1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN QUỐC CƯỜNG NGHIÊN CỨU VPN VÀ GIẢI PHÁP TRIỂN KHAI IPSEC VPN KẾT NỐI MẠNG NỘI TỈNH CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ:260.48.15 Người hướng dẫn khoa học: TS Trần Việt Hưng TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2011 MỞ ĐẦU Tính cấp thiết đề tài Hiện cơng nghệ VPN trở thành cần thiết xây dựng mạng lưới doanh nghiệp lựa chọn bảo mật, ứng dụng để phát triển nhu cầu thị trường, giới thiệu cơng nghệ VPN chính, tích hợp VPN gateway xu hướng bảo mật ứng dụng Cuối năm 1999, IETF IPsec Security Nhóm làm việc hồn thành mở rộng, thỏa thuận với IPsec ISAKMP (Internet Security Association Key Management Protocol) giao thức, phân phối thức IKE, Oakley ISAKMP / IKE / Oakley hỗ trợ tự động tạo mật mã, kênh chứng thực, phân phối trọng điểm cập nhật bảo mật tự động IPsec định nghĩa tập hợp tính tồn vẹn cho việc bảo vệ tư nhân giao thức tiêu chuẩn IPsec hỗ trợ loạt thuật toán mã hóa DES, 3DES Hiện khơng Bưu điện tỉnh Hịa Bình mà hầu hết Bưu điện tỉnh thành triển khai phương án kết nối mạng theo hình thức th kênh Megawan Trước u cầu Bưu điện tỉnh Hịa Bình xây dựng giải pháp kết nối nội tỉnh phương thức IPSec VPN (Internet Protocol Security) SSL VPN (Secure Socket Layer) Internet cho điểm triển khai online, đáp ứng yêu cầu mở rộng phạm vi kết nối, triển khai phát triển dịch vụ Bưu có tiền (ePost,Paypost…) tới điểm Bưu cục, đồng thời giảm chi phí kết nối so với triển khai kết nối theo hình thức Megawan Mục đích nghiên cứu Nghiên cứu hồn thiện mạng tin học Bưu Điện Tỉnh Hịa Bình Đối tượng phạm vi nghiên cứu Mạng Bưu Bưu Điện Tỉnh Hịa Bình Phương pháp nghiên cứu Phương pháp thu thập tài liệu, phương pháp tổng hợp phân tích số liệu, phương pháp thực nghiệm Kết cấu luận văn: Chương : Tổng quan Ipsec VPN Chương : Ipsec VPN Chương : Mô tả giải pháp VPN triển khai thực tế mạng lưới Chương TỔNG QUAN IPSEC VPN 1.1 Khái niệm VPN VPN (Virtual Private Network ): hay gọi là: Mạng riêng Ảo, cho phép mở rộng phạm vi mạng nội cách sử dụng lợi internet để tạo đường hầm ảo kết nối từ xa Kỹ thuật VPN cho phép ta kết nối với host (máy tính) nằm xa hàng ngàn km với mạng LAN làm cho trở thành node (nút mạng ) hay PC mạng LAN Một đặc điểm VPN kết nối clients mạng ảo bạn an tồn bạn ngồi mạng LAN 1.2 Giới thiệu Ipsec VPN SSL VPN 1.2.1 Ipsec VPN ? IPSEC VPN (Internet Protocol Security) giao thức mạng bảo mật (security) thường liên kết với VPN (tất nhiên bạn hồn tồn dùng IPSEC mạng cục LAN) 1.2.2 SSL VPN ? Thuật ngữ SSL VPN dùng để dòng sản phẩm VPN phát triển nhanh chóng dựa giao thức SSL 1.2.3 Lựa chọn SSL VPN hay IPSec VPN? Trước tiên, cần phải khẳng định SSL VPN IPSec VPN hai công nghệ loại trừ lẫn Thường hai cơng nghệ đồng thời triển khai công ty 1.2.3.1 Kiểu kết nối, kiểu truy cập IPSec VPN phù hợp cho kết nối theo kiểu site-to-site Nó lựa chọn tốt cho mạng LAN từ xa kết nối với hay kết nối với mạng trung tâm Nhưng người dùng di động từ xa từ vị trí cơng cộng tin cậy sân bay, nhà ga, khách sạn, tiệm cà phê internet muốn truy cập vào tài nguyên công ty họ giải pháp IPSec VPN tỏ nhiều bất cập ưu điểm 1.2.3.2 Phần mềm khách (Client software) IPSec VPN yêu cầu cần phải có phần mềm Client cài đặt máy tính để bàn máy tính xách tay SSL VPN cần hệ điều hành có trình duyệt (browser) hỗ trợ giao thức SSL thực kết nối an toàn, dễ dàng vào bảo mật (security) 1.2.3.3 Mức độ an toàn thiết bị truy cập hay kết nối mạng từ xa: Với IPSec VPN (Virtual Private Network), người dùng từ xa (mobile user) hay mạng LAN từ xa (remote network) kết nối đến cơng ty dễ dàng truy cập đến toàn tài nguyên mạng (FTP, Email, Web, CRM, ERP v.v ) thể họ ngồi làm việc công ty SSL VPN lựa chọn hợp lý nhằm giảm thiểu tất nguy đến từ kết nối từ xa nhờ chế kiểm soát đến chi tiết 1.2.3.4 Quản lý kiểm soát truy cập từ xa IPSec VPN(Access Control): IPSec VPN thiết kế để mở rộng phạm vi mạng LAN Mọi việc khác cho phép nhân viên thường xuyên di chuyển (mobile user, telecom user.v.v), đại lý, nhà cung cấp, nhà thầu, đối tác thương mại v.v kết nối vào mạng từ xa (remote access).Giải pháp SSL VPN lựa chọn hợp lý nhằm giảm thiểu tất nguy đến từ kết nối từ xa nhờ chế kiểm soát đến chi tiết 1.2.3.5 Mức độ bảo mật (security) : Khi so sánh SSL VPN IPSec VPN thường người có câu hỏi đặt “Giao thức IPSec VPN SSL VPN an toàn hơn?” Thật ra, hai giao thức bảo mật bảo mật tốt cho hệ thống Chúng cung cấp phương pháp trao đổi khóa an tồn (secure key exchange) phương pháp mã hóa mạnh (encrytion) 1.2.3.6 Vấn đề tương thích với Firewall, tính NAT: Việc kết nối IPSec thông qua Firewall khó khăn IPSec VPN dùng giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload) IPSec không tương thích với việc chuyển đổi địa mạng tính NAT (Network Address Translation) SSL VPN tương thích hoàn toàn với Firewall, NAT hayserver proxy 1.2.3.7 Ứng dụng: IPSec VPN hỗ trợ tất ứng dụng tảng IP Một kênh IPSec thiết lập, tất dịch vụ ứng dụng từ ứng dụng truyền thống web, thư điện tử, truyền file đến ứng dụng khác ICMP, VoIP, SQL.v.v ứng dụng đa dịch vụ IPTV, MyTVVideo Server… cho phép ngang qua kênh Còn SSL VPN cung cấp ứng dụng Web (Web-based application), (POP3/IMAP/SMTP) ứng dụng e-mail Chương IPSEC VPN 2.1 Khái niệm IPSec có nghĩa Internet Protocol SECurity Nó dùng để giao thức (AH, ESP, FIP-140-1, v.v ) phát triển Internet Engineering Task Force (IETF) 2.2 Các thuật toán dùng Ipsec VPN Thuật Tốn DES: Là phương thức mã hóa liệu dùng khóa 56 bit cho block liệu Thuật Tốn 3DES: Dùng khóa có chiều dài 168 bit IKE: làm nhiệm vụ trao đổi key vpn gateway 2.3 Kết hợp bảo mật IPSec Kết hợp bảo mật (SAs) khái niệm giao thức IPSec Theo người phát triển IPSec, SA kết nối logic không định hướng hai máy dùng dịch vụ IPSec Một IPSec SA sử dụng hai sở liệu Security Association Database (SAD) (Cơ sở liệu kết hợp bảo mật) chứa thông tin liên quan SA Thơng tin bao gồm khóa giải thuật, chu kì sống SA, chuỗi số Cơ sở liệu IPSec thứ hai, Security Policy Database (SPD) (Cơ sở liệu cách thức bảo mật) , chứa thông tin dịch vụ bảo mật gồm danh sách thực thể truyền nhận 2.4 Ipsec security protocols IPSec gồm ba chức sau - Xác thực tòan vẹn liệu - Tin cẩn - Quản lý khóa 2.4.1 Authentication Header Protocol Giao thức header xác thực (AH) đính thêm vào header IP datagram Header cung cấp IP datagram gốc nơi nhận Để tạo HA, Hashed Authentication Message Code (HMAC) tạo tai nơi gửi Mã hash code tạo SA xác định, xác định thứ tự biến đổi datagram Mã đính vào sau IP header ban đầu Tại nơi nhận, HMAC giải mã để xác định người gửi tính tịan vẹn liệu 2.4.2 Giao thức Encapsulating Security Payload (ESP) ESP giúp tăng độ tin cậy trình xác định người người xác minh tính tịan vẹn liệu trình truyền qua mạng ESP se mã hóa nội dung datagram giải thuật mã hóa 10 So sánh ESP với AH ta thấy : AH trọng đến việc xác minh bảo vệ tòan vẹn liệu IP datagram, ESP bảo vệ phần payload (chứa nội dung cần truyền ) 2.5 Ipsec Modes SA IPSec thực thi hai mode Gồm mode truyền tải(Transport mode) mode đường hầm (Tunnel mode) Cả AH va ESP hoạt động hai mode 2.5.1 Mode chuyền tải Mode chuyển tải bảo vệ giao thức lớp trình ứng dụng Trong mode chuyền tải, IPSec header gắn vào IP header header giao thức lớp Mode truyển tải sử lý phần đầu datagram nên nhanh Tuy nhiên khơng hiệu với ESP trường hợp không xác thực mã hóa IP header 2.5.2 Mode đường hầm Mode đường hầm bảo vệ tòan IP datagram Tòan IP datagram bọc lại vởi IP datagram khác, sau IPSec header đính vào IP header cũ 2.6 Internet key exchange Nó cịn có tên khác ISAKMP/Oakley, ISAKMP có nghĩa Bảo mật mạng quản lý khóa (Internet Security Association and Key Management Protocol) 13 2.6.2.2 Aggressive Mode Aggressive mode trao đổi ba thơng điệp thay sáu main mode Nhờ vậy, Aggressive mode nhanh Main mode 2.6.2.3 Mode nhanh Mode IKE thứ ba, mode nhanh, mode pha II Nó dùng để thống SA cho dịch vụ bảo mật IPSec Bên cạch quick mode tạo liệu cần thiết cho việc tao khóa Nếu cách thức Perfect Forward Secrecy (PFS) thống sớm từ pha I, khóa Diffie-Hellman hịan chỉnh khởi tạo Ngược lại khóa tạo cách sử dụng giá trị hash 2.6.2.4 New Group Mode New group mode dùng để tạo nhóm riêng Việc giúp cho việc trao đổi khóa Diffie-Hellman trở nên thuận tiện Hình 2-18 minh họa new group mode.Mặc dù mode xảy sau pha I khơng phải phần pha II Bên cạnh bốn mode IKE chung vừa nêu cịn có inormational mode Mode kết hợp với trao đổi pha II SA Mode cung cấp thông tin thêm hai bên gửi nhận liệu 2.7 Các sách bảo mật cho Ipsec VPN : - Sử dụng Wizards cho cài đặt hệ thống VPN 14 - Cấu hình chặt chẽ sách quản lý truy cập - Tận dụng chức NAT firewall để che giấu địa IP nội mạng - Tường lửa SifoWorks U - Công nghệ lọc URL (Filtering URL) - Sử dụng chức quản lý thời gian thực mạnh mẽ firewall - SifoWorks U-series cho phép công ty quản lý ứng dụng nhắn tin nhanh (Instant Messaging) download P2P gây nên lỗ hổng bảo mật chiếm dụng dung lượng đường truyền cách khóa tên tập tin gửi kèm cụ thể hay lọc qua ActiveX, Java hay thông tin Cookie gửi kèm trang web 15 Chương MÔ TẢ GIẢI PHÁP VPNTRIỂN KHAI THỰC TẾ TRÊN MẠNG LƯỚI 3.1 Điều kiện triển khai Ipsec VPN SSL VPN: - Tại trung tâm tỉnh phải đăng ký 01 đường MegaVNN FTTH - Phải có Firewall router layer3 làm VPN Server - Tại điểm triển khai kết nối phải có 01 đường MegaVNN - Có phần mềm Forticlient điểm triển khai IPSec VPN Internet Explorer điểm triển khai SSL VPN 3.2 Sơ đồ mạng bưu Hịa Bình sau triển khai kết nối nội tỉnh theo giải pháp ( IPSEC VPN VÀ SSL VPN ): 16 Hình 3-1: Sơ đồ mạng Bưu Hịa Bình 3.3 Cấu hình Ipsec VPN mạng lưới (Giải pháp dùng cho điểm triển khai kết nối cố định địi hỏi tính liên tục kết nối Bưu cục 2, 3): 3.3.1 Cấu hình Internet trung tâm tỉnh: 17 Hình 3-4: Giao diện cấu hình sau đăng nhập tài khoản admin 3.3.2 Cấu hình IPSEC VPN trung tâm tỉnh: Hình 3-10: Thiết lập rule cho cấu hình IPSEC VPN 18 3.3.3 Cấu hình Internet điểm triển khai kết nối (dựa thiết bị triển khai thực tế đơn vị modem Linksys AG241) Hình 3-27: Giao diện kết nối sau cấu hình tham số kết nối VPN 3.4 Cấu hình SSL VPN mạng lưới(Giải pháp dùng cho điểm BĐVHX, điểm Đại lý, người dùng di động khơng địi hỏi tính kết nối liên tục): 3.4.1 Cấu hỉnh SSL VPN trung tâm tỉnh 19 Hình 3-28: Giao diện cấu hình SSL VPN 3.4.2 Cấu hình SSL VPN Client điểm triển khai kết nối Hình 3-35: Giao diện login để thực kết nối SSL VPN Internet Explorer 20 3.5 Kết thực nghiệm : Bảng 3-1 : Danh sách dự kiến triển khai mở rộng kết nối dùng hình thức Megawan nội tỉnh T Đơn vị T Băng Hình Chi phí thơng thức tốn (DOW kết nối thường N/UP) xuyên Ghi VNĐ (VAT 10%) Các điểm triển khai thực tế 4.096K Megaw bps/64 (Trung tâm liệu 0Kbps 1.818.181 an Nội tỉnh + Bưu điện Hịa Bình + TTKhai thác + TTChuyển tiền 10 điểm BC2 + BC3 512Kb Megaw ps 15.912.000 an điểm = 936.999 VNĐ/thán g Bảng 3-2 : Danh sách dự kiến triển khai mở rộng kết nối dùng hình thức VPN 21 T Đơn vị T Băng Hình Chi phí thơng thức tốn (DOW kết nối thường N/UP) xuyên Ghi VNĐ (VAT 10%) Các điểm triển khai thực tế 8Mbps/ FTTH 2.200.000 8Mbps Trung tâm liệu + Bưu điện Hịa Bình + TTKhai thác + TTChuyển tiền 10 điểm BC2 + BC3 2.048K IPSEC bps/51 VPN 2Kbps 4.675.000 điểm = 275.000 VNĐ/thán g So sánh triển khai theo hình thức VPN so với hình MegaWan nội tỉnh tháng chi phí tốn thường xun chênh 10.855.181 VNĐ/tháng (VAT 10%)  chi phí thuê kênh hình thức kết nối VPN giảm 130.262.172 VNĐ/năm (VAT 10%) so với megawan 22 KẾT LUẬN Khả đáp ứng mạng lưới: Giải pháp kết nối nội tỉnh IPSec VPN SSL VPN đáp ứng yêu cầu bảo mật, kết nối, truyền nhận trung tâm tỉnh với điểm Bưu điện trực thuộc Tương thích tốt với dịch vụ chạy IP, đảm bảo hoạt động thông suốt hoạt động sản xuất kinh doanh Giải pháp đảm bảo việc kết nối từ điểm Bưu điện huyện/thị, Bưu cục 3, điểm BĐVHX v.v… tới mạng liên tỉnh Post*net, phục vụ việc triển khai dịch vụ CFM; Paypost; Epost v.v… giúp tăng cường khả phục vụ khách hàng phạm vi toàn tỉnh Giải pháp triển khai không phát sinh thêm việc đầu tư thiết bị phần cứng, đảm bảo triển khai tốt hệ thống phần cứng sẵn có (Firewall Fortigate 300A, modem Linksys AG241 Bưu điện huyện/thị, Bưu cục 3, điểm BĐVHX tận dụng modem khuyến mại nhà cung cấp dịch vụ để thực kết nối Internet…) Việc triển khai việc xử lý cố đường truyền đơn giản so với hình thức kết nối Megawan nội tỉnh (chỉ cần Viễn thông huyện xử lý đường truyền ADSL điểm Bưu điện kết nối thông mạng bình 23 thường khơng cần phối hợp với VTN hình thức Megawan), giảm thiểu thời gian trễ cho việc khai thác dịch vụ mạng lưới Khả mở rộng mạng lưới dễ dàng, tận dụng điểm Bưu cục 3, điểm BĐVHX, điểm đại lý triển khai ADSL cho mục đích triển khai viễn thơng cơng ích kinh doanh Internet để triển khai kết nối với trung tâm tỉnh mà không cần kéo đường truyền ADSL Đồng thời triển khai theo hình thức đăng ký gói cước ADSL theo lưu lượng nhằm giảm chi phí tối đa mà thực kết nối từ điểm kết nối có sản lượng doanh thu thấp tỉnh Hiệu kinh tế : Đối với chi phí thuê kênh hàng tháng chi phí lắp đặt ban đầu giải pháp IPSec VPN SSL VPN giảm thiểu nhiều so với giải pháp Megawan nội tỉnh, cụ thể sau: 24 Chi phí đấu nối thuê kênh MegaWan nội tỉnh, gồm có: Chi phí tốn lần sau lắp đặt: Cước đấu nối hoà mạng ADSL = Cước đấu nối hoà mạng kênh 600.000đ/cổng = 500.000đ/kênh Tổng cước đấu nối hoà mạng VAT 10% Tổng tiền phải toán = 1.100.000đ = 110.000đ = 1.210.000đ Chi phí tốn thường xun : Cước thuê cổng ADSL = 181.818đ/tháng Cước thuê kênh nội tỉnh = 670.000đ/tháng Tổng cước thuê cổng+kênh = 851.818đ/tháng = VAT 10% Tổng tiền phải toán = 85.181đ 936.999đ/tháng Chi phí đấu nối hồ mạng ADSL, gồm có: Chi phí tốn lần sau lắp đặt: Cước đấu nối hoà mạng ADSL VAT 10% = 80.000đ/cổng = 8.000đ/cổng = Tổng tiền phải toán 88.000đ Được miễn phí 01 modem ADSL Chi phí tốn thường xuyên (gói cước Easy – triển khai điểm Bưu cục 3, điểm BĐVHX có sản lượng doanh thu cao): Cước thuê cổng ADSL = = VAT 10% Tổng tiền phải toán 250.000đ/tháng = 25.000đ 275.000đ/tháng 25 Đối với điểm Bưu điện huyện có lượng kết nối giao dịch lớn sử dụng gói cước Family (385.000đ/tháng) Lưu ý: Phần tốn chi phí thường xun chưa tính phần giảm trừ cho khách hàng lớn, khách hàng đặc biệt Như thấy việc triển khai giải pháp kết nối nội tỉnh IPSec VPN SSL VPN giảm chi phí đáng kể so với triển khai kết nối nội tỉnh theo hình thức Megawan Tính tương lai giải pháp: Khả mở rộng ứng dụng tảng truyền dẫn lớn, triển khai dịch vụ ứng dụng Web, hệ thống điều hành nội bộ, Website Bưu điện tỉnh, VoIP (điện thoại internet)… Tương lai mở rộng cho điểm bán hàng đại lý, người dùng di động nhằm khai thác tài nguyên nội bộ, phục vụ việc chăm sóc khách hàng tốt nhất, tiếp cận khách hàng thường xuyên 26 TÀI LIỆU THAM KHẢO [1] Netilla Networks, A Functionnal and Cost Comparision of VPS Solutions: SSL vs IPSec, 2002 [2] Array Networks, SSL VPN vs IPSec VPN White Paper, 2004 [3] Juniper Networks, IPSec and SSL VPN Decision Criteria White Paper, 2004 [4] Juniper Networks, Beyond the Internet Seminar, Ho Chi Minh City 2004 [5] Checkpoint Software Technologies Ltd., IPSec and SSL VPN Deployment Considerations, 2004 [6] Cisco System, 100 Questions and Answers on SSLVPN, 2004 [7] Aventail Corporation, Comparing Secure Remote Access Options: IPSec VPNs vs SSL VPNs White Paper, 2004 [8] ThS Trần Công Hùng, Kỹ thuật mạng riêng ảo, NXB Bưu Điện, 2002 Danh mục web site, tổ chức chuẩn hóa [1] http://www.fortinet.com - Truy cập ngày 15/04/2011 27 [2] http://www.quantrimang.com.vn - Truy cập ngày 17/4/2011 [3] http://www.3c.com.vn - Truy cập ngày 21/04/2011 [4] http://www.openVPN.net - Truy cập ngày 23/03/2011 [5]http://www.ietf.org/html.charters/OLD/ipseccharter.html - Truy cập ngày 15/4/2011 ... tỉnh theo giải pháp ( IPSEC VPN VÀ SSL VPN ): 16 Hình 3-1: Sơ đồ mạng Bưu Hịa Bình 3.3 Cấu hình Ipsec VPN mạng lưới (Giải pháp dùng cho điểm triển khai kết nối cố định địi hỏi tính liên tục kết. .. điểm triển khai kết nối phải có 01 đường MegaVNN - Có phần mềm Forticlient điểm triển khai IPSec VPN Internet Explorer điểm triển khai SSL VPN 3.2 Sơ đồ mạng bưu Hịa Bình sau triển khai kết nối nội. .. giải pháp kết nối nội tỉnh IPSec VPN SSL VPN giảm chi phí đáng kể so với triển khai kết nối nội tỉnh theo hình thức Megawan Tính tương lai giải pháp: Khả mở rộng ứng dụng tảng truyền dẫn lớn, triển