Tải bản đầy đủ (.pdf) (35 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

an toàn mạng riêng ảo–tìm hiểu về strongswan

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1010.2 KB, 35 trang )




Tìm hiểu về StrongSWAN




Phân công thực hiện báo cáo: Đặng Long Hải (Phần 1)
Nguyễn Như Hoàng (Phần 2)
Say Khăm (Phần 2)
Nguyễn Trí Công (Phần 3)
Nguyễn Bá Hoàng (Phần 3)











An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 1

Mục lục
Lời mở đầu 3
Danh mục viết tắt 4


Danh mục hình vẽ 5
Phần 1. Tổng quan về mạng riêng ảo VPN 6
1.1. Giới thiệu về VPN 6
1.1.1. Định nghĩa 6
1.1.2. Những lợi ích của VPN 7
1.2. Các mô hình kết nối VPN thông dụng 8
1.2.1. VPN Truy cập từ xa (Remote Access VPN) 8
1.2.2. VPN Cục bộ (Intranet VPN) 10
1.2.3. Mạng riêng ảo mở rộng (Extranet VPN) 12
Phần 2. Tìm hiểu về giao thức IPSec và các vấn đề liên quan 15
2.1. Giới thiệu chung và các chuẩn 15
2.2. Cơ chế đảm bảo An toàn dữ liệu của IPSec 18
2.3. Đóng gói thông tin của IPSec 19
2.3.1. Kiểu Transport 19
2.3.2. Kiểu Tunnel 20
2.4. Giao thức trao đổi khoá IKE 21
2.4.1. Giới thiệu chung và các chuẩn 21
2.4.2. Các yêu cầu quản lý khoá đối với IPSec 22
2.4.3. Các chế độ IKE 24
2.4.4. Quá trình hoạt động của IPSec 26
Phần 3. Tìm hiểu về StrongSWAN và triển khai IPSec sử dụng StrongSWAN
27
3.1. Giới thiệu về strongSwan 27
3.1.1. Securing a Network 27
3.1.2. Quá trình phát triển 27
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 2

3.2. StrongSwan Software Architecture 29

3.3. Software Architecture of the IKEv2 Daemon 30
3.4. Một số tính năng của strongSwan 31
KẾT LUẬN 33
Tài liệu tham khảo 34

An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 3

Lời mở đầu
Hiện nay, Internet phát triển mạnh mẽ đã đáp ứng các nhu cầu từ nghiên cứu,
học tập đến giải trí của người sử dụng. Với Internet, những dịch vụ như đào tạo từ
xa, mua hàng trực tuyến,…đã trở nên dễ dàng hơn rất nhiều. Tuy nhiên, việc sử dụng
Internet cũng có nhiều vấn đề cần được quan tâm như bảo mật thông tin, quản lý
chất lượng dịch vụ để có thể đáp ứng mọi nhu cầu, tại bất kỳ thời điểm nào của người
dùng. Các doanh nghiệp hiện nay có nhiều chi nhánh được mở ra, thông qua Internet
để mở rộng giao dịch, mua bán. Để giải quyết vấn đề kiểm soát, quản lý, tận dụng
tốt nguồn tài nguyên trên, nhiều doanh nghiệp đã chọn giải pháp mô hình mạng riêng
ảo VPN (Virtual Private Network). VPN cho phép người sử dụng làm việc tại nhà
riêng, trên đường đi, hoặc các văn phòng chi nhánh có thể kết nối an toàn tới máy
chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng.
Trong quá trình tìm hiểu môn học, nhóm sinh viên chúng em nhận được đề
tài “Tìm hiểu về StrongSWAN và cài đặt thử nghiệm. Phân tích quá trình kết nối
trao đổi thông tin”, StrongSWAN là một giải pháp VPN dựa trên mã nguồn mở,
được phát triển để triển khai IPSec trong bảo mật VPN khi kết nối qua mạng Internet.
Trong quá trình tìm hiểu đề tài, do hiểu biết và kiến thức về vấn đề báo cáo
còn hạn chế nên không tránh khỏi những thiếu sót. Chúng em hy vọng thầy và các
bạn góp ý để báo cáo được hoàn thiện hơn.
Xin chân thành cảm ơn !


An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 4

Danh mục viết tắt
Từ viết tắt
Tên đầy đủ
VPN
Virtual Private Network
IP
Internet Protocol
IPSec
Internet Protocol Security
IKE
Internet Key Exchange
ATM
Asynchronous Transfer Mode
WAN
Wide Area Network
ISDN
Integrated Services Digital Network
ISP
Internet Service Provider
DoS
Denial of Service
QoS
Quality of Service
L2TP
Layer 2 Tunneling Protocol
PPTP

Point-to-Point Tunneling Protocol
AH
Authentication Header
ESP
Encapsulating Security Payload
HMAC
Hash Message Authentication Code
IETF
Internet Engineering Task Force
ISAKMP
Internet Security Association and Key Management
Protocol
DHCP
Dynamic Host Configuration Protocol
DNS
Domain Name System
SA
Security Association
UDP
User Datagram Protocol
CA
Certificate Authority

An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 5

Danh mục hình vẽ
Hình 1.1 Thiết lập từ xa không có VPN 9
Hình 1.2 Thiết lập VPN truy cập từ xa 10

Hình 1.3 Thiết lập Intranet sử dụng WAN 11
Hình 1.4 Thiết lập VPN dựa trên VPN 11
Hình 1.5 Mạng Extranet truyền thống 13
Hình 2.1 Kiến trúc bộ giao thức IPSec 17
Hình 2.2 Gói tin IP theo kiểu Transport 20
Hình 2.3 Gói tin IP ở kiểu Tunnel 20
Hình 2.4 Thiết bị mạng thực hiện IPSec kiểu Tunnel 21
Hình 2.5 Trao đổi thông điệp trong chế độ IKE Main 24
Hình 2.6 Mô tả một phiên giao dịch trong chế độ IKE Aggressive 25
Hình 2.7 Trao đổi thông điệp trong chế độ Quick IKE thuộc pha II 25
Hình 2.8 Trao đổi khóa An toàn trong chế độ Newgroup IKE 26
Hình 3.1 Mô hình mạng đơn giản 27
Hình 3.2 Quá trình phát triển StrongSWAN 28
Hình 3.3 Kiến trúc strongSwan IKE daemon 30
Hình 3.4 Kiến trúc phần mềm của IKEv2 Charon daemon 31

An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 6

Phần 1. Tổng quan về mạng riêng ảo VPN
1.1. Giới thiệu về VPN
1.1.1. Định nghĩa
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Netvvork, viết tắt là VPN.
Có nhiều định nghĩa khác nhau về Mạng riêng ảo VPN.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet,
ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông
tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách
khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ
tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng công cộng

này có thể là mạng IP, Frame Relay, ATM hay Internet.
Theo tài liệu của IBM, VPN là sự mở rộng một mạng Intranet riêng của một
doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực
chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn qua
Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành
một mạng Công ty mở rộng.
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một
mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2
điểm truyền thông cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các
“đường hầm”. Các đường hầm này cho phép các thực thể cuối trao đổi dữ liệu theo
cách tương tự như truyền thông điểm - điểm.
Mạng riêng của các Công ty loại trừ được các đường Lease-Line chi phí cao.
Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi phí
mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN.
Và với VPN truy cập từ xa có thể tiết kiệm từ 60% đển 80% chi phí khi sử dụng
đường Dial-up để truy cập từ xa đến Công ty.

An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 7

1.1.2. Những lợi ích của VPN
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm
Giảm chi phí thực thi: Chi phí cho VPN ít hưn rất nhiều so với các giải pháp
truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì
VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay
thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại điện của ISP.
Giảm được chi phí thuê nhân viên về quản trị: Vì giảm được chi phí truyền
thông đường dài. VPN cũng làm giảm được chí phí hoạt động của mạng dựa vào
WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng

nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế tổ
chức không cần thuê nhiều nhân viên mạng cao cấp.
Nâng cao khả năng kết nối: VPN tận dụng Intenet để kết nối giữa các phần
tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên hầu hết các
nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối
tới Intranet của Công ty mình.
Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ
liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một
mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo
mật như: Mã hóa, xác thực và cấp quyển để bảo đảm an toàn, tính tin cậy tính xác
thực của dữ liệu được truyền. Kết quả là VPN mang lại mức độ bảo mật cao cho việc
truyền tin.
Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-
Line băng thông hoàn toàn không được sử dụng trong một kết nối Internet không
hoạt động. Các VPN chỉ tạo các đường hầm logic để truyền dữ liệu khi được yêu
cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt
động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng.
Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 8

phải thay đổi với phí tổn tối thiểu cho việc theo các phương tiện, thiết bị. Điều này
làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với
sự phát triển trong tương lai.
1.2. Các mô hình kết nối VPN thông dụng
Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:
- Các nhân viên liên lạc từ xa, người dùng di động, người đùng từ xa của một
công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào.

- Có khả năng kết nối từ xa giữa các nhánh văn phòng.
- Kiểm soát được truy cập cùa các khách hàng, nhà cung cấp là đối tác quan
trọng đối với giao dịch thương mại của công ty.
Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân
thành 2 loại như sau: VPN truy cập từ xa (Remote Access VPN), VPN Site - to -Site
(Bao gồm 2 mô hình: VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN))
1.2.1. VPN Truy cập từ xa (Remote Access VPN)
Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN)
đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công
cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của công ty họ
như là họ đang kết nối trực tiếp vào mạng đó.
Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa,
người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của
tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi ngươi dùng
đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định
tới Intranet của tổng công ty.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 9


Hình 1.1 Thiết lập từ xa không có VPN
Như trong hình trên, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở
rộng của VPN bao gồm các thành phần chính như sau:
- Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và
cấp quyền cho các yêu cầu truy cập từ xa.
- Kết nối Dial-up tới mạng trung tâm.
- Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ
người dùng từ xa.
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và

người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để
kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa tương ứng
được mô tả như trong hình 1.2.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 10


Hình 1.2 Thiết lập VPN truy cập từ xa
1.2.2. VPN Cục bộ (Intranet VPN)
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là
một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu
cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã dược thực hiện ở mạng
trung tâm, bao gồm các dịch vụ về an ninh, VolP, chất lượng dịch vụ cũng như các
dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian
cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN
truyền thống.
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của
một tổ chức với Intranet trung tâm của tổ chức đó, nên còn được gọi là mạng riêng
ảo chi nhánh. Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một
mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian. Thiết lập
này được mô tả như trong hình dưới.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 11


Hình 1.3 Thiết lập Intranet sử dụng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một khu
trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị

Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí của
Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn
thì chi phí càng cao.
Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng
kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn
bộ Intranet. Một giải pháp Intranet VPN điển hình được mô tả như trong hình 1.4.

Hình 1.4 Thiết lập VPN dựa trên VPN
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 12

Ưu điểm của việc thiếp lập dựa trên VPN như trên là:
- Loại trừ được các Router từ đường WAN xương sổng.
- Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp °ác
liên kết ngang hàng mới.
- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với
việc loại trừ cáv dịch vụ đường dài giúp cho tổ chức giảm được chi phí cúa
hoạt động Intranet.
Nhược điểm:
- Vì dữ liệu được định đường hầm qua một mạng chia sẻ công cộng nên các tấn
công mạng như: từ chối dịch vụ vẫn đe dọa nghiêm trọng đến an ninh mạng.
- Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.
- Đường truyền dữ liệu đầu trên như multimedia, độ trễ truyền tin vẫn rất cao
và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.
- Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có
thể không được đảm bảo.
1.2.3. Mạng riêng ảo mở rộng (Extranet VPN)
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sừ dụng vào
mạng Intranet của mộl tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường

truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng
của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet
VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng
là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet
VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng
cộng tác với các đối tác, khách hàng hay các nhà cung cẩp sản phẩm. Việc để cho
khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được
rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực
hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 13

dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ
thống.
Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không
hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát
truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng
như: đối tác, khách hàng, nhà cung cấp. Vì vậy còn được gọi là mạng riêng ảo đối
tác.

Hình 1.5 Mạng Extranet truyền thống
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong Intranet phải hoàn toàn
thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị
và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vi làm như vậy có thể
phải thay đổi toàn bộ mạng Intranet và có thể ảnh huởng đến các mạng mở rộng đã
kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị
mạng.
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ
dàng và giảm chi phí đáng kể.

An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 14

Ưu điểm chính của Extranet VPN là:
- Chi phí rất nhỏ so với cách thức truyền thống.
- Dễ thực thì, duy trì và dễ thay đổi.
- Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn.
- Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ
trợ có thể giảm xuống.
Nhược điểm:
- Các nguy cơ an ninh như tấn công DoS vần còn tồn tại.
- Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức.
- Độ trễ truyền thông vẫn lớn và thông luợng bị giảm xuống rất thấp với các
ứng dụng Multimedia.
- Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 15

Phần 2. Tìm hiểu về giao thức IPSec và các vấn đề liên quan
2.1. Giới thiệu chung và các chuẩn
Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và
IPV6. Bằng cách cung cấp khả năng an toàn tại tầng này, các giao thức tầng giao
vận và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi
gì cả.
Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay
TLS. Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng
dưới cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các hỗ trợ
bảo mật -SSPI). Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép

các ứng dụng ở tầng trên truy nhập vào các module báo mật ở tầng dưới), các ứng
dụng ít nhất cần nhận thức được vấn đề bảo mật. IPSec giải quyết được yêu cầu này
bằng cách chuyển vấn đề bảo mật xuống tầng 3. Điều này cho phép các ứng dụng
duy trì được tính không phụ thuộc vào hạ tầng bảo mật của các tầng dưới. Các gói
IP sẽ được bảo vệ mà không phụ thuộc vào các ứng dụng đã sinh ra chúng. Nói một
cách khác, các ứng dụng không cần biết tới vấn đề bảo mật trên nền IP. Các quy tắc
bảo mật được định nghĩa thống nhất giữa các nhà quản trị mà không phụ thuộc vào
một ứng dụng nào được chạy trong hệ thống và IPSec trong suốt đối với các ứng
dụng. Điều này đem lại những lợi ích vô cùng to lớn, đó là khả năng xác thực, bảo
mật và kể cả mã hóa dữ liệu được truyền qua bất kỳ mạng IP nào. Như vậy, IPSec
cung cấp khả năng bảo mật đầu cuối - tới - đầu cuối giữa các máy tính và mạng máy
tính.
IPSec là một kiến trúc an toàn dựa trên chuẩn mở, có các đặc trưng sau:
- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại.
- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an
toàn.
- Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 16

- Cung cấp khả năng xác thực dựa trên chứng chỉ số.
- Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá.
- Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như
L2TP, PPTP.
IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi
gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị
khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã hóa,
trao đổi khóa bảo mật vv khi chuyển tiếp dữ liệu. Đối với khách hàng, điều này
đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà không đòi

hỏi sự đầu tư hay thay đổi quá lớn đổi với hạ tầng mạng, người ta gọi giải pháp VPN
ứng dụng giao thức IPSec là “Desktop VPN” vì toàn bộ chức năng bảo mật dữ liệu
được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến
các công tác bảo đảm an toàn. Khi sử dụng các thuật toán xác thực và mã hoá dữ
liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi ích của các công nghệ này và
tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên mạng.
Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực
tiêu đề (AH) và đóng gói tải bảo mật (ESP). AH được sử dụng để đảm bảo tính toàn
vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối
với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng kèm thêm
khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh rằng cả hai giao thức này đều không
chỉ ra bất kỳ một thuật toán mã hoá và xác thực cụ thể nào mà chỉ tạo ra khả năng
ứng dụng tốt nhất một trong các thuật toán đang hiện hành.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 17


Hình 2.1 Kiến trúc bộ giao thức IPSec
Bộ giao thức IPSec mang lại ba khả năng chính, đó là:
- Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạnh
để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào
không bị phát giác trước đó về nội dung của gói dữ liệu bởi người nhận không
mong muốn. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự giả mạo, do
thám hoặc tấn công dịch vụ.
- Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật mật
mã cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu trong
khi nó đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm để
giấu địa chỉ IP của Node nguồn và đích đối với kẻ nghe trộm.
- Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá Internet

(IKE) để thương lượng giao thức bảo mật và thuật toán mã hóa trước và trong
một phiên làm việc. Quan trọng hơn, IPSec phân phối, kiểm soát khoá và cập
nhật các khoá này khi được yêu cầu.
Hai khả năng thứ nhất của IPSec, xác thực tính toàn vẹn dữ liệu và sự tin cậy
được cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức này
bao gồm AH và ESP.
Khả năng thứ ba, quản trị khóa, nằm trong địa hạt của giao thức khác. Nó
được chấp nhận bởi bộ IPSec vì dịch vụ quản lý khoá tốt của nó.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 18

2.2. Cơ chế đảm bảo An toàn dữ liệu của IPSec
IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH
(Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec
phải hỗ trợ ESP và có thể hỗ trợ AH:
- AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và
dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống. AH
không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới
dạng bản rõ.
- ESP là một giao thức cung cấp tính an toàn của các gói tin được truyền bao
gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi
kết nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật
mã gói tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với
đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn
cho dữ liệu.
- Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sự phân
phối của các khóa mật mã và quản lý các luồng giao thông có liên quan đến
những giao thức an toàn này.
Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau để

cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách
chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức AH và ESP này,
IPSec không định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó là một
khung chuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghiệp. IPSec sử dụng
các thuật toán: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật toán MD5
(Message Digest 5), thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin; Thuật
toán DES, 3DES để mật mã dữ liệu; Thuật toán khóa chia sẻ trước, RSA chữ ký số
và RSA mật mã giá trị ngẫu nhiên (Nonces) để nhận thực các bên. Ngoài ra các
chuẩn còn định nghĩa việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 19

IPSec có thể sử dụng giao thức IKE (Internet Key Exchange) để xác thực hai
phía và làm giao thức thương lượng các chính sách bảo mật và nhận thực thông qua
việc xác định thuật toán được dùng để thiết lập kênh truyền, trao đổi khóa cho mỗi
phiên kết nối, dùng trong mỗi phiên truy cập. Mạng dùng IPSec để bảo mật các dòng
dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng giấy chứng nhận số
của hai người dùng trao đổi thông tin qua lại. Việc thương lượng này cuối cùng dẫn
đến thiết lập kết hợp an ninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này có
tính chất hai chiều trực tiếp. Thông tin kết hợp an ninh được lưu trong cơ sử dữ liệu
liên kế an ninh, và mỗi SA được ấn định một số tham số an ninh trong bảng mục lục
sao cho khi kết hợp một địa chỉ đích với giao thức an ninh (ESP hoặc AH) thì có duy
nhất một SA.
2.3. Đóng gói thông tin của IPSec
IPSec có hai kiểu cung cấp nhận thực và mã hóa mức cao để thực hiện đóng
gói thông tin, đó là kiểu Transport (truyền tải) và kiểu Tunnel (đường ngầm). Sau
đây chúng ta sẽ xét đến hai kiểu này trước khi tìm hiểu về các giao thức AH và ESP:
2.3.1. Kiểu Transport
Trong kiểu này, vấn đề an ninh được cung cấp bởi các giao thức lớp cao hơn

(từ lớp 4 trở lên). Kiểu này bảo vệ phần tải tin của gói nhưng vẫn để phần IP header
ban đầu ở dạng bản rõ. Địa chỉ IP ban đầu được sử dụng để định tuyến gói qua
Internet.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 20


Hình 2.2 Gói tin IP theo kiểu Transport
Kiểu Transport có ưu điểm là chỉ thêm vào gói IP ban đầu một số it byte.
Nhược điểm là kiểu này cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn
và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân tích lưu lượng)
dựa trên các thông tin của IP header. Tuy nhiên nếu được mật mã bởi ESP thì sẽ
không biết được dữ liệu cụ thể bên trong gói IP là gì. Theo như IETF thì kiểu
Transport chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện
IPSec.
2.3.2. Kiểu Tunnel
Kiểu này bảo vệ toàn bộ gói IP. Gói IP ban đầu (bao gồm cả IP header) được
xác thực hoặc mật mã. Sau đó, gói IP đã mã hóa được đóng gói vào một IP header
mới. Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền qua Internet.

Hình 2.3 Gói tin IP ở kiểu Tunnel
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 21

Trong kiểu Tunnel, toàn bộ gói IP ban đầu được đóng gói và trở thành Payload
của gói IP mới. Kiểu này cho phép các thiết bị mạng như router thực hiện xử lý
IPSec thay cho các trạm cuối (host). Hình 3.3 là ví dụ: Router A xử lý các gói từ
host A, gửi chúng vào đường ngầm. Router B xử lý các gói nhận được trong đường

ngầm, đưa về dạng ban đầu và chuyển hóa chúng tới host B. Như vậy, các trạm cuối
không cần thay đổi nhưng vẫn có được tính an toàn dữ liệu của IPSec. Ngoài ra, nếu
sử dụng kiểu Tunnel, các thiết bị trung gian trong mạng sẽ chỉ có thể nhìn thấy được
các địa chỉ hai điểm cuối của đường hầm (ở đây là các router A và B). Khi sử dụng
kiểu Tunnel, các đầu cuối của IP-VPN không cần phải thay đổi ứng dụng hay hệ
điều hành.
Computer
Computer
IPSec Tunnel
Host BHost A
Router A Router B

Hình 2.4 Thiết bị mạng thực hiện IPSec kiểu Tunnel
2.4. Giao thức trao đổi khoá IKE
2.4.1. Giới thiệu chung và các chuẩn
Bản thân giao thức IPSec không có khả năng thiết lập SA. Do đó quá trình
được chia làm 2 phần: IPSec cung cấp xử lý ở mức gói và giao thức quản lý trao đổi
khoá Internet thoả thuận các SA, IKE được chọn làm giao thức chuẩn để thiết lập
các SA cho IPSec. IKE tạo ra một đường hầm được xác thực và mã hoá, sau đó là
thoả thuận SA cho IPSec. Quá trình này yêu cầu hai hệ thống xác thực lẫn nhau và
thiết lập các khoá sử dụng chung.
Được biết đến đầu tiên là ISAKMP/Oakley, trong đó ISAKMP là viết tắt của
Internet Security Association and Key Management Protocol (Liên kết bảo mật
Internet và Giao thức quản lý khoá).
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 22

IKE trợ giúp các nhóm liên lạc thương lượng các tham số bảo mật và các khoá
xác thực trước khi một phiên IPSec an toàn được thực thi. Các tham số bảo mật được

thương lượng này sẽ được định nghĩa một lần trong SA. Ngoài việc thương lượng
và thiết lập các tham số bảo mật và các khoá mật mã, IKE cũng thay đổi các tham
số và khoá khi được yêu cầu trong một phiên làm việc, IKE cũng chịu trách nhiệm
xoá các khoá và các SA này sau khi một phiên truyền tin được hoàn tất.
Những ưu điểm chính của IKE bao gồm:
- IKE không phục thuộc vào công nghệ. Vì vậy nó có thể được dùng với bất kỳ
cơ chế bảo mật nào.
- IKE mặc dù không nhanh, nhưng hiệu quả cao vì một số lượng lớn các SA
được thương lượng với một số thông điệp vừa phải.
Theo cấu trúc làm việc của ISAKMP. IKE làm việc qua hai pha.
Hai pha trao đổi khoá sẽ tạo ra IKE SA và một đường hầm an toàn giữa hai
hệ thống. Một phía sẽ đưa ra một trong các thuật toán, phía kia sẽ chấp nhận hoặc
loại bỏ kết nối. Khi hai bên đã thống nhất được các thuật toán sẽ sử dụng thì chúng
sẽ tạo khoá cho IPSec. IPSec sử dụng một khoá dùng chung khác với khoá của IKE,
khoá này có được nhờ sử dụng thuật toán Diffie-Hellman một lần nữa hoặc sử dụng
lại khoá dùng chung có được từ trao đổi Diffie-Hellman ban đầu. Sau khi quá trình
được hoàn tất thì IPSec SA được thiết lập. Quá trình thực hiện IKE gồm 2 pha, đó
là: IKE Phase I và IKE Phasse II.
2.4.2. Các yêu cầu quản lý khoá đối với IPSec
Các giao thức IPSec AH và ESP yêu cầu là các chia sẻ bí mật được biết với
tất cả các nhóm tham gia có yêu cầu khoá một cách thủ công hoặc phân phối khoá.
Vấn đề đặt ra là các khoá có thể bị mất, bị tổn hại hoặc đơn giản là bị hết hạn. Kỹ
thuật thủ công không mềm dẻo khi có nhiều liên kết an toàn được quản lý. Một cơ
chế trao đổi khoá tinh vi cho IPSec phải đáp ứng các yêu cầu sau:
- Độc lập với các thuật toán mật mã cụ thể
- Độc lập với các giao thức trao đổi khoá cụ thể
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN

Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 23


- Xác thực các thực thể quản lý khoá
- Thiết lập SA qua tầng vận tải “không đảm bảo”
- Sử dụng hiệu quả các tài nguyên
- Cung cấp khả năng tạo yêu cầu của host và các phiên SA
Giao thức IKE được thiết kế để đáp ứng các yêu cầu đó. Nó dựa trên các liên
kết bảo mật Internet và cấu trúc của giao thức quản lý khoá và giao thức phân phối
khoá Oakley. IKE có các đặc trưng sau:
- Có các thủ thục tạo khoá và xác thực danh tính
- Tự động làm tươi khoá
- Giải quyết bài toán “khoá đầu tiên”
- Mỗi giao thức bảo mật có không gian các SPI riêng của nó
- Có các tính năng bảo vệ được xây dựng sẵn
o Chống được các tấn công từ chối dịch vụ
o Chống được tấn công chiếm quyền điều khiển phiên và kết nối
- Bảo mật toàn diện
- Cách tiếp cận dựa trên 2 pha
o Pha 1 - Thiết lập các khoá và SA cho trao đổi khoá
o Pha 2 - Thiết lập các SA cho truyền dữ liệu
- Được thực thi như ứng dụng qua UDP, cổng 500
- Hỗ trợ các chứng chỉ cho Host và người dùng
- Sử dụng xác thực mạnh với trao đổi khoá ISAKMP
o Chia sẻ trước các khoá
o Các khoá không thực sự được chia sẻ, chỉ một thẻ bài được dùng cho
việc tạo khoá cần thiết
o Các chữ ký số
o Hệ mật khoá công khai
Như đã đề cập, IKE yêu cầu 2 pha phải được hoàn tất trước khi luồng dữ liệu
được bảo vệ với AH và ESP.
An toàn mạng riêng ảo – Tìm hiểu về StrongSWAN


Học viện Kỹ thuật Mật Mã – Lớp AT6A Page 24

2.4.3. Các chế độ IKE
Bốn chế độ IKE: Main Mode, Aggressive mode, Quick mode và New Group
mode.
2.4.3.1. Main Mode
Main mode xác minh và bảo vệ các định danh của các nhóm có liên quan trong
giao dịch. Trong chế độ này, sáu thông điệp được trao đổi giữa các thực thể truyền
thông cuối. Trong các thông điệp này:
Hai thông điệp đầu tiên được dùng để thương lượng chính sách bảo mật cho
việc trao đổi.
Hai thông điệp tiếp theo được dùng để trao đổi khoá Diffie-Hellman và Nonce. Các
khoá sau này đóng một vai trò quan trọng trong các cơ chế mã hoá. Nonce phải được
đánh dấu bởi các nhóm ngược lại cho chức năng xác minh. Hai thông điệp cuối cùng
của chế độ này được dùng để xác thực các nhóm truyền thông có sự hỗ trợ của chữ
kí, hàm băm và tùy chọn chứng chỉ.

Hình 2.5 Trao đổi thông điệp trong chế độ IKE Main
2.4.3.2. Aggressive mode
Được thiết lập tương tự như Main mode. Khác nhau giữa hai chế độ chỉ là
trong Main mode gồm sáu thông điệp, còn trong chế độ này chỉ ba thông điệp được
trao đổi. Kết quả là chế độ này nhanh hơn Main mode. Các thông điệp được trao đổi
trong chế độ này như sau:

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×