triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003
Trang 1KHOA CÔNG NGHỆ THÔNG TIN II
BÁO CÁO ĐỒ ÁN MÔN HỌC
AN TOÀN MẠNG
Đề tài:
Giáo viên hướng dẫn: Thầy Lê Phúc
Nhóm thực hiện: Lê Thị Kim Anh 405170002
Nguyễn Thị Cẩm Tú 405170092 Nguyễn Thị Lan Phương 405170049
Thành Phố Hồ Chí Minh
04– 2009
Trang 2MỤC LỤC
I Tìm hiểu kỹ thuật về VPN 2
1 Các đặc trưng của VPN 2
2 Các giao thức dùng trong VPN 4
II Tìm hiểu cơ chế mã hóa IPSec 6
1 Giới thiệu về IPSec 6
2 Các chế độ làm việc 6
-a Chế độ giao vận 6
b Chế độ đường hầm 6
-c Chế độ kết hợp 7
3 Sử dụng IPSec 7
-a. Mục đích khi dùng IPSec 7
b Ưu điểm khi dùng IPSec 7
4 Triển khai IPSec 9
-a Cách IPSec bảo mật lưu lượng 9
b IPSec Security Policy là gì? 9
-c Các Policy IPSec làm việc với nhau như thế nào 11
5 Triển khai IPSec với Certificates 11
-a Giới thiệu Certificate 11
b Tại sao lại dùng Certificates với IPSec để bảo mật lưu lượng mạng 12
III Mô hình kết nối IPSec VPN 13
1 Mô hình IPSec 13
2 Mô hình GRE 14
3 Mô hình Remote Access Client 15
IV Triển khai hệ thống IPSec/VPN trên windows server 2003 16
1 Mô hình triển khai 16
2 Cài đặt trên máy chủ VPN 17
-a Cài đặt DC 17
b Cài đặt IAS 19
-c Cài đặt VPN 20
3 Cài đặt cho máy IIS 21
4 Cài đặt cho máy CLIENT 22
Trang 3-I Tìm hiểu kỹ thuật về VPN
1 Các đặc trưng của VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kếtnối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vìdùng kết nối phức tạp và tốn kém như đường dây thuê bao số, VPN tạo ra các liên kết ảo
được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở
xa
Định đường hầm (tunneling) là một phần cốt yếu của VPN dùng cho việc đóng gói
một giao thức vào trong một giao thức khác Trong VPN, định đường hầm che giấu giao thứclớp mạng nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏbọc IP (vỏ bọc IP này thực ra là một gói IP), sau đó sẽ được chuyển đi một cách bảo mật quamạng Internet
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận này
thường định ra một giới hạn trên cho phép về độ trễ trung bình của gói trong mạng
Khi nói đến VPN là người ta nghĩ ngay đến các thuật ngữ sau: hiệu quả, an toàn, bảo vệ
tính riêng tư của dữ liệu Để đạt được những mục tiêu này thì khi thiết kết một VPN có hiệu
quả cao thì bắt buộc phải đảm bảo bốn đặc tính sau :
Bảo mật dữ liệu (Data confidentiality): những tác nhân bất hợp pháp sẽ không hiểu
được nội dung của thông điệp
Toàn vẹn dữ liệu (Data integrity): đảm bảo nội dung của thông điệp không bị thay
đổi khi truyền từ nguồn đến đích
Không thể chối cãi (Sender non-repudiation): đảm bảo người gửi là hợp pháp khi
gửi đến người nhận
Xác thực thông điệp (Message authentication): đảo bảo rằng một thông điệp được
gửi từ một nguồn đã xác thực và đến một đích xác thực
Dưới đây sẽ minh họa một số phương thức dùng để thể hiện các đặc trưng đã nêu
Tính bảo mật được minh họa bằng hình sau đây :
Trang 4Hình: Tính bảo mật
Bên gửi và bên nhận sẽ sử dụng một khóa chung để mã hóa và giải mã Giả sử khóa
này đã được trao đổi một cách an toàn giữa bên gửi và bên nhận bằng thuật toán Diffie
Hellman
Tính toàn vẹn được minh họa bằng hình sau đây:
Hình: Tính toàn vẹn
Hàm băm được sử dụng để đảm bảo tính toàn vẹn của dữ liệu
Tính xác thực và không thể chối cãi được minh họa bằng hình sau đây:
Trang 5Hình: Tính xác thực và không thể chối cãi được
Chữ kí số cung cấp một phương thức giúp bên nhận xác thực được thông điệp và tínhkhông thể chối cãi của bên gửi
2 Các giao thức dùng trong VPN
Có 4 giao thức chính dùng để xây dựng VPN
Giao thức định đường hầm điểm – điểm: PPTP (Point-to-Point Tunneling Protocol)
là giao thức định đường hầm phổ biến nhất hiện nay, nó sử dụng cách mã hóa sẵn có củaWindows, xác thực người dùng và là cơ sở để cấu hình giao thức điểm – điểm PPP (Point-to-Point Protocol)
Giao thức bảo mật IP – IPSec :Giao thức này sử dụng trong việc mã hóa IPSec có
thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mậttập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở là các máy tính mà khôngphải là các người dùng IPSec được cung cấp như một phần của hệ điều hành Windows NT4.0, Windows 2000, Windows Server 2003
Giao thức định đường hầm lớp 2 – L2TP: Giao thức này sử dụng kỹ thuật khóa
công cộng (public key) để thực hiện việc xác thực người dùng L2TP thực hiện trong môi
trường đa dạng hơn PPTP, và nó không thể thực hiện việc mã hóa
Giao thức chuyển tiếp lớp 2 – L2F: Là cơ sở để xây dựng L2TP.
Sau đây là bảng so sánh giữa các giao thức:
Trang 6Tên Ưu điểm Nhược điểm Sử dụng
+ Dùng tại các máy chủ truycập từ xa cho định đường hầmproxy
+ Có thể dùng cho máy để bànWin9x hay máy trạm dùngWinNT
+ PPTP có thể sử dụng choRemote Access hay Site-to-Site VPN
+ Không có điều khiển
luồng cho đường hầm
+ Dùng cho truy cập từ xa tạiPOP
+ Dùng cho truy cập từ xa tạiPOP
Hình: Bảng so sánh giữa các giao thức
Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload(ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec Sự kết hợp này không chỉ cho phépchứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy tínhthông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel
có thể diễn ra trên nhiều hệ thống mạng khác nhau Tuy nhiên trong môi trường L2TP/IPSeccác VPN Client không thể đặt phía sau NAT Router Trong trường hợp này chúng ta cần phải
có VPN Server và VPN Client hỗ trợ IPSec NAT-T
Trang 7I Tìm hiểu cơ chế mã hóa IPSec
1 Giới thiệu về IPSec
Để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông được với
nhau ta cần phải sử dụng cùng một giao thức và giao thức được sử dụng phổ biến nhất hiệnnay là TCP/IP Dữ liệu được truyền đi cần phải được bảo mật theo nhu cầu của người dùng
nên các cơ chế mã hóa và chứng thực cần được áp dụng Có nhiều giải pháp được đưa ra,
trong đó IPSec được phát triển bởi IETF, hoạt động trên giao thức TCP/IP tỏ ra hiệu quả mà
lại tiết kiệm được nhiều chi phí
IPSec đã được triển khai rộng rãi để thực thi VPN Các dịch vụ của IPSec nằm trên
lớp mạng của chồng giao thức Trong quá trình thực hiện mã hóa, IPSec có thể dùng nhiềudạng thức khác nhau Các dạng thức này sẽ được trình bày cụ thể ở phần sau IPSec có những
phương pháp mã hóa như DES, 3DES, AES và các phương pháp xác thực như HMAC,
MD5, SHA-1 Thấy rằng, tất cả các gói tin mã hóa trong IPSec đều là khóa đối xứng
2 Các chế độ làm việc
Có hai chế độ làm việc trong IPSec
- Chế độ giao vận (transport): chỉ có phần thuộc lớp giao vận trong gói tin được xử lý
- Chế độ đường hầm (tunnel): toàn bộ gói tin được xử lý
a Chế độ giao vận
Hình: Các trường hợp của chế độ giao vận
Chế độ giao vận được sử dụng cho cả cổng nối và host, cung cấp cơ chế bảo mậtcho các giao thức lớp trên Trong chế độ này, AH được chèn vào sau tiêu đề IP và trước cácgiao thức lớp trên (TCP/ UDP, ICMP,…)
b Chế độ đường hầm
Hình: Các trường hợp của chế độ đường hầm
Trong chế độ đường hầm, tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích, trong khi
bộ xuất tiêu đề IP chứa các địa chỉ IP khác (ví dụ địa chỉ của cổng nối) AH bảo mật toàn bộgói IP bao gồm cả bộ nhập tiêu đề IP
Bởi vì AH chỉ bảo mật chống lại việc thay đổi nội dung dữ liệu nên cần phải có
phương tiện khác để bảo đảm tính riêng tư của dữ liệu Trong chế độ đường hầm, điều này
Trang 8được thực hiện bằng cách mở rộng bảo mật cho nội dung của tiêu đề IP, đặc biệt là địa chỉ
nguồn và đích Mặc dù trong chế độ đường hầm, ESP bảo mật được nội dung của dữ liệu(chống lại nghe trộm) nhưng không bảo mật được toàn bộ lưu lượng Một cuộc tấn công tinh
vi có thể đọc được địa chỉ nguồn và đích sau đó phân tích lưu lượng để biết được phươngthức truyền thông
Chế độ đường hầm ESP cung cấp thêm các cơ chế bảo mật bằng cách mã hóatoàn bộ gói Sau khi toàn bộ nội dung dữ liệu đã được mã hóa, chế độ đường hầm ESP sẽ tạo
ra một tiêu đề mới để định tuyến cho các gói dữ liệu từ phía máy gởi đến máy nhận
c Chế độ kết hợp
Hình: Các trường hợp của chế độ kết hợp.
Để có thể kết hợp cả AH và ESP trong chế độ đường hầm hay chế độ giao vận,
IPSec cần phải hỗ trợ cho sự kết hợp hai chế độ đường hầm và giao vận Điều này được thựchiện bằng cách sử dụng chế độ đường hầm để mã hóa và xác thực các gói và tiêu đề của nórồi gắn vào AH hoặc ESP hoặc dùng cả hai trong chế độ giao vận để bảo mật cho tiêu đềmới được tạo ra
Cần chú ý là AH và ESP không thể được sử dụng chung trong chế độ đường hầm
Lý do là ESP đã có riêng tùy chọn xác thực, tùy chọn này nên sử dụng trong chế độ đườnghầm khi các gói cần phải mã hóa và xác thực
3 Sử dụng IPSec
a Mục đích khi dùng IPSec
IPSec được dùng để bảo mật dữ liệu khi truyền trên mạng Người quản trị thiết lập
chuỗi chính sách được gọi là IPSec Policy Những chính sách này bao gồm bộ lọc chỉ rõ loại
lưu lượng nào đòi hỏi phải mã hóa, chứ kí số hoặc cả hai Sau đó mỗi gói máy tính gửi điđược ấn định để tự nhận thấy liệu có phù hợp với điều kiện của chính sách Tiến trình này
trong suốt với người dùng và các ứng dụng bắt đầu truyền dữ liệu Do IPSec được đóng tronggói IP chuẩn nên nó có thể truyền trên mạng mà không đòi hỏi cấu hình đặc biệt trên thiết bịgiữa hai host IPSec không thể mã hóa một số loại lưu lượng chẳng hạn broadcast, multicast
và gói giao thức Kerberos
b Ưu điểm khi dùng IPSec
Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao thức
lớp 3 của mô hình OSI và cao hơn
IPSec cung cấp:
o Xác thực lẫn nhau trước và trong quá trình trao đổi
o Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số củagói IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa dựa
Trang 9trên một hoặc một vài thuật toán nào đó và AH (Authentication Header) – xácthực lưu lượng nhưng không mã hóa nó.
o Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi Cả ESP
và AH đều dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP Nếu gói đãđược thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy
o Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được
capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự Dùng số đượcsắp xếp theo thứ tự để chắc chắc rằng kẻ tấn công không thể dùng lại hay gửilại dữ liệu đã được capture để thiết lập phiên làm việc hoặc thu thập thông tinbất hợp pháp Dùng số tuần tự cũng để bảo vệ tấn công công bằng cách chặn
message và sau đó dùng message y hệt để truy nhập bất hợp pháp vào tài
nguyên, có thể là vài tháng sau đó
Ví dụ: Bởi vì việc capture lại thông tin mật có thể làm hại đến sự thành công của một
tổ chức, nên một tổ chức cần phải thiết lập một mạng riêng đáng tin cậy bảo mật các thôngtin nhạy cảm chẳng hạn dữ liệu về sản phẩm, báo cáo tài chính và kết hoạch marketing Bạn
có thể dùng IPSec để chắc chắn rằng sự liên lạc đó được riêng tư và bảo mật trên network,intranet hoặc extranet bao gồm liên lạc workstation – to – server và server – to – server.Chẳng hạn, bạn có thể ấn định chính sách IPSec cho máy kết nối với server, máy nắm giữcác thông tin nhạy cảm có thể làm mục tiêu của kẻ tấn công nào đó chẳng hạn tài nguyên vềnhân sự và tài chính hoặc dữ liệu về kế hoạch chiến lược Chính sách IPSec bảo vệ dữ liệucủa bạn khỏi tấn công từ bên ngoài, giữ cho nó được bảo mật và toàn vẹn
Hình dưới là một ví dụ về ứng dụng Internet VPN Có 3 nơi trang bị phần mềm IPSeclà: cổng nối bảo mật, client di động và các host Tuy nhiên không phải tất cả các thiết bị đềuyêu cầu cài đặt phần mềm IPSec mà tùy theo yêu cầu thiết kế mạng Ví dụ, nếu cần tạo kếtnối LAN-LAN VPN thì chỉ cần cổng nối bảo mật IPSec là đủ Nếu cần cho các trạm làmviệc từ xa quay số truy cập vào mạng thông qua các ISP thì phần mềm client IPSec cần đượccài trên các máy tính của đối tượng di động Nếu muốn tạo một VPN mà tất cả các máy tính
có thể liên lạc lẫn nhau thông qua giao thức IPSec thì cần phải cài đặt phần mềm IPSec trêntất cả các máy tính giao thức
Hình: Các trạm thành phần của một Internet VPN
Trang 104 Triển khai IPSec
a Cách IPSec bảo mật lưu lượng
Cấu hình IPSec được thiết lập thông qua policy trên máy cục bộ hoặc policy nhómtrong Active Directory directory service:
IPSec policies được cung cấp cho tất cả máy tính: Policy quy định cho bộ phậnđiều khiển IPSec cách chạy và định nghĩa Security Association mà có thể được
thiết lập Security asscociation chi phối giao thức mã hóa nào được sử dụng choloại lưu lượng nào và phương thức xác thực nào được thiết lập
Security Association được thiết lập: Phần Internet Key Exchange (IKE) thiết lập
Security Association IKE kết hợp giữa hai giao thức: Internet SecurityAssociation và Key Management (ISAKMP) và Oakley Key Determination Nếumột máy client đòi hỏi certificate để xác thực và một client khác đòi hỏi giao thứcKerberos, IKE sẽ không thể thiết lập security association (sự kết hợp bảo mật)giữa hai máy Nếu bạn nhìn thấy gói trong Network Monitor thì bạn sẽ thấy gói
ISAKMP nhưng bạn cũng sẽ không thấy bất cứ gói AH hay ESP theo sau
Gói IP được mã hóa: Sau khi security association được thiết lập thì bộ điều khiển
IPSec giám sát toàn bộ lưu lượng IP, so sánh lưu lượng với bộ lọc được địnhnghĩa
b IPSec Security Policy là gì?
Định nghĩa
IPSec security policy bao gồm một hoặc nhiều quy luật quyết định cách hoạt
động của IPSec
Trang 11 IPSec Security policy rules
Bạn triển khai IPSec bằng cách thiết lập policy Mỗi policy có thể chứa đựng mộtvài quy luật nhưng bạn chỉ có thể xác nhận một policy riêng lẻ tại một thời điểm bất kì trênmột máy Bạn phải phối hợp tất cả quy luật được yêu cầu thành một chính sách đơn Mỗi quyluật bao gồm:
Bộ lọc: Bộ lọc quy định cho policy biết loại lưu lượng nào để áp dụng cho
filter action Chẳng hạn, bạn có thể có bộ lọc nhận dạng chỉ lưu lượng giaothức HTTP hoặc lưu lượng FTP
Filter action: Filter action quyết định cho chính sách phải làm gì nếu lưu lượng
thỏa bộ lọc Chẳng hạn, bạn có thể báo cho IPSec chặn đứng tất cả lưu lượng
FTP nhưng đòi hỏi mã hóa tất cả lưu lượng HTTP Filter action cũng có thể
chỉ rõ thuật toán mã hóa và băm mà policy nên dùng
Phương pháp xác thực: Có 3 phương pháp có thể xác thực: certificates, giao
thức Kerberos và Preshared key Mỗi rule có thể chỉ rõ nhiều phương pháp xácthực
Policy mặc định
Ở Window 2000 hoặc sau đó, có 3 policy được cấu hình mặc định:
Client (Respond only): Nếu máy tính yêu cầu client dùng IPSec thì nó sẽ đápứng với IPSec Policy Client (Respond Only) sẽ không khởi tạo IPSec trênchính nó Policy này có 1 rule được gọi là Default Response rule Rule nàycho phép host đáp ứng đòi hỏi ESP cũng như cả host trong Active Directory
domains tin cậy ESP là chế độ IPSec cung cấp sự tin cậy cộng với xác thực,toàn vẹn và chống truyền lại
Server (Request Security): Bạn có thể dùng chính sách này trên cả server và
client Chính sách này luôn cố gắng dùng IPSec nhưng có thể trở lại quá trìnhliên lạc không bảo mật nếu client không được cấu hình với IPSec policy.Chính sách Response Security có 3 rule Rule thứ nhất là Default Response đã
được mô tả Rule thứ hai cho phép lưu lượng ICMP ICMP là giao thức duy trì
trong TCP/IP, thông báo lỗi và cho phép kết nối đơn giản Lệnh ping dùng
ICMP để thực hiện việc gỡ rối TCP/IP Mặc dù ICMP là tiện ích chuẩn đoán
tốt nhưng bạn có thể muốn vô hiệu hóa nó trong mạng bảo mật cao vì có một
vài đợt tấn công chống dựa trên ICMP Rule thứ 3 đòi hỏi ESP cho tất cả lưulượng IP
Secure Server (Require Security): Bạn có thể sử dụng chính sách này trên cả
server và client Nếu chính sách này được gán thì máy tính có thể chỉ liên lạctrên IPSec và sẽ không bao giờ trở lại chế độ liên lạc không bảo mật Policynày cũng có 3 rule Hai rule đầu là Default Response và Permit ICMP thì đã
được nói ở trên Sự khác nhau trong policy Secure Server (Require Security)
là tất cả lưu lượng phải được mã hóa với ESP nếu không server sẽ không liênlạc với nó Rule ICMP ghi đè rule để đòi hỏi bảo mật cho tất cả lưu lượng IPkhác
Trang 12c Các Policy IPSec làm việc với nhau như thế nào
No policyassigned
Client (RespondOnly)
Server (RequestSecurity)
Secure Server(Require
Thỏa thuận sự kết hợp bảo mật
Bạn đừng bao giờ so sánh các policy một cách riêng lẻ Các máy tính có thỏathuận kế thợp bảo mật phải có policy bổ sung Bảng trên chỉ ra các tác động khi các policymặc định làm việc với nhau Nếu hai host có thể thỏa thuận kết hợp bảo mật tương thích với
n hau thì liên lạc có thể được thực hiện bằng cách dùng IPSec Nếu hai host có các policy
không tương thích với nhau thì có thể chúng sẽ trở lại dạng liên lạc không bảo mật hoặc
không thể liên lạc với nhau
Ví dụ về cách thức các policy làm việc với nhau
Bảng trên chỉ áp dụng cho các policy mặc định với các rule mặc định Nếu bạn áppolicy với rule là máy A request ESP cho HTTP và máy B require AH cho HTTP thì sau đóhai mấy đó sẽ không thể thỏa thuận được sự kết hợp bảo mật
Xác thực Kerberos là thiết lập mặc định cho tất cả các policy mặc định Giao thứcKerberos làm việc với máy tính trong hệ thống Active Directory nhưng nếu một máy không
là thành viên trong hệ thống đó thì các máy tính khác không thể thỏa thuận xác thực Nếu
máy B được thay đổi để sử dụng chỉ certificate cho xác thực lưu lượng IP thì không thể thiết
lập kết hợp bảo mật Có thể cấu hình lại cho máy B yêu cầu giao thức Kerberos hoặccertificates Khi thỏa phương pháp xác thực thì xác thực có thể được thực hiện
Nếu bạn thiết lập policy Secure Server (Require Security) thì máy tính đó sẽkhông thể liên lạc với bất kì máy nào không cài đặt IPSec Chẳng hạn, máy tính cần truy cậpserver chạy Microsoft SQL Server không có IPSec thì hệ thống sẽ bị fail Nếu bạn thiết lậppolicy Server (Request Security) thì máy tính sẽ quay về liên lạc không bảo mật với bất cứmáy tính nào không có policy Policy IPSec sẽ được thiết lập để bảo mật lưu lượng cần đượcbảo mật khi cho phép thực hiện các liên lạc cơ bản
5 Triển khai IPSec với Certificates
a Giới thiệu Certificate
