Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGUYỄN XUÂN DUẨN NÂNG CAO KHẢ NĂNG BẢO MẬT CỦA HỆ THỐNG THÔNG TIN BẰNG GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN VÀ IPSEC LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Chuyên ngành: Khoa học máy tính Mã số: 60480101 NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS. NGUYỄN VĂN TAM Thái Nguyên - 2013 2 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CẢM ƠN Trước hết, tôi xin gửi lời cảm ơn chân thành nhất tới PGS.TS Nguyễn Văn Tam, người thầy đã cho tôi những định hướng và những ý kiến rất quý báu về công nghệ VPN cũng như cách để triển khai ứng dụng trên nó. Tôi cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khoá đã quan tâm, giúp đỡ tôi tiến bộ trong suốt thời gian qua. Tôi xin cảm ơn trường Đại học Thái Nguyên cũng như trường Đại học Kinh Doanh và Công nghệ Hà Nội đã hết sức tạo điều kiện cho tôi trong quá trình học và làm luận văn này. Luận văn được hoàn thành trong thời gian rất hạn hẹp, và chắc chắn còn nhiều khiếm khuyết cần bổ sung thêm. Tôi xin cảm ơn các thầy cô, bạn bè và người thân đã và sẽ có những góp ý chân tình cho nội dung của luận văn này, để tôi có thể tiếp tục đi sâu tìm hiểu về VPN Security và hy vọng có thể đưa vào ứng dụng thức tiễn công tác. Nguyễn Xuân Duẩn 3 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CAM ĐOAN Tôi xin cam đoan luận văn là kết quả nghiên cứu của tôi, không sao chép của ai. Nội dung luận văn có tham khảo và sử dụng các tài liệu liên quan, các thông tin trong tài liệu được đăng tải trên các tạp chí và các trang website theo danh mục tài liệu của luận văn. Tác giả luận văn Nguyễn Xuân Duẩn 4 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ MỤC LỤC CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 8 1.1 Giới thiệu về mạng VPN 8 1.2Phân loại mạng và các mô hình VPN 12 1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN) 12 1.2.2Công nghệ mạng riêng ảo tin cậy (Trusted VPN) 12 1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ 13 1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ 15 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN và IPSEC 18 2.1 Mạng riêng ảo MPLS-VPN 18 2.1.1 Công nghệ chuyển mạch MPLS 18 2.1.2 Ứng dụng VPN trên mạng MPLS 25 2.2 Mạng riêng ảo IPSec 34 2.2.1 Kiến trúc IPSec 34 2.2.2 Mạng riêng ảo IPSec 41 2.3 MPLS- VPN kết hợp IPSec 43 2.3.1 Vị trí các điểm kết thúc của IPSec 43 2.3.2 IPsec trên MPLS 51 CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT 53 3.1 Điều kiện triển khai Ipsec VPN và MPLS-VPN: 53 3.2 Cấu hình Ipsec VPN trên mạng lưới (Giải pháp dùng cho các điểm triển khai kết nối cố định đòi hỏi tính liên tục trong kết nối như 2 cơ sở): 54 3.3.Kết quả thực nghiệm : 56 KẾT LUẬN 61 5 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ BẢNG PHỤ LỤC I. CÁC THUẬT NGỮ VIẾT TẮT TH UẬ T N GỮ , VI ẾT T Ắ T MÔ T Ả Ý N GH ĨA SNMP Simple Network Management Protocol VPN Virtual Private Network VPDN Virtual Private Data Network ESP Encapsulating Security Payload NAS Network Access Server LAN Local Area Network PPTP Program Performance Test Procedure L2TP Layer 2 Tunneling Protocol IPSec Internet Protocol Security PIX Property Information Exchange MPLS Multi-Protocol Label Switching GRE Generic Routing Encapsulation L2F Layer 2 Forwarding PPTP Program Performance Test Procedure IPX Packet Exchange/Sequenced Packet Exchange IP Internet Protocol CPE Customer Premises Equipment ATM Asynchronous Transfer Mode ICT Information Communication Technology LDP Label Distribution Protocol LSP Label Switched Path FEC Forwarding Equivalence Class LSR Label Switching Router LER Label Edge Router NHLFE Next Hop Label Forwarding Entry FTN (FEC to NHLFE): Ánh xạ FEC sang NHLFE LIB Label Information Base IGP Interior Gateway Protocol TDP Tag Distribution Protocol BGP Border Gateway Protocol IETF Internet Engineering Task Force. AH Authentication Header CE customer edge PE Provider Edge DMVPN Dynamic multipoint Virtual Private Network 6 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ II. DANH MỤC CÁC HÌNH STT Tên h ì nh Trang 1 Hình 1.1: Mô hình mạng VPN 9 2 Hình 1. 2: Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco 12 3 Hình 1.3: Mô hình Tunneling 15 4 Hình 2- 1 Cấu trúc một nút MPLS 23 5 Hình 2.2: LSP nested (ghép) 26 6 Hình 2.3: Kiến trúc MPLS- VPN 31 7 Hình 2.4: Vị trí nhãn MPLS trong khung lớp 2 32 8 Hình 2.5 Định dạng nhãn MPLS kiểu khung 32 9 Hình 2.6. Dùng OSPF để quảng cáo các mạng 34 10 Hình 2.7. Trao đổi nhãn bằng giao thức TDP 34 11 Hình 2.8: RouterA. 35 12 Hình 2 .9: Điểm kết thúc của IPsec trong môi trường MPLS VPN trƣờng MPLS VPN một môi trường MPLS VPN 44 13 Hình 2 .10: Mô hình CE-CE IPsec 45 14 Hình 2.11: IPsec từ PE đến PE. 48 15 Hình 2 .12: Đóng gói IPsec trong bảo mật PE-PE. 48 16 Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN. 50 17 Hình 3.1: Sơ đồ mạng Đại học Kinh Doanh và Công Nghệ Hà Nội 53 18 Hình 3.2.1: IP VPN server admin 54 19 Hình 3.2.2: Tạo domain controler 54 20 Hình 3.2.3: Đưa SRV-1 (VPN Server) vào domain 55 21 Hình 3.2.4: Cài đặt VPN Server trên SRV-1 55 15 Hình 3.2.5: Thiết lập VPN Client kết nối đến VPN Server 55 16 Hình 3.2.6: Yêu cầu cấp phát chứng chỉ điện tử 56 17 Hình 3.2.7: Thiết lập kết nối VPN 56 18 Hình 3.2.8: Các gói tin trong VPN khi không sử dụng IPSEC 57 19 Hình 3.2.9: Gói tin khi dùng Follow TCP Stream trong Wireshark 57 19 Hình 3.2.10: Gói tin khi dùng Follow TCP Stream khi mã hóa 58 7 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ĐẶT VẤN ĐỀ Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng. Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại các nơi khác nhau có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Mạng VPN là một trong những ứng dụng rất quan trọng trong mạng MPLS. MPLS-VPN đã đơn giản hóa quá trình tạo “đường hầm” trong mạng riêng ảo bằng cơ chế gán nhãn gói tin (Label) trên thiết bị mạng của nhà cung cấp. Để nâng cao tính bảo mật của thông tin các nhà công nghệ đã và đang nghiên cứu triển khai MPLS-VPN kết hợp với IPSEC. Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và công việc thực tế, tôi chọn hướng nghiên cứu đề tài này mong muốn đóng góp, xây dựng thử nghiệm vào một mô hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có độ an ninh cao. 8 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ Tên đề tài: Nâng cao khả năng bảo mật của hệ thống thông tin bằng giải pháp tích hợp mạng riêng ảo MPLS-VPN và IPSec CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu về mạng VPN VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Hình 1.1: Mô hình mạng VPN Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Các loại VPN Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site) VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như 9 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc nhân viên di động là loại VPN truy cập từ xa). VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet. Bảo mật trong VPN Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN. Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung. 10 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn. IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ. Máy chủ AAA AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn. Sản phẩm công nghệ dành cho VPN Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là: [...]... Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp 1.2 Phân loại mạng và các mô hình VPN 1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN) - Dựa trên môi trường truyền thông công cộng Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu Dữ liệu ở đầu ra của một mạng. .. được mật mã .Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các công ty Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet - Ví dụ: PPTP, L2TP, IPSec 1.2.2 Công nghệ mạng riêng ảo tin cậy (Trusted VPN) - Sử dụng kênh riêng (ảo) , tin cậy của nhà cung cấp dịch vụ: Mạng. .. và mã hóa Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay Ngoài ra, cơ chế chuyển mạch dựa vào thông tin nhãn giúp MPLS VPN cải thiện tốc độ chuyển mạch và cũng giảm độ trễ gói tin trong mạng so mới IPSec VPN Toàn bộ thông tin định tuyến giữa các chi nhánh của khách hàng được ISP quản lý trên các PE Router thông. .. cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 18 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS- VPN và IPSEC 2.1 Mạng riêng ảo MPLS- VPN 2.1.1 Công nghệ chuyển mạch MPLS TỔNG QUAN VỀ MPLS 1) Sơ lƣợc lịch sử Khi mạng Internet phát triển và mở rộng, lưu lượng... khách và router, NAS và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn 1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ IPSec VPN Các mạng VPN tuyền thống sử dụng 3 chức năng bảo mật như: tạo đường hầm (Tunneling), mã hóa dữ liệu (Encryption) và chứng thực (Authentication) Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. .. Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật của. .. trên mạng Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN - Ví dụ: MPLS Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 13 1.3 Các giải pháp tích hợp VPN trong công nghệ 1.3.1 Giải pháp tích hợp VPN trong cùng nhóm công nghệ Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin. .. kích thước của mạng rất lớn Với một mạng VPN khoảng 100 nút mạng, sẽ cần 100 firewall và mỗi khi cần một sự thay đổi nhỏ trong chính sách (policy) của firewall, chúng ta phải tiếp cận cả 100 firewall này trong mạng Rõ ràng đây là một điểm hạn chế lớn của các mạng IPSec VPN về khía cạnh bảo mật MPLS VPN Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua... nhãn MPLS vào với giá trị nhãn 10, nó gở bỏ nhãn trước khi chuyển tiếp cho RouterA (Hình 2.8) 2.2 Mạng riêng ảo IPSec 2.2.1 Kiến trúc IPSec - Giới thiệu về IPSec Là một bộ giao thức dùng để bảo vệ truyền thông riêng tư trên Internet IPsec mang lại khả năng liên tác cho các thiết bị mạng, PC và những hệ thống điện toán khác nhau IPsec có thể được dùng bởi những người dùng từ xa Người dùng triển khai IPsec. .. biệt là với mạng VPN có cấu hình “full mesh” thì các nhà cung cấp dịch vụ sẽ gặp nhiều khó khăn trong hỗ trợ và xử lý sự cố kỹ thuật Vấn đề bảo mật cũng cần được quan tâm trong các mạng VPN Mỗi CPE có thể truy nhập vào mạng Internet công cộng nhưng tin tức vẫn cần được bảo mật trong quá trình truyền giữa các site Vì vậy, mỗi thiết bị CPE phải có biện pháp bảo mật nhất định (như Firewall) Và sự quản . ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGUYỄN XUÂN DUẨN NÂNG CAO KHẢ NĂNG BẢO MẬT CỦA HỆ THỐNG THÔNG TIN BẰNG GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS- VPN VÀ IPSEC LUẬN. công nghệ 13 1.3.2 Giải pháp tích hợp VPN không cùng nhóm công nghệ 15 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS- VPN và IPSEC 18 2.1 Mạng riêng ảo MPLS- VPN 18 2.1.1 Công nghệ chuyển. mạng có độ an ninh cao. 8 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ Tên đề tài: Nâng cao khả năng bảo mật của hệ thống thông tin bằng giải pháp tích hợp mạng riêng ảo MPLS- VPN