HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP Nội dung: Công Nghệ Mạng Riêng Ảo IPSecVPN Sinh viên thực tập : Đinh Văn Bảo Lớp : D11HTTT2 Hà nội, 07/ 2015 MỤC LỤC .3 Phần B : NỘI DUNG THỰC TẬP .3 I Phần giới thiệu chung -Tên chủ đề thực tập: Tìm hiểu mạng riêng ảo IPSec VPN .3 -Kết cần đạt: II Phần trình bày SV MỞ BÀI .3 THÂN BÀI Tổng quan IPSec Tổng quan VPN Thử nghiệm III Phần SV tự ghi 13 Phần B : NỘI DUNG THỰC TẬP I Phần giới thiệu chung Trong thời đại ngày nay, Internet phát triển mạnh mặt mô hình công nghệ, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà không xem xét đến máy mạng mà người sử dụng dùng Để làm điều người ta sử dụng máy tính đặc biệt gọi router để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, nhiều điều khác trở thành thực.Tuy nhiên, Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn -Tên chủ đề thực tập: Tìm hiểu mạng riêng ảo IPSec VPN -Mục tiêu : - Nắm nguyên lý hoạt động công nghệ VPN - Nắm nguyên lý hoạt động công nghệ IPSec VPN - Các bước cấu hình troubleshoot công nghệ IPSec VPN -Kết cần đạt: - Hiểu rõ nguyên lý hoạt động công nghệ VPN - Hiểu rõ nguyên lý hoạt động công nghệ IPSec VPN - Cấu hình mô hoàn chỉnh mạng riêng ảo sử dụng công nghệ IPSec VPN - Kiểm tra thông tin tham số giao thức IPSec VPN - Đảm bảo site mạng VPN kết nối với chiều II Phần trình bày SV MỞ BÀI Trong thời đại ngày nay, Internet phát triển mạnh mặt mô hình công nghệ, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà không xem xét đến máy mạng mà người sử dụng dùng Để làm điều người ta sử dụng máy tính đặc biệt gọi router để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, nhiều điều khác trở thành thực.Tuy nhiên, Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình nhằm thoả mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà , đường hay văn phòng chi nhánh kết nối an toàn tới máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an toàn thông tin đại lý , người cung cấp đối tác kinh doanh với môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN giống WAN (Wide Area Network), nhiên đặc tính định VPN chúng dùng mạng công cộng Internet mà lại đảm bảo tính riêng tư tiết kiệm nhiều THÂN BÀI Tổng quan IPSec Khái quát chung IPsec tập hợp giao thức thuật toán dùng để bảo vệ gói tin IP IPsec mang lại lợi ích confidentiality thông qua mã hóa, data integrity thông qua hashing HMAC, authentication cách sử dụng chữ ký số pre-shared key (PSK) IPsec hỗ trợ antireplay Dưới thành phần IPsec: - ESP AH: Đây phương pháp để triển khai IPsec ESP viết tắt Encapsulating Security Payload thực tất tính IPsec AH viết tắt Authentication Header, thực nhiều tính IPsec ngoại trừ tính quan trọng mã hóa liệu Vì lý nên ta thấy AH sử dụng - Thuật toán mã hóa: DES, 3DES, AES - Thuật toán hash: MD5, SHA - Kiểu chứng thực: Pre-shared key, chữ ký số - Quản lý key: Thuật toán mã hóa bất đối xứng Diffie-Hellman (DH) dùng để phát sinh key tự động cho thuật toán mã hóa đối xứng Internet Key Exchange (IKE) thực công việc thương lượng quản lý key Hiện trạng IPsec phần bắt Buộc IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 Các giao thức IPsec định nghĩa từ RFCs 1825 – 1829, phổ biến năm 1995 Năm 1998, nâng cấp với phiên RFC 2401 – 2412, không tương thích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, hệ thứ chuẩn IPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 hệ cung cấp chuẩn IKE second Trong hệ IP security viết tắt lại IPsec Sự khác quy định viết tắt hệ quy chuẩn RFC 1825 – 1829 ESP phiên ESPbis Bảo mật IPsec triển khai: 1) sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trình truyền 2) phương thức xác thực 3) thiết lập thông số mã hoá Xây dựng IPsec sử dụng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật toán thông số (ví khoá – keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPsec IPsec bao gồm nhóm giao thức bảo mật đáp ứng mã hoá xác thực cho gói tin IP Trong bước thực phải định cần bảo vệ cung cấp cho gói tin outgoing (đi ngoài), IPsec sử dụng thông số Security Parameter Index (SPI), trình Index (đánh thứ tự lưu liệu – Index ví danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài địa đích header gói tin, với nhận dạng thoả hiệp bảo mật (tạm dịch từ - security association) cho gói tin Một trình tương tự làm với gói tin vào (incoming packet), nơi IPsec thực trình giải mã kiểm tra khoá từ SADB Cho gói multicast, thoả hiệp bảo mật cung cấp cho group, thực cho toàn receiver group Có thể có thoả hiệp bảo mật cho group, cách sử dụng SPI khác nhau, nhiên cho phép thực nhiều mức độ bảo mật cho group Mỗi người gửi có nhiều thoả hiệp bảo mật, cho phép xác thực, người nhận biết keys gửi liêu Chú ý chuẩn không miêu tả làm để thoả hiệp lựa chọn việc nhân từ group tới cá nhân Chế độ hoạt động  Transport Mode (chế độ vận chuyển) - Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mô tả bên dưới, AH ESP đặt sau IP header nguyên thủy Vì có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Chế độ transport có thuận lợi thêm vào vài bytes cho packets cho phép thiết bị mạng thấy địa đích cuối gói Khả cho phép tác vụ xử lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thông tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói - Transport mode thiếu trình xử lý phần đầu, nhanh Tuy nhiên, không hiệu trường hợp ESP có khả không xác nhận mà không mã hóa phần đầu IP - Transport Mode thường dùng cho kết nối từ đầu cuối đến đầu cuối, ví dụ từ trạm làm việc đến máy chủ hai trạm làm việc với  Tunnel Mode (Chế độ đường hầm): Không giống Transport mode, Tunnel mode bảo vệ toàn gói liệu Toàn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Toàn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Toàn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway hỗ trợ IPSec Tunnel Mode thường dùng SA (Security Association -liên kết bảo mật) nối hai gateway hai mạng Ưu khuyết điểm  Ưu điểm: - Khi IPSec triển khai tường lửa định tuyến mạng riêng, tính an toàn IPSec áp dụng cho toàn vào mạng riêng mà thành phần khác không cần phải xử lý thêm công việc liên quan đến bảo mật - IPSec thực bên lớp TCP UDP, đồng thời hoạt động suốt lớp Do không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec triển khai - IPSec cấu hình để hoạt động cách suốt ứng dụng đầu cuối, điều giúp che giấu chi tiết cấu hình phức tạp mà người dùng phải thực kết nối đến mạng nội từ xa thông qua mạng Internet  Hạn chế: - Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật nghiên cứu chưa chuẩn hóa - IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác - Việc tính toán nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu - Việc phân phối phần cứng phầm mềm mật mã bị hạn chế phủ số quốc gia Tổng quan VPN Khái quát chung VPN (virtual private network) công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa tiết kiệm chi phí Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa mạng điện thoại Phương thức vừa tốn vừa không an toàn VPN cho phép máy tính truyền thông với thông qua môi trường chia sẻ mạng Internet đảm bảo tính riêng tư bảo mật liệu Để cung cấp kết nối máy tính, gói thông tin bao bọc header có chứa thông tin định tuyến, cho phép liệu gửi từ máy truyền qua môi trường mạng chia sẻ đến máy nhận, truyền đường ống riêng gọi tunnel Để bảo đảm tính riêng tư bảo mật môi trường chia sẻ này, gói tin mã hoá giải mã với khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin đường truyền • Các công nghệ VPN • Có số công nghệ VPN sau: - IPsec: Thực bảo mật cho gói tin IP Layer mô hình OSI, dùng cho siteto-site VPN remote-access VPN - SSL: Secure Socket Layer thực bảo mật cho TCP session Layer mô hình OSI, dùng cho remote-access VPN (cũng dùng để truy cập an toàn web server thông qua HTTPS) - MPLS: MPLS Layer VPN mặc định mã hóa Ta sử dụng IPsec chung với MPLS VPN • VPN phân thành loại remote-access site-to-site • Remote-access VPN: Một số user cần tạo kết nối VPN từ PC họ đến trụ sở (hoặc đến nơi mà họ muốn) Loại gọi remote-access VPN Remote-access VPN sử dụng công nghệ IPsec SSL • Site-to-site VPN: Một số công ty có nhiều sites, họ muốn sites kết nối an toàn với Loại gọi site-to-site VPN Site-to-site VPN thường sử dụng công nghệ IPsec Bảo mật Bảo mật VPN (Virtual Private Network): Tường lửa (firewall) rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Nguyên lý hoạt động Nguyên lý hoạt động VPN đơn giản, giống so với mô hình server – client thông thường Server chịu trách nhiệm việc lưu trữ chia sẻ liệu sau mã hóa, giám sát cung cấp hệ thống gateway để giao tiếp xác nhận tài khoản client khâu kết nối, client VPN, tương tự client hệ thống LAN, tiến hành gửi yêu cầu – request tới server để nhận thông tin liệu chia sẻ, khởi tạo kết nối tới client khác hệ thống VPN xử lý trình bảo mật liệu qua ứng dụng cung cấp Ưu khuyết điểm Ưu điểm Giảm chi phí thiết lập: VPN có giá thành thấp nhiều so với giải pháp truyền tin khác ATM hay ISDN loại bỏ kết nối khoảng cách xa cách thay chúng kết nối nội mạng truyền tải ISP hay POP Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, không chi phí đào tạo trả cho nhiều người quản lý mạng Nâng cao kết nối : VPN sử dụng mạng Internet cho kết nối nội thành phần xa intranet chi nhánh xa người dung kết nối với mạng intranet Bảo mật: sử dụng kĩ thuật tunneling kèm với Phương pháp mã hoá, xác nhận va uỷ quyền Hiệu xuất băng thông: băng thông mạng kích hoạt có internet Có thể nâng cấp dễ dàng Khuyết điểm Phụ thuộc nhiều vào đường truyền internet Thiếu giao thức kế thừa hỗ trợ Thử nghiệm Thử nghiệm Chúng ta dùng máy Windows Server 2003 làm VPN Sever (đặt tên SRV-1), có card mạng kết nối với hệ thống mạng nội (IP: 192.168.1.1) card ADSL (IP tĩnh, dùng IP động phải sử dụng kết hợp với dịch vụ Dynamic DNS DtnDNS.Org hay No-IP.Com) để kết nối với bên (Internet) Để quản lý người dùng hệ thống tài nguyên cần có domain controler cài đặt Windows Server 2003 tên SRV-11 (IP: 192.168.0.11) Trong mô hình này, sử dụng máy client bên chạy hệ điều hành Windows XP, kết nối VPN với chế chứng thực mã hóa liệu dựa IPSec ESP Bước 1: Tạo domain controler Bước 2: Đưa SRV-1 (VPN Server) vào domain Bước 3: cài đặt VPN Server SRV-1 10 Bước 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server Bước 5: Kết nối VPN Client Client-1 vào domain Bước 6: Yêu cầu cấp phát chứng điện tử (certificate) cho VPN Server Client dùng để chứng thực mã hóa 11 Bước 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC Kết luận  Kết đạt Hiểu đặc điểm nguyên lý hoạt động công nghệ vpn Hiểu đặc điểm nguyên lý hoạt động công nghệ IPSec VPN Cấu hình mô mạng riêng ảo sử dụng công nghệ IPSec VPN  Những vấn đề tồn Cấu hình sơ sài đơn giản Chưa kiểm tra thông tin tham số giao thức Các site mạng kết nối không đảm bảo chiều 12  Hướng phát triển Hoàn thiện cấu hình đầy đủ Kiểm tra thông số giao thức Đảm bảo site mạng kết nối chiều III Phần SV tự ghi    Các thông tin rút từ thời gian thực tập Được làm quen với không khí làm việc tập trung cao Tiếp xúc với nhiều thông tin bổ ích Tích luỹ kinh nghiệm để làm công việc Nguyện vọng  Kết thực tập đạt tiêu chí thầy cô đặt Tài liệu tham khảo  http://www.slideshare.net/diep6491/ti-liu-vpn-ipsec  http://www.slideshare.net/nhokpjn5/vpn-client-to-site-v-vpn-site-to-site  http://www.pcworld.com.vn/articles/cong-nghe/ung-dung/2006/05/1188577/trien-khai-he-thongipsec-vpn-tren-windows-server-2003/ 13 [...]... điện tử (certificate) cho VPN Server và Client dùng để chứng thực và mã hóa 11 Bước 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC 2 Kết luận  Kết quả đạt được 1 Hiểu được đặc điểm và nguyên lý hoạt động của công nghệ vpn 2 Hiểu được đặc điểm nguyên lý hoạt động của công nghệ IPSec VPN 3 Cấu hình mô phỏng 1 mạng riêng ảo sử dụng công nghệ IPSec VPN  Những vấn đề tồn tại 1 Cấu hình sơ sài đơn giản... 3 Các site mạng kết nối không đảm bảo 2 chiều 12  1 2 3 Hướng phát triển Hoàn thiện cấu hình đầy đủ hơn Kiểm tra được các thông số và giao thức Đảm bảo các site mạng kết nối được 2 chiều III Phần SV tự ghi 1    Các thông tin rút ra được từ thời gian thực tập Được làm quen với một không khí làm việc tập trung cao Tiếp xúc với nhiều thông tin bổ ích Tích luỹ được kinh nghiệm để làm 1 công việc 2... gian thực tập Được làm quen với một không khí làm việc tập trung cao Tiếp xúc với nhiều thông tin bổ ích Tích luỹ được kinh nghiệm để làm 1 công việc 2 Nguyện vọng  Kết quả thực tập đạt được tiêu chí thầy cô đặt ra 3 Tài liệu tham khảo  http://www.slideshare.net/diep6491/ti-liu-vpn-ipsec  http://www.slideshare.net/nhokpjn5/vpn-client-to-site-v-vpn-site-to-site  http://www.pcworld.com.vn/articles/cong-nghe/ung-dung/2006/05/1188577/trien-khai-he-thongipsec-vpn-tren-windows-server-2003/ ... chủ đề thực tập: Tìm hiểu mạng riêng ảo IPSec VPN -Mục tiêu : - Nắm nguyên lý hoạt động công nghệ VPN - Nắm nguyên lý hoạt động công nghệ IPSec VPN - Các bước cấu hình troubleshoot công nghệ IPSec... động công nghệ VPN - Hiểu rõ nguyên lý hoạt động công nghệ IPSec VPN - Cấu hình mô hoàn chỉnh mạng riêng ảo sử dụng công nghệ IPSec VPN - Kiểm tra thông tin tham số giao thức IPSec VPN - Đảm bảo... truyền • Các công nghệ VPN • Có số công nghệ VPN sau: - IPsec: Thực bảo mật cho gói tin IP Layer mô hình OSI, dùng cho siteto-site VPN remote-access VPN - SSL: Secure Socket Layer thực bảo mật cho