TÌM HIỂU VÀ TRIỂN KHAI IPSEC VPN VỚI PHẦN MỀM GIẢ LẬP GNS3

IPsec (Internet Protocol Security) là một bộ giao thức được sử dụng để bảo vệ và mã hóa dữ liệu truyền qua mạng Internet hoặc mạng nội bộ. IPsec hoạt động ở tầng mạng (Network Layer) và cung cấp các dịch vụ bảo mật như xác thực, tính toàn vẹn, và mã hóa dữ liệu. Các thành phần chính của IPsec: Authentication Headers (AH): Cung cấp khả năng xác thực nguồn gốc và tính toàn vẹn của gói tin IP, nhưng không mã hóa dữ liệu. AH bảo vệ chống lại các cuộc tấn công giả mạo dữ liệu. Encapsulating Security Payload (ESP): Cung cấp cả tính năng mã hóa và xác thực dữ liệu. ESP bảo vệ dữ liệu khỏi bị nghe lén (eavesdropping) và giả mạo. Security Associations (SA): Thiết lập các thông số bảo mật, bao gồm thuật toán mã hóa, khóa mã hóa, và thông tin xác thực giữa hai thiết bị để tạo ra một kênh bảo mật. Key Management Protocols: Sử dụng các giao thức như IKE (Internet Key Exchange) để thiết lập và quản lý các khóa mã hóa giữa hai thiết bị.

TÌM HIỂU VÀ TRIỂN KHAI IPSEC VPN VỚI

5 Phân biệt chế độ Tunnel và Transport trong IPSec 10

6.3 L2TP (Layer 2 Tunneling Protocol) 20

LỜI CẢM ƠN

Sau quá trình học tập và rèn luyện tại khoa Công nghệ thông tin trường Đại họcKinh tế - Kỹ thuật Công nghiệp, nhóm đề tài đã được trang bị các kiến thức cơ bản, các

kỹ năng thực tế để có thể hoàn thành môn học của mình

Nhóm xin gửi lời cảm ơn chân thành đến thầy Nguyễn Hoàng Chiến đã quan tâmhướng dẫn truyền đạt học những kiến thức và kinh nghiệm cho em trong suốt thời gianhọc tập bộ môn Thực hành an toàn thông tin

Trong quá trình học tập và làm báo cáo môn không tránh khỏi được những sai sót,nhóm mong nhận được sự góp ý của thầy để hoàn thiện hơn

CHƯƠNG I: GIAO THỨC IPSEC

1 Khái niệm

IPSec, viết tắt của Internet Protocol Security, là một bộ giao thức mật mã bảo vệ lưulượng dữ liệu qua mạng Internet Protocol (IP) Mạng IP – bao gồm cả World Wide Web– thiếu khả năng mã hoá và bảo vệ quyền riêng tư VPN IPSec giải quyết điểm yếu này,bằng cách cung cấp một framework cho việc giao tiếp được mã hóa và riêng tư trên web.IPsec là một nhóm giao thức được sử dụng cùng nhau để thiết lập các kết nốiđược mã hóa giữa các thiết bị Nó giúp bảo mật dữ liệu được gửi qua public network.Nhóm giao thức này này thường được sử dụng để thiết lập VPN Nó hoạt động bằng cách

mã hóa IP packet cùng với việc xác thực nguồn của các packet

2 Sơ lược về lịch sử của IPSec

Khi Internet Protocol được phát triển vào đầu những năm 80, tính bảo mật khôngnằm ở vị trí được ưu tiên cao Tuy nhiên, khi số lượng người dùng Internet tiếp tục pháttriển, nhu cầu bảo mật cao cũng vì thế mà ngày càng tăng

Để giải quyết nhu cầu này, Cơ quan an ninh Quốc gia đã tài trợ cho sự phát triểncủa các giao thức bảo mật vào giữa những năm 80, trong chương trình Secure DataNetwork Systems (Hệ thống mạng dữ liệu bảo mật) Điều này dẫn đến sự phát triển củaSecurity Protocol (Giao thức bảo mật) ở Layer 3 và cuối cùng là Network Layer SecurityProtocol Nhiều kỹ sư đã làm việc trong dự án này trong suốt những năm 90 và IPSec đãphát triển nhờ những nỗ lực này IPSec hiện là một tiêu chuẩn mã nguồn mở và là mộtphần của IPv4

3 Cách thức hoạt động

IPSec làm việc với các VPN tunnel để thiết lập kết nối hai chiều riêng tư giữa các thiết bị

Khi hai máy tính thiết lập kết nối VPN, chúng phải đồng thuận về một tập hợp cácgiao thức bảo mật và thuật toán mã hóa, đồng thời trao đổi key mật mã để mở khóa vàxem dữ liệu đã mã hóa

Đây là lúc IPSec phát huy vai trò IPSec làm việc với các VPN tunnel để thiết lậpkết nối hai chiều riêng tư giữa các thiết bị IPSec không phải là một giao thức đơn lẻ; thayvào đó, đó là một bộ giao thức và tiêu chuẩn hoàn chỉnh, hoạt động cùng nhau để giúpđảm bảo tính bảo mật, toàn vẹn và xác thực của các gói dữ liệu Internet đi qua VPNtunnel

Đây là cách IPSec tạo một VPN tunnel bảo mật:

● IPSec xác thực dữ liệu để đảm bảo tính toàn vẹn của gói dữ liệu trong quá trìnhtruyền tải

● IPSec mã hóa lưu lượng truy cập Internet qua các VPN tunnel để không thể xem

dữ liệu

● IPSec bảo vệ dữ liệu khỏi các cuộc tấn công Replay Attack, có thể dẫn đến việcđăng nhập trái phép

● IPSec cho phép trao đổi key mật mã bảo mật giữa các máy tính.

● IPSec cung cấp hai chế độ bảo mật: Tunnel và Transport

VPN IPSec bảo vệ dữ liệu truyền từ host đến host, mạng đến mạng, host đến mạng vàcổng đến gateway (được gọi là chế độ Tunnel, khi toàn bộ gói IP được mã hóa và xácthực)

Kết nối bộ giao thức này bao gồm các bước sau:

Trao đổi key: Key là yếu tố cần thiết để mã hóa, key là một chuỗi ký tự ngẫu nhiên

có thể được sử dụng để “lock” (mã hóa) và “unlock” (giải mã) thông điệp Nhóm giaothức này thiết lập các key với sự trao đổi key giữa các thiết bị được kết nối Để mỗi thiết

bị có thể giải mã tin nhắn của các thiết bị khác

Header và trailer của packet: Tất cả dữ liệu được gửi qua mạng được chia thành

các phần nhỏ hơn gọi là packet Các packet chứa cả payload hoặc dữ liệu thực tế đượcgửi bao gồm cả các header hoặc thông tin về dữ liệu đó để các máy tính nhận packet biếtphải làm gì với chúng IPsec thêm một số header vào các packet dữ liệu chứa thông tinxác thực và mã hóa Nhóm giao thức này cũng thêm các đoạn trailer, đi sau payload củamột packet thay vì trước đó

Xác thực: IPsec cung cấp xác thực cho mỗi packet, giống như một con dấu xác

thực trên một vật phẩm sưu tầm được Điều này đảm bảo rằng các packet đến từ mộtnguồn đáng tin và không phải là hacker

Mã hóa: IPsec mã hóa payload bên mỗi packet và IP header của mỗi packet Điều

này giữ cho dữ liệu được gửi qua nhóm giao thức này một cách an toàn và riêng tư

Truyền dữ liệu: Các IPsec packet được mã hóa truyền dữ liệu qua một hoặc nhiều

mạng đến đích của chúng bằng cách sử dụng một giao thức truyền tải Ở giai đoạn này,lưu lượng IPsec khác với lưu lượng IP thông thường ở chỗ nó thường sử dụng UDP làmgiao thức truyền tải hơn là TCP TCP (Transmission Control Protocol) thiết lập các kếtnối chuyên dụng giữa các thiết bị và đảm bảo rằng tất cả các packet đều được truyền đến

đích UDP (User Datagram Protocol) không thiết lập các kết nối chuyên dụng này Nhómgiao thức này sử dụng UDP vì nó cho phép các IPsec packet vượt qua firewall.

Giải mã: Ở đầu kia của giao tiếp, các packet được giải mã và các app hiện có thể sử

dụng dữ liệu được phân phối

4 Tiêu chuẩn IPSec

4.1 Giao thức IPSec cốt lõi

- IPSec Authentication Header (AH): Giao thức này bảo vệ địa chỉ IP của các máytính tham gia vào quá trình trao đổi dữ liệu, để đảm bảo rằng các bit dữ liệu không bịmất, thay đổi hoặc bị hỏng trong quá trình truyền AH cũng xác minh rằng người gửi dữliệu thực sự đã gửi nó, bảo vệ tunnel khỏi sự xâm nhập của những người dùng trái phép

- Encapsulating Security Payload (ESP): Giao thức ESP cung cấp phần mã hóa củaIPSec, đảm bảo tính bảo mật của lưu lượng dữ liệu giữa các thiết bị ESP mã hóa các gói

dữ liệu/payload, xác thực payload và nguồn gốc của nó trong bộ giao thức IPSec Giaothức này xáo trộn lưu lượng truy cập Internet một cách hiệu quả, để bất kỳ ai nhìn vàotunnel cũng đều không thể thấy bất cứ gì trong đó

ESP vừa mã hóa vừa xác thực dữ liệu, trong khi AH chỉ xác thực dữ liệu

4.2 Các thành phần hỗ trợ IPSec

- Security Associations (SA): Security Associations và các chính sách thiết lậpnhững thỏa thuận bảo mật khác nhau, được sử dụng trong trao đổi Các thỏa thuận này cóthể xác định loại mã hóa và thuật toán hash sẽ được sử dụng Những chính sách nàythường linh hoạt, cho phép các thiết bị quyết định cách chúng muốn xử lý mọi thứ

- Internet Key Exchange (IKE): Để mã hóa hoạt động, các máy tính liên quan đếnviệc trao đổi thông tin liên lạc riêng tư cần phải chia sẻ key mã hóa IKE cho phép haimáy tính trao đổi và chia sẻ key mật mã một cách bảo mật khi thiết lập kết nối VPN

- Encryption and Hashing Algorithms: Key mật mã hoạt động bằng cách sử dụnggiá trị hash, được tạo bằng thuật toán hash AH và ESP rất chung chung, chúng không chỉđịnh một loại mã hóa cụ thể Tuy nhiên, IPsec thường sử dụng Message Digest 5 hoặcSecure Hash Algorithm 1 để mã hóa.

- Bảo vệ chống lại các cuộc tấn công Replay Attack: IPSec cũng kết hợp các tiêuchuẩn để ngăn việc replay (phát lại) bất kỳ gói dữ liệu nào, một phần của quá trình đăngnhập thành công Tiêu chuẩn này ngăn chặn tin tặc sử dụng thông tin được replay để tựsao chép thông tin đăng nhập

IPSec là một giải pháp giao thức VPN hoàn chỉnh và cũng có thể đóng vai trò nhưmột giao thức mã hóa trong L2TP và IKEv2

5 Phân biệt chế độ Tunnel và Transport trong IPSec

Chế độ Tunnel trong IPsec được sử dụng giữa hai router chuyên dụng, với mỗirouter hoạt động như một đầu của "đường hầm" ảo thông qua mạng công cộng Trong chế

độ Tunnel, IP header ban đầu chứa đích cuối cùng của gói được mã hóa, cùng vớipayload gói Để cho những router trung gian biết nơi chuyển tiếp các gói tin, IPsec thêmmột IP header mới Tại mỗi đầu của đường hầm, những router giải mã những IP header

để chuyển các gói đến đích của chúng

Trong chế độ Transport, payload của mỗi gói được mã hóa, nhưng IP header banđầu thì không Do đó, các router trung gian có thể xem đích cuối cùng của mỗi gói - trừkhi sử dụng một giao thức tunnel riêng biệt (chẳng hạn như GRE)

6 IPSec tác động đến MSS và MTU như thế nào?

MSS và MTU là hai phép đo kích thước gói tin Các gói chỉ có thể đạt đến một kíchthước nhất định (tính bằng byte) trước khi máy tính, router và switch không thể xử lýchúng MSS đo kích thước payload của mỗi gói, trong khi MTU đo toàn bộ gói, bao gồm

cả các header Các gói vượt quá MTU của mạng có thể bị phân mảnh, có nghĩa là được

chia thành các gói nhỏ hơn và sau đó được tập hợp lại Các gói vượt quá MSS chỉ đơngiản là bị loại bỏ.

Giao thức IPsec thêm một số header và trailer vào các gói, tất cả đều chiếm vàibyte Đối với các mạng sử dụng IPsec, MSS và MTU phải được điều chỉnh cho phù hợp,nếu không các gói tin sẽ bị phân mảnh và hơi trễ Thông thường, MTU cho một mạng là1.500 byte IP header bình thường dài 20byte và TCP header cũng dài 20 byte, nghĩa làmỗi gói có thể chứa 1.460byte payload Tuy nhiên, IPSec thêm Authentication Header(header xác thực), ESP header và các trailer liên quan Chúng thêm 50 - 60byte vào mộtgói hoặc nhiều hơn

CHƯƠNG II: VPN

1 Khái niệm

VPN hay Mạng riêng ảo tạo ra kết nối mạng riêng tư giữa các thiết bị thông quaInternet VPN được sử dụng để truyền dữ liệu một cách an toàn và ẩn danh qua các mạngcông cộng VPN hoạt động bằng cách ẩn địa chỉ IP của người dùng và mã hóa dữ liệu đểchỉ người được cấp quyền nhận dữ liệu mới có thể đọc được

2 Ưu điểm

Tiết kiệm chi phí: Chi phí thiết lập mạng VPN tương đối thấp, do sử dụng chung hạ

tầng Internet

Tính linh hoạt: Khả năng tương thích với công nghệ băng thông rộng - VPN cho

phép các nhân viên di động và telecommuters tận dụng các kết nối băng thông rộng tốc

độ cao như DSL và cáp để truy cập mạng của tổ chức Kết nối băng thông rộng cung cấptính linh hoạt và hiệu quả Các kết nối băng thông rộng tốc độ cao cũng cung cấp giảipháp hiệu quả về chi phí để kết nối các văn phòng từ xa VPN xóa bỏ mọi rào cản về vịtrí địa lý, sẵn sàng kết nối các mạng với nhau thông qua Internet => Cho phép khả năng

mở rộng lớn

Tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người được

phép truy cập VPN VPN sử dụng các giao thức, thuật toán mã hóa các phương phápchứng thực để bảo mật dữ liệu trong quá trình truyền tin

Bảo mật về địa chỉ IP: Các thông tin được gửi đi trên VPN đã được mã hóa, do đó,

địa chỉ IP bên trong mạng riêng được che giấu, và chỉ sử dụng các IP public ở bên ngoàiInternet

3 Chức năng

Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rấtnhiều thứ:

Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi những

người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tàinguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch, Các tài nguyêntrong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tínhbảo mật

Truy cập mạng gia đình (home network), dù không ở nhà: Bạn có thể thiết lập VPN

riêng để truy cập khi không ở nhà Thao tác này sẽ cho phép truy cập Windows từ xathông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máytính qua Internet giống như đang ở trong cùng mạng LAN

Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên những trang

web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ Nếumuốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên kết nốiVPN Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa

Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet,

vượt tường lửa,

Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file Điều này cũng có

ích với các traffic mà ISP của bạn có thể gây trở ngại

Nhưng bên cạnh đó, có nhược điểm rất dễ nhận thấy như:

VPN không có khả năng quản lý Quality of Service (QoS) qua môi trường Internet,

do vậy các gói dữ liệu - Data package vẫn có nguy cơ bị thất lạc, rủi ro

Khả năng quản lý của các đơn vị cung cấp VPN là có hạn, không ai có thể ngờtrước được những gì có thể xảy ra với khách hàng của họ, hay nói ngắn gọn là bị hack đó

4 Phân loại

VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộcvào mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp Công nghệ

VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN (Client to site).

4.1 Site-to-site VPN

Site to site VPN là mô hình dùng để kết nối các hệ thống mạng ở các nơi khácnhau tạo thành một hệ thống mạng thống nhất Ở loại kết nối này thì việc chứng thực banđầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway vàđây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa cácSite

Trong VPN site-to-site, các host cuối không biết về kết nối VPN, chúng vẫn gửi vànhận lưu lượng TCP/IP bình thường thông qua một 'gateway' VPN Cổng VPN có tráchnhiệm đóng gói và mã hóa lưu lượng đi ra cho tất cả lưu lượng truy cập từ một trang web

cụ thể Sau đó VPN gateway sẽ gửi nó qua một đường hầm VPN qua Internet tới mộtcổng VPN ngang hàng tại địa điểm mục tiêu Khi nhận được, cổng VPN ngang hàng giải

tiêu đề, giải mã nội dung và chuyển tiếp gói tin tới máy chủ đích bên trong mạng riêngcủa nó.

VPN site-to-site có thể được sử dụng khi muốn kết nối 2 site của cùng một công ty(2 văn phòng với nhau) Lúc này, mọi nhân viên, thiết bị ở cả 2 văn phòng có thể trao đổimọi thông tin với nhau thông qua kết nối VPN:

4.2 Remote Access VPN (Client-to-site VPN)

Remote Access VPN (Client to site) cho phép truy cập bất cứ lúc nào bằng

Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tàinguyên của tổ chức

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN

để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator(bản chất là một server) Vì lý do này, giải pháp này thường được gọi là client/server.Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyềnthống để tạo lại các tunnel về mạng HO của họ

Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhàmuốn kết nối vào mạng công ty một cách an toàn Cũng có thể áp dụng cho văn phòngnhỏ ở xa kết nối vào Văn phòng trung tâm của công ty.

Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép ngườidùng ở xa dùng phần mềm VPN Client kết nối với VPN Server

Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây.Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (wirelessterminal) và sau đó về mạng của công ty Trong cả hai trường hợp, phần mềm client trênmáy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel

5 Cách thức hoạt động

Quá trình làm việc của VPN bao gồm các bước sau:

- Tunneling: tạo đường hầm

- Encrytion: Mã hóa dữ liệu truyền

- Encapsulation: Đóng gói dữ liệu

- Authentication: Xác thực người dùng

5.1 Tunneling – tạo đường hầm

Công nghệ VPN dựa trên ý tưởng về tunneling Quá trình tạo đường hầm của VPN

là thiết lập và duy trìn một kết nối mạng logic

Thiết lập đường hầm là quá trình xử lý của việc đưa toàn bộ một gói tin vào một góitin khác trước khi vận chuyển nó thông qua mạng Internet Phần bên ngoài gói tin (phầngói tin bọc gói tin chính cần chuyển) bảo vệ nội dung của nó khỏi mạng public và đảmbảo gói tin được chuyển trong một đường hầm ảo

Việc xây dựng các gói tin trong một định dạng giao thức VPN cụ thể là đóng gói nódựa trên giao thức chuyển vận trong tunnel, và chuyển giữa 2 đầu VPN, rồi cuối cùng bóclớp đóng gói ở bên nhận

Cho phép người gửi đóng gói dữ liệu trong gói tin IP và tránh khỏi sự định tuyến vàchuyển mạch trong Internet.

Đảm bảo toàn vẹn dữ liệu trước những người dùng không mong muốn hoặc hacker

Có 2 kiểu tunnel:

● Voluntary: đường hầm kiểu tự nguyện: phía client quản lý việc thiết lập

đường truyền Client đầu tiên tạo kết nối từ ứng dụng VPN client của nó.Client tự yêu cầu để cấu hình và thiết lập đường hầm

● Compulsory: Đường hầm kiểu bắt buộc: Người dùng không được quyền thiết

lập và tạo đường truyền Việc thiết lập đã được thực hiện bởi nhà cung cấphoặc quản trị Chi tiết về việc có VPN giữa 2 bên tunnel bị che giấu bởingười dùng

Một số giao thức sử dụng để thiết lập đường hầm:

● PPTP: Point-to-Point Tunneling Protocol: Là phương thức tạo VPN được sử dụngrộng rãi với người dùng Window So sánh với các phương pháp khác thì PPTPnhanh hơn và cũng có sẵn trên Linux và Mac Là kiểu đường hầm tự nguyện

● L2TP: Layer 2 Tunneling Protocol: Điểm khác biệt so với PPTP là không chỉ cungcấp sự bảo mật mà còn cả sự toàn vẹn dữ liệu Được phát triển bởi Microsoft vàCisco như sự kết hợp giữa PPTP và L2F (Layer 2 Forwarding)

● IPSec: Internet Protocol Security: Có thể được sử dụng như một giải pháp VPNhoàn chỉnh hoặc đơn giản là được sử dụng để mã hóa trong L2TP và PPTP