Embed Size (px)
Citation preview
IPSEC &VPN
MỤC LỤC TRANG
1. Mục Lục Trang.....................................................................................................12. Tổng quan..............................................................................................................23. Chương 1 ipsec
1. IPSec là gì.......................................................................................................22. Vai trò của IPSec...........................................................................................43. Những tính năng của IPSec..........................................................................44. Cấu trúc bảo mật...........................................................................................55. Làm việc như thế nào ...................................................................................66. Giao thức sử dụng .........................................................................................77. Các chế độ.......................................................................................................138. IKE..................................................................................................................159. Chính sách bảo mật IPSec............................................................................2110. Mối quan hệ giữa chứng chỉ và IPSec..........................................................21
4 Chương 2 VPN1. Giới thiệu và các dạng của VPN..................................................................222 Các yêu cầu của Mạng riêng ảo....................................................................33
3 Bảo mật trong VPN........................................................................................39 4 Khái niệm về kỉ thuật đường hầm................................................................55 5 Cấu hình..........................................................................................................605 Tài liệu tham khảo.................................................................................................62
1
IPSEC &VPN
Tổng quan
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau...
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet.
Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các dữ liệu qua mạng bằng việc sử dụng IPSec.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu qua mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo VPNs kết hợp với giao thức bảo mật IPSEC. Chính điều này là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay.
CHƯƠNG 1 : IPSEC1. IPSec là gì?
- IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp một
khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng.
Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được định nghĩa
để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh truyền dẫn mạng
bảo mật.
-Thuật ngữ Internet Protocol Security (IPSec). Nó có quan hệ tới một số bộ giao thức
(AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering
Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo
mật ở tầng 3 (Network layer) của mô hình OSI, như hình vẽ:
2
IPSEC &VPN
-Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó,
khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật
bởi vì các giao tiếp đều đi qua tầng 3. (Đó là lý do tại sao IPSec được phát triển ở giao
thức tầng 3 thay vì tầng 2).
-Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ
tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm
dẻo cho IPSec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao
thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức
khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã
(code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao
thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay
đổi lớn.
- Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI
đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích
hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo
3
IPSEC &VPN
mật mà không cần phải có sự thay đổi lớn lao nào. Cũng giống IP, IPSec trong suốt với
người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục
đằng sau một chuỗi các hoạt động.
2. Vai trò của IPSec
+ Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu.
+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.
+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảo mật.
+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh dấu dữ liệu.
+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm
tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào.
3. Những Tính Năng của IPSec (IPSec Security Protocol)
-Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity).
IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và
kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi
người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn
công giả mạo, đánh hơi và từ chối dịch vụ.
-Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử
dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu
trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn
(người gửi) và nút đích (người nhận) từ những kẻ nghe lén.
- Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key
Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và
trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các
khóa mã và cập nhật những khóa đó khi được yêu cầu.
- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và
confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec.
Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security
Payload (ESP).
4
IPSEC &VPN
- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec
chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.
- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độ Transport và
chế độ Tunnel được mô tả ở hình 6-7. Cả AH và ESP có thể làm việc với một trong hai
chế độ này.
4. Cấu trúc bảo mật
-IPsec được triển khai sử dụng các giao thức cung cấp mật mã (cryptographic
protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, phương thức xác thực
và thiết lập các thông số mã hoá.
-Xây dựng IPSec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo
mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là
nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp
hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp.
Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị
IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực
cho mỗi gói tin IP.
-Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói
tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI),
mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ
điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa
chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo
mật (tạm dịch từ - security association) cho mỗi gói tin. Một quá trình tương tự cũng
được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và
kiểm tra các khoá từ SADB.
5
IPSEC &VPN
-Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực
hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho
một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện
nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật,
cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ
liệu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân
bản từ group tới các cá nhân.
5.IPSec làm việc như thế nào:
IPSec Định nghĩa ra loại lưu lượng cần được bảo vệ và định nghĩa ra các loại tùy
chọn IPSec.
-Các chính sách này sẽ được cấu hình trên các chính sách bảo mật cục bộ hoặc thông
qua các chính sách nhóm trên ID.
-Quá trình thỏa thuận sự liên kết bảo mật trong modul khóa trao đổi với internet:
IKE sẽ thỏa thuận với liên kết bảo mật.
-Môdul khóa internet là sự kết hợp của 2 giao thức: Giao thức kết hợp bảo mật
internet và giao thức quản lí khóa. IPSec sử dụng 2 giao thức này để thỏa thuận một cách
tích cực về các yêu cầu bảo mật cho cả 2 phía giữa các máy tính với nhau. Các máy tính
này không đòi hỏi phải có chính sách giống hệt nhau mà chúng chỉ cần các chính sách
cấu hình các tùy chọn thỏa thuận để cấu hình ra một yêu cầu chung.
Quá trình mã hóa gói IP:
Sau khi liên kết bảo mật được thiết lập, IPSec sẽ giám sát tất cả các lượng IP, so
sánh lưu lượng với các điều kiện đã được định nghĩa trên bộ lọc.
Mã hóa hoặc kí trên các lưu lượng đó:
6
IPSEC &VPN
6.Giao Thức sử dụng trong IPSec
- IPSec Bảo mật kết nối mạng bằng viêc sử dụng 2 giao thức và cung cấp bảo mật
cho các gói tin của cả hai phiên bản IPv4 và IPv6:
-IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác
thực.
- IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa
chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu.
-Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho
tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC
cho mã mã hoá và đảm bảo độ an toàn của gói tin. Toàn bộ thuật toán này được thể hiện
trong RFC 4305.
6.1Authentication Header (AH)
7
IPSEC &VPN
-AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là
lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn
công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu
khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL,
và Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới
đây là mô hình của AH header.
Ý nghĩa của từng phần:Next header Nhận dạng giao thức trong sử dụng truyền thông tin. Payload length Độ lớn của gói tin AH. RESERVED Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0). Security parameters index (SPI) Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương
lượng bảo mật được kết hợp với gói tin.Sequence number Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay
attacks.Authentication data
Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực.
8
0 - 7 bit8 - 15
bit
16 - 23
bit
24 – 31
bit
Next
header
Payload
lengthRESERVED
Security parameters index (SPI)
Sequence number
Authentication data (variable)
IPSEC &VPN
AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin bao gồm
cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong các gói tin.
AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể được
đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi. AH sẽ sử dụng thuật toán Key
AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói dữ liệu.
Do giao thức AH không có chức năng mã hóa dữ liệu nên AH ít được dùng trong
IPSec vì nó không đảm bảo tính an ninh.
9
IPSEC &VPN
6.2 Encapsulating Security Payload (ESP)
-Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin.
ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ
cần cho authentication. ESP sử dụng IP protocol number là 50 (ESP được đóng gói bởi
giao thức IP và trường Protocol trong IP là 50).
0 - 7 bit 8 - 15 bit16 - 23
bit
24 -
31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad
Length
Next
Header
Authentication Data (variable)
Ý nghĩa của các phần:
Security parameters index (SPI) Nhận ra các thông số được tích hợp với địa chỉ IP.
10
IPSEC &VPN
Sequence number Tự động tăng có tác dụng chống tấn công kiểu replay attacks.Payload data Cho dữ liệu truyền điPadding Sử dụng vài block mã hoáPad length Độ lớn của padding. Next header Nhận ra giao thức được sử dụng trong quá trình truyền thông tin. Authentication data Bao gồm dữ liệu để xác thực cho gói tin.
Các thuật toán mã hóa bao gồm DES , 3DES , AES Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1 ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó. ESP trong trạng thái vận chuyển sẽ không đánh toàn bộ gói tin mà chỉ đóng gói
phần thân IP. ESP có thể sử dụng độc lập hay kết hợp với AH
Dưới đây là một mô hình của quá trình thực thi ESP trên user data để bảo vệ giữa 2
IPSec peers.
11
IPSEC &VPN
Bảng so sánh giữa 2 giao thức ESP và AH:
12
IPSEC &VPN
7.Các chế độ IPSec
- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ. Được mô tải ở hình dưới đó
là chế độ Transport và chế độ Tunnel. Cả AH và ESP có thể làm việc với một trong hai
chế độ này:
7.1 Transport Mode
-Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport mode,
phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức
tầng trên, như hình mô tả bên dưới.
13
IPSEC &VPN
AH Transport mode.
ESP Transport mode.
-Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn. Tuy nhiên,
nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không
mã hóa phần đầu IP.
7.2. Tunnel Mode
-Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói
dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn
vào giữa phần đầu nguyên bản và phần đầu mới của IP.
14
IPSEC &VPN
-Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và
phần header nguyên bản, như hình bên dưới.
ESP Tunnel mode
8.Internet Key Exchange ( IKE )
-Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắt của Internet Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc.
15
IPSEC &VPN
-IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch hoàn thành.
Thuận lợi chính của IKE include bao gồm:
+ IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo mật nào.
·+Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.
Như vậy nếu không có giao thức này thì người quản trị phải cấu hình thủ công. Và
những chính sách an ninh trên những thiết bị này được gọi là SA (Security Associate).
Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có.
Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với đối tác nhất
Những key được trao đổi trong quá trình IKE cũng được mã hóa và những key này
sẽ thay đổi theo thời gian (generate key) để tránh tình trạng bruteforce của Attacker.
8.1 IKE Phases
-Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình 6-14
trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE, nó
giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập
trước khi có bất kỳ thỏa thuận nào xảy ra.
16
IPSEC &VPN
8.1.1 Giai đoạn I của IKE
-Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa.
-Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật :
+Giá trị Diffie-Hellman
+SPI của ISAKMP SA ở dạng cookies
+ Số ngẫu nhiên known as nonces (used for signing purposes)
-Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng.
8.1.2 Giai đoạn II của IKE
- Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết bằng việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA.
- Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.
- Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làm việc đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hỗ trợ bởi một trường hợp đơn ở giai đoạn I. Điều này làm quá trình giao dịch chậm chạp của IKE tỏ ra tương đối nhanh hơn.
- Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on which IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.
8.2 IKE Modes
17
IPSEC &VPN
4 chế độ IKE phổ biến thường được triển khai :
+Chế độ chính (Main mode)
+ Chế độ linh hoạt (Aggressive mode)
+Chế độ nhanh (Quick mode)
+Chế độ nhóm mới (New Group mode)
8.2.1 Main Mode
- Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:
+ 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.
·+2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những khóa sau này thực hiện một vai trò quan trọng trong cơ chế mã hóa.
- Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.
8.2.2 Aggressive Mode
-Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode có
18
IPSEC &VPN
6 thông điệp thì chế độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode nhanh hơn mai mode. Các thông điệp đó bao gồm :
+ Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính, và trao đổi nonces cho việc ký và xác minh tiếp theo.
+Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa.
+ Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc).
Cả Main mode và Aggressive mode đều thuộc giai đoạn I.
8.2.3 Quick Mode
- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa
thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh
khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận
trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt
khác, khóa mới được phát sinh bằng các giá trị băm.
19
IPSEC &VPN
8.2.4 New Group Mode
- New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện
trao đổi Diffie-Hellman key được dễ dàng. Hình 6-18 mô tả New Group mode. Mặc dù
chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II.
- Ngoài 4 chế độ IKE phổ biến trên, còn có thêm Informational mode. Chế độ này kết
hợp với quá trình thay đổi của giai đoạn II và SAs. Chế độ này cung cấp cho các bên có
liên quan một số thông tin thêm, xuất phát từ những thất bại trong quá trình thỏa thuận.
Ví dụ, nếu việc giải mã thất bại tại người nhận hoặc chữ ký không được xác minh thành
20
IPSEC &VPN
công, Informational mode được dùng để thông báo cho các bên khác biết.
9. Chính Sách bảo mật IPSec (IPSec Security Policy)
- Mỗi chính sách bao gồm một vài nguyên tắc hay một danh sách các bộ lọc. Ta chỉ có thể gán một chính sách tới một máy tính.
9.1 Một nguyên tắc bao gồm các thành phần sau (Rules are composed of:):
+Bộ lọc filter (A filter).
+ A Filter action .
+ An Authentication Method (Phương pháp xác thực): Mỗi nguyên tắc có thể chỉ ra nhiều phương pháp xác thực khác nhau.
9.2 Chính sách mặc định của IPSec (Default policies):
+Client (Respond Only).
+ Server (Request Security).
+Secure server (Require Security).
10.Mối Quan Hệ Giữa chứng chỉ và IPSec
- Chứng chỉ X.509 còn được gọi là một chứng chỉ số, là một dạng giấy hình dạng
điện tử được trao đổi rộng dãi trong việc xác thực và trao đổi thông tin trên các mạng mở
như internet, Extranet (Mạng liên nghành), Intranet (Mạng cục bộ).
- Các chứng chỉ được sử dụng như là một phương pháp xác thực của IPSec. Lợi ích
của việc sử dụng chứng chỉ với IPSec là:
+ Như là một phương pháp xác thực giữa 2 host sử dụng IPSec cho phép chúng ta
có thể kết nối tin cậy đến một doanh nghiệp này với các tổ chức khác với cùng một CA.
21
IPSEC &VPN
+ Sử dụng chứng chỉ cho phép dịch vụ Routing Remote Access có thể truyền Dữ
liệu qua mạng bảo mật giống như mạng Internet với 1 Router có hỗ trợ IPSec.
+ Sử dụng chứng chỉ khi sử dụng mô hình VPN Client và Mô hình VPN Site – to -
site Sử dụng giao thức đường hầm L2TP/IPSec.
- Để sử dụng chứng chỉ trong quá trình xác thực IPSec thì cả 2 máy tính đều phải
cung cấp một chứng chỉ hợp lệ dùng cho mục đích truyền thông của IPSec.Khi một máy
tính cấu hình chứng chỉ thì ta phải sử dung chính sách IPSec dể hỗ trợ chứng chỉ sử
dụng như là một phương pháp xác thực hợp lệ.
CHƯƠNG 2 : VPN
I. Giới thiệu VPNs:
1. Một số khái niệm VPNsĐáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu
hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPNs. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý.
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point.
22
IPSEC &VPN
Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau:
Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa:
Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó.
Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó.
Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES).
Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption)
23
IPSEC &VPN
Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công.
2. Sự phát triển của VPNsVPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô hình
VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM
3. Giao thức đường hầmVPN:Có 3 giao thức đường hầm chính được sử dụng trong VPNs:
24
IPSEC &VPN
a. IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng. Không giống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng.
b. Point-to-Point Tunneling Protocol (PPTP). Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nó được đề xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hảnh Windows.
c. Layer 2 Tunneling Protocol (L2TP). Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP. Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM.
Trong 3 phương thức trên thì phương thức IPSec vẫn được sử dụng phổ biến nhất.
4. Ưu điểm và khuyết điểm của VPNsa. Ưu điểm: Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP).
Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng.
Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính
Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.
Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều
25
IPSEC &VPN
này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
b. Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng
có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs. Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩ
thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng.
5. Đánh giá VPNs:Đánh giá các mạng sử dụng giải pháp VPN, người ta thường sử dụng các tiêu chí
sau: Bảo mật: Do truyền nhạy cảm và quan trọng của công ty được truyền qua
mạng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng. Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải. Có cơ chế mã hóa dữ liệu đủ khả năng mã hóa dữ liệu an toàn.
Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh nghiệp của bạn là giải pháp chọn lựa phải phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống vius hay các hệ thống bảo mật khác. Một điểm nữa cần chú ý là toàn thể giải pháp cần được quản lý bởi chỉ một ứng dụng.
Sự thích nghi giữa (interoperablility) các thiết bị từ nhiều nhà cung cấp: Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (Quality of Service - QoS) rất khó đạt được. Do đó thiết bị cần được kiểm tra thích nghi trước khi lắp đặt chúng vào mạng VPN. Các nhà chuyên môn khuyến cáo để đạt chất lượng tốt truyền tin thì các thiết bị nên từ 1 nhà cung cấp. Điều này đảm bảo sự thích nghi các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất.
Quản lý VPN tập trung: Điều này giúp dễ dàng cấu hình, quản lý và khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là phần mềm quản lý luôn ghi lai các hoạt động hệ thống (logs), điều này giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống.
Dễ dàng bổ sung các thành phần khác: Giải pháp VPN có thể dễ dàng bổ sung và cấu hình. Nếu thành phần bổ sung có kích thước lớn thì bạn phải chắc chắn rằng phần mềm quản lý đủ khả năng ghi và theo dõi số lượng lớn tunnel bổ sung của hệ thống.
Sử dụng dễ dàng: Phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp đối để người dùng cuối có thể bổ sung nếu cần thiết. Thêm vào đó qusa trình xác nhận và giao diện phải dễ hiểu và sử dụng.
26
IPSEC &VPN
Khả năng nâng cấp (Scalability) Mạng VPN đang tồn tại phải có khả năng nâng cấp, thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại.
Performance: Mã hóa, mặt rất quan trọng của của VPNs, được thực hiện chủ yếu nhờ CPU. Do đó, điều cần thiết là lựa chọn thiết bị sao cho nó không chỉ đơn thuần là thích nghi với nhau mà nó còn có thể thi hành nhiệm vụ như mã hóa dữ liệu nhanh chóng và hiệu quả. Nếu không thì chất lương thấp một bộ phận có thể làm giảm chất lượng của toàn bộ hệ thống VPN
Quản lý băng thông: Để đảm bảo truyền tin, luôn sẵn sàng và đảm bảo QoS thì việc quản lý băng thông hiệu quả là điều vô cùng quan trọng. Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty.
Chọn nhà cung cấp dịch vụ internet (ISP): ISP được chọn phải đáng tin cậy và có khả năng cung cấp và hỗ trợ cho người sử dụng VPN và quản trị mạng bất cứ khi nào. Điều này thực sự quan trọng nếu ISP của bạn cho phép bạn quản lý dịch vụ. Bạn cũng phải chắc chắn rằng hướng phát triển tươn lai của ISP sẽ cho ra các dịch vụ mà bạn tìm kiếm và quan trọng hơn là nó có thể cung cấp các dịch vụ phi vật thể về phân vùng địa lý(services immaterial to geographic location.)
Bảo vệ mạng khỏi các dữ liệu không mong muốn: Bằng cách kết nối trực tiếp Internet, VPNs có thể bị cản trở bởi các dữ liệu không mong muốn là cản trở truyền tin của mạng. Trong truơng hợp khẩn cấp, dữ liệu này có thể làm tràn ngập mạng intranet dẫn đến sự ngưng kết nối và dịch vụ. Do dó, tunnel VPN cần được cung cấp một cơ chế lọc các thành phần non-VPN. Cơ chế này có thể bao gồm dịch vụ hạn chế băng thông hay chính sách (These mechanisms might include bandwidth reservation services or a policy of not assigning global IP addresses to the nodes located within the network, thus blocking the unauthorized access to these nodes from the public network.)
I.1 Các dạng của VPNs:
Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:+ Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời gian
nào.+ Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau+ Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp
hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.Dựa trên tiêu chí đó có thể phân loại VPNs thành 3 nhóm chính:
Remote Access VPNs Intranet VPNs Extranet VPNs
Dựa trên tiêu chí đó có thể phân loại VPNs thành 3 nhóm chính: Remote Access VPNs Intranet VPNs
27
IPSEC &VPN
Extranet VPNs
1. Remote Access VPNs:
Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống. Hệ thống bao gồm các thành phần chính:
Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủy quyền của yêu cầu truy cập từ xa.
Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà khoảng cách xa
Nhân sự: những người có trách nhiệm cấu hình hệ thống, bảo trì và quản lý RAS và hỗ trợ người dùng ở xa.
Để nâng cấp Remote Access VPNs, người dùng xa và các văn phòng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâm thông qua Internet. Mô hình thiết lập Remote Access VPN được mô tả ở hình 1-3
28
IPSEC &VPN
Ưu khuyết điểm của Remote Access VPNs so với Remote Access truyền thống: Không có thành phần RAS và các thành phần modem liên quan Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa
phương. Do đó chi phí vận hành giảm rất nhiều. Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao
hơn so với phải truyền dữ liệu đi xa. VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ
mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất.
Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểm còn tồn tại của Remote Access truyền thống:
Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS. Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và
mất trật tự Do tính phức tạp của thuật toán mã hóa, giao thức từ mã sẽ tăng lên khá
nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt.
Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền.
2/ Intranet VPNs:
29
IPSEC &VPN
Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô hình được mô tả như hình 1-4:
Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet.
Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống. Giải pháp VPNs được mô tả như hình 1-5:
30
IPSEC &VPN
Ưu điểm: Giảm chi phí cho router được sử dụng ở WAN backbone. Giảm số nhân sự hỗ trợ ở các nơi, các trạm Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-
to-peer mới. Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp
với kĩ thuật chuyển mạch nhanh như FR Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn.
Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất nhiều.
Khuyết điểm: Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet - mạng
chia sẻ công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ (denial-of-service)
Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo.
3/ Extraner VPNs:Không giống như giải pháp của intranet VPNs và remote access VPNs, extranet
VPNs không tách riêng với thế giới ngoài. Extranet VPNs cho phép điều khiển sự truy
31
IPSEC &VPN
xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong hoạt động thương mại của tổ chức
Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở hình1-6
Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài. Do đó sẽ vận hành và quản lý rất phức tạp các mạng khác nhau. Ngoài ra yêu cầu nhân sự để bảo trì và quản lý hệ thống phức tạp này trình độ cao. Ngoài ra, với thiết lập dạng này sẽ không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài khác.
Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extraner VPNs được mô tả như hình 1-7:
32
IPSEC &VPN
Ưu điểm: Giảm chi phí rất nhiều so với phương pháp truyền thống Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn. Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải
pháp tailoring phù hợp với nhu cầu tổ chức Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí
nhân sự do đó giảm chi phí vận hành của toàn hệ thống.
Khuyết điểm: Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo.
Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp.
II/ Các yêu c u c a M ng riêng oầ ủ ạ ả :Một mạng riêng ảo là một phiên bản đã được cải tiến và chỉnh sửa của mạng cá
nhân, nó cho phép bạn nâng cấp mạng LAN hoặc mạng nội bộ được thiết lập cùng với
33
IPSEC &VPN
Internet và các mạng công cộng khác để truyền thông một cách an toàn và kinh tế.Vì thế, hầu hết các yêu cầu của mạng riêng ảo và các yêu cầu của mạng cá nhân truyền thống thì gần như là giống nhau. Tuy nhiên, các yêu cầu sau là các yêu cầu nổi bật trong trường hợp VPNs
Tính an toàn ( bảo mật) Tính sẵn sàng Chất lượng dịch vụ Độ tin cậy Độ tương thích Và có thể quản lý được
1. Tính an toàn:Các mạng cá nhân và các mạng nội bộ cho một môi trường có độ an toàn cao bởi
vì các tài nguyên mạng không được cấp phát cho công cộng. Vì thế khả năng của một người không được phép truy cập vào mạng nội bộ và tài nguyên của nó là cực thấp. Tuy nhiên, giả định đó có thể không còn đúng cho VPNs vì mạng riêng ảo sử dụng Internet và các mạng công cộng khác như : mạng điện thoại chuyển mạch công cộng (PSTN). Việc thiết lập mạng riêng ảo sẽ tạo cho các hacker và cracker một cơ hội thuận lợi để truy cập vào mạng cá nhân và dữ liệu chạy tới nó thông qua mạng công cộng.Điều đó dẫn đến kết quả là, độ an toàn và tin cậy là không có. Do đó các phương pháp bảo mật cao cấp và toàn diện phải được thực hiện một cách nghiêm ngặt.
Dữ liệu và tài nguyên trong mạng có thể được bảo mật bằng các cách sau :
Sự hiện thực của ngoại vi phụ thuộc vào các kỹ thuật mà chỉ cho phép luồng giao thông được phép từ các nguồn tin cậy vào mạng và khóa tất cả các luồng giao thông khác.Tường lửa và Sự dịch chuyển địa chỉ mạng là các ví dụ của cơ chế bảo vệ, được hiện thực tại điểm mà tại đó mạng cá nhân hay mạng nội bộ được kết nối vào mạng công cộng. Các bức tường lửa không chỉ xem xét kỹ luồng giao thông đi vào mà còn cả luồng giao thông đi ra, do đó đảm bảo được một mức an toàn cao. Mặt khác NATs không cho thấy địa chỉ IP thực của các nguồn trong mạng. Và kết quả là, hacker và các attacker khác không thể nhắm vào một nguồn xác định nào trong mạng nội bộ bởi vậy cho nên dữ liệu được lưu trữ ở đó.
Việc hiện thực sự xác nhận user và packet để thiết lập định danh của người sử dụng và xác định anh ấy hoặc cô ấy có quyền truy cập vào các tài nguyên của VPN trong mạng. Mô hình AAA ( Authentication Authorization Accounting) là một ví dụ của một hệ thống xác nhận người sử dụng một cách toàn diện. Đầu tiên, nó xác nhận người dùng truy cập vào mạng. Sau khi người dùng được xác nhận thành công, người dùng chỉ có thể truy cập vào các nguồn tài nguyên được cấp phép. Thêm vào đó, một nhật ký hoạt động chi tiết của tất cả các users trong mạng được lưu trữ, điều này sẽ cho phép quản trị mạng biết được các hành vi trái phép.
34
IPSEC &VPN
Việc thực thi kỹ thuật mã hóa dữ liệu để bảo đảm tính xác thực, tính toàn vẹn, và tính tin cậy của dữ liệu trong khi dữ liệu được truyền qua một mạng tương tác không tin cậy. IPSec ( Internet Protocol Security) xuất hiện như một trong những kỹ thuật mã hóa dữ liệu mạnh mẻ. Nó không những mã hóa dữ liệu được truyền, mà còn cho phép xác thực mỗi user và mỗi packet một cách riêng rẽ.
Các phương pháp bảo mật VPN nên được chọn với sự quan tâm đặc biệt. Chúng nên không những dễ thực hiện và quản lý mà còn phải chịu được bất cứ sự vi phạm truy cập từ các người sử dụng trong mạng. Thêm vào đó, quá trình đăng nhập của người dùng phải nên nhanh và dễ dàng để mà người dùng không gặp bất cứ trở ngại nào khi truy cập vào VPN.
2. Sự sẵn sàng và Sự tin cậySự sẵn sàng liên quan đến tổng thời gian thiết lập mạng. Trong các mạng cá nhân
và mạng nội bộ uptime thì tương đối cao bởi vì kiến trúc hạ tầng tổng thể thì thuộc quyền sở hữu và kiểm soát hoàn toàn của tồ chức. Tuy nhiên, VPNs sử dụng các mạng nội bộ trung gian dưới dạng Internet và PSTNs. Vì thế, Các thiết lập dựa trên VPNs thì phụ thuộc cao vào mạng internet trung gian. Trong trường hợp này, hệ số sẵn sàng phụ thuộc cao vào ISP ( Internet Service Provider) bạn dùng
Tổng quát, ISPs bảo đảm tính sẵn sàng dưới dạng của một SLA( Service level Agreement). Một SLA là một sự thoả thuận được ký giữa ISP và người sử dụng để bảo đảm uptime của mạng. Mặc dù hơi đắt, một vài ISPs cung cấp uptime mạng cao tới 99 phần trăm.
Nếu tổ chức của bạn mong đợi sự sẵn sàng cao, và tìm kiếm một nhà cung cấp dịch vụ mà cung cấp một cơ sở hạ tầng chuyển mạch xương sống. Điều này bao gồm :
Khả năng định tuyến mạnh mẽ, cho phép định tuyến lại luồng giao thông qua một đường thay thế trong trường hợp đường truyền chính hư hoặc bị nghẽn mạch. Để bảo đảm hiệu suất tối đa, khả năng định tuyến này cũng phải hỗ trợ các chức năng để chỉ rõ các tuyến ưu tiên khi cần
Sự dư thừa các đường truy cập, được sử dụng để cung cấp nhu cầu tăng cao về băng thông của mạng.
Sự tin cậy là một yêu cầu chính khác của VPNs và nó được kết hợp chặt chẽ với hệ số sẵn sàng. Độ tin cậy của các giao dịch của VPNs bảo đảm sự cấp phát dữ liệu 2 đầu trong tất cả các trường hợp. Giống như hầu hết các thiết lập của các mạng khác, độ tin cậy của môi trường dựa trên VPN có thể đạt được bằng các gói chuyển mạch tới các đường khác, nếu một đường kết nối cho trước hay thiết bị trong đường truyền hư hỏng. Toàn bộ quá trình này thì rõ ràng cho người sử dụng cuối cùng và có thể đạt được bằng cách thực thi dư thừa trong các kết nối cũng như phần cứng
35
IPSEC &VPN
3. Chất lượng của dịch vụ:Chất lượng của dịch vụ là khả năng của một mạng đáp ứng lại các trường hợp tiêu
chuẩn bằng cách cấp phát một tỷ lệ băng thông mạng cao hơn và các tài nguyên cho một nhiệm vụ tới hạn và các ứng dụng nhạy với trễ. Các ứng dụng, như là giao dịch tài chính và xử lý đơn đặt hàng, rất quan trọng đối với tiền đồ kinh doanh hơn là các hoạt động của người dùng như là lướt web. Một cách tương tự, các ứng dụng như là hội thảo video cực nhạy với trễ và yêu cầu băng thông đủ rộng để tránh chất lượng xấu của sự truyền và jitters. Nó là đáp ứng của QoS để cấp đủ băng thông đủ cho các ứng dụng không có trễ.
QoS bao gồm 2 tiêu chuẩn latacy và throughput. Latency là sự trễ trong một truyền thông và cực kỳ quan trọng với các ứng dụng âm thanh và video.Throughput liên quan tới sự sẵn sàng của băng thông thích hợp với tất cả các ứng dụng, đặc biệt là các nhiệm vụ tới hạn và các ứng dụng đòi hỏi nhiều băng thông
Giống như tính sẵn sàng, QoS cũng phụ thuộc vào một SLA. Với sự giúp đỡ của một SLA, một nhà cung cấp dịch vụ thoả hiệp một mức độ nào đó của latency và throughput tới người đăng ký.Nếu bất cứ thời gian nào mức độ latency và throughput được cung cấp bởi nhà cung cấp dịch vụ thấp hơn được hứa trong SLA, sự thoả thuận đã bị xâm phạm. Trong cách này, một tổ chức có thể bảo đảm rằng nó nhận được với mức độ mà nhà dịch vụ đã hứa.
Phụ thuộc vào mức độ latency và throughput được hứa bởi nhà cung cấp dịch vụ và có hể được chia thành 3 loại sau :
Best Effort QoS : lớp dịch vụ này, chỉ ra sự không có QoS bởi vì nhà cung cấp
dịch vụ không bảo đảm cả về latency cả throughput. Bởi vì điều này, Best Effort QoS là lớp dịch vụ rẻ nhất và không được sử dụng cho các luồng giao thông cần nhiều băng thông hoặc nhạy với trễ.
Relative QoS : Lớp dịch vụ này có khả năng ưu tiên luồng dữ liệu. Vì thế, ít nhất throughput được đảm bảo. Tuy nhiên, việc đảm bảo này thì không tuyệt đối và phụ thuộc vào tải trên mạng và phần trăm của luồng cần được ưu tiên tại một điểm thời gian xác định. Đây là lớp có chi phí vừa phải và là trung gian cho các ứng dụng cần nhiều băng thông.
Absolute QoS : Lớp này đảm bảo cả throughput lẫn latency. Vì thế, nó là lớp dịch vụ mắc nhất và cung cấp cho các ứng dụng cần nhiều băng thông và nhạy với trễ.
Best effort QoS được cung cấp cho các người sử dụng Internet riêng rẽ mà cần kết nối để lướt web. Mặt khác Absolute QoS được dùng cho các giao dịch audio và video thời gian thực. Relative QoS thì thích hợp cho extranet và truy cập từ xa mà không yêu cầu throughput cực cao hoặc tối thiểu. Trong thế giới thực, các tổ chức tổng quát thường
36
IPSEC &VPN
sử dụng một sự kết hợp của 3 lớp dịch vụ để thỏa nhu cầu của mạng công ty theo một cách hiệu quả nhất
Trong VPNs, QoS cung cấp hiệu suất đoán được và sự thực thi chính sách với các ứng dụng khác nhau mà chạy trên VPN. Trong cấu trúc VPN, một chính sách được sử dụng để phân loại các ứng dụng, mỗi người dùng riêng rẽ, hoặc các nhóm người sử dụng trên nền tảng quyền ưu tiên được chỉ rõ.
4. Có thể quản lý được :Việc điều khiển hoàn toàn của các tài nguyên mạng và các hoạt động, cùng với sự
quản lý phù hợp, là các vấn đề rất quan trọng cho tất cả các tổ chức với mạng trải rộng ra toàn cầu. Trong tình huống này, hầu hết các tổ chức được kết nồi với nguồn tài nguyên khắp nơi của họ với sự giúp đỡ của các nhà cung cấp dịch vụ.. Và kết quả là, điều khiển 2 đầu cuối của một mạng nội bộ của một tổ chức là không thể bởi vì có sự hiện diện trung gian của mạng nội bộ của ISP. Trong trường hợp này, các tổ chức quản lý nguồn tài nguyên của họ cho tận đến các mạng của công ty, trong khi các nhà cung cấp dịch vụ quản lý các thiết lập mạng riêng của họ.
Với sự sẵn sàng của các thiết bị VPN hiện có và sự thỏa thuận giữa ISP và tổ chức, nó có thể loại bỏ các giới hạn truyền thống của sự quản lý tài nguyên, và quản lý toàn bộ các phần công công và riêng của VPN 2 đầu. Một tổ chức bây giờ có thể quản lý, giám sát, dò ìim lỗi và bảo trì mạng riêng của nó như trong mô hình truyền thống. Tổ chức có sự điều khiển hoàn toàn của sự truy cập mạng và có quyền để giám sát trạng thái thời gian thực, hiệu suất của việc thiết lập VPN, và ngân quỹ được cấp. Thêm vào đó, một tổ chức cũng có thể giám sát phần công cộng của VPN. Trong một cách thông thường, một nhà cung cấp dịch vụ quản lý và điều khiển phần sở hữu của cơ sở hạ tầng của nó. Tuy nhiên, nếu cần thiết, ISP có thể quản lý toàn bộ cơ sở hạ tầng, bao gồm cơ sở hạ tầng VPN của tổ chức đăng ký.
5. Sự tương thích:Như các bạn đã biết trước đây, VPNs sử dụng mạng công cộng cho các kết nối
khoảng cách dài. Các mạng nội bộ trung gian có thể vừa dựa trên IP, như là Internet, và có thể dựa trên các kỹ thuật chuyển mạch khác, như Frame Relay (FR) và Aynchronous Mode (ATM). Vì thế VPNs nên có thể lợi dụng các loại giao thức và kỹ thuật cơ bản.
Trong trường hợp mạng nội bộ trung gian dựa trên IP, VPNs phải có khả năng sử dụng địa chỉ IP và các ứng dụng của IP. Để đảm bảo sự tương thích với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể tích hợp vào VPNs :
Sử dụng IP gateways : IP gateway chuyển các giao thức không IP thành IP và ngược lại. Các thiết bị có thể hoặc là các thiết bị chuyên dụng hoặc có thể là các giải pháp dựa trên phần mềm. Như các thiết bị phần cứng, các IP gateway được hiện thực tại các cạnh của mạng nội bộ của tổ chức.Như các giải pháp dựa trên phần mềm, các IP gateway
37
IPSEC &VPN
được cài đặt trên mỗi server và thường chuyển luồng giao thông từ giao thức không IP thành IP và ngược lại. Novell’s IP Gateway của NetWare la một ví dụ. Nó chuyển luồng IPX thành IP và ngược lại.
Use of Tunneling : đường hầm, như đã biết ở chương trước, là một kỹ thuật bao đóng các gói dữ liệu không IP thành các gói IP cho việc truyền xuyên qua cơ hở hạ tầng dựa trên IP. Ở đầu kia, khi nhận các gói này từ đường hầm, xử lý và loại bỏ IP header để chiết xuất lại được thông tin gốc
Use of Virtual IP Routing (VIPR) : như thấy ở hình 2.1, VIPR hoạt động bằng cách phân chia logic một router vật lý đặt ở cuối của nhà cung cấp dịch vụ ( như là một bộ phận của cơ sở hạ tầng của ISP ). Mỗi phần được cấu hình và quản lý như là một router vật lý và có thể hỗ trợ một VPN riêng. Nói một cách đơn giản hơn, mỗi phần logic được xử lý như là một router hoàn chỉnh với đầy đủ các chức năng của một router. Vì thế, các phần router logic này có thể hỗ trợ nhiều giao thức và có khả năng xử lý các địa chỉ IP riêng
Trong trường hợp giao thức và kỹ thuật không IP như Frame Delay và ATM, kỹ thuật Virtual Private Trunking ( VPT) được sử dụng. Kỹ thuật VPT được miêu tả ở hình 2-2. VPT tương thích với một khoảng rông các giao thức và dựa vào kỹ thuật chuyển mạch gói. Vì thế, nó lợi dụng Permanent Virtual Circuits (PVCs) và Switched Virtual Circuits (SVCs) cho việc truyền dữ liệu. Đối với một giao dịch thành công, VPT cần một thiết bị WAN, như là router, cũng là để hỗ trợ khả năng FR và ATM. Để đảm bảo giao dịch hiệu quả vế mặt chi phí, PVCs thường được dùng để kết nối các nơi trong một mạng riêng hoặc một mạng nội bộ SVCs, mặt khác, cũng được sử dụng để kết nối các điểm trong mạng nội bộ mở rộng.
38
IPSEC &VPN
III Bảo mật trong VPN
1. Xác nhận người dùngCơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn truy
xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm thiểu sự truy xuất trái phép các tài nguyên mạng.
Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết hợp với nhau:
Đăng nhập ID và password: Người sử dụng dùng ID và password để xác nhận truy cập từ các nút VPN.
S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm mã hóa ( hiện tại là MD4) được áp dụng đối với password. Kết quả được lưu lại trên server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên kết quả vừa nhận được. Nếu kết quả nó
39
IPSEC &VPN
đưa ra trùng lặp với giá trị được lưu trước đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm password counter.
Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu. RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP).
Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu (token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng (có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên phần mềm
2. Quản lý truy cậpSau khi người sử dụng xác nhận thành công thì mặc định người đó có thể truy cập
đến tất cả các tài nguyên, dịch vụ và các ứng dụng trong nội bộ mạng. Nó có thể tăng các nguy cơ bảo mật cho người sử dụng bởi vì người sử dụng có thể cố ý hay không cố ý xáo trộn dữ liệu trên các thiết bị khác nhau. Bằng cách phân loại các loại dữ liệu quan trọng và các dữ liệu không quan trọng mà người sử dụng làm việc hằng ngày, bạn có thể ngăn chặn hiệu quả điều đó. Kết quả là sự truy cập có thể bị ngăn cấm đến thiết bị lưu trữ những thông tin quan trọng này
Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập. Nguy cơ bảo mật này có thể được giảm bằng cách giới hạn quyền truy cập của người sử dụng. Ví dụ, dữ liệu có thể được bảo vệ bằng cách cho phép các người sử dụng bình thường chỉ được phép đọc dữ liệu. Và một số người sử dụng đặc biệt mới có khả năng thay đổi hay xóa dữ liệu đó.
Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID). Tuy nhiên một số thông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm có thể đóng vai trò quan trọng trong phương pháp quản lý truy cập truyền thống. Cơ chế quản lý truy cập hiện đại cũng dựa trên các thông số như thời gian, ngày, phần mềm ứng dụng, dịch vụ hay phương pháp xác nhận URL và cơ chế mã hóa
3 Mã hóa d li uữ ệMã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật VPN và
đóng vai trò quan trọng khi truyền dữ liệu quan trọng. Đó là cơ chế chuyển đổi dữ liệu sang định dạng khác mà không có khả năng đọc được gọi là ciphertex, do đó các truy
40
IPSEC &VPN
xuất trái phép vào dữ liệu có thể ngăn được khi dữ liệu truyền qua môi trường trung gian không an toàn.
Mã hóa dữ liệu có thể ngăn được cá nguy cơ sau: Xem dữ liệu trái phép Thay đổi dữ liệu Dữ liệu giả Ngắt dịch vụ mạng
Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu. Trong trường hợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ liệu đó cũng không thể biết phương pháp để chuyển đổi nó về dạng ban đầu, do đó nó cũng trở nên vô dụng với người đó. Hình 3-2 mô phỏng mô hình phương pháp mã hóa truyền thống:
Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã hóa(cryptosystem). Cryptosystem thuộc một trong 2 dạng sau:
Đồng bộ Không đồng bộCryptosystem được phân loại dựa theo số khóa (key) được sử dụng. Khóa có thể là
số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã
3.1. Hệ thống mã hóa đồng bộHệ thống mã hóa đồng bộ dựa trên một khóa duy nhất, đó là một chuỗi bit cố định
độ dài. Nên cơ chế mã hóa này cũng được gọi là mã hóa khóa duy nhất. Khóa là cá nhân (bi mật) và được sử dụng cho mã hóa cũng như giải mã.
Symmetric cryptosystems are based on a single key, which is a bit string of fixed length. Therefore, this encryption mechanism is also referred to as single-key encryption. The key is private (or secret) and is used for encryption as well as decryption.
Trước khi truyền tải thông tin giữa 2 thành phần, khóa phải được chia sẻ với nhau. Người mã hóa thông tin gốc sử dụng khóa cá nhân và gửi đến cho người nhận. Khi nhận được dữ liệu đã được mã hóa, người nhận sử dụng cùng khóa đó để giải mã.
Quá trình mã hóa đồng bộ được mô tả như hình 3-3
41
IPSEC &VPN
Như đã đề cập ơ trên, người nhận và nguời gửi cần phải chia sẻ cùng một khóa. Một phương pháp chia sẻ khóa là người nhận cung cấp khóa bí mật hóa đối với người nhận bằng cách gặp trực tiếp. Tuy nhiên điều này làm lãng phí thời gian và cũng mất đi ý nghĩa của truyền thông tin bằng mạng. Một phương pháp khác để chuyển khóa cho người nhận là bằng cách điện thoại. Nhưng phương pháp này có thể bị nghe trộm. Một cách khác nữa là gửi bằng thư hay email. Và cũng như các phương pháp trước, nguy cơ bị lấy mất thông tin là rất lớn.
Bởi vì các phương pháp gửi khóa đều không an toàn, một giải pháp khả thi cho vấn đề này là làm cho độ dài khóa đủ lớn. Bất cứ người nào cũng cần phải “phá vỡ” hay giải mã khóa trước nếu muốn xem thông tinh gốc. Tuy nhiên với khóa có độ dài lớn thì việc giải mã khóa sẽ rất khó khăn. Phụ thuộc vào độ dài khóa, nhiều thuật toán mã hóa đồng bộ đã được phát triển qua nhiều năm, một số thuật toán phổ biến sử dụng mã hóa đồng bộ trong VPN là:
Data Encryption Standard (DES). DES đề xuất độ dài khóa đến 128bit. Tuy nhiên kích thước khóa đã giảm xuống còn 56bits bởi chính phủ Mĩ nhằm tăng tốc độ thuật toán. Tuy nhiên với độ dài khóa được rút ngắn như vây thì thuật toán mã hóa này bảo mật không tốt, có thể bi tấn công ví dụ như tấn công Brute Force. Tong tấn công Brute Force thì khóa sẽ được tạo ra ngẫu nhiên và được ghép vào file text cho đến khi khóa đúng được xác định. Với độ dài khóa nhỏ hơn có thể dễ dàng tạo ra khóa đúng và hệ thống mã hóa mất tác dụng
Triple Data Encryption Standard (3DES). Giống như hệ thống DES, 3DES cũng sử dụng khóa 56bit. Tuy nhiên, nó bảo mật tốt hơn do sử dụng 3 khóa khác nhau để mã hóa dữ liệu. Tiến trình thực hiện: Sử dụng khóa thứ nhất để mã hóa dữ liệu, sử dụng khóa thứ 2 để giải mã dữ liệu mã hóa bước 1 và cuối cùng sử dụng khóa 3 để mã hóa lần 2. Do đó nó tăng tính bảo mật nhưng cũng đồng thời do tính phức tạp của thuật toán nên chậm hơn gấp 3 lần so với DES.
Ron's Code 4 (RC4). Phát triển bởi Ron Rivest, sử dụng khóa có độ dài thay đổi đến 256bit. Vì độ dài của khóa nên RC4 được xếp vào một trong các cơ chế mã hóa tốt nhất, nhưng cũng hoạt động nhanh. RC4 tạo một chuỗi byte ngẫu nhiên và XOR
42
IPSEC &VPN
chúng với file văn vản gốc. Vì byte được tạo ngẫu nhiên nên RC4 yêu cầu khóa mới cho mỗi lần gửi đi thông tin.
Hệ thống mã hóa xuất hiện 2 vấn đề chính. Đầu tiên là chỉ sử dụng một khóa cho mã hóa và giải mã. Nếu một người ngoài mà biết được khóa này thì tất cả thông tin truyền đạt sử dụng khóa này đều gặp nguy hiểm, nguy cơ mất mát cao. Di đó khóa cần được thay đổi theo chu kì. Vấn đề thứ 2 là số lượng thông tin lớn, quản lý khóa trở nên nhiệm vụ phức tạp. Thêm vào đó tổng chi phí cho thiết lập khóa ban đầu, phân phối hay thay thế các khóa chu kì là rất đắt và lãng phí thời gian.
Hệ thống mã hóa không đồng bộ có thể giải quyết các vấn đề của hệ thống mã hóa đồng bộ.
3.2. Hệ thống mã không đồng bộThay thế cho khóa duy nhất của hệ thống mã hóa đồng bộ, hệ thống mã hóa không
đồng bộ sử dụng một cặp khóa liên quan toán học với nhau. Một khóa là cá nhân và chỉ được biết bởi chủ của cặp khóa này. Khóa thứ 2 là khóa chung và được phân phối tự do. Khóa chung được sử dụng cho mã hóa còn mã cá nhân được sử dụng cho giải mã thông tin.
Trong giải pháp VPN, 2 hệ thống mã hóa không đồng bộ được sử dụng phổ biến nhất là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA) algorithm.
a. Thuật toán Diffie-HellmanTrong thuật toán Diffie-Hellman, mỗi thực thể giao tiếp cần 2 khóa, một để phân
phối cho các thực thể khác và một khóa cá nhân. Thuật toán Diffie-Hellman thực hiện theo các bước:
1. Người gửi nhận mã chung của nơi cần gửi đến, cái này được phân phối cho tất cả những ai càn giao tiếp.
2. Người gửi phải thực hiện tính toán dựa trên khóa riêng của mình và khóa chung của nơi đến. Phép tính cho ra kết quả khóa chia sẻ bí mật (shared secret key)
3. Thông tin được mã hóa bằng khóa chia sẻ bí mật này4. Thông tin được mã hóa sẽ gửi đến người nhận5. Bên nhận sẽ tái tạo khóa chia sẻ bí mật bằng phép tính tương tự sử dụng
khóa riêng của mình và khóa chung của người gửiNếu có bất cứ ai có thể lấy được thông tin mã hóa thì cũng không thể khôi phục lại
thông tin ban đầu bởi vì họ không có khóa riêng của người nhận. Mô hình truyền dữ liệu sử dụng thuật toán Diffie-Hellman như hình 3-4
43
IPSEC &VPN
Dữ liệu chuyển đổi dựa trên thuật toán Diffie-Hellman được đánh giá là an toàn bởi vì chỉ có một khả năng rất nhỏ là dữ liệu có thể bị xem trộm hay thay đổi trong suốt quá trình truyền tải. Thêm vào đó, vì không có khóa bí mật (private) truyền tải nên xác suất có một người khác biết được khóa riêng là rất thấp. Và việc quản lý khóa sẽ không tốn nhiều thời gian như hệ thống mã hóa đồng bộ trong trường hợp lượng thông tin giao tiếp lớn.
Thuật toán Diffie-Hellman không cung cấp tính bảo mật hơn hệ thống mã hóa đồng bộ, có một vấn đề cũ liên quan đến nó là việc bảo đảm khoa chung được truyền đạt phải thật chính xác. Vi dụ, nếu 2 người giao tiếp truyền khóa chung qua môi trường trung gian không an toàn như internet. Khả năng có người thứ 3 chặn được yêu cầu khóa chung của 2 bên và gửi khóa chung của mình cho cả 2 đầu giao tiếp. Trong trường hợp này, người thứ 3 này sẽ dễ dàng ghi lại giao tiếp của 2 người này vì thông tin 2 đầu gửi đi được mã hóa bởi khóa chung người thư 3 này. Đây là kiểu tấn công Man-in-the-Middle.
b. Thuật toán The Rivest Shamir Adleman (RSA)
RSA là cơ chế mã hóa mạnh, là chuẩn trong hệ thống mã hóa không đồng bộ. Không giống như Diffie-Hellman, thông tin gốc được mã hóa sử dụng khóa chung của người nhận, Người nhận sẽ khôi phục lại thông tin ban đầu bằng khóa chung của người gửi. Các bước thực hiện thuật toán sử dụng tín hiệu số như sau:
1. Khóa chung được trao đổi với nhau giữa 2 người giao tiếp2. Người gửi sử dụng hàm băm (hash function) để giảm kích thước dữ liệu
gốc. Dữ liệu thu được gọi là message digest (MD).3. Người gửi mã hóa message digest với khóa riêng tạo thành tín hiệu số duy
nhất.
44
IPSEC &VPN
4. Dữ liệu và tín hiệu số kết hợp với nhau và gửi đến người nhận5. Khi nhận được dữ liệu đã được mã hóa, người nhận sẽ khôi phục message
digest bằng cách sử dụng hàm băm như bên người gửi.6. Người nhận sẽ giải mã tín hiệu số bằng cách sử dụng khóa chung của người
gửi7. Người nhận sẽ so sánh 2 dữ liệu là message digest (bước 5) và message
digest khôi phục từ tín hiệu số (bước 6). Nếu 2 dữ liệu này giống nhau thì thong tin không bị ngăn chặn, thay đổi trên suốt quá trình truyền tải, nếu không giống thì dữ liệu sẽ bị loại bỏ.
Dữ liệu được gửi dựa trên cơ sở thuât toán RSA mô ta như hình sau:
RSA bảo vệ an toàn dữ liệu bởi vì người người nhận sẽ kiểm tra tính xác thực của dữ liệu 3 lần (các bước 5, 6, 7). RSA cũng đơn giản trong việc quản lý khóa. Tong mã hóa đồng bộ, n2 yêu cầu nếu có n thực thể liên quan. So sánh với mã hóa không đồng bộ chỉ yêu cầu 2*n key.
4 C s h t ng khóa chung (Public Key Infrastructure - PKI)ơ ở ạ ầPKI là một bộ khung của các chính sách d0ể quản lý các khóa và thiết lập mộ phương pháp bảo mật cho việc trao đổi dữ liệu. Các sự trao đổi dữ liệu sử dụng PKI có thể xảy ra trong một tổ chức, một quốc gia, một khu công nghiệp hay một vùng. Để nâng cao sự quản lý khóa và bảo đảm các giao dịch dữ liệu có độ an toàn cao, một khung dựa trên PKI bao gồm các chính sách và thủ tục được hỗ trợ bởi các tài nguyên phần cứng và phần mềm. Chức năng chính của PKI như sau :
Tạo ra các cặp khóa cá nhân và công cộng cho khách hàng PKI Tạo và xác nhận chữ ký số Đăng ký và xác nhận người sử dụng mới
45
IPSEC &VPN
Cấp phát các sự chứng nhận cho người sử dụng Bám theo các khóa đã được cấp phát và lưu trữ lịch sử của mỗi khóa ( dùng để
tham khảo trong tương lai) Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn Xác nhận người sử dụng PKI
Trước khi cố tìm hiểu công việc của PKI, chúng ta hãy tìm hiểu các thành phần tạo thành khung PKI
4.1. Các thành phần PKI
Các thành phần chính tạo thành khung PKI là Khách hàng PKI Người cấp giấy chứng nhận (CA) Người cấp giấy đăng ký (RA) Các giấy chứng nhận số Hệ thống phân phối các giấy chứng nhận (CDS)
a. Khách hàng PKIMột khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc RA.
Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình. Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận
b. Certification Authority (CA)CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách hàng
PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính xác thực của khách hàng PKI
CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát các giấy chứng nhận số. NHư bạn kỳ vọng, quá trình cấp giấy chứng nhận thay đổi phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài thông tin, như bằng lái xe, notarization hoặc dấu vân tay.
Một ví dụ của một CA nổi tiếng là Verisign,Inc
c. Registration Authority ( RA)Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận và
kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho RA. RA nhận tất cả các yêu cầu cấp giấy chứng nhận và kiểm tra chúng
46
IPSEC &VPN
Sau khi một RA kiểm tra một yêu cầu thành công, nó chuyển yêu cầu tới CA. CA phát giấy chứng nhận yêu cầu và chuyển nó tới cho RA. Ra sau đ1o chuyển giấy chứng nhận tới khách hàng yêu cầu. Trong cách thực hiện này, RA đóng vai trò như một gnười trung gian giữa các khách hàng PKI và CA.
d. Các giấy chứng nhận số Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác nhận
và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu, các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin không xác nhận
Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của người gửi và bao gồm các thông tin sau :
Dãy số của giấy chứng nhận Hạn sử dụng của giấy chứng nhận Chữ ký số của CA Khóa công cộng của khách hàng PKI
Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng khóa công cộng của người gửi để giải mã thông tin thực sự
e. Hệ thông phân phối giấy chứng nhậnHệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận được
cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa công cộng tới các server dịch vụ thư mục
4.2. Các giao dịch dựa trên PKINhư đã đề cập phía trên, PKI cung cấp bốn chức năng bo mật chính : sự cẩn mật,
sự toàn vẹn, sự xác nhận và không có sự từ chối. Mỗi bước trong một giao dịch VPN được lặp lại một hay nhiều trong số các tính năng bảo mật này. Các bước trong một giao dịch dựa trên PKI là :
47
IPSEC &VPN
Sự sinh ra cặp khóa. Trườc khi người gởi chuyển dữ liệu đến người nhận mong muốn, nó báo cho người nhận biết mục đích của nó về việc trao đổi dữ liệu. Như vậy thì, cà hai đầu sinh ra một cặp khóa tạo bởi khóa riw6ng và khóa công cộng. Đầu tiên, khóa cá nhân được tạo ra. Sau đó, khóa công cộng tương ứng được tạo bằng cách áp dụng một hàm băm một chiều đối với khóa riêng
Sự tạo ra chữ ký số. Sau khi cặp khóa được tạo ra, một chữ ký số duy nhất được tạo ra. Chữ ký số này dùng để định danh người gửi dữ liệu. Để tạo ra chữ ký số, đầu tiên thông tin gốc bị băm. Nói một cách khác, một hàm băm được áp dụng vào tín hiệu gốc. Quá trình băm cho kết quả là một tập thông tin, cái mà sau đó được mã hóa với khóa các nhân của người gửi. Kết quả được gọi là chữ ký số
Áp dụng mã hóa dữ liệu và chữ ký số.Sau khi một chữ ký số được tạo ra, thông tin gốc được mã hóa với khóa công cộng của người gửi. Kế tiếp, chữ ký số được tạo ợ trân được gắn vào thông tin đã mã hóa.
Thông tin đã mã hóa và khóa công cộng của người gửi được chuyển tới người nhận. Thông tin được mã hóa sau ứo được truyền đến người nhận cùng với khóa công cộng của người gửi. Thay vì chuyển khóa công cộng dưới dạng văn bản rõ nghĩa thì khóa công cộng đầu tiên được mã hóa bởi khóa công cộng của người nhận. Để giải mã khó công cộng được mã hóa này, người sử dụng phải sử dụng khóa riêng của mình. Bởi vì khóa riêng của người nhận chỉ có người nhận biết, cơ hội để cho các người xâm phạm phá khóa công cộng là rất thấp. Khóa công cộng của người gửi còn được xem như là khóa phiên
Nhận thông tin và xác nhận định danh người gửi. Trong lúc nhận thông tin mã hóa và khóa công cộng, người nhận có thể yêu cấu CA kiểm tra danh tính người gửi. CA làm được điều đó bằng cách kiểm tra chữ ký số được gắn với thông tin và báo kết quả cho người nhận biết. Nếu chữ ký số được kiểm tra thành công, người nhận tiếp tục qua 1trình giải mã thông tin. Nếu không người nhận sẽ từ chối và giao dịch sẽ kết thúc
Sự giải mã thông tin. Sau khi định danh người gửi được xác nhận thành công, người nhận mã hóa thông tin. Để làm được như vậy người nhận đầu tiên phải giải mã khóa công cộng của người gửi bằng cách sử dụng khóa riêng của nó. Khi khóa công cộng của người gửi được ciết xuất thành công thì người nhận sẽ dùng nó để giải mã thông tin
Sự xác nhận nội dung thông tin Cuối cùng, người nhận xác nhận kiểm tra nội dung của thông tin nhận được. Đầu tiên, chữ ký số được giải mã sử dụng khóa công cộng của người gửi và thông tin được chiết xuất ra. Thông tin mã hóa sẽ được băm qua một hàm băm và một tập thông tin mới được rút ra. tập thông tin nhận được va tập thông tin mới sinh ra được so sánh với nhau.nếu chúng phù hợp, dữ liệu không bị chặn đứng hoặc can thiệp vào trong quá trình truyền
48
IPSEC &VPN
Ở phần kế, bạn sẽ được biết về các cách thực hiện PKI đa dạng được sử dụng phần lớn bởi các tổ chức trên thế giới
4.3. Hiện thực PKINhư bạn đã biết, CAs giúp thiết lập định danh đúng của các thực thể giao tiếp. Tuy
nhiên, CAs không những chứng thực các khách hàng PKI, mà còn các CAs khác bằng cách phát giấy chứng nhận số tới chúng. Cas được kiểm tra, xoay vòng, kiểm tra các CAs khác và chuỗi tiếp tục cho tới khi mỗi thực thể các thể tin tưởng các thực thể khác liên quan đến một giao dịch. Chuỗi chứng nhận này được biết đến như là đường đi của sự chứng nhận, và sự sắp xếp của CAs trong đường đi chứng nhận này được xem như cấu trúc của PKI
Các loại chính của cấu trúc PKI bao gồm
Cấu trúc CA đơn Cấu trúc danh sách tin cậy Cấu trúc có thứ bậc Cấu trúc mắt lưới Cấu trúc hỗn hợp
a. Cấu trúc CA đơn Cấu trúc CA đơn là cấu trúc PKI đơn giản nhất. Như tên gọi của nó, cấu trúc này
được dựa trên CA đơn, cái mà cấp phát các giấy chứng nhận, và khi cần thiết truy hồi các giấy chứng nhận. Tất cả các thực thể bên dưới có một mối quan hệ tin cậy đối với CA
49
IPSEC &VPN
này. Bởi vì sự vắng mặt của các CA khác trong mô hình, cấu trúc này không hỗ trợ mối quan hệ tin cậy CA
Hình 3-7 miêu tả cấu trúc của một CA đơn
Cấu trúc CA đơn phù hợp với các tổ chức nhỏ bởi vì số lượng khách hàng PKI tương đối thấp và sự quản lý các khách hàng này không phải là một nhiệm vụ tiêu thụ thời gian
b. Cấu trúc danh sách tin cậyVì số lượng khách hàng PKI trong một tổ chức tăng, sự quản lý xác nhận và kiểm
tra định danh trở nên phức tạp và tiêu tốn nhiều thời gian đối với một CA đơn. Tình huống này có thể được đơn giản bằng cách dùng nhiều CAs trong một cấu trúc.
Với nhiều Cas, một khách hàng PKI đơn có thể yêu cầu các gấiy chứng nhận từ nhiều hơn một CA. Kết quả là, mỗi khách hàng phải lưu trữ một danh sách các mối liên hệ tin cậy với tất cả các CAs trong một cấu trúc – do đó có tên là cấu trúc danh sách tin cậy
Hình 3-8 miêu tả cấu trúc danh sách tin cậy
50
IPSEC &VPN
Như bạn thấy trong hình 3-8, cấu trúc không hỗ trợ các mối quan hệ tin cậy Ca
c. Cấu trúc có thứ bậc Cấu trúc có thứ bậc là cấu trúc PKI được hiện thực phổ biến nhất và được sử dụng
trong các tổ chức có quy mô lớn. Không giống các cấu trúc ở trên, mô hình này dựa trên các mối quan hệ tin cậy giữa các Cas khác nhau trong mô hình.
Như tên gọi của nó, Cas được sắp xếp một cách có thứ bậc và chia xe một loại “cấp trên - cấp dưới ” của mối quan hệ tin cậy. CA cao nhất được xem như đỉnh CA và được xem như điểm bắt đầu của mô hình. Nó cấp phát giấy chứng nhận và kiểm tra định danh của các CAs cấp dưới của nó. Các CAs cấp dưới, xoay vòng, có thể cấp giấy chứng nhận tới các cấp dưới của chúng và khách hàng PKI. Tuy nhiên chúng không thể c6áp giấy chứng nhận cho cấp trên
Hình 3 – 9 miêu tả cấu trúc có thứ bậc
51
IPSEC &VPN
d. Cấu trúc mắt lướiKhông giống như cấu trúc thứ bậc, trong một cấu trúc mắt lứơi các Cas chia sẻ
một mối qun hệ tin cậy ngang hàng với các Cas khác. Kết quả là, chúng có thể cấp phát các giầy chứng nhận số lẫn nhau, điều này có nghĩa là, mối quan hệ tin cậy giữa các Cas là hai chiều. Các Cas cũng cấp phát giấy chứng nhận tới khách hàng PKi của chúng
Hình 3-10 miêu tả cấu trúc mắt lưới PKI
52
IPSEC &VPN
e. Cấu trúc PKI hỗn hợp Các cấu trúc trên phục vụ cho các yêu cầu của một tổ chức đơn. Tuy nhiên, viễn
cảnh và sự hiện thực của cơ sở hạ tầng PKI trở nên phức tạp khi một tổ chức phải tác động tới các tổ chức khác, như là trương hợp với hầu hết các tổ chức ngày nay. vấn đề nằm ở khả năng của sự khác nhau trong mỗi cấu trúc PKI của mỗi tổ chức. Ví dụ, một tổ chức có thể sử dụng cấu trúc mắt lưới trong khi các tổ chức khác sử dụng cấu trúc CA đơn. Trong tình huống như vậy, một cấu trúc hỗn hợp chứng mính sự hữu ích vì nó cho phép sự tương tác thành công giữa hai tổ chức
Có ba loại cấu trúc hỗn hợp. Bao gồm
Cấu trúc danh sách tin cậy mở rộng. Trong cấu trúc này, ấtt cả các khách hàng PKI giữ một danh sách mở rộng tất cả các điểm tin cậy trong cấu trúc của tổ chức khác thêm vào các điểm tin cậy trong tổ chức của chúng. Một điểm tin cậy trong cấu trúc của các hệ thông khác có thề hoặc là một CA đơn, nhiều hơn một CA, hợac tất cả các Cas của tổ chức khác. Hình 3-11 miêu tả cấu trúc danh sách tin cậy mở rộng giữa 3 tổ chức
53
IPSEC &VPN
Cấu trúc xác nhận chéo. Trong cấu trúc hỗn hợp này, gốc CA của một cơ sở hạ tầng của một tổ chức lưu trữ một mối quan hệ ngang hàng với các Cas gốc của các tổ chức khác. Hình 3-12 miêu tả cấu trúc xác nhận chéo
Cấu trúc CA cầu. Không giống cấu trúc xác nhận chéo, khi một mối quan hệ trực tiếp ngang hàng tồn tại giữa gốc Cas của mỗi cơ sở hạ tầng của mỗi tổ chức, một thực thể mới gọi là Bridge CA ( BCA) lưu giữ mối quan hệ ngang hàng giữa các Cas gốc. Hình 3-13 miêu tả cấu trúc CA cầu
54
IPSEC &VPN
IV. Khái niệm kỹ thuật đường hầm:
1. Giới thiệu kỹ thuật đường hầmKỹ thuật đường hầm là một thành phần cực kỳ quan trọng trong VPN, nó cho phép
các tổ chức tạo một mạng riêng ngay trên internet hoặc các mạng công cộng khác. Mạng riêng ảo này không bị xâm nhập bởi “người lạ”, những cá nhân, máy tính không thuộc tổ chức của mạng riêng ảo này.
Lưu ý: Hiện nay mạng internet được sử dụng rộng rãi ở khắp nơi. Tuy nhiên bên cạnh mạng internet còn nhiều mạng khác được dùng để truyền các gói tin đi trên những khỏang cách khá xa.
Đường hầm là kỹ thuật đóng gói tòan bộ dữ liệu của bất kỳ một định dạng giao thức nào khác. Header của Đường hầm sẽ được đính vào gói tin ban đầu sau đó đựơc truyền thông qua một cơ sở hạ tầng trung gian đến điểm đích.
Một điểm quan trọng của kỹ thuật đường hầm là nó có thể giúp truyền những gói tin có giao thức không được hỗ trợ. Nếu gói tin này được gửi bình thường, mạng truyền dẫn trung gian không thể hiểu được gói tin này đến đâu vì không biết định dạng của nó. Đường hầm sẽ đính header vào gói tin gốc, phần header này sẽ cung cấp thông tin về lộ trình và đích đến của gói tin giúp mạng vận chuyển gói tin đến được nơi cần đến.
Lưu ý: Thuật ngữ đường hầm giống như công việc gửi thư. Sau khi bạn viết xong một lá thư, bạn sẽ đặt nó vào trong bì thư. Trên bì thư có địa chỉ người nhận. Sau khi bạn gửi lá thư, nó sẽ đến được người nhận theo địa chỉ ghi ở bì thư. Người nhận cần
55
IPSEC &VPN
mở lá thư ra trước khi đọc nó. Trong kỹ thuật đường hầm thì lá thư giống như payload ban đầu còn bì thư giống như gói giao thức định tuyến bọc lấy payload. Địa chỉ trên lá thư tương tự như thông tin định tuyến dính vào bì thư.
Hình 4.1 : quá trình đường hầm
Kỹ thuật đường hầm có rất nhiều thuận lợi, trong các đọan tiếp theo chúng ta có thể thấy rõ điều này.
2. Lợi thế của kỹ thuật đường hầm:
a. Đơn giản và triển khai kỹ thuật dễ dàng : Ý tưởng cơ bản của kỹ thuật đường hầm khá đơn giản, do đó chúng ta cũng có thể dễ dàng triển khai kỹ thuật này trong thực tế. Hơn nữa chúng ta không cần thay đổi cơ sở hạ tầng mạng để tương thích với kỹ thuật đường hầm. Nhờ tính linh họat trong cách sử dụng, kỹ thuật đường hầm là một giải pháp khả thi, hiệu quả cho các tổ chức lớn cũng như các tổ chức trung bình.
b. Bảo mật : Ngăn chặn sự xâm nhập bất hợp pháp từ bất cứ cá nhân nào vào đường hầm. Nhờ đó dữ liệu sẽ được bảo đảm an toàn mặc dù nó đựơc truyền qua một môi trường truyền tin công cộng, kém an toàn như internet.
c. Hiệu quả về mặt kinh tế : Đường hầm dùng mạng công công làm môi trường truyền dẫn dữ liêu. Chi phí cho việc này là cực rẻ nếu so với việc xây dựng những đường dây riêng nối từ nơi này đến nơi khác trên một khỏang cách dài. Bên cạnh đó các tổ chức có thể tiết kiệm được những khỏan tiền thường niên để quản lý và bảo trì đối với các giải pháp mắc tiền khác.
d. Không cần quan tâm đến giao thức : Dữ liệu thuộc về giao thức không định tuyến, như mạng NetBIOS và mạng NetBEUI không tương thích với giao thức internet TCP và IP. Do đó các gói tin không thể gửi qua internet. Tuy nhiên đường hầm cho phép chúng ta gửi những gói tin không IP đến đích bằng cách đóng gói chúng trong các gói tin IP.
56
IPSEC &VPN
e. Tiết kiệm địa chỉ IP : Như đã nói ở trên, đường hầm cho phép các giao thức không thể truyền dẫn, hoặc không có địa chỉ IP có thể ghép vào một gói tin có địa chỉ IP tĩnh. Như vậy thay vì phải mua một địa chỉ IP tĩnh cho mỗi điểm truy cập mạng internet, bạn có thể mua một khối nhỏ của địa chỉ IP tĩnh. Khi một điểm truy cập mạng thực hiện một kết nối VPN, các địa chỉ IP từ khối được mua sẽ đính vào các gói không có địa chỉ IP. Thực vậy mạng riêng ảo giúp giảm lượng cầu về địa chỉ IP tĩnh.
Lưu ý: Nhằm mục đích giảm chi phí, tiện cho công tác quản trị, điều khiển sắp xếp hệ thống, nhiều tổ chức thực thi địa chỉ IP của riêng họ. Địa chỉ này không cần phải duy nhất, tòan cục và nhất là không cần mua từ những nhà chức trách như InterNIC. Hệ thống địa chỉ IP này là địa chỉ IP riêng, nó họat động rất hiệu quả trong mạng riêng của tổ chức. Tuy nhiên chúng ta cần một địa chỉ IP đơn nhất trên tòan cầu để giao tiếp với các mạng khác hoặc với mạng công cộng như internet.
Bây giờ bạn đã có những ý tưởng cơ bản của đường hầm để có thể sẵn sàng tìm hiểu các thành phần của đường hầm.
3. Các thành phần của kỹ thuật đường hầm :
Để triển khai một đường hầm giữa hai điểm, chúng ta cần có bốn thành phần cho đường hầm
Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy khách ( nó có tên gọi khác là home network )
Nút initiator. The máy khách từ xa hoặc máy chủ khởi tạo một phiên làm việc VPN. initiator có thể là một phần của mạng nội bộ hoặc là một người dùng di động, ví dụ laptop.
Home agent : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếi kiểm tra thành công, nó sẽ bắt đầu thiết lập đường hầm.
Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ HA tại mạng đích.
Vừa rồi bạn đã được giới thiệu về các thành phần của kỹ thuật đường hầm, trong các phần tiếp theo sẽ đề cập về cách thức họat động của chúng.
4. Họat động của kỹ thuật đường hầm :
Kỹ thuật đường hầm đựơc chia làm hai pha. Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu cầu thiết lập VPN, yêu
cầu này sẽ được kiểm tra bời HA xem tính hợp pháp của nó. Pha II : Dữ liệu sẽ được truyền trong đường hầm.
57
IPSEC &VPN
Trong pha I, trước hết khởi tạo một kết nối và thiết lập các thông số (pha này còn đuợc gọi là pha thiết lập đường hầm ). Sau khi kết nối được chấp nhận và các thông số được thiết lập, một đường hầm sẽ được thiết lập.
Initiator sẽ gửi yêu cầu kết nối với FA nằm trong mạng FA sẽ kiểm tra yêu cầu kết nối thông qua tên truy cập và mật khẩu của người
dùng. Nếu FA xác định initiator thành công, nó sẽ chuyển yêu cầu đến mạng đích (HA) ( FA thường sử dụng dịch vụ truy cập quay số từ xa (RADIUS) đề xác thực nhận dạng của initiator ).
Nếu tên đăng nhập và mật khẩu của người dùng không hợp lệ, yêu cầu phiên làm việc VPN bị hủy bỏ. Tuy nhiên nếu FA xác thực nhận dạng của initiator thành công, nó sẽ chuyể yêu cầu đến mạng đích HA.
Nếu HA chấp nhận yêu cầu, FA sẽ gửi cho nó ID đăng nhập và mật khẩu tương ứng.
HA sẽ kiểm tra thông tin về dữ liệu nhập được. Nếu kiểm tra thành công, HA sẽ gửi cho FA số đường hầm và hồi âm đăng ký.
Đường hầm sẽ được thiết lập sau khi FA nhận được hồi âm đăng ký và số đường hầm.
Chú ý: Nếu hai đầu không sử dụng cùng một giao thức đường hầm, các cấu hình đường hầm vẫn được thống nhất như mã hóa, thông số nén, các cơ chế bảo trì đường hầm.
Sau khi thiết lập xong đường hầm, pha I sẽ kêt thúc để chuyển sang pha II và bắt đầu truyền dữ liệu :
Initiator bắt đầu chuyển các gói tin tới FA FA tạo các header của đường hầm và gắn vào mỗi gói tin. Các thông tin về lộ
trình của gói tin sẽ được gắn vào, lộ trình này được khởi tạo từ pha I. FA chuyển các gói tin được mã hóa tới HA thông qua đường hầm Sau khi nhận được gói tin đã được mã hóa, HA sẽ gỡ bỏ header của đường hầm
và header chứa giao thức vê lộ trình của gói tin. Khôi phục lại gói tin như ban đầu. Gói tin gốc được chuyển đến đích đến trong mạng.
Hình 4.2 : Chu trình thiết lập “đường hâm thông tin
58
IPSEC &VPN
Hình 4.3 : Quá trình truyền dữ liệu qua đường hầm
5. Tunneled Packet Format
Như đã mô tả ở trên, trước khi được chuyển tới nơi nhận qua đường hầm, dữ liệu gốc được mã hóa bởi FA. Gói tin được mã hóa này gọi là gói tin đường hầm. Định dạng của gói tin đường hầm được minh họa ở hình 4-4.
Figure 4-4: Định dạng một gói tin đường hầm
Một gói tin đường hầm gồm có ba phần : Header của giao thức định tuyến. Header chứa địa chỉ của nơi gửi (FA), và nơi
nhận (HA). Do sự truyền dẫn qua internet dựa trên IP, header thường là IP header chuẩn và chứa địa chỉ IP của FA và HA liên quan đến việc truyền dẫn.
Header gói tin đường hầm. Header này gồm có năm trường. Lọai giao thức. Trường mô tả lọai giao thức của gói tin ban đầu. Kiểm tra tổng. Trường chứa kiểm tra tổng sử dụng để kiểm tra xem gói tin có bị
thay đổi trong quá trình truyền không. Thông tin này không nhất thiết phải có. Khóa. Thông tin dùng để xác định hay xác thực nguồn gửi dữ liệu (initiator). Số thứ tự. Trường chứa một con số để chỉ số thứ tự của gói tin trong một dãy các
gói tin được truyền đi. Source routing. Trường chứa thông tin thêm về lộ trình. Trường này không nhất
thiết phải có. Payload. Gói tin gốc gửi từ initiator đến FA. Nó bao gồm cả header ban đầu.
59
IPSEC &VPN
V:Cấu hình VPN
Cấu hình IPSec cho một kết nối VPN
Ta có thể bảo mật kết nối VPN băng việc sử dụng L2TP/IPSec. Thường L2TP
không mã hóa dữ liệu mà sẽ phụ thuộc vào IPSec để bảo mật kết nối VPN.
Một chứng chỉ hợp lệ phải được cài đặt trên VPN Server để hỗ trợ giao thức L2TP/IPSec.
Trong mô hình kết nối VPN ta không phải tạo ra chính sách bảo mật IPSec giống như trong mạng kết nối Internal.Thiết kế mô hình vpn sử dụng công nghệ ipsec theo mô hình site-to-site đơn giản Cấu hình IP và các thông số cơ bản cho router ,switch,Pc như hình vẻKhông cấu hình định tuyến cho các site,cấu hình defaut
60
IPSEC &VPN
Headoffice(config)#ip route 0.0.0.0 0.0.0.0 193.168.1.0
Branch(config)#ip route 0.0.0.0 0.0.0.0 194.168.1.0
Cấu hình VPN theo các bước sau:
Trên router HQ
Bước1: Tạo Internet Key Exchange (IKE) key policy.Headoffice(config)#crypto isakmp policy 9Headoffice(config-isakmp)#hash md5Headoffice(config-isakmp)#authentication pre-share
Bước 2: Tạo shared key để sử dụng cho kết nối VPNHeadoffice(config)#crypto isakmp key VPNKEY address 194.168.1.2Bước 3: Quy định lifetime HQ(config)#crypto ipsec security-association lifetime seconds 86400
Bước 4: Cấu hình ACL dãy IP có thể VPN.HQ(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
61
IPSEC &VPN
Bước 5: Define the transformations set that will be used for this VPN connectionHQ(config)#crypto ipsec transform-set SETNAME esp-3des esp-md5-hmac
Bước 6: Tạo cypto-map cho các transform, setnameHQ(config)#crypto map MAPNAME 10 ipsec-isakmpHQ(config-crypto-map)#set peer 115.114.113.1 (ip của router branch)HQ(config-crypto-map)#set transform-set SETNAME ( setname ở bước 5)HQ(config-crypto-map)#match address 100 (100 : acl-number ở bước 4 )
Bước 7: Gán vào interfaceHQ(config)#inter s0/0/0HQ(config-if)#crypto map MAPNAME (mapname ở bước 6)
Tài liệu tham khảo
The Complete Cisco VPN Configuration Guide by Richard Deal ,Cisco Press December 15,2005http://www.Cisco.comhttp://compnetworking.about.com/od/vpn/p/ciscovpnclient.htmhttp://www.vnpro.orghttp://www.netpro.com
62
