xây dựng thiết bị bảo mật vpn dựa trên giao thức ipsec

xây dựng thiết bị bảo mật vpn dựa trên giao thức ipsec

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC BÁCH KHOA

KHOA ĐIỆN-ĐIỆN TỬ

BỘ MÔN VIỄN THÔNG

LUẬN VĂN TỐT NGHIỆP

XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC

GVHD: Ths Tạ Trí Nghĩa

SVTH : Tôn Thất Cao Nguyên 40901767

Hồ Sỹ Thông 40902647

-Hồ Chí Minh, Tháng

12-2013-ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

-✩ - -✩ -

Số: /BKĐT Khoa: ĐIỆN-ĐIỆN TỬ Bộ Môn: ĐIỆN TỬ-VIỄN THÔNG NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP 1 HỌ VÀ TÊN : TÔN THẤT CAO NGUYÊN MSSV: 40901767 : HỒ SỸ THÔNG MSSV: 40902647 2 NGÀNH: VIỄN THÔNG Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 3 Nhiệm vụ (Yêu cầu về nội dung và số liệu ban đầu):

4 Ngày giao nhiệm vụ luận văn:

5 Ngày hoàn thành nhiệm vụ:

6 Họ và tên người hướng dẫn: Phần hướng dẫn ThS TẠ TRÍ NGHĨA

Nội dung và yêu cầu LVTN đã được thông qua Bộ Môn Tp.HCM, ngày… tháng… năm 20 CHỦ NHIỆM BỘ MÔN NGƯỜI HƯỚNG DẪN CHÍNH (Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên) PHẦN DÀNH CHO KHOA, BỘ MÔN: Người duyệt (chấm sơ bộ):

Đơn vị:

Ngày bảo vệ :

Điểm tổng kết:

Nơi lưu trữ luận văn:

TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Khoa: ĐIỆN-ĐIỆN TỬ Độc lập – Tự do – Hạnh phúc

-Mẫu TN.04 Ngày….Tháng Năm

PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người hướng dẫn) 7 HỌ VÀ TÊN :TÔN THẤT CAO NGUYÊN MSSV: 40901767 :HỒ SỸ THÔNG MSSV: 40902647 NGÀNH: VIỄN THÔNG 8 Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 9 Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA 10 Tổng quát về bản thuyết minh: Số trang : Số chương :

Số bảng số liệu : Số hình vẽ :

Số tài liệu tham khảo : Phần mềm tính toán :

Hiện vật (sản phẩm) :

11 Tổng quát về các bản vẽ : - Số bản vẽ : bản A1 bản A2 Khổ khác - Số bản vẽ tay Số bản vẽ trên máy tính 12 Những ưu điểm chính của LVTN :

13 Những thiếu sót chính của LVTN :

14 Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không được bảo vệ 15 Câu hỏi sinh viên phải trả lời trước hội đồng a)

b)

c)

Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10

Ký tên (Ghi rõ họ tên)

TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Khoa: ĐIỆN-ĐIỆN TỬ Độc lập – Tự do – Hạnh phúc

-Mẫu TN.04 Ngày….Tháng Năm

PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người phản biện) 16 HỌ VÀ TÊN :TÔN THẤT CAO NGUYÊN MSSV: 40901767 :HỒ SỸ THÔNG MSSV: 40902647 NGÀNH: VIỄN THÔNG 17 Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 18 Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA 19 Tổng quát về bản thuyết minh: Số trang : Số chương :

Số bảng số liệu : Số hình vẽ :

Số tài liệu tham khảo : Phần mềm tính toán :

Hiện vật (sản phẩm) :

20 Tổng quát về các bản vẽ : - Số bản vẽ : bản A1 bản A2 Khổ khác - Số bản vẽ tay Số bản vẽ trên máy tính 21 Những ưu điểm chính của LVTN :

22 Những thiếu sót chính của LVTN :

23 Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không được bảo vệ 24 Câu hỏi sinh viên phải trả lời trước hội đồng (CBPB ra ít nhất 02 câu) a)

b)

c)

Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10

Ký tên (Ghi rõ họ tên)

LỜI CẢM ƠN

Đầu tiên, nhóm Luận văn xin phép được gửi lời cảm ơn sâu sắc đến tất cả các thầy cô giáo trong trường đã dìu dắt nhóm trong suốt thời gian qua Đặc biệt nhóm xin gửi

lời cảm ơn chân thành tới ThS.Tạ Trí Nghĩa, thầy đã hỗ trợ nhóm rất nhiều trong

luận văn này Với lòng nhiệt huyết và thương yêu sinh viên, thầy luôn hướng dẫn nhóm vượt qua mọi khó khăn và luôn theo sát bước đi của nhóm trong luận văn Một lần nữa, nhóm xin gửi lời cảm ơn sâu sắc đến thầy

Nhóm cũng xin cảm ơn gia đình và bạn bè đã hết lòng hướng dẫn, chỉ bảo và luôn tạo mọi điều kiện tốt nhất cho em trong suốt thời gian qua

Nhóm sinh viên

Tôn Thất Cao Nguyên

Hồ Sỹ Thông

MỤC LỤC

LỜI CẢM ƠN v

MỤC LỤCDANH MỤC HÌNH ẢNH vi

DANH MỤC HÌNH ẢNH ix

BẢNG SỐ LIỆU xi

DANH MỤC TỪ VIẾT TẮT xii

LỜI NÓI ĐẦU xv

Chương 1 GIỚI THIỆU ĐỀ TÀI 1

1.1 Đặt vấn đề 1

1.2 Mục tiêu đề tài 2

1.3 Phạm vị đề tài 2

1.4 Giới hạn đề tài 2

Chương 2 TỔNG QUAN VỀ VPN 4

2.1 Giới thiệu về VPN 4

2.1.1 Khái niệm 4

2.1.2 Chức năng của VPN 5

2.1.3 Ưu điểm của VPN 5

2.1.4 Các yêu cầu cơ bản đối với một giải pháp VPN 7

2.1.5 Đường hầm và mã hóa 8

2.2 Các mô hình VPN đã được triển khai 9

2.2.1 IP-VPN truy nhập từ xa: 9

2.2.2 Site – To – Site VPN 11

2.2.2.1 Intranet IP-VPN 11

2.2.2.2 Extranet IP-VPN 11

2.3 Các giao thức trong IP-VPN 12

2.3.1 PPTP (Point - to - Point Tunneling Protocol) 13

2.3.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 14

2.3.1.2 Đóng gói dữ liệu đường ngầm PPTP 14

2.3.1.3 Xử lí dữ liệu đường ngầm PPTP 15

2.3.1.4 Sơ đồ đóng gói 15

2.3.2 L2TP (Layer Two Tunneling Protocol) 17

2.3.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP 17

2.3.2.2 Đường ngầm dữ liệu L2TP 18

2.3.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec 19

2.3.2.4 Sơ đồ đóng gói L2TP trên nền IPSec 20

2.4 Tổng kết 21

Chương 3 GIAO THỨC IPSEC 23

3.1 Giới thiệu 23

3.1.1 Khái niệm về IPSec 23

3.1.2 Khả năng chống lại tấn công của IPSes 24

3.1.2.1 Sniffer ( thiếu bảo mật) 24

3.1.2.2 Sửa đổi dữ liệu (modification) 25

3.1.2.3 Các cuộc tấn công giả mạo danh tính (Identity spoofing) , tấn công dựa trên password và tấn công lớp ứng dụng 25

3.1.2.4 Tấn công Man-in -the-middle 25

3.1.2.5 Tấn công từ chối dịch vụ (Denial-of-service) 26

3.1.3 Các chuẩn tham chiếu có liên quan 26

3.2 Đóng gói thông tin của IPSec 28

3.2.1 Các loại giao thức IPSec 28

3.2.1.1 Kiểu Transport 28

3.2.1.2 Kiểu Tunnel 29

3.2.2 Giao thức xác thực tiêu đề AH 30

3.2.2.1 Giới thiệu 30

3.2.2.2 Cấu trúc gói tin AH 31

3.2.2.3 Quá trình xử lý AH 33

3.2.3 Giao thức đóng gói an toàn tải tin ESP 37

3.2.3.1 Giới thiệu 37

3.2.3.2 Cấu trúc gói tin ESP 37

3.2.3.3 Quá trình xử lý ESP 39

3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 44

3.3.1 Kết hợp an ninh SA 44

3.3.1.1 Định nghĩa và mục tiêu 44

3.3.1.2 Cơ sở dữ liệu IPSec 44

3.3.2 Giao thức trao đổi khóa IKE 45

3.3.2.1 Bước thứ nhất 46

3.3.2.2 Bước thứ hai 48

3.4 Những giao thức đang được ứng dụng cho xử lý IPSec 50

3.4.1 Mật mã bản tin 50

3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES 50

3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES 51

3.4.2 Toàn vẹn bản tin 51

3.4.2.1 Mã xác thực bản tin băm HMAC 52

3.4.2.2 Thuật toán MD5 52

3.4.2.3 Thuật toán băm an toàn SHA 52

3.4.3 Xác thực các bên 52

3.4.3.1 Khóa chia sẻ trước 53

3.4.3.2 Chữ ký số RSA 53

3.4.3.3 RSA mật mã nonces 53

3.4.4 Quản lí khóa 53

3.4.4.1 Giao thức Diffie-Hellman 54

3.4.4.2 Quyền chứng nhận CA 55

3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec 56

3.6 Tổng kết 57

Chương 4 GIẢI PHÁP THỰC HIỆN THIẾT BỊ IPSEC VPN 59

4.1 Phân tích và lựa chọn giải pháp thực hiện 59

4.1.1 Kiến trúc tích hợp IPSec 59

4.1.1.1 Cấu trúc Bump in the Stack (BITS) 59

4.1.1.2 Cấu trúc Bump in the Wire (BITW) 60

4.1.2 Mô hình tiến hành kiểm tra khả năng bảo mật trên thiết bị thực 61

4.2 Giải pháp thực hiện 63

4.2.1 Mô hình xư lý IPSec tổng quát 63

4.2.2 Chính sách bảo mật và sự liên kết cơ sở dữ liệu trong IPSec 64

4.2.2.1 Thông tin trong bảng SPD 65

4.2.2.2 Thông tin trong bảng SAD 66

4.2.2.3 Sự liên kết thông tin giữa các cơ sở dữ liệu SPD và SAD 66

4.2.2.4 Bảo vệ anti-replay 70

4.2.3 Quá trình thực hiện của chương trình 71

4.2.3.1 Tổng quát quá trình thực hiện thiết bị IPSec 71

4.2.3.2 Quá trình xử lý gói outbound 72

4.2.3.3 Quá trình xử lý gói inbound 75

4.2.3.4 Xây dựng gói ESP 77

4.2.4 Quá trình trao đổi IKE 78

4.2.4.1 IKE module 78

4.2.4.2 Thực hiện giao thức trao đổi khóa IKE 81

Chương 5 ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN 94

5.1 Tiêu chí đánh giá 94

5.2 Phương pháp đánh giá 94

5.3 Kết quả đánh giá 95

Chương 6 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỀN 97

6.1 Kết luận 97

6.2 Hướng phát triền 97

6.2.1 Thêm khả năng mã hóa gói tin 97

6.2.2 Thiết lập bảo mật IPSec trên nền IPv6 97

6.2.3 Sử dụng RSA cho quá trình xác thực 97

6.2.4 Truyền phát thêm gói tin báo lỗi bảo mật ICMP 98

Chương 1 DA

NH MỤC HÌNH ẢNH

Hình 1-1:Tổng quan mô hình mạng của một công ty sử dụng kết nối bảo mật VPN 1

Hình 2-1:Tổng quan mạng VPN 4

Hình 2-2:Ưu điểm của VPN so với mạng truyền thông 6

Hình 2-3:Đường hầm và mã hóa của VPN 8

Hình 2-4:Thiêt lập một VPN remote acces 9

Hình 2-5:Intranet IP-VPN 11

Hình 2-6 :Extranet IP-VPN 12

Hình 2-7: Gói dữ liệu của kết nối điều khiển PPTP 14

Hình 2-8: Dữ liệu đường ngầm PPTP 14

Hình 2-9: Sơ đồ đóng gói PPTP 16

Hình 2-10: Bản tin điều khiển L2TP 18

Hình 2-11: Đóng bao gói tin L2TP 18

Hình 2-12: Sơ đồ đóng gói L2TP 20

Hình 3-1:Lộ trình tài liệu xây dựng giao thức IPSec 28

Hình 3-2:Gói tin IP ở kiểu Transport 29

Hình 3-3:Gói tin IP ở kiểu Tunnel 29

Hình 3-4: Cấu trúc tiêu đề AH cho IPSec Datagram 31

Hình 3-5:Quy trình đóng gói gói tin AH 34

Hình 3-6: Xử lý đóng gói ESP 37

Hình 3-7: Khuôn dạng gói ESP 37

Hình 3-8:Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport 39

Hình 3-9:Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport 40

Hình 3-10: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel 40

Hình 3-11:Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE 46

Hình 3-12:IKE pha thứ nhất sử dụng chế độ chính (Main Mode) 47

Hình 3-13:Các tập chuyển đổi IPSec 49

Hình 3-14:Ví dụ về hoạt động củaTHIET IP-VPN sử dụng IPSec 56

Hình 4-1:Cấu trúc IPsec bump in the stack (BITS) 59

Hình 4-2:Cấu trúc IPsec bump in the wire (BITW) 60

Hình 4-3:Mô hình áp dụng hoạt động thiết bị 62

Hình 4-4:Quá trình xử lý IPSec tổng quát từ thiết bị IPSec 1 tới thiết bị IPSec 2 63

Hình 4-5:Cấu trúc cơ sở dữ liệu trong chương trình 65

Hình 4-6:Ví dụ về sự liên kết thông tin giữa bảng SPD và bảng SAD 67

Hình 4-7:Tổng quát quá trình thực hiện IPSec 71

Hình 4-8:Quá trình xử lý gói tin outbound 74

Hình 4-9:Quá trình xử lý gói tin inbound 76

Hình 4-10:Gói tin IP gốc và gói IP được mã hóa ESP 77

Hình 4-11:Tổng quan quá trình trao đổi IKE 79

Hình 4-12:Quá trình thực hiện trao đổi pha 1 79

Hình 4-13:Quá trình trao đổi của pha 2 80

Hình 4-14:Cấu trúc khung gói tin ISAKMP 81

Hình 4-15:Trao đổi thỏa thuận IKE chế độ chính 82

Hình 4-16:Gói tin 1 và 2 của pha 1 82

Hình 4-17:Lưu đồ giải thuật của bên khới tạo pha 1 – chế độ chính 83

Hình 4-18:Lưu đồ giải thuật của bên phản hồi pha 1 – chế độ chính 84

Hình 4-19:Gói tin thứ 3-4 của chế độ chính – pha 1 85

Hình 4-20:Gói tin thứ 5 và 6 87

Hình 4-21:Quá trình thỏa thuân IKE pha 2-chế độ nhanh 88

Hình 4-22:Cấu trúc của 3 gói tin pha 2- chế độ nhanh 89

Hình 4-23:Lưu đồ giải thuật của bên khởi tạo pha 2 – chế độ nhanh 90

Hình 4-24:Lưu đồ giải thuật của bên phản hồi pha 2 – chế độ nhanh 91

Hình 5-1:Mô hình sử dụng đánh giá thiết bị IPSec 94

Hình 5-2:Biểu đồ thể hiện tốc độ throughput của các chế độ IPSec khác nhau 95

BẢNG SỐ LIỆU

Bảng 3-1:Các RFC đưa ra có liên quan đến IPSec 26

Bảng 3-2: Tổng kết chương các giao thức của IPSec 58

Bảng 4-1:Ví dụ một bảng SPD outbound với con trỏ đến bảng SA outbound 67

Bảng 4-2:Ví dụ một bảng SPD inbound với con trỏ đến bảng SA inbound 68

Bảng 4-3:Ví dụ một bảng SA outbound được liên kết với SPD outbound 69

Bảng 4-4:Ví dụ một bảng SA outbound được liên kết với SPD outbound 69

DANH MỤC TỪ VIẾT TẮT

Protocol

Giao thức thông báo điều khiển mạng Internet

về kỹ thuật liên mạng

IPSec Internet Protocol Security An ninh lớp mạng

mạng

and Key Management Protocol

Giao thức liên kết an ninh Internet

và quản lí khóa

truyền

Encryption

Mật mã điểm tới điểm của Microsoft

Specification

Đặc tả giao diện điều khiển mạng

Interface

Giao diện người dùng mở rộng trong NetBIOS

Protocol

Giao thức xác thực khẩu lệnh

RSA Rivest, Shamir và Adleman Rivest, Shamir và Adleman.

LỜI NÓI ĐẦU

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó

Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn Một

số hình thức tấn công khá tinh vi và phức tạp hiện nay như từ tấn công chối dịch vụ,

man-in-the-middle, nghe lén, giả mạo thông tin… Do đó, phải có phương pháp bảo mật an ninh nhằm giải quyết các vấn đề này Giao thức IPSec là một trong những phương pháp tối ưu để giải quyết vấn đề này.

Mục đích của luận văn “Xây dựng thiết bị bảo mật VPN dựa trên giao thức IPSec” là

tìm hiểu những vấn đề cơ bản có liên quan đến việc thực hiện VPN cũng như những vấn đề chi tiết về quá trình thực hiện IPSec Sau đó, tiến hành xây dựng giao thức IPSec trên thiết bị thực, nội dung cụ thể như sau:

nhằm đặt vấn đề cũng như đưa ra mục tiêu, những giới hạn của đề tài “Xây dựng thiết

bị bảo mật VPN dựa trên giao thức IPSec”.

 Chương 2: Tổng quan về VPN Chương này bắt đầu với việc phân tích khái

niệm VPN, chưc năng, ưu điểm và các yêu cầu cơ bản của một giải pháp VPN khiến

nó là một giải pháp bảo mật phát triển mạnh Tiếp theo là trình bày về các mô hìnhVPN đã được triển khai Cuối cùng là trình bày về các giao thức đường ngầm sử dụngcho VPN Ở đây chỉ trình bày một cách khái quát nhất về hai giao thức đường ngầmlớp 2 hiện đang tồn tại và là PPTP và L2TP Thông qua đó làm nổi bật lên ưu điểm củagiao thức IPsec đối với bảo mật thông tin trên mạng

 Chương 3: Giao thức IPSec Chương này trình bày các vấn đề sau đây: thứ

nhất là giới thiệu, khái niệm về giao thức IPSec, khả năng chống tấn công mạng vàcác tài liệu RFC có liên quan Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụthể là hai giao thức đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn tảitin) Thứ ba, trình bày về kết hợp an ninh SA và giao thức trao đổi khóa IKE để thiếtlập các chính sách và tham số cho kết hợp an ninh giữa các bên tham gia bảo mậtIPSec Thứ tư, giới thiệu về các giao thức đang tồn tại ứng dụng cho IPSec, bao gồmcó: mật mã bản tin, toàn vẹn bản tin, nhận thực các bên và quản lý khóa Cuối cùng làmột ví dụ khái quát vềVPN sử dụng giao thức đường ngầm IPSec(bao gồm cả quátrình trao đổi khóa và mã hóa gói tin IPSec)

 Chương 4: “Giải pháp thực hiện thiết bị ipsec VPN” Trong chương này

trình bày giải pháp xây dựng thiết bị IPsec với các thuật toán cũng như các mô hìnhthực tế Chương này bắt đầu với việc phân tích và lựa chọn các giải pháp thực hiệnthiết bị IPSec, cụ thể hơn là các kiến trúc tích hợp IPSec cũng như mô hình tiến hànhkiểm tra khả năng bảo mật trên thiết bị thực mà nhóm triển khai Phần tiếp theo mô tả

giải pháp thực hiện của nhóm Trong phần này trình bày mô hình xử lý tổng quát,chính sách liên kết cơ sở dữ liệu, việc xử lý gói tin nhằm bảo mật thông tin, quá trìnhtrao đổi key bảo mật giữa hai bên muốn bảo mật thông tin.

 Chương 5: “Đánh giá kết quả thực hiện” Chương này chỉ ra các tiêu chí

đánh giá cũng như phương pháp tiến hành đánh giá và kết quả thu được sau khi thựchiện phương pháp đánh giá

 Chương 6: “Kết luận và hướng phát triển” Chương này trình bày những kết

quả nhóm đạt được cũng như hướng phát triển tiếp theo của đề tài

Trong quá trình xây dựng đồ án này, nhóm đã nhận được nhiều sự giúp đỡ, góp ý của các giảng viên cùng các bạn trong lớp Nhóm xin chân thành cảm ơn sự hướng dẫn của

Thầy ThS Tạ Trí Nghĩa là thầy trực tiếp hướng dẫn, giúp nhóm có thể hoàn thành

luận văn này

Chương 2 GIỚI THIỆU ĐỀ TÀI

2.1 Đặt vấn đề

Cùng với xu hướng phát triển mạng viễn thông hiện nay, vấn đề đảm bảo an ninh cho

dữ liệu khi truyền qua mạng là vấn đề mang tính chất tất yếu Đối với các tổ chức có phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm việc thì việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả

Kết nối bảo mật VPN Kết nối vật lý

Người dùng di động Văn phòng khu vực

Văn phòng khu vực

Hình 1-1:Tổng quan mô hình mạng của một công ty sử dụng kết nối bảo mật VPN

Có rất nhiều giao thức VPN được ứng dụng trên thực tế như:

 Bảo mật giao thức VPN thực hiện trên lớp 2( lớp data-link) như giao thức PPTP,L2TP: Lợi ích của dịch vụ bảo mật lớp 2 này là: có độ trễ thấp, có khả năng bảo mật khá nhiều giao thức như IP, IPX,NetBEUI, hỗ trợ xác thực người dùng Tuynhiên, giao thức IPSec thực hiện trên lớp 2 có những nhược điểm như khả năng bảo mật kém, không có khả năng cung cấp mã đầu cuối đến đầu cuối cũng như không xác thực được gói tin

 Bảo mật giao thức VPN thực hiện trên lớp 3 (lớp mạng) như giao thức

IPSec:Tiến hành bảo mật VPN trên lớp mạng mang lại các ưu điểm sau: Cung cấp bảo mật liên tục đến ứng dụng cho phép bảo vệ trên mỗi luồng dữ liệu hoặc kết nối an ninh do đó quá trình bảo mật tương đối an toàn, có khả năng tích hợp linh hoạt các thuật toán mã hóa, thuật toán xác thực cũng như chia sẻ key trên mỗi liên kết bảo mật Tuy nhiên, bảo mật VPN trên lớp mạng gặp khó khăn

trong việc thực hiện bảo mật dữ liệu một người dùng trên cơ sở các máy đa người dùng.

 Bảo mật giao thức thực hiện trên lớp ứng dụng như giao thức PGP, Kerberos, SSH: Tiến hành bảo mật trên lớp ứng dụng, thiết bị VPN có khả năng mở rộng bảo mật các ứng dụng mà không cần quan tâm đến hệ điều hành, các chương trình ứng dụng có thể phân tích dữ liệu từ đó lựa chọn cách bảo mật phù hợp vớitừng dữ liệu Bên cạnh những ưu điểm, bảo mật VPN trên lớp ứng dụng tồn tại nhược điểm: Cơ chế bảo mật phải được thiết kế phụ thuộc vào loại ứng dụng ví

dụ như VoiceIP,mail hay bảo mật thông tin ngân hàng…

Trong các giao thức trên, IPSec tỏ rõ ưu việt nhờ tính linh hoạt cũng như khả năng ứng dụng rộng rãi của nó

Trên thị trường hiện nay cũng đã có nhiều thiết bị router ứng dụng công nghệ IPSec trong bảo mật thông tin Việc ứng dụng này mang lại hiệu quả bảo mật cao bằng cách chèn thêm một lớp IPSec vào giữa lớp mạng và lớp transport Tuy nhiên, cách này đòi hỏi chi phí cao do phải thay đổi tất cả các thiết bị router muốn giao tiếp với nhau trong mạng, làm tăng quá trình xử lý của router cũng như đặt ra yêu cầu phải thay đổi thiết lập mạng

Để giải quyết vấn đề này, nhóm đã tiến hành thiết lập quá trình xử lý IPSec trên một thiết bị nhúng có nhiệm vụ xử lý tất cả các gói cần mã hóa IPSec và cho qua tất cả các gói không cần mã hóa IPSec Điều này làm cho quá trình trao đổi thông tin trên mạng vẫn thông suốt đồng thởi vẫn đảm bảo được việc bảo mật thông tin trên mạng công cộng

2.3 Phạm vị đề tài

 Tiến hành thiết kế/ xây dựng thiết bị bảo mật VPN trong suốt trên mạng, có khả năng kết nối đa điểm

2.4 Giới hạn đề tài

Tiến hành quá trình xử lý IPSec sử dụng:

 Thuật toán mã hóa 3DES, DES

 Thuật toán xác thực MD5, SHA-1

 Sử dụng khóa IKEv1 với thuật toán xác thực Pre-share key

Thực hiện nhúng giải thuật xử lý IPSec trên thiết bị thực sử dụng Linux kernel

dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để

có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel)

Hình 2-2:Tổng quan mạng VPN

1.1.2 Chức năng của VPN

VPN cung cấp ba chức năng chính:

Sự tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi

truyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truy cậpthông tin mà không được phép Và nếu có lấy được thì cũng không đọc được

Tính toàn vẹn (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đã được

truyền qua mạng Internet mà không có sự thay đổi nào

Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc

của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

1.1.3 Ưu điểm của VPN

VPN có nhiều ưu điểm hơn so với các mạng leased line truyền thống Các ưu điểm cơ bản đó là:

VPN làm giảm chi phí hơn so với mạng cục bộ: Tổng giá thành của việc sở hữu một

mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đườngtruyền, các thiết bị mạng đường trục và hoạt động của hệ thống Giá thành cho việc kết

nối LAN to LAN giảm từ 20-30% so với việc sử dụng đường truyền leased line truyềnthống Việc truy cập từ xa thì giảm từ 60-80%.

VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet: Các VPN đã kế thừa phát

huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạngWAN truyền thống Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quảkinh tế cho việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, các người sử dụng diđộng…,và mở rộng các đối tác kinh doanh khi có nhu cầu

VPN làm đơn giản hóa cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ: Các doanh nghiệp có thể cho phếp sử dụng một vài hay tất cả

các dịch vụ của mạng WAN, giúp các doanh SPDnghiệp có thể tập trung vaofcacs đốitượng kinh doanh chính thay vì quản lý một mạng WAN hay mạng quay số từ xa

VPN cung cấp các kiểu mạng đường hầm và làm giảm thiểu các công việc quản lý:

Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứngvới các giao thức kết nối như là Frame Relay và ATM Điều này tạo ra một kiểu mạnglưới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành

Hình 2-3:Ưu điểm của VPN so với mạng truyền thông

Một mạng VPN có được những ưu điểm của mạng cục bộ trên cơ sở hạ tầng của mạng

IP công cộng Các ưu điểm này bao gồm tính bảo mật và sử dụng đa giao thức

Một mạng ảo được tạo ra nhờ các giao thức đường hầm trên một kết nối IP chuẩn Cácloại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm

 Giao thức đường ngầm lớp 2: Giao thức đường ngầm này thực hiện bảo mật trênlớp 2 trong mô hình OSI (lớp data link) Giao thức định đường hầm điểm-điểm PPTP (Point to Point Tunneling Protocol) và giao thức định đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) hoạt động trên lớp này, tải dữ liệu được đóng gói theo mô hình giao thức điểm-điểm.

 Giao thức đường ngầm lớp 3: : Giao thức đường ngầm này thực hiện bảo mật trên lớp 3 trong mô hình OSI (lớp mạng).Giao thức IPSec hoạt động trên lớp này.Trong chế độ này, gói tin được đóng gói với các phần tiêu đề được thêm vào gói IP trước khi gửi ra mạng

Đối với công nghệ đường hầm lớp 2, chẳng hạn như PPTP & L2TP:

• Một đường hầm tương tự như một phiên làm việc (phải kết thúc một phiên làmviệc phiên khác mới được bắt đầu)

• Cả hai thiết bị đầu cuối đường hầm phải đồng ý với các đường hầm và phải thương lượng các chính sách cấu hình

• Dữ liệu truyền qua các đường hầm được gửi sử dụng giao thức dựa trên gói tin(datagram-based protocol) và giao thức duy trì (maintenance protocol) nhằm quản lý đường hầm

• Ngoài ra, một đường hầm phải được tạo ra, duy trì và sau đó chấm dứt

Đối với công nghệ đường hầm lớp 3, chẳng hạn như IPSec

• Kết hợp trao đổi IKE nhằm cấu hình mã hóa cho đường ngầm

• Đường ngầm có thể được tạo lại sau một khoảng thời gian sống

1.1.4 Các yêu cầu cơ bản đối với một giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo:

Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây

dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau

và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ Rất nhiều các hệthống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp vớiInternet Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải đượcchuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung

các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trongviệc chuyển đổi các thủ tục khác nhau sang chuẩn IP 77% số lượng khách hàng đượchỏi yêu cầu khi chon một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết

bị hiện có của họ

Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất

đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữ liệu thông quamạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng

do họ tự xây dựng và quản lý

Việc cung cấp các tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:

- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sửdụng trong mạng và mã hóa dữ liệu khi truyền

- Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giản chongười sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệthống

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính

bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền

Tiêu chuẩn về chất lượng dịch vụ (Quality of Service): Tiêu chuẩn đánh giá của một

mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối.QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặcliên quan đến cả hai vấn đề trên

1.1.5 Đường hầm và mã hóa

Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một đường hầm

Hình 2-4:Đường hầm và mã hóa của VPN

Đường hầm (Tunnel): Các đường hầm chính là đặc tính ảo của VPN, nó làm cho

một kết nối dường như một dòng lưu lượng duy nhất trên đường dây Đồng thời còntạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã được

áp dụng trong mạng nội bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu.Đường hầm cũng làm cho VPN có tính riêng tư Mã hóa được sử dụng để tạo kết nốiđường hầm để dữ liệu chỉ có thể được đọc bởi người nhận và người gửi

Mã hóa (Encryption): Chắc chắn bản tin không bị đọc bởi bất kỳ ai nhưng có thể

đọc được bởi người nhận Khi mà càng có nhiều thông tin lưu thông trên mạng thì sựcần thiết đối với việc mã hóa thông tin càng trở nên quan trọng Mã hóa sẽ biến đổi nộidung thông tin thành một văn bản mật mã mà nó trở nên vô nghĩa trong dạng mật mãcủa nó Chức năng giải mã để khôi phục văn bản mật mã thành nội dung thông tin cóthể dùng được cho người nhận Mã hóa là tính năng tùy chọn nó cũng đóng góp vàođặc điểm “riêng tư” của VPN Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quantrọng đặc biệt, còn bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đếntốc độ, tăng gánh nặng cho bộ xử lý

3.2 Các mô hình VPN đã được triển khai

Các kiến trúc của IP-VPN có thể phân loại thành hai kiểu chính: Site-to-Site IP-VPN(còn được gọi là LAN-to-LAN hay POP-to-POP) và các IP-VPN truy nhập từ xa CácSite-to-Site bao gồm các phương án như: Extranet IP-VPN và Intranet IP-VPN, cácphương án này đều có chung các thuộc tính nhưng được thiết kế để giải quyết các tập

vấn đề khác nhau IP-VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay

số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiếntrúc chính

1.1.6 IP-VPN truy nhập từ xa:

VPN có thể hỗ trợ kết nối truy xuất từ xa tới mạng công ty thông qua Internet Sử dụng mô hình client/server như sau:

 Máy client muốn truy cập vào mạng công ty trước hết phải kết nối đến bất kỳ nhà cung cấp dịch vụ Internet(ISP) nào

 Sau đó, client khởi tạo kết nối đến server VPN của công ty Kết nối này phải được thực hiện bằng phần mềm VPN client được cài đặt trên host ở xa

 Ngay khi kết nối client-server qua mạng VPN được thiết lập, client có thể liên

hệ với hệ thống trong công ty qua Internet như một máy trong nội bộ công ty

Hình 2-5:Thiêt lập một VPN remote acces

Ưu điểm:

 Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của

tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet

 Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng IP-VPNchỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối quamạng băng rộng luôn hiện hành

 Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của VPN cho phép thêm vào user mới mà không tăng chi phí cho cơ sở hạ tầng

IP- Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêmngười sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn.

Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy nhập từ xa vẫn gặpphải khó khăn sau:

truyền và giải mật mã khi nhận được thông tin Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnhhưởng đến một số ứng dụng

 Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn

400 kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thứcđường ngầm cần có thời gian để xử lí dữ liệu

 Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi Bởi

vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về số lượng phải đợinên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet Điều này cóthể không phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm User có thể cầnđến chu kì thiết lập kết nối nếu họ cảm thấy lâu

3.2.1.1 Intranet IP-VPN

Một tổ chức có thể dùng intranet IP-VPN không chỉ để kết nối các site trực thuộc tổchức mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc làcác văn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở

hạ tâng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạngFrame Relay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng IP-VPN thì sẽ cónhững ưu điểm sau đây:

 Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet

 dể dàng mở rộng site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn

Với khả năng này, Intranet IP-VPN lại được sử dụng để tạo lập môi trường giống nhưphân chia vật lí các nhóm người sử dụng vào các mạng con LAN khác nhau được kếtnối bởi các cầu hay các Router

Internet/

IP-VPN

device1 dev ice3 device2 1

Remote office

device1 dev ice3 device2 1

Remote

Home office

an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cầnthiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet, vìthế IP-VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điềukhiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet

Internet/

IP-VPN

device1 device3 device2 1

Remote office

device1 device3 device2 1

Remote

Home office

POP

POP

POP

Business Partner

Customer

Supplier

Hình 2-7 :Extranet IP-VPN

3.3 Các giao thức trong IP-VPN

Giao thức đường ngầm là nền tảng của công nghệ VPN Một giao thức đường ngầm sẽthực hiện đóng gói dữ liệu với phần header (và có thể có phần trailer) tương ứng đểtruyền qua Internet Có nhiều giao thức đường ngầm, việc sử dụng giao thức đườngngầm nào để đóng gói dữ liệu liên quan đến các phương pháp xác thực và mật mã đượcdùng Có 4 giao thức đường ngầm trong IP-VPN như sau:

 PPTP (Point - to - Point Tunneling Protocol)

 L2F (Layer two Forwarding)

 L2TP (Layer Two Tunneling Protocol)

 IPSec (Internet Protocol Security)

Hai giao thức PPTP và L2F được phát triển dựa trên giao thức PPP(Point - to - PointProtocol) PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói

dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên Giao thức PPTP do nhiều công tyhợp tác phát triển, trong khi đó L2F do Cisco phát triển độc lập Trên cơ sở PPTP vàL2F, IETF đã phát triển giao thức đường ngầm L2TP Hiện nay giao thức PPTP và L2TPđược sử dụng phổ biến hơn L2F

Trong các giao thức đường ngầm kể trên, IPSec là giải pháp tối ưu về mặt an toàn dữliệu IPSec có các phương pháp xác thực và mật mã mạnh nhất Ngoài ra, IPSec có tínhlinh hoạt cao:Không bị ràng buộc bởi bất cứ thuật toán mật mã nào, đồng thời có thểkết hợp với các giao thức đường ngầm khá làm tăng tình an toàn cho hệ thống

Mặc dù có những ưu điểm vượt trội so với các giao thức đường ngầm khác về khả năngđảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm Thứ nhất, IPSec là mộtkhung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng các nhàcung cấp sản phẩm hỗ trợ IPSec chưa nhiều Thứ hai, để tận dụng khả năng đảm bảo antoàn dữ liệu của IPSec thì cần phải sử dụng một cơ sở hạ tầng khóa công khai PKI(Public Key Infrastructure) phức tạp để giải quyết vấn đề như chứng thực số hay chữ

ký số

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên cácsản phẩm hỗ trợ chúng tương đối phổ biến PPTP có thể triển khai với một hệ thốngmật khẩu đơn giản mà không cần sử dụng PKI Ngoài ra PPTP và L2TP còn có một số

ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên Vì vậy, trong khiIPSec còn đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi Cụ thể PPTP

và L2TP thường được sử dụng trong các ứng dụng truy nhập từ xa

Trong phần này chúng ta sẽ đi tìm hiểu 2 giao thức đường ngầm là PPTP và L2TP Vớigiao thức đường ngầm IPSec sẽ được đề cập chi tiết trong chương 2

1.1.8 PPTP (Point - to - Point Tunneling Protocol)

Point-to- Point Tunneling Protocol (PPTP) đóng gói khung Point-to- Point Protocol (PPP) thành gói tin IP để truyền trên mạng IP , chẳng hạn như Internet hoặc trên một mạng nội bộ tư nhân (private intranet) PPTP được mô tả trong RFC 2637 trong cơ sở

dữ liệu IETF RFC

PPTP sử dụng một kết nối TCP , được gọi là kết nối kiểm soát PPTP, để tạo, duy trì ,

và chấm dứt các đường hầm VPN PPTP sử dụng một phiên bản được chỉnh sửa của Đóng gói định tuyến tổng quát (Generic Routing Encapsulatio n-GRE) để đóng gói cácframe PPP như là đường hầm dữ liệu Phần tải của khung PPP được đóng gói có thể được mã hóa, nén hoặc cả hai

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng giao thứcđường ngầm PPTP) và PPTP server (VPN server sử dụng PPTP) PPTP client có thểđược nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng (Network AccessServer - NAS) để thiết lập kết nối IP

Việc xác thực trong quá trình thiết lập kết nối IP-VPN trên giao thức PPTP sử dụng các

cơ chế xác thực của kết nối PPP, ví dụ EAP (Extensible Authentication Protocol: giaothức xác thực mở rộng), CHAP (Challenge - Handshake Authentication Protocol: giaothức xác thực đòi hỏi bắt tay), PAP (Password Authentication Protocol: giao thức xácthực khẩu lệnh) PPTP cũng thừa hưởng việc mật mã hoặc/ và nén phần tải tin của PPP.Mật mã phần tải PPP sử dụng MPPE (Microsoft Point - to - Point Encryption: mật mã

điểm tới điểm của Microsoft) (với điều kiện xác thực sử dụng giao thức EAP - TLS(EAP - Transport Level Security: EAP - an ninh mức truyền tải) hoặc MS - CHAP củaMicrosoft) MPPE chỉ cung cấp mật mã mức truyền dẫn, không cung cấp mật mã đầucuối đến đầu cuối Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụngIPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi đường ngầm PPTP đã đượcthiết lập Máy chủ PPTP là máy chủ IP-VPN sử dụng giao thức PPTP với một giaodiện nối với Internet và một giao diện khác nối với Intranet

MPPE chỉ cung cấp mã hóa kết nối giữa máy khách VPN và máy chủ VPN Nó không cung cấp mã hóa đầu cuối end-to- end- mã hóa dữ liệu giữa các ứng dụng client và server lưu trữ các nguồn tài nguyên hoặc dịch vụ đang được truy cập bởi các ứng dụng client Nếu mã hóa end-to -end là cần thiết, IPSec có thể được sử dụng để mã hóa lưu lượng IP từ đầu cuối đến đầu cuối sau khi đường hầm PPTP được thành lập

3.3.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCPđược cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng1723) Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí cuộc gọi PPTPđược sử dụng để duy trì đường ngầm PPTP Các bản tin này bao gồm các bản tin PPTPEcho - Request và PPTP Encho - Reply định kỳ để phát hiện các lỗi kết nối giữa PPTPclient và PPTP server Các gói của kết nối điều khiển PPTP bao gồm IP header, TCPheader, các bản tin điều khiển PPTP và các header, trailer của lớp đường truyền dữliệu

Data link Trailer TCP

Data link Header

PPTP Control Message IP

Hình 2-8: Gói dữ liệu của kết nối điều khiển PPTP

3.3.1.2 Đóng gói dữ liệu đường ngầm PPTP

a) Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói thông qua nhiều

mức Hình 2.8 là cấu trúc dữ liệu đã được đóng gói

Data link Trailer

GRE Header

Data link

Header

Encrypted PPP Payload (IP Datagram, IPX Datagram, NetBEUI Frame)

IP Header

PPP Header

Hình 2-9: Dữ liệu đường ngầm PPTP

Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo

ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản sửa

đổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định tuyếnchung), giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi quamạng IP.

Đối với PPTP, phần Header của GRE được sửa đổi một số điểm sau:

 Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xácnhận 32 bit

 Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ

số cuộc gọi 16 bit Trường chỉ số cuộc gọi được thiết lập bởi PPTP client trongquá trình khởi tạo đường ngầm PPTP

 Một trường xác nhận dài 32 bit được thêm vào

b) Đóng gói các GRE: Phẩn tải PPP (đã được mật mã) và các GRE Header sau đó được

đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp choPPTP client và PPTP server

c) Đóng gói lớp liên kết dữ liệu: để có thể truyền qua mạng LAN hoặc WAN, IP

datagram cuối cùng sẽ được đóng gói với một Header và Trailer của lớp liên kết dữliệu ở giao diện vật lý đầu ra Ví dụ, nếu IP datagram được gửi qua giao diện Ethernet,

nó sẽ được gói với phần Header và Trailer Ethernet Nếu IP datagram được gửi quađường truyền WAN điểm tới điểm (ví dụ như đường điện thoại tương tự hoặc ISDN),

nó sẽ được đóng gói với phần Header và Trailer của giao thức PPP

 Xử lý và loại bỏ GRE Header và PPP Header

 Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết)

 Xử lý phần Payload để nhận hoặc chuyển tiếp

3.3.1.4 Sơ đồ đóng gói

Hình 2.9 trình bày sơ đồ đóng gói PPTP qua kiến trúc mạng (từ một IP-VPN client quakết nối truy nhập từ xa VPN, sử dụng modem tương tự)

NetBEU I

L2TP

Data link Trailer

GRE Header

Data link

Header

Encrypted PPP Payload (IP Datagram, IPX Datagram, NetBEUI Frame)

IP Header

PPP Heade r

NDIS NDISWAN

Bắt đầu gói ở đây

Cấu trúc gói tin cuối cùng

Hình 2-10: Sơ đồ đóng gói PPTP

Quá trình được mô tả các bước sau:

giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụngNDIS (Network Driver Interface Specification)

 NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu,

và cung cấp PPP Header Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP(PPP Protocol ID Field), không có các trường Flags và FCS (Frame Check Sequence).Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức điều khiển đườngtruyền LCP (Link Control Protocol) trong quá trình kết nối PPP

phần tiêu đề GRE Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thíchhợp để xác định đường ngầm

 Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

 TCP/IP dóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau đógửi kết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS

 NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần PPP Header vàTrailer.

cho phần cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem)

1.1.9 L2TP (Layer Two Tunneling Protocol)

Layer Two Tunneling Protocol (L2TP) là sự kết hợp của PPTP và Layer 2 Forwarding(L2F)- một công nghệ được phát triển bởi Cisco Systems, Inc Thay vì có hai giao thứcđường hầm (PPTP và L2F) không tương thích cạnh tranh trên thị trường và gây nhầmlẫn cho khách hàngIETF đã kết hợp và phát triển hai giao thức L2F và PPTP thànhL2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời có thể sửdụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F L2TP được mô tảtrong khuyến nghị RFC 2661

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặc ATM.Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa Khi truyền qua mạng IP, cáckhung L2TP được đóng gói như các bản tin UDP, L2TP có thể được sử dụng như mộtgiao thức đường ngầm thông qua Internet hoặc các mạng riêng Intranet L2TP dùng cácbản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡngđường ngầm Phần tải của khung PPP đã đóng gói có thể được mật mã, nén Tuy nhiênmật mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không phảiMPPE như đối với PPTP) Cũng có thể tạo kết nối L2TP không mật mã IPSec Tuynhiên, đây không phải là kết nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TPkhông được mật mã Các kết nối L2TP không mật mã có thể sử dụng tạm thời để sửalỗi các kết nối L2TP dùng IPSec

L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thức đườngngầm L2TP và IPSec) L2TP client có thể được nối trực tiếp tới mạng IP để truy nhậptới L2TP server hoặc gián tiếp thông qua việc quay số tới máy chủ truy nhập mạng(Network Access Server - NAS) để thiết lập kết nối IP Việc xác thực trong quá trìnhhình thành đường ngầm L2TP phải sử dụng các cơ chế xác thực như trong các kết nốiPPP như EAP, MS-CHAP, CHAP, PAP Máy chủ L2TP là máy chủ IP-VPN sử dụnggiao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạngIntranet Các dữ liệu đường ngầm và dữ liệu duy trì đường ngầm có cùng cấu trúc gói

3.3.1.5 Duy trì đường ngầm bằng bản tin điều khiển L2TP

Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông quamột kết nối TCP riêng biệt Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi

như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP serverđều sử dụng cổng UDP 1701).

Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram UDPdatagram lại được mật mã bởi IPSec ESP như trên hình 2.10

Data link Trailer

IPSec ESP Header

Data link

Header

IP Header

UDP Header

IPSec ESP Trailer

L2TP Message

IPSec ESP Auth Trailer Encryption by IPSec

Hình 2-11: Bản tin điều khiển L2TP

Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việc truyềncác bản tin L2TP Trong bản tin điều khiển L2TP, trường Next-Received (tương tự nhưTCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence Number) được sửdụng để duy trì thực tự các bản tin điều khiển Các gói không đúng thứ tự bị loại bỏ.Các trường Next-Sent và Next-Received cũng có thể được sử dụng để truyền dẫn tuần

tự và điều khiển luồng cho các dữ liệu đường ngầm

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm Trong bản tin điều khiển L2TP vàphần tiêu đề L2TP của dữ liệu đường ngầm có một mã số đường ngầm (Tunnel ID) đểxác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi trongđường ngầm đó

3.3.1.6 Đường ngầm dữ liệu L2TP

Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói Hình 2-11chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec

Data link Trailer

IPSec ESP Header

PPP Payload (IP datagram, IPX datagram, NetBEUI Frame)

L2TP Header

IPSec ESP Auth Trailer

IPSec ESP Trailer

PPP Header

Encryption Authenticated by IPSec ESP auth trailer

Hình 2-12: Đóng bao gói tin L2TP

a) Đóng gói L2TP: phần tải PPP ban đầu được đóng gói với một PPP Header và một

L2TP Trailer

b) Đóng gói UDP: gói L2TP sau đó được đóng gói với một UDP Header, các địa chỉ

cổng nguồn và đích được đặt bằng 1701

c)Đóng gói IPSec: tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói

với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer

d) Đóng gói IP: gói IPSec được đóng gói với IP Header chứa địa chỉ IP nguồn và đích

của IP-VPN client và IP-VPN server

e)Đóng gói lớp đường truyền dữ liệu: để truyền đi được trên đường truyền LAN hoặc

WAN, IP datagram cuối cùng sẽ được đóng gói với phần Header và Trailer tương ứngvới kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra Ví dụ, khi các IPdatagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đóng gói vớiEthernet Header và Trailer Khi các IP datagram được gửi trên đường truyền WANđiểm tới điểm (chẳng hạn đường dây điện thoại ISDN), IP datagram được đóng gói vớiPPP Header và Trailer

3.3.1.7 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP server

sẽ thực hiện các bước sau:

 Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu

 Xử lý và loại bỏ IP Header

 Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header

 Dùng IPSec ESP Header để giải mã phần gói đã mật mã

xác định đường ngầm L2TP cụ thể

giao thức để xử lý

3.3.1.8 Sơ đồ đóng gói L2TP trên nền IPSec

Hình 2-12 là sơ đồ đóng gói L2TP qua kiến trúc mạng từ một IP-VPN client thông quamột kết nối IP-VPN truy nhập từ xa sử dụng một modem tương tự

text TCP/IP IPX

PPTP Async

NetBEUI

X.25 ISDN L2TP

NDIS NDISWAN

Bắt đầu gói ở đây

IPSec ESP Header

IPSec

L2TP Header

UDP Header

PPP Payload (IP datagram, IPX datagram, NetBEUI Frame)

PPP Header

PPP

Header

IP Header

IPSec ESP Trailer

IPSec ESP Auth Trailer

PPP Trailer

Cấu trúc gói tin cuối cùng

Hình 2-13: Sơ đồ đóng gói L2TP

Các bước sau mô tả quá trình đó:

diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp

Header chỉ bao gồm trường chỉ số PPP Protocol Các trương Flag hay FCS không đượcthêm vào

với một L2TL Header Trong L2TP Header, chỉ số đường ngầm và chỉ số cuộc gọiđược thiết lập với các giá trị thịch hợp để xác định đường ngầm

 Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để gửigói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ

IP của IP-VPN client và IP-VPN server

 Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP Headerthích hợp IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiện

thời Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bản tinUDP của gói IP sử dụng các ESP Header và Trailer phù hợp IP Header ban đầu vớiProtocol field được đặt là 50 được thêm vào phía trước của gói ESP Giao thức TCP/IPsau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụngNDIS.

tới cổng AN thích hợp đại diện cho phần cứng dial-up

3.4 Tổng kết

Chương này đã đưa ra khái niêm và giới thiệu chung về công nghệ IP-VPN Đây là mộtcông nghệ không mới, nhưng với sự phát triển mạnh mẽ của mạng Internet trên toàncầu thì thị trường IP-VPN sẽ rất phát triển Với các tổ chức có mạng lưới rộng khắp, sửdụng công nghệ này sẽ rất hiệu quả trong truyền thông giữa các thành viên của hãng ởcác vùng địa lí khác nhau, đảm bảo phát triển các văn phòng mới một cách mềm dẻo,

dễ dàng tiếp cận với khách hàng một cách trực tiếp và điều quan trọng là tính an toànthông tin

Theo cấu trúc cơ bản, có 2 loại VPN: Site-to-Site IP-VPN và Remote VPN Trong đóSite-to-Site bao gồm 2 mô hình là: Intranet IP-VPN được sử dụng để kết nối các mạngLAN văn phòng ở xa của một tổ chức; Extranet IP-VPN được sử dụng cho các ứngdụng kết nối trực tuyến tới khách hàng của tổ chức Từ những khái niệm được trìnhbày ta có thể nhận ra rằng đối tuợng và phạm vi kết nối của Extranet VPN có phầnrộng hơn Intranet VPN Do đối tượng kết nối luôn thay đổi và khó có thể đảm bảotrước nên yêu cầu bảo mật cũng cao hơn Remote IP-VPN được ứng dụng cho nhữngngười làm việc lưu động hoặc những văn phòng ở xa dung lượng nhỏ

Trong chương này giới thiệu chung về các giao thức đường ngầm đang tồn tại sử dụngcho IP-VPN, trong đó hai giao thức đường ngầm PPTP và L2TP là 2 giao thức lớp 2 đãhòan thành và hoạt động phổ biến trong giai đoạn hiện nay Giao thức đường hầm lớp 2này có ưu điểm:

 Hỗ trợ xác thực người dùng(user authentication)-mỗi bên phải xác nhận độ tincậy của các bên khác dựa trên hai phương thức chủ yếu: xác thực dựa trên mậtkhẩu và xác thực dựa trên giao thức hỏi đáp PPTP và L2TP sử dụng hệ thốngxác thực PPP-Point to Point Protocol) (ví dụ, PAP, CHAP, và EAP) để cung cấpxác thực người dùng

 Có khả năng bảo mật cho các giao thức IP, IPX, NetBEUI.

 Có khả năng cung cấp mật mã truyền dẫn (mật mã giữa hai thiết bị mạng liêntiếp)

 Lớp 2 có nghĩa là luồng dữ liệu được xử lý theo địa chỉ MAC vì thế quá trình định tuyến cũng như việc xử lý gói tin từ lớp IP trở lên không bị ảnh hưởng

 Độ trễ thấp - chuyển như trái ngược với định tuyến

Tuy nhiên, giao thức đường hầm lớp 2 tồn tại những nhược điểm sau:

 Không có khả năng xác thực gói tin, tức giao thức đường hầm lớp 2 không có khả năng xác thực gói tin nhờ một vài thông tin xác minh chứa đựng trong gói tin nhằm bảo vệ tính toàn vẹn của gói tin Do đó, sự sai lệch thông tin trong gói tin ban đầu không được đảm bảo

 Không có khả năng bảo mật trên mạng Intranet

 Không có khả năng cung cấp mật mã đầu cuối đến đầu cuối (mật mã bảo mật giữa đầu và cuối đường hầm)

 Quá trình kiểm soát key không được hỗ trợ Điều này nghĩa là gia thức đường hầm lớp 2 không có khả năng kiểm soát chia sẻ key bí mật giữa các người sử dụng trên một mạng

 Có khả năng bảo mật kém Yếu tố khiến giao thức này dễ bị tổn thương là nó phụ thuộc vào PPP Trước bất kỳ giao tiếp nào, PPP thiết lập và khởi tạo các thông số truyền thông, và bởi PPP không có chứng thực đối với các gói dữ liệu, các cuộc tấn công như man-in-the-middle và giả mạo, từ chối dịch vụ… có thể xảy ra Chi tiết về các cuộc tấn công này cũng như cách chống lại nó được thể hiện trong chương “Giao thức IPSec”

Các nhược điểm trên có thể được giải quyết tốt nhờ giao thức đường ngầm lớp 3: IPSec được trình bày chi tiết trong phần tiếp theo

Chương 4 GIAO THỨC IPSEC

4.1 Giới thiệu

Như ta đã biết, mạng Internet nguyên thủy được phát triển để truyền thông giữa cácmáy tính tin cây, vì vậy nó không hỗ trợ các dịch vụ bảo mật thông tin Cùng với sựphát triển rộng khắp của Internet trên tòan cầu thì vấn đề bảo mật thông tin là mộttrong những vấn đề quan trọng Giao thức IPSec được phát triển để giải quyết vấn

đề an ninh này

IPSec là một định hướng lâu dài trong an toàn mạng Nó là một phần quan trọngtrong bảo mật thông tin trên mạng Internet cũng như mạng nội bộ

IPSec có hai mục tiêu chính :

 Bảo vệ nội dung của gói tin IP

 Bảo vệ chống lại các cuộc tấn công mạng thông qua lọc gói tin và yêu cầuthực hiện các giao thức trao đổi tin cậy

1.1.10.Khái niệm về IPSec

IPSec (Internet Protocol Security) là một giao thức được phát triển bởi IETF (InternetEngineering Task Force- Tổ chức Lực lượng chuyên trách về kỹ thuật liên mạng) Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạngriêng và nhận thức hai đầu của đường ngầm này Các thiết bị giữa hai đầu đường ngầm

có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tậptrung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật Đường ngầmđóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu an toànđược truyền trên đó IPSec cũng thực hiện đóng gói dữ liệu các thông tin để thiết lập,duy trì và hủy bỏ kênh truyền khi không dùng đến nữa Các gói tin truyền trong đườngngầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổicác thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua đócho phép giảm đáng kể chi phí để triển khai và quản lý

IPSec có hai giao thức cơ bản để đảm bảo an toàn dữ liệu đó là AH (AuthenticationHeader) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và

có thể hỗ trợ AH: