HÌNH 1.17 Đường ngầm IPSEC được thiết lập

Một phần của tài liệu TIỂU LUẬN MÔN HỌC AN TOÀN THÔNG TIN MẠNG RIÊNG ẢO (Trang 27 - 35)

được tạo ra, làm tăng tính an toàn của đường ngầm).

HÌNH 1.15 Thoả thuận các thông số an ninh IPSEC

IKE Phase 2 có một chế độ: Quick Mode. Chế độ này diễn ra sau khi IKE đã thiết lập được đường ngầm an toàn ở IKE Phase1. IKE Phase 2 thoả thuận

một tập chuyển đổi IPSEC chung (shared IPSEC Transform); tạo các khoá bí mật chung sử dụng cho các thuật toán an ninh IPSEC; và thiết lập IPSEC SA. Quick Mode cũng được sử dụng để thoả thuận lại một kết hợp an ninh mới (new IPSEC SA), khi SA cũ đã hết hạn.

Cũng giống như tập chính sách IKE (IKE policy set, IKE Phase 1 transform) các tập chuyển đổi IPSEC ở Phase 2 cũng bao gồm các thông số an toàn an ninh nhằm thiết lập kênh truyền dữ liệu an toàn giữa các đối tác IPSEC. Tập chuyển đổi IPSEC bao gồm các thông số sau:

− Kiểu khung giao thức IPSEC: AH hay ESP hoăc AH hết hợp với ESP. − Chế độ kết nối: chế độ truyền tải hay chế độ đường ngầm.

− Riêng với ESP có thêm giải thuật mã hóa dữ liệu: DES, 3DES, AES-128, AES-192, AES-256 hay không sử dụng mã hóa.

− Hàm băm được để xác thực gói tin: MD5 hay SHA-1.

Bên nào khởi tạo kết nỗi sẽ gửi danh sách các tập chuyển đổi IPSEC của mình qua cho đối tác. Bên nhận sẽ so sánh tập chuyển đổi đầu tiên của bên

gửi với tất cả các chuyển đổi của bên nhận. Nếu không có tập chuyển đổi nào giống nhau thì tập chuyển đổi thức 2 của bên gửi được đem so sánh. Quá trình trao đổi các tập chuyển đổi IPSEC kết thúc khi các hai kết nối đơn hướng từ hai phía thỏa thuận xong.

Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin bao gồm các thuật toán xác thực, mã hoá; địa chỉ của đối tác; thời hạn của khoá (Trước khi cần tái tạo lại)...Thông tin này được biết đến như là một kết hợp an ninh SA. Thiết bị VPN sau đó sẽ đánh số SA bằng một thông số an ninh SPI (Security Parameter Index). Thay vì gửi từng thông số của SA qua đường ngầm, mỗi phía chỉ đơn giản chèn số SPI vào ESP header. Khi bên thu nhận được gói sẽ tìm kiếm địa chỉ đích và SPI trong cơ sở dữ liệu của nó, sau đó xử lý gói theo các giao thức được chỉ định bởi SPI.

HÌNH 1.16 Các kết hợp an ninh

IPSEC SA là tổng hợp thông tin về địa chỉ của đối tác, số SPI, các thuật toán mã hoá và xác thực, thời hạn khoá. Ví dụ đối với một kết nối mạng tổ chức – ngân hàng, một đường ngầm rất quan trọng được thiết lập giữa hai phía, đường ngầm này sử dụng 3DES, SHA, chế độ đường ngầm, và khoá thời hạn (Key lifetime) là 28800, tương ứng với SPI-12.Với người sử dụng từ xa truy nhập vào thì một đường ngầm có độ an toàn thấp hơn được thoả thuận, sử dụng DES, MD5, chế độ đường ngầm, khoá thời hạn là 28800, tương ứng với SPI-39.

2.2.5.4. Truyền dữ liệu và kết thúc đường ngầm

Sau khi đã hoàn thành IKE pha 2 đã được thiết lập các kết hợp an ninh IPSEC SA, lượng trao đổi giữa Host A và Host B thông qua một đường ngầm an toàn. Traffic được mã hoá và giải mã sử dụng các thuật toán xác định trong IPSEC SA.

HÌNH 1.17 Đường ngầm IPSEC được thiết lập

Các kết hợp an ninh IPSEC SA kết thúc khi bị xoá hoặc bị hết hạn (SA hết hạn khi một số lượng nhất định các byte đã truyền qua đường ngầm, hoặc khi hết một khoảng thời gian nào đó). Khi các SA kết thúc thì các khoá cũng bị loại bỏ. Lúc đó các IPSEC SA mới cần được thiết lập, một IKE pha 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE pha 1 mới. Một thoả thuận thành công sẽ tạo ra các SA và khoá mới. Các SA mới được thiết lập trước các SA khi các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.

3. Mô hình mạng VPN

Có thể chia mô hình mạng VPN ra thành hai loại chính, đó là:

• Customer-based VPN (còn gọi là overlay VPN): là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của khách hàng như là đường kết nối leased line.

• Network-based VPN (còn gọi là peer - to - peer VPN ): là VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của khách hàng.

3.1. Overlay VPN

Mô hình overlay VPN ra đời từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Ban đầu, VPN được xây dựng bằng cách sử dụng các đường leased line để cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua dịch vụ leased line của nhà cung cấp. Đường leased line này được thiết lập giữa các site của khách hàng cần kết nối. Đường này là kết nối

dành riêng cho kháchhàng.

Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp

các đường dành riêng cho mỗi khách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit). Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng thông qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.

Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi.

Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là PIR (Peak Information Rate). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất (Minimum Information Rate – MIR). Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Và thật khó để cung cấp nhiều lớp dịch vụ (QoS) vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng. Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng Frame Relay hay ATM là có các PVC giữa các site khách hàng. Tuy nhiên, kết nối full-mesh thì chỉ làm tăng thêm chi phí của mạng.

Mô hình VPN overlay có một số ưu điểm sau:

• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả nhà cung cấp dịch vụ.

• Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong mạng VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu điểm- điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và khách hàng sẽ quản lý dễ dàng hơn. (adsbygoogle = window.adsbygoogle || []).push({});

• Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cầu hình mắc lưới (full-mesh)

• Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.

Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó làm tăng thêm chi phí hoạt động.

3.2. Peer – to – peer VPN

Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ưu qua mạng backbone, mô hình peer to peer VPNs ra đời. Với mô hình này nhà cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng. Tức là router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với router CE của khách hàng.

Mô hình Peer-to-peer VPN đã giải quyết được các hạn chế của VPN overlay: • Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi router khách

hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn.

• Định tuyến giữa các site khách hàng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các route của họ.

• Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu lượng từ site này đến site kia (site-to-site) như mô hình overlay VPN.

• Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên Router PE. Trong mô hình overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các VC từ site này đến site khác của VPN khách hàng.

Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:

 Phương pháp chia sẽ router (shared router): Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp (provider edge –

PE). Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.

HÌNH 1.18 Mô hình Peer-to-peer VPN sử dụng router dùng chung

 Phương pháp router P dành riêng (dedicated router): là phương pháp mà khách hàng VPN có router PE dành riêng. Trong phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các route trong bảng định tuyến của router PE đó.

HÌNH 1.19 Mô hình Peer-to-peer VPN sử dụng router dành riêng

Mô hình router dành riêng sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các route được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các VPN. Định tuyến trên router dành trước có thể được thực hiện như sau:

• Giao thức định tuyến chạy giữa PE và CE là bất kì. • BGP là giao thức chạy giữa PE và PE.

• PE phân phối các route nhận được từ CE vào BGP, đánh dấu với ID (Identification) của khách hàng (BGP community), và truyền các route

đến router P, router P sẽ có tất cả các route từ tất cả VPN của khách hàng.

• Router P chỉ truyền các route với BGP community thích hợp đến Router PE. Do đó Router PE chỉ nhận các route từ Router CE trong VPN của chúng.

So sánh các phương pháp của mô hình VPN ngang cấp:

• Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của router. Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho số lượng lớn khách hàng.

• Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch vụ Peer- to-peer VPN đòi hỏi phải đăng kí lại địa chỉ IP trong mạng khách hàng. • Khách hàng không thể thêm default route vào VPN. Giới hạn này đã

ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ khác.

Ưu điểm của mô hình VPN peer-to-peer:

• Peer-to-peer VPN cho ta định tuyến tối ưu giữa các site khách hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt.

• Dễ mở rộng.

Hạn chế của mô hình VPN peer-to-peer:

• Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết. • Router P của nhà cung cấp dịch vụ phải mang tất cả các route của (adsbygoogle = window.adsbygoogle || []).push({});

KẾT LUẬN

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn ảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng.

Chuyên đề này đã giới thiệu các giải pháp công nghệ cho việc xây dựng một mạng riêng ảo. Triển khai từ lý thuyết đến thực tiễn trong các vấn đề giải quyết mạng riêng ảo nói chung, các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng.

TÀI LIỆU THAM KHẢO

[1] Nguyễn Thúc Hải, Mạng máy tính và hệ thống mở, NXB Giáo dục, 1997 [2] ThS. Võ Hồng Sơn, Đánh giá hiệu quả của các loại mạng riêng ảo, 2008 [3] Richard Deal, The Complete Cisco VPN Configuration Guide, Cisco Press,

2005.

[4] http://www.cisco.com

[5] http: //q uantrimang.com

Một phần của tài liệu TIỂU LUẬN MÔN HỌC AN TOÀN THÔNG TIN MẠNG RIÊNG ẢO (Trang 27 - 35)

(35 trang)