Một số sản phẩm thực hiện VPN

Một phần của tài liệu Công nghệ IP VPN luận văn tốt nghiệp đại học (Trang 89)

Như ta đã biết, có nhiều hãng tham gia nghiên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dòng sản phẩm. Các hãng khác nhau có cách tiếp cận và ưu nhược điểm riêng. Sau đây ví dụ về các sản phẩm của Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và có thể phục vụ cho một phạm vi rộng các nhu cầu ứng dụng khác nhau.

Bảng 5.1. Ví dụ về các sản phẩm của Cisco và Netsreen

Loại khách hàng

Cisco Netsreen

Remote Access Site-to-Site

ISP/ Central Site 3080, 3060 Concentrators VPN routers 71x0 Netsreen-1000, Netsreen-500 Medium Site 3030 Concentrators Routers 7x00,

3600 Netsreen-208, Netsreen-204 Small Office 3015, 3005 Concentrantors Routers 3600, 2600, 1700 Netsreen-50, Netsreen-20, Netsreen-XP Home Office/ Telecommuter Cisco VPN Software Client 3002 Hardware Client Router 800, 905 Netsreen- Remote 5.3. Ví dụ về thực hiện IP-VPN

Để minh họa, ta xét 2 trường hợp: ứng dụng kết nối remote Access và ứng dụng Site-to-Site sử dụng thiết bị VPN 3000 Concentrantor của Cisco.

VPN concentrantor có các thông số kỹ thuật sau:

- Xác thực tính toàn vẹn dữ liệu: sử dụng thuật toán HMAC-MD5 (128 bit), HMAC-SHA-1 (160 bit).

- Xác thực nguồn gốc dữ liệu: có thể cấu hình để sử dụng mật khẩu (khóa chia sẻ trước) hoặc chữ ký số.

- Mật mã dữ liệu: sử dụng một trong các thuật toán DES, 3DES ở chế độ CBC.

Trong tương lai, các thiết bị VPN cần hỗ trợ các thuật toán tiên tiến hơn, chẳng hạn thuật toán mật mã AES, xác thực SHA-2.

5.3.1. Kết nối Client-to-LAN

Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để truy nhập thư điện tử, các file cơ sở dữ liệu, trình diễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.

Hình 5.5. Các thành phần của kết nối Client-to-LAN

Có thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.

- Phần mềm IPSec (IPSec Client Software) không có sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính có yêu cầu truy nhập từ xa. Nó được sử dụng để mật mã, xác thực và đóng gói dữ liệu, đồng thời là một điểm cuối của đường ngầm.

- Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.

- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an toàn (secure tunnel), thông qua Internet để tới VPN 3000 Concentrantor.

- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối còn lại của đường ngầm. Nó thực hiện giải mã, xác thực, và mở gói dữ liệu.

Hình 5.6. Đường ngầm IPSec Client-to-LAN

Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thông tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ nguồn thường là địa chỉ ảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉ ảo giúp cho client có thể hoạt động như đang ở ngay mạng trung tâm.

Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.

- Thỏa thuận các thông số đường ngầm: địa chỉ, thuật toán. - Thiết lập đường ngầm dựa trên các thông số đã thiết lập.

- Xác thực người sử dụng thông qua username, groupname, password, digital certificate.

- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…

- Thiết lập phiên trao đổi IPSec.

- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.

Hình 5.7. Phần mềm IPSec Client

5.3.2. Kết nối LAN-to-LAN

Trong trường hợp này, giả thiết người sử dụng từ mạng LAN ở xa muốn truy nhập vào máy chủ ứng dụng ở mạng trung tâm. Một phương án để thực hiện kết nối này là sử dụng hai VPN 3000 Concentrator, một ở mạng trung tâm, một ở mạng xa.

Một gói tin IP được xây dựng với địa chỉ nguồn là 192.168.1.20 và địa chỉ đích là 192.168.1.10. Gói tin được định tuyến tới VPN Concentrantor, VPN Concentrator mật mã và đóng gói IP ban đầu với ESP header. Gói tin này được bảo vệ nhưng không định tuyến được do các trường địa chỉ ở dạng mật mã. Vì vậy, một IP header bên ngoài được thêm vào. Các địa chỉ bên ngoài này (203.16.5.19, 172.26.26.1) giúp định tuyến gói tin qua Internet. Sau khi đã có đường ngầm thì một phiên trao đổi được thiết lập cho phép truyền

Hình 5.8. Đường ngầm IPSec LAN-to-LAN

5.4. Tình hình triển khai VPN ở Việt Nam

Hiện nay, tại Viêt Nam có rất nhiều hãng đang cung cấp giải pháp VPN cho các doanh nghiệp. Trong đó, đứng đầu thị trường VPN Việt Nam là hãng Juniper Networks. Juniper là hãng thiết bị hàng đầu của Mỹ trong các lĩnh vực bảo mật và an toàn cho các giao dịch truyền thông trong môi trường mạng IP đơn lẻ. Hiện tại Juniper đang hợp tác với VNPT phát triển mạng thế hệ sau NGN. Theo như số liệu từ doanh nghiệp này thì thị trường SSL VPN (Secure Socket Layer) phát triển rất mạnh với tốc độ tăng trưởng bình quân hàng năm là 67%. Hãng này đang cung cấp thiết bị cho nhiều công ty lớn của Viêt Nam, trong đó có Bảo Việt. Bên cạnh đó, Juniper Network đang tìm cách để liên kết với các ISP để đưa ra sản phẩm SA 6000 SP cung cấp VPN như là dịch vụ gia tăng cho các doanh nghiệp vừa và nhỏ.

Bên cạnh đó, VDC cũng là một công ty hiện tại cung cấp dịch vụ VPN cho khách hàng ở Việt Nam. VDC đã liên kết với Singtel (Singapore Telecommunications Limited) và có điểm kết nối IP-VPN tại Hà Nội, Đà Nẵng, TP.HCM, Vũng Tàu, Cần Thơ, Đồng Nai, Bình Dương. Dung lượng dịch vụ kết nối giữa VDC và Singtel đối với IP-VPN là 5MB. Đối tượng khách hàng hướng tới của VDC và Singtel là những công ty hoạt động phân bố trên địa bàn khác nhau và mong muốn tăng kết nối từ xa với chi phí giảm như bảo hiểm, ngân hàng, hàng hải, các doanh nghiệp hoạt động ở khu công nghiệp, các văn phòng đại diện của công ty nước ngoài.

KẾT LUẬN

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng.

Đồ án này đã đi sâu tìm hiểu các vấn đề kỹ thuật và mô hình thực hiện của công nghệ IP-VPN. Trong đó, đường ngầm là nền tảng của IP-VPN, phạm vi của đồ án này đã trình bày về các giao thức đường ngầm: PPTP, L2TP và IPSec. PPTP và L2TP là những giao thức đường ngầm được phát triển dựa trên giao thức PPP. Hai giao thức này là các chuẩn đã hoàn thiện và các sản phẩm hỗ trợ chúng tương đối phổ biến.

Đối với những ứng dụng yêu cầu an toàn dữ liệu cao thì IPSec là giao thức thích hợp. IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất, có tính linh hoạt cao do không bị ràng buộc bởi một phương pháp xác thực cũng như mật mã nào. Đây được xem là giao thức tối ưu nhất cho IP-VPN và được tìm hiểu một cách chi tiết nhất. Bên cạnh đó, đồ án đã trình bày một số thuật toán mật mã, xác thực, toàn vẹn dữ liệu là những thuật toán được dùng kết hợp với IPSec.

Hiện nay, tại Việt Nam có rất nhiều hãng đang cung cấp các giải pháp VPN cho các doanh nghiệp, mỗi hãng có một cấu hình VPN riêng. Do nhu cầu bảo mật thông tin ngày càng được các doanh nghiệp quan tâm nhiều nên công nghệ IP – VPN hứa hẹn là công nghệ rất có tiềm năng phát triển mạnh trong tương lai.

Hiện nay mạng viễn thông trên thế giới đang chuyển sang xu hướng IP hóa và sử dụng công nghệ cho mạng thế hệ sau NGN. Do đó việc tích hợp giữa cố định và di động đang đươc quan tâm và phát triển. Vì vậy, trong tương lai IP-VPN sẽ được ứng dụng cho mạng điện thoại di động. Khi đó,

các dịch vụ viễn thông sẽ rất linh hoạt, kết hợp giữa truyền hình ảnh, số liệu và thoại. Đây cũng chính là hướng phát triển tiếp theo của đề tài.

Mặc dù đã cố gắng, nhưng do công nghệ IP-VPN có nhiều giải pháp để thực hiện và liên quan đến nhiều giao thức và thuật toán phức tạp, thời gian và trình độ có hạn nên đồ án này khó tránh khỏi thiếu sót em rất mong nhận được ý kiến đóng góp của thầy cô và bạn bè để có thể sửa đổi, bổ sung cho những vấn đề trình bày trong đồ án này.

TÀI LIỆU THAM KHẢO

[1]. Behrouz A. Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill.TCP/IP protocol suite

[2].Lê Hữu Lập, Hoàng Trọng Minh, Học viện CNBCVT 11/2000. Công nghệ chuyển mạch IP

[3]. Cải tiến giao thức Internet phiên bản 6 (IPv6), Tạp chí Bưu Chính Viễn Thông- kỳ 1 tháng 12/2003

[5]. Trần Công Hùng -Học Viện Bưu Chính Viễn thông, Mạng riêng ảo- VPN,

[6]. Dương Trần Đức Học viên Bưu Chính Viễn thông 5/2001 “Bài giảng hệ thống lý thuyết thông tin”,

[7].Virtual Private Networking and Intranet Security, Copyright © 1999, Microsoft Corperation, Inc

[8].Vi thị Mưu, Trường Đại Học Giao Thông Vận Tải 6/2005, IPSec [9]. IPSec, Copyright © 1998, Cisco Systems, Inc

[10]. VPN Technologies: Sefinitions and Requirements, Copyrignt © 2002, VPN Consortium

[11]. Security Protocols Overview, Copyright © 1999, RSA Data Security, Inc

[12]. Understanding Virtual Private Networking, Copyrignt © 2001, ADTRAN, Inc

MỤC LỤC

DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU KÝ HIỆU VIẾT TẮT

LỜI NÓI ĐẦU………..1

TÓM TẮT Đ Ồ ÁN………...3

LỜI NÓI ĐẦU...2

Chương 1. Bộ giao thức TCP/IP...5

1.1. Khái niệm mạng Internet...5

1.2. Mô hình phân lớp bộ giao thức TCP/IP...6

Hình 1.1. Mô hình phân lớp bộ giao thức TCP/IP...6

1.3. Các giao thức trong mô hình TCP/IP...7

1.3.1. Giao thức Internet...7

1.3.1.1. Giới thiệu chung...7

Hình 1.2. Định tuyến khi sử dụng IP Datagram...8

Hình 1.3. Giao thức kết nối vô hướng...8

1.3.1.2. Cấu trúc IPv4...9

Hình 1.4. Cấu trúc gói tin IPv4...9

Hình 1.5. Hiện tượng phân mảnh trong IP...11

1.3.1.4. Địa chỉ và định tuyến IP...12

Hình 1.6. Các lớp địa chỉ IPv4...12

1.3.1.5. Cấu trúc gói tin IPv6...13

Hình 1.7. Cấu trúc tiêu đề IPv6...13

1.3.2. Giao thức lớp vận chuyển...15

1.3.2.1. Giao thức UDP...15

Hình 1.8. Cấu trúc tiêu đề UDP...15

1.3.2.2. Giao thức TCP...16

Hình 1.10. Thiết lập kết nối theo giao thức TCP...18

Hình 1.11. Thủ tục đóng kết nối TCP...19

Hình 1.12. Cơ chế cửa sổ trượt với kích thước cố định...22

1.4. Tổng kết...22

Chương 2. Công nghệ mạng riêng ảo trên internet...23

2.1. Gới thiệu về mạng riêng ảo trên Internet IP-VPN...23

2.1.1. Khái niệm về mạng riêng ảo trên nền tảng Internet...23

2.1.2. Khả năng ứng dụng của IP-VPN...24

2.2. Các khối cơ bản trong mạng IP-VPN...24

2.2.1. Điều khiển truy nhập...24

2.2.2. Nhận thực...25

2.2.3. An ninh...25

2.2.4. Truyền Tunnel nền tảng IP-VPN...26

Hình 2.1. Truyền Tunnel trong nối mạng riêng ảo...26

2.2.5. Các thỏa thuận mức dịch vụ...26

2.3. Phân loại mạng riêng ảo theo kiến trúc...27

2.3.1. IP-VPN truy nhập từ xa...27

Hình 2.2. IP-VPN truy nhập từ xa...30

2.3.2. Site-to-Site IP-VPN...30

2.3.2.1. Intranet IP-VPN...30

Hình 2.3. Intranet IP-VPN...31

2.3.2.2. Extranet IP-VPN...31

Hình 2.4. Extranet IP-VPN...31

2.4. Các giao thức đường ngầm trong IP-VPN...32

2.4.1. PPTP (Point - to - Point Tunneling Protocol)...33

2.4.1.1. Duy trì đường ngầm bằng kết nối điều khiển PPTP...33

Hình 2.5. Gói dữ liệu của kết nối điều khiển PPTP...34

2.4.1.2. Đóng gói dữ liệu đường ngầm PPTP...34

Hình 2.6. Dữ liệu đường ngầm PPTP...34

Hình 2.7. Sơ đồ đóng gói PPTP...35

2.4.2. L2TP...36

2.4.2.1. Duy trì đường ngầm bằng bản tin điều khiển L2TP...37

Hình 2.8. Bản tin điều khiển L2TP...37

2.4.2.2. Đường ngầm dữ liệu L2TP...38

Hình 2.9. Đóng bao gói tin L2TP...38

2.4.2.3. Xử lý dữ liệu đường ngầm L2TP trên nền IPSec...39

2.4.2.4. Sơ đồ đóng gói L2TP trên nền IPSec...39

Hình 2.10. Sơ đồ đóng gói L2TP...39

2.5. Tổng kết...40

Chương 3. Giao thức IPSec cho VPN...42

3.1. Gới thiệu...42

3.1.1. Khái niệm về IPSec...42

3.1.2. Các chuẩn tham chiếu có liên quan...44

3.2. Đóng gói thông tin của IPSec...46

3.2.1. Các kiểu sử dụng...46

3.2.1.1. Kiểu Transport...46

Hình 3.1. Gói tin IP ở kiểu Transport...46

3.1.1.2. Kiểu Tunnel...46

Hình 3.2. Gói tin IP ở kiểu Tunnel...47

Hình 3.3. Thiết bị mạng thực hiện IPSec kiểu Tunnel...47

3.2.2. Giao thức tiêu đề xác thực AH...47

3.2.2.1. Giới thiệu...47

3.2.2.2. Cấu trúc gói tin AH...48

Hình 3.4. Cấu trúc tiêu đề AH cho IPSec Datagram...49

3.2.2.3. Quá trình xử lý AH...50

Hình 3.5. Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport. 51 Hình 3.6. Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport...52

Hình 3.7. Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel...52

3.2.3. Giao thức đóng gói an toàn tải tin ESP...54

3.2.3.2. Cấu trúc gói tin ESP...54

Hình 3.8. Xử lý đóng gói ESP...55

Hình 3.9. Khuôn dạng gói ESP...55

3.2.3.3. Quá trình xử lý ESP...57

Hình 3.10. Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport ...57

Hình 3.11. Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport ...58

Hình 3.12. Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel...58

3.3. Kết hợp an ninh SA và giao thức trao đổi khóa IKE...63

3.3.1. Kết hợp an ninh SA...63

3.3.1.1. Định nghĩa và mục tiêu...63

3.3.1.2. Kết hợp các SA...64

Hình 3.13. Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau...65

Hình 3.14. Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau...65

Hình 3.15. Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau. 65 3.3.1.3. Cơ sở dữ liệu SA...65

3.3.2. Giao thức trao đổi khóa IKE...66

3.4. Tổng kết...67

Chương 4. An toàn dữ liệu trong IP-VPN...69

4.1. Giới thiệu...69 4.2. Mật mã...70 4.2.1. Khái niệm mật mã...70 4.2.2. Các hệ thống mật mã khóa đối xứng...71 4.2.2.1. Các chế độ làm việc ECB, CBC...71 Hình 4.2. Chế độ chính sách mã điện tử ECB...72

Hình 4.3. Thuật toán mật mã khối ở chế độ CBC...73

4.2.2.2. Giải thuật DES (Data Encryption Standard)...73

Hình 4.4. Sơ đồ thuật toán DES...74

Hình 4.5. Mạng Fiestel...74

4.2.2.3. Giới thiệu AES (Advanced Encryption Standard)...76

4.2.2.4. Thuật toán mật mã luồng (stream cipher)...77

Hình 4.7. Mật mã luồng...77

4.2.3. Hệ thống mật mã khóa công khai...77

4.2.3.1. Giới thiệu và lý thuyết về mã khóa công khai...77

4.2.3.2. Hệ thống mật mã khóa công khai RSA...80

4.2.4. Thuật toán trao đổi khóa Diffie-Hellman...82

Chương 5. Thực hiện IP-VPN...84

5.1. Giới thiệu...84

5.2. Các mô hình thực hiện IP-VPN...85

5.2.1. Access VPN...86

5.2.1.1. Kiến trúc khởi tạo từ máy khách...86

5.2.1.2. Kiến trúc khởi tạo từ máy chủ truy nhập NAS...87

Hình 5.3. Truy nhập IP-VPN khởi tạo từ máy chủ...87

5.2.2. Intranet IP-VPN và Extranet IP-VPN...88

Hình 5.4. IP-VPN khởi tạo từ routers...88

5.2.3. Một số sản phẩm thực hiện VPN...89

5.3. Ví dụ về thực hiện IP-VPN...89

5.3.1. Kết nối Client-to-LAN...90

Hình 5.5. Các thành phần của kết nối Client-to-LAN...90

Hình 5.6. Đường ngầm IPSec Client-to-LAN...91

Hình 5.7. Phần mềm IPSec Client...92

5.3.2. Kết nối LAN-to-LAN...92

Hình 5.8. Đường ngầm IPSec LAN-to-LAN...93

5.4. Tình hình triển khai VPN ở Việt Nam...93

KẾT LUẬN...94

TÀI LIỆU THAM KHẢO...96

[5]. Trần Công Hùng -Học Viện Bưu Chính Viễn thông, Mạng riêng ảo- VPN, ...96

[6]. Dương Trần Đức Học viên Bưu Chính Viễn thông 5/2001 “Bài giảng hệ thống lý thuyết thông tin”, ...96

KÝ HIỆU VIẾT TẮT...97

LỜI NÓI ĐẦU………..1...97

TÓM TẮT Đ Ồ ÁN………...3 ...97 KÝ HIỆU VIẾT TẮT...107 DANH MỤC BẢNG BIỂU...111

Một phần của tài liệu Công nghệ IP VPN luận văn tốt nghiệp đại học (Trang 89)

Tải bản đầy đủ (DOC)

(112 trang)
w