PHẦN : GIỚI THIỆU VỀ VPN,L2TP,IPSEC 1.Giới thiệu mạng riêng ảo VPN(Virtual Private Network) 1.1 Mạng riêng ảo VPN ? Mạng riêng ảo VPN - từ viết tắt Virtual Private Network, dịch tiếng Việt hệ thống mạng cá nhân ảo Đây hiểu hệ thống mạng, có khả tạo kết nối dựa hệ thống mạng Public, mạng Internet dựa nhà cung cấp dịch vụ Hình 1.1 Mơ hình mạng VPN Một hệ thống VPN kết nối nhiều site khác nhau, dựa khu vực, diện tích địa lý tượng tự chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN dùng để "khuếch tán", mở rộng mơ hình Intranet nhằm truyền tải thơng tin, liệu tốt Mạng riêng ảo VPN dành riêng để kết nối máy tính lại với thơng qua mạng Internet cơng cộng Những máy tính tham gia mạng riêng ảo nhìn thấy mạng nội - LAN (Local Area Network) Internet môi trường cơng cộng, việc chia sẻ liệu có tính riêng tư thông qua Internet nguy hiểm liệu dễ dàng bị rò rỉ, bị ăn cắp Mạng riêng ảo giao thức trợ giúp việc kết nối máy tính lại với thông qua kênh truyền dẫn liệu (tunel) riêng mã hóa Mạng riêng ảo giúp bảo vệ liệu chúng truyền Internet Vì mạng riêng ảo thường ứng dụng trường hợp sau:  Làm việc từ xa: Truy cập từ xa thông qua Internet vào mạng công ty để chia sẻ liệu thực thi ứng dụng nội  Kết nối nhiều mạng với (Site-to-Site): Nếu cơng ty có nhiều văn phòng, việc kết nối mạng lại với thành mạng thống đem lại hiệu ấn tượng việc quản lý & chia sẻ thông tin  Tạo phiên làm việc an toàn: Mạng riêng ảo giải pháp tốt & với chi phí thấp cho số cơng việc đòi hỏi tính bảo mật cao quản trị máy chủ, website, sở liệu 1.2.Phân loại mạng riêng ảo  Remote Access VPNs  Intranet VPNs  Extranet VPNs 1.3 Các giao thức thường dùng VPN Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường sử dụng VPN, chúng có ưu điểm nhược điểm riêng Chúng ta xem xét so sánh chúng dựa mục đích mà sử dụng cho phù hợp :     Internet Protocol Security (IPSec) Point-to-Point Tunneling Protocol (PPTP) Layer2 Tunneling Protocol (L2TP) Secure Socket Layer (SSL) Trong đồ án chúng em sâu nghiên cứu giao thức L2TP IPSec áp dụng thực tế giao thức Windows Server 2008 2.Giao thức L2TP (Layer tunneling protocol) 2.1 Khái niệm Giao thức Layer Tunneling Protocol (L2TP) giao thức kết hợp đặc điểm giao thức có trước PPTP giao thức Layer Forwarding (L2F) Giống PPTP, L2TP giao thức đường hầm, sử dụng tiêu đề đóng gói riêng cho việc truyền gói lớp Một điểm khác biệt L2F PPTP L2F không phụ thuộc vào IP GRE, cho phép làm việc mơi trường vật lý khác Bởi GRE khơng sử dụng giao thức đóng gói, nên L2F định nghĩa riêng cách thức gói điều khiển mơi trường khác Nhưng hỗ trợ TACACS+ RADIUS cho việc xác thực Có hai mức xác thực người dùng: Đầu tiên ISP trước thiết lập đường hầm, Sau cổng nối mạng riêng sau kết nối thiết lập L2TP mang dặc tính PPTP L2F Tuy nhiên, L2TP định nghĩa riêng giao thức đường hầm dựa hoạt động L2F Nó cho phép L2TP truyền thơng qua nhiều mơi trường gói khác X.25, Frame Relay, ATM Mặc dù nhiều công cụ chủ yếu L2TP tập trung cho UDP mạng IP, thiết lập hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm Một mạng ATM hay frame Relay áp dụng cho đường hầm L2TP Do L2TP giao thức lớp nên cho phép người dùng sử dụng giao thức điều khiển cách mềm dẻo khơng IP mà IPX NETBEUI Cũng giống PPTP, L2TP có chế xác thực PAP, CHAP hay RADIUS L2TP yêu cầu sử dụng chứng số (digital certificates) Xác thực người dùng thực thơng qua chế xác thực PPP tương tự PPTP L2TP có vài ưu điểm so với PPTP PPTP cho bạn khả bảo mật liệu, L2TP tiến xa cung cấp thêm khả đảm bảo tính tồn vẹn liệu (bảo vệ chống lại việc sửa đổi liệu khoảng thời gian di chuyển từ người gửi đến người nhận, khả xác thực nguồn gốc (xác định người dùng gửi liệu có thực người), khả bảo vệ chống gửi lại – replay protection (chống lại việc hacker chặn liệu gửi, ví dụ thơng tin quyền đăng nhập (credentials), sau gửi lại (replay) thơng tin để bẫy máy chủ Mặt khác, liên quan đến cung cấp khả bảo mật mở rộng làm cho L2TP chạy chậm chút so với PPTP 2.2 Cấu trúc gói L2TP Hình 1.2 Cấu trúc gói L2TP  Đóng gói L2TP Phần tải PPP ban đầu đóng gói với PPP header L2TP header  Đóng gói UDP Gói L2TP sau đóng gói với UDP header, địa nguồn đích đặt 1701  Đóng gói IPSec Tuỳ thuộc vào sách IPSec, gói UDP mật mã đóng gói với ESP IPSec header ESP IPSec Trailer  Đóng gói IP Gói IPSec đóng gói với IP header chứa địa IP ngưồn đích VPN client VPN server  Đóng gói lớp liên kết liệu Do đường hầm L2TP hoạt động lớp mơ hình OSI- lớp liên kết liệu nên IP datagram cuối đóng gói với phần header trailer tương ứng với kỹ thuật lớp đường truyền liệu giao diện vật lý đầu Ví dụ, IP datagram gửi vào giao diện Ethernet IPdatagram đóng gói với Ethernet header Ethernet Trailer Khi IP datagram gửi đường truyền WAN điểm-tới-điểm (chẳng hạn đường dây điện thoại hay ISDN, ) IPdatagram đóng gói với PPP header PPP trailer 2.3.Ưu nhược điểm L2TP a.Ưu điểm  Người dùng khai thác ưu điểm giá rẻ cua Internet.Thay phải thực gọi đường dài để kết nối trực tiếp đến máy chủ truy cập từ xa nơi, người dùng cần gọi đến số IP cục dùng Interntet để xử lý kết nối đường dài  Giao thức cung cấp dial ảo người dùng thực tế khơng gọi đến nơi ,nhưng kết nối xong dial up  Vì có dùng tạo khung PPP,người dùng từ xa truy cập đến nơi nhiều giao thức IP,IPX,SNA,…  L2TP cung cấp hệ đầu cuối có tính suốt ,nghĩa người dùng từ xa nơi truy cập không yêu cầu phần mềm đặc biệt để sử dụng dịch vụ cách an toàn  L2TP cung cấp giải pháp truyền liệu an toàn sử dụng IP Sec để mã hóa sau dùng IPSec để xác thực gói tin nhận b.Nhược điểm  L2TP chạy chậm so với PPTP lẫn L2F sử dụng IPSec để xác thực gói tin nhận  Mặc dù L2TP có tất đặc tính PPTP máy chủ truy cập xa RRAS cần phải cấu hình thêm chạy L2TP Giao thức bảo mật IP Sec (Internet Protocol Security) 3.1 Định nghĩa IP Security (IPSec) giao thức chuẩn hoá IETF từ năm 1998 nhằm mục đích nâng cấp chế mã hố xác thực thơng tin cho chuỗi thơng tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn liệu chứng thực liệu thiết bị mạng Hình 3.1 Vị trí IPSec mơ hình OSI IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc 3.2 Kiến trúc IPSec IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec xây dựng dựa thành phần sau đây, thành phần định nghĩa tài liệu riêng tương ứng : Hình 3.2 Kiến trúc IPSec  Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec  Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec  Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng  Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng Thuật toán thường sử dụng DES,3DES  Thuật toán xác thực: Định nghĩa thuật toán xác thực thông tin sử dụng AH ESP.Sử dụng RSA,RSA Encrypted Nonces  Quản lý khố (RFC 2408): Mơ tả chế quản lý trao đổi khoá IPSec thường sử dụng DH,CA  Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi.Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP nguyên thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần:  Giao thức đóng gói, gồm AH ESP  Giao thức trao đổi khoá IKE (Internet Key Exchange) 3.3 Các dịch vụ IPSec       Quản lý truy xuất (access control) Toàn vẹn liệu chế độ không kết nối (connectionless integrity) Xác thực nguồn gốc liệu (data origin authentication ) Chống phát lại (anti-replay) Mã hố liệu (encryption) Bảo mật dòng lưu lượng (traffic flow confidentiality) Việc cung cấp dịch vụ tình cụ thể phụ thuộc vào giao thức đóng gói dùng AH hay ESP Theo giao thức chọn AH dịch vụ mã hố bảo mật dòng liệu không cung cấp 3.4 Các chế độ Transport Mode hoạt động IPSec  Transport Mode (chế độ vận chuyển) Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mơ tả bên dưới, AH ESP đặt sau IP header nguyên thủy Vì có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Chế độ transport có thuận lợi thêm vào vài bytes cho packets cho phép thiết bị mạng thấy địa đích cuối gói Khả cho phép tác vụ xử lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thông tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói Hình 3.5.1 IPSec Transport mode  Tunnel mode (Chế độ đường hầm)  Không giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Tồn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Tồn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway  Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec Hình 3.5.2 IPSec Tunnel mode 3.5 Ưu điểm khuyết điểm IPSEc a.Ưu điểm  Khi IPSec triển khai tường lửa định tuyến mạng riêng, tính an tồn IPSec áp dụng cho tồn vào mạng riêng mà thành phần khác khơng cần phải xử lý thêm công việc liên quan đến bảo mật  IPSec thực bên lớp TCP UDP, đồng thời hoạt động suốt lớp Do không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec triển khai  IPSec cấu hình để hoạt động cách suốt ứng dụng đầu cuối, điều giúp che giấu chi tiết cấu hình phức tạp mà người dùng phải thực kết nối đến mạng nội từ xa thông qua mạng Internet b.Hạn chế  Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật nghiên cứu chưa chuẩn hóa  IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác  Việc tính tốn nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu  Việc phân phối phần cứng phầm mềm mật mã bị hạn chế phủ số quốc gia PHẦN : LAB CẤU HÌNH L2TP/IPSEC TRÊN WINDOWS SERVER 2012 Trong phần vào thực hành để hiểu ứng dụng thực tế L2TP/IPSec qua phương thức sử dụng khác :  VPN Client to site sử dụng giao thức L2TP Preshared Key  VPN L2TP/IPSEC sử dụng Certificate 1.VPN client to site sử dụng giao thức L2TP preshared key Để thực lap ta cần chuẩn bị:  Một máy Windowserver 2012 làm DC nâng Domain mangmaytinh.com  Một máy Windowserver 2012 làm VPN server join domain mangmaytinh.com  Một máy window làm VPN client Bước 1: Đặt địa IP card mạng(trên VMWare) cho máy Máy DC: có card mạng ta để Vmnet5 ( VMWare) địa IP Máy VPN server có card mạng: + Card Internal ta để Vmnet0 ( VMWare) có IP sau 10 Gán giải địa IP mà máy Client nhận Có thể gán giải sau chọn OK Click Next cửa sổ Address Range Assignment 20 Tích chọn No,Use Routing and Remote Access to authenticate connection requests sau chọn Next Click Finish để kết thúc trình cấu hình 21 Click OK để khởi động dịch vụ RRAS Bươc 4: Cấu hình tạo key sử dụng giao thức L2TP Vào Administrative tool — > Routing and Remote Access Click chuột phải vào Vpnserver (local) chọn Properties 22 Trên tab Security, tick chọn Allow custom IPsec policy for L2TP connection, gán Key tùy chọn ô Preshared Key Click OK Click OK để xác nhận 23 Ngăn VPN Client sử dụng giao thức PPTP SSTP Click chuột phải vào Port chọn Properties Trên hình Ports Properties, click chọn giao thức PPTP sau chọn Configure… 24 Bỏ dấu tick Remote access connections (inbound only) Demand-dial routing connections (inbound and outbount) Tương tự với giao thức SSTP, bỏ dấu tick Remote access connections (inbound only) 25 Kết sau Sau cấu hình xong, cần restart lại dịch vụ RRAS 26 Bước 5: Tạo kết nối VPN cấu hình VPN giao thức L2TP Thực máy Client1 Vào Network and Sharing Center, chọn Set up a new connection or network Tick chọn Connect to workplace, sau chọn Next 27 Click chọn Use my internet connection ( VPN ) sau chọn Next Click chọn I’ll set up an Internet connection later sau chọn Next 28 Điền địa IP public máy VPN Server địa card Ext sau chọn Next Điền user name, password, domain tạo trước máy DC sau chọn Create (tick chọn Remember this password để ghi nhớ mật khẩu) 29 Tạo thành công, click Close để kết thúc Vào Network connection ta thấy biểu tượng kết nối VPN tạo 30 Click chuột phải vào kết nối chọn Properties Trên cửa sổ VPN client Properties chọn Tab Security Tại Type of VPN chọn giao thức Layer Tunneling with IPsec (L2TP/IPSec) sau click Advanced Settings 31 Tick chọn Use preshared key for authentication, gán Key tạo máy VPNSERVER sau click OK Để kết nối VPN, click chuột phải vào Network VPN vừa tạo chọn Connect 32 Điền password user chọn Connect để kết nối Kết nối VPN thành công với giao thức L2TP 33 Ping vào máy DC thấy thành công Muốn ngắt kết nối VPN, click chuột phải chọn Disconnect (Nếu gặp lỗi, VPN server/ DC tắt firewall với cổng 5000, 4500) 34