LỜI NÓI ĐẦU Hiện nay, Internet phát triển mạnh mẽ mặt mô hình lẫn tổ chức, đáp ứng đầy đủ nhu cầu người sử dụng Internet thiết kế để kết nói nhiều mạng với cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng Để làm điều người ta sử dụng hệ thống thiết bị định tuyến để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ ISP Với Internet, dịch vụ đào tạo từ xa, mua hàng trực tuyến, tư vấn lĩnh vữ nhiều điều khác thành thực Tuy nhiên Internet có phạm vi toàn cầu không tổ chưc, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày trở nên phổ biến Không vậy, nhiều doanh nghiệp còng triển khai đội ngũ bán hàng đến tận người dung Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên, việc truy xuất sở liệu từ xa đòi hỏi cao vấn đề an toàn, bảo mật Để giải vấn đề trên, nhiều doanh nghiệp chọn giải pháp mô hình mạng riêng ảo VPN Với mô hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật độ tin cậy đảm bảo, đồng thời quản lý sư hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường văn phòng chi nhánh có kết nối an toàn tới máy chủ tổ chức Nội dung báo cáo trình bày theo chương: Chương Tổng quan VPN Chương Các kiểu VPN Chương Các giao thức VPN Chương Mô VPN Cisco Packet Tracer CHƯƠNG TỔNG QUAN VỀ VPN 1.1 Định nghĩa 1.1.1 Định nghĩa Phương án truyền thông nhanh, an toàn tin cậy trở thành mối quan tâm nhiều doanh nghiệp, đặc biệt doanh nghiệp có địa điểm phân tán mặt địa lý Nếu trước giải pháp thông thường thuê đường truyền riêng (leased lines) để trì mạng WAN (Wide Are Network) Các đường truyền giới hạn từ ISDN (128 Kbps) đến đường cáp quang OC3 (optical carrier-3, 155Mbps) Mỗi mạng WAN có điểm thuận lợi mạng công cộng Internet độ tin cậy, hiệu tính an toàn, bảo mật Nhưng để bảo trì mạng WAN, đặc biệt sử dụng đường truyền riêng, trở nên đắt doanh nghiệp muốn mở rộng chi nhánh Về bản, VPN(virtual private network) mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị công ty nhà cung cấp dịch vụ ISP VPN gọi mạng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật thiết lập host , host mạng hai mạng với Một VPN xây dựng cách sử dụng “Đường hầm” “Mã hoá” VPN xuất lớp mô hình OSI VPN cải tiến sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất mạng cục Dữ liệu mã hoá cách cẩn thận gói tin (Packet) bị bắt lại đường truyền công cộng được nội dung khoá để giả mã Liên kết với liệu mã hoá đóng gói gọi kết nối VPN Các đường truyền kết nối VPN thường đươc gọi đường hầm VPN (Tunnel) 1.1.2 Chức VPN cung cấp ba chức chính: • Sự tin cậy (Confidentiality): Người gửi mã hoá gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, không truy cập thông tin mà không cho phép Và có lấy không đọc • Tính toàn vẹn liệu ( Data Integrity): người nhận kiểm tra liệu truyền qua mạng Internet mà thay đổi • Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin 1.1.3 Ưu điểm VPN đời từ nhu cầu kết nối công ty mẹ với công ty Chính vậy, công ty, tổ chức đối tượng sử dụng VPN Đặc biệt công ty có nhu cầu cao việc trao đổi thông tin, liệu văn phòng đòi hỏi yêu cầu cao tính an toàn bảo mật VPN có nhiều ưu điểm so với mạng leaseb-line truyền thống: • Giảm chi phí: Tổng giá thành việc sở hữu mạng VPN thu nhỏ, phải trả cho việc thuê băng thông đường truyền, thiết bị mạng đường trục, hoạt động hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line truyền thống Còn việc truy cập từ xa giảm tới từ 60-80% • Khả quản lý: Các VPN kết thừa phát huy tính mềm dẻo khả mở rộng kiến trúc mạng mạng WAN truyền thống Điều giúp doanh nghiệp nhanh chóng hiệu kinh tế cho việc mở rộng hay huỷ bỏ kết nối trụ sở xa, người sử dụng di động…, mở rộng đối tác kinh doanh có nhu cầu • Đơn giản hoá việc trì hệ thống bảo trì: Thuận tiện cho việc nâng cấp hay bảo trì trình sử dụng công ty cung cấp dịch vụ chịu trách nhiệm bảo trì hệ thống họ cung cấp nâng cấp theo nhu cầu khách hàng • Truy cập lúc nơi: Mọi nhân viên sử dụng hạ tầng, dịch vụ bên cung cấp điều kiện cho phép để kết nối vào mạng VPN công ty Một mạng VPN có ưu điểm mạng cục sở hạ tầng mạng IP công cộng Các ưu điểm bao gồm tính bảo mật sử dụng đa giao thức 1.1.4 Các yêu cầu giải pháp VPN Có yêu cầu cần đạt xây dựng mạng riêng ảo • Tính tương thích (compatibility) Mỗi công ty, doanh nghiệp xây dựng hệ thống mạng nội diện rộng dựa thủ tục khác không tuân theo chuẩn định nhà cung cấp dịch vụ Rất nhiều hệ thống mạng không sử dụng chuẩn TCP/IP vậykhông thể kết nối trực tiếp với Internet Để sử dụng IP VPN tất hệ thống mạng riêng phải chuyển sang hệ thống địa theo chuẩn sử dụng internet bổ sung tính tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức việc chuyển đổi thủ tục khác sang chuẩn IP 77% số lượng khách hàng hỏi yêu cầu chọn nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị có họ • Tính bảo mật (security) Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Người sử dụng cần đảm bảo liệu thông qua mạng VPN đạt mức độ an toàn giống hệ thống mạng dùng riêng họ tự xây dựng quản lý Việc cung cấp tính bảo đảm an toàn cần đảm bảo hai mục tiêu sau: o Cung cấp tính an toàn thích hợp bao gồm: cung cấp mật cho người sử dụng mạng mã hoá liệu truyền o Đơn giản việc trì quản lý, sử dụng Đòi hỏi thuận tiện đơn giản cho người sử dụng nhà quản trị mạng việc cài đặt quản trị hệ thống • Tính khả dụng (Availability) Một giải pháp VPN cần thiết phải cung cấp tính bảo đảm chất lượng, hiệu suất sử dụng dịch vụ dung lượng truyền • Tiêu chuẩn chất lượng dịch vụ (QoS) Tiêu chuẩn đánh giá mạng lưới có khả đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả đảm bảo độ trễ dịch vụ phạm vi định liên quan đến hai vấn đề 1.2 Kiến trúc VPN Một hệ thống VPN xây dựng lên thành phần là: Tunneling (đường hầm kết nối) Secure Services (các dịch vụ bảo mật kết nối) Tunneling thành phần “Virtual” Sercure Services thành phần “Private” mạng riêng ảo VPN (Virtual Private Network) Đường hầm (Tunnel) cung cấp kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối Điều giúp cho việc sử dụng ưu điểm tính bảo mật Các giải pháp đường hầm cho VPN sử dụng mã hoá để bảo vệ liệu không bị xem trộm không phép để thực đóng gói đa giao thức cần thiết Mã hoá sử dụng để tạo kết nối đường hầm để liệu đọc người nhận người gửi Mã hoá(Encryption) chắn tin không bị đọc đọc người nhận Khi mà có nhiều thông tin lưu thông mạng cần thiết việc mã hoá thông tin trở nên quan trọng Mã hoá biến đổi nội dung thông tin thành văn mật mã mà vô nghĩa dạng mật mã Chức giải mã để khôi phục văn mật mã thành nội dung thông tin dùng cho người nhận CHƯƠNG CÁC KIỂU VPN 2.1 Các VPN truy cập (Remote Access VPNs) Giống gợi ý tên gọi, Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Ðặc biệt người dùng thường xuyên di chuyển chi nhánh văn phòng nhỏ mà kết nối thường xuyên đến mạng Intranet hợp tác Các truy cập VPN thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng Kiểu VPN thường gọi VPN truy cập từ xa Hình 2.1 Mô hình mạng VPN truy cập Một số thành phần : Remote Access Server (RAS) : đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới Quay số kết nối đến trung tâm, điều làm giảm chi phí cho số yêu cầu xa so với trung tâm Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài nguyên thông qua Internet Internet Người dùng từ xa Đường hầm Trung tâm liệu Tường lửa Sử dụng di động Server Đường hầm Server Văn phòng từ xa Hình 2.2: Cài đặt Remote Access VPN Thuận lợi Remote Access VPNs : • Sự cần thiết RAS việc kết hợp với modem loại trừ • Sự cần thiết hỗ trợ cho người dung cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi bời ISP • Việc quay số từ khoảng cách xa loại trừ , thay vào đó, kết nối với khoảng cách xa thay kết nối cục • Giảm giá thành chi phí cho kết nối với khoảng cách xa • Do kết nối mang tính cục bộ, tốc độ nối kết cao so với kết nối trực tiếp đến khoảng cách xa • VPNs cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu cho dù có tăng nhanh chóng kết nối đồng thời đến mạng Ngoài thuận lợi trên, VPNs tồn số bất lợi khác : • Remote Access VPNs không bảo đảm chất lượng phục vụ 2.2 • Khả liệu cao, thêm phân đoạn gói liệu bị thất thoát • Do độ phức tạp thuật toán mã hoá, protocol overhead tăng đáng kể, điều gây khó khăn cho trình xác nhận Thêm vào đó, việc nén liệu IP PPP-based diễn vô chậm chạp tồi tệ • Do phải truyền liệu thông qua Internet, nên trao đổi liệu lớn gói liệu truyền thông, phim ảnh, âm chậm Các VPN nội (Intranet VPNs): Intranet VPNs sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corporate Intranet (backbone router) sử dụng campus router Theo mô hình tốn chi phí phải sử dụng router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì quản lý mạng Intranet Backbone tốn tùy thuộc vào lượng lưu thông mạng phạm vi địa lý toàn mạng Intranet Ðể giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp, điều giảm lượng chi phí đáng kể việc triển khai mạng Intranet Intranet VPNs VPN nội đươc sử dụng để bảo mật kết nối địa điểm khác công ty Điều cho phép tất địa điểm truy cập nguồn liệu phép toàn mạng công ty Các VPN nội liên kết trụ sở chính, văn phòng, văn phòng chi nhánh sở hạ tầng chung sử dụng kết nối mà luôn mã hoá Kiểu VPN thường cấu VPN Site-to-Site 10 Hình 3.27: Khuôn dạng gói tin IPv6 trước sau xử lý ESP Cấu trúc gói tin ESP Cấu trúc gói tin ESP thể hình 3.19 Các trường gói tin ESP bắt buộc hay tùy chọn Những trường bắt buộc có mặt tất gói ESP Việc lựa chọn trường tùy chọn định nghĩa trình thiết lập liên kết an ninh Như vậy, khuôn dạng ESP SA cố định khoảng thời gian tồn SA Hình 3.28: Khuôn dạng gói ESP Sau ý nghĩa trường cấu trúc gói tin ESP • SPI (chỉ số thông số an ninh) Là số 32 bit, với địa IP đích giao thức an ninh ESP cho phép nhận dạng SA cho gói liệu Các giá trị SPI từ đến 255 dành riêng để 47 sử dụng tương lai SPI trường bắt buộc thường lựa chọn phía thu thiết lập SA • Sequence Number ( số thứ tự) Tương tự trường số thứ tự AH • Payload Data ( liệu tải tin) Đây trương bắt buộc, bao gồm số lượng biến đổi byte liệu gố phần liệu yêu cầu bảo mật mô tả trường Next Header Trường mã hóa với thuật toán mã hóa lựa chọn suốt trình thiết lập SA Nếu thuật toán yêu cầu vectơ khởi tạo bao gồm Thuật toán thường dùng để mã hóa ESP DES-CBC Đôi thuật toán khác hỗ trợ 3DES hay CDMF • Padding (đệm) Có nhiều nguyên nhân dẫn đến có mặt trường đệm như: o Nếu thuật toán mật mã sử dụng yêu cầu rõ (Clear-text) phải số nguyên lần khối byte ( ví dụ trường mã khối) trường đệm sử dụng để điền đầy vào phần rõ ( bao gồm Payload Data, Pad Length, Next Header Padding) cho đạt tới kích thước theo yêu cầu o Trường đệm cần thiết để đảm bảo phần liệu mật mã ( Cipher-text) kết thúc biên giới số nguyên lần byte nhằm phân biệt rỗ ràng với trường liệu xác thực (Authentication Data) o Ngoài ra, trường đệm sử dụng để che dấu độ dài thực tải tin, nhiên mục đích cần phải cân nhắc ảnh hưởng tới băng thông truyền dẫn • Pad length (độ dài đệm) Trường xác định số byte đệm thêm vào Pad length trường bắt buộc với giá trị phù hợp nằm khoảng từ đến 255 byte • Next Header ( tiêu đề tiếp theo) Next Header trường bắt buộc có độ dài bit Nó xác định kiểu liệu chứa phần tải tin, ví dụ tiêu đề mở rộng ( Extension Header) Ipv6 nhận dạng giao thức lớp khác Giá trị trường lựa chọn từ tập giá trị IP Protocol Nember định nghĩa IANA 48 • Authentication Data ( liệu xác thực) Trường có độ dài biến đổi, chứa giá trị kiểm tra tính toàn vẹn ICV tính liệu toàn gói ESP trừ trường Authentication Data Độ dài trường phụ thuộc vào thuật toán xác thực sử dụng Trường tùy chọn thêm vào dịch vụ xác thực lựa chọn cho SA xét Thuật toán xác thực phải độ dài ICV, bước xử lý luật so sánh cần thực để kiểm tra tính toàn vẹn gói tin 3.6.5 Giao thức trao đổi khóa Tất giao thức trao đổi khóa IPSec dựa Internet Security Association and Key Management Protocol (ISAKMP) ISAKMP tạo quản lý liên kết an toàn Qúa trình yêu cầu hệ thống IPSec tự xác thực với thiết lập ISAKMP khóa chia sẻ Oakley Key Exchange Protocol sử dụng thuật toán trao đổi khóa Diffie_Hellman để thuận tiện trao đổi mã hóa bí mật Internet Key Exchange (IKE) kết hợp ISAKMP giao thức trao đổi khóa Oakley IKE sử dụng hai “pha” thương lượng Pha bắt đầu xác thực liên kết an toàn hai server ISAKMP, gọi Liên kết an toàn IKE Trong pha có hai chế độ hoạt động: Main Mode (chế độ chính) Aggressive Mode (chế độ linh hoạt) Điều bảo đảm tính hợp pháp riêng tư việc thương lượng liên kết an toàn Mỗi liên kết thiết lập server ISAKMP, cộng thêm liên kết an toàn tạo phân bổ theo cách Sự thỏa thuận khóa Diffie-Hellman sử dụng pha 49 Hình 3.29 IKE pha 1- Main Mode IKE Main Mode bao gồm tin nhắn trao đổi người khởi đầu người nhận cốt để thiết lập liên kết an toàn IKE Giao thức IKE sử dụng UDP cổng 500 1) Người khởi đầu gửi lời đề nghị IKE SA lập danh sách tất phương pháp hỗ trợ xác thực, nhóm Diffie-Hellman, lựa chọn mã hóa, thuật toán băm, muốn suốt thời gian SA tồn 2) Người nhận trả lời với câu trả lời IKE SA phương pháp xác thực ưu tiên hơn, nhóm Diffie-Hellman, mã hóa thuật toán băm, chấp nhận thời gian SA tồn Nếu hai bên thương lượng thành công tập hợp phương pháp bản, giao thức tiếp tục cách thiết lập kênh truyền thông mã hóa sử dụng thuật toán trao đổi khóa DiffieHellman 3) Người khởi đầu gửi phần mã bí mật Diffie-Hellman anh cộng thêm giá trị ngẫu nhiên 4) Người đáp lại làm tương tự việc gửi phần mã bí mật DiffieHellman anh cộng với giá trị ngẫu nhiên Trao đổi khóa Diffie-Hellman hoàn thành hai bên định hình bí mật chia sẻ Bí mật chia sẻ thường phát sinh khóa phiên đối xứng với mà tin nhắn lại giao thức IKE mã hóa 5) Tiếp theo Người khởi đầu gửi định danh anh cách tùy ý chứng liên kết định danh tới khóa công khai Có điều hàm băm qua tất trường tin nhắn dấu bí mật chia sẻ trước khóa RSA riêng 6) Giống bước 5, gửi người nhận Nếu định danh hai bên xác thực thành công IKE SA thiết lập Trong pha hai, IKE thương lượng liên kết an toàn IPSec phát sinh nguyên liệu khóa yêu cầu cho IPSec Trong pha hai có hai chế độ hoạt động: Quick Mode New Group Mode Người gửi đưa nhiều tập hợp biến đổi sử dụng để rõ kết hợp cho phép biến đổi với cài đặt tương ứng chúng Người gửi luồng liệu mà tập hợp biến đổi áp dụng Sau đó, người nhận gửi lại tập hợp biến đổi, 50 đồng ý biến đổi lẫn thuật toán cho việc tham gia phiên IPSec Sự đồng ý Diffie-Hellman hoàn thành pha hai khóa lấy từ bí mật chia sẻ pha Hình 3.30 Internet Key Exchange Như hình 3.21, ta thấy trình trao đổi liệu Bob Alice diễn sau: 1) Gói tin truyền từ Alice đến Bob, lúc chưa có SA 2) IKE Alice bắt đầu thương lượng với IKE Bob 3) Thương lượng hoàn thành Alice Bob có IKE SA IPSec SA 4) Gói tin gửi từ Alice tới Bob bảo vệ IPSec SA Quá trình hoạt động IPSec IPSec đòi hỏi nhiều thành phần công nghệ phương pháp mã hóa Hoạt động IPSec chia thành bước chính: Hình 3.31 Các bước hoạt động IPSec 51 Hình 3.31 Sơ đồ kết nối hai Router chạy IPSec Mục đích IPSec để bảo vệ luồng liệu mong muốn với dịch vụ bảo mật cần thiết Quá trình hoạt động IPSec chia thành năm bước: • Xác định luồng traffic cần quan tâm: Luồng traffic xem cần quan tâm thiết bị VPN công nhận luồng traffic bạn muốn gửi cần bảo vệ • Bước IKE: Giữa đối tượng ngang hàng (peer), tập dịch vụ bảo mật thoả thuận công nhận Tập dịch vụ bảo mật bảo vệ tất trình trao đổi thông tin peer • Bước IKE:IKE thoả thuận tham số SA IPSec thiết lập “matching” SA IPSec peer Các tham số bảo mật sử dụng để bảo vệ liệu tin trao đổi điểm đầu cuối Kết cuối hai bước IKE kênh thông tin bảo mật tạo peer • Truyền liệu: Dữ liệu truyền peer IPSec sở thông số bảo mật khoá lưu trữ SA database • Kết thúc đường hầm “Tunnel”: Kết thúc SA IPSec qua việc xoá hay timing out Bước 1: xác định luồng traffic cần quan tâm Hình 2.32 Xác định luồng traffic Việc xác định luồng liệu cần bảo vệ thực phần việc tính toán sách bảo mật cho việc sử dụng VPN Chính sách sử dụng để xác định luồng traffic cần bảo vệ luồng traffic gửi dạng “clear text” Đối với gói liệu đầu vào 52 đâu ra, có ba lựa chọn: Dùng IPSec, cho qua IPSec, huỷ gói liệu Đối với gói liệu bảo vệ IPSec, người quản trị hệ thống cần rõ dịch vụ bảo mật sử dụng cho gói liệu Các sở liệu sách bảo mật rõ giao thức IPSec, mode, thuật toán sử dụng cho luồng traffic Các dịch vụ sau sử dụng cho luồng traffic dành cho Peer IPSec cụ thể Với VPN Client, bạn sử dụng cửa sổ thực đơn để chọn kết nối mà bạn muốn bảo mật IPSec Khi luồng liệu mong muốn truyền tới IPSec Client, client khởi tạo sang bước trình: Thoả thuận trao đổi bước IKE Bước 2: Bước IKE Hình 3.33 Bước IKE Mục đích bước IKE để thoả thuận tập sách IKE, xác thực đối tượng ngang hàng, thiết lập kênh bảo mật đối tượng ngang hàng Bước IKE xuất hai mode: Main mode Aggressive mode Main mode có ba trình chao đổi hai chiều nơi khởi tạo nơi nhận: Quá trình trao đổi đầu tiên: 53 Hình 3.34 Quá trình trao đổi Trong xuốt trình trao đổi thuật toán hash sử dụng để bảo mật trao đổi thông tin IKE thoả thuận đồng ý đối tượng ngang hàng Trong cố gắng tạo kết nối bảo mật máy A máy B qua Internet, kế hoạch bảo mật IKE trao đổi Router A B Các kế hoạch bảo vệ định nghĩa giao thức IPSec thoả thuận (ví dụ ESP) Dưới kế hoạch, người khởi tạo cần phác hoạ thuật toán sử dụng sách (ví dụ DES với MD5) Ở thoả thuận thuật toán cách riêng biệt, mà thuật toán nhóm tập, tập sách IKE Một tập sách mô tả thuật toán mã hoá nào, thuật toán xác thực nào, mode, chiều dài khoá Những kế hoạch IKE tập sách trao đổi suốt trình trao đổi chế độ main mode Nếu tập sách match tìm thấy hai đối tượng ngang hàng, main mode tiếp tục Nếu không tập sách match tìm thấy, tunnel torn down Trong ví dụ hình trên, RouterA gửi tập sách IKE 10 20 tới RouterB RouterB so sánh tập sách nó, tập sách 15, với tập sách nhận từ RouterA Trong trường hợp này, có match: Đó tập sách 10 Router A match với tập sách 15 Router B Quá trình trao đổi thứ hai Sử dụng trao đổi DH để tạo khoá mật mã chia sẻ qua trình số ngẫu nhiên gửi tới đối tác khác, signed, lấy lại xác thực 54 định nghĩa chúng Khoá mật mã chia sẻ sử dụng để tạo tất khoá xác thực mã hoá khác Khi bước hoàn thành, đối tượng ngang hàng có mật mã chia sẻ đối tượng ngang hàng không xác thực Quá trình diễn bước thứ bước IKE, trình xác thực đặc tính đối tượng ngang hàng Quá trình thứ ba – xác thực đặc tính đối tượng ngang hàng: Hình 3.35 Quá trình trao đổi thứ ba Các phương thức xác thực đối tượng ngang hàng: • Pre-shared keys • RSA signatures • RSA encrypted nonces Bước thứ ba bước trao đổi cuối sử dụng để xác thực đối tượng ngang hàng xa Kết main mode tuyến đường trao đổi thông tin bảo mật cho trình trao đổi đối tượng ngang hàng tạo Có ba phương thức xác thực nguồn gốc liệu: • Các khoá pre-shared: Một giá trị khoá mật mã nhập vào tay đối tượng ngang hàng sử dụng đê xác thực đối tượng ngang hàng • Các chữ ký RSA: Sử dụng việc trao đổi chứng nhận số để xác thực đối tượng ngang hàng • RSA encryption nonces: Nonces (một số ngẫu nhiên tạo đối tượng ngang hàng) mã hoá sau trao đổi đối tượng ngang hàng Hai nonce sử dụng suốt trình xác thực đối tượng ngang hàng 55 Trong aggressive mode, trao đổi với gói liệu Mọi thứ trao đổi trình trao đổi đầu tiên: Sự thoả thuận tập sách IKE, tạo khoá chung DH, nonce Trong aggressive mode nhanh main mode Bước – Bước IKE Hình 3.36 Bước IKE Mục đích bước IKE để thoả thuận thông số bảo mật IPSec sử dụng để bảo mật đường hầm IPSec Bước IKE thực chức đây: • • • • Thoả thuận thông số bảo mật, tập transform IPSec Thiết lập SA IPSec Thoả thuận lại theo chu kỳ SA IPSec để chắn bảo mật Có thể thực thêm trao đổi DH Trong bước IKE có mode, gọi Quick mode Quick mode xuất sau IKE thiết lập đường hầm bảo mật bước IKE Nó thoả thuận transform IPSec chia sẻ, thiết lập SA IPSec Quick mode trao đổi nonce mà sử dụng để tạo khoá mật mã chia sẻ ngăn cản công “replay” từ việc tạo SA thật Quick mode sử dụng để thoả thuận lại SA IPSec thời gian sống SA IPSec hết Quick mode sử dụng để nạp lại “keying material” sử dụng để tạo khóa mậtmã chia sẻ sở “keying material” lấy từ trao đổi DH bước Các tập Transform IPSec 56 Hình 3.37 Thỏa thuận tập transform Kết cuối bước IKE thiết lập phiên IPSec bảo mật điểm đầu cuối Trước điều xảy ra, cặp điểm đầu cuối thoả thuận mức bảo mật yêu cầu (ví dụ, thuật toán xác thực mã hoá cho phiên) Không thoả thuận giao thức riêng biệt, giao thức nhóm vào tập, tập transform IPSec Các tập transform IPSec trao đổi peer xuốt trình “quick mode” Nếu “match”được tìm thấy tập, phiên thiết lập IPSec tiếp tục Nếu ngược lại phiên bị huỷ bỏ Trong ví dụ hình trên, RouterA gửi tập transform IPSec 30 40 đến RouterB RouterB so sánh tập transform với nhận từ RouterA Trong ví dụ này, có “match” Tập transform 30 RouterA match với tập transform 55 RouterB Các thuật toán mã hoá xác thực có dạng SA SA (Security Association) 57 Hình 3.38 Các thông số SA Khi mà dịch vụ bảo mật đồng ý peer, thiết bị ngang hàng VPN đưa thông tin vào SPD (Security Policy Database) Thông tin bao gồm thuật toán xác thực, mã hoá, địa IP đích, mode truyền dẫn, thời gian sống khoá v.v Những thông tin coi SA Một SA kết nối logic chiều mà cung cấp bảo mật cho tất traffic qua kết nối Bởi hầu hết traffic hai chiều, phải cần hai SA: cho đầu vào cho đầu Thiết bị VPN gán cho SA số thứ tự, gọi SPI (Security Parameter Index) Khi gửi thông số riêng biệt SA qua đường hầm, Gateway, Host chèn SPI vào tiêu đề ESP Khi mà đối tượng ngang hàng IPSec nhận gói liệu, nhìn vào địa IP đích, giao thức IPSec, SPI SAD (Security Association Database) nó, sau xử lý gói dư liệu theo thuật toán SPD IPSec SA tổ hợp SAD SPD SAD sử dụng để định nghĩa địa IP đích SA, giao thức IPSec, số SPI SPD định nghĩa dịch vụ bảo mật sử dụng cho SA, thuật toán mã hoá xác thực, mode, thời gian sống khoá Ví dụ, kết nối từ tổng công ty đến nhà băng, sách bảo mật cung cấp vài đường hầm bảo mật sử dụng 3DES, SHA, mode tunnel, thời gian sống khoá 28800 Giá trị SAD 192.168.2.1, ESD, SPI 12 Bước – phiên IPSec 58 Hình 3.39 Một phiên IPSec Sau bước IKE hoàn thành quick mode thiết lập, traffic trao đổi máy A máy B qua đường hầm bảo mật Traffic mong muốn mã hoá giải mã theo dịch vụ bảo mật SA IPSec Bước – Kết thúc đường hầm Hình 3.40 Kết thúc phiên IPSec Các SA IPSec kết thúc thông qua việc xoá hay timing out Một SA time out lượng thời gian hết số byte qua hết đường hầm Khi SA kết thúc, khoá bị huỷ Khi SA IPSec cần cho luồng, IKE thực bước mới, cần thiết, thoả thuận bước IKE Một thoả thuận thành công tạo SA khoá Các SA thường thiết lập trước SA tồn hết giá trị Năm bước tổng kết IPSec B Hoạt động Miêu tả ước 59 Lưu lượng Lưu lượng cho truyền truyền bắt đầu sách bảo mật IPSec cấu hình trình bên IPSec bắt đầu trình IKE IPSec IKE pha IKE xác thực bên IPSec thương lượng IKE SA suốt pha này, thiết lập kênh an toàn cho việc thương lượng IPSec SA pha hai IKE pha IKE thương lượng tham số IPSec SA cài đặt IPSec SA bên Truyền Dữ liệu truyền bên IPSec dựa tham số IPSec khóa lưu CSDL SA hai liệu Kết đường IPSec thúc IPSec SA kết thúc qua việc xóa hết hầm thời gian thực 3.6.6 Những hạn chế IPSec Mặc dù IPSec sẵn sàng đưa đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an toàn thông qua mạng Internet, giai đoạn phát triển để hướng tới hoàn thiện Sau số vấn đề đặt mà IPSec cần phải giải để hỗ trợ tốt cho việc thực VPN: • Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật nghiên cứu chưa chuẩn hóa • IKE công nghệ chưa thực khẳng định khả Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số lượng lớn đối tượng di động • IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác • Việc tính toán nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu 60 • Việc phân phối phần cứng phầm mềm mật mã bị hạn chế phủ số quốc gia 61 ... Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp, đối tác qua sở hạ tầng công cộng sử dụng kết nối mà luôn bảo mật Kiểu VPN thường cấu VPN Site-to-Site Sự khác VPN nội VPN. .. nội dung thông tin dùng cho người nhận CHƯƠNG CÁC KIỂU VPN 2.1 Các VPN truy cập (Remote Access VPNs) Giống gợi ý tên gọi, Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền... Intranet hợp tác Các truy cập VPN thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng Kiểu VPN thường gọi VPN truy cập từ xa Hình 2.1 Mô hình mạng VPN truy cập Một số thành phần