HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - QUÁCH NHƯ THẾ NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TS NGUYỄN VĂN TAM HÀ NỘI – 2012 MỞ ĐẦU Mạng VPN ứng dụng quan trọng mạng MPLS MPLS VPN đơn giản hóa q trình tạo “đường hầm” mạng riêng ảo chế gán nhãn gói tin (Lable) thiết bị mạng nhà cung cấp Thay phải tự thiết lập, quản trị, đầu tư thiết bị đắt tiền, MPLS VPN giúp doanh nghiệp giao trách nhiệm cho nhà cung cấp – đơn vị có đầy đủ lực, thiết bị cơng nghệ bảo mật tốt cho mạng doanh nghiệp Luận văn “ Nghiên cứu bảo mật mạng riêng ảo công nghệ chuyển mạch nhãn đa giao thức” nghiên cứu VPN mạng MPLS có kết hợp với IPSEC mô Luận văn chia làm chương: Chương I: Tổng quan mạng riêng ảo Chương II: Giải pháp bảo mật VPN MPLS Chương III: Mô CHƯƠNG I: TỔNG QUAN VỀ MẠNG RIÊNG ẢO Tổng quan mạng riêng ảo 1.1 Giới thiệu mạng riêng ảo Khái niệm mạng riêng ảo Mạng riêng ảo phương pháp làm cho mạng công cộng hoạt động mạng cục kết hợp với giải pháp bảo mật đường truyền VPN cho phép thành lập kết nối riêng với người dùng xa, văn phòng chi nhánh công ty đối tác công ty sử dụng chung mạng công cộng VPN = định đường hầm + bảo mật + thoả thuận QoS 1.2 Ưu nhược điểm VPN Ưu điểm: Giảm chi phí đường truyền Giảm chi phí đầu tư Giảm chi phí quản lý hỗ trợ Truy cập lúc nơi Cải thiện kết nối An toàn giao dịch Hiệu băng thông Enhanced scalability Nhược điểm: Phụ thuộc môi trường Internet Thiếu hổ trợ cho số giao thức kế thừa 1.3 Phân loại mạng mơ hình VPN Các loại mạng VPN Remote access VPN Intranet VPN Extranet VPN 1.4 Các thành phần mạng VPN 1.4.1 Mạng khách hàng (Customer Network) Gồm router site khách hàng khác Các router kết nối site cá nhân với mạng nhà cung cấp dịch vụ gọi router biên phía khách hàng (CE- Customer Edge) 1.4.2 Mạng nhà cung cấp (Provider Network) Được dùng để cung cấp kết nối point-to-point qua hạ tầng mạng nhà cung cấp dịch vụ Các thiết bị nhà cung cấp dịch vụ mà nối trực tiếp với CE router gọi router biên phía nhà cung cấp (PE-Provider Edge) Mạng nhà cung cấp có thiết bị dùng để chuyển tiếp liệu mạng trục (SP backbone) gọi router nhà cung cấp (P- Provider) VPN chia thành hai loại mơ hình: Overlay Peer-to-Peer 4 17 1.5 Các giao thức tạo đường hầm VPN 1.5.1 Giao thức PPTP(Point-To-Point Tunning KẾT LUẬN Protocol) Giao thức PPTP (Point-to-Point Tunneling Protocol giao thức tạo đường hầm điểm nối điểm) ban đầu phát triển thiết kế để giải vấn đề trì đường hầm VPN mạng public dựa vào TCP/IP cách sử dụng PPP PPTP kết nỗ lực chung Microsoft loạt nhà cung cấp sản phẩm bao gồm chẳng hạn Ascend Communications, 3Com/Primary Access, ECI Telematics, U.S Robotics 1.5.2 Giao thức L2TP (Layer Tunneling Protocol) Giao thức L2TP sử dụng hai loại thông điệp, thông điệp điều khiển (Control Message) thông điệp liệu (Data Message) Thông điệp điều khiển sử dụng việc thiết lập trì đường ống Thông điệp liệu sử dụng để đóng gói PPP frame để chuyển qua đường ống 1.5.3 Giao thức IPSec (IP Security Protocol) IPSec giao thức bảo mật tích hợp với tầng IP, cung cấp dịch vụ bảo mật mã hóa linh hoạt Những dịch vụ 1.5.3.1 Chứng thực nguồn gốc liệu/Tính toàn vẹn liệu phi kết nối Mạng riêng ảo VPN ứng dụng quan trọng mạng MPLS Các công ty, doanh nghiệp đặc biệt cơng ty đa quốc gia có nhu cầu lớn loại hình dịch vụ Với VPN họ hồn tồn sử dụng dịch vụ viễn thơng, truyền số liệu nội với chi phí thấp, an ninh bảo đảm Đây ứng dụng quan trọng đáp ứng yêu cầu mạng riêng sử dụng hạ tầng sở thông tin quốc gia với yêu cầu khác độ an toàn, bảo mật chất lượng dịch vụ Bên cạnh việc nghiên cứu cơng nghệ bảo mật MPLS VPN, bật sử dụng IPSec Sau nghiên cứu đề tài tổng kết vấn đề sau: Tổng quan VPN: Giới thiệu tổng quan VPN Giải pháp bảo mật VPN MPLS, tìm hiểu IPsec MPLS Tìm hiểu phần mềm mơ GNS để mô vấn đề bảo mật MPLS VPN 16 CHƯƠNG III: MÔ PHỎNG 1.5.3.2 Bảo vệ chống replay 1.5.3.3 Bảo mật 3.1 Thực MPLS VPN, IPSEC 1.5.3.4 Encapsulating Security Payload (ESP) 3.1.1 Sơ đồ mạng – cấu hình interface 1.5.3.5 Tiêu đề chứng thực (AH) 1.5.3.6 Trao đổi khóa Internet (IKE) 1.5.3.7 Chế độ vận hành 1.5.3.8 Chế độ Tunnel CHƯƠNG II: GIẢI PHÁP BẢO MẬT VPN TRÊN NỀN MPLS 2.1 Công nghệ chuyển mạch MPLS 2.1.1 Tổng quan MPLS MPLS công nghệ kết hợp đặc điểm tốt định tuyến lớp ba chuyển mạch lớp hai cho phép chuyển tải gói nhanh mạng lõi (core) định 3.1.2 Yêu cầu: Tạo MPLS core Thực MPLS VPN , IPSEC cho hai khách hàng CE1và CE2 tuyến tốt mạng biên (edge) cách dựa vào nhãn (label) Đặc điểm mạng MPLS: - Khơng có MPLS API, khơng có thành phần giao thức phía host - MPLS nằm router - MPLS giao thức độc lập nên hoạt động với giao thức khác IP IPX, ATM, Frame Relay,… - MPLS giúp đơn giản hố q trình định tuyến làm tăng tính linh động tầng trung gian 6 Phương thức hoạt động: Thay chế định tuyến lớp ba chế chuyển mạch lớp hai MPLS hoạt động lõi mạng IP Các Router lõi phải enable MPLS giao tiếp Nhãn gắn thêm vào gói IP gói vào mạng MPLS Nhãn 15 IPsec tĩnh: mô hình này, nút IPsec cấu hình tĩnh với tất IPsec đồng cấp nó, thơng tin nhận thực sách bảo mật IPsec tĩnh mơ tả RFC 2401, 2412 Nó áp dụng CE-CE PE-PE tách gói khỏi mạng MPLS Nhãn (Label) IPsec động: mơi trường hub- và-spoke, hub chèn vào header lớp ba header lớp hai Sử dụng cấu hình mà khơng cần thơng tin đặc điểm spoke; nhãn q trình gửi gói sau thiết lập đường spoke biết cách đến hub, đường hầm IPsec MPLS tập trung vào q trình hốn đổi nhãn (Label thiết lập spoke xác thực Swapping) Một mạnh kiến trúc MPLS IPsec truy cập từ xa sử dụng ý tưởng tương tự, xác thực tự định nghĩa chồng nhãn (Label Stack) thường thực máy chủ AAA IPsec động 2.1.2 Cấu trúc nút MPLS Một nút MPLS có hai mặt phẳng: mặt phẳng chuyển tiếp MPLS mặt phẳng điều khiển MPLS Nút MPLS thực định tuyến lớp ba chuyển mạch lớp hai 2.1.2.1 Mặt phẳng chuyển tiếp (Forwarding plane): Mặt phẳng chuyển tiếp có trách nhiệm chuyển tiếp gói dựa giá trị chứa nhãn Mặt phẳng chuyển tiếp sử dụng sở thông tin chuyển tiếp nhãn LFIB để chuyển tiếp gói sử dụng cho CE-CE PE-PE 14 tương tự bảo mật dễ thực thi nhiều, đặc biệt khách hàng 2.1.2.2 Mặt phẳng điều khiển (Control Plane): Ngoại trừ trường hợp đặc biệt, IPsec PE-PE không sử dụng nhiều lí bảo mật Rõ ràng khơng giải pháp tổng thể cho bảo mật VPN Trong trường hợp nên sử dụng IPsec CE-CE lưu trữ LFIB Tất nút MPLS phải chạy giao thức 2.3.2.3 IPsec truy cập từ xa vào mạng MPLS VPN Đường hầm IPsec từ người dùng từ xa kết thúc định tuyến PE, dựa nhận dạng người dùng, ánh xạ vào VPN Do đó, định tuyến PE thực đầy đủ nhiệm vụ: điểm cuối truy cập từ xa IPsec PE MPLS Trong ứng dụng này, IPsec phục vụ chủ yếu phương pháp truy cập an toàn vào VPN người dùng, điểm truy cập không dây công cộng hay mang internet 2.3.3 IPsec MPLS Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo định tuyến IP để trao đổi thông tin định tuyến IP với nút MPLS khác mạng Các mơđun điều khiển MPLS gồm: • Định tuyến Unicast (Unicast Routing) • Định tuyến Multicast (Multicast Routing) • Kỹ thuật lưu lượng (Traffic Engineer) • Mạng riêng ảo (VPN – Virtual private Network) • Chất lượng dịch vụ (QoS – Quality of Service) 2.1.3 Các phần tử MPLS 2.1.3.1 LSR (label switch Router) Có loại LSR mạng MPLS: o Ingress LSR – LSR vào nhận gói chưa có nhãn, chèn nhãn (ngăn xếp) vào trước gói truyền đường kết nối liệu Các mơ hình xem xét phần trước mô tả o Egress LSR – LSR nhận gói gán nhãn, đường hầm IPsec thiết lập (ví dụ PE-PE), khơng tách nhãn truyền chúng đường kết nối liệu LSR xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế LSR vào LSR biên thứ triển khai mạng IPsec Các lựa chọn để thiết lập đường hầm IPsec: o LSR trung gian (intermediate LSR) – LSR trung gian nhận gói có nhãn tới, thực thao tác nó, chuyển mạch gói truyền gói đến đường kết nối liệu 2.1.3.2 LSP (label switch Path) Đường chuyển mạch nhãn tập hợp LSR 13 2.3.2 Vị trí điểm kết thúc IPsec Trong môi trường MPLS VPN, IPsec sử dụng điểm khác mạng: mà chuyển mạch gói có nhãn qua mạng MPLS Giữa định tuyến CE VPN Giữa điểm VPN PE Giữa định tuyến PE lõi MPLS VPN phần mạng MPLS Về bản, LSP đường dẫn qua mạng MPLS phần mạng mà gói qua LSR LSP LSR vào, ngược lại LSR cuối LSP LSR 2.1.3.3 FEC (Forwarding Equivalence Class) Lớp chuyển tiếp tương đương (FEC) nhóm 2.3.2.1 CE-CE IPsec Nếu IPsec sử dụng CE, toàn đường dẫn CE bảo mật đường truy cập (giữa CE PE), toàn lõi MPLS bao gồm PE, P đường dẫn luồng gói chuyển tiếp dọc theo tuyến xử lý theo cách chuyển tiếp Tất gói thuộc FEC có nhãn giống Tuy nhiên, khơng phải tất gói có nhãn thuộc IPsec CE-CE không bảo vệ chống lại mối đe dọa sau đây: Tấn công từ chối dịch vụ (DoS) Các mối đe dọa khu vực đáng tin cậy FEC, giá trị EXP chúng khác nhau; phương thức chuyển tiếp khác phụ thuộc vào FEC khác 2.1.4 Các giao thức sử dụng MPLS 2.1.4.1 Phân phối nhãn • • • • Phân phối nhãn với LDP Các tính chất giao thức phân phối nhãn LDP Thủ tục phát LSR lân cận Giao thức truyền tải tin cậy Nhìn chung, CE-CE IPsec cung cấp phương tiện lý tưởng đảm bảo MPLS VPN vượt tiêu chuẩn an ninh mạng MPLS Đây kỹ thuật lựa chọn cho việc cung cấp an ninh bổ sung, chẳng hạn mã hóa lưu lượng truy cập đến MPLS VPN 2.3.2.2 PE-PE IPsec Thường, PE-PE IPsec xem cách để tránh khách hàng VPN phải thiết lập CE dựa IPsec Một vài vị trí tư vấn cấu trúc 12 2.3.1.1 Tổng quan IPsec IPsec kỹ thuật cung cấp dịch vụ bảo mật qua • • Các tin LDP Các chế độ phân phối nhãn 2.1.4.2 Giao thức đặt trước tài ngun mạng IP: Tính bảo mật thơng qua sử dụng mã hóa Tính xác thực thơng qua việc sử dụng xác thực đồng cấp xác thực thông điệp Tính tồn vẹn thơng qua việc sử dụng kiểm tra tồn vẹn thơng điệp Chống lại việc phát lại, cách sử dụng chuỗi số xác thực để đảm bảo tính mẻ thơng 2.2 Ứng dụng VPN mạng MPLS 2.2.1 Giới thiệu MPLS VNP 2.2.4 Các định tuyến ảo MPLS Một định tuyến ảo tập chức năng, tĩnh động thiết bị định tuyến, cung cấp dịch vụ định tuyến gửi chuyển tiếp giống định tuyến vật lý Các đặc tính mà định tuyến ảo cần có là: Cấu hình kết hợp giao điệp Một lợi ích quan trọng IPsec dịch vụ bảo mật tất áp dụng lớp (lớp mạng) giống với IP Bằng cách này, dịch vụ bảo mật độc lập với chế vận chuyển ưu tiên giao thức ứng dụng dùng lớp ngăn xếp Khi thiết kế mạng dùng IPsec, cần xem xét vấn đề: Vị trí đường hầm IPsec nên áp dụng Cách thức thiết lập đường hầm IPsec Để giải vấn đề có nhiều cách Trước hết, ta xét vị trí điểm cuối IPsec; sau cách đường hầm thiết lập vị trí thức định tuyến Giám sát mạng Xử lý cố 2.2.3 Kiến trúc MPLS VPN 2.2.3.1 Gửi chuyển tiếp MPLS VPN a) Gửi chuyển tiếp Để cung cấp việc gửi chuyển tiếp gói tin IP dọc theo định tuyến người ta sử dụng MPLS Lý mà MPLS giúp làm điều tách riêng thơng tin sử dụng cho việc gửi chuyển tiếp gói tin với thơng tin mang tiêu đề IP Do vậy, kết hợp LSP với định tuyến VPN-IP sau gửi chuyển tiếp gói tin IP dọc theo định tuyến sử dụng MPLS đóng vai trị chế gửi chuyển tiếp 10 11 b) Gửi chuyển tiếp MPLS VPN 2.2.3.3 DiffSer MPLS VPN LSP riêng Việc cấu hình LSP riêng cho VPN cho phép SP LSP coi tuỳ chọn sở VPN cung cấp DiffSer dành cho khách hàng Những LSP riêng LSP thường kết hợp với việc dự trữ trước băng thơng kết hợp với lớp QoS L2 có sẵn với dịch vụ khác riêng biệt lớp QoS Nếu LSP với điểm mã dịch vụ Trong VPN, nhiều LSP riêng với sẵn sàng, sử dụng cho liệu người sử dụng lớp dịch vụ khác cấu hình với thông cho việc gửi chuyển tiếp liệu điều khiển cá nhân VPN tin luồng cho việc xếp gói tin LSP Đặc tính LSP cơng cộng này, với khả thay đổi kích thước định tuyến Các gói tin VPN gửi chuyển tiếp sử dụng LSP ảo, cho phép SP cung cấp dịch vụ hoàn toàn khác tới LSP riêng với băng thông xác định đặc tính QoS khách hàng VPN khơng cấu hình khơng sẵn sàng LSP 2.3 MPLS VPN kết hợp IPSEC sử dụng LSP tính trước cho định tuyến lối 2.3.1 IPSEC MPLS VPN VPN0 VPNID tiêu đề chèn thêm sử dụng Ngày mạng MPLS VPN IPsec VPN để phân gói liệu từ VPN khác định tuyến triển khai rộng, cho thấy hai có lợi ích lối riêng Các lợi ích MPLS VPN chủ yếu bên phía nhà cung 2.2.3.2 Nhận biết đồng định tuyến lân cận cấp dịch vụ kỹ thuật cho phép kiến trúc VPN có khả MPLS VPN mở rộng cao có tích hợp hỗ trợ QoS Và khách hàng Các VR VPN cho trước thuộc số SPED mạng Những VR cần phải nhận biết VR khác phải kết nối với VR khác Một cách để thực điều yêu cầu thiết lập cấu hình VR lân cận VPN có lợi ích gián tiếp nhờ việc cung cấp dịch vụ VPN có giá thấp Trong đó, IPsec VPN có lợi ích bảo mật mạng khách hàng: liệu mã hóa, chứng thực tính tồn vẹn  ... giao trách nhiệm cho nhà cung cấp – đơn vị có đầy đủ lực, thiết bị cơng nghệ bảo mật tốt cho mạng doanh nghiệp Luận văn “ Nghiên cứu bảo mật mạng riêng ảo công nghệ chuyển mạch nhãn đa giao thức? ??... MẠNG RIÊNG ẢO Tổng quan mạng riêng ảo 1.1 Giới thiệu mạng riêng ảo Khái niệm mạng riêng ảo Mạng riêng ảo phương pháp làm cho mạng công cộng hoạt động mạng cục kết hợp với giải pháp bảo mật đường... PHÁP BẢO MẬT VPN TRÊN NỀN MPLS 2.1 Công nghệ chuyển mạch MPLS 2.1.1 Tổng quan MPLS MPLS công nghệ kết hợp đặc điểm tốt định tuyến lớp ba chuyển mạch lớp hai cho phép chuyển tải gói nhanh mạng