HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------
QCH NHƯ THẾ
NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ
CHUYỂN MẠCH NHÃN ĐA GIAO THỨC
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15
TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC :
PGS.TS NGUYỄN VĂN TAM
HÀ NỘI – 2012
1
MỞ ĐẦU
Mạng VPN là một trong những ứng dụng rất quan trọng
trong mạng MPLS. MPLS VPN đã đơn giản hóa quá trình tạo
“đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin
(Lable) trên thiết bị mạng nhà cung cấp. Thay vì phải tự thiết
lập, quản trị, và đầu tư những thiết bị đắt tiền, MPLS VPN sẽ
giúp doanh nghiệp giao trách nhiệm này cho nhà cung cấp –
đơn vị có đầy đủ năng lực, thiết bị và công nghệ bảo mật tốt
hơn cho mạng của doanh nghiệp.
Luận văn “ Nghiên cứu bảo mật mạng riêng ảo trên
công nghệ chuyển mạch nhãn đa giao thức” đã nghiên cứu
VPN trên mạng MPLS có kết hợp với IPSEC và mơ phỏng.
Luận văn được chia làm 3 chương:
Chương I: Tổng quan về mạng riêng ảo
Chương II: Giải pháp bảo mật VPN trên nền MPLS
Chương III: Mô phỏng
2
CHƯƠNG I: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1. Tổng quan về mạng riêng ảo
1.1 Giới thiệu về mạng riêng ảo
Khái niệm mạng riêng ảo.
Mạng riêng ảo là phương pháp làm cho một mạng công
cộng hoạt động như một mạng cục bộ kết hợp với các giải pháp
bảo mật trên đường truyền. VPN cho phép thành lập các kết nối
riêng với người dùng ở xa, các văn phòng chi nhánh của công
ty và các đối tác của công ty đang sử dụng chung một mạng
công cộng.
VPN = định đường hầm + bảo mật + các thoả thuận QoS
1.2 Ưu và nhược điểm của VPN
Ưu điểm:
Giảm chi phí đường truyền
Giảm chi phí đầu tư
Giảm chi phí quản lý và hỗ trợ
Truy cập mọi lúc mọi nơi
Cải thiện kết nối.
An toàn trong giao dịch.
Hiệu quả về băng thông.
Enhanced scalability
Nhược điểm:
Phụ thuộc trong môi trường Internet.
Thiếu sự hổ trợ cho một số giao thức kế thừa
3
1.3 Phân loại mạng và các mơ hình VPN
Các loại mạng VPN
Remote access VPN
Intranet VPN
Extranet VPN
1.4 Các thành phần trong mạng VPN
1.4.1 Mạng khách hàng (Customer Network)
Gồm các router tại các site khách hàng khác nhau. Các
router kết nối các site cá nhân với mạng của nhà cung cấp dịch
vụ được gọi là các router biên phía khách hàng (CE- Customer
Edge).
1.4.2 Mạng nhà cung cấp (Provider Network)
Được dùng để cung cấp các kết nối point-to-point qua
hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà
cung cấp dịch vụ mà nối trực tiếp với CE router được gọi là
router biên phía nhà cung cấp (PE-Provider Edge). Mạng của
nhà cung cấp cịn có các thiết bị dùng để chuyển tiếp dữ liệu
trong mạng trục (SP backbone) được gọi là các router nhà cung
cấp (P- Provider)
VPN có thể chia thành hai loại mơ hình: Overlay và
Peer-to-Peer.
4
17
1.5 Các giao thức tạo đường hầm trong VPN
1.5.1 Giao thức PPTP(Point-To-Point Tunning
KẾT LUẬN
Protocol)
Giao thức PPTP (Point-to-Point Tunneling Protocol giao thức tạo đường hầm điểm nối điểm) ban đầu được phát
triển và được thiết kế để giải quyết vấn đề và duy trì các đường
hầm VPN trên các mạng public dựa vào TCP/IP bằng cách sử
dụng PPP. PPTP là kết quả của sự nỗ lực chung của Microsoft
và một loạt các nhà cung cấp sản phẩm bao gồm chẳng hạn
Ascend
Communications,
3Com/Primary
Access,
ECI
Telematics, và U.S. Robotics
1.5.2 Giao thức L2TP (Layer 2 Tunneling Protocol)
Giao thức L2TP sử dụng hai loại thông điệp, thông điệp
điều khiển (Control Message) và thông điệp dữ liệu (Data
Message). Thông điệp điều khiển được sử dụng trong việc thiết
lập và duy trì đường ống. Thơng điệp dữ liệu được sử dụng để
đóng gói PPP frame để chuyển qua đường ống.
1.5.3 Giao thức IPSec (IP Security Protocol)
IPSec là một giao thức bảo mật tích hợp với tầng IP,
cung cấp dịch vụ bảo mật mã hóa linh hoạt. Những dịch vụ này
là
1.5.3.1 Chứng thực nguồn gốc dữ liệu/Tính tồn vẹn
dữ liệu phi kết nối
Mạng riêng ảo VPN là một trong những ứng dụng rất
quan trọng trong mạng MPLS. Các công ty, doanh nghiệp đặc
biệt các cơng ty đa quốc gia có nhu cầu rất lớn về loại hình dịch
vụ này. Với VPN họ hồn tồn có thể sử dụng các dịch vụ viễn
thơng, truyền số liệu nội bộ với chi phí thấp, an ninh bảo đảm.
Đây là một ứng dụng rất quan trọng đáp ứng các yêu cầu của
các mạng riêng sử dụng hạ tầng cơ sở thông tin quốc gia với
những yêu cầu khác nhau về độ an toàn, bảo mật và chất lượng
dịch vụ. Bên cạnh đó là việc nghiên cứu các công nghệ bảo mật
trong MPLS VPN, nổi bật hiện nay chính là sử dụng IPSec.
Sau nghiên cứu đề tài đã tổng kết được các vấn đề sau:
Tổng quan VPN: Giới thiệu tổng quan VPN
Giải pháp bảo mật VPN trên nền MPLS, tìm hiểu IPsec
MPLS
Tìm hiểu phần mềm mơ phỏng GNS để mô phỏng vấn
đề bảo mật MPLS VPN
16
5
CHƯƠNG III: MÔ PHỎNG
1.5.3.2 Bảo vệ chống replay
1.5.3.3 Bảo mật
3.1 Thực hiện MPLS VPN, IPSEC
1.5.3.4 Encapsulating Security Payload (ESP)
3.1.1 Sơ đồ mạng – cấu hình các interface cơ bản
1.5.3.5 Tiêu đề chứng thực (AH)
1.5.3.6 Trao đổi khóa Internet (IKE)
1.5.3.7 Chế độ vận hành
1.5.3.8 Chế độ Tunnel
CHƯƠNG II: GIẢI PHÁP BẢO MẬT VPN TRÊN NỀN
MPLS
2.1 Công nghệ chuyển mạch MPLS
2.1.1 Tổng quan về MPLS
MPLS là một công nghệ kết hợp đặc điểm tốt nhất
giữa định tuyến lớp ba và chuyển mạch lớp hai cho phép
chuyển tải các gói rất nhanh trong mạng lõi (core) và định
3.1.2 Yêu cầu:
Tạo MPLS core.
Thực hiện MPLS VPN , IPSEC cho hai khách
hàng CE1và CE2
tuyến tốt mạng biên (edge) bằng cách dựa vào nhãn (label).
Đặc điểm mạng MPLS:
- Khơng có MPLS API, cũng khơng có thành phần giao
thức phía host.
- MPLS chỉ nằm trên các router.
- MPLS là giao thức độc lập nên có thể hoạt động
cùng với giao thức khác IP như IPX, ATM, Frame Relay,…
- MPLS giúp đơn giản hố q trình định tuyến và
làm tăng tính linh động của các tầng trung gian.
6
Phương thức hoạt động:
Thay thế cơ chế định tuyến lớp ba bằng cơ chế chuyển
mạch lớp hai. MPLS hoạt động trong lõi của mạng IP. Các
Router trong lõi phải enable MPLS trên từng giao tiếp. Nhãn
được gắn thêm vào gói IP khi gói đi vào mạng MPLS. Nhãn
15
IPsec tĩnh: trong mơ hình này, mỗi nút IPsec được cấu
hình tĩnh với tất cả IPsec đồng cấp của nó, thơng tin nhận thực
và chính sách bảo mật.
IPsec tĩnh được mơ tả trong RFC 2401, 2412. Nó có thể
được áp dụng trên CE-CE và PE-PE
được tách ra khi gói ra khỏi mạng MPLS. Nhãn (Label) được
IPsec động: trong môi trường hub- và-spoke, hub có thể
chèn vào giữa header lớp ba và header lớp hai. Sử dụng
được cấu hình mà khơng cần thơng tin đặc điểm của spoke; chỉ
nhãn trong q trình gửi gói sau khi đã thiết lập đường đi.
các spoke biết cách đến được hub, và một đường hầm IPsec
MPLS tập trung vào q trình hốn đổi nhãn (Label
được thiết lập chỉ khi nào spoke có thể xác thực được chính nó.
Swapping). Một trong những thế mạnh của kiến trúc MPLS là
IPsec truy cập từ xa sử dụng ý tưởng tương tự, nhưng xác thực
tự định nghĩa chồng nhãn (Label Stack).
thường được thực hiện trên máy chủ AAA. IPsec động có thể
2.1.2 Cấu trúc của nút MPLS
Một nút của MPLS có hai mặt phẳng: mặt phẳng
chuyển tiếp MPLS và mặt phẳng điều khiển MPLS. Nút
MPLS có thể thực hiện định tuyến lớp ba hoặc chuyển mạch
lớp hai.
2.1.2.1 Mặt phẳng chuyển tiếp (Forwarding plane):
Mặt phẳng chuyển tiếp có trách nhiệm chuyển tiếp
gói dựa trên giá trị chứa trong nhãn. Mặt phẳng chuyển tiếp
sử dụng một cơ sở thông tin chuyển tiếp nhãn LFIB để chuyển
tiếp các gói.
được sử dụng cho CE-CE cũng như PE-PE.
14
7
tương tự như trong bảo mật nhưng dễ thực thi hơn
nhiều, đặc biệt đối với khách hàng.
2.1.2.2 Mặt phẳng điều khiển (Control Plane):
Ngoại trừ trong trường hợp đặc biệt, IPsec PE-PE
hiện tại khơng được sử dụng nhiều vì lí do bảo mật.
Rõ ràng nó khơng là một giải pháp tổng thể cho bảo
mật VPN. Trong các trường hợp này nên sử dụng
IPsec CE-CE
và lưu trữ LFIB. Tất cả các nút MPLS phải chạy một giao thức
2.3.2.3 IPsec truy cập từ xa vào một mạng MPLS
VPN
Đường hầm IPsec từ người dùng từ xa được kết thúc
trên các bộ định tuyến PE, dựa trên sự nhận dạng
của người dùng, được ánh xạ vào VPN. Do đó, bộ
định tuyến PE thực hiện đầy đủ 2 nhiệm vụ: điểm
cuối truy cập từ xa IPsec và PE MPLS.
Trong ứng dụng này, IPsec phục vụ chủ yếu như
một phương pháp truy cập an toàn vào VPN của
người dùng, như các điểm truy cập không dây công
cộng hay mang internet.
2.3.3 IPsec trên MPLS
Mặt phẳng điều khiển MPLS chịu trách nhiệm tạo ra
định tuyến IP để trao đổi thông tin định tuyến IP với các nút
MPLS khác trong mạng.
Các mơđun điều khiển MPLS gồm:
•
Định tuyến Unicast (Unicast Routing)
•
Định tuyến Multicast (Multicast Routing)
•
Kỹ thuật lưu lượng (Traffic Engineer)
•
Mạng riêng ảo (VPN – Virtual private Network)
•
Chất lượng dịch vụ (QoS – Quality of Service)
2.1.3
Các phần tử chính của MPLS
2.1.3.1 LSR (label switch Router)
Có 3 loại LSR trong mạng MPLS:
o Ingress LSR – LSR vào nhận gói chưa có nhãn,
chèn nhãn (ngăn xếp) vào trước gói và truyền đi trên đường
kết nối dữ liệu.
Các mơ hình đã xem xét trong phần trước mô tả các
o Egress LSR – LSR ra nhận các gói được gán nhãn,
đường hầm IPsec đã được thiết lập (ví dụ PE-PE), nhưng khơng
tách nhãn và truyền chúng trên đường kết nối dữ liệu. LSR ra
xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế
và LSR vào là các LSR biên.
thứ 2 khi triển khai mạng IPsec. Các lựa chọn chính để thiết lập
đường hầm IPsec:
o LSR trung gian (intermediate LSR) – các LSR
trung gian này sẽ nhận các gói có nhãn tới, thực hiện các
thao tác trên nó, chuyển mạch gói và truyền gói đến đường
8
kết nối dữ liệu đúng.
2.1.3.2 LSP (label switch Path)
Đường chuyển mạch nhãn là một tập hợp các LSR
13
2.3.2 Vị trí các điểm kết thúc của IPsec
Trong một môi trường MPLS VPN, IPsec có thể được
sử dụng tại các điểm khác nhau của mạng:
mà chuyển mạch một gói có nhãn qua mạng MPLS hoặc
Giữa các bộ định tuyến CE của VPN
Giữa một điểm trong VPN và PE
Giữa các bộ định tuyến PE trong lõi MPLS VPN
một phần của mạng MPLS. Về cơ bản, LSP là một đường
dẫn qua mạng MPLS hoặc một phần mạng mà gói đi qua. LSR
đầu tiên của LSP là một LSR vào, ngược lại LSR cuối cùng
của LSP là một LSR ra.
2.1.3.3 FEC (Forwarding Equivalence Class)
Lớp chuyển tiếp tương đương (FEC) là một nhóm hoặc
2.3.2.1 CE-CE IPsec
Nếu IPsec được sử dụng giữa các CE, toàn bộ đường
dẫn giữa các CE được bảo mật các đường truy cập (giữa CE và
PE), cũng như toàn bộ lõi MPLS bao gồm các PE, các P và các
đường dẫn
luồng các gói được chuyển tiếp dọc theo cùng một tuyến
và được xử lý theo cùng một cách chuyển tiếp. Tất cả các
gói cùng thuộc một FEC sẽ có nhãn giống nhau. Tuy nhiên,
khơng phải tất cả các gói có cùng nhãn đều thuộc cùng một
IPsec CE-CE không bảo vệ chống lại các mối đe dọa
sau đây:
Tấn công từ chối dịch vụ (DoS)
Các mối đe dọa trong khu vực đáng tin cậy
FEC, bởi vì giá trị EXP của chúng có thể khác nhau; phương
thức chuyển tiếp khác nhau và nó có thể phụ thuộc vào FEC
khác nhau.
2.1.4 Các giao thức sử dụng trong MPLS
2.1.4.1 Phân phối nhãn
•
•
•
•
Phân phối nhãn với LDP
Các tính chất cơ bản của giao thức phân phối
nhãn LDP
Thủ tục phát hiện LSR lân cận
Giao thức truyền tải tin cậy
Nhìn chung, CE-CE IPsec cung cấp một phương
tiện lý tưởng đảm bảo một MPLS VPN vượt quá
tiêu chuẩn an ninh của các mạng MPLS. Đây là kỹ
thuật của sự lựa chọn cho việc cung cấp an ninh bổ
sung, chẳng hạn như mã hóa lưu lượng truy cập đến
một MPLS VPN.
2.3.2.2 PE-PE IPsec
Thường, PE-PE IPsec được xem như một cách để
tránh khách hàng VPN phải thiết lập CE dựa trên
IPsec. Một vài vị trí tư vấn này là một cấu trúc
12
2.3.1.1 Tổng quan IPsec
IPsec là một kỹ thuật cung cấp các dịch vụ bảo mật qua
9
•
•
Các bản tin LDP
Các chế độ phân phối nhãn
2.1.4.2 Giao thức đặt trước tài nguyên
mạng IP:
Tính bảo mật thơng qua sử dụng mã hóa.
Tính xác thực thông qua việc sử dụng xác thực
đồng cấp và xác thực thơng điệp.
Tính tồn vẹn thơng qua việc sử dụng kiểm tra
tồn vẹn thơng điệp.
Chống lại việc phát lại, bằng cách sử dụng các
chuỗi số đã được xác thực để đảm bảo tính mới mẻ của thơng
2.2 Ứng dụng VPN trên mạng MPLS
2.2.1 Giới thiệu về MPLS trong VNP
2.2.4 Các bộ định tuyến ảo MPLS
Một bộ định tuyến ảo là một tập các chức năng, cả tĩnh
và động trong thiết bị định tuyến, nó cung cấp các dịch vụ định
tuyến và gửi chuyển tiếp giống các bộ định tuyến vật lý
Các đặc tính mà bộ định tuyến ảo cần có là:
Cấu hình của bất cứ sự kết hợp giữa các giao
điệp.
Một trong những lợi ích quan trọng của IPsec là các
dịch vụ bảo mật tất cả được áp dụng trên lớp 3 (lớp mạng) cũng
giống như với IP. Bằng cách này, các dịch vụ bảo mật vẫn độc
lập với cơ chế vận chuyển ưu tiên cũng như các giao thức và
các ứng dụng được dùng ở lớp trên của ngăn xếp.
Khi thiết kế một mạng dùng IPsec, cần xem xét 2 vấn
đề:
Vị trí các đường hầm IPsec nên được áp dụng.
Cách thức thiết lập các đường hầm IPsec.
Để giải quyết 2 vấn đề trên có nhiều cách. Trước hết, ta
sẽ xét vị trí điểm cuối IPsec; sau đó là cách các đường hầm
được thiết lập giữa các vị trí.
thức định tuyến.
Giám sát mạng
Xử lý sự cố
2.2.3 Kiến trúc MPLS VPN
2.2.3.1 Gửi chuyển tiếp trong MPLS VPN
a) Gửi chuyển tiếp
Để cung cấp việc gửi chuyển tiếp các gói tin IP dọc theo
các bộ định tuyến người ta sử dụng MPLS. Lý do mà MPLS
giúp chúng ta làm được điều này là vì nó tách riêng thơng tin sử
dụng cho việc gửi chuyển tiếp gói tin với thơng tin mang trong
tiêu đề IP. Do vậy, chúng ta có thể kết hợp LSP với các bộ định
tuyến VPN-IP và sau đó gửi chuyển tiếp các gói tin IP dọc theo
những bộ định tuyến đó sử dụng MPLS đóng vai trị cơ chế gửi
chuyển tiếp
10
11
b) Gửi chuyển tiếp trong MPLS VPN
2.2.3.3 DiffSer trong MPLS VPN
LSP riêng
Việc cấu hình các LSP riêng cho các VPN cho phép SP
LSP này được coi là tuỳ chọn trong các cơ sở VPN.
cung cấp DiffSer dành cho các khách hàng. Những LSP riêng
LSP này thường kết hợp với việc dự trữ trước băng thơng và
này có thể được kết hợp với bất cứ lớp QoS L2 nào có sẵn hoặc
với các dịch vụ khác nhau riêng biệt hoặc lớp QoS. Nếu LSP
với các điểm mã dịch vụ. Trong một VPN, nhiều LSP riêng với
này sẵn sàng, nó được sử dụng cho dữ liệu người sử dụng và
các lớp dịch vụ khác nhau có thể được cấu hình với các thông
cho việc gửi chuyển tiếp dữ liệu điều khiển cá nhân VPN.
tin luồng cho việc sắp xếp các gói tin trong các LSP. Đặc tính
LSP cơng cộng
này, cùng với khả năng thay đổi kích thước các bộ định tuyến
Các gói tin VPN được gửi chuyển tiếp sử dụng LSP này
ảo, cho phép SP cung cấp các dịch vụ hoàn toàn khác nhau tới
nếu LSP riêng với băng thông xác định và các đặc tính QoS
các khách hàng VPN.
hoặc khơng được cấu hình hoặc hiện tại khơng sẵn sàng. LSP
2.3 MPLS VPN kết hợp IPSEC
được sử dụng là một LSP được tính trước cho bộ định tuyến lối
2.3.1 IPSEC MPLS VPN
ra trong VPN0. VPNID trong tiêu đề chèn thêm được sử dụng
Ngày nay mạng MPLS VPN và IPsec VPN đã được
để phân các gói dữ liệu từ các VPN khác nhau tại bộ định tuyến
triển khai khá rộng, cho thấy rằng cả hai đều có những lợi ích
lối ra.
riêng. Các lợi ích của MPLS VPN chủ yếu bên phía nhà cung
2.2.3.2 Nhận biết đồng bộ định tuyến lân cận trong
cấp dịch vụ do kỹ thuật này cho phép các kiến trúc VPN có khả
MPLS VPN
năng mở rộng cao có tích hợp hỗ trợ QoS. Và các khách hàng
Các VR trong một VPN cho trước thuộc về một số các
SPED trong mạng. Những VR này cần phải nhận biết về các
VR khác và phải được kết nối với các VR khác. Một cách để
thực hiện điều này là yêu cầu thiết lập cấu hình của các VR lân
cận
VPN có lợi ích gián tiếp nhờ việc cung cấp các dịch vụ VPN có
giá cả thấp. Trong khi đó, IPsec VPN có lợi ích chính là bảo
mật mạng khách hàng: dữ liệu được mã hóa, chứng thực và tính
tồn vẹn.