Đang tải... (xem toàn văn)
BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG HỆ: CHÍNH QUY NIÊN KHÓA: 2015 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Giáo viên hướng dẫn: ThS. NGUYỄN XUÂN KHÁNH Để hoàn thành chuyên đề báo cáo thực tập này trước hết em xin gửi đến quý thầy, cô giáo trong khoa Viễn Thông trường Học viện Công nghệ Bưu chính Viễn thông lời cảm ơn chân thành. Đặc biệt, em xin gởi đến thầy Nguyễn Xuân Khánh, người đã tận tình hướng dẫn, giúp đỡ em hoàn thành chuyên đề báo cáo thực tập này lời cảm ơn sâu sắc nhất. Sau 1 tháng thực hiện đề tài, được sự hướng dẫn, chỉ bảo tận tình của thầy và sự cố gắng của bản thân, em đã hoàn thành đề tài thực tập: “Tìm hiểu, thiết kế và triển khai dịch vụ VPN site to site” Em xin chân thành cảm ơn Ban Lãnh Đạo, các phòng ban của công ty đã tạo điều kiện thuận lợi cho em được tìm hiểu thực tiễn trong suốt quá trình thực tập tại công ty. Đồng thời nhà trường đã tạo cho em có cơ hội được thưc tập nơi mà em yêu thích, cho em bước ra đời sống thực tế để áp dụng những kiến thức mà các thầy cô giáo đã giảng dạy. Qua công việc thực tập này em nhận ra nhiều điều mới mẻ và bổ ích trong việc kinh doanh để giúp ích cho công việc sau này của bản thân. Vì kiến thức bản thân còn hạn chế, trong quá trình thực tập, hoàn thiện chuyên đề này em không tránh khỏi những sai sót, kính mong nhận được những ý kiến đóng góp từ cô cũng như quý công ty. Một lần nữa em xin gửi lời cảm ơn sâu sắc đến toàn thể thầy cô, các anh chị đồng nghiệp và bạn bè. Tp. Hồ Chí Minh, ngày 25 ,tháng 07 , năm 2019 Người thực hiện MỞ ĐẦU 1 CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN 2 1.1 Mục tiêu và ý nghĩa đề tài 2 1.2 Phương pháp thực hiện 2 1.3 Những nội dung chính 2 1.3.1 Lý thuyết 2 1.3.2 Thực hành 2 1.4 Kết quả đạt được 2 CHƯƠNG 2: TỔNG QUAN VỀ VPN 3 2.1 Định nghĩa, chức năng của VPN. 3 2.1.1 Khái niệm cơ bản về VPN 3 2.1.2 Chức năng của VPN 4 2.2 Các yêu cầu cơ bản của một giải pháp VPN 4 2.3 Đường hầm và mã hóa 5 2.4 Các dạng kết nối VPN 6 2.4.1 Remote access VPN (VPN client to site) 6 2.4.2 Sitetosite VPN ( Lantolan) 7 CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN 9 3.1 Các giao thức đường hầm 9 3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol) 9 3.1.2 Giao thức PPTP (PointtoPoint Tunneling Protocol) 12 3.1.2.1 Khái quát hoạt động của PPTP 13 3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 14 3.1.2.3 Đóng gói dữ liệu đường hầm PPTP 15 3.1.2.4 Ưu điểm và nhược điểm của PPTP 16 3.1.3 Giao thức định đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol) 16 3.1.3.1 Duy trì đường hầm bằng bản tin điều khiển L2TP 18 3.1.3.2 Đóng gói dữ liệu đường hầm L2TP 18 3.1.3.3 Xử lý dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec 19 3.1.3.4 Các thành phần của một hệ thống VPN sử dụng giao thức L2TP 19 3.1.3.5 Ưu điểm và nhược điểm của L2TP 20 3.2 Bộ giao thức IPSec (IP Security Protocol) 21 3.2.1 Cấu trúc bảo mật 21 3.2.2 Các chế độ làm việc của IPSec 22 3.2.2.1 Chế độ truyền tải (Transport mode) 22 3.2.2.2 Chế độ đường hầm (Tunnel Mode) 22 3.2.3 Các thành phần bên trong IPSec 23 3.2.3.1 Giao thức đóng gói tải tin an toàn ESP 23 3.2.3.2 Giao thức xác thực đầu mục AH 26 3.2.3.3 Giao thức trao đổi chìa khóa (IKE) 27 3.2.3.4 Một số vấn đề còn tồn đọng trong IPSec 30 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITETOSITE 31 4.1 Sơ đồ mạng 31 4.2 Các bước cấu hình 31 4.3 Triển khai chi tiết 31 CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 37 5.1 Đánh giá đề tài 37 5.2 Đánh giá bản thân 37 5.3 Hướng phát triển 37 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 38 TÀI LIỆU THAM KHẢO 40 DANH MỤC HÌNH ẢNH Hình 2. 1 Mô hình VPN cơ bản 3 Hình 2. 2 Đường hầm VPN 5 Hình 2. 3 Mô hình Remote access VPN 7 Hình 2. 4 Mô hình SitetoSite VPN 8 Hình 3. 1 Mô hình kết nối VPN sử dụng L2F 10 Hình 3. 2 Các thành phần trong hệ thống VPN sử dụng L2F 11 Hình 3. 3 Mô hình kết nối PPTP 13 Hình 3. 4 Mô hình kết nối VPN sử dụng L2TP 17 Hình 3. 5 Xử lý gói tin IP ở chế độ truyền tải 22 Hình 3. 6 Xử lý gói tin ở chế độ đường hầm 23 Hình 3. 7 Các trường của ESP header 24 Hình 3. 8 Ví dụ về ESP Header 24 Hình 3. 9 Quá trình mã hóa và hoạt động của giao thức ESP 25 Hình 3. 10 Một gói ESP 25 Hình 3. 11 Quá trình AH xác thực và bảm đảm tính toàn vẹn dữ liệu 26 Hình 3. 12 Các trường của AH Header 27 Hình 4. 1 Sơ đồ mạng được sử dụng trong bài lab 31 Hình 4. 2 Ping từ PC1 qua PC2 34 Hình 4. 3 Ping từ PC2 qua PC1 35 Hình 4. 4 Kiểm tra crypto map 35 Hình 4. 5 Kiểm tra IPSec SA 36 MỞ ĐẦU Mạng riêng ảo VPN (Virtual Private Network) là một mạng riêng biệt sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người dùng sử dụng từ xa. Thay vì sử dụng bởi một kết nối thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa. Một ứng dụng điển hình của VPN là cung cấp một kênh kết nối an toàn dựa trên kết nối internet giúp cho những văn phòng chi nhánh văn phòng ở xa hoặc những người làm việc từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính nội bộ trong mạng công ty. Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall. Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP.
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THƠNG II BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRÙN THƠNG HỆ: CHÍNH QUY NIÊN KHĨA: 2015 - 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Giáo viên hướng dẫn: ThS NGUYỄN XUÂN KHÁNH TP.HCM - tháng 07 / 2019 BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRÙN THƠNG HỆ: CHÍNH QUY NIÊN KHĨA: 2015 - 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Giáo viên hướng dẫn: ThS NGUYỄN XUÂN KHÁNH LỜI CẢM ƠN Để hoàn thành chuyên đề báo cáo thực tập trước hết em xin gửi đến quý thầy, cô giáo khoa Viễn Thơng trường Học viện Cơng nghệ Bưu Viễn thông lời cảm ơn chân thành Đặc biệt, em xin gởi đến thầy Nguyễn Xuân Khánh, người tận tình hướng dẫn, giúp đỡ em hồn thành chun đề báo cáo thực tập lời cảm ơn sâu sắc Sau tháng thực đề tài, hướng dẫn, bảo tận tình thầy cố gắng thân, em hoàn thành đề tài thực tập: “Tìm hiểu, thiết kế triển khai dịch vụ VPN site to site” Em xin chân thành cảm ơn Ban Lãnh Đạo, phịng ban cơng ty tạo điều kiện thuận lợi cho em tìm hiểu thực tiễn suốt trình thực tập công ty Đồng thời nhà trường tạo cho em có hội thưc tập nơi mà em yêu thích, cho em bước đời sống thực tế để áp dụng kiến thức mà thầy cô giáo giảng dạy Qua công việc thực tập em nhận nhiều điều mẻ bổ ích việc kinh doanh để giúp ích cho cơng việc sau thân Vì kiến thức thân cịn hạn chế, q trình thực tập, hồn thiện chun đề em khơng tránh khỏi sai sót, kính mong nhận ý kiến đóng góp từ cô quý công ty Một lần em xin gửi lời cảm ơn sâu sắc đến toàn thể thầy cô, anh chị đồng nghiệp bạn bè Tp Hồ Chí Minh, ngày 25 ,tháng 07 , năm 2019 Người thực MỤC LỤC MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN 1.1 Mục tiêu ý nghĩa đề tài 1.2 Phương pháp thực 1.3 Những nội dung 1.3.1 Lý thuyết 1.3.2 Thực hành 1.4 Kết đạt CHƯƠNG 2: TỔNG QUAN VỀ VPN 2.1 Định nghĩa, chức VPN 2.1.1 Khái niệm VPN 2.1.2 Chức VPN 2.2 Các yêu cầu giải pháp VPN 2.3 Đường hầm mã hóa 2.4 Các dạng kết nối VPN 2.4.1 Remote access VPN (VPN client to site) 2.4.2 Site-to-site VPN ( Lan-to-lan) CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN 3.1 Các giao thức đường hầm 3.1.1 Giao thức chuyển tiếp lớp (L2F – Layer Forwarding Protocol) 3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 12 3.1.2.1 Khái quát hoạt động PPTP 13 3.1.2.2 Duy trì đường hầm kết nối điều khiển PPTP 14 3.1.2.3 Đóng gói liệu đường hầm PPTP 15 3.1.2.4 Ưu điểm nhược điểm PPTP 16 3.1.3 Giao thức định đường hầm lớp (L2TP – Layer Tunneling Protocol) .16 3.1.3.1 Duy trì đường hầm tin điều khiển L2TP 18 3.1.3.2 Đóng gói liệu đường hầm L2TP 18 3.1.3.3 Xử lý liệu đầu cuối đường hầm L2TP IPSec 19 3.1.3.4 Các thành phần hệ thống VPN sử dụng giao thức L2TP 19 MỤC LỤC 3.1.3.5 Ưu điểm nhược điểm L2TP 20 3.2 Bộ giao thức IPSec (IP Security Protocol) 21 3.2.1 Cấu trúc bảo mật 21 3.2.2 Các chế độ làm việc IPSec 22 3.2.2.1 Chế độ truyền tải (Transport mode) 22 3.2.2.2 Chế độ đường hầm (Tunnel Mode) 22 3.2.3 Các thành phần bên IPSec 23 3.2.3.1 Giao thức đóng gói tải tin an tồn ESP 23 3.2.3.2 Giao thức xác thực đầu mục AH 26 3.2.3.3 Giao thức trao đổi chìa khóa (IKE) 27 3.2.3.4 Một số vấn đề tồn đọng IPSec 30 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE 31 4.1 Sơ đồ mạng 31 4.2 Các bước cấu hình 31 4.3 Triển khai chi tiết 31 CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 37 5.1 Đánh giá đề tài 37 5.2 Đánh giá thân 37 5.3 Hướng phát triển 37 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 38 TÀI LIỆU THAM KHẢO 40 DANH MỤC HÌNH ẢNH Hình Mơ hình VPN Hình 2 Đường hầm VPN Hình Mơ hình Remote access VPN Hình Mơ hình Site-to-Site VPN Hình Mơ hình kết nối VPN sử dụng L2F 10 Hình Các thành phần hệ thống VPN sử dụng L2F 11 Hình 3 Mơ hình kết nối PPTP 13 Hình Mơ hình kết nối VPN sử dụng L2TP 17 Hình Xử lý gói tin IP chế độ truyền tải 22 Hình Xử lý gói tin chế độ đường hầm 23 Hình Các trường ESP header 24 Hình Ví dụ ESP Header 24 Hình Q trình mã hóa hoạt động giao thức ESP 25 Hình 10 Một gói ESP 25 Hình 11 Quá trình AH xác thực bảm đảm tính tồn vẹn liệu .26 Hình 12 Các trường AH Header 27 Hình Sơ đồ mạng sử dụng lab .31 Hình Ping từ PC1 qua PC2 34 Hình Ping từ PC2 qua PC1 35 Hình 4 Kiểm tra crypto map 35 Hình Kiểm tra IPSec SA .36 MỞ ĐẦU Mạng riêng ảo VPN (Virtual Private Network) mạng riêng biệt sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người dùng sử dụng từ xa Thay sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Một ứng dụng điển hình VPN cung cấp kênh kết nối an toàn dựa kết nối internet giúp cho văn phòng chi nhánh / văn phòng xa người làm việc từ xa dùng Internet truy cập tài nguyên công ty cách bảo mật thoải mái sử dụng máy tính nội mạng công ty Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP Trang CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN 1.1 Mục tiêu ý nghĩa đề tài Đề tài tập trung tìm hiểu VPN, cách VPN hoạt động, giao thức sử dụng, ứng dụng VPN thực tế Hy vọng qua nghiên cứu này, có nhìn sâu cơng nghệnày, ứng dụng vào việc triển khai cho hệ thống mạng, góp phần phát triển ngành mạng Việt Nam toàn giới 1.2 Phương pháp thực Nguồn tài liệu lấy từ trang chủ Cisco, từ diễn đàn, cộng đồng Network 1.3 Thực hành dựa công cụ giả lập mạng GNS3 Những nội dung 1.3.1 Lý thuyết Tìm hiểu định nghĩa, ứng dụng cơng nghệ VPN Tìm hiểu u cầu giải pháp VPN Tìm hiểu kiến trúc, thành phần có cơng nghệ VPN Các đối tượng liên quan hệ thống sử dụng công nghệ VPN 1.3.2 Thực hành Xây dựng lab mơ cấu hình VPN site to site để làm rõ bước cấu hình VPN 1.4 Kết đạt Nắm rõ thành phần, chế hoạt động công nghệ VPN Triển khai lab mơ cấu hình VPN Bước đầu có nhận xét, đánh giá lợi ích mà VPN đem lại Trang CHƯƠNG 2: TỔNG QUAN VỀ VPN CHƯƠNG 2: TỔNG QUAN VỀ VPN 2.1 Định nghĩa, chức VPN 2.1.1 Khái niệm VPN Phương án truyền thơng nhanh, an tồn tin cậy trở thành mối quan tâm nhiều doanh nghiệp, đặc biệt doanh nghiệp có nhiều sở cách xa Nếu trước giải pháp thông thường thuê đường truyền riêng (leased lines) để trì mạng WAN (Wide Are Network) Mỗi mạng WAN có điểm thuận lợi độ tin cậy, hiệu tính an tồn, bảo mật Nhưng để bảo trì mạng WAN, đặc biệt sử dụng đường truyền riêng, doanh nghiệp phải tốn khoản đầu tư lớn Khi tính phổ biến Internet gia tăng, doanh nghiệp đầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban đầu, mạng nội (Intranet) mà site bảo mật mật thiết kế cho việc sử dụng thành viên công ty Hình Mơ hình VPN Về bản, VPN (virtual private network) mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP VPN gọi mạng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật thiết lập host, host mạng hai mạng với Trang Một VPN xây dựng cách sử dụng “Đường hầm” “Mã hố” VPN xuất lớp mơ hình OSI 2.1.2 Chức VPN VPN cung cấp ba chức chính: Tính tin cậy (Confidentiality): Người gửi mã hố gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, không truy cập thơng tin mà khơng cho phép Và có lấy khơng đọc Tính tồn vẹn liệu ( Data Integrity): người nhận kiểm tra liệu truyền qua mạng Internet mà khơng có thay đổi Tính xác thực (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin 2.2 Các yêu cầu giải pháp VPN Có yêu cầu cần đạt xây dựng mạng riêng ảo Tính tương thích (compatibility): Mỗi cơng ty, doanh nghiệp tự xây dựng hệ thống mạng mà khơng cần tuân theo chuẩn định nhà cung cấp dịch vụ Rất nhiều hệ thống mạng không sử dụng chuẩn TCP/IP vậykhơng thể kết nối trực tiếp với Internet Để sử dụng IP VPN tất hệ thống mạng riêng phải chuyển sang hệ thống địa theo chuẩn sử dụng internet bổ sung tính tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức việc chuyển đổi chuẩn khác sang chuẩn IP 77% số lượng khách hàng hỏi yêu cầu chọn nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị có họ Tính bảo mật (security): Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Người sử dụng cần đảm bảo liệu thông qua mạng VPN đạt mức độ an toàn giống hệ thống mạng nội họ tự xây dựng quản lý Việc cung cấp tính bảo đảm an tồn cần đảm bảo hai mục tiêu sau: - Cung cấp tính an tồn thích hợp bao gồm cung cấp mật cho người sử dụng mạng mã hoá liệu truyền - Đơn giản việc trì quản lý, sử dụng Địi hỏi thuận tiện đơn giản cho người sử dụng nhà quản trị mạng việc cài đặt quản trị hệ thống Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp tính bảo đảm chất lượng, hiệu suất sử dụng dịch vụ dung lượng truyền Tiêu chuẩn chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá mạng lưới có khả đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên Bước 3: Router đích sau nhận gói tin bao gồm IP Header, AH Header, Payload sử dụng giải thuật Hash lần để nhận kết chuỗi số Bước 4: Router phía đích so sánh chuỗi số vừa tạo chuỗi số nó, giống chấp nhận gói tin Hình 12 Các trường AH Header Next Header: Trường dài bits, chứa số giao thức IP Trong chế độ Tunnel, Payload gói tin IP, giá trị Next Header cài đặt Trong chế độ Transport, Payload giao thức Transport Layer Nếu giao thức lớp Transport TCP trường giao thức IP Nếu giao thức lớp transport UDP trường giao thức IP 17 Payload Length: Trường chứa chiều dài AH Header Reserved: Giá trị dành để sử dụng tương lai (cho đến thời điểm biểu thị số 0) Security Parameters Index (SPI): Mỗi đầu cuối kết nối IPSec tuỳ ý chọn giá trị SPI Hoạt động dùng để nhận dạng cho kết nối Bên nhận sử dụng giá trị SPI với địa IP đích loại giao thức IPSec (trong trường hợp AH) để xác định sách liên kết an ninh SA dùng cho gói tin (có nghĩa giao thức IPSec thuật toán dùng để sử dụng cho gói tin) Sequence Number: Chỉ số tăng lên cho AH Datagram host gửi có liên quan đến sách SA Giá trị bắt đầu đếm 1, chuỗi số không phép ghi đè lên Authentication Data: Trường chứa giá trị ICV (Integrity Check Value) Trường bội 32-bit phải đệm vào chiều dài ICV bytes chưa đầy 3.2.3.3 Giao thức trao đổi chìa khóa (IKE) Trong truyền thông sử dụng giao thức IPSec phải có trao đổi khóa hai điểm đầu cuối, địi hỏi phải có chế quản lý khóa Có hai phương thức chuyển giao khóa chuyển khóa tay chuyển khóa giao thức IKE Một hệ thống IPSec phụ thuộc phải hỗ trợ phương thức chuyển khóa tay Phương thức chìa khóa trao tay chẳng hạn khóa thương mại ghi giấy Phương thức phù hợp với số lượng nhỏ mạng, mạng lớn phải thực phương thức quản lý khóa tự động Trong IPSec người ta dùng giao thức trao đổi chìa khóa IKE (Internet Key Exchange) Giao thức IKE thiết kế để cung cấp khả năng: Cung cấp phương tiện cho hai bên cách thống giao thức, thuật tốn chìa khố để sử dụng Đảm bảo trao đổi khoá đến người dùng Quản lý khoá sau chấp nhận Đảm bảo điều khiển trao đổi khoá an toàn Cho phép chứng thực động đối tượng ngang hàng Giao thức IKE có đặc tính sau: Các chìa khố tự phát sinh thủ tục nhận biết Tự động làm lại chìa khố Giải vấn đề khố Mỗi giao thức an tồn (AH, ESP) có khơng gian số an tồn Gắn sẵn bảo vệ Trước IPSec gửi xác nhận mã hoá liệu IP, bên gửi bên nhận phải thống giải thuật mã hố chìa khố mã hố chìa khố để sử dụng IPSec sử dụng giao thức IKE để tự thiết lập giao thức đàm phán chìa khố sử dụng cho việc mã hoá, thuật toán sử dụng Dịch vụ bảo mật quan hệ hai hay nhiều thực để thỏa thuận truyền thơng an tồn gọi liên kết an ninh SA (Security Association) Liên kết an ninh kết nối đơn công, nghĩa với cặp A B có hai SA (một từ A tới B từ B tới A) Khi lưu lượng cần truyền trực tiếp hai chiều qua VPN, giao thức trao đổi khóa IKE thiết lập cặp SA trực tiếp sau thiết lập thêm nhiều SA khác, SA có thời gian sống riêng SA nhận dạng ba gồm có: Chỉ số thơng số an ninh SPI (Security Parameters Index) Địa IP đích Chỉ thị giao thức an ninh (AH hay ESP) Về ngun tắc, địa IP đích địa đơn hướng (Unicast), địa quảng bá (Broadcast) địa nhóm (Multicast) Tuy nhiên, chế quản lý SA IPSec định nghĩa cho SA đơn hướng Liên kết an ninh có hai kiểu truyền tải (Transport) đường hầm (Tunnel), phụ thuộc vào giao thức sử dụng SA kiểu truyền tải liên kết an ninh hai trạm yêu cầu hai hệ thống trung gian dọc đường truyền Trong trường hợp khác, kiểu truyền tải sử dụng để hỗ trợ IP-in-IP hay đường hầm GRE qua SA kiểu truyền tải SA kiểu đường hầm SA ứng dụng tới đường hầm IP SA hai cổng an ninh SA kiểu đường hầm điển hình, giống SA trạm cổng an ninh Tuy nhiên, trường hợp mà lưu lượng định hình từ trước lệnh SNMP, cổng an ninh làm nhiệm vụ trạm kiểu truyền tải cho phép Có hai sở liệu liên quan đến an ninh là: CSDL sách an ninh SPD (Security Policy Database) CSDL liên kết an ninh SAD (Security Association Database) SPD tùy chỉnh dịch vụ an ninh đề nghị cho lưu lượng IP, phụ thuộc vào yếu tố nguồn, đích, chiều hay vào Nó chứa đựng danh sách lối vào sách tồn riêng rẽ cho lưu lượng vào Các lối vào xác định vài lưu lượng khơng qua xử lý IPSec, vài phải loại bỏ cịn lại xử lý IPSec Các lối vào tương tự cho firewall hay lọc gói SAD chứa thơng số SA, giống tính tốn khóa AH hay ESP, số trình tự, kiểu giao thức thời gian sống SA Đối với xử lý ra, lối vào SPD trỏ tới lối vào SAD SAD định SA sử dụng cho gói Đối với xử lý vào, SAD tham khảo để định gói xử lý Kết nối IPSec hình thành SA thiết lập Tuy nhiên, thân IPSec khơng có chế để thiết lập liên kết an ninh Chính vậy, IETF chọn phương án chia trình thiết lập kết nối IPSec thành hai phần: IPSec cung cấp việc xử lý mức gói IKMP (Internet Key Management Protocol) chịu trách nhiệm thoả thuận liên kết an ninh Sau cân nhắc số phương án, có IKE, SKIP (Simple Key Internet Protocol) Photuis, IETF định chọn IKE chuẩn để cấu hình SA cho IPSec Một đường hầm IPSec-VPN thiết lập hai bên qua bước sau đây: Bước 1: Quyết định lưu lượng cần quan tâm bảo vệ giao diện yêu cầu thiết lập phiên thông tin IPSec Bước 2: Thương lượng chế độ (Main mode) chế độ linh hoạt (Aggressive modem) sử dụng IKE, kết tạo liên kết an ninh IKE (IKE SA) bên IPSec Bước 3: Thương lượng chế độ nhanh (Quick mode) sử dụng IKE, kết tạo hai IPSec SA bên IPSec Bước 4: Dữ liệu bắt đầu truyền qua đường hầm mã hóa sử dụng kỹ thuật đóng gói ESP hay AH hai Bước 5: Kết thúc đường hầm IPSec-VPN (nguyên nhân IPSec SA kết thúc, hết hạn bị xóa) 3.2.3.4 Một số vấn đề tồn đọng IPSec Mặc dù IPSec sẵn sàng đưa đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an tồn thơng qua Internet, nhiên cịn giai đoạn phát triển để hướng tới hoàn thiện Sau số vấn đề đặt mà IPSec cần phải giải để hỗ trợ tốt cho việc thực VPN: Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kỹ thuật nghiên cứu chưa chuẩn hóa Giao thức trao đổi khóa IKE cơng nghệ chưa thực khẳng định khả Phương thức chuyển khóa thủ cơng lại khơng thích hợp cho mạng có số lượng lớn đối tượng di động IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác Việc tính tốn nhiều giải thuật phức tạp IPSec cịn vấn đề khó trạm làm việc máy PC lực yếu Việc phân phối phần cứng phần mềm mật mã cịn bị hạn chế phủ số quốc gia CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TOSITE 4.1 Sơ đồ mạng Hình Sơ đồ mạng sử dụng lab Bài lab mô kết nối VPN site to site trụ sở TPHCM trụ sở Hà Nội Sơ đồ mạng lab gồm node router cisco 2800 pc làm client 4.2 Các bước cấu hình Cấu hình sách ISAKMP/IKE phase Cấu hình IPsec Transfom-set (ISAKMP/IKE phase 2) Tạo Access control list ACL Cấu hình crypto map Gán crypto map lên interfaces 4.3 Triển khai chi tiết Cấu hình router - Router ISP: Cấu hình hostname IP interfaces mơ hình trên: R1(config)#hostname ISP ISP(config)#interface s0/0/0 ISP(config-if)#ip address 10.0.0.2 255.255.255.252 ISP(config-if)#no shutdown ISP(config)#interface s0/0/1 ISP(config-if)#ip address 10.1.1.2 255.255.255.252 ISP(config-if)#no shutdown - Router TPHCM Hà Nội, cấu hình hostname IP interfaces theo mơ hình trên, sau cấu hình định tuyến Trang 31 R1(config)#hostname TPHCM SG(config)#interface s0/0/0 SG(config-if)#ip address 10.0.0.1 255.255.255.252 SG(config-if)#no shutdown SG(config)#interface f0/1 SG(config-if)#ip address 192.168.1.1 255.255.255.0 SG(config)#ip route 10.1.1.0 255.255.255.252 10.0.0.2 R3(config)#hostname HN VT(config)#interface s0/0/0 VT(config-if)#ip address 10.1.1.1 255.255.255.252 VT(config-if)#no shutdown VT(config)#interface f0/1 VT(config-if)#ip address 192.168.2.1 255.255.255.0 VT(config)#ip route 10.0.0.0 255.255.255.252 10.1.1.2 Cấu hình ISAKMP/IKE phase Ở bước ta quy định thông số bảo mật ISAKMP SA gồm: - Phương pháp chứng thực Thuật toán hash Thuật tốn mã hóa Số nhóm khóa Diffie-Hellman (version Diffie-Hellman) Trên router TPHCM: TPHCM(config)#crypto isakmp policy 10 TPHCM (config-isakmp)#hash md5 // thuật toán hash TPHCM (config-isakmp)#encryption des // thuật toán mã hố TPHCM (config-isakmp)#group // số nhóm (version) Diffie-Hellman TPHCM (config-isakmp)#authentication pre-share // Phương thức chứng thực TPHCM (config)#crypto isakmp key VPN123 address 10.1.1.1 // Xác định thông tin key peer Trên router Hà Nội: VT(config)#crypto isakmp policy 10 VT(config-isakmp)#hash md5 VT(config-isakmp)#encryption des VT(config-isakmp)#group VT(config-isakmp)#authentication pre-share VT(config)#crypto isakmp key VPN123 address 10.0.0.1 Cấu hình sách IPSec (IKE phase 2) Thiết lập IPSec SA dựa thông số phase 1: TPHCM(config)#crypto ipsec transform-set MYSET esp-des esp-md5-hmac //chọn giao thức ESP để đóng gói liệu TPHCM(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn IPSec SA HN(config)#crypto ipsec transform-set MYSET esp-des esp-md5hmac HN(config)#crypto ipsec security-association lifetime seconds 1800 Tạo Access control list ACL Xác định lớp mạng phép VPN: TPHCM(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 HN(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Cấu hình Crypto map: TPHCM(config)#crypto map MYMAP 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured TPHCM(config-crypto-map)#set peer 10.1.1.1 TPHCM(config-crypto-map)#set transform-set MYSET TPHCM(config-crypto-map)#match address 100 HN(config)#crypto map MYMAP 10 ipsec-isak % NOTE: This new crypto map will remain disabled until a peer and a valid access list have bee HN(config-crypto-map)#set peer 10.0.0.1 HN(config-crypto-map)#set transform-set MYSET HN(config-crypto-map)#match address 100 Gán crypto map vào interfaces TPHCM(config)#interface s0/0/0 TPHCM(config-if)#crypto map MYMAP HN(config)#interface s0/0/0 HN(config-if)#crypto map MYMAP Kiểm tra Kiểm tra kết nối LAN 192.168.1.0/24 192.168.2.0/24 Hình Ping từ PC1 qua PC2 Hình Ping từ PC2 qua PC1 Kiểm tra crypto map Hình 4 Kiểm tra crypto map Kiểm tra IPSec SA Hình Kiểm tra IPSec SA CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 5.1 Đánh giá đề tài VPN công nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguyên nội công ty từ bên ngồi thơng qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng Giải pháp VPN Site-to-Site giới thiệu viết yêu cầu lớn phần cứng, thích hợp với số người dùng vừa lớn Với việc hệ thống mạng ngày phát triển VPN giải pháp tốt để tối ưu hóa chi phí, tối ưu hóa hệ thống 5.2 Đánh giá thân Do thời gian lượng kiến thức hạn chế nên em phát triển phần nhỏ VPN Tuy nhiên trình tìm hiểu, em học thêm nhiều kiến thức, giao thức vận dụng vào lab 5.3 Hướng phát triển Đi sâu bảo mật VPN Tìm hiểu cơng nghệ VPN MPLS Làm lab thiết bị thật để đánh giá thêm khó khăn triển khai thực tế Trang 37 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ACK Acknowledgment Tin báo nhận AH Authentication Header Tiêu đề xác thực ATM Asynchronous Transfer Mode Chế độ truyền tải không đồng CA Certificate Authority Dịch vụ cấp quyền chứng nhận DES Data Encryption Standard Chuẩn mã hố liệu ESP Encapsulation Security Payload Đóng gói tải tin an toàn GRE Generic Routing Encapsulation Giao thức đóng gói định tuyến chung ID Identity Nhận dạng IKE Internet Key Exchange Giao thức trao đổi khóa Internet IP Internet Protocol Giao thức Internet IPX Internet Packet Exchange Giao thức trao đổi gói Internet L2F Layer Forwarding Giao thức chuyển tiếp lớp L2TP Layer Tunneling Protocol Giao thức định đường hầm lớp LAC L2TP Access Concentrator Bộ tập trung truy nhập giao thức L2TP LAN Local Area Network Mạng cục LNS L2TP Network Server Máy chủ phục vụ L2TP NAS Network Access Server Máy chủ truy cập mạng NetBEIU NetBIOS Enhanced User Interface OSI Open Systems Interconnection Mơ hình liên kết hệ thống mở PPP Point to Point Protocol Giao thức điểm - nối - điểm PPTP Point to Point Tunnel Protocol Giao thức đường hầm điểm - nối điểm PSTN Public Switched Telephone Network QoS Quality of Service RADIUS Remote Authentication Dial-In User Service RSA Chữ đầu tác giả Giao thức người dùng mở rộng NetBIOS Mạng điện thoại chuyển mạch công cộng Chất lượng dịch vụ Rivest, Shamir, Adleman Trang 38 Dịch vụ người sử dụng quay số xác thực từ xa Thuật tốn mã hóa công khai Trang 39 SA Security Association Liên kết an ninh SHA Secure Hash Algorithm Thuật toán phân tách bảo mật SPI Security Parameters Index Chỉ số thông số an ninh TACACS Terminal Access Controller Access Control System Hệ thống điều khiển truy nhập điều khiển truy nhập đầu cuối TCP Transmission Control Protocol Giao thức điều khiển truyền thông UDP User Datagram Protocol Giao thức liệu đồ người sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Mạng diện rộng Wide Area Network TÀI LIỆU THAM KHẢO Giáo trình MẠNG RIÊNG ẢO – TS Nguyễn Tiến Ban, ThS Hồng Trọng Minh, Học Viện Cơng nghệ Bưu - Viễn thơng, 2007 The Complete Cisco VPN Configuration Guide – Richard A Deal VPNs Illustrated: Tunnels, VPNs, and IPSec - Jon C Snader ... THUẬT ĐIỆN TỬ TRÙN THƠNG HỆ: CHÍNH QUY NIÊN KHĨA: 2015 - 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Giáo viên hướng dẫn: ThS NGUYỄN XUÂN KHÁNH LỜI CẢM ƠN Để hoàn thành... thành đề tài thực tập: ? ?Tìm hiểu, thiết kế triển khai dịch vụ VPN site to site? ?? Em xin chân thành cảm ơn Ban Lãnh Đạo, phịng ban cơng ty tạo điều kiện thuận lợi cho em tìm hiểu thực tiễn suốt... Site- to -Site VPN Remote Access VPN mang tính tượng trưng Nhiều thiết bị VPN hoạt động theo hai cách Hình Mơ hình Site- to -Site VPN Site- to -Site VPN phân làm loại Intranet VPN Extranet VPN xét theo quan điểm