Hỗ trợ » Giải pháp »


Lượt xem: 3236
Gửi lúc 11:22' 15/11/2010
Giải pháp IPSEC VPN
I. Giới Thiệu
Nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn (data security) trong một tổ chức, công ty dẫn đến nhu cầu về các giải pháp mạng riêng ảo VPN (Virtual Private Network). Thêm vào đó, khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh nghiệp công ty có nhiều chi nhánh và sự phát triển của lượng nhân viên di động cũng làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty. Hệ thống mạng riêng ảo IPSEC VPN là công nghệ dựa vào cơ sở hạ tầng chung (mạng internet,…) để thiết lập thành 1 mạng riêng thông qua nhiều giai đoạn bắt tay ,mã hóa kênh kết nối giữa các site với nhau. Mạng internet chứa đựng nhiều hiểm nguy khác nhau đặc biệt là nguy cơ về việc đảm bảo an toàn thông tin. Các hacker có thể lợi dụng khai thác và capture các thông tin truyền trên internet. Để đảm bảo sao cho các thông tin này khi bị các hacker capture lại cũng không thể đọc được nội dung. Vì đây là vấn đề quan trọng nên có rất nhiều các thuật toán mã hóa khác nhau ra đời như: MD5,DES,3DES,… nhằm mã hóa các gói dữ liệu truyển qua internet 1 cách an toàn. IPSEC VPN áp dụng các thuật toán này để mã hóa và tạo ra các tunel truyền dữ liệu an toàn.
IPSec (Internet Protocol Security) Đây là công nghệ sử dụng mật mã để cung cấp đồng thời hai dịch vụ xác thực (authentication) và mã hóa (encryption). Việc xác thực đảm bảo rằng các gói tin được gửi đi từ người gửi đích thực và không bị thay đổi trên đường truyền. Công nghệ mã hóa nhằm chống lại ý định đọc trộm nội dung của các gói tin. IPSec có thể bảo vệ cho việc truyền dữ liệu bởi bất kỳ một giao thức nào dựa trên IP và bất kỳ một môi trường nào được sử dụng dưới tầng IP. IPSec còn cung cấp một các dịch vụ bảo mật ở mức "nền", không ảnh hưởng gì đối với người sử dụng bởi việc mã hóa và xác thực được thực hiện ở tầng IP.
Các dịch vụ IPSec cho phép xây dựng các đường hầm (tunnel) an toàn thông qua các mạng không tin cậy. Dòng dữ liệu đi qua mạng không tin cậy sẽ được mã hóa bởi máy chạy IPSec (IPSec Gateway) ở đầu bên này và được giải mã bởi IPSec gateway đầu bên kia của đường truyền. Như vậy, chúng ta thu được một mạng riêng ảo (Virtual Private Network - VPN). Đó là một mạng được bảo mật hoàn toàn mặc dù nó bao gồm nhiều máy tại nhiều điểm được nối với nhau dựa trên cơ sở hạ tầng của các mạng không tin cậy (chẳng hạn như Internet).
IPSec có thể hoạt động ở hai chế độ:
- Chế độ đường hầm (Tunnel): Tất cả nội dung của gói tin IP sẽ được bọc bởi một gói tin IP khác do vậy để có thể kết nối giữa hai đầu cuối cần phải có hai IPSec gateway kết nối với nhau bởi một tunnel. Chế độ này hỗ trợ dạng kết nối LAN-to-LAN.
- Chế độ chuyển vận (Transport): Ở chế độ này chỉ có phần Payload của gói tin IP là được mã hóa, do vậy có thể tạo một kết nối IPSec từ một trình khách IPSec đến máy chủ chạy IPSec thông qua hạ tầng truyền thông có sẵn. Chế độ này chỉ hỗ trợ dạng kết nối host-to-host.
Kiến trúc IPSec xoay quanh hai giao thức dùng để bảo vệ gói tin là AH (Authentication Header) và ESP (Encapsulated Security Payload). Có thể có một số cách thức kết hợp giữa chế độ hoạt động và giao thức hoạt động của IPSec như sau:
- Chế độ chuyển vận với AH
- Chế độ đường hầm với AH
- Chế độ chuyển vận với ESP
- Chế độ đường hầm với ESP
Chế độ chuyển vận sử dụng AH và ESP đối với phần dữ liệu liên quan đến tầng chuyển vận trong một gói tin IP. Phần dữ liệu thực của giao thức IP là phần duy nhất được bảo vệ trong toàn gói tin. Phần header của gói tin IP với địa chỉ của điểm truyền và điểm nhận không được bảo vệ. Khi áp dụng cả AH và ESP thì AH được áp dụng sau để tính ra tính toàn vẹn dữ liệu trên tổng lượng dữ liệu.
- Mã hóa (Encrypt): dùng DES và 3DES để mã hóa chỉ có đầu gởi và nhận đọc được.
- Bảo mật tập trung (Security Association): làm nhiệm vụ trao đổi key giữa các vpn gateway với nhau.
- Toàn vẹn dữ liệu (Data Integrity): đảm bảo dữ liệu không bị thay đổi khi đi từ nguồn đến đích.
Với những giải thuật mã hóa  như trên thì việc trao đổi dữ liệu giữa các site với nhau xảy ra 1 cách trong suốt và an toàn tuyệt đối, các end user sẽ không biết .

II. Các Thuật Toán Mã Hóa dùng trong IPSEC VPN
Thuật Toán DES: Là phương thức mã hóa dữ liệu dùng khóa 56 bit  cho block dữ liệu
Thuật Toán 3DES: Dùng khóa có chiều dài 168 bit
IKE: làm nhiệm vụ trao đổi key giữa các vpn gateway.
IKE hỗ trợ 3 kiểu chứng thực  là 
- Pre-share key
- RSA
- RSA signature
Pre-share key thường dùng phổ biến trong cách cấu hình Ipsec Vpn cho các doanh nghiệp có ít số chi nhánh.
Ipsec vpn là phương thức kết nối site to site với nhau bằng cách 2 bên phải thống nhất với nhau về các chính sách ,các quy ước (Key,…) được giám sát bởi SA (security Association). IKE thực hiện quá trình dò tìm, xác thực ,quản lý vá trao đổi key giữa các gateway vpn, sau đó SA sẽ theo dõi tất cả các phiên làm việc của ipsec vpn.
Ipsec Sa là quá trình trao đổi 1 chiều và được dùng trao đổi giữa các thiết bị gateway với nhau. Quá trình kết nối giữa 2 site với nhau đòi hỏi phải có 2 ipsec SA . Ví dụ khi site A kết nối với site B thì sẽ  có 2 SA tạo ra 1 SA từ A đến B và 1 SA từ B về A.

III. Quá Trình Bắt Tay
Để thực hiện được việc kết nối  các site với nhau, đầu tiên phải thực hiện những bước trao đổi key và những tham số khác giữa chúng. Các phase và mode là những tham số quan trọng để thực hiện kết nối, quá trình bắt tay gồm có 2 giai đoạn:
Giai đoạn 1: Thiết lập kênh kết nối an toàn bởi protocol IKE SA, yêu cầu các tham số về cấu hình, thuật toán mã hóa, phương thức chứng thực phải đồng bộ giữa các Gateway VPN.
Giai đoạn 2: Sau khi giai đoạn 1 thành công thì quá trình diễn ra tiếp tục trao đổi bởi các IPSEC SA Khi cả 2 đầu VPN Gateway bắt tay với nhau thành công thì các pc bên trong mạng Local của 2 site trao đổi thông tin được với nhau như là trong mạng Local vậy.

IV.Yêu cầu
Để thiết lập được vpn thì cần phải có thiết bị vpn.
Dùng thiết bị VPN phần cứng: do là thiết bị phần cứng chuyên dụng nên khả năng đáp ứng với nhiều tunel ,cũng như hỗ trợ ghi và xem log,…
Giới thiệu Thiết bị Fortinet:  fortinet là thiết bị phần cứng dùng công nghệ UTM cung cấp mô hình bảo mật toàn diện, tập hợp tất cả các tính năng như: firewall, phòng chống virus, spam… giảm thời gian chết  của hệ thống. Fortinet có đội ngũ nghiên cứu về các loại new version virus,spam...  được triển khai  ở  các server trên toàn thế giới và sẽ được update tự động cho các Fortigate. Fortinet được ICSA chứng nhận đạt tiêu chuẩn về phòng chống các mối đe dọa như là : Statel full ,IPSEC Vpn, Antivirus, Antispam…
         
Fortinet dùng công nghệ chip ASIC tích hợp phần cứng  là hệ thống loại bỏ các virus,spam... các mã nguy hiểm đến mạng bên trong mà không làm nghẽn mạng.
Thiết bị phần cứng VPN server của fortinet hỗ trợ IPSEC,PPTP, L2TP các protocol này hỗ trợ việc kết nối giữa các site với nhau vá hỗ trợ cho các user mobile  với những tính năng này có thể triển khai phù hợp với policy của các công ty bằng nhiều hình thức VPN khác nhau. Các tính năng firewall khác như quét virus, spam,worms….. Fortinet dùng công nghệ chíp ASIC làm nhân OS làm cho khả năng quét virus,spam của firewall nhanh và không làm nghẽn mạng. Kiểm tra virus ở các Tunel kết nối giữa các VPN Gateway đảm bảo các dữ liệu truyền về được kiểm tra an toàn trước khi vào mạng local. Fortigate cập nhật các signature của virus,antispam... một cách tự động theo lịch mà người quản trị đã định sẵn. Ngoài ra có chức năng cảnh báo qua email, khi phát hiện ra những mối nguy hiểm đến hệ thống mạng thì Fortigate sẽ gửi email cảnh báo đến người quản trị theo địa chỉ đã cài đặt trước. Việc  ghi lại nhật ký hệ thống giúp người quản trị dễ tìm ra lỗi nếu có, cũng như  thấy được những session của  PC nào kết nối ra vào mạng giúp người quản trị dễ quản lý các traffic trên mạng. Thiết bị này hỗ trợ nhiều kiểu chứng thực khác  như: Password, Radius server… cho nên phù hợp được với các mô hình mạng khác nhau.

V. Hiện Trạng
Mô hình mạng của khách hàng dùng đường ADSL. Công ty có hai chi nhánh, họ muốn chi nhánh này kết nối với Văn phòng chính qua đường ADSL, để chia sẽ tài nguyên với nhau, cũng như sử dụng các phần mềm ứng dụng giữa các văn phòng qua môi trường Internet. Đồng thời, yếu tố đảm bảo được tính bảo mật cho thông tin là yêu cầu được quan tâm & đặt lên hàng đầu.

VI. Giải Pháp của chúng tôi
Như đã giới thiệu ở trên dùng IPSEC VPN để kết nối các văn phòng lại với nhau, đảm bảo an toàn và trong suốt với người dùng. 
Lựa Chọn thiết bị:
Tại Văn Phòng chính: dùng FG-200A
Tường lửa trung tâm cho môi trường mạng doanh nghiệp hội tụ các yếu tố sau:
- Tính bảo mật: chống lại các tấn công phức hợp, quét virus ở mức độ mạng, khả năng IPS nhằm bảo vệ các vùng mạng nhạy cảm
- Năng lực xử lý: khả năng quét mạng thời gian thực, hỗ trợ HA, cập nhật các dấu hiệu nhận dạng ở cấp độ thời gian thực, có đủ số cổng vật lý đáp ứng số vùng bảo mật đề xuất.
- Chi phí: phù hợp
 
Các đặc điểm chính:
- Firewall: Ngăn chặn các ứng dụng và người dùng không mong muốn, tạo các chính sách bảo mật theo mong muốn
- Antivirus: nhận dạng và ngằn ngừa virus và worm trước khi chúng tác động vào hệ thống.
- IDS&IDP: phòng chống tấn công mạng một cách tích cực.
- Web Filtering: lọc web và ngăn chặn việc lạm dụng và sử dụng không không thích đáng các tài nguyên mạng.
- Automated updates: đảm bảo việc phòng chống lại các mối đe dọa thông qua việc tự động cập nhật dấu hiệu nhận dạng virus, dấu hiệu nhận dạng tấn công.
- Số phiên làm việc đồng thời          : 400.000
- Khả năng tạo mới số phiên/giây    : 4.000
- Thông lượng tường lửa        : 150 Mbps
- Thông lượng 168-bit Tripble-Des    : 70 Mbps
- Thông lượng quét virus/spyware    : 30 Mbps
- Số lượng người dùng                   : không giới hạn
- Số chính sách security                 : 20.000
- VDOM                                         : 02

Khả năng VPN
FG-200A hỗ trợ đầy đủ các yêu cầu gắt gao của VPN cũng như các yêu cầu của chuẩn IPSec.
FG-200A hỗ trợ VPN như sau:
- PPTP, L2TP và IPSec
- Số tunnels (IPSec site-site) tối đa: 2 00
- Mã hóa: DES, 3DES, AES
- Xác thực: SHA-1 và MD5
- PPTP, L2TP và VPN pass through
- Hỗ trợ Hub và Spoke VPN
- IPSec NAT Traversall
- Dead peer detection
- SSL-VPN (có trong FortiOS 3.0) : Hiện tại Fortinet cung cấp miễn phí không giới hạn người dùng.
- Một trong những đặc điểm nổi trội của Fortigate đó là khả năng quét virus trên các luồng VPN.
- Fortigate VPN được xử lý theo công nghệ chip ASIC: Cung cấp thông suất VPN mạnh mẽ.
- IKE: hỗ trợ Pre-shared Key, Certs, và Manual Keys.
- Hỗ trợ xác thực: Radius, LDAP, Local Database, SecureID, X-Auth đối với các client.
- Hỗ trợ Redundant VPN gateways
- Kiểm tra nội dung VPN:  Quét virus, IPS, URL Filtering.

FG-200A là thiết bị tường lửa hỗ trợ tất cả các tính năng :
- Chống virus
- Tường lửa
- VPN
- Phòng ngăn chặn các  kiểu tấn công  với IPS
- Không hạn chế user, hỗ trợ DMZ giúp admin phân vùng cho các server  đảm bảo tính an toàn cao.   

Tại văn phòng chi nhánh: Dùng FG-100A


Mô hình IPSEC VPN thông thường

 
Mô hình sử dụng công nghệ IPSEC VPN Forgate
Các đặc điểm chính:
- Firewall: Ngăn chặn các ứng dụng và người dùng không mong muốn, tạo các chính sách bảo mật theo mong muốn
- Antivirus: Nhận dạng và ngằn ngừa virus và worm trước khi chúng tác động vào hệ thống.
- IDS&IDP: Phòng chống tấn công mạng một cách tích cực.
- Web Filtering: Lọc web và ngăn chặn việc lạm dụng và sử dụng không không thích đáng các tài nguyên mạng.
- Automated updates: đảm bảo việc phòng chống lại các mối đe dọa thông qua việc tự động cập nhật dấu hiệu nhận dạng virus, dấu hiệu nhận dạng tấn công.
- Số phiên làm việc đồng thời        : 200.000
- Khả năng tạo mới số phiên/giây    : 4.000
- Thông lượng tường lửa        : 100 Mbps
- Thông lượng 168-bit Tripble-Des    : 40 Mbps
- Thông lượng quét virus/spyware    : 20 Mbps
- Số lượng người dùng            : không giới hạn
- Số chính sách security            : 4.000
- FG100A  dùng trong môi trường mạng vừa và nhỏ
- FG100A có 256Mb Ram.
- Hỗ trợ 2 port WAN  làm tính năng  redundant  và loadbance cho việc truy cập internet .
- Hỗ trợ 80 tunel cho VPN
- Có 4 port lan
- Hỗ trợ 2 port DMZ giúp phân ra những segment mạng khác nhau. Nhằm tăng khả năng security cho hệ thồng mạng.
Cũng như FG-200A, FG-100A là thiết bị tường lửa hỗ trợ tất cả các tính năng :
- Chống virus
- Tường lửa
- VPN
- Phòng ngăn chặn các  kiểu tấn công  với IPS
Ưu Điểm triển khai VPN:   
- Đảm bảo các mạng kết nối với nhau trong suốt.
- Giảm chi phí hơn so với leased line và frame relay.
- Giảm chi phí mua thiết bị (modem NTU).
Khuyết Điểm triển khai VPN:
- Sự mã hóa các gói dữ liệu ảnh hưởng đến năng suất hoạt động của mạng.
- IPSEC phức tạp có nhiều tùy chọn.

VII. Khả Năng Mở Rộng

Thiết bị Fortigate này hỗ trợ IPSEC VPN tuân theo tiêu chuẩn chung, nên có thể thiết lập tunel được với bất kỳ thiết bị nào hỗ trợ thiết lập VPN. Ngoài ra hỗ trợ nhiều protocol routing khác nhau như IP,OSPF… nên phù hợp với những môi trường mạng khác nhau. Có thể dùng Fortianalyzer  để ghi lại lịch sử hệ thống, nội dung của tất cả các Traffic đi ngang qua các Fortigate ở trung tâm,  giúp người quản trị hệ thống dễ dàng giám sát, phân tích và đưa ra các Report (dạng biểu đồ) về hệ thống mạng  giúp đánh giá được điểm yếu của hệ thống. Fortianalyzer  sẽ cách ly các file đọc hại nhằm đảm bảo hệ thống an toàn hơn.

Xin liên hệ:   
Phòng Kinh Doanh
Công ty TNHH Các Hệ Thống Viễn Thông VNPT-FUJITSU
Tel: 04.33845847  Fax: 04.33845359


» Các bài viết khác





VFT, VNPT, Fujitsu, Thiet bi truyen dan, Thiet bi vien thong, Mang khong day, Dien toan dam may, ADSL, Chuyen mach, Ghep kenh, Thiet bi duong truc, Telecommunications,LTE, SAE, SingleRAN, IMS, BMS, Data, FTTx, Broadband access, WDM, SDP, managed service, terminal, WCDMA/HSPA, TD-SCDMA, WiMAX, LTE, 3G, 4G, Viba, Ethenet, DWDM