Cài đặt hệ thống VPN cho toàn bộ công ty

Để có thể gửi và nhận dữ liệu thông qua mạng côngcộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơ

Trang 1

TRƯỜNG CAO ĐẲNG NGHỀ VIỆT MỸ KHOA CÔNG NGHỆ THÔNG TIN

Trang 2

LỜI CẢM ƠN

………

Trang 3

NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP

………

……… , ngày……tháng……năm……

Người hướng dẫn

Xác nhận của đơn vị thực tập

Trang 4

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

………

Phần đánh giá của giáo viên hướng dẫn: Thái độ làm việc:………

Kỹ năng làm việc:………

Mức độ hòan thành đề tài:………

Hình thức trình bày:………

Điểm số: Bằng số……… Bằng chữ:……… …

TP Hồ Chí Minh, ngày……tháng……năm……

Giáo viên hướng dẫn

Trang 5

MỤC LỤC

Lời mở đầu

Chương 1: Tổng quan về VPN

1 Tổng Quan 5

1.1 Định nghĩa VPN 5

1.2 Lợi ích của VPN 6

1.3 Chức năng của VPN 7

2 Định nghĩa “đường hầm” và “mã hoá” 7

2.1 Định nghĩa đường hầm: 7

2.2 Cấu trúc một gói tin IP trong đường hầm: 8

2.3 Mã hoá và giải mã (Encryption/Deccryption): 8

2.4 Một số thuật ngữ sử dụng trong VPN: 8

2.5 Các thuật toán được sử dụng trong mã hoá thông tin 9

3 Các dạng kêt nối mạng riêng ảo VPN 10

3.1 Truy cập VPN (Remote Access VPNs) 10

3.1.1 Một số thành phần chính 11

3.1.2 Thuận lợi chính của Remote Access VPNs: 12

3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như: 12

3.2 Site – To – Site VPN 13

3.2.1 Intranet 14

3.2.2 Extranet VPNs (VPN mở rộng) 16

4 VPN và các vấn đề an toàn bảo mật trên Internet .18

4.1 An toàn và tin cậy .19

4.2 Hình thức an toàn 20

Chương 2: Giao thức trong VPN 1 Bộ giao thức IPSec (IP Security Protocol): 22

1.1 Cấu trúc bảo mật 22

Trang 6

1.1.1 Hiện trạng 23

2 Chế độ làm việc của IPSec 23

2.1 Chế độ chuyển vận (Transport mode) 23

2.2 Chế độ đường hầm ( Tunnel Mode ): 24

3 Giao thức PPTP và L2TP 31

3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling Protocol) 31

3.1.1 Quan hệ giữa PPTP và PPP 32

3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) 34

3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol) 35

3.3.1 Quan hệ giữa L2TP với PPP 36

3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview) 38

3.5 Ứng dụng L2TP trong VPN 42

3.6 So sánh giữa PPTP và L2TP 42

3.6.1 Ưu điểm của L2TP .43

3.6.2 Ưu điểm của PPTP 43

Chương 3: Cấu hình VPN trên Widows Server 2003 1 Giới thiệu chung 92

2 Cài đặt VPN Server 92

3 Cấu hình VPN Server 99

3.1 Route and Remote Access Properties 99

3.2 Ports Properties 102

3.3 Remote Access Policies 103

4 Tạo User trên Windows cho phép sử dụng VPN 104

5 VPN Client trên Windows XP 106

6 Quản lý kết nối trên VPN Server 113

Kết luận 115

Tài liệu tham khảo 116

CÁC THUẬT NGỮ VIẾT TĂT 117

Trang 7

DANH MỤC HÌNH ẢNH

Hình 1 Mô hình chi tiết mạng công ty 21

Hình 2 Cấu Hình Ip 23

Hình 3 .23

Hình 4 24

Hình 5 24

Hình 6 25

Hình 7 25

Hình 8 26

Hình 9 26

Hình 10 27

Hình 11 27

Hình 12 28

Hình 13 28

Hình 14 29

Hình 15 29

Hình 16 30

Hình 17 30

Hình 18 31

Hình 19 31

Hình 20 32

Hình 21 32

Hình 22 33

Hình 23 33

Hình 24 34

Hình 25 34

Hình 26 36

Hình 27 36

Hình 28 37

Hình 29 37

Trang 8

Hình 30 38

Hình 31 38

Hình 32 39

Hình 33 39

Hình 34 40

Hình 35 40

Hình 36 41

Hình 37 42

Hình 38 42

Hình 39 43

Hình 40 44

Hình 41 44

Hình 42 45

Hình 43 45

Hình 44 46

Hình 45 46

Hình 46 47

Hình 47 47

Hình 48 48

Hình 49 48

Hình 50 49

Hình 51 49

Hình 52 50

Hình 53 50

Hình 54 51

Hình 55 51

Hình 56 52

Hình 57 52

Hình 58 53

Hình 59 53

Hình 60 54

Trang 9

Hình 61 54

Hình 62 55

Hình 63 55

Hình 64 56

Hình 65 56

Hình 66 57

Hình 67 57

Hình 68 58

Hình 69 58

Hình 70 59

Hình 71 59

Hình 72 60

Hình 73 60

Hình 74 61

Hình 75 61

Hình 76 62

Hình 77 62

Hình 78 63

Hình 79 63

Hình 80 64

Hình 81 64

Hình 82 65

Hình 83 65

Hình 84 66

Hình 85 66

Hình 86 67

Hình 87 67

Hình 88 68

Hình 89 68

Hình 90 69

Hình 91 69

Trang 10

Hình 92 70

Hình 93 70

Hình 94 71

Hình 95 71

Hình 96 72

Hình 97 72

Hình 98 73

Hình 99 73

Hình 100 74

Hình 101 74

Trang 11

LỊCH LÀM VIỆC TẠI NƠI THỰC TẬP

Thời gian Nội dung thực hiện và kết quả đạt được

Tuần 1

Từ ngày 10/6

Đến ngày 16/6

-Liên hệ với đơn vị thực tập

-Tìm hiểu tổng quan về đơn vị thực tập

-Kiểm tra hệ thống máy tính hàng ngày

-Triển khai và nghiệm thu trên mô hình lab

-Hoàn tất báo cáo và xin ý kiến của nhân viên phòng IT và đềxuất trong báo cáo

Trang 12

Chương 1 TỔNG QUAN VỀ VPN

1 Tổng Quan

Trong thời đại ngày nay Internet đã phát triển mạnh mẽ về mặt mô hìnhcho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng Internet đã đượcthiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đếnngười sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy vàmạng mà người sử dụng đó đang sử dụng Để làm được điều này người ta sửdụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau

Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuậtcòn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thôngcông cộng

Với Internet, những dịch vụ như giáo dục từ xa, mua hang trực tuyến, tưvấn y tế,và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên do Internet cóphạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khókhăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịchvụ

Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoã mãn nhữngyêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet,

đó chính là mô hình mạng riên ảo (Virtual Private Network – VPN ) Với mô hìnhmới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tínhnăng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được

sự hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhàriêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máychủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng

Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, vàcác đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn Trongnhiều trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặctính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet màđảm bảo tính riêng tư và tiết kiệm hơn nhiều

Trang 13

1.1 Định nghĩa VPN

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng( PrivateNetwork) thông qua các mạng công cộng Về căn bản, mỗi VPN là mộtmạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng vớicác site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sửdụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kếtnối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các sitehay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng côngcộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá

dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi(Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ramột đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉcung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó cóthể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệu được

mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền côngcộng cũng không thể đọc được nội dùng vì không có khoá để giải mã Liên kếtvới dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các đường kết nốiVPN thường được gọi là đường ống VPN (Tunnel)

Trang 14

• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tínhlinh hoạt và có thể leo thang những kiến trúc mạng hơn lànhững mạng cổ điển, băng cách nào đó nó có thể hoạt độngkinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối

từ xa của những văn phòng, những vị trí ngoài quốc tế, nhữngngười truyền thông, những người dùng điện thoại di động, nhữngngười hoạt động kinh doanh bên ngoài như những yêu cầu kinh doanh

đã đòi hỏi

• Đơn giản hóa những gánh nặng

• Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng:

Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợpvới kết nối hướng những giao thức như là Frame Relay và ATM

• Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối vớinhững người không có quyền truy cập và cho phép truy cập đối vớinhững người dùng có quyền truy cập

• Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP

• Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mãhoá do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sửdụng các địa chỉ bên ngoài Internet

Trang 15

1.3 Chức năng của VPN

VPN cung cấp 4 chức năng chính

• Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệutrước khi truyền chúng ngang qua mạng Bằng cách làm nhưvậy, không một ai có thể truy nhập thông tin mà không được phép, mànếu lấy được thông tin thì cũng không đọc được vì thông tin đã được

mã hoá

• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm trarằng dữ liệu đã được truyền qua mạng Internet mà không có sự thayđổi nào

• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xácthực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thôngtin

2 Định nghĩa “đường hầm” và “mã hoá”:

Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mậtthông tin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel)

2.1 Định nghĩa đường hầm:

Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mãhoá bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mậtthông tin vì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm đượcthiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xemtrộm thông tin, đường hầm chính là đặc tính ảo của VPN

Các giao thức định đường hầm được sử dụng trong VPN như sau:

• L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp 2

• PPTP (Point-to-Point Tunneling Protocol)

• L2F (Layer 2 Forwarding)

Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:

• IP Sec (IP security)

• GRE (Genenic Routing Encapsulation)

2.2 Cấu trúc một gói tin IP trong đường hầm:1

Trang 16

Tunnel mode packet

Original packet

Hình 2: Cấu trúc một gói tin IP trong đường hầm

2.3 Mã hoá và giải mã (Encryption/Deccryption):

Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hayplain text) thành một dạng văn bản mật mã vô nghĩa không đọc được(cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởinhững người dùng không được phép Giải mã là quá trình ngược lại của mã hoá,tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùngđược phép

bị thay đổi trong khi truyền trên mạng

Xác thực (Authentication): Là quá trình của việc nhận biết một người sử

dụng hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực chắcchắn rằng cá nhân hay một tiến trình là hoàn toàn xác định

Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được

phép thực hiện những quyền hạn cụ thể nào

Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy

ngẫu nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng banđầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thốngmật mã Quản lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá đượctạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ

Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được

tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc cácngười dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoácông cộng, cho mục đích mã hoá Một CA đảm bảo cho sự lien kết giữa cácthành phần bảo mật trong chứng nhận

Trang 17

2.5 Các thuật toán được sử dụng trong mã hoá thông tin:

• DES (Data Encryption Security)

• 3DES (Triple Data Encryption Security)

• SHA (Secure Hash Algorithm)

AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ

liệu,bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảmtính duy nhất của gói tin) AH được nhúng vào trong dữ liệu để bảo vệ

ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung

cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữliệu, các dịch vụ “anti-replay” ESP đóng gói dữ liệu để bảo vệ Oakley

và Skeme mỗi cái định nghĩa một phương thức để thiết lập một sự trao đổi khoáxác thực, cái đó bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự màcác khoá được sử lý và các khoá được sử dụng như thế nào

ISAKMP (Internet Security Association and Key Management):

IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa

Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là mộtkhung giao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai mộtgiao thức trao đổi khoá và sự trao đổi của một SA (Security Association)

SA (Security Association): Là một tập các chính sách và các khoá được sử

dụng để bảo vệ thông tin ISAKMP SA là các chính sách chung và các khoá được

sử dụng bởi các đối tượng ngang hang đàm phán trong giao thức này để bảo vệthông tin của chúng

AAA (Authentication, Authorization và Accouting): là các dịch vụ bảo

mật mạng mà cung cấp các khung chính qua đó điều khiển truy cập được đặt trênRouter hay các Server truy cập Hai sự lựa chọn chính cho AAA là TACACS +

và RADIUS

TACACS+ (Terminal Access Controller Access Control System Plus): Là

một ứng dụng bảo mật mà cung cấp sự xác thực tập trung của các người dùng cốgắng truy nhập tới Router hay mạng truy cập Server

RADIUS (Remote Authentication Dial-In User Service): Là một hệ thống

phân tán client/server mà bảo mật các truy cập không được phép tới mạng

Trang 18

3 Các dạng kêt nối mạng riêng ảo VPN

3.1 Truy cập VPN (Remote Access VPNs)

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote,mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tàinguyên mạng của tổ chức

Remote Access VPN mô tả công việc các người dùng ở xa sử dụng cácphần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gatewayhoặc VPN concentrator (bản chất là một server) Vì lý do này, giải pháp nàythường được gọi là client/server Trong giải pháp này, các người dùng thườngthường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng

HO của họ

Một hướng phát triển khá mới trong remote access VPN là dùng wirelessVPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nốikhông dây Trong thiết kế này, các kết nối không dây cần phải kết nối về mộttrạm wireless (Wireless terminal) và sau đó về mạng của công ty Trong cả haitrường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảomật, còn được gọi là tunnel

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thựcban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tincậy

Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảomật của công ty Chính sách này bao gồm: quy trình (Procedure), kỹ thuật, server(such as Remote Authentication Dial-In User Service [RADIUS], TerminalAccess Controller Access Control System Plus [TACACS+] …)

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và

hỗ trợ truy cập từ xa bởi người dùng

Trang 19

Hình 3 Thiết lập một non-VPN remote access

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặccác chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấpdịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet Thôngtin Remote Access Setup được mô tả bởi hình vẽ sau:

Trang 20

Hình 4 Thiêt lập một VPN remote access

3.1.2 Thuận lợi chính của Remote Access VPNs:

- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đãđược tạo điều kiện thuận lợi bởi ISP

- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nốivới khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

- Giảm giá thành chi phí kết nối với khoảng cách xa

- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so vớikết nối trực tiếp đến những khoảng cách xa

- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch

vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nốiđồng thời đến mạng

3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như:

- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu cóthể đi ra ngoài và bị thất thoát

Trang 21

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điềunày gây khó khăn cho quá trính xác nhận Thêm vào đó, việc nén dữ liệu IP vàPPP-based diễn ra vô cùng chậm chạp và tồi tệ.

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn nhưcác gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

3.2 Site – To – Site VPN

Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tớimạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thì việc chứngthực ban đầu giữa các thiết bị mạng được giao cho người sử dụng Nơi mà cómột kết nối VPN được thiết lập giữa chúng Khi đó các thiết bị này đóng vài trònhư là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước chocác site khác Các Router và Firewall tương thích với VPN, và các bộ tập trungVPN chuyên dụng đều cung cấp chức năng này

Hình 5 Site – to – site VPN

Site – to –Site VPN có thể được xem như là Intranet VPN hoặc ExtranetVPN Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xemnhư là một intranet VPN, ngược lại chúng được xem như một extranet VPN

Trang 22

Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiể bởi

cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng Giải phápSite – To – Site VPN không phải là một remote access VPN nhưng nó được thêmvào đây vì tính chất hoàn thiện của nó

Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơnthuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đíchthảo luận Ví dụ như là các thiết bị VPN dựa trên phần cứng mới (RouterCisco3002 chẳng hạn) ở đây để phân loại được, chúng ta phải áp dụng cảhai cách, bởi vì harware-based client có thể xuất hiện nếu một thiết bịđang truy cập vào mạng Mặc dù một mạng có thể có nhiều thiết bị VPN đangvận hành Một ví dụ khác như là một chế độ mở rộng của giải pháp Ez VPN bằngcách dùng Router 806 và 17xx

Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đườnghầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP,L2TP, hoặc IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không cóđường nối lại với nhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn mậtcủa dữ liệu, bạn có thể thiết lập một Site – to –Site VPN thông qua sự kết hợpcủa các thiết bị VPN concentrators, Router, và Firewalls

Kết nối Site –to –Site VPN được thiết kế để tạo một kết nối mạng trựctiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luânchuyển thông qua Internet hoặc một mạng không được tin cậy Bạn phải đảm bảovấn đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên tấ cả các gói dữ liệuđang luân chuyển giữa các mạng đó

3.2.1 Intranet

Trang 23

Hình 6 Thiết lập Intranet sử dụng WAN backbone

Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ

sở chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùngchung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chứcgồm nhiều công ty và văn phòng làm việc mà các kết nối này luôn luôn được mãhoá thông tinIntranet VPN được sử dụng để kết nối đến các chi nhánh văn phòngcủa tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router(Hình 7)

Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiếtlập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng IntranetBackbone sẽ rất tốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên

nó và phạm vi địa lý của toàn bộ mạng Intranet

Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thếbởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng

kể của việc triển khai mạng Intranet (Hình 1-5)

Trang 24

Hình 7 Thiếp lập Intranet dựa trên VPN

Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 7

- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo môhình WAN backbone

- Giảm thiểu số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,các trạm ở một số remote site khác nhau

- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cungcấp những kết nối mới ngang hang

- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấpdịch vụ, loại bỏ vấn đề khoảng cách xa và thêm nữa giúp tổ chức giảmthiểu chi phí cho việc thực hiện Intranet

Những bất lợi chính kết hợp với cách giải quyết:

- Bởi vì dữ liệu vẫn còn tunnel trong quá trình chia sẻ trên mạngcông cộng-Internet và những nguy cơ tấn công, như tấn công bằng từchối dịch vụ (denial-of service), vẫn còn là một mối đe doạ an toànthông tin

- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao

- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như cáctập tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyềnthông qua Internet

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thườngxuyên, và QoS cũng không được bảo đảm

Trang 25

3.2.2 Extranet VPNs (VPN mở rộng)

Hình 8 Extranet VPN

Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, nhữngnhà cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet qua

cơ sở hạ tầng dùng chung chia sẽ những kết nối

Không giốn như intranet và Remote Access –based, Extranet không antoàn cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tàinguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn nhưkhách hàng, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổchức

Hình 9 Thiết lập mạng Extranet theo truyền thống

Trang 26

Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêngbiệt trên intranet kết hợp lại với nhau để tạo ra một Extranet Điều này làm chokhó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cánhân làm công việc bảo trì và quản trị Thêm nữa là mạng Extranet dễ mở rộng

do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến cáckết nối bên ngoài mạng Sẽ có những vấn đề bạn gặp phải bất thình lình khi kếtnối một Intranet vào một mạng Extranet Triển khai và thiết kế một mạngExtranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng

Hình 10: Thiết lập Extranet

Một số thuận lợi của Extranet:

Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phốikhi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức Bởi

vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp ISP nên cũnggiảm chi phí bảo trì khi thuê nhân viên bảo trì Dễ dàng triển khai, quản lý vàchỉnh sữa thông tin

Một số bất lợi:

- Sự đe doạ về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫncòn tồn tại

- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việctrao đổi diễn ra chậm chạp

- Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên

Trang 27

4 VPN và các vấn đề an toàn bảo mật trên Internet.

Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầuInternet ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào

Internet kèm theo đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệumột cách an toàn qua mạng công cộng như Internet Hàng năm sự rò rỉ và mấtcắp thông tin dữ liêu đã gây thiệt hại rất lớn về kinh tế trên toàn thế giới Các tộiphạm tin tặc “ hacker” luôn tìm mọi cách để nghe trộm, đánh cắp thông tin dữliệu nhạy cảm như: thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế nhạycảm của các tổ chức hay cá nhân

Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn vàbảo mật thông tin trên Internet như thế nào ?

Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâmkhi trao đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng

ảo VPN

Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo

ra một đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối.Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyểntrong một đường hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mòmuốn đánh cắp thông tin

4.1 An toàn và tin cậy.

Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì một

hệ thống đáng tin cậy được Thuộc tính này của một hệ thống đựơc viện dẫn như

sự đáng tin cậy được Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

• Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trongkhoản thời gian Tính sẵn sang thường đựơc thực hiện qua những hệ thốngphần cứng dự phòng

• Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiệncác chức năng của nó trong một chu kỳ thời gian Sự tin cậy khác với tínhsẵn sang , nó được đo trong cả một chu kỳ của thời gian Nó tương ứng tớitính liên tục của một dịch vụ

• Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chứcnăng của nó chính xác hoặc thực hiện trong trường hợp thất bại một ứng

xử không thiệt hại nào xuất hiện

• Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sựbảo vệ tất cả các tài nguyên hệ thống Một hệ thống máy tính đáng tin cậy

ở mức cao nhất là luôn đảm bảo an toàn ở bất kỳ thời gian nào Nó đảmbảo không một sự và chạm nào mà không cảnh báo thông tin có cảm giác,lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:

• Tính bí mật

Trang 28

• Tính toàn vẹnThuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu khôngthay đổi trong một ứng xử không hợp pháp trong thời gian tồn tại của nó Tínhsẵn sang, sự an toàn và anh ninh là những thành phần phụ thuộc lẫn nhau Sự anninh bảo vệ hệ thống khỏi những mối đe doạ và sự tấn công Nó đảm bảo một hệthống an toàn luôn sẵn sang và đáng tin cậy.

Những mối đe doạ và tấn công có liên quan tới phần cứng của hệ thống

Nó có thể được phân ra vào 2 phạm trù:

• Sự an toàn vật lý

• An toàn bắt nguồn

Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe doạvật lý bên ngoài như sự can thiệp, mất cắp thông tin, động đất và nước làm ngậplụt Tất cả những thông tin nhạy cảm trong những tài nguyên phần cứng của hệthống cần sự bảo vệ chống lại tất cả những sự bảo vệ này

An toàn thông tin:

Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và sự kếthợp của phần cứng và phần mềm Nó có thể được chia vào sự an toàn và truyềnthông máy tính Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượngchống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chếđiều khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chếphần cứng, kỹ thuật mã hoá… Sự an toàn truyền thông bảo vệ đối tượng truyền

An toàn quản trị:

An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người lợidụng tới một hệ thống máy tính Những mối đe doạ này có thể là hoạt động nhân

sự Sự an toàn nhân sự bao bao trùm việc bảo vệ của những đối tượng chống lại

sự tấn công từ những người dùng uỷ quyền Mỗi người dùng của hệ thống cónhững đặc quyền để truy nhập những tài nguyên nhất định Sự an toàn nhân sựchứa đựng những cơ chế bảo vệ chống lại những người dùng cố tình tìm kiếmđược những đặc quyền cao hơn hoặc lạm dụng những đặc quyền của họ, cho nên

Trang 29

sự giáo dục nhận thức rất quan trọng để nó thực sự là một cơ chế bảo vệ sự antoàn hệ thống Thống kê cho thấy những người dùng uỷ quyền có tỷ lệ đe doạ caohơn cho một hệ thống máy tính so với từ bên ngoài tấn công Những thông tinđược thống kê cho thấy chỉ có 10% của tất cả các nguy hại máy tính đựơc thựchiện từ bên ngoài hệ thống, trong khi có đến 40% là bởi những người dùng trongcuộc và khoảng 50% là bởi người làm thuê cũ.

Trang 30

Chương 2 GIAO THỨC TRONG VPN

Trong VPN có 3 giao thức chính để xây dựng lên một “mạng riêng ảo” hoànchỉnh đó là:

• IP Sec (IP Security)

• PPTP (Point-to-Point Tunneling Protocol)

• L2TP (Layer 2 Tunneling Protocol)

Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểmkhác nhau khi triển khai vào mạng VPN

1 Bộ giao thức IPSec (IP Security Protocol):

IPSec thực chất không phải là một giao thức, nó chỉ là một khung của cáctập giao thức chuẩn mở rộng được thiết kế để cung cấp tính xác thực và toàn vẹn

dữ liệu Giao thức IPSec được làm việc tại tầng Network Layer- Layer 3 của môhình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, đượcthực hiện từ tầng transport layer trở lên (Từ tầng 4 đến tầng 7 của mô hình OSI).Điều này tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạt động tại tầng

4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPSec có một tínhnăng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của

mô hình OSI Với một ứng dụng sử dụng IPSec mã (code) không bị thay đổi,nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên cáctầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn

1.1 Cấu trúc bảo mật

IPSec được triển khai (1) sử dụng các giao thức cung cấp mật mã(cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền,(2) phương thức xác thực và (3) thiết lập các thông số mã hoá

Xây dựng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mậtđơn giản khi kêt hợp các thuật toán và các thông số (ví dụ như các khoá-keys) lànền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong cácgiao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quátrình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộcvào người quản trị IPSec bởi vì IPSec bao gồm một nhóm các giao thức bảo mậtđáp ứng mã hoá và xác thực cho mỗi gói tin IP

Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấpcho một gói tin outgoing (đi ra ngoài), IPSec sử dụng các thông số SecurityParameter Index (SPI), mỗi quá trình Index ( đánh thứ tự và lưu trong dữ liệu –

Trang 31

Index ví như một cuốn danh bạ điện thoại) bao gồm Security AssociationDatabase (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin,cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật cho mỗi gói tin Mộtquá trình tương tự cũng được làm với gói tin đi vào (incoming packet),nơi IPSec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB Cho cácgói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiệncho toàn bộ các receiver trong group đó Có thể có hơn một thoả hiệp bảo mậtcho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng chophép thực hiện nhiều mức độ bảo mật cho một group Mỗi người gửi có thể cónhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết đượccác keys được gửi đi trong dữ liệu Chú ý các chuẩn không miêu tả làm thế nào

để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân

1.1.1 Hiện trạng

IPSec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụngIPv4 Trong khi các chuẩn đã được thiết kế cho các phiên bản IP giống nhau, phổbiến hiện nay là áp dụng và triển khai trên nền tảng IPv4

Các giao thức IPSec được định nghĩa từ RFCs 1825 -1829, và được phổbiến năm 1995 Năm 1998, được nâng cấp với các phiên bản RFC 2401-2412,

nó không tương thích với chuẩn 1825-1829 Trong tháng 12 năm 2005, thế hệ thứ

3 của chuẩn IPSec, RFC 4301-4309 Cũng không khác nhiều so với chuẩn RFC2401-2412 nhưng thế hệ mới được cung cấp chuẩn IKE second Trong thế hệ mớinày IP security cũng được viết tắt lại là IPSec

2 Chế độ làm việc của IPSec

2.1 Chế độ chuyển vận (Transport mode)

Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ vớimáy khác mà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninhmạng

Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được

mã hoá và hoặc xác thực Trong quá trình Routing, cả IP header đều không bịchỉnh sữa hay mã hoá; tuy nhiên khi authentication header được sử dụng,địa chỉ IP không thể chỉnh sửa ( ví dụ như port number) Transport mode sử dụngtrong tình huống giao tiếp host-to-host

Điều này có nghĩa là đóng gói các thông tin trong IPSec cho NATtraversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T

2.2 Chế độ đường hầm ( Tunnel Mode ):

Chế độ này hỗ trợ khả năng truy nhập từ xa và liên kết an toàncác Website Chế độ chuyển vận sử dụng AH và ESP đối với phần của tầngchuyển vận trong một gói tin IP Phần dữ liệu thực của giao thức IP này là phần

Trang 32

duy nhất được bảo vệ trong toàn gói tin Phần header của gói tin IP với địa chỉcủa điểm truyền và điểm nhận không bảo vệ Khi áp dụng cả AH và ESP thì AHđược áp dụng sau để tính ra tính toàn vẹn của dữ liệu trên tổng lượng dữ liệu.Mặt khác chế độ đường hầm cho phép mã hoá và tiếp nhận đối với toàn bộ góitin IP Các cổng bảo mật sử dụng chế độ này để cung cấp các dịch vụ bảo mậtthay cho các thực thể khác trên mạng Các điểm truyền thông đầu cuối được bảo

vệ bên trong các gói tin IP đến trong khi các điểm cuối mã hoá lại được lưu trongcác gói tin IP truyền đi Một gateway bảo mật thực hiện phân tách gói tin IP đếncho điểm nhận cuối cùng sau khi IPSec hoàn thành việc sử lý của mình Trongchế độ đường hầm, địa chỉ IP của điểm đến được bảo vệ

Trong chế độ đường hầm, có một phần header IP phụ được thêm vào, còntrong chế độ chuyển vận thì không có điều này IPSec định ra chế độ đường hầm

để áp dụng cho AH và ESP

Khi host 1 muốn giao tiếp với host 2, nó có thể sử dụng chế độ đường hầm

để cho phép các gateway bảo mật có thể cung cấp các dịch vụ để đảm bảo antoàn cho việc liên lạc giữa hai nút mạng trên mạng công cộng

IPSec cho phép chế độ bảo mật theo nhiều lớp và theo nhiều tuyến truyền.Trong đó, phần header của gói tin nội tại được hoàn toàn bao bọc bởi phầnheader của gói tin được phát đi Tuy vậy, phải có một điều kiện là các tuyếntruyền không được gối chồng lên nhau

Đối với việc sử lý luồng dữ liệu truyền đi, tầng IP sẽ tham chiếu đến SPD(Security Policy Database ) để quyết định các dịch vụ bảo mật cần áp dụng Các

bộ chọn lọc được lấy ra từ các phần header sử dụng để chỉ ra một cách thức hoạtđộng cho SPD Nếu hoạt động của SPD là áp dụng tính năng bảo mật thì sẽ cómột con trỏ, trỏ đến SA trong SADB ( Security Association Database ) được trả

về Trường hợp SA không có trong SADB thì IKE sẽ được kích hoạt Sau đó cácphần header AH và ESP được bổ xùng theo cách mà SA định ra và gói tin sẽđược truyền đi

Với việc sử lý luồng dữ liệu gửi đến, sau khi nhận được một gói tin, tầng

có nhiệm vụ bảo mật sẽ kiểm tra danh mục các phương thức bảo mật để đưa racác hành động sau đây: huỷ bỏ, bỏ qua hoặc áp dụng Nếu hành động là áp dụng

mà SA không tồn tại thì gói tin sẽ bị bỏ qua Tuy nhiên, nếu SA có trong SADBthì gói tin sẽ được chuyển đến tầng tiếp theo để xử lý Nếu gói tin có chứa cácphần header của dịch vụ IPSec thì stack của IPSec sẽ thu nhận gói tin này và thựchiện sử lý Trong quá trình sử lý, IPSec lấy ra phấn SPI, phần địa chỉ nguồn vàđịa chỉ đích của gói tin Đồng thời, SADB được đánh số theo các tham số đểchọn ra SA nhất địn để sử dụng: SPT, địa chỉ đích hoặc là giao thức

Trang 34

thực IPSec có khả năng thích ứng với tất cả các trình ứng dụng chạy trên mạngIP.

+ IPSec hoạt động hiệu quả và nhanh hơn các ứng dụng bảo mật hoạt động ởtầng ứng dụng ( Application layer)

Hình 13

+ IPSec có thể được coi như là một lớp dưới của giao thức TCP/IP, lớp này kiểmsoát các người dùng truy nhập dựa vào một chính sách an toàn về mỗi máy tính

và một tổ chức đàm phán an ninh giữa người gửi và người nhận

• Giao thức đóng gói an toàn ESP ( Encapsulation Security Payload):

là giao thức số 50 được gán bởi IANA ESP là một giao thức bảo mật có thể được

sử dụng cho việc cung cấp tính bảo mật và xác thực các gói dữ liệu khỏi sựnhòm ngó của người dùng không được phép ESP cung cấp phần tải tin của gói

dữ liệu, ESP cung cấp sự xác thực cho gói tin IP nội bộ và phần tiêu đề ESP Sựxác thực cung cấp sự xác thực về nguồn gốc và tính toàn vẹn của gói dữ liệu.ESP là giao thức hỗ trợ và kiểu mã hoá đối xứng như: Blowfish, DES Thuật toán

mã hoá dữ liệu mặc định sử dụng trong IPSec là thuật toán DES 56 bit Trong cácsản phẩm và thiết bị mạng của Cisco dùng trong VPN còn sử dụng việc mã hoá

dữ liệu tôt hơn bằng cách sử dụng thuật toán 3DES( Triple DataEncryption Security ) 128 bit

+ Giao thức ESP có thể được sử dụng độc lập hoặc kết hợp với giao thức chứngthực đầu mục AH ( Authentication Header ) tuỳ thuộc vào từng môi trường Haigiao thức ESP và AH đều cung cấp tính toàn vẹn, xác thực các gói dữ liệu

+ Giao thức ESP cũng có thể bảo vệ được tính duy nhất của gói tin bằng cách yêucầu bên nhận đặt bit “ replay” trong tiêu đề để chỉ ra rằng gói tin đã được gửi

• Giao thức chứng thực mục đầu AH ( Authentication HeaderProtocol)

Trang 35

Trong hệ thống IPSec có một đầu mục đặc biệt: Đầu mục chứng thực AHđược thiết kế để cung cấp hầu hết dịch vụ chứng thực cho dữ liệu IP Với IP v4.

Hình 14.1

Hình 14.2

• Giao thức trao đổi chìa khoá Inernet ( IKE )

AH và ESP là những giao thức mà IPSec yêu cầu những bí mật dùngchung trong việc phân phối khoá, do đó các chìa khoá có thể mất cắp khi trao đổiqua lại Do đó một cơ chế trao đổi chìa khoá an toàn cho IPSec phải thoả mãnyêu cầu sau

• Không phụ thuộc vào các thuật toán đặc biệt

• Không phụ thuộc vào một nghi thức trao đổi khoá đặc biệt,

• Sự chứng thực của những thực thể quản lý khoá

• Thiết lập các SA trên các tuyến giao thông không an toàn

• Sử dụng hiệu quả các nguồn tài nguyên

Giao thức IKE dựa trên khung của Hiệp hội quản lý chìa khóa trên Internet vàGiao thức phân phối khoá Oakley

Giao thức IKE có các đặc tính sau:

+ Các chìa khoá phát sinh và những thủ tục nhận biết

+ Tự động làm mới lại chìa khoá

Trang 36

+ Mỗi một giao thức an toàn ( AH, ESP ) có một không gian chỉ số an toàn củachính mình

+ Gắn sẵn sự bảo vệ

+ Chống lại các cuộc tấn công làm nghẽn mạch tài nguyên như: Tấn công từ chốidịch vụ DoS ( Denial- of- Service )

+ Tiếp cận hai giai đoạn

• Thiết lập những SA cho khoá trao đổi

• Thiết lập SA cho dữ liệu chuyển

+ Sử dụng chữ ký số

+ Dùng chung khoá

Giao thức IKE thiết kế ra để cung cấp 5 khả năng:

• Cung cấp những phương tiện cho hai bên về sự đồng ý những giaothức, thuật toán và những chìa khoá để sử dụng

• Đảm bảo trao đổi khoá đến đúng người dùng

• Quản lý những chìa khoá sau khi được chấp nhận

• Đảm bảo rằng sự điều khiển và trao đổi khoá an toàn

• Cho phép sự chứng thực động giữa các đối tượng ngang hang

Để thiết lập một hiệp hội khoá IKE bắt đầu từ một điểm, chủ nhà hay cổng vào

an toàn một Intranet tập đoàn, ta cần thiết kế 4 khoản

• Một giải thuật để mã hoá dữ liệu

• Một giải thuật hàm băm để giảm bớt dữ liệu ở trên

• Một phương pháp chứng thực dữ liệu

• Thông tin về nhóm người dùng khi trao đổi Diffie-Hellman

Trước khi IPSec gửi xác nhận hoặc mã hoá dữ liệu IP, giữa hai người gửi vàngười nhận phải thống nhất về giải thuật mã hoá và chìa khoá mã hoá hoặcnhững chìa khoá để sử dụng IPSec sử dụng giao thức IKE để tự thiết lập nhữnggiao thức đàm phán về những chìa khoá mã hoá, thuật toán sử dụng

Giao thức IKE cung cấp sự chứng thực sơ cấp: việc xác minh sự nhận biết các hệthống từ xa trước khi bàn bạc, thương lượng về chìa khoá và giải thuật

Giao thức IKE là giao thức lai ghép của 3 giao thức: ISAKMP ( Internet SecurityAssociation and Key Management Protocol ), Oakley, SKEME Giao thứcISAKMP cung cấp một khung cho sự trao đổi chứng thực và chìa khoá

Giao thức Oakley mô tả những kiểu trao đổi chìa khoá

Giao thức SKEME đinh nghĩa kỹ thuật trao đổi chìa khoá

Trang 37

Trong ISAKMP có hai kênh thành lập SA ( Security Association - Hiệp hội antoàn ).

Giao thức IKE có hai luồng chung:

• ISAKMP thực hiện lần một ( kiểu chính): Đàm phán thiết lập Hiệp hội

an toàn ISAKMP, một kênh an toàn truyền thông từ xa hơn nữa choIKE, hai hệ thống phát sinh một chìa khoá dùng chung Diffie-Ellman.Xác minh nhận biết hệ thống từ xa ( Chứng thực sơ cấp )

Hình 15: Sơ đồ hình thành khoá dùng chung Diffie-Hellman

• ISAKMP thực hiện lần 2 ( Kiểu nhanh) Sử dụng kênh truyềnthông an toàn của ISAKMP SA cho sự mã hoá IPSec AH hoặc ESP

Định dạng
Số trang	75
Dung lượng	6,58 MB