CH NG 6 : M NG TC CAO VÀ N GD NG CÁC CÔNG NGH MI
7.4. M ng riên go VPN (Virtual Private Networks)
7.4.7 Giao th c IPSEC
IPSec b o đ m tính tin c y, tính tồn v n và tính xác th c truy n d li u qua m ng IP công c ng. IPSec đnh ngh a 2 lo i tiêu đ cho gói IP đi u khi n q trình xác th c và mã hóa: m t là xác th c tiêu đ Authentication Header (AH), hai là đóng gói b o m t t i Encapsulating Security Payload (ESP). Xác th c tiêu đ AH đ m b o tính tồn v n cho tiêu đ gói và d li u. Trong khi đó đóng gói b o m t t i ESP th c hi n mã hóa và đ m b o tính tồn v n cho gói d li u nh ng không b o v tiêu đ cho gói IP nh AH. IPsec s d ng giao th c Internet Key Exchange IKE đ th a thu n liên k t b o m t SA gi a hai th c th và trao đ i các thơng tin khóa. IKE c n đ c s d ng ph n l n các ng d ng th c t đ đem l i thơng tin liên l c an tồn trên di n r ng.
* Xác th c tiêu đ AH: AH m t trong nh ng giao th c b o m t IPsec đ m b o tính tồn v n cho tiêu đ gói và d li u c ng nh vi c ch ng th c ng i s d ng. Nó đ m b o ch ng phát l i và ch ng xâm nh p trái phép nh m t tùy ch n. Trong nh ng phiên b n đ u c a IPsec đóng gói b o m t t i ESP ch th c hi n mã hóa mà khơng có ch ng th c nên AH và ESP đ c dùng k t h p còn nh ng phiên b n sau ESP đã có thêm kh n ng ch ng th c. Tuy nhiên AH v n đ c dùng do đ m b o vi c ch ng th c cho toàn b tiêu đ và d li u c ng nh vi c đ n gi n h n đ i v i truy n t i d li u trên m ng IP ch yêu c u ch ng th c.
AH có hai ch đ : Transport và Tunnel. Ch đ Tunnel AH t o ra tiêu đ IP cho m i gói cịn ch đ Transport AH không t o ra tiêu đ IP m i. Hai ch đ AH ln đ m b o tính tồn v n (Integrity), ch ng th c (Authentication) cho tồn b gói.
* X lý đ m b o tính tồn v n: IPsec dùng thu t tốn mã ch ng th c thơng báo b m
phát giá tr b m đ c đ a vào gói và g i cho n i nh n. N i nh n s tái t o giá tr b m b ng khóa chia s và ki m tra s trùng kh p giá tr b m qua đó đ m b o tính tồn v n c a gói d li u. Tuy nhiên IPsec khơng b o v tính tồn v n cho t t c các tr ng trong tiêu đ c a IP. M t s tr ng trong tiêu đ IP nh TTL (Time to Live) và tr ng ki m tra tiêu đ IP có th thay đ i trong quá trình truy n. N u th c hi n tính giá tr b m cho t t c các tr ng c a tiêu đ IP thì nh ng tr ng đã nêu trên s b thay đ i khi chuy n ti p và t i n i nh n giá tr b m s b sai khác. gi i quy t v n đ này giá tr b m s khơng tính đ n nh ng tr ng c a tiêu đ IP có th thay đ i h p pháp trong quá trình truy n.
* ESP c ng có hai ch đ : Transport và Tunnel. Ch đ Tunnel ESP t o tiêu đ IP m i cho m i gói. Ch đ này có th mã hóa và đ m b o tính tồn v n c a d li u hay ch th c hi n mã hóa tồn b gói IP g c. Vi c mã hóa tồn b gói IP (g m c tiêu đ IP và t i IP) giúp che đ c đa ch cho gói IP g c. Ch đ Transport ESP dùng lai tiêu đ c a gói IP g c ch mã hóa và đ m b o tính tồn v n cho t i c a gói IP g c. C hai ch đ ch ng th c đ đ m b o tính tồn v n đ c l u tr ng ESP Auth.
* X lý mã hóa: ESP dùng h m t đ i x ng đ mã hóa gói d li u, ngh a là thu và phát đ u dùng cùng m t lo i khóa đ mã hóa và gi i mã d li u. ESP th ng dùng lo i mã kh i AES-CBC (AES-Cipher Block Chaining), AES-CTR (AES Counter Mode) và 3DES
* Trao đ i khóa mã hóa IKE (Internet Key Exchange): Trong truy n thông s d ng giao
th c IPsec ph i có s trao đ i khóa gi a hai đi m k t cu i, do đó địi h i ph i có c ch qu n lý khóa. Có hai ph ng th c chuy n giao khóa đó là chuy n khóa b ng tay và chuy n khóa b ng giao th c IKE. M t h th ng IPsec ph thu c ph i h tr ph ng th c chuy n khóa b ng tay. Ph ng th c chìa khóa trao tay ch ng h n khóa th ng m i ghi trên gi y. Ph ng th c này ch phù h p v i s l ng nh các Site, đ i v i m ng l n ph i th c hi n ph ng th c qu n lý khóa t đ ng. Trong IPsec ng i ta dùng giao th c qu n lý chuy n khóa IKE (Internet Key Exchange). IKE có các kh n ng sau :
- Cung c p các ph ng ti n cho 2 bên s d ng các giao th c, gi i thu t và khóa. - m b o ngay t lúc b t đ u chuy n khóa.
- Qu n lý các khóa sau khi chúng đ c ch p nh n trong ti n trình th a thu n. - m b o các khóa đ c chuy n m t cách b o m t.
7.4.8. ng d ng ESP và AH trong c u hình m ng
* ESP trong c u hình Gateway-to-Gateway: Trong c u hình này s thi t l p k t n i có IPsec đ mã hố và đ m b o tính tồn v n c a d li u gi a hai đi m A và B (đi m k t cu i A dùng Gateway A trên m ng A, đi m k t cu i B dùng Gateway B trên m ng B).
VPN Gateway
Internet
VPN Gateway
Hinh 7.7 C u hình Gateway -to-Gateway
* ESP và AH trong c u hình Host-to-Host: Trong c u hình này s thi t l p k t n i có
IPsec đ mã hoá và đ m b o tính tồn v n c a d li u gi a hai đi m A và B. Tu thu c và nhu c u b o m t có th dùng ESP hay AH.
Host Internet VPN Gateway Hình 7.8 C u hình Host-to-Host 7.4.9. So sánh các giao th c VPN Giao
th c u đi m Nh c đi m S d ng trong m ng
IPSec Chu n giao th c rãnh. Ho t đ ng đ c l p cho các ng d ng m c caoh n. Gi u đa ch m ng không s d ng d ch đa ch m ng NAT. áp ng s phát tri n các k thu t mã hố . Khơng qu n lý NSD. Không kh n ng t ng tác gi a các nhà cung c p. Không h tr giao di n. ( Desktop support) Ph n m m t t nh t cho các gi i pháp đ c quy n c a nhà cung c p đ i v i vi c truy nh p t xa b ng quay s .
PPTP
Ch y trên Wind NT, 95 ,98. Cung c p End to End và đnh h ng đ ng h m k t n i node - to - node.
Các đ c đi m giá tr đ c thêm vào ph bi n cho truy c p t xa. Xác th c trên n n Windows. Có kh n ng đa giao th c. S d ng mã hoá RSA RC-4. Khơng cung c p mã hố d li u t nh ng máy ch truy c p t xa. Mang tính đ c quy n, yêu c u máy ch ch y Win NT đ k t thúc nh ng đ ng h m. Ch s d ng mã hoá RSA RC- 4. c dùng t i các máy ch truy nh p t xa đnh đ ng h m proxy. Có th đ c dùng gi a các v n phịng xa có máy ch Win NT đ ch y máy ch truy c p t xa và đnh tuy n RRAS. Có th dùng cho nh ng máy đ bàn Win9x hay máy tr m dùng Win NT. L2F Cho phép đnh đ ng h m đa giao th c. Có nhi u nhà cung c p. Khơng có mã hố Xác th c NSD y u. Không đi u khi n lu ng cho đ ng h m. Dùng cho truy c p t xa t i POP. L2TP K t h p PPTP và L2TP. Ch c n m t gói d a trên m ng đ ch y trên X.25 và Frame Relay. S d ng IPSec i c mã hoá. Ch a đ c cung c p trong nhi u s n ph m. Không b o m t giai đo n cu i. Dùng cho truy nh p t xa t i POP. Câu h i và bài t p 1. T ng quan v an ninh m ng 2. An tồn m ng là gì 3. Các đ c tr ng k thu t c a an toàn m ng
4. Xác th c (Authentification), Tính kh d ng (Availability), Tính b o m t (Confidentialy), Tính tồn v n (Integrity), Tính kh ng ch (Accountlability)
5. Các l h ng và đi m y u c a m ng: L h ng lo i C, L h ng lo i B, L h ng lo i A 6. Các ph ng th c t n tân công m ng
7. Các bi n pháp phát hi n h th ng b t n công
8. M t s ph ng th c t n công m ng ph bi n: Scanner, B khoá (Password Cracker), Trojans, Sniffer
9. T ng quan v b o v thông tin b ng m t mã (Cryptography) 10. Firewall, u đi m và nh c đi m c a Fire wall
11. Các lo i Firewall 12. K thu t Fire wall
13. K thu t Proxy
14. M ng riêng o VPN (Virtual Private Networks): khái ni m m ng riêng o và ki n trúc c a m ng riêng áo
15. Các thành ph n c b n c a m ng riêng o VPN: 16. Nh ng u đi m c a m ng VPN
17. Giao th c PPTP (Point to Point Tunnelling Protocol)
18. Quá trình k t n i c a PPTP: T o k t n i PPP, t o k t n i đi u khi n PPTP, Truy n d li u qua Tunnel PPTP
19. B o m t trong PPTP
20. Giao th c L2F (Layer Two Forwarding Protocol) 21. Giao th c L2TP (Layer Two Tunnelling Protocol) 22. B o m t trong L2TP
23. Giao th c IPSEC
24. ng d ng ESP và AH trong c u hình m ng 25. So sánh các giao th c VPN
CÁC T洩 VI蔭T T溢T
AAL ATM Adaptation Layer
ANSI American National Standard Institute ABM Asynchronous Balance Mode ACK Acknowledgement
ACSE Association Control Service Element
ADCCP Advanced Data Communication Control Procedures
AE Application Element
AFI Authority and Format Identifier. AFP AppleTalk Filing Protocol. AIX Advanced Interactive Executive
ALU Aritmetic Unit
AM Amplitude Modulation ANSI American National Standard Institute APDU Application Protocol Data Unit API Application Program Interface
APPC Advanced Program to Program Communications APPN Advanced Peer to Peer Networking
ARCnet Attached Resolution Protocol ARP Address Resolution Protocol.
ARPA Advanced Research Projects Agency ARQ Automatic Repeat Request
ASCII American Standard Code For Information Interchange ASDU Application Service Data Unit
ASE Application Service Element ASM Address Space Manager ASN.1 Abstract Syntax Notion One
ASP AppleShere Protocol.
AS Autonomous System
ATM Asynchronouse Transfer Mode ATP AppleTalk Transaction Protocol
BBS Bulletin Broad System BCC Block Check Character BCS Basic Combined Subnet
BECN Backward explicit Congestion Notification BER Basic Wncoding Rules
BERT Bit Error Ratio Test
B-ISDN Broadband Intergrated Services Digital Network. BGP Border Gateway Protocol
BRI Basic Rate Interface.
CASE Common Application Service Element CATV Community Antena Television
CCITT International and Telephone Consultative Committe. CCRSE Commitment, Concurrency and Recovery Service Element CD-ROM Computer Disk Read Only Memory.
CEPT Conference of European Postal and Telecommunications Administration CICS Customer Information Control System.
CLNP Connectionless Network Servicess CLNS Connectionless Mode Network Service CMIP Common Management Information Protocol. CMOT CMIP Over TCP/IP.
CRC Cyclic Redundancy Code.
CSMA/CA Carrier Sense Multiple Access / Collision Avoidance CSMA/CD Carrier Sense Multiple Access / Collision Dectection CSU/DSU Channel Service Unit/Digital Service Unit
CSU/DSU Channel Services Network/Digital Services Unit. C/R Command/ Request
DAP Data Access Protocol. DAS Dual Attached Stations.
DCE Data Circuit Terminating Equipment
DDCMP Digital Data Communication Message Protocol DDCMP Digital Data Communications Protocol.
DDM Distributed Data Management DDM Distributed Data Management. DES Dataencryption Standard. DFC Data Flow Control.
DHCP Dynamic Host Configuable Protocol. DIA Document Interchange Architecture. DIA Document Interchange Architecture. DIP Dual In Line Packege
DIX Digital Intel Xerox. DLC Data Link Control DE Discard Eligibility DLE Data Link Escape.
DMA Direct Memory Mapping. DNA Digital Network Architecture. DNS Domain Name System.
DNS-MX Mail Routing and the Domain System. DOD Derpartment Of Defense.
DQDB Distributed Queue Dual Bus. DS Directory Services. DSP Domain Specific Part.
DTAM Document Transfer, Access and Management. DTE Data Terminal Equipment.
DTP Distributed Transaction Processing. EA Extend Address
EGP Exterior Gateway Protocol
ECMA European Computer Manufacturers Association. EIA Electronic Industries Association
FECN Forward Explicit Congestion Notification FCS Frame Check Sequence.
FDDI Fiber Distributed Data Interface.
FDM Frequency Division Multipling. FEA Frame Relay Adaptor.
FM Frequency Modulation.
FR Frame Relay
FRAD Frame Relay Access Device FRND Frame Relay Network Device
FR UNI Frame Relay User to Network Interface FTAM File Transfer Access and Management. FTP File Transfer Protocol.
GGP Gateway to gateway Protocol. GOSIP Goverment OSI Profil. HDLC High Level Data Link Control. HIPPI High Performance Parellet Interface. HTML Hyper Text Markup Language. HTTP Hyper Text Transfer Protocol. IA5 International Alphalbet Number 5. IANA Internet Assigned Numbers Authority ICMP Internet Control Message Protocol. IDI Initial Domain Identifier.
IDP Initial Domain Part.
IEEE Institute of Electrical and Electric Engineers. IETF Internet Engineering Task Force
IGP Interior Gateway Protocol.
INTERNIC Internet Netwowrk Information Center.
IP Internet Protocol.
IPL Initial Program Load.
IPX Internetwork Packet Exchange. ISA Industry Standard Architecture . ISDN Intergrated Services Digital Network ISO International Standard Organization. ISP Internet Service Provider
ITU International Telecommunications Union. JTM Job Transfer and Management.
LAN Local Area Network. LAP-B Link Access Procedure Balanced LAP-D Link Access Procedure Dchannel. LED Ligh Emiting Diode.
LLAP LocalTalk Link Access Protocol. LLC Logical Link Control.
LPDU Link Protocol Data Unit.
LSAP Link SAP.
LSDU Link Service Data Unit. LSL Link Support Layer.
LU Logical Unit.
MAC Media Access Control. MAN Metropolitan Area network.
MAP Manufacturing Automation Protocol. MAU Multistation Access Unit. MCA Micro Channel Architecture.
MHS Message Handling System. MIB Management Information Base. MLID Multiple Link Interface Driver. MMS Manufacturing Messaging Service.
MODEM Mudulation Demodulation. MUX Multiplexer.
NAK Negative Acknowledgment. NAU Network Addressable Unit.
NAU Network Address Unit. NBS National Bureau of Standard. NCP Netware Core Protocol.
NDS Network Operating System. NFS Network File System. NFS Network File System. NIC Network Interface Card. NLM Netware Loadable Modules.
NLSP Network Link Services Protocol.
NMS Network Management System. NNI Network to Network Interface
NPDU Network Protocol Data unit.
NREN National Research and Education Network. NRM Normal Response Mode
NRZ Non Return to Zero.
NS Network Services.
NSAP Network SAP.
NSDU Network Service Data Unit.
NSP Network Services Protocol. NAT Network Address Translation NFS Network File System
NIS Network Information System NVTS Network Virtual Terminal Service.
OC Optical Carrier.
ODI Open Data Link Interface.
OPA Office Document Architecture.
OS Operating System.
OSF Open Software Foundation. OSI Open Systems Interconnection.. OSPF Open Shortest Path First. PA Point of P Attachement.
PAD Packet Assembler Disassembler. PAP Printer Access Protocol.
PBX Pripheral Component Interconnection. PDN Public Data Network. PDU Protocol Data Unit.
PE Presentation Entity.
POP Post Office Protocol.
POSIX Portable Operating System Interface Exchange. PPDU Presentation Protocol Data Unit.
PPP Point to Point Protocol.
PPTP Point to Point Tunneling Protocol PPSDN Public Packet Switched Data Network. PRI Primary Rate Interface.
PSAP Presentation Service Access Point. PSDN Packet Switched Data Network.. PSDU Presentation Service Data Unit. PSTN Public Switched Telphone network. PTT Post, Telphone and Communications.
PU Physical Unit.
PVC Permanent Virtual Circuit. QOS Quality Of Service
RARP Reverse Address Resolution Protocol RAID Redundant Array of Inexpensive Drives. RARP Reverse Address Resolution Protocol.
RAS Remote Access Services. RDA Remote Database Access.
RFC Request For Command. RFNM Ready For Next Message.
RIP Routing Information Protocol. RISC Reduced Instruction Set Computer. RNR Receive Not Ready.
ROSE Remote Operation Service Element. RPC Remote Procedure Call.
RR Receive Ready.
RTMP Routing Table Maintenance Protocol. RTSE Reliable Transfer Service Element. SAP Service Access Point.
SAP Service Advertising Protocol.
SAPI SAP Identifier.
SAS Single Attached Stations.
SCSI Small Computer Systems Interface. SDH Synchronouse Digital Hierarchy. SDLC Synchronouse Data Link Control.
SE Session Entity.
SI Subnet Identifier.
SLIP Serial Line Internet Protocol.
SMDS Switched Multimegabit Digital Service. SMTP Simple Mail Transfer Protocol.
SNA System Network Architecture. SNADS SNA Distribute Service.
SNAP Subnetwork Address Protocol. SNMP Simple Network Management Protocol. SONET Synchronouse Optical Network.
SPX Sequenced Packet Exchange. SQL Structured Query Language.
SSAP Session SAP.
SSL Secure Sockets Layer
SSCP System Services Control Point. SSDU Session Service Data Unit. STP Shield Twisted Pair. SVC Switch Virtual Circuit
TCP Transmission Control Protocol. TDM Time Division Multiplexing.
TE Transport Entity.
TELNET Telnet Protocol. TFTP Trivial File Transfer protocol.
TPDU Transport PDU.
TSAP Transport SAP.
TSDU Transport SDU.
UART Universal Asynchronouse Receiver Transmitter. UDP User Datafram Protocol.
UNI User to Network Interface. UTP Unshield Twisted Pair.
VC Virtual Circuit.
VCI Virtual Circuit Identifier. VLAN Virtaul Local Area Network. VPI Virtual Path Identifier. VPN Virtual Private Network.
VTAM Virtual Telecommunication Access Method. WAN Wide Area network.
WWW World Wide Web.
TÀI LI烏U THAM KH謂O
[1] Malone, D., IPv6 - A Service Provider View in Advancing MPLS Networks, Internet Protocol Journal, Vol. 8, Nr. 2, June 2005
[2] Hinden, R., Advanced Networking Lab (ANML) Internet Protocol, Version 6 (IPv6) Resources, Pervasive Labs at Indiana University