Tài liệu tham khảo ngành viễn thông Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật
Trang 1CHƯƠNG 5
QUẢN LÝ MẠNG VPN
Đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạng lớn làvấn đề đóng vai trò quan trọng Người quản trị mạng phải nắm bắt được đầy đửvà thường xuyên các thông tin về cấu hình, sự cố và tất cả số liệu liên quan đếnviệc sử dụng mạng.
Việc quản lý mạng VPN bao gồm: quản lý bảo mật, quản lý địa chỉ IP vàquản lý chất lượng mạng
5.1 Quản lý bảo mật (mật mã và xác thực)
Quản lý bảo mật không chỉ bao hàm việc xác thực những người dùng từnhững vị trí khác nhau, điều khiển quyền truy cập mà còn có quản lý khoá, liênkết với các thiết bị VPN Trong phần này ta sẽ thảo luận các vấn đề về bảo mậtcác máy tính, các mạng và dữ liệu.
Trước tiên là một số vấn đề tổng quát về chính sách bảo mật thống nhất,những vấn đề liên quan đến bảo mật xung quanh việc quản lý VPN Sau đó,chúng ta sẽ tập trung vào chọn lọc một số giải thuật mã hoá và các chiều dàikhoá, phân phối các khoá và liên kết thông tin trong tập liên kết bảo mật IPSec,cũng như xác thực người dùng và điều khiển truy cập IPSec đưa ra các chínhsách bảo mật dữ liệu với bất kỳ giao thức nào và có nhiều lựa chọn nên việcquản lý bảo mật cho VPN sẽ tập trung trên nền IPSec, có bao hàm PPTP vàL2TP ở những vị trí thích hợp
5.1.1 Các chính sách bảo mật thống nhất
Một khung làm việc bảo mật cho một tổ chức bao gồm các yếu tố: xácthực, tính bảo mật, tính nguyên vẹn, cấp quyền, tính sẵn sàng, quản lý và độ tincậy Một cơ chế bảo mật thống nhất cần thực hiện:
- Xem xét những gì ta đang bảo mật.- Xem xét những gì ta cần bảo mật từ đâu.- Xác định các nguy cơ có thể.
- Tiến hành đánh giá những việc bảo mật trong phương pháp xác thực giá.- Xem xét việc xử lý một cách liên tục.
- Hoàn thiện mọi thời gian thực.
Trang 2Xác thực
Quản lýSăn sàng
Cấp quyền
Tính bảo mật
Tính tin cậyTính toàn
Chính sách bảo mật của mạng riêng
Hình 5.1: Các thành phần của hệ thống bảo mật
Chính sách bảo mật truyền thống nhận biết tất cả các tài sản, thông tin đangđược bảo mật, cơ sở dữ liệu tập trung và phần cứng máy tính Nhưng, khi các hệthống thông tin đã trở nên phân tán hơn, nhiều hơn thì các chính sách bảo mậtthống nhất bao hàm quản lý trên phạm vi các LAN
Khi định nghĩa các chính sách bảo mật cho mạng thì cần nhận biết mọiđiểm truy cập tới hệ thống thông tin và định nghĩa các nguyên tắc của chínhsách để bảo mật các điểm vào/ra
Một số vấn đề khi lập một chính sách bảo mật:
- Việc tổ chức, lập kế hoạch sử dụng các dịch vụ Internet?- Các dịch vụ sẽ được sử dụng ở đâu?
- Điều gì sẽ xảy ra khi liên kết việc cung cấp các dịch vụ và truy cập?
- Định giá cái gì trong giới hạn của điều khiển và tác động trên mạng khôngtin cậy được cung cấp bảo mật ?
- Cần bổ sung những gì (mã hoá, xác thực ) để có thể hỗ trợ?- Ngân sách để thực hiện việc bảo mật?
Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng các biến cố, sựcố phức tạp xảy ra.
5.1.2 Các phương thức mã hoá
Khi xây dựng một mạng VPN thì tuỳ theo mức độ yêu cầu mà ta có thể thiếtlập các mức độ bảo mật dữ liệu khác nhau.
Trang 3a) Các giao thức và giải thuật cho VPN
Các giao thức IPSec, PPTP và L2TP đưa ra các giải thuật cho phép để mãhoá dữ liệu.
Giao thức PPTP có thể sử dụng PPP, DES, 3DES để mã hoá dữ liệu.Microsoft đưa ra một phương thức mã hoá gọi là mã hoá điểm-điểm MPPE(Microsoft Point-to-Point Encryption) để sử dụng với đường hầm PPTP MPPEsử dụng giải thuật RC4 với các khoá 40 bit hoặc 128 bit.
Giao thức L2TP có thể sử dụng PPP để mã hoá dữ liệu, tuy nhiên trongL2TP, thường sử dụng IPSec để mã hoá dữ liệu.
Trong IPSec, giải thuật mã hoá được mặc định để sử dụng trong ESP làDES và 3DES
b) Chiều dài khoá
Cần phải xác định độ nhạy của dữ liệu để có thể tính toán nó nhạy bao lâuvà nó sẽ được bảo mật trong bao lâu Khi tính được, ta có thể chọn một giảithuật mã hoá và chiều dài khoá để đảm bảo thời gian phá lâu hơn nhiều thời giannhạy của dữ liệu
Bảng: là thông tin tóm lược của Brude Schnier (Thực hành mã hoá_AppliedCryptography) đưa ra thời gian và phí tổn cần thiết để phá khoá.
Giá(USD)
Chiều dài khoá theo bit
40 64 80 128 100 ngàn
1 triệu 100 triệu 1 tỷ 100 tỷ
2 giây 2 giây 2ms 2ms 2ms
1 năm 37 ngày 9 giờ 1 giờ 32 giây
70.000 năm 7.000 năm 70 năm 7 năm 24 ngày
1019 năm 1018 năm 1016 năm 1015 năm 1013 năm Bảng 3: Đối chiếu thồi gian và phí tổn để phá các khoá
5.1.3 Quản lý khoá cho các cổng nối
Một số khoá thường được yêu cầu đẩm bảo liên lạc giữa các cổng nối bao gồm:- Có một cặp khoá để nhận dạng 2 cổng nối khác nhau, các khoá này phải
được kết nối cứng, thay đổi nhân công hoặc truyền qua các chứng nhận điệntử.
Trang 4- Các khoá phiên yêu cầu xác thực và mã hoá các gói được truyền giữa cáccổng nối, cụ thể, sử dụng các tiêu đề AH, ESP của IPSec
Các khoá khác nhau được yêu cầu cho mỗi tiêu đề IPSec và được xem xétqua các liên kết bảo mật Ví dụ, nếu cả AH và ESP được sử dụng để xử lý cácgói thì khi đó hai SA được xem xét giữa các cổng nối hoặc các host
a) Nhận dạng các cổng nối
Một đường hầm bảo mật có thể được thiết lập giữa hai cổng nối bảo mậthoặc giữa một host từ xa và một cổng nối bảo mật, các thiết bị này đã được xácthực bởi một thiết bị khác và được chấp thuận trên một khoá Xác thực ở đâykhông đồng thời với xác thực các gói sử dụng tiêu đề AH, mà là các thiết bị tựxác thực.
Các cổng nối sử dụng các cặp khoá chung có thể được xác thực nhân công,nhưng nó thường được kết nối cứng trong thiết bị trước khi nó được xắp xếp.Sau đó người quản lý mạng ghi các thiết bị mới với các cổng nối bảo mật kháctrên VPN, đưa ra các cổng nối này khoá chung do đó có thể thay đổi các khoáphiên.
Nếu một cổng nối bảo mật không được xếp với các khoá két nối cứng,cổng nối sẽ thiết lập để đưa ra ngẫu nhiên cặp khoá của nó Khi đó một chứngnhận điện tử sẽ được chỉ định với khoá riêng và gửi đến quyền đăng nhập chứngnhận thích hợp, một máy chủ chứng nhận nội bộ hoặc CA cấp 3 như Versign.Khi chúng nhận được chấp thuận, chứng nhận này sẵn sàng từ CA để sử dụngbởi các cổng nối bảo mật khác và các client từ xa tới xác thực vị trí trước khi dữliệu được thay đổi
b) Điều khiển các khoá phiên
Nếu thay đổi khoá (giống như trong IPSec hay L2TP) được yêu cầu giữa cácvị trí, phương thức cơ bản nhất là thay đổi nhân công các khoá Một khoá phiênban đầu được sinh ra ngẫu nhiên bởi một cổng nối bảo mật và sau đó người quảnlý mạng phân phối khoá để quản lý thiết bị thứ cấp, cụ thể là máy điện thoại, ghithư hoặc kết hợp thư tín Quản lý thứ cấp đặt khoá đến cổng nối bảo mật thứ cấpvà một phiên bảo mật giữa hai cổng nối được thiết lập Các khoá mới được sinh rakhi có yêu cầu và được phân phối cùng phương cách như trước
Trang 55.1.4 Quản lý khoá cho các người dùng
Trong VPN kết nối LAN-LAN, các khoá được đưa ra và được phân phốimột cách tương đối dơn giản để quản lý khi số lượng vị trí không quá lớn.Nếu số vị trí nhỏ hơn 100, một hệ thống động sử dụng các quyền chứng nhậnbên ngoài hoặc máy chủ chứng nhận nội bộ nên không làm phức tạp việc quảnlý tiêu đề.
Quản lý khóa đối với người dùng từ xa, với số lượng người dùng từ xa cóthể lên tới hàng ngàn, cần phải xắp xếp và thực hiện tự động khi có thể Để hỗtrợ số lượng lớn người đang truy cập từ xa với một cổng nối bảo mật thì cầnphải thực liện liên kết bảo mật client một cách tập trung.
Người dùng VPN từ xa thường sử dụng máy tính xách tay để truy cập, máytính sách tay lại dễ bị lấy cắp nên các khoá lưu trữ trên máy tính xách tay rất dễbị mất Có 3 công nghệ chính để bảo mật các khoá:
- Lưu trữ các khoá trên một thiết bị di dời được như đĩa, card thông minh.- Mã hoá khoá với một mật khẩu và yêu cầu client xác nhận mật khẩu trước
khi truy cập.
- Mã hoá các khoá với một mật khẩu và ngăn cản truy cập nếu sử dụng saimật khẩu Giới hạn số lần sai mật khẩu, ví dụ: nếu sai 3 lần liên tiếp thìkhông cho phép client có khoá đó truy cập tiếp
5.1.5 Các dịch vụ xác thực
Có nhiều cách khác nhau để xác thực người dùng vào mạng: sử dụng mậtkhẩu, các hệ thống lệnh/đáp ứng sử dụng RADIUS, sử dụng các thẻ bài, cácchứng nhận điện tử… Nếu thiết bị của mạng đã hỗ trợ truy cập từ xa qua modemvà máy chủ truy cập từ xa, khi đó cần liên kết nó tới cổng nối bảo mật để điềukhiển xác thực và quyền truy cập của các người dùng VPN.
Dữ liệuMáy chủ
xác thựcMáy chủ
truy cập từ xa
InternetRADIUSNgười dùng
ở xa
Mạng riêng được bảo vệ
Cơ sở dữ liệu nhận dạng người dùng
Hình 5.2: Xác thực người dùng
Trang 6Nếu sử dụng L2F, PPTP, hoặc L2TP để tạo các đường hầm, dùng ISP nhưmột điểm cuối của đường hầm thì khi đó máy chủ xác thực của ISP uỷ quyền tớimáy chủ xác thực của mạng riêng Điều này cho phép duy trì điều khiển việcthiết lập các thông số xác thực và các quyền truy cập nhưng ngăn chặn ISP dùngthông tin đó để cung cấp quyền truy cập tới những người dùng từ xa.
5.1.6 Quản lý CA nội bộ
Các chứng nhận điện tử có một chu kỳ sống hữu hạn, sau khi các chứngnhận được cấp phát một thời gian chúng sẽ ngừng hoặc có thể bị huỷ bỏ Cácchứng nhận cũng có thể được tái lập và cần được dự phòng trong trường hợp cáckhoá cần được thu hồi sau một ngày.
Nếu muốn tiến hành quyền đăng nhập chứng nhận riêng trong nội bộ, quảnlý hệ thống không chỉ đòi hỏi tạo các cặp khoá và cấp phát các chứng nhận màcòn quản lý các khoá và các chứng nhận này Quản lý các chứng nhận bao gồmviệc duy trì nơi chứng nhận, từ chối chứng nhận khi cần và cấp phát bản kê khaihuỷ bỏ các chứng nhận CRL (Certification Revocation Lists) Quản lý khoá đòihỏi khoá dự phòng và thu hồi khoá, tự động cập nhật khoá (và các xác thực) vàquản lý nguồn gốc khoá.
5.1.7 Điều khiển quyền truy cập
Một VPN được cấu tạo để cung cấp liên lạc giữa các host và các cổng nốibảo mật Điều khiển truy cập ở đây không chỉ bao gồm điều khiển quyền truycập vào mạng mà còn điều khiển các mức truy cập trong mạng
Tài nguyên trong công ty được phân thành các mức khác nhau, tuy theocông việc và mức độ quan trọng mà có thể được truy cập vào các tài nguyênkhác nhau Ví dụ, nhân viên bán hàng không được phép truy cập tới tài nguyêncủa nhóm nghiên cứu, nhóm dự án hay quản lý
Tóm lại, Quản lý bảo mật cho VPN là một phần trong chính sách bảo mật,quản lý VPN Vấn đề xác thực người dùng và điều khiển truy cập tới các tàinguyên của mạng đóng vai trò hết sức quan trọng Phân phối khoá để xác thựccác cổng nối bảo mật và các host từ xa là phần quan trọng trong việc quản lýVPN Các quyền đăng nhập chứng nhận hay máy chủ chứng nhận nội bộ riêngcó thể được sử dụng để cấp phát và điều khiển các chứng nhận điện tử.
Trang 75.2 Quản lý địa chỉ
Sự phát triển bùng nổ trong việc sử dụng địa chỉ IP để truyền thông dữ liệu,các tổ chức thương mại dẫn tới một số vấn đề về việc cấp phát và quản lý địa chỉIP Không gian địa chỉ IPv4 có 32 bit, cung cấp 232=4.294.967.296 địa chỉ đãkhông đủ cung cấp Các giải pháp ngắn hạn đã được sử dụng để giải quyết sựthiếu hụt về địa chỉ Tuy nhiên, trong tương lai IPv6 với trường địa chỉ dài 128bit cung cấp 2128 địa chỉ.
Trong phần này ta sẽ chỉ ra một số vấn đề trợ giúp người quản lý và ngườithiết kế, các phương pháp cấp phát địa chỉ tới các thiết bị mạng trên cả mạngriêng và mạng chung, các vấn đề liên quan tới việc đặt tên các thực thể mạngqua hệ thống tên miền DNS (Domain Name System).
5.2.1 Địa chỉ IPv4
Các địa chỉ IPv4 là một số nhị phân có chiều dài 32 bit, cấu trúc thành 4octet (1 octet = 8bit) bao gồm 2 phần: Phần Net work và phần host Phần chỉ sốmạng được gán bởi ARIN, còn phần host được gán bởi nhà quản lý ARIN(American Registry for Internet Number) phân dải địa chỉ IP thành 3 lớp: lớp A,lớp B, và lớp C.
Địa chỉ lớp A dùng 8 bit (1 octet) đầu tiên để định danh phần địa chỉ mạng,24bit (3 octet) còn lại có thể được dùng cho phần host của địa chỉ Mỗi mạngcủa địa chỉ lớp A có thể gán đến (224-2) hay 16.777.214 địa chỉ IP cho các thiếtbị gắn vào mạng ( trừ đi một địa chỉ mạng và một địa chỉ quảng bá).
Địa chỉ lớp B dùng 16 bit đầu tiên (2 octet) đầu tiên để nhận dạng phần địachỉ mạng Hai octet còn lại của địa chỉ IP có thể được dùng cho phần host củađịa chỉ Mỗi mạng dùng địa chỉ IP lớp B có thể gán đến (216-2) hay 65.534 địachỉ cho các thiết bị gắn vào
Địa chỉ IP lớp C dùng 24 bit đầu tiên (3 octet) đầu tiên để nhận dạng phầnđịa chỉ mạng chỉ có octet cuối cùng của địa chỉ IP lớp C là có thể được dùngcho phần host của địa chỉ Mỗi mạng dùng địa chỉ IP lớp C có thể gán đến (28-2)hay 254 địa chỉ IP cho các thiết bị gắn vào
5.2.2 Cấp phát địa chỉ
Trang 8Trong các tổ chức lớn bao gồm rất nhiều máy thì việc cấp phát địa chỉ IPcho hàng ngàn trạm làm việc và cấu hình các địa chỉ này trong phần mềmTCP/IP là một công việc khó khăn.
Có hai kiểu cấp phát địa chỉ IP vẫn thường được đề cập và sử dụng đó là:Cấp phát địa chỉ động và cấp phát địa chỉ tĩnh.
Với phương thức cấp phát địa chỉ tĩnh, thì ta phải đến từng thiết bị và cấuhình cho nó với một địa chỉ IP Phương pháp này đòi hỏi phải ghi nhớ một cáchtỉ mỉ, vấn đề trở ngại có thể xảy ra trên mạng nếu dùng trùng địa chỉ IP hay cấuhình nhầm Phương thức này chỉ có thể sử dụng khi cấp phát địa chỉ cho một sốlượng nhỏ máy Phương pháp cấp phát địa chỉ tĩnh tiêu tốn nhiều thời gian, bấtcứ một sự thay đổi nhỏ nào của mạng đều phải cấu hình lại mạng nên rất tốnkém và hiệu quả thấp Khi số lượng địa chỉ IP cần cấp phát lên tới hàng trăm,hàng ngàn thì phương pháp này không còn hợp lý và rất khó để thực hiện
Với phương thức cấp phát địa chỉ động, các địa chỉ IP được gán một cáchtự động, ta không cần phải đến từ thiết bị mà có thể gán từ máy chủ ở xa Đểgiải quyết vấn đề này một phương thức cấp phát địa chỉ IP động là giao thức cấuhình host động DHCP (Dynamic Host Configuration Protocol)
* Giao thức cấu hình host động DHCP được thiết kế để cung cấp một phươngpháp tập trung tới cấu hình và duy trì một không gian địa chỉ IP, mạng quản lýcấu hình các loại thiết bị trên mạng được định vị duy nhất DHCP cho phép cácđịa chỉ IP được chỉ định linh động tới các trạm làm việc
Hoạt động DHCP hoàn toàn đơn giản Khi một client DHCP được kíchhoạt, nó chuyển vào trạng thái khởi động và gửi yêu cầu DHCP quảng bá chomáy chủ DHCP trên mạng cung cấp cho nó một địa chỉ IP và các thông số cấuhình, sau đó chuyển đến trạng thái chọn lựa Máy chủ DHCP trên mạng đưa ramột địa chỉ IP và các thông số cấu hình bằng việc gửi một phúc đáp tới client đểcấu hình client này Client có thể chấp nhận hoặc đợi các máy chủ khác trênmạng Cuối cùng, client lựa chọn và đưa ra công bố chi tiết đến máy chủ thíchhợp Máy chủ được chọn sẽ gửi trả báo nhận với địa chỉ IP được đưa ra và bấtkỳ một thông số cấu hình khác mà client yêu cầu.
Địa chỉ IP đưa tới lient bởi máy chủ DHCP có thoả thuận về thời gian tồntại Trong suốt thời gian sống của địa chỉ động, client thường xuyên hỏi máy chủđể tái lập Nếu client không muốn tái lập hoặc máy client kết thúc thì địa chỉ IPnày có thể được cấp phất cho máy khác.
Trang 9* Hệ thống tên miền DNS (Domain Name System)
Các địa chỉ IP dưới dạng các số nhị phân hay các số thập phân thì đều khónhớ, mọi người thích và cảm thấy dễ nhớ tên hơn là các địa chỉ IP Để liên hệnội dung của site với địa chỉ của nó, người ta đã phát triển ra hệ thống tên miềnDNS Một domain hay một miền là một nhóm các máy tính được liên hệ vị tríđịa lý của nó hoặc hình thức kinh doanh dùng nó Một domain name là mộtchuỗi ký tự hay chữ số, thông thường là tên đầy đủ hay viết tắt, tượng trưng chomột địa chỉ ở dạng số của một Internet site Có hơn 200 miền thuộc mức trêncùng trên mạng Internet, ví dụ như:
vn Việt nam us Mỹ
uk Vương quốc anh
Cũng có các tên phân loại chung, ví dụ như: .com Những site thương mại
edu Những site giáo dục org Những site phi lợi nhuận
gov Những site của tổ chức chính phủ .net Dịch vụ mạng
Hệ thống tên miền DNS là hệ thống đặt tên chính thức của Internet DNS làhệ thống đặt tên phân tán, cơ sở dữ liệu là các tên tịnh tiến để có thể cung cấpcho nhiều host
Hệ thống DNS được xây dựng dưới dạng phân cấp, tạo ra các mức khácnhau cho các DNS server Máy chủ tên miền DNS (Domain name server) là mộtthiết bị mạng Nó đáp ứng cho các yêu cầu từ các client để dịch một tên miềnsang địa chỉ IP tương ứng.
Nếu một DNS cục bộ có thể dịch một tên miền sang địa chỉ IP liên hệ, nósẽ thực hiện và trả kết quả về cho client Nếu không thể dịch địa chỉ này thì nósẽ chuyển yêu cầu đến một DNS mức cao hơn kế tiếp để cố gắng dịch địa chỉ.Nếu DNS mức này có thể dịch tên miền sang địa chỉ IP tương ứng thì nó sẽ thựchiện và trả kết quả về cho client Nếu không thể, nó lại gửi yêu cầu cho các mứccao hơn kế tiếp Quá trình này cứ lặp lại cho đến khi tên miền được dịch hay đạtđến DNS ở mức trên cùng Nếu tên miền không tìm thấy trên DNS lớp cao nhấtthì xem như có lỗi và thông báo lỗi tương ứng sẽ được gửi đến client.
Trang 10Bất kỳ ứng dụng nào dùng các tên miền đều biểu diễn cho các địa chỉ IPđều phải dùng DNS để dịch tên miền sang địa chỉ IP tương ứng
Dữ liệu
Máy chủDHCPhost
Dữ liệu
Máy chủ DNS thứ cấp
Máy chủ DNS sơ cấpHệ thống
host
Máy chủ DNS thứ cấp
Máy chủ DHCP cấp địa chỉ IP cho các host
Máy chủ DHCP thông báo cho máy chủ DNS thứ cấp chấp nhận địa chỉ IP và tên của host.
Máy chủ DNS thông báo cho máy chủ DNS sơ cấp về những thay đổi nếu cần.
Hình 5.3: Mối quan hệ giữa máy chủ DHCP và máy chủ DNS
5.2.3 NAT và các địa chỉ riêng
Các địa chỉ IP được cấp phát bởi IANA được chỉ định để sử dụng trênmạng Internet Nếu công ty không có mục đích sử dụng Internet mà chỉ yêu cầukết nối trong một mạng không cần kết nối với bên ngoài thì các địa chỉ riêng làlý tưởng cho họ
Các dải địa chỉ riêng: Lớp A: 10.0.0.0 ÷ 10.255.255.255 Lớp B: 172.16.0.0 ÷ 172.31.255.255 Lớp C: 192.168.0.0 ÷ 192.168.255.255
IETF khuyến nghị một số dải địa chỉ riêng được sử dụng để các bộ địnhtuyến Internet sẽ không bị nhầm lẫn nếu các địa chỉ được biết ngẫu nhiên trênInternet.