Tổng quan về IpSec VPN

IPSEC &VPN

MỤC LỤC TRANG

1. Mục Lục Trang.......................................................................................................1

2. Tổng quan................................................................................................................2

3. Chương 1 ipsec

1. IPSec là gì.........................................................................................................2

2. Vai trò của IPSec.............................................................................................4

3. Những tính năng của IPSec............................................................................4

4. Cấu trúc bảo mật.............................................................................................5

5. Làm việc như thế nào .....................................................................................6

6. Giao thức sử dụng ..........................................................................................7

7. Các chế độ........................................................................................................13

8. IKE....................................................................................................................15

9. Chính sách bảo mật IPSec..............................................................................21

10. Mối quan hệ giữa chứng chỉ và IPSec...........................................................21

4 Chương 2 VPN

1. Giới thiệu và các dạng của VPN...................................................................22

2 Các yêu cầu của Mạng riêng ảo.....................................................................33

3 Bảo mật trong VPN.........................................................................................39

4 Khái niệm về kỉ thuật đường hầm.................................................................55

5 Cấu hình...........................................................................................................60

5 Tài liệu tham khảo...................................................................................................62

1

IPSEC &VPN

Tổng quan

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế

giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự

phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet

mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt

động thương mại với quy mô lớn nhỏ khác nhau...

Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ

bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử,

mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet.

Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền

qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền

tải các dữ liệu đó? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các dữ liệu qua mạng bằng

việc sử dụng IPSec.

Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu qua

mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải

pháp đưa ra là mạng riêng ảo VPNs kết hợp với giao thức bảo mật IPSEC. Chính điều này

là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay.

CHƯƠNG 1 : IPSEC

1. IPSec là gì?

- IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp một khoá

cho phép bảo mật giữa hai thiết bị mạng ngang hàng.

Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được định nghĩa để

kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh truyền dẫn mạng bảo

mật.

-Thuật ngữ Internet Protocol Security (IPSec). Nó có quan hệ tới một số bộ giao thức (AH, ESP,

FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF).

Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer)

của mô hình OSI, như hình vẽ:

2

IPSEC &VPN

-Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó, khi

một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi

vì các giao tiếp đều đi qua tầng 3. (Đó là lý do tại sao IPSec được phát triển ở giao thức

tầng 3 thay vì tầng 2).

-Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ

tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm

dẻo cho IPSec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao

thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức

khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã

(code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức

bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.

- Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI

đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích

hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo

mật mà không cần phải có sự thay đổi lớn lao nào. Cũng giống IP, IPSec trong suốt với

3

IPSEC &VPN

người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục

đằng sau một chuỗi các hoạt động.

2. Vai trò của IPSec

+ Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu.

+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.

+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảo mật.

+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh dấu dữ liệu.

+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm

tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào.

3. Những Tính Năng của IPSec (IPSec Security Protocol)

-Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity).

IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và

kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi

người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn

công giả mạo, đánh hơi và từ chối dịch vụ.

-Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng

kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên

đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người

gửi) và nút đích (người nhận) từ những kẻ nghe lén.

- Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key

Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và

trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các

khóa mã và cập nhật những khóa đó khi được yêu cầu.

- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và

confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec.

Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security

Payload (ESP).

- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp

4

IPSEC &VPN

nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.

- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độ Transport và chế

độ Tunnel được mô tả ở hình 6-7. Cả AH và ESP có thể làm việc với một trong hai chế độ

này.

4. Cấu trúc bảo mật

-IPsec được triển khai sử dụng các giao thức cung cấp mật mã (cryptographic

protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, phương thức xác thực và

thiết lập các thông số mã hoá.

-Xây dựng IPSec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo

mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là

nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai

chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế

lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi

IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói

tin IP.

-Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói

tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi

quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện

thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ

đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật

(tạm dịch từ - security association) cho mỗi gói tin. Một quá trình tương tự cũng được làm

với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các

khoá từ SADB.

-Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực

hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho

một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện

nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật,

5

IPSEC &VPN

cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liệu.

Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ

group tới các cá nhân.

5.IPSec làm việc như thế nào:

1. IPSec Định nghĩa ra loại lưu lượng cần được bảo vệ và định nghĩa ra các loại

tùy chọn IPSec.

-Các chính sách này sẽ được cấu hình trên các chính sách bảo mật cục bộ hoặc thông

qua các chính sách nhóm trên ID.

2. -Quá trình thỏa thuận sự liên kết bảo mật trong modul khóa trao đổi với internet:

IKE sẽ thỏa thuận với liên kết bảo mật.

-Môdul khóa internet là sự kết hợp của 2 giao thức: Giao thức kết hợp bảo mật internet

và giao thức quản lí khóa. IPSec sử dụng 2 giao thức này để thỏa thuận một cách tích cực

về các yêu cầu bảo mật cho cả 2 phía giữa các máy tính với nhau. Các máy tính này không

đòi hỏi phải có chính sách giống hệt nhau mà chúng chỉ cần các chính sách cấu hình các

tùy chọn thỏa thuận để cấu hình ra một yêu cầu chung.

3. Quá trình mã hóa gói IP:

Sau khi liên kết bảo mật được thiết lập, IPSec sẽ giám sát tất cả các lượng IP, so sánh

lưu lượng với các điều kiện đã được định nghĩa trên bộ lọc.

4. Mã hóa hoặc kí trên các lưu lượng đó:

6