Ví dụ về hoạt động của IPSec

Một phần của tài liệu Mạng VPN và các ứng dụng của VPN luận văn tốt nghiệp đại học (Trang 52 - 58)

II. Tổng quan về IPSEC

b) Giao thức ESP

2.4.3 Ví dụ về hoạt động của IPSec

Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ nh trong hình vẽ.

Hinh 2.36: Quá trình trao đổi thông tin

Trong ví dụ này, B muốn truyền thông an toàn với A. Khi gói dữ liệu tới Router B, Router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần đợc bảo vệ. chính sách an ninh đợc cấu hình trớc cũng cho biết Router A sẽ là điểm cuối phía bên kia của đờng hầm IPSec. Router B kiểm tra xem đã có IPSec SA nào đợc thiết lập với Router A cha? nếu cha thì yêu cầu một quá trình IKE để thiết lập IPSec SA. Nếu hai Router đã thoả thuận đợc một IPSec SA thì IPSec SA có thể đợc tạo ra tức thời. Trong tròng hợp, hai Router cha thoả thuận một IKE SA thì đầu tiên chúng phải thoả thuận một IKE SA trớc khi thoả thuận các IPSec SA. Trong quá trình này, hai Router trao đổi các chứng thực số, các chứng thực này phải đợc ký trớc bởi một CA mà hai phía cùng tin tởng. Khi phiên IKE đã đợc thiết lập, hai Router có thể thoả thuận IPSec SA. Khi IPSec SA đã đợc thiết lập, hai Router sẽ thống nhất đợc thuật toán mật mã (chẳng hạn DES), thuật toán xác thực (chẳng hạn MD5), và một khoá phiên sử dụng chung. Tới đây, Router B có thể mật mã gói tin của B, đặt nó vào trong một gói IPSec mới, sau đó gửi tới Router A. Khi Router A nhận gói IPSec, nó tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đa về dạng gói tin ban đầu và chuyển tới A. Quá trình phức tạp này đợc thực hiện hoàn toàn trong suốt đối với A và B.

CHƯƠNG 3

XÂY DựNG MạNG VPN

Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet đợc sung cấp bởi ISP và phần mềm cũng nh phần cứng để bảo mật dữ liệu bằng cách mã hoá trớc khi truyền ra mạng Internet. Các chức năng của VPN đợc thực hiện bởi các bộ định tuyến, tờng lửavà các phần cứng, phần mềm.

3.1 Thành phần cơ bản của một VPN

Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác nh: Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator).

3.1.1 Máy chủ VPN

Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng VPN có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ cho các máy khách (VPN client) ở xa cũng nh các máy khách cục bộ, đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ các máy khách.

- Tiếp nhận những yêu cầu kết nối vào mạng VPN

- Dàn xếp các yêu cầu và các thông số kết nối vào mạng nh là: cơ chế của các quá trình bảo mật hay các quá trình xác lập

- Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN

- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách

- Máy chủ VPN hoạt động nh là một điểm cuối trong đờng ngầm kết nối trong VPN. Điểm cuối còn lại đợc xác lập bởi ngời dùng cuối cùng.

Máy chủ VPN phải đợc hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng. Một hoặc nhiều hơn một cạc đáp ứng đợc sử dụng để kết nối chúng tới mạng mở rộng (Intranet) của công ty, trong khi Card còn lại kết nối chúng tới mạng Internet.

Một máy chủ VPN cũng có thể hoạt động nh là một cổng kết nối (Gateway) hay nh một bộ định tuyến (Router) trong tròng hợp số yêu cầu hoặc số ngời dùng trong mạng nhỏ (Nhỏ hơn 20). Trong trờng hợp máy chủ VPN phải hỗ trợ nhiều ngời sử dụng hơn, mà vẫn hoạt động nh một cổng kết nối hoặc một bộ định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật thông tin cũng nh bảo mật dữ liệu lu trữ trong máy chủ.

3.1.2 Máy khách VPN

Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng đợc phép xác lập tới điểm cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách VPN và máy chủ VPN mới có thể truyền thông đợc với nhau. Nhìn chung, một máy khách VPN có thể đợc dựa trên phần mềm. Tuy nhiên, nó cũng có thể là một thiết bị phần cứng dành riêng.

Với nhu cầu ngày càng tăng về số lợng nhân viên làm việc di động trong một công ty thì những ngời dùng này (những máy khách VPN) bắt buộc phải có hồ sơ cập nhật vị trí. Những ngời dùng này có thể sử dụng VPN để kết nối đến mạng cục bộ của công ty.

Hình 3.1: Đặc trng của máy khách VPN

3.1.3 Bộ định tuyến VPN

Trong trờng hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến. Tuy nhiên, trong thực tế thì cách thiết lập đó không hiệu quả trong trờng hợp mạng VPN lớn - mạng phải đáp ứng một số lợng lớn các yêu cầu. Trong trờng hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết. Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó đợc đặt sau “bức tờng lửa” (Firewall). Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt đợc trong mạng cục bộ. Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đờng đi có thể, để đến đợc nơi đến trong mạng, và chọn ra đờng đi ngắn nhất có thể, cũng giống nh trong mạng truyền thống.

Mặc dù những bộ định tuyến thông thờng cũng có thể sử dụng đợc trong mạng VPN, nhng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lợng dịch vụ (QoS) trên đờng truyền. Ví dụ nh bộ định tuyến truy nhập modun 1750 của Cisco đợc sử dụng rất phổ biến.

3.1.4 Bộ tập trung VPN (VPN Concentrators)

Giống nh Hub là thiết bị đợc sử dụng trong mạng truyền thống, bộ tập trung VPN (VPN concentrators) đợc sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thớc nhỏ. Ngoài việc làm tăng công suất và số lợng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng nh năng lực xác thực cao. Ví dụ nh bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập trung đợc sử dụng khá phổ biến.

3.1.5 Cổng kết nối VPN

Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IP sang giao thức IP và ngợc lại. Nh vậy, những cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị này có thể là những thiết bị mạng dành riêng, nhng cũng có thể là giải pháp dựa trên phần mềm. Với thiết bị phần cứng, cổng kết nối IP nói chung đợc thiết lập ở biên của mạng cục bộ của công ty. Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP đợc cài đặt trên mỗi máy chủ và đợc sử dụng để chuyển đổi các lu lợng từ giao thức không phải là giao thức IP sang giao thức IP và ngợc lại. Ví dụ nh phần mềm Novell’s Border Manager.

Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) đợc đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đờng hầm và mã hoá dữ liệu riêng trớc khi đợc chuyển đến mạng công cộng.

3.2 Sự hoạt động của VPN

Nhằn mục đích làm dễ hiểu hơn quá trình hoạt động của công nghệ Tunneling đợc chia ra lam 2 giai đoạn :

Giai đoạn 1 : Nút khởi tạo hoặc ngời dùng ở xa yêu cầu một phiên làm việc VPN và xác thực bởi HA tơng ứng .

Giai đoạn 2 : Dữ liệu thực sự đợc chuyển qua mạng thông qua tunnel .

Trong Giai đoạn 1 một kết nối yêu cầu đợc khởi tạo và những tham số phiên đợc đàm phán ( giai đoạn thiết lập tunnel ). Nếu yêu cầu đợc chấp nhận và tham số phiên đợc đàm phán thành công , một tunnel đợc thiết lập giữa hai nút thông tin đầu cuối .

Điều này xảy ra qua những việc chính sau :

1. Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng .

2. FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu đợc cung cấp bởi ngời dùng . ( thông thờng FA sử dụng các dịch vụ của một máy chủ Remote access Dial-up services ( Radius) để xác nhận sự thống nhất của các nút khởi tạo )

3. Nếu tên truy cập và mật khẩu cung cấp bởi ngời dùng không hợp lệ , yêu cầu phiên làm việc VPN bị từ chối . Ngợc lại nếu quá trình xác nhận sự thống nhất của FA thành công nó sẽ chuyển yêu cầu đến mạng HA .

4. Nếu yêu cầu đợc HA chấp nhận ,FA gửi login ID đã đợc mã hoá và mật khẩu tơng ứng đến nó .

5. HA kiểm chứng thông tin đã đợc cung cấp . Nếu quá trình kiểm chứng thành công . HA gửi những Register Rely , phụ thuộc vào một số tunnel đến FA .

6. Một tunnel đợc thiết lập khi FA nhận Register Rely và số tunnel . Giai đoạn 2 : ( giai đoạn chuyển giao dữ liệu )

Quá trình giao dịch trong giai đoạn 2 này thực hiện qua các bớc sau : 1. Nút khởi tạo bắt đầu chuyển hớng các gói dữ liệu đến FA .

2. FA tạo tunnel Header và chèn nó vào từng gói dữ liệu . Thông tin header của giao thức định tuyến ( đợc đàm phán trong giai đoạn 1 ) sau đó đợc gắn vào gói dữ liệu .

3. FA chuyển hớng các gói dữ liệu đã mã hoá đến HA bằng cách sử dụng tunnel number đã đợc cung cấp .

4. Trong quá trình nhận thông tin mã hoá ,HA cởi bỏ tunnel header và header của giao thức định tuyến , đa gói dữ liệu trở về dạng nguyên bản của nó .

5. Dữ liệu nguyên gốc sau đó đợc chuyển hớng đến nút mong muốn cần đến trong mạng .

Một phần của tài liệu Mạng VPN và các ứng dụng của VPN luận văn tốt nghiệp đại học (Trang 52 - 58)

(101 trang)