Tài liệu Mạng riêng ảo công nghệ và triển khai ứng dụng

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ----------------------------------------------------- Nguyễn Thạc Thanh Quang MẠNG RIÊNG ẢO: CÔNG NGHỆ VÀ TRIỂN KHAI ỨNG DỤNG LUẬN VĂN THẠC SĨ NGÀNH XỬ LÝ THÔNG TIN VÀ TRUYỀN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC: GS. TS. NGUYỄN THÚC HẢI HÀ NỘI - 2004 -2- MỤC LỤC LỜI MỞ ĐẦU .............................................................................................................7 Chương I - TỔNG QUAN VỀ MẠNG RIÊNG ẢO ...................................................9 1.1 Internet và mạng riêng ảo ......................................................................................... 9 1.1.1 Sự thay đổi môi trường truyền thông trong thương mại ...................................... 9 1.1.2 Định nghĩa mạng riêng ảo (Virtual Private Network) ......................................... 9 1.1.3 Xu hướng phát triển mạng riêng ảo ..................................................................... 9 1.1.4 Lợi ích của mạng riêng ảo ................................................................................. 11 1.1.4.1 Tiết kiệm chi phí (Cost Saving) .................................................................. 11 1.1.4.2 An ninh (Security) ...................................................................................... 11 1.1.4.3 Tính linh hoạt (Flexibility) ......................................................................... 11 1.1.4.4 Tính khả mở (Scalability) ........................................................................... 11 1.1.4.5 Tăng hiệu suất (Performance) ..................................................................... 12 1.2 Các khái niệm cơ bản .............................................................................................. 12 1.2.1 Các vấn đề đặt ra đối với mạng riêng ảo........................................................... 12 1.2.1.1 An ninh (Security) ...................................................................................... 12 1.2.1.2 Tắc nghẽn cổ chai (Bottleneck) .................................................................. 13 1.2.1.3 Khả năng tương tác (Interoperability) ........................................................ 13 1.2.1.4 Quản lý địa chỉ IP (IP address management) .............................................. 13 1.2.1.5 Độ tin cậy và hiệu năng (Reliability and performance) .............................. 13 1.2.1.6 Hỗ trợ đa giao thức (Multiprotocol support) .............................................. 14 1.2.1.7 Giải pháp tích hợp (Integrated solution) ..................................................... 14 1.2.2 Khái niệm đường hầm trong mạng riêng ảo ...................................................... 14 1.2.2.1 PPTP (Point-To-Point Tunneling Protocol) ................................................ 16 1.2.2.2 L2F (Layer 2 Forwarding) .......................................................................... 17 1.2.2.3 L2TP (Layer 2 Tunneling Protocol) ........................................................... 18 1.2.2.4 IPsec (IP Security) ...................................................................................... 19 1.2.2.5 MPLS (Multiprotocol Label Switching) ..................................................... 20 1.2.2.6 Tóm tắt ưu nhược điểm của các giao thức VPN ......................................... 21 1.2.3 Tính riêng tư trong mạng riêng ảo ..................................................................... 23 1.2.4 Các thành phần trong mạng riêng ảo ................................................................ 25 1.2.4.1 Internet ........................................................................................................ 25 1.2.4.2 Cổng truy nhập (Security Gateway) ........................................................... 26 1.2.4.3 Máy chủ chính sách an ninh (Security Policy Server) ................................ 27 1.2.4.4 Dịch vụ chứng thực (Certificate Authority)................................................ 27 1.3 Các kiểu kết nối mạng riêng ảo .............................................................................. 28 1.3.1 Truy nhập từ xa (Remote Access VPN) .............................................................. 28 1.3.2 Kết nối các mạng riêng (Site-to-Site VPN) ........................................................ 28 1.3.3 Kết nối mở rộng (Extranet VPN) ....................................................................... 28 Chương II - MẠNG RIÊNG ẢO DỰA TRÊN IPSEC .............................................30 2.1 Các thành phần của IPSec ...................................................................................... 30 2.1.1 Liên kết bảo mật (Security Association – SA) .................................................... 31 2.1.2 Giao thức xác thực (Authentication Header – AH) ........................................... 32 2.1.3 Giao thức mã hoá (Encapsulating Security Payload – ESP) ............................. 33 2.2 Hai phương thức hoạt động của IPSec .................................................................. 35 Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 -3- 2.2.1 Phương thức vận chuyển (Transport Mode) ...................................................... 35 2.2.2 Phương thức đường hầm (Tunnel Mode) ........................................................... 35 2.2.3 Kết hợp hai phương thức vận chuyển và đường hầm ........................................ 36 2.3 Quản lý và trao đổi khóa (Key Exchange and Management) ............................. 37 2.3.1 Main Mode ......................................................................................................... 38 2.3.2 Aggressie Mode .................................................................................................. 39 2.3.3 Quick Mode ........................................................................................................ 40 2.3.4 Thoả thuận SA .................................................................................................... 41 2.4 Sử dụng IPSec trong mạng riêng ảo ...................................................................... 41 2.4.1 Chính sách an ninh ............................................................................................ 41 2.4.2 Cổng truy nhập (Security Gateway)................................................................... 43 2.4.3 Máy truy nhập từ xa (Remote Host) ................................................................... 44 2.5 Các vấn đề còn tồn tại đối với IPSec ...................................................................... 45 Chương III - MẠNG RIÊNG ẢO DỰA TRÊN MPLS ............................................47 3.1 Công nghệ chuyển mạch nhãn (MPLS) ................................................................. 47 3.1.1 Các thành phần của MPLS ................................................................................ 47 3.1.1.1 Bộ định tuyến chuyển mạch nhãn (Label Switching Router – LSR).......... 48 3.1.1.2 FEC (Forwarding Equivalence Class) ........................................................ 48 3.1.1.3 Nhãn (Label) ............................................................................................... 49 3.1.1.4 Đường đi chuyển mạch nhãn (Label Switching Path – LSP) ..................... 50 3.1.2 Hoạt động của MPLS ......................................................................................... 51 3.1.3 Các giao thức phân phối nhãn (Label Distribution Protocols) ......................... 52 3.1.4 Đường hầm và xếp chồng nhãn (Tunnel and Label Stack) ................................ 53 3.1.5 Điều khiển lưu lượng trong MPLS (Traffic Engineering).................................. 55 3.2 Công nghệ BGP/MPLS VPN .................................................................................. 57 3.2.1 Các thành phần của BGP/MPLS VPN ............................................................... 58 3.2.1.1 Các thiết bị phía khách hàng (Customer Edge – CE) ................................. 58 3.2.1.2 Các Router biên của nhà cung cấp (Provider Edge Router – PE)............... 58 3.2.1.3 Các Router của nhà cung cấp (Provider Router – P Router) ...................... 59 3.2.2 Hoạt động của BGP/MPLS VPN ....................................................................... 59 3.2.2.1 Cấu trúc mạng mẫu ..................................................................................... 60 3.2.2.2 Luồng điều khiển (Control Flow) ............................................................... 60 3.2.2.2 Luồng dữ liệu (Data Flow) ......................................................................... 63 3.3 Tóm tắt ưu nhược điểm của MPLS VPN .............................................................. 65 3.3.1 Ưu điểm của MPLS VPN .............................................................................. 65 3.3.2 Nhược điểm của MPLS VPN ........................................................................ 66 Chương IV - CÁC VẤN ĐỀ AN NINH ĐỐI VỚI MẠNG RIÊNG ẢO ..................67 4.1 Xác thực .................................................................................................................... 67 4.1.1 PAP (Password Authentication Protocol) ...................................................... 67 4.1.2 CHAP (Challenge Handshake Authentication Protocol) ............................... 68 4.1.3 TACACS (Terminal Access Controller Access-Control System) ................. 68 4.1.4 RADIUS (Remote Authentication Dial-In User Service).............................. 69 4.2 Mã hoá ...................................................................................................................... 70 4.2.1 Tổng quan về mã hoá ......................................................................................... 70 4.2.2 Mã hoá khoá công khai ...................................................................................... 71 4.2.3 Hai phương pháp mã hoá công khai quan trọng ............................................... 74 Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 -4- 4.2.3.1 Kỹ thuật Diffie-Hellman ............................................................................. 74 4.2.3.2 Mã hoá khoá công khai RSA ...................................................................... 75 4.2.4 Kiến trúc khoá công khai (PKI) ......................................................................... 76 4.2.4.1 Chứng chỉ khoá công khai .......................................................................... 76 4.2.4.2 Tạo khoá công khai ..................................................................................... 77 4.2.4.3 Tổ chức cấp chứng chỉ số (Certificate Authority – CA) ............................. 79 4.3 Mạng riêng ảo và tường lửa (Firewall).................................................................. 81 4.3.1 Firewall nằm trước máy chủ VPN ..................................................................... 82 4.3.2 Firewall nằm sau máy chủ VPN ........................................................................ 83 4.3.3 Firewall và truy nhập từ xa (Remote Access) .................................................... 83 Chương V - CÁC VẤN ĐỀ VỀ QUẢN LÝ MẠNG RIÊNG ẢO ............................84 5.1 Quản lý anh ninh ..................................................................................................... 84 5.1.1 Chính sách an ninh (Security Policy) ................................................................ 84 5.1.2 Lựa chọn phương thức mã hoá .......................................................................... 85 5.1.3 Dịch vụ xác thực................................................................................................. 85 5.1.4 Điều khiển quyền truy nhập (Control Access Right) .......................................... 86 5.2 Quản lý địa chỉ IP .................................................................................................... 86 5.3 Quản lý chất lượng dịch vụ..................................................................................... 87 5.3.1 Cung cấp vượt mức băng thông mạng ............................................................... 87 5.3.2 Kỹ thuật bảo tồn băng thông .............................................................................. 87 5.3.3 Ưu tiên lưu lượng hay Phân lớp dịch vụ (Class of Service – CoS) ................... 88 5.3.4 Cấp phát tài nguyên tĩnh .................................................................................... 89 5.3.5 Dự trữ tài nguyên động ...................................................................................... 89 5.3.5.1 Dịch vụ tích hợp (Integrated Services – INTSERV) .................................. 89 5.3.5.2 Giao thức dự trữ tài nguyên (Resource Reservation Protocol – RSVP) ..... 91 Chương VI - MÔ HÌNH DỊCH VỤ MẠNG RIÊNG ẢO .........................................92 6.1 Khảo sát tình hình ứng dụng mạng riêng ảo ........................................................ 92 6.1.1 Tình hình ứng dụng VPN trên thế giới ............................................................... 92 6.1.2 Tình hình ứng dụng VPN tại Việt Nam .............................................................. 94 6.1.3 Mô hình triển khai dịch vụ VPN trên mạng Internet tại Việt Nam .................... 95 6.2 Mô hình thử nghiệm mạng riêng ảo tại Bưu điện TP Hà Nội ............................. 99 6.2.1 Thử nghiệm mô hình mạng riêng ảo MPLS ....................................................... 99 6.2.2 Thử nghiệm mô hình mạng riêng ảo từ xa ....................................................... 100 6.3 Hướng nghiên cứu và phát triển .......................................................................... 101 PHẦN KẾT LUẬN .................................................................................................102 Phụ lục 1 DANH SÁCH THUẬT NGỮ .................................................................103 Phụ lục 2 DANH SÁCH RFC .................................................................................105 TÀI LIỆU THAM KHẢO .......................................................................................107 Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 -5- MỤC LỤC HÌNH VẼ Hình 1.1 Giản đồ tạo đường hầm trong VPN ...........................................................15 Hình 1.2 Đường hầm LAN-to-LAN và Client-to-LAN ............................................15 Hình 1.3 Kiến trúc của PPTP ....................................................................................16 Hình 1.4 Gói kết nối điều khiển PPTP ......................................................................17 Hình 1.5 Dữ liệu đường hầm PPTP ..........................................................................17 Hình 1.6 Thông điệp điều khiển L2TP .....................................................................18 Hình 1.7 Đóng gói L2TP ...........................................................................................19 Hình 1.8 Khái niệm End-to-End và Node-to-Node ..................................................24 Hình 1.9 Các thành phần trong một Internet VPN ....................................................25 Hình 1.10 Giản đồ cung cấp kết nối của một ISP thông thường ..............................26 Hình 1.11 Mạng riêng ảo truy nhập từ xa .................................................................28 Hình 1.12 Mạng riêng ảo kết nối giữa các mạng cục bộ ..........................................28 Hình 1.13 Mạng riêng ảo mở rộng ............................................................................29 Hình 2.1 Kiến trúc của IPSec ....................................................................................30 Hình 2.2 Authentication Header (AH) ......................................................................32 Hình 2.3 Encapsulating Security Payload (ESP) ......................................................34 Hình 2.4 AH trong phương thức đường hầm ............................................................36 Hình 2.5 ESP trong phương thức đường hầm ...........................................................36 Hình 2.6 Các trường hợp của hai phương thức vận chuyển và đường hầm .............36 Hình 2.7 ISAKMP Main mode .................................................................................39 Hình 2.8 ISAKMP Aggressive mode ........................................................................40 Hình 2.9 ISAKMP Quick mode ................................................................................41 Hình 2.10 IPSec và chính sách an ninh .....................................................................42 Hình 3.1 Khuôn dạng chung của nhãn ......................................................................49 Hình 3.2 Nhãn được gắn vào giữa Header lớp 2 và Header lớp 3 ............................50 Hình 3.3 Hoạt động của MPLS .................................................................................51 Hình 3.4 Xếp chồng nhãn trong mạng lõi .................................................................54 Hình 3.5 Các thành phần cơ bản của một mạng riêng ảo BGP/MPLS .....................58 Hình 3.6 Cấu trúc mạng mẫu BGP/MPLS ................................................................60 Hình 3.7 Thiết lập các LSP giữa Site 1 và Site 2 ......................................................61 Hình 3.8 Cấu trúc của RD .........................................................................................62 Hình 3.9 Luồng dữ liệu từ Site 2 tới Site 1 ...............................................................63 Hình 4.1 Phương pháp xác thực sử dụng CHAP ......................................................68 Hình 4.2 Hoạt động xác thực dựa trên TACACS và RADIUS .................................69 Hình 4.3 Mã hoá đối xứng ........................................................................................71 Hình 4.4 Mã hoá công khai .......................................................................................72 Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 -6- Hình 4.5 Kiểm tra một chữ ký điện tử ......................................................................73 Hình 4.6 Tạo mật khoá chung trong Diffie-Hellman ................................................75 Hình 4.7 Giải thuật mã hoá công khai RSA ..............................................................76 Hình 4.8 Nội dung của một chứng chỉ số..................................................................77 Hình 4.9 Kiểm tra một chứng chỉ khoá công khai ....................................................77 Hình 4.10 Tạo khoá công khai ..................................................................................78 Hình 4.11 Sơ đồ hình chóp trong hệ thống phân phối CA có thứ bậc ......................79 Hình 4.12 Firewall nằm trước máy chủ VPN ...........................................................82 Hình 4.13 Firewall nằm sau máy chủ VPN ..............................................................83 Hình 5.1 Hệ thống xác thực cho người sử dụng truy nhập từ xa ..............................85 Hình 5.2 Hoạt động của CoS.....................................................................................88 Hình 6.1 Kế hoạch thực hiện và triển khai VPN trên thế giới 2001-2004...............92 Hình 6.2 Kế hoạch sử dụng các sản phẩm dịch vụ VPN tại Bắc Mỹ năm 2004 ......93 Hình 6.3 Các chuẩn VPN được sử dụng tại Bắc Mỹ và Châu Âu 2003-2004 ..........93 Hình 6.4 Mô hình cung cấp dịch vụ VPN trên VNN ................................................96 Hình 6.5 Mô hình thử nghiệm MPLS VPN truyền số liệu giữa các Bưu cục ...........99 Hình 6.6 Mô hình thử nghiệm mạng riêng ảo từ xa ................................................100 Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 -7- LỜI MỞ ĐẦU Mạng riêng ảo (Virtual Private Network - VPN) là một mạng riêng được xây dựng trên hạ tầng mạng công cộng. VPN cho phép lựa chọn các công nghệ kết nối khác nhau như: Leased Line, Frame Relay, xDSL, PSTN. VPN có nhiều ưu điểm nổi trội như kết nối trực tiếp giữa các điểm bất kỳ, mức độ bảo mật cao, dễ sử dụng, giảm chi phí vận hành. Dịch vụ VPN phù hợp với đối tượng khách hàng là các đơn vị hoạt động trong lĩnh vực ngân hàng, bảo hiểm, hàng hải và đặc biệt là lĩnh vực viễn thông - tin học. Giải pháp này cho phép người dùng có thể truy cập tại nhà hoặc truy cập từ xa vào mạng nội bộ ở trụ sở chính. Thay vì phải đầu tư cơ sở hạ tầng cho một mạng riêng, các công ty chỉ việc thuê dịch vụ này của nhà cung cấp dịch vụ và có thể tổ chức nhiều ứng dụng riêng như: hội thảo qua mạng, trao đổi dữ liệu, chia sẻ tài nguyên trên mạng, cơ sở dữ liệu, web nội bộ, truy nhập Internet và sử dụng các dịch vụ trên nền mạng này như một khách hàng Internet trực tiếp bình thường. Các nhà phân tích đã nêu những ý kiến của mình về sự khởi đầu của VPN với tư cách là một trong số các công nghệ mang tính chất xuyên phá. VPN cũng đã hoàn thiện, cùng với sự ra đời của các dịch vụ băng thông rộng, thị trường mạng riêng ảo chắc chắn sẽ trở thành một thị trường sôi động hơn bao giờ hết. Đứng trước xu thế phát triển đó, học viên đã lựa chọn đề tài nghiên cứu về mạng riêng ảo, nhằm chuẩn bị những kiến thức cần thiết, làm chủ công nghệ để có thể sẵn sàng đáp ứng các yêu cầu mới. Mục đích của đề tài: ▪ Nghiên cứu mô hình mạng riêng ảo, các vấn đề kỹ thuật, và ứng dụng của mạng riêng ảo. Đối tượng và phạm vi của đề tài: ▪ Luận văn tập trung nghiên cứu hai mô hình mạng riêng ảo dựa trên IPsec và MPLS. ▪ Nghiên cứu mô hình cung cấp dịch vụ mạng riêng ảo phù hợp với hạ tầng mạng thông tin hiện nay tại Việt Nam. Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 -8- Bố cục của luận văn: Toàn bộ luận văn được trình bầy trong 6 chương. Chương 1: ▪ Giới thiệu tổng quan về mạng riêng ảo, các khái niệm cơ bản, các thành phần và kiến trúc của mạng riêng ảo. Chương 2: ▪ Nghiên cứu chi tiết mô hình mạng riêng ảo dựa trên giao thức IPsec. Các thành phần và phương thức hoạt động của IPsec, và các vấn đề còn tồn tại. Chương 3: ▪ Nghiên cứu chi tiết mô hình mạng riêng ảo dựa trên giao thức MPLS. Chương 4: ▪ Vấn đề an ninh đối với mạng riêng ảo. Trình bầy các vấn đề về xác thực, mã hoá, kiểm soát truy nhập trong mạng riêng ảo. Chương 5: ▪ Vấn đề về quản lý mạng riêng ảo. Trình bầy các vấn đề quản lý an ninh, quản lý địa chỉ, quản lý chất lượng trong mạng riêng ảo. Chương 6: ▪ Nghiên cứu mô hình dịch vụ mạng riêng ảo trên cơ sở hạ tầng Internet băng rộng đang phát triển tại Việt Nam hiện nay. ▪ Nghiên cứu hai mô hình thử nghiệm mạng riêng ảo đã triển khai tại Bưu điện thành phố Hà Nội. Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 -9- Chương I - TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Internet và mạng riêng ảo 1.1.1 Sự thay đổi môi trường truyền thông trong thương mại Có thể coi thông tin là một yếu tố hàng đầu trong lĩnh vực thương mại. Các công ty, tổ chức không chỉ có nhu cầu trao đổi thông tin trong nội bộ của họ, mà còn phải giữ mối liên lạc với các nhà cung cấp, khách hàng, và thị trường nếu họ muốn giành được những thành công trong kinh doanh. Từ thập kỷ 90, Internet đã là một phương tiện truyền thông phổ biến trên thế giới. Cho tới nay, nó đã phát triển rộng khắp và trở thành một phương tiện thông tin liên lạc không thể thiếu được, đặc biệt là trong lĩnh vực kinh doanh thương mại. Tuy nhiên, Internet lại là một nơi cư ngụ của quá nhiều công nghệ khác nhau, hơn nữa các vấn đề về an ninh và chất lượng truyền thông chưa được đảm bảo. Điều này gây khó khăn cho các công ty khi lựa chọn công nghệ, triển khai các dịch vụ như thương mại điện tử trên Internet. Mục tiêu chính của mạng riêng ảo là sử dụng môi trường truyền thông rộng khắp của Internet, để cung cấp một mạng riêng an toàn và tin cậy. 1.1.2 Định nghĩa mạng riêng ảo (Virtual Private Network) Có nhiều định nghĩa khác nhau về mạng riêng ảo. Tuy nhiên, theo tổ chức IETF (Internet Engineering Task Force), mạng riêng ảo được định nghĩa là: Một mạng diện rộng dùng riêng sử dụng các thiết bị và các phương tiện truyền dẫn của một mạng công cộng. Để duy trì được tính riêng tư trên cơ sở hạ tầng viễn thông công cộng, một mạng riêng ảo phải có hai thành phần cơ bản: 1- Thủ tục tạo đường hầm tạo ra một kênh truyền ảo của VPN; 2- Một số dịch vụ an ninh khác nhau để bảo mật dữ liệu. 1.1.3 Xu hướng phát triển mạng riêng ảo VPN có thể được phát triển trên nhiều môi trường khác nhau: công nghệ chuyển mạch gói X.25, công nghệ chuyển mạch khung Frame Relay, ATM, hay Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 10 - Internet. Trong các môi trường khác nhau, sự phát triển của VPN có những đặc điểm khác nhau về mặt kỹ thuật cũng như về mặt đáp ứng yêu cầu của khách hàng. Tuy nhiên trong quá trình phát triển của các mạng riêng ảo thì mạng riêng ảo trên Internet là một xu hướng phát triển mạnh nhất, điều này xuất phát từ thực tế phát triển nhanh chóng của Internet trong các năm qua, với lợi thế về độ bao phủ rộng lớn, chi phí hợp lý và đơn giản trong việc quản lý. Ngày nay sự phát triển VPN trên nền công nghệ IP là xu thế tất yếu xuất phát từ sự hội tụ giữa Internet và các mạng dùng riêng. Có 4 lý do dẫn đến quá trình hội tụ này ở Việt Nam cũng như trên thế giới: 1- Sự phát triển mở rộng về mặt địa lý của các công ty lớn dẫn đến sự gia tăng chi nhánh, nhu cầu kết nối về trụ sở chính để trao đổi thông tin cũng như phục vụ cho công tác quản lý ngày càng gia tăng. Ngày càng có rất nhiều các chuyên gia, nhân viên có nhu cầu làm việc từ xa hoặc phải đi công tác xa nhưng vẫn có nhu cầu trao đổi thông tin với Công ty, điều này đã làm cho các hệ thống mạng dùng riêng, bị bó hẹp trong một phạm vi địa lý cố định không thể đáp ứng được. Mạng riêng ảo chính là một giải pháp thích hợp trong trường hợp này. Theo tổ chức Gartner Group, năm 2003 có đến hơn 130 triệu người có nhu cầu làm việc và kết nối từ xa. Nhu cầu này có thể được gọi là nhu cầu kết nối nội bộ - Intranet. 2- Nhu cầu tác nghiệp trực tuyến hay kết nối mở rộng - Extranet. Sự phát triển của nền kinh tế, đặc biệt là xu hướng làm việc với nhiều nhà cung cấp dịch vụ, sản phẩm cũng như với nhiều đối tượng khách hàng khác nhau, sự phụ thuộc lẫn nhau giữa những người sản xuất, người cung ứng, khách hàng và đại lý ngày càng sâu sắc đã dẫn đến nhu cầu cấp thiết của việc trao đổi thông tin giữa các chủ thể này. Tuy nhiên một hệ thống mạng nội bộ (LAN) lại không thể đáp ứng được yêu cầu đó, xuất phát từ lý do mỗi nhà cung cấp dịch vụ sản phẩm, đối tác, bạn hàng, khách hàng lại sử dụng cấu trúc mạng khác nhau (thủ tục, ứng dụng, nhà cung cấp dịch vụ, hệ thống quản trị mạng lưới...), do đó việc kết nối tất cả các mạng này với nhau nhiều khi trở nên một vấn đề không thể thực hiện nổi. 3- Chi phí cho việc cài đặt và duy trì một mạng diện rộng là lớn. Điều này đặc biệt ảnh hưởng tới các công ty có phạm vi hoạt động vượt ra khỏi biên giới Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 11 - quốc gia. Ngược lại, sử dụng cơ sở hạ tầng sẵn có của Internet đem lại một lợi thế nổi bật. 4- Nhu cầu tích hợp và đơn giản hoá giao diện cho người sử dụng. 1.1.4 Lợi ích của mạng riêng ảo 1.1.4.1 Tiết kiệm chi phí (Cost Saving) VPN cho phép các tổ chức tận dụng hiệu quả giao thông Internet để kết nối các văn phòng và người dùng từ xa đến trụ sở chính của công ty, giảm các chi phí về thiết bị và hỗ trợ kỹ thuật. Tuy nhiên nó vẫn giữ được sự linh hoạt cho mạng kinh doanh của họ, cho phép nó đáp ứng nhanh hơn các thay đổi trong các mối quan hệ kinh doanh và thị trường. 1.1.4.2 An ninh (Security) VPN cung cấp mức độ an ninh cao nhất sử dụng các giao thức an ninh tiên tiến, cũng như rất nhiều các phương pháp xác thực để bảo vệ dữ liệu khỏi các truy cập trái phép và sử dụng sai mục đích. Các truy cập từ xa truyền thống và các công nghệ mạng diện rộng như quay số từ xa và Frame Relay chỉ cung cấp giao thông tách biệt chứ không vận chuyển an toàn. Việc sử dụng mã hóa và xác thực VPN cung cấp một mạng có độ an toàn cao trong một thế giới mạng không an toàn. 1.1.4.3 Tính linh hoạt (Flexibility) Với các mạng truyền thống, việc kết nối giữa các chi nhánh, các thiết bị truy nhập từ xa, cần phải được duy trì bởi rất nhiều các thiết bị khác nhau. VPN cho phép thực hiện rất nhiều kiểu kết nối khác nhau như: Leased Line, Frame Relay, Dial-Up, xDSL, Wireless... Nó chỉ bị giới hạn bởi phương tiện truyền thông được hỗ trợ bởi ISP, tuy nhiên các loại hình dịch vụ mới ngày một hấp dẫn và liên tục được phát triển. 1.1.4.4 Tính khả mở (Scalability) Do tận dụng được hạ tầng Internet của các ISP, vì thế các công ty có thể mở rộng năng lực và phạm vi sử dụng rất lớn mà không phải đầu tư thêm nhiều về thiết bị và hạ tầng viễn thông. Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 12 - 1.1.4.5 Tăng hiệu suất (Performance) Bằng cách cung cấp kết nối nhanh hơn, đáng tin cậy giữa các vị trị từ xa, các đối tác từ mạng bên ngoài, và các mạng công ty. VPN rõ ràng cải thiện hiệu suất công việc của các công ty. Hơn nữa VPN có ít yêu cầu về bảo dưỡng hơn do vậy thời gian ngưng hoạt động của nó sẽ ít hơn các công nghệ khác. 1.2 Các khái niệm cơ bản 1.2.1 Các vấn đề đặt ra đối với mạng riêng ảo Khi tích hợp một công nghệ mới vào môi trường mạng hiện tại, luôn luôn có một số yêu cầu cần phải được xem xét kỹ. Đó là các vấn đề về hợp chuẩn, khả năng quản lý, khả năng mở rộng, thừa kế và tích hợp, tính tin cậy, và hiệu năng của hệ thống. Các nhà quản lý và thiết kế mong muốn tìm được những sản phẩm và dịch vụ tuân theo các chuẩn thông dụng, đảm bảo sự tương thích với các nhà cung cấp khác nhau. Như vậy, khi số lượng người dùng tăng lên, sẽ dễ dàng mở rộng thêm các thành phần và dịch vụ mới vào hạ tầng mạng sẵn có. Tính tin cậy của hệ thống cũng là một nhân tố quan trọng. Đối với VPN, tính tin cậy tập trung vào hai thành phần: thiết bị mạng (bao gồm cả phần mềm) và môi trường truyền thông (ví dụ như Internet). Yêu cầu về tính tin cậy của Internet như là một kênh truyền dữ liệu không ngừng tăng lên, nhưng điều này có thể được đảm bảo bởi ISP. Hiệu năng của hệ thống dựa trên thoả thuận mức dịch vụ (Service Level Agreements - SLAs) với ISP thông qua các kỹ thuật về chất lượng dịch vụ. 1.2.1.1 An ninh (Security) VPN chỉ là một phần trong kế hoạch an ninh của công ty. Bên cạnh việc thiết lập một đường hầm giữa hai đầu của kênh truyền, các chính sách bảo mật khác cũng cần phải được áp dụng như kiểm tra quyền truy nhập, mã hoá, và xác thực. Việc truyền thông quốc tế cũng là một vấn đề đặt ra trong chính sách an ninh. Nhiều nước giới hạn các kỹ thuật mã hoá tiên tiến trong phạm vi chính phủ ở nước họ, và chỉ xuất khẩu các kỹ thuật thấp hơn ra nước ngoài. Vì vậy việc lựa chọn công nghệ và chính sách an ninh hợp lý là một vấn đề hết sức quan trọng. Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 13 - 1.2.1.2 Tắc nghẽn cổ chai (Bottleneck) Việc mã hoá và giải mã có thể chiếm nhiều năng lực tính toán dẫn tới làm giảm tốc độ truyền dữ liệu ở các Security Gateway. Đối với các kết nối băng rộng tốc độ cao, sử dụng một số giải pháp để khắc phục là mã hoá bằng phần cứng hoặc dành riêng một trạm tốc độ cao để chạy phần mềm mã hoá. Có thể sử dụng phần mềm mã hoá chạy chung trên các thiết bị chia sẻ (ví dụ Firewall hay Remote Access Server) là thích hợp cho các kết nối băng hẹp (như Dial-Up hoặc ISDN). Việc đóng gói dữ liệu sẽ làm tăng kích thước chuẩn của các gói tin, làm cho chúng có thể có kích thước lớn hơn so với kích thước thông thường được xử lý bởi các Router và các thiết bị mạng khác. Trong trường hợp này, các gói dữ liệu sẽ bị phân mảnh, có thể làm giảm hiệu năng của hệ thống. Một giải pháp là nén các gói dữ liệu gốc trước khi đóng gói. 1.2.1.3 Khả năng tương tác (Interoperability) Khả năng tương tác giữa các giao thức tạo đường hầm và an ninh hiện tại là một thách thức lớn. Để lựa chọn một giao thức đáp ứng được tất cả các yêu cầu cho VPN là một vấn đề khó thực hiện nổi, bởi vì các giao thức như PPTP và L2TP là phù hợp với các kết nối từ xa, trong khi IPSec lại thích hợp cho các kết nối LAN-toLAN. Thực tế là phần lớn các giao thức đều hội tụ trên IPSec để mã hoá, như vậy sẽ làm tăng khả năng tương tác. 1.2.1.4 Quản lý địa chỉ IP (IP address management) Vấn đề sẽ đơn giản nếu VPN được triển khai trên một mạng, và bạn có một hệ thống Domain Name Service (DNS) duy nhất để liên kết tên với địa chỉ IP. Nhưng thông thường, mỗi phần của VPN được xem như là một mạng riêng, với một số đường hầm và liên kết giữa các Router. Trong trường hợp này thật khó để xác định một bảng định tuyến duy nhất, và DNS cũng có thể bị phân mảnh, làm khó khăn thêm cho việc quản lý VPN. 1.2.1.5 Độ tin cậy và hiệu năng (Reliability and performance) Bởi vì VPN phụ thuộc vào nền tảng Internet, nên chúng cũng gặp phải những Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 14 - vấn đề tương tự như Internet. Hơn nữa, bản thân VPN cũng có những vấn đề của riêng nó như khả năng đảm bảo chất lượng dịch vụ, cấp phát tài nguyên mạng. 1.2.1.6 Hỗ trợ đa giao thức (Multiprotocol support) Mặc dù rất nhiều công ty đã chuyển sang lựa chọn TCP/IP làm bộ giao thức cho mạng của họ, nhưng những giao thức khác vẫn tồn tại với mục đích kế thừa. IPX của NetWare là một ví dụ. Việc tạo đường hầm cho các gói tin non–IP trên IPSec là một vấn đề, bởi vì IPSec chỉ được thiết kế cho các gói tin IP. Mặt khác, PPTP và L2TP thì lại hỗ trợ đa giao thức. Nếu bạn thiết kế một VPN lớn và phức tạp, mà cả PPTP và L2TP đều không đáp ứng được, bạn có thể nâng cấp các dịch vụ non–IP sang IP. Ví dụ các phiên bản mới của Netware bây giờ, ngoài IPX cũng hỗ trợ cả IP. 1.2.1.7 Giải pháp tích hợp (Integrated solution) Mặc dù giải pháp đơn giản trên một thiết bị nghe có vẻ là một giải pháp tốt, đặc biệt trên quan điểm an ninh và quản lý mạng, lưu ý rằng một thiết bị tích hợp đơn lẻ có thể trở thành một trung tâm lỗi, và có thể gây ngừng trệ toàn bộ VPN. 1.2.2 Khái niệm đường hầm trong mạng riêng ảo Trong VPNs, “virtual” được hiểu rằng mạng là động, với các kết nối được thiết lập tuỳ theo yêu cầu của tổ chức. Không như kết nối Leased-line sử dụng trong các VPN truyền thống, Internet VPN không thiết lập một liên kết cố định giữa các điểm cuối. Thay vì như vậy, một kết nối sẽ được tạo ra khi cần thiết. Khi kết nối không còn cần nữa, nó sẽ được cắt đi, giải phóng băng thông và tài nguyên mạng để dùng vào việc khác. Virtual cũng có nghĩa là cấu trúc logic mạng được hình thành bởi các thiết bị mạng của bạn, mà không quan tâm tới cấu trúc vật lý của mạng cơ sở (trong trường hợp này chính là Internet). Các thiết bị như Router hay Switch thuộc phần mạng của ISP là trong suốt đối với người sử dụng. Khả năng ẩn đi ISP và cơ sở hạ tầng Internet khỏi ứng dụng VPN của bạn gọi là tạo đường hầm (Tunneling). Đường hầm (Tunnel) cũng được sử dụng cho các dịch vụ khác trên Internet bên cạnh VPN, như là Multicasting và Mobile IP. Đường hầm tạo ra một kết nối Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 15 - đặc biệt giữa hai điểm cuối (endpoint). Đường hầm được tạo ra bằng cách đóng gói thêm vào phần tiêu đề mở rộng của gói tin và chuyển nó qua Internet. Với VPN, việc đóng gói có thể bao gồm cả việc mã hoá gói tin gốc. Ở đầu nhận, Gateway sẽ gỡ bỏ phần tiêu đề mở rộng và giải mã gói tin nếu cần thiết, sau đó nó chuyển gói tin gốc tới đích. Hình 1.1 Giản đồ tạo đường hầm trong VPN Đường hầm có thể bao gồm hai loại đầu cuối: một máy tính truy nhập từ xa, hoặc một LAN với Security Gateway (có thể là Router hay Firewall). Hình 1.2 Đường hầm LAN-to-LAN và Client-to-LAN Một trong những yêu cầu cơ bản cũng như là đặc điểm của đường hầm VPN là thông tin trong đường hầm phải được bảo mật cao, và phải được cách ly giữa các VPN khác nhau, cũng như là khả năng mở rộng của nó. Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 16 - Có nhiều giao thức dùng để thiết lập đường hầm, tùy theo những công nghệ mà nó sử dụng. Các đường hầm dựa trên những công nghệ khác nhau sẽ có những đặc điểm khác nhau, và các đặc điểm của đường hầm có ảnh hưởng rất lớn tới các đặc điểm chung của VPN sử dụng đường hầm đó. Một số giao thức chủ yếu dùng để tạo đường hầm VPN là PPTP, L2TP, IPSec, GRE, MPLS. Các giao thức tạo đường hầm trong VPN hoạt động ở lớp 2 và lớp 3 trong mô hình mạng OSI. Dưới đây ta sẽ xem xét một số giao thức phổ biến để tạo ra đường hầm. 1.2.2.1 PPTP (Point-To-Point Tunneling Protocol) PPTP đầu tiên được đưa ra bởi nhóm PPTP Forum gồm các công ty 3Com, Ascend Communication, Microsoft, ECI Telematics và US Robotic. Ý tưởng chính của giao thức PPTP là tận dụng các ưu điểm của hạ tầng Internet để cung cấp các kết nối bảo mật giữa người dùng từ xa và mạng riêng của công ty. Người dùng từ xa chỉ cần quay số nội hạt tới ISP và có được một đường hầm an ninh tới mạng của công ty. Hầu hết giao thức được sử dụng để truy cập từ xa vào Internet là giao thức PPP (Point-to-Point Protocol). PPTP xây dựng dựa trên chức năng của PPP để cung cấp một kết nối từ xa như là một đường hầm xuyên qua Internet. PPTP sử dụng giao thức GRE (Generic Routing Encapsulation) để đóng gói các gói tin PPP, làm tăng tính linh hoạt cho PPTP không những tương thích với IP, mà cả các giao thức khác như IPX và NETBEUI. PPTP làm việc ở lớp 2 (Link Layer) trong mô hình OSI. Chi tiết về PPTP có thể tham khảo trong RFC 2637. Hình 1.3 Kiến trúc của PPTP Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 17 - Duy trì đường hầm với kết nối điều khiển PPTP: Sau khi kết nối PPP được thiết lập, giao thức PPTP tạo ra một kết nối điều khiển từ máy khách PPTP đến máy phục vụ PPTP. Các thông điệp điều khiển sẽ thiết lập, duy trì và kết thúc đường hầm PPTP. Nó bao gồm việc truyền các thông điệp yêu cầu phản hồi PPTP định kỳ và các thông điệp trả lời phản hồi PPTP để phát hiện ra kết nối bị hỏng giữa PPTP client và PPTP server. Các gói kết nối điều khiển PPTP gồm có IP Header, TCP Header, và một thông điệp điều khiển PPTP, gói kết nối điều khiển cũng bao gồm cả phần Header và Trailer của tầng liên kết dữ liệu. Datalink Header IP TCP PPTP Control Message Datalink Trailer Hình 1.4 Gói kết nối điều khiển PPTP Tạo dữ liệu đường hầm PPTP: Việc tạo dữ liệu đường hầm PPTP được thực hiện qua nhiều mức đóng gói. Tải PPP ban đầu được mã hóa và đóng gói với một PPP Header để tạo ra một khung PPP. Sau đó khung PPP được đóng gói với GRE Header. Kết quả của việc đóng gói tải GRE và PPP sau đó được đóng gói tiếp với một IP Header chứa các địa chỉ IP nguồn và đích của PPTP Client và Server. Để gửi được trên mạng, cuối cùng tải IP được đóng gói bởi tầng liên kết dữ liệu. Encrypted PPP Payload Datalink Header IP Header GRE Header PPP Header (IP Datagram, IPX Datagram, NetBEUI Frame) Datalink Trailer Hình 1.5 Dữ liệu đường hầm PPTP 1.2.2.2 L2F (Layer 2 Forwarding) L2F là một giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding) do hãng Cisco Systems phát triển. Chi tiết về L2F có thể tham khảo trong RFC 2341. Giống như PPTP, L2F được thiết kế như là một giao thức đường hầm, sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở lớp 2. L2F Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 18 - cũng sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một đường hầm thông qua Internet để tới đích. Sự khác nhau chính giữa PPTP và L2F ở chỗ việc tạo đường hầm trong giao thức L2F không phụ thuộc vào IP và GRE, điều này cho phép nó làm việc với nhiều phương tiện truyền vật lý khác nhau. Ngoài việc sử dụng PPP để xác thực người sử dụng, L2F còn hỗ trợ TACACS+ và RADIUS. Khác với PPTP, L2F định nghĩa các kết nối bên trong một đường hầm, cho phép một đường hầm hỗ trợ nhiều kết nối. 1.2.2.3 L2TP (Layer 2 Tunneling Protocol) L2TP là một sự kết hợp của PPTP và L2F. Việc có nhiều hơn hai giao thức đường hầm không tương thích, cạnh tranh trên thị trường khiến cho các khách hàng trở nên lúng túng. Tổ chức IETF đã kết hợp hai công nghệ trên thành một giao thức đường hầm mang lại các tính năng tốt nhất của cả hai. L2TP được định nghĩa trong RFC 2661. L2TP đóng gói các khung PPP để gửi qua mạng IP, X.25, Frame Relay hoặc ATM. Nếu được gửi qua mạng IP, các khung L2TP được đóng gói thành các thông điệp UDP (User Datagram Protocol). L2TP sử dụng các thông điệp UDP qua mạng IP cho cả việc duy trì đường hầm và việc gửi dữ liệu qua đường hầm. Duy trì đường hầm với thông điệp điều khiển L2TP: Không như PPTP, việc duy trì đường hầm L2TP không được thực hiện trên một kết nối TCP riêng lẻ nào. L2TP điều khiển cuộc gọi và quản lý giao thông bằng các thông điệp UDP. Trong Windows 2000, cả máy khách và máy chủ L2TP đều sử dụng cổng UDP 1701. Thông điệp điều khiển L2TP được gửi đi như các gói dữ liệu UDP là tải mã hóa của IPSec ESP. Hình 1.6 Thông điệp điều khiển L2TP Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 19 - Dữ liệu xuyên đường hầm L2TP (L2TP Data Tunneling): Dữ liệu xuyên đường hầm L2TP được thực hiện qua nhiều cấp đóng gói. Hình 1.7 Đóng gói L2TP Tại nơi nhận, quá trình mở gói L2TP được thực hiện như sau: ▪ Tháo bỏ các Data-Link, IP, IPsec-ESP Headers và Trailers. Dùng IPSec ESP Header để giải mã phần đã mã hóa của gói. ▪ Xử lý UDP header để thu được gói L2TP. Sử dụng các trường TunnelID và CallID của L2TP Header để xác định đường hầm cụ thể. ▪ Sử dụng PPP Header để xác định tải PPP và chuyển tiếp cho giao thức phù hợp để xử lý. 1.2.2.4 IPsec (IP Security) Chồng giao thức TCP/IP chưa có các phương thức để bảo đảm an ninh. Trong những giai đoạn đầu của Internet, khi mà mục đích sử dụng chỉ mới ở mức học tập và nghiên cứu, thì các yêu cầu về an ninh cũng không nhiều lắm. Ngày nay với sự bùng nổ Internet, đặc biệt là trong lĩnh vực thương mại thì nhu cầu về an ninh và bảo mật là hết sức cần thiết. Để bổ sung thêm các tính năng an ninh cho gói tin IP, tổ chức IETF đã đưa ra giao thức IPSec để xác thực và mã hoá các gói tin IP, và đã định nghĩa trong các RFC 1825 đến 1829 vào năm 1995. Sau đó đã sửa đổi, bổ sung năm 1998, và đặc tả trong các RFC 2401 đến 2411. Tập các giao thức tạo nên cơ sở cho kiến trúc IPSec, bao gồm hai Header khác nhau được thiết kế để sử dụng trong gói tin IP: ▪ IP Authentication Header (AH) dùng để xác thực; ▪ Encapsulating Security Payload (ESP) dùng để mã hoá. Quá trình phát triển IPSec cũng diễn ra đồng thời với việc phát triển giao thức IP thế hệ sau, gọi là IPv6, và đã dự định bao gồm trong IPv6. Nhưng bởi sự trì Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004 - 20 - hoãn của IPv6 và yêu cầu trước mắt của vấn đề an ninh, IPSec đã được sửa đổi để tương thích với IPv4. Hỗ trợ IPSec Header là tuỳ chọn của IPv4 nhưng là bắt buộc đối với IPv6. IPSec được xây dựng dựa trên một số kỹ thuật mã hoá đã được chuẩn hoá để cung cấp khả năng xác thực, đảm bảo tính bí mật, tin cậy và toàn vẹn dữ liệu khi truyền qua mạng IP công cộng. Ví dụ, IPSec sử dụng các kỹ thuật như: ▪ Trao đổi khoá Diffe-Hellman để phân phối các khoá bí mật giữa các cặp trao đổi thông tin trong một mạng công cộng. ▪ Mã hoá khoá công khai để đánh dấu việc trao đổi khoá Diffe-Hellman đảm bảo việc nhận dạng của 2 thành phần tham gia trao đổi thông tin với nhau. ▪ Các thuật toán như DES và các thuật toán mã hoá khác để mã hoá dữ liệu. ▪ Các thuật toán băm (HMAC, MD5 và SHA) để xác thực gói tin. ▪ Chứng chỉ số để hợp lệ các khoá công khai. Chi tiết về hoạt động của IPSec sẽ được trình bầy trong chương II của luận văn: Mạng riêng ảo dựa trên IPSec. 1.2.2.5 MPLS (Multiprotocol Label Switching) MPLS được IETF phát triển từ năm 1997. Mục đích của MPLS là chuẩn hóa các giao thức sử dụng các kỹ thuật hoán chuyển nhãn (Label Swapping). Việc sử dụng hoán chuyển nhãn có nhiều ưu điểm to lớn, nó cách ly được các vấn đề của định tuyến với các vấn đề của vận chuyển dữ liệu. Định tuyến là một vấn đề mạng toàn cục và cần sự hợp tác của tất cả các Router tham gia vào, trong khi vận chuyển chỉ là một vấn đề cục bộ. Chuyển mạch nhãn đa giao thức (MPLS) được coi là công nghệ hoạt động ở lớp 2.5 do nó hoạt động giữa lớp 2 và lớp 3 trong mô hình OSI. MPLS kết hợp những đặc điểm tốt nhất giữa định tuyến lớp 3 (Network Layer) và chuyển mạch lớp 2 (Link Layer), cho phép chuyển tải các gói rất nhanh trong mạng lõi và định tuyến tốt ở các mạng biên bằng cách dựa vào nhãn. MPLS sử dụng chế độ tích hợp Luận văn tốt nghiệp cao học chuyên ngành Xử lý Thông tin và Truyền thông niên khoá 2002 - 2004