Đồ án MPLS và ứng dụng MPLS VPN

Các giải pháp đường hầm cho VPN là sử dụng mã hóa để bảo vệ dữ liệu không bị xem trộm bởi bất kỳ ai không được phép và để thực hiện đóng gói đa giao thức nếu cần thiết. Mã hóa (encryption) dùng để đảm bảo dữ liệu không đọc được với bất kỳ ai, nhưng có thể đọc được bởi người nhận. Khi mà có nhiều thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hóa thông tin càng trở nên quan trọng. Mã hóa sẽ biến đổi nội dung tin thành dạng vô nghĩa trong dạng mật mã của nó. Tại người nhận sẽ sử dụng chức năng giải mã được cung cấp để giải mã nội dung của thông điệp. 4. 6. Các giao thức dùng cho VPN Có 3 giao thức tạo đường hầm chính để tạo nên một VPN 4. 6. 1. Giao thức đường hầm lớp 2 L2TP Tháng 8/1999, Cisco cho ra đời giao thức tạo đường hầm độc quyền L2F (Layer 2 Forwarding) trước khi chuẩn L2TP ra đời. L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ PPTP(Point-to-Point Tunneling Protocol) được PPTP Forum phát triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ L2TP là dự án kết hợp của Cisco L2F và Microsoft PPTP. Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN point-to-point (Intranet VPN và Extranet VPN) và VPN truy cập từ xa ( Remote Access VPN). Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router (NAS - Network Access Server – Là thiết bị quản lý RAS (Remote Access Server) cho phép khách hàng thực hiện cuộc gọi, thực hiện quá trình khởi tạo sự xác nhận và chuyển tiếp cuộc gọi (qua L2F hoặc L2TP) tới gateway của khách hàng) và giữa router với router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn. L2TP được sử dụng để tạo ra một môi trường độc lập, mạng quay số riêng ảo VPDN ( Virtual Private Dial Network). L2TP cho phép người dùng yêu cầu một chính sách bảo mật tổng thể qua bất kỳ một tuyến VPN hay VPDN nào giống như là một sự mở rộng mạng nội bộ của họ. L2TP không cung cấp sự mã hóa và có thể được giám sát thông qua công cụ phân tích giao thức Giống như PPTP, L2F sử dụng giao thức PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một đường hầm thông qua Internet để đến đích. Tuy nhiên L2TP định nghĩa giao thức tạo đường hầm riêng của nó dựa trên cơ cấu của L2F. Cơ cấu này cho phép triển khai đường hầm L2TP không chỉ trên mạng IP mà còn trên các mạng chuyển mạch gói khác như X25, Frame Relay và ATM. L2TP sử dụng PPP để thiết lập kết nối vật lý. Khi PPP thiết lập kết nối xong, đầu tiên L2TP sẽ xác định xem máy phục vụ mạng tại phía công ty có nhận ra người sử dụng đầu cuối hay không và có sẵn sàng phục vụ như là một điểm đầu cuối của đường hầm hay không. Nếu đường hầm có thể được tạo ra L2TP sẽ thực hiện vai trò đóng gói các gói tin để truyền đi. Khi L2TP tạo ra các đường hầm giữa bộ tập trung truy cập mạng của ISP và máy phục vụ mạng phía công ty, nó có thể gán một hoặc nhiều phiên làm việc trong một đường hầm. L2TP tạo ra một số nhận dạng cuộc gọi (call ID) và chèn Call ID này vào phần đầu của L2TP trong mỗi một gói tin để chỉ ra gói tin đó thuộc phiên làm việc nào. L2TP cho phép giảm lưu lượng mạng và cho phép các máy phục vụ điều khiển việc tắc nghẽn đường truyền bằng cách thực hiện cơ chế điều khiển luồng giữa máy phục vụ truy cập mạng của ISP , còn được gọi là bộ tập trung truy cập L2TP (L2TP Access Connector – LAC), và máy phục vụ mạng phía công ty, còn được gọi là máy phục vụ mạng L2TP (L2TP Network Server – LNS). Các bản tin điều khiển được sử dụng để xác định tỷ lệ đường truyền và các thông số bộ đệm để điều khiển luồng các gói tin PPP của một phiên làm việc trong một đường hầm. 4. 6. 2. Giao thức đóng gói định tuyến chung GRE Trong VPN loại này, giao thức đóng gói định tuyến chung GRE cung cấp cơ cấu đóng gói giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carrier Protocol). Nó bao gồm thông tin về về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ và máy khách. Giao thức này đóng gói IP, CLNP và bất kỳ các gói dữ liệu giao thức khác vào bên trong các đường hầm IP. Với GRE, một router Cisco ở mỗi điểm sẽ đóng gói các gói dữ liệu của một giao thức cụ thể vào trong một tiêu đề IP, tạo ra một đường kết nối ảo point-to-point tới các router Cisco ở các địa điểm khác trong một đám mây mạng IP, tại đó tiêu đề IP được gỡ bỏ. Bằng cách kết nối các mạng con đa giao thức trong một môi trường đường trục (backbone) đơn giản, đường hầm IP cho phép mở rộng mạng qua một môi trường xương sống đơn giao thức. GRE không cung cấp sự mã hóa và có thể được giám sát bằng một công cụ phân tích giao thức 4. 6. 3. Giao thức bảo mật IP (IP Security Protocol) Giao thức bảo mật IPSec cung cấp những tính năng bảo mật cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn. IPSec hoạt động tốt trên cả hai loại mạng VPN là VPN truy cập từ xa và VPN kết nối point-to-point (Intranet VPN và Extranet VPN). Tất nhiên, nó phải được hỗ trợ cả hai giao diện Tunnel. IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề và kích thước của mỗi gói tin, còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ giao thức IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, PC với router, PC với máy chủ hoặc giữa các firewall với nhau. IPSec cung cấp các dịch vụ bảo mật bằng cách sử dụng IKE (Internet Key Exchange) để điều khiển sự thỏa thuận của các giao thức và các thuật toán trên cơ sở các chính sách bảo mật cục bộ và để tạo ra sự mã hóa và các khóa xác nhận được sử dụng bởi IPSec. IPSec hoạt động ở lớp 3, vì vậy nó chỉ truyền được gói tin IP. Trong khi L2TP hoạt động ở lớp 2 (trong mô hình 7 lớp) nên có thể truyền các gói của nhiều giao thứ khác nhau như IP, IPX hoặc NETBEUI. Giao thức L2TP có thể được hỗ trợ bởi giao thức IPSec để tăng cường tính bảo mật khi truyền qua mạng. Tiếp theo ta sẽ tìm hiểu kỹ hơn về IPSec. IPSec là giao thức hoạt động ở lớp 3, đặt một nhóm các giao thức và các công nghệ như AH (Authentication Header – AH ), ESP (Encapsulating Security Payload), IKE (Internet Key Exchange), DES (Data Encryption Standard), AES (Advanced Encryption Standard) và các kỷ thuật khác vào trong hệ thống để đảm bảo cung cấp một phương pháp xác thực tin cậy và an toàn cho gói tin IP. IPSec được dùng cho cả IPv4 và IPv6. Là một tiêu chuẩn mở, IPSec cho phép hoạt động được với các thiết bị của nhiều nhà sản xuất khác nhau và được sử dụng với nhiều loại VPN khác nhau. Mặc dù IPSec được triển khai chủ yếu cho sự mở rộng WAN trong môi trường công cộng chia sẻ, tuy nhiên giao thức này có thể được sử dụng cho việc mã hóa và đảm bảo an ninh trong LAN, mạng campus hoặc thậm chí là Intranet VPN. Theo IETF RFC 2401, IPSec được thiết kế để cung cấp khả năng có thể hoạt động liên kết, chất lượng cao cho IPv4 và IPv6. Các dịch vụ về bảo mật bao gồm điều khiển truy cập, tính toàn vẹn không kết nối, xác thực dữ liệu gốc, mã hóa và bảo mật luồng dữ liệu. Nó có các đặc điểm sau: 4. 6. 3. 1. Đảm bảo tính toàn vẹn của dữ liệu: IPSec đảm bảo tính bảo mật cho luồng IP bằng cách thêm IPSec tiêu đề vào gói IP gốc. Đây là những tiêu đề IPSec mới, ví dụ như AH và ESP, có thể được sử dụng tách biệt nhau hoặc kết hợp với nhau tuy thuộc vào mức độ yêu cầu của bảo mật. Về bản chất, các tiêu đề được thêm vào gói IP gốc nhằm mục đích xác thực gói tin hoặc mã hóa để bảo vệ dữ liệu hoặc cả hai. Sự kết hợp bảo mật (Security Association – SAs) là một phần quan trọng của quá trình xử lý IPSec khi chúng được định nghĩa một mức độ bảo mật giữa hai thiết bị trong quan hệ ngang hàng (peer-to-peer relationship). Bằng các SA, một thiết bị có thể áp dụng các chính sách bảo mật sẽ được sử dụng và nó nhận ra SA bởi một địa chỉ IP, một chỉ số định dạng giao thức bảo mật và một giá trị thông số bảo mật duy nhất. Có hai loại SA. Trao đổi khóa SA là dạng đầu tiên, dùng để nhận thực giữa các thiết bị ngang hàng, trao đổi khóa, và kiểm soát khóa sau đó. Dạng thứ hai là IPSec SA được dùng đàm phán và thiết lập, mỗi một thiết bị sử dụng một phương thức xác thực, một thuật toán hashing và một phương pháp mã hóa. 4. 6. 3. 1. 1. Xác thực tiêu đề (Authentication Header – AH) AH sử dụng một chức năng băm nhỏ key (keyed-hash), sử dụng tốc độ mạch tích hợp cho các ứng dụng đặc biệt (Application-specific intergrated circuits – ASICs) để thực hiện chức năng xác thực và toàn vẹn để truyền dữ liệu. AH xác thực host khởi tạo với host đích trong suốt quá trình thiết lập của sự trao đổi xác nhận key. Có nhiều phương pháp xác thực key, sau đây ta liệt kê một vài trong số đó: IKE dựa trên ISAKMP/OAKLEY: IKE là giao thức trao đổi key lai (hybrid), nó sử dụng một phần của Oakley và một phần giao thức khác được gọi là SKEME bên trong ISA(Internet Security Association) và KMP (Key Management Protocol). Các khóa đã được chia sẻ trước đó một cách thủ công hoặc thông qua sự ủy quyền, và sự trao đổi khóa cũng như chấp nhận được thực hiện bởi IKE. Một một điểm xác thực điểm khác dựa trên quá trình xử lý IKE và đưa ra một SA. Quá trình này xảy ra trước khi bất kỳ một IPSec SA nào đàm phán và trước khi dữ liệu có thể đi qua đường link đã được thiết lập. Perfect Forward Secrecy (PFS) rekeying: Phương pháp này có tính bảo mật cao hơn thậm chí ngay cả khi khóa bị phá bởi những kẻ phá hoại. Nó tách biệt IKE ban đầu từ quá trình xử lý được sử dụng để tạo khóa cho IPSec SA. Vì thế khi khóa IKE SA có thể bị phá nhưng nó sẽ không bị lộ khóa bí mật. Nó cho phép khóa này thay đổi liên tục trong khi phiên làm việc vẫn được duy trì Để đảm bảo tính toàn vẹn cho dữ liệu khi đi qua mạng công cộng, AH sử dụng các thuật toán băm ví dụ như Message Digest 5(MD5). Nó áp dụng trên tiêu đề của gói tin IP ban đầu, nó sẽ giấu các thông tin về địa chỉ IP thực và các thông số khác khi đi qua mạng công cộng. Khi đến đích tiêu đề gói tin IP sẽ được khôi phục và được định tuyến bên trong subnet của mạng đích. 4. 3. 1. 1. 2. Đóng gói bảo mật vùng tải trọng ESP Điều quan trọng là phải bảo mật được vùng dữ liệu, vì thế mã hóa dữ liệu là cần thiết. Trong trường hợp này, một tiêu đề ESP và thuật toán mã hóa ví dụ như DES (3DES) được thêm vào để làm tăng thêm tính bảo mật cho dữ liệu. Kết quả là, ESP đóng gói hoàn toàn dữ liệu người dùng. ESP có thể được sử dụng kết hợp với AH, nhưng ESP bao gồm cả sự xác thực dữ liệu gốc và cơ chế antireplay có trong AH. Vì thế ESP có thể sử dụng cùng kỷ thuật trao đổi khóa được sử dụng cho AH. Nó cho phép ESP chỉ được sử dụng cho lưu lượng IPSec khi mức độ bảo mật cao. Một ví dụ đó là sử dụng cả tiêu đề AH và ASP khi chúng ta muốn cần bảo mật mạnh nhất (ESP) và sự xác nhận mạnh nhất (AH), bởi vì AH có thêm chức năng bảo vệ trường tiêu đề IP mới trong khi ESP thì không có tính năng này. AH dùng để xác thực còn ESP dùng để mã hóa và xác thực. ESP khác với AH ở hai điểm sau: ESP mã hóa dữ liệu trước khi gửi đi, do vậy nó đảm bảo được tính bí mật của dữ liệu. AH thì toàn bộ gói tin được xác thực nhưng không được mã hóa nên có thể đọc được khi qua mạng ESP chỉ xác thực nội dung của gói tin IP chứ không xác thực toàn bộ gói tin IP. 4. 6. 3. 2. Các mode chuyển tiếp dữ liệu trong IPSec IPSec đưa ra hai phương pháp để chuyển tiếp dữ liệu qua mạng cho cả hai giao thức AH và ESP: Đó là Tunnel mode (kiểu đường hầm) và Transport mode(kiểu giao vận) Cả hai kiểu này trên thực tế là hai kiểu khác nhau của SA. Một SA được định nghĩa như là sự kết nối đơn giản, nó cho phép áp dụng các dịch vụ bảo mật cho lưu lượng bên trong SA. Kiểu đường hầm được sử dụng cho bảo mật giữa nhiều host với nhiều host, trong khi đó kiểu giao vận lại được sử dụng cho từng IP host này tới tưng IP host khác hoặc khi các dịch vụ mạng ví dụ như QoS phải được bảo vệ trong tiêu đề IP gốc. 4. 6. 3. 2. 1. Tunnel mode Cả AH và ESP hoạt động ở Tunnel mode. Một đường hầm cung cấp một đường dẫn qua mạng chia sẻ công cộng cho các host hoặc các đầu cuối đường hầm có thể giao tiếp. Các đường hầm này là đường logic giống như mạch ảo VC, được cấu hình trên cổng vật lý. IPSec Tunnel Mode có thể đóng gói và bảo vệ nội dụng của toàn bộ gói tin IP bao gồm cả tiêu đề gốc. Nó thêm vào 20 byte tiêu đề IP cho mỗi gói tin. Hai mô hình sau sẽ mô tả sự thêm tiêu đề IPSec ở cả IPSec Tunnel Mode AH và IPSec Tunnel Mode ASP. Hình 4. 4: Ứng dụng của tiêu đề IPSec AH tới gói tin IP trong mode đường hầm Hình 4. 5: Ứng dụng của IPSec ESP tới gói tin IP ở mode đường hầm 4. 6. 3. 2. 2. Transport mode ( mode giao vận) Cả AH và ESP có thể hoạt động ở mode giao vận. Kiểu giao vận được sử dụng cho đóng gói giao thức vùng tải trọng ở lớp trên hoặc bên trên lớp IP. Thường là ở lớp 4 hoặc các vùng tải trọng ở lớp cao ví dụ như TCP, UDP, BGP… Nó không sử dụng các tiêu đề lớp 3 bởi vì nó có thể cần cho các dịch vụ mạng khác, ví dụ như các ứng dụng cần sử dụng QoS ( Mã hóa tiêu đề gói tin IP gốc có thể không được sử dụng cho các ứng dụng QoS). Mode giao vận AH được sử dụng cho các ứng dụng mà tiêu đề gói tin IP gốc được giữ nguyên và chỉ cần xác thực tính toàn vẹn của dữ liệu gói tin. Mode giao vận ESP được sử dụng cho các ứng dụng duy trì tiêu đề gói tin IP gốc nhưng cũng muốn mã hóa phần còn lai của vùng tải trọng. Hình 4. 6: IPSec ở mode giao vận sử dụng AH Hình 4. 7: IPSec ở mode giao vận sử dụng ESP 4. 6. 3. 3. Quá trình hoạt động của IPSec. Quá trình hoạt động được chia thành 5 bước: 4. 6. 3. 3. 1. Bước 1: Xác định luồng lưu lượng quan tâm (interesting traffic) Hình 4. 8: Xác định luồng traffic Việc xác định luồng dữ liệu nào cần được bảo vệ được thực hiện như là một phần trong việc tính toán một chính sách bảo mật cho việc sử dụng của một VPN. Chính sách được sử dụng để xác định luồng traffic nào cần bảo vệ và luồng traffic nào có thể gửi ở dạng “clear text”. Đối với mọi gói dữ liệu đầu vào và đâu ra, sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu chính sách bảo mật chỉ rõ các giao thức IPSec, các mode, và các thuật toán được sử dụng cho luồng traffic. Các dịch vụ này sau đó được sử dụng cho luồng traffic dành cho mỗi Peer IPSec cụ thể. Với VPN Client, bạn sử dụng các cửa sổ thực đơn để chọn các kết nối mà bạn muốn bảo mật bởi IPSec. Khi các luồng dữ liệu mong muốn truyền tới IPSec Client, client khởi tạo sang bước tiếp theo trong quá trình: Thoả thuận một sự trao đổi bước 1 IKE. 4. 6. 3. 3. 2. Bước 2: Pha IKE thứ nhất (IKE Phase 1) Hình 4. 9: Pha IKE thứ nhất. Mục đích cơ bản của pha IKE thứ nhất là để thoả thuận các tập chính sách IKE, xác thực các đối tượng ngang hàng, và thiết lập một kênh bảo mật giữa các đối tượng ngang hàng. Pha IKE thứ nhất xuất hiện trong hai mode: Main mode và Aggressive mode. Main mode có ba quá trình trao đổi hai chiều giữa nơi khởi tạo và nơi nhận: Quá trình trao đổi đầu tiên: Hình 4. 10: Quá trình trao đổi đầu tiên Trong suốt quá trình trao đổi đầu tiên các thuật toán và các hash được sử dụng để bảo mật sự trao đổi thông tin IKE đã được thoả thuận và đã được đồng ý giữa các đối tượng ngang hàng. Trong khi cố gắng tạo ra một kết nối bảo mật giữa máy A và máy B qua Internet, các kế hoạch bảo mật IKE được trao đổi giữa Router A và B. Các kế hoạch bảo vệ định nghĩa giao thức IPSec hiện tại đã được thoả thuận (ví dụ ESP). Dưới mỗi kế hoạch, người khởi tạo cần phác hoạ những thuật toán nào được sử dụng trong chính sách (ví dụ DES với MD5). Ở đây không phải là thoả thuận mỗi thuật toán một cách riêng biệt, mà là các thuật toán được nhóm trong các tập, một tập chính sách IKE. Một tập chính sách mô tả thuật toán mã hoá nào, thuật toán xác thực nào, mode, và chiều dài khoá. Những kế hoạch IKE và những tập chính sách này được trao đổi trong suốt quá trình trao đổi đầu tiên trong chế độ main mode. Nếu một tập chính sách tương thích được tìm thấy giữa hai đối tượng ngang hàng, main mode tiếp tục. Nếu không một tập chính sách tương thích nào được tìm thấy, tunnel là bị loại bỏ. Trong ví dụ ở trong hình trên, RouterA gửi các tập chính sách IKE 10 và 20 tới RouterB. RouterB so sánh tập chính sách của nó, tập chính sách 15, với những tập chính sách nhận được từ RouterA. Trong trường hợp này, có một cái tương thích: Đó là tập chính sách 10 của Router A tương thích với tập chính sách 15 của Router B. Quá trình trao đổi thứ hai Sử dụng một sự trao đổi DH để tạo ra các khoá mật mã chia sẻ và qua quá trình này các số ngẫu nhiên gửi tới các đối tác khác, signed, và lấy lại xác thực định nghĩa của chúng. Khoá mật mã chia sẻ được sử dụng để tạo ra tất cả các khoá xác thực và mã hoá khác. Khi bước này hoàn thành, các đối tượng ngang hàng có cùng một mật mã chia sẻ nhưng các đối tượng ngang hàng không được xác thực. Quá trình này diễn ra ở bước thứ 3 của bước 1 IKE, quá trình xác thực đặc tính của đối tượng ngang hàng. Quá trình thứ ba – xác thực đặc tính đối tượng ngang hàng: Hình 4. 11: Quá trình trao đổi thứ 3 Các phương thức xác thực ngang hàng: Bước thứ ba và cũng là bước trao đổi cuối cùng được sử dụng để xác thực các đối tượng ngang hàng ở xa. Kết quả chính của main mode là một tuyến đường trao đổi thông tin bảo mật cho các quá trình trao đổi tiếp theo giữa các đối tượng ngang hàng được tạo ra. Có ba phương thức xác thực nguồn gốc dữ liệu: Các khoá pre-shared: Một giá trị khoá mật mã được nhập vào bằng tay của mỗi đối tượng ngang hàng được sử dụng đê xác thực đối tượng ngang hàng. RSA encryption nonces: Nonces (một số ngẫu nhiên được tạo ra bởi mỗi đối tượng ngang hàng) được mã hoá và sau đó được trao đổi giữa các đối tượng ngang hàng. Hai nonce được sử dụng trong suốt quá trình xác thực đối tượng ngang hàng Trong aggressive mode, các trao đổi là ít hơn với ít gói dữ liệu hơn. Mọi thứ đều được trao đổi trong quá trình trao đổi đầu tiên: Sự thoả thuận tập chính sách IKE, sự tạo ra khoá chung DH, một nonce. Trong aggressive mode nhanh hơn main mode. 4. 6. 3. 3. 3. Bước 3: Pha IKE thứ 2 Hình 4. 12: Pha IKE thứ 2 Mục đích của bước 2 IKE là để thoả thuận các thông số bảo mật IPSec được sử dụng để bảo mật đường hầm IPSec. Bước 2 IKE thực hiện các chức năng dưới đây: Thoả thuận các thông số bảo mật, các tập transform IPSec Thiết lập các SA IPSec Thoả thuận lại theo chu kỳ các SA IPSec để chắc chắn bảo mật. Có thể thực hiện thêm một sự trao đổi DH Trong pha IKE thứ 2 chỉ có một mode, gọi là Quick mode. Quick mode xuất hiện sau khi IKE đã được thiết lập đường hầm bảo mật trong pha IKE thứ nhất. Nó thoả thuận một transform IPSec chia sẻ, và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chia sẻ mới và ngăn cản các tấn công “replay” từ việc tạo ra các SA không có thật. Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi thời gian sống của SA IPSec đã hết. Quick mode được sử dụng để nạp lại “keying material” được sử dụng để tạo ra khóa mật mã chia sẻ trên cơ sở “keying material” lấy từ trao đổi DH trong bước 1. Các tập Transform IPSec Kết quả cuối cùng của pha IKE thứ 2 là thiết lập một phiên IPSec bảo mật giữa các điểm đầu cuối. Trước khi điều này có thể xảy ra, mỗi cặp của các điểm đầu cuối thoả thuận mức bảo mật yêu cầu (ví dụ, các thuật toán xác thực và mã hoá cho một phiên). Không những là thoả thuận những giao thức riêng biệt, các giao thức được nhóm vào trong các tập, một tập transform IPSec. Các tập transform IPSec được trao đổi giữa các peer trong suốt quá trình “quick mode”. Nếu một có sự tương thích được tìm thấy giữa các tập, phiên thiết lập IPSec sẽ tiếp tục. Nếu ngược lại thì phiên sẽ bị huỷ bỏ. Hình 4. 13: Đàm phán tập chuyển đổi. Trong ví dụ hình trên, RouterA gửi các tập transform IPSec 30 và 40 đến RouterB. RouterB so sánh tập transform của nó với những cái đã nhận được từ RouterA. Trong ví dụ này, có một cái “match”. Tập transform 30 của RouterA tương thích với tập transform 55 của RouterB. Các thuật toán mã hoá và xác thực có dạng một SA(Security Association). Một SA là một kết nối logic một chiều, cung cấp sự bảo mật cho tất cả traffic đi qua kết nối. Bởi vì hầu hết traffic là hai chiều, do vậy phải cần hai SA: một cho đầu vào và một cho đầu ra. Khi mà các dịch vụ bảo mật được đồng ý giữa các peer, mỗi thiết bị ngang hàng VPN đưa thông tin vào trong một SPD (Security Policy Database). Thông tin này bao gồm thuật toán xác thực, mã hoá, địa chỉ IP đích, mode truyền dẫn, thời gian sống của khoá . v. v. Những thông tin này được coi như là một SA. Thiết bị VPN gán cho SA một số thứ tự, gọi là SPI (Security Parameter Index). Khi gửi các thông số riêng biệt của SA của qua đường hầm, Gateway, hoặc Host chèn SPI vào trong tiêu đề ESP. Khi mà đối tượng ngang hàng IPSec nhận được gói dữ liệu, nó nhìn vào địa chỉ IP đích, giao thức IPSec, và SPI trong SAD (Security Association Database) của nó, và sau đó xử lý gói dư liệu theo các thuật toán được chỉ ra trong SPD. Hình 4. 14: Các thông số của SA (Security Asscociation) IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định nghĩa địa chỉ IP đích SA, giao thức IPSec, và số SPI. SPD định nghĩa các dịch vụ bảo mật được sử dụng cho SA, các thuật toán mã hoá và xác thực, mode, và thời gian sống của khoá. Ví dụ, trong kết nối từ tổng công ty đến nhà băng, chính sách bảo mật cung cấp một vài đường hầm bảo mật sử dụng 3DES, SHA, mode tunnel, và thời gian sống của khoá là 28800. Giá trị SAD là 192. 168. 2. 1, ESD, và SPI là 12. 4. 6. 3. 3. 4. Bước 4: Phiên APSec Hình 4. 15: Một phiên IPSec Sau khi bước 2 IKE hoàn thành và quick mode được thiết lập, traffic sẽ được trao đổi giữa máy A và máy B qua một đường hầm bảo mật. Traffic mong muốn được mã hoá và giải mã theo các dịch vụ bảo mật được chỉ ra trong SA IPSec. 4. 6. 3. 3. 5. Bước 5: Kết thúc đường hầm Hình 4. 16 : Kết thúc một phiên IPSec Các SA IPSec kết thúc thông qua việc xoá hay bằng timing out. Một SA có thể time out khi lượng thời gian đã được chỉ ra là hết hoặc khi số byte được chỉ ra đã qua hết đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Khi các SA IPSec tiếp theo cần cho một luồng, IKE thực hiện một bước 2 mới, và nếu cần thiết, một sự thoả thuận mới trong bước 1 IKE. Một sự thoả thuận thành công sẽ tạo ra các SA và các khoá mới. Các SA mới thường được thiết lập trước khi các SA đang tồn tại hết giá trị. 4. 7. Mô hình ngang hàng và chồng lấn [5] Có hai kiểu VPN được triển khai phổ biến, đó là: Kiểu chồng lấn (Overlay), theo kiểu này, các nhà cung cấp dịch vụ cung cấp đường leased line cho khách hàng Mô hình ngang hàng (peer-to-peer), theo kiểu này nhà cung cấp dịch vụ trao đổi thông định tuyến lớp 3 với khách hàng và nhà cung cấp truyền dữ liệu giữa các site của khách hàng theo con đường tối ưu giữa các site. Theo mô hình này, thì bộ định tuyến của khách hàng được nối trực tiếp với bộ định tuyến của nhà cung cấp dịch vụ. 4. 7. 1. VPN kiểu chồng lấp (overlay VNP model) Kiểu chồng lấp được triển khai qua trung kế riêng trên hạ tầng mạng chung của nhà cung cấp dịch vụ VPN này có thể thực hiện tại lớp 1 sử dụng kênh thuê riêng hoặc đường quay số; tại lớp 2 sử dụng X. 25, Frame Relay hay kênh ảo ATM; tại lớp 3 sử dụng đường hầm IP. Trong mô hình này chức năng của khách hàng và nhà cung cấp dịch vụ như sau: Nhà cung cấp dịch vụ cung cấp cho khách hàng đường leased line. Các đường leased line này được gọi là các VCs, chúng có thể là kết nối liên tục PVC hoặc được thiết lập khi có yêu cầu. Hình sau mô tả mô hình mạng VPN kiểu chồng lấp và các VC được sử dụng trong đó Hình 4. 17: Ví dụ đơn giản mạng VPN kiểu chồng lấp Khách hàng thiết lập kết nối router tới router giữa các thiết bị CPE ( Customer Premises Equipment) qua các kênh ảo VC được cung cấp bởi nhà cung cấp dịch vụ. Giao thức định tuyến luôn luôn được trao đổi giữa các thiết bị của khách hàng và nhà cung cấp dịch vụ không quan tâm tới cấu trúc bên trong của mạng khách hàng. Mặc dù mô kiểu VPN này có những hạn chế sau: Mỗi một VPN có nhiều site, một site có một vài bộ định tuyến cho mục đích dự phòng, tuy nhiên mạng trở nên khó kiểm soát vì phải triển khai dưới dạng full-mesh của các kết nối point-to-point hay các kênh ảo trên mạng trục của nhà cung cấp dịch vụ để tối ưu đường truyền. Hơn nữa do khách hàng phải tự thiết kế và vận hành mạng trục ảo của riêng mình. Mà khách hàng đôi khi không có đủ trình độ và kinh nghiệm. Để giải quyết vấn đề này, nhà cung cấp dịch vụ sẽ phải đảm nhận nhiệm vụ thiết kế và vận hành mạng trục ảo ( Virtual Backbone Network) cho từng khách hàng, điều này sẽ rất phức tạp khi số lượng khách hàng lớn. Nếu mỗi khách hàng có mạng VPN với hàng trăm site thí số lượng kết nối là vô cùng lớn. Điều này ảnh hưởng đến khả năng mở rộng hệ thống mạng Khi số lượng kết nối lớn thì việc thêm bớt các site trên mạng sẽ gây ra ảnh hưởng lớn do phải cấu hình lại