MỤC LỤC LỜI CẢM ƠN MỞ ĐẦU DANH SÁCH HÌNH VẼ VÀ BẢNG CHƯƠNG I: TỔNG QUAN VỀ IPSEC 1 1.1. Giới thiệu về VPN 1 1.1.1. Mạng riêng ảo VPN là gì? 1 1.1.2. Các loại VPN 2 1.1.3. Các lợi ích của mạng riêng ảo 8 1.1.4. Những yêu cầu đối với mạng riêng ảo 9 1.2. IPSec 9 1.2.1. Khái niệm IPSec 9 1.2.2. Lợi ích khi sử dụng IPSec 10 CHƯƠNG II: HOẠT ĐỘNG CỦA IPSEC 11 2.1. Cấu trúc gói tin IP 11 2.1.1. Version (phiên bản) 11 2.1.2. IP Header Length - HLEN (độ dài header) 11 2.1.3. Type Of Services - TOS (loại dịch vụ) 12 2.1.4. Total Length (chiều dài tổng) 13 2.1.5. Identification 13 2.1.7. Fragment Offset (13bit) 15 2.1.8. Time To Live (TTL) 15 2.1.9. Protocol (8bit) 15 2.1.10. Header CheckSum 15 2.1.11. Source Address 16 2.1.12. Destination Address 16 2.1.13. IP Option 16 2.1.14. Padding 18 2.1.15. Data 18 2.2. Các thành phần của IPSec. 19 2.2.1. Tiêu đề xác thực 19 2.2.2. Đóng gói bảo mật dữ liệu ESP (Encapsulating security Pyload) 21 2.3. Phương pháp xác thực 24 2.3.1. Pre-shared Key Authentication (Xác thực khóa công khai) 24 2.3.2. Digital Signature Authentication (Xác thực chữ ký điện tử) 25 2.3.3. Certificate 26 2.3.4. Kerberos 27 CHƯƠNG III: CÁC KIẾN TRÚC MẠNG VPN SỬ DỤNG IPSEC 29 3.1. Mô hình kết nối IPSec 29 3.1.1. Mô hình IPSec 29 3.1.2. Mô hình GRE 29 3.1.3. Mô hình khách hàng truy nhập từ xa 30 3.1.4. Tóm tắt mô hình kết nối IPSec 31 3.2. Cấu trúc Hub-and-Spoke. 32 3.2.1. Sử dụng mô hình IPSec 33 3.2.2. Sử dụng IPSec chuyển tiếp kết nối Spoke – to – spoke 33 3.2.3. Kết nối internet 36 3.2.4. Khả năng mở rộng Sử dụng các kết nối mô hình IPSec 37 3.2.5. GRE mẫu 38 3.2.6. Kết nối chuyển tiếp Site-to- Site 40 3.2.7. Chuyển tiếp kết nối Site-to- Site với truy cập internet 41 3.2.8. Khả năng mở rộng mô hình của GRE Hub- and- Spoke 42 3.2.9. Mô hình truy cập từ xa kết nối khách hàng 43 3.2.10. Easy VPN (EzVPN) chế độ khách hàng 43 3.2.11. Chế độ mạng EzVPN mở rộng 46 3.2.12. Khả năng mở rộng của các mô hình kết nối khách hàng 48 3.3. Cấu trúc full-mesh 49 3.3.1. Các mẫu IPSec 49 3.3.2. Mô hình GRE 53 TÀI LIỆU THAM KHẢO LỜI CẢM ƠN Trước tiên nhóm em xin gửi lời cảm ơn chân thành sâu sắc tới các thầy cô giáo trong trường Đại học Giao Thông Vận Tải Hà Nội nói chung và các thầy cô giáo trong khoa Điện – Điện tử, bộ môn Kỹ thuật viễn thông nói riêng đã tận tình giảng dạy, truyền đạt cho chúng em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua. Đặc biệt nhóm em xin gửi lời cảm ơn đến cô Trần Thị Lan, cô đã tận tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn nhóm trong suốt quá trình làm đề tài. Trong thời gian làm việc với cô, nhóm em không ngừng tiếp thu thêm nhiều kiến thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả, đây là những điều rất cần thiết cho nhóm trong quá trình học tập và công tác sau này. Dù đã nỗ lực rất nhiều để hoàn thành đề tài nhưng do kiến thức còn hạn chế nên đề tài của nhóm em không tránh khỏi những thiếu sót. Em rất mong nhận được sự đóng góp ý kiến của các thầy cô để đề tài của nhóm em được hoàn thiện hơn. Chúng em xin chân thành cảm ơn! MỞ ĐẦU 1. Tên đề tài Nghiên cứu giao thức IPSec và ứng dụng. 2. Lý do chọn đề tài Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến đã trở nên phổ biến. Trước đó có nhiều dịch vụ được cung cấp để phục vụ các nhu cầu trên như các modem quay số, ISDN server hay các WAN thuê riêng rất đắt tiền. Nhưng tới nay với sự phát triền của Internet, một số công ty có thể kết nối với nhân viên, đối tác từ xa ở bất cứ nơi đâu, thậm chí trên toàn thế giới mà không cần sử dụng dịch vụ đắt tiền trên. Song có một vấn đề quan trọng là mạng nội bộ chứa các tài nguyên, dữ liệu quan trọng mà chỉ cho phép các người dùng có quyền hạn, được cấp phép mới được truy cập vào mạng nội bộ trong khi mạng Internet là mạng công cộng và không bảo mật. Do đó, Internet là mối nguy hiểm rất lớn cho hệ thống mạng, cơ sở dữ liệu quan trọng. Từ đó, người ta đã đưa ra mô hình mới nhằm thỏa mãn những yêu cầu trên mà vẫn tận dụng được cơ sở hạ tầng mạng vốn có đó chính là Mạng riêng ảo (VPN-Vitual Private Network), IPSec/VPN cung cấp giải pháp thông tin dữ liệu riêng tư, an toàn thông qua môi trường mạng Internet công cộng với chi phí thấp, hiệu quả mà vẫn bảo mật. Chính vì vậy nhóm em lựa chọn đề tài “Nghiên cứu giao thức IPSec và ứng dụng” làm nghiên cứu khoa học để hiểu biết thêm kiến thức, rèn luyện kỹ năng và tiếp cận những cái mới. 3. Đối tượng nghiên cứu - Tìm hiểu về VPN. - Cơ chế bảo mật trong VPN. - Cách thức hoạt động của IPSec. - Các thuật toán mã hóa. - Các phương pháp xác thực. 4. Mục đích nghiên cứu - Tìm hiểu về mạng VPN và cơ chế bảo mật của nó. - Tìm hiểu rõ về kiến trúc của IPSec/VPN và cách thức hoạt động của IPSec/VPN trong bảo mật thông tin. - Các cơ chế mã hóa dữ liệu trong IPSec. 5. Nhiệm vụ nghiên cứu - Tìm hiểu cách thức bảo mật của IPSec/VPN. - Tìm hiểu các công cụ để phát triển. 6. Phương pháp nghiên cứu - Tìm hiểu thông qua mạng Internet và qua các diễn đàn. - Tìm hiểu các tài liệu liên quan. 7. Ý nghĩa lý luận và thực tiễn của đề tài - Giúp chúng em tìm hiểu các vấn đề về bảo mật và truyền tin an toàn qua mạng Internet. - Giúp nhóm em hiểu rõ hơn cách thức bảo mật, đảm bảo toàn vẹn dữ liệu khi được truyền qua mạng. - Ứng dụng vào thực tiễn giúp bảo mật hệ thống mạng cho cá nhân hoặc một doanh nghiệp nào đó. 8. Kết cấu của đề tài - Chương 1: Tổng quan về IPSec. - Chương 2: Hoạt động của IPSec. - Chương 3: Các kiến trúc mạng VPN sử dụng IPSec. DANH SÁCH CÁC HÌNH VẼ VÀ BẢNG Hình 1.1: Mô hình kết nối VPN 1 Hình 1.2: VPN = Đường hầm (Tunnel) + Mã hóa 2 Hình 1.3: Remote Access VPN 3 Hình 1.4: Mô hình Intranet VPN 4 Hình 1.5: Thiết lập Intranet sử dụng WAN 4 Hình 1.6: Mạng Extranet dựa trên VPN 6 Hình 2.1: Mô hình gói tin IP 11 Hình 2.2: các thành phần của IP Header 11 Bảng 2.1: Giá trị khuyến nghị của trường TOS 13 Hình 2.3: Cấu trúc trường AH 19 Hình 2.4: Quá trình tạo gói tin AH 21 Hình 2.5: Cấu trúc gói tin ESP 22 Hình 2.6: Quá trình hoạt động của ESP 23 Hình 2.7: IKE Phase 1 xác thực bằng chữ ký điện tử 25 Hình 2.8: CA Server 27 Hình 2.9: Mã hóa bằng khóa do CA cấp 27 Hình 3.1: Mô hình tham chiếu mạng VPN 32 Hình 3.2: Cấu trúc Hub – and – spoke Isec VPN 32 Hình 3.3: Chuyển tiếp IPSec bảo vệ cho cấu trúc liên kết Hub-and-Spoke 34 Bảng 3.1: IPSec ma trận ủy nhiệm cho cấu trúc liên kết chuyển tiêp Hub-and- Spoke………………………………………………………………………….36 Bảng 3.2: Bản đồ cấu hình bảo mật cho lưu lượng chuyển tiếp trung tâm 36 Bảng 3.3: Bản đồ bảo mật bảo vệ cho Hub-and-Spoke 37 Hình 3.4: Cấu trúc liên kết GRE Hub-and-Spoke VPN 39 Hình 3.5: Tùy chọn giao thức định tuyến ràng buộc 40 Hình 3.6: EzVPN Phương thức kết nối khách hàng 46 Hình 3.7: Hub-and-Spoke VPN với chế độ mở rộng mạng 48 Hình 3.8: Đường hầm IPSec cho một cấu trúc liên kết Full-Mesh 50 Hình 3.9: Dãy địa chỉ không liền kề trên cấu hình liên kết Full-Mesh 51 Hình 3.10: Mô hình Full-Mesh IPSec VPN với trung tâm mặc định Internet 52 Hình 3.11: Full-Mesh GRE với các tuyến đường tĩnh 55 Hình 3.12: Full-Mesh GRE với định tuyến động 55 1 CHƯƠNG I: TỔNG QUAN VỀ IPSEC Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN sử dụng các kết nối ảo được dẫn qua mạng Internet công cộng. Để có thể đảm bảo gửi và nhận dữ liệu một cách an toàn thông qua mạng công cộng, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền, tạo ra một đường hầm bảo mật giữa nơi nhận và nơi gửi. Một trong những công nghệ phổ biến nhất để tạo đường hầm bảo mật trong VPN là IPSec. Trong chương này, chúng ta sẽ tìm hiểu tổng quan nhất các khái niệm về VPN và IPSec, cũng như các lợi ích mà chúng đem lại. 1.1. Giới thiệu về VPN 1.1.1. Mạng riêng ảo VPN là gì? VPN (Virtual Private Network) được hiểu đơn giản là sự phát triển của một mạng riêng (Private Network) thông qua các mạng công cộng. VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng (thường là Internet) với mục đích tiết kiệm chi phí cho các kết nối site – site. Hình 1.1: Mô hình kết nối VPN Thay cho việc sử dụng các kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công ty tới các site, các nhân viên từ xa. Để có thể đảm bảo gửi và nhận dữ liệu thông qua mạng công cộng một cách an toàn, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền, tạo ra 1 đường hầm bảo mật giữa nơi nhận và nơi gửi, goi là Tunnel. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa theo cơ chế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thông tin về đường đi, cho 2 phép nó có thể tới đích thông qua mạng công cộng một cách nhanh chóng, dữ liệu được mã hóa một cách cẩn thận, do đó các gói tin (packet) bị bắt trên đường truyền công cộng cũng không thể đọc nội dung vì không có khóa để giải mã. VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình mạng OSI (Open Systems Interconnection: mô hình tham chiếu kết nối các hệ thống mở), VPN là sự cải tiến cơ sở hạ tầng mạng WAN (Wide Area Network: mạng diện rộng), làm thay đổi và tăng thêm tính chất của mạng cục bộ cho mạng WAN. Hình 1.2: VPN = Đường hầm (Tunnel) + Mã hóa 1.1.2. Các loại VPN a) Phân loại theo yêu cầu sử dụng: Mục tiêu đặt ra đối với công nghệ mạng VPN là thỏa mãn 3 yêu cầu cơ bản sau: - Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vào mạng nội bộ của công ty. - Nối liền các chi nhánh, văn phòng di động của công ty. - Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác. Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm 3 loại: - Mạng VPN truy nhập từ xa (Remote Access VPN) - Mạng VPN cục bộ (Intranet VPN) - Mạng VPN mở rộng (Extranet VPN) Mạng VPN truy nhập từ xa (Remote Access VPN) Mạng VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Vì những VPN này có thể thiết lập tại bất kì thời điểm nảo, tại bất cứ nơi nào có Internet. VPN truy nhập từ xa dùng để cung cấp 3 truy nhập an toàn từ những thiết bị di động, những chi nhánh và những chúng ta hàng của công ty. Những kiểu VPN này thường được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, Dial-up, IP di động, DSL và công nghệ cáp và thường yêu cầu có phần mềm client chạy trên máy tính của người sử dụng. Hình 1.3: Remote Access VPN Mạng VPN cục bộ (Intranet VPN) Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của 1 công ty. Mạng VPN liên kết các trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo mật. Điều này cho phép tất cả địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Kiểu VPN này thường được cấu hình như là một VPN site-to-site. 4 Hình 1.4: Mô hình Intranet VPN Intranet VPN thường được dùng để kết nối các nhánh văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian. Thiết lập này được mô tả như trong hình 1.5 Hình 1.5: Thiết lập Intranet sử dụng WAN Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet. Ưu điểm của việc thiết lập dựa trên VPN là: - Loại trừ được các Router từ đường WAN xương sống. [...]... động tại tầng 3 – tầng Network (trong mô hình OSI), và kể cả các giao thức lớp cao hơn IPSec có khả năng cung cấp: - Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp IPSec quy định cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong suốt quy trình giao tiếp - Tạo sự tin cậy qua việc mã hóa, và xác nhận số các gói tin IPSec có 2 giao thức Encapsulating Security Payload (ESP) cung cấp... năng quản trị Khả năng tương thích 1.2 IPSec 1.2.1 Khái niệm IPSec IPSec (Internet Protocol Securiry) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng IP IPSec cũng bao gồm các giao thức cung cấp cho việc mã hóa và xác thực Giao thức IPSec làm việc tại tầng 3 (tầng Network) trong mô hình OSI, bao gồm ba quá trình: 9 - Mã hóa: Đáp ứng yêu cầu dữ liệu phải được mã hóa... chống việc chặn và đánh cắp dữ liệu 10 CHƯƠNG II: HOẠT ĐỘNG CỦA IPSEC Ở chương 1, “Tổng quan về IPSec , chúng ta đã tìm hiểu về mạng VPN, khái niệm và các lợi ích khi sử dụng IPsec, trên nền tảng đó chương này sẽ nghiên cứu sâu hơn về hoạt động giao thức IPSec 2.1 Cấu trúc gói tin IP Mô hình gói tin IP: Hình 2.1: Mô hình gói tin IP Các gói IP bao gồm dữ liệu từ lớp bên trên đưa xuống và thêm vào một IP... và IPSec được sử dụng để thực hiện kết nối điểm – điểm (point –to-point), công nghệ MPLS thực hiện kết nối đa điểm (any-to-any) GRE VPNs Generic Routing Encapsulation (GRE) được khởi xướng và phát triển bởi Cisco và sau đó được IETF xác nhận thành chuẩn RFC 1702 GRE được dùng để khởi tạo các đường hầm và có thể vận chuyển nhiều loại giao thức như IP, IPX, Apple Talk và bất kỳ các gói dữ liệu giao thức. .. Đáp ứng yêu cầu khi dữ liệu đến đúng người nhận thì người đó mới có thể giải mã được - Xác nhận: Đáp ứng yêu cầu chỉ nhận những dữ liệu từ nguồn tin cậy Trước khi truyền dữ liệu hai máy tính phải tiến hành việc thương lượng, thương lượng về giao thức bảo mật, phương thức giải mã 1.2.2 Lợi ích khi sử dụng IPSec Thuận lợi chính khi dùng IPSec, là cung cấp được giải pháp mã hóa cho tất cả các giao thức. .. chứng nhận Trao đổi tin nhắn thứ 5 và thứ 6 được mã hóa bằng cách sử dụng SKEYIDe, vì vậy chứng thực payload cũng được mã hóa Người nhận phải giải mã các gói tin và nhận được khóa công khai từ chứng thực trước khi chữ ký hash được chứng thực Phương pháp để tạo ra SKEYID như sau: SKEYID = hash(Ni|Nr|K) Chúng ta đã thể hiện cách các key khác được tạo ra từ SKEYID Việc tạo ra và quản lý chứng thực sử dụng. .. Hình 2.10: Giải mã bằng private key do CA cấp 2.3.4 Kerberos Giao thức Kerberos là một giao thức an toàn, và nó cung cấp xác thực lẫn nhau giữa một máy khách và máy chủ Trong giao thức Kerberos, sự xác nhận của khách hàng đối với máy chủ và máy chủ xác thực chính nó đối với khách hàng Với xác thực lẫn nhau, mỗi máy tính hoặc một người dùng và máy tính có thể xác minh căn cước của nhau Kerberos là cực... GRE và sự bảo vệ của IPSec có thể được chia thành 4 chức năng cơ bản sau: - Tạo ra các đường hầm GRE Bảo vệ đường hầm GRE với IPSec Cung cấp kết nối IP giữa đường hầm GRE và các đầu cuối IPSec (định tuyến bên ngoài VPN) 29 Sự kết hợp đường hầm GRE và sự bảo vệ của IPSec tách riêng các yêu cầu định tuyến động và subnet – to – subnet dòng lưu lượng khỏi chính sách bảo vệ của IPSec Sự bảo vệ của IPSec. .. đầu tiên, thuật toán xác thực và các khóa được ghi lại, và số chuỗi truy cập được thiết lập là 0 Khi IPSec xác định rằng một gói tin sẽ ra bên ngoài có AH được áp dụng, nó nằm bên trong SA thích hợp và thực hiện các bước sau: Bước 1: Một tiêu đề AH mẫu được chèn vào giữa IP header và tiêu đề lớp trên Bước 2: Số sequence number tăng dần và được lưu giữ trong các tiêu đề AH Vào thời gian này, AH kiểm tra... dù việc sử dụng chứng thực là không bắt buộc nhưng nó đã trở thành một tiêu chuẩn triển khai như sau: SIGi= PRIVATEKEY_i(HASHi) SIGr = PRIVATEKEY_r(HASHr) Điều quan trọng là các HASH_i và HASH_r được ký bởi các key riêng tương ứng để tạo tin nhắn digest Sigi và SIGr Người nhận chữ ký sẽ sử dụng khóa công khai của người ký để giải mã và kiểm tra tin nhắn Các key công khai cùng với giấy tờ chứng minh (ID) . 1.2. IPSec 1.2.1. Khái niệm IPSec IPSec (Internet Protocol Securiry) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng IP. IPSec cũng bao gồm các giao thức. khi sử dụng IPSec Thuận lợi chính khi dùng IPSec, là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại tầng 3 – tầng Network (trong mô hình OSI), và kể cả các giao thức lớp. 32 3.2.1. Sử dụng mô hình IPSec 33 3.2.2. Sử dụng IPSec chuyển tiếp kết nối Spoke – to – spoke 33 3.2.3. Kết nối internet 36 3.2.4. Khả năng mở rộng Sử dụng các kết nối mô hình IPSec 37 3.2.5.