Tải bản đầy đủ (.pdf) (67 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

TRIỂN KHAI MẠNG RIÊNG ẢO SỬ DỤNG LIBRESWAN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.38 MB, 67 trang )

ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ

NGHIÊN CỨU TÌM HIỂU TRIỂN KHAI MẠNG RIÊNG
ẢO SỬ DỤNG LIBRESWAN
Nguyen Thanh Long

Hà Nội - 2023


MỤC LỤC
LỜI CẢM ƠN ......................................................................................................... i
MỤC LỤC .............................................................................................................. i
DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT .................................................. iv
DANH MỤC HÌNH VẼ ........................................................................................ vi
LỜI NÓI ĐẦU ....................................................................................................... 1
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO ............................................ 2
1.1. Vấn đề an toàn mạng ....................................................................................... 2
1.2. Mạng riêng ảo ................................................................................................. 3
1.3. Những yêu cầu đối với mạng riêng ảo ............................................................. 4
1.3.1. Yêu cầu bảo mật ........................................................................................... 5
1.3.2. Yêu cầu tính sẵn sàng và tin cậy ................................................................... 6
1.3.3. Yêu cầu chất lượng dịch vụ .......................................................................... 7
1.3.4. Yêu cầu khả năng quản trị ............................................................................ 7
1.3.5. u cầu khả năng tương thích ...................................................................... 8
1.4. Mơ hình triển khai mạng riêng ảo .................................................................... 8
1.4.1. Site-to-Site VPN ........................................................................................... 9
1.4.2. Remote Access VPN .................................................................................. 12
1.5. Phương thức hoạt động của mạng riêng ảo .................................................... 12
KẾT LUẬN CHƯƠNG ........................................................................................ 16


CHƯƠNG 2: BẢO MẬT TRONG MẠNG RIÊNG ẢO SỬ DỤNG IPSEC ......... 17
2.1. Tổng quan về IPSec. ...................................................................................... 17
2.1.1. Mục đích của IPSec. ................................................................................... 18
2.2. Kiến trúc của IPSec ....................................................................................... 20
2.3. Các chế độ IPSec ........................................................................................... 20
2.3.1. Chế độ Transport ........................................................................................ 21
2.3.2. Chế độ Tunnel. ........................................................................................... 22
2.4. Các giao thức của IPSec. ............................................................................... 23
2.4.1. Giao thức xác thực tiêu đề (AH) ................................................................. 23
2.4.2. Giao thức đóng gói tải bảo mật(ESP).......................................................... 29
2.5. Hoạt động của IPSec-VPN. ........................................................................... 34
KẾT LUẬN CHƯƠNG ........................................................................................ 36
CHƯƠNG 3: TRIỂN KHAI MẠNG RIÊNG ẢO SỬ DỤNG BỘ PHẦN MỀM
i


LIBRESWAN ...................................................................................................... 37
3.1. Giới thiệu bộ phần mềm Libreswan ............................................................... 37
3.2. Triển khai hệ thống VPN-Site-To-Site sử dụng Libreswan ............................ 38
3.2.1. Mơ hình triển khai ...................................................................................... 38
3.2.2. Cài đặt và cấu hình cơ bản .......................................................................... 40
3.2.3. Cài đặt và cấu hình Libreswan .................................................................... 50
3.2.4. Kiểm tra hoạt động ..................................................................................... 54
3.3. Đánh giá an toàn và hướng phát triển tiếp theo. ............................................. 56
KẾT LUẬN CHƯƠNG ........................................................................................ 58
KẾT LUẬN .......................................................................................................... 59
TÀI LIỆU THAM KHẢO .................................................................................... 60

ii



DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT

Viết tắt

Từ đầy đủ

AAA

Authentication Authorization Accounting

AH

Authentication Header

ATM

Asynchronous Transfer Mode

DES

Data Encryption Standard

DOS

Disk Operating System

ESP

Encapsulating Security Payload


GRE

Generic Routing Protocol

IANA

Internet Assigned Numbers Authority

IBM

International Business Machines

ICV

Intergrity Check Value

IETF

Internet Engineering Task Force

IP

Internet Protocol

IPSec

Internet Protocol Security

IPX


Internetwork Packet exchange

ISP

Internet Service Provider

L2F

Layer 2 Forwarding

L2TP

Layer 2 Tunneling Protocol

LAN

Local Area Network

MD5

Message Digest 5

NAS

Network Access Server

NAT

Network Address Translation

iv


PPP

Point to Point Protocol

PPTP

Point to Point Tunneling Protocol

PSTN

Public Switched Telephone Network

QoS

Quality of Service

RAS

Remote Access Server

SA

Security Association

SHA-1

Secure Hash Algorithm-1


SLA

Service Level Agreement

SN

Sequence Number

TCP

Tranmition Control Protocol

UDP

User Datagram Protocol

VPN

Virtual Private Network

WAN

Wide area network

v


DANH MỤC HÌNH VẼ
Hình 1.1: Mơ hình VPN Site-to-Site ............................................................... 9

Hình 1.2: Intranet ......................................................................................... 10
Hình 1.3: Extranet ........................................................................................ 11
Hình 1.4: Mơ hình VPN Client-to-Site ......................................................... 12
Hình 1.5: VPN mạng – đến – mạng .............................................................. 14
Hình 1.6: VPN truy cập từ xa ....................................................................... 15
Hình 2.1: Kiến trúc của IPSEC ..................................................................... 20
Hình 2.2: IPSec-chế độ Transport ................................................................. 21
Hình 2.3: Khn dạng gói tin IPSec ............................................................. 25
Hình 2.4: Gói tin IP trước và sau khi xử lý AH trong chế độ transport ......... 26
Hình 2.5: Khn dạng gói tin AH trong chế độ Tunnel. ............................... 27
Hình 2.6: Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào ............ 29
Hình 2.7: Khn dạng ESP ........................................................................... 30
Hình 2.8: Gói ESP trong chế độ Transport.................................................... 31
Hình 2.9: Gói ESP trong chế độ Tunnel ........................................................ 32
Hình 2.10: Vị trí của IPSec trong mơ hình OSI ............................................. 34
Hình 3.1: Mơ hình cài đặt mơ phỏng VPN Site-to-site sử dụng Libreswan ... 38
Hình 3.2: Lựa chọn cài đặt window XP ........................................................ 41
Hình 3.3: Quá trình cài đặt window XP ........................................................ 41
Hình 3.4: Cài đặt Windows hồn thành ........................................................ 42
Hình 3.5: Chọn Install để tiếp tục cài đặt ...................................................... 43
Hình 3.6: Chọn Skip để tiếp tục mà khơng kiểm tra lại đĩa cài...................... 43
Hình 3.7: Chờ q trình cài đặt hồn thành ................................................... 44
Hình 3.8: Cài đặt CentOS 6.10 trên VMWare bên Left đã hoàn thành. ......... 44
Hình 3.9: Cài đặt CentOS 6.10 trên VMWare bên Right đã hồn thành. ....... 45
Hình 3.10: Địa chỉ IP của máy XP1-PC3 ...................................................... 45
Hình 3.11: Địa chỉ IP của máy XP1-PC4 ...................................................... 46
Hình 3.12: Máy XP1-PC3 nối VPN_Gateway_Left qua (Vmnet2) ............... 46
Hình 3.13: VPN_Gateway_Left nối máy XP1-PC3 qua (VMnet2) ............... 47
Hình 3.14: VPN_Gateway_Left nối với VPN_Gateway_Right qua (VMnet3)
.......................................................................................................................... 47

Hình 3.15: VPN_Gateway_Right nối với máy XP1-PC4 qua (VMnet3) ....... 48
vi


Hình 3.16: VPN_Gateway_Right nối với máy XP1-PC4 qua (VMnet4) ....... 48
Hình 3.17: Máy XP1-PC4 nối với VPN_Gateway_Right qua (VMnet4) ...... 49
Hình 3.18: Kiểm tra kết nối VPN_Gateway_Left đến VPN_Gateway_Right 49
Hình 3.19: Kiểm tra kết nối VPN_Gateway_Right đến VPN_Gateway_Left 50
Hình 3.20: Cài đặt Libreswan trên CentOS ................................................... 51
Hình 3.21: Tạo cặp khóa bên VPN_Gateway_Left ....................................... 52
Hình 3.22: Tạo cặp khóa bên VPN_Gateway_Right ..................................... 52
Hình 3.23: File cấu hình máy VPN_Gateway_Left ....................................... 53
Hình 3.24: File cấu hình máy VPN-Gateway -Right ..................................... 54
Hình 3.25: Kiểm tra kết nối từ máy XP1-PC3 đến máy XP1-PC4 ................ 55
Hình 3.26: Kiểm tra kết nối từ máy XP1-PC4 đến máy XP1-PC3 ................ 56

vii


LỜI NÓI ĐẦU

Ngày nay, Internet đã phát triển mạnh về mặt mơ hình cho đến cơng nghệ,
đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối
nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một
cách thuật tiện. Để làm được điều này người ta sử dụng các Router để kết nối các
LAN và WAN với nhau. Các máy tính kết nối vào Internet thơng qua nhà cung
cấp dịch vụ (ISP-Internet Service Provider). Tuy nhiên, do Internet có phạm vi
tồn cầu và khơng một tổ chức, chính phủ cụ thể nào quản lý các dịch vụ. Mặt
khác, khi mở rộng mạng đồng nghĩa với các rủi ro, các tấn cơng từ mạng cũng
trở nên dễ dàng hơn. Từ đó, con người đã nghiên cứu và đưa ra một mô hình

mạng nhằm có thể tận dụng lại những cơ sở hạ tầng hiện có Internet mà vẫn đảm
bảo tính riêng tư và an tồn, đó chính là mơ hình mạng riêng ảo (Virtual Private
Network -VPN). Với mơ hình mới này, người ta không phải đầu tư thêm nhiều
về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng
thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người
sử dụng làm việc tại nhà, trên đường đi hay các văn phịng chi nhánh có thể kết
nối an tồn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi
mạng cơng cộng. Nó có thể đảm bảo an tồn thơng tin giữa các vị trí địa lý khác
nhau của người sử dụng trong mơi trường truyền rộng lớn. Tuy nhiên, đặc tính
quyết định của VPN là có thể dùng mạng cơng cộng như Internet mà vẫn đảm
bảo tính riêng tư và tiết kiệm hơn nhiều.

1


CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1. Vấn đề an toàn mạng
Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thơng tin
đóng một vai trị hết sức quan trọng. Thơng tin chỉ có giá trị khi nó giữ được tính
chính xác, thơng tin chỉ có tính bảo mật khi chỉ có những người được phép nắm
giữ thơng tin biết được nó. Khi chưa có thông tin, hoặc việc sử dụng hệ thống
thông tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề
an tồn, bảo mật đơi khi bị xem thường. Nhưng một khi nhìn nhận tới mức độ
quan trọng của tính bền hệ thống và giá trị đích thực của thơng tin đang có thì
chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống thơng tin. Để
đảm bảo được tính an tồn và bảo mật cho một hệ thống cần phải có sự phối hợp
giữa các yếu tố phần cứng, phần mềm và con người.
Để thấy được tầm quan trọng của việc đảm bảo an ninh mạng ta tìm hiểu các
tác động của việc mất an ninh mạng và từ đó đưa ra các yếu tố cần bảo vệ:
 Tác hại của việc không đảm bảo an ninh mạng

− Làm tốn kém chi phí
− Tốn kém thời gian
− Ảnh hưởng đến tài nguyên hệ thống
− Ảnh hưởng danh dự, uy tín
− Mất cơ hội kinh doanh
 Các yếu tố cần bảo vệ
− Tài nguyên: Dữ liệu, con người, hệ thống, đường truyền…
− Danh tiếng của công ty
Sử dụng mạng mang lại cho con người rất nhiều lợi ích. Để tận dụng được
các lợi ích của mạng mang lại, con người tìm cách mở rộng mạng ra càng nhiều
nơi trên thế giới càng tốt. Tuy nhiên, sự mở rộng mạng bên cạnh việc mang lại
lợi ích thì những nguy cơ mất an tồn mà nó mang lại cũng nhiều hơn. Con
người cũng đã phát triển các giải pháp để bảo vệ an toàn hơn cho chính mình
trong những hồn cảnh như vậy. Trong các giải pháp đã được phát triển và đưa

2


vào sử dụng thì giải pháp mạng riêng ảo nổi lên như là một giải pháp có nhiều ưu
điểm. Phần tiếp sau đây sẽ giải thích rõ hơn về giải pháp này.
1.2. Mạng riêng ảo
Mạng riêng ảo có tên tiếng Anh là Virtual Private Network, viết tắt là VPN.
Sau đây ta thường gọi ngắn gọn theo tên viết tắt. Hiện nay có khá nhiều định
nghĩa khác nhau về mạng riêng ảo:
− Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như
Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng đề
truyền thông tin những vẫn đảm bảo là một mạng riêng và kiểm sốt được truy
nhập. Nói cách khác VPN được định nghĩa là liên kết của khách hàng được triển
khai trên một hạ tầng cơng cộng với các chính sách như là một mạng riêng. Hạ
tầng cơng cộng này có thể là một mạng IP, Frame Relay, ATM hay Internet.

− Theo tài liệu của IBM. VPN là sự mở rộng một mạng Internet riêng của một
doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn,
thực chất ra qua một mạng riêng. VPN truyền thông tin một cách an toàn qua
Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại
thành một mạng cơng ty mở rộng.
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng riêng qua một
mạng công cộng (như Internet ) mà vẫn đảm bảo sự bảo mật và hiệu quả kết nối
giữa hai điểm truyền thông cuối. Mạng riêng được mở rộng nhờ sự trợ giúp của
các “đường hầm”. Các đường hầm này cho phép các thực thể cuối trao đổi dữ
liệu theo cách tương tự như truyền thông điểm-điểm.
Việc kết nối các mạng máy tính của các doanh nghiệp lâu nay vẫn được thực
hiện trên các đường thuê riêng, cũng có thể là kết nối Frame relay hay ATM.
Nhưng rào cản lớn nhất với các doanh nghiệp tổ chức đó là chi phí. Chi phí từ
nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành hạ tầng mạng, các thiết bị
riêng của doanh nghiệp...rất lớn. Vì vậy, điều dễ hiểu là trong thời gian dài,
chúng ta gần như không thấy được nhiều ứng dụng, giải pháp hữu ích trên mạng
diện rộng WAN.

3


Rõ ràng, sự ra đời công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh
nghiệp có thêm sự lựa chọn mới, không phải vô cớ mà các chuyên gia viễn thơng
nhận định: Mạng riêng ảo chính là cơng nghệ mạng WAN thế hệ mới.
 Ưu điểm của mạng riêng ảo:
− Chi phí thấp: Chi phí thiết lập mạng VPN thấp hơn so với các mạng WAN
truyền thống như Frame Relay, ATM, Leased Line. Tài nguyên ở trung tâm có
thể kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí và thời gian.
− Tăng cường tính bảo mật cho hệ thống: Sử dụng các giao thức đóng gói,
các thuật tốn mã hóa và các phương pháp chứng thực để bảo mật dữ liệu trong

q trình truyền.
− Tính mở rộng và linh động: VPN đã xóa bỏ rào cản về mặt địa lý cho hệ
thống mạng, sẵn sàng kết nối các mạng riêng lại với nhau một cách dễ dàng
thơng qua mơi trường Internet.
− Giảm chi phí vận hành quản lý, giảm chi phí thiết lập nâng cao kết nối, bảo
mật, nâng cấp dễ dàng, hiệu suất băng thông.
 Nhược điểm của mạng riêng ảo:
− Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay nghẽn mạng
có thể làm ảnh hưởng xấu chất lượng truyền tin của các máy trong mạng.
− Phụ thuộc vào nhà cung cấp dịch vụ ISP.
− Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu
có thể đi ra ngồi và bị thất thốt.
− Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều
này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và
PPP diễn ra khá chậm chạp sẽ ảnh hưởng tới tốc độ truyền tải. Do phải truyền dữ
liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu
truyền thơng, phim ảnh, âm thanh sẽ chậm hơn so với mạng riêng.
1.3. Những yêu cầu đối với mạng riêng ảo
Công nghệ VPN không chỉ làm giảm chi phí để tạo ra một mơi trường mạng
bảo mật cao mà cịn giảm chi phí cho việc giản trị và tổ chức nhân viên. Hơn
nữa, nó mang lại sự sẵn sàng, sự tin cậy và hiệu quả cao trong việc sử dụng băng
thông mạng.
4


VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng ta dễ
dàng thiết lập mạng LAN hoặc Intranet cùng với Internet và các mạng công cộng
khác để truyền thông một cách bảo mật và kinh tế. Và như vậy, hầu hết các yêu
cầu của VPN và của mạng riêng truyền thống (mạng thông thường) là rất Giống
nhau. Tuy nhiên, trong VPN có các yêu cầu nổi bật như: Bảo mật, chất lượng

dịch vụ (QoS), tính sẵn sàng, tính tin cậy, khả năng tương thích, khả năng quản
trị. Phần sau đây sẽ trình bày kỹ hơn về các yêu cầu này.
1.3.1. Yêu cầu bảo mật
Các mạng riêng mang lại mơi trường bảo mật cao vì các tài ngun mạng
khơng được truy cập bởi mạng cơng cộng. Vì vậy, xác suất truy cập trái phép
đến các tài nguyên của nó là rất thấp. Tuy nhiên, nhận định này rất có thể khơng
đúng với VPN có sử dụng Internet và các mạng công cộng khác như mạng điện
thoại chuyển mạch công cộng (Public Switched Telephone Network – PSTN)
cho truyền thông. Thiết lập VPN mang lại cho các Hacker, Craker cơ hội thuận
lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua các mạng cơng cộng.
Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách chặt
chẽ.
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các
cách như sau:
− Thực thi các kỹ thuật phịng thủ vịng ngồi, chỉ cho phép các dịng lưu
lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu
lượng khác. Các Firewall và bộ chuyển đổi địa chỉ mạng (NAT) là các ví dụ về
kỹ thuật phịng thủ. Firewall khơng chỉ kiểm tra kỹ lưu lượng vào mà còn cả với
lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ chuyển đổi địa chỉ là
một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ trong
mạng. Và như vậy, kẻ tấn công không biết được đích của các tài ngun đó trong
mạng.
− Xác thực (Authentication): Xác thực người dùng và các gói dữ liệu để thiết
lập định danh của người dùng và quyết định anh ta có được phép truy cập tới các
tài ngun trong mạng hay khơng. Mơ hình xác thực, cấp quyền, kiểm tốn
(AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ
thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi người dùng đã xác
5



thực thành cơng, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền.
Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả các người dùng mạng
cũng được duy trì, cho phép người quản trị mạng ghi lại những hoạt động trái
phép, bất thường.
− Mã hóa dữ liệu (Data Encryption): Thực thi các cơ chế mã hóa dữ liệu để
đảm bảo tính xác thực, tính tồn vẹn và tính tin cậy của dữ liệu khi được truyền
qua mạng không tin cậy. Bảo mật giao thức Internet (IPSec) nổi bật lên như một
cơ chế mã hóa dữ liệu mạnh nhất. Nó khơng chỉ mã hóa dữ liệu đang được
truyền mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu riêng biệt.
− Quản lý khóa (Key Management): Để mã hóa dữ liệu, VPN cần cung cấp
khóa mật mã để tạo ra các đường hầm phiên (Session Tunnel). Vì vậy, cần phải
tạo ra các khóa, phân phối và cập nhật, làm tươi chúng.
1.3.2. Yêu cầu tính sẵn sàng và tin cậy
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng
(Uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao
vì tồn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy
đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như
Internet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng
trung gian. Trong trường hợp này, nhận tố tính sẵn sàng phụ thuộc vào nhà cung
cấp dịch vụ (ISP).
Thơng thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức
dịch vụ” (SLA). SLA là bản hợp đồng được ký kết giữa ISP và người dùng (một
tổ chức hoặc một công ty) đề cam kết về thời gian truy cập mạng. Một số ISP để
xuất Uptime rất cao, khoảng 99%. Nếu một tổ chức muốn đảm bảo tính sẵn sàng
rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển mạch xương sống có khả năng
phục hồi cao. Đó là:
− Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thay
thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo hiệu suất
cực đại, khả năng định tuyên này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến
khi được yêu cầu.

− Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng
băng thông mạng.
6


− Các thiết bị dự phịng hồn tồn tự đồng vượt qua lỗi, các thiết bị này
không chỉ gồm các thiết bị thay thế nóng mà cịn là nguồn cung cấp điện và hệ
thống làm lạnh.
Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quan
mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch trong VPN đảm
bảo rằng những người cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũng
như hầu hết các thiết lập mạng khác, tính tin cậy trong mơi trường dựa trên VPN
có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khác
Nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi. Tồn bộ q trình này là
hoàn toàn trong suốt với người dùng cuối.
1.3.3. Yêu cầu chất lượng dịch vụ
Trong một mạng riêng ảo, cũng như trong một mạng thơng thường. Đều có
mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được
truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác.
Vấn đề với QoS là xác định như thế nào? Có được đảm bảo hay khơng? Là
rất khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm
bảo.
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng
cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng
và các tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài chính, q
trình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông.
Các ứng dụng truyền video rất nhạy cảm với độ trễ và địi hỏi băng thơng lớn để
tránh hiện tượng chất lượng kém của giao dịch.
1.3.4. Yêu cầu khả năng quản trị
Việc kiểm sốt hồn tồn các hoạt động và tài nguyên trong mạng, cùng với

việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết
nối phạm vi tồn cần. Hầu hết các đơn vị được kết nối với các nguồn tài nguyên
của thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là không thể
kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng
Intranet trung gian của nhà cung cấp dịch vụ. Trong hoàn cảnh này, một đơn vị
phải quản trị được các tài nguyên trong mạng kinh doanh của họ. Với sự sẵn có
7


các thiết bị VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức với
nhà cung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việc quản trị
tài nguyên và quản trị tồn bộ phần riêng và phần cơng cộng của các phần cuối
VPN. Một cơng ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như
trong mơ hình truyền thống, có thể kiểm sốt tồn bộ truy cập mạng và có quyền
giám sát trạng thái thời gian thực, sự thực thi của VPN. Hơn nữa Công ty cũng
có thể giám sát phần cơng cộng của VPN. Tương tự, các ISP quản trị và kiểm
soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ. Tuy nhiên, Nếu được yêu
cầu, nhà cung cấp dịch vụ cũng có thể quản trị tồn bộ cơ sở hạ tầng, bao gồm cả
cơ sở hạ tầng VPN của người dùng.
1.3.5. Yêu cầu khả năng tương thích
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối
đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có
thể dựa trên cơng nghệ mạng khác như Frame Relay (FR), Asynchronous
Transfer Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ
và giao thức cơ sở.
Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả
năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một cơ sở
hạ tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN:
− Sử dụng Gateway IP: Gateway IP chuyển (hoặc dịch) các giao thức không
dựa trên IP thành IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng

hoặc cũng có thể là các giải pháp dựa trên phần mềm. Gateway IP được cài đặt
trên mọi Server và thường được dùng để chuyển đổi dòng lưu lượng.
− Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng
gói các gói dữ liệu khơng IP thành các gói IP để truyền qua một cơ sở hạ tầng
dựa trên IP. Các thiết bị cuối, khi nhận được các gói dữ liệu đã đóng gói này sẽ
xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. “Đường hầm” bây giờ
được xem như là một thiết bị truyền tải.
1.4. Mơ hình triển khai mạng riêng ảo
VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn Tùy
thuộc vào mơ hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp.
8


Cơng nghệ VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN (điểm
nối điểm) và Remote Access VPN (hay Client-to-Site truy cập từ xa)
1.4.1. Site-to-Site VPN
Là mơ hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo
thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban
đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như
Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một
cách an tồn giữa các Site.

Hình 1.1: Mơ hình VPN Site-to-Site
Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng
tunnel mode giữa các Gateway. Gateway có thể là các Router hay Firewall router
hỗ trợ VPN.
Loại này có thể dựa trên Intranet hoặc Extranet.

9



Hình 1.2: Intranet
1.4.1.1. Intranet VPN
Áp dụng trong trường hợp cơng ty có một hoặc nhiều địa điểm ở xa, mỗi địa
điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng
riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất.
 Ưu điểm:
Giảm thiểu đáng kể số lượng yêu cầu kết nối của người dùng cá nhân qua
toàn cầu.
Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hàng.
Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch
vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi
phí cho việc thực hiện Intranet.
 Nhược điểm:
Khả năng mất dữ liệu trong lúc truyền thông tin cũng vẫn rất cao. Trong một
số trường hợp, nhất là khi dữ liệu dạng multimedia, việc trao đổi dữ liệu sẽ rất
chậm chạp do được truyền thông qua Internet.
Do là kết nối dựa trên Internet, nên tính hiệu quả khơng liên tục, thường
xuyên, và QoS cũng không được đảm bảo.

10


Hình 1.3: Extranet
1.4.1.2. Extranet VPN
Khi một cơng ty có một mối quan hệ mật thiết với một công ty khác (ví dụ
như một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng
extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các cơng ty
đó có thể làm việc trong một mơi trường có chia sẻ tài ngun.

 Ưu điểm:
Do hoạt động trên mơi trường Internet, người dùng có thể lựa chọn nhà phân
phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ
chức. Bởi vì một phần kết nối Internet được bảo trì bởi nhà cung cấp (ISP) nên
sẽ giảm chi phí bảo trì khi thuê nhân viên bảo trì. Dễ dàng triển khai, quản lý và
chỉnh sữa thông tin.
 Nhược điểm:
Sự đe dọa về tính an tồn, như bị tấn cơng bằng từ chối dịch vụ vẫn còn tồn
tại.
Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao
đổi diễn ra chậm chạp.
Do dựa trên Internet, QoS(Quality of Service) cũng khơng được bảo đảm
thường xun
Trong hình minh họa trên, kết nối giữa Văn phịng chính và Văn phịng từ xa
là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là
VPN Extranet.
11


1.4.2. Remote Access VPN
Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở
nhà muốn kết nối vào mạng cơng ty một cách an tồn. Cũng có thể áp dụng cho
văn phịng nhỏ ở xa kết nối vào Văn phịng trung tâm của cơng ty. Đáp ứng nhu
cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngồi cơng ty thơng
qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file
server, gửi nhận email từ các mail server nội bộ của cơng ty.

Hình 1.4: Mơ hình VPN Client-to-Site
Remote Access VPN cịn được xem như là dạng User-to-LAN, cho phép
người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN là

giải pháp thiết kế mạng khá hay, VPN hoạt động nhờ vào sự kết hợp với các giao
thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
1.5. Phương thức thoạt động của mạng riêng ảo
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng
riêng trên nền Internet. Về bản chất, đây là quá trình đặt tồn bộ gói tin vào trong
một lớp header (tiêu đề) chữa thơng tin định tuyến có thể truyền qua hệ thống
mạng trung gian theo những “đường ống” riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến
các máy trạm cuối cùng cần nhận dữ liệu. Đề thiết lập kết nối Tunnel, máy khách
và máy chủ phải sử dụng chung một giao thức (tunnel protocol).

12


Giao thức của gói tin học ngồi được cả mạng và hai điểm đầu cuối nhận
biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi
gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
− Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng
có thơng tin đang đi qua.
− Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
− Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui. IP).
Người dùng có thể đặt một gói tin sử dụng giao thức khơng được hỗ trợ trên
Internet (như NetBeui) bên trong một gói IP và gửi nó an tồn qua Internet.
Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (khơng định tuyến) bên
trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng
riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN mạng - đến - mạng

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu “đóng gói” giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm
thơng tin về loại gói tin mà bạn đang mã hóa và thơng tin về kết nối giữa máy
chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đơi
khi lại đóng vai trị là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại
mạng VPN truy cập từ xa và điểm- nối- điểm. Tất nhiên, nó phải được hỗ trợ ở
cả hai giao diện Tunnel.

13


Hình 1.5: VPN mạng – đến – mạng
Trong mơ hình này, gói tin được chuyển từ một máy tính ở văn phịng chính
qua máy chủ truy cấp, tới router (tại đây giao thức mã hóa GRE diễn ra), qua
Tunnel để tới máy tính của văn phịng từ xa.
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa.
Với loại VPN này. Tunneling thường dùng giao thức điểm-nối-điểm PPP
(Point-to-Point Protocol). Là một phần của TCP/IP. PPP đóng vai trị truyền tải
cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ
xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào
PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và
dùng trong mạng VPN truy cập từ xa.
L2F ( Layer 2 Forwarding ) được Cisco phát triển. L2F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol ) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm
định quyền truy cập nào được PPP hỗ trợ.
14



L2TP ( Layer 2 Tunneling Protocol ) là sản phẩm của sự hợp tắc giữa các
thành viên PPTP Forum, Cisco và IETF. Kết hợp các tính năng của cả PPTP và
L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức
Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa. Trên thực tế,
L2TP có thể tạo ra một tunnel giữa máy khách và router. NAS và router, router
và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an tồn hơn.

Hình 1.6: VPN truy cập từ xa
Để đảm bảo tính bảo mật, xác thực trong mạng riêng ảo, người ta có thể sử
dụng một số kỹ thuật, tuy nhiên trong các kỹ thuật đó thì sử dụng mật mã vẫn là
kỹ thuật an toàn nhất. Trong số các giải pháp sử dụng mật mã để triển khai mạng
riêng ảo thì giải pháp IPSEC được đánh giá cao và hiện nay đang được sử dụng
khá phổ biến. Vậy IPSEC là gì và làm việc như nào… những nội dung này sẽ
được trình bày trong chương tiếp theo của đồ án này.

15


KẾT LUẬN CHƯƠNG
Chương 1 đã trình bày tổng quan về vấn đề an tồn mạng, cơng nghệ mạng
riêng ảo, chỉ ra những ưu điểm, nhược điểm, các yêu cầu khi triển khai mạng
riêng ảo, các mơ hình triển khai mạng riêng ảo. Để từ đó thấy được tầm quan
trọng của cơng nghệ VPN và có rất nhiều lợi ích trong triển khai thực tế.

16


CHƯƠNG 2: BẢO MẬT TRONG MẠNG RIÊNG ẢO SỬ DỤNG IPSEC

2.1. Tổng quan về IPSec
Để có thể bắt tay vào nghiên cứu về IPSec, trước hết chúng ta cần phải hiểu
khái niệm.
Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một
bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF
phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một
khung bảo mật tại lớp 3 (Lớp mạng) của mơ hình OSI.
IPSec là một khung kiến trúc cung cấp các dịch vụ bảo mật, mật mã dành
cho các gói IP. IPSec là một kỹ thuật bảo mật điểm tới điểm ( end-to-end).
Điều đó có nghĩa là chỉ có những trạm biết rõ về sự hiển diện của IPSec,
chính là 2 máy tính sử dụng IPSec đang liên lạc với nhau, là biết rõ về cơ chế
bảo mật. Các bộ định tuyến giữa đường không thể biết được quan hệ bảo mật của
hai trạm trên và chúng chỉ chuyển tiếp các gói IP như là chúng đã làm với tất cả
các gói IP khác. Mỗi máy tính sẽ điều khiển chức năng bảo mật tại đầu của nó
với giả thiết rằng tất cả các trạm ngang đường đều là khơng bảo mật. Các máy
tính chỉ làm nhiệm vụ định tuyến các gói tin từ nguồn đến đích khơng cần thiết
phải hỗ trợ IPSec. Chỉ có một loại trừ là các bộ lọc gói tin dạng Firewall hay
NAT đứng giữa hai máy tính. Với mơ hình này IPSec sẽ được triển khai thành
công theo kịch bản sau:
− Mạng cục bộ (LAN): mạng cục bộ dạng Chủ - khách hay mạng ngang hàng.
− Mạng diện rộng (WAN): Mạng WAN giữa các bộ định tuyến (Router- toRouter) hay giữa các cổng (Gateway-to-Gateway).
− Truy cập từ xa: Các máy khách quay số hay truy cập Internet từ các mạng
riêng.
Thông thường, cả hai đầu đều u cầu cấu hình IPSec, hay cịn được gọi là
chính sách IPSec, để đặt các Tùy chọn và các thiết lập bảo mật cho phép hai hệ
thống thỏa thuận việc sẽ bảo mật các lưu lượng thông giữa chúng như thế nào.
Các hệ điều hành Windows Server 2000, Windows XP, và Windows Server
2003 thực thi IPSec dựa trên các chuẩn cơng nghiệp do nhóm IPSec, của IETF
(Internet Engineering Task Force) phát triển.
17



2.1.1. Mục đích của IPSec
Các Header (tiêu đề) của IP, Transmission Control Protocol (TCP- Giao thức
kiểm soát Tuyền dẫn), và User Datagram Protocol (UDP- Giao thức gói dữ liệu
người dùng) đều chứa một số kiểm soát (Check sum) được sử dụng để kiểm sốt
tính tồn vẹn (Intergrity) dữ liệu của một gói IP. Nếu dữ liệu bị hỏng, Số kiểm
sốt sẽ thông báo cho người nhận biết. Tuy nhiên, do thuật toán kiểm soát này
được phổ biến rộng rãi nên kể cả người dùng khơng có chức năng cũng có thể
truy cập vào gói tin một cách dễ dàng thay đổi nội dung của chúng và tính lại Số
kiểm sốt, sau đó lại chuyền tiếp gói tin này đến tay người nhận mà không một
ai, kê cả người gửi lẫn người nhận biết đến sự can thiệp này. Do các hạn chế về
chức năng của số kiểm soát như vậy, tại nơi nhận, người dùng không hề biết và
cũng không thể phát hiện ra việc gói tin đã bị thay đổi.
Trong quá khứ, các ứng dụng cần bảo mật sẽ tự cung cấp cơ chế bảo mật cho
riêng chúng dẫn tới việc có quá nhiều các chuẩn bảo mật khác nhau và khơng
tương thích.
IPSec là một bộ các Giao thức và Thuật tốn Mã hóa cung cấp khả năng bảo
mật tại lớp Internet (Internet Layer) mà không cần phải quan tâm đến các ứng
dụng gửi hay nhận dữ liệu.
Sử dụng IPSec, chỉ cần một chuẩn bảo mật được áp dụng và việc thay đổi
ứng dụng khơng cần thiết.
IPSec có 2 mục đích chính:
− Bảo vệ nội dung của các gói IP.
− Cung cấp việc bảo vệ chống lại các cuộc tấn cơng mạng thơng qua lọc gói
tin và việc bắt buộc sử dụng các kết nối tin cậy.
Cả hai mục tiêu trên đều có thể đạt được thơng qua việc sử dụng các dịch vụ
phòng chống dựa trên cơ chế mã hóa, các giao thức bảo mật và việc quản lý các
khóa động. Với các nền tảng như vậy, IPSec cung cấp cả hai tinh năng mạnh và
uyển chuyển trong việc bảo vệ các cuộc liên lạc giữa các máy tính trong mạng

riêng, miền, site (bao gồm cả các Site truy cập từ xa), các mạng Intranet, các
máy khách truy cập qua đường điện thoại. Thậm chí nó cịn được sử dụng để
khóa việc nhận hay gửi của một loại lưu thơng chun biệt nào đó.
18


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×