Một trong các loại dịch vụ đó là công nghệ mạng riêng ảo - VPN Virtual Private Network Theo IETF, VPN là mạng diện rộng sử dụng các thiết bị, phương tiện truyền thông của mạng công cộng
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TRẦN QUỐC THƯ
BẢO MẬT TRONG MẠNG RIÊNG ẢO
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn Khoa học: TS Nguyễn Trọng Đường
Phản biện 1: Phản biện 2: Luận văn sẽ được bảo trước Hội đồng chấm luận văn thạc sỹ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc ……… giờ ……… Ngày ……… tháng 09 năm 2013
Trang 3MỞ ĐẦU
Ngày nay, sự phát triển nhanh chóng của các công nghệ viễn thông tiên tiến như ISDN, ATM, ASDL và đặc biệt là Internet trong các năm qua kéo theo sự phát triển hàng loạt các dịch vụ mới đáp ứng các nhu cầu đa dạng của việc ứng dụng công nghệ thông tin Một trong các loại dịch vụ đó là công nghệ mạng riêng ảo - VPN (Virtual Private Network)
Theo IETF, VPN là mạng diện rộng sử dụng các thiết bị, phương tiện truyền thông của mạng công cộng cùng với các chức năng bảo mật như tạo đường hầm (tunnel), mật mã hóa dữ liệu (encryption), xác thực (authentication) với mục đích đạt được tính bảo mật như một mạng được thiết lập dùng riêng
Trong xu hướng toàn cầu hóa sẽ kéo theo sự phát triển của các công ty đa quốc gia, các chi nhánh hoặc các văn phòng đại diện của các công ty lớn không phụ thuộc vào vị trí địa lý, nhu cầu truy cập từ xa, xu hướng hội nhập và mở rộng dẫn đến sự phát triển của dịch vụ VPN là tất yếu, là sự kết hợp hoàn hảo giữa Internet và các mạng dùng riêng
Xã hội ngày càng phát triển, nhu cầu sử dụng các dịch vụ tác nghiệp trực tuyến ngày càng cao, sự phát triển mạnh mẽ của nhiều nhà cung cấp dịch vụ với hệ thống kiến trúc mạng khác nhau cùng các trang thiết bị, sản phẩm viễn thông đa dạng đã tạo
ra những thách thức, rào cản lớn đối với mạng dùng riêng trong việc kết nối các mạng này với nhau, VPN chính là một giải pháp thích hợp trong nhu cầu này
Bên cạnh đó, chi phí cho việc thiết lập và quản trị một mạng diện rộng là rất lớn, trong khi đó sử dụng VPN vừa tiết kiệm và vẫn bảo đảm được tính an toàn và bảo mật, điều này có ý nghĩa đối với các công ty có nhiều văn phòng chi nhánh
Hai công nghệ nổi trội hơn cả để ứng dụng tạo ra các VPN đó là MPLS và IPSec Mỗi kỹ thuật có giá trị và vị trí riêng trong hệ thống mạng VPN MPLS triển khai rất tốt trong vùng lõi (core) của mạng các nhà cung cấp dịch vụ Trong khi đó VPN IPSec rất phù hợp với cấu hình bảo mật end-to-end Việc thực thi mô hình mạng bao gồm cả VPN MPLS và IPSec sẽ đem lại hiệu quả lợi ích tốt nhất
Công nghệ MPLS cung cấp các công cụ cải thiện kỹ thuật lưu lượng mạng IP cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát và đáp ứng các mức dịch vụ khác nhau MPLS đem đến nhiều ưu điểm, tận dụng sự thông minh của bộ định tuyến
và tốc độ chuyển mạch, cung cấp phương thức ánh xạ gói tin IP vào kết nối có hướng
MPLS sử dụng thông tin định tuyến lớp 3 để thiết lập bảng định tuyến và định rõ tài nguyên, đồng thời sử dụng các giao thức lớp 2 (FR, ATM) để chuyển mạch hoặc định hướng thông tin trên đường dẫn tương ứng MPLS được coi là công nghệ mạng tân tiến giải quyết được nhiều nhược điểm của mạng IP, ATM Vì thế công nghệ MPLS là một trong những lựa chọn phù hợp cho mạng thế hệ sau NGN
Với những lý do trên, đề tài tập trung nghiên cứu bảo mật trong mạng riêng ảo VPN trên nền mạng công cộng như IPSec, MPLS, đồng thời phân tích, thiết kế các mô hình, kiến trúc mạng VPN/MPLS và đưa ra các cơ sở để ứng dụng tại Ngân hàng
Trang 4Mục tiêu của luận văn:
Tập trung nghiên cứu bảo mật trong mạng riêng ảo VPN trên nền mạng công cộng như IPSec, MPLS, đồng thời phân tích, thiết kế các mô hình, kiến trúc mạng VPN/MPLS và đưa ra các cơ sở để triển khai trên mô hình thực tế của cơ quan, doanh nghiệp
Tìm hiểu tổng quan về mạng riêng ảo, những kiến thức cơ bản về các thành phân trên mạng riêng ảo, các loại mạng riêng ảo và các giao thức
Nghiên cứu các cơ chế an ninh, bảo mật được sử dụng trong mạng VPN: Xác thực, mã hóa, chữ ký điện tử, tạo đường hầm Công nghệ chuyển mạch nhãn đa giao thức MPLS - MPLS/VPN
Triển khai MPLS/VPN
Đối tượng nghiên cứu:
- Bảo mật trong mạng riêng ảo VPN trên nền tảng công nghệ chính là IPSec và MPLS
- Nghiên cứu bài toán cụ thể với việc kết nối giữa các Khách hàng trên mạng lõi của nhà cung cấp trên phần mềm mô phỏng GNS3 Trong mô hình triển khai chia làm hai phần: Customer (Khách hàng, Ngân hàng), Service Provider (Nhà cung cấp dịch vụ) trao đổi thông tin
Phương pháp nghiên cứu:
- Nghiên cứu các tài liệu, báo cáo trong nước và nước ngoài có liên quan kỹ thuật chuyển mạch nhãn đa giao thức MPLS
- Tiến hành cài đặt và thử nghiệm
Trang 5CHƯƠNG I: TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN
1.1 Giới thiệu về VPN
Vấn đề an ninh, bảo mật trong hệ thống mạng đang rất được quan tâm, nhất là khi cơ sở hạ tầng và công nghệ mạng WAN đã dần đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời vấn đề tấn công trên mạng với mục đích chính trị
và kinh tế gia tăng nhanh chóng thì bảo mật ngày càng được quan tâm An ninh mạng không chỉ quan trọng đối với các nhà cung cấp dịch vụ ISP mà còn có ý nghĩa quyết định đối với các cơ quan chính phủ và các doanh nghiệp Các giải pháp cho hệ thống WAN như sử dụng đường dây thuê riêng (Leaseline), FR không có sự mềm dẻo linh hoạt về mặt kết nối, mở rộng mạng cũng như an toàn thông tin, chi phí lại rất cao, các giải pháp tường lửa cũng chỉ đảm bảo chống lại các cuộc tấn công từ bên ngoài tại hệ thống vào còn thông tin trên đường truyền thì có thể đọc được, nguy cơ bị sao chép và
ăn cắp thông tin cao Khi đưa ra giải pháp an ninh bảo mật toàn diện cho một hệ thống mạng thì không thể không nhắc đến giải pháp mạng riêng ảo VPN
Sự ra đời của mạng riêng ảo VPN đã giải quyết vấn đề bảo mật, tiết kiệm chi phí, linh hoạt trong việc quản lý các site và khách hàng quay số từ xa, cũng như hỗ trợ tốt những công nghệ, giao thức mới
Khi mạng riêng ảo trở nên thông dụng và không thể thiếu đối với các doanh nghiệp ở các nước phát triển, vì điều đó thực sự mạng lại lới ích lớn cho doanh nghiệp, bởi an toàn thông tin gắn liền với sự phát triển của doanh nghiệp
Mạng riêng ảo (VPN) hoạt động trên nền giao thức IP ngày càng trở nên phổ biến Công nghệ này cho phép tạo lập một mạng riêng thông qua cơ sở hạ tầng chung của nhà cung cấp dịch vụ (ISP) Các kỹ thuật đảm bảo an ninh khác nhau đã được áp dụng để bảo vệ thông tin của người sử dụng khi trao đổi trong một môi trường chia sẻ như Internet
Mạng riêng ảo VPN là một môi trường thông tin ở đó việc truy nhập được kiểm soát và chỉ cho phép thực hiện kết nối thuộc phạm vi đã được xác định trước VPN được xây dựng thông qua việc chia sẻ các phương tiện, môi trường truyền thông chung Việc cung cấp các dịch vụ cho mạng riêng được thực hiện thông qua các phương tiện, môi trường này”
Mạng riêng ảo VPN là một mạng riêng được xây dựng trên cơ sở hạ tầng của mạng Internet
Trang 6Hình 1.1 Mô hình cơ bản VPN
1.2 Phân loại VPN
Có hai loại mạng riêng ảo VPN đó là: VPN truy cập từ xa và VPN kết nối hai mạng với nhau, còn được gọi là site to site hay LAN to LAN VPN
1.2.1 VPN truy cập từ xa (Remote access VPN)
VPN truy cập từ xa (hình 1.2) được dùng cho những user làm việc di động, cần phải truy cập an toàn tới mạng riêng của công ty từ bất kỳ vị trí địa lý nào thông qua một môi trường chia sẻ, thông dụng như mạng Internet Một số văn phòng nhỏ cũng có thể sử dụng kiểu truy cập này để nối với mạng riêng của công ty mình
1.2.2 Intranet VPN
VPN kết nối hai mạng với nhau (site to site VPN) được chia làm hai loại là Intranet VPN và Extranet VPN Về mặt mô hình mạng thì hai loại trên không khác nhau nhưng khác nhau về chính sách bảo mật Được sử dụng để kết nối các văn phòng, chi nhánh trong cùng một công ty, cung cấp kết nối tin cậy, sử dụng nhiều tài nguyên mạng của Công ty
Một mạng VPN có thể bao gồm các thành phần cơ bản sau:
- Máy phục vụ truy cập mạng NAS - Network Access Server
- Bộ định tuyến - Router
- Máy nguồn đường hầm TOS - Tunnel Origination Server
- Máy đích đường hầm TTS - Tunnel Termination Server
- Máy phục vụ xác thực - Authentication Server
- Tường lửa (Firewall)
- Máy phục vụ thiết lập chính sách (Policy Server)
1.3.3 Các giao thức tạo đường hầm trong VPN
Trang 7 Giao thức đường hầm điểm nối điểm (PPTP)
Giao thức chuyển tiếp lớp 2 (L2F)
Giao thức tạo đường hầm ở lớp hai (L2TP)
Các giao thức riêng khác
a Giao thức PPTP (Point-to-point Tunning Protocol)
b Giao thức L2TP (Layer 2 Tunneling Protocol)
L2TP được tạo ra bằng cách kết hợp các ưu điểm của hai giao thức PPTP và L2F (Layer 2 Forwarding - do Cisco thiết kế) Hai công ty Microsoft và Cisco đã cùng hợp tác để đưa ra giao thức L2TP
L2F có nhiều điểm giống PPTP L2F được thiết kế để làm việc với PPP và các giao thức không định tuyến khác L2F là một giao thức thuộc lớp hai Điểm khác nhau chính giữa PPTP và L2F là việc tạo đường hầm trong L2F không phụ thuộc vào IP và GRE, điều này cho phép làm việc với các phương tiên truyền vật lý khác
L2F ngoài việc sử dụng PPP xác thực người dùng còn hỗ trợ cho TACACS+ và RADIUS để xác thực L2F khác PPTP ở việc định nghĩa các kết nối bên trong một đường hầm, cho phép một đường hầm hỗ trợ nhiều kết nối
Giống như PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa L2TP định nghĩa giao thức tạo đường hầm riêng, dựa trên cấu trúc của L2F
Cơ cấu này cho phép triển khai đường hầm không chỉ trên mạng IP mà còn trên các mạng chuyển mạch gói như X25, Frame Relay và ATM
Hình 1.8 Đường hầm L2TP
c Giao thức IPSec
IPSec cung cấp các chuẩn mã hóa, xác thực và quản lý khóa mạnh Sử dụng IPSec, hai bên tham gia có thể mã hóa từng gói tin cũng như xác thực lẫn nhau Có hai chế độ thông tin được sử dụng trong IPSec là giao vận và đường hầm
Thành phần của IPSec:
Authentication Header (AH)
Encapsulating Security Payload (ESP)
d SSL VPN (Secure Socket Layer VPN)
- Ứng dụng: IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP Một khi
kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các ứng dụng truyền thống
Trang 8như Web, thư điện tử, truyền tệp đến ứng dụng khác như: ICMP, VoIP …, các ứng dụng đa dịch vụ để cho phép đi qua kênh này Đây là một ưu điểm của IPSec VPN, nhất là IPSec VPN có thể cung cấp kết nối an toàn cho các ứng dụng không dựa trên nền Web Vì vậy, các máy khác dùng IPSec thực hiện kết nối VPN được gọi là fat-client do khả năng ứng dụng và dịch vụ Trong khi đó khả năng truy cập các ứng dụng, dịch vụ của SSL VPN hạn chế hơn SSL VPN cung cấp các ứng dụng dựa trên nền web: Email (POP3, IMAP, SMTP) Các máy khách chỉ cần dùng trình duyệt có hỗ trợ SSL, hoặc thực hiện kết nối VPN mà không cần cài đặt phần mềm client Đa số các giải pháp SSL VPN không cung cấp các ứng dụng dùng cổng TCP động như FTP hay VoIP Tuy nhiên, SSL VPN cũng hỗ trợ cả một số ứng dụng trên nền TCP sử dụng chương trình chuyển tiếp cổng như: Terminal Services
Tổng kết chương 1
Trong chương một đã giới thiệu khái quát về kỹ thuật VPN Bên cạnh những kỹ thuật cơ bản, còn có các ưu điểm cũng như nhược điểm của VPN Chương một này cũng đề cập đến các dạng của mạng VPN hiện tại Đối với người dùng phổ thông thì vai quan trọng nhất của VPN chính là khả năng bảo mật cao và chi phí đầu tư hợp lý
Trang 9CHƯƠNG 2.BẢO MẬT TRONG VPN
2.1 Các dịch vụ bảo mật
Điều quan trong nhất trong ứng dụng công nghệ mạng riêng ảo là tính bảo mật hay tính riêng tư Trong hầu hết các ứng dụng cơ bản của nó, tính riêng tư mang ý nghĩa là một đường hầm giữa 2 người dùng trên một mạng VPN như một liên kết riêng chạy trên môi trường chung như Internet Đặc biệt đối với doanh nghiệp trong kết nối phải mang tính bảo mật, nghĩa là VPN cần cung cấp các dịch vụ giới hạn để đảm bảo
an toàn cho dữ liệu:
- Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn xác định
- Điều khiển truy cập (Access Control): hạn chế, không cho phép những người dùng bất hợp pháp truy cập vào mạng
- Tin cậy (Confidentiality): ngăn không cho một ai đó đọc hay sao chép dữ liệu khi dữ liệu được truyền đi qua mạng Internet
- Tính toàn vẹn dữ liệu (Data integrity): Đảm bảo dữ liệu không bị thay đổi khi truyền trên mạng Internet
Các dịch vụ trên được cung cấp tại lớp 2 - Liên kết dữ liệu và lớp 3 - lớp mạng của OSI Việc phát triển các dịch vụ bảo mật tại các lớp thấp của OSI làm cho các dịch
vụ này trở nên trong suốt đối với người dùng
2.1.1 Xác thực
- Giao thức xác thực mật khẩu PAP (Password Authentication Protocol):
- Giao thức bắt tay theo yêu cầu CHAP (Challenge Handshake Authentication Protocol)
- Hệ thống điều khiển truy cập bộ điều khiển đầu cuối - TACACS
- Dịch vụ xác thực người dùng thông qua quay số - RADIUS
Trang 10Mã hóa: PPTP sử dụng mã hóa gói tin của PPP Đối với PPTP do Microsoft đưa
ra sử dụng giao thức mã hóa MPPE (Microsoft Point to Point Encryption) dựa trên chuẩn RC4 RSA MPPE chỉ đáp ứng trong trường hợp các giao thức xác thực EAP-TLS hoặc MS-CHAP (phiên bản 1 hoặc 2) được sử dụng
MPPE có thể dụng các khóa mã 40-bit, 56 bit hoặc 128 bit Ngầm định khóa có
độ tin cậy cao nhất được hỗ trợ bởi VPN Client và VPN Server được xác định trong quá trình thiết lập kết nối Nếu VPN server yêu cầu một khóa có độ tin cậy cao hơn khóa được hỗ trợ bởi VPN Client, thì Client sẽ bị từ chối khi cố gắng truy cập
2.3 Bảo mật trong giao thức L2TP
Cơ chế bảo mật giống như trong cơ chế xác thực của PPP: PAP, CHAP, CHAP, EAP Về mặt mã hóa, bản thân L2TP không cung cấp dịch vụ mã hóa dữ liệu
MS-Nó chỉ kế thừa việc sử dụng mã hóa của PPP Tuy nhiên để nâng cao bảo mật, có thể kết hợp L2TP với IPSec Lúc này gói tin L2TP sẽ được đóng gói trong một gói itn IP Cấu trúc:
IP Header UDP Header L2TP Header PPP Header PPP Payload
Do gói tin L2TP được đóng gói trong một gói tin IP, cho nên có thể áp dụng giao thức IPSec cho gói tin này để tăng cường tính bảo mật khi nó được truyền qua mạng
2.4 Bảo mật trong IPSec
IPSec là chuẩn mở, cho phép truyền tin bảo mật trên mạng công cộng dựa trên thuật toán DES, 3DES… nhằm thực hiện việc mã hóa và giải mã Có hai thành phần chính của IPSec là: Xác thực header (AH) và phương thức bảo mật tải tin (ESP)
2.4.1 Bảo mật trong AH
2.4.2 Bảo mật trong ESP
2.4.3 Quản lý và trao đổi khóa
2.5.Công nghệ chuyển mạch nhãn đa giao thức MPLS
2.5.1 Giới thiệu công nghệ MPLS
MPLS là một công nghệ kết hợp đặc điểm tốt nhất giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép chuyển tải các gói rất nhanh trong mạng lõi (core) và định tuyến tốt ở mạng biên (Edge) bằng cách dựa vào nhãn (Label) MPLS là một phương pháp cải tiến việc chuyển tiếp gói trên mạng bằng các nhãn được gắn với mỗi gói IP, tế bào ATM, hoặc frame lớp hai Phương pháp chuyển mạch nhãn giúp các Router và MPLS-Enable ATM switch ra quyết định theo nội dung nhãn tốt hơn việc định tuyến phức tạp theo địa chỉ IP đích MPLS kết hợp tính thực thi và khả năng chuyển mạch lớp hai với định tuyến lớp ba Cho phép các ISP cung cấp nhiều dịch vụ khác nhau mà không cần phải bỏ đi cơ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo trong bất kỳ sự phối hợp với công nghệ lớp hai nào
