Tải bản đầy đủ (.docx) (50 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

BÁO CÁO ĐỒ ÁN AN TOÀN MÁY CHỦ WINDOWS TÊN ĐỀ TÀI IPSEC VPN Khoa CÔNG NGHỆ THÔNG TIN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (8.57 MB, 50 trang )

BÁO CÁO ĐỒ ÁN
AN TOÀN MÁY CHỦ WINDOWS

TÊN ĐỀ TÀI
IPSEC VPN

Khoa: CÔNG NGHỆ THÔNG TIN
Giảng viên hướng dẫn : Thầy Tống Thanh Văn
Sinh viên thực hiện :
Lớp : 19DTHC2

TP. Hồ Chí Minh,2022

CHƯƠNG 1: TỔNG QUAN, GIỚI THIỆU ĐỀ TÀI...........................................................................7
1.1

Tổng quan về đề tài..........................................................................................................................7

1.2

Nhiệm vụ đề tài................................................................................................................................7

1.3

Cấu trúc đề tài..................................................................................................................................7

1


CHƯƠNG 2: Giới thiệu về VPN...........................................................................................................9
2.1



Khái quát về VPN............................................................................................................................9

2.1

Các giao thức thường dung trong VPN.........................................................................................11

2.2

Nhứng giao thức yếu......................................................................................................................12

2.3

Những giao thức có bảo mật tốt hơn.............................................................................................14

2.4

Ưu nhược điểm..............................................................................................................................17

2.4.1

Ưu điểm..................................................................................................................................18

2.4.2

Nhược điểm............................................................................................................................18

2.4.3

Kết Luận.................................................................................................................................18


CHƯƠNG 3: Khái quát về IPSec.......................................................................................................18
3.1

IPSec là gì......................................................................................................................................18

3.2

Sơ lược về lịch sử IPSec................................................................................................................19

3.3

Cách thức hoạt động của IPSec.....................................................................................................19

3.4

Những giao thức IPSec và các thành phần hỗ trợ.........................................................................21

CHƯƠNG 4: Mơ hình Demo và kết luận..........................................................................................37
4.2.1 Lợi ích khi dùng Vmware.............................................................................................................38
Tính năng nổi bật của Wireshark...............................................................................................................39
Ưu điểm của IPSec.................................................................................................................................49
1. An ninh mạng.................................................................................................................................49
2. Ứng dụng trong phụ thuộc.............................................................................................................49
3. Bảo mật dữ liệu..............................................................................................................................49
4. Hỗ trợ mạng...................................................................................................................................49
5. Xác thực.........................................................................................................................................49
Nhược điểm của IPSec...........................................................................................................................50
1. Chi phí CPU...................................................................................................................................50
2. Tính tương thích.............................................................................................................................50

3. Các thuật tốn.................................................................................................................................50
4. Phạm vi truy cập............................................................................................................................50
5. Hạn chế về tường lửa.....................................................................................................................50
TÀI LIỆU THAM KHẢO...................................................................................................................52

2


LỜI CẢM ƠN

Lời đầu tiên, chúng em xin gửi lời cảm ơn chân thành nhất đến thầy Tống Thanh Văn.
Trong q trình học tập và tim hiểu bộ mơn An toàn máy chủ Windows, chúng em đã
nhận được sự quan tâm giúp đỡ, hướng dẫn rất tận tình, tâm huyết của thầy. Thầy đã giúp
chúng em tích lũy thêm nhiều kiến thức để có cái nhìn sâu sắc và hồn thiện hơn trong
cuộc sống. Từ những kiến thức mà thầy truyền tải, chúng em đã dần hoàn thiện kỹ năng
của mình. Thơng qua bài báo cáo này, chúng em xin trình bày lại những gì mà mình đã
tìm hiểu gửi đến thầy. Có lẽ kiến thức là vơ hạn mà sự tiếp nhận kiến thức của bản thân
mỗi người luôn tồn tại những hạn chế nhất định. Do đó, trong q trình hồn thành báo
cáo, chắc chắn khơng tránh khỏi những thiếu sót. Bản thân chúng em rất mong nhận được
những góp ý đến từ thầy và các bạn để bài báo cáo của chúng em được hồn thiện hơn.
Kính chúc thầy sức khỏe, hạnh phúc thành công trên con đường sự nghiệp giảng dạy.

3


CHƯƠNG 1: TỔNG QUAN, GIỚI THIỆU ĐỀ TÀI
1.1 Tổng quan về đề tài
IPSec, viết tắt của Internet Protocol Security, là một bộ giao thức mật mã bảo vệ lưu
lượng dữ liệu qua mạng Internet Protocol (IP). Mạng IP – bao gồm cả World Wide
Web – thiếu khả năng mã hoá và bảo vệ quyền riêng tư. VPN IPSec giải quyết điểm

yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã hóa và riêng
tư trên web. Bài viết này sẽ có cái nhìn sâu hơn về bộ giao thức này, giải thích IPsec
là gì và cách hoạt động của bộ giao thức này như thế nào.
IPsec là một nhóm giao thức được sử dụng cùng nhau để thiết lập các kết nối được mã
hóa giữa các thiết bị. Nó giúp bảo mật dữ liệu được gửi qua public network. Nhóm
giao thức này này thường được sử dụng để thiết lập VPN. Nó hoạt động bằng cách mã
hóa IP packet cùng với việc xác thực nguồn của các packet.
Trong thuật ngữ “IPsec”, “IP” là viết tắt của “Internet Protocol” và “sec” là
“security”. Internet Protocol là một routing protocol chính được sử dụng trên Internet.
Nó chỉ định nơi dữ liệu sẽ đi bằng địa chỉ IP. Nhóm giao thức này an tồn vì nó thêm
mã hóa và xác thực vào quá trình này.
Virtual private network (VPN) là một kết nối được mã hóa giữa hai hoặc nhiều máy
tính. Kết nối VPN diễn ra qua các public network, nhưng dữ liệu trao đổi qua VPN
vẫn là riêng tư vì nó được mã hóa.
VPN giúp bạn có thể truy cập và trao đổi dữ liệu bí mật một cách an tồn qua cơ sở hạ
tầng shared network. Ví dụ, khi nhân viên làm việc từ xa thay vì ở văn phịng, họ
thường sử dụng VPN để truy cập các file và app của công ty.
Nhiều VPN sử dụng IPsec protocol để thiết lập và chạy các kết nối được mã hóa. Tuy
nhiên, không phải tất cả các VPN đều sử dụng nhóm giao thức này. Một giao thức
khác cho VPN là SSL/TLS, hoạt động ở một lớp khác trong mơ hình OSI so với
IPsec. (Mơ hình OSI là một đại diện trừu tượng của các quá trình là cho Internet hoạt
động.
1.2 Nhiệm vụ đề tài
Tìm hiểu về các chức năng cũng như cách thức hoạt động của IPSec VPN để có thể
áp dụng vào những bài toán thực tế và phát triển cho các dự án sau này.
1.3 Cấu trúc đề tài
4


Báo cáo đồ án gồm có 4 chương:

 Chương 1: Tổng quan, giới thiệu đề tài
 Phần này giới thiệu tổng quan, nhiệm vụ của đồ án, giúp chúng ta hiểu
nội dung căn bản của đồ án.
 Chương 2: Giới thiệu về VPN
 Phần này sẽ giới thiệu cụ thể về VPN là gì trước khi đi vào IPSec VPN.
 Chương 3: Giới thiệu về IPSec
 Phần này sẽ giúp chúng ta tìn hiểu sâu hơn về IPSec để tìm ra yếu tố và
ý nghĩa của IPSec trong IPSec VPN.
 Chương 4: Mơ hình Demo và kết luận
 Phần này chúng ta rút ra được những kết quả và chỉ ra những chức năng
của kết quả thu được.

5


CHƯƠNG 2: Giới thiệu về VPN
2.1 Khái quát về VPN
Đối với những bạn mới đi học, mới bước chân vào lĩnh vực Công Nghệ Thông Tin
- CNTT, cho đến những người đi làm... chắc hẳn họ đã nhiều lần nghe đến từ VPN,
hay mạng riêng ảo, mạng cá nhân ảo... Vậy thực sự VPN là gì, ưu nhược điểm của
VPN ra sao? Hãy cùng nhóm 9 thảo luận về định nghĩa của VPN, cách ứng dụng
mơ hình, hệ thống này trong công việc nhé.
VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp tạo
kết nối mạng an tồn khi tham gia vào mạng cơng cộng như Internet hoặc mạng
riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và
cơ quan chính phủ sử dụng cơng nghệ VPN để cho phép người dùng từ xa kết nối
an toàn đến mạng riêng của cơ quan mình.

- 1 hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện
tích địa lý... tượng tự như chuẩn Wide Area Network (WAN). Bên cạnh đó, VPN

cịn được dùng để "khuếch tán", mở rộng các mơ hình Intranet nhằm truyền tải
thơng tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn phải dùng VPN để nối giữa
các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau.
Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác thực
(phải có Username và Password). Những thơng tin xác thực tài khoản này được
6


dùng để cấp quyền truy cập thông qua 1 dữ liệu - Personal Identification Number
(PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định
(30s hoặc 1 phút).
Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy tính
bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội bộ
với VPN. Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN. Nhờ đó,
bạn có thể truy cập an tồn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rất
xa.
Bạn cũng có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này
mang lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn,
giới hạn địa lý.
Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thơng qua kết nối VPN
được mã hóa. Mọi u cầu, thông tin, dữ liệu trao đổi giữa bạn và website sẽ được
truyền đi trong một kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ để truy cập vào
Netflix, Netflix sẽ thấy kết nối của bạn đến từ Hoa Kỳ.
Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rất
nhiều thứ:
Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi
những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất
cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch,... Các
nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó
làm tăng tính bảo mật.

Truy cập mạng gia đình, dù khơng ở nhà: Bạn có thể thiết lập VPN riêng để truy
cập khi không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa thông qua
Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính
qua Internet giống như đang ở trong cùng mạng LAN.
Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên những
trang web khơng phải https, thì tính an tồn của dữ liệu trao đổi trong mạng sẽ dễ
bị lộ. Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì
bạn nên kết nối VPN. Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa.
Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet,
vượt tường lửa,...
Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file. Điều này cũng có
ích với các traffic mà ISP của bạn có thể gây trở ngại.
7


2.1 Các giao thức thường dung trong VPN
- Các sản phẩm VPN thường co sự tiện lợi, tính hiệu quả và bảo mật rất đa dạng.
Nếu bảo mật là một mối quan tâm hàng đầu, thì một tổ chức cần phải chú ý đến các
giao thức mà dịch vụ VPN hỗ trợ. Một số giao thức được sử dụng rộng rãi có những
điểm yếu đáng quan ngại, trong khi những giao thức khác lại cung cấp khả năng bảo
mật tiên tiến nhất. Những giao thức tốt nhất hiện nay là OpenVPN và IKEv2.

Bản chất của giao thức VPN là một tập hợp các giao thức. Có một số chức năng mà
mọi VPN phải giải quyết được:
- Tunnelling (kỹ thuật truyền dữ liệu qua nhiều mạng có giao thức khác nhau) - Chức
năng cơ bản của VPN là phân phối các gói (packet) từ điểm này đến điểm khác mà
khơng để lộ chúng cho bất kỳ ai trên đường truyền. Để làm điều này, VPN đóng gói tất
cả dữ liệu theo định dạng mà cả máy khách và máy chủ đều hiểu được. Bên gửi dữ liệu
đặt nó vào định dạng tunnelling và bên nhận trích xuất để có được thơng tin.
- Mã hóa: Tunnelling khơng cung cấp tính năng bảo vệ. Bất cứ ai cũng có thể trích

xuất dữ liệu. Dữ liệu cũng cần phải được mã hóa trên đường truyền. Bên nhận sẽ biết
cách giải mã dữ liệu từ một người gửi nhất định.
- Xác thực: Để bảo mật, VPN phải xác nhận danh tính của bất kỳ client nào cố gắng
“giao tiếp” với nó. Client cần xác nhận rằng nó đã đến đúng máy chủ dự định.
8


- Quản lý phiên: Một khi người dùng được xác thực, VPN cần duy trì phiên để client
có thể tiếp tục “giao tiếp” với nó trong một khoảng thời gian.
Nói chung các giao thức VPN coi việc tạo tunnel, xác thực và quản lý phiên như một
gói. Điểm yếu trong bất kỳ chức năng nào đều là những lỗ hổng bảo mật tiềm ẩn trong
giao thức. Mã hóa là một chun ngành, nó cũng rất khó, nên thay vì cố gắng tạo ra cái
mới, các VPN thường sử dụng kết hợp nhiều giao thức mã hóa đáng tin cậy. Dưới đây
là những giao thức VPN phổ biến và độ mạnh yếu của chúng.
2.2 Nhứng giao thức yếu
Point-To-Point Tunneling Protocol (PPTP)
Giao thức cũ nhất vẫn đang được sử dụng là PPTP (Point-to-Point Tunneling
Protocol). PPTP lần đầu tiên được sử dụng vào năm 1995. PPTP khơng chỉ định giao
thức mã hóa nhưng có thể sử dụng một số giao thức như MPPE-128 mạnh mẽ. Việc
thiếu sự tiêu chuẩn hóa về giao thức mạnh là một rủi ro, vì nó chỉ có thể sử dụng tiêu
chuẩn mã hóa mạnh nhất mà cả 2 phía cùng hỗ trợ. Nếu một phía chỉ hỗ trợ tiêu chuẩn
yếu hơn thì kết nối phải sử dụng mã hóa yếu hơn người dùng mong đợi.

Tuy nhiên, vấn đề thực sự với PPTP là quá trình xác thực. PPTP sử dụng giao thức
MS-CHAP, có thể dễ dàng bị crack trong giai đoạn hiện nay. Kẻ tấn cơng có thể đăng
nhập và mạo danh người dùng được ủy quyền.

IP security (IPSec)
Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong mơi trường Internet (mơi
trường bên ngồi VPN). Đây là điểm mấu chốt, lượng traffic qua IPSec được dùng chủ

9


yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm - khái niệm này hay dùng
trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN.
Sự khác biệt giữa các mode này là:
 Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data
package - hoặc còn biết dưới từ payload). Trong khi các Tunnel mã hóa tồn
bộ các data package đó.

Do vậy, IPSec thường được coi là Security Overlay, bởi vì IPSec dùng các lớp bảo mật
so với các Protocol khác.
L2TP
Giao thức L2TP thường hoạt động với thuật tốn mã hóa IPSec. Nó mạnh hơn đáng kể so
với PPTP nhưng vẫn khiến người dùng lo ngại. Lỗ hổng chính trong L2TP/IPSec là
phương thức trao đổi khóa cơng khai (public key). Trao đổi khóa cơng khai DiffieHellman là cách để hai bên thỏa thuận về khóa mã hóa tiếp theo và khơng ai được biết về
khóa này. Có một phương pháp có thể “bẻ khóa” q trình này, địi hỏi sức mạnh điện
tốn khá lớn, nhưng sau đó nó cho phép truy cập vào tất cả các giao tiếp trên một VPN
nhất định.

10


Secure Sockets Layer (SSL) và Transport Layer Security (TLS)
Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để đảm bảo an toàn
giữa các kết nối trong mơi trường Internet.

Mơ hình SSL VPN

Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake - có liên quan đến q

trình xác thực tài khoản giữa client và server. Để 1 kết nối được coi là thành cơng, q
trình xác thực này sẽ dùng đến các Certificate - chính là các khóa xác thực tài khoản
được lưu trữ trên cả server và client.
2.3 Những giao thức có bảo mật tốt hơn
IKEv2 (Internet Key Exchange)
11


IKEv2 (Internet Key Exchange) được xếp hạng bảo mật cao trong số các giao thức hiện
tại. IKEv2 sử dụng IPSec tunnelling và có nhiều lựa chọn giao thức mã hóa. IKEv2 được
sử dụng với mã hóa AES-256 nên rất khó bị bẻ khóa. IKEv2 sử dụng tính năng xác thực
dựa trên chứng chỉ mạnh mẽ và có thể sử dụng thuật tốn HMAC để xác minh tính tồn
vẹn của dữ liệu được truyền. IKEv2 hỗ trợ giao tiếp nhanh và đặc biệt mạnh mẽ trong
việc duy trì phiên, ngay cả khi kết nối Internet bị gián đoạn. Windows, MacOS, iOS và
Android đều hỗ trợ IKEv2. Một số triển khai mã nguồn mở cũng có sẵn.
Phiên bản 1 của giao thức được giới thiệu vào năm 1998 và phiên bản 2 vào năm 2005.
IKEv2 không phải là một trong những giao thức mới nhất, nhưng được duy trì rất tốt.
SSTP (Secure Socket Tunneling Protocol)

SSTP (Secure Socket Tunneling Protocol) là một sản phẩm của Microsoft, được hỗ trợ
chủ yếu trên Windows. Khi được sử dụng với mã hóa AES và SSL, SSTP cung cấp tính
năng bảo mật tốt, xét về mặt lý thuyết. Hiện tại chưa tìm thấy lỗ hổng nào của SSTP
nhưng rất có thể một điểm yếu nào đó vẫn tồn tại.
Một vấn đề thực tế với SSTP là sự hỗ trợ hạn chế trên các hệ thống không phải Windows.
12


OpenVPN

OpenVPN là một bộ giao thức mở, cung cấp tính năng bảo mật mạnh mẽ và đã trở nên

rất phổ biến. OpenVPN được phát hành lần đầu tiên vào năm 2001 theo giấy phép GPL.
OpenVPN có mã nguồn mở, nên việc kiểm tra lỗ hổng được bảo đảm. Chức năng mã hóa
của OpenVPN thường sử dụng thư viện OpenSSL. OpenSSL hỗ trợ nhiều thuật tốn mã
hóa, bao gồm AES.
Khơng có bất kỳ sự hỗ trợ nào cho OpenVPN ở cấp hệ điều hành, nhưng nhiều gói bao
gồm các OpenVPN client của riêng chúng.
Việc có được sự bảo mật nhất với một giao thức đòi hỏi các quản trị viên phải xử lý một
cách chính xác. Cộng đồng OpenVPN cung cấp các khuyến nghị để tăng cường bảo mật
cho OpenVPN.
SoftEther (Software Ethernet)

SoftEther (Software Ethernet) là một cái tên mới, lần đầu tiên ra mắt vào năm 2014.
Giống như OpenVPN, SoftEther cũng có mã nguồn mở. SoftEther hỗ trợ các giao thức
mã hóa mạnh nhất, bao gồm AES-256 và RSA 4096-bit. SoftEther cung cấp tốc độ giao
13


tiếp lớn hơn so với hầu hết các giao thức, bao gồm OpenVPN, ở một tốc độ dữ liệu nhất
định. Nó khơng hỗ trợ hệ điều hành riêng nhưng có thể được cài đặt trên nhiều hệ điều hành,
bao gồm Windows, Mac, Android, iOS, Linux và Unix.
Là một giao thức mới, SoftEther không được hỗ trợ nhiều như một số giao thức khác.
SoftEther không tồn tại đủ lâu như OpenVPN, vì vậy người dùng chưa có nhiều thời gian
để kiểm tra những điểm yếu có thể xuất hiện trên giao thức này. Tuy nhiên, SoftEther là
một ứng cử viên nặng ký cho bất kỳ ai cần chất lượng bảo mật hàng đầu.
Vậy nên chọn giao thức nào?
Câu hỏi “Giao thức nào an tồn nhất?” rất khó để đưa ra câu trả lời. IKEv2, OpenVPN và
SoftEther đều là những ứng cử viên mạnh. OpenVPN và SoftEther có lợi thế là mã nguồn
mở. IKEv2 có các triển khai mã nguồn mở nhưng cũng có các triển khai độc quyền. Ưu
điểm bảo mật chính của IKEv2 là dễ cài đặt, giảm nguy cơ lỗi cấu hình. SoftEther cung
cấp bảo mật rất tốt, nhưng người dùng chưa có nhiều thời gian trải nghiệm với SoftEther

như với hai giao thức cịn lại, nên rất có thể SoftEther còn tồn tại những vấn đề mà người
dùng chưa phát hiện ra.
Code của OpenVPN đã xuất hiện trong nhiều năm để các chuyên gia bảo mật kiểm tra.
OpenVPN được sử dụng rộng rãi và hỗ trợ các giao thức mã hóa mạnh nhất. Việc đưa ra
quyết định cuối cùng còn cần xem xét những yếu tố khác, chẳng hạn như sự thuận tiện và
tốc độ, hay vấn đề bảo mật có phải là điều quan tâm lớn nhất hay khơng.
2.4 Ưu nhược điểm
Lý thuyết là như vậy, cịn khi áp dụng vào thực tế thì VPN sẽ có những ưu, nhược điểm
như thế nào. Mời các bạn tiếp tục thảo luận với Quản Trị Mạng.
Để xây dựng 1 hệ thống mạng riêng, mạng cá nhân ảo thì dùng VPN là 1 giải pháp không
hề tốn kém. Chúng ta có thể tưởng tượng thế này, mơi trường Internet là cầu nối, giao
tiếp chính để truyền tải dữ liệu, xét về mặt chi phí thì nó hồn tồn hợp lý so với việc trả
tiền để thiết lập 1 đường kết nối riêng với giá thành cao. Bên cạnh đó, việc phải sử dụng
hệ thống phần mềm và phần cứng nhằm hỗ trợ cho q trình xác thực tài khoản cũng
khơng phải là rẻ. Việc so sánh sự tiện lợi mà VPN mang lại cùng với chi phí bỏ ra để bạn
tự thiết lập 1 hệ thống như ý muốn, rõ ràng VPN chiếm ưu thế hơn hẳn.
Nhưng bên cạnh đó, có nhược điểm rất dễ nhận thấy như:
VPN khơng có khả năng quản lý Quality of Service (QoS) qua môi trường Internet, do
vậy các gói dữ liệu - Data package vẫn có nguy cơ bị thất lạc, rủi ro. Khả năng quản lý

14


của các đơn vị cung cấp VPN là có hạn, khơng ai có thể ngờ trước được những gì có thể

xảy ra với khách

hàng của họ, hay nói ngắn gọn là bị hack đó.
2.4.1 Ưu điểm
- Lưu lượng cá nhân của bạn được mã hóa và truyền an tồn qua Internet. Điều

này giúp bạn tránh xa khỏi các mối đe dọa trên Internet.
- VPN khiến tin tặc gặp khó khăn khi xâm nhập hay gây trở ngại tới công việc của
cá nhân hoặc doanh nghiệp.
- Bạn có thể yên tâm sử dụng Wifi công cộng và không phải lo nghĩ về những tên
tin tặc, đồng thời có thể an tồn kết nối từ xa với máy chủ.
Với trình bảo mật cao như vậy, bạn hồn tồn có thể ẩn danh khi lướt web. Khơng những
thế, đa số các VPN cịn có giao diện rất dễ cấu hình, những người khơng rành cơng nghệ
cũng có thể thao tác được.
2.4.2 Nhược điểm
- Nhiều trang web trực tuyến đang trở nên cảnh giác với VPN và tạo ra nhiều trở
ngại nhằm ngăn cản hay giảm lượng truy cập vào nội dung bị hạn chế.
- Khơng may là người dùng cũng có thể sử dụng VPN vào các hoạt động bất hợp
pháp, khiến công nghệ này bị mang tiếng xấu.
- Các VPN miễn phí sẽ giúp bạn tiết kiệm được rất nhiều tiền, nhưng bạn sẽ phải
trả giá bằng sự an toàn của bản thân. Vì thế, nếu muốn sử dụng VPN có đầy đủ các
chức năng và cấu hình mạnh thì bạn phải có ngân sách khá khá hàng tháng.
2.4.3 Kết Luận
Khi khơng có gì để mất thì chúng ta hay coi thường về bảo mật thông tin trên
internet. Nhưng đến lúc bị hacker ghé thăm và đánh cắp dữ liệu, chúng ta mới
nhận ra sức mạnh của bảo mật. Internet là môi trường nhiều cạm bẫy, các doanh
nghiệp lớn hay có nhiều bí mật và bí quyết cơng nghệ nên sắm cho mình và tập xài
VPN từ ngay bây giờ đi là vừa.

CHƯƠNG 3: Khái quát về IPSec
3.1 IPSec là gì
15


IPSec, viết tắt của Internet Protocol Security, là một bộ giao thức mật mã bảo vệ lưu
lượng dữ liệu qua mạng Internet Protocol (IP).


Mạng IP - bao gồm cả World Wide Web - thiếu khả năng mã hoá và bảo vệ quyền riêng
tư. VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp một framework cho việc
giao tiếp được mã hóa và riêng tư trên web.
Dưới đây là cái nhìn sâu hơn về IPSec và cách nó hoạt động với các VPN tunnel để bảo
vệ dữ liệu qua những mạng không bảo mật.
3.2 Sơ lược về lịch sử IPSec
Khi Internet Protocol được phát triển vào đầu những năm 80, tính bảo mật khơng nằm ở
vị trí được ưu tiên cao. Tuy nhiên, khi số lượng người dùng Internet tiếp tục phát triển,
nhu cầu bảo mật cao cũng vì thế mà ngày càng tăng.
Để giải quyết nhu cầu này, Cơ quan An ninh Quốc gia đã tài trợ cho sự phát triển của các
giao thức bảo mật vào giữa những năm 80, trong chương trình Secure Data Network
Systems (Hệ thống mạng dữ liệu bảo mật). Điều này dẫn đến sự phát triển của Security
Protocol (Giao thức bảo mật) ở Layer 3 và cuối cùng là Network Layer Security Protocol.
Nhiều kỹ sư đã làm việc trong dự án này trong suốt những năm 90 và IPSec đã phát triển
nhờ những nỗ lực này. IPSec hiện là một tiêu chuẩn mã nguồn mở và là một phần của
IPv4.
3.3 Cách thức hoạt động của IPSec
16


IPSec làm việc với các VPN tunnel để thiết lập kết nối hai chiều riêng tư giữa các thiết bị
Khi hai máy tính thiết lập kết nối VPN, chúng phải đồng thuận về một tập hợp các giao
thức bảo mật và thuật tốn mã hóa, đồng thời trao đổi key mật mã để mở khóa và xem dữ
liệu đã mã hóa.
Đây là lúc IPSec phát huy vai trị. IPSec làm việc với các VPN tunnel để thiết lập kết nối
hai chiều riêng tư giữa các thiết bị. IPSec không phải là một giao thức đơn lẻ; thay vào
đó, đó là một bộ giao thức và tiêu chuẩn hoàn chỉnh, hoạt động cùng nhau để giúp đảm
bảo tính bảo mật, tồn vẹn và xác thực của các gói dữ liệu Internet đi qua VPN tunnel.
Đây là cách IPSec tạo một VPN tunnel bảo mật:

 IPSec xác thực dữ liệu để đảm bảo tính tồn vẹn của gói dữ liệu trong q
trình truyền tải.
 IPSec mã hóa lưu lượng truy cập Internet qua các VPN tunnel để không thể
xem dữ liệu.
 IPSec bảo vệ dữ liệu khỏi các cuộc tấn công Replay Attack, có thể dẫn đến
việc đăng nhập trái phép.
 IPSec cho phép trao đổi key mật mã bảo mật giữa các máy tính.
 IPSec cung cấp hai chế độ bảo mật: Tunnel và Transport.
VPN IPSec bảo vệ dữ liệu truyền từ host đến host, mạng đến mạng, host đến mạng và
cổng đến gateway (được gọi là chế độ Tunnel, khi tồn bộ gói IP được mã hóa và xác
thực).
- Kết nối bộ giao thức này bao gồm các bước sau:

17


Trao đổi key: Key là yếu tố cần thiết để mã hóa, key là một chuỗi ký tự ngẫu nhiên có
thể được sử dụng để “lock” (mã hóa) và “unlock” (giải mã) thơng điệp. Nhóm giao thức
này thiết lập các key với sự trao đổi key giữa các thiết bị được kết nối. Để mỗi thiết bị có
thể giải mã tin nhắn của các thiết bị khác.
Header và trailer của packet: Tất cả dữ liệu được gửi qua mạng được chia thành các
phần nhỏ hơn gọi là packet. Các packet chứa cả payload hoặc dữ liệu thực tế được gửi
bao gồm cả các header hoặc thông tin về dữ liệu đó để các máy tính nhận packet biết phải
làm gì với chúng. IPsec thêm một số header vào các packet dữ liệu chứa thơng tin xác
thực và mã hóa. Nhóm giao thức này cũng thêm các đoạn trailer, đi sau payload của một
packet thay vì trước đó.
Xác thực: IPsec cung cấp xác thực cho mỗi packet, giống như một con dấu xác thực trên
một vật phẩm sưu tầm được. Điều này đảm bảo rằng các packet đến từ một nguồn đáng
tin và khơng phải là hacker.
Mã hóa: IPsec mã hóa payload bên mỗi packet và IP header của mỗi packet. Điều này

giữ cho dữ liệu được gửi qua nhóm giao thức này một cách an toàn và riêng tư.
Truyền dữ liệu: Các IPsec packet được mã hóa truyền dữ liệu qua một hoặc nhiều mạng
đến đích của chúng bằng cách sử dụng một giao thức truyền tải. Ở giai đoạn này, lưu
lượng IPsec khác với lưu lượng IP thông thường ở chỗ nó thường sử dụng UDP làm giao
thức truyền tải hơn là TCP. TCP (Transmission Control Protocol) thiết lập các kết nối
chuyên dụng giữa các thiết bị và đảm bảo rằng tất cả các packet đều được truyền đến
đích. UDP (User Datagram Protocol) không thiết lập các kết nối chun dụng này. Nhóm
giao thức này sử dụng UDP vì nó cho phép các IPsec packet vượt qua firewall.
Giải mã: Ở đầu kia của giao tiếp, các packet được giải mã và các app hiện có thể sử dụng
dữ liệu được phân phối.
3.4 Những giao thức IPSec và các thành phần hỗ trợ
Tiêu chuẩn IPSec chia thành một số giao thức cốt lõi và các thành phần hỗ trợ.
3.4.1 Giao thức IPSec cốt lõi
- IPSec Authentication Header (AH): Giao thức này bảo vệ địa chỉ IP của các máy
tính tham gia vào quá trình trao đổi dữ liệu, để đảm bảo rằng các bit dữ liệu không bị
mất, thay đổi hoặc bị hỏng trong quá trình truyền. AH cũng xác minh rằng người gửi dữ
liệu thực sự đã gửi nó, bảo vệ tunnel khỏi sự xâm nhập của những người dùng trái phép.
- Encapsulating Security Payload (ESP): Giao thức ESP cung cấp phần mã hóa của
IPSec, đảm bảo tính bảo mật của lưu lượng dữ liệu giữa các thiết bị. ESP mã hóa các gói
18


dữ liệu/payload, xác thực payload và nguồn gốc của nó trong bộ giao thức IPSec. Giao
thức này xáo trộn lưu lượng truy cập Internet một cách hiệu quả, để bất kỳ ai nhìn vào
tunnel cũng đều khơng thể thấy bất cứ gì trong đó.
ESP vừa mã hóa vừa xác thực dữ liệu, trong khi AH chỉ xác thực dữ liệu.
Giao thức ESP và giao thức AH là hai giao thức chính trong việc mã hố và xác thực dữ
liệu.
- ESP sử dụng IP Protocol number là 50 (ESP được đóng gói bởi giao thức IP và trường
protocol trong IP là 50)

- AH sử dụng IP Protocol number là 51 ( AH được đóng gói bởi giao thức IP và trường
protocol trong IP là 51)
Bộ giao thức IPSec hoạt động trên 2 mode chính : Tunnel Mode và Transports Mode.
- Khi giao thức IPSec hoạt động ở Tunnel Mode thì sau khi đóng gói dữ liệu, giao thức
ESP mã hố tồn bộ Payload, frame Header, IP Header thì nó sẽ thêm một IP Header mới
vào gói tin trước khi forward đi.
- Khi giao thức IPSec hoạt động ở Transport Mode thì IP Header vẫn được giữ nguyên và
lúc này giao thức ESP sẽ chèn vào giữa Payload và IP Header của gói tin.
Tổng quan về ESP Header và AH Header

- Trong trường hợp dùng giao thức ESP : thì giao thức này sẽ làm cơng việc mã hóa
(encryption), xác thực (authentication), bảo đảm tính tồn vẹn dữ liệu ( integrity
protection). Sau khi đóng gói xong bằng ESP, mọi thơng tin và mã hoá và giải mã sẽ nằm
trong ESP Header.
- Các thuật toán mã hoá sử dụng trong giao thức như : DES, 3DES, AES
19


- các thuật toán hash như : MD5 hoặc SHA-1
- Trong trường hợp dùng giao thức AH : thì AH chỉ làm cơng việc xác thực
(Authentication), và đảm bảo tính tồn vẹn dữ liệu. Giao thức AH khơng có tính năng mã
hoá dữ liệu.
Authentication Header (AH)
- AH là một trong những giao thức bảo mật, cung cấp tính năng đảm bảo toàn vẹn packet
headers và data, xác thực nguồn gốc dữ liệu. Nó có thể tuỳ chọn cung cấp dịch vụ replay
protection và access protection. AH khơng mã hố bất kỳ phần nào của các gói tin. Trong
phiên bản đầu của IPSec, giao thức ESP chỉ có thể cung cấp mã hố, khơng xác thực. Do
đó, người ta kết hợp giao thức AH và ESP với nhau để cung cấp sự cẩn mật và đảm bảo
toàn vẹn dữ liệu cho thơng tin.
a. AH Mode

AH có hai mode : Transport và Tunnel.
- Trong Tunnel mode, AH tạo 1 IP Header mới cho mỗi gói tin
- Trong Transport mode, AH khơng tạo IP Header mới
-Trong cấu trúc IPSec mà sử dụng gateway , địa chỉ thật của IP nguồn và đích của các
gói tin phải thay đổi thành địa chỉ IP của gateway. Vì trong Transport Mode khơng thay
đổi IP Header nguồn hoặc tạo một IP Header mới, Transport Mode thường sử dụng trong
cấu trúc host-to-host.
AH cung cấp tính năng đảm bảo tính tồn vẹn cho tồn bộ gói tin, bất kỳ mode nào được
sử dụng .

AH Tunnel Mode Packet

20


AH Transport Mode Packet

a.AH xác thực và đảm bảo tính tồn vẹn dữ liệu

B1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy qua
giải thuật Hash 1 chiều và cho ra 1 chuỗi số. và chuỗi số này sẽ được gán vào AH Header.
B2: AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyển sang phía
bên kia.
21


B3: Router đích sau khi nhận được gói tin này bao gồm : IP Header + AH Header +
Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra một chuỗi số.
B4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó chấp nhận
gói tin .

C. AH Header

-Next Header : Trường này dài 8 bits , chứa chỉ số giao thức IP. Trong Tunnel Mode,
Payload là gói tin IP , giá trị Next Header được cài đặt là 4. Trong Transport Mode ,
Payload luôn là giao thức Transport-Layer. Nếu giao thức lớp Transport là TCP thì trường
giao thức trong IP là 6. Nếu giao thức lớp transport là UDP thì trường giao thức trong IP
là 17.
-Payload Length : Trường này chứa chiều dài của AH Header.
-Reserved : giá trị này được dành để sử dụng trong tương lai ( cho đến thời điểm này nó
được biểu thị bằng các chỉ số 0).
-Security parameter Index (SPI) : mỗi đầu cuối của mỗi kết nối IPSec tuỳ ý chọn giá trị
SPI. Hoạt động này chỉ được dùng để nhận dạng cho kết nối. Bên nhận sử dụng giá trị
SPI cùng với địa chỉ IP đích và loại giao thức IPSec (trường hợp này là AH) để xác định
chính sách SA được dùng cho gói tin (Có nghĩa là giao thức IPSec và các thuật tốn nào
được dùng để áp cho gói tin).
-Sequence Number : chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có
liên quan đến chính sách SA. Giá trị bắt đầu của bộ đếm là 1. chuỗi số này không bao giờ
cho phép ghi đè lên là 0. vì khi host gửi yêu cầu kiểm tra mà nó khơng bị ghi đè và nó sẽ
thoả thuận chính sách SA mới nếu SA này được thiết lập. Host nhận sẽ dùng chuỗi số để
phát hiện replayed datagrams. Nếu kiểm tra bên phía host nhận, bên nhận có thể nói cho
bên gửi biết rằng bên nhận khơng kiểm tra chuỗi số, nhưng địi hỏi nó phải ln có trong
bên gửi để tăng và gửi chuỗi số.
-Authentication Data: Trường này chứa kết quả của giá trị Integrity Check Value (ICV).

22


Trường này luôn là bội của 32-bit (từ) và phải được đệm vào nếu chiều dài của ICV trong
các bytes chưa đầy.
Encapsulaton Secutity Payload (ESP)

ESP là giao thức bảo mật chính thứ hai. Trong phiên bản đầu của IPSec , ESP chi cung
cấp mã hoá cho packet payload data. Khi cần, giao thức AH cung cấp dịch vụ đảm bảo
toàn vẹn. Trong phiên bản thứ hai của IPSec, ESP trở nên mềm dẻo hơn. Nó có thể thực
hiện xác thực để cung cấp dịch vụ đảm bảo toàn vẹn, mặc dù khơng hỗ trợ cho outermost
IP header. Sự mã hố của ESP có thể bị vơ hiệu hố qua thuật tốn mã hố Null ESP
algorithm. Do đó, ESP có thể cung cấp chỉ mã hoá; mã hoá và đảm bảo toàn vẹn dữ liệu;
hoặc chỉ đảm bảo toàn vẹn dữ liệu.
a. ESP Mode
ESP có hai mode : Transport Mode và Tunnel Mode.
Trong Tunnel Mode : ESP tạo một IP Header mới cho mỗi gói tin. IP Header mới liệt kêt
các đầu cuối của ESP Tunnel ( như hai IPSec gateway) nguồn và đích của gói tin. Vì
Tunnel mode có thể dùng với tất cả 3 mơ hình cấu trúc VPN.

ESP Tunnel Mode Packet

ESP Tunnel Mode được sử dụng thường xuyên nhanh hơn ESP Transport Mode.
Trong Tunnel Mode, ESP dùng IP header gốc thay vì tạo một IP header mới.
Trong Transport Mode, ESP có thể chỉ mã hố và/hoặc bảo đảm tính tồn vẹn nội dung
gói tin và một số các thành phần ESP, nhưng khơng có với IP header.
Giao thức AH, ESP trong Transport mode thường sử dụng trong cấu trúc host-to-host.
Trong Transport mode khơng tương thích với NAT.
23
ESP Packet Fields


ESP Packet Fields

ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin. ESP Header
được cấu thành bởi hai trường : SPI và Sequence Number.
-SPI (32 bits) : mỗi đầu cuỗi của mỗi kêt nối IPSec được tuỳ chọn giá trị SPI. Phía nhận

sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy
nhất mà nó được áp cho gói tin.
-Sequence Number : thưịng được dùng để cung cấp dịch vụ anti-replay. Khi SA được
thiết lập, chỉ số này được khởi đầu về 0. Trước khi mỗi gói tin được gửi, chỉ số này ln
tăng lên 1 và được đặt trong ESP header. Để chắc chắn rằng sẽ khơng có gói tin nào được
24


cơng nhận, thì chỉ số này khơng được phép ghi lên bằng 0. Ngay khi chỉ số 232-1 được
sử dụng , một SA mới và khóa xác thực được thiết lập.
Phần kế tiếp của gói tin là Payload, nó được tạo bởi Payload data (được mã hố) và IV
khơng được mã hố). Giá trị của IV trong suốt q trình mã hố là khác nhau trong mỗi
gói tin.
Phần thứ ba của gói tin là ESP Trailer, nó chứa ít nhất là hai trường.
-Padding ( 0-255 bytes) : được thêm vào cho đủ kích thước của mỗi gói tin.
-Pad length: chiều dài của Padding
-Next header : Trong Tunnel mode, Payload là gói tin IP, giá trị Next Header được cài đặt
là 4 cho IP-in-IP. Trong Transport mode, Payload luôn là giao thức lớp 4. Nếu giao thức
lớp 4 là TCP thì trường giao thức trong IP là 6, giao thức lớp 4 là UDP thì trường giao
thức IP là 17. Mỗi ESP Trailer chứa một giá trị Next Header.
-Authentication data : trường này chứa giá trị Integrity Check Value (ICV) cho gói tin
ESP. ICV được tính lên tồn bộ gói tin ESP cơng nhận cho trường dữ liệu xác thực của
nó. ICV bắt đầu trên ranh giới 4-byte và phải là bội số của 32-bit (đơn vị từ).

3.4.2 Các thành phần hỗ trợ IPSec
- Security Associations (SA): Security Associations và các chính sách thiết lập những
thỏa thuận bảo mật khác nhau, được sử dụng trong trao đổi. Các thỏa thuận này có thể
xác định loại mã hóa và thuật tốn hash sẽ được sử dụng. Những chính sách này thường
linh hoạt, cho phép các thiết bị quyết định cách chúng muốn xử lý mọi thứ.
- Internet Key Exchange (IKE): Để mã hóa hoạt động, các máy tính liên quan đến việc

trao đổi thông tin liên lạc riêng tư cần phải chia sẻ key mã hóa. IKE cho phép hai máy
tính trao đổi và chia sẻ key mật mã một cách bảo mật khi thiết lập kết nối VPN.
- Encryption and Hashing Algorithms: Key mật mã hoạt động bằng cách sử dụng giá
trị hash, được tạo bằng thuật toán hash. AH và ESP rất chung chung, chúng không chỉ
định một loại mã hóa cụ thể. Tuy nhiên, IPsec thường sử dụng Message Digest 5 hoặc
Secure Hash Algorithm 1 để mã hóa.
- Bảo vệ chống lại các cuộc tấn công Replay Attack: IPSec cũng kết hợp các tiêu chuẩn
để ngăn việc replay (phát lại) bất kỳ gói dữ liệu nào, một phần của q trình đăng nhập
thành cơng. Tiêu chuẩn này ngăn chặn tin tặc sử dụng thông tin được replay để tự sao
chép thông tin đăng nhập.
IPSec là một giải pháp giao thức VPN hồn chỉnh và cũng có thể đóng vai trị như một
giao thức mã hóa trong L2TP và IKEv2.
3.4.2.1 Khái niệm IKE
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×