TIỂU LUẬN MÔN HỌC AN TOÀN THÔNG TIN MẠNG RIÊNG ẢO Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sử dụng một kết nối quay số. Các kết nối RAS dialup làm việc trên các đường điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dialup RAS, Tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập.
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DÂN LẬP DUY TÂN KHOA SAU ĐẠI HỌC TIỂU LUẬN MÔN HỌC AN TOÀN THÔNG TIN Chuyên đề: MẠNG RIÊNG ẢO Sinh viên thực hiện: Hoàng Xuân Đăng Cường Lớp: Cao học Khoa học máy tính khóa 7 - K7MCS Đà Nẵng, tháng 06 năm 2013 2 LỜI NÓI ĐẦU Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sử dụng một kết nối quay số. Các kết nối RAS dial-up làm việc trên các đường điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS, Tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập. Ngày nay với sự phát triển bùng nổ của mạng và ngày càng được mở rộng Internet, việc kiểm soát trở nên khó khăn và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty … và các doanh nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng Internet. VPN (Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu). 1 DANH MỤC TỪ VIẾT TẮT AH Authentication Header ATM Asynchronous Transfer Mode CEF Cisco Express Forwarding EGP Exterior Gateway Protocol ESP Encapsulating Security Payload FIB Forwarding Information Base HDLC High-Level Data Link Control IGP Interior Gateway Protocol IKE Internet Key Exchange IP Internet Protocol IPSEC Internet Protocol Security OSI Open System Interconnection SA Security Association VPN Virtual Private Network WAN Wide Area Network RD Route Distinguisher RT Route Target PHP Penultimate Hop Popping 2 DANH SÁCH HÌNH VẼ HÌNH 1.1 Mô hình mạng VPN 6 HÌNH 1.2 Các loại mạng VPN 9 HÌNH 1.3 Mô hình mạng VPN thiết lập kết nối từ xa 10 HÌNH 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến 11 HÌNH 1.5 Mô hình Intranet VPN 11 HÌNH 1.6 Mạng mở rộng truyền thống 12 HÌNH 1.7 Mô hình Extranet VPNs 13 HÌNH 1.8 Khung dữ liệu AH 16 HÌNH 1.9 Khung dữ liệu ESP 18 HÌNH 1.10 Cơ chế truyền tải (Transport Mode) 19 HÌNH 1.11 Phương thức đóng gói transport mode 19 HÌNH 1.12 Phương thức đóng gói tunnel mode 20 HÌNH 1.13 Kết hợp an ninh SA 21 HÌNH 1.14 Năm bước hoạt động của IPSEC 22 HÌNH 1.16 Các kết hợp an ninh 26 HÌNH 1.17 Đường ngầm IPSEC được thiết lập 27 HÌNH 1.19 Mô hình Peer-to-peer VPN sử dụng router dành riêng 30 3 MỤC LỤC 4 1. Mạng riêng ảo 1.1. Giới thiệu chung – Quá trình phát triển của VPN Ngày nay kết nối các mạng máy tính trong một tổ chức, doanh nghiệp với nhau là một xu thế tất yếu để nâng cao quá trình trao đổi thông tin và điều hành sản xuất. Các phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ chức có các địa điểm phân tán về mặt vật lý, công ty đa quốc gia. Giải pháp thông thường được áp dụng bởi đa số các công ty này là thuê các đường truyền riêng (Leased Lines, Frame Relay, ATM) để duy trì một mạng WAN (Wide Area Network). Mỗi mạng WAN đều có các điểm thuận lợi hơn so với mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn, bảo mật. Tuy nhiên để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi công ty muốn mở rộng thêm các văn phòng đại diện. Mạng riêng ảo VPN (Virtual Private Network) chính là một giải pháp cho vấn đề này. VPN có thể đáp ứng các nhu cầu của các tổ chức, doanh nghiệp bằng các kết nối dạng any-to-any, các lớp đa dịch vụ, các dịch vụ có giá thành quản lý thấp, riêng tư, tích hợp xuyên suốt cùng với các mạng Intranet hoặc mạng Extranet. Một nhóm người dùng (Users) trong mạng Intranet và Extranet có thể hoạt động thông qua mạng IP. Các mạng VPN có chi phí vận hành thấp hơn hẳn so với việc thuê đường truyền riêng (Leased Lines) trên phương diện quản lý, băng thông và dung lượng. VPN có thể liên kết các user thuộc một nhóm kín hay giữa các nhóm khác nhau. Các thuê bao VPN có thể di chuyển trong một kết nối mềm dẻo trải dài từ mạng cục bộ đến mạng hoàn chỉnh. Các thuê bao này có thể dùng trong cùng một mạng (Intranet VPN) hoặc khác mạng (Extranet VPN). Mạng riêng ảo (VPN) là một trong những ứng dụng rất quan trọng trong mạng NGN. Các công ty, các doanh nghiệp đặc biệt là các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu cục bộ với chi phí thấp, với an ninh đảm bảo, với cơ chế bảo mật và cung cấp chất lượng dịch vụ (QoS) theo yêu cầu. VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN đã được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một vài thế hệ mạng cho đến ngày nay. Tuy nhiên trong thời gian gần đây, thương mại điện tử (E-Commerce) đã trở thành một phương thức thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người dùng hay các công ty mong muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ tư) của VPN là IP-VPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường ngầm (Tunneling Technology). 1.2. Khái niệm VPN Chúng ta xét một công ty có nhiều trụ sở phân tán, để kết nối các máy tính tại các vị trí xa nhau này, công ty cần có một mạng thông tin. Mạng này được gọi là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng, và với ý nghĩa các kế hoạch định tuyến và đánh địa chỉ trong mạng đó là độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng này được gọi là mạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này có thể không chỉ dành riêng cho công ty đó mà chia sẻ dùng chung với các công ty khác (môi trường mạng chia sẻ). Hoặc các phương tiện cần thiết dể xây dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông. Các công ty sử dụng mạng VPN gọi là các khách hàng VPN. Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy định với nhau bởi các chính sách quản lý, quy định cả về kết nối cũng như chất lượng dịch vụ giữa các site. Theo định nghĩa của IETF (Internet Engineering Task Force) mạng VPN là một kiểu mạng diện rộng riêng (Privite WAN) sử dụng mạng đường trục IP riêng hoặc mạng Internet công cộng (Hình 1.1). HÌNH 1.1 Mô hình mạng VPN 6 Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công cộng (như Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp lý trong quá trình kết nối giữa hai điểm truyền thông. Mạng VPN được xây dựng dựa trên sự trợ giúp của đường ngầm logic (Tunnel) riêng. Những đường ngầm này cho phép hai điểm đầu cuối trong mạng trao đổi dữ liệu với nhau thông qua mạng theo kiểu tương tự như kết nối điểm - điểm. Mặc dù công nghệ đường ngầm được áp dụng trong phần lõi của mạng VPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn được áp dụng nhằm đảm bảo an toàn cho những thông tin quan trọng của các công ty khi truyền qua các mạng trung gian. Các kỹ thuật bảo mật bao gồm: • Encryption – Mã hóa dữ liệu: Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: o Mã hoá sử dụng khoá riêng (Symmetric-key encryption) o Mã hoá sử dụng khoá công khai (Public-key encryption) • Authentication – Xác thực Authentication là tiến trình đảm bảoo những dữ liệu được phân phát đến đúng địa chỉ của người nhận. Thêm nữa tính xác thực cũng đảm bảo người nhận, nhận được đầy đủ bản tin và nguồn gốc của bản tin. Dạng đơn giản nhất của quá trình xác thực là yêu cầu tên người sử dụng và mật khẩu để được phép truy nhập vào dữ liệu. Với dạng phức tạp, quá trình xác thực có thể dựa trên quá trình mã hoá sử dụng khoá bí mật hoặc quá trình mã hoá sử dụng khoá công khai. Xác thực trong VPN bao gồm: xác thực thiết bị tham gia, xác thực toàn vẹn gói tin, và xác thực người sử dụng (trong trường hợp remote access vpn). • Authorization Authorization là một tiến trình cho phép hoặc từ chối người sử dụng, sau khi đã truy nhập vào mạng thành công, được quyền truy nhập vào tài nguyên lưu trữ trên mạng hay không. 1.3. Các giao thức đường hầm VPN Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên nền Internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở giao tiếp đó các gói tin truyền đi và đến. 7 Kênh thông tin yêu cầu ba giao thức khác nhau: • Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải) giao thức này sử dụng trên mạng để đưa thông tin về trạng thái đường truyền. • Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung truyền • Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức đường ngầm chính thường được sử dụng trong VPN để đảm bảo độ tin cậy cho VPN trong quá trình truyền dẫn gồm: • Giao thức IPSEC IPSEC được phát triển bởi IETF (Internet Engineering Task Force), IPSEC là một tiêu chuẩn mở mà vẫn đảm bảo được tính bảo mật và quyền lợi của người sử dụng trong quá trình truyền thông qua mạng công cộng. Không giống như các kỹ thật mã hoá khác, IPSEC hoạt động ở lớp mạng (Network layer) trong mô hình bảy lớp OSI. Do vậy, nó có thể được hoạt động độc lập với các ứng dụng khác cùng hoạt động trên mạng. Như vậy, mạng vẫn có thể được bảo mật mà không cần phải thiết lập hay xác định an ninh cho từng ứng dụng riêng. • Giao thức PPTP Giao thức PPTP được phát triển bởi Microsoft, 3 COM và Ascend communication. Giao thức PPTP được đề xuất như là một giao thức mới có thể thay thế giao thức IPSEC. Tuy nhiên, IPSEC vẫn tiếp tục là giao thức đường ngầm được sử dụng nhiều hơn. PPTP hoạt động ở lớp hai, lớp liên kết dữ liệu (Data Link Layer) trong mô hình phân lớp OSI và sử dụng bảo mật cho quá trình truyền dẫn của traffic dựa trên nền Windows. • Giao thức L2TP Giao thức L2TP được phát triển bởi Cisco, giao thức L2TP cũng có ý định dùng để thay thế IPSEC. Tuy nhiên, IPSEC vẫn là giao thức có ưu thế trội hơn trong số các giao thức bảo mật cho truyền thông qua Internet. Giao thức L2TP là kết quả của quá trình trộn giữa lớp hai chuyển tiếp và giao thức PPTP, nó sử dụng giao thức điểm tới điểm cho quá trình đóng gói các khung dữ liệu để truyền qua mạng X.25, FR hoặc ATM. 8 [...]... thống trong mạng Extranet Mạng Extranet truyền thống có giá thành qúa cao bởi vì tất cả mạng riêng biệt 12 nằm trong mạng cục bộ của công ty, bắt buộc phải hoàn toàn tương thích với mạng Extranet Như vậy quá trình thực hiện và quá trình quản trị các mạng khác nhau trong mạng Extranet là rất phức tạp Cũng như cần thiết phải có một số lượng lớn nhân viên kỹ thuật để bảo trì và quản lý cho mạng phức tạp... Hơn nữa, đối với mạng này thưòng gặp khó khăn trong việc mở rộng bởi vì việc mở rộng mạng liên quan đến toàn thể mạng cục bộ và ảnh hưởng tới các kết nối trong mạng Extranet khác HÌNH 1.7 Mô hình Extranet VPNs Mạng Extranet VPNs được xem là dễ dàng thiết lập và có chi phí hiệu quả hơn so với mạng truyền thống như trình bày ở trên Những ưu điểm chính của Extranet VPNs so với mạng Extranet truyền thống... cho Extranet VPNs thấp hơn rất nhiều so với mạng truyền thống - Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động - Các kết nối Internet được bảo trì bởi nhà cung cấp dịch vụ Internet (ISP), nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng Tuy nhiên Extranet VPNs cũng có những nhược điểm sau: - Khả năng bảo mật thông tin, mất... như đang truyền thông trên một hệ thống mạng riêng Chuyên đề này đã giới thiệu các giải pháp công nghệ cho việc xây dựng một mạng riêng ảo Triển khai từ lý thuyết đến thực tiễn trong các vấn đề giải quyết mạng riêng ảo nói chung, các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng Xin chân thành cảm ơn! 32 TÀI LIỆU THAM KHẢO [1] Nguyễn Thúc Hải, Mạng. .. tuyến thông qua các mạng IP (Như Internet) mà không phải thay đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị 2.2.2 Khung giao thức IPSEC IPSEC là khung của các chuẩn mở, nó đảm bảo việc truyền thông an toàn qua các mạng IP Dựa trên các chuẩn phát triển bởi IETF, IPSEC đảm bảo tính bí mật, toàn vẹn và xác thực của dữ liệu khi truyền qua một mạng. .. thể đảm bảo an toàn cho dữ liệu tại tất cả các tuyến kết nối trung gian IPSEC thực hiện mã hoá và xác thực ở lớp mạng Nó cung cấp một giải pháp an toàn dữ liệu từ đầu cuối - tới - đầu cuối (End - to - end) trong bản thân kiến trúc mạng, vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống Các gói được mã hoá có khuôn dạng hoàn toàn giống như các gói IP thông thường,... đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết • Router P của nhà cung cấp dịch vụ phải mang tất cả các route của khách hàng 31 KẾT LUẬN VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn ảo đảm được tính riêng tư của... để đảm bảo tính an toàn của đường ngầm - Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm tăng tính an toàn của đường ngầm) HÌNH 1.15 Thoả thuận các thông số an ninh IPSEC IKE Phase 2 có một chế độ: Quick Mode Chế độ này diễn ra sau khi IKE đã thiết lập được đường ngầm an toàn ở IKE Phase1 IKE Phase 2 thoả thuận một tập chuyển đổi IPSEC chung (shared IPSEC Transform);... toán an ninh IPSEC; và thiết lập IPSEC SA Quick Mode cũng được sử dụng để thoả thuận lại một kết hợp an ninh mới (new IPSEC SA), khi SA cũ đã hết hạn Cũng giống như tập chính sách IKE (IKE policy set, IKE Phase 1 transform) các tập chuyển đổi IPSEC ở Phase 2 cũng bao gồm các thông số an toàn an ninh nhằm thiết lập kênh truyền dữ liệu an toàn giữa các đối tác IPSEC Tập chuyển đổi IPSEC bao gồm các thông. .. nhất giữa hai bên, mỗi thiết bị VPN sẽ đưa thông tin này vào một cơ sở dữ liệu Thông tin bao gồm các thuật toán xác thực, mã hoá; địa chỉ của đối tác; thời hạn của khoá (Trước khi cần tái tạo lại) Thông tin này được biết đến như là một kết hợp an ninh SA Thiết bị VPN sau đó sẽ đánh số SA bằng một thông số an ninh SPI (Security Parameter Index) Thay vì gửi từng thông số của SA qua đường ngầm, mỗi phía . IETF), MPLS VPN, SSL VPN (Secure Socket Layer VPN) . 1.4. Phân loại VPN Hiện nay VPNs đang phát triển theo 2 hướng chính, đó là: • Remote Access VPNs • Site – to – Site VPNs o Mạng VPN cục bộ. cục bộ (Intranet VPN) o Mạng VPN mở rộng (Extranet VPN) HÌNH 1.2 Các loại mạng VPN 1.4.1. Remote Access VPNs Remote Access VPNs cho phép người dùng ở xa sử dụng các phần mềm VPN để truy cập vào. đây (thế hệ thứ tư) của VPN là IP -VPN. IP -VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường ngầm (Tunneling Technology). 1.2. Khái niệm VPN Chúng ta xét một công