- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN): PPTP cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi VPN K ết
Chương III Các giao thức mạng riêng ảo tại tẩng
Trong chương II chúng ta đã nghiên cứu về các giao thức mạng riêng ảo, như PPTP, L2TP, L2F tại tầng 2 của mô hình OSI. Trong chương này sẽ nghiên cứu giao thức mạng riêng ảo hoạt động tại tầng 3 của mô hình OSI. Với đặc tính quản lý khóa, bảo mật và xác thực mạnh của IPSec, nó nổi bật lên như một chuẩn mạng riêng ảo thực tế. Trong thực tế, phần lớn giải pháp mạng riêng ảo ngày nay thường dựa trên IPSec. Vì vậy, IPSec là gì? Làm thế nào để nó đảm bảo an toàn cho các giao dịch trong khi truyền dữ liệu? Tại sao nó lại trở nên thông dụng? Chương này sẽ cố gắng trả lời các câu hỏi này.
Đúng như tên gọi, giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung thông tin.
Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3(Lớp mạng) của mô hình OSI, như trong hình 3.1
A p p lic a t io n L a y e r P r e s e n ta tio n L a y e r S e s s io n L a y e r T r a n s p o r t L a y e r D a t a L in k L a y e r P h y s ic a l L a y e r IP S e c N e tw o r k L a y e r
Hình 3.1 Vị trí của IPSec trong mô hình OSI
3.1. Kiến trúc an toàn IP (IPSec)
Trong phần này chúng ta sẽ xem xét khái quát về kiến trúc an toàn cho giao thức Internet(IPSec) - một công nghệ mà phần lớn các giải pháp mạng riêng ảođều dựa vào nó.
Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6. Bằng cách cung cấp khả năng an toàn tại tầng này, các giao thức tầng giao vận và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi gì cả.
Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay TLS. Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng dưới cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các hỗ trợ bảo mật -SSPI). Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép các ứng dụng ở tầng trên truy nhập vào các module bảo mật ở tầng dưới), các ứng dụng ít nhất cần nhận thức được vấn đề bảo mật. IPSec giải quyết được yêu cầu này bằng cách chuyển vấn đề bảo mật xuống tầng 3. Điều này cho phép các ứng dụng duy trì được tính không phụ thuộc vào hạ tầng bảo mật của các tầng dưới. Các gói IP sẽ được bảo vệ mà không phụ thuộc vào các ứng dụng đã sinh ra chúng. Nói một cách khác, các ứng dụng không cần biết tới vấn đề bảo mật trên nền IP. Các quy tắc bảo mật được định nghĩa thống nhất giữa các nhà quản trị mà không phụ thuộc vào một ứng dụng nào được chạy trên hệ thống và IPSec là trong suốt đối với các ứng dụng. Điều này đem lại những lợi ích vô cùng to lớn, đó là khả năng xác thực, bảo mật và kể cả mã hoá dữ liệu được truyền qua bất kỳ mạng IP nào. Như vậy, IPSec cung cấp khả năng bảo mật đầu cuối - tới - đầu cuối giữa các máy tính và mạng máy tính.
IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc trưng sau: - Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại
- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn
- Sử dụng các thuật toán mật mã mạnhđể cung cấp tính bảo mật - Cung cấp khả năng xác thực dựa trên chứng chỉ số
- Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như L2TP, PPTP
IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã hoá, trao đổi khoá bảo mật vv… khi chuyển tiếp dữ liệu. Đối với khách hàng, điều này đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà không đòi hỏi sự đầu tư hay thay đổi quá lớn đối với hạ tầng mạng, người ta gọi giải pháp VPN ứng dụng giao thức IPSec là “Desktop VPN” vì toàn
bộ chức năng bảo mật dữ liệu được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến các công tác bảo đảm an toàn. Khi sử dụng các thuật toán xác thực và mã hoá dữ liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi ích của các công nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên mạng.
Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP). AH được sử dụng để đảm bảo tính toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh rằng cả hai giao thức này đều không chỉ ra bất kỳ một thuật toán mã hoá và xác thực cụ thể nào mà chỉ tạo ra khả năng ứng dụng tốt nhất một trong các thuật toán đang hiện hành.
Hình 3.25: Kiến trúc bộ giao thức IPSec
Bộ giao thức IPSec mang lại ba khả năng chính, đó là:
- Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chếmạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào