Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 35 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
35
Dung lượng
0,99 MB
Nội dung
Tìm hiểu về StrongSWAN Phân công thực hiện báo cáo: Đặng Long Hải (Phần 1) Nguyễn Như Hoàng (Phần 2) Say Khăm (Phần 2) Nguyễn Trí Công (Phần 3) Nguyễn Bá Hoàng (Phần 3) An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 1 Mục lục Lời mở đầu 3 Danh mục viết tắt 4 Danh mục hình vẽ 5 Phần 1. Tổng quan về mạng riêng ảo VPN 6 1.1. Giới thiệu về VPN 6 1.1.1. Định nghĩa 6 1.1.2. Những lợi ích của VPN 7 1.2. Các mô hình kết nối VPN thông dụng 8 1.2.1. VPN Truy cập từ xa (Remote Access VPN) 8 1.2.2. VPN Cục bộ (Intranet VPN) 10 1.2.3. Mạng riêng ảo mở rộng (Extranet VPN) 12 Phần 2. Tìm hiểu về giao thức IPSec và các vấn đề liên quan 15 2.1. Giới thiệu chung và các chuẩn 15 2.2. Cơ chế đảm bảo An toàn dữ liệu của IPSec 18 2.3. Đóng gói thông tin của IPSec 19 2.3.1. Kiểu Transport 19 2.3.2. Kiểu Tunnel 20 2.4. Giao thức trao đổi khoá IKE 21 2.4.1. Giới thiệu chung và các chuẩn 21 2.4.2. Các yêu cầu quản lý khoá đối với IPSec 22 2.4.3. Các chế độ IKE 24 2.4.4. Quá trình hoạt động của IPSec 26 Phần 3. Tìm hiểu về StrongSWAN và triển khai IPSec sử dụng StrongSWAN 27 3.1. Giới thiệu về strongSwan 27 3.1.1. Securing a Network 27 3.1.2. Quá trình phát triển 27 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 2 3.2. StrongSwan Software Architecture 29 3.3. Software Architecture of the IKEv2 Daemon 30 3.4. Một số tính năng của strongSwan 31 KẾT LUẬN 33 Tài liệu tham khảo 34 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 3 Lời mở đầu Hiện nay, Internet phát triển mạnh mẽ đã đáp ứng các nhu cầu từ nghiên cứu, học tập đến giải trí của người sử dụng. Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến,…đã trở nên dễ dàng hơn rất nhiều. Tuy nhiên, việc sử dụng Internet cũng có nhiều vấn đề cần được quan tâm như bảo mật thông tin, quản lý chất lượng dịch vụ để có thể đáp ứng mọi nhu cầu, tại bất kỳ thời điểm nào của người dùng. Các doanh nghiệp hiện nay có nhiều chi nhánh được mở ra, thông qua Internet để mở rộng giao dịch, mua bán. Để giải quyết vấn đề kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên trên, nhiều doanh nghiệp đã chọn giải pháp mô hình mạng riêng ảo VPN (Virtual Private Network). VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi, hoặc các văn phòng chi nhánh có thể kết nối an toàn tới máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Trong quá trình tìm hiểu môn học, nhóm sinh viên chúng em nhận được đề tài “Tìm hiểu về StrongSWAN và cài đặt thử nghiệm. Phân tích quá trình kết nối trao đổi thông tin”, StrongSWAN là một giải pháp VPN dựa trên mã nguồn mở, được phát triển để triển khai IPSec trong bảo mật VPN khi kết nối qua mạng Internet. Trong quá trình tìm hiểu đề tài, do hiểu biết và kiến thức về vấn đề báo cáo còn hạn chế nên không tránh khỏi những thiếu sót. Chúng em hy vọng thầy và các bạn góp ý để báo cáo được hoàn thiện hơn. Xin chân thành cảm ơn ! An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 4 Danh mục viết tắt Từ viết tắt Tên đầy đủ VPN Virtual Private Network IP Internet Protocol IPSec Internet Protocol Security IKE Internet Key Exchange ATM Asynchronous Transfer Mode WAN Wide Area Network ISDN Integrated Services Digital Network ISP Internet Service Provider DoS Denial of Service QoS Quality of Service L2TP Layer 2 Tunneling Protocol PPTP Point-to-Point Tunneling Protocol AH Authentication Header ESP Encapsulating Security Payload HMAC Hash Message Authentication Code IETF Internet Engineering Task Force ISAKMP Internet Security Association and Key Management Protocol DHCP Dynamic Host Configuration Protocol DNS Domain Name System SA Security Association UDP User Datagram Protocol CA Certificate Authority An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 5 Danh mục hình vẽ Hình 1.1 Thiết lập từ xa không có VPN 9 Hình 1.2 Thiết lập VPN truy cập từ xa 10 Hình 1.3 Thiết lập Intranet sử dụng WAN 11 Hình 1.4 Thiết lập VPN dựa trên VPN 11 Hình 1.5 Mạng Extranet truyền thống 13 Hình 2.1 Kiến trúc bộ giao thức IPSec 17 Hình 2.2 Gói tin IP theo kiểu Transport 20 Hình 2.3 Gói tin IP ở kiểu Tunnel 20 Hình 2.4 Thiết bị mạng thực hiện IPSec kiểu Tunnel 21 Hình 2.5 Trao đổi thông điệp trong chế độ IKE Main 24 Hình 2.6 Mô tả một phiên giao dịch trong chế độ IKE Aggressive 25 Hình 2.7 Trao đổi thông điệp trong chế độ Quick IKE thuộc pha II 25 Hình 2.8 Trao đổi khóa An toàn trong chế độ Newgroup IKE 26 Hình 3.1 Mô hình mạng đơn giản 27 Hình 3.2 Quá trình phát triển StrongSWAN 28 Hình 3.3 Kiến trúc strongSwan IKE daemon 30 Hình 3.4 Kiến trúc phần mềm của IKEv2 Charon daemon 31 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 6 Phần 1. Tổng quan về mạng riêng ảo VPN 1.1. Giới thiệu về VPN 1.1.1. Định nghĩa Mạng riêng ảo, có tên tiếng Anh là Virtual Private Netvvork, viết tắt là VPN. Có nhiều định nghĩa khác nhau về Mạng riêng ảo VPN. Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet. Theo tài liệu của IBM, VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng. Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2 điểm truyền thông cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các “đường hầm”. Các đường hầm này cho phép các thực thể cuối trao đổi dữ liệu theo cách tương tự như truyền thông điểm - điểm. Mạng riêng của các Công ty loại trừ được các đường Lease-Line chi phí cao. Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi phí mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN. Và với VPN truy cập từ xa có thể tiết kiệm từ 60% đển 80% chi phí khi sử dụng đường Dial-up để truy cập từ xa đến Công ty. An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 7 1.1.2. Những lợi ích của VPN VPN mang lại nhiều lợi ích, những lợi ích này bao gồm Giảm chi phí thực thi: Chi phí cho VPN ít hưn rất nhiều so với các giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại điện của ISP. Giảm được chi phí thuê nhân viên về quản trị: Vì giảm được chi phí truyền thông đường dài. VPN cũng làm giảm được chí phí hoạt động của mạng dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế tổ chức không cần thuê nhiều nhân viên mạng cao cấp. Nâng cao khả năng kết nối: VPN tận dụng Intenet để kết nối giữa các phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới Intranet của Công ty mình. Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như: Mã hóa, xác thực và cấp quyển để bảo đảm an toàn, tính tin cậy tính xác thực của dữ liệu được truyền. Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin. Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease- Line băng thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động. Các VPN chỉ tạo các đường hầm logic để truyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng. Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 8 phải thay đổi với phí tổn tối thiểu cho việc theo các phương tiện, thiết bị. Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát triển trong tương lai. 1.2. Các mô hình kết nối VPN thông dụng Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau: - Các nhân viên liên lạc từ xa, người dùng di động, người đùng từ xa của một công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào. - Có khả năng kết nối từ xa giữa các nhánh văn phòng. - Kiểm soát được truy cập cùa các khách hàng, nhà cung cấp là đối tác quan trọng đối với giao dịch thương mại của công ty. Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành 2 loại như sau: VPN truy cập từ xa (Remote Access VPN), VPN Site - to -Site (Bao gồm 2 mô hình: VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN)) 1.2.1. VPN Truy cập từ xa (Remote Access VPN) Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của công ty họ như là họ đang kết nối trực tiếp vào mạng đó. Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi ngươi dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty. An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 9 Hình 1.1 Thiết lập từ xa không có VPN Như trong hình trên, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở rộng của VPN bao gồm các thành phần chính như sau: - Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa. - Kết nối Dial-up tới mạng trung tâm. - Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa. Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa tương ứng được mô tả như trong hình 1.2. [...]... Lớp AT6A Page 26 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Phần 3 Tìm hiểu về StrongSWAN và triển khai IPSec sử dụng StrongSWAN 3.1 Giới thiệu về StrongSwan 3.1.1 Securing a Network StrongSwan là một giải pháp IPsec bổ sung toàn diện cho Linux 2.6 and 3.x kernels cung cấp mã hóa và xác thực tới các server và các client Nó có thể được sử dụng để đảm bảo giao tiếp an toàn với các mạng từ xa, tập... của các doanh nghiệp Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 33 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Tài liệu tham khảo [1] Giáo trình An toàn mạng riêng ảo – Học viện Kỹ thuật Mật Mã – TS Đặng Vũ Sơn – 2007 [2] http://en.wikipedia.org/wiki/Virtual_private_network [3] http://en.wikipedia.org/wiki/IPsec [4] http://wiki .strongswan. org/projects /strongswan/ wiki/IntroductionTostrongSwan [5] LinuxTag2008 -strongSwan. . .An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Hình 1.2 Thiết lập VPN truy cập từ xa 1.2.2 VPN Cục bộ (Intranet VPN) Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã dược thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VolP,... Michael Richardson hợp tác với Ken Bantoft và Paul Wouters xây dựng nên Xelerance Inc với mục tiêu chính là theo đuổi dự án Openswan Do Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 28 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN nhiều lý do, tác giả quyết định phân phối một bản strongSwan của riêng mình Do đó Openswan 2.x đổi hướng theo hướng chủ đạo là VPN còn strongSwan 2.x tập trung vào xác thực mạnh... vậy còn được gọi là mạng riêng ảo đối tác Hình 1.5 Mạng Extranet truyền thống Theo cách này chi phí cực đắt vì mỗi mạng riêng trong Intranet phải hoàn toàn thích hợp với mạng mở rộng Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau Hơn nữa rất khó mở rộng vi làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh huởng đến các mạng mở rộng đã kết... viện Kỹ thuật Mật Mã – Lớp AT6A Page 12 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống Không giống như Intranet VPN và Remote Access VPN Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như:... chức qua các Router trung gian Thiết lập này được mô tả như trong hình dưới Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 10 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Hình 1.3 Thiết lập Intranet sử dụng WAN Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một khu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là... viện Kỹ thuật Mật Mã – Lớp AT6A Page 17 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN 2.2 Cơ chế đảm bảo An toàn dữ liệu của IPSec IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH: - AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn... Lớp AT6A Page 32 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN KẾT LUẬN Đề tài đã đưa ra được các thông tin tổng quát về StrongSwan là một giải pháp VPN dựa trên mã nguồn mở, tiết kiệm được chi phí, dễ dàng triển khai và cài đặt Thông qua việc tìm hiểu các thành phần, cấu trúc, cơ chế hoạt động để có thể lựa chọn các mô hình cài đặt thích hợp theo nhu cầu sử dụng của từng tổ chức, doanh nghiệp muốn... AT6A Page 20 An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Trong kiểu Tunnel, toàn bộ gói IP ban đầu được đóng gói và trở thành Payload của gói IP mới Kiểu này cho phép các thiết bị mạng như router thực hiện xử lý IPSec thay cho các trạm cuối (host) Hình 3.3 là ví dụ: Router A xử lý các gói từ host A, gửi chúng vào đường ngầm Router B xử lý các gói nhận được trong đường ngầm, đưa về dạng ban đầu và chuyển . An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 6 Phần 1. Tổng quan về mạng riêng ảo VPN 1.1. Giới thiệu về VPN 1.1.1. Định nghĩa Mạng riêng. Tìm hiểu về StrongSWAN và triển khai IPSec sử dụng StrongSWAN 27 3.1. Giới thiệu về strongSwan 27 3.1.1. Securing a Network 27 3.1.2. Quá trình phát triển 27 An toàn mạng riêng ảo – Tìm hiểu. An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 1 Mục lục Lời mở đầu 3 Danh mục viết tắt 4 Danh mục hình vẽ 5 Phần 1. Tổng quan về mạng riêng