng những ưu điểm của VPN như sau:

Giảm chi phí thường xuyên

VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền và giảm đáng

kể tiền cước gọi đến của các nhân viên làm việc ở xa Giảm được cước phí đường dàikhi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vàoviệc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địaphương, hạn chế gọi đường dài đến các modem tập trung

Giảm chi phí đầu tư

Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục vàcác bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cungcấp dịch vụ quản lý và làm chủ Công ty cũng không phải mua, thiết lập cấu hình hoặcquản lý các nhóm modem phức tạp Ngoài ra họ cũng có thể thuê với giá rẻ các thiết bịphục vụ khách hàng, thường có sẵn ở các nhà cung cấp dịch vụ, hoặc từ các công tydịch vụ giá trị gia tăng, nhờ thế việc nâng cấp mạng cũng trở nên dễ dàng và ít tốn kémhơn

Giảm chi phí quản lý và hỗ trợ

Với quy mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho công

ty những khoản tiết kiệm có giá trị so với việc tự quản lý mạng, giảm hay loại trừ hẳnyêu cầu nhân viên “tại nhà” Hơn nữa, nhận được sự hỗ trợ và phục vụ 24/24 do nhữngnhân viên lành nghề luôn sẵn sàng đáp ứng mọi lúc, giải quyết nhanh chóng các sự cố

Truy cập mọi lúc, mọi nơi

Khách hàng của VPN qua mạng mở rộng này, có quyền truy cập và khả năngnhư nhau đối với các dịch vụ trung tâm bao gồm WWW, email, FTP… cũng như cácứng dụng thiết thực khác, khi truy cập chúng thông qua những phương tiện khác nhaunhư qua mạng cục bộ LAN (Local Area Network), modem, modem cáp, đường dâythuê bao số xDSL… mà không cần quan tâm đến những phần phức tạp bên dưới

Khả năng mở rộng

Do VPN xây dựng trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào cómạng công cộng (như Internet) đều có thể triển khai VPN Ngày nay mạng Internet cómặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng Khả năng mở rộng cònthể hiện ở chỗ, khi một văn phòng hay một chi nhánh yêu cầu băng thông lớn hơn thì nó

có thể được nâng cấp dễ dàng Ngoài ra, cũng có thể dàng gỡ bỏ VPN khi không có nhucầu

1.3 Nhược điểm và một số vấn đề cần phải khắc phục

Sự rủi ro an ninh

Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng thuê kênhriêng Tuy nhiên, nó cũng tiềm ẩn nhiền rủi ro an ninh khó lường trước Mặc dù hầu hếtcác nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự antoàn đó không bao giờ là tuyệt đối Cũng có thể làm cho VPN khó phá hoại hơn bằngcách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giáthành của dịch vụ

Độ tin cậy và sự thực thi

VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu, và các hàm mật mã phứctạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng Nhiệm vụ của ngườiquản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biếtmáy chủ nào có thể điều khiển Tuy nhiên, khi số người cố gắng kết nối tới VPN độtnhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị nàycũng không thể kết nối được vì tất cả các cổng của VPN đều bận Điều đó chính là động

cơ thúc đẩy người quản trị tạo ra các khóa ứng dụng làm việc mà không đòi hỏi VPN.Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol đểcho phép nhân viên truy nhập e-mail từ nhà hay trên đường

Vấn đề lựa chọn giao thức

Việc lựa chọn giao thức giữa IPSec hay SSL/TLS là một vấn đề khó quyết định,cũng như viễn cảnh sử dụng chúng như thế nào cũng khó có thể nói trước Một điều cầncân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên bảng biên dịchđịa chỉ NAT, còn IPSec thì không Nhưng nếu cả hai giao thức làm việc qua tường lửathì sẽ không dịch được địa chỉ IPSec mã hóa tất cả các lưu lượng IP truyền tải giữa haimáy tính, còn SSL/TLS thì đặc tả một ứng dụng SSL/TLS dùng các hàm mã hóa khôngđối xứng để thiết lập kết nối và nó bảo vệ hiệu quả hơn so với dùng các hàm mã hóađối xứng.

Trong các ứng dụng trong thực tế, người quản trị có thể quyết định kết hợp vàghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn củamạng Ví dụ, các client có thể kết nối tới một Web server thông qua tường lửa dùngđường dẫn an toàn của SSL/TLS, Web server có thể kết nối tới một dịch vụ ứng dụngdùng IPSec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu thông qua cáctường lửa khác dùng SSL

1.4 Phân loại VPN và ứng dụng

Mạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau Yêu cầu cơbản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhàcung cấp dịch vụ cũng như các đối tượng bên ngoài khác Dựa vào hình thức ứng dụng

và khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành hai loại như sau:

 VPN truy nhập từ xa (Remote Access VPN)

 VPN điểm tới điểm (Site-to-Site VPN):

bộ tập trung VPN (bản chất là một server) Giải pháp này vì thế còn được gọi là giảipháp client/server VPN truy nhập từ xa là kiểu VPN điển hình nhất, bởi vì chúng có thếđược thiết lập vào bất kể thời điểm nào và từ bất cứ nơi nào có mạng Internet

Văn phòng trung tâm

Người làm việc

Di động INTERNET

Hình 1.1: Mô hình VPN truy cập từ xa

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua

cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.Chúng có thể dùng để cung cấp truy cập an toàn cho những nhân viên thường xuyênphải đi lại, những chi nhánh hay những bạn hàng của công ty Những kiểu VPN nàyđược thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,quay số, IP di động, DSL hay công nghệ cáp và thường xuyên yêu cầu một vài kiểuphần mềm client chạy trên máy tính của người sử dụng

Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN khôngdây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ thông qua kếtnối không dây Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạmkhông dây (Wireless Terminal) và sau đó về mạng của công ty Trong cả hai trườnghợp (có dây và không dây), phầm mềm client trên máy PC đều cho phép khởi tạo cáckết nối bảo mật, còn được gọi là đường hầm

Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảm bảo yêucầu được xuất phát từ một nguồn tin cậy Thường thì giai đoạn ban đầu này dựa trêncùng một chính sách về bảo mật của công ty Chính sách này bao gồm một số qui trình

kỹ thuật và các ứng dụng chủ, ví dụ Remote Authentication Dial-In User Service(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),…

Các ưu điểm của VPN truy nhập từ xa so với các phương pháp truy nhập từ xa

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Do kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ caohơn so với cách truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn nhữngnhược điểm cố hữu đi cùng như:

- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bịmất

- Do thuật toán mã hóa phức tạp nên tiêu đề giao thức tăng một cách đáng kể

1.4.2 VPN điểm tới điểm

VPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các hệthống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN Trong trườnghợp này, quá trình xác thực ban đầu cho người sử dụng sẽ là quá trình xác thực giữa cácthiết bị Các thiết bị này hoạt động như cổng an ninh (Security Gateway), truyền lưulượng một cách an toàn từ Site này đến Site kia Các thiết bị định tuyến hay tường lửavới hỗ trợ VPN đều có khả năng thực hiện kết nối này Sự khác nhau giữa VPN truynhập từ xa và VPN điểm tới điểm chỉ mang tính tượng trưng Nhiều thiết bị VPN mới

có thể hoạt động theo cả hai cách này

VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét từquan điểm quản lý chính sách Nếu hạ tầng mạng có chung một nguồn quản lý, nó cóthể được xem như VPN cục bộ Ngược lại, nó có thể được coi là mở rộng Vấn đề truynhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng

Hình 1.2: Mô hình VPN cục bộ

VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng,tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫnđảm bảo tính mềm dẻo

Những ưu điểm chính của giải pháp VPN cục bộ bao gồm:

- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiềunhà cung cấp dịch vụ

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có thể dễ dàngthiết lập thêm một liên kết ngang hàng mới

- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợpvới các công nghệ chuyển mạch tốc độ cao

Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đicùng như:

- Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫn cònnhững mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầutốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

1.4.2.2 VPN mở rộng

VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường hầmbảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầngmạng công cộng (hình 1.3) Kiểu VPN này sử dụng các kết nối luôn được bảo mật và

nó không bị cô lập với thế giới bên ngoài như các trường hợp VPN cục bộ hay truynhập từ xa

Văn phòng ỏ xa

Hình 1.3: Mô hình VPN mở rộng

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới nhữngnguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khácnhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở mộttrong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác đểcùng đạt được mục đích như vậy

- Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động

- Do VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hộitrong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu củatừng công ty.

- Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảmđược số lượng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm chi phí vận hànhcủa toàn mạng

Bên cạnh những ưu điểm, giải pháp VPN mở rộng cũng có những nhược điểm đicùng:

- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,vấn đề này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty

- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn còn tồn tại

- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫncòn là một thách thức lớn cần giải quyết

1.5 Các loại mạng VPN

Có hai cách chủ yếu sử dụng các mạng riêng ảo VPN Trước tiên các mạng VPN

có thể kết nối hai mạng với nhau Điều này được biết đến như một mạng kết nối LAN VPN hay một mạng site-to-site VPN Thứ hai, một VPN truy nhập từ xa có thểkết nối một người dùng từ xa với mạng

LAN-1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)

Cung cấp các truy nhập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạtầng chia sẻ Access VPN, người dùng có khả năng truy cập đến các tài nguyên trongVPN bất cứ khi nào, ở đâu mà nó cần Đường truyền trong Access VPN có thể là tương

tự, quay số, ISDN, các đường thuê bao số (DSL), IP di động và cáp để nối các ngườidùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau Ví dụ minh họa trênhình 1.5

Liên kết đến ISP

Các trung tâm giao dịch Ipass khắp nơi

Firewall

Intranet/ Mạng LAN riêng

Máy chủ Xác thực

: Xác thực đường : Kết nối Internet : VPN

Hình 1.5: Tổ chức truy nhập Ipass

1.5.2 Nối các mạng trên Internet (Intranet VPN)

Có hai phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN (LocalArea Network) tại các điểm cuối ở xa:

- Dùng các đường thuê kênh riêng để nối một văn phòng chi nhánh đến mạngLAN công ty: Các văn phòng chi nhánh và các bộ định tuyến có thể sử dụng một

mạng dành riêng cục bộ và ISP địa phương để kết nối đến Internet Phần mềmVPN sử dụng các cuộc nối ISP nội bộ và Internet công cộng để tạo một VPNgiữa các văn phòng chi nhánh và bộ định tuyến của các hub hợp nhất.

- Dùng đường dây quay số để kết nối một văn phòng chi nhánh đến LAN: Bộ địnhtuyến ở văn phòng chi nhánh quay số đến ISP, phầm mềm VPN sử dụng cuộc nốiđến ISP để tạo một VPN giữa bộ định tuyến của văn phòng chi nhánh và bộ địnhtuyến của hub thông qua Internet

Chú ý: Trong cả hai trường hợp, cở sở hạ tầng để nối văn phòng chi nhánh và các

văn phòng liên kết đến Internet mang tính cục bộ Cả VPN dạng client-server và server sẽ tiết kiệm được chi phí rất lớn trong việc sử dụng phương pháp truy nhập quay

server-số Các máy chủ VPN được nối đến ISP bằng một đường kênh thuê riêng (leased line)

và phải hoạt động 24/24 để nhận luồng dữ liệu đến

INTERNET

Mạng riêng ảo VPN

Liên kết Đến ISP

Switch

LAN B LAN A

Liên kết riêng hoặc quay số đến ISP Switch

Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa

1.5.3 Nối các máy tính trên một Intranet (Extranet VPN)

Trong một số các liên kết mạng, một số người tiêu dùng trong LAN của mộtphòng, ban nào đó không được kết nối bằng đường truyền vật lý thì sẽ nảy sinh vấn đề

về khả năng truy cập thông tin của người dùng đó

VPN sẽ cho phép nhiều LAN được kết nối vật lý đến mạng hợp nhất và đượcphân chia bởi một máy chủ VPN Chú ý rằng, máy chủ VPN không hoạt động giốngnhư một bộ định tuyến giữa các mạng hợp nhất và các LAN Một bộ định tuyến sẽ kếtnối đến hai mạng, cho phép quyền truy cập đến LAN Bằng cách sử dụng một VPN,người quản trị mạng có thể đảm bảo rằng chỉ có những người dùng đó trên các mạnghợp nhất có các tiêu chuẩn phù hợp (dựa trên một chính sách của công ty) có thể thiếtlập một VPN với máy chủ VPN và truy cập được đến các tài nguyên được bảo vệ của

phòng ban đó Thêm vào đó, tất cả dữ liệu trong VPN được đóng góp một cách tin cậy.Người dùng nào đó không có các quyền thích hợp không thể truy cập vào LAN.

INTERNET

Mạng riêng ảo VPN

Liên kết Đến ISP

Switch

LAN A LAN A

Liên kết riêng hoặc quay số đến ISP Switch

Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN

Tất cả hoạt động kinh doanh hoạt động ở cơ chế giống nhau như trong một mạngriêng, bao gồm các vấn đề về bảo mật, chất lượng dịch vụ QoS, quản trị và độ tin cậy

1.6 Kết luận

VPN được định nghĩa như là mạng kết nối các site khách hàng đảm bảo an ninhtrên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mậtnhư một mạng riêng Tuy được xây dựng trên cơ sở hạ tầng sẵn có của một mạng côngcộng nhưng VPN lại có được các tính chất của mạng cục bộ như khi sử dụng các đườngkênh thuê riêng Nó cho phép nối liền các chi nhánh của một công ty cũng như là vớiđối tác, cung cấp khả năng điều khiển quyền truy nhập của khách hàng, các nhà cungcấp dịch vụ hoặc các đối tượng bên ngoài khác

Khả năng ứng dụng của VPN là rất lớn Theo như dự đoán của nhiều hãng trênthế giới thì VPN sẽ là dịch vụ phát triển mạnh trong tương lai

CHƯƠNG II: IPSEC

Các giao thức nguyên thủy TCP/IP không bao gồm các đặc tính vốn có Tronggiai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các việnnghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng, nhưng bây giờkhi mà các ứng dụng thương mại có mặt khắp nơi trên Internet

Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thứcIPSec Họ giao thức IPSec đầu tiên, cho mã hóa, xác thực các gói dữ liệu IP, đượcchuẩn hóa thành các RFC từ 1825 đến 1829 vào năm 1995 Họ giao thức này mô tảkiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP Gói IP

là đơn vị dữ liệu cơ sở trong mạng IP IPSec định nghĩa hai loại tiêu đề cho các gói IP

để điều khiển quá trình xác thực và mã hóa: Một là xác thực tiêu đề IP-AH (IPAuthentication Header) điều khiển việc xác thực và hai là đóng gói bảo mật tải ESP(Encapsulating Security Payload) cho mục đích mã hóa

IPSec được phát triển nhằm vào họ giao thức IP kế tiếp là Ipv6 nhưng do việcchấp nhận Ipv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã đượcthay đổi cho phù hợp với Ipv4 Việc hỗ trợ cho IPSec chỉ là tùy chọn của Ipv4 nhưngđối với Ipv6 thì có sẵn IPSec

2.1 Dạng thức hoạt động

Hoạt động của IPSec ở mức độ cơ bản đòi hỏi phải có các phần chính đó là:

- Kết hợp bảo mật SA (Security Association)

- Xác thực tiêu đề AH (Authentication Header.)

- Đóng gói bảo mật tải ESP (Encapsulating Security Payload)

- Chế độ làm việc

2.1.1 Kết hợp bảo mật SA

Để hai bên có thể truyền dữ liệu đã được bảo mật (dữ liệu đã được xác thực hoặcđược mã hóa hoặc cả hai) cả hai bên phải cùng thống nhất sử dụng giải thuật mã hóa,làm cách nào để chuyển khóa và chuyển khóa nếu như cần Cả hai bên cũng cần thỏathuận bao lâu thì sẽ thay đổi khóa một lần Tất cả các thỏa thuận trên là do SA đảmtrách Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA và có thể đòi

hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA cho riêng nó Do đó mộtgói được xác thực đòi hỏi một SA, một gói được mã hóa cũng yêu cầu phải có một SA.Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mã hóa thì cũng cầnphải có hai SA khác nhau do sử dụng những bộ khóa khác nhau.

Một IPSec SA mô tả các vấn đề sau:

- Giải thuật xác thực sử dụng cho AH và khóa của nó

- Dạng thức và kích thước của bộ mật mã sử dụng trong giải thuật mã hóa

- Giao thức, giải thuật, khóa sử dụng cho việc truyền thông

- Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thông riêng

- Bao lâu thì thay đổi khóa

- Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sử dụngbởi giải thuật đó

- Thời gian sống của khóa

- Thời gian sống của SA

Có thể xem SA như một kênh bảo mật thông qua một mạng công cộng đến mộtngười hay một nhóm làm việc cụ thể

2.1.2 Xác thực tiêu đề AH

Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sửdụng cho các dịch vụ xác thực AH được chèn vào giữa tiêu đề IP và nội dung phía sau(hình 3.3), không làm thay đổi nội dung của gói dữ liệu

Xác thực tiêu đề gồm năm trường: Trường tiêu đề kế tiếp (Next Header Field),chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter Index),

số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data) Hai khái niệmmới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói biết họ giao thức bảo mật

mà phải gửi dùng trong truyền thông, hai là dữ liệu xác thực mang thông tin về giảithuật mã hóa được định nghĩa bởi SPI

HMAC kết hợp với MD5, HMAC kết hợp với SHA-1 là giải thuật mã hóa đượcchọn làm những phương thức mặc định cho việc tính toán tổng kiểm tra (checksum).Các mặc định này là kết quả của những thay đổi IPSec để cải thiện cơ chế xác thực bởi

vì mặc định trước đó MD5 được phát hiện là không tránh được các tấn công đụng độ

Thủ tục sử dụng cho các phương pháp này (HMAC-MD5 hay HMAC-SHA-1)giống nhau Tuy nhiên SHA-1 có chức năng băm hơn MD5 Trong cả hai trường hợp,

giải thuật hoạt động trên những khối dữ liệu 64 byte Phương thức HMAC-MD5 sinh

ra bộ xác thực 128 bit trong khi HMAC-SAH-1 sinh ra bộ xác thực 160 bit Bởi vìchiều dài mặc định của xác thực được định nghĩa trong AH chỉ có 96 bit nên các giá trịxác thực sinh ra phải được chia nhỏ trước khi lưu vào trường xác thực của AH

IPv4 Tiêu đề IP mới

(tùy chọn) AH

Tiêu đề

IP gốc TCP Dữ liệuXác thực

(Trừ các trường biến đổi ở tiêu đề mới)

Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH

Các tiêu đề phụ

Hop-nối-Hop, đích định tuyến, phân mảnh

Đích tùy chọn

Các tiêu đề phụ (nếu có)

Các tiêu đề phụ (nếu có)

Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH

Khi nhận gói dữ liệu, đầu nhận sẽ tính toán giá trị bộ xác thực của riêng nó là

128 bit hay 160 bit (tùy theo là sử dung loại nào), chia nhỏ nó ra tùy theo chiều dàiđược chỉ định trong trường xác thực và so sánh giá trị của nó với giá trị xác thực nhậnđược Khi mà cả hai giống nhau thì dữ liệu không bị thay đổi trên đường truyền Do đó

có thể có cuộc tấn công bằng cách chặn một loạt các gói và sau đó phát lại chúng vàothời điểm sau khi AH cung cấp dịch vụ chống phát lại để ngăn các tấn công dựa trêncách thức trên

Cần chú ý là AH không giữ cho dữ liệu bí mật được Nếu một kẻ tấn công chặncác gói trên mạng lại và sử dụng một mật mã thích hợp thì cũng có thể đọc được nộidung của dữ liệu mặc dù không thể thay đổi được nội dung dữ liệu Để bảo mật dữ liệuchống lại việc nghe trộm chúng ta cần phải sử dụng thành phần thứ hai của IPSec đó làESP

2.1.3 Bọc gói bảo mật tải ESP

Bọc gói bảo mật tải ESP (Encapsulating Security Payload) được sử dụng choviệc mã hóa dữ liệu Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP

và nội dung tiếp theo của gói (Hình 2.3) Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệunên nội dung của gói sẽ bị thay đổi

Tiêu đề

IP gốc TCP Dữ liệuTrước khi gắn ESP

Sau khi gắn ESP

Tiêu đề

IP gốc

Tiêu đề ESP TCP Dữ liệu Phần đuôi ESP Cấp quyền ESP

Được mã hóa Được xác thực

IPv4

IPv4

Hình 2.3: Bọc gói bảo mật tải

Giống như tiêu đề AH, ESP gồm có SPI để chỉ cho bên nhận biết cơ chế bảo mậtthích hợp cho việc sử lý gói Số tuần tự trong tiêu đề ESP là bộ đếm sẽ tăng mỗi khimột gói được gửi đến cùng một địa chỉ và sử dụng cùng SPI Số tuần tự chỉ ra có baonhiêu gói được gửi có cùng một nhóm các tham số Số tuần tự giúp cho việc bảo mậtchống lại các vụ tấn công bằng cách chép các gói và gửi chúng sai thứ tự để làm rối

loạn quá trình truyền thông Phần còn lại của gói (ngoại trừ xác thực dữ liệu) sẽ được

mã hóa trước khi gửi lên mạng

ESP có thể hỗ trợ bất kỳ giao thức mã hóa nào Người dùng có thể dùng nhữnggiao thức khác nhau cho mỗi kết nối truyền thông Tuy nhiên IPSec qui định mật mãDES-CBC (DES with Cipher Block Chaining) là giá trị mặc định để bảo đảm tính hoạtđộng liên mạng

Sử dụng ESP yêu cầu khóa DES 56 bit Để sử dụng một chuỗi các từ mã, mộtvector 64 bit được khởi động và dữ liệu được xử lý theo từng khối 64 bit

ESP cũng có thể sử dụng cho mục đích xác thực Trường xác thực ESP, mộttrường tùy chọn trong tiêu đề ESP, bao gồm tổng kiểm tra mã hóa Độ dài của tổngkiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng Nó cũng có thể được

bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP Xác thực được tính toánsau khi tiến trình mã hóa dữ liệu đã hoàn thành

Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thực trongESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đã đóng góitrong chế độ đường hầm Hình 2.4 minh họa sự khác biệt giữa chúng

Tiêu đề

IPv4

Xác thực không kể các trường thay đổi

IPv6 Tiêu đềIP gốc định tuyến, phân mảnhHop-nối-Hop, đích, AH tùy chọnĐích TCP Dữ liệu

Xác thực không kể các trường thay đổi

Cấp quyền ESP

IPv6

Được mã hóa Được xác thực

Hình 2.4: So sánh xác thực bởi AH và ESP

Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọn xácthực trong ESP? AH chỉ sử dụng trong trường hợp khi xác thực gói là cần thiết Mặtkhác khi xác thực và tính riêng tư được yêu cầu thì sử dung ESP với tùy chọn xác thực

sẽ tốt hơn Sử dụng ESP cho mã hóa và xác thực, thay vì sử dụng AH và ESP không cótùy chọn xác thực, sẽ giảm kích thước nên các gói sẽ được xử lý hiệu quả hơn

2.1.4 Chế độ làm việc

Có hai chế độ làm việc trong IPSec:

- Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói là được

Trong chế độ đường hầm tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích, trong khi

bộ xuất tiêu đề IP chứa các địa chỉ IP khác (chẳng hạn như địa chỉ của cổng nối) AHbảo mật toàn bộ gói IP bao gồm cả bộ nhập tiêu đề IP (hình 2.5)

Tiêu đề

IP mới AH TCP Dữ liệuIPv4

Xác thực không kể các trường thay đổi

Trong tiêu đề IP mới

Tiêu đề

IP gốc

IPv6 Tiêu đềIP mới Mở rộng (nếu có)Tiêu đề mới AH Tiêu đềIP gốc TCP Dữ liệu

Xác thực không kể các trường thay đổi

Trong tiêu đề IP mới

Tiêu đề mở rộng (nếu có)

một cách hiệu quả nhưng nó không bảo mật được toàn bộ lưu lượng Một vụ tấn côngtinh vi vẫn có thể đọc được địa chỉ nguồn và địa chỉ đích sau đó sẽ phân tích lưu lượng

để biết được phương thức truyền thống

Cấp quyền ESP

Được mã hóa Được xác thực Hình 2.6: Chế độ đường hầm ESP

trên

trên Chế độ giao vận

trên ESP

IP2 AH IP1 Phần trênChế độ đường hầm

trên IP1

trên IP2

Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm

Chế độ đường hầm ESP cung cấp thêm các cơ chế bảo mật cho các gói bằngcách mã hóa toàn bộ gói (hình 2.6)

Sau khi toàn bộ nội dung dữ liệu (bao gồm tiêu đề gốc) đã được mã hóa, chế độđường hầm ESP sẽ tạo ra một tiêu đề IP mới để định tuyến cho các gói dữ liệu từ bêngửi đến bên nhận

Thậm chí trong chế độ đường hầm, ESP cũng không bảo đảm để chống lại đượctất cả các loại phân tích lưu lượng vì địa chỉ IP của bên gửi và của cổng nối nhận vẫn

có thể đọc được trong tiêu đề của gói Điều này cho phép kẻ nghe trộm biết được có haiđối tượng đang truyền thông với nhau nhưng lại không có chút manh mối nào để biếthai đối tượng ấy là ai

Để có thể áp dụng cả AH và ESP trong chế độ đường hầm hay chế độ giao vận,IPSec yêu cầu phải hỗ trợ được cho tổ hợp của chế độ đường hầm và chế độ giao vận(hình 2.7) Điều này được thực hiện bằng cách sử dụng chế độ đường hầm để mã hóa

và xác thực các gói và tiêu đề của nó rồi gắn AH, ESP hoặc dùng cả hai trong chế độgiao vận để bảo mật cho tiêu đề mới được tạo ra

Cần chú ý là AH và ESP không thể sử dụng chung trong chế độ đường hầm Lý

do là ESP đã có riêng tùy chọn xác thực, tùy chọn này nên sử dụng trong chế độ đườnghầm khi các gói cần phải mã hóa và xác thực

2.2 Quản lý khóa

Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao khóa

do đó đòi hỏi phải có cơ chế quản lý khóa Có hai phương thức để chuyển khóa đó làchuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange) Cả haiphương thức này không thể thiếu được trong IPSec Một hệ thống IPSec phụ thuộcphải hỗ trợ phương thức chuyển khóa bằng tay Phương thức chìa khóa trao tay nàychẳng hạn như khóa thương mại ghi trên giấy, trên đĩa mềm hay thông qua gửi bưuphẩm hoặc e-mail Mặc dù phương thức chìa khóa trao tay thích hợp với một số lượngnhỏ các site nhưng một phương thức quản lý tự động và kiểm soát được thì phù hợpvới yêu cầu tạo những SA Giao thức quản lý chuyển giao khóa mặc định trong IPSec

là IKE là kết hợp giữa bảo mật Internet ISA (Internet Security Association) và giaothức chuyển khóa (ISAKMP) IKE còn có một tên gọi khác là ISAKMP/Oakley

IKE có các khả năng sau:

- Cung cấp các phương tiện cho hai bên thỏa thuận sử dụng các giao thức, giảithuật và khóa.

- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng

- Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận

- Đảm bảo các khóa được chuyển một cách bí mật

Chuyển khóa tương tự như quản lý kết hợp (Internet Association) Khi cần tạomột SA cần phải chuyển khóa Do đó cấu trúc của IKE đóng gói chúng lại với nhau vàchuyển chúng đi một gói tích hợp

2.2.1 Các chế độ của Oakley và các pha của ISAKMP

Theo định nghĩa nguyên thủy trong ISAKMP thì IKE hoạt động hai giai đoạn.Giai đoạn một thiết lập một đường hầm bảo mật cho các hoạt động ISAKMP diễn ratrên đó Giai đoạn hai là tiến trình đàm phán các mục đích SA

Oakley đưa ra ba chế độ chuyển khóa và cài đặt các ISAKMP SA:

- Chế độ chính (Main mode): Hoàn thành giai đoạn một của SAKMP sau khi đãthiết lập một kênh bảo mật

- Chế độ năng động (Aggressive mode): Một cách khác để hoàn thành giai đoạnmột của ISAKMP Nó đơn giản hơn và nhanh hơn chế độ chính, nhưng khôngbảo nhận dạng cho việc đàm phán giữa các node, bởi vì chúng truyền nhận dạngcủa chúng trước khi đàm phán được một kênh bảo mật

- Chế độ nhanh (Quick mode): Hoàn thành giai đoạn hai của ISAKM bằng cáchđàm phán một SA cho mục đích của việc truyền thông

IKE cũng còn một chế độ khác đó là chế độ nhóm mới, chế độ này không thật sự

là của giai đoạn một hay giai đoạn hai Chế độ nhóm mới theo sau đàm phán của giaiđoạn và đưa ra một cơ chế định nghĩa nhóm riêng cho chuyển giao Diffie-Hellman

Để thiết lập một bảo mật IKE cho một node, một host hay một cổng nối cần ítnhất bốn yếu tố:

- Một giải thuật mã hóa để bảo mật dữ liệu

- Một giải thuật băm để giảm dữ liệu cho báo hiệu

- Một phương thức xác thực cho báo hiệu dữ liệu

- Thông tin về nhóm làm việc qua tổng đài

Yếu tố thức năm có thể được đưa ra trong SA, hàm giả ngẫu nhiên random function) sử dụng để băm giá trị hiện tại xuống quá trình chuyển khóa cho mục

(pseudo-đích kiểm tra Nếu trong SA không bao gồm nó thì HMAC của giải thuật băm (yếu tốthứ hai) được sử dụng.

Bộ đáp ứng

1

2

5 Sig Sig Cert ID Tiêu đề

6 Tiêu đề Sig ID Cert Sig

Cert : Một chứng nhận tải

ID : Một nhận dạng tải Key : Một khóa trao đổi tải Nonce : Một lần tải

SA : Một đề nghị kết hợp bảo mật tải Sig : Một chữ ký tải

Hình 2.8: Chế độ chính ISAKMP

Bước thứ nhất, sử dụng chế độ chính để bảo mật một ISAKMP SA, diễn ra theo

ba bước trao đổi hai chiều giữa SA gửi và SA nhận (hình 2.8) Bước trao đổi đầu tiênthỏa thuận về giải thuật băm Bước trao đổi thứ hai chuyển giao khóa chung và cácnonce của nhau (là những con số ngẫu nhiên mà một bên ghi và trả lại để chứng minh

danh định của nó) Bước thứ ba, hai bên sẽ kiểm tra danh định của nhau và tiến trìnhtrao đổi hoàn tất.

Hai bên có thể sử dụng khóa dùng chung khi chúng nhận được Hai bên phảibăm chúng ba lần: Đầu tiên tạo ra một khóa gốc (để sử dụng tạo khóa phụ trong chế độnhanh sau này), sau đó là khóa xác thực và cuối cùng là khóa mã để sử dụng choISAKMP SA

Chế độ chính bảo mật danh định của các đối tượng truyền thông Nếu như khôngcần việc bảo mật, để cho việc trao đổi nhanh hơn, thì chế độ năng động được sử dụng

Chế độ năng động:

Chế độ năng động (Aggressive mode) đưa ra dịch vụ cũng tương tự như chế độchính là thiết lập một ISAKMP SA nguyên thủy Chế độ năng động trông cũng giốngnhư chế độ chính ngoại trừ chỉ có hai bước trao đổi thay vì ba bước như chế độ chính

Trong chế độ năng động khi bắt đầu chuyển đổi bên phát sẽ tạo ra một đôiDiffie-Hellman, đưa ra một SA, chuyển đi giá trị Diffie-Hellman công cộng, gửi mộtnonce cho đầu kia ghi nhận và gửi một gói ID để bên đáp ứng có thể sử dụng để kiểmtra danh định Phía đáp ứng có thể gửi trả về mọi thứ cần thiết để hoàn tất quá trìnhchuyển đổi Việc đáp ứng này tổ hợp ba bước đáp ứng trong chế độ chính thành một do

đó bên khởi đầu chỉ cần xác thực việc chuyển đổi (hình 2.9)

1 Sig Key SA Tiêu đề

Nonce

2 Tiêu đề Sig SA Key Nonce

: Một chứng nhận tải Cert

ID : Một nhận dạng tải Key : Một khóa trao đổi tải Nonce : Một lần tải

SA : Một đề nghị kết hợp bảo mật tải Sig : Một chữ ký tải

IDi

IDi Cert Sig

3 Cert Tiêu đề

Sig

Hình 2.9: Chế độ năng động ISAKMP

Do chế độ năng động không đưa ra một cách bảo mật danh định cho các bêntham gia truyền thông nên cần phải trao đổi thông tin danh định trước khi thiết lập một