BẢO MẬT GET VPN TRÊN VPNMPLS Chương 1: Giới thiệu đề tài. Chương 2: Tìm hiểu về VPNMPLS Chương 3: Các phương pháp mã hóa và cấu trúc PKI. Chương 4: Giải pháp GET VPN Chương 5: Thiết kế mạng GET VPN. Chương 6: Tổng kết và đánh giá kết quả.
i ÐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ÐẠI HỌC BÁCH KHOA KHOA ÐIỆN – ÐIỆN TỬ BỘ MÔN VIỄN THÔNG LUẬN VĂN TỐT NGHIỆP BẢO MẬT GET VPN TRÊN VPN-MPLS SVTH: NGUYỄN VĂN GẤM 40700596 LÊ THANH PHONG 40701789 GVHD: TS. NGUYỄN MINH HOÀNG TP.HCM, Tháng 1/2012 ii ĐẠI HỌC QUỐC GIA TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐH BÁCH KHOA Độc Lập – Tự Do – Hạnh Phúc Số:______/BKĐT Khoa: Điện – Điện tử NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP Bộ Môn: Viễn Thông Họ và tên SV: Nguyễn Văn Gấm MSSV: 40700596 Lê Thanh Phong MSSV: 40701789 Ngành: Điện Tử-Viễn Thông 1. Đầu đề luận văn: ___________________________________________________________________________ ___________________________________________________________________________ 2. Nhiệm vụ ( yêu cầu về nội dung và số liệu ban đầu): ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ 3. Ngày giao nhiệm vụ luận văn: ________________________________________________ 4. Ngày hoàn thành nhiệm vụ: ________________________________________________ 5. Họ và tên người hướng dẫn: Phần hướng dẫn 1/ ___________________________ ____________________________ 2/ ___________________________ ____________________________ Nội dung và yêu cầu LVTN đã được thông qua Bộ Môn. Ngày tháng 1 năm 2012 CHỦ NHIỆM BỘ MÔN NGƯỜI HƯỚNG DẪN (Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên) PHẦN DÀNH CHO KHOA, BỘ MÔN: Người duyệt (chấm sơ bộ): ___________________ Đơn vị: ___________________________________ Ngày bảo vệ: _______________________________ Điểm tổng kết: _____________________________ Nơi lưu trữ luận văn: ________________________ iii TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA ĐIỆN – ĐIỆN TỬ Độc Lập - Tự Do - Hạnh Phúc Ngày tháng 1 năm 2012 PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người hướng dẫn/phản biện) 1. Họ và tên SV: Nguyễn Văn Gấm MSSV: 40700596 Lê Thanh Phong MSSV: 40701789 Ngành: Điện Tử-Viễn Thông 2. Đề tài: _____________________________________________________________________ 3. Họ tên người hướng dẫn/phản biện: ______________________________________________ 4. Tổng quát về thuyết minh: Số trang ________ Số chương _________ Số bảng số liệu ________ Số hình vẽ _________ Số tài liệu tham khảo ________ Phần mềm tính toán _________ Hiện vật (sản phẩm) ________ 5. Tổng quát về các bản vẽ: - Số bản vẽ: bản A1: bản A2: khổ khác: - Số bản vẽ vẽ tay: Số bản vẽ trên máy tính: 6. Những ưu điểm chính của LVTN: _______________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ 7. Những thiếu sót chính của LVTN: _______________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ 8. Đề nghị: Được bảo vệ Bổ sung để bảo vệ Không được bảo vệ 9. 3 câu hỏi SV phải trả lời trước hội đồng: a. _______________________________________________________________________ _______________________________________________________________________ b. _______________________________________________________________________ _______________________________________________________________________ c. _______________________________________________________________________ _______________________________________________________________________ 10. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm _____ /10 Ký tên (ghi rõ họ tên) iv TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA ĐIỆN – ĐIỆN TỬ Độc Lập - Tự Do - Hạnh Phúc Ngày tháng 1 năm 2012 PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người hướng dẫn/phản biện) 1. Họ và tên SV: Nguyễn Văn Gấm MSSV: 40700596 Lê Thanh Phong MSSV: 40701789 Ngành: Điện Tử-Viễn Thông 2. Đề tài: _____________________________________________________________________ 3. Họ tên người hướng dẫn/phản biện: ______________________________________________ 4. Tổng quát về thuyết minh: Số trang ________ Số chương _________ Số bảng số liệu ________ Số hình vẽ _________ Số tài liệu tham khảo ________ Phần mềm tính toán _________ Hiện vật (sản phẩm) ________ 5. Tổng quát về các bản vẽ: - Số bản vẽ: bản A1: bản A2: khổ khác: - Số bản vẽ vẽ tay: Số bản vẽ trên máy tính: 6. Những ưu điểm chính của LVTN: _______________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ 7. Những thiếu sót chính của LVTN: _______________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ 8. Đề nghị: Được bảo vệ Bổ sung để bảo vệ Không được bảo vệ 9. 3 câu hỏi SV phải trả lời trước hội đồng: a. _______________________________________________________________________ _______________________________________________________________________ b. _______________________________________________________________________ _______________________________________________________________________ c. _______________________________________________________________________ _______________________________________________________________________ 10. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm _____ /10 Ký tên (ghi rõ họ tên) v LỜI CẢM ƠN Chúng em xin gửi đến Thầy Nguyễn Minh Hoàng lời cảm ơn chân thành với sự trân trọng và lòng biết ơn sâu sắc. Thầy đã hướng dẫn, truyền đạt kinh nghiệm, kiến thức, cách tư duy và làm việc khoa học trong suốt thời gian thực tập tốt nghiệp và luận văn tốt nghiệp. Thầy luôn theo dõi, đóng góp sửa chữa những thiếu sót, khuyết điểm chúng em mắc phải và đề ra hướng giải quyết tốt nhất. Chúng em xin chân thành cảm ơn các Thầy các Cô trường Đại học Bách khoa Tp.Hồ Chí Minh, đặc biệt là các Thầy Cô khoa Điện – Điện tử và các Thầy Cô trong bộ môn Viễn Thông đã hết lòng giúp đỡ, dạy dỗ và truyền đạt những kiến thức quý báu, giúp chúng em có một nền tảng kiến thức vững chắc. Ngoài ra em còn được rèn luyện một tinh thần học tập và làm việc. Đây là những yếu tố cơ bản giúp em nhanh chóng hoà nhập với môi trường làm việc sau khi ra trường. Xin cảm ơn Ba Mẹ và cả gia đình đã tạo mọi điều kiện tốt nhất trong cuộc sống và trong quá trình học tập của con. Xin cảm ơn tất cả Bạn bè đã luôn chia sẻ, động viên trong những năm tháng của quãng đời sinh viên. Tp. Hồ Chí Minh, ngày tháng năm Sinh viên thực hiện Nguyễn Văn Gấm Lê Thanh Phong vi TÓM TẮT ĐỀ TÀI LUẬN VĂN Ngày nay, việc trao đổi dữ liệu giữa các chi nhánh của các doanh nghiệp đòi hỏi phải đồng bộ nhanh, đáp ứng thời gian thực. Để giải quyết vấn đề này, một giải pháp VPN-MPLS được sử dụng để kết nối mạng của các chi nhánh với nhau. So với kết nối qua Internet, VPN-MPLS mang lại bảo mật trong việc trao đổi dữ liệu do phần mạng lõi được tách rời ra khỏi mạng công cộng, đảm bảo tốc độ ổn định. Tuy nhiên, các gói tin truyền qua mạng VPN-MPLS không được mã hóa, nếu bị bắt gói thì dễ dàng đọc được nội dung và chỉnh sửa. Điều này thì ảnh hưởng lớn đến các loại hình kinh doanh cần bảo mật tuyệt đối như ngân hàng, chứng khoán, thông tin quân sự, cơ quan nhà nước,… Một giải pháp được Cisco đề ra để giải quyết vấn đề này là kỹ thuật bảo mật GET VPN. Với GET VPN, các gói tin được mã hóa một cách an toàn, các bên tham gia cũng được xác thực lẫn nhau. Sử dụng phương pháp anti-replay dựa trên thời gian có thể chống lại các kiểu tấn công bằng cách giả gói tin hay kiểu Deny of Service (DoS). Đề tài này đã được thực hiện ở khóa trước. Nhưng chỉ trình bày phương pháp xác thực là Pre-share Key (PSK) khi thiết kế mạng. Phương pháp này chỉ thích hợp sử dụng các mạng quy mô nhỏ, các bên tham gia không xác thực được lẫn nhau, khó khăn trong việc quản lý và mở rộng hệ thống. Hệ thống chỉ có một key server duy nhất nên không đảm bảo tính sẵn sàng cao. Mục tiêu chính của đề tài luận văn là triển khai mạng VPN-MPLS sử dụng bảo mật GET VPN với phương pháp xác thực là Public Key Infrastructure (PKI), giải quyết các vấn đề hạn chế của phương pháp PSK. Trong PKI, các bên tham gia được chứng thực bằng một bên thứ ba là trung tâm chứng thực CA (Certification Authority). Đây cũng là xu hướng phát triển của mạng thông tin cho việc tạo mối quan hệ tin cậy giữa các bên tham gia. vii Đề tài gồm các chƣơng sau: Chƣơng 1: Giới thiệu đề tài. Chương này làm rõ hơn về các vấn đề của đề tài như các hạn chế của mạng VPN qua internet, đặc điểm và ưu nhược điểm điểm của mạng VPN-MPLS và kỹ thuật bảo mật GET VPN. Chƣơng 2: Tìm hiểu về VPN-MPLS. Chương này trình bày về các thành phần của mạng VPN-MPLS, cách thức hoạt động chuyển tiếp gói tin trong mạng và một số giao thức dùng để định tuyến giữa các router trong mạng. Cuối cùng là mô phỏng một hệ thống mạng VPN-MPLS để đánh giá về hoạt động của nó. Chƣơng 3: Các phƣơng pháp mã hóa và cấu trúc PKI. Trong chương này, nội dung của nó sẽ trình bày các phương pháp mã hóa (gồm mã hóa đối xứng, bất đối xứng, giải thuật hash) được sử dụng để đảm bảo độ tin cậy, toàn vẹn và xác thực của các gói tin. Chương này còn trình bày về các thành phần cơ bản trong cấu trúc PKI như: chứng thực, trung tâm chứng thực CA, các thiết bị cuối. Cách xây dựng và cấu hình hệ thống CA để ban hành chứng thực trong PKI. Chƣơng 4: Giải pháp GET VPN Trong chương này, các vấn đề liên quan đến giải pháp GET VPN sẽ được trình bày rõ hơn như các thành phần cơ bản (GDOI, Key Server, Group Member, COOP Key Server), các hoạt động đóng gói, mã hóa các gói tin. Chƣơng 5: Thiết kế mạng GET VPN. Chương này sẽ hướng dẫn việc triển khai kỹ thuật GET VPN trên mạng VPN-MPLS trong cả trường hợp là sử dụng phương pháp xác thực PSK và PKI. Việc triển khai mô hình mang tính redundancy bằng cách sử dụng hai Key server để đảm bảo tính sẵn sàng cao trong hệ thống. Chƣơng 6: Tổng kết và đánh giá kết quả. Trong chương cuối này, sẽ đánh giá và tổng kết về kết quả thực hiện được trong luận văn. Từ đó, sẽ đề ra hướng phát triển của đề tài. viii MỤC LỤC Trang LỜI CẢM ƠN v TÓM TẮT ĐỀ TÀI LUẬN VĂN vi MỤC LỤC viii CÁC THUẬT NGỮ VIẾT TẮT xi DANH MỤC HÌNH xiv Chƣơng 1: Giới thiệu đề tài 1 1.1Giới thiệu về VPN. 1 1.2 Giới thiệu ưu điểm VPN-MPLS. 2 1.3 Giới thiệu GET VPN. 3 Chƣơng 2: Tìm hiểu VPN-MPLS 5 2.1 Cấu trúc VPN-MPLS. 5 2.1.2 VRF (Virtual Routing and Forwarding Table). 7 2.1.3 RD (Route Distinguisher). 7 2.1.4 RT (Route Target) 9 2.2 Định tuyến trong VPN-MPLS. 10 Chƣơng 3: Các phƣơng pháp mã hóa và Cấu trúc PKI 17 3.1 Các giải thuật mã hóa. 17 3.1.1 Giải thuật mã hóa đối xứng. 17 3.1.2 Mã hóa bất đối xứng. 18 3.1.3 Giải thuật Hash 20 3.2 Cấu trúc PKI. 21 3.2.1 Thành phần cơ bản của PKI. 21 ix 3.2.1.1 Chứng thực. 21 3.2.1.3 Trung tâm chứng thực phụ Sub-CA (Subordinate CA). 23 3.2.1.4 Các user và thiết bị cuối. 23 3.2.2 Quá trình đăng ký PKI. 24 3.2.2.1 Enrollment. 24 3.2.2.2 Hết hạn và cấp mới chứng thực. 27 3.2.2.3 Kiểm tra chứng thực. 27 3.2.3 Kiến trúc hệ thống CA phân cấp. 29 3.2.4 Mô phỏng hệ thống CA. 33 Chƣơng 4: Giải pháp GET VPN 35 4.1 Ƣu điểm GET VPN. 35 4.2 Tổng quan về GET VPN. 35 4.2.1 Giao thức GDOI (RFC 3547). 36 4.2.2 Key Server (KS). 37 4.2.3 COOP Key Server. 38 4.2.4 Group Member (GM). 39 4.2.5 IP Tunnel Header Preservation. 40 4.2.6 Group security association. 42 4.2.7 Quá trình Rekey. 42 4.2.8 Time-based anti-replay. 43 4.3 Hoạt động của GET VPN. 45 4.3.1 Hoạt động IKE và đóng gói ESP. 45 4.3.2 Quá trình hoạt động của GET VPN. 49 Chƣơng 5: Thiết kế mạng GET VPN 51 5.1 Phƣơng pháp chứng thực. 51 5.2 Quá trình thiết kế Key Server. 53 5.2.1 Cấu hình hoạt động IKE phase 1. 53 5.2.2 Các thông số IPsec. 54 x 5.2.3 Khởi tạo GDOI Group. 55 5.2.4 Khởi tạo chính sách quản lý truy cập. 56 5.3 Quá trình thiết kế GM. 56 5.3.1 Cấu hình hoạt động IKE Phase 1. 56 5.3.2 Đăng kí GDOI Group 57 5.3.3 Cấu hình Crypto Map 57 5.3.4 Kích hoạt GET VPN. 57 5.4 Quá trình thiết kế COOP KS 57 5.4.1 Exporting and Importing RSA Keys 58 5.4.2 Thiết lập Redundancy. 58 Chƣơng 6: Tổng kết và đánh giá kết quả 63 6.1 Tổng kết và đánh giá đề tài. 63 6.2 Hướng phát triển luận văn. 64 TÀI LIỆU THAM KHẢO. 65 [...]... triển khai trong các mạng VPN- MPLS vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN 1.3 Giới thiệu GET VPN Với công nghệ VPN- MPLS đã có thể tách... toàn, tin cậy và nhanh chóng dựa trên hạ tầng mạng công cộng nên VPN không ngừng cải tiến và phát triển Trong đó có VPN- MPLS là công nghệ được khai thác rộng rãi 1 Chương 1: Giới thiệu đề tài 1.2 Giới thiệu ƣu điểm VPN- MPLS Không giống như các mạng VPN truyền thống, các mạng VPN- MPLS không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao VPN- MPLS sử dụng bảng chuyển tiếp... quản lý dễ dàng và có thể mở rộng với quy mô lớn 3 Chương 1: Giới thiệu đề tài Hình 1.4 Mô hình kết nối GET VPN GET VPN là một kỹ thuật mã hóa mới dựa trên bảo mật IPsec, sử dụng khái niệm về Group Members (GMs) tin cậy Với hỗ trợ kết nối đa điểm, các thành viên trong nhóm trao đổi các chính sách bảo mật, chia sẻ key mã hóa và trao đổi dữ liệu Các chính sách và key tập trung ở Key Server (KS), vì thế... thay đổi nhiều trên hệ thống như IPsec VPN Hình 1.5 Mô hình hoạt động GET VPN [6] 4 Chương 2: Tìm hiểu về VPN- MPLS Chƣơng 2: Tìm hiểu VPN- MPLS 2.1 Cấu trúc VPN- MPLS Một mô hình MPLS VPN gồm hai phần riêng biệt Một phần khách hàng quản lý và phần điều khiển của nhà cung cấp (SP) Mạng khách hàng quản lý gồm các router C và CE, mạng của nhà cung cấp gồm các router P và PE Hình 2.1 Mô hình VPN- MPLS [2] CE... hình VPN- MPLS so với các công nghệ VPN khác là tối ưu về mặt định tuyến Do đó khi thiết kê mô hình VPN- MPLS, cần đảm bảo một số yêu cầu về định tuyến: Router CE không cần biết về VPN- MPLS như VPNv4, RD, RT Router PE vận chuyển thông tin định tuyến VPNv4 của khách hàng đến các router PE khác trong mạng SP Router P có nhiệm vụ mở rộng mô hình mạng lõi VPN- MPLS nên không vận chuyển định tuyến VPNv4... nhãn “tags” để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của VPN- MPLS lúc này nằm hoàn toàn trong phần lõi của mạng Hình 1.2 Mô hình VPN- MPLS Một trong những ưu điểm lớn nhất của các VPN- MPLS là không đòi hỏi các thiết bị CE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong... VPN- MPLS đã có thể tách ròi mạng của doanh nghiệp ra khỏi mạng Internet công cộng, tuy nhiên những ứng dụng đòi hỏi tính bảo mật cao như trong giao dịch thương mại thì phải đảm bảo sự an toàn và tin cậy Với bảo mật IPsec VPN, khi trao đổi dữ liệu thì phải thiết lập một đường hầm bảo mật nên chỉ hỗ trợ kết nối điểm-điểm Trong mô hình hoàn chỉnh thì N điểm kết nối thì số kết nối cần thiết là N(N+1)/2,... phải kết nối với các điểm trong hệ thống Do đó, hạn chế của IPsec là khả năng cung cấp, mở rộng và quản lý Hình 1.3 Mô hình kết nối IPsec VPN Cisco giới thiệu một giải pháp Group Encryption Transport (GET) VPN thay thế IPsec VPN, GET VPN cung cấp một phương thức bảo mật mới mà không cần tạo đường hầm mã hóa Việc sử dụng lại original IP header đã loại bỏ được đường hầm kết nối, hỗ trợ kết nối đa điểm... 3.10 Server chứng thực trên sub-ca 33 Hình 3.11 Nội dung chứng thực trên Client 34 Hình 4.1 Mô hình GET VPN [6] 35 Hình 4.2 Hoạt động giao thức GDOI [6] 36 Hình 4.3 Group keys trong GET VPN [6] 37 Hình 4.4 Mô hình phân phối keys của Key Server [6] 38 Hình 4.5 Mô hình COOP Server [6] 39 Hình 4.6 Mô hình hoạt động Group Keys trên GMs [6] 40 Hình... năng VPN và hỗ trợ IPSec điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CE Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay Thậm chí trễ trong VPN- MPLS . hình hệ thống VPN 1 Hình 1.2 Mô hình VPN- MPLS 2 Hình 1.3 Mô hình kết nối IPsec VPN 3 Hình 1.4 Mô hình kết nối GET VPN 4 Hình 1.5 Mô hình hoạt động GET VPN [6] 4 Hình 2.1 Mô hình VPN- MPLS [2]. Giới thiệu đề tài 1 1.1Giới thiệu về VPN. 1 1.2 Giới thiệu ưu điểm VPN- MPLS. 2 1.3 Giới thiệu GET VPN. 3 Chƣơng 2: Tìm hiểu VPN- MPLS 5 2.1 Cấu trúc VPN- MPLS. 5 2.1.2 VRF (Virtual Routing. phân cấp. 29 3.2.4 Mô phỏng hệ thống CA. 33 Chƣơng 4: Giải pháp GET VPN 35 4.1 Ƣu điểm GET VPN. 35 4.2 Tổng quan về GET VPN. 35 4.2.1 Giao thức GDOI (RFC 3547). 36 4.2.2 Key Server (KS).