Truy Nhập Ip-Vpn Từ Xa Khởi Tạo Từ Phía Người Sử Dụng

2.4.3.3 RSA mật mã nonces

Một cách phát triển của chữ ký số là xử lý RSA trong lúc mật mã để nhận thực các bên. Một nonce là một số giả ngẫu nhiên. Xử lí này yêu cầu đăng ký với một CA để thu được một chữ ký số RSA. Các bên không chia sẻ khóa công cộng ở dạng nhận thực này. Chúng không trao đổi các chữ ký số. Việc xử lí một khóa chia sẻ là thủ công và phải thực hiện trong suốt quá trình thiết lập ban đầu. RSA mật mã nonce cho phép từ chối truyền thông khi mà một bên từ chối hợp lý.

2.4.4 Quản lí khóa

Quản lí khóa có thể là một vấn đề lớn khi làm việc cùng với IPSec VPN. Nó giống như che dấu các khóa ở mọi nơi. Trong thực tế, chỉ có 5 khóa cố định cho mọi bên IPSec quan hệ với nhau.

- 2 khóa riêng được làm chủ bởi mỗi bên và không bao giờ chia sẻ. Chúng được sử dụng để mật hiệu bản tin.

- 2 khóa công cộng được làm chủ bởi mỗi bên và chia sẻ cho mọi người. Những khóa này được sử dụng để kiểm tra chữ ký.

- Khóa thứ 5 được sử dụng là khóa bảo mật chia sẻ. Cả hai bên sử dụng khóa này cho mật mã và hàm băm. Đây là khóa được tạo ra bởi thuật toán Diffie-Hellman, sẽ được diễn tả sau đây.

Điều này không giống như là nhiều khóa. Nhưng trong thực tế, khóa riêng và khóa công cộng được sử dụng cho nhiều kết nối IPSec cho một bên đưa ra. Một tổ chức nhỏ, những khóa này có thể toàn bộ được quản lý thủ công. Vấn đề xuất hiện khi cố gắngphân chia xử lí hỗ trợ cho hàng trăm hoặc hàng ngàn phiên VPN. Phần tiếp theo trình bày về giao thức Diffie-Hellman và nhận thực số, đây là hai trong số những giải pháp hoàn hảo để quản lí tự động vấn đề nan giải này.

2.4.4.1 Giao thức Diffie-Hellman

Diffie-Hellman là giao thức đồng ý khóa cho phép 2 bên trao đổi một khóa bí mật không cần bất kì ưu tiên bí mật nào. Giao thức này là một ví dụ về xử lí trao đổi khóa đối xứng, trong đó các bên trao đổi khóa công cộng khác nhau để sinh ra khóa riêng giống nhau.

Giao thức Diffie-Hellman được sử dụng trong IPSec VPN, nhưng bạn rất khó để tìm ra nó. Nó được sử dụng trong xử lí thiết lập kênh an toàn giữa các bên IPSec. Dấu hiệu của nó như sau:

- IPSec sử dụng giao thức liên kết an ninh Internet và quản lí khóa (Internet Security Association and Key Management Protocol: ISAKMP) để cung cấp một khung cho nhận thực và trao đổi khóa.

- ISAKMP sử dụng giao thức IKE để thương lượng an toàn và cung cấp nguyên liệu tạo khóa cho liên kết an ninh.

- IKE sử dụng một giao thức được gọi là OAKLEY, nó sẽ đưa ra một loạt các trao đổi khóa và chi tiết dịch vụ được cung cấp cho mỗi trao đổi.

- OAKLEY sử dụng Diffie-Hellman để thiết lập một khóa bí mật chia sẻ giữa các bên.

Xử lý mật mã khóa đối xứng sau đó sử dụng khóa bí mật chia sẻ cho mật mã và nhận thực kết nối. Các bên sử dụng giao thức mật mã khóa đối xứng phải chia sẻ với nhau cùng một khóa bí mật. Diffie-Hellman cung cấp một giải pháp để cung cấp mỗi bên một khóa bí mật chia sẻ không cần giữ dấu vết các khóa sử dụng.

Xử lí mật mã khóa đối xứng quá chậm cho yêu cầu mật mã khối lượng lớn trong kênh IP-VPN tốc độ cao. Các bên IPSec sử dụng giao thức Diffie-Helman để thương lượng khóa bí mật chia sử dụng cho AH hoặc ESP để tạo dữ liệu nhận thực hay mật mã gói tin IP. Bên thu sử dụng khóa đó để nhận thực gói tin và giải mã phần tải tin. Chi tiết về các bước của thuật toán Diffie-Helman được trình bày trong chương 4.

2.4.4.2 Quyền chứng nhận CA

Một phương pháp khác để nắm giữ khóa mà không nắm giữ nhiều công việc hỗ trợ quản lí là sử dụng CA (Certificate Authorities) như là một thực thể tin cậy để đưa ra và thu hồi chứng nhận số và cho việc cung cấp một ý nghĩa giúp kiểm tra về nhận thực những chứng thực. CA thường có 3 phần tác nhân như VeriSign hoặc Entrust, nhưng để tiết kiệm, bạn có thể thiết lập thiết lập CA cho riêng mình trên cơ sở sử dụng dịch vụ giấy chứng nhận Windows 2000.

Dưới đây trình bày quá trình làm việc của CA:

1) Một client muốn sử dụng chứng thực số tạo ra một cặp khóa, một khóa công cộng và một khóa riêng. Tiếp theo, chient chuẩn bị chứng nhận không đánh dấu (X.509) nó chứa, giữ nhiều thứ: ID nhận dạng client và khóa công cộng mà nó vừa tạo thành. Chứng nhận không đánh dấu này sau đó được gửi tới phía CA nhờ sử dụng một vài phương pháp an toàn.

2) Phía CA tính toán mã băm của chứng nhận không đánh dấu. Sau đó CA giữ

mã băm và đóng gói nó sử dụng khóa công khai của CA. Hàm mật mã băm này là một chữ ký số, và CA tấn công vào nó để chứng nhận và quay lại đánh dấu chứng nhận client. Chứng nhận này được gọi là nhận dạng chứng nhận và được lưu trong thiết bị client cho đến khi nó kết thúc hoặc bị xóa. CA cũng gửi cho client chứng nhận số của nó, các mà trở thành chứng nhận gốc cho client.

3) Bây giờ client có một chứng nhận số đánh dấu mà nó có thể gửi tới bất kì bên thành viên nào. Nếu bên thành viên muốn nhận thực chứng nhận, nó giải mã chứng nhận nhờ sử dụng khóa công khai.

Chú ý quan trọng là với mỗi client thì CA chỉ gửi một chứng nhận của client đó. Nếu client muốn thiết lập IPSec IP-VPN với một client khác, nó trao đổi chứng nhận số với client kia nhờ sử dụng khóa công khai chia sẻ.

Khi một client muốn mật mã dữ liệu để gửi tới một bên, nó sử dụng khóa công khai của bên đó lấy từ chứng nhận số. Bên này sau đó giải mã gói tin với khóa công cộng.

Một chức năng khác của CA là sinh ra một loạt các chứng nhận theo chu kì mà nó đã hết hiệu lực hoặc đã mất giá trị. CA tạo ra danh sách chứng nhận bị hũy bỏ (Certificate Revocation Lists: CRL) của những khách hàng của nó. Khi một client nhận một chứng nhận số, nó kiểm tra CRL để tìm nếu như chứng nhận vẫn còn giá trị. 2.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec

Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta đưa ra một ví dụ về kết nối IP-VPN như hình 2.14.

Chú ý rằng trước khi thiết lập kết nối IPSec, cần phải chắc chắn rằng các thiết bị đang sử dụng dọc theo đường dẫn của IP-VPN đảm bảo: có hỗ trợ IPSec (bao gồm các giao thức, thuật toán), không có kết nối IPSec nào trước đó hoặc nếu có thì các tham số trong SA đang tồn tại không xung đột với các tham số chuẩn bị thiết lập, có thể thực hiện lệnh “ping” để chắc chắn về kết nối đã sẵn sàng.

Trụ sở chính

Văn bản được mật mã Văn bản rõ

Certificate Authority

C hể ký sể

Internet

Computer

Phiên IKE

Đường ngầm Nhận thực Mật mã

User

Computer

Người dùng

Hình 2.14: Ví dụ về hoạt động của IP-VPN sử dụng IPSec

Trong ví dụ này, người dùng muốn truyền thông an toàn với mạng trụ sở chính. Khi gói dữ liệu tới router người dùng (router này đóng vai trò là một cổng an ninh), router này sẽ kiểm tra chính sách an ninh và nhận ra gói dữ liệu cần truyền thông này là một ứng dụng của IP-VPN, cần được bảo vệ. Chính sách an ninh cấu hình trước cũng cho biết router mạng trụ sở chính sẽ là phía bên kia của đường ngầm IPSec, chính là trạm trụ sở chính của IP-VPN.

Router người dùng kiểm tra xem đã có IPSec SA nào được thiết lập cho phiên truyền thông này hay chưa. Nếu hoàn toàn không có một IPSec SA nào thì bắt đầu quá trình thương lượng IKE. Certificate Authority có chức năng giúp trụ sở chính nhận thực người sử dụng có được phép thực hiện phiên thông tin này hay không, chứng thực này là chữ ký số và được ký bởi một đối tác có quyền ký mà hai bên đều tin tưởng. Ngay sau khi hai router đã thỏa thuận được một IKE SA thì IPSec SA tức thời được tạo ra. Nếu hai bên không thỏa thuận được một IKE SA nào thì nó tiếp tục quá trình thỏa thuận hoặc ngừng kết nối phiên thông tin.

Việc tạo ra các IPSec SA chính là quá trình thỏa thuận giữa các bên về các chính sách an ninh, thuật toán mã hóa được sử dụng (chẳng hạn là DES), thuật toán xác thực (chẳng hạn MD5), và một khóa chia sẻ. Dữ liệu về SA được lưu trong cơ sở dữ liệu cho mỗi bên.

Tới đây, router người sử dụng sẽ đóng gói dữ liệu theo các yêu cầu đã thương lượng trong IPSec SA (thuật toán mật mã, nhận thực, giao thức đóng gói là AH hay ESP…), thêm các thông tin thích hợp để đưa gói tin được mã hóa này về dạng IP datagram ban đầu và chuyển tới router mạng trung tâm. Khi nhận được gói tin từ router người dùng gửi đến, router mạng trung tâm tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển nó tới mạng trung tâm.

2.6 Thực hiện IP - VPN

2.6.1 Các mô hình thực hiện IP-VPN

Một cách tổng quát thì việc lựa chọn một phương án để thực hiện VPN phụ thuộc vào mục đích và qui mô của ứng dụng. Như đã biết, mục đích cơ bản của ứng dụng VPN là truy nhập từ xa (Remote Access) hoặc kết nối Site-to-Site. Còn qui mô của ứng dụng thể hiện ở số phiên trao đổi có thể thực hiện đồng thời. Một đặc điểm quan trọng khác là vai trò của nhà cung cấp dịch vụ ISP. Một phương án thực hiện VPN có thể dựa vào dịch vụ cung cấp bởi ISP hoặc trong suốt đối với ISP. Trong

trường hợp thứ nhất, ISP được trang bị các thiết bị VPN và có thể cung cấp dịch vụ VPN cho các tổ chức, người sử dụng có nhu cầu về dịch vụ này. Trong trường hợp thứ hai, bản thân các tổ chức và người sử dụng tự trang bị lấy thiết bị VPN cho mình. Khi này họ có thể thực hiện VPN mà không cần quan tâm đến việc ISP có hỗ trợ dịch vụ này hay không.

Về phương diện người sử dụng, có 3 ứng dụng hay loại hình IP-VPN là: Access IP-VPN, Intranet VPN và Extranet IP-VPN.

- Access IP-VPN: cung cấp truy nhập từ xa thông qua Internet tới mạng trung

tâm, với những đặc điểm của một mạng riêng, ví dụ như tính an toàn (sercurity), độ ổn

định. Access IP-VPN cho phép người sử dụng truy nhập các nguồn tài nguyên của tổ

chức ở bất kỳ nơi nào, lúc nào mà họ mong muốn. Các công nghệ truy nhập tương tự,

quay số, ISDN, đường dây thuê bao số (DSL), điện thoại di động… đều có thể dùng để

kết nối an toàn những người sử dụng lưu động tới mạng trung tâm.

- Intranet VPN: kết nối các mạng chi nhánh với mạng trung tâm thông qua

Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.

- Extranet VPN: kết nối với khách hàng, đối tác với một phần mạng trung tâmthông qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.

2.6.1.1 Access VPN

Có rất nhiều lựa chọn để thực hiện Access VPN, do vậy cần cân nhắc thận trọng trước khi quyết định lựa chọn phương án nào. Như liệt kê ở đây, có nhiều công nghệ truy nhập, từ các công nghệ quay số hoặc ISDN truyền thông tới các công nghệ mới như truy nhập sử dụng DSL. Thêm vào đó phải lực chọn một kiến trúc VPN: kiến trúc khởi tạo từ máy khách (client inititated) hay kiến trúc khởi tạo từ máy chủ truy nhập (network access server initiated architure).

Kiến trúc khởi tạo từ máy khách

Đối với Access IP-VPN khởi tạo từ phia máy khách, mỗi PC của người sử dụng từ xa phải cài đặt phần mềm IPSec. Khi người sử dụng quay số tới POP (Point of Presence) của ISP, phần mềm này sẽ khởi tạo một đường ngầm IP-VPN và thực hiện mật mã. Kiến trúc này rất an toàn vì dữ liệu được bảo vệ trên toàn bộ đường ngầm PC của người sử dụng đến mạng trung tâm. Trong phương án này có thể sử dụng bất kỳ công nghệ truy nhập nào để kết nối tới Internet. Thêm vào đó, phương án này là trong suốt đối với nhà cung cấp dịch vụ ISP, nghĩa là có thể thực hiện IP-VPN mà không cần

thực hiện bất cứ thay đổi nào đối với ISP, chẳng hạn như mật mã dữ liệu. Nhược điểm của mô hình này là phải cài đặt và quản trị phần mềm IPSec client trên tất cả các PC truy nhập từ xa.

Private Corporate Network

Firewall

Dial-up Router

Telecommuter Client IPSec

Home Gateway

ISDN

POTS

Computer

Network Access Server (NAS)

Internet

Modem Dial -in

IPSec Tunnel

Mobile IP

Hình 2.15: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng

Kiến trúc khởi tạo từ máy chủ truy nhập NAS

Đối với truy nhập IP-VPN khởi tạo từ máy chủ truy nhập thì NAS (tại POP) sẽ khởi tạo đường ngầm và thực hiện mật mã thay cho người sử dụng. Sẽ có một phần kết nối không được bảo vệ giữa người sử dụng và POP. Phần kết nối còn lại được bảo đảm an toàn bởi một đường ngầm và mật mã dữ lệu. Mô hình này dễ quản lí hơn, vì không phải kiểm soát tất cả phần mềm IPSec client tại các PC truy nhập từ xa. Mô hình này cũng dể dàng mở rộng hơn so với mô hình truy nhập khởi tạo từ người sử dụng vì chỉ cần cấu hình máy chủ NAS, thay vì cấu hình tất cả các PC.

Service Provider

Corporate

Network

NAS

PSTN

/ISDN

Internet

Home Gateway

Server

Corporate Servers

Computer Computer

Remote Users

Hình 2.16: Truy nhập IP-VPN khởi tạo từ máy chủ

2.6.1.2 Intranet IP-VPN và Extranet IP-VPN

Ở chương 2 đã trình bày về mô hình Intranet và Extranet IP-VPN. Chương này sẽ trình bày một ví dụ về mô hình triển khai Intranet và Extranet IP-VPN khởi tạo từ raouter. Hình 2.17 ví dụ về hai router ở mỗi đầu của kết nối thiết lập một đường ngầm sử dụng IPSec sau đó thỏa thuận việc mật mã.

Internet

POP

Service Provider

POP

IPSec Tunnel

Remote Router Initiated

Computer Computer

Remote 1

Peering Remote Routers

Remote 2

Hình 2.17: IP-VPN khởi tạo từ routers

Mô hình này có một số lựa chọn thực hiện khác nhau. Trường hợp thứ nhất, ISP quản lý, cung cấp và duy trì kết nối Internet cơ sở, còn bản thân tổ chức phải quản lý tất cả các vấn đề như an toàn dữ liệu, quản lý router, máy chủ, các nguồn tài nguyên như ngân hàng các modem quay số. Trường hợp thứ hai là mô hình lai (hybrid model). Trong mô hình này, tổ chức và nhà cung cấp dịch vụ chia sẻ các công việc tương đối ngang bằng, ISP cung cấp thiết bị VPN, đảm bảo QoS với mức băng tần thỏa thuận, còn phía nhà quản trị mạng quản trị các ứng dụng và cấu hình, cung cấp các dịch vụ trợ giúp và an toàn dữ liệu. Trường hợp thứ ba, nhà quản trị mạng chỉ quản lý các máy chủ an ninh, còn ISP cung cấp toàn bộ giải pháp VPN, dịch vụ trợ giúp, huấn luyện…

2.6.3 Một số sản phẩm thực hiện VPN

Như ta đã biết, có nhiều hãng tham gia nghên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dòng sản phẩm. Các hãng khác nhau có cách tiếp cận và ưu nhược điểm riêng. Sau đây ví dụ về các sản phẩm của Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và có thể phục vụ cho một phạm vi rộng các nhu cầu ứng dụng khác nhau.

Bảng 2.1: Ví dụ về các sản phẩm của Cisco và Netsreen

Loại khách

hàng

Cisco

Netsreen

Remote Access

Site-to-Site

ISP/

Central Site

3080, 3060

Concentrators

VPN routers 71x0

Netsreen-1000,

Netsreen-500

Medium Site

3030 Concentrators

Routers 7x00, 3600

Netsreen-208,

Netsreen-204

Small Office

3015, 3005

Concentrantors

Routers 3600, 2600,

1700

Netsreen-50, Netsreen-20,

Netsreen-XP

Home Office/ Telecommuter

Cisco VPN Software Client

3002 Hardware Client

Router 800, 905

Netsreen-Remote