Tải bản đầy đủ (.docx) (63 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Tổng quan về IpSec VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.3 MB, 63 trang )

IPSEC &VPN
MỤC LỤC TRANG
1. Mục Lục Trang.......................................................................................................1
2. Tổng quan................................................................................................................2
3. Chương 1 ipsec
1. IPSec là gì.........................................................................................................2
2. Vai trò của IPSec.............................................................................................4
3. Những tính năng của IPSec............................................................................4
4. Cấu trúc bảo mật.............................................................................................5
5. Làm việc như thế nào .....................................................................................6
6. Giao thức sử dụng ..........................................................................................7
7. Các chế độ........................................................................................................13
8. IKE....................................................................................................................15
9. Chính sách bảo mật IPSec..............................................................................21
10. Mối quan hệ giữa chứng chỉ và IPSec...........................................................21
4 Chương 2 VPN
1. Giới thiệu và các dạng của VPN...................................................................22
2 Các yêu cầu của Mạng riêng ảo.....................................................................33
3 Bảo mật trong VPN.........................................................................................39
4 Khái niệm về kỉ thuật đường hầm.................................................................55
5 Cấu hình...........................................................................................................60
5 Tài liệu tham khảo...................................................................................................62
1
IPSEC &VPN
Tổng quan
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế
giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự
phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet
mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt
động thương mại với quy mô lớn nhỏ khác nhau...
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ


bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử,
mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet.
Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền
qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền
tải các dữ liệu đó? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các dữ liệu qua mạng bằng
việc sử dụng IPSec.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu qua
mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải
pháp đưa ra là mạng riêng ảo VPNs kết hợp với giao thức bảo mật IPSEC. Chính điều này
là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay.
CHƯƠNG 1 : IPSEC
1. IPSec là gì?
- IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp một khoá
cho phép bảo mật giữa hai thiết bị mạng ngang hàng.
Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được định nghĩa để
kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh truyền dẫn mạng bảo
mật.
-Thuật ngữ Internet Protocol Security (IPSec). Nó có quan hệ tới một số bộ giao thức (AH, ESP,
FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF).
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer)
của mô hình OSI, như hình vẽ:
2
IPSEC &VPN

-Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó, khi
một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi
vì các giao tiếp đều đi qua tầng 3. (Đó là lý do tại sao IPSec được phát triển ở giao thức
tầng 3 thay vì tầng 2).
-Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ
tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm

dẻo cho IPSec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao
thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức
khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã
(code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức
bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
- Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI
đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích
hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo
mật mà không cần phải có sự thay đổi lớn lao nào. Cũng giống IP, IPSec trong suốt với
3
IPSEC &VPN
người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục
đằng sau một chuỗi các hoạt động.
2. Vai trò của IPSec
+ Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu.
+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.
+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảo mật.
+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh dấu dữ liệu.
+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm
tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào.
3. Những Tính Năng của IPSec (IPSec Security Protocol)
-Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity).
IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và
kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi
người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn
công giả mạo, đánh hơi và từ chối dịch vụ.
-Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng
kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên
đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người
gửi) và nút đích (người nhận) từ những kẻ nghe lén.

- Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key
Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và
trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các
khóa mã và cập nhật những khóa đó khi được yêu cầu.
- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và
confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec.
Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security
Payload (ESP).
- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp
4
IPSEC &VPN
nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.
- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độ Transport và chế
độ Tunnel được mô tả ở hình 6-7. Cả AH và ESP có thể làm việc với một trong hai chế độ
này.
4. Cấu trúc bảo mật
-IPsec được triển khai sử dụng các giao thức cung cấp mật mã (cryptographic
protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, phương thức xác thực và
thiết lập các thông số mã hoá.
-Xây dựng IPSec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo
mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là
nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai
chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế
lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi
IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói
tin IP.
-Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói
tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi
quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện
thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ

đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật
(tạm dịch từ - security association) cho mỗi gói tin. Một quá trình tương tự cũng được làm
với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các
khoá từ SADB.
-Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực
hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho
một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện
nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật,
5
IPSEC &VPN
cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liệu.
Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ
group tới các cá nhân.
5.IPSec làm việc như thế nào:
1. IPSec Định nghĩa ra loại lưu lượng cần được bảo vệ và định nghĩa ra các loại
tùy chọn IPSec.
-Các chính sách này sẽ được cấu hình trên các chính sách bảo mật cục bộ hoặc thông
qua các chính sách nhóm trên ID.
2. -Quá trình thỏa thuận sự liên kết bảo mật trong modul khóa trao đổi với internet:
IKE sẽ thỏa thuận với liên kết bảo mật.
-Môdul khóa internet là sự kết hợp của 2 giao thức: Giao thức kết hợp bảo mật internet
và giao thức quản lí khóa. IPSec sử dụng 2 giao thức này để thỏa thuận một cách tích cực
về các yêu cầu bảo mật cho cả 2 phía giữa các máy tính với nhau. Các máy tính này không
đòi hỏi phải có chính sách giống hệt nhau mà chúng chỉ cần các chính sách cấu hình các
tùy chọn thỏa thuận để cấu hình ra một yêu cầu chung.
3. Quá trình mã hóa gói IP:
Sau khi liên kết bảo mật được thiết lập, IPSec sẽ giám sát tất cả các lượng IP, so sánh
lưu lượng với các điều kiện đã được định nghĩa trên bộ lọc.
4. Mã hóa hoặc kí trên các lưu lượng đó:


6
IPSEC &VPN

6.Giao Thức sử dụng trong IPSec
- IPSec Bảo mật kết nối mạng bằng viêc sử dụng 2 giao thức và cung cấp bảo mật
cho các gói tin của cả hai phiên bản IPv4 và IPv6:
-IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác
thực.
- IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa
chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu.
-Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính
toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho
mã mã hoá và đảm bảo độ an toàn của gói tin. Toàn bộ thuật toán này được thể hiện trong
RFC 4305.
1. Authentication Header (AH)
-AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa
chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công
7
IPSEC &VPN
sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi sử
dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header
Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới đây là mô hình
của AH header.
0 - 7 bit
8 - 15 bit
16 - 23 bit
24 – 31 bit
Next header
Payload length
RESERVED

Security parameters index (SPI)
Sequence number
Authentication data (variable)

Ý nghĩa của từng phần:
Next header
Nhận dạng giao thức trong sử dụng truyền thông tin.
Payload length
8
IPSEC &VPN
Độ lớn của gói tin AH.
RESERVED
Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0).
Security parameters index (SPI)
Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương
lượng bảo mật được kết hợp với gói tin.
Sequence number
Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay
attacks.
Authentication data
Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực.
AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin bao gồm
cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong các gói tin.
AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể được
đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi. AH sẽ sử dụng thuật toán Key
AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói dữ liệu.
9
IPSEC &VPN

Do giao thức AH không có chức năng mã hóa dữ liệu nên AH ít được dùng trong

IPSec vì nó không đảm bảo tính an ninh.
6.2 Encapsulating Security Payload (ESP)
-Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin. ESP
cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần
cho authentication. ESP sử dụng IP protocol number là 50 (ESP được đóng gói bởi giao
thức IP và trường Protocol trong IP là 50).
10
IPSEC &VPN

0 - 7 bit
8 - 15 bit
16 - 23 bit
24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)

Padding (0-255 bytes)



Pad Length
Next Header
Authentication Data (variable)

 Ý nghĩa của các phần:
Security parameters index (SPI)
Nhận ra các thông số được tích hợp với địa chỉ IP.
Sequence number
Tự động tăng có tác dụng chống tấn công kiểu replay attacks.

11
IPSEC &VPN
Payload data
Cho dữ liệu truyền đi
Padding
Sử dụng vài block mã hoá
Pad length
Độ lớn của padding.
Next header
Nhận ra giao thức được sử dụng trong quá trình truyền thông tin.
Authentication data
Bao gồm dữ liệu để xác thực cho gói tin.
Các thuật toán mã hóa bao gồm DES , 3DES , AES
Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1
ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó.
ESP trong trạng thái vận chuyển sẽ không đánh toàn bộ gói tin mà chỉ đóng gói phần
thân IP. ESP có thể sử dụng độc lập hay kết hợp với AH
Dưới đây là một mô hình của quá trình thực thi ESP trên user data để bảo vệ giữa 2
IPSec peers.

12
IPSEC &VPN
Bảng so sánh giữa 2 giao thức ESP và AH:

13
IPSEC &VPN
7.Các chế độ IPSec
- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ. Được mô tải ở hình dưới đó
là chế độ Transport và chế độ Tunnel. Cả AH và ESP có thể làm việc với một trong hai
chế độ này:

7.1 Transport Mode
-Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport mode,
phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng
trên, như hình mô tả bên dưới.

AH Transport mode.
14
IPSEC &VPN
ESP Transport mode.
-Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn. Tuy nhiên,
nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã
hóa phần đầu IP.
7.2. Tunnel Mode
-Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói
dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn
vào giữa phần đầu nguyên bản và phần đầu mới của IP.
15
IPSEC &VPN
-Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và
phần header nguyên bản, như hình bên dưới.
ESP Tunnel mode
8.Internet Key Exchange ( IKE )
-Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắt của Internet
Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hòa hợp
các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai.
16
IPSEC &VPN
Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi
những tham số khi cần thiết trong suốt phiên làm việc.
-IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch

hoàn thành.
Thuận lợi chính của IKE include bao gồm:
+ IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo
mật nào.
·+Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớn những hiệp
hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.
Như vậy nếu không có giao thức này thì người quản trị phải cấu hình thủ công. Và
những chính sách an ninh trên những thiết bị này được gọi là SA (Security Associate).
Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có.
Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với đối tác nhất
Những key được trao đổi trong quá trình IKE cũng được mã hóa và những key này sẽ
thay đổi theo thời gian (generate key) để tránh tình trạng bruteforce của Attacker.
1. IKE Phases
-Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình 6-14
trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE, nó giả
sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước
khi có bất kỳ thỏa thuận nào xảy ra.
17
IPSEC &VPN
8.1.1 Giai đoạn I của IKE
-Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh
bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA
đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác
nhận bảo vệ mã khóa.
-Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được
phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật :
+Giá trị Diffie-Hellman
+SPI của ISAKMP SA ở dạng cookies
+ Số ngẫu nhiên known as nonces (used for signing purposes)
-Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng

cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key
riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã
hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng.
8.1.2 Giai đoạn II của IKE
- Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết bằng
việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau
thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec
tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA.
- Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa
thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các
hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.
- Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làm việc đơn
của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hỗ trợ bởi
một trường hợp đơn ở giai đoạn I. Điều này làm quá trình giao dịch chậm chạp của IKE
tỏ ra tương đối nhanh hơn.
- Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on which
IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.
8.2 IKE Modes
18
IPSEC &VPN
4 chế độ IKE phổ biến thường được triển khai :
+Chế độ chính (Main mode)
+ Chế độ linh hoạt (Aggressive mode)
+Chế độ nhanh (Quick mode)
+Chế độ nhóm mới (New Group mode)
8.2.1 Main Mode
- Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trình
giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:
+ 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.
·+2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những

khóa sau này thực hiện một vai trò quan trọng trong cơ chế mã hóa.
- Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự
giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.
8.2.2 Aggressive Mode
19
IPSEC &VPN
-Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode có 6
thông điệp thì chế độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode
nhanh hơn mai mode. Các thông điệp đó bao gồm :
+ Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính, và
trao đổi nonces cho việc ký và xác minh tiếp theo.
+Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoàn
thành chính sách bảo mật bằng các khóa.
+ Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm
việc).
Cả Main mode và Aggressive mode đều thuộc giai đoạn I.
8.2.3 Quick Mode
- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa
thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh
khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận
trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác,
khóa mới được phát sinh bằng các giá trị băm.
20
IPSEC &VPN
8.2.4 New Group Mode
- New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện
trao đổi Diffie-Hellman key được dễ dàng. Hình 6-18 mô tả New Group mode. Mặc dù
chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II.
- Ngoài 4 chế độ IKE phổ biến trên, còn có thêm Informational mode. Chế độ này kết hợp
với quá trình thay đổi của giai đoạn II và SAs. Chế độ này cung cấp cho các bên có liên

quan một số thông tin thêm, xuất phát từ những thất bại trong quá trình thỏa thuận. Ví dụ,
nếu việc giải mã thất bại tại người nhận hoặc chữ ký không được xác minh thành công,
21
IPSEC &VPN
Informational mode được dùng để thông báo cho các bên khác biết.
9. Chính Sách bảo mật IPSec (IPSec Security Policy)
- Mỗi chính sách bao gồm một vài nguyên tắc hay một danh sách các bộ lọc. Ta
chỉ có thể gán một chính sách tới một máy tính.
9.1 Một nguyên tắc bao gồm các thành phần sau (Rules are composed of:):
+Bộ lọc filter (A filter).
+ A Filter action .
+ An Authentication Method (Phương pháp xác thực): Mỗi nguyên tắc có thể chỉ
ra nhiều phương pháp xác thực khác nhau.
9.2 Chính sách mặc định của IPSec (Default policies):
+Client (Respond Only).
+ Server (Request Security).
+Secure server (Require Security).
10.Mối Quan Hệ Giữa chứng chỉ và IPSec
- Chứng chỉ X.509 còn được gọi là một chứng chỉ số, là một dạng giấy hình dạng điện
tử được trao đổi rộng dãi trong việc xác thực và trao đổi thông tin trên các mạng mở như
internet, Extranet (Mạng liên nghành), Intranet (Mạng cục bộ).
- Các chứng chỉ được sử dụng như là một phương pháp xác thực của IPSec. Lợi ích
của việc sử dụng chứng chỉ với IPSec là:
+ Như là một phương pháp xác thực giữa 2 host sử dụng IPSec cho phép chúng ta có
thể kết nối tin cậy đến một doanh nghiệp này với các tổ chức khác với cùng một CA.
+ Sử dụng chứng chỉ cho phép dịch vụ Routing Remote Access có thể truyền Dữ liệu
qua mạng bảo mật giống như mạng Internet với 1 Router có hỗ trợ IPSec.
+ Sử dụng chứng chỉ khi sử dụng mô hình VPN Client và Mô hình VPN Site – to -
site Sử dụng giao thức đường hầm L2TP/IPSec.
- Để sử dụng chứng chỉ trong quá trình xác thực IPSec thì cả 2 máy tính đều phải cung

cấp một chứng chỉ hợp lệ dùng cho mục đích truyền thông của IPSec.Khi một máy tính
22
IPSEC &VPN
cấu hình chứng chỉ thì ta phải sử dung chính sách IPSec dể hỗ trợ chứng chỉ sử dụng như
là một phương pháp xác thực hợp lệ.
CHƯƠNG 2 : VPN
I. Giới thiệu VPNs:
1. Một số khái niệm VPNs
Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu
hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPNs. Tuy nhiên
vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai,
bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể
bị truy cập trái phép. Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả
năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý.
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là
sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng
như mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công
cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở
rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường
hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-
point.
23
IPSEC &VPN
Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt
số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau:
 Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó
chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ
liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa
truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải

mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa:
 Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã
hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này
có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực
thể đó.
 Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo
mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng
để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải
mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu
còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó.
Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data
Encryption Standard (DES).
 Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng
nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của
nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng
phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key
encryption) hay khóa chung mã hóa (public-key encryption)
24
IPSEC &VPN
 Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng
sau khi người sử dụng đã xác nhận thành công.
2. Sự phát triển của VPNs
VPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô hình
VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiện
nay.
Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến
với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ
sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin
này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia
sẻ công cộng.

Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services
Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ
liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN
được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn chế về tốc độ truyền tải
thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá
ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame
Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa
trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo
(virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi
đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến
được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc
hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử
dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy
cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp ứng được các yêu
cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này
dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP
Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling
Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều
dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau
bao gồm IP, ISDN, FR, và ATM
3. Giao thức đường hầmVPN:
Có 3 giao thức đường hầm chính được sử dụng trong VPNs:
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×