Đồ án an toàn và bảo mật mạng kỹ thuật mạng riêng ảo VPN

ISP sử dụng DHCP để gán địa chỉ IP cho NIC của PC home.Một địa chỉ thứ hai dược dùng để giao tiếp với thiết bị ở corporate office cấn được bảo vệ, nó chính là địa chỉ nội bộinternal.. PP

Đại Học Công Nghệ Thông Tin – ĐHQG TPHCM Khoa mạng máy tính và truyền thông

-

 -Đề tài:

Giáo Viên Hướng Dẫn: Võ Văn Khang

Thành Phố Hồ Chí Minh

Mục Lục

Mục Lục 2

II Giới thiệu 3

III PPTP và L2TP 6

IV IP SEC 9

V SSL 15

I.

II Giới thiệu

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet,

đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình mơi này người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mặt, độ tin cậy vẫn đảm bảo

1 VPN là gì?

VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng VPN được hiểu đơn giản như là sử dụng các kết nối ảo thông qua các mạng công cộng để kết nối cùng với các site (LAN) hay nhiều người sử dụng từ xa Để có thể thực hiện chức năng bảo mật, dữ liệu được mã hóa cẩn thận Do đó nếu gói tin bị bắt lại trên đường truyền thì hacker cũng không đọc được nội dung vì không có khóa giãi mã

2 Cơ chế làm việc:

Dữ liệu khi được chuyển từ máy này sang máy khác theo cơ chế VPN sẽ có phần mềm hoặc thiết bị tương ứng đóng gói dữ liệu này Có 2 cách đóng gói dữ liệu:

• Transport mode

• Tunnel node

Transport mode

Trong chế độ này, dữ liệu layer 4 sẽ

được mã hóa trước khi đóng gói ip

Trường hợp kẻ tấn công bắt được gói

tin, hắn sẽ biết được địa chỉ ip nguồn

và đich, tuy nhiên nếu bạn sử dụng một trong những cơ chế mã hóa của VPN, kẻ tấn công không thể giải mã được gói tin đó

Tunnel mode:

Một trong những hạn chế của transport là nó chỉ kết nối dựa trên thiết bị - thiết bị Giả sử, LAN 1 có 10 máy tính cần kết nối tới LAN 2 có 10 máy Khi đó, mỗi máy tính sẽ cần 10 kết nối tới 10 máy ở mạng kia, mỗi LAN sẽ cần 100 kết nối, 2 LAN sẽ là 200 kết nối Đây là một

sụ lãng phi tài nguyên

Thay vì thế, chúng ta sử dụng

Tunnel mode Trong tunnel

mode, thiết bị nguồn và đích

sẽ không chịu trách nhiệm

bảo vệ gói tin Trách nhiệm

này sẽ được chuyển cho VPN

Gateway Gói IP cũ sẽ được

đóng gói vào 1 gói IP khác

Địa chỉ IP cũ sẽ được mã

hóa, gói địa chỉ IP mới là địa

chỉ của VPNGateway của

LAN kia

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP)

3 Các loại VPN

Có 4 loại chính:

• Site-to-Site VPNs

• Remote Access VPNs

• Firewall VPNs

• User-to-User VPNs

Site-to-Site VPNs

Một Site-to-Site sử dụng kiểu kết nối tunnel mode giữa các VPN gateways để bảo vệ traffic giữa hai hay nhiều nơi Kết nối site-to-site được dùng phổ biến như là các kết nối Lan-to-Lan(L2L) Với L2L VPNs, một thiết bị trung tâm ở mỗi vị trí sẽ cung cấp việc bảo vệ traffic giữa các nơi Theo đó, trong tiến trình bảo vệ này, transport network sẽ ở giữa hai VPN gateway, là transparent của thiết bị end-user ở hai nơi

Remote Access VPNs

Remote access VPNs được sử dụng cho bandwith thấp hoặc là các kết nối băng rộng giữa một thiết bị single- user, ví dụ như PC hay small-office-home-office(SOHO), một client phần cứng(a Cisco VPN 3002 hardware client, small-end PIX appliance or small-end IOS-based router), và một VPN gate way Remote access VPNs sử dụng kết nối tunnel mode Với remote access, traffic sẽ được bảo vệ từ thiết bị source tới thiết bị trung gian, nơi xác thực thông tin bảo vệ (giải mã nếu nó được mã hóa) Thiết bị đích sẽ nhận được thông tin không bảo mật Vì thế mà tunnel mode được sử dụng

Với remote access, VPN endpoints, hoặc client mà kết nối với VPN gateway sẽ cần 2 địa chỉ IP: một cho NIC của nó và một cho địa chỉ nội bộ, cái mà thỉnh thoảng được coi như địa chỉ

ảo hoặc một phần của địa chỉ logic

Hình 1.6 mô tả về Remote access VPN Trong ví dụ này, một cable modem user từ home sử dụng 1 PC kết nối tới corporate office thông qua một VPN gateway ISP sử dụng DHCP để gán địa chỉ IP cho NIC của PC home.Một địa chỉ thứ hai dược dùng để giao tiếp với thiết bị ở corporate office cấn được bảo vệ, nó chính là địa chỉ nội bộ(internal)

Firewall VPNs

Firewall được hiểu là một L2L hoặc là remote access được tăng cường với phần thêm security

và chức năng firewall.Firewall VPNs được sử dụng khi một nơi của kết nối VPN cần được tăng cường về security và chức năng firewall dựa tern hệ thống an ninh của công ti đó, và họ

tự giải quyết vấn đề security của họ

Một vài loại firewall VPNs:

• Stateful filtering

• Application layer filtering

• Advanced address translation policies

• Addressing issues with problematic protocols such as multimedia and voice

User-to - User VPNs

Một User-to -User cơ bản là môt tranport mode VPN kết nối giữa hai thiết bị.Hai thiết bị này

có thể là một PIX appliance và một syslog server, một router và một TFTP server.Một user sử dụng telnet để truy cập vào một router Cisco,hoặc có thể dùng thiết lập kết nối đôi khác…

III PPTP và L2TP

1 PPTP:

Giao thức quay số truy cập vào Internet phổ

biến nhất là giao thức điểm điểm PPP PPTP

được xay dựng dựa trên chức năng của PPP,

cung cấp khả năng quay số truy cập tạo ra một

đường hầm bảo mật thông qua Internet đến

site đích, PPTP sử dụng giao thức bọc gói

định tuyến chung GRE được mô tả lại để đóng

và tách gói PPP

Giao thức này cho phép PPTP mềm dẻo xử lý

các giao thức khác không phải IP như IPX,

NETBEUI chẳng hạn

Bởi vì PPTP dựa trên PPP nên nó dựa vào cơ

chế xác thực của PPP có tên là PAP và CHAP

PPTP có thể sử dụng PPP để mã hóa dữ liệu nhưng Microsoft đã đưa ra một phương thức mã hóa khác mạnh hơn đó là mã hóa điểm điểm MPPE (Microsoft Point to Point Encrytion) để sử dụng cho PPTP

Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 trong khi IPSec chạy ở lớp 3 Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bắng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm

PPTP dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và máy chủ truy cập mạng PPTP sử dụng PPP để thực thi các chức năng:

Thiết lập và kết thúc kết nối vật lý

Xác thực người dùng

Tạo ra gói dữ liệu PPP

Sau khi PPP thiết lặp kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm

Để tận dụng ưu điểm của kết nối tao ra bởi PPP, PPTP định nghĩa 2 loại gói: gói điểu khiển và gói dữ liệu và gán chúng vào 2 kênh riêng Sau đó PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng điều khiển với các giao thức TCP và luồng dữ liệu với giao thức TIP Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để chuyền thông báo điều khiển

Các gói dữ liệu là dư liệu thông thường của người dùng Các gói điều khiển được gửi đi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa client PTP và máy chủ mạng Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa 2 đâu đường hầm

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client PTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm ở tại máy chủ của IPS

Sau khi đường hầm được thiết lập thì dư liệu người dùng được truyền từ client đến máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Gói dữ liệu IP được đóng gói bởi tiêu đề GRE,

sử dụng số ID của hót cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm

2 L2TP:

Giao thức định đường hầm lớp 2 L2TP là sự kết hợp giữa 2 giao thức đó là PPTP và chuyến tiếp lớp 2 – L2F PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hóa tại IEFT

Giống như PPTP, L2F là giao thức đường hầm, nó sử dụng tiêu đê đóng gói riêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác Tương tự như PPTP, L2F tận dụng PPP để xác thực người dùng quay

số truy cập Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực Có 2 mức xác thực người dùng: đầu tieen ở ISP trước khi thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập

L2TP mang các đặc tính của PPTP va L2F Tuy nhiên L2TP định nghĩa riêng một giao thức đường hầm dữa trên hoạt động của L2F Nó cho phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X25, FrameRelay, ATM Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm Một mạng ATM hay Frame Relay có thể áp dụng cho đường hầm L2TP

Do L2TP là giao thưc ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển một cách mềm dẻo khong chỉ là IP mà có thể là IPX hoặc NetBEUI Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS

Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây dựng VPN bằng cách hỗ trợ giao thức này săn trong hệ điều hành Win

Những phần chính của L2TP bao gồm: giao thức điểm – điểm, đường hầm và hệ thống xác thực Tuy nhiên để tăng độ bảo mật thì L2TP cũng sử dụng quản lý khóa giống như IPSec Hình trên mô tả kiến trúc của L2TP

IV IP SEC

1 Định nghĩa:

• IPSec (Internet Protocol Security) là giao thức mạng về bảo mật và thường được liên kết với VPN (tất nhiên có thể dùng IPsec ở trong mạng cục bộ LAN) IPSec cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua mạng công cộng như Internet

• IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực

• Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI

2 IPSEC làm việc thế nào?

• Giả sử chúng ta có 2 Computer : Computer A và Computer B, IPSEC policy đã được cấu

hình trên 2 computer này Sau khi được cấu hình IPSEC policy sẽ báo cho IPSEC driver cách làm thế nào để vận hành và xác định các liên kết bảo mật giữa 2 computer khi nối kết được thiết lập Các liên kết bảo mật ảnh hưởng đến những giao thức mã hóa sẽ được sử dụng cho những loại thông tin giao tiếp nào và những phương thức xác thực nào sẽ được đem ra thương lượng

• Liên kết bảo mật mang tính chất thương lượng Internet Key Exchange – IKE, sẽ có trách nhiệm thương lượng để tạo liên kết bảo mật IKE kết hợp từ 2 giao thức: Internet Security Association and Key Management Protocol (ISAKMP) và Oakley Key Determination Protocol Nếu Computer A yêu cầu xác thực thông qua Certificate và Computer B yêu cầu dùng giao thức Kerberos, thì IKE sẽ không thể thiết lập liên kết bảo mật giữa 2 Computer Nếu dùng Network Monitor để theo dõi IPSEC hoạt động, sẽ không thấy được bất cứ AH hoặc ESP packet nào, vì giao tiếp IPSEC chưa được thiết lập, có lẽ chúng ta chỉ quan sát được các ISAKMP packets

• Nếu như liên kết bảo mật được thiết lập giửa 2 computer IPSEC driver sẽ quan sát tất cả

IP traffic, so sánh các traffic đã được định nghĩa trong các Filter, nếu có hướng đi tiếp các traffic này sẽ được mã hóa hoặc xác nhận số

3 Lợi ích của IPSEC:

Thuận lợi chính khi dùng IPSEC, là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và kể cả các giao thức lớp cao hơn IPSEC

có khả năng cung cấp:

• Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp IPSEC quy định cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong suốt quy trình giao tiếp Tạo sự tin cậy qua việc mã hóa, và xác nhận số các Packet IPSEC có 2 chẽ độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa dùng nhiều thuật toán khác nhau, và Authentication Header (AH) xác nhận các thông tin chuyển giao, nhưng không mã hóa

• Tich hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào bị chỉnh sửa

Cả hai loại ESP và AH đều kiểm tra tính tích hợp của các thông tin chuyển giao Nếu

một gói tin đã chỉnh sửa, thì các xác nhận số sẽ không trùng khớp, kết quả gói tin sẽ bị loại ESP cũng mã hóa địa chỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tin chuyển giao

• Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ bị attacker chặn, chỉnh sữa, và được gửi đi sau đó đến đúng địa chỉ người nhận, người nhận không hề hay biết và vẫn tin rằng đấy là thông tin hợp pháp IPSEC dùng kĩ thuật đánh

số liên tiếp cho các Packet Data của mình (Sequence numbers), nhằm làm cho attacker không thể sử dụng lại các dữ liệu đã chặn được, với ý đồ bất hợp pháp Dùng Sequence numbers còn giúp bảo vệ chống việc chặn và đánh cắp dữ liệu, sau đó dùng những thông tin lấy được để truy cập hợp pháp vào một ngày nào đó

4 Giao thức bảo mật trong IPSEC:

a) Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum

AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP.AH mang số hiệu 51

Dưới đây là mô hình của AH header

Security parameters index (SPI)

Sequence number

Authentication data (variable)

Ý nghĩa của từng phần:

• Next header : Nhận dạng giao thức trong sử dụng truyền thông tin

• Payload length : Độ lớn của gói tin AH

• RESERVED: Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng

các số 0)

• Security parameters index (SPI): Nhận ra các thông số bảo mật, được tích hợp với địa

chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin

• Sequence number: Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn

công dạng replay attacks

• Authentication data :Bao gồm thông số Integrity check value (ICV) cần thiết trong gói

tin xác thực

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin ESP cũng

hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật Không như AH, header của gói tin IP, bao gồm các option khác ESP thực hiện trên top

IP sử dụng giao thức IP và mang số hiệu 50

Security parameters index (SPI)

Sequence number

Payload data (variable)

Padding (0-255 bytes)

Authentication Data (variable)

Ý nghĩa của các phần:

• Security parameters index (SPI): Nhận ra các thông số được tích hợp với địa chỉ IP.

• Sequence number: Tự động tăng có tác dụng chống tấn công kiểu replay attacks.

• Payload data :Cho dữ liệu truyền đi

• Padding :Sử dụng vài block mã hoá

• Pad length :Độ lớn của padding

• Next header :Nhận ra giao thức được sử dụng trong quá trình truyền thông tin

• Authentication data :Bao gồm dữ liệu để xác thực cho gói tin.

Bảng so sánh giữa giao thức AH và ESP

5 Các mode chính của giao thức IPSec: