an toàn mạng riêng ảo–tìm hiểu về strongswan

VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi, hoặc các văn phòng chi nhánh có thể kết nối an toàn tới máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạ

Tìm hiểu về StrongSWAN

Phân công thực hiện báo cáo: Đặng Long Hải (Phần 1)

Nguyễn Như Hoàng (Phần 2) Say Khăm (Phần 2)

Nguyễn Trí Công (Phần 3) Nguyễn Bá Hoàng (Phần 3)

Mục lục

Lời mở đầu 3

Danh mục viết tắt 4

Danh mục hình vẽ 5

Phần 1 Tổng quan về mạng riêng ảo VPN 6

1.1 Giới thiệu về VPN 6

1.1.1 Định nghĩa 6

1.1.2 Những lợi ích của VPN 7

1.2 Các mô hình kết nối VPN thông dụng 8

1.2.1 VPN Truy cập từ xa (Remote Access VPN) 8

1.2.2 VPN Cục bộ (Intranet VPN) 10

1.2.3 Mạng riêng ảo mở rộng (Extranet VPN) 12

Phần 2 Tìm hiểu về giao thức IPSec và các vấn đề liên quan 15

2.1 Giới thiệu chung và các chuẩn 15

2.2 Cơ chế đảm bảo An toàn dữ liệu của IPSec 18

2.3 Đóng gói thông tin của IPSec 19

2.3.1 Kiểu Transport 19

2.3.2 Kiểu Tunnel 20

2.4 Giao thức trao đổi khoá IKE 21

2.4.1 Giới thiệu chung và các chuẩn 21

2.4.2 Các yêu cầu quản lý khoá đối với IPSec 22

2.4.3 Các chế độ IKE 24

2.4.4 Quá trình hoạt động của IPSec 26

Phần 3 Tìm hiểu về StrongSWAN và triển khai IPSec sử dụng StrongSWAN 27

3.1 Giới thiệu về strongSwan 27

3.1.1 Securing a Network 27

3.1.2 Quá trình phát triển 27

3.2 StrongSwan Software Architecture 29

3.3 Software Architecture of the IKEv2 Daemon 30

3.4 Một số tính năng của strongSwan 31

KẾT LUẬN 33

Tài liệu tham khảo 34

để mở rộng giao dịch, mua bán Để giải quyết vấn đề kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên trên, nhiều doanh nghiệp đã chọn giải pháp mô hình mạng riêng

ảo VPN (Virtual Private Network) VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi, hoặc các văn phòng chi nhánh có thể kết nối an toàn tới máy

chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng

Trong quá trình tìm hiểu môn học, nhóm sinh viên chúng em nhận được đề

tài “Tìm hiểu về StrongSWAN và cài đặt thử nghiệm Phân tích quá trình kết nối trao đổi thông tin”, StrongSWAN là một giải pháp VPN dựa trên mã nguồn mở,

được phát triển để triển khai IPSec trong bảo mật VPN khi kết nối qua mạng Internet

Trong quá trình tìm hiểu đề tài, do hiểu biết và kiến thức về vấn đề báo cáo còn hạn chế nên không tránh khỏi những thiếu sót Chúng em hy vọng thầy và các bạn góp ý để báo cáo được hoàn thiện hơn

Xin chân thành cảm ơn !

Danh mục viết tắt

Từ viết tắt Tên đầy đủ

ISAKMP Internet Security Association and Key Management

Protocol

Danh mục hình vẽ

Hình 1.1 Thiết lập từ xa không có VPN 9

Hình 1.2 Thiết lập VPN truy cập từ xa 10

Hình 1.3 Thiết lập Intranet sử dụng WAN 11

Hình 1.4 Thiết lập VPN dựa trên VPN 11

Hình 1.5 Mạng Extranet truyền thống 13

Hình 2.1 Kiến trúc bộ giao thức IPSec 17

Hình 2.2 Gói tin IP theo kiểu Transport 20

Hình 2.3 Gói tin IP ở kiểu Tunnel 20

Hình 2.4 Thiết bị mạng thực hiện IPSec kiểu Tunnel 21

Hình 2.5 Trao đổi thông điệp trong chế độ IKE Main 24

Hình 2.6 Mô tả một phiên giao dịch trong chế độ IKE Aggressive 25

Hình 2.7 Trao đổi thông điệp trong chế độ Quick IKE thuộc pha II 25

Hình 2.8 Trao đổi khóa An toàn trong chế độ Newgroup IKE 26

Hình 3.1 Mô hình mạng đơn giản 27

Hình 3.2 Quá trình phát triển StrongSWAN 28

Hình 3.3 Kiến trúc strongSwan IKE daemon 30

Hình 3.4 Kiến trúc phần mềm của IKEv2 Charon daemon 31

Phần 1 Tổng quan về mạng riêng ảo VPN

1.1 Giới thiệu về VPN

1.1.1 Định nghĩa

Mạng riêng ảo, có tên tiếng Anh là Virtual Private Netvvork, viết tắt là VPN

Có nhiều định nghĩa khác nhau về Mạng riêng ảo VPN

Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet

Theo tài liệu của IBM, VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng VPN truyền thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng

Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2 điểm truyền thông cuối Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các

“đường hầm” Các đường hầm này cho phép các thực thể cuối trao đổi dữ liệu theo cách tương tự như truyền thông điểm - điểm

Mạng riêng của các Công ty loại trừ được các đường Lease-Line chi phí cao Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi phí

1.1.2 Những lợi ích của VPN

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm

Giảm chi phí thực thi: Chi phí cho VPN ít hưn rất nhiều so với các giải pháp

truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại điện của ISP

Giảm được chi phí thuê nhân viên về quản trị: Vì giảm được chi phí truyền

thông đường dài VPN cũng làm giảm được chí phí hoạt động của mạng dựa vào WAN một cách đáng kể Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP Vì lúc này, thực tế tổ chức không cần thuê nhiều nhân viên mạng cao cấp

Nâng cao khả năng kết nối: VPN tận dụng Intenet để kết nối giữa các phần

tử ở xa của một Intranet Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới Intranet của Công ty mình

Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ

liệu qua mạng công cộng không an toàn Dữ liệu đang truyền được bảo mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như: Mã hóa, xác thực và cấp quyển để bảo đảm an toàn, tính tin cậy tính xác thực của dữ liệu được truyền Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin

Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường

Lease-Line băng thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động Các VPN chỉ tạo các đường hầm logic để truyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng

Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép

Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần

phải thay đổi với phí tổn tối thiểu cho việc theo các phương tiện, thiết bị Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với

sự phát triển trong tương lai

1.2 Các mô hình kết nối VPN thông dụng

Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:

- Các nhân viên liên lạc từ xa, người dùng di động, người đùng từ xa của một công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào

- Có khả năng kết nối từ xa giữa các nhánh văn phòng

- Kiểm soát được truy cập cùa các khách hàng, nhà cung cấp là đối tác quan trọng đối với giao dịch thương mại của công ty

Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành 2 loại như sau: VPN truy cập từ xa (Remote Access VPN), VPN Site - to -Site (Bao gồm 2 mô hình: VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN))

1.2.1 VPN Truy cập từ xa (Remote Access VPN)

Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của công ty họ như là họ đang kết nối trực tiếp vào mạng đó

Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi ngươi dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty

- Kết nối Dial-up tới mạng trung tâm

- Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet Thiết lập VPN truy cập từ xa tương ứng được mô tả như trong hình 1.2

Hình 1.2 Thiết lập VPN truy cập từ xa

1.2.2 VPN Cục bộ (Intranet VPN)

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã dược thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VolP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia) Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống

Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó, nên còn được gọi là mạng riêng

ảo chi nhánh Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian Thiết lập này được mô tả như trong hình dưới

Hình 1.3 Thiết lập Intranet sử dụng WAN

Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một khu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng Phạm vi Intranet càng lớn thì chi phí càng cao

Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn

bộ Intranet Một giải pháp Intranet VPN điển hình được mô tả như trong hình 1.4

Hình 1.4 Thiết lập VPN dựa trên VPN

Ưu điểm của việc thiếp lập dựa trên VPN như trên là:

- Loại trừ được các Router từ đường WAN xương sổng

- Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp °ác liên kết ngang hàng mới

- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn Cùng với việc loại trừ cáv dịch vụ đường dài giúp cho tổ chức giảm được chi phí cúa hoạt động Intranet

Nhược điểm:

- Vì dữ liệu được định đường hầm qua một mạng chia sẻ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe dọa nghiêm trọng đến an ninh mạng

- Khả năng mất các gói dữ liệu khi truyền vẫn còn cao

- Đường truyền dữ liệu đầu trên như multimedia, độ trễ truyền tin vẫn rất cao

và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet

- Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo

1.2.3 Mạng riêng ảo mở rộng (Extranet VPN)

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sừ dụng vào mạng Intranet của mộl tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng

là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng

dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống

Không giống như Intranet VPN và Remote Access VPN Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp Vì vậy còn được gọi là mạng riêng ảo đối tác

Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể

Ưu điểm chính của Extranet VPN là:

- Chi phí rất nhỏ so với cách thức truyền thống

- Dễ thực thì, duy trì và dễ thay đổi

- Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn

- Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống

Nhược điểm:

- Các nguy cơ an ninh như tấn công DoS vần còn tồn tại

- Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức

- Độ trễ truyền thông vẫn lớn và thông luợng bị giảm xuống rất thấp với các ứng dụng Multimedia

- Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm

Phần 2 Tìm hiểu về giao thức IPSec và các vấn đề liên quan

2.1 Giới thiệu chung và các chuẩn

Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6 Bằng cách cung cấp khả năng an toàn tại tầng này, các giao thức tầng giao vận và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi

gì cả

Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay TLS Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng dưới cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các hỗ trợ bảo mật -SSPI) Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép các ứng dụng ở tầng trên truy nhập vào các module báo mật ở tầng dưới), các ứng dụng ít nhất cần nhận thức được vấn đề bảo mật IPSec giải quyết được yêu cầu này bằng cách chuyển vấn đề bảo mật xuống tầng 3 Điều này cho phép các ứng dụng duy trì được tính không phụ thuộc vào hạ tầng bảo mật của các tầng dưới Các gói

IP sẽ được bảo vệ mà không phụ thuộc vào các ứng dụng đã sinh ra chúng Nói một cách khác, các ứng dụng không cần biết tới vấn đề bảo mật trên nền IP Các quy tắc bảo mật được định nghĩa thống nhất giữa các nhà quản trị mà không phụ thuộc vào một ứng dụng nào được chạy trong hệ thống và IPSec trong suốt đối với các ứng dụng Điều này đem lại những lợi ích vô cùng to lớn, đó là khả năng xác thực, bảo mật và kể cả mã hóa dữ liệu được truyền qua bất kỳ mạng IP nào Như vậy, IPSec cung cấp khả năng bảo mật đầu cuối - tới - đầu cuối giữa các máy tính và mạng máy tính

IPSec là một kiến trúc an toàn dựa trên chuẩn mở, có các đặc trưng sau:

- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại

- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn

- Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật

- Cung cấp khả năng xác thực dựa trên chứng chỉ số

- Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá

- Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như L2TP, PPTP

IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật Các thiết bị khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã hóa, trao đổi khóa bảo mật vv khi chuyển tiếp dữ liệu Đối với khách hàng, điều này đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà không đòi hỏi sự đầu tư hay thay đổi quá lớn đổi với hạ tầng mạng, người ta gọi giải pháp VPN ứng dụng giao thức IPSec là “Desktop VPN” vì toàn bộ chức năng bảo mật dữ liệu được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến các công tác bảo đảm an toàn Khi sử dụng các thuật toán xác thực và mã hoá dữ liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi ích của các công nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên mạng

Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu đề (AH) và đóng gói tải bảo mật (ESP) AH được sử dụng để đảm bảo tính toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối với máy chủ ESP cũng thực hiện các chức năng tương tự như AH nhưng kèm thêm khả năng bảo mật dữ liệu Cũng cần nhấn mạnh rằng cả hai giao thức này đều không chỉ ra bất kỳ một thuật toán mã hoá và xác thực cụ thể nào mà chỉ tạo ra khả năng ứng dụng tốt nhất một trong các thuật toán đang hiện hành