BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ MÔN MẠNG RIÊNG ẢO Đề tài: Tìm hiểu về mạng VPN site-to-site, Xây dựng cài đặt mạng VPN kiểu LAN nối LAN theo giao thức L2TP/IPSec. Phân tích quá trình kết nối trao đổi thông tin. Giảng viên hướng dẫn: Thành viên: 1. Đặng Ngọc Giang 2. Nguyễn Thái Hà 3. Nguyễn Văn Trung 4. Nguyễn Hoàng Việt 5. La Phon Hà Nội, tháng 9 – 2014 LỜI MỞ ĐẦU Cùng với sự phát triển của công nghệ nói chung và Công Nghệ Thông Tin nói riêng hiện nay, rất nhiều ứng dụng trên mọi mặt đã được áp dụng vào thực tế, đi sâu vào đời sống, sinh hoạt, học tập và làm việc của con người chúng ta. Nhu cầu trao đổi thông tin của chúng ta ngày càng cao, việc kết nối vượt qua vị trí địa lý càng lúc càng quan trọng, nhưng lại nảy sinh các vấn đề liên quan đến an toàn, bảo mật của dữ liệu. Từ tính cấp thiết đó, VPN – Mạng Riêng Ảo ra đời. Nó cho phép chúng ta kết nối với nhau như trong một mạng cục bộ thông qua mạng công cộng. Để từ đó có thể giao tiếp giữa các chi nhánh trong 1 công ty, giữa các đối tác có cùng công việc chung, hay hỗ trợ các nhân viên kết nối đến văn phòng từ xa vv Trong nội dung của báo cáo này, nhóm em xin trình bày về một mô hình VPN thông dụng hiện nay: VPN site-to-site, theo đó, giới thiệu cách xây dựng cài đặt, và đưa ra phân tích quá trình trao đổi thông tin trong mô hình mạng này. Báo cáo bao gồm 3 chương: Chương 1: Giới thiệu tổng quan về VPN site-to-site, các khái niệm, kiến thức liên quan. Trình bày quá trình xây dựng cài đặt mô hình. Chương 2: Phân tích quá trình trao đổi thông tin trong VPN site-to-site. Thực nghiệm. MỤC LỤC DANH SÁCH HÌNH ẢNH CHƯƠNG 1: TỔNG QUAN MÔ HÌNH MẠNG RIÊNG ẢO SITE-TO-SITE 1.1. Giới thiệu chung về mô hình VPN site-to-site Mô tả mô hình: VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung (2) . Để thực thi xác thực dựa trên chứng chỉ cho các kết nối L2TP và xác thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP- TLS. Một cơ sở hạ tầng về chứng chỉ được bố trí để phát hành các chứng chỉ thích hợp cho quá trình xác thực và xác minh chức chỉ. 1.2. Các thành phần của mạng riêng ảo Site – to – Site: Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to – Site đòi hỏi cả hai phía của liên kết phải có một tập đầy đủ các tài nguyên để làm việc với nhau. Các thành phần chính của mạng riêng ảo Site – to – Site: - Các Router VPN - Cơ sở hạ tầng mạng Internet - Cơ sở hạ tầng mạng chi nhánh - Cơ sở hạ tầng AAA - Cơ sở hạ tầng chứng chỉ 1.2.1. Các Router VPN Các Router VPN là các Server kiểm soát tất cả các hoạt động kết nối từ xa của liên kết Site – to – Site. Chúng là trung tâm của hệ thống mạng riêng ảo Site – to – Site. Các Router VPN là các thực thể khởi tạo hoặc nhận các kết nối theo yêu cầu quay số dựa trên VPN và có các thành phần cơ bản sau được cài đặt trên đó: - Dịch vụ định tuyến - Các Port - Các giao diện mạng - Tài khoản người dùng - Các đường định tuyến - Chính sách truy cập từ xa 1.2.2. Cơ sở hạ tầng Internet Để tạo một kết nối mạng riêng ảo tới một Router trả lời qua Internet, ta cần đảm bảo rằng trình phân giải tên, IP và định tuyến, các dịch vụ được cấu hình và hoạt động đúng. Ta cần nhớ ba vấn đề chính cho việc thiết lập các kết nối thành công: - Tên của Router trả lời phải có khả năng phân giải được. - Có khả năng kết nối tới được Router trả lời. - Luồng lưu lượng VPN phải được cho phép và từ Router trả lời. 1.2.3. Cơ sở hạ tầng mạng chi nhánh Cơ sở hạ tầng của mạng chi nhánh là một phần tử quan trọng của thiết kế VPN. Các Router gọi không thể chuyển tiếp các gói mà không có cơ sở hạ tầng định tuyến thích hợp được đặt vào vị trí thích hợp. 1.2.4. Cơ sở hạ tầng AAA Cơ sở hạ tầng AAA tồn tại để cung cấp xác thực các kết nối và ghi nhật ký hoạt động của các kết nối đó sao cho vấn đền an toàn của mạng có thể được giám sát. Một cơ sở hạ tầng AAA mạnh là điều kiện sống còn với sự an toàn của mật kỳ mạng truy cập từ xa hay mạng Site –to – Site nào. Cơ sở hạ tầng AAA thực hiện các nhiệm vụ sau: - Xác thực các giấy uỷ quyền của các Router gọi. - Cấp quyền cho kết nối mạng riêng ảo. - Ghi lại các hoạt động của kết nối mạng riêng ảo phục vụ cho chức năng kiểm toán. Cơ sở hạ tầng AAA thường bao gồm: - Router trả lời - Máy chủ RADIUS - Các trình điều khiển miền 1.2.5. Cơ sở hạ tầng chứng chỉ số Để thực thi xác thực dựa trên chứng chỉ cho các kết nối L2TP và xác thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP- TLS. Một cơ sở hạ tầng về chứng chỉ được bố trí để phát hành các chứng chỉ thích hợp cho quá trình xác thực và xác minh chức chỉ. 1.3. Triển khai mạng riêng ảo Site – to – Site: Trong phần này trước chúng ta đã mô tả các phần tử cần thiết cho mạng riêng ảo theo mô hình kết nối Site – to – Site. Trong phần này chúng ta xem xét các bước để triển khai giải pháp mạng riêng ảo Site – to – Site dựa trên PPTP hoặc L2TP với IPSec. Việc triển khai giải pháp này bao gồm các bước cơ bản như sau: - Triển khai cơ sở hạ tầng cung cấp chứng chỉ: Cho phép ta triển khai các dịch vụ cung cấp chứng chỉ cho cả hai phía của liên kết. - Triển khai cơ sở hạ tầng Internet: Cho phép ta kết nối tới Internet từ cả hai phía của liên kết. - Triển khai Router trả lời: Triển khai máy chủ mạng riêng ảo sẽ nhận các yêu cầu kết nối mạng riêng ảo. - Triển khai Router gọi: Triển khai máy chủ mạng riêng ảo sẽ khởi tạo các yêu cầu kết nối mạng riêng ảo. - Triển khai cơ sở hạ tầng AAA: Cho phép xác thực, cấp quyền và kiểm toán các kết nối cho cả hai phía của liên kết. - Triển khai cơ sở hạ tầng của nhánh mạng bên trong: Cho phép chuyển tiếp các gói dữ liệu tới các nhánh mạng qua kết nối mạng riêng ảo Site – to – Site. (3) 1.4. Kỹ thuật Tunneling Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol). Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng. Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau: Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua. - Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc. - Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP). Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet. Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel. Hình 1.1. Mô hình VPN site-to-site Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa. 1.5. Giao thức L2TP 1.5.1. Giới thiệu L2TP – Layer 2 Tunneling Protocol: Giao thức đường hầm lớp 2. - Được phát triển và chuẩn hóa bởi IETF và nhận được sự đồng thuận của nhiều hãng lớn. - Là sự kết hợp những gì tốt nhất của PPTP và L2F: • L2TP cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp • Khả năng kết nối point-to-point nhanh nhất của PPTP. 1.5.2. Các thành phần của L2TP Toàn bộ gói L2TP, bao gồm payload và header, được gửi trong một datagram UDP. Nó thường mang các phiên PPP trong đường hầm L2TP. L2TP bản thân nó không cung cấp xác thực mạnh hay bảo mật và thường sử dụng IPSec cho 3 tính toàn vẹn, bí mật và xác thực. Cần một server truy cập mạng (NAS – Network Access Server) cung cấp kết nối cho người dùng ở xa, thiết lập kết nối đường hầm qua mạng công cộng. Hai điểm cuối của một đường hầm L2TP là LAC (L2TP Access Concentrator) và LNS (L2TP Network Server). LAC là người khởi xướng đường hầm trong khi LNS là server chờ đợi đường hầm mới. Khi một đường hầm được thành lập, lưu lượng giữa chúng sẽ là 2 chiều. Để có lợi cho mạng, các giao thức bậc cao hơn cũng được chạy qua đường hầm L2TP. Để thuận tiện cho việc này, một phiên L2TP được thành lập trong đường hầm cho mỗi giao thức bậc cao ví dụ như PPP. Lưu lượng của mỗi phiên sẽ được tách ra bởi L2TP, nên có thể có nhiều mạng ảo tên một đường hầm duy nhất. Các gói tin trao đổi trong đường hầm L2TP được phân loại : gói tin điều khiển và gói tin dữ liệu. L2TP cung cấp tính tin cậy cho các gói điều khiển, nhưng không cung cấp đối với gói dữ liệu. Độ tin cậy, nếu muốn, phải được cung cấp bởi các giao thức lồng nhau chạy trong mỗi phiên của đường hầm L2TP. L2TP cho phép tạo ra một mạng quay số riêng ảo để kết nối client từ xa tới mạng văn phòng sử dụng cơ sở hạ tầng chia sẻ, vd: Internet. (1) 1.5.3. Cấu trúc gói tin L2TP Như trên đã nói, với 2 loại gói tin L2TP, điều khiển và dữ liệu, chúng có chung khuôn dạng Header: Hình 1.2. Cấu trúc khuôn dạng L2TP Header Nhưng trong đó, đối với gói dữ liệu thì các trường Length, Ns, Nr là tùy chọn trong khi với gói điều khiển là bắt buộc. Bit T (Type): Xác định dạng gói tin. Nó có giá trị bằng 0 đối với gói dữ liệu và 1 với gói điều khiển. Nếu bit L(Length) =1, trường Length sẽ xuất hiện, bit này bắt buộc phải = 1 với các gói điều khiển. Các bit X được dành mở rộng cho tương lai. Tất cả các bit mở rộng phải có giá trị 0 đối với các cuộc gọi đi và không cần quan tâm với các cuộc gọi đến. Khi bit S(Sequence) có giá trị =1 thì trường Ns và Nr phải xuất hiện. Bit này bắt buộc phải bằng 1 với các gói điều khiển. Khi bit (Offset) =1 thì trường Offset Size phải xuất hiện. Bit này có giá trị bằng 0 đối với gói tin điều khiển. Khi bit P (Priority : độ ưu tiên) = 1, gói tin dữ liệu này sẽ nhận được các ưu tiên trong việc xếp hàng và truyền. Trong trường hợp này, một yêu cầu LCP được gửi kèm đi cùng gói tin để đảm bảo liên kết luôn được hoạt động. Nếu không có LCP, có thể có một lúc nào đó liên kết bị đứt quãng. Đặc điểm này chỉ có đối với gói tin dữ liệu. Bit P sẽ có giá trị bằng 0 với gói tin điều khiển. Phần Ver phải bằng 2, đây là số version của L2TP. Giá trị 1 được dành để dùng trong trường hợp các gói tin L2F đến lẫn với gói L2TP. Các gói tin nhận được mà không có trường Ver sẽ bị loại bỏ. Trường Chiều dài (Length): mô tả chiều dài gói tin tính theo byte. Trường số hiệu đường hầm: Tunnel ID xác định số hiệu của điều khiển kết nối. Đường hầm L2TP được đặt tên theo các số hiệu này tùy thuộc vào từng khu vực. Tức là, cùng một đường hầm có thể được xác định bởi các số hiệu đường hầm khác nhau tùy vào mỗi điểm cuối trên đường hầm. Tunnel ID trong mỗi gói tin là của người nhận chứ không phải của người gửi. Tunnel ID được lựa chọn và trao đổi khi thiết lập Tunnel ID AVPs trong quá trình tạo đường hầm. Trường số hiệu phiên Session ID xác định số hiệu phiên làm việc trong một đường hầm. Một phiên L2TP được đặt tên theo các số hiệu này tùy thuộc vào từng khu vực. Tức là: cùng một phiên có thể được xác định bởi các số hiệu phiên khác nhau tùy vào mỗi điểm cuối đường hầm. Session ID trong mỗi gói tin là của người nhận chứ không phải của người gửi. Session ID được lựa chọn và trao đổi khi thiết lập Session ID AVPs trong quá trình tạo ra một phiên. Trường Ns xác định một dãy số cho các gói tin dữ liệu hoặc điều khiển, bắt đầu bằng 0 và tăng thêm 1 mỗi khi một gói tin được truyền. Trường Nr xác định số trong dãy số đối với gói tin điều khiển tiếp theo chuẩn bị được nhận. Do đó, giá trị của Nr bằng giá trị cuối cùng của Ns cộng thêm 1. Trong các gói tin dữ liệu, trường Nr được để dành và nếu có xuất hiện khi bít S chỉ định thì cần bỏ qua khi nhận. Trường Offset Size nếu có xuất hiện thì sẽ mô tả số byte được gửi qua L2TP Header tại đó dữ liệu cần truyền được xem là sẽ bắt đầu. Thường thì trường Offset Padding không xác định. Nếu trường Offset Size xuất hiện thì L2TP Header kết thúc sau byte cuối cùng của trường Offset Padding. 1.5.4. Dữ liệu đường hầm. [...]... Kịch bản demo Hình 2.4: Thực nghiệm mô hình VPN site to site Mô hình VPN Site to Site, LAN kết nối LAN sử dụng giao thức mã hóa L2TP/IPSec Yêu cầu: 2 máy Client XP: client Hà Nội và client Sài Gòn 2 máy Windows Server 2003 : Server VPN Hà Nội và Server VPN Sài Gòn Công cụ phân tích gói tin: WireShark Chúng ta có 2 cơ sở Hà Nội và Sài Gòn cần kết nối VPN với nhau Cấu hình VPN site to site sử dụng giao... được các yêu cầu đề ra đối với đề tài Tìm hiểu về mô hình VPN site- to -site, biết được phương pháp cài đặt và triển khai, cùng với đó chặn bắt gói tin và phân tích Từ đó thấy được quá trình trao đổi thông tin của mạng VPN site- to -site sử dụng L2TP/IPSec Trong nội dung báo cáo có thể còn nhiều thiếu sót, mong thầy và các bạn góp ý để hoàn thiện báo cáo hơn TÀI LIỆU THAM KHẢO 1 VPN - http://en.wikipedia.org/wiki/Virtual_private_network... LNS của mạng chủ Mạng VPN site- to -site sử dụng mô hình đường hầm bắt buộc, trong đó người dùng cuối không có vai trò gì trong việc thiết lập đường hầm ngoài việc đưa ra yêu cầu kết nối 1.6 IPSec L2TP cung cấp giải pháp truyền dữ liệu an to n khi sử dụng IPSec để mã hóa trước khi truyền và dùng IPSec để xác thực từng gói tin nhận được IPsec được tích hợp trong rất nhiều giải pháp VPN "tiêu chuẩn", đặc... pháp VPN gateway -to- gateway (site- to -site) để nối 2 mạng LAN với nhau IPsec hoạt động tại network layer (Layer 3) trong mô hình OSI IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai gateway hoặc giữa máy tính trạm và gateway Như tên của nó, IPsec chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based network) Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm VPN. .. IPSec ESP Header cũng được sử dụng để giải mã các thông tin đã mã hóa Tiếp đến, UDP Header sẽ được xử lý và loại bỏ Các trường Tunnel ID và Call ID trong L2TP Header đóng vai trò xác định đường hầm và phiên làm việc L2TP Cuối cùng PPP Header được xử lý và loại bỏ, phần tải PPP (payload) được truyền tới một giao thức phù hợp để xử lý 1.5.5 Mô hình đường hầm L2TP L2TP hỗ trợ 2 mô hình đường hầm: - Đường... (Start-ControlConnection-Request: SCCRQ) Thông điệp điều khiển SCCRQ được sử dụng để bắt đầu thiết lập một đường hầm giữa LNS và LAC Nó có thể được gửi từ LAC hoặc LNS để bắt đầu quá trình thiết lập đường hầm Trả lời yêu cầu thiết lập điều khiển liên kết (Start-ControlConnection-Reply: SCCRP) SCCRP được sử dụng khi nhận được SCCRQ Nó được sử dụng để chỉ ra SCCRQ được chấp nhận và việc thiết lập được tiếp tục... L2TP/IPSec trên VPN server HN và VPN server SG Sau khi cài đặt xong Chúng ta tiến hành trao đổi thông tin giữa 2 client Hà Nội và Sài Gòn Cài đặt công cụ phân tích gói tin trên Server VPN Sài Gòn (hoặc Hà Nội) và trên client Sài Gòn (hoặc Hà Nội) Tiến hành gửi gói tin từ clien HN đến Client SG và bắt gói tin trên Server SG và client SG Hình 2.5 : Gói tin bắt được trên Server Sài Gòn Hình 2.6: Gói tin... khách" trong các phần mềm máy khách VPN của họ, cho phép thiết lập các chính sách truy cập liên quan ví dụ như yêu cầu máy khách phải được cài đặt phần mềm chống virus hoặc cài đặt phần mềm tường lửa cá nhân như là điều kiện để cho phép truy cập vào VPN gateway CHƯƠNG 2: PHÂN TÍCH QUÁ TRÌNH TRAO ĐỔI THÔNG TIN VÀ THỰC NGHIỆM Hình 2.1 Quá trình thiết lập kết nối Mô tả: - Người dùng yêu cầu một kết nối... yêu cầu các máy tính trạm VPN phải được cài đặt sẵn phần mềm VPN client Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange (IKE) hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật hơn hoặc thông qua khóa mã chia sẻ (preshared key) IPSec VPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông dụng bao gồm Denial of Service (DoS), replay, và "man-in-the-middle"... ánh sự thành công hay thất bại của sự xóa bỏ đó 2.6 Bỏ điều khiển kết nối Có thể được yêu cầu bởi cả LAC lần LNS bằng việc gửi StopCNN Thông báo dừng điều khiển liên kết (Stop-Control-ConnectionNotification: StopCNN) Bên nhận được sẽ gửi trả ZLB ACK thông báo đã nhận được StopCNN và phải duy trì tình trạng điều khiển kết nối trong một khoảng thời gian đủ để hoàn thành một chu kỳ gửi trả lại (đề phòng . nghiệm. MỤC LỤC DANH SÁCH HÌNH ẢNH CHƯƠNG 1: TỔNG QUAN MÔ HÌNH MẠNG RIÊNG ẢO SITE- TO -SITE 1.1. Giới thiệu chung về mô hình VPN site- to -site Mô tả mô hình: VPN điểm-nối-điểm là việc sử dụng mật mã dành. đến các phiên làm việc cụ thể. 2.7. Kịch bản demo Hình 2.4: Thực nghiệm mô hình VPN site to site. Mô hình VPN Site to Site, LAN kết nối LAN sử dụng giao thức mã hóa L2TP/IPSec. Yêu cầu: 2 máy. xin trình bày về một mô hình VPN thông dụng hiện nay: VPN site- to -site, theo đó, giới thiệu cách xây dựng cài đặt, và đưa ra phân tích quá trình trao đổi thông tin trong mô hình mạng này. Báo