TÓM TẮT LUẬN VĂN THẠC SĨ Đề tài : Nghiên cứu ứng dụng mạng riêng ảo Tác giả luận văn : Phạm Minh Phúc Khóa : 2009 Người hướng dẫn : PGS.TS Phạm Minh Việt Nội dung tóm tắt : Trong thập kỷ qua, Internet phát triển bùng nổ với tốc độ chóng mặt toàn giới số lượng kĩ thuật Cùng với phát triển vấn đề bảo mật, bảo vệ nguồn thông tin quan trọng lưu hệ thống coi trọng Hơn nữa, với phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải liệu chi nhánh khắp nơi tăng cao Người ta thấy giảm chi phí cách sử dụng mạng internet, từ tăng lợi nhuận tổ chức Và giải pháp đưa để giải vấn đề mạng riêng ảo VPN VPN mạng riêng người dùng dựa sở hạ tầng mạng công cộng dùng chung Chúng tạo cách sử dụng phần mềm, phần cứng hay kết hợp hai để tạo kết nối bảo mật hai nhiều mạng riêng hạ tầng mạng công cộng Hiện có nhiều phương án triển khai VPN IP, IPSec phương án hiệu phổ biến Phương pháp cho phép giảm chi phí vận hành, trì quản lý đơn giản, có khả mở rộng mạng trường hợp khác cách linh hoạt, không hạn chế mặt khoảng cách Bởi tính hữu dụng mà VPN nói chung IPSec VPN nói riêng đề tài nghiên cứu nhiều Từ đó, đồ án thực với mục đích giới thiệu kiến thức kỹ thuật mạng riêng ảo VPN sâu nghiên cứu giao thức bảo mật sử dụng VPN giao thức định đường hầm lớp đặc biệt IPSec Đồng thời đồ án tiến hành mô kết nối VPN site-to-site hạ tầng mạng sử dụng Router Cisco Đồ án gồm chương: Chương 1: Giới thiệu công nghệ mạng riêng ảo VPN Giới thiệu tổng quan VPN, thành phần VPN, chế an toàn kỹ thuật đường hầm sử dụng mạng riêng ảo Chương 2: Các giao thức định đường hầm lớp Tìm hiểu giao thức định đường hầm lớp giao thức PPTP, L2F, L2TP, nghiên cứu đặc điểm chế hoạt động chúng Chương 3: Giao thức bảo mật IPSec Nghiên cứu giao thức bảo mật lớp cho VPN IPSec, bao gồm đặc tính bảo mật, thành phần IPSec, chế độ hoạt động IPSec Chương 4: Triển khai IPSec VPN thiết bị Router Cisco Hướng dẫn cách thiết lập mô hình VPN đơn giản phổ biến, sử dụng giao thức IPSec Qua ta có nhìn cách thức hoạt động IPSec thực tế Từ kết mô sở lý thuyết nghiên cứu thấy VPN giải pháp truyền thông tương đối hiệu doanh nghiệp có nhu cầu mở rộng phạm vi toàn cầu Với giao thức bảo mật – giao thức định đường hầm lớp giao thức IPSec, VPN đảm bảo tính an toàn, bảo mật toàn vẹn liệu trình truyền thông Về mặt kinh tế, VPN phương pháp tối ưu, giảm thiểu chi phí đường truyền thiết bị đầu cuối cho doanh nghiệp Chính thế, với phát triển mạnh mẽ Internet, VPN ngày sử dụng rộng rãi dần trở thành giải pháp hàng đầu doanh nghiệp có nhu cầu mở rộng LỜI NÓI ĐẦU Sự phát triển ngành công nghệ thông tin có tác động tới ngành khác kinh tế xã hội Có thể nói đời mạng Internet bước phát triển mang tính chất bước ngoặt Internet tác động mạnh mẽ tới doanh nghiệp làm kinh tế Các doanh nghiệp tìm kiếm hội giao thương với đối tác nước ngoài, mở rộng chi nhánh phạm vi toàn cầu thông qua việc trao đổi thông tin qua mạng Internet Tuy nhiên, với phát triển mạnh mẽ mạng Internet tội phạm mạng xuất ngày nhiều Các thông tin mang tính chất nhạy cảm doanh nghiệp, chí thông tin mang tính chất bí mật quốc gia bị lấy cắp Vì bảo mật thông tin truyền mạng Internet toán cấp thiết cần thiết phải giải Sự đời mạng riêng ảo VPN câu trả lời phù hợp cho toán Mạng riêng ảo giúp việc trao đổi thông tin trụ sở với chi nhánh chi nhánh với doanh nghiệp, tổ chức trở nên an toàn Cơ chế hoạt động mạng riêng ảo tạo “đường hầm” mạng internet công cộng cho phép máy tính nơi xa làm việc với chúng nằm mạng cục Các chuyên gia khẳng định VPN số công nghệ mang tính chất xuyên phá VPN ngày hoàn thiện ngày phát triển, ứng dụng rộng rãi Trước xu em chọn đề tài nghiên cứu “ Nghiên cứu ứng dụng mạng riêng ảo” nhằm chuẩn bị kiến thức cần thiết, làm chủ công nghệ phục vụ cho công việc Do thời gian có hạn nên đồ án tránh khỏi thiếu sót Rất mong nhận nhiều ý kiến đóng góp quí báu từ thầy, cô bạn để đồ án hoàn thiện Cuối em xin chân thành cảm ơn thầy giáo PGS.TS Phạm Minh Việt tận tình hướng dẫn em hoàn thành đồ án Nghiên cứu ứng dụng mạng riêng ảo MỤC LỤC LỜI CAM ĐOAN .5 DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU DANH SÁCH CÁC TỪ VIẾT TẮT PHẦN MỞ ĐẦU .10 CHƯƠNG GIỚI THIỆU CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 12 1.1 Tổng quan VPN 12 1.1.1 Lịch sử phát triển 12 1.1.2 Khái niệm VPN 13 1.1.3 Ưu điểm VPN 14 1.1.4 Khuyết điểm VPN 15 1.1.5 Các mô hình VPN 15 1.2 Các thành phần VPN 19 1.3 Các chế an toàn VPN 25 1.4 Cơ sở kỹ thuật đường hầm 26 1.4.1 Các thành phần kỹ thuật đường hầm 26 1.4.2 Phương thức hoạt động kỹ thuật đường hầm 27 1.4.3 Định dạng tin đường hầm 29 1.4.4 Phân loại đường hầm 30 1.4.5 Giao thức đường hầm 31 CHƯƠNG CÁC GIAO THỨC ĐỊNH ĐƯỜNG HẦM LỚP 33 2.1 Giao thức PPP (Point-to-Point Protocol) 33 2.1.1 Quá trình hoạt động PPP 34 2.1.2 Định dạng tin PPP 35 2.1.3 Bảo mật PPP 36 2.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 38 Nghiên cứu ứng dụng mạng riêng ảo 2.2.1 Vai trò PPP giao dịch PPTP 38 2.2.2 Các thành phần PPTP 39 2.2.3 Quá trình hoạt động PPTP 40 2.2.4 Bảo mật PPTP 44 2.2.5 Ưu điểm nhược điểm PPTP 46 2.3 Giao thức L2F (Layer Forwarding Protocol) 47 2.3.1 Quá trình hoạt động L2F 48 2.3.2 Đường hầm L2F 49 2.3.3 Bảo mật L2F 50 2.3.4 Ưu điểm nhược điểm L2F 52 2.4 Giao thức L2TP (Layer Tunneling Protocol) 52 2.4.1 Các thành phần L2TP 53 2.4.2 Quá trình hoạt động L2TP 54 2.4.3 Phân loại đường hầm L2TP 59 2.4.4 Bảo mật L2TP 63 2.4.5 Ưu điểm nhược điểm L2TP 64 CHƯƠNG GIAO THỨC BẢO MẬT IPSEC .66 3.1 Tổng quan IPSec 66 3.2 Kết hợp bảo mật IPSec 67 3.3 Các giải thuật mật mã IPSec 68 3.3.1 Giải thuật mã hóa 69 3.3.2 Giải thuật chứng thực gói tin 70 3.3.3 Giải thuật thiết lập khóa 70 3.4 Các giao thức bảo mật IPSec 70 3.4.1 Giao thức xác thực tiêu đề AH 71 Nghiên cứu ứng dụng mạng riêng ảo 3.4.2 3.5 Giao thức đóng gói liệu bảo mật ESP 72 Các chế độ IPSec 74 3.5.1 Chế độ truyền tải 74 3.5.2 Chế độ đường hầm 75 3.6 Trao đổi khóa IKE 76 3.6.1 Các giai đoạn IKE 77 3.6.2 Các chế độ IKE 81 CHƯƠNG TRIỂN KHAI IPSEC VPN TRÊN THIẾT BỊ ROUTER CISCO 85 4.1 Môi trường mô 85 4.1.1 Công cụ mô 85 4.1.2 Mô hình mạng 88 4.2 Cấu hình IPSec VPN site-to-site 89 4.2.1 Cấu hình định tuyến cho Router 89 4.2.2 Cấu hình IPSec VPN cho Router 92 4.3 Kiểm tra kết nối VPN 94 KẾT LUẬN 101 TÀI LIỆU THAM KHẢO .102 Nghiên cứu ứng dụng mạng riêng ảo LỜI CAM ĐOAN Tôi Phạm Minh Phúc, xin cam đoan luận văn thạc sỹ đề tài “Nghiên cứu ứng dụng mạng riêng ảo” nghiên cứu thực Các thông tin, số liệu sử dụng luận văn trung thực xác Hà Nội, ngày 12 tháng 09 năm 2011 Phạm Minh Phúc Nghiên cứu ứng dụng mạng riêng ảo DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU Hình 1.1 Mô hình mạng VPN 14 Hình 1.2 Mạng VPN truy cập từ xa 15 Hình 1.3 Mạng VPN cục 16 Hình 1.4 Mạng VPN mở rộng 18 Hình 1.5 Các thành phần VPN 19 Hình 1.6 Quá trình thiết lập đường hầm 27 Hình 1.7 Quá trình trao đổi thông tin .28 Hình 1.8 Định dạng gói tin đường hầm 29 Hình 1.9 Đường hầm tùy ý 30 Hình 1.10 Đường hầm cưỡng .31 Hình 2.1 Vị trí giao thức đường hầm lớp hai mô hình OSI .33 Hình 2.2 Quá trình hoạt động PPP 34 Hình 2.3 Cấu trúc frame PPP 35 Hình 2.4 R1 gửi ID- mật cho R3 .36 Hình 2.5 R3 gửi trả lời cho R1 36 Hình 2.6 R3 gửi tin yêu cầu tới R1 .37 Hình 2.7 R1 gửi trả lời ID mật tới R3 .37 Hình 2.8 R3 so sánh thông tin nhận với liệu sẵn có 37 Hình 2.9 Đường hầm PPTP .39 Hình 2.10 Trao đổi tin kiểm soát PPTP kết nối PPP .41 Hình 2.11 Bản tin điều khiển PPTP 42 Hình 2.12 Quy trình đóng gói liệu bên phát 43 Hình 2.13 Quy trình tách liệu bên nhận 44 Hình 2.14 Đường hầm L2F 48 Hình 2.15 Quá trình thiết lập đường hầm L2F máy chủ máy khách từ xa 49 Hình 2.16 Quá trình xử lý gói tin đường hầm L2F 49 Hình 2.17 Định dạng tin L2F 50 Hình 2.18 Các thành phần L2TP .53 Nghiên cứu ứng dụng mạng riêng ảo Hình 2.19 Định dạng tin điều khiển L2TP 54 Hình 2.20 Quy trình đóng gói liệu L2TP bên phát 56 Hình 2.21 Quy trình tách liệu bên thu 57 Hình 2.22 Quy trình thiết lập đường hầm L2TP 58 Hình 2.23 Đường hầm cưỡng L2TP 60 Hình 2.24 Thiết lập đường hầm cưỡng L2TP 60 Hình 2.25 Đường hầm tùy ý L2TP 61 Hình 2.26 Thiết lập đường hầm chủ động L2TP .62 Hình 2.27 Đường hầm cưỡng sử dụng IPSec .63 Hình 2.28 Đường hầm tùy ý sử dụng IPSec 64 Hình 3.1 Vị trí IPSec mô hình OSI 67 Hình 3.2 Định dạng IPSec SA 68 Hình 3.3 Gói IP sau thêm AH Header 71 Hình 3.4 Định dạng IPSec AH 72 Hình 3.5 Gói IP sau thêm ESP header trailer 73 Hình 3.6 Định dạng ESP Header .74 Hình 3.7 Hai chế độ làm việc IPSec 74 Hình 3.8 Chèn mã xác thực AH ESP chế độ truyền tải 75 Hình 3.9 Chèn mã xức thực AH ESP chế độ đường hầm 76 Hình 3.10 Hai pha IKE 77 Hình 3.11 Quá trình trao đổi tin chế độ 82 Hình 3.12 Quá trình trao đổi tin chế độ linh hoạt .83 Hình 3.13 Quá trình trao đổi tin chế độ nhanh 84 Hình 3.14 Quá trình trao đổi tin chế độ nhóm 84 Hình 4.1 Mô hình thử nghiệm IPSec VPN 89 Hình 4.2 Địa IP cổng sau cấu hình 91 Bảng 1.1 Bảng so sánh hai loại đường hầm 31 Bảng 2.1 Một số tin phổ biến việc kiểm soát kết nối PPTP 41 Bảng 2.2 Danh sách số tin điều khiển trì L2TP 55 Nghiên cứu ứng dụng mạng riêng ảo DANH SÁCH CÁC TỪ VIẾT TẮT Thuật ngữ viết tắt Tên đầy đủ Nghĩa tiếng Việt 3DES Triple DES Thuật toán mã hoá 3DES ACL Access Control List Danh sách điều khiển truy nhập Asymetric Digital Subcrible Đường dây thuê bao số không đối xứng AES Advanced Encrytion Standard Chuẩn mã hoá cao cấp AH Authentication Header Giao thức xác thực tiêu đề ATM Asynchronous Transfer Mode Công nghệ truyền tải không đồng CHAP Challenge-Handshake Authentication Protocol Giao thức xác thực kiểu hỏi đáp DCE Data Communicaton Equipment Thiết bị truyền thông dũ liệu DES Data Encrytion Standard Chuẩn mã hoá liệu DTE Data Terminal Equipment Thiết bị đầu cuối liệu EAP Extensible Authentication Protocol Giao thức xác thực mở rộng ESP Encapsulating Security Payload Giao thức đóng gói tải an toàn GRE Generic Routing Protocol Giao thức đóng gói định tuyến chung ADSL HDLC High-Level Data Link Control IETF Internet Engineering Task Force Cơ quan chuẩn hoá Internet IKE Internet Key Exchange Giao thức trao đổi khoá Internet Internet Protocol Giao thức Internet Internet Protocol Security Giao thức an ninh Internet IP IPSec Nghiên cứu ứng dụng mạng riêng ảo Hình 4.1 Mô hình thử nghiệm IPSec VPN Mô hình mạng áp dụng cho công ty có hai chi nhánh muốn tạo kết nối riêng thông qua môi trường internet công cộng Ở RA RB đại diện cho router mạng LAN muốn kết nối VPN 4.2 Cấu hình IPSec VPN site-to-site Ta cấu hình VPN hai router RA RB để lưu lượng TCP từ mạng 192.168.2.0/24 đến mạng 192.168.3.0/24 ngược lại phải mã hóa theo giao thức IPSec gửi môi trường công cộng Sau dựng mô hình mạng trên, ta tiến hành cấu hình router Trước hết cấu hình interface để kết nối router cấu hình định tuyến bản, sau cấu hình VPN 4.2.1 Cấu hình định tuyến cho Router RA: RA> enable RA#configure terminal RA(config)#interfaces s1/0 RA(config-if)#ip address 172.16.2.1 255.255.255.0 89 Nghiên cứu ứng dụng mạng riêng ảo RA(config-if)#clock rate 64000 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#interface f0/0 RA(config-if)#ip address 192.168.2.1 255.255.255.0 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#ip routing RA(config)#ip route 0.0.0.0 0.0.0.0 s1/0 enable RB#configure terminal RB(config)#interfaces s1/0 RB(config-if)#ip address 172.16.3.1 255.255.255.0 RB(config-if)#clock rate 64000 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface f0/0 RB(config-if)#ip address 192.168.3.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#ip routing RB(config)#ip route 0.0.0.0 0.0.0.0 s0/0 enable RI#configure terminal RI(config)#interfaces s0/0 RI(config-if)#ip address 172.16.2.2 255.255.255.0 RI(config-if)#clock rate 64000 RI(config-if)#no shutdown RI(config-if)#exit RI(config)#interface s0/1 RI(config-if)#ip address 172.16.3.2 255.255.255.0 RI(config-if)#clockrate 64000 RI(config-if)#no shutdown RI(config-if)#exit RI(config)#ip route 192.168.2.0 255.255.255.0 s0/0 RI(config)#ip route 192.168.3.0 255.255.255.0 s0/1 Mô hình mạng sau cấu hình interface định tuyến Hình 4.2 Địa IP cổng sau cấu hình 91 Nghiên cứu ứng dụng mạng riêng ảo 4.2.2 Cấu hình IPSec VPN cho Router Sau cấu hình định tuyến cho mạng liên lạc với nhau, tiến hành cấu hình VPN hai router RA RB Các bước cấu sau: Bước1: Cấu hình IKE - Bật IKE (mặc định bật): Router(config)#crypto isakmp enable - Tạo IKE policy Router(config)#crypto isakmp policy priority - Tạo IKE policy chế độ config-isakmp (authentication, encryption, hash, …) Bước 2: Cấu hình Ipsec - Cấu hình transform-set: Tạo transform set để áp dụng sách bảo mật cho lưu lượng mạng Chế độ mặc định cho transform chế độ đường hầm Router(config)#crypto ipsec transform-set name [trans1[trans2[trans3]]] - Tạo Crypto ACL: để xác định thông tin cần bảo vệ Ipsec, chọn outbound traffic bảo vệ + Tạo ACL để xác định lưu lượng cần mã hóa + Cấu hình Crypto map Router(config)#crypto map name seq ipsec-manual | ipsec-isakmp + Áp dụng crypto map vào interface RA RA(config)#crypto isakmp enable