ĐẠI HỌC QUỐC GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ Trương Hồi Nam NGHIÊN CỨU CƠNG NGHỆ MẠNG RIÊNG ẢO VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI NGÂN HÀNG NHÀ NƯỚC VIỆT NAM LUẬN VĂN THẠC SỸ Hà Nội - 2006 ĐẠI HỌC QUỐC GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ Trương Hồi Nam NGHIÊN CỨU CƠNG NGHỆ MẠNG RIÊNG ẢO VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Ngành Chuyên Ngành Mã Số : Công nghệ Điện tử – Viễn thông : Kỹ thuật vô tuyến điện tử thông tin liên lạc : 07 00 LUẬN VĂN THẠC SỸ NGƯỜI HƯỚNG DẪN KHOA HỌC: PSG TS NGUYỄN VIẾT KÍNH Hà Nội - 2006 MỤC LỤC MỤC LỤC Danh mục ký hiệu, chữ viết tắt Danh mục hình vẽ MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 1.1 Giới thiệu VPN 1.2 Các loại mạng VPN 10 1.2.1 VPN truy cập từ xa (Remote access VPN) 10 1.2.2 Intranet VPN 10 1.2.3 Extranet VPN 11 1.3 Các thành phần mạng VPN 11 1.4 Các giao thức tạo đường hầm VPN 15 1.4.1 Giao thức PPTP (Point-To-Point Tunning Protocol) 17 1.4.2 Giao thức L2TP (Layer Tunneling Protocol) 23 1.4.3 Giao thức IPSec (IP Security Protocol) 26 1.4.4 SSL VPN (Secure Socket Layer VPN) 30 CHƯƠNG BẢO MẬT TRONG VPN 33 2.1 Các dịch vụ bảo mật 33 2.1.1 Xác thực 33 2.1.2 Chữ ký điện tử 35 2.1.3 Kiểm soát truy cập 38 2.1.4 Tính bí mật liệu 38 2.1.5 Tính tồn vẹn liệu 39 2.2 Bảo mật giao thức PPTP 40 2.3 Bảo mật giao thức L2TP 41 2.4 Bảo mật giao thức IPSec 41 2.4.1 Bảo mật AH 41 2.4.1.1 Thuật toán băm MD5 41 2.4.1.2 Thuật toán SHA1 43 2.4.1.3 Thuật toán HMAC 44 2.4.2 Bảo mật ESP 45 2.4.3 Quản lý trao đổi khoá 46 CHƯƠNG CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS 53 3.1 3.2 3.3 3.4 Giới thiệu công nghệ MPLS 53 Chuẩn hoá MPLS 54 Các thành phần, khái niệm MPLS 55 Các chế độ hoạt động MPLS 56 3.4.1 Chế độ hoạt động khung 56 3.4.2 Chế độ hoạt động tế bào 60 3.5 Các giao thức sử dụng mạng MPLS 65 3.5.1 Giao thức phân phối nhãn LDP 65 3.5.1.1 Các tính chất LDP 66 3.5.1.2 Phát LSR lân cận 67 3.5.1.3 Các tin LDP 68 3.5.2 Giao thức định tuyến cưỡng CR-LDP 69 3.5.2.1 Khái niệm định tuyến cưỡng 69 3.5.2.2 Các phần tử định tuyến cưỡng 72 3.5.3 Giao thức báo hiệu RSVP 77 CHƯƠNG ỨNG DỤNG MẠNG RIÊNG ẢO VPN TRÊN MẠNG MPLS 81 4.1 Mơ hình chồng lấn 81 4.2 Mơ hình ngang hàng 82 4.3 Các định tuyến ảo MPLS VPN 83 4.4 Kiến trúc MPLS VPN 84 4.4.1 Gửi chuyển tiếp MPLS VPN 86 4.4.2 Nhận biết động định tuyến lân cận MPLS VPN 89 4.4.3 DiffSer MPLS VPN 91 4.5 Vấn đề bảo mật MPLS VPN 91 4.5.1 Bảo mật định tuyến 91 4.5.2 Bảo mật liệu 92 4.5.3 Bảo mật mạng vật lý 92 4.6 Chất lượng dịch vụ MPLS VPN 92 4.6.1 Mơ hình “ống” hỗ trợ QoS 93 4.6.2 Mơ hình “vịi” hỗ trợ QoS 94 4.6.3 Các tham số chất lượng 96 CHƯƠNG TRIỂN KHAI VPN/MPLS THỰC TẾ 98 5.1 So sánh IPSec MPLS 98 5.1.1 Vai trò MPLS 99 5.1.2 Vai trò IPSec 100 5.1.3 Tích hợp VPN IPSec VPN MPLS 102 5.2 Triển khai ứng dụng VPN Ngân hàng Nhà nước Việt Nam 103 5.2.1 Giải pháp VPN Nokia Checkpoint 104 5.2.2 Giải pháp VPN Cisco 109 5.2.3 Giải pháp VPN Microsoft 110 KẾT LUẬN 113 TÀI LIỆU THAM KHẢO 114 Danh mục ký hiệu, chữ viết tắt Viết tắt AH ATM AS BGP CE CHAP CoS Tiếng Anh Tiếng Việt Authentication Header Xác thực tiêu đề Asynchronous Transfer Mode Phương thức truyền dẫn không đồng Autonomous System Hệ thống tự trị Border Gateway Protocol Giao thức biên Customer Edge Bộ định tuyến biên khách hàng Challenge Handshake Authentication Protocol Giao thức xác thực bắt tay theo yêu cầu Class of Service Lớp dịch vụ CR-LDP Constraint Routing - LDP Giao thức định tuyến cưỡng CSPF Constraint base Shortest Path First Định tuyến cưỡng chọn đường ngắn DES Data Encryption Standard Chuẩn mã hoá liệu DLCI Data Link Connection Identifier Nhận dạng kết nối liên kết liệu Frame Relay ESP Encapsulating Security Payload Phương thức đóng gói bảo mật tải tin FEC Forwarding equivalence class Nhóm chuyển tiếp tương đương FIB Forward Information Base Cơ sở liệu chuyển tiếp FR Frame Relay Chuyển tiếp khung IETF Internet Engineering Task Force Tổ chức chuyên trách kỹ thuật Internet IGP Interior Gateway Protocol Giao thức định tuyến, giao thức thông dụng RIP OSPF IKE Internet Key Exchange Phương thức trao đổi khoá Internet Internet Protocol Security Giao thức IP bảo mật ISO International Organization for Standardization Tổ chức quốc tế tiêu chuẩn hoá ISP Internet Service Provider Nhà cung cấp dịch vụ L2TP Layer Tunnel Protocol Giao thức đường hầm lớp LAN Local Area Network Mạng nội LDP Label Distribution Protocol Giao thức phân phối nhãn LER Label Edge Router Router chuyển mạch nhãn biên IPSec LFIB Label Forwarding Information Base Cơ sở liệu nhãn chuyển tiếp LIB Label Information Base Cơ sở liệu nhãn LSP Label Switched Path Đường chuyển mạch nhãn LSR Label Switching Router Router chuyển mạch nhãn MD5 Message-Digest Algorithm Thuật toán mã hoá MD5 MPLS Multiprotocol Label Switching Chuyển mạch nhãn đa giao thức MPPE Microsoft Point to Point Encryption Phương thức mật mã hoá điểm điểm Microsoft NAS Network Access Server Máy phục vụ truy cập mạng NAT Network Address Traslation Chuyển đổi địa mạng OSPF Open Shortest Path First Giao thức tìm đường ngắn PAP Password Authentication Protocol Giao thức xác thực mật PE Provider Edge Router Bộ định tuyến biên nhà cung cấp PPP Point to Point Protocol Giao thức điểm điểm PNA Private Network Administrator Nhà quản trị mạng riêng PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm điểm điểm PSTN Public Switched Telephone Network Mạng điện thoại công cộng QoS Quality of Service Chất lượng dịch vụ Remote Authentication Dial – In User Serviece Dịch vụ xác thực người dùng quay số từ xa RAS Remote Access Server Máy chủ truy cập từ xa RIP Routing Information Protocol Giao thức thông tin định tuyến - giao thức định tuyến distance- vector RSVP Resource Reservation Protocol Giao thức dành riêng tài nguyên SHA Secure Hash Algorithm Thuật toán băm bảo mật SPED Service Provider Edge Device Thiết bị biên nhà cung cấp dịch vụ Terminal Access Controller Access Control System Hệ thống điều khiển truy cập điều khiển truy cập đầu cuối TOS Tunnel Origination Server Máy nguồn đường hầm VC Vitual Circuit Mạch ảo Virtual Private Network Mạng riêng ảo VPNID VPN Identifier Giá trị định danh mạng VPN VR Vitual Router Bộ định tuyến ảo RADIUS TACACS VPN Danh mục hình vẽ Hình 1.1 - Mạng riêng ảo VPN Hình 1.2 – VPN truy cập từ xa Hình 1.3 - Mơ hình Remote Access VPN, Intranet Extranet VPN Hình 1.4 - Mơ hình đường hầm Tunnel Hình 1.5 - Kết nối PPP máy khách máy phục vụ truy cập mạng Hình 1.6 - Kiến trúc PPTP Hình 1.7 - Kết nối điều khiển PPTP tới máy phục vụ PPTP qua PPP Hình 1.8 - Đường hầm chủ động Hình 1.9 - Đường hầm thụ động Hình 1.10 - Quá trình chuyển gói tin mã hố qua đường hầm PPTP Hình 1.11 - Kiến trúc L2TP Hình 1.12 - Q trình chuyển gói tin qua đường hầm L2TP Hình 1.13 - Kiến trúc IPSec Hình 2.1 - Máy chủ xác thực cấp quyền truy cập từ xa Hình 2.2 - Chữ ký điện tử Hình 2.3 - Chữ ký RSA Hình 2.4 - Thuật tốn băm Hình 2.5 - Mã hoá theo chuỗi khối liên tục (CBC) Hình 2.6 - Trao đổi khố Diffie Hellman Hình 3.1- Các định dạng nhãn Hình 3.2 - Mạng MPLS chế độ hoạt động khung Hình 3.3 - Cấu trúc LSR biên Hình 3.4 - Nhãn MPLS khung lớp Hình 3.5 - Phân bổ nhãn mạng ATM-MPLS Hình 3.6 - Trao đổi thơng tin LSR cận kề Hình 3.7 - Cơ chế thiết lập kênh ảo điều khiển MPLS Hình 3.8 - Ví dụ CSPF Hình 3.9 - Các tin PATH, RESV Hình 3.10 - Nhãn phân phối bảng tin RESV Hình 4.1 - Mơ hình chồng lấn Hinh 4.2 - Mơ hình ngang hàng Hình 4.3 - Kiến trúc mạng MPLS VPN Hình 4.4 - Dán nhãn định tuyến PE Hình 4.5 - Sử dụng tập nhãn hai mức Hình 4.6 - Miền định tuyến vật lý Hình 4.7 - Miền định tuyến ảo Hình 4.8 - Mơ hình ống QoS Hình 4.9 - Mơ hình vịi QoS Hình 5.1 - Vị trí IPSec MPLS Hình 5.2 - Tích hợp IPSec MPLS Hình 5.3 - Thiết lập IPSec VPN Site với giải pháp Nokia Checkpoint Hình 5.4 - Mơ hình triển khai VPN giải pháp Cisco Hình 5.5 - Thiết lập VPN giải pháp Microsoft Hình 5.6 - Một số đặc tính VPN PPTP tạo CHƢƠNG – TỔNG QUAN WIMAX 1.1 GIỚI THIỆU 1.1.1 Sự đời WiMAX [17] Chúng ta biết đến công nghệ truy nhập internet phổ biến quay số qua modem thoại (Dial Up), ADSL, đường thuê kênh riêng (leased-line), hay sử dụng hệ thống vô tuyến điện thoại di động, hay mạng không dây WiFi Mỗi phương pháp truy cập mạng có đặc điểm riêng Đối với Modem thoại tốc độ thấp, ADSL tốc độ lên tới 8Mbps phải có đường dây kết nối, đường th kênh riêng giá thành đắt lại khó khăn triển khai khu vực có địa hình phức tạp Hệ thống thơng tin di động cung cấp tốc độ truyền 9,6Kbps thấp so với nhu cầu người sử dụng Ngay mạng hệ sau GSM GPRS (2,5G) cho phép truy cập với tốc độ đến 171,2Kbps EDGE tới 300-400Kbps Như rõ ràng chưa thể đáp ứng nhu cầu sử dụng dịch vụ mạng internet ngày tăng Hệ thống di động hệ 3G tốc độ truy cập internet khơng vượt q 2Mbps Cịn với mạng WiFi áp dụng cho máy tính trao đổi thơng tin với khoảng cách ngắn Với thực tế vậy, WiMAX (Khả tương tác toàn cầu với truy nhập vi ba) đời nhằm cung cấp phương tiện truy cập Internet khơng dây tổng hơp thay cho ADSL WiFi Hệ thống WiMAX có khả cung cấp đường truyền với tốc độ lên đến 70Mbit/s với bán kính phủ sóng trạm anten phát lên đến 50km Mơ hình phủ sóng mạng WiMAX tương tự mạng điện thoại tế bào Bên cạch đó, WiMAX hoạt động mềm dẻo WiFi truy cập mạng Mỗi máy tính muốn truy nhập mạng tự động kết nối với trạm anten WiMAX gần Diễn đàn WiMAX tổ chức nhà khai thác công ty thiết bị cấu kiện truyền thông hàng đầu Mục tiêu Diễn đàn WiMAX thúc đẩy chứng nhận khả tương thích thiết bị truy cập vô tuyến băng rộng tuân thủ chuẩn 802.16 IEEE chuẩn HiperMAN ETSI Diễn đàn WiMAX thành lập để dỡ bỏ rào cản tiến tới việc chấp nhận rộng rãi công nghệ truy cập vơ tuyến băng rộng BWA, riêng chuẩn khơng đủ để khuyến khích việc chấp nhận rộng rãi công nghệ Theo mục tiêu này, Diễn đàn hợp tác chặt chẽ với nhà cung cấp quan quản lý để đảm bảo hệ thống Diễn đàn phê chuẩn đáp ứng yêu cầu khách hàng phủ Hình 1.1 - Ứng dụng WiMAX 1.1.2 Cơ chế hoạt động chung WiMAX [18] Thực tế WiMAX hoạt động tương tự WiFi tốc độ cao khoảng cách lớn nhiều với số lượng lớn người dùng Một hệ thống WiMAX gồm phần: - Trạm phát: giống trạm BTS mạng thơng tin di động với cơng suất lớn phủ sóng vùng rộng tới 8000km2 - Trạm thu: anten nhỏ thẻ mạng cắm vào thiết lập sẵn bảng mạch bên máy tính, theo cách mà WiFi dùng Các trạm phát BTS kết nối với mạng Internet thông qua đường truyền tốc độ cao dành riêng nối với BTS khác trạm trung chuyển đường truyền thẳng LOS WiMAX phủ sóng đến vùng xa Các anten thu/phát trao đổi thơng tin với qua tia sóng truyền thẳng tia phản xạ Trong trường hợp truyền thẳng, anten đặt cố định điểm cao, tín hiệu trường hợp ổn định tốc độ An ninh - MPLS phân luồng giao thông riêng biệt thông qua việc sử dụng số phân tuyến (unique route distinguishers) Được gán tự động VPN cung cấp, số phân tuyến đặt vào đầu gói cách để phân tách giao thơng, số phân tuyến suốt người sử dụng VPN Kỹ thuật điều khiển lưu lượng (Traffic engineering) - Được thực cấu MPLS cho phép giao thông chuyển thông quan đường riêng biệt (không thiết phải đường rẻ nhất) Thông qua việc sử dụng kỹ thuật điều khiển lưu lượng mạng lõi, nhà quản trị mạng thực sách nhằm đảm bảo việc phân chia luồng giao thông tối ưu tăng cường hiệu sử dụng mạng Lớp dịch vụ (class of service) - đặc tích CoS MPLS cho phép nhà cung cấp dịch vụ đưa nhiều loại dịch vụ khác mạng MPLS, cách đơn giản đánh dấu gói với điểm mã dịch vụ phân biệt (differentiated services code point) xử lý chúng cách tương ứng Các kỹ thuật sử dụng để hỗ trợ dịch vụ phân biệt bao gồm phân loại gói, tránh nghẽn quản trị Hỗ trợ thỏa thuận dịch vụ - VPN MPLS hỗ trợ SLA cam kết thoả thuận dịch vụ thông qua kỹ thuật chất lượng dịch vụ, đảm bảo băng thơng tính xảo thuật giao thơng 5.1.2 Vai trị IPSec Dựa tiêu chuẩn IETF phát triển, IPSec đảm bảo tính tin cẩn, tính tồn vẹn xác thực việc trao đổi liệu thông qua mạng công cộng IPSec đóng góp thành phần thiết yếu cho giải pháp mềm dẻo, dựa tiêu chuẩn để triển khai sách an ninh tồn mạng IPSec làm việc lớp mạng, lớp mơ hình OSI Nó hữu ích vịng cục (local loop), biên (edge), mạng nhà cung cấp dịch vụ, nơi mà khả vi phạm tính riêng tư cao nơi mà cấu an ninh IPSec đường hầm (tunneling) mã hóa (encryption) áp dụng tốt IPSec đặc biệt hữu ích cho kết nối mạng riêng ảo từ xa vào mạng doanh nghiệp Các mạnh IPSec An ninh, bảo mật: IPSec đảm bảo tính riêng tư liệu với tập hợp cấu tạo đường hầm mã hóa mềm dẻo, để bảo vệ gói chúng di chuyển mạng Người sử dụng xác thực chứng số khóa chia sẻ từ trước Các gói khơng tn thủ theo sách an ninh bị loại bỏ Triển khai đơn giản: IPSec đưa thị trường nhanh chóng Nó triển khai mạng IP tồn Bảng so sánh VPN IPSec VPN MPLS số khía cạnh khả mở rộng, an ninh, chất lượng dịch vụ, thỏa thuận mức dịch vụ, v.v 100 VPN MPLS Dịch vụ VPN IPSec - Dịch vụ Internet tốc độ cao Dịch vụ Internet tốc độ cao - Dịch vụ VPN IP chất lượng doanh - Dịch vụ VPN IP chất lượng doanh nghiệp nghiệp - Thương mại điện tử E-commerce - Thương mại điện tử - Dịch vụ thuê dịch vụ - Dịch vụ thuê dịch vụ - An ninh quản lý - An ninh quản lý - Thoại IP quản lý - Thoại IP quản lý - Sao lưu từ xa - Sao lưu từ xa Khả - Khả mở rộng cao - khơng u - Một VPN IPSec lớn địi hỏi phải có mở rộng cầu có cặp vị trí tới vị trí (site-to-site kế hoạch điều phối cho việc phát tán peering) khóa, quản trị khóa cấu hình cặp - Khả mở rộng vấn đề - Có khả hỗ trợ hàng ngàn VPN triển khai mạng lớn đầy đủ mắt (full-meshed) mạng, đặc biệt mạng core Nơi triển khai Mạng lõi Trong suốt Cung cấp Local loop, edge, and off-net - Tập trung môi trường - Tập trung lớp mạng IP+ATM IP - Trong suốt ứng dụng - Trong suốt ứng dụng Cung cấp thiết bị đầu ISP đầu khách hàng lần nhất, để vị trí (site) trở thành thành viên nhóm VPN MPLS - Cung cấp dịch vụ dựa thiết bị khách hàng (CPE-based) khơng u cầu phải có tham gia lớp mạng - Cung cấp dịch vụ dựa lớp mạng thực cách tập trung Triển khai Xác phiên Các thành phần tham gia vào mạng - Có thể đưa nhanh thị trường mạng lõi biên phải có tính - Có thể triển khai MPLS mạng IP có sẵn thực - Tư cách thành viên xác lập - Thông qua chứng số khóa q trình cung cấp dựa chia sẻ trước cổng logic ký hiệu tuyến - Các gói tin khơng tn theo - Truy cập vào nhóm dịch vụ sách an ninh bị loại bỏ định nghĩa trình lên cấu hình; truy cập trái phép bị khước từ Tính tin cẩn Đạt thông qua tách biệt giao Thơng qua tập hợp kỹ thuật mã hóa thơng, tương tự kỹ thuật sử dụng tạo đường hầm lớp mạng môi trường mạng Frame Relay ATM 101 Chất lượng Đạt thông qua cấu chất dịch vụ lượng dịch vụ khả mở, vững Thỏa thuận khả xảo thuật giao thông mức dịch vụ - Không nhắm trực tiếp vào IPSec - Phụ thuộc vào giải pháp phân loại gói cho chất lượng dịch vụ đường hầm Hỗ trợ máy Khơng cần thiết VPN MPLS - Triển khai VPN IPSec khách dịch vụ dựa mạng (network- - Các phần mềm cho máy khách từ based) nhà sản xuất Tương tác Không cần phải có tương tác với Người sử dụng phải tương tác với phần với người sử người sử dụng mềm máy khách để tạo kết nối VPN dụng IPSec 5.1.3 Tích hợp VPN IPSec VPN MPLS Nhà cung cấp dịch vụ đạt lợi ích cao áp dụng hai công nghệ IPSec MPLS Ví dụ, nhà cung cấp dịch vụ sử dụng IPSec cho giao thơng off-net giao thơng cần có xác thực tốt tính tin cẩn cao sử dụng MPLS mạng lõi cho kết nối rộng mở hơn, đồng thời hỗ trợ kỹ thuật định tuyến lưu lượng thông tin chất lượng dịch vụ Hình 5.2 - Tích hợp IPSec MPLS Các nhà sản xuất thiết bị Cisco, Noika Checkpoint, Juniper Network cung cấp giải pháp nhằm cho phép nhà cung cấp dịch vụ ghép phiên IPSec trực tiếp vào VPN MPLS Cách tiếp cận giúp nhà cung cấp dịch vụ mở rộng dịch vụ VPN biên giới mạng MPLS thông qua việc sử dụng sở hạ tầng mạng IP công cộng Nhà cung cấp dịch vụ chào dịch vụ VPN để kết nối an toàn khách hàng, văn phòng chi nhánh, cộng tác viên từ xa nhân viên di động từ vị trí vào mạng doanh nghiệp Thời gian gần đây, số nhà cung cấp dịch vụ VNPT, VDC, Vietel, FPT … đưa dịch vụ “mạng riêng ảo VPN” cho khách hàng doanh nghiệp, quan nhà nước … 102 Tổng cơng ty Bưu viễn thơng Việt Nam triển khai MPLS mạng lõi tổng đài chuyển tiếp vùng bao gồm tổng đài core Thành phố Hà nội, Đà nẵng Hồ Chí Minh Tất trung kế tổng đài sử dụng MPLS Như tổng đài đóng vai trị LSR core Việc triển khai MPLS mạng core VNPT phù hợp với phát triển theo định hướng tổ chức mạng viễn thơng NGN Vấn đề trình bày số báo cáo VNPT, không đề cập đến, sau sâu vào việc triển khai mạng riêng ảo Ngân hàng Nhà nước Việt Nam 5.2 Triển khai ứng dụng VPN Ngân hàng Nhà nước Việt Nam Ngân hàng nhà nước Việt Nam (NHNN) quan ngang Bộ có chức quản lý nhà nước tiền tệ, hoạt động ngân hàng NHNN đơn vị đầu tiên phong lĩnh vực ứng dụng cơng nghệ thơng tin đại nhằm mục đích phục vụ cho hoạt động chuyên môn nghiệp vụ Trong xu hướng hội nhập kinh tế, quốc tế, trước bối cảnh Việt Nam nhập tổ chức thương mại gới (WTO), việc ứng dụng thương mại điện tử (TMĐT) tất yếu khách quan Trong Chương trình tổng thể phát triển thương mại điện tử nước ta nhiệm vụ nâng cao nhận thức TMĐT; Xây dựng chỉnh sửa văn pháp lý cho TNĐT; Bảo đảm vấn đề an ninh, an tồn TMĐT; … cịn cần phải tập trung xây dựng hệ thống toán điện tử ngân hàng tự động mở rộng dịch vụ ngân hàng điện tử Ý thức tầm quan trọng việc ứng dụng công nghệ thông tin vào lĩnh vực Ngân hàng, từ đầu NHNN xây dựng hạ tầng sở thông tin đại, với mạng LAN, WAN xây dựng hầu hết chi nhánh Tỉnh, Thành phố toàn quốc Hiện này, NHNN hoàn thành gia đoạn I Dự án “Hiện đại hoá Ngân hàng trung ương” NH Thế giới (World Bank) tài trợ, tiếp tục triển khai giai đoạn II Dự án Hiện NHNN có hệ thống mạng WAN rộng lớn bảo phủ khắp 64 Tỉnh, Thành phố, hệ thống mạng SBVNet phục vụ điều hành quản lý hành nhà nước (thông tin, báo cáo, số liệu thống kê …), hệ thống chuyển tiền điện tử, hệ thống tốn liên ngân hàng, hệ thống tồn bù trừ Hàng ngày qua hệ thống toán nghiệp vụ Ngân hàng, chi nhánh NHNN Tỉnh, Thành phố, Ngân hàng thương mại (như NH Ngoại thương, NH Công thương, NH Nông nghiệp phát triển Nông thông Việt Nam, NH Đầu tư Phát triển Việt Nam…) chuyển hàng nghìn tiền với giá trị lên đến hàng chục triệu USD, hàng nghìn tỷ đồng Việt Nam để phục vụ cho dịch vụ Ngân hàng Với đặc thù Ngành Ngân hàng mang tính bảo mật cao, NHNN triển khai giải pháp an ninh nhiều lớp, trang bị cơng cụ kiểm sốt giám sát truy nhập, mã hoá liệu đường truyền, sử dụng tường lửa, hệ thống chứng thực (CA) chữ ký điện tử đảm bảo an toàn, bảo mật tuyệt đối cho giao dịch tốn Trong phải kể đến giải pháp thiết lập mạng riêng ảo Cisco, 103 CheckPoint Microsoft Giải pháp bảo mật an ninh CheckPoint sử dụng Đề án tin học hố quản lý hành Nhà nước Ngân hàng Nhà nước Việt Nam (Đề án 112) Do tính nhạy cảm thơng tin khơng cho phép tơi trình bày chi tiết thơng số cấu hình hệ thống số liệu cụ thể hệ thống, tơi xin trình bày t tính kỹ thuật ba giải pháp mạng riêng ảo mà NHNN sử dụng, giải pháp VPN-1/FireWall-1 Nokia CheckPoint, giải pháp VPN Cisco Microsoft 5.2.1 Giải phápVPN Nokia CheckPoint VPN-1/FireWall-1 triển khai, cài đặt máy gateway nối Internet điểm truy nhập mạng khác, kiểm tra tất gói tin qua điểm, nút quan trọng mạng tùy theo sách an ninh Nhằm tăng khả điều khiển truy nhập, VPN-1/FireWall-1 có tính quản trị, bảo mật, tính dễ dàng tương thích với sách an ninh chung toàn hệ thống mạng WAN quản lý giao diện đồ hoạ thân thiện VPN-1/FireWall-1 hoàn toàn suốt người dùng ứng dụng SecuRemote SecureClient: Tạo kết nối VPN từ xa, cho phép máy trạm kết nối đến mạng quan qua internet modem, vừa truy nhập trực tiếp đến máy chủ vừa đảm bảo an toàn liệu truyền Kiến trúc VPN-1/FireWall-1 có dạng modul, phân lớp cho phép tổ chức định nghĩa thực sách an ninh, bảo mật quản lý tập trung, đơn lẻ Chính sách an ninh (Security Policy) doanh nghiệp định nghĩa “console” quản lý trung tâm tải xuống nhiều điểm đóng vai trị Firewall thơng qua mạng VPN-1/FireWall-1 cung cấp cho người dùng xa truy cập có xác thực, an toàn đến tài nguyên mạng Các phương thức xác thực mềm dẻo cung cấp cho người dùng dịch vụ ứng dụng Người quản trị yêu cầu người có cách xác thực riêng, người dùng truy cập vào ứng dụng định khoảng thời gian định VPN-1/FireWall-1 hỗ trợ nhiều phương án thực xác thực như: Radius; Tacacs/tacacs+; chứng nhận số (Digital Certificates); DES; 3DES; IPSec; IKE … Thiết lập IPSec VPN site: Site thứ có lớp địa thật 10.0.0.0, NAT thành lớp địa 12.0.0.0 Cụ thể máy chủ ftp có địa thật 10.0.0.2 NAT thành 12.0.0.2 Site thứ hai có lớp địa thật 10.0.0.0 nat thành lớp địa 13.0.0.0 Cụ thể là, máy trạm dùng làm ftp client có địa 10.0.0.18 nat thành 13.0.0.18 104 Hình 5.3 - Thiết lập IPSec VPN Site với giải pháp Nokia Checkpoint Thiết lập sách bảo mật: Tất dịch vụ (http, ftp, tcp…) từ site local đến site remote ngược lại mã hoá, lưu vết vào thời gian Ngoài bị từ chối (drop) Thiết lập NAT tĩnh sau: 105 Sau thiết lập NAT ta có sách NAT sau: Sử dụng IP pools: Khoảng địa trượt rộng tuỳ ý, trường hợp dùng 20 địa trượt Các địa gán cho máy trạm tham gia vào mạng riêng ảo Thiết lập miền mật mã hoá (encryption Domains) : Ta đưa tất địa máy trạm ứng dụng VPN vào nhóm, bao gồm địa trước sau NAT, trường hợp có hai địa 13.0.0.18 10.0.0.18 106 Tạo miền Remote cho firewall B sở liệu firewall A: Thêm tất địa máy trạm vào Nhóm ứng dụng VPN Khơng cần thêm địa thực miền Remote Miền Remote không yêu cầu địa thật thiết lập VPN máy site với máy site kia, ví dụ ta tạo đường hầm máy có địa 10.0.0.18 với máy 10.0.0.18 site Tại Firewall B cấu hình tương tự Kiểm tra cấu hình: Ping thử từ máy phía sau FW-A (địa thực 10.0.0.2; địa sau NAT 12.0.0.2) đến máy phía sau FW-B (địa thực 10.0.0.18; địa sau NAT 13.0.0.18) 107 Dưới file log lệnh ping trên, lưu ý địa 10.0.0.2 chuyển thành 12.0.0.2 trước truyền gói tin mã hoá đến FW-B Thực FTP từ máy phía sau FW-B (địa thực 10.0.0.18, địa sau NAT 13.0.0.18) đến máy phía sau FW-A (địa thực 10.0.0.2, địa sau NAT 12.0.0.2) Lưu ý máy có địa 10.0.0.18 NAT thành 13.0.0.18 trước truyền gói tin mã hố đến FW-A 108 5.2.2 Giảp pháp VPN Cisco Mơ hình triển khai thực tế: Trung tâm tích hợp liệu quảnlý hành NHNN ` 10.0.0.1 Firewall 209.165.200.6 PPTP Client 209.165.200.5 Router 3660 Router 2800 209.165.201.7 Tunnel IDS 192.168.12.1 209.165.201.8 Mail Server Switch PPTP Server Firewall PIX 535 Cluster Server Mạng LAN Cục CNTH Ngân hàng Hình 5.4 - Mơ hình triển khai VPN giải pháp Cisco Thiết lập đường hầm IPSec site mạng LAN Cục Công nghệ tin học Ngân hàng Nhà nước Trung tâm tích hợp liệu NHNN Cục Công nghệ tin học phân dải địa lớp C 192.168.12.0, Trung tâm tích hợp liệu phân dải địa lớp A 10.0.0.0 Địa IP giao diện card mạng firewal router thể hình vẽ Tại Firewall Pix 535 Cục Cơng nghệ tin học thực cấu sau: Cấu hình sách IKE: Dùng phương pháp mã khoá đối xứng 3DES Interface FastEthernet1/0 Ip address 192.168.12.1 255.255.255.0 Authentication pre-share Encrypt 3des Cấu hình khố đối xứng với địa IP phía đầu bên Crypto isakmp key cisco1 address 209.165.200.6 Cấu hình hỗ trợ IPSec Crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac 109 Tạo sách truy nhập (access list) Access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0 Thực NAT NAT accesslist 90 Ấn định khoảng địa trượt cho NAT Global (outsite) 209.165.202.6-209.165.202.36 Định nghĩa crypto map Crypto map TTHDL 20 ipsec-isakmp Crypto map TTHDL 20 match address 90 Crypto map TTHDL 20 set transform-set vpn-test Crypto map TTHDL 20 set peer 209.165.200.6 Áp dụng crypto map cho giao diện bên Crypto map TTHDL interface outside Đối với Firewall Trung tâm tích hợp liệu cấu hình tương tự Như vậy, ta thiết lập mạng riêng ảo VPN IPSec site để truyền thơng tin cách an tồn, bảo mật với đặc tính là: sử dụng mã hố đối xứng 3DES, dùng thuật tốn xác thực HMAC-SHA Ngồi ra, kết nối không cần độ bảo mật cao, sử dụng giải pháp VPN Microsoft để giảm chi phí, dịch vụ tạo mạng riêng ảo tích hợp hệ điều hành Windown 2000 server 5.2.3 Giải pháp VPN Microsoft PPTP Server 10.53.16.160 Client Web Server Router 2621 TCP/IP Router 2800 PC Hình 5.5 - Thiết lập VPN giải pháp Microsoft Trong mơ hình có thành phần sau: - PPTP Server máy tính chạy dịch vụ RRAS (Routing and Remote Access Service) hệ điều hành WINDOWS 2000 Server 110 - PPTP client máy tính chạy hệ điều hành WINDOWS 2000 Professional (có hỗ trợ giao thức PPTP) - Router A Router Cisco 2621 đóng vai trị máy NAS, dùng để tiếp nhận truy cập từ xa qua đường điện thoại cơng cộng Đồng thời đóng vai trò định tuyến qua mạng TCP/IP - Router B Router Cisco 2800 đóng vai trị Gateway hệ thống mạng cục bên định tuyến mạng TCP/IP Để tạo VPN PPTP Server PPTP Client ta thiết lập cấu sau: Tại máy PPTP Server: - Đặt địa IP cạc mạng 10.53.16.160 - Cài đặt dịch vụ RRAS Thiết lập cấu hình cho RRAS sau:  Khoảng địa IP gán từ 10.53.16.161 - 10.53.16.190 (Khoảng địa PPTP Server gán cho PPTP Client)  Cấu hình cổng PPTP: Khi dịch vụ RRAS cài đặt có cổng PPTP (Giá trị mặc định) Ta thay đổi số lượng cổng PPTP (Giá trị tối đa 16384)  Chọn phương pháp xác thực MS-CHAP Version  Tạo tài khoản người sử dụng cho VPN có tên vpn Tại máy PPTP Client: Tạo kết nối quay số từ xa, tạo kết nối VPN sau:  Mở Network and Dial-up Connection, chọn Make New Connection  Chọn mục Connect to a private network through the Internet  Trong mục Host name or IP address ta đưa vào địa IP PPTP Server 10.53.16.160 Để tạo VPN PPTP Client PPTP Server ta thực hai bước sau: - Bước 1: Từ máy Client tạo kết nối cách kích hoạt kết nối quay số từ xa - Bước 2: Sau kết nối thiết lập ta kích hoạt kết nối VPN Kết nối VPN tạo có đặc tính sau: Xác thực: MS CHAP V2 Mã hoá: MPPE 128 111 Hình 5.6 - Một số đặc tính VPN PPTP tạo Mỗi giải pháp có ưu, nhược điểm riêng Khi triển khai VPN, tùy vào tính hiệu quả, chi phí, sở hạ tầng mạng tính chất thông tin mà lựa chọn giải pháp cho phù hợp Giải pháp Nokia Checkpoint có mức an ninh, bảo mật cao, chi phí mua quyền phần mềm phần cứng lớn Ngân hàng nhà nước lựa chọn giải pháp cho giao dịch nghiệp vụ toán, chuyển tiền, triển khai Sở Giao dịch, Vụ Quản lý ngoại hối với Cục Công nghệ tin học Ngân hàng Tuy nhiên sở hạ tầng mạng NHNN chủ yếu thiết bị mạng cisco Pix firewall, router, switch… nên giải pháp VPN cisco sử dụng phố biến cho hệ thống thông tin báo cáo, số liệu nhạy cảm mạng vụ Tổng kiểm sốt, Thanh tra với cục Cơng nghệ tin học để giảm sát, theo dõi hoạt động tín dụng…Đối với thông tin không cần bảo mật cao cơng văn, báo cáo phục vụ quản lý hành chính, điều hành mạng Văn phòng với đơn vị chức sử dụng giải pháp Microsoft dễ triển khai, dễ quản trị chi phí thấp 112 KẾT LUẬN Sau thời gian nghiên cứu, tìm hiểu triển khai luận văn hồn thành mục tiêu đặt Đề cương đăng ký Gồm nội dung sau: Luận văn tìm hiểu, nghiên cứu sâu cơng nghệ mạng riêng ảo VPN, mơ hình, giao thức đặc biệt biện pháp an ninh, bảo mật sử dụng mạng VPN Nghiên cứu công nghệ chuyển mạch nhãn đa giao thức MPLS: mơ hình, kiến trúc, giao thức định tuyến, báo hiệu, chất lượng dịch vụ …trên sở ứng dụng mạng riêng ảo VPN MPLS Triển khai MPLS/VPN thực tế, so sánh hai công nghệ mạng riêng ảo IPSec MPLS, sở triển khai ứng dụng mạng riêng ảo VPN Ngân hàng Nhà nước Việt Nam với ba giải pháp Nokia Checkpoint, Cisco Microsoft Sự phát triển hội tụ thoại -số liệu xu tất yếu viễn thông, công nghệ thông tin ngày Tổng công ty Bưu viễn thơng Việt nam triển khai MPLS mạng lõi VNPT, thêm vào đó, nhà cung cấp dịch vụ ngày đưa nhiều dịch vụ ứng dụng mạng riêng ảo VPN, bao gồm thương mại điện tử, thoại IP, an ninh bảo mật ứng dụng đa phương tiện… Trong xu hướng đó, nghiên cứu công nghệ mạng riêng ảo VPN/MPLS cần thiết Luận văn trình bày kỹ thuật mạng riêng ảo, đưa sở lý luận khoa học để triển khai thực tiễn đạt kết định ứng dụng VPN Ngân hàng Nhà nước Việt Nam 113 TÀI LIỆU THAM KHẢO [1] - Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label Switching, White paper, Ericsson, Australia 2000 [2] - Cisco Systems, Overview of Virtual Private Networks and IPSec Technologies [3] – Cisco VPN solution, www.cisco.com/go/vpn [4] - Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill, NewYork 1998 [5] - Dave Kosiur - Building and Managing Virtual Private Network, USA, 1998 [6] - Harkins, D and Carrel, D (1998), “The Internet Key Exchange”, RFC 2409, November 1998 [7] - IETF Working Group, RFCxxxx http://www.ietf.org/rfc [7a] - IETF RFC 2637 “Point – to – Point Tunneling Protocol (PPTP)” [7b] - IETF RFC 1701 “Generic Routing Encapsulation (GRE)” [7c] - IETF RFC 2661 “Layer Two Tunneling Protocol (L2TP)" [7d] - IETF RFC 2409 “ The Internet Key Exchange (IKE)” [8] – International Business Machines Corporation - Using IPSec to Construct Secure Virtual Private Networks, 1998 [9] - Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A pratical guide to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco Systems, IN-USA, 2001 [10] - Paul Brittain, Adrian Farrel, MPLS Traffic Engineering: a choice of signalling protocols, Data connection Ltd., UK 2000 [11] - Peter Gutmann - Encryption and Security Tutorial, University of Auckland [12] - R.C.Streijl - Analysis of Managed Virtual Private Network, 2000 [13] - RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com [14] - Tổng hợp tài liệu từ Internet [15] - Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering with MPLS in the Internet 114 ... GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ Trương Hồi Nam NGHIÊN CỨU CƠNG NGHỆ MẠNG RIÊNG ẢO VPN/MPLS VÀ TRIỂN KHAI ỨNG DỤNG TẠI NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Ngành Chuyên Ngành Mã Số : Công nghệ Điện tử – Viễn... trò IPSec 100 5.1.3 Tích hợp VPN IPSec VPN MPLS 102 5.2 Triển khai ứng dụng VPN Ngân hàng Nhà nước Việt Nam 103 5.2.1 Giải pháp VPN Nokia Checkpoint 104 5.2.2 Giải pháp... hoàn hảo cho mạng trục triển khai cho mạng doanh nghiệp thiết lập điểm truy cập hotspot ứng dụng mạng trục điểm-điểm - Mạng băng thông rộng theo yêu cầu Với đặc tính kỹ thuật băng thơng rộng triển