Tâm (central authority)

Một phần của tài liệu tiểu luận Công nghệ IP VPN (Trang 136)

IV (Initialization Vector) được truyền qua kê

g tâm (central authority)

b) Mô hình tin tưởng thứ hai

Mô hình tin Client Certificate Trust Verisign Verisign Self Signed Self Signed Amazon Amazon Verisign Verisign Bob Bob Amazon Amazon Alice Alice Amazon Amazon Carol Carol Swisskey Swisskey Swisskey Swisskey Self Signed Self Signed Intermediate CA Root CA

ưởng thứ hai phân cấp tin tưởng với các nhà

hân phối chứng thực CAs (Certificate Authorities). Hiện nay mô hình này được lựa chọn để triển khai và sử dụng các chứng thực với qui mô lớn. các mắt xích tin tưởng ở dạng phân cấp: trên cùng là

ác nhà phân phối chứng thực gốc, tiếp theo là các nhà phân

ối chứng thực trung gian.

Hình 4.18: Mô hình tin tưởng thứ hai (phân cấp tin tưởng với các CAs) Các nhà phân phối chứng thực gốc (Root CAs)

Tại mức trên cùng của phân cấp các mắt xích tin tưởng là một số nhà phân phối chứng thực gốc. Các Root CAs được dựng phổ biến là: Verisign, RSA, Baltimore, Rntrust, Deutsche Telekom và Swisskey.

nhà phân phối chứng thực trung gian (Intermediate CAs)

Root CAs có thể trực tiếp cấp phát các chứng thực cho người sử dụng. Tuy nhiên đối với các tổ chức

ung bình hoặc lớn thì sẽ thuận lợi hơn

iều nếu tự thiết lập lấy một CS, khi đó họ có thể tự cấp phát hoặc hũy bỏ các chứng thực cho các các nhân trong tổ chức. Bản thân chứng thực

CA trung gian này thường được cấp phát với ký tự R

Signature Signature SignatureAlgorithm* SignatureAlgorithm* Version Serial Number Signature* Issuer Validity Subject SubjectPublicKeyInfo IssuerUniqueID Optional SubjectUniqueID Optional Extensions Optional Version Serial Number Signature* Issuer Validity Subject SubjectPublicKeyInfo IssuerUniqueID Optional SubjectUniqueID Optional Extensions Optional Hash/ Fingerprint Hash/ Fingerprint Hàm hash Hàm hash Encryption with Issure’s Private Key

Encryption with Issure’s Private Key

t CA.

Về nguyên tắc thì có thể thực - ện một số tùy ý các phân

- p, nhưng thông thường chỉ sử dụng từ hai đến ba cấp từ - ứng thực của người sử dụng đến Root CA.

Cấu trúc chung của một chứng thực X.509 Mạng tin tưởng thường sử dụng chứng thực

penPGP (RFC 2440). Còn mô hình phân cấp tin tưởng thường

• dụng chứng thực ITU-T X.509 (RFC 2459). Hình 4.19: Cấu trúc chun • của một chứng thực X.509 Một chứng thực X.509v3 b • gồm 3 phần Phần thân của chứng thực.

Định nghĩa thuật toán sử dụng bởi

• s để ký chứng thực.

Chữ ký đảm bảo tính xác thực

• ủa chứng thực, bao gồm mã hash của ph

• thân chứng thực được mật mã với khóa

• í mật của CAs. Riêng phần thân của

c bao gồ các thông tin sau

Version Numbe

(số phiên bản): hiện tại có các phiên bản v1, v2, v3. Serial Number: duy nhất được cấp bởi SA tương ứng.

Signature (chữ ký) và Issure: mô tả thuật toán được sử dụng để chứng thực. Nhận dạng (ID) của CA phát hành và ký chứng thực.

Nhận dạng (ID) của đối tượng sử dụng. Khóa công khai của đối tượng sử dụng. Các mở rộng tùy chọn của v2 hoặc v3.

CHƯƠNG 5

THỰC HIỆN IP-VPN 5.1 Giới thiệu

Các chương trước đó trình bày về những kỹ thuật cơ bản của IP-VPN bao gồm các giao thức đường ngầm, thuật toán mật mã và xác thực. Các kỹ thuật này hiện đã được giải quyết tích hợp sẵn trong các sản phẩm của nhiều hãng trên thế giới. Do hiện nay chưa có một chuẩn thống nhất cho việc sản xuất các thiết bị VPN, nên vấn đề đặt ra là sự tương thích giữa các sản phẩm của các hãng khác nhau.

- ười sử dụng cần p

- i được đảm bảo rằng thiết bị mà họ mua c - thể làm việc tốt với các thiết bị kh

- trong mạng. Để g

- i quyết vấn đề này, từ năm 20 - VPNC (Virtual P

- chức kiểm tra và

- ấp chứng chỉ cho các sản

- hẩm IP-VPN đạt yêu cầu về tính tương thích

- PNC Testing for Interoperability and Conformance). u đây là danh sách một số sản phẩm đã qua kiểm tra của VPNC: ADTRAN, NetVanta.

Alcatel, Secure VPN Gateway 7130 series. Check Point Software, VPN-1 Gateway. Cisco, IOS IPSec.

Cisco, VPN 3000 Concentrator. Cylink, NetHawk.

NetScreen, NetScreen family. Nokia, Nokia VPN.

SafeNet, SafeNet family.

SSH Communications Security, IPSec Express.

WatchGuard Technologies, WatchGuard Firebox Vclass.

Như vậy đã có nhiều hãng tham gia nghiên cứu, phát triển các thiết bị VPN. Bản thân mỗi hãng lại có nhiều dòng sản phẩm phục vụ cho nhiều nhu cầu ứng dụng khác nhau. Các

ản phẩm có thể là chuyên dụng (p

c vụ riêng cho mục đích VPN) hoặc kết hợp (chức năng VPN được đi kèm với các chức năng khác, chẳng hạn như router, firewall). Do chưa tồn tại một chuẩn chung nên cách thức sử dụng, cấu hình các sản phẩm này cũng khác nhau. Mục đích của chương này là đưa ra các nguyên tắc và mô hình thực hiện VPN nói chung và giới thiệu qua về tình hình thị trường VPN của Việt Nam.

5.2 Các mô hình thực hiện IP-VPN

Một cách tổng quát thì việc lựa chọn một phương án để thực hiện VPN phụ thuộc vào mục đích và qui mô của ứng dụng. Như đã biết, mục đích cơ bản của ứng dụng VPN là truy nhập từ xa (Remote Access) hoặc kết nối Site-to-Site. Còn qui mô của ứng dụng thể hiện ở số phiên trao đổi có thể thực hiện đồng thời. Một đặc điểm quan trọng khác là vai trò của nhà cung cấp dịch vụ ISP. Một phương án thực hiện VPN có thể dựa vào dịch

ụ cung cấp bởi ISP hoặc trong suốt đối với ISP. Trong trường hợp thứ nhất, ISP được trang bị các thiết bị VPN và có

cung cấp dịch vụ VPN cho cá

- tổ chức, người sử dụng có nhu cầu về dịch vụ này. Trong trường hợp thứ hai, bản thân các tổ chức và người sử dụng tự trang bị lấy thiết bị VPN cho mình. Khi này họ có thể thực hiện VPN mà không cần quan tâm đến việc ISP có hỗ trợ dịch vụ này hay không.

Về phương diện người sử dụng, có 3 ứng dụng hay loại hình IP-VPN là: Access IP-VPN, Intranet VPN và Extranet IP-VPN.

Hình 5.1: Ba mô hình IP-VPN

Access IP-VPN: cung cấp truy nhập từ xa thông qua Internet tới

- ạng trung tâm, với những đặc điểm của một mạng riêng, ví dụ như tín an toàn (sercurity), độ ổn định. Access IP-VPN cho phép người sử d

- g truy nhập các nguồn tài nguyên của tổ chức ở bất kỳ nơi nào, lúc nào mà họ mong muốn. Các công nghệ truy nhập tương tự, quay số, ISDN, đường dây t

bao số (DSL), đi

thoại di động… đều có thể dựng để kết nối an toàn những người sử dụng lưu động tới mạng trung tâm.

Intranet VPN: kết nối các mạng chi nhánh với mạng trung tâm thông qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.

Extranet VPN: kết nối với khách hàng, đối tác với một phần mạng trung tâm thông qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.

5.2.1 Access VPN

Có rất nhiều lựa chọn để thực hiện Access VPN,

vậy cần cân nhắc thận trọng trước khi

yết định lựa chọn phương án nào. Như liệt kê ở đây, có nhiều công nghệ truy nhập, từ các công nghệ quay số hoặc ISDN truyền thông tới các công nghệ mới như truy nhập sử dụng DSL. Thêm vào đó phải lực chọn một kiến trúc VPN: kiến trúc khởi tạo từ máy khách (client inititated) hay kiến trúc khởi tạo từ máy chủ truy nhập (network access server initiated architure).

5.2.1.1 Kiến trúc khởi tạo từ máy khách

Đối với Access IP-VPN khởi tạo từ phia máy khách, mỗi PC của người sử dụng từ xa phải cài đặt phần mềm IPSec. Khi người sử dụng quay số tới POP (Point of Presence) của ISP, phần mềm này sẽ khởi tạo một đường ngầm IP-VPN và thực hiện mật mã. Kiến trúc này rất an toàn vì dữ liệu được bảo vệ trên toàn bộ đường ngầm PC của người sử dụng đến mạng

g tâm. Trong phương án này có thể sử dụng bất kỳ công nghệ truy hập nào để kết nối tới Internet. Thêm vào đó, phươn

án này là trong suốt đối với nhà cung cấp dịch vụ ISP, nghĩa là có thể thực hiện IP-VPN mà không cần thực hiện bất cứ thay đổi nào đối với ISP, chẳng hạn như mật mã dữ liệu. Nhược điểm của mô hình này là phải cài đặt và quản trị phần mềm IPSec client trên tất cả các PC truy nhập từ xa.

Hình 5.2: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng 5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS

Đối với truy nhập IP-VPN khởi tạo từ máy chủ truy nhập thì NAS (tại POP) sẽ khởi tạo đường ngầm và thực hiện mật mã thay cho người sử dụng.

có một phần kết nối không được bảo vệ giữa ngư

sử dụng và POP. Phần kết nối còn lại đư

bảođả an toàn bởi một đường ngầm và mật mã dữ lệu. Mô hình này dễqun lí hơn, vì không phải kiểm soát tất cả phần mềm IPSec client tại các PC truy nhập từ xa. Mô hình này cũng dể dàng mở rộng hơn so với mô hình truy nhập khởi tạo từ ngờ sử dụng vì chỉ cần cấu hình máy chủ NAS, thay vì cấu

h tất cả các PC.

Hình 5.3: Truy n

5.2.2 Intranet IP-VPN và Extranet IP-VPN

Ở ch ươ ng 2 đã trình bày về mô hình Intranet và Extranet IP-VPN. Ch ươ ng này sẽ trình bày một ví dụ về mô hình triển khai Intranet và Extranet IP-VPN khởi tạo từ raouter. Hình 5.4 ví dụ về hai router ở mỗi đầu của kết nối thiết lập một đ ư ờng ngầm sử dụng IPSec sau đó thỏa thuận việc mật mã.

Hình 5.4: IP-VPN khởi tạo từ routers

Mô hình này có một số lựa chọn thực hiện khác nhau. Trường hợp thứ nhất, ISP quản lý, cung cấp và duy trì kết nối Internet cơ sở, còn bản thân tổ chức phải quản lý tất cả các vấn đề như an toàn dữ liệu, quản lý router, máy chủ, các nguồn tài nguyên như ngân hàng các modem quay số. Trường hợp thứ hai là mô hình lai hybrid model). Tron

mô hình này, tổ chức và nhà cung cấ

dịch vụ chia sẻ các công việc tương đối ngang bằng, ISP cung cấp thiết bị VPN, đảm bảo QoS với mức băng tần thỏa thuận, còn phía nhà quản trị mạng quản trị các ứng dụng và cấu hình, cung cấp các dịch vụ trợ giúp và an toàn dữ liệu. Trường hợp thứ ba, nhà quản trị mạng chỉ quản lý các máy chủ an ninh, còn ISP cung cấp toàn bộ giải pháp VPN, dịc

vụ tr ợ giúp, huấn luyện… 5.2.3 Một số sản phẩm thực

Loại khách hàng

Cisco Netsreen

Remote Access Site-to-Site

ISP/ Central Site 3080, 3060 Concentrators VPN routers 71x0 Netsreen-1000, Netsreen-500 Medium Site 3030 Concentrators Routers 7x00, 3600 Netsreen-208,

Netsreen-204 Small Office 3015, 3005 Concentrantors Routers 3600, 2600, 1700 Netsreen-50, Netsreen-20, Netsreen-XP Home Office/ Telecommuter Cisco VPN Software Client 3002 Hardware Client Router 800, 905 Netsreen-Remote iện VPN

như ta đã biết, có n

ều hãng tham gia nghên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dòng sản phẩm. Các hãng khác nhau có cách tiếp cận và ưu

ược điểm riêng. Sau đây ví dụ về các sản phẩm c

- Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và có thể phục vụ cho một phạm

- i rộng các nhu cầu ứng dụng khác nhau.

Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen 5.3 V

- dụ về thực hiện IP-VPN

Để minh họa, ta xét 2 trường hợp: ứng

- ng kết nối remote Access và ứng dụng Site-to-Site sử dụng thiết bị VPN 3 0 Concentrantor của Cisco.

VPN concentrantor có các thông số kỹ thuật sau: Xác thực tính toàn vẹn dữ liệu: sử dụng thuật

oán HMAC-MD5 (128 bit), HMA

SHA-1 (160 bit).

Xác thực nguồn gốc dữ liệu: có thể cấu hình để sử dụng mật khẩu (khóa chia sẻ trước) hoặc chữ ký số.

Trao đổi khóa: sử dụng thuật toán Diffie-Hellman, chứng thực số.

Mật mã dữ liệu: sử dụng một trong các thuật toán DES, 3DES ở chế độ CBC. Trong tương lai, các thiết bị VPN cần hỗ trợ các thuật toán

tiến hơn, chẳng hạn thuật toán mật mã AES, xác th

SHA-2.

5.3.1 Kết nối Client-to-LAN

Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để truy nhập thư điện tử, các file cơ sở dữ liệu, trình

- iễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.

Hình 5.5: Các thành phần của kết nối Client-to-L

- Có thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol

- PPP), IPSec Protocol, và VPN 3000 Concentrator.

Phần mềm IPSec (IPSec Client Software) không có sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính có yêu cầu

- ruy nhập từ xa. Nó được sử dụng để mật mã, xác thực và đóng gói dữ liệu, đồng thời là một điểm cuối của đường ngầm.

ợc các ứng dụng truy nhập từ xa sử dụng

thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.

Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an toàn (secure tunnel), thông qua Internet để tới VPN 3000 Concentrantor.

Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối còn lại của đường ngầm. Nó thực hiện giải mã, xác thực, và mở gói dữ liệu.

nh 5.6: Đường ngầm IPSec Client-to-LAN

Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thông tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ nguồn thường là địa chỉ ảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉ ảo giúp cho client có thể hoạt động như đang ở ngay mạng trung tâ

Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đó chúng được mật mã, xác thực và đóng gói bằng giao thức ESP. Sau khi đóng gói dữ liệu bằng ESP thì một IP header mới được thêm vào gói dữ liệu (gọi là header ngoài) để định tuyến gói tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ car

mạng (NIC) của client. Địa chỉ đích là giao diện công cộng của VPN 3000 Concetrator.

- i thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi - áy tính truy nhập từ xa cần cài đặt phần mềm IPSec clien

- Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an toàn gữa m

- tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và

- uản lý đường ngầm. Trong quá trình hoạt động,

- c bước sau thực hiện gần như tự - ng đối với ngư ời sử dụng. Thỏa thuận các thông số đường

: địa chỉ, thuật toán.Thiết l Thiết l

đường ngầm dựa trên các

hông số đã thiết lập.

Xác thực người sử dụng thông qua username, groupname, password, digital certific ate.

Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…

Quản trị các

óa an ninh để mật mã va giải mã. Thiết lập phiên trao đổi IPSec .

Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm. Hình 5.7: Phần mềm IPSec Client

5.3.2 Kết nối LAN-to-LAN

Trong trường hợp này, giả thiết người sử dụng từ mạng LAN ở xa muốn truy nhập vào máy chủ ứng dụng ở mạng trung tâm. Một phương án để thực hiện kết nối này là sử dụng hai VPN 3000 Concentrator, một ở mạng trung tâm, một ở mạng xa.

Một gói tin IP được xây dựng với địa chỉ nguồn là 192.168.1.20 và địa chỉ đích là 192.168.1.10. Gói tin được định t

tới VPN Concentrantor, VPN Concentra

r mật mã và đóng gói IP ban đầu với ESP

eader. Gói tin này được bảo vệ nhưng không định tuyến được do các trường địa chỉ ở dạng mật mã. Vì vậy, một IP header bên ngoài được thêm vào. Các địa chỉ bên ngoài này (203.16.5.19, 172.26.26.1) giúp định tuyến gói tin qua Internet. Sau khi đã có đường ngầm thì một phiên trao đổi được thiết lập cho phép truyền thông giữa hai mạng riêng.

Một phần của tài liệu tiểu luận Công nghệ IP VPN (Trang 136)

Tải bản đầy đủ (DOC)

(153 trang)
w