Trong một khỏang thời gian ngắn, với vốn kiến thức còn nhiều hạn chế chúng em đã cố gắng tập hợp, nghiên cứu tài liệu, thử nghiệm để phát thảo nên một mô hình ứng dụng, có thể đáp ứng được những yêu cầu đặt ra. Mô hình được xây dựng trong luận văn đã đưa ra phương thức giải quyết 2 vấn đề cụ thể:
- Kiểm soát truy cập giữa 2 mạng LAN bằng Access list.
- Xây dựng IPSec VPN cho phép kết nối Site-to-Site và Remote Access.
Trong mô hình được xây dựng, thì việc ứng dụng Access list để kiểm soát truy cập giữa 2 mạng LAN là có thể đưa vào sử dụng ngay. Với điều kiện khả năng hiện tại việc thực hiện IPSec VPN chỉ dừng lại ở mức xây dựng mô hình, và tìm hiểu cách thức thiết lập IPSec VPN preshared key cấu hình trên Router Cisco- 1 phương thức có nhều khả năng áp dụng nhất.
68 trang |
Chia sẻ: baoanh98 | Lượt xem: 925 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Đề tài Ứng dụng IPSec VPN trong việc xây dựng hệ thống mạng Đài TNND TP Hồ Chí Minh, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
c đảm bảo tính bảo mật cho các kết nối VPN được thực hiện bằng cách kết hợp các sản phẩm và công nghệ với nhau.
Đường hầm (Tunnel) : các đường hầm chính là đặc tính ảo của VPN, nó làm cho kết nối trở nên trong suốt (không thấy được) đối với các người dùng khác trên Internet, đồng thời tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã được áp dụng trong mạng nội bộ. Những công nghệ đường hầm phổ biến cho truy cập VPN gồm: PPTP, L2TP và IPSec.
Mã hóa : đây là tính năng tùy chọn làm nên tính “riêng tư” của VPN. Chỉ nên mã hóa những dữ liệu quan trọng để không ảnh hưởng đến tốc độ xử lý của CPU.
Tường lửa : Firewall được dùng để bảo mật mạng nội bộ chống lại các cuộc tấn công từ bên ngoài. Firewall tốt có khả năng phân biệt các traffic dựa trên cơ sở người dùng, trình ứng dụng hay nguồn gốc.
Định danh người dùng (User-Identification) : mọi người dùng đều phải chịu sự kiểm tra xác thực để hệ thống có thể biết thông tin về họ (quyền truy cập, mật khẩu..) và phải chịu sự ủy quyền để báo cho họ biết về những gì họ được phép làm. Một hệ thống tốt còn thực hiện việc tính toán để theo dõi những việc mà người dùng đã làm nhằm mụch đích tíng cước và bảo mật. Xác thực( Authentication), trao quyền (Authorization) và tính cước (Accouting) được gọi là các dịch vụ AAA.
Tính ưu tiên: Cho phép gán thẻ ưu tiên cho 1 traffic của 1 ứng dụng nghiệp vụ quan trọng cần thực hiện trước. Khả năng gán ưu tiên sẽ phải độc lập với dữ liệu truyền để đảm bảo tính hoàn hảo thực sự của dịch vụ.
II. Các loại mạng VPN:
Có thể phân VPN ra làm 3 loại:
Remote access VPN.
Intranet VPN.
Extranet VPN.
Các VPN truy cập từ xa (Remote Access VPN):
Các VPN này cung cấp truy cập tin cậy cho các người dùng ở xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới công ty. Người dùng có thể truy cập các tài nguyên VPN bất cứ khi nào nếu cần.
Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (SDL), IP di động và cáp để nối các người dùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau.
Các VPN nội bộ (Intranet VPN):
Cho phép các văn phòng chi nhánh được liên kết 1 cách bảo mật đến trụ sở chính của công ty.
Có 2 phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN tại các điểm cuối ở xa:
Dùng các đường kênh thuê riêng để kết nối.
Dùng đường dây quay số để kết nối.
Dùng VPN để kết nối 2 vị trí từ xa
Các VPN mở rộng (Extranet VPN):
Cho phép các khách hàng, các nhà cung cấp và các đối tác có thể truy cập 1 cách bảo mật đến mạng Intranet của công ty.
Dùng VPN để kết nối 2 máy tính từ xa trong cùng 1 mạng LAN
III. Kiến trúc và các khối của VPN
Kiến trúc của 1 mạng VPN:
Hai thành phần cơ bản tạo nên mạng riêng ảo VPN là:
Tiến trình định đường hầm (Tunneling), cho phép làm “ảo” một VPN.
Những dịch vụ bảo mật đa dạng nhằm giữ cho dữ liệu của VPN được bảo mật.
Định đường hầm:
Việc tạo đường hầm là tạo ra một kết nối đặc biệt giữa 2 điểm cuối. Để tạo ra 1 đường hầm.
Điểm nguồn phải đóng gói (encapsulate) các gói (Packet) của mình trong các gói IP (IP packet) để truyền qua mạng Internet- việc đóng gói bao gồm mã hoá gói gốc và thêm 1 tiêu đề IP (IP header) mới cho gói.
Tại điểm cuối đích, cổng nối sẽ gỡ bỏ tiêu đề IP và giải mã cho gói và chuyển nó đến đích cần đến.
IP
AH
ESP
header
Data
Gói kiểu đường hầm
Gói gốc
Việc tạo đường hầm cho phép các dòng dữ liệu và thông tin người dùng kết hợp được truyền trên mạng công cộng trong một ống ảo (virtual pipe), ống ảo sẽ làm cho việc định tuyến trên mạng trở nên trong suốt đối với người dùng.
Thông thường đường hầm được địng nghĩa theo 2 loại: đường hầm tĩnh (Static tunnel) và đường hầm động (dynamic tunnel).
Đường hầm tĩnh hay còn gọi là đường hầm thường trực (pernament) thường ít được dùng vì chiếm băng thông khi không sử dụng.
Đường hầm động còn gọi là đường hầm tạm thời thường được sử dụng. Khi có yêu cầu đường hầm sẽ được thiết lập sau đó sẽ hủy bỏ khi không dùng đến.
Ngoài ra khi nói đến đường hầm, ta còn cần phải xem xét đến các điểm cuối của đường hầm (endpoint), có 2 loại điểm cuối:
Máy tính đơn, khi kết nối phải chạy 1 phần mềm VPN client.
Mạng LAN với cổng nối bảo mật có thể làbộ địng tuyến hay tường lửa.
Các đường hầm VPN
Các dịch vụ bảo mật trong VPN:
Mạng VPN cần được cung cấp 4 chức năng giới hạn để đảm bảođộ bảo mật cho dữ liệu. Bốn chức năng đó là:
Xác thực (Authentication ): xác định nguồn gửi dữ liệu.
Điều khiển truy cập (Access control): hạn chế những truy cập trái phép vào mạng.
Tin cậy (Confidentality): đảm bảo ngăn những người không được phép đọc dữ liệu khi truyền trên mạng.
Tính toàn vẹn của dữ liệu (Data integrity) : đảm bảo dữ liệu không bị thay đổi trong quá trình truyền trên mạng.
Việc xác thực người dùng và duy trì tính toàn vẹn của dữ liệu phụ thuộc vào các tiến trình mật mã (Cruptographic). Những tiến trình này sử dụng các bí mật được chia sẽ gọi là khoá (key) , việc quản lý và phân phối các khóa cũng tăng tính bảo mật của hệ thống.
Các dịch vụ Xác thực, mã hóa vàtoàn vẹn dữ liệu được cung cấp tại lớp Dta-link và lớp Network của mô hình OSI. Việc phát triển các dịch vụ bảo mật tại các lớp thấp của mô hình OSI làm cho các dịch vụ này trở nên trong suốt hơn với người dùng.
Có 2 hình thức áp dụng các dịch vụ bảo mật:
Mỗi hình thức kết nối có những ưu khuyết điểm khác nhau: kết nối đầu cuối- đầu cuối bảo mật hơn kết nối nút- nút nhưng nó làm tăng sự phức tạp cho ngưới dùng và có thể gây khó khăn hơn cho việc quản lý.
Các khối trong mạng VPN:
Mạng Internet VPN cgồm các thành phấn chính sau:
Internet.
Cổng nối bảo mật.
Máy chủ chính sách bảo mật (secutiry policy server).
Máy chủ cấp quyền CA (certificate authority).
Các cổng nối bảo mật (security gateway) được đặt giữa các mạng công cộng và mạng riêng, ngăn chặn các xâm nhập trái phép vào mạng riêng. Chúng thể cung cấp khả năng tạo đường hầm và mã hóa dữ liệu trước khi chuyển đến mạng cộng cộng. Cổng nối bảo mật cho mạng VPN gồm 1 trong các loại sau: bộ định tuyến (Router), tường lửa (firewall), phần mềm tích hợp VPN và phần mềm VPN.
Một thành phần quan trọng khác của mạng VPN là máy chủ chính sách bảo mật (security policy server). Máy chủ này bảo quản các danh sách điều khiển truy cập và các thông tin khác liên quan đến người dùng, những thông tin này được cổng nối dùng để xác các traffic nào được phép lưu thông.
Các máy chủ cấp quyền CA được để xác thực các khóa dùng chung để cấp quyền cho các người dùng thuộc hệ thống.
III. Các giao thức trong VPN:
Các giao thức đường hầm và bảo mật:
Việc truyền dữ liệu thông qua bất kỳ một phương tiện nào cũng phải tuân theo những giao thức nhất định. Đối với VPN, việc bảo vệ kênh giao tiếp riêng được thực hiện bằng kỹ thuật mã hoá ( ví dụ như DES hoặc 3DES) thông qua các giao thức bảo mật. Việc mã hoá có thể được thực hiện tại các tầng khác nhau trong kiến trúc OSI.
Bộ giao thức IP Security (IPSec):
Mụch đích của bộ giao thức IPSec là đảm bảo tính bí mât, toàn vẹn và xác thực của thông tin trên nền giao thức Internet (IP). Bộ giao thức IPSec sử dụng kết hợp một số giao thức mã hoá mạnh có khả năng giải quyết các vấn đề bảo mật trong các mạng truyền thông dựa trên nền IP bao gồm:
Internet Key Exchange (IKE): cung cấp một phương thức trao đổi khóa an toàn giữa các đối tác. Để làm việc đó giao thức IKE hỗ trợ các giải thuật mã hoá 3DES, giải thuật chia Tiger, giải thuật chữ ký điện tử RSA, giải thuật xác thực MD5.
Encapsulating Security Payload (ESP): sử dụng các kỹ thuật mã hoá mạnh (RC5, 3DES, Blowfish) để đóng gói thông tin để sau đó chỉ có người nhận thông tin có khóa bí mật mới đọc được. Ngoài ra ESP còn cung cấp khả năng che giấu thông tin về địa chỉ IP của người gửi và người nhận.
Authentication Header (AH): giao thức này gắn các dữ liệu trong các gói (packet) với chữ ký điện tử cho phép người nhận kiểm tra danh tính người gửi cũng như tính toàn vẹn của thông tin.
IPSec hiện đang trở thành một phương tiện bảo mật giao tiếp chuẩn cho các nhà cung cấp.
Giao thức PPTP và giao thức L2TP:
Ngoài giao thức IPSec, người dùng cò có thể sử dụng 2 giao thức khác là PPTP (Point-to-Point Tunneling protocol) và L2TP (Layer 2 Tunneling Protocol). Cả hai giao thức này đã được tích hợp vào hệ điều hành Windows.
Giao thức PPTP: có nguồn gốc từ giao thức PPP ( Point-to-Point Protocol) dùng trong kết nối mạng Internet qua đường quay số Dial-up, được xây dựng dựa trên Microsoft Point-to-Point Encryption (MPPE).
Giao thức L2TP: là chuẩn mở được tích hợp giữa giao thứcPPTP của Microsoft và L2F của Cisco Systems.
Các giao thức quản trị:
Các giao thức quản trị được dùng để duy trì quyền truy cập cuả người dùng cùng với những thông tin bảo mật liên quan đến họ. Hai họ giao thức khác nhau hiện nay được sử dụng tùy theo loại mạng VPN cần quản lý:
Đối với mạng quy số VPN hay kết nối client-LAN dùng đường hầm PPTP và L2TP dùng giao thức RADIUS để xác thực và tính cước.
Đối với mạng LAN-LAN giao thứ ISAKMP/Oakley được sử dụng như 1 biến thể của IPSec.
Nhiều phương thức xác thực và mã hóa sử dụng trong mạng VPN yêu cầu xác định và phân phối các khóa dùng chung. Đối với những hệ thống nhỏ, việc phân phối các khóa được thực hiện bằng tay. Đối với những hệ thống lớn thì cần có 1 hệ thốngtạo ngẫu nhiên, quản lý và phân phối khóa tự động- key management system.
IV. Mã hóa thông tin và tích hợp bảo mật trong VPN:
Mã hoá thông tin:
Hiện nay tồn tại 2 hệ thống mã hóa dựa trên các giải thuật đối xứng (Symmetric) và không đối xứng (asymmetric):
Giải thuật Symmetric cho phép thông tin mã hoá và giải mã sử dụng một khóa bảo mật duy nhất.
Giải thuật Asymmetric hay còn gọi là giải thuật khóa công khai (public-key) cho phép thông tin được mã hóa và giải mã sử dụng một cặp khóa liên đới, trong đó một khóa được giữ bí mật và một khóa công khai.
Kích thước khóa càng lớn thì độ an toàn của thông tin càng tăng lên nhưng hiệu suất xử lý thông tin càng giảm đi. Tùy thuộc vào từng ứng dụng cụ thể, kích thước khóa có thể thay đổi, ví dụ như kích thước khóatrong một số giải thuật sử dụng CBC-mode như CAST-128 (40-128 bits), RC5 (40-2040 bit), 3DES (192 bit), Blowfish (40-448bit)
Tích hợp bảo mật:
VPN cho phép tích hợp nhiều đặc tính bảo mật nhằm nâng cao mức độ an tòan cho thông tin. Hiện có rất nhiều giải pháp cho vấn đề này, điển hình là 3 giải pháp sau:
SSH ( Secure Shell): là chương trình bảo mật thay thế cho các công cụ truy cập từ xa khác như telnet,rlogin, ftp và các công cụ khác không được trang bị tính năng bảo mật. SSH cung cấp kênh giao tiếp thông tin mã hoá, ví dụ như từ một máy ở xa đến máy chủ POP3.
SSL (Secure Sockets Layer): là giao thức dùng để cung cấp khả năng mã hóa mạnh khi truyền dữ liệu. Các giải pháp dựa trên SSL được chia thành hai loại là kết nối và đường hầm. Kết nối cung cấp sự bảo vệ cho một ứng dụng đơn lẻ sử dụng SSL, đường hầm SSL cho phép một hoặc nhiều ứng dụng truyền tin bảo mật qua mạng công cộng sử dụng SSL hoặc không.
Giải pháp dùng các phần mềm truy cập từ xa cho phép người dùng từ bên ngoài có thể truy cập vào mạng cục bộ thông qua Internet, qua đó người dùng truy cập từ xa có thể truy xuất các ứng dụng, file và các tài nguyên khác trong mạng cục bộ.
Tuy nhiên, mặc dù SSH, SSL và IPSec có thể cung cấp các khả năng mã hóa thông tin tương tự nhau, nhưng thiết lập VPN sử dụng IPSec có nhiều thuận lợi hơn. Chẳng hạn như : đối với những ứng dụng khác nhau chúng ta cần mở các kết nối và đường hầm SSH và SSL khác nhau cho từng ứng dụng trong khi IPSec chỉ cần một kết nối chung cho tất cả các ứng dụng, thêm vào đó còn có khả năng che giấu địa chỉ IP- đây là một đặc tính cần thiết trong một số tình huống đặc biệt. Hiện nay trong giao thức Internet phiên bản IPv6, IPSec được xem là một thành phần bắt buộc và được cài đặt như một chức năng cơ sở.
V. Đáng giá chung về VPN:
Tóm lại VPN là 1 giải pháp nhanh chóng và hiệu quả hơn về chi phí so với các giải pháp mạng diện rộng WAN khác. Mạng riêng ảo đã thể hiện sự đột phá công nghệ, làm chuyển biến ngành công nghiệp và cách mạng hóa các dịch vụ do khách hàng yêu cầu. Hiện nay có nhiều vấn đề trong thực tế đang thúc đẩy việc khai thác VPN 1 cách rộng rãi, những thúc đẩy này có thể đưa đến sự phát triển vượt bậc của VPN.
Chương III:
Tổng quan về giao thức IPSec
I. Khái niệm chung về IPSec:
IPSec- Internet Protocol Security là một bộ giao thức có chuẩn mở đang được tổ chức Internet Engineering Task Force (IETF) phát triển nhằm hỗ trợ sự trao đổi an toàn các gói dữ liệu IP. Các bộ giao thức này cung cấp khả năng xác thực nguồn gốc, bảo vệ sự toàn vẹn và tin cậy của dữ liệu, khả năng bảo vệ chống replay. IPSec hoạt động trên giao thức IP và sử dụng Internet Key Exchange (IKE) để đàm phán các kết hợp bảo mật security association (SA) giữa các peer.
IPSec có thể được sử dụng độc lập như là 1 phương thức bảo mật trong trao đổi dữ liệu hoặc được dùng kèm trong các giải pháp mạng khác như VPN chẳng hạn.
IPSec hoạt động tại lớp thứ 3 (Network layer) của mô hình OSI :
Application Layer
Presentation Layer
Section Layer
Transport Layer
Network Layer
IPSec
DataLink Layer
Physical Layer
Các giao thức của IPSec:
Các giao thức thường gặp khi làm việc với IPSec gồm:
IPSec (IP Security Protocol): các giao thức cung cấp traffic security.
Authentication Header (AH).
Encapsulating Security Payload (ESP).
Message Encrytion
Data Encrytion Standard (DES).
Triple DES (3DES).
Message Integrity (Hash) Function.
Hash-based Message Authentication Code (HMAC).
Message Digest 5 (MD5).
Secure Hash Algorithm-1 (SHA-1)
Peer Authentication
Revset, Shamir, and Adelman (RSA) Digital Signatures.
RSA Encrypted Nonces.
Key Management
Deffie- Hellman (D-H).
Certificate Authority (CA).
Security Association
Internet Key Exchange (IKE).
Internet Security Association and Key Management Protocol (ISAKMP).
Một số chú ý khi ứng dụng IPSec:
IPSec hỗ trợ High-Level Data-Link Control (HDLC), ATM, Point-to-Point Protocol (PPP), và Frame Relay seria encasulation.
IPSec cũng làm việc với Generic Routing Encapsulation (GRE) và IP-in-IP Encapsulation Layer 3 tunneling Protocols.
IPSec không hỗ trợ chuẩn data-link switching (DLSw), source-route bridging (SRB), hoặc những giao thức đường hầm Layer 3 khác.
IPSec cũng không hỗ trợ đường hầm nhiều điểm ( Multipoint tunnel).
IPSec chỉ làm việc với unicast IP-datagram, không làm việc với multicast hoặc broadcast datagram.
IPSec chậm hơn CiscoEncryption Technology (CET) vì IPSec cung cấp per-packet data authentication.
IPSec cho phép thay đổi kích thước của các packet, từ đó chúng ta có thể chia nhỏ các gói lớn thành các gói nhỏ hơn trong quá trình truyền sau đó tái tạo lại tại nơi nhận. Việc này cũng là một trong nguyên nhân làm cho IPSec chậm hơn CET.
Khi sử dụng NAT, phải thực hiện NAT trước khi IPSec đóng gói dữ liệu.
II. Dạng thức của IPSec:
Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính sau:
Kết hợp bảo mật SA (Security Association).
Xác thực tiêu đề AH (Authentication Header).
Bọc gói bảo mật tải ESP (encapsulating Security Payload).
Chế độ làm việc
Kết hợp bảo mật SA:
Security Associations (SAs) là khái niệm cơ sở nền tảng của bộ giao thức IPSec. Để 2 đầu có thểtruyền dữ liệu đã được bảo mật (được xác thực và mã hóa), thì cả 2phải cùng thống nhất về giải thuật mã hóa, cách chuyển khóa và thời gian đổi khóa- tất cả những thông tin trên đều do SA đảm trách.
Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất 1 SA, có thể nhiều hơn do các giao thức của IPSec cần có 1 SA riêng cho từng giao thức, mỗi gói xác thự cũng cần 1 SA riêng và mỗi gói mã hóa cũng vậy. Thậm chí nếu dùng chung giải thuật cho việc xác thực và mã hóa cũng cần phải có 2 SA khác nhau do dùng 2 bộ khóa khác nhau.
Một IPSec SA được định nghĩa bao gồm:
Giải thuật xác thực sử dụng cho AH và khóa của nó.
Giải thuật mã hóa ESP và khóa của nó.
Dạng thức và kích thước của bộ mật mã sử dụng trong giải thuật mã hóa.
Giao thức, giải thuật và khóa sử dụng cho việc truyền thông.
Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thông riêng.
Thời gian thay đổi khóa.
Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sử dụng trong giải thuật.
Thời gian tồn tại của khóa.
Thời gian tồn tại của SA.
Địa chỉ nguồn của SA.
Có thể xem SA như 1 kênh bảo mật thông qua 1 mạng công cộng đến 1 người hay 1 nhóm làm việc cụ thể.
Xác thực tiêu đề AH:
Xác thực tiêu đề AH- Authentication Header được sử dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung phía sau, nội dung của gói không bị thay đổi.
IP Header
AH Header
Payload
Tiêu đề xác thực gồm 5 trường:
Trường tiêu đề kế tiếp (Next header Field): nhận diện giao thức bảo mật.
Chiều dài tải (Payload length): xác định chiều dài của message theo sau AH Header.
Chỉ tham số bảo mật SPI (Security Parameter Index): thông báo cho thiết bị nhận gói biết họ giao thức bảo mật phía gửi dùng trong truyền thông.
Số tuần tự (sequence number)
Dữ liệu xác thực (Authentication Data): mang thông tin về giải thuật mã hóa định nghĩa bởi SPI.
AH cung cấp các dịch vụ (service): bảo đảm tính tòan vẹn của data, xác thực tính toàn vẹn của data, và antireplay. Những thuật toán xác thực được dùng trong AH là: HMAC-MD5 và HMAC-SHA1.
AH không cung cấp khả năng mã hoá
Định dạng của AH header
Original IP
Header
Original Layer 4
Header
Data
Original IP
Header
Original Layer 4
Header
Data
IPSec AH
Next Header
Payload length
Reserved
Security Parameters Index (SPI)
Sequence Number Field
Authentication Data (Variable Length- Integral Multi of 32 bits)
Bọc gói bảo mật tải ESP:
Bọc gói bảo mật tải ESP- Encapsulating Security Payload được sử dụng cho việc mã hóa dữ liệu. Cũng như AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của goí. Tuy nhiên nội dung của gói sẽ bị thay đổi.
ESP cung cấp thêm khả năng tin tưởng trong việc xác thực người gửi và bảo đảm sự tòan vẹn dữ liệu. ESP mã hóa nội dung Datagram bằng các thuật toán mã hóa cao cấp như: DES-CBG, NULL, CAST-128, IDEA và 3DES. Thêm vào đó ESP cũng sử dụng những thuật toán xác thực đã được dùng trong AH như: HMAC-MD5 và HMAC-SHA.
ESP không bảo vệ toàn bộ Datagram mà chỉ bảo vệ payload. Gói IP packet khi được thêm ESP header và trailer:
IP Header
ESP Header
Payload
ESP Trailer
ESP Authentication
Định dạng của ESP Header:
Security Parameter Index
Sequence Number
Payload (variable)
Padding
Authentication Data
(variable size)
Pad length
Next Header
ESP header
TCP and Data
ESP trailer
Authentication
Encrypted
Như vậy là ESP cung cấp khả năng mã hóa và tùy chọn xác thực. Việc sử dụng ESP sẽ làm giảm kích thước các packet, làm tăng hiệu quả xử lý.
Chế độ làm việc:
Có 2 chế độ làm việc trong IPSec:
Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói được xử lý.
Chế độ đường hầm (Tunnel mode): toàn bộ gói sẽ được xử lý- mã hóa và xác thực.
Cả 2 chế độ đều có thể làm việc vơí AH và ESP.
Chế độ giao vận sử dụng cho cả cổng nối và host, cung cấp cơ chế bảo mật cho các giao thức lớp trên. Trong chế độ giao vận, AH chỉù bảo mật chống lại việc thay đổi nội dung dữ liệu nên cần phải cần phải có những phương tiện khác đểđảm bảo tính riêng tư của dữ liệu. ESP được dùng bảo mật chống nghe trộm rất có hiệu quả nhưng không bảo mật được toàn vẹn traffic.
Trong chế độ đường hầm, tiêu đề IP chứa địa chỉ nguồn và điạ chỉ đích, trong khi bộ xuất tiêu đề IP chứa các địa chỉ IP khác, chẳng hạn như địa chỉ cổng nối. AH bảo mật toàn bộ gói IP bao gồm cả bộ phận tiêu đề. ESP cung cấp các cơ chế bảo mật cho các gói bằng các mã hóa toàn bộ gói.
Để có thể áp dụng AH và ESP trong chế độ đường hầm hay chế độ giao vận, IPSec được yêu cầu phải hỗ trợ phương thức tổ hợp:
Dùng chế độ đường hầm để mã hóa và xác thực các gói và tiêu đề rồi gắn vào AH hoặc ESP.
Dùng cả AH và ESP trong chế độ giao vận.
III. Quản Lý Khóa:
Trong truyền thông sử dụng giao thức IPsec đòi hỏi phải có chuyển giao khóa, vì vậy cần phải có cơ chế quản lý khóa. Có 2 phương thức chuyển khóa:
Chuyển khóa bằng tay.
Chuyển khóa Internet IKE- Internet Key Exchange
Đối với những mạng chỉ có vài VPN peer, có thể thực hiện việc phân bố khóa bằng tay. Còn đối với các mạng lớn cần phải có một phương thức quản lý và kiểm soát khóa tự động. Giao thức quản lý chuyển giao khóa mặc định trong IPSec là IKE .
IKE là kết quả kết hợp giữa bảo mật ISA- Internet Security Association và giao thức chuyển giao khóa ISAKMP. IKE còn có 1 tên gọi khác là ISAKMP/Oakley. IKE có các khả năng sau:
Cung cấp các phuơng tiện cho 2 bên thỏa thuận sử dụng các giao thức, giải thuật và khóa.
Đảm bảo ngay từ lúc đầu là truyền thông đúng đối tượng.
Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận.
Đảm bảo các khóa được chuyển 1 cách bảo mật.
Các chế độ và pharse của IKE:
Hoạt động của IKE gồm 2 giai đoạn:
Giai đoạn 1- Pharse 1: thiết lập 1 đường hầm bảo mật cho các hoạt động ISAKMP.
Giai đoạn 2- Pharse 2: là tiến trình đàm phán các mụch đích SA.
IKE còn có 4 chế độ chuyển khóa và cài đặt các ISAKMP do giao thức Oakley qui định cho 2 giai đoạn:
Chế độ chính (main mode): hoàn thành giai đoạn 1 của IKE sau khi đã thiết lập 1 kênh bảo mật.
Chế độ năng động (Aggressivemode): tương tự như main mode, nhưng đơn giản và nhanh hơn vì nó truyền nhận dạng bảo mật cho tất cả các nút trước khi đàm phán được 1 kênh bảo mật.
Chế độ nhanh (quick mode): hoàn thành giai đoạn 2 của IKE bằng cách đàm phán 1 SA cho các mụch đích của việc truyền thông.
Chế độ nhóm mới (new group mode): chế độ này không thật sự thuộc giai đoạn 1 hay giai đoạn 2. Chế độ nhóm mới theo sau đàm phán của giai đoạn 1 và đưa ra 1 cơ chế định nghĩa nhóm riêng cho chuyển giao Diffie-Hellman.
Để thiết lập 1 bảo mật IKE cho 1 nút, 1 host hay 1 cổng nối cần ít nhất 4 yếu tố:
Một giải thuật mã hóa để bảo mật dữ liệu.
Một giải thuật băm để giảm dữ liệu cho báo hiệu.
Một phương thức xác thực cho báo hiệu dữ liệu.
Thông tin về nhóm làm việc qua tổng đài.
Đàm phán SA:
Để thiết lập 1 SA, bên khởi tạo phải gửi 1 thông báo yêu cầu thông qua quick mode. Một đàm phán SA là kết quả của 2 SA: 1 hướng về (inbound) và 1 hướng đi khỏi (outbound) bên khởi tạo. Để tránh xung đột về SPI, nút nhận phải luôn chọn SPI, và thông báo cho bên kia biết . Mỗi SPI, kết hợp với địa chỉ IP đích, chỉ định 1 SA đơn duy nhất. Trong thực tế những SA này luôn có 2 hướng , chúng có danh định về tham số, giải thuật, khóa, băm là 1 phần trong SPI.
IV. Những vấn đề còn tồn đọng trong IPSec:
Mặc dù IPSec có những đặc tính cần thiết cho việc bảo mật nhung nó vẫn còn trong giai đoạn phát triển nên còn một số hạn chế cần lưu ý:
Các gói xử lý theo IPSec sẽ tăng kích thước làm thông lượng mạng giảm xuống.
IKE vẫn là 1 công nghệ chưa được chứng minh trong khi phương thức chuyển khóa bằng tay lại không thích hợp cho mạng có 1 số lượng lớn các đối tượng di động.
IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.
Việc tính tóan cho nhiều giải thuật trong IPSec là 1 vấn đề đối với các trạm làm việc và PC cũ.
Chương IV:
Xây dựng IPSec VPN dựa trên Router Cisco
I. Giới thiệu chung về giải pháp VPN của Cisco:
Cisco là 1 công ty chuyên cung cấp thiết bị và giải pháp lớn có uy tín trên thế giới. Đối với mạng riêng ảo VPN, Cisco cũng có những giải pháp và thiết bị hỗ trợ hiệu quả. Tùy theo từng loại VPN mà Cisco có những sản phẩm đáp ứng cụ thể.
Site-to-Site VPN: đây là loại VPN có từ 2 endpoint trở lên. Tại các endpoint có thể dùng các sản phẩm sau: Router, các VPN-enable firewall, các thiết bị phần cứng VPN
Access VPN: còn gọi là Remote AccessVPN. Thường dùng: Router, các VPN-enable firewall hoặc các VPN concentrator.
Ngoài ra Cisco còn có 1 giải pháp thiết lập VPN 1 cách đơn giản nhanh chóng gọi là Easy VPN. Với giải pháp Easy VPN, cần có 1 Cisco Easy VPN Server đặt tại trụ sở chính và các thiết bị khác có thể là: Cisco PIX 501 firewall, 3002 hardware VPN client, Cisco VPN client software.
Trong điều kiện khả năng hiện tại, với thiết bị của Cisco có thể tiếp cận là các Router có hỗ trợ VPN, nên trong phạm vi luận văn này chúng ta sẽ tập trung tìm hiểu về mô hình IPSec VPN được thiết lập bằng Router :.
Đối với những mạng chỉ có vài VPN peer, có thể thực hiện việc phân phối khóa bằng tay. Còn đối với các mạng lớn cần phải có Certificate Authority (CA) server, khi đó ta cần phải cài đặt ISAKMP để hỗ trợ phương thức khóa khóa mà ta đã chọn. Việc lựa chọn phương thức phân phối khóa cũng quyết định cấu hình xác thực của các peer.
Trong chương này chúng ta sẽ tìm hiểu cách thiết lập IPSec VPN trên Router Cisco:
Preshared key cấu hình thủ công.
Preshared key với RSA encrypted nonce
Preshared key với RSA encrypted nonce có CA hỗ trợ việc xác thực.
II. Mô tả quá trình thiết lập IPSec VPN tunnel:
Có thể mô tả việc tạo và giới hạn IPSec VPN tunnel như 1 quá trình gồm 5 bước, các endpoint sẽ thực hiện những nhiệm vụ khác nhau nhằm thiết lập kết nối được mã hóa theo từng bước:
Step 1: user tại Source khởi tạo 1 kết nối tới hệ thống đích Destination . Router tại Source nhận được traffic như là 1 traffic cần quan tâm và thiết lập tiến trình IKE với router tại Destination.
Step 2: Các router endpoint dùng IKE để xác thực từng IKE peer và thoả thuận về IKE SA. Lúc này 1 kênh bảo mật được thiết lập để cho phép đàm phán IKE SA- thời điểm này xem như IKE pharse I.
Step 3: IKE lại được dùng để đàm phán IPSec SA giữa các peer. Khi việc đàm phán kết thúc, các IPSec peer có SA đã được thiết lập và chuẩn bị truyền dữ liệu- thời điểm này xem như IKE pharse II.
Step 4: Đường hầm đã được thiết lập và các thông tin IPSec SA đã được chứa trong SA database của cả 2 SA peer. Thêm vào đó, việc đàm phán khóa được tiến hành đối với mỗi thông số đã được đàm phán trong suốt pharse II.
Step 5: Các kết nối được giới hạn khi hết thời gian hoặc bị thoát từ bất cứ peer nào- nghĩa là không có traffic nào dùng IPSec nữa.
III. Các bước thiết lập VPN với IPSec:
Trước khi tiến hành thiết lập IPSec VPN thực hiện 1 tiến trình gồm 5 bước với nhiều mục nhỏ cần thực hiện:
Step 1-Thiết lập IKE policy:
Trước tiên chúng ta phải xác định các thông số cho IKE policy. IKE policy này phải được thiết lập giống hệt nhau tại các điểm cuối của VPN. Các thành phần của IKE policy cần được thiết lập bao gồm:
Phương thức phân phối khóa: bằng tay hoặc dùng CA.
Phương thức xác thực: phục thuộc vào phương thức phân phối khóa. Nều phân phối bằng tay thì dùng preshared keys. Phân phối dùng CA thì sử dụng RSA (RSA encrypted nonces hoặc RSA digital signatures).
Địa chỉ IP và hostname của các peer.
Các thông số IKE policy: các thông số này được ISAKMP dùng để thiết lập đường hầm bảo mật của IKE pharse 1. Các thông số này bao gồm: Các thuật toán mã hóa (DES/3DES), thuật toán Hash (MD5/SHA-1), phương thức xác thực (preshared, RSA encryptions, RSA signatures), trao đổi khóa (D-H group 1/D-H group 2) và IKE SA lifetime (mặc định là 86400 giãy).
Step 2- Thiết lập IPSec policy:
Sau khi xác định các thông số IKE policy, chúng ta cần phải xác định các thông tin về IPSec policy gồm:
Giao thức IPSec được dùng: AH hoặc ESP.
Xác thực: MD5 hoặc SHA-1.
Mã hóa: dùng DES hoặc 3DES.
Transform và transform set: là kết hợp các thuật toán mã hóa và xác thực (AH-SHA-HMAC / ESP-3DES / ESP-MD5-HMAC).
Chỉ định các traffic cần được bảo vệ: giao thức, nguồn, đích và port.
Thiết lập SA: bằng tay hoặc dùng IKE.
Step 3-Kiểm tra các cấu hình hiện có:
Sau khi xác định các policy cho IKE và IPSec, chúng ta phải kiểm tra lai cấu hình hiện có tại các thiết bị để chắc chắn rằng không có tranh chấp giữa cấu hình hiện có với cấu hình sắp thực hiện.
Step 4-Kiểm tra lại kết nối mạng trước khi áp dụng IPSec:
Chúng ta phải luôn đảm bảo có kết nối giữa các SA peer trước khi thử tạo ra 1 kết nối VPN.
Step 5- Cho phép các giao thức IPSec và các port của nó:
Nếu có áp dụng ACL tại các thiết bị trên đường đi của IPSec VPN, chúng ta phải đảm bảo các ACL này cho phép IPSec traffic:
UDP port 500: ISAKMP.
Protocol 50:ESP.
Protocol 51: AH.
Sau khi thực hiện đầy đủ 5 bước nêu trên, chúng ta có thể bắt đầu cấu hình các thiết bị theo những policy đã được xác định ở bước 1 và bước 2.
IV. Các bước cấu hình Router Cisco cho IPSec VPN với Preshared Key:
IPSec VPN phân phối khóa bằng tay có thể sử dụng cho các hệ thống có số lượng peer ít. Lúc này ta có thể cấu hình bằng tay (cấu hình tĩnh) cho tất cả các peer.
Preshared key là các khóa ký số (tương tự như password) được cấu hình trên từng Router và phải được sắp xếp 1 cách chính xác để các Router có thể thương lượng việc kết nối. Khi mạng càng lớn, sốù lượng peer tăng thì việc quản lý các kết nối VPN dùng Preshared key trở nên khó khăn.
Việc cấu hình IPSec VPN trên Router với Preshared key gồm 4 bước:
Step 1: chuẩn bị như đã được mô tả ở trên.
Step 2: Cấu hình IKE (enable IKE, tạo các policy và xác nhận việc cấu hình).
Step 3: Cấu hình IPSec (Xác địng transform set, tạo các Crypto ACL, tạo các Crypto map, áp dụng các Crypto map).
Step 4: kiểm tra lại các cấu hình vừa thực hiện, điều chỉnh lại nếu phát hiện sai sót.
Step 1- Chọn lựa các thông số của IKE và IPSec:
Mụch đích là là xác định trước các thiết lập cần thiết tại mỗi peer nhằm đảm bảo khả năng thành công của việc đàm phán cho kết nối. Các việc phải thực hiện tại bước này gồm:
Xác định IKE policy.
Các thông số có thể dùng khi cấu hình IKE:
Xác định IPSec policy.
Các thông số IPSec cần lưu ý:
Kiểm tra lại cấu hình hiện tại.
Kiểm tra lại kết nối
Đảm bảo tính tương thích của các ACL.
Step 2- Cấu hình IKE:
Việc cấu hình IKE bao gồm:
Enable IKE.
Tạo IKE policy.
Cấu hình Preshared key.
Kiểm tra lại việc cấu hình IKE vừ thực hiện.
Ví dụ về các thông số cấu hìng IKE:
Key Distribution: ISAKMP.
Authentiction: Preshared Key.
Encrytion Algorithm: 3DES.
Hash Algorithm: MD5.
Diffie-Hellman: 2(1024 bit).
IKE SA Lifetime: 86,400 giây.
Step 3- Cấu hình IPSec:
Cấu hình IPSec gồm các bước sau:
Tạo transform set
Cấu hình IPSec SA Lifetime.
Tạo crypto ACL
Tạp crypto map
Aùp dụng Crypto map
Ví dụ về cấu hình IPSec:
Authentication transform: ESP-MD5-HMAC.
Encryption Transform: ESP-3DES.
IPSec SA Lifetime: 3600 giây.
Step 4- Kiểm tra lại cấu hình vừa thực hiện:
Các câu lệnh có thể được dùng để kiểm tra cấu hình vừa thực hiện:
Show crypto isakmp policy : hiển thị ISAKMP policy đang được cấu hình trên Router.
Show crypto ipsec transform-set : hiển thi các transform set.
Show crypto ipsec sa : hiển thị tình trạng của SA.
Show crypto map : hiển thi crypto map hiện sử dụng.
Show crypto dynamic-map : hiển thị dynamic crypto map set.
Debug crypto isakmp : cho phép debug các IKE event
Debug crypto IPSec : cho phép debug các IPSec event
Các bước cấu hình IPSec trên Router
Lưu ý:
Việc cấu hình phải được thực hiện giống nhau tại cả 2 peer cần thiết lập IPSec VPN.
V. Các bước cấu hình Router dùng RSA nonces:
Trong việc cấu hình IPSec bằng tay chúng ta phải đưa các khóa cần thiết để thiết lập kết nối vào trước 1 cách thủ công, việc này không được khuyến khích do khó quản lý và không bảo mật. Có 1 phương thức được sử dụng để thay thế là dùng RSA encrypted nonce. Phương thức này cho phép tạo khóa 1 cách ngẫu nhiên, các khóa này được trao đổi giữa các peer dựa trên cơ chế trao đổi khóa Diffie-hellman.
Các bước cấu hình IPSec dùng RSA encrypted nonce cũng tương tự như cấu hình IPSec bằng tay, có thêm 1 bước cấu hình RSA key:
Các bước cấu hình IPSec VPN có dùng RSA nonces
Step 1: chọn các thông số IKE và IPSec.
Step 2: Cấu hình RSA key.
Step 3: Cấu hình IKE (enable IKE, tạo các policy và xác nhận việc cấu hình).
Step 4: Cấu hình IPSec (Xác địng transform set, tạo các Crypto ACL, tạo các Crypto map, áp dụng các Crypto map).
Step 5: kiểm tra lại các cấu hình vừa thực hiện, điều chỉnh lại nếu phát hiện sai sót
Việc cấu hình và qủan lý RSA key gồm các bước sau:
Lên kế hoạch thiết lập việc dùng RSA key.
Cấu hình hostname và domain name cho Router.
Tạo các RSA key.
Nhập các khóa RSA công cộng của peer.
Kiểm tra lại việc cấu hình khóa.
Cuối cùng là việc quản lý các khóa
Lên kế hoạch việc dùng RSA key:
Cũng tương tự như việc lên kế hoạch cho việc cấu hình IPSec, tuy nhiên cần phải chú ý đến việc tạo và trao đổi khóa.
Cấu hình hostname và domain name cho Router:
Phần quan trọng của của việc xác thực la øhệ thống phải nhận dạng đưọc chính bản thân nó. Để làm được việc này, chúng ta phải cấu hình hostname và domain name cho các Router.
Tạo các RSA key:
Mặc định các đôi khóa RSA không tồn tại trên Router, chúng ta phải thêm tùy chọn usage-key vào câu lệnh tạo khóa mã hóa và khóa xác thực:
Crypto key generate rsa usage-key
Câu lệnh trên sẽ tạo ra 1 pair khóa (public hoặc private) của cặp khóa.
Nhập các khóa RSA công cộng:
Sau khi nhận được public key ta phải nhập khóa đó vào Router. Để thực hiện việc này cần dùng các lệnh sau:
crypto key pubkey-chain
crypto key pubkey-chain rsa
addressed-key key-address
named-key key-name
key-string
Kiểm tra lại việc cấu hình khóa:
Sau khi thực hiện việc cấu hình khóa, ta phải kiểm tra lại các thông số- có thể dùng các lệnh sau:
Show crypto key mypubkey rsa: hiển thị các public key đượa cài trên Router.
Show crypto key pubkey-chain rsa: hiển thị tất cả các peer được cài khóa.
Việc quản lý khóa:
Sau được tạo và cài đặt, chỉ có thể xóa các RSA key bằng câu lệnh:
Show crypto key zeroize rsa
VI. Các bước cấu hình IPSec VPN với CA:
Ưu điểm của việc dùng IPSec VPN với CA là các peer không cần phải trao đổi preshared key hoặc nonce bằng cách thủ công, vì lúc này khi 2 peer bắt đầu đàm phán IKE chúng chỉ trao đổi các khóa công cộng (public key), các khóa này sau đó sẽ được CA xác thực. Việc quản trị sẽ trở nên đơn giản hơn do không cần phải theo dõi các khóa.
Xác thực Peer dùng CA
Để cấu hình Router cho IPSecVNP có hỗ trợ CA, chúng ta phải hoàn tất 5 bước, mỗi bước có nhiều tác vụ cần thực hiện.
Chọn các thông số IKE và IPSec.
Cấu hình Router hỗ trợ CA.
Cấu hình IKE dùng RSA signature.
Cấu hình IPSec dùng RSA signature.
Kiểm tra lại các cấu hình đã thực hiện.
Công việc cụ thể của từng bước như sau:
Lựa chọn các thông số IKE và IPSec:
Mụch đích là xác định trước các thiết lập cần thiết tại mỗi peer nhằm đảm bảo khả năng thành công của việc đàm phán cho kết nối. Các việc phải thực hiện tại bước này gồm:
Lên kế hoạch hỗ trợ CA.
Xác định IKE policy (pharse 1).
Xác định IPSec policy
Kiểm tra lại cấu hình hiện có của Router
Kiểm tra lại các kết nối.
Đảm bảo sự tương thích của các ACL.
Cấu hình Router hỗ trợ CA:
Để cấu hình Router hỗ trợ CA cần phải thực hiện 11 bước khác nhau, bao gồm cả việc cấu hình Router, tạo khóa, và liên lạc với CA Server.
Cấu hình hostname và domain name cho router.
Thiết lập Date, Time và Time zone cho Router.
Add CA Server vào Host table của Router.
Tạo ra RSA key pair.
Khai báo CA.
Xác thực CA.
Yêu cầu được chứng nhận.
Lưu lại các cấu hình vừa thực hiện.
Quản lý các khóa chứa trong NVRAM.
Quản lý các khóa trên Router.
Kiểm tra laị các cấu hình CA.
Cấu hình IKE dùng RSA signature:
Cách cấu hình cũng tương tự như preshared key xác thực thủ công. Ví dụ có thể cấu hình với những thông số sau:
Key Distribution: ISAKMP.
Authentiction: Preshared Key.
Encrytion Algorithm: 3DES.
Hash Algorithm: MD5.
Diffie-Hellman: 2(1024 bit).
IKE SA Lifetime: 86,400 giây.
Cấu hình IPSec dùng RSA signature:
Các bước cấu hình IPSec gồm:
Tạo IPSectransform set.
Cấu hình IPSec SA Lifetime.
Tạo Crypto access list.
Tạo Crypto map.
Aùp dụng Crypto map.
Ví dụ về các thông số cấu hình:
Authentication transform: ESP-MD5-HMAC.
Encryption Transform: ESP-3DES.
IPSec SA Lifetime: 3600 giây.
Kiểm tra lại cấu hình:
Có thể dùng các lệnh sau để kiểm tra lại cấu hình đã thực hiện:
crypto ca identity : Hiển thị cấu hình CA mà Router được cấu hình.
Debug crypto pki {callback, message, transaction}: cho phép hiển thị callback, transtion hoặc message giữa Router và CA.
Show crypto ca certificates : Hiển thị thông tin về certificate của SA và RAS.
Phần III:
Mô hình giải quyết bài toán
Chương V:
Xây dựng mô hình giải quyết bài toán
Dựa trên giải pháp và mô hình đãõ lựa chọn:
Chúng ta chia việc thực hiện thành 2 phần, có thể thiết lập độc lập với nhau:
Phần thứ nhất: thiết lập kết nối giữa 2 mạng nội bộ LAN 1 và LAN 2.
Phần thứ hai: Thiết lập hệ thống IPSec VPN.
I. Thiết lập kết nối có kiểm soát giữa 2 mạng nội bộ LAN 1 và LAN2:
Với yêu cầu kết nối 2 mạng nội bộ riêng lẻ hiện nay lại thành một hệ thống hợp nhất, có kiểm soát việc trao đổi dữ liệu giữa chúng với nhau, chúng ta có thể áp dụng mô hình đơn giản là dùng một Router có thiết lập Access list như sơ đồ phía dưới:
Tuy nhiên do loại Router có nhiều module Ethernet interface có giá thành cao hơn nhiều so với loại Router thường chỉ có 1 Ethernet Interface nên ta có thể dùng 2 Router thường, 2 Router này kết nối với nhau qua Serial Interface:
Việc kiểm soát traffic giữa 2 mạng được thực hiện bằng ACL- Access Control List. Có thể chia việc thực hiện thành 2 bước:
Bước 1: Xây dựng Access list theo yêu cầu kiểm soát traffic.
Bước 2: áp dụng các Access list đã được xây dựng ở bước 1 lên các interface của Router.
Các bước thực hiện cụ thể
II Các bước thiết lập hệ thống IPSec VPN:
Mô hình thiết lập IPSec VPN cho Đài TNND TP.HCM
Dưạ trên tính năng của các sản phẩm Cisco VPN và điều kiện hạ tầng cơ cở Internet tại Việt Nam hiện nay, chúng ta có thể thiết lập 1 mô hình VPN bao gồm:
Sử dụng Router Cisco để thiết lập các Endpoint tại trụ sở chính TP.HCM và cơ sở chi nhánh ( ví dụ như Chi nhánh tại Cần Thơ).
Các Router sẽ được cấu hình IPSec VPN cho phép kết nối Site-to-Site đồng thời cho 1 số người dùng di động kết nối vào mạng tại trụ so83 chính TP.HCM .
Các người dùng từ xa sẽ được cài đặt VPN client Software để có thể truy cập vào mạng tại trụ sở chính TP.HCM.
Để thiết lập mạng VPN theo mô hình trên, chúng ta thực hiện các công việc sau:
Bảo mật cho các Router đặt tại các endpoint : TP.HCM và Cần Thơ.
Bảo mật cho kết nối site-to-site giữa TP.HCM và Cần Thơ.
Cấu hình hỗ trợ CA.
Bảo mật cho các kết nối từ xa.
Bảo mật chung cho toàn hệ thống.
Các công việc trên đòi hỏi phải có sự chuẩn bị kỹ lưỡng từ khâu chuẩn bị đến thực hiện.
Các bước thiết lập mạng VPN cho Đài TNND TP.HCM
Bảo mật cho các router:
Việc bảo mật cho các router gồm:
Thiết lập quyền truy nhập quản lý cho mỗi router.
Thiết lập SSH để vô hiệu truy cập telnet, có thể kiểm soát truy cập router bằng Access list.
Vô hiệu hóa các dịch vụ không cần thiết trên từng router.
Bảo mật cho kết nối site-to-site:
Để bảo mật cho cho kết nối site-to-site cần thực hiện 5 việc sau:
Định nghĩa các thông số cấu hình VPN.
Cấu hình các thông số IKE.
Cấu hình các thông số IPSec.
Cấu hình các ACL (Access Control list).
Tạo và áp dụng các Crypto map.
Cấu hình hỗ trợ CA
Chúng ta cần thực hiện một số bước cấu hình router để hỗ trợ CA:
Cấu hình Host Name và Domain Name
Cấu hình NTP
Enroll with the CA
Bảo mật Remote Access:
Đối với các truy cập từ xa của các user đơn lẻ thì tại Router TP.HCM chúng ta cần thực hiện các công việc sau:
Thiết lập AAA.
Cấu hình ACLs.
Thiết lập VPN sử dụng CA.
Ngoài ra tại máy của người dùng từ xa còn cần phải cài đặt phần mềm client VPN.
Bảo mật cho toàn hệ thống:
Thiết lập Cisco IOS firewall IDS.
Thiết lập Authentication Proxy.
Thiết lập CBAC.
Phần IV
Mô hình minh hoạ
Chương VI:
Mô hình minh họa:
Thiết lập IPSec VPN dùng preshared key trên Router Cisco
I. Mô tả mô hình:
Mô hình giả sử 1 công ty có 2 điạ điểm: 1 trụ sở chính và 1 chi nhánh. Muốn tạo 1 kết nối private qua 1 môi trường truyền public ta sử dụng VPN để thực hiện nhiệm vụ này. Ta tạo 1 kênh riêng giữa 2 Router: RA và RB, qua môi trường Internet- do Router R1 giả lập làm ISP. Bất cứ traffic TCPnào từ 10.0.1.0/24 đến 10.0.2.0/24 đều sẽ được mã hóa và gửi ngang qua mội trường public.
II. Thực hiện:
Sau khi đã cấu hình cho các Router như topo, ta bước qua phần cấu hình VPN. Việc cấu hình VPN gồm những bước sau:
Bước 1: Cấu hình IKE
Bật IKE: mặc định IKE đã được bật, nếu bị tắt ta có thể mở lại bằng câu lệnh.
Router(config)#crypto isakmp enable
Tạo IKE policy:
Router(config)#crypto isakmp policy priority
Tạo các IKE policy ở mode config- isakmp: authentication, encryption, hash
Bước 2: Cấu hình IPSec:
Cấu hình transform set:tạo transform set giúp ta áp dụng các chính sách bảo mật cho traffic. Có thể tạo 3 transform trong 1 set, mỗi set được giới hạn: 1 AH và 2ESP. Mode mặc định cho transform là tunnel.
Router(config)#crypto ipsec transform-set name [trans1[trans2 [trans3]]]
Router(cfg-crypto-trans)#
Tạo crypto ACL: thực hiện các chức năng sau: xác định các dòng dữ liệu được bảo vệ bởi IPSec, chọn outbound traffic được bảo vệ
Tạo ACL để xác định traffic cần bảo vệ.
Tạo crypto map
Router(config)#crypto map name seq ipsec-manual | ipsec-isakmp
sử dụng các sequence no khác nhau cho mỗi peer, nhiều peer có thể xác định trong cùng 1 crypto map.
Aùp crypto map vào interface
Cụ thể là:
Router RA
RA(config)#crypto isakmp enable ßBật crypto isakmp
RA(config)#crypto isakmp policy 100
RA(config-isakmp)#hash md5
RA(config-isakmp)#authentication pre-share ßxác định các phương
pháp xác minh
RA(config-isakmp)#exit
RA(config)#crypto isakmp identity address ßxác định cách xác định
peer qua địc chỉ chứ khơng phải qua hostname
RA(config)#crypto isakmp key cisco address 172.30.2.2 ßxác định key
cho preshare key của peer
RA(config)#crypto ipsec transform-set mine esp-des ßxác định giải thuật
mã hố là esp-des cho transform-set tên mine
RA(cfg-crypto-trans)#exit
RA(config)#crypto map lee 10 ipsec-isakmp ßtạo crypto map tên lee
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RA(config-crypto-map)#set peer 172.30.2.2 ßxác định peer là interface
bên kia
RRA(config-crypto-map)#set transform-set mine ß áp transform set mine
vào crypto map lee
RA(config-crypto-map)#match address 110 ßxác định ACL
RA(config-crypto-map)#exit
RA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0
0.0.0.255ßtạo ACL để xác định traffic được mã hố
RA(config)#int s0/0
RA(config-if)#crypto map lee ßáp cryto map lee vào interface S0/0
Router RB: cấu hình tương tự như RA:
RB(config)#crypto isakmp enable
RB(config)#crypto isakmp policy 100
RB(config-isakmp)#hash md5
RB(config-isakmp)#authentication pre-share
RB(config-isakmp)#exit
RB(config)#crypto isakmp identity address
RB(config)#crypto isakmp key cisco address 172.30.1.2
RB(config)#crypto ipsec transform-set mine esp-des
RB(cfg-crypto-trans)#exit
RB(config)#crypto map lee 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RB(config-crypto-map)#set peer 172.30.1.2
RB(config-crypto-map)#set transform-set mine
RB(config-crypto-map)#match address 100
RB(config-crypto-map)#exit
RB(config)#access-list 100 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
RB(config)#int s0/0
RB(config-if)#crypto map lee
Chú ý các giải thuật mã hóa và phương pháp xác minh phải được đồng bộ giữa 2 bên.
Kiểm tra:
Ta sử dụng lệnh Show và Debug để kiểm tra:
Dùng telnet service trên 2 PC ở 2 LAN để telnet qua lại.
Dùng debug để ghi nhận trên 2 Router.
Phần V:
Kết Luận
Trong một khỏang thời gian ngắn, với vốn kiến thức còn nhiều hạn chế chúng em đã cố gắng tập hợp, nghiên cứu tài liệu, thử nghiệm để phát thảo nên một mô hình ứng dụng, có thể đáp ứng được những yêu cầu đặt ra. Mô hình được xây dựng trong luận văn đã đưa ra phương thức giải quyết 2 vấn đề cụ thể:
Kiểm soát truy cập giữa 2 mạng LAN bằng Access list.
Xây dựng IPSec VPN cho phép kết nối Site-to-Site và Remote Access.
Trong mô hình được xây dựng, thì việc ứng dụng Access list để kiểm soát truy cập giữa 2 mạng LAN là có thể đưa vào sử dụng ngay. Với điều kiện khả năng hiện tại việc thực hiện IPSec VPN chỉ dừng lại ở mức xây dựng mô hình, và tìm hiểu cách thức thiết lập IPSec VPN preshared key cấu hình trên Router Cisco- 1 phương thức có nhều khả năng áp dụng nhất.
Nói chung, từ mô hình đến thực tế ứng dụng còn nhiều vấn đề cần giải quyết, cần phải có thêm thời gian nghiên cứu tài liệu, thử nghiệm trên những thiết bị để có thể áp dụng 1 cách thực tế hiệu quả.
Tài liêu tham khảo
CCSP Self-Study CCSP SECUR Exam Certification Guide
Cisco IOS Access Lists - O'Reilly
Sybex CCNA 4.0 Study Guide
CCIE Security Exam CertificationGuide Henry Benjamin
CCSP Cisco Secure VPN Exam Certification Guide
John F. Roland
Mark J. Newcomb
Building a Virtual Private Network Meeta Gupta