I. Giới thiệu:
Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các mạng riêng dựa trên hạ tầng mạng công cộng (Internet). VPN thường được dùng để kết nối các văn phòng chi nhánh (branch-office), các người dùng từ xa (mobile users) về văn phòng chính.
Giải pháp VPN của Cisco dựa trên một vài sản phẩm khác nhau, bao gồm Pix Firewall, Cisco routers, VPN 3000/5000 Concentrator. Các protocol được dùng trong VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE).
1.1. IPSec:
- Protocol IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), Security Association (làm nhiệm vụ trao đổi khóa), Data Integrity (tạm dịch: đảm bảo toàn vẹn dữ liệu) và Origin Authentication ( kiểm tra nguồn gốc dữ liệu).
- Cả hai giải thuật DES và 3DES đều được dùng cho việc mã hóa nêu trên. Chi tiết về DES xin xem mục 1.2. Chỉ có đầu gởi (sender) và đầu nhận (receiver) có thể đọc được dữ liệu.
- Security Association (SA) thường được quản lý bời IKE.
- SA thường có thể dùng pre-share-key, RSA encryption hoặc các RSA signatures.
- SA có thể được cấu hình không cần dùng IKE nhưng cách này ít được dùng.
- Nhiệm vụ của thành phần Data Integrity là đảm bảo dữ liệu đã không bị thay đổi khi đi từ nguồn tới đích. Thành phần Data Integrity này dùng các giải thuật hash như Encapsulating Security payload (ESP), Authentication Header (AH), Message-Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1). Khi áp dụng ESP hoặc AH vào một gói IP, gói IP này có thể ( mặc dù không phải là luôn luôn) bị thay đổi.
- Origin Authentication là một option của IPSec. Thành phần này dùng digital signatures hoặc digital certificate.
1.2.DES
- DES được dùng như một phương thức mã hóa dữ liệu dùng khóa riêng (private-key). Có hơn 72,000,000,000,000,000 khóa có thể dùng. Mỗi message có có một khóa mới được chọn ngẫu nhiên. Khóa riêng (private-key) của đầu gởi (sender) và đầu nhận (receiver) phải giống nhau.
- Giải thuật DES áp dụng khóa 56 bit cho mỗi block dữ liệu 64-bit. Quá trình mã hóa có thể hoạt động ở vài chế độ và bao gồm 16 lượt thao tác (operations). Mặc dù quá trình này đã là rất phức tạp, một vài công ty còn dùng 3DES, nghĩa là áp dụng DES ba lần. 3DES thì khó crack hơn là DES. Phương thức để crack DES có thể được tìm thấy trong quyển sách “Cracking DES: Secrets of Encryption Resesarch” của nhà xuất bản O’ Reilly’s.
- Trong tương lai, DES sẽ không được xem là chuẩn nữa. Cisco có kế hoạch hỗ trợ AES (Advance Encryption Standard) vào cuối năm 2001.
1.3.Triple DES
- 3DES dùng khóa có chiều dài là 168-bit.
1.4.IKE
- IKE chịu trách nhiệm trao đổi khóa giữa hai VPN peers.
- IKE hỗ trợ 3 kiểu kiểm tra đăng nhập (authentication): dùng khóa biết trước (pre-share keys), RSA và RSA signature.
- IKE dùng hai protocol là Oakley Key Exchange và Skeme Key Exchange trong ISAKMP.
- Cơ chế pre-shared key thường được dùng trong những hệ thống nhỏ. Hạn chế của cơ chế này là việc yêu cầu cấu hình bằng tay (manual) cho mỗi đầu của kết nối VPN. Ngoài ra, cơ chế này được xem là không có khả năng mở rộng (scale).
- Cả hai kiểu kiểm tra đăng nhập còn lại RSA dùng public-key.
II. Các ví dụ cấu hình VPNs.
2.1. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa biết trước (pre-share key)
trong tunnel mode, gói IP nguyên thủy được đặt trong frame ESP, sau đó chính frame ESP này lại được đặt trong một gói IP khác không mã hóa. Thông tin trong header của gói IP không mã hóa này được dùng để route datagram từ nguồn đến đích.
Cơ chế này sẽ cho phép các thiết bị mạng như router hoạt động như một IPSEc proxy. Nghĩa là routers sẽ thực hiện mã hóa thay cho các hosts. Router nguồn sẽ mã hóa packet và forward nó đến cuối tunnel. Router đích sẽ giải mã packets và chuyển packet về host đích. Uư điểm của cơ chế này là chống được traffic- analysis. Mode này chỉ hoạt động khi cả nguồn và đích đều chạy được IPSEC. Uư điểm khác là ta không phải thay đổi hệ điều hành OS hoặc bất cứ ứng dụng nào trong PCs, servers và hosts.
Trong transport mod, ESP header sẽ được thêm vào IP nguyên thủy ban đầu của bạn. Header này được thêm vào ngay trước TCP.UDP hoặc ICMP. trong mod này, băng thông được tiết kiệm.
Chỉ có IP payload (phần data của IP packet) là bị mã hóa. Các thiết bị trên mạng có thể thấy source và đích của packet. Các cơ chế đòi hỏi xử lý đặc biệt (như Quality of services) trên packet trên các network trung gian là vẫn được support.
Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các mạng riêng dựa trên hạ tầng mạng công cộng (Internet). VPN thường được dùng để kết nối các văn phòng chi nhánh (branch-office), các người dùng từ xa (mobile users) về văn phòng chính.
Giải pháp VPN của Cisco dựa trên một vài sản phẩm khác nhau, bao gồm Pix Firewall, Cisco routers, VPN 3000/5000 Concentrator. Các protocol được dùng trong VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE).
1.1. IPSec:
- Protocol IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), Security Association (làm nhiệm vụ trao đổi khóa), Data Integrity (tạm dịch: đảm bảo toàn vẹn dữ liệu) và Origin Authentication ( kiểm tra nguồn gốc dữ liệu).
- Cả hai giải thuật DES và 3DES đều được dùng cho việc mã hóa nêu trên. Chi tiết về DES xin xem mục 1.2. Chỉ có đầu gởi (sender) và đầu nhận (receiver) có thể đọc được dữ liệu.
- Security Association (SA) thường được quản lý bời IKE.
- SA thường có thể dùng pre-share-key, RSA encryption hoặc các RSA signatures.
- SA có thể được cấu hình không cần dùng IKE nhưng cách này ít được dùng.
- Nhiệm vụ của thành phần Data Integrity là đảm bảo dữ liệu đã không bị thay đổi khi đi từ nguồn tới đích. Thành phần Data Integrity này dùng các giải thuật hash như Encapsulating Security payload (ESP), Authentication Header (AH), Message-Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1). Khi áp dụng ESP hoặc AH vào một gói IP, gói IP này có thể ( mặc dù không phải là luôn luôn) bị thay đổi.
- Origin Authentication là một option của IPSec. Thành phần này dùng digital signatures hoặc digital certificate.
1.2.DES
- DES được dùng như một phương thức mã hóa dữ liệu dùng khóa riêng (private-key). Có hơn 72,000,000,000,000,000 khóa có thể dùng. Mỗi message có có một khóa mới được chọn ngẫu nhiên. Khóa riêng (private-key) của đầu gởi (sender) và đầu nhận (receiver) phải giống nhau.
- Giải thuật DES áp dụng khóa 56 bit cho mỗi block dữ liệu 64-bit. Quá trình mã hóa có thể hoạt động ở vài chế độ và bao gồm 16 lượt thao tác (operations). Mặc dù quá trình này đã là rất phức tạp, một vài công ty còn dùng 3DES, nghĩa là áp dụng DES ba lần. 3DES thì khó crack hơn là DES. Phương thức để crack DES có thể được tìm thấy trong quyển sách “Cracking DES: Secrets of Encryption Resesarch” của nhà xuất bản O’ Reilly’s.
- Trong tương lai, DES sẽ không được xem là chuẩn nữa. Cisco có kế hoạch hỗ trợ AES (Advance Encryption Standard) vào cuối năm 2001.
1.3.Triple DES
- 3DES dùng khóa có chiều dài là 168-bit.
1.4.IKE
- IKE chịu trách nhiệm trao đổi khóa giữa hai VPN peers.
- IKE hỗ trợ 3 kiểu kiểm tra đăng nhập (authentication): dùng khóa biết trước (pre-share keys), RSA và RSA signature.
- IKE dùng hai protocol là Oakley Key Exchange và Skeme Key Exchange trong ISAKMP.
- Cơ chế pre-shared key thường được dùng trong những hệ thống nhỏ. Hạn chế của cơ chế này là việc yêu cầu cấu hình bằng tay (manual) cho mỗi đầu của kết nối VPN. Ngoài ra, cơ chế này được xem là không có khả năng mở rộng (scale).
- Cả hai kiểu kiểm tra đăng nhập còn lại RSA dùng public-key.
II. Các ví dụ cấu hình VPNs.
2.1. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa biết trước (pre-share key)
trong tunnel mode, gói IP nguyên thủy được đặt trong frame ESP, sau đó chính frame ESP này lại được đặt trong một gói IP khác không mã hóa. Thông tin trong header của gói IP không mã hóa này được dùng để route datagram từ nguồn đến đích.
Cơ chế này sẽ cho phép các thiết bị mạng như router hoạt động như một IPSEc proxy. Nghĩa là routers sẽ thực hiện mã hóa thay cho các hosts. Router nguồn sẽ mã hóa packet và forward nó đến cuối tunnel. Router đích sẽ giải mã packets và chuyển packet về host đích. Uư điểm của cơ chế này là chống được traffic- analysis. Mode này chỉ hoạt động khi cả nguồn và đích đều chạy được IPSEC. Uư điểm khác là ta không phải thay đổi hệ điều hành OS hoặc bất cứ ứng dụng nào trong PCs, servers và hosts.
Trong transport mod, ESP header sẽ được thêm vào IP nguyên thủy ban đầu của bạn. Header này được thêm vào ngay trước TCP.UDP hoặc ICMP. trong mod này, băng thông được tiết kiệm.
Chỉ có IP payload (phần data của IP packet) là bị mã hóa. Các thiết bị trên mạng có thể thấy source và đích của packet. Các cơ chế đòi hỏi xử lý đặc biệt (như Quality of services) trên packet trên các network trung gian là vẫn được support.