MỤC LỤC
Trang
MỤC LỤC .1
LỜI NÓI ĐẦU .3
CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO.4
1.1. Định nghĩa mạng riêng ảo.4
1.2. Chức năng và lợi ích của VPN .5
1.2.1. Chức năng .5
1.2.2. Lợi ích . 5
1.3. Các dạng kết nối VPN . . 6
1.3.2. Site-to -Site VPN .7
1.4. Các thành phần cơ bản của một VPN . 10
1.4.1. Máy chủ VPN. 10
1.4.2. Máy khách VPN . 11
1.4.3. Bộ định tuyến VPN. . 11
1.4.4. Bộ tập trung VPN (VPN Concentrators) . . 12
1.4.5. Cổng kết nối VPN . 12
CHƯƠNG 2: CÁC GIAO THỨC XÂY DỰNG VPN. 14
2.1. Giao thức đường hầm điểm -điểm PPTP . 14
2.1.1. Kiến trúc của PPTP. . 14
2.1.2. Sử dụng PPTP . 18
2.1.3. Khả năng áp dụng trong thực tế của PPTP . 20
2.2. Giao thức đường hầm tầng 2_L2TP(Layer two Tunneling Protocol) 20
2.2.1. Dạng thức của L2TP . 21
2.2.2. Sử dụng L2TP . 24
2.2.3. Khả năng áp dụng trong thực tế của L2TP . 26
2.3. Giao thức bảo mật IPSec . 27
2.3.1. Khung giao thức IPSec . . 28
2.3.2. Hoạt động của IPSec. 32
2.3.3. Ví dụ về hoạt động của IPSec . 41
- 2 -2.3.4. Các vấn đề còn tồn đọng trong IPSec. 42
CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH CISCO ISO . 43
3.1. Kiến trúc hệ thống. . . 43
3.2. Cisco IOS CLI . . . 44
3.3. Cácđặc điểm của phần mềm Cisco IOS . 45
3.4. Hoạt động của phần mềm Cisco IOS . 46
3.5. Quy trình cấu hình 4 bước IPSec/VPN trên Cisco IOS . 47
3.5.1. Chuẩn bị cho IKE và IPSec . 47
3.5.2. Cấu hình cho IKE Phase 1 . 47
3.5.3. Cấu hình cho IKE Phase 2 . 48
3.6. Kiểm tra lại việc thực hiện IPSec . 55
CHƯƠNG 4: ỨNG DỤNG XÂY DỰNG HỆ THỐNG SITE-TO-SITE VPN
CHO CÔNG TY TNHH THÀNH ĐẠT. 57
4.1. Giới thiệu . 57
4.2. Khảo sát hiện trạng hệ thống. 57
4.3. Sơ đồ hiện trạng hệ thống . 58
4.4 Giải pháp . . 60
4.4.1 Sử dụng dịch vụ Internet Leased line . 60
4.4.2 Thiết lập mạng riêng ảo VPN . 62
4.5 Lựa chọn giải pháp. . 64
4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống :. 65
4.5.1 Mô hình hệ thống. 65
4.5.2 Các bước cấu hình . 65
KẾT LUẬN . 68
TÀI LIỆU THAM KHẢO . . . 70
PHỤ LỤC. . . 71
78 trang |
Chia sẻ: netpro | Lượt xem: 4496 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đồ án Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu).
- Có cơ chế chuyển đổi mã hoá một cách tự động và định kỳ.
- Chặn hoàn toàn các lưu lượng không IPSec.
c) Các bộ tập trung truy cập mạng
Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để
hỗ trợ cho các client L2TP chạy trên các nền khác nhau như Unix, Windows,
Macintosh.
Các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các
thiết bị hỗ trợ L2TP vào máy chủ truy cập của họ, điều này đói hỏi tất cả người
dùng phải có client L2TP tại máy của họ. Điều này cho phép người dùng có thể
sử dụng dịch vụ của nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa
lý. Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói.
Hình 2.9: Đóng bao gói tin L2TP
2.2.3. Khả năng áp dụng trong thực tế của L2TP
Việc lựa chọn một nhà cung cấp dịch vụ L2TP có thể thay đổi tuỳ theo yêu
cầu thiết kế mạng. Nếu thiết kế một VPN đòi hỏi mã hoá đầu cuối-đầu cuối thì
cần cài các client tương thích L2TP tại các host từ xa và thoả thuận với ISP là sẽ
xử lý mã hoá từ máy đầu xa đến tận máy chủ của mạng VPN. Nếu xây dựng một
mạng với múc độ bảo mật thấp hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn
bảo mật dữ liệu khi nó đi trong đường hầm trên Inernet thì thoả thuận với ISP để
họ hỗ trợ LAC và mã hoá dữ liệu chỉ từ đoạn LAC đến LNS của mạng riêng.
L2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối hợp
những đặc tính tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm
PPTP đều đưa ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này.
- 27 -
Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các
mạng khác như Frame Relay, ATM đã làm cho nó thêm phổ biến. L2TP cho
phép một lượng lớn client từ xa được kết nối vào VPN hay cho các kết nối LAN-
LAN có dung lượng lớn. L2TP có cơ chế điều khiển luồng để làm giảm tắc
nghẽn trên đường hầm L2TP.
L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi
đường hầm có thể gán cho một ngưòi dùng xác định, hoặc một nhóm các người
dùng và gán cho các môi trường khác nhau tuỳ theo thuộc tính chất lượng phục
vụ QoS của người dùng.
2.3. Giao thức bảo mật IPSec
Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật
vốn có. Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao
thức IPSec. Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói
dữ liệu IP. Họ giao thức này mô tả kiến trúc cơ bản của IPSec bao gồm hai loại
tiêu đề được sử dụng trong gói IP, gói IP là đơn vị dữ kiệu cơ sở trong mạng IP.
IPSec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và
mã hoá: một là xác thực tiêu đề IP – AH (IP Authentication Header) điều khiển
việc xác thực và hai là đóng gói tải tin an toàn ESP (Encapsulation Security
Payload) cho mục đích mã hoá.
IPSec không phải là một giao thức. Nó là một khung của các tập giao thức
chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và
phương pháp nhận thức để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và
sự tin cậy dữ liệu. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương
án tối ưu cho mạng của công ty. Nó đảm bảo truyền thông tin cậy trên mạng IP
công cộng đối với các ứng dụng.
IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền
những luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh
để bảo vệ luồng dữ liệu giữa hai Host.
- 28 -
2.3.1. Khung giao thức IPSec
IPSec là khung của các chuẩn mở, được phát triển bởi IETF.
Hình 2.10: Khung giao thức được sử dụng trong IPSec
Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.
- Giao thức bảo mật IP (IPSec)
+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload)
- Mã hoá bản tin
+ DES (Data Encryption Standard)
+ 3 DES (Triple DES)
- Các chức năng toàn vẹn bản tin
+ HMAC (Hash – ased Message Authentication Code)
+ MD5 (Message Digest 5)
+ SHA-1 (Secure Hash Algorithm -1)
- Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ RSA Encrypted Nonces
- Quản lý khoá
+ DH (Diffie- Hellman)
+ CA (Certificate Authority)
- Kết hợp an ninh
- 29 -
+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management
Protocol)
Hai giao thức chính của IPSec là AH (Authentication Header) và ESP
(Encapsulation Security Payload ).
- AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói
IP truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị
thay đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ
liệu nên các dữ liệu đều được truyền dưới dạng bản rõ.
Hình 2.11: Khuôn dạng gói AH
- ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực
nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của
thông tin thông qua việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được
mật mã giữa hai hệ thống.
- 30 -
Hình 2.12: Khuôn dạng gói ESP
*Hoạt động của AH và ESP trong các chế độ (mode)
AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác
nhau tương ứng với hai mode: Transport mode và Tunnel mode.
+ Transport mode:
Được sử dụng phổ biến cho những kết nối giữa các host hay giữa các thiết
bị có chức năng như những host. Ví dụ, một cổng nối IPSec (đó có thể là bộ định
tuyến phần mềm IOS, FIX Firewall, hay bộ tập trung VPN 3000 của Cisco) có
thể xem như là một host khi được truy nhập bởi một nhà quản lý cấu hình hay
những hoạt động điều khiển khác.
Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ
chế bảo mật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần
IP header luôn ở dạng “clear”.
Trong Transport mode, AH được chèn vào sau tiêu đề IP và trước các giao
thức lớp trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn vào trước đó.
+ Tunnel mode:
Được sử dụng giữa các cổng nối như các bộ định tuyến, những FIX
Firewwall, những bộ tập trung. Tunnel mode cũng được sử dụng phổ biến khi
- 31 -
một host kết nối tới một trong những cổng nối đó để gia tăng truy nhập tới các
mạng được điều khiển bởi cổng nối đó, như trong trường hợp những người dùng
từ xa quay số truy cập tới một bộ định tuyến hay bộ tập trung.
Hình 2.13: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH
Hình 2.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel
mode, IPSec yêu cầu phải hỗ trợ được cho tổ hợp của transport mode và Tunnel
mode. Điều này được thực hiện bằng các sử dụng Tunnel mode để mã hoá và xác
thực các gói và tiêu đề của nó rồi gắn AH hoặc ESP, hoặc dùng cả hai trong chế
độ transport mode để bảo mật cho tiêu đề mới được tạo ra. AH và ESP không thể
- 32 -
sử dụng chung trong Tunnel mode bởi vì ESP đã có cơ chế tuỳ chọn xác thực,
tuỳ chọn này nên sử dụng trong Tunnel modekhi các gói cần phải mã hoá và xác
thực.
2.3.2. Hoạt động của IPSec
Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn
với các dịch vụ bảo mật cần thiết và hoạt động của IPSec có thể chia thành 5
bước chính như sau:
Hình 2.15: 5 bước hoạt động của IPSec.
A gửi lưu lượng cần bảo vệ tới B
Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE
SA ← IKE Phase → IKE SA
Router A và B thoả thuận một phiên trao đổi IKE Phase 2
IPSec SA ← IKE Phase → IPSec SA
Thông tin được truyền dẫn qua đường hầm IPSec
Kết thúc đường hầm IPSec
Bước 1- Kích hoạt lưu lượng cần bảo vệ.
Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính
sách an ninh (Security Policy) của một mạng VPN. Chính sách được sử dụng để
quyết định lưu lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở
dạng bản rõ (clear text) không cần bảo vệ). Chính sách sau đó sẽ được thực hiện
ở giao diện của mỗi đối tác IPSec.
- 33 -
Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec,
cho qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi
IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho
gói dữ liệu. Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các
node, và các thuật toán được sử dụng cho luồng lưu lượng.
Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists)
của các router được sử dụng để biết lưu lượng nào cần mật mã.
Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã.
- Lệnh deny : Xác định lưu lượng phải được gửi đi dưới dạng
không mật mã.
Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt
bước tiếp theo: Thoả thuận một trao đổi IKE Phase 1.
Bước 2 – IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE
(IKE policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các
đối tác. IKE Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh
(Aggressive mode).
Hình 2.16 : IKE Phase 1
Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:
- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo
vệ các trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác.
- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung
(shared secret keys). Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá
mật mã và xác thực khác.
- 34 -
- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác). Kết
quả của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp
theo của hai đối tác.
Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn). Hầu
hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính
sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể
sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận
gửi trở lại mọi thứ cần thiết để hoàn thành (complete)việc trao đổi. Cuối cùng
bên khởi tạo khẳng định (confirm) việc trao đổi.
Các tập chính sách IKE
Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet,
một đường hầm an toàn được thiết lập giữa Router A và Router B. Thông qua
đường hầm, các giao thức mật mã, xác thực và các giao thức khác được thoả
thuận. Thay vì phải thoả từng giao thức một, các giao thức được nhóm thành các
tập, chính là tập chính sách IKE (IKE policy set). Các tập chính sách IKE được
trao đổi trong IKE Phase 1 ở chế độ chính và trong trao đổi thứ nhất. Nếu một
chính sách thống nhất (matching policy) được tìm thấy ở hai phía thì chế độ
chính tiếp tục. Nếu không tìm thấy chính sách thống nhất nào thì đường hầm sẽ
bị loại bỏ.
Hình 2.17: Tập chính sách IKE
Ví dụ, Router A gửi các tập chính sách IKE Policy 10 và IKE Policy 20 tới
Router B. Router B so sánh với tập chính sách của nó, IKE Policy 15, với các tập
chính sách nhận được từ Router A. Trong trường hợp này, một chính sách thống
nhất được tìm thấy: IKE Policy 10 của Router A và IKE Policy 15 của Router B
là tương đương.
- 35 -
Trong nhiều ứng dụng điểm- tới điểm, mỗi bên chỉ cần định nghĩa một tập
các chính sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều
chính sách IKE để đáp ứng nhu cầu của tất cả các đối tác từ xa.
Trao đổi khoá Diffie-Hellman
Trao đổi khoá Diffie-Hellman là một phương pháp mật mã khoá công khai
cho phép hai bên thiết lập một khoá bí mật chung qua một môi trường truyền
thông an toàn. Khoá mật mã này sẽ được sử dụng để tạo ra tất cả các khoá xác
thực và mã hoá khác.
Khi đã hoàn thành viêc thoả thuận các nhóm, khoá bí mật chung SKEYID
sẽ được tính. SKEYID được sử dụng để tạo ra 3 khoá khác SKEYID_a,
SKEYID_e, SKEYID_d. Mỗi khoá có một mục đích riêng:
SKEYID_a đựoc sử dụng trong quá trình xác thực.
SKEYID_e được sử dụng trong quá trình mật mã.
SKEYID_d được sử dụng để tạo ra các khoá cho các kết hợp an ninh
không theo giao thức ISAKMP (non-ISAKMP SAs). Cả bốn khoá trên đều được
tính trong IKE Phase 1.
Khi bước này hoàn thành, các đối tác ngang hàng có cùng một mật mã chia
sẻ nhưng các đối tượng này không được xác thực. Quá trình này diễn ra ở quá
trình thứ 3, quá trình xác thực đối tác.
Xác thực đối tác
Xác thực đối tác là bước trao đổi cuối cùng được sử dụng để xác thực các
đối tác nghĩa là thực hiện kiểm tra xem ai đang ở bên kia của đường hầm. Các
thiết bị ở hai đầu đường hầm VPN phải được xác thực trước khi đường truyền
thông được coi là an toàn. Trao đổi cuối cùng của IKE Phase 1 có mục đích là để
xác thực đối tác.
- 36 -
Hình 2.18: Xác thực các đối tác
Ba phương pháp xác thực nguồn gốc dữ liệu:
- Pre-shared keys (Các khoá chia sẻ trước) – một giá trị khoá bí mật được
nhập vào bằng tay để xác định đối tác.
- RSA signatures (Các chữ ký RSA) – sử dụng việc trao đổi các chứng nhận
số (digital certificates) để xác thực đối tác.
- RSA encryption nonces – Các số ngẫu nhiên (nonces_một số ngẫu nhiên
được tạo ra bổi mỗi đối tác) được mã hoá và sau đó được trao đổi giữa các đối
tác ngang hàng, 2 nonce được sử dụng trong suốt quá trình xác thực đối tác
ngang hàng.
Bước 3 – IKE Phase 2
Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec
được sử dụng để bảo mật đường hầm IPSec.
Hình 2.19: Thoả thuận các thông số bảo mật IPSec
IKE Phase 2 thức hiện các chức năng sau:
Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các
tập chuyển đổi IPSec (IPSec transform sets).
Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
- 37 -
Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường
hầm.
Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới
được tạo ra, làm tăng tính an toàn của đường hầm).
IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode
Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE
Phase 1. IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá
bí mật chung sủ dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec.
Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chung
mới và ngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật.
Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi
SA IPSec cũ đã hết hạn.
Các tập chuyển đổi IPSec
Mục đích cuối cùng của IKE Phase 2 là thiết lập một phiên IPSec an toàn
giữa các điểm đầu cuối. Trước khi thực hiện được điều này thì mỗi cặp điểm cuối
cần thoả thuận múc độ an toàn cần thiết (ví dụ, các thuật toán xác thực và mật mã
dung trong phiên đó). Thay vì phải thoả thuận từng giao thức riêng lẻ, các giao
thức được nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập
chuyển đổi này được trao đổi giữa hai phía trong Quick Mode. Nếu tìm thấy một
tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục,
ngược lại phiên đó sẽ bị loại bỏ.
Hình 2.20: tập chuyển đổi IPSec
- 38 -
Ví dụ: Router A gửi IPSec transform set 30 và 40 tới Router B , Router B so
sánh với IPSec transform set 55 của nó và thấy tương đương với IPSec transform
set 30 của Router A, các thuật toán xác thực và mật mã rong các tập chuyển đổi
này hình thành một kết hợp an ninh SA.
Kết hợp an ninh (SA)
Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN
sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán
xác thức, mật mã; địa chỉ của đối tác, Chế độ truyền dẫn, thồi gian sống của khoá
.v.v. Những thông tin này được biết đến như là một kết hợp an ninh SA. Một SA
là một kết nối logic một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua
kết nối. Bởi vì hầu hết lưu lượng là hai chiều nên phải cần hai SA, một cho đầu
vào và một cho đầu ra.
Thiết bị VPN sau đó sẽ đánh số SA bằng một số SPI (Security Parameter
Index – chỉ số thông số bảo mật). Thay vì gửi từng thông số của SA qua đường
hầm, mỗi phía chỉ đơn giản chèn số SPI vào ESP Header. Khi bên thu nhận được
gói sẽ tìm kiếm địa chỉ đích và SPI trong cơ sở dữ liệu của nó SAD (Security
Association database), sau đó xử lý gói theo các thuật toán được chỉ định bởi SPI
/ ra trong SPD
Hình 2.21 : Các kết hợp an ninh
- 39 -
IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định
nghĩa địa chỉ IP đối tác đích, giao thức IPSec, số SPI. SPD định nghĩa các dịch
vụ bảo mật được sử dụng cho đối tác SA, các thuật toán mã hoá và xác thực,
mode, và thời gian sống của khoá.
Ví dụ, đối với một kết nối mạng Công ty – Ngân hàng , một đường hầm rất
an toàn được thiết lập giữa hai phía, đường hầm này sử dụng 3DES, SHA, tunnel
mode, và thời hạn của khoá là 28800, giá trị SAD là 192.168.2.1, ESD và SPI là
12. Với người sử dụng từ xa truy nhập vào e-mail thì đường hầm có mức bảo mật
thấp hơn được thoả thuận, sử dụng DES, MD5, tunnel mode, thời hạn của khoá là
28800, tương ứng với SPI là 39.
Thời hạn (lifetime) của một kết hợp an ninh
Vấn đề tương đương với thời hạn của một mật khẩu sử dụng mật khẩu trong
máy tính, thời hạn càng dài thì nguy cơ mất an toàn càng lớn. Các khoá và các
SA cũng vậy, để đảm bảo tính an toàn cao thì các khoá và các SA phải được thay
đổi một cách thường xuyên. Có hai thông số cần được xác định để thay đổi khoá
và SA:
Lifetime type - Xác định kiểu tính là theo số Byte hay theo thời gian đã
truyền đi.
Duration – Xác định đơn vị tính là Kbs dữ liệu hay giây.
Ví dụ: lifetime là 10000Kbs dữ liệu đã truyền đi hoặc 28800s. Các khoá và
SAs còn hiệu lực cho đến khi lifetime hết hạn hoặc có một nguyên nhân bên
ngoài, chẳng hạn một bên ngắt đường hầm, khi đó khoá và SA bị xoá bỏ.
Bước 4 – Đường hầm mật mã IPSec
Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp
an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một
đường hầm an toàn. Lưu lượng được mật mã và giải mã theo các thuật toán xác
định trong IPSec SA.
- 40 -
Hình 2.22: Đường hầm IPSec được thiết lập
Bước 5 – Kết thúc đường hầm
Hình 2.23: Kết thúc đường hầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết
hạn khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền
qua đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec
SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần
thiết thì sẽ thoả thuận một IKE Phase 1 mới. Một hoả thuận thành công sẽ tạo ra
cacSA và khoá mới. Các SA mới được thiết lập trước các SA cũ hết hạn để đảm
bảo tính liên tục của luồng thông tin.
- 41 -
2.3.3. Ví dụ về hoạt động của IPSec
Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như
trong hình vẽ.
Hinh 2.24: Quá trình trao đổi thông tin
Trong ví dụ này, B muốn truyền thông an toàn với A. Khi gói dữ liệu tới
Router B, Router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần được
bảo vệ. Chính sách an ninh được cấu hình trước cũng cho biết Router A sẽ là
điểm cuối phía bên kia của đường hầm IPSec. Router B kiểm tra xem đã có
IPSec SA nào được thiết lập với Router A chưa? nếu chưa thì yêu cầu một quá
trình IKE để thiết lập IPSec SA. Nếu hai Router đã thoả thuận được một IPSec
SA thì IPSec SA có thể được tạo ra tức thời. Trong trưòng hợp, hai Router chưa
thoả thuận một IKE SA thì đầu tiên chúng phải thoả thuận một IKE SA trước khi
thoả thuận các IPSec SA. Trong quá trình này, hai Router trao đổi các chứng thực
số, các chứng thực này phải được ký trước bởi một CA mà hai phía cùng tin
tưởng. Khi phiên IKE đã được thiết lập, hai Router có thể thoả thuận IPSec SA.
Khi IPSec SA đã được thiết lập, hai Router sẽ thống nhất được thuật toán mật mã
(chẳng hạn DES), thuật toán xác thực (chẳng hạn MD5), và một khoá phiên sử
dụng chung. Tới đây, Router B có thể mật mã gói tin của B, đặt nó vào trong một
gói IPSec mới, sau đó gửi tới Router A. Khi Router A nhận gói IPSec, nó tìm
kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển
tới A. Quá trình phức tạp này được thực hiện hoàn toàn trong suốt đối với A và
B.
- 42 -
2.3.4. Các vấn đề còn tồn đọng trong IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật
một VPN thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển
để hướng tới hoàn thiện. Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích
thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng
giảm xuống. Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã
hóa, nhưng điều này chưa được chuẩn hóa.
- IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá
bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.
- Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối
với các trạm làm việc và máy PC cũ.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế
đối với chính phủ một số nước.
Sử dụng IPSec ở chế độ dường hầm cho phép các nút có thể có những địa
chỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi
chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý cẩn thận
sao cho nhận dạng được nhau.
- 43 -
CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH
CISCO ISO
3.1. Kiến trúc hệ thống
- CPU (đơn vị xử lý trung tâm): thực thi các câu lệnh của hệ điều hành để
thực hiện các nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển các cổng
giao tiếp mạng. CPU là một bộ vi xử lý. Trong các router lớn có thể có nhiều
CPU.
- RAM: Được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển
mạch nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu.
Toàn bộ nội dung trên RAM sẽ bị xóa khi tắt điện.
- Flash: Bộ nhớ flash được sử dụng để lưu toàn bộ phần mềm hệ điều hành
Cisco IOS. Mặc định là router tìm IOS của nó trong flash. Ta có thể nâng cấp hệ
điều hành bằng cách chép phiên bản mới hơn vào flash. Đối với hầu hết các
router, IOS được chép lên RAM trong quá trình khởi động router. Còn một số
router thì IOS có thể chạy trực tiếp trên flash mà không cần chép lên RAM.
- NVRAM (Non-volative Random-acess Memory): Là bộ nhớ RAM không
bị mất thông tin, được sử dụng để lưu tập tin cấu hình. Trong một số thiết bị có
NVRAM và flash riêng, NVRAM được thực thi nhờ flash. Trong một số thiết bị,
flash và NVRAM là cùng 1 bộ nhớ. Trong cả 2 trường hợp, nội dung của
NVRAM vẫn được lưu giữ khi tắt điện.
- Bus: Phần lớn các router đều có bus hệ thống và CPU bus. Bus hệ thống
được sử dụng để thông tin liên lạc giữa CPU với các cổng giao tiếp và các khe
mở rộng. Loại bus này vận chuyển các gói dữ liệu đi và đến các cổng giao tiếp.
CPU sử dụng CPU bus để truy xuất các thành phần của router thông qua bộ nhớ
trên router. Loại bus này vận chuyển dữ liệu và các câu lệnh đi và đến các địa chỉ
của ô nhớ tương ứng.
- ROM (Read-Only Memory): Là nơi lưu đoạn mã của chương trình kiểm
tra khi khởi động. Nhiệm vụ chính của ROM là kiểm tra phần cứng của router
khi khởi động, sau đó chép phần mềm Cisco IOS từ flash vào RAM. Nội dung
- 44 -
của ROM không thể xóa được. Ta chỉ có thể nâng cấp ROM bằng cách thay chip
ROM mới.
- Các cổng giao tiếp: Là nơi router kết nối với bên ngoài. Router có 3 loại
cổng: LAN, WAN và console/AUX. Cổng LAN thường là cổng Ethenet hoặc
Token Ring. Các cổng này có thể gắn cố định trên router hoặc dưới dạng card
rời.
Cổng WAN có thể là cổng serial, ISDN, cổng tích hợp đơn vị kênh CSU
(Channel Service Unit). Tương tự như cổng giao tiếp LAN, các cổng giao tiếp
WAN cũng có thể cố định trên router hoặc ở dạng card rời.
Cổng console/AUX là cổng nối tiếp, chủ yếu được sử dụng để cấu hình
router. Hai cổng này không phải là loại cổng để kết nối mạng mà là để kết nối
vào máy tính thông qua modem hoặc thông qua cổng COM trên máy tính để thực
hiện cấu hình router.
- Nguồn điện: Cung cấp điện cho các thành phần của router. Một số router
lớn có thể sử dụng nhiều bộ nguồn hoặc nhiều card nguồn. Còn ở một số router
nhỏ, nguồn điện có thể là bộ phận nằm ngoài router.
3.2. Cisco IOS CLI
Cisco có 3 chế độ lệnh, với từng chế độ sẽ có quyền truy cập với những bộ
lệnh khác nhau.
- Chế độ người dùng: Đây là chế độ đầu tiên mà người sử dụng truy cập vào
sau khi đăng nhập vào router. Chế độ người dùng có thể được nhận ra bởi ký
hiệu “>” ngay sau tên router. Chế độ này chỉ cho phép thực thi một số câu lệnh
hiển thị các thông tin cơ bản của router như xem trạng thái của hệ thống. Hệ
thống không thể được cấu hình hay khởi động ở chế độ này.
- Chế độ đặc quyền: Chế độ này cho phép người dùng xem cấu hình của hệ
thống, khởi động lại hệ thống
Các file đính kèm theo tài liệu này:
- Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt.pdf