Tải bản đầy đủ (.doc) (126 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kỹ thuật

xây dựng thiết bị bảo mật vpn dựa trên giao thức ipsec

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.35 MB, 126 trang )

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA ĐIỆN-ĐIỆN TỬ
BỘ MÔN VIỄN THÔNG
LUẬN VĂN TỐT NGHIỆP
XÂY DỰNG THIẾT BỊ BẢO MẬT VPN
DỰA TRÊN GIAO THỨC IPSEC
GVHD: Ths. Tạ Trí Nghĩa
SVTH : Tôn Thất Cao Nguyên 40901767
Hồ Sỹ Thông 40902647
-Hồ Chí Minh, Tháng 12-2013-
Trang i
ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc lập – Tự do – Hạnh phúc.
✩ ✩
Số: ______ /BKĐT
Khoa: ĐIỆN-ĐIỆN TỬ
Bộ Môn: ĐIỆN TỬ-VIỄN THÔNG
NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP
1. HỌ VÀ TÊN : TÔN THẤT CAO NGUYÊN MSSV: 40901767
: HỒ SỸ THÔNG MSSV: 40902647
2. NGÀNH: VIỄN THÔNG Đề tài luận văn :
“XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC”
3. Nhiệm vụ (Yêu cầu về nội dung và số liệu ban đầu):








4. Ngày giao nhiệm vụ luận văn:
5. Ngày hoàn thành nhiệm vụ:
6. Họ và tên người hướng dẫn: Phần hướng dẫn
ThS. TẠ TRÍ NGHĨA
Nội dung và yêu cầu LVTN đã được thông qua Bộ Môn.
Tp.HCM, ngày… tháng… năm 20
CHỦ NHIỆM BỘ MÔN NGƯỜI HƯỚNG DẪN CHÍNH
(Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên)
PHẦN DÀNH CHO KHOA, BỘ MÔN:
Người duyệt (chấm sơ bộ):
Đơn vị:
Ngày bảo vệ :
Điểm tổng kết:
Nơi lưu trữ luận văn:
Trang ii
TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Khoa: ĐIỆN-ĐIỆN TỬ Độc lập – Tự do – Hạnh phúc

Mẫu TN.04 Ngày….Tháng Năm
PHIẾU CHẤM BẢO VỆ LVTN
(Dành cho người hướng dẫn)
7. HỌ VÀ TÊN :TÔN THẤT CAO NGUYÊN MSSV: 40901767
:HỒ SỸ THÔNG MSSV: 40902647
NGÀNH: VIỄN THÔNG
8. Đề tài luận văn :
“XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC”
9. Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA
10. Tổng quát về bản thuyết minh:
Số trang : Số chương :
Số bảng số liệu : Số hình vẽ :

Số tài liệu tham khảo : Phần mềm tính toán :
Hiện vật (sản phẩm) :
11. Tổng quát về các bản vẽ :
- Số bản vẽ : bản A1 bản A2 Khổ khác
- Số bản vẽ tay Số bản vẽ trên máy tính
12. Những ưu điểm chính của LVTN
:



13. Những thiếu sót chính của LVTN
:



14. Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không được bảo vệ
15. Câu hỏi sinh viên phải trả lời trước hội đồng
a)
b)
c)
Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10
Ký tên (Ghi rõ họ tên)

Trang iii
TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Khoa: ĐIỆN-ĐIỆN TỬ Độc lập – Tự do – Hạnh phúc

Mẫu TN.04 Ngày….Tháng Năm
PHIẾU CHẤM BẢO VỆ LVTN
(Dành cho người phản biện)

16. HỌ VÀ TÊN :TÔN THẤT CAO NGUYÊN MSSV: 40901767
:HỒ SỸ THÔNG MSSV: 40902647
NGÀNH: VIỄN THÔNG
17. Đề tài luận văn :
“XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC”
18. Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA
19. Tổng quát về bản thuyết minh:
Số trang : Số chương :
Số bảng số liệu : Số hình vẽ :
Số tài liệu tham khảo : Phần mềm tính toán :
Hiện vật (sản phẩm) :
20. Tổng quát về các bản vẽ :
- Số bản vẽ : bản A1 bản A2 Khổ khác
- Số bản vẽ tay Số bản vẽ trên máy tính
21. Những ưu điểm chính của LVTN
:



22. Những thiếu sót chính của LVTN
:



23. Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không được bảo vệ
24. Câu hỏi sinh viên phải trả lời trước hội đồng (CBPB ra ít nhất 02 câu)
a)
b)
c)
Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10

Ký tên (Ghi rõ họ tên)
Trang iv
LỜI CẢM ƠN
Đầu tiên, nhóm Luận văn xin phép được gửi lời cảm ơn sâu sắc đến tất cả các thầy cô
giáo trong trường đã dìu dắt nhóm trong suốt thời gian qua. Đặc biệt nhóm xin gửi
lời cảm ơn chân thành tới ThS.Tạ Trí Nghĩa, thầy đã hỗ trợ nhóm rất nhiều trong
luận văn này. Với lòng nhiệt huyết và thương yêu sinh viên, thầy luôn hướng dẫn
nhóm vượt qua mọi khó khăn và luôn theo sát bước đi của nhóm trong luận văn. Một
lần nữa, nhóm xin gửi lời cảm ơn sâu sắc đến thầy.
Nhóm cũng xin cảm ơn gia đình và bạn bè đã hết lòng hướng dẫn, chỉ bảo và luôn
tạo mọi điều kiện tốt nhất cho em trong suốt thời gian qua.
Nhóm sinh viên
Tôn Thất Cao Nguyên
Hồ Sỹ Thông
Trang v
MỤC LỤC
ii
LỜI CẢM ƠN v
MỤC LỤC vi
DANH MỤC HÌNH ẢNH ix
BẢNG SỐ LIỆU x
DANH MỤC TỪ VIẾT TẮT x
LỜI NÓI ĐẦU xiii
Chương 1 GIỚI THIỆU ĐỀ TÀI 1
1.1 Đặt vấn đề 1
1.2 Mục tiêu đề tài 2
1.3 Phạm vị đề tài 2
1.4 Giới hạn đề tài 3
Chương 2 TỔNG QUAN VỀ VPN 4
2.1 Giới thiệu về VPN 4

1.1.1. Khái niệm 4
1.1.2. Chức năng của VPN 5
1.1.3. . Ưu điểm của VPN 5
1.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN 7
1.1.5. . Đường hầm và mã hóa 8
2.2 Các mô hình VPN đã được triển khai 9
1.1.6. IP-VPN truy nhập từ xa: 9
1.1.7. Site – To – Site VPN 10
2.2.1.1 Intranet IP-VPN 11
2.2.1.2 Extranet IP-VPN 11
2.3 Các giao thức trong IP-VPN 12
1.1.8. PPTP (Point - to - Point Tunneling Protocol) 13
2.3.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 14
2.3.1.2 Đóng gói dữ liệu đường ngầm PPTP 14
2.3.1.3 Xử lí dữ liệu đường ngầm PPTP 15
2.3.1.4 Sơ đồ đóng gói 16
1.1.9. L2TP (Layer Two Tunneling Protocol) 17
2.3.1.5 Duy trì đường ngầm bằng bản tin điều khiển L2TP 18
2.3.1.6 Đường ngầm dữ liệu L2TP 18
2.3.1.7 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec 19
2.3.1.8 Sơ đồ đóng gói L2TP trên nền IPSec 20
2.4 Tổng kết 21
Chương 3 GIAO THỨC IPSEC 23
3.1 Giới thiệu 23
Trang vi
1.1.10. Khái niệm về IPSec 23
1.1.11. Khả năng chống lại tấn công của IPSes 24
3.1.1.1 Sniffer ( thiếu bảo mật) 25
3.1.1.2 Sửa đổi dữ liệu (modification) 25
3.1.1.3 Các cuộc tấn công giả mạo danh tính (Identity spoofing) , tấn công dựa

trên password và tấn công lớp ứng dụng 25
3.1.1.4 Tấn công Man-in -the-middle 26
3.1.1.5 Tấn công từ chối dịch vụ (Denial-of-service) 26
1.1.12. Các chuẩn tham chiếu có liên quan 26
3.2 Đóng gói thông tin của IPSec 28
1.1.13. Các loại giao thức IPSec 28
3.2.1.1 Kiểu Transport 28
3.2.1.2 Kiểu Tunnel 29
1.1.14. Giao thức xác thực tiêu đề AH 30
3.2.1.3 Giới thiệu 30
3.2.1.4 Cấu trúc gói tin AH 31
3.2.1.5 Quá trình xử lý AH 33
1.1.15. Giao thức đóng gói an toàn tải tin ESP 37
3.2.1.6 Giới thiệu 37
3.2.1.7 Cấu trúc gói tin ESP 37
3.2.1.8 Quá trình xử lý ESP 39
3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 44
1.1.16. Kết hợp an ninh SA 44
3.3.1.1 Định nghĩa và mục tiêu 44
3.3.1.2 Cơ sở dữ liệu IPSec 45
1.1.17. Giao thức trao đổi khóa IKE 45
3.3.1.3 Bước thứ nhất 46
3.3.1.4 Bước thứ hai 49
3.4 Những giao thức đang được ứng dụng cho xử lý IPSec 50
1.1.18. Mật mã bản tin 50
3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES 51
3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES 51
1.1.19. Toàn vẹn bản tin 51
3.4.1.3 Mã xác thực bản tin băm HMAC 52
3.4.1.4 Thuật toán MD5 52

3.4.1.5 Thuật toán băm an toàn SHA 52
1.1.20. Xác thực các bên 53
3.4.1.6 Khóa chia sẻ trước 53
3.4.1.7 Chữ ký số RSA 53
3.4.1.8 RSA mật mã nonces 53
Trang vii
1.1.21. Quản lí khóa 54
3.4.1.9 Giao thức Diffie-Hellman 54
3.4.1.10 Quyền chứng nhận CA 55
3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec 56
3.6 Tổng kết 57
Chương 4 GIẢI PHÁP THỰC HIỆN THIẾT BỊ IPSEC VPN 59
4.1 Phân tích và lựa chọn giải pháp thực hiện 59
1.1.22. Kiến trúc tích hợp IPSec 59
4.1.1.1 Cấu trúc Bump in the Stack (BITS) 59
4.1.1.2 Cấu trúc Bump in the Wire (BITW) 60
1.1.23. Mô hình tiến hành kiểm tra khả năng bảo mật trên thiết bị thực 61
4.2 Giải pháp thực hiện 63
1.1.24. Mô hình xư lý IPSec tổng quát 63
1.1.25. Chính sách bảo mật và sự liên kết cơ sở dữ liệu trong IPSec 64
4.2.1.1 Thông tin trong bảng SPD 65
4.2.1.2 Thông tin trong bảng SAD 66
4.2.1.3 Sự liên kết thông tin giữa các cơ sở dữ liệu SPD và SAD 66
4.2.1.4 Bảo vệ anti-replay 70
1.1.26. Quá trình thực hiện của chương trình 72
4.2.1.5 Tổng quát quá trình thực hiện thiết bị IPSec 72
4.2.1.6 Quá trình xử lý gói outbound 73
4.2.1.7 Quá trình xử lý gói inbound 76
4.2.1.8 Xây dựng gói ESP 78
1.1.27. Quá trình trao đổi IKE 79

4.2.1.9 IKE module 79
4.2.1.10 Thực hiện giao thức trao đổi khóa IKE 83
Chương 5 ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN 99
5.1 Tiêu chí đánh giá 99
5.2 Phương pháp đánh giá 99
5.3 Kết quả đánh giá 100
Chương 6 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỀN 102
6.1 Kết luận 102
6.2 Hướng phát triền 102
1.1.28. Thêm khả năng mã hóa gói tin 102
1.1.29. Thiết lập bảo mật IPSec trên nền IPv6 102
1.1.30. Sử dụng RSA cho quá trình xác thực 102
1.1.31. Truyền phát thêm gói tin báo lỗi bảo mật ICMP 103
Trang viii
DANH MỤC HÌNH ẢNH
Hình 1-1:Tổng quan mô hình mạng của một công ty sử dụng kết nối bảo mật VPN 1
Hình 2-2:Tổng quan mạng VPN 5
Hình 2-3:Ưu điểm của VPN so với mạng truyền thông 6
Hình 2-4:Đường hầm và mã hóa của VPN 8
Hình 2-5:Thiêt lập một VPN remote acces 9
Hình 2-6:Intranet IP-VPN 11
Hình 2-7 :Extranet IP-VPN 12
Hình 2-8: Gói dữ liệu của kết nối điều khiển PPTP 14
Hình 2-9: Dữ liệu đường ngầm PPTP 14
Hình 2-10: Sơ đồ đóng gói PPTP 16
Hình 2-11: Bản tin điều khiển L2TP 18
Hình 2-12: Đóng bao gói tin L2TP 18
Hình 2-13: Sơ đồ đóng gói L2TP 20
Hình 3-14:Lộ trình tài liệu xây dựng giao thức IPSec 28
Hình 3-15:Gói tin IP ở kiểu Transport 29

Hình 3-16:Gói tin IP ở kiểu Tunnel 29
Hình 3-17: Cấu trúc tiêu đề AH cho IPSec Datagram 31
Hình 3-18:Quy trình đóng gói gói tin AH 34
Hình 3-19: Xử lý đóng gói ESP 37
Hình 3-20: Khuôn dạng gói ESP 38
Hình 3-21:Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport 39
Hình 3-22:Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport 40
Hình 3-23: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel 40
Hình 3-24:Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE 46
Hình 3-25:IKE pha thứ nhất sử dụng chế độ chính (Main Mode) 47
Hình 3-26:Các tập chuyển đổi IPSec 49
Hình 3-27:Ví dụ về hoạt động của IP-VPN sử dụng IPSec 57
Hình 4-28:Cấu trúc IPsec bump in the stack (BITS) 59
Hình 4-29:Cấu trúc IPsec bump in the wire (BITW) 60
Hình 4-30:Mô hình áp dụng hoạt động thiết bị 62
Hình 4-31:Quá trình xử lý IPSec tổng quát từ thiết bị IPSec 1 tới thiết bị IPSec 2 63
Hình 4-32:Cấu trúc cơ sở dữ liệu trong chương trình 65
Hình 4-33:Ví dụ về sự liên kết thông tin giữa bảng SPD và bảng SAD 67
Hình 4-34:Tổng quát quá trình thực hiện IPSec 72
Hình 4-35:Quá trình xử lý gói tin outbound 76
Hình 4-36:Quá trình xử lý gói tin inbound 77
Hình 4-37:Gói tin IP gốc và gói IP được mã hóa ESP 78
Hình 4-38:Tổng quan quá trình trao đổi IKE 80
Hình 4-39:Quá trình thực hiện trao đổi pha 1 81
Hình 4-40:Quá trình trao đổi của pha 2 81
Hình 4-41:Cấu trúc khung gói tin ISAKMP 82
Hình 4-42:Trao đổi thỏa thuận IKE chế độ chính 83
Hình 4-43:Gói tin 1 và 2 của pha 1 84
Hình 4-44:Lưu đồ giải thuật của bên khới tạo pha 1 – chế độ chính 85
Hình 4-45:Lưu đồ giải thuật của bên phản hồi pha 1 – chế độ chính 87

Hình 4-46:Gói tin thứ 3-4 của chế độ chính – pha 1 88
Hình 4-47:Gói tin thứ 5 và 6 90
Hình 4-48:Quá trình thỏa thuân IKE pha 2-chế độ nhanh 91
Hình 4-49:Cấu trúc của 3 gói tin pha 2- chế độ nhanh 92
Hình 4-50:Lưu đồ giải thuật của bên khởi tạo pha 2 – chế độ nhanh 95
Hình 4-51:Lưu đồ giải thuật của bên phản hồi pha 2 – chế độ nhanh 96
Hình 5-52:Mô hình sử dụng đánh giá thiết bị IPSec 99
Hình 5-53:Biểu đồ thể hiện tốc độ throughput của các chế độ IPSec khác nhau 101
Trang ix
BẢNG SỐ LIỆU
Bảng 3-1:Các RFC đưa ra có liên quan đến IPSec 26
Bảng 3-2: Tổng kết chương các giao thức của IPSec 58
Bảng 4-3:Ví dụ một bảng SPD outbound với con trỏ đến bảng SA outbound 68
Bảng 4-4:Ví dụ một bảng SPD inbound với con trỏ đến bảng SA inbound 68
Bảng 4-5:Ví dụ một bảng SA outbound được liên kết với SPD outbound 69
Bảng 4-6:Ví dụ một bảng SA outbound được liên kết với SPD outbound 69
Bảng 5-7:Bảng đánh giá tốc độ throughput IPSec 100
DANH MỤC TỪ VIẾT TẮT
AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến
Trang x
AH Authentication Header Tiêu đề xác thực
ATM Asynchronous Transfer Mode Chế độ truyền không đồng bộ
BITS Bump In The Stack Nạp vào ngăn xếp
BITW Bump In The Wire Nạp vào dây
CA Certificate Authority Quyền chứng nhận
CBC Cipher Block Chaining chế độ chuỗi khối mật mã
CHAP
Challenge - Handshake
Authentication Protocol
Giao thức xác thực đòi hỏi bắt tay

CRL Certificate Revocation List Danh sách chứng nhận bị hũy bỏ
DES Data Encryption Standard Tiêu chuẩn mã hóa dữ liệu
EAP
Extensible Authentication
Protocol
Giao thức xác thực mở rộng
ESP Encapsulating Security Payload Đóng gói an toàn tải tin IP
FCS Frame Check Sequence Chuỗi kiểm tra khung
GRE Generic Routing Encapsulation Đóng gói định tuyến tổng quát
HMAC
Hashed Message Authentication
Code
Mã xác thực bản tin trên cơ sở băm
IANA
Internet Assigned Numbers
Authority
Tổ chức cấp phát số hiệu Internet
ICMP
Internet Control Message
Protocol
Giao thức thông báo điều khiển
mạng Internet.
ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn
IETF Internet Engineering Task Force
Tổ chức Lực lượng chuyên trách
về kỹ thuật liên mạng
IKE Internet Key Exchange Giao thức trao đổi khóa
IKE Internet Key Exchange Trao đổi khóa mạng
IP Internet Protocol Giao thức internet
IPSec Internet Protocol Security An ninh lớp mạng

IPv4 Internet Protocol version 4 Giao thức IP phiên bản 4
IPv6 Internet Protocol version 6 Giao thức IP phiên bản 6
Trang xi
IPX Internet Protocol Exchange
Giao thức trao đổi gói dữ liệu
mạng
ISAKMP
Internet Security Association
and Key Management Protocol
Giao thức liên kết an ninh Internet
và quản lí khóa
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IV Initialization Vector Vectơ khởi tạo
L2F Layer 2 Forwarding protocol Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAN Local Area Network Mạng máy tính cục bộ
LCP Link Control Protocol
Giao thức điều khiển đường
truyền
MAC Message Authentication Code Mã xác thực bản tin
MD5 Message Digest algorithm 5 Giải thuật tóm tắt thông điệp 5
MPPE
Microsoft Point - to - Point
Encryption
Mật mã điểm tới điểm của
Microsoft
NAS Network Access Server Máy chủ truy nhập mạng
NDIS Network Driver Interface
Specification
Đặc tả giao diện điều khiển mạng

NetBEUI NetBIOS Extended User
Interface
Giao diện người dùng mở rộng
trong NetBIOS
OSI Open Systems Interconnection Kết các hệ thống mở
PAP Password Authentication
Protocol
Giao thức xác thực khẩu lệnh
PPP Point-to- Point Protocol Giao thức điểm-điểm
PPTP Point-to- Point Tunneling
Protocol
Giao thức đường ngầm điểm-
điểm
RFC Request For Comments Đề nghị duyệt thảo và bình luận
RSA Rivest, Shamir và Adleman. Rivest, Shamir và Adleman.
SA Security Association kết hợp an ninh
Trang xii
SAD Security Association Databases cơ sở dữ liệu kết hợp an ninh
SHA-1 Secure Hash Algorithm-1 Thuật toán băm an toàn-1
SPD Security Policy Database Cơ sở dữ liệu chính sách an ninh
SPI Security Parameters Index Chỉ dẫn thông số an ninh
TCP Transmission Control Protocol Giao thức điều khiển truyền vận
UDP User Datagram Protocol Giao thức gói tin người dùng
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng
LỜI NÓI ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát
triển của mạng internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên
mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trên
Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần

được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó.
Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn. Một
số hình thức tấn công khá tinh vi và phức tạp hiện nay như từ tấn công chối dịch vụ,
man-in-the-middle, nghe lén, giả mạo thông tin… Do đó, phải có phương pháp bảo
Trang xiii
mật an ninh nhằm giải quyết các vấn đề này. Giao thức IPSec là một trong những
phương pháp tối ưu để giải quyết vấn đề này.
Mục đích của luận văn “Xây dựng thiết bị bảo mật VPN dựa trên giao thức IPSec” là
tìm hiểu những vấn đề cơ bản có liên quan đến việc thực hiện VPN cũng như những
vấn đề chi tiết về quá trình thực hiện IPSec. Sau đó, tiến hành xây dựng giao thức
IPSec trên thiết bị thực, nội dung cụ thể như sau:
 Chương 1: Giới thiệu đề tài.Chương này
nhằm đặt vấn đề cũng như đưa ra mục tiêu, những giới hạn của đề tài “Xây dựng thiết
bị bảo mật VPN dựa trên giao thức IPSec”.
 Chương 2: Tổng quan về VPN. Chương này bắt đầu với việc phân tích khái
niệm VPN, chưc năng, ưu điểm và các yêu cầu cơ bản của một giải pháp VPN khiến
nó là một giải pháp bảo mật phát triển mạnh. Tiếp theo là trình bày về các mô hình
VPN đã được triển khai. Cuối cùng là trình bày về các giao thức đường ngầm sử dụng
cho VPN. Ở đây chỉ trình bày một cách khái quát nhất về hai giao thức đường ngầm
lớp 2 hiện đang tồn tại và là PPTP và L2TP. Thông qua đó làm nổi bật lên ưu điểm của
giao thức IPsec đối với bảo mật thông tin trên mạng.
 Chương 3: Giao thức IPSec. Chương này trình bày các vấn đề sau đây: thứ
nhất là giới thiệu, khái niệm về giao thức IPSec, khả năng chống tấn công mạng và
các tài liệu RFC có liên quan Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụ
thể là hai giao thức đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn tải
tin). Thứ ba, trình bày về kết hợp an ninh SA và giao thức trao đổi khóa IKE để thiết
lập các chính sách và tham số cho kết hợp an ninh giữa các bên tham gia bảo mật
IPSec. Thứ tư, giới thiệu về các giao thức đang tồn tại ứng dụng cho IPSec, bao gồm
có: mật mã bản tin, toàn vẹn bản tin, nhận thực các bên và quản lý khóa. Cuối cùng là
một ví dụ khái quát vềVPN sử dụng giao thức đường ngầm IPSec(bao gồm cả quá

trình trao đổi khóa và mã hóa gói tin IPSec).
 Chương 4: “Giải pháp thực hiện thiết bị ipsec VPN”. Trong chương này
trình bày giải pháp xây dựng thiết bị IPsec với các thuật toán cũng như các mô hình
thực tế. Chương này bắt đầu với việc phân tích và lựa chọn các giải pháp thực hiện
thiết bị IPSec, cụ thể hơn là các kiến trúc tích hợp IPSec cũng như mô hình tiến hành
kiểm tra khả năng bảo mật trên thiết bị thực mà nhóm triển khai. Phần tiếp theo mô tả
giải pháp thực hiện của nhóm. Trong phần này trình bày mô hình xử lý tổng quát,
Trang xiv
chính sách liên kết cơ sở dữ liệu, việc xử lý gói tin nhằm bảo mật thông tin, quá trình
trao đổi key bảo mật giữa hai bên muốn bảo mật thông tin.
 Chương 5: “Đánh giá kết quả thực hiện”. Chương này chỉ ra các tiêu chí
đánh giá cũng như phương pháp tiến hành đánh giá và kết quả thu được sau khi thực
hiện phương pháp đánh giá.
 Chương 6: “Kết luận và hướng phát triển”. Chương này trình bày những kết
quả nhóm đạt được cũng như hướng phát triển tiếp theo của đề tài.
Trong quá trình xây dựng đồ án này, nhóm đã nhận được nhiều sự giúp đỡ, góp ý của
các giảng viên cùng các bạn trong lớp. Nhóm xin chân thành cảm ơn sự hướng dẫn của
Thầy ThS. Tạ Trí Nghĩa là thầy trực tiếp hướng dẫn, giúp nhóm có thể hoàn thành
luận văn này.
Trang xv
Chương 1 GIỚI THIỆU ĐỀ TÀI
1.1 Đặt vấn đề
Cùng với xu hướng phát triển mạng viễn thông hiện nay, vấn đề đảm bảo an ninh cho
dữ liệu khi truyền qua mạng là vấn đề mang tính chất tất yếu. Đối với các tổ chức có
phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm việc thì
việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc
quản lý hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả.
Hình 1-1:Tổng quan mô hình mạng của một công ty sử dụng kết nối bảo mật VPN
Có rất nhiều giao thức VPN được ứng dụng trên thực tế như:
 Bảo mật giao thức VPN thực hiện trên lớp 2( lớp data-link) như giao thức PPTP,

L2TP: Lợi ích của dịch vụ bảo mật lớp 2 này là: có độ trễ thấp, có khả năng bảo
mật khá nhiều giao thức như IP, IPX,NetBEUI, hỗ trợ xác thực người dùng. Tuy
nhiên, giao thức IPSec thực hiện trên lớp 2 có những nhược điểm như khả năng
bảo mật kém, không có khả năng cung cấp mã đầu cuối đến đầu cuối cũng như
không xác thực được gói tin.
 Bảo mật giao thức VPN thực hiện trên lớp 3 (lớp mạng) như giao thức
IPSec:Tiến hành bảo mật VPN trên lớp mạng mang lại các ưu điểm sau: Cung
cấp bảo mật liên tục đến ứng dụng cho phép bảo vệ trên mỗi luồng dữ liệu hoặc
kết nối an ninh do đó quá trình bảo mật tương đối an toàn, có khả năng tích hợp
linh hoạt các thuật toán mã hóa, thuật toán xác thực cũng như chia sẻ key trên
mỗi liên kết bảo mật. Tuy nhiên, bảo mật VPN trên lớp mạng gặp khó khăn
Trang 1
trong việc thực hiện bảo mật dữ liệu một người dùng trên cơ sở các máy đa
người dùng.
 Bảo mật giao thức thực hiện trên lớp ứng dụng như giao thức PGP, Kerberos,
SSH: Tiến hành bảo mật trên lớp ứng dụng, thiết bị VPN có khả năng mở rộng
bảo mật các ứng dụng mà không cần quan tâm đến hệ điều hành, các chương
trình ứng dụng có thể phân tích dữ liệu từ đó lựa chọn cách bảo mật phù hợp với
từng dữ liệu. Bên cạnh những ưu điểm, bảo mật VPN trên lớp ứng dụng tồn tại
nhược điểm: Cơ chế bảo mật phải được thiết kế phụ thuộc vào loại ứng dụng ví
dụ như VoiceIP,mail hay bảo mật thông tin ngân hàng…
Trong các giao thức trên, IPSec tỏ rõ ưu việt nhờ tính linh hoạt cũng như khả năng ứng
dụng rộng rãi của nó.
Trên thị trường hiện nay cũng đã có nhiều thiết bị router ứng dụng công nghệ IPSec
trong bảo mật thông tin. Việc ứng dụng này mang lại hiệu quả bảo mật cao bằng cách
chèn thêm một lớp IPSec vào giữa lớp mạng và lớp transport. Tuy nhiên, cách này đòi
hỏi chi phí cao do phải thay đổi tất cả các thiết bị router muốn giao tiếp với nhau trong
mạng, làm tăng quá trình xử lý của router cũng như đặt ra yêu cầu phải thay đổi thiết
lập mạng.
Để giải quyết vấn đề này, nhóm đã tiến hành thiết lập quá trình xử lý IPSec trên một

thiết bị nhúng có nhiệm vụ xử lý tất cả các gói cần mã hóa IPSec và cho qua tất cả các
gói không cần mã hóa IPSec. Điều này làm cho quá trình trao đổi thông tin trên mạng
vẫn thông suốt đồng thởi vẫn đảm bảo được việc bảo mật thông tin trên mạng công
cộng.
1.2 Mục tiêu đề tài
 Tiến hành tìm hiểu các vấn đề cơ bản liên quan đến việc thực hiện VPN, trọng
tâm là giao thức IPSec.
 Từ những hiểu biết về IPSec tiến hành lập trình xử lý IPSec trên thiết bị nhúng
với mục tiêu đảm bảo quá trình hoạt động mạng được tiến hành bình thường mà
không cần phải thay đổi cấu hình mạng
1.3 Phạm vị đề tài
 Tiến hành thiết kế/ xây dựng thiết bị bảo mật VPN trong suốt trên mạng, có khả
năng kết nối đa điểm.
Trang 2
1.4 Giới hạn đề tài
Tiến hành quá trình xử lý IPSec sử dụng:
 Thuật toán mã hóa 3DES, DES.
 Thuật toán xác thực MD5, SHA-1.
 Sử dụng khóa IKEv1 với thuật toán xác thực Pre-share key.
Thực hiện nhúng giải thuật xử lý IPSec trên thiết bị thực sử dụng Linux kernel.
Trang 3
Chương 2 TỔNG QUAN VỀ VPN
2.1 Giới thiệu về VPN
1.1.1. Khái niệm
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private Network)
thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng
một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ)
hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như
đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ
mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận

dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung
cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa
nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để
có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi,
chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có
thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã
hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng
cũng không thể đọc được nội dùng vì không có khoá để giải mã. Liên kết với dữ liệu
được mã hoá và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường
được gọi là đường ống VPN (Tunnel).
Trang 4
Hình 2-2:Tổng quan mạng VPN
1.1.2. Chức năng của VPN
VPN cung cấp ba chức năng chính:
 Sự tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi
truyền chúng ngang qua mạng. Bằng cách làm như vậy, không một ai có thể truy cập
thông tin mà không được phép. Và nếu có lấy được thì cũng không đọc được.
 Tính toàn vẹn (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đã được
truyền qua mạng Internet mà không có sự thay đổi nào.
 Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc
của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
1.1.3. . Ưu điểm của VPN
VPN có nhiều ưu điểm hơn so với các mạng leased line truyền thống. Các ưu điểm cơ
bản đó là:
 VPN làm giảm chi phí hơn so với mạng cục bộ: Tổng giá thành của việc sở hữu một
mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường
truyền, các thiết bị mạng đường trục và hoạt động của hệ thống. Giá thành cho việc kết
nối LAN to LAN giảm từ 20-30% so với việc sử dụng đường truyền leased line truyền
thống. Việc truy cập từ xa thì giảm từ 60-80%.
 VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet: Các VPN đã kế thừa phát

huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng
WAN truyền thống. Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả
kinh tế cho việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, các người sử dụng di
động…,và mở rộng các đối tác kinh doanh khi có nhu cầu.
 VPN làm đơn giản hóa cho việc quản lý các công việc so với việc sở hữu và vận
hành một mạng cục bộ: Các doanh nghiệp có thể cho phếp sử dụng một vài hay tất cả
các dịch vụ của mạng WAN, giúp các doanh SPDnghiệp có thể tập trung vaofcacs đối
tượng kinh doanh chính thay vì quản lý một mạng WAN hay mạng quay số từ xa.
 VPN cung cấp các kiểu mạng đường hầm và làm giảm thiểu các công việc quản lý:
Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng
với các giao thức kết nối như là Frame Relay và ATM. Điều này tạo ra một kiểu mạng
lưới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành.
Trang 5
Hình 2-3:Ưu điểm của VPN so với mạng truyền thông
Một mạng VPN có được những ưu điểm của mạng cục bộ trên cơ sở hạ tầng của mạng
IP công cộng. Các ưu điểm này bao gồm tính bảo mật và sử dụng đa giao thức.
Một mạng ảo được tạo ra nhờ các giao thức đường hầm trên một kết nối IP chuẩn. Các
loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm
 Giao thức đường ngầm lớp 2: Giao thức đường ngầm này thực hiện bảo mật trên
lớp 2 trong mô hình OSI (lớp data link). Giao thức định đường hầm điểm-điểm
PPTP (Point to Point Tunneling Protocol) và giao thức định đường hầm lớp 2
L2TP (Layer 2 Tunneling Protocol) hoạt động trên lớp này, tải dữ liệu được
đóng gói theo mô hình giao thức điểm-điểm.
 Giao thức đường ngầm lớp 3: : Giao thức đường ngầm này thực hiện bảo mật
trên lớp 3 trong mô hình OSI (lớp mạng).Giao thức IPSec hoạt động trên lớp
này.Trong chế độ này, gói tin được đóng gói với các phần tiêu đề được thêm
vào gói IP trước khi gửi ra mạng.
Đối với công nghệ đường hầm lớp 2, chẳng hạn như PPTP & L2TP:
• Một đường hầm tương tự như một phiên làm việc (phải kết thúc một phiên làm
việc phiên khác mới được bắt đầu).

• Cả hai thiết bị đầu cuối đường hầm phải đồng ý với các đường hầm và phải
thương lượng các chính sách cấu hình.
• Dữ liệu truyền qua các đường hầm được gửi sử dụng giao thức dựa trên gói
tin(datagram-based protocol) và giao thức duy trì (maintenance protocol) nhằm
quản lý đường hầm.
Trang 6
• Ngoài ra, một đường hầm phải được tạo ra, duy trì và sau đó chấm dứt.
Đối với công nghệ đường hầm lớp 3, chẳng hạn như IPSec.
• Kết hợp trao đổi IKE nhằm cấu hình mã hóa cho đường ngầm.
• Đường ngầm có thể được tạo lại sau một khoảng thời gian sống.
1.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo:
 Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây
dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau
và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ
thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với
Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được
chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung
các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong
việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số lượng khách hàng được
hỏi yêu cầu khi chon một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết
bị hiện có của họ.
 Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất
đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông qua
mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng
do họ tự xây dựng và quản lý.
Việc cung cấp các tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử
dụng trong mạng và mã hóa dữ liệu khi truyền.
- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho

người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ
thống.
 Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính
bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.
 Tiêu chuẩn về chất lượng dịch vụ (Quality of Service): Tiêu chuẩn đánh giá của một
mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối.
QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc
liên quan đến cả hai vấn đề trên.
Trang 7
1.1.5. . Đường hầm và mã hóa
Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một
đường hầm.
Hình 2-4:Đường hầm và mã hóa của VPN
 Đường hầm (Tunnel): Các đường hầm chính là đặc tính ảo của VPN, nó làm cho
một kết nối dường như một dòng lưu lượng duy nhất trên đường dây. Đồng thời còn
tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã được
áp dụng trong mạng nội bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu.
Đường hầm cũng làm cho VPN có tính riêng tư. Mã hóa được sử dụng để tạo kết nối
đường hầm để dữ liệu chỉ có thể được đọc bởi người nhận và người gửi.
 Mã hóa (Encryption): Chắc chắn bản tin không bị đọc bởi bất kỳ ai nhưng có thể
đọc được bởi người nhận. Khi mà càng có nhiều thông tin lưu thông trên mạng thì sự
cần thiết đối với việc mã hóa thông tin càng trở nên quan trọng. Mã hóa sẽ biến đổi nội
dung thông tin thành một văn bản mật mã mà nó trở nên vô nghĩa trong dạng mật mã
của nó. Chức năng giải mã để khôi phục văn bản mật mã thành nội dung thông tin có
thể dùng được cho người nhận. Mã hóa là tính năng tùy chọn nó cũng đóng góp vào
đặc điểm “riêng tư” của VPN. Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan
trọng đặc biệt, còn bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đến
tốc độ, tăng gánh nặng cho bộ xử lý.
Trang 8
2.2 Các mô hình VPN đã được triển khai

Các kiến trúc của IP-VPN có thể phân loại thành hai kiểu chính: Site-to-Site IP-VPN
(còn được gọi là LAN-to-LAN hay POP-to-POP) và các IP-VPN truy nhập từ xa. Các
Site-to-Site bao gồm các phương án như: Extranet IP-VPN và Intranet IP-VPN, các
phương án này đều có chung các thuộc tính nhưng được thiết kế để giải quyết các tập
vấn đề khác nhau. IP-VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay
số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến
trúc chính.
1.1.6. IP-VPN truy nhập từ xa:
VPN có thể hỗ trợ kết nối truy xuất từ xa tới mạng công ty thông qua Internet. Sử
dụng mô hình client/server như sau:
 Máy client muốn truy cập vào mạng công ty trước hết phải kết nối đến bất kỳ
nhà cung cấp dịch vụ Internet(ISP) nào.
 Sau đó, client khởi tạo kết nối đến server VPN của công ty. Kết nối này phải
được thực hiện bằng phần mềm VPN client được cài đặt trên host ở xa.
 Ngay khi kết nối client-server qua mạng VPN được thiết lập, client có thể liên
hệ với hệ thống trong công ty qua Internet như một máy trong nội bộ công ty.
Hình 2-5:Thiêt lập một VPN remote acces
Ưu điểm:
 Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của
tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet.
Trang 9
 Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng IP-VPN
chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua
mạng băng rộng luôn hiện hành.
 Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của IP-
VPN cho phép thêm vào user mới mà không tăng chi phí cho cơ sở hạ tầng.
 Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm
người sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn.
Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy nhập từ xa vẫn gặp
phải khó khăn sau:

 Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi
truyền và giải mật mã khi nhận được thông tin. Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh
hưởng đến một số ứng dụng.
 Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn
400 kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thức
đường ngầm cần có thời gian để xử lí dữ liệu.
 Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi. Bởi
vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về số lượng phải đợi
nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet. Điều này có
thể không phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm. User có thể cần
đến chu kì thiết lập kết nối nếu họ cảm thấy lâu.
Nhược điểm:
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có
thể đi ra ngoài và bị thất thoát
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể,
điều này gây khó khăn cho quá trính xác nhận.
1.1.7. Site – To – Site VPN
Site-To-Site cho phép các văn phòng ở nhiều địa điểm cố định thiết lập kết nối an toàn
với nhau trên một mạng công cộng như Internet. Site-to-site VPN làm mở rộng mạng
lưới của công ty, làm cho tài nguyên máy tính từ một địa điểm có sẵn có thể được sử
Trang 10

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×