Tải bản đầy đủ (.docx) (9 trang)

MÔ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (395.5 KB, 9 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC NHA TRANG
KHOA CƠNG NGHỆ THƠNG TIN

CHỦ ĐỀ 10
MƠ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC
TRONG VPN

Giảng viên: Cấn Thị Phượng
Thành viên nhóm: Nguyễn Ngọc Hồng Hân
Nguyễn Mai Diễm Hương
Lê Lâm Nhàn
Nguyễn Anh Tuấn
Phạm Đan Trường


I.

VPN

1. Tổng quan
Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi
thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên
bức thiết vì vậy Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối
Internet thơng qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử
dụng một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải
quyết là năng lực truyền thông của mạng viễn thông công cộng. Với Internet,
những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến…
đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi tồn cầu và khơng tổ chức
hay chính phủ nào có thể quản lý , cho nên việc đảm bảo an toàn và bảo mật dữ
liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó các


nhà khoa học đã nghiên cứu và đưa ra một mơ hình mạng mới, nhằm đáp ứng
được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mơ
hình mạng riêng ảo (VPN – Virtual Private Network ). Với mơ hình này, chúng
ta khơng phải đầu tư thêm quá nhiều trang thiết bị , cơ sở hạ tầng mà vẫn đảm
bảo các tính năng như bảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt
động của mạng này. VPN cho phép người sử dụng làm việc tại nhà riêng, trên
đường đi hay các văn phịng chi nhánh có thể kết nối an tồn đến máy chủ của
tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng cơng cộng. Nó đảm
bảo an tồn thơng tin giữa các tổ chức, cơng ty hoặc chi nhánh, văn phòng,
người cung cấp hay các đối tác kinh doanh trong môi trường truyền thông rộng
lớn. Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng
công cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.
2. Khái niệm
VPN là mạng riêng ảo(Virtual Private Network), là một cơng nghệ mạng
giúp tạo kết nối mạng an tồn khi tham gia vào mạng công cộng như Internet
hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ
sở giáo dục và cơ quan chính phủ sử dụng cơng nghệ VPN để cho phép người
dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình.
Mạng riêng ảo được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ
tầng mạng cơng cộng với các chính sách quản lý và bảo mật giống như mạng
cục bộ.


Mơhạn
hìnhchế
mạng
3. Các tính năng, ưuHình
điểm1 và
củariêng
mạngảoriêng ảo

a. Các tính năng của mạng riêng ảo
Mạng riêng ảo hỗ trợ các tính năng sau: tính xác thực, tính tồn vẹn và
tính bảo mật.
-

Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía
phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thơng tin
với người mình mong muốn chứ khơng phải là một người khác.

-

Tính tồn vẹn: Đảm bảo dữ liệu khơng bị thay đổi hay đảm bảo khơng
có bất kỳ sự xáo trộn nào trong q trình truyền và trao đổi dữ liệu.

-

Tính bảo mật: Người gửi có thể mã hố các gói dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Vì như vậy
khơng ai có thể đọc được thơng tin khi cố tình xâm nhập và bắt gói tin.

b. Ưu điểm của mạng riêng ảo
Mạng riêng ảo mang lại lợi ích thực sự cho các doanh nghiệp. Mạng
riêng ảo không chỉ để đơn giản hố việc thơng tin giữa các nhân viên làm
việc ở xa, người dùng di động, mở rộng đến từng văn phịng, chi nhánh….
Những lợi ích thực sự mà mạng riêng ảo mang lại như: Tính tiết kiệm chi
phí, tính mềm dẻo, khả năng mở rộng cùng nhiều ưu điểm khác.
-

Tiết kiệm chi phí: VPN có thể giúp các doanh nghiệp tiết kiệm từ 50% 70% chi phí đầu tư vào các kết nối leased line và remote access truyền
thống, giảm đáng kể các chi phí đầu tư cho hạ tầng truyền thơng và chi

phí hàng tháng đối với các kết nối site to site.


-

Tính linh hoạt: Tính linh hoạt ở đây khơng chỉ là linh hoạt trong quá
trình vận hành và khai thác mà nó cịn thực sự mềm dẻo đối với u cầu
sử dụng. Khách hàng có thể sử dụng kết hợp với các cơng nghệ sẵn có và
cơ sở hạ tầng mạng của doanh nghiệp trước đó.

-

Khả năng mở rộng: Mạng VPN được xây dựng dựa trên cơ sở hạ tầng
mạng cơng cộng. Vì thế với bất kỳ doanh nghiệp nào có nhiều chi nhánh
ở xa nhau mà muốn kết nối với nhau sử dụng cơng nghệ mạng riêng ảo
thì điều cần và đủ là các chi nhánh được kết nối tới mạng Internet.

-

Tính bảo mật: Mạng riêng ảo cung cấp chế độ bảo mật cao nhất nhờ các
cơ chế mã hóa trên nền tảng mạng riêng ảo (mã hóa, xác nhận truy cập và
bảo mật hệ thống). Quản lý các kết nối dễ dạng thông qua tên và mật
khẩu truy cập vào hệ thống mạng riêng ảo trong mạng nội bộ.

c. Hạn chế của mạng riêng ảo
Mặc dù phổ biến nhưng mạng riêng ảo (VPN) khơng hẳn là hồn hảo và
hạn chế thì ln ln tồn tại trọng bất kì hệ thống mạng nào. Một số hạn chế
cần lưu ý khi triển khai hệ thống VPN:
-


VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài
đặt phải cẩn thận, chính xác đảm bảo tính an tồn trên hệ thống mạng Internet
cơng cộng.

-

Độ tin cậy và hiệu xuất của một VPN dựa trên Internet khơng phải là dưới sự
kiểm sốt trực tiếp của cơng ty , vì vậy giải pháp thay thế là hãy sử dụng một
nhà cung cấp dịch vụ (ISP) tốt và chất lượng.

-

Vấn đề bảo mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối
với hệ thống văn phịng bằng máy tính xách tay, máy tính riêng, khi đó nếu
máy tính của họ thực hiện hàng loạt các ứng dụng khác, ngoài việc kết nối tới
văn phịng làm việc thì hacker (kẻ tấn cơng, tin tặc) có thể lợi dụng yếu điểm từ
máy tính cá nhân của họ tấn công vào hệ thống của cơng ty. Vì vậy việc bảo
mật cá nhân ln được các chuyên gia khuyến cáo phải đảm bảo an toàn.

4. Một số loại mạng riêng ảo
Dựa vào cộng nghệ hoặc dựa vào mơ hình, cấu trúc của từng tổ chức mà có
thể phân loại mạng riêng ảo thành các loại khác nhau. Và nếu dựa vào kiến trúc
của doanh nghiệp chúng ta có thể phân loại mạng riêng ảo thành ba loại sau:
-

Mạng riêng ảo truy nhập từ xa (Remote Access VPN)


-


Mạng riêng ảo cục bộ (Intranet VPN)

-

Mạng riêng ảo mở rộng (Extranet VPN)

II.

Bảo mật trong mạng riêng ảo

1. Khái niệm bảo mật
a. Thế nào là bảo mật thông tin
Thông tin là một loại tài sản cũng giống như các tài sản khác của một doanh
nghiệp. Thơng tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì
vậy thơng tin cần phải được bảo vệ thích hợp. Bảo vệ thơng tin khỏi sự “mất
cắp” cũng chính là bảo vệ sự phát triển liên tục và bền vững của doanh nghiệp.
Đảm bảo cho doanh nghiệp tối thiểu hóa đƣợc các thiệt hại khi có rủi ro xẩy ra,
đồng thời tối đa được các lợi nhuận thu đƣợc từ các hoạt động kinh doanh.
Thơng tin có thể được lưu trữ ở dưới nhiều dạng khác nhau như in viết trên
giấy, trên ổ cứng máy vi tính, trên film hoặc thông qua các cuộc đàm thoại,…
Bất kể thông tin tồn tại dưới dạng nào, khi thông tin được lưu trữ , được chia sẻ
thì chúng phải được bảo mật một cách phù hợp.
b. Bảo mật thông tin nhằm mục đích
-

Thơng tin tin cậy: Đảm bảo thơng tin chỉ được truy xuất bởi những người
có chức năng.

-


Thơng tin trung thực: Đảm bảo các phương pháp xử lý thơng tin chính
xác, an tồn và trọn vẹn.

-

Thơng tin sẵn sàn: Đảm bảo những người có chức năng có thể truy cập
thơng tin mọi lúc, mọi nơi khi có yêu cầu.
c. Tại sao cần bảo mật thông tin

Thông tin cũng giống như các tài sản khác như hệ thống máy tính, thiết bị
sản xuất, văn phòng, nhà xưởng,… là những tài sản quan trọng của doanh
nghiệp. Thông tin trung thực, tin cậy và sẵn sàn là những yếu tố cần thiết để duy
trì khả năng cạnh tranh, khả năng thu lợi nhuận, khả năng xử lý tình huống bất
ngờ trong doanh nghiệp. Thơng tin có thể bị mất cấp từ nhiều nguyên nhân khác
nhau như: hệ thống máy tính bị hư, động đất, lũ lụt, sống thần, tình báo cơng
nghiệp,…Bên cạnh đó cịn có những nguyên nhân khác như : hệ thống máy tính
bị virus tấn cơng, bị hacker tấn cơng.


2. Giao thức IPSec
a. Khái niệm
IPSec (Internet Protocol Security) là một giao thức được IETF phát triển.
IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ
bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập hợp
các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mơ
hình OSI đều độc lập trên tầng mạng khi định tuyến dữ liệu từ nguồn đến đích.
Bởi vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể dùng
các dịch vụ kế thừa tính năng bảo mật mà khơng cần phải có sự thay đổi lớn lao
nào. Cũng giống IP, IPSec trong suốt với người dùng, người không cần quan

tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuổi các hoạt động.
Liên kết an ninh IPSec/IPSec Security Associations. Security Associations (SA)
là một khái niệm cơ bản của bộ giao thức IPSec. SA là một kết nối luận lý theo
một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec.
b. IPSec hỗ trợ 3 tính năng chính:
-

Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data
integrity): IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác
thực của người gửi và kiểm chứng bất kỳ sự sữa đổi khơng được bảo vệ
trước đó của nội dung gói dữ liệu bởi ngời nhận. Các giao thức IPSec đưa ra
khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và
từ chối dịch vụ.

-

Sự cẩn mật (Confidentiality): Các giao thức IPSec mã hóa dữ liệu bằng cách
sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy
cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa
chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe
lén.

-

Quản lý khóa (Key management): IPSec dùng một giao thức thứ ba, Internet
Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật tốn
mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec
phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi đợc yêu
cầu.


3. Các chế độ đóng gói dữ liệu IP của IPSec


Giao thức ESP và giao thức AH là hai giao thức chính trong việc mã hố và
xác thực dữ liệu. ESP sử dụng IP Protocol number là 50 (ESP được đóng gói
bởi giao thức IP và trường protocol trong IP là 50). AH sử dụng IP Protocol
number là 51 ( AH được đóng gói bởi giao thức IP và trường protocol trong IP
là 51).
Bộ giao thức IPSec hoạt động trên 2 chế độ chính : chế độ truyền tải
(Transports Mode ) và chế độ Tunnel (Tunnel Mode). Khi giao thức IPSec hoạt
động ở Tunnel Mode thì sau khi đóng gói dữ liệu, giao thức ESP mã hố tồn
bộ Payload, frame Header, IP Header thì nó sẽ thêm một IP Header mới vào gói
tin trước khi forward đi. Khi giao thức IPSec hoạt động ở Transport Mode thì IP
Header vẫn được giữ nguyên và lúc này giao thức ESP sẽ chèn vào giữa
Payload và IP Header của gói tin.
-

Chế độ giao vận: Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới
được mã hóa hoặc chứng thực. IP header khơng bị chỉnh sửa hay mã hóa,
nhưng khi chế độ Authentication header của IPSec được sử dụng thì địa chỉ
IP cũng sẽ được mã hóa bằng cách chia nhỏ thành các gói tin riêng rẽ và độc
lập (Hash). Các tầng giao vận và ứng dụng thường được bảo đảm bởi hàm
Hash, vì vậy chúng khơng thể bị sửa đổi theo bất kỳ cách nào.
AH- kiểu Transport

Original
Header

AH Header Payload
Authenticated


ESP- kiểu Transport

Original
Header

ESP
Header

Payload
Encrypted
Authenticated

Ở chế độ này, vấn đề an ninh được cung cấp bởi các giao thức từ lớp 4 trở
Hình 2 Gói tin IP ở chế độ giao vận
lên. Chế độ này bảo vệ phần tải tin của gói nhưng vẫn để phần IP header ban
đầu ở dạng bản rõ. Địa chỉ IP ban đầu được sử dụng để định tuyến gói tin qua
Internet.

Chế độ giao vận chỉ thêm vào gói tin IP một lượng byte nhất định, vì thế
dung lượng tăng khơng đáng kể. Kiểu Transport có ưu điểm là chỉ thêm vào gói
IP ban đầu một số it byte. Nhưng tại chế độ này các thiết bị trong mạng có thể
phát hiện và đọc được IP địa chỉ nguồn và đích của gói tin và có thể thực hiện


một số xử lý (ví dụ như phân tích lưu lượng) dựa trên các thông tin của IP
header. Tuy nhiên nếu được mật mã bởi ESP các thiết bị trong mạng sẽ không
biết được dữ liệu cụ thể bên trong gói tin IP. Và theo khuyến cáo của IETF thì
chế độ truyền tải chỉ nên sử dụng khi các đầu cuối đều sử dụng cơng nghệ mã
hóa bảo mật là IPSec.

-

Chế độ Tunnel: Tồn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực. Sau
đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới. Chế độ
tunnel được sử dụng để tạo VPN phục vụ cho việc liên lạc giữa các mạng (ví
dụ như giữa các bộ định tuyến để liên kết các trang web), liên lạc giữa máy
chủ và mạng (ví dụ như truy cập người sử dụng từ xa), và giữa các máy chủ
(ví dụ như chat cá nhân).
AH- kiểu Tunnel

New HeaderAH HeaderOriginal Header

Payload

Authenticated

ESP- kiểu Tunnel

New HeaderESP Header
Original Header

Payload
Encrypted

Authenticated

Gói thức
tin IPESP:
ở kiểu
Trong trường hợp Hình

dùng 3giao
thìTunnel
giao thức này sẽ làm cơng việc
mã hóa (encryption), xác thực (authentication), bảo đảm tính tồn vẹn dữ liệu
( integrity protection). Sau khi đóng gói xong bằng ESP, mọi thơng tin và mã
hố và giải mã sẽ nằm trong ESP Header. Các thuật toán mã hoá sử dụng trong
giao thức như: DES, 3DES, AES, các thuật toán hash như: MD5 hoặc SHA-1.
Trong trường hợp dùng giao thức AH: thì AH chỉ làm cơng việc xác thực
(Authentication), và đảm bảo tính tồn vẹn dữ liệu. Giao thức AH khơng có tính
năng mã hố dữ liệu.

4. Các cơ chế làm việc của IPSec
Mục đích của IPSec là bảo vệ luồng dữ liệu truyền tải giữa các mạng LAN với
nhau và chúng ta có thể hiểu hơn về IPSec qua các bước dưới đây.
 Host A gửi lưu lượng cần bảo vệ tới hosr B

Hình 4: 5 bước hoạt động của IPSec


 Router A và B thỏa thuận một phiên trao đổi IKE Phase 1 – IKE
 Router A và B thỏa thuận một phiên trao đổi IKE Phase 2 – IKE
 Thông tin được truyền dẫn qua đường hầm IPSec
 Kết thúc đường hầm IPSec
Bước 1: Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các
thiết bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua
trường địa chỉ.
Bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch
vụ bảo mật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SA
(Security Associations)). Trong phase này, thiết lập một kênh truyền thơng an tồn
để tiến hành thoả thuận IPSec SA trong Phase 2.

Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập
các IPSec SA tương đương ở hai phía. Những thơng số an ninh này được sử dụng
để bảo vệ dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối. kết quả cuối cùng
của hai bước IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía.
Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa
trên cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA.
Bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc
do hết hạn.



×