Nghiên cứu và xây dựng hệ thống VPN cho công ty TNHH kraal enterprise

- Thiết lập một kết nối TCP Để thiết lập một kết nối TCP sử dụng mô hình bắt tay ba bước, trong trường hợp đơn giản có thể minh họa như sau: Hình 1.2: Thiết lập kết nối theo giao thức TC

MỤC LỤC

MỤC LỤC 1

DANH MỤC HÌNH 3

LỜI MỞ ĐẦU 4

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 6

1.1 Tổng quan về TCP/IP 6

1.1.1 Giới thiệu về TCP/IP 6

1.1.2 Các lớp trong mô hình TCP/IP 6

1.1.2.1 Lớp ứng dụng 6

1.1.2.2 Lớp vận chuyển 7

1.1.2.3 Lớp Internet 11

1.1.2.4 Lớp truy nhập mạng 12

1.2 Tổng quan về mạng riêng ảo -VPN (Vitrual Private Network) 12

1.2.1 Các khái niệm cơ bản về VPN 12

1.2.2 Các loại VPN 14

1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs) 14

1.2.2.2 Mạng VPN cục bộ (Intranet VPN) 16

1.2.2.3 Mạng VPN mở rộng (Extranet VPN) 17

1.2.3 Các giao thức đường hầm trong VPN 19

1.2.3.1 Giao thức định hướng lớp 2 (Layer 2 Forwarding) 20

1.2.3.2 Giao thức PPTP (Point - to - Point Tunneling Protocol) 21

1.2.3.3 Giao thức L2TP (Layer Two Tunneling Protocol) 22

1.2.3.4 Giao thức IPSec (IP Security) 24

1.2.4 Cơ chế bảo mật trong VPN 31

1.2.4.1 Giới thiệu chung 31

1.2.4.2 Mật mã 32

1.2.4.3 Xác Thực 35

CHƯƠNG 2: XÂY DỰNG HỆ THỐNG MẠNG RIÊNG ẢO VPN 41

2.1 Bài toán 41

2.2 Giải quyết bài toán 41

2.2.1 Hiện trạng hệ thống 41

2.2.2 Phân tích đánh giá hệ thống cũ 44

2.2.2.1 Vấn đề an ninh 44

2.2.2.2 Vấn đề tài chính 45

2.2.2.3 Vấn đề trong quản lý và sử dụng tài nguyên 47

2.2.3 Đề xuất giải pháp 49

2.2.3.1 Khả năng bảo mật 50

2.2.3.2 Chi phí xây dựng và bảo dưỡng hệ thống 50

2.2.3.3 Tính cơ động của hệ thống VPN truy nhập từ xa 52

2.2.3.4 Ưu thế về tốc độ truyền 52

2.2.4 Xây dựng hệ thống 53

2.2.4.1 Mô hình hệ thống 53

2.2.4.2 Các thiết bị sử dụng 53

2.2.4.3 Giá thành của hệ thống 54

2.2.4.4 Cấu hình triển khai và test hệ thống 55

KÊT LUẬN 61

TÀI LIỆU THAM KHẢO 63

PHỤ LỤC 64

DANH MỤC HÌNH

Hình 1.1: Cấu trúc tiêu đề TCP 8

Hình 1.2: Thiết lập kết nối theo giao thức TCP 10

Hình 1.3: Cơ chế cửa sổ trượt với kích thước cố định 11

Hình 1.4: Mô hình VPN cơ bản 14

Hình 1.5: Mô hình mạng VPN cục bộ 16

Hình 1.6: Mô hình mạng VPN mở rộng 17

Hình 1.7: Mô hình mạng VNP mở rộng 18

Hình 1.8: Mô hình VPN sử dụng L2F 20

Hình 1.9: Sơ đồ đóng gói PPTP 21

Hình 1.10: Sơ đồ đóng gói L2TP 23

Hình 1.11: Gói tin IP ở kiểu Transport 27

Hình 1.12: Gói tin IP ở kiểu Tunnel 28

Hình 1.13: Mô hình mịnh họa 28

Hình 1.14: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE 30

Hình 1.15: Mã hoá khoá bí mật hay đối xứng 33

Hình 1.16: Sơ đồ thuật toán DES 34

Hình 1.17: Thuật toán mã hoá khoá công cộng 34

Hình 1.18: Cấu trúc cơ bản của MD5/SHA 37

Hình 1.19: Xác thực bản tin MAC 38

Hình 2.1: Mô hình hiện trạng hệ thống mạng hiện thời của công ty 43

Hình 2.2: Bảng so sánh chi phí Leased line và VPN 51

Hình 2.3: Mô hình hệ thống mạng VPN đề xuất cho công ty 53

Hình 2.4: Mô hình mô phỏng cấu hình cơ bản 55

Hình 2.5: Tạo kết nối VPN đến ASA 57

Hình 2.6: Chứng thực người dung 58

Hình 2.7: Kết nối thành công 58

Hình 2.8: Kiểm tra IP của máy Client và ping đến Server tại công ty 59

Hình 2.10: Trạng thái VPN Client sau khi truyền dữ liệu 60

LỜI MỞ ĐẦU

Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế giới ngày càng thu nhỏ và trở nên gần gũi Nhiều công ty đang vượt qua ranh giới cục bộ và khu vực, vươn ra thị trường thế giới Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp

thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu

Cho đến gần đây, ứng dụng của những kênh truyền dẫn thông tin thuê riêng (leased line) là giải pháp cơ bản đã giúp các công ty mở rộng mạng cục bộ ra nhiều khu vực địa lý khác nhau Những dịch vụ kết nối mạng diện rộng như thế đã đem đến những lợi ích rõ ràng như tốc độ, an toàn thông tin và hiệu quả thực thi công việc Tuy nhiên việc duy trì những ứng dụng leased lines như thế có chi phí khá đắt đỏ và chi phí này thường tăng lên cùng với sự gia tăng khoảng cách địa lý giữa các văn phòng công ty

Tuy nhiên việc các công ty chọn giải pháp đường Leased line thì chỉ giải quyết được yêu cầu về các văn phòng đặt ở xa, còn vấn đề về nhân viên của họ đi công tác xa thì sao? Giải pháp sử dụng Internet để liên lạc là giải pháp có vẻ tốt cho vấn đề này Tuy nhiên nó lại tiềm ẩn một nguy cơ cao về an ninh dữ liệu vì Internet vốn là môi trường không an toàn

Để giải quyết được hai vấn đề trên cho các doanh nghiệp, một giải pháp đã được áp dụng Đó là sử dụng công nghệ mạng riêng ảo VPN ( Virtual Private Network ) VPN về cơ bản là một mạng cục bộ sử dụng hệ thống mạng công cộng sẵn có như Internet để kết nối các văn phòng cũng như nhân viên ở xa Thay vì sử dụng kết nối chuyên biệt và trực tiếp giữa các văn phòng như kênh thuê riêng leased lines, một VPN sử dụng các kết nối ảo được thiết lập trong môi trường Internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa

lý Không chỉ tận dụng được sự sẵn có và rộng khắp của Internet, VPN còn đảm bảo được cả về bảo mật thông tin của giải pháp đường truyền riêng Leased line

Với đề tài : “ Nghiên cứu và xây dựng hệ thống VPN cho công ty TNHH Kraal EnterPrise “ em hy vọng mình sẽ góp một phần nhỏ bé vào quá trình ứng dụng

công nghệ này vào cuộc sống Ngoài ra em cũng hy vọng đề tài này sẽ là một tài liệu tham khảo có ích cho các công ty khi muốn triển khai hệ thống mạng riêng ảo VPN cho công ty mình

Đề tài có hai nội dung chính và được chia thành hai chương, cụ thể:

Chương 1: Đưa ra phần cơ sở lý thuyết cho quá trình triển khai hệ thống

mạng VPN Từ đó thống kê được các kiến thức cần có khi xây dựng hệ thống mạng VPN Chương này cũng nêu ra được các khái niệm cơ bản về VPN, các loại VPN, các giao thức đường hầm và bảo mật trong VPN

Chương 2: Thực hiện triển khai hệ thống mạng riêng ảo VPN cho công ty TNHH Karaal Enterprise theo hiện trạng cụ thể trực tiếp của công ty Trong

chương này đã đi khảo sát cụ thể hiện trạng hệ thống mạng máy tính cũng như hệ thống mạng lưới văn phòng đại diện của công ty, đưa ra được các đánh giá về ưu nhược điểm Tứ đó cũng đưa ra phương án khắc phục triển khai và thực hiện triển khai phương án đã đưa ra

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Tổng quan về TCP/IP (Transmission Control Protocol /Internet Protocol)

1.1.1 Giới thiệu về TCP/IP

Tháng 6/1968, một cơ quan của Bộ Quốc phòng Hoa Kỳ là Cục các dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hôm nay Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP (Network Control Protocol), nhưng sau đó

cơ quan Bộ Quốc phòng Hoa Kỳ (DoD) đã tạo ra mô hình tham chiếu TCP/IP bởi

vì họ muốn một mạng có thể sống còn trong bất kỳ điều kiện nào Bộ giao thức TCP/IP gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định

tuyến cho mạng

Mô hình TCP/IP có bốn lớp:

 Lớp ứng dụng ( Application Layer)

 Lớp Vận chuyển ( Transport Layer)

 Lớp Internet (Internet Layer)

 Lớp truy nhập mạng (Network access Layer)

1.1.2 Các lớp trong mô hình TCP/IP

1.1.2.1 Lớp ứng dụng

Lớp ứng dụng của mô hình TCP/IP kiểm soát các giao thức lớp cao, các chủ đề về trình bày, biểu diễn thông tin, mã hóa và điều khiển hội thoại Bộ giao thức TCP/IP tổ hợp tất cả các ứng dụng liên quan đến các chủ đề vào một lớp và đảm bảo số liệu này được đóng gói thích hợp trước khi chuyển nó đến lớp kế tiếp TCP/IP có các giao thức để hỗ trợ truyền file, email và remote login, thêm vào các ứng dụng sau đây: File Transfer Protocol (FTP), Trivial File Transfer Protocol (TFTP), Network File System (NFS), Simple Mail Transfer Protocol (SMTP),

Terminal emulation (Telnet), Simple Network Management Protocol (SNMP), Domain Name System (DNS)

1.1.2.2 Lớp vận chuyển

Lớp vận chuyển cung ứng các dịch vụ vận chuyền từ host nguồn đến host đích Lớp vận chuyển thiết lập một cầu nối logic giữa các đầu cuối của mạng, giữa host nhận và host truyền Giao thức vận chuyển phân chia và tái thiết lập dữ liệu của các ứng dụng lớp trên thành luồng dữ liệu giống nhau giữa các đầu cuối Luồng dữ liệu của lớp vận chuyển cung cấp các dịch vụ truyền tải tù đầu cuối này đến đầu cuối kia của mạng

Internet thường được biểu diễn bằng một đám mây mạng (cloud) Lớp vận chuyển gửi các gói tin từ nguồn đến đích xuyên qua đám mây mạng này Các dịch

vụ vận chuyển gồm tất cả các dịch vụ sau đây:

TCP và UDP

 Phân đoạn dữ liệu ứng dụng lớp trên

 Truyền các segment từ một thiết bị đầu cuối này đến thiết bị đầu cuối khác

Riêng TCP

 Thiết lập các hoạt động end-to-end

 Cửa sổ trượt cung cấp điều khiển luồng

 Chỉ số tuần tự và báo nhận cung cấp độ tin cậy cho hoạt động

đích có thể phát chuyển gói tin tới đúng nơi nhận và cho phép nơi nhận gửi trả lại xác nhận tin

UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ tin cậy như IP UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đên đích hay không, không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản hồi để xác định mức độ truyền thông tin giữa hai máy

b) Giao thức TCP

Giao thức TCP (Transmission Control Protocol) cung cấp dịch vụ truyền thông dữ liệu định hướng truyền thống cho các chương trình - dịch vụ chuyển dòng (stream) tin cậy TCP cung cấp một mạch ảo, còn được gọi là kết nối Nó cấp khả năng đứt quảng, kiểm tra lỗi và điều khiển luồng

- Cấu trúc tiêu đề TCP:

Hình 1.1: Cấu trúc tiêu đề TCP

Giải thích ý nghĩa các trường:

 Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị cổng TCP để xác định các chương trình ứng dụng tại hai đầu kết nối Mỗi khi TCP nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP Khi đọc Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ để gửi dữ liệu đến chương trình ứng với số cổng đó Song với TCP, giá trị cổng phức tạp hơn UDP vì một giá trị cổng TCP cho trước không tương ứng với một đối tượng đơn Thay vì vậy, TCP được xây dựng trên

kết nối trừu tượng, trong đó các đối tượng được xác định là những liên kết mạch ảo, không phải từng cổng Ví dụ như giá trị 192.168.2.3,25 xác định cổng TCP 25 trên máy tính có địa chỉ 192.168.2.3

 Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ liệu trong segment của nơi gửi

 Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đang đợi để nhận kế tiếp Lưu ý là Sequence Number để chỉ đến lượng dữ liệu theo cùng chiều với segment, trong khi giá trị Acknowledgment Number để chỉ đến dữ liệu ngược lại với segment đến

 Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài của phần đầu segment, được tính theo bội số của 32 bit Giá trị này là cần thiết

vì có phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã được đưa vào

 Unused (dự phòng): được dành riêng để sử dụng trong tương lai

 Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của segment, diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit Ví dụ segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những yêu cầu để thiết lập hoặc ngắt nối

 Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm cho quá trình truyền

 Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài dòng xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu đến cho dù nó nằm ở đâu trong vùng dữ liệu Sau khi xử lý xong dữ liệu khẩn cấp, TCP thông báo cho chương trình ứng dụng trở về trạn thái thông thường

- Thiết lập một kết nối TCP

Để thiết lập một kết nối TCP sử dụng mô hình bắt tay ba bước, trong trường hợp đơn giản có thể minh họa như sau:

Hình 1.2: Thiết lập kết nối theo giao thức TCP

Gói tin khởi đầu cho kết nối được xác định bởi bit SYN trong trường dữ liệu CODE, bản tin trả lời lập giá trị cho bit SYN và ACK để chuyển ý nghĩa đồng bộ

và tiếp tục tiến trình bắt tay Bản tin cuối cùng chỉ có ý nghĩa như một lời đáp và chỉ để đơn giản dùng để thông báo cho đích rằng cả hai bên cùng đồng ý một kết nối đã được thiết lập

Tiến trình bắt tay ba bước là điều kiện cần và đủ để có sự đồng bộ chính xác giữa hai đầu của kết nối, thông thường các phần mềm TCP thường sử dụng phương pháp đợi thụ động để chờ kết nối, nhưng điều này không gây khó khăn trong quá trình kết nối vì các kết nối được thiết lập từ các bên độc lập với nhau Số thực tự được chọn ngẫu nhiên và độc lập với nhau cũng có thể được gửi kèm cùng với dữ liệu Trong những trường hợp đó, phần mềm TCP giữ lại dữ liệu cho đên khi hoàn tất quá trình bắt tay kết nối Một khi kết nối được thiết lập, phần mêm TCP sẽ giải phóng dữ liệu trước đây và nhanh chóng chuyển chúng tời các chương trình ứng dụng cấp cao hơn

Nhận ACK

- Kỹ thuật cửa sổ trượt

Hình 1.3: Cơ chế cửa sổ trượt với kích thước cố định

Để thực hiện việc điều khiển luồng, TCP sử dụng kỹ thuật cửa sổ trượt Cửa

sổ trượt có kích thước cố định hoặc có thể thay đổi được cho phép xác định số gói

dữ liệu tối đa được truyền trước khi nhận được một ACK từ đích xác nhận về Kỹ thuật này giải quyết vấn đề quan trọng là tăng hiệu quả truyền dẫn và điều khiển tốc

độ dòng dữ liệu

1.1.2.3 Lớp Internet

Mục đích của lớp Internet là chọn lấy một đường dẫn tốt nhất xuyên qua mạng cho các gói tin di chuyển tới đích Giao thức chính hoạt động tại lớp này là Internet Protocol (IP) Sự xác định đường đi tốt nhất và chuyển mạch gói diễn ra tại lớp này

Các giao thức sau đây hoạt động tại lớp Internet của mô hình TCP/IP: IP, ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol), RARP ( Reverse Address Resolution Protocol)

IP thực hiện các hoạt động sau:

 Định nghĩa một gói là một lược đồ đánh địa chỉ

 Trung chuyển số liệu giữa lớp Internet và lớp truy nhập mạng

 Định tuyến chuyển các gói đến host ở xa

Đôi khi IP được đề cập đến như một giao thức thiếu tin cậy Điều đó không có nghĩa là IP sẽ chuyển phát số liệu qua mạng một cách không chính xác Gọi IP là một giao thức thiếu tin cậy đơn giản chỉ là do IP không thực hiện kiểm tra lỗi và sửa lỗi Chức năng này được giao phó cho các giao thức lớp trên như lớp vận chuyển và lớp ứng dụng

1.1.2.4 Lớp truy nhập mạng

Lớp truy nhập mạng cũng còn được gọi là lớp host-network Lớp này liên quan đến tất cả các chủ đề mà gói IP cần để thực hiện sự tạo ra một liên kết vật lý đến môi trường truyền của mạng Nó bao gồm các chi tiết của công nghệ LAN và WAN và tất cả các chi tiết được chứa trong lớp vật lý và lớp liên kết dữ liệu trong

mô hình OSI, các Driver cho các ứng dụng, các Modem card và các thiết bị hoạt động tại lớp truy nhập mạng này Lớp truy nhập mạng định ra các thủ tục để giao tiếp với phần cứng và truy nhập môi trường truyền Các tiêu chuẩn giao thức Modem như SLIP (Serial Line Internet Protocol) và PPP (Point –to- Ponit ) cung cấp truy xuất mạng thông qua một kết nối dùng Modem Bởi sự ảnh hưởng qua lại khá rắc rối của phần cứng, phần mềm và các đặc tả mô trường truyền, nên có nhiều giao thức hoạt động tại lớp này

Các giao thức lớp truy nhập mạng bao gồm ánh xạ địa chỉ IP sang địa chỉ vật lý và gói (Encapsulotion) các gói IP thành các Frame Căn cứ vào dạng phần cứng và giao tiếp mạng , lớp truy nhập mạng sẽ xác lập kết nối với đường truyền vật lý của mạng

1.2 Tổng quan về mạng riêng ảo -VPN (Vitrual Private Network)

1.2.1 Các khái niệm cơ bản về VPN

Như ta đã biết, các mạng riêng thường được định nghĩa là các phương tiện nối mạng không chia sẻ để kết hợp các máy trạm (host) và các client trực thuộc cùng một thực thể quản lí Đặc tính của mạng riêng là hỗ trợ truyền thông giữa những người dùng được phép, cho phép họ truy nhập tới các dịch vụ và tài nguyên liên kết mạng khác nhau Lưu lượng từ nguồn và đầu cuối trong mạng riêng chỉ di

chuyển dọc theo những node có mặt trong mạng riêng Thêm vào đó là sự cách li lưu lượng Điều này có nghĩa là lưu lượng tương ứng với mạng riêng không ảnh hưởng và không bị ảnh hưởng bởi lưu lượng từ ngoài Thí dụ điển hình cho mạng riêng là mạng Intranet của một hãng VPN (Virtual Private Network) kết hợp 2 khái niệm: nối mạng ảo và nối mạng riêng Trong một mạng ảo, các nút mạng ở xa nhau và phân tán có thể tương tác với nhau theo cách mà chúng thường thực hiện trong một mạng, trong đó các nút đặt tại cùng một vị trí địa lí Cấu hình topo của mạng ảo độc lập với cấu hình vật lí của các phương tiện sử dụng nó Một người sử dụng bình thường của một mạng ảo không biết sự thiết lập mạng vật lí, sẽ chỉ có thể nhận biết được cấu hình topo ảo Cấu hình của mạng ảo được xây dựng dựa trên sự chia sẻ của cơ sở hạ tầng mạng vật lí đã tồn tại Tuy nhiên, cấu hình mạng

ảo và mạng vật lí thường chịu sự quản lí của các nhà quản trị khác nhau

Chúng ta có thể đinh nghĩa IP VPN như sau: Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh Các thuộc tính của IP- VPN bao gồm các cơ chế để bảo vệ số liệu và thiết lập tin tưởng giữa các máy trạm và sự kết hợp các phương pháp khác nhau để đảm bảo các thoả thuận mức dịch vụ và chất lượng dịch vụ cho tất cả các thực thể thông qua môi trường Internet

Tuy nhiên chúng ta có thể hiểu một cách đơn giản về mạng riêng ảo là thế

này: VPN được hiểu như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa

1.2.2 Các loại VPN

1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs)

VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ đâu có mạng Internet

VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng

Hình 1.4: Mô hình VPN cơ bản

VPN truy nhập từ xa có các ưu điểm sau:

 Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet

 Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng IP-VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua mạng băng rộng luôn hiện hành

 Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa

 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

 Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho cơ sở hạ tầng

 Vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm người

sử dụng mới sẽ giúp các công ty có thể dễ dàng chuyển hướng kinh doanh hơn

 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Tuy nhiên bên cạnh đó VNP truy cập từ xa cũng có một số hạn chế cần khác phục sau:

 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

 Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói

 Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể

1.2.2.2 Mạng VPN cục bộ (Intranet VPN)

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi

xa

 Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

Tuy nhiên nó cũng mang một số nhược điểm cần khắc phục sau:

 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật

dữ liệu và mức độ chất lượng dịch vụ (QoS)

 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

1.2.2.3 Mạng VPN mở rộng (Extranet VPN)

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng,

và các nhà cung cấp…

Intranet

DSL cable

Extranet

Business-to-business

Router

Internet POP

or

Hình 1.6: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này

sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Hình 1.7: Mô hình mạng VNP mở rộng

Mạng VPN mở rộng có những ưu điểm cơ bản sau:

 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên

có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn

 Vì tận dụng kết nối Internet nên việc bảo trì chủ yếu do ISP đảm nhiệm nên giảm đáng kể chi phí cho thuê nhân viên bảo trì hệ thống

Tuy nhiên mạng VPN mở rộng cũng vẫn tồn tại một số nhược điểm sau:

 Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại

 Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức

 Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet

 Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn định và QoS không thể đảm bảo

Mặc dù vẫn tồn tại nhiều nhược điểm nhưng nó không đủ để làm lu mờ đi nhưng ưu điểm và lợi ích mang lại cho người sử dụng, vì thế VPN luôn được các nhà quản trị mạng yêu thích , sử dụng Và các doanh nghiệp thì cũng không phải là ngoại lệ, thậm chí họ còn cảm thấy rất thích thú với công nghệ này

1.2.3 Các giao thức đường hầm trong VPN

Các giao thức đường ngầm (hoặc đường hầm ) là nền tảng của công nghệ

VPN Một giao thức đường ngầm sẽ thực hiện đóng gói dữ liệu với phần header (và có thể có phần trailer) tương ứng để truyền qua Internet Có nhiều giao thức đường ngầm, việc sử dụng giao thức đường ngầm nào để đóng gói dữ liệu liên quan đến các phương pháp xác thực và mật mã được dùng Có 4 giao thức đường ngầm trong IP-VPN như sau:

 Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)

 Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)

 Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

 Giao thức bảo mật IP - IPSec (Internet Protocol Security)

1.2.3.1 Giao thức định hướng lớp 2 (Layer 2 Forwarding)

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa

Hình 1.8: Mô hình VPN sử dụng L2F

Ưu điểm và nhược điểm của L2F:

Ưu điểm:

 Cho phép thiết lập đường hầm đa giao thức

 Được cung cấp bởi nhiều nhà cung cấp

Nhược điểm:

 Không có mã hóa

 Yếu trong việc xác thực người dùng

 Không có điều khiển luồng cho đường hầm

1.2.3.2 Giao thức PPTP (Point - to - Point Tunneling Protocol)

Được phát triển bởi Microsoft, 3COM và Ascend Communications PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows

Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đường hầm bảo mật thông qua Internet đến site đích

PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram

để truyền qua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi

là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một phiên bản của giao thức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung) để đóng gói các khung PPP Phần tải tin của khung PPP có thể được mật mã hoặc/và giải nén

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng

giao thức đường ngầm PPTP) và PPTP server (VPN server sử dụng PPTP)

a) Đóng gói dữ liệu đường ngầm PPTP

Dữ liệu đường ngầm PPTP được đóng gói thông qua nhiều mức

Hình 1.9: Sơ đồ đóng gói PPTP

b) Xử lí dữ liệu đường ngầm PPTP

Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server

sẽ thực hiện các bước sau:

 Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu

 Xử lý và loại bỏ IP Header

 Xử lý và loại bỏ GRE Header và PPP Header

 Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết)

 Xử lý phần Payload để nhận hoặc chuyển tiếp

1.2.3.3 Giao thức L2TP (Layer Two Tunneling Protocol)

Để tránh việc hai giao thức đường ngầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặc ATM Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP, L2TP có thể được sử dụng như một giao thức đường ngầm thông qua Internet hoặc các mạng riêng Intranet L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡng đường ngầm Phần tải của khung PPP đã đóng gói có thể được mật mã, nén Tuy nhiên mật mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không phải MPPE như đối với PPTP) L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thức đường ngầm L2TP và IPSec) L2TP client có thể được nối trực tiếp tới mạng IP để truy nhập tới L2TP server hoặc gián tiếp thông qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP Việc xác thực trong quá trình hình thành đường ngầm L2TP phải sử dụng các cơ chế xác thực như trong các kết nối PPP như EAP, MS-CHAP, CHAP, PAP Máy chủ L2TP là

máy chủ IP-VPN sử dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet Các dữ liệu đường ngầm và dữ liệu duy trì đường ngầm có cùng cấu trúc gói

- Xử lý dữ liệu đường ngầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:

 Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu

 Xử lý và loại bỏ IP Header

 Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header

 Dùng IPSec ESP Header để giải mã phần gói đã mật mã

 Xử lý UDP Header và gửi gói L2TP tới L2TP

 L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header để xác định đường ngầm L2TP cụ thể

 Dùng PPP Header để xác định PPP Payload và chuyển tiếp nó tới đúng giao thức để xử lý

Hình 1.10: Sơ đồ đóng gói L2TP

1.2.3.4 Giao thức IPSec (IP Security)

1.2.3.4.1 Giới thiệu IPSec

Như ta đã biết, mạng Internet nguyên thủy được phát triển để truyền thông giữa các máy tính tin cây, vì vậy nó không hỗ trợ các dịch vụ an ninh Cùng với

sự phát triển rộng khắp của Internet trên tòan cầu thì vấn đề an ninh là một trong những vấn đề quan trọng Giao thức IPSec được phát triển để giải quyết vấn đề an ninh này và trong IP-VPN là một trong những ứng dụng của nó, bởi

có thể nói IPSec là giao thức được coi là tối ưu nhất cho phát triển công nghệ VPN trên nền Internet

IPSec (Internet Protocol Security) là một giao thức được IETF phát triển IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị

Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật Đường ngầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu

và các gói dữ liệu yêu cầu an toàn được truyền trên đó IPSec cũng thực hiện đóng gói dữ liệu các thông tin để thiết lập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa Các gói tin truyền trong đường ngầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý

IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH:

 AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa

hai hệ thống AH không cung cấp tính bảo mật, điều này có nghĩa là

nó gửi đi thông tin dưới dạng bản rõ

 ESP là một giao thức cung cấp tính an toàn của các gói tin được truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin IP Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống Với đặc điểm này thì xu hướng

sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu

 Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào

sự phân phối của các khóa mật mã và quản lý các luồng giao thông

có liên quan đến những giao thức an toàn này

Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau

để cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau Đối với cả hai giao thức AH và ESP này, IPSec không định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó

là một khung chuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghiệp IPSec

sử dụng các thuật toán: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin; Thuật toán DES, 3DES để mật mã dữ liệu; Thuật toán khóa chia sẻ trước, RSA chữ ký số và RSA mật mã giá trị ngẫu nhiên (Nonces) để nhận thực các bên Ngoài ra các chuẩn còn định nghĩa việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4

IPSec có thể sử dụng giao thức IKE (Internet Key Exchange) để xác thực hai phía và làm giao thức thương lượng các chính sách bảo mật và nhận thực thông qua việc xác định thuật toán được dùng để thiết lập kênh truyền, trao đổi khóa cho mỗi phiên kết nối, dùng trong mỗi phiên truy cập Mạng dùng IPSec để bảo mật các dòng dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng giấy chứng nhận số của hai người dùng trao đổi thông tin qua lại Việc thương

lượng này cuối cùng dẫn đến thiết lập kết hợp an ninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này có tính chất hai chiều trực tiếp Thông tin kết hợp an ninh được lưu trong cơ sử dữ liệu liên kế an ninh, và mỗi SA được ấn định một số tham

số an ninh trong bảng mục lục sao cho khi kết hợp một địa chỉ đích với giao thức

an ninh (ESP hoặc AH) thì có duy nhất một SA

Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec

- Giao thức bảo mật IP (IPSec)

+ AH (Authentication Header)

+ ESP (Encapsulation Security Payload)

- Mã hoá bản tin

+ DES (Data Encryption Standard)

+ 3 DES (Triple DES)

- Các chức năng toàn vẹn bản tin

+ HMAC (Hash Message Authentication Code)

+ MD5 (Message Digest 5)

+ SHA-1 (Secure Hash Algorithm -1)

- Nhận thực đối tác (peer Authentication)

+ Rivest, Shamir, and Adelman (RSA) Digital Signatures

+ RSA Encrypted Nonces

- Quản lý khoá

+ DH (Diffie- Hellman)

+ CA (Certificate Authority)

- Kết hợp an ninh

+ IKE (Internet Key Exchange)

+ ISAKMP (Internet Security Association and Key Management Protocol)

1.2.3.4.2 Đóng gói thông tin của IPSec

Kiểu Transport có ưu điểm là chỉ thêm vào gói IP ban đầu một số it byte Nhược điểm là kiểu này cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn

và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân tích lưu lượng) dựa trên các thông tin của IP header

Hình 1.11: Gói tin IP ở kiểu Transport

Tuy nhiên nếu được mật mã bởi ESP thì sẽ không biết được dữ liệu cụ thể bên trong gói IP là gì Theo như IETF thì kiểu Transport chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện IPSec

- Kiểu Tunnel

Kiểu này bảo vệ toàn bộ gói IP Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã Sau đó, gói IP đã mã hóa được đóng gói vào một IP

header mới Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền qua Internet

Hình 1.12: Gói tin IP ở kiểu Tunnel

Trong kiểu Tunnel, toàn bộ gói IP ban đầu được đóng gói và trở thành Payload của gói IP mới Kiểu này cho phép các thiết bị mạng như router thực hiện

xử lý IPSec thay cho các trạm cuối (host) Như hình dưới đây, Router A xử lý các gói từ host A, gửi chúng vào đường ngầm Router B xử lý các gói nhận được trong đường ngầm, đưa về dạng ban đầu và chuyển hóa chúng tới host B Như vậy, các trạm cuối không cần thay đổi nhưng vẫn có được tính an toàn dữ liệu của IPSec Ngoài ra, nếu sử dụng kiểu Tunnel, các thiết bị trung gian trong mạng sẽ chỉ có thể nhìn thấy được các địa chỉ hai điểm cuối của đường hầm (ở đây là các router A và B) Khi sử dụng kiểu Tunnel, các đầu cuối của IP-VPN không cần phải thay đổi ứng dụng hay hệ điều hành

Hình 1.13: Mô hình mịnh họa

b) Giao thức tiêu đề xác thực AH

Giao thức AH (Authentication Header) cung cấp xác thực nguồn gốc dữ liệu (data origin authentication), kiểm tra tính toàn vẹn dữ liệu (data integrity), và dịch vụ chống phát lại (anti-replay service) Đến đây, cần phải phân biệt được hai khái niệm toàn vẹn dữ liệu và chống phát lại: toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói tin IP, không quan tâm đến vị trí các gói trong luồng lưu lượng; còn dịch vụ chống phát lại là kiểm tra sự phát lặp lại một gói tin tới địa chỉ đích nhiều hơn một lần AH cho phép xác thực các trường của IP header cũng như

dữ liệu của các giao thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong khi truyền và phía phát có thể không dự đoán trước được giá trị của chúng khi tới phía thu, do đó giá trị của các trường này không bảo vệ được bằng

AH Có thể nói AH chỉ bảo vệ một phần của IP header mà thôi AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính bảo mật dữ liệu không cần được chắc chắn

c) Giao thức đóng gói an toàn tải tin ESP

ESP (Encapsulating Security Payload) là giao thức được phát triển hoàn toàn cho IPSec Giao thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin Thêm vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại thời điểm thiết lập SA, dịch vụ bảo mật được cung cấp độc lập với các dịch vụ khác Tuy nhiên nếu không kết hợp sử dụng với các dịch vụ nhận thực vào toàn vẹn dữ liệu thì hiệu quả bí mật sẽ không được đảm bảo Hai dịch vụ nhận thực và toàn vẹn dữ liệu luôn đi kèm nhau Dịch vụ chống phát lại chỉ có thể có nếu nhận thực được lựa chọn Giao thức này được sử dụng khi yêu cầu về bí mật của lưu lượng IPSec cần truyền

1.2.3.4.3 Hoạt động của IPSec

Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập Tuy nhiên bản thân IPSec không có cơ chế để thiết lập SA Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, còm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec

Một đường ngầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau:

Bước 1: Quan tâm đến lưu lượng được nhận hoặc sinh ra từ các bên IPSec IP-VPN

tại một giao diện nào đó yêu cầu thiết lập phiên thông tin IPSec cho lưu lượng đó

Bước 2: Thương lượng chế độ chính (Main Mode) hoặc chế độ tấn công

(Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec

Bước 3: Thương lượng chế độ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo

ra 2 IPSec SA giữa hai bên IPSec

Bước 4: Dữ liệu bắt đầu truyền qua đường ngầm mã hóa sử dụng kỹ thuật đóng

gói ESP hoặc AH (hoặc cả hai)

Bước 5: Kết thúc đường ngầm IPSec VPN Nguyên nhân có thể là do IPSec SA

kết thúc hoặc hết hạn hoặc bị xóa

Hình 1.14: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE

1.2.4 Cơ chế bảo mật trong VPN

1.2.4.1 Giới thiệu chung

Như chúng ta đã biết, đặc điểm IP-VPN là cho phép truyền dữ liệu thông qua một cơ sở hạ tầng mạng công cộng mà vẫn đảm bảo được các đặc tính an toàn

và tin cậy dữ liệu Để thực hiện được điều đó, công nghệ IP-VPN phải giải quyết được hai vấn đề: đóng gói dữ liệu và an toàn dữ liệu

Đóng gói dữ liệu là cách thức thêm các phần thông tin điều khiển vào gói tin ban đầu để đảm bảo gói tin đi được từ nguồn tới đích mong muốn

An toàn dữ liệu là cách thức đảm bảo cho dữ liệu đi qua mạng công cộng không bị xâm phạm, làm thay đổi bởi những kẻ không mong muốn Thực tế thì vấn đề an toàn dữ liệu không phải là vấn đề riêng của IP-VPN mà là mối quan tâm cũng như thách thức của tất cả các tổ chức có nhu cầu sử dụng Internet làm môi trường truyền tin Chính vì vậy, đã có rất nhiều giải pháp, giao thức, thuật toán được phát triển để giải quyết vấn đề này Việc sử dụng giải pháp nào là tùy thuộc vào từng ứng dụng cụ thể và không loại trừ khả năng sử dụng kết hợp nhiều giải pháp để đạt hiệu quả an toàn như mong muốn Có thể thấy các giao thức là rất đa dạng và phức tạp và mỗi giao thức có thể sử dụng nhiều thuật toán khác nhau để đạt hiệu quả an toàn dữ liệu cần thiết cho từng ứng dụng cụ thể

Đối với IP-VPN, IPSec là giao thức tối ưu về mặt an toàn dữ liệu Thứ nhất, IPSec cung cấp xác thực tính toàn vẹn dữ liệu Thứ hai, IPSec cho phép sử dụng các phương pháp, thuật toán mật mã, xác thực mạnh nhất hiện có Thứ ba, IPSec là một khung chuẩn mở, nghĩa là có thể lựa chọn các thuật toán phù hợp với mức độ

an toàn dữ liệu mong muốn mà không bị giới hạn cứng nhắc phải sử dụng đúng một thuật toán nào đó, đồng thời có khả năng sử dụng các thuật toán tiên tiến phát triển trong tương lai Điều này thể hiện tính linh hoạt rất cao của IPSec

Bởi vậy trong phần này ta sẽ chủ yếu làm rõ vấn đề bảo mật trong VPN với trọng tâm tập trung vào IPSec

chỉ có khóa bí mật là có khả năng giải mã Bản thân các hệ mật mã này có nhiều thuật toán thực hiện

b)Hệ thống mật mã khóa đối xứng

Ecryption Message

Clear Message

Clear Message

Shared Secret Key

Shared Secret Key

Hình 1.15: Mã hoá khoá bí mật hay đối xứng

Thuật toán đối xứng được định nghĩa là một thuật toán khoá chia sẻ sử dụng để mã hoá và giải mã một bản tin Các thuật toán mã hoá đối xứng sử dụng chung một khoá để mã hoá và giải mã bản tin, điều đó có nghĩa là cả bên gửi và bên nhận đã thoả thuận, đồng ý sử dụng cùng một khoá bí mật để mã hoá và giải

mã

Ưu điểm của mã hoá khoá đối xứng:

 Thuật toán này mã hoá và giải mã rất nhanh, phù hợp với một khối lượng lớn thông tin

 Chiều dài khoá từ 40÷168 bit

 Các tính toán toán học dễ triển khai trong phần cứng

 Người gửi và người nhận chia sẻ chung một mật khẩu

- Giải thuật DES

Thuật toán DES được đưa ra vào năm 1977 tại Mỹ và đã được sử dụng rất rộng rãi Nó còn là cơ sở để xây dựng một thuật toán tiên tiến hơn là 3DES Hiện nay, DES vẫn được sử dụng cho những ứng dụng không đòi hỏi tính an toàn cao,

và khi chuẩn mật mã dữ liệu mới là AES chưa chính thức thay thế nó DES mã hóa các khối dữ liệu 64 bit với khóa 56 bit

Hình 1.16: Sơ đồ thuật toán DES

c) Hệ thống mật mã khóa công khai

Thuật toán mã hoá khoá công cộng được định nghĩa là một thuật toán sử dụng một cặp khoá để mã hoá và giải mã bảo mật một bản tin Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá khác để giải mã nhưng hai khoá này

có liên quan với nhau tạo thành một cặp khoá duy nhất của một bản tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau

Hình 1.17: Thuật toán mã hoá khoá công cộng

Ưu điểm của thuật toán mã hoá khoá công khai:

- Khoá công cộng của khoá đôi có thể được phân phát một cách sẵn sang mà không sợ rằng điều này làm ảnh hưởng đến việc sử dụng các khoá riêng Không cần phải gửi một bản sao chép khoá công cộng cho tất cả các đáp ứng

mà chúng ta có thể lấy nó từ một máy chủ được duy trì bởi một công ty hay

là nhà cung cấp dịch vụ

- Cho phép xác thực nguồn phát của bản tin

Nhươc điểm của mã hoá khoá công cộng là quá trình mã hoá và giải mã rất châm, chậm hơn nhiều so với mã hoá khoá bí mật Do đó nó thường được sử dụng để mã hoá các khoá phiên, một lượng dữ liệu nhỏ Một số thuật toán sử dụng mã hoá khoá công cộng như RSA, Diffie-Hellman

1.2.4.3 Xác Thực

a) Xác thực toàn vẹn dữ liệu

Xác thực tính toàn vẹn dữ liệu (sovereignty data) bao gồm hai vấn đề:

 Phát hiện các bản tin bị lỗi (corrupted message): Phát hiện các lỗi bit đồng thời xác định nguyên nhân lỗi là do phương tiện truyền dẫn hoặc

do thiết bị xử lý, lưu trữ Giải pháp cho vấn đề này là sử dụng một giản lược thông điệp MD (Message Digest) cho mỗi bản tin MD hoạt động như một dấu vân tay cho phép xác định duy nhất một bản tin

 Bảo vệ chống sửa đổi bất hợp pháp bản tin (unauthorized modification): Phát hiện ra những bản tin đã bị sửa đổi một cách bất hợp pháp trong quá trình truyền dẫn Có hai giải pháp cho vấn đề này trên cơ sở sử dụng mật mã khoá đối xứng và mật mã khoá công cộng Giải pháp khoá đối xứng tạo ra một mã xác thực bản tin MAC (Message Authentication Code) dựa trên một hàm giản lược thông điệp có khoá tác động (Keyed message digest function) Giải pháp khoá công cộng tạo ra một chữ ký số (digital signature) bằng cách mật

mã giản lược thông điệp MD với khoá công khai của người gửi

Giản lược thông điệp MD dựa trên hàm băm một chiều

- MD là phương pháp sử dụng để phát hiện lỗi truyền dẫn, nó được thực hiện bằng các hàm băm một chiều Các hàm băm một chiều được sử dụng để tính

MD Một hàm băm được coi là tốt nếu thoả mã các yêu cầu:

- Việc tính MD đơn giản, hiệu quả cho phép tính MD của các bản tin có kích thước nhiều GB

- Không có khả năng tính ngược lại bản tin ban đầu khi biết giá trị MD của nó Đây là lý do có tên gọi là hàm băm một chiều

- Giá trị MD phải phụ thuộc vào tất cả các bit của bản tin tương ứng Dù chỉ một bit trong bản tin bị thay đổi, thêm vào hoặc xoá bớt thì sẽ có khoảng 50% các bit trong MD sẽ thay đổi giá trị một cách ngẫu nhiên Hàm băm có khả năng thực hiện ánh xạ message-to-digest giả ngẫu nhiên, nghĩa là với hai bản tin gần giống hệt nhau thì mã hash của chúng lại hoàn toàn khác nhau

- Do bản chất ngẫu nhiên của hàm băm và số lượng cực lớn các giá trị hash có thể, nên hầu như không có khả năng hai bản tin phân biệt có cùng giá trị hash Với các ứng dụng thực tế hiện nay có thể coi đầu ra của hàm băm thực hiện trên một bản tin là dấu vân tay duy nhất cho bản tin đó

MD có độ dài cố định hoạt động như một dấu vân tay duy nhất cho một bản tin có độ dài tuỳ ý Với độ dài thông thường của một MD từ 128 đến 256 bit thì có thể đại diện cho 1038÷1070 giá trị vân tay khác nhau

Có hai hàm băm thông dụng là MD5 (Message Digest #5) và SHA (Security Hash Function) MD5 do Ron Rivest (RSA Security Inc) phát minh, tính

giá trị hash 128 bit (16 Byte) từ một bản tin nhị phân có độ dài tuỳ ý SHA được phát triển bởi NIST (US National Institute of Standards and Technology) với sự cộng tác của NSA (National Security Agency) SHA-1 tính giá trị hash 160 bit (20 Byte) từ một bản tin nhị phân có độ dài tuỳ ý Thuật toán này tương tự như MD5 nhưng an toàn hơn vì kích thước lớn hơn Thuật toán SHA-2 với kích thước hash

là 256, 384, và 512 bit đã được NIST công bố vào tháng 10 năm 2000 để thích ứng với các khoá có độ dài lớn của thuật toán mã hoá AES

- Cấu trúc cơ bản của hàm băm một chiều MD5/SHA

Cả MD5 và SHA đều làm việc với khối dữ liệu đầu vào 512 bit Như vậy bản tin ban đầu được phân thành số nguyên lần các khối dữ liệu này Điều này được thực hiện bằng cách thêm một trương Length 64 bit vào cuối bản tin, sau đó chèn 0÷512 bit đệm vào trước trường Length để khối dữ liệu cuối cùng có độ dài đúng 512 bit

Hình 1.18: Cấu trúc cơ bản của MD5/SHA

Ngoài 512 bit khối dữ liệu đầu vào, hàm băm còn yêu cầu một vector khởi tạo

IV có kích thước bằng kích thước của hash (128 bit đối với MD5, 160 bit đối với SHA-1)

Trong vòng đầu tiên, IV lấy giá trị định nghĩa trước trong các chuẩn MD5, SHA Một giá trị hash sẽ được tính dựa trên khối 512 bit đầu vào đầu tiên Giá trị hash này đóng vai trò IV trong vòng thứ hai Quá trình tiếp tục với giá trị hash vòng trước là IV của vòng sau Sau khi khối dữ liệu 512 bit cuối cùng được xử lý thì giá trị hash tính được là MD của toàn bộ bản tin

- Mã xác thực bản tin MAC (Message Authentication Code)

Lý do xây dựng mã xác thực bản tin MAC là vì bản thân MD không cung cấp bất kỳ bảo vệ nào chống lại việc thay đổi bất hợp pháp nội dung của bản tin Khi một người nào đó thay đổi nội dung của bản tin trên đường truyền thì anh ta

có thể tính lại giá trị hash MD5 hoặc SHA dựa trên nội dung của bản tin đã thay đổi đó và như vậy tại phía thu, giá trị hash vẫn hoàn toàn hợp lệ

Hình 1.19: Xác thực bản tin MAC

MAC là phương pháp bảo vệ chống sửa đổi bất hợp pháp nội dung của bản tin MAC được thực hiện dựa trên hàm băm một chiều kết hợp với khoá bí mật

- Xác thực tính toàn vẹn dữ liệu dựa trên xác thực bản tin MAC

Để giải quyết vấn đề này, MAC sử dụng một khoá bí mật trong quá trình tính MD của bản tin thì mới đảm bảo chống lại những thay đổi bất hợp pháp Phía phát, nơi có khoá bí mật tạo ra một giản lược thông điệp hợp lệ (valid MD) và được gọi là mã xác thực bản tin MAC Phía thu sử dụng khoá bí mật để sử dụng khóa bí mật để xác định tính hợp lệ của bản tin bằng cách tính lại giá trị MAC và

so sánh với giá trị MAC mà phía phát truyền tới

Thông thường giá trị MAC cuối cùng được tạo ra bằng cách cắt ngắn giá trị hash thu được bởi MD5 (128 bit) hay SHA-1 (160 bit) xuống còn 96 bit Mặc dù việc cắt giảm này làm giảm đáng kể số các tổ hợp cần thử đối với một tấn công kiểu brute force, nhưng nó có tác dụng che dấu trạng thái bên trong của thuật toán băm và sẽ khó khăn hơn rất nhiều cho kẻ tấn công để có thể đi từ đầu ra của vòng băm thứ hai tới kết quả trung gian của vòng băm thứ nhất

Phương pháp mã xác thực tính toàn vẹn sử dụng MAC có ưu điểm là thực hiện nhanh và hiệu quả vì việc tạo MAC dựa trên hàm băm tương đối đơn giản, do

đó thường được sử dụng để xác thực các cụm dữ liệu tốc độ cao (sử dụng cho các gói tin IPSec) Nhược điểm của phương pháp này là phía thu phải biết được khoá

bí mật thì mới kiểm tra được tính toàn vẹn của bản tin, dẫn đến vấn đề phải phân phối khoá một cách an toàn

b) Xác thực nguồn gốc dữ liệu

Có hai phương thức xác thực nguồn gốc dữ liệu: xác thực dựa trên mật khẩu và xác thực dựa trên giao thức hỏi đáp

- Xác thực dựa trên mật khẩu

Đối với phương thức này, tồn tại 2 nguy cơ mất an toàn như sau:

 Nguy cơ thứ nhất: Mật khẩu phải truyền qua một kênh không an toàn Ví dụ trong trường hợp đăng nhập từ xa sử dụng giao thức telnet yêu cầu truyền nhận dạng (ID) và mật khẩu (password) của