Nghiên cứu bảo mật mạng riêng ảo trên công nghệ chuyển mạch nhãn đa giao thức

11 541 0
Nghiên cứu bảo mật mạng riêng ảo trên công nghệ chuyển mạch nhãn đa giao thức

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - QUÁCH NHƯ THẾ NGHIÊN CỨU BẢO MẬT MẠNG RIÊNG ẢO TRÊN CÔNG NGHỆ CHUYỂN MẠCH NHÃN ĐA GIAO THỨC Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TS NGUYỄN VĂN TAM HÀ NỘI – 2012 M U M ng VPN m t nh ng ng d ng r t quan tr ng m ng MPLS MPLS VPN ã ơn gi n hóa q trình t o “ ng h m” m ng riêng o b ng ch gán nhãn gói tin (Lable) thi t b m ng nhà cung c p Thay ph i t thi t l p, qu n tr , u tư nh ng thi t b t ti n, MPLS VPN s giúp doanh nghi p giao trách nhi m cho nhà cung c p – ơn v có y l c, thi t b công ngh b o m t t t cho m ng c a doanh nghi p Lu n văn “ Nghiên c u b o m t m ng riêng o công ngh chuy n m ch nhãn a giao th c” ã nghiên c u VPN m ng MPLS có k t h p v i IPSEC mô ph ng Lu n văn c chia làm chương: Chương I: T ng quan v m ng riêng o Chương II: Gi i pháp b o m t VPN n n MPLS Chương III: Mô ph ng CHƯƠNG I: T NG QUAN V M NG RIÊNG O T ng quan v m ng riêng o 1.1 Gi i thi u v m ng riêng o Khái ni m m ng riêng o M ng riêng o phương pháp làm cho m t m ng công c ng ho t ng m t m ng c c b k t h p v i gi i pháp b o m t ng truy n VPN cho phép thành l p k t n i riêng v i ngư i dùng ty xa, văn phòng chi nhánh c a công i tác c a công ty ang s d ng chung m t m ng công c ng VPN = nh ng h m + b o m t + tho thu n QoS 1.2 Ưu c i m c a VPN Ưu i m: Gi m chi phí ng truy n Gi m chi phí u tư Gi m chi phí qu n lý h tr Truy c p m i lúc m i nơi C i thi n k t n i An toàn giao d ch Hi u qu v băng thông Enhanced scalability Như c i m: Ph thu c môi trư ng Internet Thi u s h tr cho m t s giao th c k th a 1.3 Phân lo i m ng mơ hình VPN Các lo i m ng VPN Remote access VPN Intranet VPN Extranet VPN 1.4 Các thành ph n m ng VPN 1.4.1 M ng khách hàng (Customer Network) G m router t i site khách hàng khác Các router k t n i site cá nhân v i m ng c a nhà cung c p d ch v c g i router biên phía khách hàng (CE- Customer Edge) 1.4.2 M ng nhà cung c p (Provider Network) c dùng cung c p k t n i point-to-point qua h t ng m ng c a nhà cung c p d ch v Các thi t b c a nhà cung c p d ch v mà n i tr c ti p v i CE router c g i router biên phía nhà cung c p (PE-Provider Edge) M ng c a nhà cung c p cịn có thi t b dùng chuy n ti p d li u m ng tr c (SP backbone) c g i router nhà cung c p (P- Provider) VPN có th chia thành hai lo i mơ hình: Overlay Peer-to-Peer 4 17 1.5 Các giao th c t o ng h m VPN 1.5.1 Giao th c PPTP(Point-To-Point Tunning K T LU N Protocol) Giao th c PPTP (Point-to-Point Tunneling Protocol giao th c t o ng h m i m n i i m) ban tri n c thi t k gi i quy t v n u c phát trì ng h m VPN m ng public d a vào TCP/IP b ng cách s d ng PPP PPTP k t qu c a s n l c chung c a Microsoft m t lo t nhà cung c p s n ph m bao g m ch ng h n Ascend Communications, 3Com/Primary Access, ECI 1.5.2 Giao th c L2TP (Layer Tunneling Protocol) Giao th c L2TP s d ng hai lo i thông i p, thông i p i p d li u (Data Message) Thông i p i u n c s d ng vi c thi t l p trì ng ng Thơng i p d li u c s d ng óng gói PPP frame chuy n qua ng ng 1.5.3 Giao th c IPSec (IP Security Protocol) IPSec m t giao th c b o m t tích h p v i t ng IP, cung c p d ch v b o m t mã hóa linh ho t Nh ng d ch v 1.5.3.1 Ch ng th c ngu n g c d li u/Tính tồn v n d li u phi k t n i quan tr ng m ng MPLS Các công ty, doanh nghi p c bi t công ty a qu c gia có nhu c u r t l n v lo i hình d ch v V i VPN h hồn tồn có th s d ng d ch v vi n thông, truy n s li u n i b v i chi phí th p, an ninh b o m ây m t ng d ng r t quan tr ng áp ng yêu c u c a m ng riêng s d ng h t ng s thông tin qu c gia v i nh ng yêu c u khác v Telematics, U.S Robotics i u n (Control Message) thông M ng riêng o VPN m t nh ng ng d ng r t an toàn, b o m t ch t lư ng d ch v Bên c nh ó vi c nghiên c u công ngh b o m t MPLS VPN, n i b t hi n s d ng IPSec Sau nghiên c u tài ã t ng k t c v n sau: T ng quan VPN: Gi i thi u t ng quan VPN Gi i pháp b o m t VPN n n MPLS, tìm hi u IPsec MPLS Tìm hi u ph n m m mơ ph ng GNS b o m t MPLS VPN mô ph ng v n 16 CHƯƠNG III: MÔ PH NG 1.5.3.2 B o v ch ng replay 1.5.3.3 B o m t 3.1 Th c hi n MPLS VPN, IPSEC 3.1.1 Sơ 1.5.3.4 Encapsulating Security Payload (ESP) m ng – c u hình interface b n 1.5.3.5 Tiêu ch ng th c (AH) 1.5.3.6 Trao i khóa Internet (IKE) 1.5.3.7 Ch v n hành 1.5.3.8 Ch Tunnel CHƯƠNG II: GI I PHÁP B O M T VPN TRÊN N N MPLS 2.1 Công ngh chuy n m ch MPLS 2.1.1 T ng quan v MPLS MPLS m t công ngh k t h p gi a c i m t t nh t nh n l p ba chuy n m ch l p hai cho phép chuy n t i gói r t nhanh m ng lõi (core) 3.1.2 Yêu c u: T o MPLS core Th c hi n MPLS VPN , IPSEC cho hai khách hàng CE1và CE2 nh n t t m ng biên (edge) b ng cách d a vào nhãn (label) c i m m ng MPLS: - Khơng có MPLS API, khơng có thành ph n giao th c phía host - MPLS ch n m router - MPLS giao th c c l p nên có th ho t ng v i giao th c khác IP IPX, ATM, Frame Relay,… - MPLS giúp ơn gi n hố q trình làm tăng tính linh ng c a t ng trung gian nh n Phương th c ho t Thay th ch 15 ng: nh n l p ba b ng ch chuy n m ch l p hai MPLS ho t ng lõi c a m ng IP Các Router lõi ph i enable MPLS t ng giao ti p Nhãn c g n thêm vào gói IP gói i vào m ng MPLS Nhãn c tách gói kh i m ng MPLS Nhãn (Label) c chèn vào gi a header l p ba header l p hai S d ng nhãn q trình g i gói sau ã thi t l p ng i IPsec tĩnh: mơ hình này, m i nút IPsec c c u hình tĩnh v i t t c IPsec ng c p c a nó, thơng tin nh n th c sách b o m t IPsec tĩnh c mô t RFC 2401, 2412 Nó có th c áp d ng CE-CE PE-PE IPsec ng: môi trư ng hub- và-spoke, hub có th c c u hình mà khơng c n thông tin spoke bi t cách c i m c a spoke; ch n c hub, m t ng h m IPsec i nhãn (Label c thi t l p ch spoke có th xác th c c Swapping) M t nh ng th m nh c a ki n trúc MPLS IPsec truy c p t xa s d ng ý tư ng tương t , xác th c t thư ng c th c hi n máy ch AAA IPsec MPLS t p trung vào q trình hốn nh nghĩa ch ng nhãn (Label Stack) c s d ng cho CE-CE PE-PE 2.1.2 C u trúc c a nút MPLS M t nút c a MPLS có hai m t ph ng: m t ph ng chuy n ti p MPLS m t ph ng MPLS có th th c hi n i u n MPLS Nút nh n l p ba ho c chuy n m ch l p hai 2.1.2.1 M t ph ng chuy n ti p (Forwarding plane): M t ph ng chuy n ti p có trách nhi m chuy n ti p gói d a giá tr ch a nhãn M t ph ng chuy n ti p s d ng m t s thông tin chuy n ti p nhãn LFIB ti p gói chuy n ng có th 14 tương t b o m t d th c thi nhi u, c bi t i v i khách hàng 2.1.2.2 M t ph ng i u n (Control Plane): Ngo i tr trư ng h p c bi t, IPsec PE-PE hi n t i không c s d ng nhi u lí b o m t Rõ ràng khơng m t gi i pháp t ng th cho b o m t VPN Trong trư ng h p nên s d ng IPsec CE-CE lưu tr LFIB T t c nút MPLS ph i ch y m t giao th c M t ph ng i u n MPLS ch u trách nhi m t o nh n IP trao i thông tin nh n IP v i nút MPLS khác m ng Các mô un i u n MPLS g m: xa vào m t m ng MPLS VPN ng h m IPsec t ngư i dùng t xa c k t thúc b nh n PE, d a s nh n d ng c a ngư i dùng, c ánh x vào VPN Do ó, b nh n PE th c hi n y nhi m v : i m cu i truy c p t xa IPsec PE MPLS Trong ng d ng này, IPsec ph c v ch y u m t phương pháp truy c p an toàn vào VPN c a ngư i dùng, i m truy c p không dây cơng c ng hay mang internet • nh n Unicast (Unicast Routing) • 2.3.2.3 IPsec truy c p t nh n Multicast (Multicast Routing) • K thu t lưu lư ng (Traffic Engineer) • M ng riêng o (VPN – Virtual private Network) • Ch t lư ng d ch v (QoS – Quality of Service) 2.1.3 Các ph n t c a MPLS 2.1.3.1 LSR (label switch Router) Có lo i LSR m ng MPLS: o Ingress LSR – LSR vào nh n gói chưa có nhãn, chèn nhãn (ngăn x p) vào trư c gói truy n i ng k t n i d li u 2.3.3 IPsec MPLS Các mơ hình ã xem xét ph n trư c mô t o Egress LSR – LSR nh n gói c gán nhãn, ng h m IPsec ã c thi t l p (ví d PE-PE), khơng tách nhãn truy n chúng ng k t n i d li u LSR xem xét cách th c thi t l p ng h m, vi c xem xét thi t k th tri n khai m ng IPsec Các l a ch n ng h m IPsec: thi t l p LSR vào LSR biên o LSR trung gian (intermediate LSR) – LSR trung gian s nh n gói có nhãn t i, th c hi n thao tác nó, chuy n m ch gói truy n gói n ng 13 2.3.2 V trí i m k t thúc c a IPsec k t n i d li u úng 2.1.3.2 LSP (label switch Path) Trong m t môi trư ng MPLS VPN, IPsec có th ng chuy n m ch nhãn m t t p h p LSR s d ng t i i m khác c a m ng: mà chuy n m ch m t gói có nhãn qua m ng MPLS ho c Gi a b nh n CE c a VPN Gi a m t i m VPN PE Gi a b nh n PE lõi MPLS VPN m t ph n c a m ng MPLS V b n, LSP m t ng d n qua m ng MPLS ho c m t ph n m ng mà gói i qua LSR u tiên c a LSP m t LSR vào, ngư c l i LSR cu i c a LSP m t LSR 2.1.3.3 FEC (Forwarding Equivalence Class) L p chuy n ti p tương ương (FEC) m t nhóm ho c c 2.3.2.1 CE-CE IPsec N u IPsec c s d ng gi a CE, toàn b ng d n gi a CE c b o m t ng truy c p (gi a CE PE), toàn b lõi MPLS bao g m PE, P ng d n lu ng gói c chuy n ti p d c theo m t n c x lý theo m t cách chuy n ti p T t c gói thu c m t FEC s có nhãn gi ng Tuy nhiên, khơng ph i t t c gói có nhãn u thu c m t IPsec CE-CE không b o v ch ng l i m i e d a sau ây: T n công t ch i d ch v (DoS) Các m i e d a khu v c tin c y FEC, b i giá tr EXP c a chúng có th khác nhau; phương th c chuy n ti p khác có th ph thu c vào FEC khác 2.1.4 Các giao th c s d ng MPLS 2.1.4.1 Phân ph i nhãn • • • • Phân ph i nhãn v i LDP Các tính ch t b n c a giao th c phân ph i nhãn LDP Th t c phát hi n LSR lân c n Giao th c truy n t i tin c y Nhìn chung, CE-CE IPsec cung c p m t phương ti n lý tư ng m b o m t MPLS VPN vư t tiêu chu n an ninh c a m ng MPLS ây k thu t c a s l a ch n cho vi c cung c p an ninh b sung, ch ng h n mã hóa lưu lư ng truy c p n m t MPLS VPN 2.3.2.2 PE-PE IPsec Thư ng, PE-PE IPsec c xem m t cách tránh khách hàng VPN ph i thi t l p CE d a IPsec M t vài v trí tư v n m t c u trúc 12 2.3.1.1 T ng quan IPsec • • IPsec m t k thu t cung c p d ch v b o m t qua Các b n tin LDP Các ch phân ph i nhãn 2.1.4.2 Giao th c m ng IP: 2.2 Tính b o m t thơng qua s d ng mã hóa t trư c tài nguyên ng d ng VPN m ng MPLS 2.2.1 Gi i thi u v MPLS VNP Tính xác th c thông qua vi c s d ng xác th c 2.2.4 Các b ng c p xác th c thơng i p Tính tồn v n thông qua vi c s d ng ki m tra tồn v n thơng i p nh n o MPLS M tb nh n o m t t p ch c năng, c tĩnh ng thi t b nh n, cung c p d ch v nh n g i chuy n ti p gi ng b nh n v t lý Ch ng l i vi c phát l i, b ng cách s d ng chu i s ã c xác th c Các m b o tính m i m c a thơng c tính mà b nh n o c n có là: C u hình c a b t c s k t h p gi a giao i p M t nh ng l i ích quan tr ng c a IPsec d ch v b o m t t t c c áp d ng l p (l p m ng) gi ng v i IP B ng cách này, d ch v b o m t v n c l p v i ch v n chuy n ưu tiên giao th c ng d ng c dùng l p c a ngăn x p Khi thi t k m t m ng dùng IPsec, c n xem xét v n : V trí ng h m IPsec nên c áp d ng Cách th c thi t l p ng h m IPsec gi i quy t v n có nhi u cách Trư c h t, ta s xét v trí i m cu i IPsec; sau ó cách ng h m c thi t l p gi a v trí th c nh n Giám sát m ng X lý s c 2.2.3 Ki n trúc MPLS VPN 2.2.3.1 G i chuy n ti p MPLS VPN a) G i chuy n ti p cung c p vi c g i chuy n ti p gói tin IP d c theo b nh n ngư i ta s d ng MPLS Lý mà MPLS giúp làm c i u tách riêng thông tin s d ng cho vi c g i chuy n ti p gói tin v i thông tin mang tiêu IP Do v y, có th k t h p LSP v i b nh n VPN-IP sau ó g i chuy n ti p gói tin IP d c theo nh ng b nh n ó s d ng MPLS óng vai trị ch g i chuy n ti p 10 11 b) G i chuy n ti p MPLS VPN 2.2.3.3 DiffSer MPLS VPN LSP riêng Vi c c u hình LSP riêng cho VPN cho phép SP LSP c coi tuỳ ch n s VPN cung c p DiffSer dành cho khách hàng Nh ng LSP riêng c k t h p v i b t c l p QoS L2 có s n ho c LSP thư ng k t h p v i vi c d tr trư c băng thơng có th v i d ch v khác riêng bi t ho c l p QoS N u LSP v i i m mã d ch v Trong m t VPN, nhi u LSP riêng v i s n sàng, c s d ng cho d li u ngư i s d ng l p d ch v khác có th cho vi c g i chuy n ti p d li u i u n cá nhân VPN tin lu ng cho vi c s p x p gói tin LSP này, v i kh thay LSP công c ng Các gói tin VPN c g i chuy n ti p s d ng LSP n u LSP riêng v i băng thông xác nh c tính QoS ho c khơng c c u hình ho c hi n t i khơng s n sàng LSP c s d ng m t LSP c tính trư c cho b VPN0 VPNID tiêu nh n l i chèn thêm c s d ng phân gói d li u t VPN khác t i b nh n l i c c u hình v i thơng i kích thư c b c tính nh n o, cho phép SP cung c p d ch v hoàn toàn khác t i khách hàng VPN 2.3 MPLS VPN k t h p IPSEC 2.3.1 IPSEC MPLS VPN Ngày m ng MPLS VPN IPsec VPN ã c tri n khai r ng, cho th y r ng c hai u có nh ng l i ích riêng Các l i ích c a MPLS VPN ch y u bên phía nhà cung 2.2.3.2 Nh n bi t ng b nh n lân c n c p d ch v k thu t cho phép ki n trúc VPN có kh MPLS VPN m r ng cao có tích h p h tr QoS Và khách hàng Các VR m t VPN cho trư c thu c v m t s SPED m ng Nh ng VR c n ph i nh n bi t v VR khác ph i c k t n i v i VR khác M t cách th c hi n i u yêu c u thi t l p c u hình c a VR lân c n VPN có l i ích gián ti p nh vi c cung c p d ch v VPN có giá c th p Trong ó, IPsec VPN có l i ích b o m t m ng khách hàng: d li u c mã hóa, ch ng th c tính tồn v n ... cung c p – ơn v có y l c, thi t b công ngh b o m t t t cho m ng c a doanh nghi p Lu n văn “ Nghiên c u b o m t m ng riêng o công ngh chuy n m ch nhãn a giao th c” ã nghiên c u VPN m ng MPLS có k... ng riêng o Chương II: Gi i pháp b o m t VPN n n MPLS Chương III: Mô ph ng CHƯƠNG I: T NG QUAN V M NG RIÊNG O T ng quan v m ng riêng o 1.1 Gi i thi u v m ng riêng o Khái ni m m ng riêng o M ng riêng. .. FEC khác 2.1.4 Các giao th c s d ng MPLS 2.1.4.1 Phân ph i nhãn • • • • Phân ph i nhãn v i LDP Các tính ch t b n c a giao th c phân ph i nhãn LDP Th t c phát hi n LSR lân c n Giao th c truy n t

Ngày đăng: 14/02/2014, 08:42

Hình ảnh liên quan

3.1.1 Sơ đồ mạng – cấu hình các interface cơ bản - Nghiên cứu bảo mật mạng riêng ảo trên công nghệ chuyển mạch nhãn đa giao thức

3.1.1.

Sơ đồ mạng – cấu hình các interface cơ bản Xem tại trang 6 của tài liệu.

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan