Mô hình Site-to-site VPN

Một phần của tài liệu Đồ án tốt nghiệp : Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng cho công ty trên thiết bị của CISCO (Trang 33 - 40)

6. Các mô hình của VPN

6.2 Mô hình Site-to-site VPN

Site-to-site VPN (Lan-to-Lan VPN) được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có một kết nối VPN được thiết lập giữa chúng. Khi đó các t hiết bị này đóng vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác. Các router và Firewall tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này.

19

Hình 1.6.10 Mô hình Site-to-Site VPN

Site-to-Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN (xem xét về mặt chính sách quản lý). Nếu chúng ta xem xét dưới góc độ chứng thực nó có thể được xem như là một Intranet VPN, ngược lại chúng được xem như là một Extranet VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển bởi cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng. Giải pháp Site-to-Site VPN không phải là một Remote Access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó.

Sự phân biệt giữa Remote Access VPN và Site-to-Site VPN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận. Phân biệt lớn nhất là các Phase trong VPN, khi thiết lập VPN ở dạng Remote Access VPN, với chế độ Config và Xauth để cung cấp các cơ chế và chính sách bảo mật cho người dùng ở xa.

Site-to-Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. Đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IP Sec, mục đích của Site-to-Site VPN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. Bạn có thể thiết lập một Site-to-Site VPN thông qua sự kết hợp của các thiết bị VPN Concentrators, Routers, and Firewalls.

20

Hình 1.6.11 Các bước tạo Tunnel cho VPN Site-to-Site

Bƣớc 1:

A và B hình thành tuyến lưu thông dữ liệu lý tưởng dựa trên các cấu hình định tuyến trước đó.

Hình 1.6.12 Hình thành tuyến lưu thông lý tưởng

Tuyến lưu thông này sẽ được tạo đường hầm IPSec trong suốt quá trình kết nối về sau này.

Bƣớc 2:

21

Hình 1.6.13 IKE Phase 1 giữa hai Peer

Quá trình này chia làm các phiên trao đổi nhỏ hơn trong đó là việc thiết lập và gửi cho nhau các SA nhằm tạo ra sự đồng bộ về chính sách bảo mật giữa các Site. Sau đó là việc trao đổi khóa Diffie-Hellman và dựa vào khóa này Router sẽ tiến hành xác nhận lại các Peers của mình. Cụ thể

Hình 1.6.14 Thiết lập chính sách cho IKE

Các Router tiến hành khởi tạo thỏa thuận IKE, tất nhiên chính sách bảo mật IKE phải hoàn toàn giống nhau trên các Router này.

22

Hình 1.6.15 Quá trình trao đổi khóa Diffle-Hellman

Tiếp theo 2 bên sẽ thực hiện trao đổi khóa theo thuật toán Diffie-Hellman và cuối cùng là việc xác thực Peer, cách xác thực có thể là dùng Preshared keys, thuật toán RSA hay dùng RSA mã hóa Nonces (Số ngẫu nhiên trong quá trình trao đổi).

Hình 1.6.16 Xác thực Peer

Bƣớc 3:

23

Hình 1.6.17 Khởi tạo các thành phần bảo mật IPSec

Khởi tạo thành phần bảo mật IPSec và các cơ chế bảo mật trên nó được Cisco gọi là Transform Set, thực chất transform set là một thuật ngữ để chỉ những thiết lập an ninh cho Tunnel dựa trên việc kết hợp các thuật toán và giao thức bảo mật, nó định nghĩa cơ chế làm việc của giao thức IPSec để đảm bảo dữ liệu choVPN. Để thiết lập transform set, chúng ta phải định nghĩa tên transform set cho từng Router, việc đặt tên này có thể khác nhau, tuy nhiên các chính sách bảo mật ban hành bên trong nó bắt buộc phải giống nhau để có thể thực hiện trao đổi dữ liệu. Transform Set cho phép tùy chọn các mục:

- AH sử dụng MD5 hay SHA-1.

- Mã hóa ESP dùng thuật toán DES, 3DES, AES và một số thuật toán khác. - Xác thực ESP dùng MD5 hay SHA-1.

- Các thuật toán nén dữ liệu.

24

Thiết lập các SA cũng như việc hủy và tái thiết lập các SA mới theo chu kì. Trong giai đoạn này Router sẽ thực hiện hai thành phần chính là tạo cơ sở dữ liệu SA, trong đó có việc xác định địa chỉ IP đích, SPI và việc sử dụng chế độ AH hay ESP. Thành phần còn lại là khởi tạo chính sách bảo mật cho cơ sở dữ liệu trên bao gồm thuật toán mã hóa, thời gian sống, thuật toán xác thực.

Bƣớc 4:

Thông tin trao đổi giữa 2 Site được truyền đi trên đường hầm bảo mật IPSec.

Hình 1.6.19 Hình thành Tunnel IPSec

Phiên IPSec được hình thành, lúc này các SA đã tạo ra ở bước 3 sẽ được trao đổi giữa 2 bên, và sau đó chế độ bảo mật sẽ được áp dụng cho các dữ liệu truyền trong đường hầm IPSec.

Bƣớc 5:

Giải phóng đường hầm IPSec.

Một đường hầm IPSec sẽ được giải phóng nếu xảy ra một trong hai việc sau: - SA hết thời gian sống.

- Gói truyền dữ liệu vượt quá ngưỡng.

25

Chú ý trong lúc cấu hình, ta nên quan tâm đến độ lớn của MTU trên kênh truyền, do được đóng thêm các trường bảo mật của VPN IPSec nên MTU sẽ có kích thước lớn hơn truyền dữ liệu thường MTU quá mức cho phép sẽ dẫn đế hiện tượng rớt gói dữ liệu trong lúc truyền, do đó bên nhận sẽ không nhận được đầy đủ thông tin của bên gửi. Để khắc phục điều này, người quản trị cần cấu hình Router VPN và giảm kích thước MTU xuống cho hợp lí (Thường là giảm MTU còn 1400, mặc định của chuẩn Ethernet trên Router là 1500).

Một phần của tài liệu Đồ án tốt nghiệp : Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng cho công ty trên thiết bị của CISCO (Trang 33 - 40)

Tải bản đầy đủ (PDF)

(99 trang)