Chất lượng dịh vụ vpn

107 Trang 5 DANH MỤC CÁC TỪ VIẾT TẮTTừ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt3DES Triple Data Encryption Standard Chuẩn mã hoá ba lần dùng 168 bit AAL5 ATM Asynchronous Transfer Mod

B Ộ GIÁO DỤ C VÀ ĐÀO T Ạ O TRƯỜ NG Đ Ạ I H C BÁCH KHOA HÀ NỘI Ọ

VÕ VĂN GIÁP

CH Ấ T LƯ Ợ NG D CH V Ị Ụ VPN

LUẬ N VĂN TH C SĨ Ạ NGÀNH ĐIỆ N TỬ ỄN THÔNG VI

Hà N i, 20 ộ 06

M ỤC ỤC L

21TDANH MỤC CÁC TỪ VIẾT TẮT21T 4

21TCÁC BẢNG DÙNG TRONG ĐỒ ÁN21T 8

21TCÁC HÌNH TRONG ĐỒ ÁN21T 9

21TMỞ ĐẦU21T 12

21TCHƯƠNG I21T 14

21TGIỚI THIỆU VỀ VPN IPSEC21T 14

21T1.1 Các kỹ thuật mạng riêng ảo21T 21T 21T 15

21T1.1.1 VPN lớp 2 15 21T 21T 21T 21T1.1.2 VPN lớp 3 16 21T 21T 21T 21T1.1.3 Các đường hầm GRE 16 21T 21T 21 T 21T1.1.4 MPLS VPN 17 21T 21T 21 T 21T1.1.5 IPSec VPN .17 21T 21T 21 T 21T1.1.6 Remote Access VPN21T 21T 21T 18

21T1.2 IPSec tổng quan 21T 21T 21T 19

21T1.2.1 Giới thiệu về AH 20 21T 21T 21 T 21T1.2.2 Giới thiệu về ESP 20 21T 21T 21T 21T1.2.3 Giới thiệu về các chế độ21T 21T 21T 21

21T1.2.4 Giới thiệu về SA (Security Association) 21 21T 21T 2 1T 21T1.2.5 Giới thiệu 5 bước hoạt động của IPSec21T 21T 21T 22

21T1.2.6 Giới thiệu cách dùng IKE của IPSec21T 21T 21 T 23

21T1.3 Kiến trúc của IPSec 24 21T 21T 21T 21T1.3.1 Giới thiệu 24 21T 21T 21T 21T1.3.2 Giới thiệu về mã hoá 25 21T 21T 21T 21T1.3.2.1 Các thuật toán đối xứng21T 25

21T1.3.2.2 Mã hoá bất đối xứng21T 25

21T1.3.3 Chứng thực điện tử 27 21T 21T 21T 21T1.3.4 Các chế độ IPSec21T 21T 21T 28

21T1.3.5 Các thoả thuận bảo mật (Security Associations-21T 21T SA)21T 31

21T1.3.6 Thoả thuận an ninh kết hợp 33 21T 21T 21 T 21T1.3.7 Các chính sách21T 21T 21T 35

21T1.3.8 Quá trình hoạt động của IPSec .37 21T 21T 21 T 21T1.3.8.1 Quá trình xử lý gói tin ra.21T 38

21T1.3.8.2 Quá trình xử lý gói tin vào21T 39

21T1.3.8.3 Quá trình xử lý các gói ICMP21T 39

21T1.4 Các giao thức của IPSec21T 21T 21T 40

21T1.4.1 Tiêu đề nhận thực (Authentication Header- 21T 21T AH)21 T 40 21T1.4.2 ESP 49 21T 21T 21 T 21T2.1 Xem xét vấn đề QoS V3PN cho mô hình Site- -21T 21T to Site 58 21 T

21T2.1.1 Chế độ hoạt động IPSec VPN21T 21T 21T 59

21T2.1.2 Sự tăng tiêu đề của gói tin21T 21T 21T 61

21T2.1.3 Sự không phù hợp giữa RTP và IPSec 66 21T 21T 21 T 21T2.1.4 Phân mảnh 67 21T 21T 21T 21T2.1.5 Phân phối băng thông 67 21T 21T 21 T 21T2.1.6 Mô hình logic 69 21T 21T 21T 21T2.1.7 Việc tăng ngân quỹ trễ .69 21T 21T 21 T 21T2.1.8 Sự duy trì byte ToS21T 21T 21T 71

21T2.1.9 Phân loại trước QoS 72 21T 21T 21T 21T2.1.10 Hàng đợi trước khi mã hoá21T 21T 21T 74

21T2.1.11 Ảnh hưởng của chống truy cập (Anti-21T 21T Replay)21T 77

21T2.1.12 Phân phối lưu lượng điều khiển .81 21T 21T 21 T 21T2.1.13 Các tuỳ chọn QoS ở cổng của VPN Headend cho mô hình 21T 21T site- -to site V3PN21T 81

21T2.2 Xem xét QoS cho Teleworker.21T 21T 21T 82

21T2.2.1 Sự phát triển của mô hình Teleworker21T 21T 21T 83

21T2.2.2 Các kỹ thuật truy cập băng rộng21T 21T 21T 86

21T2.2.3 Sự phân phối băng thông .86 21T 21T 21 T 21T2.2.4 Tiêu đề của tính năng trong suốt NAT 87 21T 21T 21 T 21T2.2.5 Tiêu đề DSL (AAL5+PPPoE) 21T 21T 21T 87

21T2.2.6 Tiêu đề cho cáp21T 21T 21T 88

21T2.2.7 Liên kết không đối xứng và QoS đơn hướng 89 21T 21T 21 T 21T2.2.8 Split tunneling 90 21T 21T 21T 21TCHƯƠNG 321 T 92

21TNGHIÊN CỨU THIẾT KẾ MÔ HÌNH QoS CHO VPN IPSEC21T 92

21T3.1 Giới thiệu mô hình phân phối băng thông 93 21T 21T 21T 21T3.1.1 Yêu cầu về QoS cho VoIP 95 21T 21T 21 T 21T3.1.1.1 Lưu lượng thoại 21T 21T 21T 95

21T3.1.1.2 Lưu lượng báo hiệu 95 21T 21T 21 T 21T3.1.2 Các yêu cầu QoS của video21T 21T 21T 95

21T3.1.2.1 Video tương tác 95 21T 21T 21T 21T3.1.2.2 Video streaming 96 21T 21T 21T 21T3.1.3 Các yêu cầu QoS cho các ứng dụng dữ liệu21T 21T 21 T 96

21T3.1.3.1 Dữ liệu cố gắng tối đa (Best Effort Data)21T 21T 21T 97

21T3.1.3.2 Dữ liệu lớn (Bulk Data)21T 21T 21T 97

21T3.1.3.3 Dữ liệu truyền tải và tương tác 21T 21T (Transactional/Interactive Data)21T 98

21T3.1.3.4 Dữ liệu có nhiệm vụ đặc biệt được đinh nghĩa bởi 21T 21T doanh nghiệp (Locally - Defined Mission Critical Data) - 21T 98

21T3.1.4 Yêu cầu QoS cho lớp điều khiển21T 21T 21T 100

21T3.1.4.1 Định tuyến IP 100 21T 21T 21T 21T3.1.4.2 Quản lý mạng 101 21T 21T 21 T 21T3.1.5 Lưu lượng cho lớp Scavenger 101 21T 21T 21T 21T3.1.6 Nguyên tắc thiết kế QoS 102 21T 21T 21T 21T3.1.6.1 Nguyên tắc phân loại và đánh dấu 102 21T 21T 21 T 21T3.1.6.2 Nguyên tắc thực hiện chính sách 102 21T 21T 21T 21T3.1.6.3 Nguyên tắc thực hiện xếp hàng và loại gói 102 21T 21T 21T

21T3.2 Thiết kế QoS cho mô hình V3PN Site- -21T 21T to Site.21T 104

21T3.2.1 Mô hình V3PN site- -21T 21T to site 6 lớp.21T 104

21T3.2.2 Mô hình V3PN site- -21T 21T to site 8 lớp.21T 105

21T3.2.3 Mô hình V3PN Site –to Site 11 lớp QoS21T 21T 21T 106

21T3.3 Thực tế mạng Việt Nam21T 21T 21T 107

21T3.4 Kế hoạch triển khai thử nghiệm 109 21T 21T 21T 21T3.4.1 Mô hình IPSec triển khai 109 21T 21T 21T 21T3.4.1.1 Mô hình mạng trong điều kiện ít lưu lượng và không có va chạm (lab 1)21T 111

21T3.4.1.2 Mạng trong điều kiện lưu lượng cao, có xảy ra va chạm (lab 2)21T 111

21T3.4.2 Kết quả đo được 112 21T 21T 21T 21T3.4.2.1 Trễ VPN21T 112

21T3.4.2.2 Trượt trong VPN21T 113

21T3.4.2.3 Mất gói trong VPN21T 114

21T3.4.2.4 Áp dụng QoS cho VPN21 T 114

21T3.5 Kết luận về kết quả thu được21T 21T 21T 115

21T3.6 Đề xuất 115 21T 21T 21T 21TTÀI LIỆU THAM KHẢO21T 117

DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt

3DES Triple Data Encryption

Transfer Mode) Adaptation Layer 5

Là lớp thích ứng của mạng ATM

AH Authentication Header Một chế độ đóng gói của IPSec trong đó có tiêu đề nhận thực

CA Certificate Authority

(encryption) Quyền xác thực Là hệ thống xác thực dùng trong IPSec- CAC Call Admission Control Điều khiển truy cập cuộc gọi

CBWFQ Class Based Weighted Fair

Queuing Hàng đợi có độ ưu tiên cân bằng dựa theo các lớp lưu lượng đã

được đánh dấuCIR Committed Information Rate

(data communications) Tốc độ thông tin cam kết (dùng trong môi trường mạng Frame

-Relay)

gói tin RTP Crypto Cryptography/Cryptographic Các cơ chế dùng để mã hoá

trong thiêt bị của Cisco

Standard(US) Chuẩn mã hoá dữ liệu được dùng ở Mỹ

Configuration Protocol Giao thức cho phtrạm tự động nhận cấu hình địa ép các máy

chỉ đã được thiết lập tại máy chủ

DSCP Differentiated Services Code

DSLAM Digital Subscriber Line

Access Multiplexer Bộ ghép kênh truy cập cho đường thuê bao số

DSP Digital Signal Processor Bộ xử lý số

DTE Data Terminal Equipment Thiết bị đầu cuối dữ liệu

ESP Encapsulating Security

Payload Một quá trình đóng gói của IPSec, trong đó tải tin được

đóng gói một cách bảo mậtFCS Frame Check Sequence Kiểm tra tuần tự khung

FIFO First In First Out Quy tắc mặc định của hàng đợi-

vào trước ra trướcFTP File Tranfer Protocol Giao thức truyền file qua mạng

Encapsulation Sự đóng gói bản tin routing

Authentication Code Mã nhận dạng bản tin đã được hash ICMP Internet Control Message

Protocol Giao thức bản tin điều khiển Internet IKE Internet Key Exchange Quá trình chuyển khoá giữa hai

điểm kết nối VPN để thiêt lập các đường hầm

IOS Internetwork Operating

System Hệ điều hành liên mạnghệ điều hành cho phép các thiết - Là mộ

bị mạng làm việc như router Cisco

ISAKMP Internet Security

Association and Key Management Protocol

Giao thức quản lý khoá và thoả thuận an ninh trên internetITU International

Telecommunication Union Liên minh viễn thông quốc tếL2TP Layer 2 Tunnel Protocol Giao thức đường hầm lớp 2

LLQ Low Latency Queuing Hàng đợi dành riêng cho các gói

MPLS Multi Protocol Label

(TCP/IP) Kích thước mảnh tối đa trong môi trường TCP/IP

Unit (TCP/IP) Đơn vị dữ liệu được truyền tối đa (trong môi trường TCP/IP)-

Là kích thước gói tin lớn nhất được truyền trên kết nối

NAT Network Address

Translation Cơ chế chuyển đổi từ địa chỉ riêng sang địa chỉ chung trên

internet NBMA Non-Broadcast Multi-

Access Mạng đa truy nhập không truyền gói tin broadcast-Là các mạng

có cấu trúc như mạng LAN hoặc

mở rộng của mạng LAN nhưng không cho phép truyền gói tin quảng bá

NTP Network Time Protocol Giao thức thời gian trên mạng

Interconnection Sự liên kết giữa các hệ thống mở (mô hình chuẩn phổ biến để

dùng cho việc kết nối các hệ thống trên mạng toàn cầu)PIX Private Internet Exchange Là một hệ thống tường lửa phổ

biến của CiscoPOP Point Of Presence Điểm đại diện-Là các điểm đặt

thiết bị của nhà cung cấp dịch vụ nhằm mở rộng phạm vi mạngPPP Point- -to Point Protocol Giao thức điểm nối điểm

PPPoE Point- -to Point Protocol Over

Ethernet Giao thức cung cấp khả năng chuyển tải gói tin PPP qua môi

trường Ethernet PVC Permanent Virtual Circuit Mạch ảo vĩnh viễn- Là một

mạch ảo được thiết lập từ điểm đầu đến điểm cuối trong các mô hình mạng Frame-relay và ATM

Protocol Giao thức vận chuyển thờithực gian

SA Security Association Thoả thuận an ninh, dùng để tạo

nên các thoả thuận an ninh giữa hai đầu kết nối VPN

SAD Security Association

SHA-1 Secure Hashing Algorithm 1 Thuật toán bảo mật hash

SLA service-level aggrement Thoả thuận mức độ dịch vụ cung

cấp

Management Protocol SPD Security Policy Database Cơ sở dữ liệu về các chính sách

an ninh trên router SPI Security Parameter Index Chỉ số thông số an ninh

TCP Transport Control Protocol Giao thức điều khiển vận

chuyển Là giao thức rất phổ biến trên Internet

-TCP/IP Transmission Control

Protocol/Internet Protocol Chồng giao thức chuẩn để cấu thành nên mạng InternetTFTP Trivial File Transfer

Protocol Giao thức chuyển tập tin ít quan trọng

VPN Virtual Private Network Mạng riêng ảo, một kêt nối

mạng riêng được tạo thông qua môi trường mạng dùng chung

được thực hiện để kết nối một mạng riêng vào mạng chung

Bảng 3.2 : Một số ứng dụng được phân chia theo lớp 95

Bảng 3.4 Kết quả đo trượt trong hai mô hình thử nghiệm khi có và

không có VPN 109 Bảng 3.3 Kết quả đo trễ trong hai mô hình thử nghiệm khi có và

không có VPN 109 Bảng 3.5 Kết quả đo mất gói trong hai mô hình thử nghiệm khi có và

không có VPN 110

Bảng 3.6 Kết quả đo đạc trễ và trượt trong mô hình VPN Lab2 trước và

sau khi có QoS 110

CÁC HÌNH TRONG ĐỒ ÁN

Hình 1.1 Mô hình mạng IPSec .19

Hình 1.2 Mô tả các chế độ hoạt động của IPSec 21

Hình 1.3 Thoả thuận an ninh - SA 22

Hình 1.4 Hoạt động của IKE trong IPSec 23

Hình 1.5 Quá trì nh thực hiện mã hoá bằn g khoá công khai 26

Hình 1.6 Mô hình hoạt động của chế độ transport 28

Hình 1.7 Việc đóng gói trong chế độ transport 28

Hình 1.8 VPN chế độ tunnel 29

Hình 1.9 Việc đóng gói trong chế độ tunnel 30

Hình 1.10: Transport Adjency 33

Hình 1.11: Hầm lặp lại với các điểm cuối chia sẻ 33

Hình 1.12: Các hầm lặp lại với các điểm cuối không chia sẻ 34

Hình 1.13 Các trường trong tiêu đề IP được nhận thực bởi AH 40

Hình 1.14: Tiêu đề AH 41

Hình 1.15: Cửa số antireplay 43

Hình 1.16 Cửa sổ antireplay trượt sang bên phải 43

Hình 1.17 Một hầm chạy chế độ AH 45

Hình 1.18: Sự đóng gói của một TCP segme t của AH trong chế độ n transport 46

Hình 1.19 Một hầm AH chạy chế độ tunnel 46

Hình 1.20: Sự đóng gói của AH trong chế độ tunnel 47

Hình 1.21 Tiêu đề ESP 48

Hình.1 22 ESP trong chế độ transport 50

Hình 1.23 Sự đóng gói ESP 50

Hình 1.24 Một ESP trong chế độ tunnel 51

Hình.1.25 Sự đóng gói của tiêu đề ESP trong chế độ tunnel 52

Hình 1.26 Sự chuyến gói từ máy H2 đến B3 53

Hình 2.1:Mô hình tổng hợp các dạng IPSec VPN 56

Hình 2.2 So sánh gói tin VoIP G.729 trong chế độ transport và trong chế độ nnel tu 58

Hình 2.3: Cấu trúc gói tin G.711 đã được mã hoá IPSec 60

Hình 2.4: Cấu trúc của gói tin G.729 đã được mã hoá bởi IPSec 61

Hình 2.5: Sự thay đổi kích thước của gói tin G.729 khi được mã hoá 62

Hình 2.6: Sự không tương thích giữa IPSec và cRTP 64

Hình 2.7 : Sự tăng trễ do thực hiện mã hoá và giải mã 67

Hình 2.8: Trễ trong mô hình VPN IPSec spoke - -spoke to 68

Hình 2.9: Sự duy trì byte ToS trong IPSec 69

Hình 2.10 Sự hoạt động của quá trình phân loại trước QoS 70

Hình 2.11 QoS trong cơ chế crypto có hàng đợi FIFO 71

Hình 2.12: QoS trong cơ chế crypto có hàng đợi LLQ 72

Hình 2.13:Hoạt động của cơ chế antireplay 75

Hình 2.14: h thi Mô hìn ế t kế VPN cho tele orker 78 w Hình 3.15: Các mô hình phát triển của mô hình cho teleworker 79

Hình 2.16 :Sự cần thiết phân cấp cho mô hình tích hợp và truy cập 82

Hình 2.17: Các mô hình phát triển cho mạng thuê bao số 82

Hình 2.18 : Mô hình phát triển cho mạng cáp 83

Hình 2.19: Sự tăng tiêu đề của tính năng trong suốt NAT 83

Hình 2.20: Kích thước gói tin IPSec khi được đóng gói trong gói tin AAL3+PPPoE 84

Hình 2.21 Kích thước gói tin IPSec G.729 khi được đóng gói tron g môi trường DOCSIS+ Ethernet 86

Hình 2.22 :Tối ưu hoá giá trị TCP MSS cho D SL (642 byte) 87

Hình 2.23: Mô hình chia sẻ hầm thực tế 87

Hình 3.1: Sự phát triển của số lớp lưu lượng theo thời gian 91

Hình 3.2 Quy luật hàng đợi cho các lớp lưu lượng realti me,

besteffort và scavenger 99

Hình 3.3 Mô hình phân bố băng thông cho 4 lớp và 11 lớp áp dụn g các quy tắc hàng đợi ở trên 100

Hình 3.4 : Thiêt kế ch o mô hình Site- - to Site 6 lớp 101

Hình 3.5 : Mô hình thiết kế cho VPN Site- - to Site có 8 lớp 102

Hình 3.6 : Mô hình thiết kế VPN Site - - to Site cho mô hình 11 lớp 103

Hình 3.7 Mô hình đấu nối cho thuê bao internet leased-line tại Việt Nam 104

Hình 3.8: Mô hình triển khai IPSec để thủ nghiệm 106

Hình 3.9 : Mô hình mạng IPSec trong điều kiện lưu lượng thấp không n ghẽn 106

Hình 3.10: Mô hình mạng IPSec trong điều kiện lưu lượng cao, mạng bị nghẽn 107

MỞ ĐẦU

Trong thời gian gần đây, đã có rất nhiều thay đổi trong mạng viễn thông

nói chung và mạng truyền số liệu nói riêng Trong đó lĩnh vực kết nối

WAN dành cho các doanh nghiệp luôn thu hút được nhiều sự quan tâm,

bởi vì đó cũng là đối tượng kinh doanh chính của tất cả các nhà cung

cấp dịch vụ truyền số liệu Cách đây không lâu, khi các tập đoàn cần kết

nối các máy tính, các mạng giữa các địa điểm có tính phân tán về mặt

địa lý với nhau họ phải xây dựng các mạng WAN cho riêng mình Đó

thông thường là một giải pháp tốn kém về mặt chi phí, Một kết nối

thông thường 56kbps cũng có thể chiếm mất vài trăm hoặc vài ngìn

USD một tháng, hoặc có thể nhà cung cấp tại địa phương cũng không có

các dịch vụ đó để cung cấp (chẳng hạn như Frame Relay)

Ngày nay, với sự phát triển mạnh mẽ của Internet băng rộng, như DSL,

cáp và sắp tới có thể là mạng quang truy cập mang đến cho khách hàng

khả năng cung cấp dịch vụ đa dạng tại hầu hết mọi nơi Hơn nữa, sự ra

đời của các dịch vụ này mang đến sự lựa chọn giá rẻ cho khách hàng

trong khi có tốc độ rất cao Điều đó lại thêm một lợi thế nữa đó là nó

mang lại sự lựa chọn mới cho khách hàng và làm cho các dịch vụ thuê

kênh riêng truyền thống sẽ phải giảm giá trước áp lực cạnh tranh Rõ

ràng, sự tăng băng thông và giảm giá thành tạo nên một cơ hội lớn cho

các tập đoàn, nhưng chúng cũng xuất hiện thêm một số thách thức

Internet là một môi trường mở và, so với các đường thuê riêng (leased

-line), nó hết sức không an toàn Sự gia tăng băng thông và giảm giá sẽ

trở nên không có ý nghĩa nếu các thông tin quan trọng của tập đoàn bị

thu nhận bởi các đối thủ cạnh tranh, hoặc là các giao dịch ngân hàng có

thể bị truy cập bởi người ngoài Trong luận v n này đề cập đến cách để ă

vượt qua các khó khăn trên băng cách tái tạo lại các đặc tính bảo mật

của đường leased-line trong môi trường công cộng chẳng hạn như

Internet

Mục đích cơ bản của điều này là cho phép chúng ta có một sự liên lạc

bảo mật trong môi trường Internet như là một khái niệm hầm (tunnel)

Hầm là khái niệm về mặc logic nhằm tạo ra một kết nối riêng về mặt

logic trên môi trường mạng chia sẻ như mạng Internet.Khi chúng ta có

một hầm, chúng ta có thể bảo mật nó bằng cách mã hoá và nhận thực

các lưu lượng mạng chạy qua đó, do đó nó sẽ khôi phục được các tính

năng bảo mật của đường thuê riêng.Giải pháp đó mang tên VPN IPSec

Tuy nhiên, khi triển khai IPSec với các tính năng bảo mật tối ưu của

mình, những nhà cung cấp đã gặp phải một vấn đề nan giải, đó là cung

cấp khả năng điều chỉnh chất lượng dịch vụ trên kết nối VPN Bởi vì

VPN đơn giản chỉ là kết nối, điều cơ bản là nó không những phải mang

được các ứng dụng một cách bảo mật mà còn phải mang chúng với chất

lượng tốt nhất Do đó sẽ không có ý nghĩa gì khi có một kết nối VPN rất

bảo mật mà không thể chạy được các ứng dụng khác nhau trên đó, hoặc

chất lượng các ứng dụng trên đó không đảm bảo

Luận văn này nghiên cứu về các khía cạnh chất lượng dịch vụ trên VPN

IPSec Bao gồm, các xung đột xảy ra giữa các cơ chế bảo mật và QoS,

các giải pháp khắc phục và giới thiệu một số mô hình thiết kế QoS trên

VPN IPSec Đối tượng nghiên cứu của luận văn là các thiết bị của hãng

Cisco, nhà cung cấp giải pháp mạng hàng đầu hiện nay Luận v n ă cũng

tiến hành thử nghiệm các mô hình thiết kế QoS trong môi trường mạng

của Việt Nam, từ đó đưa ra các đánh giá về mức độ khả thi khi triển

khai các giải pháp này

Đồ án bao gồm ba chương

Chương 1: Tổng quan về VPN IPSec, giới thiệu các kiến thức tổng

quan về VPN IPSec bao gồm: các kỹ thuật VPN, các kỹ thuật trong

IPSec, các kiến trúc IPSec và các cơ chế hoạt động của VPN IPSec

Chương 2: Nghiên cứu về các vấn đề chất lượng dịch vụ khi triển khai

các dịch vụ voice, video, data đồng thời trên môi trường VPN IPSec bao

gồm các khó khăn và các giải pháp khắc phục

Chương 3: Tìm hiểu và thiết kế một mô hình chất lượng dịch vụ cho

VPN IPSec cho khách hàng leased-line internet Bao gồm, các mô hình

lưu lượng khuyến nghị, mô hình thử nghiệm, kết quả triển khai, nhận

xét và đề xuất

Để hoàn thành luận v n nă ày, tôi xin bày t s cỏ ự ảm ơn đến TS Nguyễn

Xuân Dũng, Khoa Điện t ử Viễn thông, Đại h c Bách khoa Hà Nội, ọ

ng nhiười đã ệt t hình ướng dẫn và giúp tôđỡ i trong quá trình thực hiện

luận v n nă ày Tôi cũng ửi lời cảm g ơn đến ạn bè và c b ác anh chị ở

VDC, những người đã ạo đ ều kiện giúp tôi hoàn thành luận văn này t i

Cuối cùng, đặc biệt ày t s b ỏ ự biết ơn đến gia đình, những người giúp đã

đỡ tô ó i c được ngày hôm nay

CHƯƠNG I

GIỚI THIỆU VỀ VPN IPSEC

Khi một gói tin truyền dẫn để đi đến đích trong môi trường mạng công

cộng nó có thể gặp phải các nguy cơ tấn công sau

- Gói tin bị bắt giữa chừng và bị đọc trộm thông tin trên gói tin

- Gói tin bị bắt, bị thay đổi và bị phá nội dung mang theo, làm cho

người nhận nhận được thông điệp không chính xác

- Gói tin bị gửi đi bởi một người nặc danh mà không phải là người

đang được chờ đợi gửi đến

Để có thể chống lại các nguy cơ trên, một giải pháp được phát triển và

rất phổ biến hiện nay đó là Virtual Private Network-VPN

VPN- Mạng riêng ảo được định nghĩa như là một mạng kết nối được

phát triển trên một cơ sở hạ tầng mạng chia sẻ, như là Internet, với các

chính sách và tính năng bảo mật như là một mạng riêng

Mạng riêng ảo có thể là mạng giữa hai hệ thống đầu cuối, hoặc là có thể

giữa hai hay nhiều mạng với nhau Một VPN có thể xây dựng bằng cách

sử dụng các đường hầm hoặc các cơ chế mã hoá hoặc là kết hợp cả hai

Các đường hầm VPN là các kết nối bảo mật được hình thành giữa hai

điểm đầu cuối thông qua môi trường Internet VPN có thể xảy ra ở bất

kỳ lớp nào của chồng giao thức OSI Một VPN là một kiến trúc khác

của WAN hứa hẹn sẽ thay thế hoặc bổ sung cho các mạng riêng hiện tại

đang dùng các đường thuê trực tiếp hoặc các kết nối Fram relay, ATM

Các ưu điểm của VPN so với các mạng riêng khác là :

-VPN sẽ rẻ hơn các mạng riêng khác, ở tất cả các khía cạnh , bao

gồm chi phí băng thông, chi phí đầu tư thiết bị mạng, chi phí vận

hành Chi phí cho một kết nối dạng site- -to site VPN thông

thường giảm từ 20 40% so với việc xây dựng mạng riêng bằng các

-đường thuê riêng thông thường Trong trường hợp mô hình truy

cập từ xa thì chi phí giảm 60-80 %

- VPN cung cấp sự linh hoạt bằng việc thiết lập các kết nối trên

một hạ tầng có sẵn và rất phổ biến là Internet Nó cho phép các

công ty có thể nhanh chóng và hiệu quả về mặt chi phí khi mở

rộng kết nối hoặc xoá bỏ một kết nối với một chi nhánh, một văn

phòng đa quốc gia, một người làm việc ở xa, các người dùng di

động chuyển vùng và các đối tác kinh doanh có yêu cầu

- VPN cung cấp sự đơn giản trong việc quản lý hơn là việc sở hữu

và vận hành một mạng riêng Các công ty có thể chuyển sự quản

lý này cho nhà cấp dịch vụ địa phương và chỉ quản lý phần mạng

lõi thay là việc quản lý phần truy cập

- VPN cung cấp kỹ thuật đường hầm làm giảm nhiệm vụ quản lý

Một mạng lõi IP loại bỏ các PVC liên quan tới các giao thức

hướng kết nối chẳng hạn như Frame Relay hoặc ATM Nó tạo ra

các kết nối đầy đủ tới các điểm mình muốn trong khi giảm sự

phức tạp và chi phí

1.1 Các kỹ thuật mạng riêng ảo

Có hithể ểu một cách đơn giản nhất, VPN là một kết nối giữa hai điểm

với nhau thông qua môi trường mạng công cộng để hình thành một kết

nối điểm nối điểm về mặt logic Kết nối logic đó có thể được hình

thành trên lớp 2 hoặc lớp 3 của mô hình OSI, và các kỹ thụât VPN có

thể được chia ra một cách logic thành các mô hình VPN lớp 2 và VPN

lớp 3 Dựa trên các khái niệm đó, việc thiết lập các mô hình kết nối giữa

các văn phòng thông qua mội trường lớp 2 và lớp 3 VPN là giống nhau

Sự khác nhau của các khái niệm liên quan đến việc thêm tiêu đề ở phía

trước phần tải để có thể đưa gói tin đến đích Trong trường hợp của các

kết nối VPN lớp 2, tiêu đề chuyển tiếp là ở lớp 2, còn trong trường hợp

kết nối VPN ở lớp 3 nó cũng tương tự Kết nối ATM, Frame Relay là

kết nối VPN lớp 2, còn các kết nối GRE, L2TP, MPLS và IPSec là các

ví dụ của kỹ thuậtVPN lớp 3

1.1.1 VPN lớp 2

VPN lớp 2 vận hành ở lớp 2 trong mô hình tham chiếu OSI; chúng là

dạng kết nối point- -pto oint và thiết lập kết nối giữa các văn phòng trên

một mạch ảo Một mạch ảo là một kết nối e - -end to nd dạng logic giữa

hai đầu cuối trên mạng Mạch ảo được cấu hình e - -end to nd và nó

thường được gọi là mạch ảo vĩnh viễn (PVC) Một mach ảo end- -to end

động cũng có thể được dùng và được gọi là SVC SVC được dùng ít

hơn bởi vì độ phức tạp của nó trong việc khắc phục lỗi ATM và Frame

Relay là hai trong các kỹ thụât nổi tiếng nhất của kỹ thuật VPN lớp 2

Các nhà cung cấp ATM và Frame Relay có thể cung cấp các kết nối

site- -to site riêng rẽ tới một trung tâm bằng cách cấu hình một PVC qua

môi trường backbone chia sẻ

Một trong các ưu điểm của VPN lớp 2 là tính độc lập của tải lưu lượng

lớp 3 mà nó có thể mang trên đó Một PVC của Frame Relay hoặc ATM

giữa các văn phòng có thể mang nhiều kiểu lưu lượng lớp 3 khác nhau

chẳng hạn IP, IPX, AppleTalk, IP multicast, ATM và Frame Relay

cũng cung cấp các đặc tính QoS tốt, nó là một môi trường đặc biệt tốt

cho các ứng dụng nhạy cảm với trễ như thoại

1.1.2 VPN lớp 3

Một kết nối giữa hai văn phòng có thể được định nghĩa như là kết nối

VPN lớp 3 nếu các tiêu đề chuyển tiếp là ở lớp 3 Các ví dụ cho mô

hình ở lớp này là GRE, MPLS và IPSec VPN VPN lớp 3 có thể trở

thành point- -to point để có thể kết nối hai văn phòng chẳng hạn GRE và

IPSec, hoặc có thể thiết lập một kết nối any- -to any tới nhiều văn phòng

sử dụng MPLS

1.1.3 Các đường hầm GRE

Generic routing encapsulation- giao thức đóng gói định tuyến chung

được thiết kết đầu tiên bởi Cisco và sau đó được chuẩn hoá bởi RFC

1701 Một tiêu đề IP cho GRE được định nghĩa trong RFC 1702 Một

hầm GRE được tạo giữa hai văn phòng thông qua các địa chỉ IP kết nối

có thể được mô tả như một VPN, bởi vì dữ liệu riêng giữa hai văn

phòng được đóng gói trong một tiêu đề chuyển tiếp GRE

Bởi vì mạng Internet công cộng có khả năng cung cấp ở mọi nơi và trở

nên rất phổ biến trên thế giới, do vậy nó tạo nên khả năng kết nối giữa

nhiều văn phòng của một tập ođ àn dùng các đường hầm GRE Trong

mô hình này, mỗi văn phòng của tập đoàn cần duy nhất một kết nối vật

lý tới nhà cung cấp dịch vụ internet, như là tất cả kết nối tới tất cả các

văn phòng khác thông qua các đường hầm GRE Mặc dù VPN được

xây dựng dựa trên môi trường Internet dùng GRE là có thể thực hiện

được, tuy vậy chúng hầu như chỉ dùng cho các dữ liệu êri ng b n trong ê

t ập đoàn do các hạn chế về bảo mật dữ liệu trong mô hình GRE

1.1.4 MPLS VPN

Được khởi tạo bởi Cisco, chuyển mạch nhãn đa giao thức bắt đầu được

biết đến như là chuyển mạch nhãn và sau đó được chuẩn hoá bởi IETF

thành MPLS Các nhà cung cấp dịch vụ đang phát triển nó thành dịch

vụ VPN MPLS tới khách hàng Một nguyên tắc phổ biến trong tất cả

các kỹ thuật VPN là kỹ thụât đóng gói của dữ liệu riêng với các tiêu đề

chuyển tiếp; VPN MPLS dùng các nhãn để đóng gói các dữ liệu nguyên

bản, hoặc tải, để hình thành VPN giữa các văn phòng

Một trong những ưu điểm nổi bật của VPN MPLS so với các kỹ thụât

VPN khác là nó cung cấp các khả năng cấu hình mềm dẻo giữa các

điểm kết nối VPN Chẳng hạn, nếu ba điểm của một tập đoàn đều phải

kết nối tới các điểm khác dạng any-to-any (full mesh) cấu hình sử dụng

ATM, Frame Relay, GRE, hoặc IPSec, mỗi văn phòng cần hai mạch ảo,

hoặc đường hầm, để kết nối đến văn phòng khác Ngoài ra, để thêm vào

một văn phòng thứ tư đạt được cấu hình full-mesh thì cấu hình cần thêm

ba đường hầm nữa, hoặc số lượng tương ứng mạch ảo, ở mỗi phía, và

thực hiện các cuộc gọi cho sự thay đổi cấu hình ở tất cả các văn phòng

Nếu cả ba văn phòng đều kết nối qua MPLS , sự thêm vào văn phòng

thứ tư cần sự thay đổi ở văn p òng thứ tư h

Trong thực tế, không có các đường hầm kết nối point- -to point ảo cho

các kết nối dùng VPN MPLS Kết nối dạng any- -to any giữa các văn

phòng VPN và kết nối extranet thông qua VPN có thể dễ dàng thực hiện

thông qua MPLS so với kỹ thuật đường hầm khác dùng GRE Một trong

những hạn chế của VPN MPLS là việc mở thêm kết nối giữa các văn

phòng VPN bị hạn chế bởi việc các văn phòng đó có nằm trong điểm

cung cấp dịch vụ MPLS hay không Mặc dù một hầm GRE có thể được

dùng thông qua internet để có thể mở rộng phạm vi của mạng, nhưng

bản thân GRE có những hạn chế riêng về mặt bảo mật

1.1.5 IPSec VPN

Một trong những yêu cầu chính mà tất cả những người dùng VPN quan

tâm đó là việc bảo mật dữ liệu khi truyền tải qua mạng công cộng Nói

một cách khác, bằng cách nào có yêđó để thể n tâm rằng dữ liệu của họ

không bị nghe lén thông qua mạng VPN ?

Việc mã hoá dữ liệu là một cách để có thể bảo vệ nó Mã hoá dữ liệu có

thể được thực hiện bằng các phát triển các thiết bị mã hoá và giải mã ở

đầu cuối ở mỗi văn phòng IPSec là một giao thức phù hợp được phát

triển dưới sự bảo trợ của IETF để thực hiện các dịch vụ bảo mật thông

qua nền tảng chuyển mạch gói Mạng Internet là một mạng lưới rộng

lớn, do đó, một kết nối VPN IPSec được phát triển thông qua mạng

Internet công cộng có thể có ý nghĩa trong việc giảm giá cả cho các tập

đoàn so với các kết nối VPN riêng

Các dịch vụ IPSec cho phép các cơ chế nhận thực, tin cậy và toàn vẹn

dữ liệu Với IPSec, thông tin được chuyển giữa các văn phòng ở xa có

thể được mã hóa và được xác thực Cả hai mô hình VPN dạng remote

access và site- -to site có thể được phát triển qua môi trường IPSec

1.1.6 Remote Access VPN

Như đã đề cập đến từ trước, VPN có thể được chia loại thành hai nhóm

chính là site- -to site và remote access VPN Frame Relay, ATM, GRE,

và MPLS có thể được xem xét như là dạng kết nối site- -to site VPN bởi

vì thông tin liên quan đến cấu hình giữa các site có thể được biết trước

ở cả hai phía, quan trọng hơn, là tính cố định của các cấu hình và do đó

không có sự thay đổi một cách tự động Nói cách khác, xem xét một

teletcommuter, người cần VPN để truy cập tới dữ liệu của tập đoàn

thông qua internet Thông tin cần để thiết lập một kết nối VPN chẳng

hạn như địa chỉ IP của telecommuter thay đổi một cách tự động phụ

thuộc vào nơi mà telecommuter truy cập Kiểu VPN này có thể được

chia thành một dạng VPN remote access

Đầu xa truy cập vào tài nguyên dữ liệu của tập đoàn có một lợi ích cực

lớn cho việc cải thiện năng lực sản xuất và kinh doanh, đặc biệt với

những người làm việc một cách di động Telecommuter, các nhân viên

trên xa lộ, các văn phòng ở xa đều cần tới việc truy cập từ xa vào dữ

liệu để có thể làm việc hiệu quả và tiết kiệm chi phí

Mặc dù mạng cung cấp dịch vụ dial up cung cấp một giải pháp phổ biến

-để có thể truy cập, tuy nhiên có thể trở nên đắt đỏ với các khoảng cách

xa và sẽ chiếm việc truy cập cuộc gọi Remote access VPN kết nối

cung cấp giải pháp tốt nhất, giảm khả năng mất cuộc gọi, trong khi vẫn

cho phép truy cập vào tập đoàn thông qua các giải pháp truy cập như

DSL hoặc cáp

Hai trong số các phương pháp VPN remote access phổ biến nhất là

L2TP (Layer 2 Tunneling Protocol) và IPSec L2TP là một giao thức

chuẩn hoá bởi IETF cho việc truyền tải các khung PPP qua IP L2TP

cung cấp cho các người dùng dial-up một kết nối ảo tới gateway của tập

đoàn qua mạng IP, nó có thể là môi trường internet

Những người dùng từ xa khởi tạo một phiên PPP tới một access server

gấn nhất, được gọi là bộ tập trung truy cập nội vùng (LAC) thông qua

một đường thoại nội vùng LAC thực hiện nhận thực người dùng và xác

định máy chủ mạng nội vùng (LNS) nào sẽ được thực hiện kết nối cho

người truy cập từ xa Một đường hầm L2TP sẽ được thiết lập giữa LAC

và LNS, và khi LNS nhận thực người dùng, một giao diện ảo cho PPP

được tạo trên LNS để có thể đinh hướng kết nối LNS này tới LNS

IPSec là một dạng VPN khác sẽ được dùng để kết nối các người dùng ở

xa Phần dưới đây của luận văn sẽ đề cập đến IPSec

1.2 IPSec tổng q uan

Hình 1.1 : Mô hình mạng IPSec

IPSec có khả năng cung cấp các dịch vụ bảo mật của một mạng riêng

trên một môi trường mạng chia sẻ như mạng Internet

- Tin cậy (Confidentiality): IPSec dùng cơ chế mã hoá để thực hiện

mã hoá các gói tin truyền trên mạng Internet, làm cho những kẻ

tấn công dù có thể bắt được gói tin nhưng vẫn không thể đọc

được nội dung bên trong

- Toàn vẹn dữ liệu (Data integrity): Có thể kẻ tấn công không đọc

được nội dung của gói tin nhưng chúng có thể đã thay đổi một số

trường của gói tin hoặc phá hoại chúng IPSec cung cấp cơ chế

giúp cho phía nhận có thể xác định rằng gói tin đã được gửi đến

đích có bị phá hoại hoặc thay đổi

- Nhận thực người gửi (Orgin authentication): Có thể gói tin đến

không bị phá hoại và thay đổi nhưng vẫn có nguy cơ gói tin đến

đích là của một người khác mạo danh người gửi IPSec cung cấp

cơ chế nhận thực người gửi để xác đinh chính xác gói tin đến là

gói tin mà người nhận đang chờ đợi từ một người gửi nào đó

Để thực hiện được các tính năng trên, IPSec đã dùng một số thành phần

và giao thức để hình thành nên một mạng VPN Trong các phần tiếp

theo của chương này chúng ta sẽ tìm hiểu kiến trúc của chúng cũng như

các thành phần, các cơ chế và các giao thức

1.2.1 Giới thiệu về AH

Tiêu đề nhận thực AH cung cấp sự tin cậy và nhận thực của các gói dữ

liệu và cung cấp cơ chế chống lại việc truy cập gói tin Cơ chế chống

truy cập gói tin là một tuỳ chọn cho phép phía nhận có thể loại bỏ các

gói tin bị truy cập trái phép trước khi gửi đến đích AH cố gắng cung

cấp sự nhận thực cho càng nhiều trường tiêu đề của IP cũng như dữ liệu

các lớp trên càng tốt Tuy nhiên có một số trường của tiêu đề IP có thể

bị thay đổi trong quá trình truyền dẫn Khi các gói được nhận, giá trị của

các trường trong tiêu đề không giống như lúc được gửi đi Do đó một

số giá trị của một số trường sẽ không được bảo vệ bởi AH AH không

cung cấp sự bảo vệ hoàn toàn cho tiêu đề IP

AH có thể được áp dụng một mình hoặc có thể kết hợp với ESP để có

thể cung cấp kết nối cho mô hình end- -to end , site to site hoặc client- - to

site ESP có thể cung cấp các dịch vụ an ninh tương tự Điểm khác biệt

duy nhất giữa ESP và AH là AH có thể bảo vệ một số trường của tiêu đề

IP

1.2.2 Giới thiệu về ESP

Tiêu đề ESP được chèn sau tiêu đề IP và trước tiêu đề của giao thức lớp

trên, trong chế độ transport hoặc là trước một tiêu đề IP được đóng gói

trong chế độ tunnel

ESP cung cấp các dịch vụ sau:

- Tin cậy thông tin

- Nhận thực

- Tính toàn vẹn phi kết nối

- Dịch vụ antireplay

Một tập các dịch vụ cung cấp dựa trên các thoả thuận đạt được trong

các SA Dịch vụ tin cậy có thể được lựa chọn một cách độc lập với các

dịch vụ khác Tuy nhiên, việc sử dụng việc tin cậy mà không có dịch vụ

toàn vẹn, nhận thực, dù là trong ESP hay trong AH có thể làm cho gói

tin trở nên một mục tiêu tấn công trên mạng

Các dịch vụ toàn vẹn và nhận thực được cung cấp như là các tuỳ chọn

cùng với dịch vụ toàn vẹn ở trên Dịch vụ antireplay được lựa chọn nếu

khi dịch vụ nhận thực được lựa chọn Dịch vụ tin cậy lưu lượng là một

sự lựa chọn cần thiết trong chế độ tunnel Nó trở hiệu quả nhất nếu

được áp dụng ở một cổng an ninh Mặc dù chúng là các tuỳ chọn nhưng

có một điều cần chú ý là ít nhất mộ trong các tuỳ chọn đó phải được áp

dụng

1.2.3 Giới thiệu về các chế độ

ESP và AH có thể được áp dụng cho các gói tin IP theo hai cách khác

nhau, chúng được biết đến với hai chế độ:

- Chế độ transport cung cấp sự bảo mật cho các giao thức lớp cao

hơn, chỉ với giao thức lớp transport hoặc giao thức lớp cao hơn

Chế độ transport bảo vệ tải của gói tin nhưng lại để phần tiêu đề

gói tin truyền đi mà không được bảo vệ Các địa chỉ IP trong phần

tiêu đề được dùng để định tuyến gói tin trên mạng Internet

- Chế độ tunnel cung cấp bảo mật cho toàn bộ gói tin IP gốc Gói

tin gốc IP được mã hoá Tiếp theo, gói tin đã được mã hoá được

đóng gói trong một gói tin IP khác Địa chỉ IP ngoài được dùng

để định tuyến gói tin trên mạng Internet

Hình 1.2 Mô tả các chế độ hoạt động của IPSec

Do các đặc điểm nêu trên, chế độ transport chỉ có thể được dùng trong

mô hình mạng VPN đấu nối giữa hai hệ thống đầu cuối trực tiếp với

nhau Trong khi đó chế độ tunnel có thể được áp dụng cho các mô hình

mạng dạng site- -to site hoặc host-to-site

1.2.4 Giới thiệu về SA (Security Association)

Thoả thuận an ninh- SA là khái niệm quan trọng nhất của IPSec Chúng

được dùng để gọi tên một thoả thuận về mặt chính sách giữa hai điểm

tham gia VPN và mô tả cách mà các điểm đó dùng các dịch vụ bảo mật

IPSec để bảo vệ lưu lượng mạng SA chứa tất cả các thông số an ninh

cần thiết để có thể truyền tải ccác gói tin giữa hai điểm VPN và định

nghĩa chính sách an ninh dùng trong IPSec Hình 1.3 trình bay khái

niệm của một SA Các router trong hình dùng IPSec để bảo vệ lưu

lượng giữa hai trạm A và B Mỗi router cần hai SA để mô tả sự bảo vệ

lưu lượng cho mỗi hướng vào ra của mình Sự thiết lập SA là một điều

kiện tiên quyết cho quá trình bảo vệ lưu lượng IPSec hoạt động Khi các

SA thích hợp được thiết lập, IPSec tham chiếu chúng cho tất cả các

thông số cần thiết để bảo vệ lưu lượng đã được chỉ định Sự áp dụng

của một SA có thể được thiết lập như sau “Với lưu lượng giữa hai trạm

A và B, dùng các thuật toán ESP và 3DES với các khoá K1,K2 và K3

cho việc mã hoá tải tin, và SHA-1 với khoá K4 cho nhận thực”

Hình 1.3 Thoả thuận an ninh- SA

SA luôn luôn là một hướng SA cũng là một giao thức đóng gói riêng

Nếu hai trạm, A và B trao đổi với nhau một cách bảo mật dùng cả AH

và ESP, thì mỗi trạm dùng 4 SA, trong đó mỗi giao thức có 2 SA cho

hướng vào và hướng ra Các thiết bị VPN lưu giữ chúng trong một cơ sở

dữ liệu về SA được gọi là SAD

1.2.5 Giới thiệu 5 bước hoạt động của IPSec

Mục đích chính của IPSec là bảo vệ dữ liệu quan trọng cần phải bảo

mật Có 5 bước chính để thực hiện một kết nối IPSec

1 Sưu tập dữ liệu khởi tạo một quá trình IPSec Lưu lượng được

cho rằng là đáng quan tâm khi thiết bị VPN nhận thấy rằng dữ

liệu trên đó cần được bảo vệ

2 IKE pha 1 thực hiện nhận thực các điểm cuối IPSec và thoả

thuận các IKE SA trong pha này Nó tạo ra một kênh kết nối bảo

mật để cho việc thoả thuận các IPSec SA ở pha 2

3 IKE pha 2 thoả thuận các thông số của IPSec SA và tạo ra các

IPSec SA phù hợp tại các đầu cuối Các thông số an ninh này

đợpc dùng cho việc bảo vệ dữ liệu và các bản tin được chuyển

giữa hai điểm cuối

4 Việc truyền dữ liệu xảy ra giữa các điểm cuối IPSec dựa trên

các thông số IPSec và các khoá được lưu giữ trong các SA tại

mỗi đầu

5 Quá trình kết thúc các hầm IPSec được thực hiện bởi các SA

thông qua việc chúng bị xoá bỏ hoặc chúng bị quá thời hạn được

định nghĩa

1.2.6 Giới thiệu cách dùng IKE của IPSec

Giao thức chuyển khoá -IKE cải thiện IPSec bằng cách cung cấp các

tính năng nâng cao, như sự linh hoạt và sự dễ dàng trong việc cấu hình

cho tiêu chuẩn IPSec IKE là một giao thức lai chúng cung cấp các giao

thức chuyển khoá Oakley và SKEME bên trong một nền tảng giao thức

chuyển khoá và liên kết an ninh Internet (ISAKMP) IKE cung cấp sự

nhận thực các điểm cuối IPSec, thoả thuận các khoá IPSec, và đàm phán

các thoả thuận an ninh IPSec (SA)

Hầm IKE bảo vệ các phiên thoả thuận SA Sau khi SA được thoả thuận,

IPSec bảo vệ dữ liệu truyền qua giữa hai điểm được bảo vệ đó Sự cấu

hình ở chế độ IKE cho phép một cổng an ninh có thể thay các địa chỉ IP

(và các cấu hình lớp mạng khác) ở phía client như là một phần của

phiên thoả thuận IKE Dùng quá trình chuyển này, cổng có thể cung cấp

cho client một địa chỉ IP để IKE client được dùng như là một địa chỉ IP

trong (inner) được đóng gói dưới IPSec Nó cung cấp một địa chỉ IP

khác cho client, mà địa chỉ này có thể đọc được trên mạng

Dùng tính năng chuyển khoá này IKE, IKE có thể cung cấp cho các

client một địa chỉ IP như là một phần của phiên IKE IKE tự động thoả

thuận các IPSec SA và bật phiên truyền thông bảo mật IPSec mà không

cần sự cấu hình trước

Hình 1.4 Hoạt động của IKE trong IPSec

IKE cung cấp các ưu điểm sau

- Loại bỏ sự cần thiết phải chỉ ra tất cả các thông số an ninh IPSec

bằng tay trong các khai báo crypto cho cả hai phía

- Cho phép người dùng xác định một thời gian sống cho một thoả

thuận an ninh IPSec

- Cho phép các khoá mã hoá được thay đổi trong các phiên IPSec

- Cho phép IPSec cung cấp dịch vụ antireplay

- Cho phép thực hiện cơ chế CA

- Cho phép sự nhận thực các điểm cuối

1.3 Kiến trúc của IPSec

1.3.1 Giới thiệu

Trong phần này giới thiệu về kiến trúc của IPSec trong đó có bao gồm

các kiểu giao thức khác nhau Chúng ta đã thấy trong phần trên rằng

IPSec thực sự đáp ứng các định nghĩa của một mạng VPN: nó áp dụng

sự mã hoá và nhận thực cho một hầm để tạo ra một mạng riêng ảo Kiến

trúc tổng quan của IPSec được mô tả trong 2401, nhưng còn có các RFC

riêng dùng để mô tả các giao thức và các thuận toán của nó

VPN tóm gọn lại có thể nói là một kết nối bảo mật Chúng ta sẽ đề cập

đến các cơ chế mã hoá, giao thức, các thuật toán, và các chế độ hoạt

động trong các phần tiếp theo của mục này

1.3.2 Giới thiệu về mã hoá

Bảo mật và xác thực dữ liệu là các yêu cầu chính cho bất cứ giao thức

VPN nào Một trong những lý do chính để chọn IPSec VPN như là một

giải pháp kỹ thuật đó là tính xác thực của dữ liệu được cung cấp bởi cơ

chế mã hoá được xây dựng trong nó

Mã hoá là một quá trình biến đổi các văn bản thông thường

thành dạng mà văn bản gốc trở nên khó hiểu tới những người

nhận dữ liệu không giữ chìa khoá để giải mã bản tin đã được mã

hoá đó.

Giải mã là quá trình ngược của mã hoá; nó là một quá trình biến

đổi các dữ liệu đã được mã hoá trơ lại dạng văn bản dễ đọc

Một thuật toán mật mã, cũng được gói là một cipher , là một hàm toán

học dùng cho việc mã hoá và giải mã Thông thường, có hai hàm, một

cho mã hóa, còn cái kia cho giải mã Bảo mật dữ liệu trong thuật giải

mã hoá hiện tại dựa trên một khoá (hoặc một số khoá Một người có thể

biết được thuật toán mã hoá được dùng, nhưng nếu anh ta không biết

khoá, thì hành động nghe trộm sẽ không thể thực hiện được trên bản tin

đó

Các thuật toán mã hoá có thể được chia làm hai loại:

- Mã hoá đối xứng

- Mã hoá bất đối xứng

1.3.2.1 Các thuật toán đối xứng

Thuật toán mã hoá đối xứng được dựa trên sự hiểu biết về bản tin của

người nhận và người gửi và sử dụng một khoá bị mật giống nhau

Người gửi dùng một khoá bí mật đề mã hoá bản tin, và phía nhận dùng

khoá giống như thế để giải mã Vấn đề chính khi sử dụng mã hoá đối

xứng là tìm cách để chuyển khoá làm sao để không ai nhận được khoá

đó Bất cứ ai, có thể nghe hoặc chặn được khoá trong quá trình truyền

dẫn có thể dùng nó để đọc và sửa bản tin đã được mã hoá và nhận thực

bằng cách sử dụng khoá này, và có thể tạo ra một bản tin mới DES,

3DES và AES là các thuật toán mã hoá đối xứng phổ biến nhất

1.3.2.2 Mã hoá bất đối xứng

Thuật toán mã hoá bất đối xứng, còn được biết đến như là một thuật

toán khoá công khai (public key), dùng một khoá cho mã hoá và một

khoá khác cho giải mã Khoá mã hoá được gọi là khoá công cộng và có

thể được công khai Một khoá được gọi là khoá riêng, dùng cho giải mã,

cần phải được giữ bí mật Mặc dù khoá công cộng và khoá riêng có liên

quan với nhau về mặt toán học, phân tích và phát hiện được từ một

người khác Bất cứ ai với việc nhận được khoá công khai có thể mã hoá

được bản tin , nhưng bản tin chỉ có thể được mã hoá bởi người có giữ

khoá riêng Do đó, một kết nối hoàn toàn bảo mật để truyền khoá bảo

mật là không còn cần thiết trong trường hợp thuật toán khoá bất dối

xứng

Hình 1.5 trình bày hoạt động của thuật toán mã hoá khoá công khai B

và A liên lạc với nhau dùng khoá bảo mật như sau:

1 A và B đồng ý với nhau một thuật toán khoá công khai

2 B gửi cho A khoá công khai của anh ta và A gửi cho B khoá

công khai của cô ta

3 A gửi cho B một bản tin, đã được mã hoá bởi khoá công khai

của B

4 B nhận bản tin và giải mã bằng khoá riêng của anh ta

Gửi cho tôi khoá công khai của anh

Gửi cho tôi khoá công khai của anh, khoá công khai của B

A gửi cho B đoạn văn bản đã mã

hoá Khoá công khai của A

Thoả thuận các thông số mã hoá

Khoá công khai của B

Văn bản đã

bị mã hoá

Văn bản đã được giải mã

Hình 1.5 Quá trình thực hiện mã hoá bằng khoá công khai

Trong thực tế, khoá công khai ít khi được dùng được mã hoá bản tin

bởi vì nó chậm hơn phương pháp dùng khoá đối xứng; tuy nhiên ,

phương pháp mã hoá bằng khoá công khai được dùng để giải quyết vấn

đề phân phối khoá cho phương pháp mã hoá đối xứng, là phương pháp

mã hoá dùng để mã hoá bản tin thật sự Do đó, mã hoá khoá công khai

không có nghĩa là mã hoá đối xứng, nhưng có thể hỗ trợ nó và làm cho

nó bảo mật hơn

1.3.3 Chứng thực điện tử

Một cách dùng khác của mã hoá khoá công khai là cho nhận thực bản

tin, cũng còn được biết như chứng thực điện tử

Mã hoá một bản tin với một khoá riêng tạo ra một chữ ký điện tử, nó là

một thành phần điện tử dùng cho nhận thực và cung cấp sự không từ

chối Sự không từ chối có nghĩ là người gửi không có khả năng từ chối a

rằng anh ta hoặc cô ta đã gửi bản tin đó Có nghĩa là, chứng thực chữ ký

số không chỉ liên quan đến nội dung của bản tin mà còn để xác định

người gửi Bởi vì nó thường không có khả năng để mã hoá một bản tin

thực sự cho việc nhân thực, một tài liệu hash được gọi là luật bản tin

được dùng Ý tưởng cơ bản phía sau nó là để lấy một bản tin có độ dài

thay đổi và chuyển chúng thành một bản tin có độ dài cố định được nén

ở đầu ra và gọi là tài liệu bản tin, hash được đóng nhãn một hướng A và

B giao tiếp với nhau dùng chữ ký điện tử được trình bày như hình dưới

đây:

1 A tính toán một hướng hash của tài liệu mà A muốn gửi cho B

2 A mã hoá hash với khoá riêng của A Bản tin mã hoá văn bản

được trở thành chữ ký điện tử

3 A gửi tài liện đi cũng với chứ ký điện tử cho B

4 B mã hoá chữ ký điện tử sử dụng khoá công khai A và cũng

tính toán hash một chiều của tài liệu nhận được từ A Nếu hai giá

trị phù hợp nhau, B có thể đảm bảo rằng tài liệu đến từ A và tài

liệu đã không bị thay đổi trong quá trình truyền dẫn Sự thay đổi

nhỏ nhất trong tài liệu sẽ làm cho giá trị không phù hợp và làm

cho quá trình nhận thực bị lỗi

Chú ý: Khi các bản tin nhận thực được phát ra mã hoá dùng một khoá,

nó gói là bản tin nhận thực được khoá Một định nghĩa khác của nó

được gói mã nhận thực bản tin (HMAC)

1.3.4 Các chế độ IPSec

Như đã nói ở trước, AH và ESP có thể vận hành ở cả chế độ của IPSec

đó là transport và tunnel Trong phần này, chúng ta xem xét các chế độ

này

Ở góc độ kỹ thụât, hai chế độ này khác nhau ở cách mà chúng đóng gói

dữ liệu và do đó là cách chúng bảo vệ dữ liệu Từ góc độ hoạt động,

chúng khác nhau ở cách chúng bảo vệ phiên liên lạc giữa hai trạm, giữa

hai mạng hoặc giữa một trạm và một mạng

1.3.4.1 Transport mode

Chế độ này được dùng ở giữa hai trạm cố định, khi các điểm cuối VPN

là đích cuối cùng của lưu lượng VPN Chế độ transport dùng được cho

mô hình kết nối hai mạng hoặc một mạng và một trạm Nó được mô tả

như trong hình 1.6

Internet

Hình 1.6 Mô hình hoạt động của chế độ transport

Tên transport xuất phát từ việc chế độ VPN này bảo vệ dữ liệu lớp

transport trong gói dữ liệu

Điều này thực ra không chính xác, bởi vì chúng cũng bảo vệ ICMP và

các dữ liệu tương tự khác Đó là vì chúng bảo vệ dữ liệu đến sau tiêu đề

IP, nó thường là dữ liệu lớp transport Ở một góc độ khác, chế độ VPN

transport bảo vệ bất cứ giao thức nào được xác đinh trong trường giao

thức của tiêu đề IP

Có một điểm chung là cả hai tiêu đề của các giao thức AH và ESP cùng

được đặt sau tiêu đề IP của gói dữ liệu

Hình 1.7 mô tả sự đóng gói này, chú ý rằng AH không có phần đuôi

IPSec

IP Header IPSec Header Transport data (TCP, UDP,

ICMP )

ESP Trailer (ESP only

Hình 1.7 Việc đóng gói trong chế độ transport

Hình 1.7 giải thích tại sao chế độ này chỉ được dùng trong mạng mà các

điểm cuối là điểm cuối cùng của kết nối VPN Nói một cách khác, các

gói dữ liệu phải được chuyển tới điểm cuối VPN để nó có thể được giải

mã hoặc nhận thực Thật vậy, do chỉ có duy nhất một tiêu đề IP, nên địa

chỉ đích của nó phải là địa chỉ đích cuối cùng

Chế độ transport trong VPN có thể có nhiều hạn chế, nhưng cần nhớ

rằng chúng cung cấp khả năng bảo mật từ đầu cuối đến đầu cuối Nếu

mô hình kết nối của chúng ta không đáp ứng được vấn đề an toàn cho

các trạm hoặc mạng thì chế độ VPN transport là một giải pháp Một

dạng khác của VPN không cần thiết để cung cấp các cơ chế an ninh

end- -to end Đó là chế độ tunnel

1.3.4.2 Chế độ tunn el

Một chế độ VPN khác mà các giao thức AH hoặc ESP có thể được thực

hiện trên đó gọi là chế độ tunnel Nó linh hoạt hơn chế độ transport

nhưng chính sự linh hoạt này làm cho sự tiêu tốn băng thông lên cao

hơn

Thông thường dùng chế độ tunnel để kết nối giữa hai mạng hoặc giữa

một trạm và một mạng Chẳng hạn, kết nối một văn phòng ở xa tới một

văn phòng ở trung tâm hoặc các truy cập từ xa đến văn phòng trung

tâm Hình 1.8 mô tả một mô hình của nó Chú ý rằng bất cứ các truy

cập từ đâu tới mạng sẽ đều phải thông qua một cổng an ninh

Internet Tunnel- Mode VPN

Tunnel-Mode VPN

Remote Host

Remote

Network

Home Network

Hình 1.8 VPN chế độ tunnel

Trong hình 1.8, các mạng trung tâm và từ xa được kết nối thông qua chế

độ tunnel VPN bằng các cổng an ninh, GW1 và GW2 Các cổng này

thực hiện các chức năng của VPN bao gồm : viêc điều khiển việc mã

hoá và giải mã, chống truy cập trái phép và thực hiện chức năng nhận

thực Các chức năng bảo mật này hoàn toàn trong suốt với các trạm trên

cả hai mạng Chúng chỉ có nhiệm vụ đơn thuần là gửi các gói dữ liệu

tới các địa chỉ đích trên một mạng khác và chúng sẽ có cảm giác như là

các cổng an ninh trên và các VPN không tồn tại

Trong trường hợp của các máy truy cập từ xa (remote host), chức năng

của cổng an ninh được xây dựng trên bản thân các remote host đó Tất

cả mọi thứ giống như trong trường hợp hai mạng với nhau, ngoại trừ

việc không có mạng nào phía sau remote host

Giống như trong chế độ transport, nó là một tên được đặt dành cho sự

áp dụng các giao thức ESP và AH vào một tunnel Chúng ta có thể một

cách rõ ràng trong hình 1.9, trình bày sự đóng gói chế độ tunnel Nếu

nhìn kỹ hơn, và so sánh với hình trước 1.8 thì thấy rằng chúng ta có thể

mô tả chế độ hầm như là chế độ transport được áp dụng cho một hầm

IP- –in IP

Outer IP

Header

IPSec Header

Inner

IPSec trailer(ESP)

Goi tin IP gốc

Hình 1.9: Việc đóng gói trong chế độ tunnel

Điều đó giải thích bản thân tên tunnel mode và cách các cổng bảo mật

hoạt động

Phần ngoài của tiêu đề IP bao gồm địa chỉ IP nguồn và đích là của các

cổng bảo mật.( hoặc các máy trạm xa và của một cổng bảo mật trong

trường hợp kết nối máy trạm và mạng) Do đó, khi lưu lượng VPN được

chuyển tới một điểm cuối, sau khi được giải mã và/hoặc nhận thực, các

phần ngoài của tiêu đề IP, tiêu đề IPSec và phần đuôi của IPSec (nếu

có) đều được loại bỏ Sự loại bỏ làm cho gói tin sau đó chỉ còn phần

trong của gói tin IPSec, trong đó có phần trong của tiêu đề có chứa địa

chỉ của đích cuối cùng Cổng bảo mật lúc này chuyển các gói tin này tới

địa chỉ đích cuối cùng được chỉ định trong tiêu đề của gói tin

Tất nhiên, với những ưu điểm trên đây, không có lý do gì, chúng ta

không dùng chế độ tunnel thay cho chế độ transport giữa hai điểm kết

nối cố định Trong trường hợp này, địa chỉ nguồn và đích của phần

trong và phần ngoài của tiêu đề IP sẽ là một Nhược điểm của nó là

băng thông cần thiết sẽ tăng thêm bởi sự thêm tiêu đề của nó

Thực vậy, chúng ta có thể nghĩ đến chế độ transport như là một trường

hợp của chế độ tunnel trong một trường hợp đặc biệt của hai kết nối cố

định

1.3.5 Các thoả thuận bảo mật (Security Associations - SA)

Khi nói và nghĩ đến các đường hầm (tunnel), có thể tưởng tượng một

đường hầm hoặc một VPN ở khía cạnh vật lý: một ống mà chúng ta có

thể xây trước khi gửi dữ liệu thông qua đó Trong thực tế, một tunnel

hoặc một VPN, giống như là một kết nối TCP và hoàn toàn có nghĩa là

V trong từ VPN, có nghĩa là ảo (Virtual) Trong thực tế, một dữ liệu của

VPN hoặc tunnel được mang đi trong gói tin IP thông thường, như bất

cứ gói tin nào khác trong mạng TCP/IP Tunnel hoặc VPN thật ra chứa

trạng thái đươc chia sẻ ở các điểm cuối của tunnel, và khi chúng ta nói

đến việc xây dựng một tunnel hoặc một VPN, chúng ta đang nghĩ đến

việc đồng bộ trạng thái giữa các điểm cuối đó

Trong IPSec, trạng thái chia sẻ này gọi là thoả thuận an ninh (Security

Associantion –SA) và được lưu giữ trong một cấu trúc dữ liệu với tên

tương tự

SA điều khiển các thành phần trong một IPSec VPN Chúng ta sẽ tìm

hiểu ở một số trạng thái để tạo thành một SA Trước hết chúng ta biết

rằng nó bao gồm một số thành phần như là thuật toán mã hoá và khoá

của nó, các thuật toán nhận thực và khoá của nó, số thứ tự hiện thời,

cửa sổ chống xâm phạm trái phép, thời gian sống của một SA thông

thường là thời gian hoặc là byte và SPI là dữ liệu mà điểm cuối cần để

duy trì một VPN

SA thật ra khá đơn giản, chúng chỉ điều khiển lưu lượng trên một

hướng từ trạm A đến trạm B, nhưng không phải từ trạm B đến trạm A

Do đó, mỗi điểm cuối VPN cần có một cặp SA, một cho lưu lượng vào

và một cho lưu lượng ra

Ngoài ra, để có một SA cho mỗi hướng kết nối, VPN phải có một cặp

SA cho mỗi giao thức mà nó sử dụng Do đó, nếu một VPN dùng cả

AH và ESP, mỗi điểm cuối VPN cần 4 SA(hai cho AH và hai cho ESP)

Các SA cũng được phân biệt bởi ba tham số: SPI, địa chỉ đích và giao

thức SPI được chỉ định cho SA bởi trạm đích, do đó 3 thông số này xác

định duy nhất một SA cho một trạm Khi có nhiều hơn một SA phải

được áp dụng tại một thời điểm, các SA được kết hợp lại thành một

nhóm SA (SA bundle) Khái niệm nhóm SA khắc phục tình trạng khó

khăn trong việc xác định SA tương ứng để áp dụng cho một gói dữ liệu

Một câu hỏi quan trọng là SA được tạo ra như thế nào IPSec cung cấp

hai quá trình xử lý :

- Các SA có thể tạo ra bằng tay và do đó gọi là khoá nhân công

bởi người quản trị hệ thống Mặc dù nó đơn giản, nhưng khoá

nhân công không thật sự tốt trong trường hợp có nhiều VPN,

không thể tự động khởi động lại các khoá khi cần bằng việc định

nghĩa số thời gian sống hoặc số thứ tự, do đó dĩ nhiên sẽ chịu các

vấn đề an ninh khi các khoá này được duy trì quá lâu Tuy nhiên,

RFC 2401 chỉ thị rằng các hệ thống VPN phải hỗ trợ khoá nhân

công

- Các SA có thể được thoả thuận bất cứ khi nào cần bằng một giao

thức quản lý khoá IPSec, IKE Mặc dù có nhiều khó khăn hơn cho

việc cấu hình, nhưng IKE có ưu điểm là nó có thể tạo một cặp

SA ban đầu khi một VPN được tạo ra và sau đó duy trì trạng thái

của VPN bằng cách thoả thuận các SA mới khi khoá cũ bị quá

hạn, các số thứ tự bị trùng nhau hoặc các sự kiện khác có thể dẫn

đến việc tạo nên một SA mới Ngoài ra, IKE cũng tăng mức độ an

ninh bằng cách cung cấp một cơ chế bảo đảm hoàn hảo

Một VPN IPSec lưu giữ các SA trong một cơ sở dữ liệu SA (SAD), nơi

nó có thể tìm kiếm chúng trong quá trình xử lý Vì lý do như ở trên,

cũng sẽ có một SAD cho lưu lượng vào và một SAD cho các lưu lượng

ra, nhưng khi nào thì có một SAD khi nào thì có hai sẽ được đề cập sau

Để dễ dàng cho việc tìm hiểu, chúng ta giả sử rằng một SAD đơn chứa

các SA của cả hai hướng

SAD được dùng trong hai trường hợp Trước hết, khi nó xác định rằng

một gói dữ liệu ra phải được áp dụng một hoặc là cả hai trong hai giao

thức ESP và AH , IPSec tìm kiếm SA hoặc nhóm SA trong SAD hoặc

tạo ra một SA nếu chúng không tồn tại để xác định các thông số cho

việc mã hoá, nhận thực, các số thứ tự tiếp theo IPSec dùng các thông

số này để thực hiện việc đóng gói các gói tin

Thứ hai, khi xử lý một gói tin IPSec đến IPSec dùng SPI, địa chỉ đích

và giao thức trong gói tin để xác định SA hoặc nhóm SA trong SAD

SA hoặc SAD cung cấp các thông số cần thiết để giải mã hoặc để nhận

thực gói tin nhận được

1.3.6 Thoả thuận an ninh kết hợp

Như đã đề cập ở phần trên, thỉnh thoảng có thể áp dụng cả hai cơ chế

AH và ESP cho một VPN bằng cách kết hợp nhiều SA vào trong một

nhóm SA Trong phần này, chúng ta sẽ tìm hiểu cách kết hợp các AH và

ESP, hơn nữa là cách chúng ta kết hợp các SA để tạo nên một VPN

Trường hợp đơn giản nhất là khi kết hợp AH và ESP trong một VPN

dùng chế độ transport Nó được gọi là hàng xóm transport (transport

adjancency) Chúng ta sẽ trình bày nó trong hình 1.10 bao gồm các SA

và sự đóng gói của gói dữ liệu

ESP mode

AH mode

transport-AH Header

Header Payload

Hình 1.10: Transport Adjency

Chú ý rằng, AH được áp dụng sau khi ESP được áp dụng, do đó AH là

giao thức ngoài Điều đó trở nên nhạy cảm bởi vì chúng ta muốn nhận

thực càng nhiều phần trong gói dữ liệu càng tốt, bao gồm cả phần tiêu

đề ESP

Một cách thông thường hơn của sự kết hợp các SA để xây dựng một

VPN được gọi là hầm lặp lại (iterate tunneling), các hầm này là kết quả

của VPN chế độ transport trước hoặc của VPN chế độ tunnel trước đó

Dùng chế độ này không thực sự thích hợp và cũng không mang lại

nhiều lợi ích

Mô hình thực tế được chỉ ra trong hình 1.11 một kết nối VPN end- -to

end dạng AH trong chế độ transport giữa H1 và H2 Giữa H1 và GW1,

một kết nối VPN ở chế độ tunnel dùng ESP bảo vệ các gói dữ liệu riêng

tư của H1 cho đến khi chúng tìm được GW2,

ESP mode

tunnel-AH mode ESP Header

Hình 1.11: Hầm lặp lại với các điểm cuối chi a sẻ

Các tiêu đề IP trong quá trình đóng gói được dán nhãn với các nguồn

(S) và đích (D) để giúp đỡ việc kết hợp hai phần lại với nhau

Chúng ta có thể dùng chế độ tunnel cho AH, nhưng sẽ phải thêm các

tiêu đề IP khác, và không có ưu điểm gì so với chế độ transport Giao

thức trong có thể là ESP thay cho AH, nhưng chúng ít được dùng trong

thực tế, vì một VPN end- -to end ESP sẽ tạo nên một kết nối giữa GW2

và H1 không cần thiết

Hai VPN trong hình 1.11 chia sẻ một điểm cuối chung là H1 Do đó H1

phải biết cả hai VPN và có một nhóm SA để mô tả chúng Chúng ta sẽ

xem xét mô hình tiếp theo cũng có 2 VPN nhưng chúng không chia sẻ

các điểm kết cuối (hình 1.12)

ESP mode ESP transport - mode

tunnel-S: H1 D: H2

ESP Header

Hình 1.12: Các hầm lặp lại với các điểm cuối không chia sẻ

Trong trường hợp này, cả hai VPN đều dùng ESP, nó có thể dễ dàng

xảy ra vì H1 và H2 có thể không nhận biết được sự tồn tại của VPN

giữa hai cổng an ninh Tất nhiên, các VPN có thể dùng hoặc là ESP

hoặc là AH, tuỳ vào mức độ cần thiết về mặt an ninh của chúng Nó

cũng hoàn toàn phù hợp cho các VPN giữa các trạm dùng chế độ

tunnel

1.3.7 Các chính sách

Trong phần này đề cập đến cách IPSec xác định các gói để truyền trên

VPN Chúng ta có thể nghĩ rằng một VPN dùng chế độ transport, sẽ

truyền tất cả các dữ liệu tới địa chỉ đích của VPN, và thực tế là điều đó

có thể xảy ra Mặc dù vây, thường là người ta chọn lựa các gói dữ liệu

mà VPN sẽ mang theo Tương tự, ta có thể nghĩ rằng trong chế độ

tunnel, VPN giữa hai mạng, sẽ có hầu hết các gói tin có địa chỉ đích là

đấu cuối VPN được chọn, nhưng điều đó không thật sự hợp lý Các

điểm cuối của mạng VPN có thể là một router hoặc một cổng an ninh

khác nó cũng có thể sẽ chuyển các gói đến một mạng khác không phải

là mạng VPN, do đó VPN có thể mang các gói dữ liệu mà địa chỉ đích

cuối cùng không nằm trong mạng đích của VPN

Do đó, VPN có thể chọn lựa các gói để truyền đi để đảm bảo rằng loại

được các tình huống xấu nhất có thể xảy ra Một quy luật lựa chọn các

gói tin được chuyển qua một IPSec VPN được gọi là một chính sách

(policy) Một chính sách đơn giản cho VPN chế độ transport có thể là

chọn tất cả các gói tin có địa chỉ đích là địa chỉ của đầu cuối VPN sẽ

được truyền qua VPN Một chính sách phức tạp hơn có thể chỉ ra rằng

chỉ các lưu lượng TCP có đích là địa chỉ cuối VPN mới được truyền qua

VPN Một chính sách phức tạp hơn nữa có thể xác định rằng chỉ các

lưu lượng UDP với một số các cổng xác định thì mới truyền qua VPN

Rõ ràng, chế độ tunnel cung cấp khả năng có nhiều kiểu chính sách

được áp dụng cho lưu lượng VPN chạy qua

Khả năng sâu hơn nữa là chúng ta có thể có nhiều VPN giữa các trạm

cố định mà mỗi trong chúng mang một lưu lượng khác nhau Do đó mặc

dù hình 1.6 chỉ ra một kết nối VPN đơn giữa hai trạm, và hình 1.8 chỉ ra

một VPN giữa hai cổng, chúng ta có thể có nhiều VPN nếu các điều

kiện đảm bảo và tình huống yêu cầu như vậy Chẳng hạn, nếu DNS

server cho một mạng ở xa trong hình 1.8 là trong mạng trung tâm,

chúng ta có thể muốn thiết lập một AH VPN để mang các lưu lượng về

DNS để chống lại các tấn công dựa trên việc truy vấn thông tin DNS

Có thể chúng ta muốn nhận thực rằng đáp ứng DNS đến từ một serrver

DNS hợp lệ và rằng chúng không có các tác động trái phép, và có thể

không cần thiết phải mã hoá chúng Cùng lúc đó, ta có thể muốn có một

VPN cho lưu lượng TCP hoặc UDP được mã hoá

Khi áp dụng các chính sách này, IPSec phải kiểm tra các tiêu đề IP và

có thể là tiêu đề ở lớp transport để xem xem các gói đó có nằm trong

chính sách đã định không Các trường trong gói dữ liệu mà IPSec có thể

dùng trong việc quyết định đó là các bộ lựa chọn (selector)

Chúng ta chỉ xem xét ở đây là AH và ESP, IKE có thêm các bộ chọn

lựa, chẳng hạn như sự nhận dạng các trạm và người dùng, đó có thể

được dùng để xác định thời điểm khởi tạo VPN

RFC 2401 liệt kê các bộ lựa chọn có thể :

Hơn nữa, chúng ta có nói về các chính sách như là một cách để xác định

loại gói tin sẽ được gửi qua VPN Các cơ chế chính sách là rất phổ biến

khi chúng liên kết với mỗi chính sách với một hành động Hành động

này có thể làm rớt gói dữ liệu, để gói vượt qua IPSec và truyền đi một

cách bình thường hoặc là áp dụng chúng vào một trong hai giao thức

IPSec Do đó, một chính sách là một quy luật nó xác định cách sắp xếp

của mỗi gói tin phù hợp vào hoặc ra một điểm cuối VPN RFC 2401 chỉ

ra rằng bất cứ gói tin nào không có sự phù hợp với các chính sách sẽ bị

loại, nhưng nhiều mô hình có các chính sách mặc định để áp dụng cho

các gói tin không phù hợp với bất cứ chính sách nào Điều đó là có ý

nghĩa khi chúng ta có một VPN tới một mạng khác, và muốn gửi lưu

lượng này tới mạng thông qua VPN nhưng vẫn gửi các lưu lượng khác

ra một cách bình thường

Như với các sự thoả thuận an ninh, một chính sách tại một trạm IPSec

được duy trì trong một cơ sở dữ liệu, gọi là cơ sở dữ liệu chính sách an

ninh (Security Policy Database-SPD) SPD sẽ được tham khảo trong khi

xử lý các gói tin ra để xác định sự sắp xếp của mỗi gói tin trong hàng

đợi ra Nếu có một chính sách phù hợp xác định rằng IPSec phải được

áp dụng cho gói tin, nó sẽ trở thành một con trỏ tới SA hoặc nhóm SA

tương ứng Nếu không có SA hoặc nhóm SA tồn tại, IPSec sẽ dùng IKE

để tạo một SA mới trừ khi một khoá nhân công được dùng, trong trường

hợp ngược lại, gói tin sẽ bị loại

SPD cũng được tham khảo cho các gói tin vào Sau khi sự giải mã và

nhận thực của gói tin xảy ra, SPD kiểm tra và đảm bảo rằng các quá

trình xử lý IPSec thích hợp được thực hiện

1.3.8 Quá trình hoạt động của IPSec

Khi chúng ta đề cập đến ẠH và ESP , chúng ta sẽ xem xét quá trính xử

lý các gói tin bởi các giao thức trên một cách chi tiết hơn Trong phần

này sẽ trình bày một cái nhìn tổng quan về cách mà IPSec xử lý các gói

tin và đặc biệt là cách mà SPD ảnh hưởng đến quá trình này

Như chúng ta đã đề cập trong các phần trước, mỗi một gói tin, có thể là

một gới tin IPSec hoặc không, phải thoả mãn một chính sách hoặc là bị

loại bỏ Các quá trình này bật chức năng quản trị hệ thống để cấu hình

một chính sách mặc đinh khác hơn là loại các gói tin, hiện tại, một chính

sách mặt nạ sẽ nhận tất cả các gói tin mà không thoản mãn một chính

sách nào Điều đó có nghĩa là chính sách mặc đinh phải được áp dụng

cuối cùng Nó có nguyên tắc như các nguyên tắc thông thường của các

thiết bị SPD được xếp thứ tự, và chính sách đầu tiên mà thoả mãn lên

gói tin đó sẽ được dùng luôn, các chính sách sau đó sẽ được bỏ qua

Điều này thường có ý nghĩa khi chúng ta muốn đối xử với lưu lượng tới

một trạm nào đó hoặc một tập hợp các trạm đặc biệt nào đó Giả sử như

trong hình 1.8, chẳng hạn, mạng ở xa gửi tất cả lưu lượng đến mạng

trung tâm thông qua VPN Giả sử thêm rằng chúng ta không muốn lưu

lượng cho trạm Hs trong mạng trung tâm chạy qua mạng VPN Trong

trường hợp đó, chúng ta sẽ thiết lập một chính sách để chỉ ra rằng các

gói tin với đích là Hs sẽ vượt qua IPSec và theo đó sẽ là một chính sách

khác để chỉ ra rằng tất cả các lưu lượng tới mạng trung tâm sẽ đi qua

VPN Chú ý rằng thứ tự của các chính sách rất quan trọng

1.3.8.1 Quá trình xử lý gói tin ra

Quá trình xử lý gói tin ra bao gồm các bước sau đây:

1 So sánh mỗi một gói tin ra một tập các trường được chọn lựa

để tìm trong SPD ra được chính sách đầu tin thoả mãn nó Nếu

chính sách đó chỉ ra rằng gói tin sẽ bị loại, thì loại gói tin đó và

lưu lại sự kiện trên Nếu chính sách chỉ ra rằng gói tin cần phải

vượt qua IPSec, thì truyền gói tin theo cách bình thường Khi

một chính sách chỉ ra rằng IPSec phải được áp dụng cho gói tin

đó, nó sẽ đánh dấu tới một tập các bit 0 hoặc các SA hoặc các

nhóm SA trong SAD Nếu tập hợp đó là trống, có nghĩa là không

có SA nào tồn tại cho chính sách đó, thì IPSec sẽ cần đến IKE,

giả sử nó đang chạy, để thoả thuận các SA với các đầu xa tương

ứng Nếu IKE không chạy, thì sẽ loại gói tin đó

2 Tìm SA hoặc nhóm SA đầu tiên trong tập hợp ở bước trên đế

áp dụng cho gói tin Bước này là cần thiết vì một chính sách đơn

có thể tạo ra nhiều SA Chẳng hạn, nó có thể tạo nên một chính

sách cho một mạng xa trong hình 1.8 để nói với nó rằng sẽ gửi tất

cả các gói tin cho mạng trung tâm thông qua VPN, nhưng có thể

tạo một SA riêng cho từng nguồn và từng đích của các trạm, để

tạo ra một cách có hiệu quả nhiều VPN Trong trường hợp đó,

một dòng chính sách đơn có trong SPD sẽ đánh dấu cho nhiều

SA, và sự kiểm tra một lần nữa là cần thiết cho việc tìm ra chính

xác cái cần tìm

3 Dùng SA hoặc nhóm SA để áp dụng các dịch vụ IPSec tương

ứng cho gói dữ liệu Chúng ta sẽ xem xét quá trình này hơn khi

đề cập đến AH và ESP

1.3.8.2 Quá trình xử lý gói tin vào

Khi gói tin vào một điểm cuối VPN, nó sẽ được kiểm tra để xem xem

nó có chứa các tiêu đề IPSec không, để xác đinh xem có cần áp dụng

một chế độ xử lý bảo mật cho nó không Nếu có, các bước tiếp theo đây

sẽ cần phải thực hiện:

1 Dùng địa chỉ đích, SPI, và kiểu của tiêu đề (AH hoặc ESP), để

xác định SA cần áp dụng cho tiêu đề đó Nếu trong chế độ đường

hầm, dùng địa chị đích của tiêu đề ngoài Nếu không có SA thoả

mãn các tiêu chí trên, loại gói tin và ghi log lại sự kiện đó

2 Nếu quá trình chống xâm phạm được bật, kiểm tra xem số thứ

tự có đúng không Dùng SA được tìm thấy trong bước đầu, thực

hiện quá trình mã hoá và nhận thực được xác định trong SA Kiểm

tra lại xem các bộ lựa chọn của gói tin có phù hợp với các trường

trong SA không Lặp lại bước 1 và 2 cho đến khi tất cả các tiêu đề

IPSec được xử lý

3 Xác định dòng SPD được áp dụng cho gói tin và phù hợp với

các bộ lựa chọn của nó, tương tự như trong việc xử lý gói tin ra

4 Kiểm tra lại xem SA được tìm ra trong bước 1 và 2 có thoã mãn

các SA được yêu cầu bởi các chính sách trong bước 3 và chúng đã

được áp dụng trong một thứ tự đúng hay chưa Bước 3 và 4 để

kiểm tra rằng gói tin đã được xử lý đúng hay chưa

5 Chuyển các gói tin đã được đóng gói lại sang các trạm tiếp theo

nếu nó không phải là đích cuối cùng hoặc chuyển nó lên giao thức

lớp truyền tải

1.3.8.3 Quá trình xử lý các gói ICMP

Các bản tin lỗi ICMP sẽ nảy sinh các vấn đề cho IPSec Chẳng hạn,

việc cần thiết một sự phân mảnh các bản tin ICMP cho một VPN chế độ

hầm có thể làm mất một số bit cần thiết cho việc xác định địa chỉ của

trạm gửi máy tin đi trong phần tiêu đề Do đó, IPSec thỉnh thoảng phải

duy trì một trạng thái mềm về độ dài tối đa của VPN

Với các IPSec, các bản tin lỗi ICMP cũng xuất hiện một vấn đề khác

Nhớ lại rằng một VPN không thực sự tồn tại trong Internet; trừ tải của

nó, một gói VPN cũng như các gói tin khác Điều đó có nghĩa là một

router trung gian có thể nhận được một bản tin lỗi ICMP về một gói tin

và gửi nó trở lại cho điểm VPN xuất phát của gói tin Khi một gói tin sẽ

không được nhận thực và thường bị loại bởi IPSec Tuy nhiên làm như

thế, có thể làm cho phía cuối mất thông tin giá trị về trạng thái của