Dynamic Multipoint Virtual Private Network

Published on May 2016 | Categories: Documents | Downloads: 41 | Comments: 0 | Views: 1022
of 57
Download PDF   Embed   Report

Comments

Content

TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
HỮU NGHỊ VIỆT – HÀN KHOA KHOA HỌC MÁY TÍNH

BÁO CÁO
THỰC TẬP TỐT NGHIỆP

Tên:

Tìm Hiểu và Triển Khai
Ipsec Trong Virtual Private Network

Sinh viên thực hiện: Lớp: Cán bộ hướng dẫn: Đơn vị thực tập:

Phan Anh Tuấn MM03C Nguyễn Đức Việt Khôi C.ty CP Trường Tân

Đà Nẵng, tháng 04 năm 2012

LỜI MỞ ĐẦU
1. Lý do chọn đề tài Ngày nay với sự bùng nổ của ngành công nghệ thông tin nói chung và mạng internet nói riêng đã đem lại cho chúng ta nhiều điều mới mẻ, các mối quan hệ công việc trong xã hội ngày càng tiện lợi hơn, cho phép các nhân viên làm việc một cách hiệu quả tại nhà và cho phép một doanh nghiệp kết nối một cách an toàn đến các đại lý của họ cùng các hãng hợp tác. Một trong những công nghệ mà hiện nay được các doanh nghiệp, các công ty, các hãng thương mại, … sử dụng phổ biến là Virtual Private Network (VPN). Dựa vào công nghệ VPN, khoảng cách địa lí không còn là vấn đề khi truy xuất tài nguyên nội bộ, ngoài ra VPN còn giúp tiết kiệm nhiều chi phí và thời gian. Khi xây dựng VPN, vấn đề đảm bảo an ninh giữa các mạng là vấn đề cần được quan tâm nhất. Một trong những giải pháp đảm bảo tính bảo mật của mạng VPN là IPSec. Tuy công nghệ này không phải là mới nhưng nó được áp dụng rất rộng rãi. Chính những lí do trên, em đã quyết định chọn đề tài “Tìm hiểu và triển khai IPSec trong Virtual Private Network” làm đề tài nghiên cứu thực tập của mình. 2. Mục tiêu và nhiệm vụ nghiên cứu Mục tiêu: giúp cho người đọc có thể nắm bắt được cách thức hoạt động và tầm quan trọng của IPSec đối với mạng VPN Nhiệm vụ: Tìm hiểu lý thuyết về IPSec, VPN Xây dựng mô hình mạng VPN có triển khai IPSec Thực hiện triển khai mô hình mạng trên Lab và thực tế Phân tích tổng hợp đánh giá hệ thống Tối ưu hệ thống Đối tượng: Nghiên cứu về IPSec Phạm vi nghiên cứu: Nghiên cứu áp dụng cho mô hình mạng của doanh nghiệp vừa và nhỏ. 4. Những phƣơng tiện công cụ để có thể triển khai Thiết bị mạng Router Cisco

3. Đối tƣợng và phạm vi nghiên cứu -

5. Phƣơng pháp nghiên cứu Thu thập tài liệu Tìm hiểu trên các tài liệu học tập và tài liệu trên mạng Đánh giá kết quả Tổng hợp và viết báo cáo Triển khai được các mô hình VPN

6. Dự kiến kết quả 7. Ý nghĩa khoa học và thực tiễn Ý nghĩa khoa học Tài liệu giúp cho người quản trị hệ thống mạng có thể xây dựng được các kết nối mạng bảo mật với người dùng từ xa hoặc các chi nhánh công ty ở xa. Ý nghĩa thực tiễn: Giúp cho hệ thống mang của một doanh nghiệp hay một tổ chức kết nối với các hệ thống mạng hay người dùng từ xa một cách an toàn, hiệu quả, tránh lãng phí tài nguyên. Tránh được các nguy cơ mất mát dữ liệu. 8. Đặt tên đề tài Tìm hiểu và triển khai IPSec trong Virtual Private Network

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc

PHIẾU ĐÁNH GIÁ
KẾT QUẢ THỰC TẬP TỐT NGHIỆP CUỐI KHOÁ CỦA SINH VIÊN KHÓA HỌC: 2009 - 2012
- Họ và tên sinh viên: - Ngày tháng năm sinh: - Nơi sinh: - Lớp: CCMM03C - Ngành đào tạo: Phan Anh Tuấn 07/03/1991 Quảng Trị Khóa: 2009 – 2012 Mạng Máy Tính Hệ đào tạo: Cao Đẳng

- Thời gian thực tập tốt nghiệp: từ ngày: 26/03/2012 đến ngày: 04/05/2012 - Tại cơ quan: Công ty cổ phần Trường Tân - Nội dung thực tập: + Khảo sát mô hình mạng của công ty, các thiết bị mà công sử dụng. + Tìm hiểu quản lý hệ thống mạng và các ứng dụng có sẵn của công ty. + Cách cấu hình một hệ thống mạng hoàn chỉnh với một số thiết bị. 1. Nhận xét về chuyên môn: ........................................................................................................................................... ........................................................................................................................................... ........................................................................................................................................... 2. Nhận xét về thái độ, tinh thần trách nhiệm, chấp hành nội quy, quy chế của cơ quan thực tập: ........................................................................................................................................... ........................................................................................................................................... ........................................................................................................................................... 3. Kết quả thực tập tốt nghiệp: (chấm theo thang điểm 10): .........................................

Đà Nẵng, ngày ……..tháng …….. năm 20…. CÁN BỘ HƢỚNG DẪN (Ký, ghi rõ họ tên) CƠ QUAN TIẾP NHẬN SINH VIÊN THỰC TẬP (Ký tên, đóng dấu)

Tìm hiểu và triển khai IPSec trong Virtual Private Network

1

MỤC LỤC
PHẦN I: GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN TRƢỜNG TÂN ........................3 PHẦN II: TÌM HIỂU VÀ TRIỂN KHAI IPSEC TRONG VIRTUAL PRIVATE NETWORK ....................................................................................................................4 CHƢƠNG I: LÝ THUYẾT ...........................................................................................4 1. GIỚI THIỆU VỀ MẠNG RIÊNG ẢO..............................................................4 1.1. Giới thiệu.......................................................................................................4 1.2. Phân loại ........................................................................................................4 2. CÔNG NGHỆ IP SECURITY .........................................................................13 2.1. Tim hiểu về giao thức IPSec ......................................................................13 2.2. Cơ chế hoạt động của giao thƣc AH và ESP ...........................................16 3. PUBLIC KEY INFRASTRUCTURE .............................................................31 3.1. Tổng quan PKI ...........................................................................................31 3.2. Các thành phần của PKI ...........................................................................32 3.3. Cơ sở hạ tầng của PKI ...............................................................................34 4. DYNAMIC MULTIPOINT VIRTUAL PRIVATE NETWORK ................36 4.1. Khái quát về DMVPN ................................................................................36 4.2. Next Hop Resolution Protocol ...................................................................40 CHƢƠNG II: THỰC HÀNH ......................................................................................44 1. MÔ HÌNH CHUNG ..........................................................................................44 2. CẤU HÌNH ........................................................................................................44 3. KIỂM TRA ........................................................................................................49 KẾT LUẬN ..................................................................................................................52 TÀI LIỆU THAM KHẢO...........................................................................................53

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

2

MỤC LỤC HÌNH ẢNH
Hình 1. 1: Remote Access VPN ....................................................................................5 Hình 1. 2: Remote Access VPN Setup ..........................................................................6 Hình 1. 3: Kết nối các doanh nghiệp qua mạng công cộng ........................................7 Hình 1. 4: The Traditional Extranet Setup .................................................................8 Hình 1. 5: The Extranet VPN Setup ............................................................................9 Hình 1. 6: VPN Model - OSI Model ...........................................................................10 Hình 1. 7: L2TP Tunnel Negotiation .........................................................................11 Hình 1. 8: L2TP Header ..............................................................................................12 Hình 1. 9: Đóng gói theo giao thức GRE ...................................................................12 Hình 1. 10: L2TP/IPSec VPN Remote Access ...........................................................12 Hình 1. 11: L2TP/IPSec VPN Site to Site ..................................................................13

Hình 2. 1: AH Tunnel Mode Packet...........................................................................17 Hình 2. 2: ESP Tunnel Mode Packet .........................................................................17 Hình 2. 3: AH Tunnel Mode Packet...........................................................................18 Hình 2. 4: AH Transport Mode Packet .....................................................................18 Hình 2. 5: AH Header .................................................................................................19 Hình 2. 6: Sample AH Transport Mode Packet .......................................................20 Hình 2. 7: AH Header Fields from Sample Packet ..................................................21 Hình 2. 8: ESP Tunnel Mode Packet .........................................................................23 Hình 2. 9: ESP Transport Mode Packet ....................................................................23 Hình 2. 10: ESP Packet Fields ....................................................................................24 Hình 2. 11: ESP Packet Capture ................................................................................26 Hình 2. 12: ESP Header Fields from Sample Packets ..............................................26 Hình 2. 13: IPSec Transport Mode ............................................................................27 Hình 2. 14: Transport Mode Tunnel..........................................................................28 Hình 2. 15: Transport Mode Packet ..........................................................................28 Hình 2. 16: Tunnel Mode - AH Tunnel .....................................................................28 Hình 2. 17: ESP Tunnel - Mode VPN ........................................................................29 Hình 2. 18: IPSec Tunnel Mode .................................................................................29 Hình 2. 19: Packet Flow from Host A2 to Host B3 ...................................................30 Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

3

PHẦN I: GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN TRƢỜNG TÂN
1. CƠ QUAN THỰC TẬP Tên cơ quan: Công ty cổ phần Trường Tân. Địa chỉ: 134 Lê Duẩn, Quận Hải Châu, Thành phố Đà Nẵng. Email: [email protected] Website: www.truongtan.edu.vn Số điện thoại: 05113 867768

2. GIỚI THIỆU CHUNG Tiền thân là công ty DTSCorp có trụ sở chính tại Tp.HCM, thành lập vào năm 2005, hoạt động trong lĩnh vực tư vấn giải pháp CNTT, thiết kế và thi công các hệ thống mạng, an ninh mạng, các ứng dụng CNTT cho các doanh nghiệp. Tháng 5 năm 2006 hợp tác với công ty TNHH VSIC Informatics - công ty 100% vốn nước ngoài - đầu tư và thành lập chi nhánh công ty TNHH VSIC Informatics tại Đà Nẵng, hoạt động chuyên về lĩnh vực đào tạo CNTT. Tháng 01 năm 2008: Mua lại toàn bộ chi nhánh công ty TNHH VSIC Informatics tại Đà Nẵng, tăng vốn điều lệ và đổi tên thành TTG Training Center. Từ thời điểm có mặt tại Đà Nẵng năm 2006 VSIC Informatics (nay là TTG Training Center) đã từng bước khẳng định và dần trở thành một trong những Trung tâm đào tạo Công nghệ mạng máy tính hàng đầu tại Đà Nẵng nói riêng và các tỉnh miền Trung nói chung. 3. Lĩnh vực hoạt động: Đào tạo công nghệ thông tin các chuyên ngành như: Quản trị mạng, lập trình web… Là nơi tổ chức các hội thảo về công nghệ thông tin. Trụ sở chính tại trung tâm Tp Đà Nẵng. Thiết bị chính hãng mới nhất của Cisco gồm có Router Serial 2800 và Switch Serial 2900. Phòng học lý thuyết rộng, tiện nghi, thoải mái theo chuẩn Quốc tế. Phòng LAB được kết nối mạng tốc độ cao. Phan Anh Tuấn 4. Cơ sở vật chất: -

Khoa: Khoa Học Máy Tính – Lớp MM03C

Tìm hiểu và triển khai IPSec trong Virtual Private Network

4

PHẦN II: TÌM HIỂU VÀ TRIỂN KHAI IPSEC TRONG VIRTUAL PRIVATE NETWORK
CHƢƠNG I: LÝ THUYẾT 1. GIỚI THIỆU VỀ MẠNG RIÊNG ẢO 1.1. Giới thiệu VPN (Virtual Private Network) là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật gọi là tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header chứa thông tin định tuyến có thể truyền qua mạng trung gian. VPN là một mạng riêng sử dụng một mạng chung để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng một được dẫn qua đường internet từ mạng riêng của công ty tới các site của các nhân viên từ xa. Một phương pháp chung được tìm thấy trong VPN đó là : Generic Routing Encapsulation (GRE). Giao thức mã hoá định tuyến GRE cung cấp cơ cấu đóng gói giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carrier Protocol). Nó bao gồm thông tin về loại gói tin đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. 1.2. Phân loại 1.2.1. Phân loại VPN được phân ra làm các loại như sau: VPN dành cho doanh nghiệp VPN đối với các nhà cung cấp dịch vụ Công nghệ VPN và mô hình OSI IPSec và Security Associations IPSec Mode và Protocol

1.2.2. VPN đối với doanh nghiệp Đối với các nhà doanh nghiệp, VPN cung cấp các kết nối được triển khai trên hạ tầng mạng công cộng. Giải pháp VPN gồm 3 loại chính: Remote Access VPN Site-to-Site VPN Extranet VPN Phan Anh Tuấn

Khoa: Khoa Học Máy Tính – Lớp MM03C

Tìm hiểu và triển khai IPSec trong Virtual Private Network a. Remote Access VPN

5

Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa diểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.

Văn phòng tại nhà

POP Văn phòng chính Internet

Văn phòng từ xa

POP

Văn phòng từ xa

Nhân viên di động

Hình 1. 1: Remote Access VPN Một số thành phần chính:
-

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Quay số kết nối trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.

-

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network
-

6

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ bởi người dùng. Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua internet.

-

Thông tin Remote Access Setup được mô tả bởi hình sau:
The Internet

Web Server

VPN

el Tunn

Remote User

VPN Tunnel
File Server Fire Wall VPN Server

VPN

Tunn el

Mobile User

Remote Access
Mail Server

Hình 1. 2: Remote Access VPN Setup Ưu điểm của Remote Access VPN: Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP. Việc quay số nhanh từ những khoảng cách xa được loại trừ, thay vào đó sẽ là các kết nối cục bộ. Giảm giá thành chi phí cho các kết nối với khoảng cách xa. Do đây là một kết nối mạng mang tính cục bộ, do đó tốc độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa. VPNs cung cấp khả năng try cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng. Một số hạn chế của VPNs: Remote Access VPN cũng không đảm bảo được chất lượng phục vụ. Khả năng mất dữ liệu là rất cao, hơn nữa các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát. Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network -

7

Do độ phức tạp của thuật toán mã hóa, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP xảy ra chậm. Do phải truyền thông qua internet, nên khi trao đổi các dữ liệu lớn thì sẽ rất chậm.

-

b. VPN Site-to-Site Là việc sử dụng mật mã dành riêng cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như: đối tác cung cấp, khách hàng …), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.

Site 1

Internet

Site 4

Site 2

Site 3

Hình 1. 3: Kết nối các doanh nghiệp qua mạng công cộng LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường Phan Anh Tuấn

Khoa: Khoa Học Máy Tính – Lớp MM03C

Tìm hiểu và triển khai IPSec trong Virtual Private Network

8

hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách giữa chúng. c. Extranet VPN Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh: chẳng hạn như khách hàng, nhà cung cấp, đối tác của những người giữ vai trò quan trọng trong tổ chức…

Copporate Network

Supplier Network 1

Supplier Network 2

Supplier Network 3

Supplier 1

Supplier 2

Supplier 3

Hình 1. 4: The Traditional Extranet Setup Từ mô hình trên ta thấy: mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet khó triển khai do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

9

Copporate Network

Supplier Network

Supplier Network

Supplier Network

Hình 1. 5: The Extranet VPN Setup Thuận lợi của Extranet: Dễ triển khai, quản lý và chỉnh sửa thông tin Giảm chi phí bảo trì Sư đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại. Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet Do dựa trên Internet nên khi dữ liệu là loại high-end data thì việc trao đổi diễn ra chậm chạp. QoS cũng không được đảm bảo thường xuyên.

Một số hạn chế của Extranet: -

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network 1.2.3. Công nghệ VPN và mô hình OSI

10

Layer 7 Application Layer 6 Presentation Layer 5 - Session Layer 4 - Transport Layer 3 - Network

Secure HTTP (HTTPS), S/MIME, PGP N/A N/A SSL and TLS SOCKS, SSH IPSEC Deployment, MPLS VPNs VPDN-PPTP, L2TP, L2F ATM Cell Ecryptors, FrameRelay Frame Encryptors Optical Bulk Encryptors Radio Frequency (RF) Encryptors

Layer 2 – Data Link

Layer 1 - Physical

Hình 1. 6: VPN Model - OSI Model Giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là: L2TP, Cisco GRE và IPSec. a. L2TP Là sự kết hợp của PPTP (Point-to-Point Tunneling Protocol) và L2F (giao thức Layer 2 Forwarding) của Cisco. Do đó rất hiệu quả trong kết nối mạng Dial-up, ADSL và các mạng truy cập từ xa khác. Cũng giống như PPP, L2TP đóng gói dữ liệu thành các frame ppp và sau đó truyền những frame này qua mạng trục backbone. Tuy nhiên, nó cũng khác với PPTP là L2TP sử dụng giao thức UDP như là một phương pháp đóng gói cho tunnel và user data. L2TP không cung cấp mã hóa. Do đó cần phải dựa vào một giao thức để đảm bảo tin cậy. Như vậy, L2TP bổ sung sẽ bao gồm cả IPSec

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network
IP L2TP PPP IP Payload New IP Header L2TP Message Header PPP Header Original IP Header Message Header

11

-

L2TP bao gồm 2 thành phần chính: L2TP Access Concentrator và L2TP Network Server. o L2TP Access Concentrator (LAC): đại diện là client side của hệ thống mạng và tiêu biểu trên các bộ phận của switch giữa remote dial-up nodes và access server để giới hạn phiên inbound ppp qua chuyển mạch ISDN và PSTN. Khi các host tại đầu xa bắt đầu và hoàn thành kết nối PPP trên NAS thì LAC server được xem như là 1 proxy khởi đầu của L2TP control và tunnel data đến LNS tại mạng công ty. o L2TP Network Server (LNS): đại diện là server side của VPDN. Nó hoạt động ở mạng doanh nghiệp nhỏ và hoàn thành đường ống dữ liệu từ LAC. Khi các User kết nối đến LAC, những kết nối này là đa kết nối đượng thỏa hiệp qua Tunnel để đi đến LNS

Hình 1. 7: L2TP Tunnel Negotiation Tác dụng của L2TP trong việc sử dụng control messages và data packets như sau: Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

12

o L2TP control messages thoả thuận để thiết lập và duy trì tunnel. Control messages thiết lập tunnel IDs cho các kết nối mới trong khoảng thời gian tunnel tồn tại. L2TP control messages được bắt đầu từ port nguồn và được forward đến UDP port đích 1701. o L2TP payload packets tunnel data hiện có trong hệ thống mạng. Khi dữ liệu qua đường ống từ LAC đến NAS với một dãy IP, nó sẽ đóng gói theo L2TP header. Dạng format của L2TP có cấu trúc như sau:
Data Link IP UDP L2TP PPP PPP Data Link Header Header Header Header Header Payload Trailer

Hình 1. 8: L2TP Header b. GRE
Protocol Y Header GRE Header Protocol X Packet

Hình 1. 9: Đóng gói theo giao thức GRE Đây là giao thức truyền thông đóng gói IP, CLNP và tất cả các gói dữ liệu bên trong đường ống IP. Với GRE tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng chỉ định trong gói IP header, tạo một đường kết nối ảo ( virtual pointto-point) tới cisco router cần đến. và khi gói dữ liệu đến đích IP header sẽ được mở ra. Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến trong gói IP. c. IPSec

L Remote A host C

Enter Prise network

Server

L2TP/IPSec Tunnel

LNS

Server

Hình 1. 10: L2TP/IPSec VPN Remote Access

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network
Enter Prise network Enter Prise network

13

Host

Server

LAC

L2TP/IPSec Tunnel

LNS

Server

Host

Hình 1. 11: L2TP/IPSec VPN Site to Site Là sự lựa chọn cho việc bảo mật trên VPN. IPsec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính toàn vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu. IPsec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật toán trên nền chính sách cục bộ (group policy) và sinh ra các khoá bảo mật mã hoá và chứng thực được sử dụng trong IPsec. 2. CÔNG NGHỆ IP SECURITY 2.1. Tim hiểu về giao thức IPSec 2.1.1. Khái quát IPSec IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia VPN. Các thiết bị này có thể là các host hoặc là các security gateway (routers, firewalls, VPN concentrator,...) hoặc là giữa 1 host và gateway như trong trường hợp remote access VPNs. IPSec bảo vệ đa luồng dữ liệu giữa các peers, và 1 gateway có thể hỗ trợ đồng thời nhiều luồng dữ liệu. IPSec hoạt động ở lớp mạng và sử dụng giao thưc Internet Key Exchange (IKE) để thoả thuận các giao thức giữa các bên tham gia và IPSec sẽ phát khoá mã hóa và xác thực để dùng. Các giao thức chính sử dụng trong IPSec: IP Security Protocol (IPSec) o Authentication Header (AH) o Encapsulation Security Protocol (ESP) Message Encryption o Data Encryption Standard (DES) Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network o Triple DES (3DES) Message Integrity (Hash) Functions o Hash-based Message Authentication Code (HMAC) o Message Digest 5 (MD5) o Secure Hash Algorithm-1 (SHA-1) Peer Authentication o Rivest, Shamir, and Adelman (RSA) Digital Signutures o RSA Encrypted Nonces Key Management o Diffie-Hellman (D-H) o Certificate Authority (CA) Security Association o Internet Exchange Key (IKE)

14

o Internet Security Association and Key Management Protocol (ISAKMP) 2.1.2. Cơ chế hoạt động của giao thức IPSec Hiện nay giao thức IPSec được sử dụng rất phổ biến và trong nhiều quá trình. Ta có thể thiết lập các VPNs mà không cần biết nhiều về giao thức này. Nhưng các kết quả sẽ rất lộn xộn không được tốt. Do đó, các yêu cầu cần thiết được đưa ra trước khi thực hiện cấu hình IPSec bao gồm các bước sau: Bước 1: Thiết lập chính sách IKE Chính sách này phải được cấu hình giống nhau cho cả hai bên tham gia VPN. Nó được giới hạn bao gồm các chính sách: Phương pháp phát Key (Key distribution method): cấu hình thủ công hoặc cấu hình cho CA cung cấp. Phương pháp xác thực (Authentication method): phần lớn được xác định bằng phương pháp phát key. Thông thường sử dụng phương pháp preshare keys. Địa chỉ IP và tên của các bên tham gia (IP address and hostname of peers): IP cần được biết để xác định các bên tham gia, và quản lý danh sách truy cập trên thiết bị để các bên tham gia biết được thông tin lẫn nhau. Cấu hình IPSec trên thiết bị phải đầy đủ tên miền (FQDN) như cấu Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network hình trên địa chỉ IP. -

15

Các tham số chính sách IKE (IKE policy parameters): các tham số được thiết lập trên phase 1 của IKE. Chính sách IKE bao gồm các thông số sau: o Thuật toán mã hoá: DES/3DES o Thuật toán hash: MD5/SHA-1 o Phương pháp xác thực: preshared, RSA encryption, RSA signature o Key trao đổi: D-H Group 1/ D-H Group 2 o Thời gian tồn tại IKE SA: mặc định là 86400 giây

Bước 2: Thiết lập chính sách IPSec Đ ộ tin cậy của IPSec và khả năng xác thực được ứng dụng để áp traffic đã biết thông qua giữa các bên. Ta có thể gởi tất cả traffic qua IPSec tunnel, nhưng có thể khó đạt được hết chất lượng, do đó ta nên chọn những chính sách cần áp qua IPSec tunnel. Khi ta chọn thực thi IPSec tunnel, cả hai đầu cuối phải thực hiện các chính sách giống nhau. Các chính sách cho IPSec bao gồm: IPSec Protocol: AH hoặc ESP Authentication: MD5 hoặc SHA-1 Encryption : DES hoặc 3DES Transform or Transform set: ah-sha-hmac esp-3des esp-md5-hmac hoặc kết hợp một trong các giải thuật này. Identify traffic to be protected: giao thức, nguồn, đích và port SA establishment: cấu hình thủ công hoặc hoặc cấu hình IKE

Bước 3: Kiểm tra cấu hình hiện hành Thực hiện kiểm tra cấu hình IPSec hiện có trên thiết bị để tránh tình trạng các thông số cấu hình đối lập nhau. Bước 4: Kiểm tra mạng trước IPSec Ta thực hiện kiểm tra bằng cách: thực hiện ping đến các thiết bị đã được cấu hình IPSec. Bước 5: Các giao thức và các Port hoạt động trong IPSec: UDP port 500: ISAKMP, được nhận biết bởi từ khoá isakmp Giao thức số 50: dùng trong giao thức ESP, được nhận biết bởi từ khoá esp Giao thức số 51: dùng trong giao thức AH, được nhận biết bởi từ khoá ahp. Phan Anh Tuấn

Khoa: Khoa Học Máy Tính – Lớp MM03C

Tìm hiểu và triển khai IPSec trong Virtual Private Network 2.1.3. Cơ chế hoạt động của IKE

16

IKE có chức năng trao đổi Key giức các thiết bị tham gia VPN và trao đổi chính sách an ninh giữa các thiết bị và tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia. Trước khi trao đổi kênh truyền key để thiết lập kênh truyền ảo, IPSec sẽ xác thực xem mình đang trao đổi với ai. Trong quá trình trao đổi Key IKE dùng thuật toán mã hoá bất đối xứng gồm: Public Key và Private Key để bảo vệ việc trao đổi Key giữa các thiết bị tham gia VPN. Và sau đó trao đổi chính sách an ninh giữa các thiết bị. Những chính sách an ninh trên các thiết bị gọi là Security Association (SA). Do đó, các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có. Và giữa các thiết bị này tự tìm ra cho mình những SA phù hợp với nhất.

1: Router A connects to Router B Router A Router A Transforms 1. Encryption = AES – 256 HMAC=SHA – 1 Authentication = pre-share keys Diffe-Hellman group = 2 Lifetime 86400 2. Encryption = AES – 192 HMAC = SHA – 1 Authentication = pre-share keys Diffe-Hellman group = 2 Lifetime 86400
2.2. Cơ chế hoạt động của giao thƣc AH và ESP 2.2.1. Khái quát Giao thức ESP và giao thức AH là hai giao thức chính trong việc mã hoá và xác thực dữ liệu. ESP sử dụng IP Protocol number là 50 (ESP được đóng gói bởi giao thức IP và trường protocol trong IP là 50) Khoa: Khoa Học Máy Tính – Lớp MM03C

Router B Router B Transforms 1. Encryption = AES – 192 HMAC = MD5 Authentication = pre-share keys Diffe-Hellman group = 2 Lifetime 86400 2. Encryption = AES – 256 HMAC = SHA – 1 Authentication = pre-share keys Diffe-Hellman group = 2 Lifetime 86400

2

3

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network và trường protocol trong IP là 51) Bộ giao thức IPSec hoạt động trên 2 mode chính: Tunnel Mode và Transports Mode -

17

AH sử dụng IP Protocol number là 51 ( AH được đóng gói bởi giao thức IP

Khi giao thức IPSec hoạt động ở Tunnel Mode thì sau khi đóng gói dữ liệu, giao thức ESP mã hoá toàn bộ Payload, frame Header, IP Header thì nó sẽ thêm một IP Header mới vào gói tin trước khi forward đi. Khi giao thức IPSec hoạt động ở Transport Mode thì IP Header vẫn được giữ nguyên và lúc này giao thức ESP sẽ chèn vào giữa Payload và IP Header của gói tin.

-

2.2.2. AH và ESP Header
New IP Header AH Header Original IP Header Transport Application Protocol Header and Data

Authenticated (Integrity Protection)

Hình 2. 1: AH Tunnel Mode Packet
New IP ESP Original Transport Application ESP Header Header IP Header Protocol Header and Data Trailer Encrypted Authenticated (Integrity Protection) ESP Authentication (Optional)

Hình 2. 2: ESP Tunnel Mode Packet Trong trường hợp dùng giao thức ESP: thì giao thức này sẽ làm công việc mã hóa (encryption), xác thực (authentication), bảo đảm tính toàn vẹn dữ liệu ( integrity protection). Sau khi đóng gói xong bằng ESP, mọi thông tin và mã hoá và giải mã sẽ nằm trong ESP Header. Các thuật toán mã hoá sử dụng trong giao thức như: DES, 3DES, AES. Các thuật toán hash như: MD5 hoặc SHA-1. Trong trường hợp dùng giao thức AH: thì AH chỉ làm công việc xác thực (Authentication), và đảm bảo tính toàn vẹn dữ liệu. Giao thức AH không có tính năng mã hoá dữ liệu.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network 2.2.3. Authentication Header

18

AH là một trong những giao thức bảo mật, cung cấp tính năng đảm bảo toàn vẹn packet headers và data, xác thực nguồn gốc dữ liệu. Nó có thể tuỳ chọn cung cấp dịch vụ replay protection và access protection. AH không mã hoá bất kỳ phần nào của các gói tin. Trong phiên bản đầu của IPSec, giao thức ESP chỉ có thể cung cấp mã hoá, không xác thực. Do đó, người ta kết hợp giao thức AH và ESP với nhau để cung cấp sự cẩn mật và đảm bảo toàn vẹn dữ liệu cho thông tin. a. AH Mode AH có hai mode: Transport và Tunnel. Trong Tunnel mode, AH tạo 1 IP Header mới cho mỗi gói tin Trong Transport mode, AH không tạo IP Header mới Trong cấu trúc IPSec mà sử dụng gateway, địa chỉ thật của IP nguồn và đích của các gói tin phải thay đổi thành địa chỉ IP của gateway. Vì trong Transport Mode không thay đổi IP Header nguồn hoặc tạo một IP Header mới, Transport Mode thường sử dụng trong cấu trúc host-to-host. AH cung cấp tính năng đảm bảo tính toàn vẹn cho toàn bộ gói tin, bất kỳ mode nào được sử dụng.

Hình 2. 3: AH Tunnel Mode Packet

Hình 2. 4: AH Transport Mode Packet

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network b. AH xác thực và đảm bảo tính toàn vẹn dữ liệu

19

Bước 1: AH sẽ đem gói dữ liệu (packet ) bao gồm: Payload + IP Header + Key cho chạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số. và chuỗi số này sẽ được gán vào AH Header. Bước 2: AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyển sang phía bên kia. Bước 3: Router đích sau khi nhận được gói tin này bao gồm: IP Header + AH Header + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra một chuỗi số. Bước 4: So sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó chấp nhận gói tin. c. AH Header

Hình 2. 5: AH Header Next Header: Trường này dài 8 bits, chứa chỉ số giao thức IP. Trong Tunnel Mode, Payload là gói tin IP, giá trị Next Header được cài đặt là 4. Trong Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

20

Transport Mode, Payload luôn là giao thức Transport-Layer. Nếu giao thức lớp Transport là TCP thì trường giao thức trong IP là 6. Nếu giao thức lớp transport là UDP thì trường giao thức trong IP là 17. Payload Length: Trường này chứa chiều dài của AH Header. Reserved: giá trị này được dành để sử dụng trong tương lai ( cho đến thời điểm này nó được biểu thị bằng các chỉ số 0). Security parameter Index (SPI): mỗi đầu cuối của mỗi kết nối IPSec tuỳ ý chọn giá trị SPI. Hoạt động này chỉ được dùng để nhận dạng cho kết nối. Bên nhận sử dụng giá trị SPI cùng với địa chỉ IP đích và loại giao thức IPSec (trường hợp này là AH) để xác định chính sách SA được dùng cho gói tin (Có nghĩa là giao thức IPSec và các thuật toán nào được dùng để áp cho gói tin). Sequence Number: chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có liên quan đến chính sách SA. Giá trị bắt đầu của bộ đếm là 1. chuỗi số này không bao giờ cho phép ghi đè lên là 0. vì khi host gửi yêu cầu kiểm tra mà nó không bị ghi đè và nó sẽ thoả thuận chính sách SA mới nếu SA này được thiết lập. Host nhận sẽ dùng chuỗi số để phát hiện replayed datagrams. Nếu kiểm tra bên phía host nhận, bên nhận có thể nói cho bên gửi biết rằng bên nhận không kiểm tra chuỗi số, nhưng đòi hỏi nó phải luôn có trong bên gửi để tăng và gửi chuỗi số. Authentication Data: Trường này chứa kết quả của giá trị Integrity Check Value (ICV). Trường này luôn là bội của 32-bit (từ) và phải được đệm vào nếu chiều dài của ICV trong các bytes chưa đầy. d. Hoạt động của giao thức AH Hướng tốt nhất để hiểu AH làm việc như thế nào, ta sẽ xem và phân tích các gói tin AH.

Hình 2. 6: Sample AH Transport Mode Packet Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

21

Hình trên cho thấy các thành phần của gói tin AH thật sự. Mỗi section của AH Packet gồm: Ethernet header, IP header, AH header và Payload. Dựa trên các trường của phần AH mode, ta thấy đây là gói tin ở Transport Mode vì nó chỉ chứa IP Header. Trong trường hợp này, payload chứa ICMP echo request (hay là Ping). Ping gốc chứa chuỗi mẫu tự được miêu tả trong gói tin tăng dần bởi giá trị Hex ( vd: 61, 62, 63). Sau khi giao thức AH được áp dụng, ICMP Payload không thay đổi. Vì AH chỉ cung cấp dịch vụ đảm bảo toàn vẹn dữ liệu, không mã hoá.

Hình 2. 7: AH Header Fields from Sample Packet Các trường trong AH Header từ 4 gói tin đầu tiên trong AH session giữa host A và host B. Các trường trong header đầu tiên chỉ là nhãn, để đáp ứng trong việc nhận dạng AH mode. SPI: host A sử dụng giá trị số Hex cdb59934 cho SPI trong cả các gói tin của nó. Trong khi đó host B sử dụng giá trị số Hex a6b32c00 cho SPI trong cả các gói tin. Điều này phản ánh được rằng kết nối AH thật sự gồm hai thành phần kết nối một chiều. Sequence Number: cả hai host bắt đầu thiết lập chỉ số bằng 1, và cả hai tăng lên là 2 cho gói tin thứ hai của chúng. Authentication information: Xác thực (đảm bảo toàn vẹn ) thông tin, là một keyed hash dựa trên hầu như tất cả các bytes trong gói tin.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network e. AH version 3

22

Một chuẩn mới của AH là Version 3, phiên bản được phát triển dựa trên phiên bản phác thảo. Tính năng khác nhau giữa Version 2 và Version 3 là mối quan hệ thứ yếu để các quản trị viên IPSec và người dùng - một vài sự thay đổi đến SPI, và tuỳ chọn chỉ số dài hơn. Chuẩn phác thảo version 3 cũng chỉ đến một chuẩn phác thảo khác rằng liệt kê thuật toán mã hoá yêu cầu cho AH. Bản phác thảo uỷ nhiệm hỗ trợ cho HMACSHA1-96, giới thiệu thuật toán hỗ trợ mạnh hơn là AES-XCBC-MAC-96, và cũng giới thiệu thuật toán: HMAC-MD5-96. f. AH Summary AH cung cấp dịch vụ đảm bảo toàn vẹn cho tất cả các header và data gói tin. Ngoại trừ một số trường IP Header mà định tuyến thay đổi trong chuyển tiếp. AH bao gồm địa chỉ nguồn và địa chỉ đích trong dịch vụ đảm bảo toàn vẹn. AH thường không tương thích với NAT. Hiện nay, hầu hết IPSec bổ sung hỗ trợ phiên bản thứ hai của IPSec mà ESP có thể cung cấp dịch các vụ đảm bảo toàn vẹn dữ liệu qua sự xác thực. AH cung cấp một lợi ích mà ESP không có, đó là: đảm bảo toàn vẹn cho outermost IP Header. 2.2.4. Encapsulation Security Payload ESP là giao thức bảo mật chính thứ hai. Trong phiên bản đầu của IPSec, ESP chi cung cấp mã hoá cho packet payload data. Khi cần, giao thức AH cung cấp dịch vụ đảm bảo toàn vẹn. Trong phiên bản thứ hai của IPSec, ESP trở nên mềm dẻo hơn. Nó có thể thực hiện xác thực để cung cấp dịch vụ đảm bảo toàn vẹn, mặc dù không hỗ trợ cho outermost IP header. Sự mã hoá của ESP có thể bị vô hiệu hoá qua thuật toán mã hoá Null ESP algorithm. Do đó, ESP có thể cung cấp chỉ mã hoá; mã hoá và đảm bảo toàn vẹn dữ liệu; hoặc chỉ đảm bảo toàn vẹn dữ liệu. a. ESP Mode ESP có hai mode: Transport Mode và Tunnel Mode. Trong Tunnel Mode: ESP tạo một IP Header mới cho mỗi gói tin. IP Header mới liệt kêt các đầu cuối của ESP Tunnel (như hai IPSec gateway) nguồn và

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network VPN.

23

đích của gói tin. Vì Tunnel mode có thể dùng với tất cả 3 mô hình cấu trúc

Hình 2. 8: ESP Tunnel Mode Packet ESP Tunnel Mode được sử dụng thường xuyên nhanh hơn ESP Transport Mode. Trong Tunnel Mode, ESP dùng IP header gốc thay vì tạo một IP header mới. Trong Transport Mode, ESP có thể chỉ mã hoá và/hoặc bảo đảm tính toàn vẹn nội dung gói tin và một số các thành phần ESP, nhưng không có với IP header. Giao thức AH, ESP trong Transport mode thường sử dụng trong cấu trúc hostto-host. Trong Transport mode không tương thích với NAT.

Hình 2. 9: ESP Transport Mode Packet

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network b. ESP Packet Fields

24

Hình 2. 10: ESP Packet Fields ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin. ESP Header được cấu thành bởi hai trường: SPI và Sequence Number. SPI (32 bits): mỗi đầu cuỗi của mỗi kêt nối IPSec được tuỳ chọn giá trị SPI. Phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho gói tin. Sequence Number: thưòng được dùng để cung cấp dịch vụ anti-replay. Khi SA được thiết lập, chỉ số này được khởi đầu về 0. Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header. Để chắc chắn rằng sẽ không có gói tin nào được công nhận, thì chỉ số này không được phép ghi lên bằng 0. Ngay khi chỉ số 232-1 được sử dụng, một SA mới và khóa xác thực được thiết lập. Phần kế tiếp của gói tin là Payload, nó được tạo bởi Payload data (được mã hoá) và IV không được mã hoá). Giá trị của IV trong suốt quá trình mã hoá là khác nhau trong mỗi gói tin. Phần thứ ba của gói tin là ESP Trailer, nó chứa ít nhất là hai trường. Padding ( 0-255 bytes): được thêm vào cho đủ kích thước của mỗi gói tin. Pad length: chiều dài của Padding Next header: Trong Tunnel mode, Payload là gói tin IP, giá trị Next Header được cài đặt là 4 cho IP-in-IP. Trong Transport mode, Payload luôn là giao thức lớp 4. Nếu giao thức lớp 4 là TCP thì trường giao thức Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network ESP Trailer chứa một giá trị Next Header. -

25

trong IP là 6, giao thức lớp 4 là UDP thì trường giao thức IP là 17. Mỗi Authentication data: trường này chứa giá trị Integrity Check Value (ICV) cho gói tin ESP. ICV được tính lên toàn bộ gói tin ESP công nhận cho trường dữ liệu xác thực của nó. ICV bắt đầu trên ranh giới 4-byte và phải là bội số của 32-bit (đơn vị từ). c. Quá trình mã hóa và hoạt động của giao thức ESP

ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin IPSec. Cho nên, để kết nối của cả hai đầu cuối đều được bảo vệ bởi mã hoá ESP thì hai bên phải sử dụng key giống nhau mới mã hoá và giải mã được gói tin. Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các block nhỏ, và sau đó thực hiện thao tác mã hoá nhiều lần sử dụng các block dữ liệu và key. Thuật toán mã hoá hoạt động trong chiều này được xem như blocks cipher algorithms. Khi một đầu cuối khác nhận được dữ liệu mã hoá, nó thực hiện giải mã sử dụng key giống nhau và quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá. Ví dụ: ESP sử dụng thuật toán mã hoá là AES-Cipher Block Chaining (AESCBC), AES Counter Mode (AES-CTR), và Triple DES ( 3DES). Khi so sánh với gói tin AH, gói tin ESP có dạng giống với gói tin AH. chuỗi mẫu tự có thể xác định được trong AH-protected Payload nhưng không xác định được trong ESP-protected payload, vì trong ESP nó đã được mã hoá. Gói tin ESP có chứa 5 đoạn: Ethernet Header, IP Header, ESP Header, Encrypted Data (Payload và ESP Trailer), và (option) authentication information. Dữ liệu được mã hoá không thể xác định được dù gói tin truyền Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

26

trong Transport Mode hay Tunnel Mode. Tuy nhiên, vì IP Header không được mã hoá, trường giao thức IP trong Header vẫn phát hiện được giao thức dùng cho Payload ( trong trường hợp này là ESP).

Hình 2. 11: ESP Packet Capture

Hình 2. 12: ESP Header Fields from Sample Packets Hình trên cho thấy, các trường ESP Header từ 4 gói tin đầu trong ESP session giữa host A và host B. Các trường SPI và Sequence Number trong ESP làm việc một chiều như chúng đã thực hiện trong AH. Mỗi host sử dụng một giá trị SPI khác nhau cho các gói tin của nó, tương thích với kết nối ESP gồm hai thành phần kết nối một chiều. Cả hai host cũng bắt đầu thiết lập sequence number là 1, và sẽ tăng dần lên là 2 cho gói tin thứ hai. d. ESP Version 3 Một chuẩn mới cho ESP là phiên bản 3, một phiên bản vừa được bổ sung, được dựa trên chuẩn phác thảo. Tìm ra được chức năng chính để cho thấy sự khác nhau giữa version 2 và version 3, bao gồm những điều sau: Chuẩn ESP version 2 đòi hỏi ESP bổ sung để hỗ trợ ESP chỉ sử dụng cho mã hoá (không có tính năng bảo vệ toàn vẹn dữ liệu). Do đó, chuẩn ESP version 3 được đưa ra nhằm hỗ trợ cho sự lựa chọn này. ESP có thể dùng chuỗi số dài hơn, giống với chuẩn AH version 3. Phan Anh Tuấn

Khoa: Khoa Học Máy Tính – Lớp MM03C

Tìm hiểu và triển khai IPSec trong Virtual Private Network -

27

ESP version 3 hỗ trợ trong việc sử dụng kết hợp các thuật toán ( EAS Counter với CBC-MAC [EAS-CMC]. Như vậy kết quả mã hoá và tính bảo vệ toàn vẹn dữ liệu đạt được sẽ nhanh hơn là sử dụng tách rời thuật toán.

e. ESP Summary Trong Tunnel Mode, ESP cung cấp sự mã hoá và sự đảm bảo an toàn cho đóng gói IP Packet, cũng xác thực tốt giống như của ESP Header, ESP có thể tương thích với NAT. Trong Transport Mode, ESP cung cấp sự mã hoá và đảm bảo an toàn cho Payload của gói tin IP, cũng đảm bảo an toàn tốt giống như của ESP Header. Transport Mode thì không tương thích với NAT. ESP Tunnel Mode thường sử dụng phổ biến trong IPSec, vì nó mã hoá IP Header gốc, nó có thể giấu địa chỉ source và des thật của gói tin. ESP cũng có thể thêm vật đệm vào để đủ gói tin. ESP thường được dùng để cung cấp cho mã hoá hoặc đảm bảo an toàn ( hoặc cả hai ). 2.2.5. Các Mode chính của giao thức IPSec a. Transport Mode Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên. Vì vậy, chỉ có IP payload là được mã hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec.

Hình 2. 13: IPSec Transport Mode

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

28

Transport mode được dùng để bảo mật kết nối giữa hai host: hoạt động của ESP trong Transport mode được sử dụng để bảo vệ thông tin giữa hai host cố định. Bảo vệ các giao thức lớp trên của IP datagram.

Hình 2. 14: Transport Mode Tunnel Trong Transport Mode, AH header được chèn vào trong IP datagram sau IP header và các tuỳ chọn.

Hình 2. 15: Transport Mode Packet Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. b. Tunnel Mode

Hình 2. 16: Tunnel Mode - AH Tunnel

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

29

Hình 2. 17: ESP Tunnel - Mode VPN Không giống như transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác. Và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP

. Hình 2. 18: IPSec Tunnel Mode Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ gói IP sẽ được mã hoá và trở thành dữ liệu mới của gói IP mới. chế độ này cho phép các thiết bị mạng, chẳng Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

30

hạn như Router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets và truyền chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối. Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa. Ví dụ: Luồng gói tin được gởi từ host A2 đến host B3:

Hình 2. 19: Packet Flow from Host A2 to Host B3 Giả sử rằng host A2 gửi TCP segment đến host B3. IP datagram rời khỏi host A2 đi đến host B3. khi IP datagram rời khỏi host A2, nó có địa chỉ nguồn là 10.0.1.2 và địa chỉ đích là 10.0.2.3. Trường giao thức trong IP header là 6 (chỉ rằng giao thức lớp dưới là TCP). Host A2 có default route đến GWA hoặc định tuyến đến mạng 10.0.2.0/24 với GWA là next hop, thì datagram được định tuyến đến GWA. Khi datagram đến GWA, gateway kiểm tra SPD của nó và thông báo nó chỉ rõ chính sách để bất kỳ datagram từ mạng 10.0.1.0/24 đến mạng 10.0.2.0/24 nên được đóng gói với mode-tunnel ESP và gửi đến GWB tại 2.2.2.2. Sau khi GWA đóng gói IP datagram, IP header bên ngoài có địa chỉ nguồn 1.1.1.1 (GWA) và địa chỉ đích 2.2.2.2 (GWB). trường giao thức của IP header bên ngoài là 50 (để chỉ rõ giao thức ESP được dùng). Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network gói IP datagram). Và IP header bên trong không thay đổi. -

31

Trường giao thức của gói tin ESP là 4 (để chỉ ra gói tin ESP đang đóng Khi đóng gói IP datagram đến tại GWB, gateway thấy rằng nó chứa gói tin ESP và xác thực lại và key mã hoá từ SA thích hợp, thực hiện kiểm tra xác thực và giải mã ESP Payload. IP header bên ngoài, ESP header và Trailer, và ICV đã được tách ra khỏi, và IP datagram bên trong được forward đến đích của nó (10.0.2.3). Bảng so sánh giữa giao thức AH và ESP: Security Layer 3 IP Protocol Number Provides for data integrity Provides for data authentication Provides for data encryption Protects against data replay attacks Works with NAT Works with PAT Protects the IP Packet Protects only the data AH 51 Y Y N Y N N Y N ESP 50 Y Y Y Y Y N N Y

3. PUBLIC KEY INFRASTRUCTURE 3.1. Tổng quan PKI Public Key Infrastructure (PKI) là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số ) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại các địa điểm của người dùng. Khoá công khai thường được phân phối trong chứng thực khóa công khai – hay Public Key Infrastructure. Khái niệm hạ tầng khoá công khai (PKI) thường được dùng chỉ toàn bộ hệ thống bao gồm cả nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mã hoá công khai trong trao đổi thông tin. Tuy nhiên

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network nhất thiết sử dụng các thuật toán mã hoá công khai. 3.2. Các thành phần của PKI 3.2.1. Các thành phần của PKI

32

phần sau được bao gồm không hoàn toàn chính xác bởi vì các cơ chế trong PKI không

PKIs dựa vào một thiết bị mật mã để bảo đảm các khoá công khai được quản lý an toàn. Các thiết bị này không hoạt động cùng lúc được thực hiện ở các hàm mảng rộng có liên quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau: Chứng thực và đăng ký mật mã đầu cuối Kiểm tra tính toàn vẹn của khoá công khai Chứng thực yêu cầu trong quá trình bảo quản các khoá công khai Bí mật cấp phát khoá công cộng Huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài Duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin (thông qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP] messages). Đảm bảo an toàn về độ lớn của khoá. Public Keys Certificates: Mục tiêu của việc trao đổi khoá bất đối xứng là phát một cách an toàn khoá công khai từ người gửi (mã hoá) đến người nhận (giải mã). PKI hỗ trợ tạo điều kiện cho việc trao đổi khoá an toàn để đảm bảo xác thực các bên trao đổi với nhau. Public key Certificate được phát bởi Certificate Authority(CA ). Để CA phát public key certificate cho đáp ứng mật mã đầu cuối thì đầu cuối đầu tiên phải đăng ký với CA. Quá trình đăng ký gồm: sự đăng ký, sự kích hoạt, và sự chứng nhận của mật mã đầu cuối với PKI (CAs và RAs). Quá trình đăng ký như sau: Mật mã đầu cuối đăng ký với CA hoặc RA. Trong quá trình đăng ký, mật mã đầu cuối đưa ra cách nhận biết đến CA. CA sẽ xác thực đầu cuối, phát public key đến đầu cuối. Các đầu cuối bắt đầu khởi tạo phase bằng cách tạo ra một public/private keypair và public key của keypair được chuyến đến CA. CA viết mật hiệu lên public key certificate cùng với private key để tạo một public key certificate cho mật mã đầu cuối.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network -

33

Lúc này các mật mã đầu cuối có thể yêu cầu public key certificate từ mật mã đầu cuối khác. Chúng có thể sử dụng CAs public key để giải mã public key certificate để thu được khoá thích hợp.

Registration Authorities: Trong nhiều trường hợp, CA sẽ cung cấp tất cả các dịch vụ cần thiết của PKI để quản lý các public key bên trong mạng. Tuy nhiên có nhiều trường hợp CA có thể uỷ nhiệm làm công việc của RA. một số chức năng mà CA có thể uỷ nhiệm thay thế cho RA như: Kiểm tra mật mã đầu cuối thử đã đăng ký public key với CA để có private key mà được dùng để kết hợp với public key. Phát public/private keypairs được dùng để khởi tạo phase của quá trình đăng ký. Xác nhận các thông số của public key. Phát gián tiếp các certificate Revocation List (CRL).

Certificate Authorities: CA dùng để cấp phát chứng nhận, xác thực PKI clients, và khi cần thiết thu hồi lại chứng nhận. CA đại diện cho nguồn tin cậy chính của PKI. Vì CA là yếu tố duy nhất trong PKI mà có thể phát Public Key Certificates đến các mật mã đầu cuối. CA cũng luôn đáp ứng cho việc duy trì CRL và phục vụ các loại như: CRL Issuer. PKI không phải chỉ có 1 CA mà PKI có thể thiết lập nhiều CAs. CAs giúp thiết lập cho việc nhận dạng của các thực thể giao tiếp với nhau được đúng đắn. CAs không chỉ chứng cho PKI client mà còn cho nhứng CAs khác bằng cách cấp phát những chứng nhận số đến chúng. Những CAs đã chứng nhận lần lượt có thể chứng nhận cho những CAs khác cho đến khi mỗi thực thể có thể uỷ nhiệm cho những thực thể khác có liên quan trong quá trình giao dịch. 3.2.2. Mục đích và chức năng của PKI PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng các thông tin từ các chứng thực khoá công khai để mật mã hoá và giải mã thông tin trong quá trình trao đổi. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹ và xác thực lẫn nhau mà không cần trao đổi các thông tin bảo mật từ trước. Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

34

Mục tiêu chính của PKI là cung cấp khoá công khai và xác định mối liên hệ giữa khoá và định dạng người dùng. Nhờ vậy, người dùng có thể sử dụng trong một số ứng dụng như: Mã hoá Email hoặc xác thực người gửi Email Mã hoá hoặc chứng thực văn bản Xác thực người dùng ứng dụng Các giao thức truyền thông an toàn: trao đổi bằng khoá bất đối xứng, mã hoá bằng khoá đối xứng. PKI bao gồm các thành phần sau đây: Phát sinh một cặp khoá riêng và khoá chung cho PKI client Tạo và xác nhận chữ ký điện tử cấp phát chứng nhậo người dùng Đánh dấu những khoá đã cấp phát và bảo trì quá trình sử dụng của mỗi khoá Hủy bỏ những đăng ký sai và hết hạn Xác nhận PKI client Mã hoá: giữ bí mật thông tin và chỉ có người có khoá bí mật mới giải mã được. Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với một khoá bí mật nào đó hay không. Thoả thuận khoá: cho phép thiết lập khoá dùng để trao đổi thông tin bảo mật giữa 2 bên. 3.3. Cơ sở hạ tầng của PKI 3.3.1. Các bước mã hóa Bước 1:

PKI được sử dụng với các mục đích: -

Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. kết quả ta được một message digest. Dùng giải thuật MD5 (message digest 5) ta được digest có chiều dài 128 bit, dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160 bit. Bước 2:

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

35

Sử dụng khóa private key của người gửi để mã hóa message digest thu được ở bước 1. Thông thường ở bước này dùng giải thuật RSA ( hay DSA, RC2, 3DES, …). Kết quả thu được gọi là digital signature của thông điệp ban đầu. Bước 3:

Sử dụng public key của người nhận để mã hoá những thông tin cần gửi đi. Bước 4: Gộp digital signature vào message đã được mã hoá và gửi đi. Như vậy sau khi đã kí nhận digital signature vào message đã được mã hoá, mọi sự thay đổi trên message sẽ bị phát hiện trong giai đoạn kiểm tra. Ngoài ra, việc kí nhận này đảm bảo người nhậ tin tưởng message này xuất phát từ người gửi chứ không phải là ai khác. 3.3.2. Các bước kiểm tra Bước 1:

Người nhận dùng private key của mình để giải mã thông tin nhận được gồm 2 phần: phần message và phần chữ ký người gửi. Bước 2:

Dùng Public key của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký số của message, ta được message digest Bước 3:

Dùng giải thuật MD5 (hoặc SHA) băm message đính kèm ta có message digest Bước 4:

So sánh kết quả thu được ở bước 2 và bước 3 nếu trùng nhau, ta kết luận message này không bị thay đổi trong quá trình truyền và message này là của người gửi.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network 4. DYNAMIC MULTIPOINT VIRTUAL PRIVATE NETWORK 4.1. Khái quát về DMVPN 4.1.1. DMVPN là gì?

36

Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE, và NHRP. các công nghệ này kết hợp lại cho phép triển khai IPSec trong mạng riêng ảo một cách dễ dàng. 4.1.2. Ưu điểm của DMVPN Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels Ví dụ: như hình dưới ta có 3 tunnel

4.1.3. Công nghệ sử dụng trong DMVPN IPSec (Internet Protocol Security) Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP. Dựa trên khoá công khai trên mode Tunnel, nội dung và tiêu đề của gói tin được mã hoá. cả hai đều được bảo vệ mGRE (Generic Routing Encapsulation) Giao thức truyền trên tunnel, đóng gói các loại gói tin thành 1 loại lớn trong IP tunnels. Sau đó tạo Point-to-Point virtual kết nối với các Router ở xa trong cấu trúc mạng IP. NHRP (Next Hop Resolution Protocol) Giao thức được sử dụng bởi các Router phát hiện MAC address của các Router khác và host khác.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network 4.1.4. Hoạt động của DMVPN DMVPN là giải pháp phần mềm của hệ điều hành cisco. DMVPN dựa vào 2 công nghệ của cisco đã thử nghiệm: Next Hop Resolution Protocol (NHRP) o HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả spoke  Mỗi spoke đăng ký địa chỉ thực của nó khi nó khởi động.

37

 Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích mà xây dựng tunnel trực tiếp. o Multipoint GRE Tunnel Interface  Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels  Kích thước đơn giản và cấu hình phức tạp DMVPN không làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng. Các spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có đến các spoke. Các spoke được xem như là client của NHRP server. Khi 1 spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích. Đến đây spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến spoke đích. Tunnel từ spoke-to-spoke được xây dựng qua mGRE tunnel Định tuyến động được yêu cầu qua tunnel Hub-to-spoke. Spoke học tất cả các mạng riêng trên các spoke khác và Hub thông qua cập nhật từ bảng định tuyến được gửi bởi Hub. IP next-hop cho 1 mạng spoke là interface tunnel cho spoke. Các giao thức định tuyến được dùng: o Enhanced Interior Gateway Routing Protocol (EIGRP) o Open Shortest Path First (OSPF) o Border Gateway Protocol (BGP) o Routing Information Protocol (RIP) 4.1.6. DMVPN Phase Phase 1: Tính năng của Hub và Spoke o Tinh năng: Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

4.1.5. Định tuyến với DMVPN -

Tìm hiểu và triển khai IPSec trong Virtual Private Network  Tất cả lưu lượng đi qua phải thông qua Hub  Triển khai dễ dàng  Files cấu hình Hub nhỏ o Ưu điểm của DMVPN Phase 1  Hub và Spoke cấu hình đơn giản và gọn nhẹ  Hỗ trợ multicast traffic từ Hub đến các Spoke  Hỗ trợ địa chỉ cho các Spoke một cách linh động Phase 2: Tính năng của Spoke-to-Spoke

38

o Trong Phase 2, NHRP khởi động NHC-to-NHS tunnel và giao thức định tuyến động thường được sử dụng để phát thông tin định tuyến tất cả các mạng mà Hub có và tất cả các Spoke. Các thông tin này là: IP Next Hop của Spoke đích và hỗ trợ riêng mạng đích. o Khi một gói tin được forward nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu. Nếu Interface NHRP là Interface outbound nó sẽ tìm NHRP mapping vào IP Next Hop. Nếu không có sự trùng khớp của bảng NHRP mapping, thì NHRP được kích khởi để gửi NHRP resolution request đến thông tin mapping (địa chỉ IP next hop đến địa chỉ vật lý layer). NHRP registration reply packet chứa thông tin mapping này và khi thông tin này được nhận các spoke sẽ cung cấp đầy đủ thông tin để đóng gói dữ liệu chính xác gửi trực tiếp đến spoke đầu xa qua cơ sở hạ tầng mạng. Phase 3: Khả năng thay đổi Spoke-to-Spoke để quy mô các mạng được mở rộng. o NHRP khởi động NHC và NHS tunnel và giao thức định tuyến động được dùng để phát thông tin định tuyến của tất cả các mạng mà tất cả các spoke có đến Hub. Sau đó hub sẽ gửi lại bảng thông tin định tuyến này đến các spoke, nhưng trong trường hợp này hub có thể tổng kết lại thông tin định tuyến. Nó sẽ đặt IP next hop của tất cả các mạng đích đến NHS (hub). Điều này làm giảm lượng thông tin trong bảng giao thức định tuyến cần để phân phối từ Hub đến các spoke, giảm việc cập nhật giao thức định tuyến đang chạy trên hub.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

39

o Khi data packet được forward, nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu nhập vào. Nếu interface NHRP là interface outbound thì nó sẽ tìm mapping NHRP vào IP next hop. Trong trường hợp này IP next hop sẽ được hub coi như là NHRP mapping (nó đã cài 1 tunnel với hub), các spoke sẽ chỉ gửi data packet đến Hub. o Hub nhận được data packet và nó kiểm tra bảng định tuyến. Vì data packet này đã được trù định từ trước cho mạng bên cạnh các spoke khác nó sẽ forward ra khỏi interface NHRP đến next hop về hướng spoke. Tại đây, hub phát hiện packet đến và gửi nó ra khỏi interface NHRP. Có nghĩa là data packet chiếm ít nhất 2 hop trong mạng NHRP và do đó đường này thông qua hub không phải là 1 đường tối ưu. Cho nên hub gửi trực tiếp lại thông điệp NHRP đến spoke. Thông điệp phát lại trực tiếp này là thông tin gửi đến spoke về IP gói tin đích mà thông điệp phát lại này kích khởi NHRP. o Khi spoke nhận được NHRP được phát lại, nó sẽ tạo và gửi NHRP resolution request cho dữ liệu IP đích từ thông điệp NHRP được gửi lại. NHRP resolution request sẽ forward đến spoke đầu xa các dịch vụ mạng cho IP đích. o Spoke đầu xa sẽ phát NHRP resolution reply với địa chỉ NBMA của nó và toàn bộ subnet (từ bảng định tuyến của nó) phù hợp với địa chỉ IP dữ liệu đích từ gói tin NHRP resolution request. Spoke đầu xa sau đó sẽ gửi NHRP resolution reply trực tiếp trở lại spoke nội bộ. Đến thời điểm này đã đầy đủ thông tin cho data traffic được gửi trực tiếp qua spoke-tospoke mà đường dẫn vừa được tạo. o Bảng định tuyến IP và định tuyến được học bởi hướng của hub là quan trọng khi xây dựng tunnel spoke-to-spoke. Do đó khả năng của NHS (các hub) là tới hạn cho tính năng của mạng NHRP. khi chỉ có 1 hub mà hub đó bị down, spoke xoá đường đi mà nó học được từ bảng định tuyến của hub. bởi vì nó bị mất hub giống như mất đi routing neighbor. Tuy nhiên, spoke không xoá bất kỳ tunnels spoke-to-spoke (NHRP mapping) mà vẫn còn hoạt động. Mặc dù tunnel spoke-to-spoke vẫn còn nhưng nó

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network đến mạng đích nữa.

40

không được sử dụng vì trong bảng định tuyến không còn đường đi nào o Trong quá trình bổ sung thêm, Khi bảng định tuyến đưa vào bị xoá không được kích hoạt đến NHRP. kết quả là NHRP sẽ timeout, khi đó hub sẽ bị down. o Trong phase 2 nếu xảy ra vấn đề định tuyến trong bảng định tuyến (có thể là định tuyến tĩnh) với chính xác IP next hop thì spoke vẫn có thể dùng spoke-to-spoke tunnel ngay cả khi hub bị down. NHRP sẽ khó có thể làm tươi NHRP mapping đưa vào vì NHRP resolution yêu cầu hoặc cần đáp ứng để đi qua hub. o Trong phase 3, ta chỉ cần định tuyến ra interface tunnel, không cần phải chính xác IP next hop ( NHRP bỏ qua IP next-hop trong phase 3). NHRP có khả năng làm tươi NHRP mapping. Vì NHRP resolution yêu cầu hoặc đáp ứng sẽ đi qua trực tiếp spoke-to-spoke tunnel. o Nếu ta có 2 (hoặc nhiều hơn) NHS Hub trong 1 mạng NBMA (1 mGRE, frame-relay, hoặc ATM interface), sau khi hub đầu tiên bị down, spoke Router sẽ loại bỏ đường đi từ bảng định tuyến mà nó học được từ hub này, nhưng nó sẽ học từ các router tương tự (có metric cao hơn) từ hub thứ hai. Lúc này định tuyến sẽ được thiết lập ngay. Do đó lưu lượng spoke-to-spoke sẽ tiếp tục đi qua spoke-spoke tunnel, và nó không bị ảnh hưởng bởi hub đầu tiên. 4.2. Next Hop Resolution Protocol 4.2.1. Tương tác NHRP và NBMA NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) mà làm giảm những vấn để mạng NBMA. Với NHRP, các hệ thống học địa chỉ NBMA của các hệ thống khác được cố định đến mạng NBMA một cách linh động. Cho phép các mạng này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian. Hai chức năng của NHRP hỗ trợ cho các mạng NBMA: Giao thức NHRP giống như giao thức phân giải địa chỉ cho phép Next Hop Clients (NHCs) được đăng ký một cách linh động với Next Hop Servers (NHSs). Điều này cho phép NHCs được nối đến mạng NBMA mà không cần thay đổi cấu hình trên NHSs, đặc biệt là trong trường hợp NHCs có địa chỉ IP Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

41

vật lý động hoặc là Router có Network Address Translation (NAT) sẽ làm thay đổi địa chỉ IP vật lý. Trong các trường hợp này nó không thể cấu hình lại được logical Virtual Private Network (VPN IP) đến physical (NBMA IP) mapping cho NHC trên NHS. Chức năng này được gọi là sự đăng ký NHRP. NHRP là một giao thức phân giải cho phép một NHC client (Spoke) để định vị logical VPN IP đến NBMA IP mapping cho NHC client khác (spoke) trong cùng mạng NBMA. Nếu không có sự định vị này, các gói tin IP đang đi từ các host của một spoke này đến các host của một spoke khác sẽ đi qua hướng của NHS (hub). Điều này sẽ làm tăng sự sử dụng băng thông của hub và CPU cho việc xử lý các gói tin này. Đây thường được gọi là hair- pinning. Với NHRP, các hệ thống học địa chỉ NBMA của các hệ thống khác được cố định đến mạng NBMA một cách linh động, cho phép các mạng thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian. Điều này làm giảm tải trên hop trung gian (NHS) và có thể tăng băng thông tổng của mạng NBMA được lớn hơn băng thông của hub. 4.2.2. Lợi ích của NHRP và NBMA Router, Access Server, và các host có thể sử dụng NHRP để tìm địa chỉ của các Router và các host khác kết nối đến mạng NBMA. Riêng mạng NBMA lưới là được cấu hình với nhiều mạng hợp lại để cung cấp đầy đủ các kết nối cho các lớp mạng. Như trong các cấu hình, các gói tin có thể tạo một vài hops qua mạng NBMA trước khi đến tại đầu ra Router (mạng đích gần nhất Router). Mạng NBMA được coi là NonBroadcast vì nó không hỗ trợ Broadcasting (vd: một mạng IP mGRE tunnel) hoặc Broadcasting quá tốn kém (vd: SMDS Broadcast group quá lớn). NRP cung cấp giống như giao thức ARP để giảm các vấn đề mạng NBMA. Với NHRP, các hệ thống học địa chỉ của các hệ thống khác được cố định đến mạng NBMA một cách linh động, cho phép các hệ thống này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian. 4.2.3. Next Hop Server Resolution NHRP resolution request đi qua một hoặc nhiều hop (hubs) trong mạng con NBMA hub-to-spoke trước khi phát đáp ứng đến trạm cần đến. Mỗi trạm (gồm trạm nguồn lựa chọn NHS lân cận để nó forward request. NHS chọn phương pháp điển hình để thực Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

42

hiện định tuyến dựa trên địa chỉ đích lớp mạng của NHRP request. NHRP resolution request cuối cùng đến trạm nơi mà phát NHRP resolution reply. Trạm đáp ứng này đưa ra trả lời sử dụng địa chỉ đích từ trong gói tin NHRP để xác định nơi cần gửi reply. Hinh dưới đây minh họa cho 4 Router kết nối đến mạng NBMA

Trong mạng là IP của các Router cần thiết để cho các Router thông lẫn nhau bằng cách tạo IP các gói tin tunneling trong IP các gói tin tunnels GRE. Các router hỗ trợ kết nối IP tunnel (xem hop 1, hop 2 và hop 3 trong hình). Khi router A thử forward IP gói tin từ host nguồn đến host đích, NHRP được kích khởi. Thay cho host nguồn, router A gửi NHRP resolution request packet được đóng gói trong GRE IP packet, mà theo trên hình thì 3 hop qua mạng đến Router D để kết nối đến host đích. sau khi router A nhận NHRP resolution reply, Router A xác định rằng router D là NBMA IP next hop, và router A sẽ gửi subsequence data IP packet cuối đến router D trong GRE IP next hop. Với NHRP, NBMA next hop được xác định, host nguồn cũng bắt đầu gửi dữ liệu gói tin đến đích (không kết nối qua NBMA như IP GRE và SMDS) hoặc thiết lập 1 VC ảo kết nối đến đích. kết nối này được cấu hình với đáp ứng băng thông và chất lượng dịch vụ cho kết nối định hướng mạng NBMA như: frame relay, ATM, hoặc DMVPN mà IPSec mã hoá ngang hàng phải được thiết lập.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network 4.2.4. NHRP sử dụng với DMVPN

43

NHRP thường thuận tiện cho việc xây dựng VPN. VPN bao gồm: mạng ảo layer 3 được xây dựng trên nền layer 3 mạng thực tế. cấu trúc mà ta sử dụng qua VPN là độc lập đối với mạng lớp trên và các giao thức mà ta chạy qua hoàn toàn độc lập với nó. mạng VPN (DMVPN) dựa trên GRE logical tunnel mà có thể được bảo vệ bằng cách thêm vào IPSec để mã hoá GRE IP tunnels. Kết nối đến mạng NBMA là một hay nhiều trạm mà NHRP thực hiện và được xem như là NHSs và NHCs. tất cả các Router chạy hệ điều hành cisco phiên bản 10.3 hoặc phiên bản sau này có thể được NHRP thực hiện, vì vậy các router có thể hoạt động như NHSs hoặc NHCs. Nền tảng của DMVPN (GRE IP + IPSec ) mà NHRP sử dụng cần chạy phiên bản 12.3 (9), 12.3 (8), hoặc là phiên bản về sau này. 4.2.5. Sự đăng ký NHRP Quá trình đăng ký NHRP được gửi từ NHCs đến NHSs mỗi lần 1/3 khoảng thời gian holdtime (ip nhrp holdtime value), trong trường hợp đăng ký có gửi thời gian timeout thì lệnh ip nhrp registration timeout value được cấu hình. Nếu quá trình NHRP đăng ký không nhận được bởi NHRP registration request, thì NHRP registration request sẽ truyền lại tại 1, 2, 4, 8, 16, 32, và 64 giây. Sau đó chuỗi số này bắt đầu phát qua 1 lần nữa. NHSs được công khai nếu quá trình đăng ký NHRP reply không nhận được sau 3 lần truyền lại (7 giây), và NHRP resolution packets sẽ không được gửi nữa. Quá trình đăng ký sẽ tiếp tục được gửi trong các khoảng thời gian 0, 1, 2, 4, 8, 16, 32, 64 nhằm thăm dò NHS đến khi NHRP registration reply được nhận. Quá trình NHRP registration reply được nhận càng sớm, NHS được công khai càng nhanh. NHRP registration reply bắt đầu lại việc gửi mỗi lần 1/3 khoảng thời gian holdtime hoặc cấu hình giá trị trong lệnh ip nhrp registration timeout, và NHRP registration request được gửi lại.

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network CHƢƠNG II: THỰC HÀNH 1. MÔ HÌNH CHUNG

44

192.168.0.0/24

HUB

Static Dynamic

Internet DMVPN 10.0.0.0/24

Spoke1 192.168.1.0/24

Spoke<n> X.X.X.X/n Spoke2 192.168.2.0/24

2. CẤU HÌNH Hub ! hostname Hub ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set transform-set trans2 ! ! ! ! ! interface Loopback0 ip address 192.168.0.1 255.255.255.0 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.1 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 600 ip ospf network broadcast ip ospf priority 2 delay 1000 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface FastEthernet0/0 Khoa: Khoa Học Máy Tính – Lớp MM03C

45

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network ip address 172.17.0.1 255.255.255.0 duplex auto speed auto ! ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0 !

46

Spoke1 ! hostname Spoke1 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set transform-set trans2 ! ! ! ! ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.2 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication test ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1 ip ospf network broadcast ip ospf priority 0 delay 1000 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface FastEthernet0/0 ip address 172.17.0.2 255.255.255.0 duplex auto speed auto ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 !

47

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network Spoke2 ! hostname Spoke2 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set transform-set trans2 ! ! ! ! ! interface Loopback0 ip address 192.168.2.1 255.255.255.0 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.3 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication test ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 Khoa: Khoa Học Máy Tính – Lớp MM03C

48

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network ip nhrp nhs 10.0.0.1 ip ospf network broadcast ip ospf priority 0 delay 1000 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! interface FastEthernet0/0 ip address 172.17.0.3 255.255.255.0 duplex auto speed auto ! ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 !

49

3. KIỂM TRA Trên các router, thực hiện lênh “show ip route”, “show ip nhrp”, show crypto engine connections active” Hub#show ip route 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, FastEthernet0/0 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, Tunnel0

C 192.168.0.0/24 is directly connected, Loopback0 192.168.1.0/32 is subnetted, 1 subnets Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network O 192.168.1.1 [110/101] via 10.0.0.2, 00:35:13, Tunnel0 192.168.2.0/32 is subnetted, 1 subnets O 192.168.2.1 [110/101] via 10.0.0.3, 00:35:13, Tunnel0

50

Hub#show ip nhrp 10.0.0.2/32 via 10.0.0.2, Tunnel0 created 00:35:41, expire 00:04:17 Type: dynamic, Flags: unique registered NBMA address: 172.17.0.2 10.0.0.3/32 via 10.0.0.3, Tunnel0 created 00:35:57, expire 00:04:01 Type: dynamic, Flags: unique registered NBMA address: 172.17.0.3 Hub#show crypto engine connections active Crypto Engine Connections ID Interface Type Algorithm 1 Fa0/0 2 Fa0/0 3 Fa0/0 4 Fa0/0 1001 Fa0/0 1002 Fa0/0 IPsec DES+MD5 IPsec DES+MD5 IPsec DES+MD5 IPsec DES+MD5 IKE SHA+DES IKE SHA+DES Encrypt Decrypt IP-Address 0 274 0 277 0 0 277 172.17.0.1 0 172.17.0.1 272 172.17.0.1 0 172.17.0.1 0 172.17.0.1 0 172.17.0.1

Thực hiện Ping vào các interface Loopback (đại diện của mạng bên trong) của các Router Hub#ping 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 100/164/200 ms Hub#ping 192.168.2.1 Khoa: Khoa Học Máy Tính – Lớp MM03C Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 124/158/216 ms

51

Spoke1#ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 136/143/152 ms Spoke1#ping 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 124/268/388 ms Dùng WireShark bắt gói tin giữa các Router, nhận thấy các gói tin đều bị mã hóa

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

52

KẾT LUẬN
Mạng riêng ảo VPN (Virtual Private Network) là thuật ngữ được các nhà cung cấp dịch vụ và các Carrier sử dụng. Đúng như tên gọi của nó, VPN là một mạng riêng của khách hàng dựa trên cơ sở hạ tầng mạng công cộng dùng dung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm hay phần cứng hay kết hợp cả 2 giải pháp để tạo ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng. VPN được các doanh nghiệp trên thế giới sử dụng rất phổ biến. Sự kết hợp với IPSec mang lại khả năng bảo mật tuyệt vời cho VPN. Dynamic Multipoint Virtual Network (DMVPN) là sự kết hợp giữa các công nghệ: IPSec, mGRE và NHRP. Các công nghệ này kết hợp lại cho phép triển khai IPSec trong VPN một cách dễ dàng. Trong quá trình thực tập, vì kiến thức và kinh nghiệm còn hạn chế, nên không tránh khỏi những sai sót trong bài báo cáo này. Rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn. Để hoàn thành tốt quá trình thực tập, em đã nhận được nhiều sự đóng góp của các thầy đang công tác tại Trường Tân và các bạn. Đặc biệt em muốn gửi lời cảm ơn đến thầy Nguyễn Đức Việt Khôi, cán bộ đang công tác và làm việc tại Trường Tân đã tận tình hướng dẫn em trong quá trình thực tập tại Công ty. Xin cảm ơn đến toàn bộ Công ty Trường Tân đã tạo mọi điều kiện cung cấp thiết bị để em hoàn thành các bài thực hành, bài Lab trong quá trình thực tập. Cuối cùng, em xin gửi lời cảm ơn đến các thầy cô trong bộ môn Mạng Máy Tính trường Cao Đẳng Công Nghệ Thông Tin Hữu Nghị Việt Hàn đã tạo điều kiện cho em có cơ hội thực tập trong môi trường thực tế. Xin cảm ơn! Phan Anh Tuấn

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Tìm hiểu và triển khai IPSec trong Virtual Private Network

53

TÀI LIỆU THAM KHẢO
Các Website [1] http://www.vnpro.org [2] http://www.nhatnghe.com [3] http://www.truongtan.edu.vn [4] http://www.cisco.com [5] http://www.gns3-labs.com

Khoa: Khoa Học Máy Tính – Lớp MM03C

Phan Anh Tuấn

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close