Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh PHIẾU GIAO NHIỆM VỤ 1. Đề tài tốt nghiệp: "Công nghệ IP-VPN" 2. Nhiệm vụ thiết kế: Ngày tháng năm 2012 SV: Phạm Quang Khải - Lớp: 09TM05ĐT GIÁO VIÂN HƯỚNG DẪN (Ký, ghi rõ họ tên) Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Ngày tháng năm 2012 SV: Phạm Quang Khải - Lớp: 09TM05ĐT GIÁO VIÂN PHẢN BIỆN (Ký, ghi rõ họ tên) Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh LỜI NÓI ĐẦU Cùng với xu hướng IP hóa mạng viễn thông hiện nay, vấn đề đảm bảo an ninh cho dữ liệu khi truyền qua mạng IP là vấn đề mang tính chất tất yếu. Đối với các tổ chức có phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm việc thì việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt động của mạng luôn được đặt ra, và IP-VPN là một giải pháp hiệu quả. Theo như dự đoán của nhiều hãng trên thế giới thì thị trường VPN sẽ là thị trường phát triển rất mạng trong tương lai. Thực tế thì VPN không phải là một khái niệm mới. Nó được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này. Với IP-VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì quản lý đơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt và không hạn chế. Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các giải pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử dụng, các thuật toán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này… nhưng không phụ thuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông. Mục đích của đồ án “Công nghệ IP-VPN” là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện IP-VPN, nội dung cụ thể như sau:  Chương 1: Bộ giao thức TCP/IP. Chương này trình bày khái niệm của mô hình phân lớp bộ giao thức TCP/IP. Trong đó tập trung đến 2 lớp là lớp Internet và lớp vận chuyển. Đây là lớp giao thức nền tảng chung cho các thiết bị trong mạng Internet, là cơ sở quan trọng cho nền tảng các mạng dựa trên IP. Qua đấy chúng ta cũng nhận ra rằng mạng Internet nguyên thủy hoàn toàn không hỗ trợ các dịch vụ an ninh và IP-VPN là một trong giải pháp cho vấn đề an ninh Internet.  Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó để có thể trở thành một giải pháp có khả năng phát triển mạnh trên thị trường. Tiếp theo là trình bày về các SV: Phạm Quang Khải - Lớp: 09TM05ĐT 1 Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh khối chức năng cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó. Cuối cùng là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN. Ở đây chỉ trình bày một cách khái quát nhất về hai giao thức đường ngầm hiện đang tồn tại và các sản phẩm tương đối phổ biến trên thị trường là PPTP và L2TP.  Chương 3: Giao thức IPSec cho IP-VPN. Chương này trình bày các vấn đề sau đây: thứ nhất là giới thiệu, khái niệm về giao thức IPSec và các chuẩn RFC có liên quan. Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụ thể là hai giao thức đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn tải tin). Thứ ba, trình bày về kết hợp an ninh SA và giao thức trao đổi khóa IKE để thiết lập các chính sách và tham số cho kết hợp an ninh giữa các bên VPN. Thứ tư, giới thiệu về các giao thức đang tồn tại ứng dụng cho IPSec, bao gồm có: mật mã bản tin, toàn vẹn bản tin, nhận thực các bên và quản lý khóa. Cuối cùng là một ví dụ về IP-VPN sử dụng giao thức đường ngầm IPSec.  Chương 4: An toàn dữ liệu trong IP-VPN. Nội dung của chương này là một số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên IPSec. Đối với vấn đề an toàn dữ liệu có 2 vấn đề chính đó là mật mã dữ liệu và xác thực dữ liệu. Đối với mật mã dữ liệu, tồn tại hai thuật toán là khóa đối xứng và khóa công khai. Ở đây đã trình bày chi tiết về thuật toán khóa đối xứng DES và cơ sở lí thuyết của thuật toán khóa công khai. Ngoài ra, phần này còn trình bày về trao đổi khóa Diffie-Hellman. Đối với xác thực dữ liệu có hai vấn đề trọng tâm là xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn của dữ liệu: thuật toán MD5/SHA-1để đảm bảo vấn đề toàn vẹn dữ liệ; giới thiệu các phương pháp xác thực và chứng thực số để xác định nguồn gốc dữ liệu.  Chương 5: Thực hiện VPN. Do có nhiều hãng tham gia phát triển các sản phẩm cho IP-VPN và mỗi hãng lại có nhiều dòng sản phẩm nên thực tế có rất nhiều mô hình thực hiện VPN. Chương này giới thiệu một số mô hình cụ thể thực hiện IP- VPN. Phần cuối của chương giới thiệu tình hình thị trường VPN Việt Nam. Tôi xin chân thành cảm ơn Thầy Đinh Hữu Thanh đã tận tình dạy dỗ và giúp đỡ tôi trong quá trình học tập cũng như làm đồ án này. Hà Nội, ngày 22 tháng 4 nămg 2012 Sinh viên: Phạm Quang Khải SV: Phạm Quang Khải - Lớp: 09TM05ĐT 2 MỤC LỤC LỜI NÓI ĐẦU 1 MỤC LỤC 3 24 8 DAN 8 T TẮT 16 C 16 KÝ HIỆU TOÁN HỌC 16 CHƯƠNG 1 17 BỘ GIAO THỨC TCP/ 17 ư E-mail, truyền nhận file) 18 1.2 Mô hìn 18 , wireless, Async, ATM, SNA… 19 1.3Các g 19 o thức trong mô hình T C 19 IP 20 1.3.1 Giao thức Inte 20 : Giao thức kết nối vô 21 u bắt đầu trong phạm vi 32 bit 23 1.3.1.3 23 ng và node khác nhau để tới đích 24 ược tính đến khi lựa chọn tuyến 25 àn 27 Hỗ trợ mạng thông tin di đ 27 g 28 1.3.2. Giao thức l 28 không được tính đến tr 29 Cơ chế cửa s 34 N là một 35 rong những giải pháp hiệu quả 35 CHƯƠ 35 2 35 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 3 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 35 2 36 Gới thiệu về mạng riêng ảo trên Internet IP-VPN 36 2.1.1 36 tất cả các thực thể thông qua môi 36 c yếu tố thúc đẩy sự phát triển ca th 37 c 38 An ninh 38 Truyền Tunnel 38 hạn tính chỉ có 39 L2TP Access C 40 PN để cách ly lưu lựong AAA với lưu 40 ưu ý rằng AH h ữu ích khi cần cu 43 ng 43 Trễ của Tunnel 43 Tốc độ tế bào/ gói đ 43 ọi trực tiếp, các phương phá 44 số theo phương tiện của 46 có các địa chỉ mạng riên 46 khác nhau được kết nối 47 sắp xếp an ninh duy nhất giữa các thành 48 hức đường ngầm là PPTP và L2TP. Với giao thức đườn 49 ụng giao thức PPTP với một giao diện nối với Internet v 50 r, trailer của lớp đường truyền dữ liệu 51 ại tương tự hoặc ISDN ) , nó sẽ được đ 52 và giải nén phần PPP P 52 WAN tương ứng đại diện cho phần cứng quay 54 i mạng Intranet. Các dữ liệu đường ngầm và dữ liệu duy 55 c định đường ngầm, và một mã số 55 (chẳng hạn đường dây điện thoại ISDN), IP datagram đ 56 hể 57 Dựng PPP Header để xác định PPP Paylo 57 r và Trailer 58 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 4 một gia 60 thức được xem nh ư t ối ưu 60 ho công nghệ 60 triển để giải quyết vấn đ 61 mục lục sao cho khi kết hợp một địa ch 62 oạt các RFC (Request for Comment 64 có liên quan đến IPSec 64 nnel (đường ngầm). Sau 64 o như IETF thì kiểu 65 P-VPN không cần phải thay đổi ứng d 66 g hay hệ điều hành 66 không thể dự đoán trước đượ 67 ền đến khi so sánh với nha 69 c dù dịch vụ này được sử dụng hay không là 73 oàn toàn dựa vào t 73 Dịch vụ chống phát lại chỉ c 73 SA ag xét. Thuật toán xác 76 SPI, địa chỉ đích, trương Protocol type sai 83 Độ dài 83 ần Padding hoặc giá trị 83 a nó bị sai 83 Gói ESP mật mã b 83 AH hay ESP) và tìm SA 84 nhau: Mỗi đường hầm bên 86 . Cho xử lý đi ra, một lối vào SP 87 hai được hoàn thành n 88 ruyền. Khi chúng khô 90 hực đối tác 93 Có ha 93 ai cách tính thời g 95 lập các kết hợp an ninh IPS 95 thì một IKE pha 2 mới sẽ thực hiện. Trong trường hợp 96 mật mã, nhận thực, t 96 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 5 ó 2 tiêu chuẩn cơ bản để mật mã dữ li 96 mật mã những khối 64 bit do văn bản rõ (clear tex 97 trình đóng gói, một qu 97 đó là MD5 và SHA-1 (Secure Hash Algor 98 yêu cầu có HMAC. HMA 98 được lưu trong trường nhận thực 98 tóm tắt bản tin trong 99 ện nhận thực các bên. Quá 99 ẻ trước 99 Xử lý khóa c 99 ký số RSA được yêu cầu, mộ 100 chia sẻ khóa công 100 quản lý thủ công. Vấn đề xuất hi 101 fie-Helman để thương lượng 102 chng nhận theo chu kì mà nó đã hết hiệu lực hoặc đã 103 để đưa gói 104 hiết lập 105 Nhiệm vụ của giao thức IKE 105 hính là thương 105 iới hạn cứ 107 nhắc phải sử dụng đún 107 ng một khóa qua một kênh tin cậy và khó 108 này phải tồn tại trước quá trình tru 109 IV (Initialization Vector). IV được truyền qua kê 110 ử dụng một thuật toán mật mã khóa đối xứng với n đối 113 ến 10 vòng 114 Trong 5 thuật toán trên, NIST đ 114 n (pseudo-random sequence) khởi tạo 115 i một khóa bí mật (secret key). Chuỗi khóa được XOR 115 nput). Nếu chiều dài input là n bớt thì th 117 oại Commercial 120 Loại Militery 120 Trên đây l 120 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 6 u: hai bên A 121 = 4 121 Hai bên chọn khóa bí mật là K A = 121 mật mã khóa đối xứng và khóa không đối xứng. Gải pháp khóa đố 122 lấy giá trị định nghĩa trước trong các chuẩn MD5, SHA. Một giá trị hash sẽ 125 a vòng băm thứ nhất 128 Phưong pháp xác thực tính toàn vẹn 128 số đó 129 Do các khóa công khai đ 129 c phân bố rộng rãi, nên bất cứ n 130 quá trình xác thực được lấy từ một thư mục công 133 c bao gồ 137 các thông tin sau 137 Version Numbe 137 ản phẩm có thể là chuyên dụng (p 138 bao số (DSL), đi 139 vậy cần cân nhắc thận trọng trước khi 140 hập nào để kết nối tới Internet. Thêm vào đó, phươn 140 sử dụng và POP. Phần kết nối còn lại đư 141 mô hình này, tổ chức và nhà cung cấ 142 iện VPN 142 như ta đã biết, có n 143 oán HMAC-MD5 (128 bit), HMA 143 đường ngầm dựa trên các 146 r mật mã và đóng gói IP ban đầu với ESP 147 N tại Hà 148 i. Đây cũng chính 149 nc 151 7) Security P 151 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 7 Đồ án tốt nghiệp GVHD: Đinh Hữu Thanh 24 DAN xuống lớp vật lý) như sau: 18 Hình 1.1: Mô hìn 19 gói và sai thứ tự gói tin 20 Hình 1.2: Định 20 ruyền tin cậy (ví dụ TCP) 21 Hình 1 21 mô tả như trong hình 1.4 21 H 22 minh họa hiện tượng phân mảnh 24 Hình 24 IP thành các lớp A, B, C, D, E 25 inh họa cấu trúc gói tin IPv6 26 DP được mô tả như trong hình 1 28 khiển luồng 29 a) Cấu trúc tiêu 29 hợp đơn giản có thể minh họa như sau: 31 Hình 31 n xóa bỏ những ghi nhận về kết nối 32 n dẫn và điều khiển tốc độ dòng dữ liệu 34 Hình 1.12 34 2,8 đến 46 tỷ đô la trong các năm từ 2001 đến 2006 37 Hình 2.1: 37 qua đó các gói được truyền tải với mức an ninh 41 ậy khỏi mạng IP công cộng bằng cách sử dụng các địa c 42 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 8 [...]... Thanh lựa chọn cho IP- VPN truy nhập qu 46 ử dụng vào các mạng con L 47 iển truy nhập đa lớp và c 48 CP header, các bản tin điều khiển PPTP và các hea .51 ầm PPTP được đóng gói thông qua n 51 rúc mạng (từ một IP- VPN clien 53 gửi như các UDP datagram UDP dat 55 đóng gói Hình 2.11 chỉ ra cấu t 56 ột IP- VPN client thông... nhận thực đòi hỏi bắt tay Công nghệ chuyển tiếp tế bào Đơn vị dịch vụ kênh Thiết bị truyền thông dữ liệu Thuật toán mã DES Giao thức trao đổi khóa Diffie-Hellman Nhận dạng kết nối lớp liên kết dữ liệu Hệ thông tên miền Công nghệ đường dây thuê bao số Bộ ghép kênh DSL 13 Đồ án tốt nghiệp Đại học DTE EAP ECB ESP FCS FDDI FPST FR FTP GRE HMAC IBM ICMP ICV IETF IKE IKMP IN IP IPSec ISAKMP ISDN ISO ISP... dữ liệu cáp quang phân tán Kỹ thuật chuyển mạch gói nhanh Công nghệ chuyển tiếp khung Giao thức truyền file Đóng gói định tuyến chung Mã nhận thực bản tin băm Công ty IBM Giao thức bản tin điều khiển Internet Giá trị kiểm tra tính toàn vẹn Cơ quan tiêu chuẩn kỹ thuật cho Internet Giao thức trao đổi khóa Giao thức quản lí khóa qua Internet Công nghệ mạng thông minh Giao thức lớp Internet Giao thức an... giao thức TCP /IP Bộ giao thức TCP /IP là sự kết hợp của các giao thức khác nhau ở các lớp khác nhau, không chỉ có các giao thức TCP và IP Mỗi lớp có chức năng riêng Mô hình TCP /IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng d xuống lớp vật lý) như sau: SV: Phạm Quang Khải - Lớp: 09TM05ĐT 18 Đồ án tốt nghiệp Đại học Ký hiệu viết tắt Hình 1.1: Mô hìn  phân lớp bộ giao thức TCP /IP Lớp ứng dụng... trúc gói tin IPv6 Thế giới đang đối mặt với việc thiếu địa chỉ IP cho các thiết bị mạng, địa chỉ dài 32 bit không đáp ứng được sự bùng nổ của mạng Thêm nữa, IPv4 là giao thức cũ, không đáp ứng được các yêu cầu mới về bảo mật, sự linh hoạttrng định tuyến và hỗ trợ lưu l ượ ng Diễn đàn IPv6 được bắt đầu vào tháng 7-1999 bởi 50 nhà cung cấp Internet hàng đầu với mục đích phát triển giao thức IPv6, nó được... triển này đã bỏ xa khả năng đáp ứng chức năng và dịch vụ của IP Một môi trường liên mạng cần phải hỗ trợ lưu lượng thời gian thực, kế hoạch điều khiển tắc nghẽn linh hoạt và các đặc điểm bảo mật mà IPv4 hiện không đáp ứng được đầy đủ Hình 1 inh họa cấu trúc gói tin IPv6  Hình 1.7: Cấu trúc tiêu đề IPv6 Version (  iên bản): chỉ ra phiên bản IPv6 Traffic Class (lớp lưu lượng): có độ dài 8 bit, được dùng... 1 trình bày sơ lược về bộ giao thức TCP /IP, giới thiệu chức năng cơ bản của các lớp trong mô hình phân lớp của nó Do phạm vi của đề tài nên chỉ tập trung đi sâu về giao thức IP của lớp Int net và giao thức TCP/UDP của lớp giao vận Đối với giao thức IP, ở đây chỉ trình bày các vấn đề địa chỉ, định tuyến, phân mảnh và hợp nhất dữ liệu, cấu trúc gói tin IPv4 và IPv6 Đây là những vấn đề cơ bản SV: Phạm... thức kết nối vô ướng 1.3.1.2 Cấu trúc IPv4 Thông tin nhận từ lớp vận chuyển được gán thêm vào tiêu đề IP Tiêu đề này có chiều dài từ 20 đến 60 bytes trên đường đi tùy thuộc vào các chức năng lựa chon được sử dụng Cấu trúc gói IPv4 mô tả như trong hình 1.4 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 21 Đồ án tốt nghiệp Đại học Ký hiệu viết tắt H h 1.4: Cấu trúc gói tin IPv4  ải thích ý nghĩa các trường: Version... 1.4: Cấu trúc gói tin IPv4  ải thích ý nghĩa các trường: Version (phiên bản): chỉ ra phiên bản của giao thức IP dựng để tạo datagram, được sử dụng để máy gửi, máy nhận, các bộ định tuyến cùng thống nhất về định dạng lược đồ dữ  ệu Ở đây phiên bản là IPv4 IP header length (độ dài tiêu đề IP) : cung cấp thông tin về độ dài của tiêu đề datagram  ược tính theo các từ 32 bit Type of service (loại dịch... tắt Địa chỉ: Mỗi trạm trong mạng đều được đặc trưng bởi một số hiệu nhất định gọi là địa chỉ IP Địa chỉ IP được sử dụng trong lớp mạng để định tuyến các gói tin qua mạng Do tổ chức và độ lớn của các mạng con trong liên mạng khác nhau, nên người ta chia địa IP thành các lớp A, B, C, D, E Hình 1.6: Các lớp địa chỉ IPv4 Định tuyến trong mạng Internet: việc định tuyến trong một hệ thống mạng chuyển gói chỉ . vụ an ninh và IP-VPN là một trong giải pháp cho vấn đề an ninh Internet.  Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm. sở hạ tầng của mạng viễn thông. Mục đích của đồ án Công nghệ IP-VPN là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện IP-VPN, nội dung cụ thể như sau:  Chương 1: Bộ giao. 35 CHƯƠ 35 2 35 SV: Phạm Quang Khải - Lớp: 09TM05ĐT 3 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 35 2 36 Gới thiệu về mạng riêng ảo trên Internet IP-VPN 36 2.1.1 36 tất cả các thực thể thông qua