Đang tải... (xem toàn văn)
VPN là gì? Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đâykhông phải là một khái niệm mới trong công nghệ mạng. VPN có thể được đinhnghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thốngmạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểmđiểm. Một cuộcđiện thoại giữa hai cá nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trênmạng điện thoại công cộng. Hai đặc điểm quan trọng của công nghệ VPN là riêngvà ảo tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuấthiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạngWAN, làm thay đổi và làm tăng thêm tích chất của mạng cục bộ cho mạng WAN.VPN=Đường hầm + Mã hoá.
BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH QUẢN TRỊ MẠNG MÁY TÍNH BÁO CÁO MÔN AN TOÀN MẠNG (Đề tài nghiên cứu công nghệ VPN) Giảng viên hướng dẫn Sinh viên báo cáo Lớp Mã số sinh viên : : : : Hồ Hữu Trung Hà Đăng Hoàng C14QM11 14200078 Tháng 3/2016 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Bài 1: Giới thiệu Công nghệ VPN VPN gì? Mạng riêng ảo hay biết đến với từ viết tắt VPN, khái niệm công nghệ mạng VPN đinh nghĩa dịch vụ mạng ảo triển khai sở hạ tầng hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho kết nối điểm-điểm Một điện thoại hai cá nhân ví dụ đơn giản mô tả kết nối riêng ảo mạng điện thoại công cộng Hai đặc điểm quan trọng công nghệ VPN ''riêng'' ''ảo" tương ứng với hai thuật ngữ tiếng anh (Virtual and Private) VPN xuất lớp mô hình OSI, VPN cải tiến sở hạ tầng mạng WAN, làm thay đổi làm tăng thêm tích chất mạng cục cho mạng WAN VPN=Đường hầm + Mã hoá Lợi ích VPN đem lại VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền giảm chi phí phát sinh cho nhân viên xa nhờ vào việc họ truy cập vào hệ thống mạng nội thông qua điểm cung cấp dịch vụ địa phương POP(Point of Presence), hạn chế thuê đường truy cập nhà cung cấp dẫn đến giá thành cho việc kết nối Lan - to - Lan giảm đáng kể so với việc thuê đường LeasedLine Giảm chi phí quản lý hỗ trợ: Với việc sử dụng dịch vụ nhà cung cấp, phải quản lý kết nối đầu cuối chi nhánh mạng quản lý thiết bị chuyển mạch mạng Đồng thời tận dụng sở hạ tầng mạng Internet đội ngũ kỹ thuật nhà cung cấp dịch vụ từ công ty tập trung vào đối tượng kinh doanh VPN đảm bảo an toàn thông tin, tính toàn vẹn xác thực Dữ liệu truyền mạng mã hoá thuật toán, đồng thời truyền đường hầm(Tunnle) nên thông tin có độ an toàn cao Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page Đề tài nghiên cứu công nghệ VPN GVHD: Hồ Hữu Trung VPN dễ dàng kết nối chi nhánh thành mạng cục bộ: Với xu toàn cầu hoá, công ty có nhiều chi nhành nhiều quốc gia khác Việc tập trung quản lý thông tin tất chi nhánh cần thiết VPN dễ dàng kết nối hệ thống mạng chi nhành văn phòng trung tâm thành mạng LAN với chi phí thấp Bài 2: Các loại VPN VPN Remote Access * VPN Remote Access VPN Remote Access—Cung cấp kết nối truy cập từ xa đến mạng Intranet Extranet dựa hạ tầng chia sẻ VPN Remote Access sử dụng đường truyền Analog, Dial, ISDN, DSL, Mobile IP Cable để thiết lập kết nối đến Mobile user Một đặc điểm quan trọng VPN Remote Access là: Cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội công ty để làm việc Để thực VPN Remote Access cần: Có 01 VPN Getway(có 01 IP Public) Đây điểm tập trung xử lý VPN Client quay số truy cập vào hệ thống VPN nội Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page Đề tài nghiên cứu công nghệ VPN GVHD: Hồ Hữu Trung Các VPN Client kết nối vào mạng Internet VPN Site to Site * VPN Site - to – Site VPN Site - to - Site chia làm hai loại nhỏ VPN Intranet VPN Extranet * Intranet VPN Kết nối văn phòng trung tâm, chi nhánh văn phòng xa vào mạng nội công ty dựa hạ tầng mạng chia sẻ Intranet VPN khác với Extranet VPN chỗ cho phép nhân viên nội công ty truy cập vào hệ thống mạng nội công ty * Extranet VPN Kết nối phận khách hàng công ty, phận tư vấn, đối tác công ty thành hệ thống mạng dựa hạ tầng chia sẻ Extranet VPN khác với Intranet VPN chỗ cho phép user công ty truy cập vào hệ thống Để thực VPN Site - to Site cần: Có 02 VPN Getway(Mỗi VPN Getway có 01 IP Public) Đây điểm tập trung xử lý VPN Getway phía bên quay số truy cập vào Các Client kết nối vào hệ thống mạng nội Mô hình áp dụng quan Theo phân tích qua khảo sát thực tế, thầy, cô công tác sở, chi nhánh liên kết trường có máy tính mong muốn kết nối vào hệ thống mạng nội trường để làm việc Tại thời điểm thực đồ án này, trường ta có sở Huyện Khoái Châu, Tỉnh Hưng yên Do việc thiết lập mô hình hệ thống VPN Remote Access phù hợp Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Khi trường ta có thêm sở Hải Dương Phố Nối, chuyển sang mô hình Site - to - Site để kết nối 03 sở vào thành hệ thống LAN nội Mô hình VPN Remote Access áp dụng thử nghiệm quan Điều kiện thiết bị cần có thực VPN Qua thử nghiệm cho thấy, mạng VPN hoạt động tốt đáp ứng yêu cầu: Hoạt động ổn định liên tục Tốc độ truy cập tốt Đáp ứng số kết nối đồng thời Trong mô hình thử nghiệm trên, thiết bị cần có mức tối thiểu cho việc thử nghiệm mạng VPN Remote Access gồm: 01 Đường ADSL 01 Modem ADSL 01 Máy chủ Server cài phần mềm ISA Server(Đóng vai trò VPN Server ) Qua thử nghiệm cho thấy, với số lượng VPN Client ít, từ 5-10 kết nối đồng thời mạng VPN hoạt động bình thường, số kết nối tăng nên nhiều dung lượng download, upload cao hay xảy tượng Disconect Vấn đề hoàn toàn dung lượng đường truyền khả xử lý thiết bị Để thiết lập mạng VPN làm việc chuyên nghiệp trường ĐH SPKT Hưng Yên cần thiết bị chuyên dụng, có độ tin cậy cao như: Cisco PIX 500 Series Đây dòng thiết bị an ninh chuyên dụng hàng đầu Cisco cho phép nhiều kết nối VPN đồng thời tuỳ thuộc vào loại thiết bị PIX 515E cho phép 500 kết nối đồng thời dành cho doanh nghiệp nhỏ trung bình có giá tham khảo $3700 PIX 535E cho phép 10000 kết nối VPN đồng thời dành cho tập đoàn lớn có giá tham khảo $10,000 Đồng thời đường truyền vấn đề quan trọng Nếu đường truyền vào VPN Getway có dung lượng truyền cao ổn định yếu tố đảm bảo hệ thống mạng hoạt động ổn định Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Bài 3: Các công nghệ giao thức hỗ trợ VPN Chức mạng VPN truyền thông tin mã hoá đường hầm dựa hạ tầng mạng chia sẻ * Đường hầm Đường hầm khái niệm quan trọng mạng VPN, cho phép công ty tạo mạng ảo dựa hệ thống mạng công cộng Mạng ảo không cho phép người quyền truy cập vào Đường hầm cung cấp kết nối logic điểm đến điểm hệ thống mạng Internet hay mạng công cộng khác Để liệu truyền an toàn mạng, giải pháp đưa mã hoá liệu trước truyền Dữ liệu truyền đường hầm đọc người nhận người gửi Đường hầm tạo cho VPN có tính chất riêng tư mạng Để mô tả chi tiết nguyên lý gói tin truyền qua đường hầm ta nghiên cứu loại đường hầm điển hình GRE Đây giao thức tạo đường hầm sử dụng PPTP giao thức tạo kết nối VPN Peer to Peer Remote Access phổ biến Microsoft Microsoft sử dụng dịch vụ RRA(Routing and Remote Access) để định tuyến LAN hình sau Định dạng gói tin GRE, giao thức Microsoft dùng để đóng gói liệu sau: Dữ liệu từ Client đưa đến VPN Getway đóng gói giao thức PPP(Point - to Point Protocol) với PPP Header Sau gói tin đóng gói GRE với GRE Header truyền đường hầm Tại đầu bên đường hầm, gói tin giải phóng khỏi GRE Header PPP Header sau vận chuyển đến đích Các Header gói tin thể hình sau: Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Một ví dụ đường hầm GRE sau thiết lập mô hình Site – to * Mã hoá Mã hoá đặc điểm việc xây dựng thiết kế mạng VPN Mạng VPN sử dụng hạ tầng hệ thống Internet mạng công cộng khác Do liệu truyền mạng bị bắt giữ xem thông tin Để đảm bảo thông tin đọc người nhận người gửi liệu phải mã hoá với thuật toán phức tạp Tuy nhiên nên mã hoá thông tin quan trọng trình mã hoá giản mã ảnh hưởng đến tốc độ truyền tải thông tin Các nhà cung cấp dịch vụ VPN chia VPN thành tập hợp VPN lớp 1, VPN lớp sử dụng để vận chuyển dịch vụ lớp hạ tầng mạng chia sẻ, điều khiển quản lý Generalized Multiprotocol Label Switching (GMPLS) Hiện nay, việc phát triển VPN lớp giai đoạn thử nghiệm nên VPN Layer không đề cập đến tài liệu Hiểu đơn giản nhất, kết nối VPN hai điểm mạng công cộng hình thức thiết lập kết nối logic Kết nối logic thiết lập lớp lớp mô hình OSI công nghệ VPN phân loại rộng rãi theo tiêu chuẩn VPN lớp VPN lớp 3(Layer VPNs or Layer VPNs) Công nghệ VPN lớp Công nghệ VPN lớp thực thi lớp mô hình tham chiếu OSI; Các kết nối pointto-point thiết lập site dựa mạch ảo(virtual circuit) Một mạch ảo kết nối logic điểm mạng mở rộng thành nhiều điểm Một mạch ảo kết nối điểm đầu cuối(end-to-end) thường gọi mạch vĩnh cửu(Permanent Virtual Circuit-PVC) Một mạch ảo kết nối động điểm mạng(point to point) biết đến mạng chuyển mạch(Switched Virtual Circuit - SVC) SVC sử dụng độ phức tạp Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN trình triển khai khắc phục hệ thống lỗi ATM Frame Relay 02 công nghê VPN lớp phổ biến Các nhà cung cấp hệ thống mạng ATM Frame Relay cung cấp kết nối site - to - site cho tập đoàn, công ty cách cấu hình mạch ảo vĩnh cửu(PVC) thông qua hệ thống cáp Backbone chia sẻ Một tiện lợi VPN lớp độc lập với luồng liệu lớp Các mạng ATM Frame Relay kết nối site sử dụng nhiều loại giao thức định tuyến khác IP, IPX, AppleTalk, IP Multicast ATM Frame Relay cung cấp đặc điểm QoS(Quality of Service) Đây điều kiện tiên vận chuyển luồng liệu cho Voice Công nghệ VPN Lớp Một kết nối site định nghĩa VPN lớp Các loại VPN lớp GRE, MPLS IPSec Công nghệ GRE IPSec sử dụng để thực kết nối point - to - point, công nghệ MPLS thực kết nối đa điểm(any - to - any) Đường hầm GRE Generic routing encapsulation (GRE) khởi xướng phát triển Cisco sau IETF xác nhận thành chuẩn RFC 1702 GRE dùng để khởi tạo đường hầm vận chuyển nhiều loại giao thức IP, IPX, Apple Talk gói liệu giao thức khác vào bên đường hầm IP GRE chức bảo mật cấp cao bảo vệ cách sử dụng chế IPSec Một đường hầm GRE site, IP vươn tới được mô tả VPN liệu riêng site đóng gói thành gói tin với phần Header tuân theo chuẩn GRE Bởi mạng Internet công cộng kết nối toàn giới Các chi nhánh tập đoàn nằm vùng địa lý khác Để chi nhánh truyền liệu cho cho văn phòng trung tâm điều kiện cần chi nhành cần thiết lập kết nối vật lý đến nhà cung cấp dịch vụ Internet(ISP) Thông qua mạng VPN thiết lập sử dụng GRE Tunnel Tất liệu chi nhánh trao đổi với đường hầm GRE Hơn liệu bảo mật chống lại nguy công MPLS VPNs Công nghệ MPLS VPN xây dựng kết nối chuyển mạch nhãn(Label Switched Path) thông qua Router chuyển mạnh nhãn(Label Switch Routers) Các gói tin chuyển dựa vào Label gói tin MPLS VPN sử dụng giao thức TDP(Tag Distribution Protocol), LDP(Label Ditribution Protocol) RSVP(Reservation Protocol) Khởi xướng cho công nghệ Cisco, MPLS có nguồn gốc Tag mạng chuyển mạch sau IETF chuẩn hoá thành MPLS MPLS tạo thông qua Router sử dụng chế chuyển mạch nhãn(Label Switch Routers) Trong mạng MPLS, gói tin chuyển mạch dựa nhãn gói tin Các nhà cung cấp dịch vụ tăng cường triển khai MPLS để cung cấp dịch vụ VPN MPLS đến khách hàng Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Nguồn gốc tất công nghệ VPN liệu riêng đóng gói phân phối đến đích với việc gắn cho gói tin thêm phần Header; MPLS VPN sử dụng nhãn(Label) để đóng gói liệu gốc thực truyền gói tin đến đích RFC 2547 định nghĩa cho dịch vụ VPN sử dụng MPLS Một tiện ích VPN MPLS so với công nghệ VPN khác giảm độ phức tạp để cấu hình VPN site Ví dụ Công ty có 03 chi nhánh địa điểm khác nhau, để site truyền liệu cho thực cấu hình VPN any-to-any(Full Mesh) sử dụng công nghệ ATM hay Frame Relay, site đòi hỏi 02 Virtual Circuit tunnel đến site khác đồng thời phải thiết lập cấu hình đến site hệ số phức tạp mô hình O(n) với n số site Ngược lại, với mô hình VPN MPLS ta có hệ số phức tạp O(1) dù hệ thống có đến n site khác Thực tế cho thấy kết nối site-to-site không tạo đường hầm point-to-point VPN MPLS có khả mở rộng dễ dàng Các kết nối any-to-any site thực dễ dàng công nghệ MPLS Tuy nhiên công nghệ gặp phải trở ngại phụ thuộc vào sở hạ tầng nhà cung cấp dịch vụ VPN MPLS Trong công nghệ VPN GRE lại sử dụng thông qua Internet để mở rộng tầm hoạt động cách dễ dàng mà không phụ thuộc nhà cung cấp, thêm vào thân công nghệ VPN GRE tự đạt khả bảo mật với công nghệ truyền liệu đường hầm IPSec VPNs Một nội dung mà sử dụng VPN muốn bảo mật liệu chúng truyền hệ thống mạng công cộng Một câu hỏi đặt làm để ngăn chặn mối nguy hiểm từ việc nghe trộm liệu chúng truyền mạng công cộng? Mã hoá liệu cách để bảo vệ Mã hoá liệu thực cách triển khai thiết bị mã hoá/giải mã site IPSec tập giao thức phát triển IETF để thực thi dịch vụ bảo mật mạng IP chuyển mạch gói Internet mạng chuyển mạch gói công cộng lớn Công nghệ IPSec VPN triển khai có ý nghĩa quan trọng tiết kiệm chi phí lớn so với mạng VPN sử dụng Leased-Line VPN Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn liệu, điều khiển truy cập đảm bảo bí mật liệu Với IPSec, thông tin trao đổi site mã hoá kiểm tra IPSec triển khai hai loại VPN Remote Access Client Site-to-Site VPN Giao thức PPTP(Point-to-Point Tunneling Protocol) Đây giao thức đường hầm phổ biến Giao thức phát triển Microsoft Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN PPTP cung cấp phần dịch vụ truy cập từ xa RAS(Remote Access Service) Như L2F, PPTP cho phép tạo đường hầm từ phía người dùng(Mobile User) truy cập vào VPN Getway/Concentrator Giao thức L2F Là giao thức lớp phát triển Cisco System L2F thiết kế cho phép tạo đường hầm NAS thiết bị VPN Getway để truyền Frame, người sử dụng từ xa kết nối đến NAS truyền Frame PPP từ remote user đến VPN Getway đường hầm tạo Giao thức L2TP Là chuẩn giao thức IETF đề xuất, L2TP tích hợp hai điểm mạnh truy nhập từ xa L2F(Layer Forwarding Cisco System) tính kết nối nhanh Point - to Point PPTP(Point to Point Tunnling Protocol Microsoft) Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm cho frame sử dụng giao thức PPP truyền liệu đường hầm • • • • Một số ưu điểm L2TP L2TP hỗ trợ đa giao thức Không yêu cầu phần mềm mở rộng hay hỗ trợ HĐH Vì người dùng từ xa mạng Intranet không cần cài thêm phần mềm đặc biệt L2TP cho phép nhiều Mobile user truy cập vào Remote Network thông qua hệ thống mạng công cộng L2TP tình bảo mật cao nhiên L2TP kết hợp với chế bảo mật IPSec để bảo vệ liệu • Với L2TP xác thực tài khoản dựa Host Getway Network phía nhà cung cấp dịch vụ trì Database để thẩm định quyền truy cập IEEE 802.1Q tunneling (Q-in-Q) Đường hầm 802.1Q cho phép nhà cung cấp dịch vụ tạo đường hầm Ethernet sử dụng hạ tầng mạng chia sẻ Dữ liệu đường hầm 802.1Q vận chuyển phụ thuộc vào tag 802.1Q Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 10 Đề tài nghiên cứu công nghệ VPN GVHD: Hồ Hữu Trung Cơ chế mã hoá giải mã sử dụng Public Key Trong thực tế thuật toán mã khoá công khai sử dụng để mã hoá nội dung thông tin thuật toán xử lý chậm so với thuật toán đối xứng nhiên Public Key thường dùng để giải vấn đề phân phối Key thuật toán đối xứng Public Key không thay Symmetric mà chúng trợ giúp lẫn Digital Signatures Một ứng dụng khác thuật toán mã hoá công khai chữ ký điện tử(Digital Signature) Trở lại toán Alice Bob Lúc Bob muốn chứng thực thư Alice gửi cho Alice gửi thư nặc danh từ kẻ thức Do chữ ký điện tử sinh gắn kèm vào tệp tin Alice, Bob sử dụng Public Key để giải mã xác nhận chữ ký Alice Cơ chế xác thực sau: Cơ chế xác thực chữ ký số • Máy tính Alice sử dụng hàm HASH băm văn cần muốn gửi cho Bob thành tệp 512 byte gọi tệp HASH • Alice mã hoá tệp HASH với Private Key thành chữ ký số Chữ ký số đính kèm vào văn gửi • Bob giải mã chữ ký điện tử Alice với Public key tạo tệp HASH1 sau sử dụng hàm HASH băm tệp Plain Text nhận từ Alice tạo tệp HASH2 Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 12 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN • HASH1 HASH2 so sánh với nhau, hợp văn Bob nhận Alice gửi IPSec Security Protocol Mục đích IPSec cung cấp dịch vụ bảo mật cho gói tin IP lớp Network Những dịch vụ bao gồm điều khiển truy cập, toàn vẹn liệu, chứng thực bảo mật liệu Encapsulating security payload (ESP) authentication header (AH) hai giao thức sử dụng để cung cấp tính bảo mật cho gói IP IPSec hoạt động với hai chế Transport Mode Tunnel Mode IPSec Transport Mode Trong chế độ IPSec Transport Header(AH ESP) chèn vào IP Header Header lớp Hiển thị IP Packet bảo vệ IPSec chế độ Transport Mode Trong chế độ này, IP Header giống IP Header gói liệu gốc trừ trường IP Protocol thay đổi sử dụng giao thức ESP(50) AH(51) IP Header Checksum tính toán lại Trong chế độ này, địa IP đích IP Header không thay đổi IPSec nguồn chế độ sử dụng để bảo vệ gói có IP EndPoint IPSec EndPoint giống IPSec Transport Mode tôt bảo vệ luồng liệu hai host mô hình site-to-site Hơn hai địa IP hai host phải định tuyến(Nhìn thấy mạng) điều tương đương với việc Host không phép NAT mang Do IPSec Transport Mode thường dùng để bảo vệ Tunnle GRE khởi tạo VPN Getway mô hình Site-to-Site IPSec Tunnle Mode Dịch vụ IPSec VPN sử dụng chế độ Transport phương thức đóng gói GRE VPN Getway mô hình Site-to-Site hiệu Nhưng Client kết nối vào Getway VPN từ Client Getway VPN chưa bảo vệ, Client muốn kết nối vào Site việc bảo vệ IPSec vấn đề IPSec Tunnle Mode đời để hỗ trợ vấn đề Ở chế độ Tunnle Mode, gói IP nguồn đóng gói IP Datagram IPSec header(AH ESP) chèn vào outer inner header, đóng gói với "outer" IP Packet, chế độ Tunnle được sử dụng để cung cấp dịch vụ bảo mật IP Node đằng sau VPN Getway Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 13 Đề tài nghiên cứu công nghệ VPN GVHD: Hồ Hữu Trung Gói IP chế độ IPSec Tunnle Encapsulating Security Header (ESP) Gói liệu IP bảo vệ ESP ESP cung cấp bảo mật, toàn vẹn liệu, chứng thực nguồn gốc liệu dịch vụ chống công Anti-reply ESP điền giá trị 50 IP Header ESP Header chèn vào sau IP Header trước Header giao thức lớp IP Header IP Header chế độ Tunnle IP Header nguồn chế độ Transport Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 14 Đề tài nghiên cứu công nghệ VPN GVHD: Hồ Hữu Trung Tham số bảo mật Security Parameter Index (SPI) ESP Header giá trị 32 bit tích hợp với địa đích giao thức IP Header SPI số lựa chọn Host đích suốt trình diễn thương lượng Public Key Peer-to-Peer Số tăng cách nằm Header người gửi SPI kết hợp với chế Slide Window tạo thành chế chống công Anti-Replay Authentication Header (AH) AH cung cấp chế kiểm tra toàn vẹn liệu, chứng thực liệu chống công Nhưng không giống EPS, không cung cấp chế bảo mật liệu Phần Header AH đơn giản nhiều so với EPS Gói IP bảo vệ AH AH giao thức IP, xác định giá trị 51 IP Header Trong chế độ Transport, gá trị giao thức lớp bảo vệ UPD, TCP , chế độ Tunnle, giá trị Vị trí AH chế độ Transport Tunnle hình sau: Trong chế độ Transport, AH tốt cho kết nối endpoint sử dụng IPSec, chế độ Tunnle AH đóng gói gói IP thêm IP Header vào phía trước Header Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 15 Đề tài nghiên cứu công nghệ VPN GVHD: Hồ Hữu Trung Qua AH chế độ Tunnle sử dụng để cung cấp kết nối VPN end-to-end bảo mật Tuy nhiên phần nội dung gói tin không bảo mật Tiến trình chứng thực bắt tay bước -Three-Way CHAP Authentication Process Khi thiết lập kết nối VPN, Client, NAS Home Getway sử dụng chế chứng thực qua bước phép không cho phép(Allow or Denied) tài khoản phép thiết lập kết nối CHAP giao thức chứng thực challenge/response(Hỏi đáp/phản hồi) Nó mã hoá Password thành chữ ký có độ dài 64 bit thay cho việc gửi password mạng dạng Plain Text Cơ chế hỗ trợ bảo mật Password từ Client đến Home Getway Tiến trình mô tả sau: • Khi user khởi tạo phiên kết nối PPP với NAS, NAS gửi challenge đến Client • Client gửi CHAP Response đến NAS có user dạng clear text, NAS sử dụng số user quay số đến để xác nhận điểm cuối đường hầm IP Tại điểm PPP đàm phán tạm dừng đó, NAS hỏi AAA Server thông tin đường hầm AAA Server trợ giúp thông tin để chứng thực tunnle NAS Home Getway NAS Home Getway chứng thực thiết lập đường hầm NAS Home Getway Sau NAS chuyển thông tin đàm phán PPP với Client đến Home Getway • Home Getway chứng thực Client sau trả Response, mà chuyển tiếp qua NAS đến Client gửi CHAP success failure đến Client Tiến trình chứng thực CHAP bước Bài 5: Các chức ISA Các chức ISA ISA - Microsoft Internet Security and Acceleration phần mềm tăng tốc bảo mật hệ thống Microsoft ISA có nhiều phiên Phiên ISA2006 ISA 2006 có số chức sau: Tính Firewall Kiểm soát luồng liệu di chuyển hệ thống công việc vất vả khó khăn yêu cầu người quản trị có kiến thức sâu hệ thống ISA đưa công cụ làm đơn giản hoá việc tính Firewall Tính Firewall ISA cho phép ta kiểm soát luồng liệu(traffic) giao thức, ứng dụng User mạng Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 16 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Tính Proxy Khi Client hệ thống truy cập Internet, việc để lộ IP nguồn Internet hội cho Hacker công vào hệ thống ISA đưa chế che dấu thông tin Client truy cập Internet Thiết lập mạng VPN ISA cho phép xây dựng hệ thống mạng riêng ảo cho phép người dùng từ xa Mobile User truy cập vào hệ thống mạng nội để làm việc, ISA có chế Site-to-Site xây dựng hệ thống VPN chi nhánh với văn phòng thành hệ thống mạng nội Tính Web Cache Để tăng tốc truy cập Internet, ISA xây dựng chế web Caching, cho phép Cache trang web có lượng truy cập lớn Server Nếu Client truy cập vào Site Cache Server nội dung site lấy từ ISA Server mà Internet Từ tăng tốc độ truy cập Internet Tính Public Server Để Public Site lên Internet, cần IP Public Do phải toán chi phí thuê bao địa IP Để tiết kiệm chi phí, sử dụng IP Public Public Server nội lên Internet nhờ ISA Server Bài 6: Bài toán thực tế Xây dựng hệ thống VPN cho phép thầy, cô bạn sinh viên truy cập vào hệ thống mạng nội khoa CNTT công tác xa làm việc nhà Sơ đồ hệ thống Các bước cấu hình hệ thống ISA Server 2004 firewall cấu hình trở thành môt VPN server Khi bật chức VPN server chấp nhận kết nối vào từ VPN clients incoming VPN client , kết nối thành công, VPN client computer thành viên Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 17 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN cua Mạng bảo vệ, không khác so với Client bên LAN VPN servers truyền thống cho phép VPN clients đầy đủ quyền truy cập vào Mạng kết nối Ngược lại với ISA Server 2004 VPN server có khả cho phép điều khiển protocols servers mà VPN clients kết nối đến dựa đặc quyền mà Client khai báo thiết lập kết nối-credentials đến VPN server Có thể dùng Microsoft Internet Security and Acceleration Server 2004 management console để quản lý tất cấu hình liên quan đến VPN server Firewall quản lý danh sách IP addresses cấp phát cho VPN clients bố trí IP VPN clients network định Điều khiển truy cập sau bố trí dựa chiều giao tiếp, thông qua kiểm soát Access Rules : Đến hay từ VPN clients network Theo bước sau tiến hành enable ISA Server 2004 VPN server: • Enable VPN Server • Tạo Access Rule cho phép VPN clients truy cập vào Internal network • Kiểm tra kết nối VPN Enable VPN Server Theo mặc định, thành phần VPN server ISA Server bị disabled Bước enable tính VPN server cấu hình thành phần VPN server Tiến hành bước sau để enable cấu hình ISA Server 2004 VPN Server: Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name Click Virtual Private Networks (VPN) node Click Tasks tab Task Pane Click Enable VPN Client Access Click Apply để lưu thay đổi cập nhật firewall policy Click OK Apply New Configuration dialog box Click Configure VPN Client Access Trên General tab, thay đổi giá trị Maximum number of VPN clients allowed Từ đến 10 Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 18 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Click Groups tab Trên Groups tab, click Add button Trong Select Groups dialog box, click Locations button Locations dialog box, click msfirewall.org entry click OK Trong Select Group dialog box, điền Domain Users Enter the object names to select text box Click Check Names button group name có gạch tìm thấy Active Directory Click OK Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 19 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Click Protocols tab Trên Protocols tab, đánh dấu check vào Enable L2TP/ IPSec check box Click User Mapping tab Đánh dấu check vào Enable User Mapping check box Đánh dấu check vào When username does not contain a domain, use this domain check box Điền vào msfirewall.org Domain Name text box Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 20 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Click Apply VPN Clients Properties dialog box Click OK Microsoft ISA 2004 Dialog box nhận thông báo phải restart lại ISA Server firewall trước xác lập có hiệu lực Click OK Click Apply lưu lại thay đổi cập nhật cho firewall policy Click OK Apply New Configuration dialog box Restart ISA Server 2004 firewall Tạo Access Rule cho phép VPN Clients truy cập vào Internal Network Tại thời điểm này, VPN clients kết nối đến VPN server Tuy nhiên, VPN clients truy cập đến tài nguyên Internal network Trước hết, bạn phải tạo Access Rule cho phép thành viên thuộc VPN clients network truy cập vào Internal network Trong vd này, tạo Access Rule nhằm cho phép tất lưu thông từ VPN clients network vào Internal network Trong môi trường thực tế, bạn tạo access rules hạn chế nhằm chặt chẽ việc Users VPN clients network truy cập đến tài nguyên mà họ có nhu cầu Tiến hành bước sau để tạo VPN clients Access Rule: Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name click Firewall Policy node Right click Firewall Policy node, chọn New click Access Rule Trong Welcome to the New Access Rule Wizard page, đặt tên cho rule Access Rule name text box Trong vd này, đặt tên cho rule VPN Client to Internal Click Next Trên Rule Action page, chọn Allow click Next Trên Protocols page, chọn All outbound protocols từ danh sách This rule applies to Click Next Trên Access Rule Sources page, click Add Trong Add Network Entities dialog box, click Networks folder double click VPN Clients Click Close Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 21 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Click Next Access Rule Sources page Trên Access Rule Destinations page, click Add Trên Add Network Entities dialog box, click Networks folder double click Internal Click Close Trên User Sets page, chấp nhận xác lập mặc định là, All Users, click Next Click Finish Completing the New Access Rule Wizard page Click Apply để lưu thay đổi cập nhật firewall policy Click OK Apply New Configuration dialog box Enable truy cập quay số -Dial-in Access cho Administrator Account Trong Active Directory domains chế độ native mode (Native mode: Ở chế độ tất Domain Controllers domain phải Windows Server 2000 / 2003), Tất tài khoản User bị disabled quyền quay số truy cập theo mặc địnhdial-in access by default Trong tình này, bạn phải enable dial-in access tài khoảncơ Ngược lại, Active Directory domains chế độ native mode có dial-in access tập trung điều khiển Remote Access Policy RRAS Server Windows NT 4.0 dial-in access điều khiển User account Trong ví dụ này, Active Directory dạng Windows Server 2003 mixed mode, cần thay đổi thủ công xác lập quyền quay số user account Tiến hành bước sau domain controller để enable Dial-in access cho riêng Administrator account: Click Start chọn Administrative Tools Click Active Directory Users and Computers Trong Active Directory Users and Computers console, click Users node khung trái Double click Administrator account khung phải Click Dial-in tab Trong khung Remote Access Permission (Dial-in or VPN), chọn Allow access Click Apply click OK Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 22 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Đóng Active Directory Users and Computers console Kiểm tra kết nối VPN ISA Server 2004 VPN server chấp nhận kết nối VPN client Tiến hành bước sau để kiểm tra VPN Server: Trên Windows 2000 external client, right click My Network Places icon desktop click Properties Double click Make New Connection icon Network and Dial-up Connections window Click Next Welcome to the Network Connection Wizard page Trên Network Connection Type page, chọn Connect to a private network through the Internet option click Next Trên Destination Address page, điền IP address 192.168.1.70 Host name or IP address text box Click Next Trên Connection Availability page, chọn For all users option click Next Không thay đổi Internet Connection Sharing page click Next Trên Completing the Network Connection Wizard page, điền vào tên VPN connection Type the name you want to use for this connection text box Trong vd này, đặt tên kết nối ISA VPN Click Finish Trong Connect ISA VPN dialog box, điền vào user name MSFIREWALL\administrator password administrator user account Click Connect VPN client thiết lập kết nối với ISA Server 2004 VPN server Click OK Trong Connection Complete dialog box nhận thông báo kết nối thiết lập Double click Connection icon system tray click Details tab Bạn thấy chế độ mã hóa 128 bits dùng giao thức MPPE- MPPE 128 encryption sử dụng để bảo vệ data thấy IP address cấp phát cho VPN client Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 23 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN Click Start Run command Trong Run dialog box, điền vào \\EXCHANGE2003BE Open text box, click OK Các folder shares domain controller xuất Right click Connection icon system tray click Disconnect Bài 7: Giao thức trao đổi khóa IKE Giới thiệu Là giao thức thực trình trao đổi khóa thỏa thuận thông số bảo mật với như: mã hóa nào, mã hóa thuật toán gì, bau lâu trao đổi khóa lần Sau trao đổi xong có “thỏa thuận” đầu cuối, IPSec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở liệu SA Trong trình trao đổi khóa IKE dùng thuật toán mã hóa đối xứng, khóa thay đổi theo thời gian Đây đặc tính hay IKE, giúp hạn chế trình trạng bẻ khóa attacker IKE dùng giao thức khác để chứng thực đầu cuối tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley – ISAKMP: giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA – Oakley: giao thức làm nhiệm vụ chứng thực khóa, chất dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật Giao thức IKE dùng UDP port 500 Các trình IKE Giai đoạn hoạt động IKE xem tương tự trình bắt tay TCP/IP Quá trình hoạt động IKE chia làm phase chính: Phase Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 24 Đề tài nghiên cứu công nghệ VPN GVHD: Hồ Hữu Trung Phase 2, hai phase nhằm thiết lập kênh truyền an toàn điểm Ngoài phase phase có phase 1.5 Các phase hoạt động IKE IKE phase Đây giai đoạn bắt buộc phải có Phase thực việc chứng thực thỏa thuận thông số bảo mật, nhằm cung cấp kênh truyền bảo mật hai đầu cuối Các thông số sau đồng ý bên gọi SA, SA pha gọi ISAKMP SA hay IKE SA Pha sử dụng mode để thiết lập SA: Main mode Aggressive mode Các thông số bảo mật bắt buộc phải thỏa thuận phase là: – Thuật toán mã hóa: DES, 3DES, AES – Thuật toán hash: MD5, SHA – Phương pháp chứng thực: Preshare-key, RSA – Nhóm khóa Diffie-Hellman (version Diffie-Hellman) Main mode sử dụng message để trao đổi thỏa thuận thông số với nhau: – message đầu dùng để thỏa thuận thộng số sách bảo mật – message trao đổi khóa Diffire-Hellman – message cuối thực chứng thực thiết bị Aggressive mode: sử dụng message – Message gồm thông số sách bảo mật, khóa DiffieHellman Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 25 GVHD: Hồ Hữu Trung Đề tài nghiên cứu công nghệ VPN – Message thứ phản hồi lại thông số sách bảo mật chấp nhận, khóa chấp nhận chứng thực bên nhận – Message cuối chứng thực bên vửa gửi Sinh viên: Hà Đăng Hoàng – C14QM11 - 14200078 Page 26