2.1. Tổng quan VPN site to site
Ngay từ khi internet phát triển chưa mạnh mẽ, các công ty đã triển khai văn phòng từ xa, các trung tâm dữ liệu, thiết lập hoạt động toàn cầu. Trước khi internet được chấp nhận như là một phương tiện truyền thông của doanh nghiệp thì các nhà cung cấp dịch vụ riêng được yêu cầu cung cấp đường truyền giữa các chi nhánh trong một khu vực,một quốc gia. Hình 2.1 cho thấy hai site của một công ty kết nối theo cách cũ.\
Hình 2.1: Mạng cung cấp dịch vụ “cách cũ”
Trước khi Internet trở thành phương tiện phổ biến của kết nối toàn cầu như ngày nay, các nhà cung cấp dịch vụ khác nhau tạo ra mạng lưới rất lớn, cung cấp dịch vụ kết nối và thu phí. Tổng công ty thường cố gắng sử dụng một nhà cung cấp dịch vụ để cung cấp kết nối giữa các văn phòng từ xa khác nhau. Đây là mô tả trong hình 2.1. Tuy nhiên, việc sử dụng một nhà cung cấp dịch vụ duy nhất thường không thể do trong nhiều trường hợp vị trí của văn phòng từ xa nằm ngoài phạm vi hoạt động của nhà cung cấp dịch vụ.
Các kết nối mạng dựa trên sự cung cấp bởi các nhà cung cấp dịch vụ có thể được dùng như kiến trúc VPN site to site đầu tiên. Họ đã thực sự tạo kết nối riêng giữa các thiết bị đầu cuối. Cho dù họ đã cung cấp một kết nối ảo lâu dài (permanent virtual circuits - PVC), hoặc “tạo ra khi cần thiết” các kết nối ảo chuyển mạch (switched virtual circuits - SVC), các nhà cung cấp đã đảm bảo rằng các dữ liệu đã được truyền đến các site như đã cam kết. Khi Internet đã tăng trưởng vượt ngoài mong đợi, các công ty bắt đầu thử nghiệm sử dụng nó để vận chuyển dữ liệu. Ngay sau đó, nhà cung cấp dịch vụ Internet (ISP) ra đời và cung cấp các kết nối Internet. Sự khác biệt là thay vì cung cấp kết nối end-to- end, họ chỉ đơn giản là cung cấp truy cập vào toàn bộ Internet. Rất khó để cung cấp sự đảm bảo thông qua mạng Internet do tính chất mở (open) và chia sẻ của nó. Sự cần thiết của việc tạo kết nối riêng, các kênh truyền an toàn giữa các site đã cho thấy sự gia tăng của kiến trúc IPsec VPN site to site. Hình 2.2 cho thấy một kết nối:
Các mạng được mô tả trong cả hai hình 2.1 và hình 2.2 là tương tự nhau. Các site của công ty thể hiện không thay đổi gì nhiều từ những ngày của nhà cung cấp ịch vụ nguyên thuỷ. Quay lại trước đó, một site kết nối từ xa chỉ có thể kết nối trong một mạng chính hoặc một số vị trí trung tâm khác. Trong các mạng ngày nay, một site từ xa có thể sử dụng kết nối Internet của nó để có thể đến bất cứ nơi nào trên mạng Internet (như mô tả bởi các mũi tên trong hình 2.2) và sử dụng IPsec VPN của nó để kết nối an toàn với mạng chính.
2.2. Tạo một IPsec VPN site to site
Có năm bước chung trong một chu kỳ của IPsec VPN. Các bước này được áp dụng cho riêng VPN site to site. Năm bước trong chu kỳ của một IPsecVPN như sau:
- Bước 1: Xác định lưu lượng cần quan tâm (Specify Interesting Traffic)
- Bước 2: IKE phase 1.
- Bước 3: IKE phase 2.
- Bước 4: Bảo mật việc truyền dữ liệu.
- Bước 5: Chấm dứt đường hầm IPsec.
Tên gọi " đường hầm VPN" là thuật ngữ có phần không đúng. Không có đường hầm nào mà các gói dữ liệu bị khóa bên trong khi họ quá cảnh Internet (hoặc một số
mạng không an toàn). Tất cả các gói IPsec VPN có thể đánh chặn và bắt giữ tại bất kỳ điểm nào trong suốt qúa trình truyền của chúng. Toàn vẹn dữ liệu đảm bảo rằng các dữ liệu không bị sửa đổi khi bị chặn lại bất kì, trong khi bảo mật dữ liệu đảm bảo rằng nội dung của các gói tin không thể được giải mã bởi bất kỳ người kiểm tra không mong muốn nào.
2.2.1. Bước 1: Xác định lưu lượng cần quan tâm
Khi một đường hầm IPsec VPN được tạo giữa hai site, lưu lượng được coi là "quan trọng" được gửi một cách an toàn thông qua VPN đến vị trí ở xa. Một khi ở bên trong VPN, dữ liệu được an toàn cho đến khi nó đi đến đầu kia của đường hầm. Lưu lượng không thể được sửa đổi mà không phát hiện, và nó cũng không có thể được đọc bởi bất cứ ai ở giữa (nếu giao thức ESP được sử dụng). Khái niệm về lưu lượng cần quan tâm cũng ngụ ý rằng các gói tin mà không phải là quan trọng không được hưởng những lợi ích của VPN IPsec. Chúng không được mã hóa hay bảo vệ bằng mọi cách. Chúng có thể đi đến bất kỳ đích nào, bao gồm các đích ở xa, nơi mà các đường hầm VPN đã kết thúc. Một danh sách kiểm soát truy cập mở rộng (access control list - ACL) được dùng để chỉ định lưu lượng cần quan tâm. Lưu lượng được cho phép bởi ACL này có chính sách bảo mật thích hợp áp dụng cho nó và các gói tin sau đó nhập vào đường hầm IPsec VPN.Tuy nhiên nếu đường hầm chưa tồn tại thì sự xuất hiện của các gói tin quan trọng đầu tiên sẽ gây nên các sự kiện cần thiết để tạo ra các đường hầm. Giả sử rằng đường hầm chưa tồn tại và phải được xây dựng khi nhận được lưu lượng truy cập quan trọng, khi đó chỉ cần một trong các gói tin quan trọng để kích hoạt quá trình đường hầm IPsec VPN. Nếu đường hầm IPsec đã tồn tại thì lưu lượng được coi là quan trọng (bước 1) được gửi thông qua đường hầm (bước 4).
2.2.2. Bước 2: IKE phase 1
Một khi các gói đầu tiên đến coi là quan trọng, quá trình tạo ra các đường hầm IPsec VPN site-to-site bắt đầu. Quá trình trao đổi các thông số bảo mật IKE và các
khóa mã hóa đối xứng được sử dụng để tạo ra các đường hầm IPsec. Bước thứ hai trong một IPsec VPN là giai đoạn đầu tiên của IKE.
Hình 2.3: IKE Phase 1, với chế độ main mode
Trong chế độ main mode, cặp gói tin đầu tiên thoả thuận trao đổi các thông số bảo mật được sử dụng để thiết lập các đường hầm IKE. Hai thiết bị đầu cuối trao đổi các đề xuất trong các hình thức của transform set. Việc sử dụng transform set được giải thích phía dưới. Cặp thứ hai của các gói tin trao đổi các khóa công cộng Diffie-Hellman cần thiết để tạo ra các đường hầm an toàn IKE. Đường hầm này được sử dụng sau đó cho việc trao đổi của các khoá cho các tổ hợp bảo mật IPsec (các SA).Các cặp cuối cùng của gói thực hiện xác thực ngang hàng. Một hàm hash được sử dụng để xác thực danh tính và đảm bảo rằng không có các thiết bị giả mạo được phép thành lập một kênh truyền thông an toàn cho site của bạn. Chế độ Aggressive làm giảm sự trao đổi IKE Phase 1 với ba gói:
2.2.2.1. IKE Transform Sets
Trong IKE, nhiều thông số thiết bị phải được phối hợp. Thay vì cố gắng để thỏa thuận với mỗi một thiết bị thì ta tiến hành kết hợp các thông số bảo mật thành transform set, còn được gọi là các chính sách IKE. Administrator thường tạo ra các chính sách này trên thiết bị đầu cuối IPsec. Hai thiết bị đầu cuối IPsec thỏa thuận các thông số bảo mật bất cứ lúc nào, chúng trao đổi chính sách IKE. Nếu các cặp thiết bị có một chính sách thông thường (một tập hợp phổ biến các thông số bảo mật) thì thiết lập của IPsec VPN có thể tiếp tục. Nếu không có bộ thông số chung giữa hai thiết bị, quá trình IPsec VPN tổng thể sẽ thất bại. Có năm thông số được phối hợp trong quá trình IKE phase 1:
Hình 2.4 cho thấy hai thiết bị đầu cuối sử dụng IPsec sử dụng các transform set IKE để phối hợp các đường hầm IKE.
Hình 2.4: Transform set IKE
Trong hình 2.4, Router A và Router B đang thỏa thuận một đường hầm IKE. Giả sử Router A bắt đầu quá trình đàm phán IKE. Router A gửi hai chính sách IKE, 10 và
20, đến Router B. Sự thay đổi của một tham số cũng làm cho một chính sách IKE thay đổi. Có thể sử dụng cùng một chính sách IKE cho nhiều site. Khi Router B nhận được hai transform set, nó sẽ so sánh nội dung transform set bất kỳ mà nó có. So sánh này được thực hiện theo trình tự của các chính sách IKE cục bộ. Chính sách đầu tiên tìm thấy trở thành chính sách được sử dụng (trong đó hàm ý rằng có thể có nhiều chính sách với các thông số giống nhau). Các chỉ số chính sách xác định các độ ưu tiên (trình tự) và nó không phải là một chính sách. Trong ví dụ này, các nội dung của chính sách IKE 10 từ Router A phù hợp với những chính sách IKE 25 trong Router B. Router B phản ứng với Router A rằng nó chấp nhận chính sách 10 và một SA IKE được tạo ra. Nếu Router B không thể tìm thấy bất kỳ tham số chính sách chính xác giữa các transform set thì đường hầm IKE sẽ không được xây dựng và quá trình IPsec sẽ thất bại. Router A và Router B đã tìm thấy một chính sách IKE chung.
2.2.2.2. Trao đổi khoá Diffie-Hellman
Sau khi các chính sách IKE được thỏa thuận, giao thức DH được sử dụng để trao đổi các khoá mà sẽ được sử dụng trong Phase 1. Giao thức DH cho phép hai bên chia sẻ một khóa bí mật trên một kênh không an toàn.. Sau khi khóa Diffie-Hellman được trao đổi và chia sẻ bí mật được thiết lập, SA cho phase 1 được tạo ra. SA Phase 1 này được sử dụng để trao đổi kiểu khoá cho phase 2.
2.2.2.3. Xác thực ngang hàng
Chức năng của IKE phase 1 là để xác thực các thiết bị từ xa. Đây là một bước quan trọng để ngăn chặn các thiết bị giả mạo từ việc thiết lập các đường hầm an toàn vào hệ thống mạng. Nếu xác thực giai đoạn này không thành thì quá trình IPsec sẽ bị ngừng và các đường hầm IPsec không được tạo ra. Có ba phương pháp để xác thực ngang hàng đó là:
Preshared keys: một khoá được thiết lập bằng tay được đưa vào mỗi thiết bị. Các khoá này được trao đổi trong các chính sách IKE. Nếu khoá nhận được không phù hợp với cấu hình chính thì xác thực sẽ không thành công. RSA signatures: sử dụng digital certificates để xác thực các thiết bị. Mỗi thiết bị được cấp một certificate, và chứng chỉ này được thông qua trong các transform set. Các thiết bị đầu cuối IPsec đảm bảo rằng certificate đã được ký kết/xác nhận bởi một CA được biết đến. Khi đó thiết bị được xác thực. Nonce là một số mà chỉ được sử dụng một lần, nó như là hình thức của mật khẩu một lần (OTP). Nonce là một số “ngẫu nhiên” được tạo ra bởi mỗi thiết bị, được mã hoá và gửi đến các thiết bị khác.
2.2.3. Bước 3: IKE Phase 2
Các đường hầm IPsec thực tế được thiết lập vào IKE phase 2. IKE phase 1 tạo ra một kênh thông tin liên lạc rất an toàn (các SA riêng của mình) để các đường hầm
IPsec (các SA) có thể được tạo ra cho việc mã hóa dữ liệu và vận chuyển. Các thông số IPsec được thỏa thuận thông qua các SA IKE. IKE phase 2 thực hiện các chức năng sau đây:
Giả sử phase 1 là thành công, chế độ quick mode được sử dụng trong phase 2.Quick mode bao gồm toàn bộ quá trình xảy ra trong IKE phase 2. Đầu tiên, mỗi thiết bị IPsec phải thỏa thuận các thông số IPsec được sử dụng để tạo ra các đường hầm IPsec. Tương tự như IKE phase 1, các transform set IPsec được sử dụng trong quá trình này. Một khi các thông số IPsec được thoả thuận, các SA IPsec có thể được tạo ra. Các SA IPsec là đơn hướng. Như vậy để an toàn thì cần có hai SA cho thông tin liên lạc hai chiều giữa hai thiết bị. Chế độ quick mode sử dụng nonces để tạo ra loại khoá mới cho chia sẻ thông tin bảo mật và để ngăn chặn các cuộc tấn của các attracker. Bởi vì nonce chỉ được sử dụng trong một thời gian, do đó việc tái sử dụng khoá này sẽ không tạo ra các SA. Chế độ quick mode cũng giám sát sự kết thúc của các SA và thiết lập những cái mới khi cần thiết. Một SA sẽ không bao giờ tồn tại vô thời hạn, để ngăn chặn các khóa mã hóa từ lần cuối cùng được xác định và thỏa hiệp. Khi một SA sắp hết hạn, một cái mới được tạo ra để không bị mất lưu lượng dữ liệu được bảo vệ. Chế độ quick mode cũng có thể tùy chọn thực hiện thêm việc trao đổi khoá Diffie- Hellman. Trao đổi như vậy sẽ tạo ra các khoá công công/cá nhân mới giữa các thiết bị IPsec. Điều này xảy ra khi các khoá Diffie-Hellman hết hạn, do vượt quá thời gian hoặc dữ liệu cấp phát.
2.2.3.1. IPsec Transform Sets
Một transform set, như mô tả trong các chính sách IKE, là một nhóm các thuộc tính được trao đổi với nhau điều mà loại bỏ sự cần thiết phải phối hợp và thỏa thuận các thông số cá nhân. Sự khác biệt giữa một chính sách IKE và một transform set IPsec là những thuộc tính được trao đổi. Năm thông số phải được phối hợp trong chế độ quick mode giữa các thiết bị IPsec là:
Hình 2.5 cho thấy hai thiết bị đầu cuối IPsec sử dụng transform set IPsec để kết hợp các SA IPsec.
Trong hình 2.5, Router A và Router B đang thỏa thuận các thông số cho SA IPsec. Giả sử Router A bắt đầu quá trình đàm phán IKE phase 2. Router A gửi đến Router B hai transform set IPsec của nó, 60 và 70. Khi Router B nhận được hai transform set IPsec, nó tuần tự so sánh nội dung của từng transform set với transform set bất kỳ mà nó có. Trong ví dụ này, các nội dung của transform set IPsec 70 từ Router A phù hợp transform set IPsec 55 trong Router B. Router B phản ứng với Router A là nó chấp nhận transform set IPsec 70 và các SA IPsec được xây dựng. Nếu Router B không thể tìm thấy bất kỳ một thông số chính xác nào giữa các transform set IPsec thì các SA IPsec sẽ không được xây dựng và quá trình IPsec sẽ thất bại.
2.2.3.2. Tổ hợp bảo mật (Security Associate - SA)
Một tổ hợp bảo mật (SA) là một nhóm các dịch vụ bảo mật (thông số) được thoả thuận giữa hai thiết bị IPsec. Các thông số bảo mật được trao đổi suốt quá trình IKE phase 2 trong transform set. Một khi mỗi thiết bị đầu cuối IPsec đồng ý các dịch vụ thông thường để sử dụng thì các SA IPsec được xây dựng. Mỗi SA IPsec là một kết nối một chiều giữa hai thiết bị IPsec. Trong hầu hết trường hợp, mạng truyền thông hiệu quả yêu cầu lưu lượng hai chiều. Do đó, một IPsec hoàn thành kết nối giữa hai điểm đầu cuối bao gồm hai SA IPsec - một đi vào và một đi ra. Mỗi SA sử dụng các thông số bảo mật giống nhau để thỏa thuận trong các transform set IPsec. Tuy nhiên, mỗi SA được theo dõi và duy trì một cách riêng biệt. Mỗi khách hàng sử dụng một cơ sở dữ liệu SA (SA Database - SAD) để theo dõi
từng SA mà khách hàng tham gia vào. SAD chứa các thông tin sau về mỗi kết nối IPsec (SA):
Một cơ sở dữ liệu thứ hai, cơ sở dữ liệu chính sách bảo mật (Security Policy Database - SPD), chứa các thông số bảo mật đã được thỏa thuận cho mỗi SA (trong transform set). Đối với mỗi SA, cơ sở dữ liệu này bao gồm:
Việc sử dụng cả hai SAD và SPD cho phép bất kỳ khách hàng IPsec nào nhanh chóng theo dõi các thuộc tính IPsec cho bất kỳ gói dữ liệu đến hoặc đi tới bất kỳ
khách hàng từ xa nào.
2.2.4. Bước 4: Bảo mật việc truyền dữ liệu
Sau khi transform set IPsec đã được thoả thuận giữa hai điểm đầu cuối và các SAD và SPD đã được cập nhật vào mỗi đầu (tức là SA đã được xây dựng), lưu lượng có thể lưu thông qua đường hầm IPsec. Không phải tất cả lưu lượng được phép thông qua đường hầm. Chỉ có lưu lượng truy cập quan trọng là được phép sử dụng đường hầm. Tất cả các lưu lượng khác vẫn tiếp tục truyền qua các giao diện, nhưng không thông qua các đường hầm IPsec VPN.
2.2.5. Bước 5: Chấm dứt đường hầm IPsec
Có hai sự kiện có thể xảy ra để chấm dứt một đường hầm IPsec. Như đã phân tích,nếu thời gian sống của SA hết hạn thì sau đó đường hầm phải được phá bỏ. Tuy nhiên, nếu chuyển giao an toàn vẫn còn cần thiết giữa hai thiết bị đầu cuối thì một cặp SA mới được tạo ra trước khi cặp cũ được xoá bỏ. Nó cũng có thể tự xóa một đường hầm IPsec. Điều này thường được thực hiện bởi một administrator ở hai đầu của kết nối IPsec. Trong hầu hết trường hợp, việc chấm dứt tự động của đường hầm (do thời gian sử dụng quá nhiều hoặc quá lưu lượng sử dụng) được thực hiện và administrator không cần phải tham gia. Khi chấm dứt đường hầm, tất cả các thông tin về một SA được xoá đi ở cả hai SAD và SPD. Các thông số bảo mật có thể được sao chép vào một SPI mới để tiếp tục trao đổi dữ liệu an toàn, nhưng thực tế các bảng thông tin trong cơ sở dữ liệu đã bị xóa.
2.3. Các bước cấu hình Ipsec VPN site to site
Như đã phân tích trong một chu kì của IPsec có năm bước, tuy nhiên không phải tất cả các bước đều cần phải cấu hình. Sau đây là sáu bước để cấu hình một IPsec VPN site to site:
Bước 1 Cấu hình ISAKMP policy (IKE phase1).
Bước 2 Cấu hình transform set IPsec (IKE phase2, chấm dứt đường hầm).
Bước 3 Cấu hình crypto ACL (lưu lượng cần quan tâm, bảo mật việc truyền dữ liệu).
Bước 4: Cấu hình các crypto map (IKE phase2).
Bước 5: Áp dụng các crypto map vào cổng (IKE phase2).
Bước 6: Cấu hình ACL trên cổng
2.3.1. Bước 1: Cấu hình ISAKMP policy
Bước này sẽ xác định các thông số sau:
2.3.2. Bước 2: Cấu hình transform set IPsec
Các thông số về transform set Ipsec, crypto ACL, và crypto map liên kết chặt chẽ với nhau. Chúng ta sẽ xem xét các thông số liên quan đến quá trình thỏa thuận giữa các thiết bị sau đây:
2.3.3. Bước 3: Cấu hình crypto ACL
Một danh sách truy cập mở rộng (ACL) được sử dụng để xác định các lưu lượng cần quan tâm. Mỗi danh sách xác định địa chỉ nguồn và đích của lưu lượng mà chúng
sẽ đi qua các đường hầm IPsec. Nó cũng chỉ đơn giản là có một site (yêu cầu một site từ xa) gửi tất cả mọi thứ thông qua một đường hầm IPSec VPN cho các site chính, nhưng các site chính chỉ gửi lưu lượng đã được định trước cho các site từ xa thông qua VPN. Điều này làm cho các cấu hình tại các site từ xa khá đơn giản, và cô lập các cấu hình nâng cao hơn cho các site chính. Một mạng con từ mỗi site được coi là quan trong (do cấu hình ACL) sẽ được bảo vệ thông qua các đường hầm IPsec VPN. Các mạng con còn lại không thể tận dụng lợi thế của các cấu hình IPsec.
2.3.4. Bước 4: Cấu hình các crypto map
Crypto map là bước cấu hình cuối cùng, nó rằng buộc transform set và ACL với nhau, và điểm mà chúng đến một thiết bị từ xa. Mỗi map có thể có nhiều dòng, và các
dòng được tham chiếu số lượng từ mức thấp nhất tới mức cao nhất. Nếu một router chỉ có một cổng duy nhất, nhưng có nhiều khách hàng từ xa VPN,thì một crypto map duy nhất phải được sử dụng với một danh sách (entry) duy nhất cho mỗi thiết bị.
2.3.5. Bước 5: Áp dụng các crypto map vào cổng
Sau khi các crypto map được cấu hình thành công, nó phải được áp dụng cho một cổng để hoạt động. Các crypto maplà tập hợp các địa chỉ IP của các thiết bị từ xa, lưu lượng cần quan tâm sẽ lưu thông qua đường hầm IPsec, và các thông số bảo mật IPsec (transform set) sẽ được sử dụng để bảo vệ dữ liệu.
2.3.6. Bước 6: Cấu hình ACL trên cổng
Bước cuối cùng là chúng ta cần gán các ACL đã thiết lập lên các lên các cổng để các chính sách này được thi hành.
Ngay từ khi internet phát triển chưa mạnh mẽ, các công ty đã triển khai văn phòng từ xa, các trung tâm dữ liệu, thiết lập hoạt động toàn cầu. Trước khi internet được chấp nhận như là một phương tiện truyền thông của doanh nghiệp thì các nhà cung cấp dịch vụ riêng được yêu cầu cung cấp đường truyền giữa các chi nhánh trong một khu vực,một quốc gia. Hình 2.1 cho thấy hai site của một công ty kết nối theo cách cũ.\
Hình 2.1: Mạng cung cấp dịch vụ “cách cũ”
Trước khi Internet trở thành phương tiện phổ biến của kết nối toàn cầu như ngày nay, các nhà cung cấp dịch vụ khác nhau tạo ra mạng lưới rất lớn, cung cấp dịch vụ kết nối và thu phí. Tổng công ty thường cố gắng sử dụng một nhà cung cấp dịch vụ để cung cấp kết nối giữa các văn phòng từ xa khác nhau. Đây là mô tả trong hình 2.1. Tuy nhiên, việc sử dụng một nhà cung cấp dịch vụ duy nhất thường không thể do trong nhiều trường hợp vị trí của văn phòng từ xa nằm ngoài phạm vi hoạt động của nhà cung cấp dịch vụ.
Các kết nối mạng dựa trên sự cung cấp bởi các nhà cung cấp dịch vụ có thể được dùng như kiến trúc VPN site to site đầu tiên. Họ đã thực sự tạo kết nối riêng giữa các thiết bị đầu cuối. Cho dù họ đã cung cấp một kết nối ảo lâu dài (permanent virtual circuits - PVC), hoặc “tạo ra khi cần thiết” các kết nối ảo chuyển mạch (switched virtual circuits - SVC), các nhà cung cấp đã đảm bảo rằng các dữ liệu đã được truyền đến các site như đã cam kết. Khi Internet đã tăng trưởng vượt ngoài mong đợi, các công ty bắt đầu thử nghiệm sử dụng nó để vận chuyển dữ liệu. Ngay sau đó, nhà cung cấp dịch vụ Internet (ISP) ra đời và cung cấp các kết nối Internet. Sự khác biệt là thay vì cung cấp kết nối end-to- end, họ chỉ đơn giản là cung cấp truy cập vào toàn bộ Internet. Rất khó để cung cấp sự đảm bảo thông qua mạng Internet do tính chất mở (open) và chia sẻ của nó. Sự cần thiết của việc tạo kết nối riêng, các kênh truyền an toàn giữa các site đã cho thấy sự gia tăng của kiến trúc IPsec VPN site to site. Hình 2.2 cho thấy một kết nối:
Các mạng được mô tả trong cả hai hình 2.1 và hình 2.2 là tương tự nhau. Các site của công ty thể hiện không thay đổi gì nhiều từ những ngày của nhà cung cấp ịch vụ nguyên thuỷ. Quay lại trước đó, một site kết nối từ xa chỉ có thể kết nối trong một mạng chính hoặc một số vị trí trung tâm khác. Trong các mạng ngày nay, một site từ xa có thể sử dụng kết nối Internet của nó để có thể đến bất cứ nơi nào trên mạng Internet (như mô tả bởi các mũi tên trong hình 2.2) và sử dụng IPsec VPN của nó để kết nối an toàn với mạng chính.
2.2. Tạo một IPsec VPN site to site
Có năm bước chung trong một chu kỳ của IPsec VPN. Các bước này được áp dụng cho riêng VPN site to site. Năm bước trong chu kỳ của một IPsecVPN như sau:
- Bước 1: Xác định lưu lượng cần quan tâm (Specify Interesting Traffic)
- Bước 2: IKE phase 1.
- Bước 3: IKE phase 2.
- Bước 4: Bảo mật việc truyền dữ liệu.
- Bước 5: Chấm dứt đường hầm IPsec.
Tên gọi " đường hầm VPN" là thuật ngữ có phần không đúng. Không có đường hầm nào mà các gói dữ liệu bị khóa bên trong khi họ quá cảnh Internet (hoặc một số
mạng không an toàn). Tất cả các gói IPsec VPN có thể đánh chặn và bắt giữ tại bất kỳ điểm nào trong suốt qúa trình truyền của chúng. Toàn vẹn dữ liệu đảm bảo rằng các dữ liệu không bị sửa đổi khi bị chặn lại bất kì, trong khi bảo mật dữ liệu đảm bảo rằng nội dung của các gói tin không thể được giải mã bởi bất kỳ người kiểm tra không mong muốn nào.
2.2.1. Bước 1: Xác định lưu lượng cần quan tâm
Khi một đường hầm IPsec VPN được tạo giữa hai site, lưu lượng được coi là "quan trọng" được gửi một cách an toàn thông qua VPN đến vị trí ở xa. Một khi ở bên trong VPN, dữ liệu được an toàn cho đến khi nó đi đến đầu kia của đường hầm. Lưu lượng không thể được sửa đổi mà không phát hiện, và nó cũng không có thể được đọc bởi bất cứ ai ở giữa (nếu giao thức ESP được sử dụng). Khái niệm về lưu lượng cần quan tâm cũng ngụ ý rằng các gói tin mà không phải là quan trọng không được hưởng những lợi ích của VPN IPsec. Chúng không được mã hóa hay bảo vệ bằng mọi cách. Chúng có thể đi đến bất kỳ đích nào, bao gồm các đích ở xa, nơi mà các đường hầm VPN đã kết thúc. Một danh sách kiểm soát truy cập mở rộng (access control list - ACL) được dùng để chỉ định lưu lượng cần quan tâm. Lưu lượng được cho phép bởi ACL này có chính sách bảo mật thích hợp áp dụng cho nó và các gói tin sau đó nhập vào đường hầm IPsec VPN.Tuy nhiên nếu đường hầm chưa tồn tại thì sự xuất hiện của các gói tin quan trọng đầu tiên sẽ gây nên các sự kiện cần thiết để tạo ra các đường hầm. Giả sử rằng đường hầm chưa tồn tại và phải được xây dựng khi nhận được lưu lượng truy cập quan trọng, khi đó chỉ cần một trong các gói tin quan trọng để kích hoạt quá trình đường hầm IPsec VPN. Nếu đường hầm IPsec đã tồn tại thì lưu lượng được coi là quan trọng (bước 1) được gửi thông qua đường hầm (bước 4).
2.2.2. Bước 2: IKE phase 1
Một khi các gói đầu tiên đến coi là quan trọng, quá trình tạo ra các đường hầm IPsec VPN site-to-site bắt đầu. Quá trình trao đổi các thông số bảo mật IKE và các
khóa mã hóa đối xứng được sử dụng để tạo ra các đường hầm IPsec. Bước thứ hai trong một IPsec VPN là giai đoạn đầu tiên của IKE.
Hình 2.3: IKE Phase 1, với chế độ main mode
Trong chế độ main mode, cặp gói tin đầu tiên thoả thuận trao đổi các thông số bảo mật được sử dụng để thiết lập các đường hầm IKE. Hai thiết bị đầu cuối trao đổi các đề xuất trong các hình thức của transform set. Việc sử dụng transform set được giải thích phía dưới. Cặp thứ hai của các gói tin trao đổi các khóa công cộng Diffie-Hellman cần thiết để tạo ra các đường hầm an toàn IKE. Đường hầm này được sử dụng sau đó cho việc trao đổi của các khoá cho các tổ hợp bảo mật IPsec (các SA).Các cặp cuối cùng của gói thực hiện xác thực ngang hàng. Một hàm hash được sử dụng để xác thực danh tính và đảm bảo rằng không có các thiết bị giả mạo được phép thành lập một kênh truyền thông an toàn cho site của bạn. Chế độ Aggressive làm giảm sự trao đổi IKE Phase 1 với ba gói:
- Các gói đầu tiên đi từ thiết bị khởi đầu tới thiết bị nhận. Nó sẽ gửi đề xuấtchính sách xác thực, khóa công cộng Diffie-Hellman, một nonce (number used once - được ký kết và trở về để xác thực danh tính), và một phươngtiện để thực hiện xác thực.
- Các gói tin thứ hai đi từ thiết bị nhận trở lại thiết bị khởi đầu. Nó chứa các đề nghị chính sách xác thực được chấp nhận, khoá công cộng Diffie-Hellman của nó, và nonce đã ký để xác thực.
- Các gói tin cuối cùng là quá trình xác thực giữa thiết bị gửi và thiết bị nhận.
2.2.2.1. IKE Transform Sets
Trong IKE, nhiều thông số thiết bị phải được phối hợp. Thay vì cố gắng để thỏa thuận với mỗi một thiết bị thì ta tiến hành kết hợp các thông số bảo mật thành transform set, còn được gọi là các chính sách IKE. Administrator thường tạo ra các chính sách này trên thiết bị đầu cuối IPsec. Hai thiết bị đầu cuối IPsec thỏa thuận các thông số bảo mật bất cứ lúc nào, chúng trao đổi chính sách IKE. Nếu các cặp thiết bị có một chính sách thông thường (một tập hợp phổ biến các thông số bảo mật) thì thiết lập của IPsec VPN có thể tiếp tục. Nếu không có bộ thông số chung giữa hai thiết bị, quá trình IPsec VPN tổng thể sẽ thất bại. Có năm thông số được phối hợp trong quá trình IKE phase 1:
- Thuật toán mã hoá IKE (DES, 3DES, hay AES)
- Thuật toán xác thực IKE (MD5 hay SHA-1)
- Khoá IKE (preshare, RSA signatures, nonces)
- Phiên bản Diffie-Hellman (1, 2, hay 5)
- Thời gian sống (lifetime) của đường hầm IKE (thời gian / byte)
Hình 2.4 cho thấy hai thiết bị đầu cuối sử dụng IPsec sử dụng các transform set IKE để phối hợp các đường hầm IKE.
Hình 2.4: Transform set IKE
Trong hình 2.4, Router A và Router B đang thỏa thuận một đường hầm IKE. Giả sử Router A bắt đầu quá trình đàm phán IKE. Router A gửi hai chính sách IKE, 10 và
20, đến Router B. Sự thay đổi của một tham số cũng làm cho một chính sách IKE thay đổi. Có thể sử dụng cùng một chính sách IKE cho nhiều site. Khi Router B nhận được hai transform set, nó sẽ so sánh nội dung transform set bất kỳ mà nó có. So sánh này được thực hiện theo trình tự của các chính sách IKE cục bộ. Chính sách đầu tiên tìm thấy trở thành chính sách được sử dụng (trong đó hàm ý rằng có thể có nhiều chính sách với các thông số giống nhau). Các chỉ số chính sách xác định các độ ưu tiên (trình tự) và nó không phải là một chính sách. Trong ví dụ này, các nội dung của chính sách IKE 10 từ Router A phù hợp với những chính sách IKE 25 trong Router B. Router B phản ứng với Router A rằng nó chấp nhận chính sách 10 và một SA IKE được tạo ra. Nếu Router B không thể tìm thấy bất kỳ tham số chính sách chính xác giữa các transform set thì đường hầm IKE sẽ không được xây dựng và quá trình IPsec sẽ thất bại. Router A và Router B đã tìm thấy một chính sách IKE chung.
2.2.2.2. Trao đổi khoá Diffie-Hellman
Sau khi các chính sách IKE được thỏa thuận, giao thức DH được sử dụng để trao đổi các khoá mà sẽ được sử dụng trong Phase 1. Giao thức DH cho phép hai bên chia sẻ một khóa bí mật trên một kênh không an toàn.. Sau khi khóa Diffie-Hellman được trao đổi và chia sẻ bí mật được thiết lập, SA cho phase 1 được tạo ra. SA Phase 1 này được sử dụng để trao đổi kiểu khoá cho phase 2.
2.2.2.3. Xác thực ngang hàng
Chức năng của IKE phase 1 là để xác thực các thiết bị từ xa. Đây là một bước quan trọng để ngăn chặn các thiết bị giả mạo từ việc thiết lập các đường hầm an toàn vào hệ thống mạng. Nếu xác thực giai đoạn này không thành thì quá trình IPsec sẽ bị ngừng và các đường hầm IPsec không được tạo ra. Có ba phương pháp để xác thực ngang hàng đó là:
- Preshared keys (khoá chia sẻ)
- RSA signatures
- RSA-encrypted nonces
Preshared keys: một khoá được thiết lập bằng tay được đưa vào mỗi thiết bị. Các khoá này được trao đổi trong các chính sách IKE. Nếu khoá nhận được không phù hợp với cấu hình chính thì xác thực sẽ không thành công. RSA signatures: sử dụng digital certificates để xác thực các thiết bị. Mỗi thiết bị được cấp một certificate, và chứng chỉ này được thông qua trong các transform set. Các thiết bị đầu cuối IPsec đảm bảo rằng certificate đã được ký kết/xác nhận bởi một CA được biết đến. Khi đó thiết bị được xác thực. Nonce là một số mà chỉ được sử dụng một lần, nó như là hình thức của mật khẩu một lần (OTP). Nonce là một số “ngẫu nhiên” được tạo ra bởi mỗi thiết bị, được mã hoá và gửi đến các thiết bị khác.
2.2.3. Bước 3: IKE Phase 2
Các đường hầm IPsec thực tế được thiết lập vào IKE phase 2. IKE phase 1 tạo ra một kênh thông tin liên lạc rất an toàn (các SA riêng của mình) để các đường hầm
IPsec (các SA) có thể được tạo ra cho việc mã hóa dữ liệu và vận chuyển. Các thông số IPsec được thỏa thuận thông qua các SA IKE. IKE phase 2 thực hiện các chức năng sau đây:
- Thỏa thuận về các thông số bảo mật IPsec thông qua các transform set IPsec
- Thiết lập các SA IPsec (đường hầm IPsec một chiều)
- Thỏa thuận lại các SA IPsec để đảm bảo an toàn
- Trao đổi thêm một khoá Diffie-Hellman (tuỳ chọn)
Giả sử phase 1 là thành công, chế độ quick mode được sử dụng trong phase 2.Quick mode bao gồm toàn bộ quá trình xảy ra trong IKE phase 2. Đầu tiên, mỗi thiết bị IPsec phải thỏa thuận các thông số IPsec được sử dụng để tạo ra các đường hầm IPsec. Tương tự như IKE phase 1, các transform set IPsec được sử dụng trong quá trình này. Một khi các thông số IPsec được thoả thuận, các SA IPsec có thể được tạo ra. Các SA IPsec là đơn hướng. Như vậy để an toàn thì cần có hai SA cho thông tin liên lạc hai chiều giữa hai thiết bị. Chế độ quick mode sử dụng nonces để tạo ra loại khoá mới cho chia sẻ thông tin bảo mật và để ngăn chặn các cuộc tấn của các attracker. Bởi vì nonce chỉ được sử dụng trong một thời gian, do đó việc tái sử dụng khoá này sẽ không tạo ra các SA. Chế độ quick mode cũng giám sát sự kết thúc của các SA và thiết lập những cái mới khi cần thiết. Một SA sẽ không bao giờ tồn tại vô thời hạn, để ngăn chặn các khóa mã hóa từ lần cuối cùng được xác định và thỏa hiệp. Khi một SA sắp hết hạn, một cái mới được tạo ra để không bị mất lưu lượng dữ liệu được bảo vệ. Chế độ quick mode cũng có thể tùy chọn thực hiện thêm việc trao đổi khoá Diffie- Hellman. Trao đổi như vậy sẽ tạo ra các khoá công công/cá nhân mới giữa các thiết bị IPsec. Điều này xảy ra khi các khoá Diffie-Hellman hết hạn, do vượt quá thời gian hoặc dữ liệu cấp phát.
2.2.3.1. IPsec Transform Sets
Một transform set, như mô tả trong các chính sách IKE, là một nhóm các thuộc tính được trao đổi với nhau điều mà loại bỏ sự cần thiết phải phối hợp và thỏa thuận các thông số cá nhân. Sự khác biệt giữa một chính sách IKE và một transform set IPsec là những thuộc tính được trao đổi. Năm thông số phải được phối hợp trong chế độ quick mode giữa các thiết bị IPsec là:
- Giao thức IPsec (ESP hayAH)
- Kiểu mã hoá IPsec (DES, 3DES, hay AES)
- IPsec authentication (MD5 hay SHA-1)
- IPsec mode (tunnel hay transport)
- Thời gian sống của SA IPsec (seconds hay kilobytes)
Hình 2.5 cho thấy hai thiết bị đầu cuối IPsec sử dụng transform set IPsec để kết hợp các SA IPsec.
Trong hình 2.5, Router A và Router B đang thỏa thuận các thông số cho SA IPsec. Giả sử Router A bắt đầu quá trình đàm phán IKE phase 2. Router A gửi đến Router B hai transform set IPsec của nó, 60 và 70. Khi Router B nhận được hai transform set IPsec, nó tuần tự so sánh nội dung của từng transform set với transform set bất kỳ mà nó có. Trong ví dụ này, các nội dung của transform set IPsec 70 từ Router A phù hợp transform set IPsec 55 trong Router B. Router B phản ứng với Router A là nó chấp nhận transform set IPsec 70 và các SA IPsec được xây dựng. Nếu Router B không thể tìm thấy bất kỳ một thông số chính xác nào giữa các transform set IPsec thì các SA IPsec sẽ không được xây dựng và quá trình IPsec sẽ thất bại.
2.2.3.2. Tổ hợp bảo mật (Security Associate - SA)
Một tổ hợp bảo mật (SA) là một nhóm các dịch vụ bảo mật (thông số) được thoả thuận giữa hai thiết bị IPsec. Các thông số bảo mật được trao đổi suốt quá trình IKE phase 2 trong transform set. Một khi mỗi thiết bị đầu cuối IPsec đồng ý các dịch vụ thông thường để sử dụng thì các SA IPsec được xây dựng. Mỗi SA IPsec là một kết nối một chiều giữa hai thiết bị IPsec. Trong hầu hết trường hợp, mạng truyền thông hiệu quả yêu cầu lưu lượng hai chiều. Do đó, một IPsec hoàn thành kết nối giữa hai điểm đầu cuối bao gồm hai SA IPsec - một đi vào và một đi ra. Mỗi SA sử dụng các thông số bảo mật giống nhau để thỏa thuận trong các transform set IPsec. Tuy nhiên, mỗi SA được theo dõi và duy trì một cách riêng biệt. Mỗi khách hàng sử dụng một cơ sở dữ liệu SA (SA Database - SAD) để theo dõi
từng SA mà khách hàng tham gia vào. SAD chứa các thông tin sau về mỗi kết nối IPsec (SA):
- Địa chỉ IP đích
- Số SPI
- Giao thức IPsec (ESP hay AH)
Một cơ sở dữ liệu thứ hai, cơ sở dữ liệu chính sách bảo mật (Security Policy Database - SPD), chứa các thông số bảo mật đã được thỏa thuận cho mỗi SA (trong transform set). Đối với mỗi SA, cơ sở dữ liệu này bao gồm:
- Thuật toán mã hoá (DES, 3DES, hay AES)
- Thuật toán nhận thực (MD5 hay SHA-1)
- IPsec mode (tunnel hay transport)
- Thời gian sống của khoá (seconds hay kilobytes)
Việc sử dụng cả hai SAD và SPD cho phép bất kỳ khách hàng IPsec nào nhanh chóng theo dõi các thuộc tính IPsec cho bất kỳ gói dữ liệu đến hoặc đi tới bất kỳ
khách hàng từ xa nào.
2.2.4. Bước 4: Bảo mật việc truyền dữ liệu
Sau khi transform set IPsec đã được thoả thuận giữa hai điểm đầu cuối và các SAD và SPD đã được cập nhật vào mỗi đầu (tức là SA đã được xây dựng), lưu lượng có thể lưu thông qua đường hầm IPsec. Không phải tất cả lưu lượng được phép thông qua đường hầm. Chỉ có lưu lượng truy cập quan trọng là được phép sử dụng đường hầm. Tất cả các lưu lượng khác vẫn tiếp tục truyền qua các giao diện, nhưng không thông qua các đường hầm IPsec VPN.
2.2.5. Bước 5: Chấm dứt đường hầm IPsec
Có hai sự kiện có thể xảy ra để chấm dứt một đường hầm IPsec. Như đã phân tích,nếu thời gian sống của SA hết hạn thì sau đó đường hầm phải được phá bỏ. Tuy nhiên, nếu chuyển giao an toàn vẫn còn cần thiết giữa hai thiết bị đầu cuối thì một cặp SA mới được tạo ra trước khi cặp cũ được xoá bỏ. Nó cũng có thể tự xóa một đường hầm IPsec. Điều này thường được thực hiện bởi một administrator ở hai đầu của kết nối IPsec. Trong hầu hết trường hợp, việc chấm dứt tự động của đường hầm (do thời gian sử dụng quá nhiều hoặc quá lưu lượng sử dụng) được thực hiện và administrator không cần phải tham gia. Khi chấm dứt đường hầm, tất cả các thông tin về một SA được xoá đi ở cả hai SAD và SPD. Các thông số bảo mật có thể được sao chép vào một SPI mới để tiếp tục trao đổi dữ liệu an toàn, nhưng thực tế các bảng thông tin trong cơ sở dữ liệu đã bị xóa.
2.3. Các bước cấu hình Ipsec VPN site to site
Như đã phân tích trong một chu kì của IPsec có năm bước, tuy nhiên không phải tất cả các bước đều cần phải cấu hình. Sau đây là sáu bước để cấu hình một IPsec VPN site to site:
Bước 1 Cấu hình ISAKMP policy (IKE phase1).
Bước 2 Cấu hình transform set IPsec (IKE phase2, chấm dứt đường hầm).
Bước 3 Cấu hình crypto ACL (lưu lượng cần quan tâm, bảo mật việc truyền dữ liệu).
Bước 4: Cấu hình các crypto map (IKE phase2).
Bước 5: Áp dụng các crypto map vào cổng (IKE phase2).
Bước 6: Cấu hình ACL trên cổng
2.3.1. Bước 1: Cấu hình ISAKMP policy
Bước này sẽ xác định các thông số sau:
- Thuật toán mã hoá IKE (DES, 3DES, hay AES)
- Thuật toán xác thực IKE (MD5 hay SHA-1)
- Khoá IKE (preshare, RSA signatures, nonces)
- Phiên bản Diffie-Hellman (1, 2, hay 5)
- Thời gian sống của đường hầm IKE (thời gian / đếm byte)
2.3.2. Bước 2: Cấu hình transform set IPsec
Các thông số về transform set Ipsec, crypto ACL, và crypto map liên kết chặt chẽ với nhau. Chúng ta sẽ xem xét các thông số liên quan đến quá trình thỏa thuận giữa các thiết bị sau đây:
- Giao thức IPsec (ESP hay AH)
- Thuật toán mã hoá (DES, 3DES, hay AES)
- Thuật toán nhận thực (MD5 hay SHA-1)
- IPsec mode (tunnel hay transport)
- Thời gian sống của khoá (thời gian hay kilobytes)
2.3.3. Bước 3: Cấu hình crypto ACL
Một danh sách truy cập mở rộng (ACL) được sử dụng để xác định các lưu lượng cần quan tâm. Mỗi danh sách xác định địa chỉ nguồn và đích của lưu lượng mà chúng
sẽ đi qua các đường hầm IPsec. Nó cũng chỉ đơn giản là có một site (yêu cầu một site từ xa) gửi tất cả mọi thứ thông qua một đường hầm IPSec VPN cho các site chính, nhưng các site chính chỉ gửi lưu lượng đã được định trước cho các site từ xa thông qua VPN. Điều này làm cho các cấu hình tại các site từ xa khá đơn giản, và cô lập các cấu hình nâng cao hơn cho các site chính. Một mạng con từ mỗi site được coi là quan trong (do cấu hình ACL) sẽ được bảo vệ thông qua các đường hầm IPsec VPN. Các mạng con còn lại không thể tận dụng lợi thế của các cấu hình IPsec.
2.3.4. Bước 4: Cấu hình các crypto map
Crypto map là bước cấu hình cuối cùng, nó rằng buộc transform set và ACL với nhau, và điểm mà chúng đến một thiết bị từ xa. Mỗi map có thể có nhiều dòng, và các
dòng được tham chiếu số lượng từ mức thấp nhất tới mức cao nhất. Nếu một router chỉ có một cổng duy nhất, nhưng có nhiều khách hàng từ xa VPN,thì một crypto map duy nhất phải được sử dụng với một danh sách (entry) duy nhất cho mỗi thiết bị.
2.3.5. Bước 5: Áp dụng các crypto map vào cổng
Sau khi các crypto map được cấu hình thành công, nó phải được áp dụng cho một cổng để hoạt động. Các crypto maplà tập hợp các địa chỉ IP của các thiết bị từ xa, lưu lượng cần quan tâm sẽ lưu thông qua đường hầm IPsec, và các thông số bảo mật IPsec (transform set) sẽ được sử dụng để bảo vệ dữ liệu.
2.3.6. Bước 6: Cấu hình ACL trên cổng
Bước cuối cùng là chúng ta cần gán các ACL đã thiết lập lên các lên các cổng để các chính sách này được thi hành.
Comment