1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN QUỐC CƯỜNG NGHIÊN CỨU VPN VÀ GIẢI PHÁP TRIỂN KHAI IPSEC VPN KẾT NỐI MẠNG NỘI TỈNH CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ:260.48.15 Người hướng dẫn khoa học: TS Trần Việt Hưng TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2011 2 MỞ ĐẦU 1. Tính cấp thiết của đề tài. Hiện nay công nghệ VPN đã trở thành cần thiết xây dựng mạng lưới doanh nghiệp lựa chọn bảo mật, ứng dụng này để phát triển các nhu cầu của thị trường, giới thiệu các công nghệ VPN chính, tích hợp VPN gateway xu hướng bảo mật và ứng dụng. Cuối năm 1999, IETF IPsec Security Nhóm làm việc hoàn thành mở rộng, trong thỏa thuận với IPsec ISAKMP (Internet Security Association và Key Management Protocol) giao thức, phân phối chính thức IKE, Oakley. ISAKMP / IKE / Oakley hỗ trợ tự động tạo ra mật mã, kênh chứng thực, cũng như phân phối trọng điểm và cập nhật bảo mật tự động. IPsec định nghĩa một tập hợp các tính toàn vẹn cho việc bảo vệ tư nhân và các giao thức tiêu chuẩn. IPsec hỗ trợ một loạt các thuật toán mã hóa như DES, 3DES. Hiện nay không chỉ Bưu điện tỉnh Hòa Bình mà hầu hết các Bưu điện tỉnh thành đang triển khai phương án kết nối mạng theo hình thức thuê kênh Megawan. Trước yêu cầu đó Bưu điện tỉnh Hòa Bình xây dựng giải pháp kết nối nội tỉnh 3 bằng phương thức IPSec VPN (Internet Protocol Security) và SSL VPN (Secure Socket Layer) trên nền Internet cho các điểm triển khai online, đáp ứng yêu cầu về mở rộng phạm vi kết nối, triển khai phát triển các dịch vụ Bưu chính có tiền năng (ePost,Paypost…) tới các điểm Bưu cục, đồng thời giảm chi phí kết nối so với triển khai kết nối theo hình thức Megawan. 2. Mục đích nghiên cứu Nghiên cứu hoàn thiện mạng tin học Bưu Điện Tỉnh Hòa Bình. 3. Đối tượng và phạm vi nghiên cứu Mạng Bưu chính Bưu Điện Tỉnh Hòa Bình 4. Phương pháp nghiên cứu Phương pháp thu thập tài liệu, phương pháp tổng hợp - phân tích số liệu, phương pháp thực nghiệm. 5. Kết cấu của luận văn: Chương 1 : Tổng quan Ipsec VPN. Chương 2 : Ipsec VPN Chương 3 : Mô tả giải pháp VPN triển khai thực tế trên mạng lưới. 4 Chương 1 TỔNG QUAN IPSEC VPN 1.1. Khái niệm VPN VPN (Virtual Private Network ): hay còn gọi là: Mạng riêng Ảo, cho phép mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet để tạo một đường hầm ảo kết nối từ xa. Kỹ thuật VPN cho phép ta kết nối với một host (máy tính) nằm xa hàng ngàn km với mạng LAN của mình và làm cho nó trở thành một node (nút mạng ) hay một PC nữa trong mạng LAN. Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN. 1.2. Giới thiệu về Ipsec VPN và SSL VPN 1.2.1. Ipsec VPN là gì ? IPSEC VPN (Internet Protocol Security) là giao thức mạng về bảo mật (security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùng IPSEC ở trong mạng cục bộ LAN). 1.2.2. SSL VPN là gì ? Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm VPN mới và phát triển nhanh chóng dựa trên giao thức SSL 5 1.2.3. Lựa chọn SSL VPN hay IPSec VPN? Trước tiên, cần phải khẳng định là SSL VPN và IPSec VPN không phải là hai công nghệ loại trừ lẫn nhau. Thường thì hai công nghệ này đồng thời được triển khai trong cùng một công ty. 1.2.3.1 Kiểu kết nối, kiểu truy cập IPSec VPN phù hợp cho các kết nối theo kiểu site-to-site. Nó là sự lựa chọn tốt nhất cho các mạng LAN từ xa kết nối với nhau hay kết nối với mạng trung tâm Nhưng khi người dùng di động từ xa từ các vị trí công cộng ít tin cậy như sân bay, nhà ga, khách sạn, tiệm cà phê internet muốn truy cập vào tài nguyên của công ty họ thì giải pháp IPSec VPN tỏ ra nhiều bất cập và đó chính là ưu điểm của. 1.2.3.2 Phần mềm khách (Client software) IPSec VPN yêu cầu cần phải có phần mềm Client cài đặt tại các máy tính để bàn hoặc máy tính xách tay SSL VPN chỉ cần hệ điều hành có một trình duyệt (browser) bất kỳ hỗ trợ giao thức SSL là có thể thực hiện ngay được một kết nối an toàn, dễ dàng vào bảo mật (security) 1.2.3.3 Mức độ an toàn của thiết bị truy cập hay kết nối mạng từ xa: Với IPSec VPN (Virtual Private Network), người dùng từ xa (mobile user) hay mạng LAN từ xa (remote network) kết nối 6 đến công ty có thể dễ dàng truy cập đến toàn bộ tài nguyên mạng (FTP, Email, Web, CRM, ERP v.v. ) như thể họ đang ngồi làm việc tại công ty. SSL VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất cả các nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm soát đến từng chi tiết 1.2.3.4 Quản lý và kiểm soát truy cập từ xa bằng IPSec VPN(Access Control): IPSec VPN được thiết kế để mở rộng phạm vi của mạng LAN. Mọi việc sẽ khác đi nếu chúng ta cho phép các nhân viên thường xuyên di chuyển (mobile user, telecom user.v.v), các đại lý, các nhà cung cấp, nhà thầu, các đối tác thương mại .v.v. kết nối vào mạng chúng ta từ xa (remote access).Giải pháp SSL VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất cả các nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm soát đến từng chi tiết 1.2.3.5. Mức độ bảo mật (security) : Khi so sánh SSL VPN và IPSec VPN thường mọi người có câu hỏi được đặt ra là “Giao thức IPSec VPN và SSL VPN thì cái nào an toàn hơn?”. Thật ra, cả hai giao thức bảo mật này đều bảo mật tốt cho hệ thống. Chúng đều cung cấp một phương 7 pháp trao đổi khóa an toàn (secure key exchange) và phương pháp mã hóa mạnh (encrytion). 1.2.3.6 Vấn đề tương thích với Firewall, tính năng NAT: Việc kết nối IPSec thông qua Firewall cũng là một khó khăn. IPSec VPN dùng các giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). IPSec không tương thích với việc chuyển đổi địa chỉ mạng bằng tính năng NAT (Network Address Translation). SSL VPN tương thích hoàn toàn với Firewall, NAT hayserver proxy. 1.2.3.7 Ứng dụng: IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP. Một khi kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các ứng dụng truyền thống như web, thư điện tử, truyền file đến các ứng dụng khác như ICMP, VoIP, SQL.v.v các ứng dụng đa dịch vụ IPTV, MyTVVideo Server… đều cho phép đi ngang qua kênh này. Còn SSL VPN cung cấp các ứng dụng trên nền Web (Web-based application), các ứng dụng e-mail (POP3/IMAP/SMTP). 8 Chương 2 IPSEC VPN 2.1. Khái niệm IPSec có nghĩa là Internet Protocol SECurity. Nó dùng để chỉ một bộ các giao thức (AH, ESP, FIP-140-1, v.v ) được phát triển bởi Internet Engineering Task Force (IETF). 2.2. Các thuật toán dùng trong Ipsec VPN Thuật Toán DES: Là phương thức mã hóa dữ liệu dùng khóa 56 bit cho block dữ liệu Thuật Toán 3DES: Dùng khóa có chiều dài 168 bit. IKE: làm nhiệm vụ trao đổi key giữa các vpn gateway. 2.3 Kết hợp bảo mật IPSec Kết hợp bảo mật (SAs) là khái niệm cơ bản của giao thức IPSec. Theo người phát triển IPSec, SA là một kết nối logic không định hướng giữa hai máy dùng dịch vụ IPSec. Một IPSec SA sử dụng hai cơ sở dữ liệu. Security Association Database (SAD) (Cơ sở dữ liệu kết hợp bảo mật) chứa thông tin liên quan về các SA. Thông tin bao gồm các khóa giải thuật, chu kì sống của SA, và chuỗi số. Cơ sở dữ liệu IPSec thứ hai, Security Policy Database (SPD) (Cơ sở dữ liệu 9 cách thức bảo mật) , chứa thông tin về dịch vụ bảo mật gồm một danh sách các thực thể truyền đi và nhận về. 2.4 Ipsec security protocols IPSec gồm ba chức năng chính sau - Xác thực và tòan vẹn dữ liệu - Tin cẩn - Quản lý khóa 2.4.1. Authentication Header Protocol Giao thức header xác thực (AH) đính thêm vào header của IP datagram. Header này cung cấp IP datagram gốc tại nơi nhận. Để tạo ra HA, Hashed Authentication Message Code (HMAC) được tạo ra tai nơi gửi. Mã hash code được tạo ra trên một SA xác định, xác định thứ tự biến đổi datagram. Mã sẽ được đính vào sau IP header ban đầu. Tại nơi nhận, HMAC được giải mã để xác định người gửi cũng như tính tòan vẹn của dữ liệu. 2.4.2. Giao thức Encapsulating Security Payload (ESP) ESP giúp tăng độ tin cậy trong quá trình xác định người người và xác minh tính tòan vẹn của dữ liệu trong quá trình truyền qua mạng. ESP se mã hóa nội dung của datagram bằng các giải thuật mã hóa 10 So sánh ESP với AH ta thấy rằng : AH chú trọng đến việc xác minh và bảo vệ tòan vẹn dữ liệu của IP datagram, trong khi đó ESP chỉ bảo vệ phần payload (chứa nội dung cần truyền ). 2.5 Ipsec Modes SA trong IPSec được thực thi trong hai mode. Gồm đó mode truyền tải(Transport mode) và mode đường hầm (Tunnel mode). Cả AH va ESP đều hoạt động ở cả hai mode. 2.5.1. Mode chuyền tải Mode chuyển tải bảo vệ các giao thức ở lớp trên và các trình ứng dụng. Trong mode chuyền tải, IPSec header được gắn vào giữa IP header và header của các giao thức lớp trên. Mode truyển tải ít sử lý ở phần đầu của datagram nên nó nhanh hơn. Tuy nhiên nó sẽ không hiệu quả với ESP hoặc các trường hợp không xác thực cũng như mã hóa IP header. 2.5.2. Mode đường hầm Mode đường hầm bảo vệ tòan bộ IP datagram. Tòan bộ IP datagram được bọc lại vởi một IP datagram khác, sau đó một IPSec header đính vào giữa IP header cũ và mới. 2.6 Internet key exchange Nó còn có tên khác là ISAKMP/Oakley, ISAKMP có nghĩa là Bảo mật mạng và quản lý khóa (Internet Security Association and Key Management Protocol). [...]... làm VPN Server - Tại các điểm triển khai kết nối phải có 01 đường MegaVNN - Có phần mềm Forticlient đối với các điểm triển khai IPSec VPN và Internet Explorer đối với các điểm triển khai SSL VPN 3.2 Sơ đồ mạng bưu chính Hòa Bình sau khi triển khai kết nối nội tỉnh theo giải pháp mới ( IPSEC VPN VÀ SSL VPN ): 16 Hình 3-1: Sơ đồ mạng Bưu chính Hòa Bình 3.3 Cấu hình Ipsec VPN trên mạng lưới (Giải pháp. .. hàng đặc biệt Như vậy chúng ta thấy việc triển khai giải pháp kết nối nội tỉnh IPSec VPN và SSL VPN đã giảm chi phí đáng kể so với triển khai kết nối nội tỉnh theo hình thức Megawan Tính tương lai của giải pháp: Khả năng mở rộng các ứng dụng trên nền tảng truyền dẫn là rất lớn, có thể triển khai các dịch vụ ứng dụng Web, hệ thống điều hành nội bộ, Website Bưu điện tỉnh, VoIP (điện thoại internet)… Tương... hiện kết nối từ các điểm kết nối có sản lượng doanh thu thấp về tỉnh Hiệu quả về kinh tế : Đối với chi phí thuê kênh hàng tháng và chi phí lắp đặt ban đầu thì giải pháp IPSec VPN và SSL VPN giảm thiểu hơn rất nhiều so với giải pháp Megawan nội tỉnh, cụ thể như sau: 24 Chi phí đấu nối thuê kênh MegaWan nội tỉnh, gồm có: Chi phí thanh toán 1 lần sau khi lắp đặt: Cước đấu nối hoà mạng ADSL = Cước đấu nối. .. diện kết nối sau khi cấu hình các tham số kết nối VPN 3.4 Cấu hình SSL VPN trên mạng lưới (Giải pháp dùng cho các điểm BĐVHX, các điểm Đại lý, người dùng di động không đòi hỏi tính kết nối liên tục): 3.4.1 Cấu hỉnh SSL VPN tại trung tâm tỉnh 19 Hình 3-28: Giao diện cấu hình SSL VPN 3.4.2 Cấu hình SSL VPN Client tại các điểm triển khai kết nối Hình 3-35: Giao diện login để thực hiện kết nối SSL VPN bằng... thức VPN so với hình MegaWan nội tỉnh 1 tháng chi phí thanh toán thường xuyên hiện tại chênh nhau 10.855.181 VNĐ/tháng (VAT 10%)  chi phí thuê kênh bằng hình thức kết nối VPN giảm 130.262.172 VNĐ/năm (VAT 10%) so với megawan 22 KẾT LUẬN Khả năng đáp ứng mạng lưới: 1 Giải pháp kết nối nội tỉnh IPSec VPN và SSL VPN đã đáp ứng được yêu cầu về bảo mật, về kết nối, về truyền nhận giữa trung tâm tỉnh với... cho các điểm triển khai kết nối cố định đòi hỏi tính liên tục trong kết nối như Bưu cục 2, 3): 3.3.1 Cấu hình Internet tại trung tâm tỉnh: 17 Hình 3-4: Giao diện cấu hình sau khi đăng nhập tài khoản admin 3.3.2 Cấu hình IPSEC VPN tại trung tâm tỉnh: Hình 3-10: Thiết lập rule cho cấu hình IPSEC VPN 18 3.3.3 Cấu hình Internet tại các điểm triển khai kết nối (dựa trên thiết bị đang triển khai thực tế... nhắn tin nhanh (Instant Messaging) và download P2P gây nên những lỗ hổng bảo mật và chiếm dụng dung lượng đường truyền bằng cách khóa các tên tập tin gửi kèm cụ thể hay lọc qua ActiveX, Java hay thông tin Cookie gửi kèm trong các trang web 15 Chương 3 MÔ TẢ GIẢI PHÁP VPNTRIỂN KHAI THỰC TẾ TRÊN MẠNG LƯỚI 3.1 Điều kiện triển khai Ipsec VPN và SSL VPN: - Tại trung tâm tỉnh phải đăng ký 01 đường MegaVNN... động sản xuất kinh doanh 2 Giải pháp vẫn đảm bảo việc kết nối từ các điểm Bưu điện huyện/thị, Bưu cục 3, điểm BĐVHX v.v… tới mạng liên tỉnh đi Post*net, phục vụ việc triển khai các dịch vụ CFM; Paypost; Epost v.v… giúp tăng cường khả năng phục vụ khách hàng trên phạm vi toàn tỉnh 3 Giải pháp triển khai không phát sinh thêm việc đầu tư về thiết bị phần cứng, vẫn đảm bảo triển khai tốt trên hệ thống phần... Megawan), giảm thiểu thời gian trễ cho việc khai thác dịch vụ trên mạng lưới 5 Khả năng mở rộng mạng lưới dễ dàng, có thể tận dụng được các điểm Bưu cục 3, điểm BĐVHX, điểm đại lý đã triển khai ADSL cho mục đích triển khai viễn thông công ích hoặc kinh doanh Internet để triển khai kết nối với trung tâm tỉnh mà không cần kéo mới đường truyền ADSL Đồng thời có thể triển khai theo hình thức đăng ký gói cước... bằng Internet Explorer 20 3.5 Kết quả thực nghiệm : Bảng 3-1 : Danh sách dự kiến triển khai mở rộng kết nối dùng hình thức Megawan nội tỉnh T T Băng Hình Chi phí thông Đơn vị thức thanh toán (DOW kết nối thường N/UP) Ghi chú xuyên VNĐ (VAT 10%) 1 Các điểm đang triển khai thực tế 4.096K Megaw bps/64 (Trung tâm dữ liệu 0Kbps 1.818.181 an Nội tỉnh + Bưu điện Hòa Bình + TTKhai thác + TTChuyển tiền 2 10 . NGUYỄN QUỐC CƯỜNG NGHIÊN CỨU VPN VÀ GIẢI PHÁP TRIỂN KHAI IPSEC VPN KẾT NỐI MẠNG NỘI TỈNH CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ:260.48.15. với các điểm triển khai SSL VPN 3.2 Sơ đồ mạng bưu chính Hòa Bình sau khi triển khai kết nối nội tỉnh theo giải pháp mới ( IPSEC VPN VÀ SSL VPN ): 16