Báo cáo thực tập tốt nghiêp công nghệ mạng riêng ảo IPSecVPN

Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đ

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO THỰC TẬP TỐT NGHIỆP

IPSecVPN

Sinh viên thực tập : Đinh Văn Bảo

Hà nội, 07/ 2015

MỤC LỤC

MỤC LỤC 3

Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP 4

I Chức năng 4

II Tổ chức 4

III Các lĩnh vực hoạt động 4

Phần B : NỘI DUNG THỰC TẬP 6

I Phần giới thiệu chung 6

-Tên chủ đề thực tập: Tìm hiểu mạng riêng ảo IPSec VPN 6

-Kết quả cần đạt: 6

II Phần trình bày của SV 6

MỞ BÀI 6

THÂN BÀI 7

Tổng quan IPSec 7

Tổng quan VPN 10

Thử nghiệm 12 III Phần SV tự ghi 16

Phần B : NỘI DUNG THỰC TẬP

I Phần giới thiệu chung

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong

-Tên chủ đề thực tập: Tìm hiểu mạng riêng ảo IPSec VPN

-Mục tiêu : - Nắm được nguyên lý hoạt động của các công nghệ VPN

- Nắm được nguyên lý hoạt động của công nghệ IPSec VPN

- Các bước cấu hình và troubleshoot công nghệ IPSec VPN

-Kết quả cần đạt:

- Hiểu rõ nguyên lý hoạt động của các công nghệ VPN

- Hiểu rõ nguyên lý hoạt động của công nghệ IPSec VPN

- Cấu hình mô phỏng hoàn chỉnh 1 mạng riêng ảo sử dụng công nghệ IPSec VPN

- Kiểm tra được các thông tin và tham số giao thức IPSec VPN

- Đảm bảo các site của mạng VPN kết nối được với nhau 2 chiều

II Phần trình bày của SV

MỞ BÀI

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau Các máy tính kết nối vào

Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung

là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng

viễn thông công cộng Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet có phạm vi toàn cầu

và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà , trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn tới máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó có thể đảm bảo an toàn thông tin giữa các đại lý , người cung cấp và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà lại đảm bảo tính riêng tư và tiết kiệm hơn nhiều

THÂN BÀI

Tổng quan IPSec

1 Khái quát chung

IPsec là tập hợp các giao thức và thuật toán dùng để bảo vệ gói tin IP IPsec mang lại các lợi ích

về confidentiality thông qua mã hóa, data integrity thông qua hashing và HMAC, và

authentication bằng cách sử dụng chữ ký số hoặc pre-shared key (PSK) IPsec cũng hỗ trợ

antireplay Dưới đây là các thành phần của IPsec:

- ESP và AH: Đây là 2 phương pháp chính để triển khai IPsec ESP là viết tắt của

Encapsulating Security Payload và có thể thực hiện tất cả các tính năng của IPsec AH là viết tắt của Authentication Header, có thể thực hiện nhiều tính năng của IPsec ngoại trừ một tính năng quan trọng là mã hóa dữ liệu Vì lý do đó nên ta ít thấy AH được sử dụng

- Thuật toán mã hóa: DES, 3DES, AES.

- Thuật toán hash: MD5, SHA.

- Kiểu chứng thực: Pre-shared key, chữ ký số.

- Quản lý key: Thuật toán mã hóa bất đối xứng Diffie-Hellman (DH) dùng để phát sinh key

tự động cho các thuật toán mã hóa đối xứng Internet Key Exchange (IKE) thực hiện các công việc thương lượng và quản lý key

2 Hiện trạng

IPsec là một phần bắt Buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4 Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4

Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995 Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn

1825 – 1929 Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309 Cũng

không khác nhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec

Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis

3 Bảo mật

IPsec được triển khai:

1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền

2) phương thức xác thực

3) thiết lập các thông số mã hoá

Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP

Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin

outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB

Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liêu Chú ý các chuẩn không miêu tả làm thế nào

để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân

4 Chế độ hoạt động

 Transport Mode (chế độ vận chuyển)

- Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP hoặc ICMP) Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên thủy Vì vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec Chế độ transport này

có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng

thấy được địa chỉ đích cuối cùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header Tuy nhiên các thông tin Layer 4 sẽ bị

mã hóa, làm giới hạn khả năng kiểm tra của gói

- Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn Tuy nhiên, nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã hóa phần đầu IP

- Transport Mode thường dùng cho các kết nối từ đầu cuối đến đầu cuối, ví dụ từ trạm làm việc đến máy chủ hoặc giữa hai trạm làm việc với nhau

 Tunnel Mode (Chế độ đường hầm):

Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu Toàn bộ các gói IP sẽ được

mã hóa và trở thành dữ liệu mới của gói IP mới Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối Vì vậy header mới sẽ có địa chỉ nguồn chính là gateway

Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec

Tunnel Mode thường được dùng trong các SA (Security Association -liên kết bảo mật) nối giữa hai gateway của hai mạng

5 Ưu khuyết điểm

 Ưu điểm:

- Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật

- IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai

- IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet

 Hạn chế:

- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống Vấn đề này

có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa

- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu

lượng khác.

- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu

- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia

Tổng quan VPN

1 Khái quát chung

VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm

đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay

số dựa trên mạng điện thoại Phương thức này vừa tốn kém vừa không an toàn VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu

Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi

trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi

là tunnel Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền

 Các công nghệ VPN

 Có một số công nghệ VPN sau:

- IPsec: Thực hiện bảo mật cho gói tin IP ở Layer 3 của mô hình OSI, có thể dùng cho

site-to-site VPN hoặc remote-access VPN

- SSL: Secure Socket Layer thực hiện bảo mật cho TCP session tại Layer 4 của mô hình

OSI, và có thể dùng cho remote-access VPN (cũng như dùng để truy cập an toàn một web server thông qua HTTPS)

- MPLS: MPLS Layer 3 VPN mặc định không có mã hóa Ta có thể sử dụng IPsec chung

với MPLS VPN

 VPN có thể được phân thành 2 loại chính là remote-access và site-to-site

 Remote-access VPN: Một số user có thể cần tạo một kết nối VPN từ PC của họ đến trụ sở (hoặc đến nơi mà họ muốn) Loại này gọi là remote-access VPN Remote-access VPN có thể sử dụng công nghệ IPsec hoặc SSL

 Site-to-site VPN: Một số công ty có 2 hoặc nhiều sites, và họ muốn các sites này có thể kết nối an toàn với nhau Loại này gọi là site-to-site VPN Site-to-site VPN thường sử dụng công nghệ IPsec

2 Bảo mật

Bảo mật trong VPN (Virtual Private Network):

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên

hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn

IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể

mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ

3 Nguyên lý hoạt động

Nguyên lý hoạt động của VPN cũng khá đơn giản, khá giống so với các mô hình server – client thông thường Server sẽ chịu trách nhiệm chính trong việc lưu trữ và chia sẻ dữ liệu sau khi

mã hóa, giám sát và cung cấp hệ thống gateway để giao tiếp và xác nhận các tài khoản client trong khâu kết nối, trong khi client VPN, cũng tương tự như client của hệ thống LAN, sẽ tiến hành gửi yêu cầu – request tới server để nhận thông tin về dữ liệu chia sẻ, khởi tạo kết nối tới các client khác trong cùng hệ thống VPN và xử lý quá trình bảo mật dữ liệu qua ứng dụng được cung cấp

4 Ưu khuyết điểm

Ưu điểm

Giảm chi phí thiết lập: VPN có giá thành thấp hơn nhiều so với các giải pháp truyền tin khác như ATM hay ISDN do đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bởi các kết nối nội bộ và mạng truyền tải như ISP hay POP

Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, không mất chi phí đào tạo và trả cho nhiều người quản lý mạng

Nâng cao kết nối : VPN sử dụng mạng Internet cho kết nối nội bộ giữa các thành phần xa nhau của intranet vì vậy bất cứ chi nhánh ở xa nào thì người dung cũng có thể kết nối với mạng intranet chính

Bảo mật: sử dụng kĩ thuật tunneling đi kèm với các Phương pháp mã hoá, xác nhận va uỷ quyền

Hiệu xuất băng thông: băng thông mạng chỉ được kích hoạt khi có internet

Có thể nâng cấp dễ dàng

Khuyết điểm

Phụ thuộc nhiều vào đường truyền internet

Thiếu các giao thức kế thừa hỗ trợ

Thử nghiệm

1 Thử nghiệm

Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1 card

mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài (Internet)

Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11)

Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa trên IPSec ESP

Bước 1: Tạo domain controler

Bước 2: Đưa SRV-1 (VPN Server) vào domain

Bước 3: cài đặt VPN Server trên SRV-1