Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 21 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
21
Dung lượng
707,15 KB
Nội dung
1 HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG TRẦN QUỐC THƢ BẢO MẬT TRONG MẠNG RIÊNG ẢO CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ 60.48.15 : TÓM TẮT LUẬN VĂN THẠC SĨ NGƢỜI HƢỚNG DẪN KHOA HỌC: TS NGUYỄN TRỌNG ĐƢỜNG HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Người hướng dẫn Khoa học: TS Nguyễn Trọng Đường Phản biện 1: Phản biện 2: Luận văn bảo trước Hội đồng chấm luận văn thạc sỹ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc ……… ……… Ngày ……… tháng 09 năm 2013 MỞ ĐẦU Ngày nay, phát triển nhanh chóng công nghệ viễn thông tiên tiến ISDN, ATM, ASDL đặc biệt Internet năm qua kéo theo phát triển hàng loạt dịch vụ đáp ứng nhu cầu đa dạng việc ứng dụng công nghệ thông tin Một loại dịch vụ cơng nghệ mạng riêng ảo - VPN (Virtual Private Network) Theo IETF, VPN mạng diện rộng sử dụng thiết bị, phương tiện truyền thông mạng công cộng với chức bảo mật tạo đường hầm (tunnel), mật mã hóa liệu (encryption), xác thực (authentication) với mục đích đạt tính bảo mật mạng thiết lập dùng riêng Trong xu hướng tồn cầu hóa kéo theo phát triển công ty đa quốc gia, chi nhánh văn phòng đại diện cơng ty lớn khơng phụ thuộc vào vị trí địa lý, nhu cầu truy cập từ xa, xu hướng hội nhập mở rộng dẫn đến phát triển dịch vụ VPN tất yếu, kết hợp hoàn hảo Internet mạng dùng riêng Xã hội ngày phát triển, nhu cầu sử dụng dịch vụ tác nghiệp trực tuyến ngày cao, phát triển mạnh mẽ nhiều nhà cung cấp dịch vụ với hệ thống kiến trúc mạng khác trang thiết bị, sản phẩm viễn thông đa dạng tạo thách thức, rào cản lớn mạng dùng riêng việc kết nối mạng với nhau, VPN giải pháp thích hợp nhu cầu Bên cạnh đó, chi phí cho việc thiết lập quản trị mạng diện rộng lớn, sử dụng VPN vừa tiết kiệm bảo đảm tính an tồn bảo mật, điều có ý nghĩa cơng ty có nhiều văn phịng chi nhánh Hai công nghệ trội để ứng dụng tạo VPN MPLS IPSec Mỗi kỹ thuật có giá trị vị trí riêng hệ thống mạng VPN MPLS triển khai tốt vùng lõi (core) mạng nhà cung cấp dịch vụ Trong VPN IPSec phù hợp với cấu hình bảo mật end-to-end Việc thực thi mơ hình mạng bao gồm VPN MPLS IPSec đem lại hiệu lợi ích tốt Cơng nghệ MPLS cung cấp công cụ cải thiện kỹ thuật lưu lượng mạng IP cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát đáp ứng mức dịch vụ khác MPLS đem đến nhiều ưu điểm, tận dụng thông minh định tuyến tốc độ chuyển mạch, cung cấp phương thức ánh xạ gói tin IP vào kết nối có hướng ATM FR Ngoài cung cấp chế định nghĩa QoS header MPLS MPLS sử dụng thông tin định tuyến lớp để thiết lập bảng định tuyến định rõ tài nguyên, đồng thời sử dụng giao thức lớp (FR, ATM) để chuyển mạch định hướng thông tin đường dẫn tương ứng MPLS coi công nghệ mạng tân tiến giải nhiều nhược điểm mạng IP, ATM Vì công nghệ MPLS lựa chọn phù hợp cho mạng hệ sau NGN Với lý trên, đề tài tập trung nghiên cứu bảo mật mạng riêng ảo VPN mạng công cộng IPSec, MPLS, đồng thời phân tích, thiết kế mơ hình, kiến trúc mạng VPN/MPLS đưa sở để ứng dụng Ngân hàng 4 Mục tiêu luận văn: Tập trung nghiên cứu bảo mật mạng riêng ảo VPN mạng công cộng IPSec, MPLS, đồng thời phân tích, thiết kế mơ hình, kiến trúc mạng VPN/MPLS đưa sở để triển khai mơ hình thực tế quan, doanh nghiệp Tìm hiểu tổng quan mạng riêng ảo, kiến thức thành phân mạng riêng ảo, loại mạng riêng ảo giao thức Nghiên cứu chế an ninh, bảo mật sử dụng mạng VPN: Xác thực, mã hóa, chữ ký điện tử, tạo đường hầm Công nghệ chuyển mạch nhãn đa giao thức MPLS - MPLS/VPN Triển khai MPLS/VPN Đối tƣợng nghiên cứu: - Bảo mật mạng riêng ảo VPN tảng cơng nghệ IPSec MPLS - Nghiên cứu toán cụ thể với việc kết nối Khách hàng mạng lõi nhà cung cấp phần mềm mô GNS3 Trong mô hình triển khai chia làm hai phần: Customer (Khách hàng, Ngân hàng), Service Provider (Nhà cung cấp dịch vụ) trao đổi thông tin Phƣơng pháp nghiên cứu: - Nghiên cứu tài liệu, báo cáo nước nước có liên quan kỹ thuật chuyển mạch nhãn đa giao thức MPLS - Tiến hành cài đặt thử nghiệm CHƢƠNG I: TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 1.1 Giới thiệu VPN Vấn đề an ninh, bảo mật hệ thống mạng quan tâm, sở hạ tầng công nghệ mạng WAN dần đáp ứng tốt yêu cầu băng thông, chất lượng dịch vụ, đồng thời vấn đề cơng mạng với mục đích trị kinh tế gia tăng nhanh chóng bảo mật ngày quan tâm An ninh mạng không quan trọng nhà cung cấp dịch vụ ISP mà cịn có ý nghĩa định quan phủ doanh nghiệp Các giải pháp cho hệ thống WAN sử dụng đường dây th riêng (Leaseline), FR khơng có mềm dẻo linh hoạt mặt kết nối, mở rộng mạng an tồn thơng tin, chi phí lại cao, giải pháp tường lửa đảm bảo chống lại cơng từ bên ngồi hệ thống vào cịn thơng tin đường truyền đọc được, nguy bị chép ăn cắp thông tin cao Khi đưa giải pháp an ninh bảo mật toàn diện cho hệ thống mạng khơng thể khơng nhắc đến giải pháp mạng riêng ảo VPN Sự đời mạng riêng ảo VPN giải vấn đề bảo mật, tiết kiệm chi phí, linh hoạt việc quản lý site khách hàng quay số từ xa, hỗ trợ tốt công nghệ, giao thức Khi mạng riêng ảo trở nên thông dụng thiếu doanh nghiệp nước phát triển, điều thực mạng lại lới ích lớn cho doanh nghiệp, an tồn thơng tin gắn liền với phát triển doanh nghiệp Mạng riêng ảo (VPN) hoạt động giao thức IP ngày trở nên phổ biến Công nghệ cho phép tạo lập mạng riêng thông qua sở hạ tầng chung nhà cung cấp dịch vụ (ISP) Các kỹ thuật đảm bảo an ninh khác áp dụng để bảo vệ thông tin người sử dụng trao đổi môi trường chia sẻ Internet Mạng riêng ảo VPN môi trường thơng tin việc truy nhập kiểm sốt cho phép thực kết nối thuộc phạm vi xác định trước VPN xây dựng thông qua việc chia sẻ phương tiện, môi trường truyền thông chung Việc cung cấp dịch vụ cho mạng riêng thực thông qua phương tiện, môi trường này” Mạng riêng ảo VPN mạng riêng xây dựng sở hạ tầng mạng Internet 6 Hình 1.1 Mơ hình VPN 1.2 Phân loại VPN Có hai loại mạng riêng ảo VPN là: VPN truy cập từ xa VPN kết nối hai mạng với nhau, gọi site to site hay LAN to LAN VPN 1.2.1 VPN truy cập từ xa (Remote access VPN) VPN truy cập từ xa (hình 1.2) dùng cho user làm việc di động, cần phải truy cập an toàn tới mạng riêng cơng ty từ vị trí địa lý thông qua môi trường chia sẻ, thơng dụng mạng Internet Một số văn phịng nhỏ sử dụng kiểu truy cập để nối với mạng riêng cơng ty 1.2.2 Intranet VPN VPN kết nối hai mạng với (site to site VPN) chia làm hai loại Intranet VPN Extranet VPN Về mặt mơ hình mạng hai loại khơng khác khác sách bảo mật Được sử dụng để kết nối văn phịng, chi nhánh cơng ty, cung cấp kết nối tin cậy, sử dụng nhiều tài nguyên mạng Công ty 1.2.3 Extranet VPN Được sử dụng có nhu cầu trao đổi thơng tin mạng cơng ty với mạng đối tác bên ngồi Với mơ hình địi hỏi sách bảo mật cao so với mơ hình để hạn chế việc truy cập tài nguyên công ty 1.3 Các thành phần mạng VPN Một mạng VPN bao gồm thành phần sau: - Máy phục vụ truy cập mạng NAS - Network Access Server - Bộ định tuyến - Router - Máy nguồn đường hầm TOS - Tunnel Origination Server - Máy đích đường hầm TTS - Tunnel Termination Server - Máy phục vụ xác thực - Authentication Server - Tường lửa (Firewall) - Máy phục vụ thiết lập sách (Policy Server) - VPN Gateway 1.3.1 VPN Gateway 1.3.2 Đường hầm (Tunneling) Đương hầm khái niệm để kênh logic gói tin đóng khung với địa nguồn địa đích (hoặc sử dụng giao thức mới) Như vậy, phần địa gói tin ban đầu ẩn gói tin Đây biện pháp tăng cường an ninh chất lượng dịch vụ Định dạng gói tin đường hầm có dạng 1.3.3 Các giao thức tạo đường hầm VPN Giao thức đường hầm điểm nối điểm (PPTP) Giao thức chuyển tiếp lớp (L2F) Giao thức tạo đường hầm lớp hai (L2TP) Các giao thức riêng khác a Giao thức PPTP (Point-to-point Tunning Protocol) b Giao thức L2TP (Layer Tunneling Protocol) L2TP tạo cách kết hợp ưu điểm hai giao thức PPTP L2F (Layer Forwarding - Cisco thiết kế) Hai công ty Microsoft Cisco hợp tác để đưa giao thức L2TP L2F có nhiều điểm giống PPTP L2F thiết kế để làm việc với PPP giao thức không định tuyến khác L2F giao thức thuộc lớp hai Điểm khác PPTP L2F việc tạo đường hầm L2F không phụ thuộc vào IP GRE, điều cho phép làm việc với phương tiên truyền vật lý khác L2F việc sử dụng PPP xác thực người dùng hỗ trợ cho TACACS+ RADIUS để xác thực L2F khác PPTP việc định nghĩa kết nối bên đường hầm, cho phép đường hầm hỗ trợ nhiều kết nối Giống PPTP, L2F sử dụng chức PPP để cung cấp kết nối truy cập từ xa L2TP định nghĩa giao thức tạo đường hầm riêng, dựa cấu trúc L2F Cơ cấu cho phép triển khai đường hầm khơng mạng IP mà cịn mạng chuyển mạch gói X25, Frame Relay ATM Hình 1.8 Đường hầm L2TP c Giao thức IPSec IPSec cung cấp chuẩn mã hóa, xác thực quản lý khóa mạnh Sử dụng IPSec, hai bên tham gia mã hóa gói tin xác thực lẫn Có hai chế độ thơng tin sử dụng IPSec giao vận đường hầm Thành phần IPSec: Authentication Header (AH) Encapsulating Security Payload (ESP) d SSL VPN (Secure Socket Layer VPN) - Ứng dụng: IPSec VPN hỗ trợ tất ứng dụng tảng IP Một kênh IPSec thiết lập, tất dịch vụ ứng dụng từ ứng dụng truyền thống Web, thư điện tử, truyền tệp đến ứng dụng khác như: ICMP, VoIP …, ứng dụng đa dịch vụ phép qua kênh Đây ưu điểm IPSec VPN, IPSec VPN cung cấp kết nối an tồn cho ứng dụng khơng dựa Web Vì vậy, máy khác dùng IPSec thực kết nối VPN gọi fatclient khả ứng dụng dịch vụ Trong khả truy cập ứng dụng, dịch vụ SSL VPN hạn chế SSL VPN cung cấp ứng dụng dựa web: Email (POP3, IMAP, SMTP) Các máy khách cần dùng trình duyệt có hỗ trợ SSL, thực kết nối VPN mà không cần cài đặt phần mềm client Đa số giải pháp SSL VPN không cung cấp ứng dụng dùng cổng TCP động FTP hay VoIP Tuy nhiên, SSL VPN hỗ trợ số ứng dụng TCP sử dụng chương trình chuyển tiếp cổng như: Terminal Services Tổng kết chƣơng Trong chương giới thiệu khái quát kỹ thuật VPN Bên cạnh kỹ thuật bản, cịn có ưu điểm nhược điểm VPN Chương đề cập đến dạng mạng VPN Đối với người dùng phổ thơng vai quan trọng VPN khả bảo mật cao chi phí đầu tư hợp lý 9 CHƢƠNG 2.BẢO MẬT TRONG VPN 2.1 Các dịch vụ bảo mật Điều quan trong ứng dụng công nghệ mạng riêng ảo tính bảo mật hay tính riêng tư Trong hầu hết ứng dụng nó, tính riêng tư mang ý nghĩa đường hầm người dùng mạng VPN liên kết riêng chạy môi trường chung Internet Đặc biệt doanh nghiệp kết nối phải mang tính bảo mật, nghĩa VPN cần cung cấp dịch vụ giới hạn để đảm bảo an toàn cho liệu: - Xác thực (Authentication): Đảm bảo liệu đến từ nguồn xác định - Điều khiển truy cập (Access Control): hạn chế, không cho phép người dùng bất hợp pháp truy cập vào mạng - Tin cậy (Confidentiality): ngăn khơng cho đọc hay chép liệu liệu truyền qua mạng Internet - Tính tồn vẹn liệu (Data integrity): Đảm bảo liệu không bị thay đổi truyền mạng Internet Các dịch vụ cung cấp lớp - Liên kết liệu lớp - lớp mạng OSI Việc phát triển dịch vụ bảo mật lớp thấp OSI làm cho dịch vụ trở nên suốt người dùng 2.1.1 Xác thực - Giao thức xác thực mật PAP (Password Authentication Protocol): - Giao thức bắt tay theo yêu cầu CHAP (Challenge Handshake Authentication Protocol) - Hệ thống điều khiển truy cập điều khiển đầu cuối - TACACS - Dịch vụ xác thực người dùng thông qua quay số - RADIUS 2.1.2 Chữ ký điện tử 2.1.3 Kiểm sốt truy cập 2.1.4 Tính bí mật liệu 2.1.5 Tính tồn vẹn liệu 2.2 Bảo mật giao thức PPTP Xác thực: Để xác thực người sử dụng, PPTP sử dụng phương pháp xác thực giống PPP: PAP, CHAP Tuy nhiên, PPTP có bổ sung EAP (Extensible authentication protocol) EAP hỗ trợ nhiều chế xác thực sử dụng mật tức thời, thẻ bài… Riêng hệ điều hành Windows hỗ trợ thêm giao thức xác thực người dùng MS-CHAP sử dụng thuật toán băm MD4 10 Mã hóa: PPTP sử dụng mã hóa gói tin PPP Đối với PPTP Microsoft đưa sử dụng giao thức mã hóa MPPE (Microsoft Point to Point Encryption) dựa chuẩn RC4 RSA MPPE đáp ứng trường hợp giao thức xác thực EAPTLS MS-CHAP (phiên 2) sử dụng MPPE dụng khóa mã 40-bit, 56 bit 128 bit Ngầm định khóa có độ tin cậy cao hỗ trợ VPN Client VPN Server xác định trình thiết lập kết nối Nếu VPN server yêu cầu khóa có độ tin cậy cao khóa hỗ trợ VPN Client, Client bị từ chối cố gắng truy cập 2.3 Bảo mật giao thức L2TP Cơ chế bảo mật giống chế xác thực PPP: PAP, CHAP, MSCHAP, EAP Về mặt mã hóa, thân L2TP khơng cung cấp dịch vụ mã hóa liệu Nó kế thừa việc sử dụng mã hóa PPP Tuy nhiên để nâng cao bảo mật, kết hợp L2TP với IPSec Lúc gói tin L2TP đóng gói gói itn IP Cấu trúc: IP Header UDP Header L2TP Header PPP Header PPP Payload Do gói tin L2TP đóng gói gói tin IP, áp dụng giao thức IPSec cho gói tin để tăng cường tính bảo mật truyền qua mạng 2.4 Bảo mật IPSec IPSec chuẩn mở, cho phép truyền tin bảo mật mạng công cộng dựa thuật tốn DES, 3DES… nhằm thực việc mã hóa giải mã Có hai thành phần IPSec là: Xác thực header (AH) phương thức bảo mật tải tin (ESP) 2.4.1 Bảo mật AH 2.4.2 Bảo mật ESP 2.4.3 Quản lý trao đổi khóa 2.5.Công nghệ chuyển mạch nhãn đa giao thức MPLS 2.5.1 Giới thiệu công nghệ MPLS MPLS công nghệ kết hợp đặc điểm tốt định tuyến lớp ba chuyển mạch lớp hai cho phép chuyển tải gói nhanh mạng lõi (core) định tuyến tốt mạng biên (Edge) cách dựa vào nhãn (Label) MPLS phương pháp cải tiến việc chuyển tiếp gói mạng nhãn gắn với gói IP, tế bào ATM, frame lớp hai Phương pháp chuyển mạch nhãn giúp Router MPLS-Enable ATM switch định theo nội dung nhãn tốt việc định tuyến phức tạp theo địa IP đích MPLS kết hợp tính thực thi khả chuyển mạch lớp hai với định tuyến lớp ba Cho phép ISP cung cấp nhiều dịch vụ khác mà không cần phải bỏ sở hạ tầng sẵn có Cấu trúc MPLS có tính mềm dẻo phối hợp với công nghệ lớp hai 11 Đặc điểm mạng MPLS: - Khơng có MPLS API, khơng có thành phần giao thức phía host - MPLS nằm router mạng lõi - MPLS giao thức độc lập nên hoạt động với giao thức khác IP IPX, ATM, Frame Relay,… - MPLS giúp đơn giản hoá q trình định tuyến làm tăng tính linh động tầng trung gian 2.5.2 Chuẩn hóa MPLS 2.5.3 Các thành phần MPLS - LSR (Label switch router) LSR biên LSR dựa khung ATM-LSR Label - nhãn FEC (forwaring equivalence classes) Ngăn xếp nhãn (Label stack) LSP (path) Miền ATM-LSR 2.5.4 Các chế độ hoạt động MPLS a Chế độ hoạt động khung Chế độ hoạt động xuất sử dụng MPLS môi trường thiết bị định tuyến định tuyến gói tin IP điểm - điểm Các gói tin gán nhãn chuyển tiếp sở khung lớp Q trình chuyển tiếp gói IP qua mạng MPLS thực qua số bước sau: LSR biên lối vào nhận gói IP, phân loại gói vào nhóm chuyển tiếp tương đương FEC gán nhãn cho gói với ngăn xếp nhãn tương ứng FEC xác định Trong trường hợp định tuyến địa đích, FEC tương ứng với mạng đích việc phân loại gói đơn giản việc so sánh bảng định tuyến lớp truyền thống LSR lõi nhận gói có nhãn sử dụng bảng chuyển tiếp nhãn để thay đổi nhãn nội vùng gói đến với nhãn ngồi vùng tương ứng với vùng FEC (trong trường hợp mạng IP) Khi LSR biên lối vùng FEC nhận gói có nhãn, loại bỏ nhãn thực việc chuyển tiếp gói IP theo bảng định tuyến lớp truyền thống 12 Header nhãn MPLS Trong chế độ hoạt động khung, nhãn MPLS chèn vào header lớp nội dung thông tin lớp khung lớp hình đây: Gói IP khơng nhãn khung lớp Gói IP có nhãn khung lớp Nhãn MPLS Hình 2.7 Nhãn MPLS khung lớp Chuyển mạch nhãn chế độ khung - Sau nhận khung PPP lớp từ router biên LSR biên số 1, LSR lõi nhận dạng gói nhận gói có nhãn dựa giá trị trường giao thức PPP thực việc kiểm tra nhãn sở liệu chuyển tiếp (LFIB - Label forwarding Information Base) - Kết nhãn vào 30 thay nhãn 28 tương ứng với việc gói tin chuyển tiếp đến LSR lõi - Tại nhãn kiểm ra, nhãn số 28 thay nhãn số 37 cổng xác định Gói tin chuyển tiếp đến LSR biên số - LSR biên số 4, nhãn 37 bị loại bỏ việc kiểm tra địa lớp thực hiện, gói tin chuyển tiếp đến nút router ngồi mạng MPLS Như q trình chuyển đổi nhãn thực LSR lõi dựa bảng định tuyến Bảng định tuyến phải cập nhật đầy đủ để đảm bảo LSR (hay router) mạng MPLS có đầy đủ thơng tin tất hướng chuyển tiếp Quá trình xảy trước thông tin truyền mạng thông thường gọi trình liên kết nhãn (label binding) Các bước chuyển mạch áp dụng gói tin có nhãn hay gói tin có nhiều nhãn (trong trường hợp sử dụng VPN thông thường nhãn gán cố định cho VPN server) Quá trình liên kết lan truyền nhãn Khi xuất LSR mạng MPLS hay bắt đầu khỏi tạo mạng MPLS, thành viên LSR mạng MPLS phải có liên lạc với q trình khai báo thông qua tin Hello Sau tin gửi phiên giao dịch LSR thực Thủ tục trao đổi giao thức LDP 13 Ngay sau LIB (cơ sở liệu nhãn) tạo LSR, nhãn gán cho FEC mà LSR nhận biết Đối với định tuyến dựa unicast, FEC tương đương với prefix bảng định tuyến IP bảng chuyển đổi chứa LIB Bảng chuyển đổi định tuyến cập nhật liên tục xuất tuyến nội vùng mới, nhãn gán cho tuyến Do LSR gán nhãn cho IP prefix bảng định tuyến chúng sau prefix xuất bảng định tuyến nhãn phương tiện LSR khác sử dụng gửi gói tin cho nhãn đến LSR nên phương pháp gán phân phối nhãn gọi nhãn điều khiển độc lập với trình phân phối ngược khơng u cầu Việc liên kết nhãn quảng bá đến tất router thông qua phiên LDP b Chế độ hoạt động tế bào Khi thực triển khai MPLS qua ATM cần phải giải số vấn đề sau: Khơng thực trao đổi trực tiếp gói IP nút MPLS cận kề qua giao diện ATM Tất số liệu trao đổi qua giao diện ATM phải thực qua kênh ảo ATM Các tổng đài ATM thực việc kiểm tra nhãn hay địa lớp Khả tổng đài ATM chuyển đổi VC đầu vào sang VC đầu giao diện Do đó, MPLS xây dựng số chế để đảm bảo thực thi chuyển mạch nhãn đa giao thức qua ATM sau: Các gói IP mảng điều khiển (Control Frame) trao đổi trực tiếp qua giao diện ATM Một kênh ảo VC phải thiết lập nút MPLS cần kề để trao đổi gói thơng tin điều khiển Nhãn ngăn xếp nhãn phải sử dụng cho giá trị VPI/VCI Các thủ tục gán phân phối nhãn phải sửa đổi để đảm bảo tổng đài ATM kiểm tra địa lớp 2.5.5 Các giao thức sử dụng mạng MPLS Tham gia vào q trình truyền thơng tin mạng MPLS có số giao thức LDP, RSVP a Giao thức phân phối nhãn LDP b Giao thức định tuyến cưỡng CR-LDP c Giao thức báo hiệu RSVP 2.6 Ứng dụng mạng riêng riêng ảo MPLS 14 2.6.1 Mơ hình Overlay VPN 2.6.2 Mơ hình ngang hàng 2.6.3 Các định tuyến ảo MPLS VPN 2.6.4 Kiến trúc MPLS VPN Trong kiến trúc mạng MPLS VPN, router biên mang thông tin định tuyến khách hàng, cung cấp định tuyến tối ưu cho lưu lượng site khách hàng Mơ hình MPLS-based VPN giúp cho khách hàng sử dụng không gian địa trùng lặp (Overlapping address spaces), khơng giống mơ hình peer-to-peer truyền thống việc định tuyến lưu lượng khách hàng yêu cầu nhà cung cấp phải gán địa IP riêng cho khách hàng (hoặc khách hàng phải thực hiên NAT) để tránh trùng lặp không gian địa MPLS VPN dạng thực thi đầy đủ mơ hình peer-topeer MPLS VPN backbone site khách hàng trao đổi thông tin định tuyến lớp 3, liệu chuyển tiếp site khách hàng sử dụng MPLS-enable SP IP Backbone Miền (domain) MPLS VPN, giống VPN truyền thống, gồm mạng khách hàng mạng nhà cung cấp Mơ hình MPLS VPN giống với mơ hình router PE dành riêng (dedicated PE router model) dạng thực thi VPN ngang cấp peer-to-peer VPN Tuy nhiên, thay triển khai router PE khác cho khách hàng, lưu lượng khách hàng tách riêng router PE nhằm cung cấp khả kết nối vào mạng nhà cung cấp cho nhiều khách hàng Các thành phần MPLS VPN trình bày hình sau: Hình 2.13 Kiến trúc MPLS VPN LSP riêng LSP công cộng 2.6.5 Vấn đề bảo mật MPLS VPN a Bảo mật định tuyến b Bảo mật liệu 15 c Bảo mật mạng vật lý 2.6.6 Chất lượng dịch vụ mạng MPLS VPN Chất lượng dịch vụ mô tả thông qua thông số băng thông, đỗ trễ, tỷ lệ gói tin, tốc độ truyền … Thuật ngữ QoS CoS (class of service) có liên quan chặt chẽ với có khác biệt nhỏ QoS đảm bảo việc cung cấp mức dịch vụ yêu cầu, CoS loại dịch vụ yêu cầu gói nghĩa phần lưu lượng ứng dụng đặc biệt Chúng kết hợp với để cung cấp dịch vụ có chất lượng dịch vụ mong muốn Bắt đầu từ điểm vào tuyến, giá trị trường CoS ấn định Trường CoS sau phân tích q trình QoS hoạt động nút dọc theo tuyến đường gói di chuyển gói đạt tới đích với chất lượng dịch vụ thiết lập Tổng kết chƣơng Trong chương tìm hiểu về: - Các dịch vụ bảo mật VPN: PPTP, L2TP, IPSec bao gồm: Độ an tồn, tính sẵn sàng, chất lượng dịch vụ, độ tin cậy, tính tương thích tính quản lý - Cơng nghệ chuyển mạch nhãn đa giao thức MPLS: Các chế độ hoạt động Các giao thức sử dụng mạng MPLS Ứng dụng mạng riêng ảo MPLS 16 CHƢƠNG TRIỂN KHAI VPN MPLS THỰC TẾ Trong kinh tế nay, lợi nhuận nhà cung cấp dịch vụ xoay quanh tâm cung cấp dịch vụ giá trị gia tăng Theo hãng Frost and Sullivan, thị trường mạng riêng ảo (VPN) khu vực châu Á - Thái Bình Dương dự kiến đạt 5,15 tỷ USD vào năm 2009, tăng 200% so với năm 2003 Công ty nghiên cứu cho biết thị trường năm tăng 25,7%, đạt tỷ USD, từ số 1,687 tỷ USD năm ngoái Năm 2003, thị trường mạng riêng ảo phát triển mạnh Nhật Bản, Australia Trung Quốc VPN coi thị trường dịch vụ viễn thơng có tốc độ phát triển nhanh nhất, ước tăng 20,4% năm vòng năm Cũng theo Frost and Sullivan, Nhật Bản thị trường VPN lớn châu Á Thái Bình Dương, chiếm 60% doanh thu, Australia đứng thứ hai với 21% Tuy nhiên, đến cuối năm 2009, Trung Quốc Ấn Độ dự đoán hai thị trường VPN trọng điểm khu vực Các dịch vụ mạng riêng ảo đa dạng bao gồm thương mại điện tử, điện thoại IP, an ninh quản lý, lưu từ xa, thuê ứng dụng ứng dụng đa phương tiện … Sự lựa chọn triển khai kiến trúc VPN - MPLS, IPSec phối hợp hai cấu trúc ảnh hưởng đến phạm vi thị trường, dịch vụ cung cấp doanh thu Trong xu hướng phát triển Tổng cơng ty Bưu viễn thơng Việt Nam triển khai MPLS mạng lõi VNPT Các LSR biên tiếp tục đầu tư mở rộng điểm có nhu cầu lớn Hải Phòng, Quảng Ninh, Đà Nẵng, Khánh Hòa …, bước chuyển đổi sang mạng NGN Các nhà cung cấp dịch vụ VDC, FPT … Cũng đưa dịch vụ mạng riêng ảo, điều cho thấy thị trường VPN/MPLS đầy tiềm phát triển tương lai Đối tượng sử dụng không kể Doanh nghiệp văn phịng đại diện nước ngồi, có nhiều DN nước lĩnh vực tài chính, bảo hiểm, ngân hàng sử dụng dịch vụ Với VPN dựa MPLS, tổ chức, doanh nghiệp đạt nhiều mục tiêu điều khiển nhiều hạ tầng mạng, cung cấp đa lớp dịch vụ cho người dùng 3.1 So sánh IPSec MPLS 3.1.1 Vai trò MPLS 3.1.2 IPSec 3.1.3 Tích hợp VPN IPSec VPN MPLS Nhà cung cấp dịch vụ đạt lợi ích cao áp dụng hai công nghệ IPSec MPLS Ví dụ, sử dụng IPSec cho giao thơng off-net, 17 đường truyền cần có xác thực tốt tính tin cẩn cao sử dụng MPLS mạng lõi cho kết nối rộng mở hơn, đồng thời hỗ trợ kỹ thuật định tuyến lưu lượng chất lượng dịch vụ Các nhà sản xuất thiết bị Cisco, Nokia Checkpoint, Juniper network cung cấp giải pháp cho phép nhà cung cấp dịch vụ ghép phiên IPSec trực tiếp vào VPN MPLS Các tiếp cận giúp nhà cung cấp dịch vụ mở rộng dịch vụ VPN ngồi biên mạng MPLS thơng qua việc sử dụng sở hạ tầng mạng IP công cộng 3.2 Triển khai ứng dụng VPN Ngân hàng Ngân hàng quan có chức quản lý tiền tệ, hoạt động ngân hàng đòi nhanh chóng, xác an tồn cao Để đáp ứng điều đó, Ngân hàng nhà nước VN đơn vị đầu lĩnh vực ứng dụng công nghệ thơng tin đại nhằm mục đích phục vụ cho hoạt động chun mơn nghiệp vụ Trong xu hướng hội nhập kinh tế, quốc tế, việc ứng dụng thương mại điện tử (TMĐT) tất yếu nhằm đảm bảo an ninh, an toàn TMĐT Bên cạnh xây dựng hệ thống tốn điện tử ngân hàng tự động mở rộng dịch vụ ngân hàng điện tử Ý thức tầm quan trọng việc ứng dụng công nghệ thông tin vào lĩnh vực ngân hàng, từ đầu ngân hàng nhà nước xây dựng sở hạ tầng thông tin đại, với mạng LAN, WAN triển khai hầu hết chi nhánh Tỉnh, Thành phố toàn quốc Hiện hệ thống mạng SBVNet (Mạng diện rộng Ngân hàng nhà nước Viết Nam Sate Bank of Vietnam and Wide computer Network) phục vụ điều hành quản lý, hệ thống chuyển tiền, toán liên ngân hàng … Với đặc thù ngành ngân hàng mang tính bảo mật cao, NHNN triển khai giải pháp an ninh nhiều lớp, trang bị cơng cụ kiểm sốt giảm sát truy nhập, mã hóa liệu đường truyền, sử dụng tường lửa, hệ thống chứng thực (CA) chữ ký điện tử nhằm đảm bảo an toàn, bảo mật tuyệt đối cho giao dịch toán Trong phải kể đến thiết lập mạng riêng ảo Cisco, Checkpoint Microsoft sử dụng đề án tin học hóa quản lý hành nhà nước - Ngân hàng Nhà nước Việt Nam 18 3.2.1 Giải pháp VPN Microsoft 3.2.2 Giải pháp VPN Cisco 19 Customer A Site EIGRP AS 101 Customer A Site EIGRP AS 101 5.5.5.5/24 1.1.1.1/24 R1-CE R5-CE F0/0 12.0 168 192 192 168 45.0 /24 F0/0 /24 VPN-A Loopback F0/0 2.2.2.2/32 S1/2 S1/3 R2-PE F0/1 19 2.1 19 2.1 68 192 168 26.0 Mạng trục nhà cung cấp dịch vụ MPLS R6-CE 6.6.6.6/24 VPN-A 0/ S1/3 R4-PE VPN-B /24 47.0 168 192 F0/1 34 F0/1 /24 VPN-B 8.2 /2 3.0 Loopback 4.4.4.4/32 F0/0 S1/0 R3-P F0/1 R7-CE 7.7.7.7/24 EIGRP AS 201 EIGRP AS 202 Customer B Site Customer B Site Tổng kết chƣơng Trong chương tìm hiểu về: - IPSec MPLS ưu nhược điểm - Triển khai ứng dụng MPLS VPN 20 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Ngày nay, ứng dụng Internet sử dụng rộng rãi lĩnh vực, khắp nơi giới Sự mở rộng Internet kéo theo cải tiến không ngừng mơ hình mạng, kéo theo dịch vụ mạng để đáp ứng nhu cầu truyền thông tin cách an toàn, hiệu quả, đáp ứng nhiều yêu cầu nhiều hạ tầng mạng khác Một ứng dụng quan trọng mạng riêng ảo Bên cạnh tìm hiểu chung mạng riêng ảo, luận văn cịn phân tích loại mạng riêng ảo nay, hạn chế cịn tồn mơ hình, mạnh mơ hình từ có nhìn tổng quan mơ hình để từ lựa chọn áp dụng vào mơ hình cho có hiệu qủa Hiện có nhiều công nghệ đời nhằm nghiên cứu phương thức truyền tin mạng cách an toàn công nghệ ứng dụng rộng rãi MPLS VPN Luận văn trình bày khái niệm phương thức hoạt động công nghệ MPLS sâu vào phân tích cấu trúc MPLS cách thức truyền gói tin gắn nhãn mạng từ địa nguồn tới địa đích cách an toàn Triển khai MPLS-VPN thực tế, so sánh hai công nghệ mạng riêng ảo IPSec MPLS, sở triển khai ứng dụng mạng riêng ảo VPN ngân hàng nhà nước với giải pháp Cisco Microsoft Tuy nhiên luận văn nhiều hạn chế: chưa triển khai hệ thống mạng thực tế, thực hệ thống mô phỏng, chưa tìm hiểu kỹ MPLS triển khai thực tế hoạt động Ngân hàng cụ thể 21 TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT Nghiên cứu công nghệ chuyển mạch nhãn MPLS đề xuất kiến nghị áp dụng công nghệ MPLS mạng hệ NGN tổng công ty TG: Lê Ngọc Giao, Trần Hạo Bửu, Phạm Thủy Phong, Trần Việt Tuấn, Phạm Huy Tỳ, Nguyễn Ngọc Thành, Đặng Thu Hà, Phan Hà Trung) TÀI LIỆU TIẾNG ANH Cisco System, Overview of Virtual Private Networks and IPSec Technologies Cisco VPN solution, www.cisco.com/go/vpn Harkins, D and Carrel, D (1998), “The Internet Key Exchange”, RFC 2409, November 1998 IETF Working Group 5.1 IETF RFC 2637: “Point - to - Point Tunneling Protocol (PPTP)” 5.2 IETF RFC 1701: “Generic Routing Encapsulation (GRE)” 5.3 IETF RFC 2661: “Layer Two Tunnuling Protocol (L2TP)” 5.4 IETF RFC 2409: “The Internet Key Exchange (IKE)” Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A practical guide to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco Systems, IN-USA, 2001 R.C.Sreijl - Analysis of Managed Virtual Private Network, 2000 RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com Các tài liệu từ Internet ... hợp lý 9 CHƢƠNG 2.BẢO MẬT TRONG VPN 2.1 Các dịch vụ bảo mật Điều quan trong ứng dụng công nghệ mạng riêng ảo tính bảo mật hay tính riêng tư Trong hầu hết ứng dụng nó, tính riêng tư mang ý nghĩa... MPLS VPN LSP riêng LSP công cộng 2.6.5 Vấn đề bảo mật MPLS VPN a Bảo mật định tuyến b Bảo mật liệu 15 c Bảo mật mạng vật lý 2.6.6 Chất lượng dịch vụ mạng MPLS VPN Chất lượng dịch vụ mô tả thông... doanh nghiệp Tìm hiểu tổng quan mạng riêng ảo, kiến thức thành phân mạng riêng ảo, loại mạng riêng ảo giao thức Nghiên cứu chế an ninh, bảo mật sử dụng mạng VPN: Xác thực, mã hóa, chữ ký