LỜI CAM ĐOAN Tôi cam đoan luận văn nghiên cứu Các số liệu, kết nêu luận văn trung thực chƣa đƣợc công bố Luận văn khoa học khác Các số liệu đƣợc thích, trích dẫn tham khảo từ báo, tài liệu gốc cụ thể Ngƣời viết cam đoan Phan Thanh Hà MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH SÁCH TỪ VIẾT TẮT DANH MỤC HÌNH VẼ VÀ ĐỒ THỊ MỞ ĐẦU CHƢƠNG - CÔNG NGHỆ MẠNG RIÊNG ẢO VÀ CÔNG NGHỆ MPLS VPN TRÊN NỀN MẠNG NGN 10 1.1 Công nghệ mạng riêng ảo 10 1.1.1 Các định nghĩa, khái niệm 10 1.1.2 Sơ đồ mạng riêng ảo 11 1.1.3 Đƣờng hầm 12 1.1.4 Mơ hình VPN chuẩn 14 1.2 Công nghệ MPLS mạng NGN 15 1.1.1 RFC 2547 15 1.2.2 Router ảo (VR-Virtual Router) 25 CHƢƠNG - BẢO MẬT TRONG MPLS VPN 32 2.1 Khái niệm vê bảo mật MPLS VPN 32 2.1.1 Khái niệm 32 2.1.2 Các thành phần bảo mật hệ thống mạng MPLS VPN 32 2.1.3 Mơ hình tham chiếu bảo mật cho MPLS VPN 33 2.2 Mô hình hiểm họa mạng VPN 35 2.2.1 Hiểm hoạ VPN 35 2.2.2 Hiểm họa mạng Extranet 37 2.2.3 Mơ hình hiểm họa mạng lõi (Core network) 38 2.3.3 Mơ hình hiểm họa Internet 40 2.3.4 Hiểm họa xuất phát từ vùng tin cậy 41 2.3.5 Tấn công thám 41 2.3 Phân tích bảo mật MPLS 43 2.3.1 Sự tách biệt VPN 43 2.3.2 Tăng cƣờng chống lại công 47 2.3.3 Che dấu kiến trúc hạ tầng lõi 48 2.3.4 Bảo vệ chống lại giả mạo địa 50 2.3.5 Vấn đề bảo mật mơ hình mạng CsC 51 2.4 Mô bảo mật MPLS 54 2.4.1 Giới thiệu chung 54 2.4.2 Phân tích hình mơ dựa bƣớc cấu hình 60 2.4.3 Phân tích mơ hình mơ dựa hoạt động mơ hình 63 2.4.4 Kết luận 71 CHƢƠNG - BẢO MẬT MPLS VPN SỬ DỤNG CÔNG NGHỆ IPSEC 73 3.1 Bảo mật IPSEC MPLS VPN 73 3.1.1 Khái niệm IPsec 73 3.1.2 Hoạt động IPSec 74 3.1.3 Các phƣơng thức bảo mật IPSec 76 3.1.4 Đƣờng ngầm IPSec 77 3.2 Mô đƣờng hầm IPsec 78 3.2.1 Mơ hình mơ 78 3.2.2 Các bƣớc cấu hình 79 3.2.3 Phân tích mơ hình mơ dựa bƣớc cấu hình 81 3.2.4 Phân tích dựa hoạt động mơ hình 81 3.3 Kết luận 83 KẾT LUẬN 85 TÀI LIỆU THAM KHẢO 86 DANH SÁCH TỪ VIẾT TẮT STT Từ viết tắt Tên tiếng Anh ACL Access Control List AH Authentication Header AS Autonomous System ATM Asynchronous Transfer Mode BGP Border Gateway Protocol CE Customer Edge COS Class Of Service CsC Carrier’s Carrier DoS Denial of Service 10 EIGRP Enhanced Interior Gateway Routing Protocol 11 ESP Encapsuling Security Payload 12 FEC Forwarding Equivalence Class 13 GMPLS Generalized MultiProtocol Label Switching 14 GNS Graphical Network Simmulator 15 GRE Generic Routing Encapsulation 16 IETF Internet Engineering Task Force 17 IGP Interior Gateway Protocol 18 IOS Internetwork Operating System STT Từ viết tắt Tên tiếng Anh 19 IP Internet Protocol 20 IPsec Internet Protocol Security 21 IPv4 Internet Protocol version 22 IPv6 Internet Protocol version 23 L2TP Layer Tunnel Protocol 24 LDP Label Distribution Protocol 25 LFIB Label Forwarding Information Base 26 LIB Label Information Bas 27 LSP Label Switching Path 28 LSR Label Switching Router 29 MD5 Message-Digest algorithm 30 MPLS MultiProtocol Label Switching 31 NGN Next Generation Network 32 OSPF Open Shortest Path First 33 P Provider Router 34 PE Provider Edge 35 PID Protocol identifier 36 PING Packet InterNet Groper 37 QoS Quality of Service STT Từ viết tắt Tên tiếng Anh 38 RD Route Distinguisher 39 RFC Request for Comments 40 RIP Routing Information Protocol 41 RSVP ReSource reserVation Protocol 42 S Bottom Stack 43 SA Security Association 44 Seg Sequence Number 45 SP Service Provider 46 SPI Security Parameter Index 47 TCP Transmission Control Protocol 48 TDP Tag Distribution Protocol 49 TTL Time-to-Live 50 VPN Virtual Private Network 51 VRF Virtual Routing and Forwarding 52 WAN Wide Area Network DANH MỤC HÌNH VẼ VÀ ĐỒ THỊ Hình 1-1: Cấu trúc mạng riêng ảo 11 Hình 1-2: Tạo đƣờng hầm 13 Hình 1-3: Sử dụng chồng nhãn để ghép đƣờng hầm 13 Hình 1-4: Cấu trúc Hub and Spoke 14 Hình 1-5: Cấu trúc Full mesh 15 Hình 1-6: Dùng RD để phân biệt cácVPN 16 Hình 1-7: Cấu trúc khung VPN-IPv4 17 Hình 1-8: Cấu trúc RT trƣờng Type = 19 Hình 1-9: Cấu trúc RT trƣờng Type = 19 Hình 1-10: Mơ hình Carrier’sCarrier 23 Hình 1-11: Cấu trúc mạng VPN VR 29 Hình 2-1: Ba thành phần hệ thống bảo mật mạng 32 Hình 2-2: Mơ hình tham chiếu bảo mật 33 Hình 2-3: Mơ hình tham chiếu bảo mật với Extranet 34 Hình 2-4: Mơ hình tham chiếu bảo mật với Internet 34 Hình 2-5: Mơ hình tham chiếu bảo mật nhiều nhà cung cấp 35 Hình 2-6: Hiểm họa VPN 35 Hình 2-7: Các điểm đột nhập vào VPN 36 Hình 2-8: Các điểm có khả bị công DoS VPN 37 Hình 2-9: Cấu trúc địa VPN-IPv4 43 Hình 2-10: Khơng gian địa mạng MPLS VPN 44 Hình 2-11: Sự bao gói mạng lõi 46 Hình 2-12: Khơng gian địa nhìn thấy từ VPN 47 Hình 2-13: Địa PE-CE 49 Hình 2-14: Mạng CsC 51 Hình 2-15: CsC - Phân cấp VPN 53 Hình 2-16: Mơ hình mơ VPN sử dụng cơng nghệ MPLS 56 Hình 2-18: Các điểm bắt gói tin đƣờng truyền 67 Hình 2-19: Tiến hành ping địa router CE-A2 67 Hình 2-20: Sử dụng phần mềm Wireshark để phân tích gói tin 68 Hình 3-1: Cấu trúc gói tin giao thức AH 74 Hình 3-2: Cấu trúc trƣờng AH 74 Hình 3-3: Cấu trúc gói tin giao thức ESP 75 Hình 3-4: IPsec Transport mode Tunnel Mode 75 Hình 3-5: Cấu trúc gói tin mode IPsec 76 Hình 3-6: Cấu trúc gói tin đƣờng hầm IPsec 77 Hình 3-7: Mơ hình mơ VPN sử dụng IPsec 79 Hình 3-8: Gói tin ESP bắt đƣợc đƣờng truyền 82 MỞ ĐẦU Với phát triển nhanh chóng cơng nghệ tin học viễn thông, giới ngày thu nhỏ trở nên gần gũi Nhiều công ty vƣợt qua ranh giới quốc gia, vƣơn thị trƣờng giới, nhiều doanh nghiệp có tổ chức trải rộng khắp tồn quốc chí có văn phòng đại diện nhiều nƣớc giới, tất họ đối mặt với nhu cầu thiết thực: Một cách thức nhằm trì kết nối thơng tin kịp thời, an toàn hiệu cho dù văn phòng đặt nơi đâu Sự đời mạng riêng ảo thay đổi cung cách làm việc ngƣời, rút ngắn khoảng cách chi nhánh công ty nƣớc giới Với mạng riêng ảo ngƣời ta không cần thiết phải đến văn phòng cơng ty truy nhập đƣợc vào sở liệu mạng nội bộ, mà cần máy tính cá nhân hay xách tay truy nhập vào mạng nội công ty cách quay số, truy nhập không dây, hay không cần thiết phải tốn kinh phí cho nhân viên di chuyển từ nơi đến nơi khác để hội họpvà nhiều ích lợi khác mà mạng riêng ảo đem lại Với yêu cầu an toàn hệ thống liệu cho dịch vụ hoạt động mạng riêng ảo VPN (Virtual Private Network) ngày cao nguy bị công mạng ngày gia tăng số lƣợng nhƣ cấp độ nguy hiểm, vấn đề bảo mật dịch vụ VPN trở nên cấp thiết đƣợc nhà cung cấp dịch vụ khách hàng sử dụng quan tâm Luận văn nghiên cứu bảo mật mạng riêng ảo VPN/MPLS mạng NGN, nội dung chia làm chƣơng Chƣơng Giới thiệu tổng quan công nghệ mạng riêng ảo; giới thiệu VPN/MPLS mạng NGN Chƣơng Mơ tả khái niệm, phân tích, đánh giá vấn đề bảo mật mạng riêng ảo VPN/MPLS.Thực mô bảo mật MPLS VPN phân tích, đánh giá kết Chƣơng Mơ tả, mơ phân tích, đánh gia bảo mật dựa công nghệ IP Sec Tác giả gửi lời cảm ơn sâu sắc tới PGS.TS Vƣơng Đạo Vy hƣớng dẫn giúp đỡ nghiên cứu khoa học suốt trình thực luận văn, đồng thời xin gửi lời cảm ơn tới thầy, cô khoa Điện Tử - Viễn Thông Đại học Công Nghệ Đại học Quốc Gia Hà Nội cung cấp cho kiến thức quý báu thời gian học tập, nghiên cứu trƣờng 10 CHƢƠNG - CÔNG NGHỆ MẠNG RIÊNG ẢO VÀ CÔNG NGHỆ MPLS VPN TRÊN NỀN MẠNG NGN 1.1 Công nghệ mạng riêng ảo 1.1.1 Các định nghĩa, khái niệm Định nghĩa mạng: Mạng máy tính kết nối máy tính với hệ thống truyền thông nhằm khai thác tài nguyên chung từ vị trí địa lý khác Mạng máy tính tạo mơi trƣờng làm việc với nhiều ngƣời sử dụng phân tán, cho phép nâng cao hiệu khai thác tài nguyên chung lên nhiều so với máy hoạt động đơn lẻ Định nghĩa mạng riêng: Mạng riêng mạng xây dựng để phục vụ nhu cầu thông tin liên lạc nhóm người sử dụng định với yêu cầu định chất lượng dịch vụ So sánh với mạng cơng cộng (Public Network), mạng riêng có số đặc thù riêng cụ thể nhƣ sau:  Cấu trúc mạng riêng thƣờng mỏng so với mạng công cộng, bao gồm hai lớp, lớp lõi lớp truy nhập Đơi có thêm lớp biên  Mạng riêng thƣờng không sử dụng mạng truyền dẫn riêng mà sử dụng kênh thuê cố định mạng cơng cộng để kết nối nút mạng  Thiết bị sử dụng mạng riêng tƣơng đối đồng thƣờng có nhà khai thác mạng nên mạnh tính linh động mạng, dịch vụ đồng nhất, dễ dàng công việc nâng cấp, mở rộng nhƣ khả quản lý tập trung Môi trƣờng mạng riêng tƣơng đối suốt so sánh với mạng công cộng  Mạng riêng thƣờng đƣợc thiết kế để hỗ trợ dịch vụ gia tăng chuyên biệt cho nhu cầu nhóm sử dụng định, ngồi mục đích hỗ trợ dịch vụ đƣợc thiết kế để phục vụ mục đích kết nối liệu (WAN, Intranet/Internet Access) Khái niệm mạng riêng ảo: Mạng riêng ảo (VPN – Virtual Private Network): Là mạng riêng xây dựng sở hạ tầng chung, sử dụng tính chất chia sẻ giống mạng riêng 72 Thêm vào để tăng tính an tồn router, SP sử dụng thuật tốn mã hóa MD5 công nghệ tƣơng tự, để bảo vệ ngăn chặn bị chèn thêm nhãn giả hay LSR giả vào giao thức phân phối nhãn Vì ƣu điểm của cơng nghệ MPLS nói chung kĩ thuật đƣờng hầm MPLS nói riêng, ngày có nhiều nhà cung cấp dịch vụ xây dựng sở hạ tầng mạng dùng cơng nghệ MPLS Từ triển khai nhiều dịch vụ có VPN cung cấp cho khách hàng Ngồi MPLS cơng cụ triển khai mạng (NGN) loại mạng tích hợp thoại, liệu di động Do dịch vụ Layer3 VPN/MPLS đƣợc xây dựng dựa mạng lõi NGN (IP Core) có sử dụng cơng nghệ đƣờng ngầm MPLS thừa hƣởng ƣu điểm bảo mật công nghệ MPLS nhƣ chịu ảnh hƣởng yếu điểm bảo mật công nghệ 73 CHƢƠNG - BẢO MẬT MPLS VPN SỬ DỤNG CÔNG NGHỆ IPSEC 3.1 Đƣờng hầm mã hóa Bảo mật VPN nâng cao nhờ mã hóa qua đƣờng hầm Đƣờng hầm (Tunnel) cung cấp kết nối logic, điểm tới điểm qua mạng IP không hƣớng kết nối Điều giúp cho việc sử dụng ƣu điểm, tính bảo mật Các giải pháp đƣờng hầm cho VPN sử dụng mã hóa để bảo vệ liệu khơng bị xem trộm không đƣợc phép để thực đóng gói đa giao thức cần thiết Mã hóa (encryption) dùng để đảm bảo liệu khơng đọc đƣợc với ai, nhƣng đọc đƣợc ngƣời nhận Khi mà có nhiều thơng tin lƣu thơng mạng cần thiết việc mã hóa thơng tin trở nên quan trọng Mã hóa biến đổi nội dung tin thành dạng vơ nghĩa dạng mật mã Tại ngƣời nhận sử dụng chức giải mã đƣợc cung cấp để giải mã nội dung thơng điệp Có giao thức để tạo đƣờng hầm qua VPN:  Giao thức đƣờng hầm lớp L2TP (Lay  Giao thức đóng gói định tuyến chung GRE  Giao thức bảo mật IP Các giao thức có ƣu nhƣợc điểm riêng, đƣợc ứng dụng trƣờng hợp cụ thể Nhƣng IPsec đƣợc sử dụng nhiều ƣu điểm riêng Trong chƣơng này, ta sâu vào tìm hiểu IPsec 3.2 Bảo mật IPSEC MPLS VPN 3.2.1 Khái niệm IPsec IPSec đƣợc phát triển nhóm chuyên gia hàng đầu mã bảo mật Nó cung cấp dịch vụ an ninh lớp IP cách đảm bảo cho hệ thống lựa chọn giao thức bảo mật, xây dựng thuật toán mã hóa Chuẩn IPsec cung cấp phƣơng thức quản lý nhận thực bảo vệ liệu cho nhiều tuyến đƣờng host hay hai cổng an ninh host cổng an ninh IPsec bao gồm giao thức Quản lý khóa Kết hợp an ninh Internet (ISAKMP), giao thức xác định khóa Oakley hai giao thức AH ESP (sẽ đề cập đến phần dƣới) IPsec sử dụng thuật giải mã hóa đối xứng để bảo vệ liệu Mã hóa đối xứng hiệu dễ thực phần cứng Thuật giải cần có phƣơng thức trao đổi khóa an tồn để bảo vệ liệu tránh khỏi hoạt động công hacker Việc đƣợc thực cách dùng giao thức ISAKMP/Oakley trao đổi khóa Internet (IKE) IPsec có số phƣơng pháp dùng hàm chặt (hash) khác để ngƣời thiết kế mạng chọn, tạo mức an ninh phù hợp với mong muốn 74 Các phƣơng thức bảo mật mà IPsec cung cấp điều khiển truy nhập, tồn vẹn khơng kết nối, nhận thực gốc liệu, từ chối phát lại gói, mã hóa bảo mật Bởi phƣơng thức đƣợc sử dụng lớp IP nên giao thức lớp cao sử dụng IPsec 3.2.2 Hoạt động IPSec IPsec sử dụng hai giao thức để cung cấp bảo mật lƣu lƣợng Authentication Header (AH) Encapsuling Security Payload (ESP) Chi tiết xem RFC KA98a RFC KA 98b  Giao thức AH cung cấp tính tồn vẹn khơng kết nối, nhận thực gốc liệu phƣơng thức tùy chọn cho ngƣời sử dụng việc chống phát lại, nhiên khơng mã hóa liệu Giao thức chống đƣợc công IP spoofing, xác định xem gói tin có bị thay đổi hay khơng AH đƣợc dùng để bảo vệ trƣờng cố định mào đầu IP bao gồm trƣờng địa mào đầu IP Sau cấu trúc gói tin giao thức AH: Hình 3-1: Cấu trúc gói tin giao thức AH Hình 3-2: Cấu trúc trƣờng AH Trong đó:  IP header (gồm 32 bit): header gói IP  Next header (gồm bit): header giao thức AH  SPI (gồm 32 bit): xác định kết nối logic chiều client server  Seg # (gồm 32 bit): Nhận dạng gói, chống lại chế cơng phát lại Bảo đảm gói tin gửi đến đích thứ tự khơng bị trùng lặp  Auth Data: dùng để xác thực địa IP đảm bảo tính tồn vẹn liệu  Giao thức ESP: cung cấp khả mã hóa giới hạn dòng lƣu lƣợng Ngồi cung cấp tính tồn vẹn khơng kết nối, nhận thực gốc liệu chống phát lại giống nhƣ AH Sau cấu trúc gói tin ESP Tóm lại ESP bảo vệ liệu mà không bảo vệ mào đầu IP 75 Hình 3-3: Cấu trúc gói tin giao thức ESP Trong đó:  ESP header gồm có hai trƣờng SPI Seg # giống nhƣ cẩu trúc AH  Phần data ESP trailer phần đƣợc mã hóa  ESP trailer: gồm có Next Header đƣợc mã hóa để ngƣời mạng khơng đọc đƣợc Do che dấu đƣợc thông tin từ lớp trở lên  ESP Auth: chữ kí điện tử xác thực, đảm bảo tính tồn vẹn thông tin Cả AH ESP phƣơng tiện cho điều khiển truy nhập, dựa việc phân phối khóa mã riêng khóa cơng cộng, quản lý dòng lƣu lƣợng có liên quan đến giao thức bảo mật Các giao thức bảo mật đƣợc cài đặt riêng hay kết hợp với để tạo tập phƣơng thức bảo mật hoàn hảo, chặt chẽ cho IPv4 IPv6 Mỗi giao thức hỗ trợ hai mode sau đây:  Mode vận tải cung cấp khả bảo vệ lớp cao  Mode đƣờng hầm, hỗ trợ gói IP đƣờng hầm Hình 3-4: IPsec Transport mode Tunnel Mode Cấu trúc gói tin Transport mode Tunnel Mode nhƣ hình IV-5 Trong IPsec, ngƣời dùng quản trị mạng vừa tạo đƣờng hầm IPsec để mang toàn lƣu lƣợng trao đổi hai cổng an ninh, lại vừa tạo đƣờng hầm mã hóa cho kết nối TCP/IP hai cổng an ninh 76 Để thực việc mã hóa, nhận thực tồn vẹn IPsec sử dụng khóa mã cơng cộng riêng tƣ Cho nên IPsec có hỗ trợ phân phối khóa mã tay tự động Hình 3-5: Cấu trúc gói tin mode IPsec 3.2.3 Các phƣơng thức bảo mật IPSec Điều khiển truy nhập (access control): phƣơng thức bảo mật, ngăn chặn việc sử dụng nguồn tài nguyên không hợp lệ (không đƣợc nhận thực) Trong IPsec tài nguyên mà cần điều khiển truy nhập là:  Đối với host liệu  Đối với cổng an ninh mạng đằng sau cổng băng thông mạng Nhận thực (Authentication): Bao gồm nhận thực gốc liệu tồn vẹn khơng kết nối Mã bảo mật (Encapsulation): chuyển đổi liệu từ dạng gốc sang dạng đƣợc mã hóa Quá trình gọi tạo mã bảo mật mã hóa q trình ngƣợc lại gọi giải mã Thƣờng ngƣời ta gọi tắt mã hóa, bao hàm hai trình lập mã giải mã Nhận thực gốc liệu (Data Origin Authentication): Là xác thực nhận dạng nguồn gốc liệu Nhƣ ta nói nhận thực gốc liệu thƣờng kèm với đảm bảo tính khơng kết nối q trình nhận thực Tính tồn vẹn (Integrity): Đảm bảo gói khơng bị xóa, thêm vào xáo trộn suốt q trình truyền tin Có nhiều hình thức toàn vẹn cho phù hợp 77 với nhu cầu ngƣời dùng IPsec hỗ trợ kiểu toàn vẹn: tồn vẹn khơng kết nối tồn vẹn liệu  Tồn vẹn khơng kết nối: Dò bổ xung, thay đổi liệu mà không cần quan tâm đến thứ tự gói liệu dòng lƣu lƣợng  Toàn vẹn liệu: Ngăn chặn việc phát lại gói khơng Nói cách khác tránh việc xuất hai gói số thứ tự bên thu Kết hợp bảo mật (Security Association - SA): kết nối logic chiều, đƣợc tạo với mục đích bảo mật Tất lƣu lƣợng ngang qua SA có q trình xử lí an ninh giống Cổng an ninh (Security Gateway): Là hệ thống hoạt động đóng vai trò làm giao diện kết nối hai mạng Tập hợp host mạng phía ngồi cổng an ninh đƣợc coi khơng tin cậy, tập hợp mạng host phía cổng an ninh đƣợc gọi tin cậy Trong IPsec, cổng an ninh điểm mà AH ESP đƣợc sử dụng để phục vụ tập host bên trong, đồng thời cung cấp dịch vụ bảo mật cho host chúng cần thơng tin với host khác bên ngồi sử dụng IPsec 3.2.4 Đƣờng ngầm IPSec Hình 3-6: Cấu trúc gói tin đƣờng hầm IPsec Do phƣơng thức an ninh mà IPsec cung cấp, nên việc sử dụng mode đƣờng hầm làm giao thức đƣờng hầm nhiều VPN điều dễ hiểu Mode đƣờng hầm IPsec làm việc theo cách mã hóa bảo vệ tồn gói tin Bởi mode đƣờng hầm mã hóa ẩn mào đầu IP gắn cho gói tin mào đầu mới, để chuyển gói tin cách thành cơng Các thiết bị mã hóa có địa IP sử dụng mào đầu gói tin Các địa đƣợc rõ cấu hình router Cisco IOS Có thể sử dụng kết hợp mode đƣờng hầm với ESP AH Trong mạng đƣờng trục IP MPLS, liệu VPN thƣờng bị công thiết bị PE, việc tạo đƣờng hầm IPsec từ PE đến PE khác quan trọng đặc biệt liệu khách hàng loại nhạy cảm Cấu trúc gói tin đƣờng hầm IPsec nhƣ hình IV-6 Trong tồn trƣờng Original IP header, data ESP trailer đƣợc mã hóa Mục đích làm cho hacker khơng biết đƣợc địa thực ngƣời nhận ngƣời gửi nên thống kê đƣợc lƣu lƣợng IP mà Cấu trúc kết hợp 78 giao thức ESP để thực mode đƣờng hầm, ngồi kết hợp giao thức AH có cấu trúc tƣơng tự nhƣ Việc đóng gói đƣờng hầm IPsec giúp che dấu IP thực gói Vì mà hacker đƣợc nguồn gốc nhƣ nội dung gói tin Có thể nói địa IP nhãn cho đƣờng hầm IPsec, hoạt động định tuyến gói tin dựa thơng tin header IP Vì hacker nhìn vào mạng thấy đƣợc gói IP thơng thƣờng, với địa đƣờng hầm IP mới, đọc đƣợc liệu bên nhƣ địa thực nguồn đích gói tin Ngồi IPsec có ƣu điểm khơng thể bỏ qua tính khơng kết nối Vì mà đƣờng hầm IPsec không sử dụng tài nguyên router P Trạng thái số thông tin bảo mật chia sẻ hai thiết bị PE Thơng tin đƣợc cấu hình tay tự động (sử dụng giao thức IKE) Tuy nhiên IPsec có nhƣợc điểm khơng thể tự ghép đƣờng hầm đƣợc Muốn thực ghép phải dùng công nghệ MPLS tức MPLS đƣờng hầm IPsec Bản thân IPsec có tính bảo mật cao nên nhƣ nhà cung cấp không hỗ trợ đƣờng hầm IPsec khách hàng VPN tự bảo mật cho liệu Bằng cách sử dụng phần mềm phần cứng IPsec đầu thiết bị CE (Nếu nhƣ khách hàng quản lý CE), router biên mạng trƣớc đƣa vào mạng nhà cung cấp 3.3 Mơ đƣờng hầm IPsec 3.3.1 Mơ hình mơ Mơ hình mơ phỏng: 79 Hình 3-7: Mơ hình mô VPN sử dụng IPsec Giả sử khách hàng A có mạng LAN 10.10.0.0 10.0.0.0 muốn giao tiếp với qua VPN Hai site VPN nối vào mạng nhà cung cấp ISP qua router A1 A2 Chúng ta thiết lập đƣờng hầm (Tunnel) A1 A2 Do IPsec không hỗ trợ ghép đƣờng hầm, ta sử dụng công nghệ GRE để tạo đƣờng hầm site, sau dùng IPsec để mã hóa, bảo mật liệu GRE từ viết tắt đóng gói định tuyến đặc điểm (Generic Routing Encapsulation) Đây dạng đóng gói chuyên trở lớp đƣợc chuẩn hóa thiết kế cho giao thức đƣờng hầm có đặc điểm chung GRE đƣợc chuẩn hóa RFC1701 RFC1702 Hai chuẩn mô tả cách GRE sử dụng IP (gọi GRE IP) làm giao thức vận chuyển nhƣ GRE cung cấp cách thức tạo đƣờng hầm giao thức mà chuyên trở gói giao thức khác Địa IP giao diện router đƣợc cấu hình nhƣ bảng sau: Router A1 A1 ISP ISP A2 A2 Giao diện Serial 0/0 Loopback Serial 0/0 Serial 0/1 Loopback0 Serial 0/0 Kết nối với ISP A2 A1 ISP Địa IP/Subnet Mark 10.0.1.1/24 172.16.1.2/30 172.16.0.1/30 172.16.1.1/30 172.16.2.1/30 172.16.0.2/30 Bảng 3-1: Địa IP router mơ hình mơ 3.3.2 Các bƣớc cấu hình Bƣớc 1: Cấu hình cho thiết bị (tƣơng tự nhƣ mơ hình trƣớc) 80 Router(config)#hostname name //cấu hình tên router Router(config)#no ip domain lookup //không tự động phân giải tên miền Router(config)#line console Router(config-line)#exec-timeout 0 Router(config)#line vty // Cấu hình telnet Router(config-line)#previlege level 15 Router(config-line)#no login Bƣớc 2: Cấu hình địa IP cho router (tƣơng tự nhƣ mơ hình trƣớc) Router(config-if)#ip address IP_address Router(config-if)#no shutdown Router(config-if)#clock rate x //dùng cho interface serial Router(config)#interface loopback Bƣớc 3: Cấu hình định tuyến cho router A1,A2 Router(config)#router eigrp Router(config-router)#network network address VD:Cấu hình định tuyến cho router A1: A1#config terminal Enter configuration commands, one per line End with CNTL/Z A1(config)#router EIGRP A1(config-router)#network 10.0.0.0 A1(config-router)#network 192.168.100.0 Bƣớc 4: Thiết lập ISAKMP (nhằm định nghĩa kiểu mã hoá, authentication)# Router (config)#crypto isakmp policy Router (config)#encr aes Router (config)#authentication pre-share Router (config)#group Router (config)#crypto isakmp key cisco address 172.16.0.2 VD: Thiết lập ISAKMP với router A1: A1(config)#crypto isakmp policy A1(config)#encr aes A1(config)#authentication pre-share A1(config)#group A1(config)#crypto isakmp key cisco address 172.16.0.2 Bƣớc 5: Thiết lập transform set Router(config)#crypto ipsec transform-set aes-sha esp-aes esp-sha-hmac Bƣớc 6: Thiết lập crypto map Router (config)#crypto map vpn 10 ipsec-isakmp Router (config)#description = VPN From COLO_1 To CORE = Router (config)#set peer 172.16.0.2 Router (config)# set transform-set aes-sha Router (config)# match address 100 VD: Thiết lập crypto với router A1: 81 A1(config)#crypto map vpn 10 IPsec-isakmp A1(config)#description = VPN From COLO_1 To CORE = A1(config)#set peer 172.16.0.2 A1(config)# set transform-set aes-sha A1(config)# match address 100 Bƣớc 7: Thiết lập GRE tunnel over IPSec đƣợc cấu hình Router (config)#interface Tunnel0 Router (config)#description = GRE Tunnel To CORE = Router (config)#ip address 192.168.100.2 255.255.255.0 Router (config)#ip mtu 1500 Router (config)#ip tcp adjust-mss 1400 Router (config)# keepalive 10 Router (config)# tunnel source 172.16.1.2 Router (config)#tunnel destination 172.16.0.2 VD: Thiết lập GRE tunnel over IPsec : A1(config)#interface Tunnel0 A1(config)#description = GRE Tunnel To CORE = A1(config)#ip address 192.168.100.2 255.255.255.0 A1(config)#ip mtu 1500 A1(config)#ip tcp adjust-mss 1400 A1(config)# keepalive 10 A1(config)# tunnel source 172.16.1.2 A1(config)#tunnel destination 172.16.0.2 3.3.3 Phân tích mơ hình mơ dựa bƣớc cấu hình Q trình cấu hình tunnel GRE/IPsec đƣợc thực hòan tồn router A1 A2 khách hàng Khơng liên quan đến router nhà cung cấp Nhƣ ngƣời sử dụng có nhu cầu bảo mật thơng tin mà nhà cung cấp khơng hỗ trợ khách hàng tự bảo mật cho mình; Bằng cách sử dụng phần mềm phần cứng IPsec đầu thiết bị CE (Nếu nhƣ khách hàng quản lý CE), router biên mạng trƣớc đƣa vào mạng nhà cung cấp 3.3.4 Phân tích dựa hoạt động mơ hình a Phân tích gói tin chạy mạng Sử dụng lệnh ping, để gửi gói tin mạng Sau bắt gói tin chặng mạng, từ phân tích gói tin, xác định đƣợc hoạt động mạng Các bƣớc thực hiện: Bƣớc 1: Tại router A1, tiến hành ping tới địa 10.10.0.1 router A2 A1#ping 10.10.0.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is seconds: 82 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 220/275/336 ms Bƣớc 2: Bắt gói tin giao diện:  Giao diện s0/0 router A1 ( giao diện nơi router gửi gói tin vào giao diện s0/1 router ISP)  Giao diện s0/0 router A2 (cũng nơi giao diện s0/0 router ISP gửi gói tin ra) Bƣớc 3: Dùng phần mềm Wireshare mở gói tin bắt đƣợc để phân tích Phân tích: Hình 3-8: Gói tin ESP bắt đƣợc đƣờng truyền Dùng chƣơng trình Wireshare mở hai file A1.cap A2.cap chứa gói tin bắt đƣợc Ta thấy loại gói tin ESP Vì sử dụng giao thức mã hóa ESP để mã hóa lƣu lƣợng bao gồm liệu lƣu lƣợng điều khiển (Các giao thức định tuyến nhƣ EIGRP,…) Phân tích gói tin bắt đƣợc ta có: 83 0f 00 08 00 45 c0 00 78 00 cd 00 00 ff 32 60 a2 ac 10 01 02 ac 10 00 02 6e 12 83 3e 00 00 00 5e d9 c4 79 fc 7e 56 1f cb d7 41 bb e1 3a d7 a4 0b d6 c7 eb a9 cd e4 3c b8 f3 6f 2e 6f c6 f6 cd ea 0d 2e d1 f6 8a d3 5b 54 ae 10 e6 37 fe ab e5 ad 0b cb b3 29 68 e9 ee 3c 5e 05 ad 11 b7 32 49 81 31 2b e9 00 c6 b6 b7 ed 82 c3 dc 2c 89 5c 8a 72 f2 ce 4c 7b f9 ad 83 f9 04 31 fa 1a Trong  Byte 0x0f: Cho biết gói tin unicast  12 byte tiếp theo: 00 08 00: Đây gói tin IP (0x0800)  80 byte c0 00 78 00 cd 00 00 ff 32 60 a2 ac 10 01 02 ac 10 00 02 phần mào đầu địa IP : bao gồm địa IP nguồn 172.16.1.2 (ac 10 01 02) IP đích 172.16.0.2 (ac 10 00 02)  Các byte lại nội dung gói tin đƣợc mã hóa ESP, khơng thể dịch nội dung xác Nhận xét :Tòan trƣờng Original IP header, data ESP trailer đƣợc mã hóa Nhƣ hacker khơng khơng đọc đƣợc nội dung gói tin, mà khơng biết đƣợc địa thực ngƣời nhận ngƣời gửi, thống kê đƣợc lƣu lƣợng IP mà 3.4 Kết luận Từ kết phân tích mơ cơng nghệ IPsec cơng nghệ MPLS, ta đƣa số đánh giá nhƣ sau:  Trong công nghệ VPN/MPLS cung cấp khả mềm dẻo kết nối WAN, giải pháp tối ƣu cho toán kinh tế giải pháp kết nối mạng doanh nghiệp IPSec tăng cƣờng tính tin cậy bù đắp lỗ hổng bảo mật  Các triển khai thực tế VPN/MPLS dựa dịch vụ nhà cung cấp (ví dụ dịch vụ MegaWAN Cơng ty Viễn thơng Liên tỉnh) đƣờng ngầm IPSec đƣợc thực modem đầu cuối hỗ trợ tính IPSec (nhƣ Juniper SSG20, Cisco series 800 …) Cách triển khai áp dụng cho Ngân hàng tổ chức doanh nghiệp lớn yêu cầu điều kiện ngặt nghèo bảo mật kết nối VPN  Ngồi ra, khơng muốn sử dụng IPSec, sử dụng cơng nghệ Layer3 VPN/MPLS với việc đặt thiết bị phần cứng mã hóa (Data Encryt Device) đầu cuối kênh Bằng phƣơng pháp đảm bảo tuyệt đối bảo mật với nhà cung cấp dịch vụ liệu đƣợc truyền kênh VPN Tuy nhiên nhƣợc điểm giải pháp là: bảo mật 84 liệu không bảo mật định tuyến chi phí tốn phải đầu tƣ thiết bị mã hóa đắt tiền cho kênh đầu cuối Giải pháp đƣợc số ngân hàng sử dụng nhƣ Ngân hàng Phát triển Đầu tƣ… 85 KẾT LUẬN Luận văn trình bày bảo mật mạng riêng ảo sử dụng công nghệ MPLS NGN Tập đòan Bƣu Viễn thơng Việt Nam VNPT Phần tổng quan nêu lên khái niệm, đặc điểm bật mạng riêng ảo VPN, đồng thời trình bày kỹ thuật công nghệ MPLS VPN mạng NGN bao gồm chuẩn RFC 2547 Router ảo (VR-Virtual Router) Đi sấu nghiên cứu bảo mật MPLS VPN, chƣơng 2, tác giả tập trung nghiên cứu khái niệm bảo mật công nghệ MPLS VPN, đƣa số mơ hình hiểm họa VPN, phân tích bảo mật MPLS VPN, đồng thời tiến hành mơ phỏng, phân tích kết mơ hình mơ để rằng, đƣợc cấu hình đầy đủ xác vấn đề bảo mật VPN sử dụng đƣờng hầm MPLS giống nhƣ điểm VPN sử dụng kết nối VC ATM/Frame Relay Phần cuối luận văn, tác giả sâu vào vấn đề bảo mật phía khách hàng, nội dung trình bày cơng nghệ IPsec để mã hóa liệu, đồng thời mô công nghệ này, để chứng minh độ tin cậy IPsec Do thời gian nghiên cứu có hạn, nên nhiều chỗ, nhiều vấn đề luận văn đƣợc trình bầy chƣa sâu sắc đầy đủ, tác giả mong nhận đƣợc thơng cảm góp ý q báu thầy, cô để rút học kinh nghiệm đƣờng nghiên cứu khoa học sau 86 TÀI LIỆU THAM KHẢO [1] Michael H Behringer, Monique J Morrow, “MPLS VPN Security”, Cisco Press, 2005 [2] Chuck Semeria, “RFC 2547bis: BGP/ MPLS VPN Fundamentals”, Juniper Networks, Inc, 2003 [3] Telecommunications Research Associates, “Understanding MPLS VPNs”, Telecommunications Research Associates LLC, 2002 [4] Jon Harison, “VPN Technologies – A comparision”, Data Connection Limited, http://www.dataconnection.com, 2/2003 [5] Draf-ietf-l3vpn-vpn-vr-02, http://www.ietf.org/internet-drafts/ [6] Peter Tomsu & Gerhard Wieser, “MPLS – Based VPNs”, Prentice Hall PTR; Prentice – Hall, Inc; 2002 ... MPLS, tùy thu c vào công nghệ đƣờng hầm sử dụng VR đƣờng trục Sử dụng VR đƣờng trục vừa cung cấp khả kết hợp VPN, tạo kết nối đơn lẻ cho VPN Về mặt lí thuyết ngƣời ta tạo nhiều VR đƣờng trục thiết. .. học Công Nghệ Đại học Quốc Gia Hà Nội cung cấp cho kiến thức quý báu thời gian học tập, nghiên cứu trƣờng  10 CHƢƠNG - CÔNG NGHỆ MẠNG RIÊNG ẢO VÀ CÔNG NGHỆ MPLS VPN TRÊN NỀN MẠNG NGN 1.1 Công nghệ. .. DANH MỤC HÌNH VẼ VÀ ĐỒ THỊ MỞ ĐẦU CHƢƠNG - CÔNG NGHỆ MẠNG RIÊNG ẢO VÀ CÔNG NGHỆ MPLS VPN TRÊN NỀN MẠNG NGN 10 1.1 Công nghệ mạng riêng ảo