MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình)

MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình) MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình) MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình) MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình)

DANH MỤC HÌNH ẢNH

OSI Open Systems Interconnection

IPSEC Internet Protocol Security

GRE Generic Routing Encapsulation

ESP Encapsulation Security Protocol

DES Data Encryption Standard

AH Authentication Header

VLAN Virtual Local Area Network

IKE Internet Exchange Key

ISAKMP Internet Security Association and Key Management ProtocolEIGRP Enhanced Interior Gateway Routing Protocol

OSPF Open Shortest Path First

DHCP Dynamic Host Configuration Protocol

HMAC Hash-based Message Authentication Code

MAC Media Access Control

hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ Tính riêng tư của VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng Các mạng riêng xây dựng trên cácđường dây thuê thuộc dạng “trusted VPN”.Mạng riêng ảo an toàn là các mạng riêng ảo có

sử dụng mật mã để bảo mật dữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải mã dữ liệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn công

có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ liệu đã được mật mã Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet

CHƯƠNG 1: GIỚI THIỆU VPN VÀ MỘT VÀI KĨ THUẬT CƠ BẢN TRONG

THIẾT KẾ MẠNG DOANH NGHIỆP

1.1 VPN là gì?

VPN (Virtual Private Network) hay còn gọi là mạng riêng ảo là một công nghệ cung cấp một giao thức an toàn giữa các mạng riêng dựa trên kĩ thuật là “ tunneling” đểtạo ra một mạng riêng trên nền internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header chứa thông tin định tuyến có thể truyền qua mạng trung gian VPN là một mạng riêng sử dụng một mạng chung để kết nối cùng với các site (cácmạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng một kết nối thực,chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường internet từ mạng riêng của công ty tới các hạ tầng mạng của các nhân viên từ xa.VPN trong doanh nghiệp được chia thành ba loại chính : remote access VPN, site to site VPN, extranet VPN

1.1.1 Remote Access VPN

Remoe Access VPN Còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng đến mạng của công ty, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa diểm ở xa Ví dụ như công tymuốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã

Có hai cấu trúc được sử dụng để kết nối trong Remote Access VPN Thứ nhất là khởi tạo bởi người dùng, ở cấu trúc này, người dùng sẽ thiết lập các phiên Ipsec thông qua môi trường internet để đi đến các thiết bị đầu cuối của công ty Thứ hai là khởi tạo bởi NAS, lúc bấy giờ người dùng sẽ kết nối với NAS, sau đó NAS sẽ tiến hành thiết lập một đường truyền ảo trên nền internet từ công ty tới người dùng

1.1.2 Site –to –

site VPN

Đây là kiểu

mạng VPN kết nối các chi

nhánh của 1 công ty ở xa về cơ sở

chính Kiểu mạng này cũng dựa trên hạ tầng mạng internet để thiết lập đường

truyền ảo Có thể thiết lập đường truyền ảo trực tiếp giữa các cở sở hoặc thiết lập đường truyền ảo thông qua các nhà cung cấp dịch vụ internet

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ) Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như:

Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS) Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet

Hình 1.1 Sơ đồ mạng Remote Access VPN [1]

Những ưu điểm chính của mạng VPN mở rộng: chi phí cho mạng VPN mở rộngthấp hơn rất nhiều so với mạng truyền thống Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp

phù hợp với các nhu cầu của mỗi công ty hơn.Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như: Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền quamạng công cộng vẫn tồn tại.Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

1.2 Các kĩ thuật thiết lập VPN

Hiện nay có nhiều kĩ thuạt được sử dụng trong việc thiết lập một mảng riêng ảo như L2TP, GRE, Ipsec Trong đó Ipsec và GRE là 2 giao thức nổi trội nhất Trong bài này, chủ yếu tìm hiểu giao thức Ipsec

1.2.1 GRE VPN

GRE VPN ( Generic Routing Encapsulation) đây là giao thức được phát triển bởi Cisco để đóng gói một loạt các giao thức bên trong đường hầm IP để tạo đường kếtnổi điểm tới điểm

1.2.1.1 Cấu trúc GRE VPN

GRE thêm vào tối thiểu 24 byte vào gói tin, trong đó bao gồm 20-byte IP headermới, 4 byte còn lại là GRE header GRE có thể tùy chọn thêm vào 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number

GRE là công cụ tạo tunnel khá đơn giản nhưng hiệu quả Nó có thể tạo tunnel cho bấy kì giao thức lớp 3 nào.

GRE cho phép những giao thức định tuyến hoạt động trên kênh truyền của mình

GRE header bản thân nó chứa đựng 4 byte, đây là kích cỡ nhỏ nhất của một GRE header khi không thêm vào các tùy chọn 2 byte đầu tiên là các

cờ (flags) để chỉ định những tùy chọn GRE Những tùy chọn này nếu được active, nó thêm vào GRE header Bảng sau mô tả những tùy chọn của GRE header

Bảng 1-1 Cấu trúc GRE header

Trong GRE header 2 byte còn lại chỉ định cho trường giao thức 16 bits này xác định kiểu của gói tin được mang theo trong GRE tunnel Hình sau mô tả cách mà một gói tin GRE với tất cả tùy chọn được gán vào một IP header và data

Hình 1.3 Cấu trúc gói tin được đóng gói bởi GRE[2]

(key) Thêm một chuỗi khóa 4 byte vào sau trường checksum nếu bit này là 1

3 Số thứ tự Thêm chuyễn số thứ tự vào sau trường key

nếu bit nào là 113-15 Phiên bản GRE 0: GRE cơ bản; 1: PPTP

1.2.1.2 Ưu nhược điểm của GRE VPN

GRE VPN không phụ thuộc vào nhà cung cấp dịch vụ ISP, công ty chỉ cần mua các đại chỉ IP public đặt ở ngõ vào mỗi site, sau đó nó thiết lập một dường hầm kết nối trực tiếp tới các site Gói tin khi chuyển đi sẽ được gắn thêm IP header và GRE header

để tạo nên tính bảo mật cho gói tin

Các gói tin gắn vào mặc dù có tính bảo mật, nhưng nó khá yếu bởi không sử dụng nhiều thuật toán mã hóa, xác thực,…nên có khả năng sẽ bị đánh cấp, sữa đổi…

hóa các gói tin IP của môt cuộc trao đổi IPSec thực hiện mã hóa và xác thực ở lớp mạng Nó cung cấp một giải pháp an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng(ví dụ khi thực hiện mạng riêng ảo VPN) Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối Các gói mã hóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua

đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị PSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực Làm việc với sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia vào mạng VPN Các thiết bị này có thể là các host hoặc

là các security gateway (routers, firewalls, VPN concentrator, ) hoặc là giữa 1 host vàgateway như trong trường hợp remote access VPNs

1.2.2.1 Cấu trúc IPSec trong VPN

• IP Security Protocol (IPSec)Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay

Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay

Hình 1.5 cấu trúc framework của gí tin Ipsec [2]

ESP điền giá trị 50 trong IP Header ESP Header được chèn vào sau IP Header

và trước Header của giao thức lớp trên IP Header có thể là một IP Header mới trong chế độ Tunnle hoặc là IP Header nguồn nếu trong chế độ Transport

Hình 1.6 Cấu trúc ESP [2]

• Mã hóa.

Data Encryption Standard (DES): Được phát triển bởi IBM DES sử dụng 1 khóa 56-bít, đảm bảo hiệu năng mã hóa cao DES là một hệ thống mã hóa khóa đối xứng

Triple DES (3DES): là một biến thể của DES 56-bít Hoạt động tương tự như DES, trong đó dữ liệu được chia thành các khối 64 bít 3DES thực thi mỗi khối ba lần, mỗi lần với một khóa 56 bít độc lập 3DES cung cấp sức mạnh khóa đáng kể so với DES

• Tính toàn vẹn dữ liệu.(Hash)Hash-based Message Authentication Code (HMAC) : là một thuật toán toàn vẹn

dữ liệu đảm bảo tính toàn vẹn của bản tin Tại đầu cuối, bản tin và một khóa chia sẻ bí

Hình 1.7 Gói IP được bảo vệ bởi ESP trong chế độ transport [1]

Hình 1.8 Gói tin Ip được bảo vệ bởi ESP trong chế độ tunnel

mật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm Bản tin vàgiá trị băm được gửi qua mạng Hai dạng phổ biến của thuật toán HMAC như sau:

Message Digest 5 (MD5): là một hàm băm để mã hóa với giá trị băm là 32 bít MD5 biến đổi một thông điệp có chiều dài bất kỳ thành một khối có kích thước cố định

32 bít Thông điệp đưa vào sẽ được cắt thành các khối 512 bít, thông điệp sau đó được độn sao cho chiều dài của nó chia chẵn cho 512

Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, 224 bít…

• Peer Authentication: xác thực ngang hàng:

Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống mật mã khóa bất đối xứng Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớn hơn.IPsec không sử dụng RSA để mã hóa dữ liệu Chỉ sử dụng RSA để mã hóa trong giai đoạn xác thực ngang hàng

• Security Association: chính sách bảo mật:

Internet Exchange Key (IKE): IPSec dùng một giao thức thứ ba, Internet Key

Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước

và trong suốt phiên giao dịch Internet Security Association and Key Management Protocol (ISAKMP) Sẽ có 2 chính sách được cấu hình Chính sách IKE( chính sách pha 1) và chính sách Ipsec( chính sách pha 2) Chính sách pha 1 có nhiệm vụ thiết lập kết nối Sau đó các bên thông tin thỏa thuận môt ISAKMP để đồng bộ các thuât toán như băm dữ liệu, xác thực, thuât toán mã hóa và toàn vẹn dữ liệu sau khi cơ chế mã hóa và hàm băm đã được đồng bộ thì môt khóa bảo mật sẽ được phát sinh Nếu hai bênđồng ý sử dụng các phương pháp xác nhận trên thì chúng chỉ cần trao đổi ID Sau khi trao đổi các thông tin cần thiết, cả hai bên sẽ tự tạo ra các mã khóa riêng dùng để trao đổi thông tin, dựa vào cách này mà các khóa mã hóa sẽ được phát sinh mà không cần trao đổi bất kì khóa nào thông qua mạng Chính sách pha 2 cũng sử dụng nhiều dịch vụkhác nhau để thỏa thuận cơ chế xác nhận, hàm bâm, thuật toán mã hóa sẽ được tạo nên

và đóng gói vào gói tin tạo thành lớp Ipsec Sự thỏa thuận trong pha 2 sẽ xảy ra thườngxuya6n hơn pha 1, với chu kì khoảng 4-5 phút môt lần Sự thay đổi thường xuya6n các

mả khóa ngăn cản việc mã khóa có thể bị bẽ gãy và bị đánh cấp dữ liệu

Chế độ Tunnel: Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực Sau đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới Chế

độ tunnel được sử dụng để tạo mạng riêng ảo phục vụ cho việc liên lạc giữa các mạng, liên lạc giữa máy chủ và mạng (ví dụ như truy cập người sử dụng từ xa), và giữa các máy chủ

1.2.2.2 Ưu nhựơc điểm

Ipsec là môt lớp vỏ bọc tương đối kính cho gói dữ lịu, vì sử dụng nhiều thuật toán như băm(MD5) , mã hóa dữ liệu(DES) , toàn vẹn dữ liệu… làm cho gói tin truyền

đi được an toàn ngay cả khi chúng bị xem lén thì nội dung bên trong cũng sẽ không bị lộ

Tuy nhiên, điểm bất lợi của giao thức này là phải phụ thuộc vào nhà cung cấp dịch vụ mạng Khi công ty cần mở rộng thêm mày tính, phòng ban… thì buộc phải liênlạc với ISP để học định tuyến đường cho các mạng mới

1.4 Giới thiệu vài kĩ thuật trong xây đựng, cấu hình mạng.

1.4.1 Kĩ thuật chia IP

Tính đến thời điểm hiện tại, có hai phân bản IP được sử dụng, đó là IPv4 và IPv6 Mặc dù IPv6 được đưa vào ứng dụng cách đây vài năm, nhưng nó chưa thực sử phổ biến với các người dùng, ngoại trừ các nhàn cung cấp dịch vụ Hiện tại IPv4 vẫn đang được sử dụng phổ biến nhất Trong IPv4 có 2 loại địa chỉ IP đó là Ip private và Ippublic Ip pivate có số lượng không hạn chế bởi nó có thể được sử dụng lại nhiều lần, đây là loại địa chỉ IP mà các ngừơi dùng sửa dụng để đặt cho mạng riêng của mình

Riêng Ip public thì có giới hạn, chỉ có 2^32 địa chỉ được cấp phát để sử dụng cho toàn thế giới Và chúng là duy nhất tức là không thể sử dụng lại.

Có 2 phương pháp đặt địa chỉ IP trong cấu hình mạng Thứ nhất là đặt IP tĩnh, tức là ta phải đặt địa chỉ Ip cho từng thiết bị một Phương pháp thứ 2 là đặt địa chỉ IP động, tức là ta sẽ thiết lập một trung tâm cung cấp IP cho các thiết bị, việc ta cần làm làquy định lớp mạng cần đặt và các thiết bị sẽ được đặt Ip một cách nẫu nhiên trong giớihạn của lớp mạng đó Vì vậy địa chỉ Ip có thể bị thay đổi sau mỗi lần khởi động thiết

bị Cách chia IP động được sử dụng nhiều trong truyền tín hiệu không dây( wifi, )

1.4.2 Kỹ thuật chuyển mạch

Hiện nay trong mạng mày tính, thiết bị được sử dụng cho chuyển mạch chủ yếu

là hub và switch Hub là thiết bị có chức năng đơn thuần là ghép nối các phân đoạn mạng lại với nhau hoặc dùng để mở rộng thêm thành hần cho cùng một lớp mạng Hoàn toàn không thể cấu hình lên hub Trong mô hình OSI thì hub là thiết bị thuộc lớp 1( lớp vật lí)

Thiết bị switch đây là thiết bị chuyển phát các gói tin mà không cần phải lưu trữ toàn bộ cấu trúc frame, nó chỉ cần biết đia chỉ MAC là có thể chuyển các frame Mặc định các kết nối chung một switch thì sẽ có cùng địa chỉ mạng N hưng ta cũng có thể cấu hình lên nó để tạo các lớp mạng khác nhau Kĩ thuật này được gọi là chi

VLAN( mạng LAN ảo) Switch có thể truyền ở chế độ song công Trong mô hình OSI thì switch là thiết bị thuộc lớp 2( lớp liên kết dữ liệu)