BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN CHỦ ĐỀ 10 MÔ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN Giảng viên: Cấn Thị Phượng Thành viên nhóm: Nguyễn Ngọc Hồng Hân Nguyễn Mai Diễm Hương Lê Lâm Nhàn Nguyễn Anh Tuấn Phạm Đan Trường I. VPN 1. Tổng quan Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCPIP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn thông công cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thể quản lý , cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual Private Network ). Với mô hình này, chúng ta không phải đầu tư thêm quá nhiều trang thiết bị , cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó đảm bảo an toàn thông tin giữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay các đối tác kinh doanh trong môi trường truyền thông rộng lớn. Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN CHỦ ĐỀ 10 MÔ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN Giảng viên: Cấn Thị Phượng Thành viên nhóm: Nguyễn Ngọc Hồng Hân Nguyễn Mai Diễm Hương Lê Lâm Nhàn Nguyễn Anh Tuấn Phạm Đan Trường I VPN Tổng quan Cùng với phát triển mạnh mẽ công nghiệp, nhu cầu trao đổi thông tin, liệu tổ chức, công ty, tập thể cá nhân trở nên thiết Internet bùng nổ Mọi người sử dụng máy tính kết nối Internet thơng qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… trở nên dễ dàng Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chức hay phủ quản lý , việc đảm bảo an toàn bảo mật liệu hay quản lý dịch vụ vấn đề lớn cần phải giải Từ nhà khoa học nghiên cứu đưa mơ hình mạng mới, nhằm đáp ứng nhu cầu mà tận dụng sở hạ tầng có Internet, mơ hình mạng riêng ảo (VPN – Virtual Private Network ) Với mơ hình này, khơng phải đầu tư thêm nhiều trang thiết bị , sở hạ tầng mà đảm bảo tính bảo mật, độ tin cậy đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường hay văn phịng chi nhánh kết nối an tồn đến máy chủ tổ chức sở hạ tầng cung cấp mạng cơng cộng Nó đảm bảo an tồn thơng tin tổ chức, cơng ty chi nhánh, văn phịng, người cung cấp hay đối tác kinh doanh mơi trường truyền thơng rộng lớn Như đặc tính quan trọng VPN sử dụng mạng công cộng Internet, mà đảm báo tính bảo mật tiết kiệm chi phí Khái niệm VPN mạng riêng ảo(Virtual Private Network), cơng nghệ mạng giúp tạo kết nối mạng an tồn tham gia vào mạng công cộng Internet mạng riêng nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, sở giáo dục quan phủ sử dụng cơng nghệ VPN phép người dùng từ xa kết nối an tồn đến mạng riêng quan Mạng riêng ảo định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng với sách quản lý bảo mật giống mạng cục Mơhạn hìnhchế mạng Các tính năng, ưuHình điểm1 củariêng mạngảoriêng ảo a Các tính mạng riêng ảo Mạng riêng ảo hỗ trợ tính sau: tính xác thực, tính tồn vẹn tính bảo mật - Tính xác thực: Để thiết lập kết nối VPN trước hết hai phía phải xác thực lẫn để khẳng định trao đổi thơng tin với người mong muốn khơng phải người khác - Tính tồn vẹn: Đảm bảo liệu không bị thay đổi hay đảm bảo khơng có xáo trộn trình truyền trao đổi liệu - Tính bảo mật: Người gửi mã hố gói liệu trước truyền qua mạng cơng cộng liệu giải mã phía thu Vì khơng đọc thơng tin cố tình xâm nhập bắt gói tin b Ưu điểm mạng riêng ảo Mạng riêng ảo mang lại lợi ích thực cho doanh nghiệp Mạng riêng ảo khơng để đơn giản hố việc thông tin nhân viên làm việc xa, người dùng di động, mở rộng đến văn phòng, chi nhánh… Những lợi ích thực mà mạng riêng ảo mang lại như: Tính tiết kiệm chi phí, tính mềm dẻo, khả mở rộng nhiều ưu điểm khác - Tiết kiệm chi phí: VPN giúp doanh nghiệp tiết kiệm từ 50% 70% chi phí đầu tư vào kết nối leased line remote access truyền thống, giảm đáng kể chi phí đầu tư cho hạ tầng truyền thơng chi phí hàng tháng kết nối site to site - Tính linh hoạt: Tính linh hoạt khơng linh hoạt trình vận hành khai thác mà cịn thực mềm dẻo yêu cầu sử dụng Khách hàng sử dụng kết hợp với cơng nghệ sẵn có sở hạ tầng mạng doanh nghiệp trước - Khả mở rộng: Mạng VPN xây dựng dựa sở hạ tầng mạng cơng cộng Vì với doanh nghiệp có nhiều chi nhánh xa mà muốn kết nối với sử dụng cơng nghệ mạng riêng ảo điều cần đủ chi nhánh kết nối tới mạng Internet - Tính bảo mật: Mạng riêng ảo cung cấp chế độ bảo mật cao nhờ chế mã hóa tảng mạng riêng ảo (mã hóa, xác nhận truy cập bảo mật hệ thống) Quản lý kết nối dễ dạng thông qua tên mật truy cập vào hệ thống mạng riêng ảo mạng nội c Hạn chế mạng riêng ảo Mặc dù phổ biến mạng riêng ảo (VPN) khơng hồn hảo hạn chế ln ln tồn trọng hệ thống mạng Một số hạn chế cần lưu ý triển khai hệ thống VPN: - VPN đòi hỏi hiểu biết chi tiết vấn đề an ninh mạng, việc cấu hình cài đặt phải cẩn thận, xác đảm bảo tính an tồn hệ thống mạng Internet cơng cộng - Độ tin cậy hiệu xuất VPN dựa Internet kiểm sốt trực tiếp cơng ty , giải pháp thay sử dụng nhà cung cấp dịch vụ (ISP) tốt chất lượng - Vấn đề bảo mật cá nhân, việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phịng máy tính xách tay, máy tính riêng, máy tính họ thực hàng loạt ứng dụng khác, việc kết nối tới văn phịng làm việc hacker (kẻ cơng, tin tặc) lợi dụng yếu điểm từ máy tính cá nhân họ cơng vào hệ thống cơng ty Vì việc bảo mật cá nhân chuyên gia khuyến cáo phải đảm bảo an toàn Một số loại mạng riêng ảo Dựa vào cộng nghệ dựa vào mơ hình, cấu trúc tổ chức mà phân loại mạng riêng ảo thành loại khác Và dựa vào kiến trúc doanh nghiệp phân loại mạng riêng ảo thành ba loại sau: - Mạng riêng ảo truy nhập từ xa (Remote Access VPN) - Mạng riêng ảo cục (Intranet VPN) - Mạng riêng ảo mở rộng (Extranet VPN) II Bảo mật mạng riêng ảo Khái niệm bảo mật a Thế bảo mật thông tin Thông tin loại tài sản giống tài sản khác doanh nghiệp Thơng tin có giá trị đặc biệt hầu hết tất hoạt động, thơng tin cần phải bảo vệ thích hợp Bảo vệ thông tin khỏi “mất cắp” bảo vệ phát triển liên tục bền vững doanh nghiệp Đảm bảo cho doanh nghiệp tối thiểu hóa đƣợc thiệt hại có rủi ro xẩy ra, đồng thời tối đa lợi nhuận thu đƣợc từ hoạt động kinh doanh Thông tin lưu trữ nhiều dạng khác in viết giấy, ổ cứng máy vi tính, film thơng qua đàm thoại,… Bất kể thông tin tồn dạng nào, thông tin lưu trữ , chia sẻ chúng phải bảo mật cách phù hợp b Bảo mật thơng tin nhằm mục đích - Thông tin tin cậy: Đảm bảo thông tin truy xuất người có chức - Thơng tin trung thực: Đảm bảo phương pháp xử lý thơng tin xác, an tồn trọn vẹn - Thơng tin sẵn sàn: Đảm bảo người có chức truy cập thơng tin lúc, nơi có yêu cầu c Tại cần bảo mật thông tin Thông tin giống tài sản khác hệ thống máy tính, thiết bị sản xuất, văn phòng, nhà xưởng,… tài sản quan trọng doanh nghiệp Thông tin trung thực, tin cậy sẵn sàn yếu tố cần thiết để trì khả cạnh tranh, khả thu lợi nhuận, khả xử lý tình bất ngờ doanh nghiệp Thơng tin bị cấp từ nhiều nguyên nhân khác như: hệ thống máy tính bị hư, động đất, lũ lụt, sống thần, tình báo cơng nghiệp,…Bên cạnh cịn có ngun nhân khác : hệ thống máy tính bị virus cơng, bị hacker công 2 Giao thức IPSec a Khái niệm IPSec (Internet Protocol Security) giao thức IETF phát triển IPSec định nghĩa giao thức tầng mạng cung cấp dịch vụ bảo mật, nhận thực, toàn vẹn liệu điều khiển truy cập Nó tập hợp tiêu chuẩn mở làm việc phần thiết bị Ngoài ra, với IPSec tất ứng dụng chạy tầng ứng dụng mơ hình OSI độc lập tầng mạng định tuyến liệu từ nguồn đến đích Bởi IPSec tích hợp chặt chẽ với IP, nên ứng dụng dùng dịch vụ kế thừa tính bảo mật mà khơng cần phải có thay đổi lớn lao Cũng giống IP, IPSec suốt với người dùng, người không cần quan tâm đến chế bảo mật mở rộng liên tục đằng sau chuổi hoạt động Liên kết an ninh IPSec/IPSec Security Associations Security Associations (SA) khái niệm giao thức IPSec SA kết nối luận lý theo phương hướng hai thực thể sử dụng dịch vụ IPSec b IPSec hỗ trợ tính chính: - Tính xác nhận Tính nguyên vẹn liệu (Authentication and data integrity): IPSec cung cấp chế mạnh mẽ để xác nhận tính chất xác thực người gửi kiểm chứng sữa đổi khơng bảo vệ trước nội dung gói liệu ngời nhận Các giao thức IPSec đưa khả bảo vệ mạnh để chống lại dạng công giả mạo, đánh từ chối dịch vụ - Sự cẩn mật (Confidentiality): Các giao thức IPSec mã hóa liệu cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập liệu đường IPSec dùng chế tạo hầm để ẩn địa IP nút nguồn (người gửi) nút đích (người nhận) từ kẻ nghe - Quản lý khóa (Key management): IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bao mật thuật toán mã hóa trước suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối kiểm tra khóa mã cập nhật khóa đợc yêu cầu Các chế độ đóng gói liệu IP IPSec Giao thức ESP giao thức AH hai giao thức việc mã hố xác thực liệu ESP sử dụng IP Protocol number 50 (ESP đóng gói giao thức IP trường protocol IP 50) AH sử dụng IP Protocol number 51 ( AH đóng gói giao thức IP trường protocol IP 51) Bộ giao thức IPSec hoạt động chế độ : chế độ truyền tải (Transports Mode ) chế độ Tunnel (Tunnel Mode) Khi giao thức IPSec hoạt động Tunnel Mode sau đóng gói liệu, giao thức ESP mã hố tồn Payload, frame Header, IP Header thêm IP Header vào gói tin trước forward Khi giao thức IPSec hoạt động Transport Mode IP Header giữ nguyên lúc giao thức ESP chèn vào Payload IP Header gói tin - Chế độ giao vận: Chỉ có trọng tải (dữ liệu truyền) gói tin IP mã hóa chứng thực IP header khơng bị chỉnh sửa hay mã hóa, chế độ Authentication header IPSec sử dụng địa IP mã hóa cách chia nhỏ thành gói tin riêng rẽ độc lập (Hash) Các tầng giao vận ứng dụng thường bảo đảm hàm Hash, chúng khơng thể bị sửa đổi theo cách AH- kiểu Transport Original Header AH Header Payload Authenticated ESP- kiểu Transport Original Header ESP Header Payload Encrypted Authenticated Ở chế độ này, vấn đề an ninh cung cấp giao thức từ lớp trở Hình Gói tin IP chế độ giao vận lên Chế độ bảo vệ phần tải tin gói để phần IP header ban đầu dạng rõ Địa IP ban đầu sử dụng để định tuyến gói tin qua Internet Chế độ giao vận thêm vào gói tin IP lượng byte định, dung lượng tăng khơng đáng kể Kiểu Transport có ưu điểm thêm vào gói IP ban đầu số it byte Nhưng chế độ thiết bị mạng phát đọc IP địa nguồn đích gói tin thực số xử lý (ví dụ phân tích lưu lượng) dựa thơng tin IP header Tuy nhiên mật mã ESP thiết bị mạng liệu cụ thể bên gói tin IP Và theo khuyến cáo IETF chế độ truyền tải nên sử dụng đầu cuối sử dụng cơng nghệ mã hóa bảo mật IPSec - Chế độ Tunnel: Tồn gói tin IP mã hóa và/hoặc chứng thực Sau đóng gói vào gói tin IP với tiêu đề IP Chế độ tunnel sử dụng để tạo VPN phục vụ cho việc liên lạc mạng (ví dụ định tuyến để liên kết trang web), liên lạc máy chủ mạng (ví dụ truy cập người sử dụng từ xa), máy chủ (ví dụ chat cá nhân) AH- kiểu Tunnel New HeaderAH HeaderOriginal Header Payload Authenticated ESP- kiểu Tunnel New HeaderESP Header Original Header Payload Encrypted Authenticated Gói thức tin IPESP: kiểu Trong trường hợp Hình dùng 3giao thìTunnel giao thức làm cơng việc mã hóa (encryption), xác thực (authentication), bảo đảm tính tồn vẹn liệu ( integrity protection) Sau đóng gói xong ESP, thơng tin mã hoá giải mã nằm ESP Header Các thuật toán mã hoá sử dụng giao thức như: DES, 3DES, AES, thuật toán hash như: MD5 SHA-1 Trong trường hợp dùng giao thức AH: AH làm công việc xác thực (Authentication), đảm bảo tính tồn vẹn liệu Giao thức AH khơng có tính mã hố liệu Các chế làm việc IPSec Mục đích IPSec bảo vệ luồng liệu truyền tải mạng LAN với hiểu IPSec qua bước Host A gửi lưu lượng cần bảo vệ tới hosr B Hình 4: bước hoạt động IPSec Router A B thỏa thuận phiên trao đổi IKE Phase – IKE Router A B thỏa thuận phiên trao đổi IKE Phase – IKE Thông tin truyền dẫn qua đường hầm IPSec Kết thúc đường hầm IPSec Bước 1: Lưu lượng cần bảo vệ khởi tạo trình IPSec Ở đây, thiết bị IPSec nhận đâu lưu lượng cần bảo vệ chẳng hạn thông qua trường địa Bước 2: IKE Phase – IKE xác thực đối tác IPSec tập dịch vụ bảo mật thoả thuận công nhận (thoả thuận kết hợp an ninh IKE SA (Security Associations)) Trong phase này, thiết lập kênh truyền thơng an tồn để tiến hành thoả thuận IPSec SA Phase Bước 3: IKE Phase – IKE thoả thuận tham số IPSec SA thiết lập IPSec SA tương đương hai phía Những thơng số an ninh sử dụng để bảo vệ liệu tin trao đổi điểm đầu cuối kết cuối hai bước IKE kênh thông tin bảo mật tạo hai phía Bước 4: Truyền liệu – Dữ liệu truyền đối tác IPSec dựa sở thơng số bảo mật khố lưu trữ sở liệu SA Bước 5: Kết thúc đường hầm IPSec – kết thúc SA IPSec bị xoá hết hạn ... thiết bị Ngoài ra, với IPSec tất ứng dụng chạy tầng ứng dụng mơ hình OSI độc lập tầng mạng định tuyến liệu từ nguồn đến đích Bởi IPSec tích hợp chặt chẽ với IP, nên ứng dụng dùng dịch vụ kế thừa... toàn Một số loại mạng riêng ảo Dựa vào cộng nghệ dựa vào mơ hình, cấu trúc tổ chức mà phân loại mạng riêng ảo thành loại khác Và dựa vào kiến trúc doanh nghiệp phân loại mạng riêng ảo thành ba... dụng công nghệ mã hóa bảo mật IPSec - Chế độ Tunnel: Tồn gói tin IP mã hóa và/ hoặc chứng thực Sau đóng gói vào gói tin IP với tiêu đề IP Chế độ tunnel sử dụng để tạo VPN phục vụ cho việc liên lạc