Tải bản đầy đủ (.docx) (86 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Nghiên cứu và triển khai hệ thống mạng sử dụng công nghệ VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.13 MB, 86 trang )

Đồ án tốt nghiệp chuyên ngành Mạng máy tính

MỤC LỤC

Lê Đức Anh

1

1


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

DANH MỤC HÌNH VẼ

Lê Đức Anh

2

2


Đồ án tốt nghiệp chun ngành Mạng máy tính

THƠNG TIN KẾT QUẢ NGHIÊN CỨU
1. Thông tin chung
Tên đề tài:
Nghiên cứu và triển khai hệ thống mạng sử dụng công nghệ VPN
Sinh viên thực hiện: Lê Đức Anh
Mã sinh viên: 1721050277
Lớp: DCCTMMA


Hệ đào tạo: Chính Quy
Điện thoại: 0961972799
Email:
Thời gian thực hiện: 2022
2. Mục tiêu
- Nắm được tổng quan về VPN
- Tính năng của VPN
- Ưu nhược điểm của VPN
- Các mơ hình VPN
- Hồn thiện một mơ hình VPN thực tế
3. Nội dung chính
- Tìm hiểu tổng quan về VPN
- Tìm hiểu các giao thức chính của VPN
- Cách thức bảo mật của VPN
- Tính thức tế của VPN
4. Kết quả chính đạt được
- Nắm rõ được khái niệm, tác dụng của VPN
- Biết cách triển khai dịch vụ VPN
- Triển khai mơ hình VPN thực tế


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

MỞ ĐẦU
1. Tổng quan tình hình nghiên cứu thuộc lĩnh vực của đề tài
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên
tồn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó khơng có dấu hiệu sẽ
dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối
vào hệ thống Internet mỗi giờ mà cịn là sự xâm nhập của nó vào các khía cạnh cuộc
sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau...

Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông
tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với xu
hướng tồn cầu hóa, chi phí bổ sung cho thơng tin liên lạc, truyền tải dữ liệu giữa
các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này
bằng cách sử dụng mạng Internet, từ đó có thể tăng lợi nhuận của tổ chức.
2. Tính cấp thiết, ý nghĩa khoa học và thực tiễn của đề tài
Một điều phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ
liệu qua mạng trung gian cơng cộng khơng an tồn như Internet. Để giải quyết vấn
đề này, một giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động lực
cho sự phát triển mạnh mẽ của VPN như ngày nay.
Vì vậy việc nghiên cứu và triển khai hệ thống mạng sử dụng công nghệ
VPN trở nên cần thiết đối với mỗi tổ chức, cá nhân , đặc biệt là đối tượng doanh
nghiệp, đối tượng cần kết nối riêng tư và bảo mật nhất.


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

CHƯƠNG 1
TỔNG QUAN VỀ CƠNG NGHỆ VPN
1.1 Lịch sử hình thành và phát triển
Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một
cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện
rộng WAN. PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ
LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để
thực hiện nối thông.
Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ
được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các
hộ khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3
của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn
đến thiết bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số

chuyên dụng cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều
tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê
lượng nghiệp vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là
hình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung
cấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách. Nhưng
phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng
loại tính năng nghiệp vụ cung cấp khơng nhiều, có thể tiếp nhập PBX mà khơng thể
tiếp nhập hộ dùng chỉ có một đơi dây, nên khơng thực sự linh hoạt
Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là
AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên
riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần
mềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng
để thay thế cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các
hộ khách có lượng nghiệp vụ khơng bằng nhau, được áp dụng các ưu đãi về cước
phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt
đầu chuyển sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ
VPN, ba cơng ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho
một số xí nghiệp vừa và nhỏ cũng có thể sử dụng VPN. Và có thể tiết kiệm được
đến 30% tiền cước phí sử dụng. Đã kích thích sự phát triển nhanh chóng của dịch
vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ đàm thoại mà cịn có
thể dùng cho nghiệp vụ dữ liệu
Sự phát triển tồn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh
chóng của VPN trên tồn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

thế giới và liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn,
làm cho tỷ trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự
tăng trưởng nhu cầu dịch vụ viễn thông quốc tế. Một số liên minh và công ty đa

quốc gia cần có mạng lưới tồn cầu phức tạp nối liền với chất lượng cao các bộ máy
thương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về
mặt quản lý và bảo dưỡng. Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một
cách có hiệu quả nhu cầu của số hộ khách này. Và so với đường dây trong nước, có
thể tiết kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như cơng ty
hay tập đồn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từ
các mạng chuyên dùng đã được thiết lập sang sử dụng VPN. Một số hộ khách
thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, như
hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích là
nhằm có thể đạt được tỷ lệ tính năng trên giá thành tốt nhất trong việc sử dụng
nghiệp vụ VPN. Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay
cịn gọi là VPN toàn cầu (GPN), đã phát triển nhanh chóng.


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

1.2 Tổng quan về VPN
VPN là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ở
đầu này đến hệ thống ở đầu kia qua mạng chung ( như mạng internet ) mà khơng để
giao thơng nhận biết có những hộp trung gian giữa 2 đầu, hoặc không để cho những
hộp trung gian nhận biết chúng đang chuyển những gói tin qua mạng đã được mã
hóa đi qua đường hầm. Định đường hầm (tunneling ) là một cơ chế dùng cho việc
đóng gói (encapsulate ) một giao thức vào trong một giao thức khác. Trong ngữ
cảnh internet, định đường hầm cho phép những giao thức như: IPX, AppleTalk và
IP được mã hóa, sau đó đóng gói trong IP. Tương tự, trong ngữ cảnh VPN, định
đường hầm che giấu giao thức lớp mạng nguyên thủy bằng cách mã hóa gói dữ liệu
và chứa gói mã hóa vào trong một vỏ bọc IP(IP envelope). Vỏ bọc IP này thực ra là
một gói IP, sau đó sẽ được chuyển đi một cách bảo mật qua mạng internet. Tại bên
nhận, sau khi nhận được gói trên sẽ tiến hành gỡ bỏ vỏ bọc bên ngồi và giải mã
thơng tin dữ liệu trong gói này và phân phối đến thiết bị truy cập thích hợp, chẳng

hạn như 1 bộ định tuyến. Một ứng dụng điển hình của VPN là cung cấp 1 kênh an
tồn từ đầu mạng giúp cho những văn phòng chi nhánh hoặc văn phòng ở xa hoặc
những người làm việc từ xa có thể dùng internet truy cập vào tài nguyên công ty
một cách bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng cơng
ty.


Đồ án tốt nghiệp chun ngành Mạng máy tính

Hình 1-1 Mơ hình VPN cơ bản
1.3 Cấu trúc của VPN
Tất cả các VPN đều cho phép truy cập bảo mật qua các mạng công cộng bằng
cách sử dụng những dịch vụ bảo mật, bao gồm việc định đường hầm (tunneling) và
các biện pháp mã hóa dữ liệu.

Hình 1-1 Cấu trúc của một VPN
1.3.1 Tính bảo mật
Bảo mật là những gì làm cho VPN trở nên có tính “ảo” và “riêng”. Để cạnh
tranh và nhiều lý do khác, việc bảo mật thông tin và các q trình trao đổi thơng tin
của cơng ty trở nên có tính chất sống cịn, đó là nguyên nhân các giải pháp WAN và
đường truyền kênh thuê riêng được sử dụng 1 cách phổ biến như hiện nay. Như vậy,
yêu cầu của VPN là phải bảo mật như đường dây thuê riêng, đồng thời mang lại
những ưu điểm về chi phí mà khơng cần phải bỏ những tính riêng tư của mạng. Do
đó, cần kết hợp các sản phẩm và công nghệ với nhau để đảm bảo bảo mật cho các
kết nối VPN.


Đồ án tốt nghiệp chun ngành Mạng máy tính

Hình 1-2 Bảo mật trong VPN

1.3.2 Đường hầm
Các đường hầm (tunnel) chính là đặc tính ảo của VPN, nó làm cho một kết
nối dường như một dòng lưu lượng duy nhất trên đường dây. Đồng thời còn tạo cho
VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã áp dụng
trong mạng nội bộ, bảo đảm cho vai trị kiểm sốt dịng lưu chuyển dữ liệu. Đường
hầm củng làm cho VPN có tính riêng tư.
Các loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm có giao
thức định đường hầm điểm - điểm PPTP (Point to Point Tunneling Protocol),
chuyển tiếp lớp 2 – L2F (Layer 2 Forwarding) hoặc giao thức định đường hầm lớp 2
– L2TP (Layer 2 Tunneling Protocol). Các mạng VPN nội bộ và mở rộng dành
riêng có thể sử dụng những công nghệ như bảo mật IP – Ipsec (IP security) hoặc bọc
gói định tuyến chung GRE (Generic Route Encapsulation) để tạo nên các đường
hầm ảo thường trực.


Đồ án tốt nghiệp chun ngành Mạng máy tính

Hình 1-3 Đường hầm trong VPN
1.3.3 Mã hóa
Mã hóa (encryption) là tính năng tùy chọn nó cũng đóng góp vào đặc điểm
“riêng tư” của VPN. Chỉ nên sử dụng mã hóa cho những dịng dữ liệu quan trọng
đặc biệt, cịn bình thường thì khơng cần vì việc mã hóa có thể ảnh hưởng xấu đến
tốc độ, tăng gánh nặng cho bộ xử lý.
1.4 Sơ lược về các giao thức dùng cho VPN
Hiện nay có 3 giao thức chính dùng để xây dựng VPN là:
1.4.1 Giao thức đường hầm điểm- điểm PPTP

Hình 1-4 Giao thức PPTP
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point-toPoint Tunneling Protocol) được cung cấp như một phần của các dịch vụ truy cập
từ xa RAS (Remote Access Servicess) sử dụng cách mã hóa sẵn có, xác thực



Đồ án tốt nghiệp chuyên ngành Mạng máy tính

người dùng và cơ sở cấu hình của giao thức điểm – điểm PPP (Point-to-Point
Protocol) để thiết lập các khóa mã
1.4.2 Giao thức đường hầm lớp 2- L2TP

Hình 1-5 Giao thức L2TP
Đây là giao thức chuẩn của IETF (Internet Enginneerring Task Force) sử
dụng kĩ thuật khóa cơng cộng (public key technology) để thực hiện việc xác thực
người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng
hơn so với PPTP. Một điểm đáng lưu ý là L2TP (Layer 2 Tunneling Protocol) không
thể sử dụng để thực hiện việc mã hóa.
1.4.3 Giao thức bảo mật IPsec

Hình 1-6 Giao thức IPSec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hóa. Lợi điểm
lớn nhất của Ipsec (IP security) là giao thức này có thể được sử dụng để thiết lập
một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể
sử dụng và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà
không phải là các người sử dụng.
Để xây dựng một VPN bảo mật, chúng ta có thể dùng 2 cách sau:


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

Cách 1: Có thể dùng PPTP một cách độc lập vì bản thân PPTP có thể cung cấp một
VPN bảo mật. Dùng cách này ta sẽ giảm thiểu được chi phí và việc quản lý sẽ ít
phức tạp.

Cách 2: Kết hợp giữa L2TP và IPSec để cung cấp một VPN bảo mật, cách này thích
hợp cho những cơng ty địi hỏi tính bảo mật mạng cao, mặc dù phương pháp này sẽ
gây tốn kém và việc quản lý mạng sẽ có độ phức tạp hơn so với cách trên.
1.5 Ưu điểm của VPN
1.5.1 Ưu điểm
- Bảo mật: VPN mã hóa tất cả dữ liệu trên đường hầm VPN.
- Tiết kiệm chi phí: Sự xuất hiện của VPN đã làm cho những cuộc quay số
đường dài tốn kém hay đường dây thuê bao khơng cịn cần thiết nữa đối với
những tổ chức sử dụng VPN”đóng gói” dữ liệu 1 cách an tồn qua mạng
internet.
- Nhanh chóng: những tổ chức có văn phịng chi nhánh hay những người làm
việc từ xa có thể truy cập dữ liệu của văn phịng cơng ty chính từ bất kì địa
điểm nào trên thế giới mà khơng phải tốn kém nhiều bằng cách kết nối vào
mạng internet thông qua nhà cung cấp dịch vụ địa phương.
- Có nhiều lý do cho việc thiết lập VPN cho việc truy xuất từ xa, nhưng đặc
biệt hấp dẫn nhất tới những người quan tâm là khả năng tiết kiệm giá thành.
- Trong những tổ chức lớn, điều này gây ra một sự khác biệt lớn về giá thành.
Khi một tổ chức đưa cơng ty lên mạng của mình, số lượng đường truyền thuê
sẽ tăng theo số mũ. Trong mạng WAN truyền thống, điều này có thể giới hạn
tính linh hoạt cho sự phát triển, VPN thì khơng.
- Sử dụng VPN, các khách hàng nhận được sự thiết lập kết nối Internet tốc độ
cao và thiết lập cấu hình trong thời gian ngắn hơn những dịch vụ tương tự.
- Số lượng kết nối đồng thời lớn.
- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền
internet mà bạn sử dụng.
1.5.2 Nhược điểm
- Yêu cầu về chuẩn: cả hai đầu đường hầm phải dùng cùng một thiết bị để đảm
bảo khả năng liên vận hành (interoperability).
- Khó thiết lập và quản trị: những máy client từ xa cần được cấu hình với
những thơng số bảo mật đúng. Thêm vào đó, những đường hầm bảo mật giữa

client và đường hầm phải được tích hợp với firewall (firewall hỗ trợ NAT).
VPN không dễ dàng vận hành cùng với những thiết bị NAT vì NAT sử dụng
địa chỉ IP riêng mà thiết bị của VPN không nhận ra.


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

-

Mọi giao thơng qua VPN điều được mã hóa bất chấp nhu cầu có cần mã hóa
hay khơng. Việc này có chiều hướng gây nên tắt nghẽn cổ chai.
Không cung cấp sự bảo vệ bên trong mạng – VPN kết thúc ở đầu mạng.
Một khi nhân viên đã vào bên trong mạng, dữ liệu khơng cịn được mã hóa
nữa. Hơn nữa, các VPN khơng thể giới hạn nhân viên thốt khỏi sự truy cập
thoải mái bất kì server nào trên mạng nội bộ.

1.6 Các mơ hình VPN

Hình 1-7 Các mơ hình VPN
Mơ hình client -Server
Các VPN này cung cấp truy cập tin cậy cho những người dùng đầu xa như
các nhân viên di động, các nhân viên ở xa và các văn phịng chi nhánh thuộc
mạng lưới của cơng ty.
Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm
VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN
concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được
gọi là Client/Server. Trong giải pháp này, người dùng thường sử dụng các công
nghệ WAN truyền thống để tạo lại các Tunnel về trung tâm của họ, việc cấu hình
cũng như xác thực gần như trong suốt với người dùng, họ đơn giản chỉ cần cung



Đồ án tốt nghiệp chun ngành Mạng máy tính

cấp thơng tin xác thực thông qua phần mềm Client để máy chủ tiến hành việc
chứng thực User nên còn được gọi là Easy VPN (Theo Cisco).

Hình 1-8 Mơ hình Remote Access VPN qua Internet
Thuận lợi chính của Remote Access VPN
- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
- Sự cần thiết hỗ trợ cho người dùng cá nhân được giảm thiểu bởi vì kết nối từ
xa đã được tạo điều kiện thuận lợi bởi ISP.
- Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết
nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
- Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
- Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so
với kết nối trực tiếp đến những khoảng cách xa.
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch
vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết
nối đồng thời đến mạng
Hạn chế của Remote Access VPN
- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

-

-

Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ

liệu có thể đi ra ngồi và bị thất thoát.
Do độ phức tạp của thuật toán mã hố, protocol overhead tăng đáng kể,
điều này gây khó khăn cho q trình xác nhận. Thêm vào đó, việc nén dữ
liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thơng, phim ảnh, âm thanh sẽ rất chậm.
Mặc định, người dùng Remote Access VPN khi kết nối tới VPN Server sẽ
không thể đi ra Internet trực tiếp từ máy của mình. Tất cả các gói tin đều
sẽ được mã hóa đi trong Tunnel tới VPN Server, và nếu VPN Server cho
phép gói tin này thì mới ra được Internet. Tuy nhiên, Cisco đã cung cấp
cho người dùng công nghệ Split Tunneling để cải thiện việc này. Bản chất
của Split Tunneling là tạo ra một ACL trong đó định nghĩa ra lớp mạng
nào sẽ được bảo vệ bằng đường hầm IPSec, những gói tin mang địa chỉ
nguồn, đích khác với ACL này được hiểu là khơng mã hóa và khơng đưa
vào Tunnel.

Hoạt động của Remote Access VPN
Tại server: Router server được cấu hình một dải địa chỉ để cấp xuống cho
Remote user khi có yêu cầu, đồng thời các chính sách bảo mật, xác thực người
dùng có thể được sử dụng trên ngay Router server bằng cách tạo ra các username
và password trực tiếp. Chuyên dụng hơn, với những VPN lớn số người dùng truy
cập có thể lên tới hàng ngàn, ngươi ta đưa việc xác thực người dùng này cho một
bên thứ ba có thể là máy chủ Terminal Access Controller Access Control Service
(TACACS), Remote Access Dial-In
User Service (RADIUS), hay dùng một server chứng thực đơn giản như
AAA. Router Server sẽ trỏ đến các server chứng thực này đề lấy thông tin.
Tại Remote User: Người dùng sử dụng phần mềm quay số VPN đến
Server nhập username và password nếu có sẵn trên server VPN hay gửi yêu cầu
cung cấp chứng thực người dùng tới các server chứng thực nói trên, sau khi
Remote user được cung cấp chứng thực, Remote user sẽ dùng nó kết nối tới

Server VPN, lúc này Server VPN đẩy cấu hình VPN cho User cấp địa chỉ IP theo
dải thiết lập của nó để thực hiện kết nối VPN.
Các bước thiết lập đường hầm Remote Access VPN:
Bước 1:
-

Chia sẻ key, hoạt động ở mức tích cực
Sử dụng chứng chỉ số, tiến hành chính thức


Đồ án tốt nghiệp chun ngành Mạng máy tính

Hình 1-9 Bước 1 trong thiết lập đường hầm
Bước 2:
-

VPN client nỗ lực để thiết lập một SA giữa những địa chỉ IP bằng cách
gửi nhiều ISAKMP đến Easy VPN Server
Để giảm cấu hình bằng tay tại máy VPN Client ,có sự kết hợp giữa
ISAKMP với một số điều sau đây :
Các thuật tốn mã hóa và hàm băm
Phương pháp xác thực
Diffie-Hellman

Hình 1-1-10 Bước 2 trong thiết lập đường hầm
Bước 3
-

Easy VPN Server tìm kiếm cho phù hợp :
Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được chấp nhận

Xét đề nghị an tồn nhất là ln ln được liệt kê trên cùng một danh sách
cùa Easy VPN Server
Các SA ISAKMP thiết lập thành công
Thiết bị kết thúc xác thực và bắt đầu xác thực user


Đồ án tốt nghiệp chun ngành Mạng máy tính

Hình 1-11 Bước 3 trong thiết lập đường hầm
Bước 4:

-

Nếu Easy VPN Server cấu hình cho Xauth , VPN Client chờ đợi cách thức
cho Username / Password :
Người dùng nhập vào Username / Password
Thông tin User/ Pass được đối tượng kiểm tra và xác thực bằng AAA
Tất cả Easy VPN Server được cấu hình để thực thi xác thực User

Bước 5:

-

Nếu Easy VPN cho biết xác thực thành công , VPN Client sẽ yêu cầu
những tham số còn lại từ Easy VPN Server : Khởi động chế độ cấu hình
Các thơng số hệ thống còn lại ( địa chỉ IP , DNS, Tunnel ….) được tải về
cho VPN Client
Nhớ rằng địa chỉ IP chỉ cần thiết cho 1 nhóm, cịn các thơng số khác là tùy
chọn


Bước 6:

-

RRI nên được sử dụng khi các điều kiện sau xảy ra :
Nhiều hơn một máy VPN Server
Địa chỉ IP tĩnh được sử dụng với một số Client
RRI đảm bảo việc tạo ra Static Router
Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các máy chủ
tìm thấy Easy
VPN Server thích hợp cho việc kết nối với Client


Đồ án tốt nghiệp chun ngành Mạng máy tính

Hình 1-12 Bước 6 trong thiết lập đường hầm
Bước 7:
-

Sau khi các thơng số được cấu hình đã được cơng nhận bởi VPN Client IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập IPSec
SA - Sau khi thành lập IPSec SA kết nối VPN đã hồn tất .

1.7 Mơ hình VPN nội bộ
Intranet VPN được sử dụng để kết nối các chi nhánh văn phịng đến trụ sở
chính của tổ chức thông qua hệ thống các Router trong mạng WAN của tổ chức đó.
Việc thiết lập Intranet VPN này rất tốn kém vì phải sử dụng các Router riêng để
hình thành mạng WAN, đồng thời việc quản lí và bảo trì sẽ phức tạp tùy thuộc vào
lượng lưu thơng trên mạng và phạm vi địa lý của cả tổ chức, cách dùng mạng WAN
này thường áp dụng cho các tổ chức có ít chi nhánh và nằm trong những khu vực
địa lí nhỏ hẹp liền kế nhau


Hình 1-13Intranet VPN dùng trong mạng nội bộ


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

Để tiết kiệm được chi phí đáng kể khi sử dụng Intranet VPN người ta
thường sử dụng các mạng công cộng Internet thể thiết lập kết nối giữa các chi
nhánh với nhau, điều này cũng mang đến thuận lợi trong việc quản lí và bảo trì,
thay vì dùng WAN, người ta sử dụng Internet, do đó có sự tham gia quản lí và bảo
trì của các ISP, chưa kể đến việc backup VPN cũng dễ dàng hơn nhiều, thay vì phải
đầu tư các Router phục vụ backup, các tổ chức chỉ cần đăng kí vào Internet qua một
ISP khác. Ngồi ra, Internet cũng xóa bỏ tối đa ảnh hưởng của địa lý đến các kết nối
VPN so với WAN
Tuy nhiên, như vậy khơng có nghĩa là sử dụng mạng Internet khơng bộc lộ những
điểm yếu nhất định. Vì dữ liệu truyền đi vẫn trong Tunnel nhưng là của một mạng
công cộng, sẽ không tránh khỏi những cuộc tấn công của các Hacker, tiêu biểu là
tấn công từ chối dịch vụ DoS (Deny of Service). Mặt khác, đối với một số dữ liệu
Multimedia như các tín hiệu hình ảnh, âm thanh khi truyền qua đường Internet sẽ
rất chậm chạp trong khi đó, Internet lại là một mơi trường kết nối ít được đảm bảo
về QoS cũng như việc mất gói dữ liệu rất dễ xảy ra.
Mơ hình VPN mở rộng

Hình 1-14 Extranet VPN
Khơng giống như Intranet, Extranet cho phép truy xuất tài nguyên mạng cần
thiết của các đối tác kinh doanh như khách hàng, nhà cung cấp, đối tác giữ vai trò
quan trọng trong tổ chức. Thực chất Extranet là một sự mở rộng của Intranet, khi đó
bao gồm rất nhiều Intranet kết hợp với nhau giữa các tổ chức có mối liên kết nhất
định. Cũng như ở trên, sự kết nối này là khác phức tạp và tốn kém. Extranet là một
mạng rất dễ mở rộng. Nhưng việc mở rộng này cũng là một vấn đề lớn, nó có thể

ảnh hưởng đến các kết nối trong toàn mạng, làm rối tung các Intranet hiện có, thêm
một Intranet VPN vào Extranet cần có sự đồng thuận của tất cả các Intranet còn lại.


Đồ án tốt nghiệp chun ngành Mạng máy tính

Có nhiều vấn đề đột biến xảy ra khi thêm vào một mạng Intranet. Do đó, Extranet
dễ mở rộng về phương diện một tổ chức có quan hệ rộng và lâu dài, nhưng đôi khi
cũng là ác mộng đối với những kỹ sư thiết kế và quản trị VPN.
Hiện nay các Extranet cũng sử dụng mạng Internet để giảm đi các bất lợi trên.
Extranet VPN là một mạng rất khó quản lí, vì vậy chi phí th đội quản lí cũng sẽ
giảm nếu có sự tham gia trung chuyển của các ISP. Các mối đe dọa xâm nhập trên
Extranet có mức độ cao hơn trên Intranet vì độ lớn và phức tạp của nó.


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

CHƯƠNG 2
BẢO MẬT HỆ THỐNG VPN
2.1 Các giao thức hoạt động trên hệ thống VPN
2.1.1 Giao thức IPSec
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao
thức IPSec. Họ giao thức IPSec đầu tiên, cho xác thực, mã hóa các gói dữ liệu IP,
được chuẩn hóa thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giáo thức
này mô tả kiến trúc cơ bản của IPSec bao gồm 2 loại tiêu đề được sử dụng trong
gói IP. Gói IP là đơn vị dữ liệu cơ sở trong mang IP. IPSec định nghĩa 2 loại tiêu
đề cho các gói IP để điều khiển quá trình xác thực và mã hóa: một là xác thực
tiêu đề IP-AH (IP Authentication Header) điều khiển việc xác thực và hai là bọc
gói bảo mật tải ESP (Encapsulation Security Payload) cho mục đích mã hóa.


Hình 2-1Giao thức IPSec
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp IPv6, nhưng do
việc chấp nhận IPv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec
đã được thay đổi cho phù hợp vói IPv4 nhưng đối với IPv6 thì có sẵn IPSec.
2.1.2 Dạng giao thức của IPSec
Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính đó là:
-

Kết hợp bảo mật SA (Security Association).
Xác thực tiêu đề AH (Authentication Header).
Bọc gói bảo mật tải ESP (Encapsulation Security Payload). - Chế độ là việc.


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

Kết hợp bảo mật SA
Để 2 bên có thể truyền dữ liệu đã được bảo mật ( dữ liệu đã được xác thực hoặc
được mã hóa hoặc cả hai) cả 2 bên phải cùng thống nhất giải thuật mã hóa, làm cách
nào để chuyển khóa và chuyển khóa nếu như cần. Cả 2 bên cũng cần phải thoãi
thuận bao lâu thì sẽ thay đổi khóa một lần. Tất cả các thoãi thuận trên là do SA đảm
trách. Việc truyền thông giữa bên gửi và bên nhận địi hỏi ít nhất 1 SA và có thể địi
hỏi nhiều hơn vì mỗi giao thức địi hỏi phải có 1 SA cho riêng nó. Do đó một gói
được xác thực địi hỏi 1 SA, một gói được mã hóa yêu cầu phải có 1 SA. Thậm chí
nếu cùng dùng chung một giải thuật cho xác thực và mã hóa thì cũng cần phải có 2
SA khac nhau do sử dụng những bộ khóa khác nhau.

Hình 2-2 IPSec SA
Một IPSec SA mô tả các vấn đề sau
-


Giải thuật xác thực sử dụng cho AH và khóa của nó.
Giải thuật mã hóa ESP và khóa của nó.
Dạng thức và kích thước của bộ mật mã sử dụng trong giải thuật mã hóa.
Giao thức, giải thuật, khóa sử dụng cho việc truyền thơng.
Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thơng riêng.
Bao lâu thì khóa được thay đổi.
Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sử
dụng bởi giải thuật đó.


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

- Thời gian sống của khóa.
- Thời gian sống của SA.
- Địa chỉ nguồn SA.
Có thể xem SA như một kênh bảo mật thông qua một mạng công cộng đến một
người hay một nhóm làm việc cụ thể
Xác thực tiêu đề AH
Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử
dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung
phía sau, khơng làm thay đổi nội dung gói dữ liệu.
Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter
Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).
Hai khái niệm mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói biết
họ giao thức bảo mật mà phía gởi dùng trong truyền thơng, hai là dữ liệu xác
thực mạng thơng tin về giải thuật mã hóa được định nghĩa bởi SPI.
0

7

Next

8

Header

15
Payload length

16

23

24

31

RESERVED

Security Parameter Index (SPI)
Sequence Number
Authentication data

Hình 2-3 Cấu trúc gói tin AH
HMAC kết hợp với MD5, HMAC kết hợp với SHA-l lả giải thuật mã hóa
được chọn làm những phương thức mặc định cho việc tính toán tổng kiểm tra
(checksum). Các mặc định này là kết quả của những thay đổi IPSec để cải thiện
cơ chế xác thực bởi vì mặc định trước đó MD5 được phát hiện là không tránh
được các tấn công đụng độ.
Thủ tục sử dụng cho các phương thức này (HMAC-MD5 hay HMAC-SHAl) giống nhau. Tuy nhiên SHA-l có chức năng băm hơn MD5. Trong cả 2 trường

hợp, giải thuật hoạt động trên những khối dữ liệu 64 byte. Phương thức HMACMD5 sinh ra bộ xác thực 128 bit trong khi HMAC-SHA-l sinh ra bộ xác thực


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

160 bit. Bởi vì chiều dài mặc định của xác thực được định nghĩa trong AH chỉ
có 96 bit nên các giá trị thực sinh ra phải được chia nhỏ trước khi lưu vào trong
trường xác thực của AH.
Khi nhận gói dữ liệu, đầu nhận sẽ tính tốn giá trị bộ xác thực của riêng nó là
128 bit hay 160 bit (tùy theo là sử dụng loại nào), chia nhỏ nó ra tùy theo chiều dài
được chỉ định trong trường hợp xác thực và so sánh giá trị của nó với giá trị xác
thực nhận được. Khi mà cả 2 giống nhau thì dữ liệu khơng bị thay đổi trên đường
truyền. Do có thể có cuộc tấn cơng bằng cách chặn một loại các gói và sau đó phát
lại chúng vào thời điểm sau nên AH cung cấp dịch vụ chống phát lại để ngăn chặn
các tấn công dựa trên cách thức trên.
Bọc gói bảo mật tải ESP
Bọc gói bảo mật tải (Encapsulating Security Payload) được sử dụng cho việc
mã hóa dữ liệu. Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề
IP và nội dung tiếp theo của gói. Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu nên
nội dung của gói sẽ bị thay đổi.
Giống như tiêu đề AH, ESP gồm có SPI để chỉ cho bên nhận biết cơ chế bảo
mật thích hợp cho việc sử lý gói. Số tuần tự trong tieu đề ESP là bộ điếm sẽ tăng
mỗi khi một gói được gới đến cùng một địa chỉ và sử dụng cùng SPI.
Security Parameter Index (SPI)
Sequence Number

Payload data
Padding
Pad Length


Next Header

Authentication data
Hình 2-4 Cấu trúc gói tin ESP
ESP có thể hỗ trợ bất kì giao thức mã hóa nào. Người dùng có thể dùng
những giao thức khác nhau cho mỗi kết nối truyền thông. Tuy nhien IPSec quy


Đồ án tốt nghiệp chuyên ngành Mạng máy tính

định mật mã DESCBC (DES with Cipher Block Chaining) là giá trị mặc định để
đảm bảo tính hoạt động liên mạng.
Sử dụng ESP yêu cầu khóa DES 56 bit. Để sử dụng một chuỗi các từ mã,
một vector 64 bit được khởi động và dữ liệu được xử lý theo từng khối 64 bit.
ESP cũng có thể sử dụng cho mục đích xác thực. Trường xác thực ESP, một
trường tùy chọn trong tiêu đề ESP, bao gồm một kiểm tra tổng mã hóa. Độ dài
của tổng kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng.
Chế độ làm việc
Có 2 chế độ làm việc trong IPSec:
-

Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói là
được xử lý.

Chế độ giao vận sử dụng cho cả cổng nối và host, cung cấp cơ chế giao
thức bảo mật cho các lớp trên. Trong chế độ giao vận, AH được chèn vào sau
tiêu đề IP và trước giao thức lớp trên (TCP, UDP hay ICMP) hoặc trước bất kì
tiêu đề IPSec đã được chèn vào trước đó.
Chế độ đường hầm (Tunnel mode): tồn bộ gói sẽ được xử lý cho mã hóa
xác thực.


Hình 2-5 Chế độ đường hầm
Trong chế độ đường hầm tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích,
trong khi bộ xuất tiêu đề IP chứa các địa chỉ khác (chẳng hạn như địa chỉ của
cổng nối). AH bảo mật tồn bộ gói IP bao gồm cả bộ nhập tiêu đề IP.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×