4.1.1.1. GNS3
GNS3 là một chương trình giả lập sử dụng giao diện đồ họa cho phép mô phỏng các giao thức mạng phức tạp. Chương trình có thể giả lập các giao thức của router (IOS, JunOS), tường lửa (ASA, PIX).
Để cho phép mô phỏng một cách toàn diện, GNS3 được liên kết với : - Dynamips.
- Dynagen. - Qemu.
GNS3 cũng được sử dụng để thử nghiệm các tính năng của Cisco IOS, Juniper JUNOS hoặc để kiểm tra cấu hình cần được triển khai trên các bộ định tuyến thực sự. GNS3 có thể sử dụng trên nhiều hệ điều hành khác nhau: Windows, Linux và MacOSX.
Chức năng chính của GNS3
• Thiết kế các giao thức mạng phức tạp và chất lượng cao.
• Hỗ trợ nhiều dạng router Cisco IOS, IPS, PIX và ASA firewall, JUNOS.
• Mô phỏng Ethernet đơn giản, ATM và Frame Relay Switch.
• Kết nối mạng mô phỏng với thế giới thực.
• Hỗ trợ chụp, giám sát các gói tin bằng Wireshark.
4.1.1.2. VMware Workstation
VMware Workstation là phần mềm ảo hóa desktop mạnh mẽ cho các nhà phát triển/kiểm tra phần mềm cũng như các chuyên viên IT trong doanh nghiệp muốn chạy nhiều hệ điều hành đồng thời trên một máy tính. Người dùng có thể chạy Windows, Linux, NetWare, hay Solaris x86 với hỗ trợ mạng trên các máy ảo – không cần khởi động lại hay phân vùng ổ cứng vật lý. VMware Workstation đem đến hiệu suất hoạt động xuất sắc cùng các tính năng cao cấp như tối ưu bộ nhớ và khả năng quản lý nhiều cấu hình cho nhiều người dùng. Các tính năng cần thiết như mạng ảo, các bản chụp sao lưu trực tiếp, hỗ trợ chia sẻ qua kéo thả hay qua thư mục chia sẻ, hỗ trợ PXE khiến cho VMware Workstation trở thành công cụ mạnh mẽ nhất và không thể thiếu cho các nhà phát triển IT doanh nghiệp cùng các quản trị hệ thống.
VMware Workstation hoạt động bằng cách cho phép nhiều hệ điều hành và các
ứng dụng chạy đồng thời trên một máy vật lý. Các hệ điều hành và ứng dụng này
được cách li trong các máy ảo bảo mật cùng tồn tại trên một phần cứng duy nhất. Lớp máy ảo VMware ấn định tài nguyên hệ thống phần cứng cho tài nguyên hệ thống của từng máy ảo, nhờ đó các máy ảo sẽ sử dụng CPU, RAM, các ổ đĩa, các thiết bị nhập/xuất riêng biệt. Các máy ảo hoàn toàn tương đương với một hệ thống x86 thông thường.
Vmware Workstation cho phép người dùng:
• Cấu hình và kiểm tra các ứng dụng đa người dùng, cập nhật ứng dụng, và cài đặt các bản và hệ thống trên một máy tính duy nhất.
• Dễ dàng khôi phục hay chia sẻ các môi trường kiểm tra, giảm thiểu việc cấu hình lặp lại và thời gian cài đặt.
• Hướng dẫn phân luồng qua máy tính bằng cách cho phép người sử dụng bắt đầu từ trạng thái nguyên thủy và thử nghiệm với nhiều hệ điều hành, ứng dụng, công cụ trong các máy ảo bảo mật và độc lập.
• Chạy thử nghiệm phần mềm hay các cấu hình đa người dùng phức tạp trên một máy tính duy nhất.
• Tăng tốc trợ giúp các vấn đề từ người dùng với thư viện các máy ảo cấu hình sẵn.
4.1.1.3. Wireshark
Wireshark là công cụ dùng để phân tích các giao thức của mạng. Wireshark cho phép người sử dụng xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích chúng. Dữ liệu có thể bắt được thông qua giao diện đồ hoạ hoặc qua TTY- mode của tiện ích TShark. Wireshark có thể đọc/ghi nhiều dạng file như tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, … Dữ liệu nén dạng gzip bắt được có thể giải nén ngay lập tức, ngoài ra Wireshark cũng cung cấp nhiều phương thức giải nén cho nhiều phương thức khác như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, …
Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, …
WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ.
Ưu điểm của Wireshark
• Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức.
• Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.
• Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.
• Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.
4.1.2. Mô hình mạng
Ta sử dụng mô hình với 3 Router model 3620 có tên RA, RI, RB. Trong đó RA, RB là hai điểm kết nối VPN còn RI là Router đóng vai trò giả lập ISP trong môi trường Internet. Ngoài ra trong mô hình còn sử dụng hai máy tính PC1 và PC2 kết nối vào hai Router RA và RB mục đích để kiểm tra kết nối VPN. Để có thêm hai PC này, ta dùng phần mềm VMWare để tạo hai máy tính ảo chạy Windows XP trên máy thật và cho kết nối vào hai cổng Ethernet của hai Router đầu cuối.
Hình 4.1. Mô hình thử nghiệm IPSec VPN
Mô hình mạng trên có thể áp dụng cho một công ty có hai chi nhánh muốn tạo một kết nối riêng thông qua môi trường internet công cộng. Ở đây RA và RB đại diện cho 2 router của 2 mạng LAN muốn kết nối VPN.
4.2. Cấu hình IPSec VPN site-to-site
Ta sẽ cấu hình VPN trên hai router RA và RB để bất cứ lưu lượng TCP nào từ mạng 192.168.2.0/24 đi đến mạng 192.168.3.0/24 và ngược lại đều phải được mã hóa theo giao thức IPSec khi gửi ra môi trường công cộng.
Sau khi dựng được mô hình mạng trên, ta tiến hành cấu hình các router. Trước hết là cấu hình interface để kết nối 3 router và cấu hình định tuyến cơ bản, sau đó mới có thể cấu hình VPN.
4.2.1. Cấu hình định tuyến cơ bản cho các Router RA: RA: RA> enable RA#configure terminal RA(config)#interfaces s1/0 RA(config-if)#ip address 172.16.2.1 255.255.255.0 89
RA(config-if)#clock rate 64000 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#interface f0/0 RA(config-if)#ip address 192.168.2.1 255.255.255.0 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#ip routing
RA(config)#ip route 0.0.0.0 0.0.0.0 s1/0 <= default route
RB RB> enable RB#configure terminal RB(config)#interfaces s1/0 RB(config-if)#ip address 172.16.3.1 255.255.255.0 RB(config-if)#clock rate 64000 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface f0/0 RB(config-if)#ip address 192.168.3.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#ip routing
RB(config)#ip route 0.0.0.0 0.0.0.0 s0/0 <= default route
RI
RI> enable RI#configure terminal RI(config)#interfaces s0/0 RI(config-if)#ip address 172.16.2.2 255.255.255.0 RI(config-if)#clock rate 64000 RI(config-if)#no shutdown RI(config-if)#exit RI(config)#interface s0/1 RI(config-if)#ip address 172.16.3.2 255.255.255.0 RI(config-if)#clockrate 64000 RI(config-if)#no shutdown RI(config-if)#exit RI(config)#ip route 192.168.2.0 255.255.255.0 s0/0 RI(config)#ip route 192.168.3.0 255.255.255.0 s0/1
Mô hình mạng sau khi đã cấu hình interface và định tuyến cơ bản
Hình 4.2. Địa chỉ IP của các cổng sau khi cấu hình
4.2.2. Cấu hình IPSec VPN cho các Router
Sau khi cấu hình định tuyến cho các mạng liên lạc được với nhau, tiến hành cấu hình VPN trên hai router RA và RB
Các bước cấu hình như sau:
Bước1: Cấu hình IKE
- Bật IKE (mặc định là đã được bật):
Router(config)#crypto isakmp enable
- Tạo IKE policy
Router(config)#crypto isakmp policy priority
- Tạo các IKE policy ở chế độ config-isakmp (authentication, encryption, hash, …)
Bước 2: Cấu hình Ipsec
- Cấu hình transform-set: Tạo transform set để áp dụng các chính sách bảo mật cho lưu lượng mạng. Chế độ mặc định cho transform là chế độ đường hầm
Router(config)#crypto ipsec transform-set name [trans1[trans2[trans3]]]
- Tạo Crypto ACL: để xác định thông tin cần bảo vệ bởi Ipsec, chọn outbound traffic được bảo vệ
+ Tạo ACL để xác định lưu lượng cần mã hóa + Cấu hình Crypto map
Router(config)#crypto map name seq ipsec-manual | ipsec-isakmp
+ Áp dụng crypto map vào interface
RA
RA(config)#crypto isakmp enable <= Bật crypto isakmp RA(config)#crypto isakmp policy 100
RA(config-isakmp)#hash md5
RA(config-isakmp)#authentication pre-share (chọn kiểu chứng thực) RA(config-isakmp)#exit
RA(config)#crypto isakmp identity address (xác định peer thông qua địa chỉ )
RA(config)#crypto isakmp key cisco address 172.16.3.1 (xác định pre-shared key của peer)
RA(config)#crypto ipsec transform-set hanoi esp-des
(chọn thuật toán mã hóa là esp-des cho transform-set tên hanoi) RA(cfg-crypto-trans)#exit
RA(config)#crypto map bachkhoa 10 ipsec-isakmp (tạo crypto map tên bachkhoa)
RA(config-crypto-map)#set peer 172.16.3.1 (xác định peer là interface bên kia) RA(config-crypto-map)#set transform-set hanoi
(áp dụng transform-set hanoi vào crypto map bachkhoa) RA(config-crypto-map)#match address 110
(xác định access list) RA(config-crypto-map)#exit
RA(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0 0.0.0.255 (xác định lưu lượng được mã hóa)
RA(config)#interface s1/0
RA(config-if)#crypto map bachkhoa
(Áp dụng crypto map bachkhoa vào interface s1/0)
RB
RB(config)#crypto isakmp enable <= Bật crypto isakmp RB(config)#crypto isakmp policy 100
RB(config-isakmp)#hash md5
RB(config-isakmp)#authentication pre-share (chọn kiểu chứng thực) RB(config-isakmp)#exit
RB(config)#crypto isakmp identity address
RB(config)#crypto isakmp key cisco address 172.16.2.1 RB(config)#crypto ipsec transform-set hanoi esp-des RB(cfg-crypto-trans)#exit
RB(config)#crypto map bachkhoa 10 ipsec-isakmp RB(config-crypto-map)#set peer 172.16.2.1
RB(config-crypto-map)#set transform-set hanoi RB(config-crypto-map)#match address 100 RB(config-crypto-map)#exit
RB(config)#access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 RB(config)#interface s1/0
RB(config-if)#crypto map bachkhoa
4.3. Kiểm tra kết nối VPN
Để kiểm tra lại kết nối VPN vừa cấu hình, ta sử dụng các lệnh show, debug, và ping thử giữa PC1 và PC2 để kiểm tra debug.
Đầu tiên ta kiểm tra lại toàn bộ cấu hình bằng lệnh show running-configure
RA#show running-configure Building configuration...
Current configuration : 1171 bytes !
version 12.4
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RA ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ! ip cef !
crypto isakmp policy 100 hash md5
authentication pre-share
crypto isakmp key cisco address 172.16.3.1 !
crypto ipsec transform-set hanoi esp-des !
crypto map bachkhoa 10 ipsec-isakmp set peer 172.16.3.1
set transform-set hanoi
match address 110 ! interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface Serial1/0 ip address 172.16.2.1 255.255.255.0 serial restart-delay 0 clock rate 64000 crypto map bachkhoa ! interface Serial1/1 no ip address shutdown serial restart-delay 0 ! interface Serial1/2 no ip address shutdown serial restart-delay 0 ! interface Serial1/3 no ip address shutdown serial restart-delay 0 ! ip http server no ip http secure-server 96
ip route 0.0.0.0 0.0.0.0 Serial1/0 (Tạo default route)
!
access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 (Tạo Access list để xác định lưu lượng được mã hóa)
! control-plane ! line con 0 line aux 0 line vty 0 4 ! End
RA#show crypto map
Crypto Map "bachkhoa" 10 ipsec-isakmp Peer = 172.16.3.1
Extended IP access list 110
access-list 110 permit tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Current peer: 172.16.3.1
Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N
Transform sets={ hanoi, }
Interfaces using crypto map bachkhoa: Serial1/0
RA#show crypto isakmp policy
Global IKE policy
Protection suite of priority 100
encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5
authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
RA#show crypto ipsec transform-set
Transform set hanoi: { esp-des } will negotiate = { Tunnel, },
Sử dụng lệnh debug để kiểm tra lưu lượng được chứng thức và mã hóa
RA#debug crypto ipsec
Crypto IPSEC debugging is on
RA#debug crypto isakmp
Crypto ISAKMP debugging is on
Cuối cùng thực hiện telnet từ PC1 tới PC2 và xem debug trên RA
RA#
*Mar 1 00:03:50.831: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 172.16.2.1, remote= 172.16.3.1, local_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.3.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0xE7C93568(3888723304), conn_id= 0, keysize= 0, flags= 0x400A *Mar 1 00:03:50.847: ISAKMP: received ke message (1/1)
*Mar 1 00:03:50.847: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
*Mar 1 00:03:50.851: ISAKMP: Created a peer struct for 172.16.2.1, peer port 500 *Mar 1 00:03:50.855: ISAKMP: New peer created peer = 0x6409D2AC peer_handle = 0x80000002
*Mar 1 00:03:50.855: ISAKMP: Locking peer struct 0x6409D2AC, IKE refcount 1 for isakmp_initiator
*Mar 1 00:03:50.859: ISAKMP: local port 500, remote port 500 *Mar 1 00:03:50.863: ISAKMP: set new node 0 to QM_IDLE *Mar 1 00:03:50.863: insert sa successfully sa = 63FA0BA4
*Mar 1 00:03:50.867: ISAK.MP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.
*Mar 1 00:03:50.871: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 172.30.2.1
*Mar 1 00:03:50.875: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID *Mar 1 00:03:50.875: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID *Mar 1 00:03:50.879: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID *Mar 1 00:03:50.883: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
*Mar 1 00:03:50.883: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I_MM1
*Mar 1 00:03:50.887: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
*Mar 1 00:03:50.887: ISAKMP:(0:0:N/A:0): sending packet to 172.16.3.1 my_port 500 peer_port 500 (I) MM_NO_STATE
*Mar 1 00:03:51.239: ISAKMP (0:0): received packet from 172.16.3.1 dport 500 sport
500 Global (I) MM_NO_STATE
*Mar 1 00:03:51.255: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar 1 00:03:51.259: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I_MM2
*Mar 1 00:03:51.267: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0 *Mar 1 00:03:51.267: ISAKMP:(0:0:N/A:0): processing vendor id payload
Đồng thực hiện bắt gói tin đi ra ngoài cổng s1/0 của router RA trên GNS3
Hình 4.3. Bắt gói tin bằng GNS3
Ta thấy tất cả gói tin ping từ PC1 tới PC2 đã được mã hóa. Như vậy việc cấu hình IPSecVPN đã thành công.
KẾT LUẬN
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng.
Về lý thuyết, đồ án đã trình bày các khái niệm và khía cạnh cơ bản của mạng riêng ảo để có cái nhìn rõ hơn về vai trò của mạng riêng ảo trong việc truyền thông, giới thiệu các giao thức định đường hầm lớp 2, là thành tố cốt lõi trong VPN và đi sâu nghiên cứu về giao thức IPSec, là một giao thức có tính năng bảo mật cao.
Đồng thời đồ án đã trình bày cách thiết lập một hệ thống IPSec VPN đơn giản
nhưng được sử dụng rộng rãi hiện nay, để có cái nhìn thực tế hơn về việc ứng dụng IPSec trong thực tế.
Trong thời gian tới em sẽ tiếp tục nghiên cứu phát triển đồ án theo các hướng sau:
• Nghiên cứu về giao thức bảo mật SSL là giao thức được phát triển gần đây với ưu điểm dễ dùng nhưng cũng hết sức bảo mật, và càng ngày được sử dụng rộng rãi, đặc biệt trong ứng dụng World Wide Web.
• Nghiên cứu về tường lửa (Firewall) để kết hợp với VPN tạo nên sản phẩm có tính năng ưu việt hơn.
• Nghiên cứu về cộng nghệ MPLS-VPN là công nghệ VPN tiên tiến đang được cung cấp rộng rãi hiện nay bởi các nhà cung cấp dịch vụ Internet (ISP) như VDC.
Do đồ án được thực hiện trong một thời khoảng thời gian có hạn nên không thể tránh khỏi những mặt còn sai sót. Rất mong được sự nhận xét, đóng góp, trao đổi của thầy cô, bạn bè để có thể hoàn thiện tốt hơn về mặt kiến thức của mình.
Em xin chân thành cảm ơn !
TÀI LIỆU THAM KHẢO
[1] ThS. Trần Công Hùng (2002), Kỹ thuật Mạng riêng ảo (VPN), NXB Bưu điện. [2] Nguyễn Cảnh Khoa (2005), Luận văn thạc sĩ khoa học “Cơ chế bảo mật trong mạng riêng ảo”, ngành xử lý thông tin và truyền thông – ĐH Bách Khoa HN.
[3] Nguyễn Thạc Thanh Quang (2004), Luận văn thạc sĩ “Mạng riêng ảo: Công nghệ và triển khai ứng dụng”, Ngành xử lý thông tin và truyền thông – ĐH Bách Khoa HN
[5] Sheila Frankel, Karen Kent, Ryan Lewkowski, Angela D.Orebaugh, Ronald W.Ritchey, Steven R.Shama (2005), Guide to IPSec VPN, National Institude of Standards and Technology
[6] John C.Snader (2005), VPNs Illustrated: Tunnels, VPNs and IPSec, Addition- Wesley Professional, Addison Wesley Professional
[7] Andrew Mason (2004), Cisco Secure Virtual Private Networks (CSVPN), 2nd Edition, Cisco Press
[8] James Henry Carmouche (2006), IPSec Virtual Private Network Fundamentals, Cisco Press
[9] Richard Deal (2005), The Complete Cisco VPN Configuration Guide, Cisco Press
[10] Meeta Gupta (2003),Building a Virtual Private Network, Premier Press