Professional Documents
Culture Documents
Báo Cáo Luận Văn GET VPN
Báo Cáo Luận Văn GET VPN
i
ĐẠI HỌC QUỐC GIA TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
TRƯỜNG ĐH BÁCH KHOA Độc Lập – Tự Do – Hạnh Phúc
Số:______/BKĐT
ii
TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
10. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm _____ /10
Ký tên (ghi rõ họ tên)
iii
TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
iv
LỜI CẢM ƠN
Chúng em xin gửi đến Thầy Nguyễn Minh Hoàng lời cảm ơn chân thành với sự
trân trọng và lòng biết ơn sâu sắc. Thầy đã hướng dẫn, truyền đạt kinh nghiệm, kiến thức,
cách tư duy và làm việc khoa học trong suốt thời gian thực tập tốt nghiệp và luận văn tốt
nghiệp.
Chúng em xin chân thành cảm ơn các Thầy các Cô trường Đại học Bách khoa
Tp.Hồ Chí Minh, đặc biệt là các Thầy Cô khoa Điện – Điện tử và các Thầy Cô trong bộ
môn Viễn Thông đã hết lòng dạy dỗ và truyền đạt những kiến thức quý báu, giúp chúng
em có một nền tảng kiến thức vững chắc. Ngoài ra em còn được rèn luyện một tinh thần
học tập và làm việc. Đây là những yếu tố cơ bản giúp em nhanh chóng hoà nhập với môi
trường làm việc sau khi ra trường.
Xin cảm ơn Ba Mẹ và cả gia đình đã tạo mọi điều kiện tốt nhất trong cuộc sống và
trong quá trình học tập của con.
Xin cảm ơn tất cả Bạn bè đã luôn chia sẻ, động viên trong những năm tháng của
quãng đời sinh viên.
Lê Thanh Phong
v
TÓM TẮT ĐỀ TÀI LUẬN VĂN
Ngày này, network cần phải hỗ trợ tất cả các hình thức truyền thông bao gồm data,
voice, video để nâng cao giao tiếp và trao đổi thông tin với chi phí điều hành thấp hơn.
Trong khi rủi ro an ninh ngày càng tăng.
Group Encrypted Transport (GET) VPN là phương pháp mới cho việc mã hóa, đơn
giản việc cung cấp và quản lý an toàn của VPN.
Mục tiêu chính của đề tài luận văn là ứng dụng bảo mật GET VPN trên VPN-
MPLS kết nối tất cả các chi nhánh và trụ sở của doanh nghiệp đảm bảo tính bảo mật cao,
đặc biệt là các giao dịch yêu cầu tính an toàn như giao dịch thương mại.
vi
MỤC LỤC
vii
3.2 Cấu trúc PKI .............................................................................................................. 20
3.2.1 Thành phần cơ bản của PKI ................................................................................ 20
3.2.1.1 Chứng thực ................................................................................................... 20
3.2.1.2 Trung tâm chứng thực CA (Certification Authority) ................................... 21
3.2.1.3 Trung tâm chứng thực phụ Sub-CA (Subordinate CA) ............................... 22
3.2.1.4 Các user và thiết bị cuối. .............................................................................. 22
3.2.2 Quá trình đăng ký PKI. ....................................................................................... 23
3.2.2.1 Enrollment. ................................................................................................... 23
3.2.2.2 Hết hạn và cấp mới chứng thực .................................................................... 26
3.2.2.3 Việc kiểm tra chứng thực. ............................................................................ 26
3.2.3 Kiến trúc hệ thống CA phân cấp......................................................................... 28
3.2.4 Mô phỏng hệ thống CA. ..................................................................................... 31
Chƣơng 4: Giải pháp GET VPN ........................................................................... 34
4.1 Ưu điểm GET VPN ................................................................................................... 34
4.2 Tổng quan về GET VPN ........................................................................................... 34
4.2.1 GDOI (RFC 3547) .............................................................................................. 35
4.2.2 Key Server (KS) ................................................................................................. 36
4.2.3 COOP Key Server............................................................................................... 37
4.2.4 Group Member (GM) ......................................................................................... 38
4.2.5 IP Tunnel Header Preservation ........................................................................... 39
4.2.6 Group security association .................................................................................. 41
4.2.7 Quá trình Rekey .................................................................................................. 41
4.2.8 Time-based anti-replay ....................................................................................... 42
4.3 Hoạt động của GET VPN.......................................................................................... 44
4.3.1 Hoạt động IKE và đóng gói ESP ........................................................................ 44
4.3.2 Quá trình hoạt động của GET VPN .................................................................... 48
Chƣơng 5: Cấu hình GET VPN ............................................................................ 51
5.1 Phương pháp chứng thực. ......................................................................................... 51
viii
5.2 Cấu hình trên KS. ...................................................................................................... 53
5.2.1Cấu hình IKE phase 1. ......................................................................................... 53
5.2.2 Cấu hình các thông số IPsec ............................................................................... 54
5.2.3 Cấu hình GDOI Group........................................................................................ 55
5.2.4 Cấu hình Access List Policies............................................................................. 56
5.3 Cấu hình trên GM...................................................................................................... 56
5.3.1 Cấu hình IKE Phase 1. ........................................................................................ 56
5.3.2 Cấu hình GDOI Group........................................................................................ 56
5.3.3 Cấu hình Crypto Map. ........................................................................................ 57
5.3.4 Kích hoạt GET VPN. .......................................................................................... 57
5.4 Cấu hình COOP KS .................................................................................................. 57
5.4.1 Exporting and Importing RSA Keys .................................................................. 57
5.4.2 Cấu hình Redundancy ......................................................................................... 58
5.5 Cấu hình CA Server .................................................................................................. 58
5.6 Kết quả triển khai ..................................................................................................... 59
Chƣơng 6: Tổng kết và đánh giá kết quả............................................................. 62
6.1 Đánh giá về bảo mật GET VPN. ............................................................................... 62
6.2 Hướng phát triển luận văn. ........................................................................................ 62
TÀI LIỆU THAM KHẢO. .................................................................................... 63
ix
CÁC THUẬT NGỮ VIẾT TẮT
ACK Acknowledgement
C Customer
CA Certification Authority
CE Customer Edge
GM Group Member
IP Internet Protocol
x
IPSec Internet Protocol Security
KS Key Server
MD Message Digest
P Provider
PE Provider Edge
RD Route Distinguisher
RT Route Target
SA Security Association
SP Service Provider
xi
TBAR Time Based Anti-Replay
xii
DANH MỤC HÌNH
Trang
Hình 2.2 Cấu trúc bảng định tuyến router PE [2]. ............................................................... 5
Hình 2.7 Chuyển tiếp gói tin trong MPLS VPN [2]. ......................................................... 10
Hình 3.2 Xác thực sử dụng Key bất đối xứng [3]. ............................................................ 17
xiii
Hình 3.9 Mô hình mô phỏng CA hai cấp. ......................................................................... 32
Hình 4.4 Mô hình phân phối keys của Key Server [6]. ..................................................... 37
Hình 4.6 Mô hình hoạt động Group Keys trên GMs [6]. .................................................. 39
Hình 4.8 So sánh tunnel header IPsec với GET [7]. ......................................................... 40
Hình 4.11 Đóng gói không sử dụng Time-Based Anti-Replay [6]. .................................. 43
Hình 4.17 Đóng gói ESP trong GET VPN [6]. ................................................................. 47
Hình 4.20 Giải mã thông tin nhận được trên GM [6]. ....................................................... 49
xiv
Hình 4.21 Rekey [6]. ......................................................................................................... 50
Hình 5.3 Gói tin đăng kí của GMs với KS. ....................................................................... 59
Hình 5.5 Chi tiết gói tin qua mạng core. ........................................................................... 60
Hình 5.7 Thông tin về GDOI Group khi KS xảy ra sự cố. ................................................ 61
xv
Chương 1: Giới thiệu đề tài
Có 2 loại phổ biến hiện này là: VPN truy cập từ xa (Remote Access VPN) và VPN
điểm-nối-điểm (site-to-site). VPN đáp ứng nhu cầu về kết nối an toàn, tin cậy và nhanh
chóng.
Lịch sử phát triển của VPN: Cuối những năm 1990 máy tính nối mạng kết nối
mạng thông qua đường đường dây thuê (leased line) phức tạp và tốn nhiều chi phí. VPN
ra đời và giải quyết được vấn đề đó. Ngoài ra đáp ứng được yêu cầu về an toàn, tin cậy và
nhanh chóng dựa trên hạ tầng mạng công cộng nên VPN không ngừng cải tiến và phát
triển. Trong đó có VPN-MPLS là công nghệ được khai thác rộng rãi.
1
Chương 1: Giới thiệu đề tài
Một trong những ưu điểm lớn nhất của các VPN-MPLS là không đòi hỏi các thiết
bị CE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng
lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CE. Các CE không đòi
hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí
quá cao cho các thiết bị CE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng
không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng
mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống
như bảo mật trong mạng Frame Relay. Thậm chí trễ trong VPN-MPLS còn thấp hơn là
trong mạng MPLS IP sử dụng chuyển mạch nhãn.
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng VPN-MPLS.
Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải
tiếp xúc đến các CE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm
đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình
lúc này chỉ cần thực hiện tại PE mà nó nối tới.
2
Chương 1: Giới thiệu đề tài
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng
VPN-MPLS vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không
có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ
được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng
trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN.
Tuy nhiên việc thiết lập một kênh truyền riêng cho một doanh nghiệp có số lượng chi
nhánh lớn thì IPSecVPN chưa đáp ứng được vì chỉ hỗ trợ kết nối điểm-điểm.
Với IPSec VPN thì khi trao đổi dữ liệu với một điểm cần thiết lập một đường hầm bảo
mật. Trong mô hình hoàn chỉnh có N điểm kết nối thì số kết nối cần thiết là N(N+1)/2,
gây khó khăn trong việc quản lý và mở rộng.
3
Chương 2: Tìm hiểu về VPN-MPLS
CE là bộ định tuyến được kết nối trực tiếp với PE tại lớp 3, bộ định tuyến của
khách hàng C không kết nối trực tiếp với PE. Bộ định tuyến CE không cần thiết phải chạy
MPLS bởi vì cả CE và PE đều tương tác ở lớp 3, giữa chúng phải có một giao thức định
tuyến (hoặc định tuyến tĩnh).
Bộ định tuyến PE là bộ định tuyến biên của nhà cung cấp, bộ PE kết nối trực tiếp
với bộ định tuyến biên CE của khách hàng tại lớp 3. Bộ định tuyến P là bộ định tuyến
không kết nối trực tiếp với bộ định tuyến của khách hàng. Trong khi thực hiện, cả hai bộ
định tuyến P và PE đều chạy MPLS. Điều này có nghĩa là chúng phải có khả năng phân
phối nhãn giữa chúng và chuyển tiếp gói được gán nhãn.
4
Chương 2: Tìm hiểu về VPN-MPLS
Trong mô hình VPN-MPLS, router PE phân biệt các khách hàng bằng VRF. Tuy
nhiên, thông tin này cần được mang theo giữa các router PE để cho phép truyền dữ liệu
giữa các site khách hàng qua MPLS VPN backbone.
5
Chương 2: Tìm hiểu về VPN-MPLS
Hiện tại Cisco IOS hỗ trợ RIPv2, EIGRP, BGPv4 và OSPFv2 được dùng cho VRF
để trao đổi thông tin định tuyến giữa CE và PE.
Địa chỉ VPNv4 trao đổi giữa các router PE trong mạng nhà cung cấp. RD có thể có
hai định dạng: dạng địa chỉ IP hoặc chỉ số AS. RD được sử dụng để tránh trường hợp
tuyến IPv4 của một khách hàng trùng với tuyến của một khách hàng khác. Nếu tiền tố
IPv4 10.1.1.0/24 và RD 1:1, tiền tố VPNv4 sẽ là 1:1:10.1.1.0/24.
6
Chương 2: Tìm hiểu về VPN-MPLS
7
Chương 2: Tìm hiểu về VPN-MPLS
Khi VRF chuyển định tuyến khách hàng thành định tuyến VPNv4, RT được thêm
vào cuối định tuyến VPNv4.
RT kể trên được gọi là import RT, xác định mối quan hệ của các khách hàng.
Khi định tuyến VPNv4 được chuyển đến router PE khác. Router PE này dựa vào
import RT để chọn ra export RT phù hợp.
Trên router PE có thể có nhiều VRF, mỗi VRF sẽ có một export/import RT khác
nhau.
8
Chương 2: Tìm hiểu về VPN-MPLS
Để giải quyết yêu cầu về sử dụng giao thức định tuyến trong MPLS VPN, chúng ta lựa
chọn một số giao thức định tuyến thích hợp:
Router CE: sử dụng một số giao thức định tuyến như OSPF, IGP, RIPv2, eBGP
hay định tuyến tĩnh để trao đổi thông tin với router PE thông qua bảng định tuyến
VRF.
Router PE: sử dụng một số giao thức định tuyến nội như OSPF, RIPv2,..để kết nối
với các router P trong mạng nhà cung cấp. Sử dụng MP-BGP để trao đổi thông tin
trực tiếp với các router PE.
Router P: sử dụng định tuyến nội như OSPF, EIGRP, RIPv2 để kết nối các router P
trong mạng. Phải cấu hình các router P sử dụng MPLS.
9
Chương 2: Tìm hiểu về VPN-MPLS
Router PE nhận cập nhật định tuyến IPv4 từ router CE qua giao thức cổng trong (IGP)
hoặc eBGP (external BGP), sau đó thông tin định tuyến IPv4 được đặt vào bảng định tuyến VRF.
Định tuyến này (IPv4) được nối với RD được chỉ định bởi VRF, chúng trở thành định
tuyến VPNv4 và thêm vào RTs. Sau đó router PE xuất định tuyến này từ bảng VRF vào MP-BGP
và chuyển đến các router PE với nhãn MPLS và RTs.
Trên router PE: RTs chỉ ra VRF nào cùng nhóm VPN, những định tuyến VPNv4 được
tách RD và đưa vào bảng định tuyến VRF như định tuyến IPv4.. Định tuyến IPv4 đưa tới bộ định
tuyến CE qua giao thức IGP hoặc eBGP từ bảng VRF trên router PE.
Hình 2.7 Chuyển tiếp gói tin trong MPLS VPN [2].
10
Chương 2: Tìm hiểu về VPN-MPLS
Là một chương trình giả lập mạng có giao diện đồ họa (graphical network
simulator) cho phép dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng.
GNS3 dựa trên Dynamips và một phần Dynagen. Dynamips là một chương trình mô
phỏng router Cisco sử dụng các IOS image. Dynagen là một giao diện hỗ trợ Dynamips
cho việc cấu hình.
GNS3 hỗ trợ cho Windows, Linux, Mac OSX...
11
Chương 2: Tìm hiểu về VPN-MPLS
2.4.2 Wireshark.
Là phần mềm quan trọng cho việc phân tích các các giao thức mạng, hỗ trợ việc
bắt gói và phân tích gói tin hiệu quả, phát triển mạnh nhờ sự đóng góp của các chuyên gia
mạng trên toàn cầu. Wireshark hỗ trợ nhiều hàng trăm giao thức khác nhau và được phát
triển trên mã nguồn mở, là công cụ hỗ trợ cho việc giám sát hệ thống.
12
Chương 2: Tìm hiểu về VPN-MPLS
13
Chương 2: Tìm hiểu về VPN-MPLS
14
Chương 2: Tìm hiểu về VPN-MPLS
Lưu ý: Cấu hình router CE2 tương tự như CE1, PE2 tương tự PE1 và P2, P3 tương tự P1
Kết quả cho thấy quá trình định tuyến và trao đổi dữ liệu thành công, và quá trình
chuyển tiếp gói tin trong đó có sử dụng nhãn MPLS chuyển tiếp qua mạng core.
15
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Là phương pháp sử dụng một khóa để bảo mật dữ liệu, khóa này dùng để mã hóa
và giải mã dữ liệu. Vì vậy khóa này phải được chuyển một cách an toàn giữa các bên giao
tiếp. Thuật toán mã hóa đối xứng nhìn chung thực hiện nhanh nhưng an toàn chưa cao vì
có thể bị lộ khóa. Nên thuật toán này được dùng để mã hóa dữ liệu.
16
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Ngày nay có 3 thuật toán mã hóa được sử dụng nhiều: DES, 3DES và AES.
DES (Data Encryption Standard): Được phát triển bởi Tiêu chuẩn xử lý thông tin Hoa
Kỳ (National Institute of Standard and Technology –NIST). DES mã hóa dữ liệu theo
từng block 64 bits với một khóa 56 bits. Vì độ dài khóa ngắn nên DES là một thuật
toán mã hóa yếu dễ bị bẻ khóa.
3DES (Triple Data Encryption Standard): Bổ sung thêm một số tính năng cao cấp, nó
thực hiện mã hóa dữ liệu thông qua việc xử lý mỗi block 3 lần với một khóa khác
nhau. Nghĩa là 3DES sử dụng một khóa 168 bits nên an toàn hơn.
AES (Advanced Encryption Standard): được tạo ra để thay thế DES, không chỉ nhanh
hơn mà còn mã hóa an toàn hơn nên ngày nay được sử dụng rất nhiều. AES cũng thực
hiện mã hóa theo từng block 128 bits, có khả năng hỗ trợ block 128/192/256 bits.
Dựa vào mục đích của việc truyền phát, giữa public key và private key sẽ được sử
để mã hóa dữ liệu, bên nhận sẽ sử dụng key ngược lại để giải mã dữ liệu.
Thuật toán mã hóa này rất an toàn nhưng xử lý chậm nên được dùng để chứng
nhận và quản lý khóa.
Có hai ứng dụng của việc mã hóa bất đối xứng là:
Ứng dụng xác thực: là ứng dụng chủ yếu trong giải pháp PKI, dùng để xác nhận bên gửi.
Bên gửi sẽ mã hóa giữa liệu bằng private key và bên nhận dùng public của bên gửi để giải
mã nó. Vì private key là thông tin bí mật ở mỗi thiết bị và bên nhận giải mã thành công
dữ liệu thì thông điệp đó chắc chắn phải được gửi bởi bên gửi.
Hình 3.2 Xác thực sử dụng Key bất đối xứng [3].
17
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Ứng dụng mã hóa: Bên gửi nhận được public key của bên nhận. Sau đó, bên gửi sẽ mã
hóa các thông điệp với public key của bên nhận. Vì thế chỉ có bên nhận có private key của
nó và giải mã thành công thông điệp.
Một số giải thuật mã hóa bất đối xứng phổ biến sử dụng cho việc trao đổi key và chữ ký
số:
Giải thuật RSA là một trong những giải thuật nổi tiếng và được sử dụng rộng rãi trong
việc trao đổi key, chữ ký số và mã hóa thông điệp.
Giải thuật RSA có nhiều tiêu chuẩn khác n`hau như: RC1, RC2, RC3, RC4, RC5,
RC6. Tất cả đều sử dụng chiều dài key và chiều dài kích thước khối thay đổi.
Diffe-Hellman (DH):
DH là một hệ thống phân phối public key (hay một giao thức trao đổi key), sử cơ chế
mã hóa key bất đối xứng. DH cho phép hai user, không thông tin lẫn nhau, thiết lập một
key bí mật chia sẽ qua một kênh thông tin không đảm bảo.
Giải thuật DH thì không được sử dụng cho xác thực hoặc chữ ký số, chỉ sử dụng cho
trao đổi key bí mật.
Ngoài ra, còn một một giải thuật phổ biến khác như: Digital Signature Algorithm
(DSA), Public-key Crytography Standards (PCKS)
18
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Giải thuật hash thường được sử dụng để cung cấp một vân tay số của bất kỳ dữ liệu
nào, để đảm bảo rằng thông tin không bị thay đổi trong quá trình truyền. Vì vậy, nó cung
cấp sự toàn vẹn của thông tin.
Giá trị hash là một số duy nhất được tạo ra từ văn bản gốc từ một công thức toán học
19
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Một số giải thuật hash phổ biến được sử dụng rộng rãi trong việc toàn vẹn thông tin,
chứng thực và chữ ký số:
Giải thuật MD là một chuỗi hàm hash mã hóa định hướng byte, giá trị hash của nó có
chiều dài cố định là 128-bit.
Một số phiên bản của giải thuật MD như: MD2 (RFC 1319), MD4 (RFC 1320), MD5
(RFC 1321). MD5 là phiên bản tốt nhất và được sử dụng rộng rãi cho nhiều ứng dụng.
Giải thuật MD5 bao gồm bốn vòng riêng biệt, với một chút khác biệt so với MD4.
SHA là một chuỗi giải thuật hash mã hóa nổi tiếng khác, tạo một ngõ ra với 160-bit. SHA
thì tính toán phức tạp hơn MD5 nhưng bảo mật hơn.
SHA-1 (RFC 3174) là giải thuật được sử dụng phổ biến trong các phiên bản SHA. Nó
được sử dụng rộng rãi trong cái ứng dụng và các giao thức như: Transport Layer Security
(TLS), Secure Sockets Layer (SSL) , Secure Shell (SSH), IPSec, …
20
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
X.509v3 là tiêu chuẩn cho PKI internet. Nó dựa vào một mô hình mang tính hệ
thống và được trình bày trong RFC-5280.
Mã hóa PEM (Privacy Enhanced Mail) thì thường tượng trưng cho chứng thực
trong định dạng text.
Vai trò chính của CA xây dựng mối quan hệ tin cậy giữa thiết bị và tài liệu điện tử
(ví dụ như cặp key). CA thì chịu trách nhiệm xác nhận sự xác thực của các yêu cầu
chứng thực. Để đảm bảo thì chứng thực bao gồm một số thông tin như thông tin thiết bị
yêu cầu hoặc các đặc điểm của nó.
21
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
CA là một liên kết quan trọng trong hệ thống PKI (Public Key Infrastructure ). Nếu
CA bị hư hỏng thì toàn bộ việc thực thi PKI không còn tin cậy.
Phụ thuộc vào mục tiêu tổng quan và phạm vi của việc triển khai PKI, có thể phân
biệt thành hai loại CA: private và public.
Các Private CA được tạo ra, khai thác và duy trì bởi một tổ chức cá nhân. Các dịch
vụ của nó chỉ cung cấpvới chức năng bên trong công ty. Các thành phần bên ngoài sẽ
không biết đến hoặc không tin cậy một private CA. Nội dung và cấu trúc của chúng thực
không bị ràng buộc. Các chứng thực được cấp miễn phí.
Các Public CA được biết đến và được tin cậy trên phạm vi rông lớn (như cấp độ
Internet). Chúng được khai thác và duy trì bởi các công ty chuyên môn (ví dụ như:
Verisign, Entrust, GlobalSign, Thawte). Để sử dụng dịch vụ, một chi phí phải được trả
cho các công ty. Nội dung của các chứng thực thường có nhiều ràng buộc.
Một sự khác biệt giữa CA và sub-CA, một CA có thể xem như một vùng tự trị, một
thành phần PKI, một sub-CA luôn là con của một CA. Cấu hình một sub-CA sẽ trình bày
trong phần sau.
Là điểm cuối cây hệ thống PKI nên chúng không thể ban hành các chứng
thực.Chúng sử dụng chứng thực cho các hoạt động mã hóa liên quan trực tiếp đến chúng,
phổ biến như việc xác thực đến các hệ thống thông tin như VPN, web server…, chữ ký
số đối với các email, mã hóa nội dung.
22
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Một chứng thực số là sự nhận dạng số của một điểm cuối. Một điều quan trọng là
phải bảo vệ chúng. Bản thân chứng thực là các thông tin chung; tuy nhiên, cặp key liên
kết (cụ thể là key riêng) là một thông tin bí mật vì nó được sử dụng để tạo nội dung mã
hóa liên kết đến chứng thực.
Một thiết bị lưu trữ được dùng để lưu một bản sao chứng thực luôn sẵn sàng để sử
dụng và việc bảo vệ các cặp key. Các nơi lưu trữ thường gặp như: Microsoft Windows
Certificate Storage, Linux, MAC OS, Cisco IOS, Cisco ASA, Smart Card…
Enrollment.
Hết hạn và đổi cấp chứng thực.
Xác minh chứng thực và phục hồi PKI.
3.2.2.1 Enrollment.
Enrollment là quá trình để đạt được chứng thực. Có hai cách thực hiện quá trình
enrollment:
Manual enrollment
Network SCEP-based enrollment
Cả hai quá trình giống nhau về nguyên lý nhưng cách thực hiện khác nhau. Bao gồm các
sự kiện chung như sau
23
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Router(config)#cry pto key generate rsa label pki-client module 1024 exportable
Để cấu hình quá trình enrollment, phải tạo một trustpoint trùng tên với trustpoint trên CA
cho thiết bị:
Manual Enrollment.
Trong vài trường hợp, kết nối mạng không đảm bảo giữa khách hàng và server
chứng thực. Trong trường hợp này, người quản trị mạng phải copy và paste bằng tay
chứng thực vào router.
Router(ca-trustpoint)#enrollment ternimal
2. Trên CA, xuất chứng thực của nó ra terminal và copy chứng thực.
3. Thiết bị spoke xác thực chứng thực của CA và xác nhận fingerprint.
24
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
4. Spoke tạo một yêu cầu đăng ký và copy lại yêu cầu này.
Trên CA, paste yêu cầu chứng thực của spoke vào.
6. Trên spoke, paste chứng thực được CA cấp ở trên vào terminal.
Khi các kết nối mạng sẵn sàng giữa các khách hàng và server chứng thực, một
cách thực hiện dựa trện mạng thì mang lại nhiều tiện lợi hơn. SCEP (Simple Certificate
Enrollment Protocol) enrollment là một giải pháp thích hợp. Nó chỉ yêu cầu cấu hình đơn
giản trên router và thích hợp cho mạng quy mô lớn, cải thiện tính mở rộng của hệ thống.
SCEP cho phép các thiết bị tham gia yêu cầu chứng thực hoặc các chức năng liên
quan chứng thực (kiểm tra, hủy bỏ) từ xa. SCEP sử dụng kết nối TCP, mặc định chạy trên
port 80, nhưng cũng có thể cấu hình sử dụng port khác (phải đồng bộ trên server và
endpoint).
Khi một thiết bị có một cặp key RSA, nó tạo môt yêu cầu đến CA sử dụng SCEP.
Chứng thực bao gồm public key của nó. CA cấp một chứng thực mới được mã hóa bằng
public key của thiết bị. Vì vậy, chỉ có thiết bị yêu cầu mới giải mã được chứng thực.
Sau đó, spoke phải xác thực với CA và yêu cầu đăng ký:
25
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Auto enrollment
Khi các chứng thực hết hạn, auto enrollment cho phép thiết bị đạt được một chứng
thực mới mà không có gián đoạn. Các host có thể yêu cầu một chứng thực tại khoảng thời
gian xác định trước khi chứng thực hết hạn, được sử dụng với SCEP.
Để cấu hình auto enrollment, vào mode phụ ca-trustpoint và dùng lệnh (giả sử yêu
cầu cấp mới vào thời điểm 80% thời gian sống của chứng thực):
Router(ca-trustpoint)#auto-enroll 80
Rollover
Khi chứng thực trên CA server hết hạn, rollover cho phép CA đạt được một chứng
thực một chứng thực mới mà không có sự gián đoạn. Bằng việc cấu hình rollover, CA có
thể tạo một chứng thực mới tại thời điểm đã xác định trước khi chứng thực hết hạn.
Chứng thực mới gọi là một ảnh của chứng thực, sẽ kích hoạt tại thời điểm mà chứng thực
hiện tại hết hạn.
Router(cs-server)#auto-rollover 3 3 30
Trong đó, ba thông số trên lần lượt là ngày giờ phút, thời điểm mà cấp chứng thực mới
trước khi chứng thực hiện tại hết hạn.
26
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Sử dụng certificate revocation list (CRL), nó được tải xuống router định kỳ.
Sử dụng online certificate status protocol (OCSP), cung cấp update thời gian thực
và tạo một yêu cầu cho mọi chứng thực xuất hiện.
Sử dụng authentication, authorization, and accouting (AAA) server kết hợp với
chứng thực, liên quan đến các user thực hiện việc xác thực.
Trong phần này, chỉ trình bày về phương pháp sử dụng CRL cho việc kiểm tra chứng
thực.
Certificate revocation list (CRL) cho phép các thiết bị xác định việc một chứng
thực bị thu hồi trước thời hạn. Một CRL thì bao gồm số serial của chứng thực (ban hành
bởi CA) và ngày thu hồi chứng thực. Để cho phép tính năng CRL hoạt động trên thiết bị
ta dùng lệnh:
Router(ca-trustpoint)#revocation-check crl
Mặc định, CRL được lưu trên CA, nhưng nó được đề nghị lưu trên sever bên ngoài
(ví dụ như tftp server) nếu có sự cố xảy ra (mất điện hoặc router bị hư) thì hệ thống PKI
có thể phục hồi được. Để lưu CRL trên server bên ngoài, trong mode phụ cs-server ta
dùng lệnh:
27
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
CRL cũng có thời gian sống. Khi khoảng thời gian này kết thúc, CRL sẽ được update lại
thông tin. Để chỉnh thời gian sống của chứng thực, trong mode phụ cs-server dùng lệnh:
Để thu hồi một chứng thực, trong mode priviledge dùng lệnh:
Chứng thực sẽ bị thu hồi, nhưng thông tin này sẽ không được CRL update cho đến khi nó
hết hạn.
Một PKI cho một mạng có hàng trăm hoặc nhiều hơn các spoke thì kiến trúc phẳng sẽ
xuất hiện các vấn đề như: xử lý chậm, khó khăn trong việc quản lý và độ mở rộng. Để đáp
ứng trường hợp này, một hệ thống CA có kiến trúc phân cấp sẽ được triển khai.
28
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Thiết kế hệ thống phân cấp có hai biến thể chính. Biến thể đầu tiên, nội dung chuỗi chứng
thực được sử dụng cho phép một mức độ hợp lệ từ dưới lên trên. Cái còn lại, chuỗi chứng
thực thì không cho phép sự hợp lệ đó.
Đầu tiên, cần phải cấu hình một root CA cho hệ thống. Để cấu hình root-CA, thực hiện
các bước sau:
1.Tạo một cặp RSA key dùng cho việc xác thực.
2.Cấu hình certificate server:
Tạo một cs-sever cho root CA.
Xác định định dạng tên cho chứng thực của server: có hai dạng là FQND (mặc
định) và X500
Xác định nơi trữ các file dữ liệu của CA
Cấu hình cấp độ lưu trữ thông tin của cơ sở dữ liệu, có cấp độ là: nimimum, name,
complete.
29
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Để điều chỉnh thời gian sống cho crl, trong modecs-server dùng lệnh lifetime crl giờ (từ
0-366 giờ).
Dùng lệnh no shutdown trong mode phụ cs-server. Sau khi server được bật lên, nó
không cho phép thay đổi cấu hình, nếu muốn thay đổi ta phải tắt sever.
30
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Để có hệ thống trên, cần phải cấu hình chính xác một sub-CA mới. Sub-CA phải
đăng ký đến root CA và đại diện cho root CA cấp chứng thực cho các spoke. Để cài đặt
sub-CA, cần thực hiện các bước sau:
1. Cấu hình server cho sub-CA: tương tự như cấu hình root CA. Để nó hoạt động
như sub-CA, cần thêm vào câu lệnh:
Router(cs-server)#mode sub-cs
Router(ca-trustpoint)#rsakeypair subca-key
3. Vào no shutdown cho server và chấp nhận chứng thực của root CA.
4. Trên root CA, phải cấp bằng tay cho yêu cầu đăng ký của sub CA bằng câu lệnh:
5. Trên sub CA, dùng các câu lệnh show để xác nhận đã nhận chứng thực.
Mô hình mô phỏng là một hệ thống CA hai cấp, các client (spoke) sẽ đăng ký
chứng thực với root-CA thông qua các sub-CA.
31
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
32
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Nhận xét:
Trên sub-ca nhận chứng thực từ root-ca và đại diện cho root-ca cấp chứng thực cho
clients khi đăng kí với sub-ca.
Clients đăng kí với sub-ca nhưng vẫn được root-ca chứng thực. Vì thế, mặc dù các
clients đăng kí với các sub-ca khác nhau nhưng cùng root-ca thì sẽ xác thực được
lẫn nhau
33
Chương 4: Giải pháp GET VPN
Cung cấp kết nối quy mô rộng any-to-any sử dụng mô hình bảo mật IPSec.
Tận dụng lợi thế cơ bản của cơ sở hạ tầng định tuyến IP VPN và không yêu cầu
một sự quản lý của mặt phẳng điều khiển định tuyến.
Tích hợp với cơ sở hạ tầng multicast.
Bảo vệ địa chỉ IP nguồn và đích trong suốt quá trình mã hóa và đóng gói IPSec.
Bởi thế GET VPN tích hợp tốt với các tính năng như là chất lượng dịch vụ QoS và
kỹ thuật lưu lượng.
34
Chương 4: Giải pháp GET VPN
GET VPN là một kỹ thật mã hóa nhóm tin cậy được Cisco giới thiệu để thay thế
mã hóa đường hầm điểm-điểm. GMs chia sẻ một Security Association (SA) cho phép giải
mã lưu lượng đã được mã hóa bởi GM khác. GET VPN được xây dựng dựa trên các giao
thức IKE, GDOI và kỹ thuật Multicast. Trong đó GDOI là thành phần chính của GET
VPN.
35
Chương 4: Giải pháp GET VPN
Giao thức GDOI được bảo vệ bởi Phase 1 của IKE SA. Tất cả các VPN gateway
tham gia phải xác thực với thiết bị cung cấp keys sử dụng IKE. Phương thức xác thực
IKE gồm: pre-shared keys (PSKs) và public key infrastructure (PKI) . Sau khi các VPN
gateway xác thực và được cung cấp keys bảo mật thích hợp thông qua IKE SA, IKE SA
hết hạn và GDOI được sử dụng để cập nhật GMs một cách hiệu quả và khả năng mở rộng.
GDOI sử dụng 2 key khác nhau cho việc mã hóa. Một key để bảo vệ mặt phẳng
điều khiển gọi là Key Encryption Key (KEK), key còn lại để bảo vệ dữ liệu lưu thông gọi
là Traffic Encryption Key (TEK).
GMs xác thực với KS sử dụng IKE Phase 1 (pre-shared keys hoặc PKI) và tải
xuống chính sách mã hóa cũng như keys cần thiết cho hoạt động của GET VPN. KS chịu
trách nhiệm làm mới và phân phối keys.
36
Chương 4: Giải pháp GET VPN
Hình 4.4 Mô hình phân phối keys của Key Server [6].
Key Server giám sát thời gian hết hạn của TEK1.
Key Server tạo TEK2 thay thế TEK1 trước khi hết hạn.
Key Server cung cấp TEK2 cho tất cả Group Member qua tiến trình unicast rekey
hoặc multicast rekey.
Không giống như IPSec truyền thống, lưu lượng truy cập được định nghĩa trên KS sử
dụng access control list (ACL) và được tải xuống mỗi GM.
Lưu ý: Một thiết bị hoạt động như KS thì không thể cấu hình GM
Vì vậy dự phòng rất quan trọng cho KS, GET VPN hỗ trợ nhiều KS. Các KS dự
phòng gọi là COOP KS, đảm bảo phục hồi nếu một KS bị lỗi.
Một GM có thể cấu hình đăng kí cho bất kì KS có sẵn từ danh sách COOP KSs.
Khi COOP KSs khởi động thì các KS này ở trạng thái secondary và tiến hành bầu chọn.
37
Chương 4: Giải pháp GET VPN
Primary KS chịu trách nhiệm tạo ra và phân phối chính sách nhóm tới tất cả GM
và định kỳ đồng bộ các COOP KS. Một GM có thể đăng kí với bất kì KS có sẵn nhưng
chỉ có primary KS gửi thông điệp rekey.
Các chính sách mã hóa được xác định trên KS và tải xuống GM ngay lúc đăng kí.
Dựa trên những chính sách tải xuống, GM quyết định lưu lượng nào cần mã hóa hoặc giải
mà và key nào được sử dụng.
38
Chương 4: Giải pháp GET VPN
Hình 4.6 Mô hình hoạt động Group Keys trên GMs [6].
GMs nhận TEK1 từ KS dùng cho mã hóa lưu lượng giữa các GMs.
Trước khi TKE1 hết hạn thì GMs nhận TEK2.
GMs đồng bộ quá trình chuyển dữ liệu khi sử dụng TEK2.
GMs tiếp tục sử dụng TEK1 cho việc giải mã dữ liệu nào đã được mã hóa với
TEK1 và sau đó chỉ sử dụng TEK2.
Trong một mạng GET VPN, chính sách cho GMs được xác định bởi KS. Nhưng trong
một số trường hợp thì GMs có thể được cấu hình thêm chính sách riêng có thể thay đổi
một số chính sách từ KS. Bất cứ chính sách chung định nghĩa trên KS đều ảnh hưởng tất
cả thành viên trong nhóm, tuy nhiên có thể khai báo thêm chính sách trên GMs để nhận
hay không chính sách từ KS.
39
Chương 4: Giải pháp GET VPN
Trong trường hợp GET VPN thì IPsec bảo vệ các gói tin dữ liệu bằng cách đóng
gói dữ liệu bằng địa chỉ nguồn và đích của gói tin ban đầu gọi là giữ lại IP header.
Ưu điểm lớn nhất của tunnel header preservation là khả năng định tuyến để mã hóa
các gói tin sử dụng hạ tầng định tuyến sẵn có. Mạng IP, VPLS hoặc VPN-MPLS được
tích hợp hoàn toàn với giải pháp GET VPN.
Sử dụng tunnel header preservation giống như transport mode của IPsec. Tuy
nhiên, phương thức hoạt động cơ bản là tunnel mode. Việc sử dụng lại orginal IP header
trong chỉ tốn thêm ít dung lượng cho gói tin, IPsec transport mode không hỗ trợ phân chia
gói và nối lại gói tin trong khi truyền trong khi việc mã hóa và xóa gói yêu cầu việc phân
chia gói tin.
40
Chương 4: Giải pháp GET VPN
Lưu ý: Trong nhóm GET VPN lên đến 100 ACL cho phép xác định lưu lượng cho việc
mã hóa và với mỗi kết nối cho phép không quá 200 IPsec SA.
Nếu một GM không nhận được thông tin rekey từ KS (KS hoặc đường truyền xảy
ra sự cố) thì GM cố gắng đăng kí lại (re-register) để thiết lập kết nối với KSs 60 giây
trước khi IPsec SA hết hạn (expire). Nếu đăng kí lại thành công, GM nhận chính sách
SAs mới là một phần của quá trình đăng kí lại và lưu lượng trong mặt phẳng dữ liệu
không bị gián đoạn. Nếu đăng kí lại không thành công thì GM thử lại 3 lần nữa, mỗi lần
cách nhau 10 giây để thiết lập kết nối với KS. Nếu không liên lạc được KS thì GM cố
gắng kết nối với COOP KS trong danh sách 20 giây trước khi IPsec SA hết hạn.
41
Chương 4: Giải pháp GET VPN
Unicast rekey
KS tạo ra một thông điệp rekey và gửi tối mỗi GM. Khi nhận được thông điệp
rekey, GM gửi thông điệp ACK tới KS. Cơ chế ACK này không chỉ đảm bảo rằng
danh sách GMs hoạt động trên KS hiện tại mà còn đảm bảo thông điệp rekey được
gửi tới GMs hoạt động. Một KS có thể cấu hình truyền lại (retransmit) một gói tin
rekey để khắc phục lỗi tạm thời trong mạng. Nếu một GM không nhận 3 rekey liên
tiếp thì KS loại bỏ GM từ cơ sở GM đang hoạt động và ngừng gửi thông điệp
rekey đến GM.
Lưu ý: Unicast rekey truyền lại khi GM không thông báo ACK.
Multicast rekey
Khác với Unicast rekey, khi nhận được thông điệp rekey từ KS nhưng Multicast
rekey không có cơ chế ACK. KS không duy trì một danh sách hoạt động GMs.
Ngoài ra, KS có thể cấu hình truyền lại một gói tin multicast rekey để khác phục
lỗi giống như Unicast rekey.
Lưu ý: Multicast phải được kích hoạt trên mạng core cho multicast rekey để hoạt
động trên mặt phẳng điều khiển GET VPN.
Bởi vì GET VPN sử dụng nhóm chính sách SA nên bộ đếm chống anti-replay
không hiệu quả. Một phương pháp mới để bảo vệ chống tấn công anti-replay là bắt buộc.
GET VPN sử dụng Time-based anti-replay (TBAR), nó dựa trên việc sử dụng một chiếc
đồng hồ giả (pseudo-time clock) được duy trì trên KS. Lợi thế của việc sử dụng pseudo-
time cho TBAR là nó không cần phải đồng bộ thời gian trên tất cả thiết bị GET VPN sử
dụng NTP.
42
Chương 4: Giải pháp GET VPN
KS chính chịu trách nhiệm cho thiết lập và duy trì psudo-time cho nhóm. KS chính
cũng phải giữ pseudo-time đồng bộ trên tất cả GMs qua việc cập nhật rekey. Sau khi VPN
gateway nhận được gói tin thì so sánh Time stamp trong gói tin nhận được với đồng hồ
pseudo-time GM. Nếu các gói tin đến quá muộn thì bị loại bỏ.
43
Chương 4: Giải pháp GET VPN
IKE phase 1: Thiết lập một cách an toàn kênh truyền xác thực. Mặc định router
Cisco thực hiện phase này trong chế độ Main mode. Ngoài ra còn có chế độ Aggressive
mode kém an toàn hơn nhưng thiết lập nhanh hơn cho chứng thực IKE. Cấu hình IKE
phase 1 dùng ISAKMP là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính
sách bảo mật SA.
Trong Phase 1 có sáu gói tin trao đổi, nội dung của gói tin khác nhau nếu sử dụng
phương pháp xác thực Pre-shared Keys (PSKs) hoặc Public Key Infrastucture (PKI). Sử
dụng PKI khi thỏa thuận thành công thì cả bên gửi và bên nhận sẽ nhận được một chứng
nhận từ CA (certificate authority), cả hai có một bản sao của public key của CA. Còn sử
dụng PSKs thì hai bên trao đổi cho nhau một secret key.
44
Chương 4: Giải pháp GET VPN
Hai gói tin đầu tiên thỏa thuận chính sách an ninh (SA) IKE, hai gói tin tiếp theo
thiết lập kênh an toàn và hai gói tin cuối cùng xác thực bên tham gia.
Khi sử dụng PKI trong phần trao đổi hai gói tin cuối cùng xác thực thì bên gửi sẽ
gửi giấy chứng nhận của họ. Thông điệp này được ký với Private key của bên gửi và xác
nhận với Public key của bên nhận. Chứng nhận của bên gửi được xác thực bằng cách sử
dụng Public key của CA.
45
Chương 4: Giải pháp GET VPN
IKE phase 2: Thỏa thuận các chính sách an ninh (SA) của mặt phẳng dữ liệu, thỏa
thuận về thông số IPsec và được bảo vệ bởi kênh truyền được thiết lập trong Phase 1.
Phase 2 sử dụng chế độ Quick mode và định kỳ thay đổi SAs tăng cường an ninh.
Phase 2 trao đổi ba gói tin, hai gói tin đầu trao đổi thông tin về SA, gói tin thứ ba
xác nhận và giữ cho thông điệp sống. Mỗi gói tin được bảo vệ bởi kênh an toàn IKE. Các
thông số thỏa thuận trong Phase 2 bao gồm: giao thức đóng gói ESP, mode hoạt động,
thời gian sống của SAs, trao đổi keys, chứng thực gói tin, chính sách mã hóa nhóm keys,
thời gian sống keys.
46
Chương 4: Giải pháp GET VPN
Encapsulation Security Payload (ESP): là giao thức bảo mật dùng để mã hóa, xác
thực và bảo đảm tính toàn ven dữ liệu. Sau khi đóng gói xong bằng ESP thì mọi thông tin
mã hóa và giải mã nằm trong ESP header.
47
Chương 4: Giải pháp GET VPN
GMs trao đổi dữ liệu mã hóa sử dụng nhóm keys nhận từ KS, trao đổi dữ liệu sử
dụng IPsec tunnel mode với IP tunnel header preservation.
48
Chương 4: Giải pháp GET VPN
GM sau khi nhận gói tin thì dùng TEK giải mã và so sánh với Time Stamp
để loại bỏ gói tin quá sớm hoặc muộn để chống tân công kiểu Anti-replay. Sau khi
gói tin được chấp nhận thì tiếp tục so sánh original header của gói tin với header
Payload để nhận dữ liệu.
49
Chương 4: Giải pháp GET VPN
KS cung cấp keys thay thế keys hiện tại trước khi chính sách SA hết hạn. Gọi là
rekey
50
Chương 5: Cấu hình GET VPN
PKSs sử dụng “secret key” được trao đổi giữa các bên tham gia thông qua một số kênh
truyền an toàn.
51
Chương 5: Cấu hình GET VPN
PKI yêu cầu phải có một CA (Certificate Authority) cung cấp chứng chỉ
(Certificate) cho các bên tham gia đăng kí chứng thực và các bên tham gia xác thực lẫn
nhau thông qua chứng chỉ do CA server cấp.
Ưu điểm: Các Clients xác thực được lẫn nhau, có khả năng mở rộng và bảo mật tốt
hơn.
Khuyết điểm: Cấu hình phức tạp hơn PKSs.
52
Chương 5: Cấu hình GET VPN
encr aes
group 2
PKSs:
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 192.168.15.1
crypto isakmp key cisco address 192.168.26.2
PKI:
crypto isakmp policy 10
authentication rsa-sig
Generating RSA keys:
KeyServer(config)# crypto key generate rsa general-keys label pki_KS
modulus 1024
The name for the keys will be: pki_KS
% The key modulus size is 1024 bits
% Generating 1024 bits RSA keys, key will be non-exportable...[OK]
Configuring the Router for the CA:
crypto pki trustpoint GETVPN
enrollment url http://192.168.89.9:80
subject-name OU=GETVPN
revocation-check none
rsakeypair pki_KS
53
Chương 5: Cấu hình GET VPN
Authenticating to the CA Server: Thực hiện xác thực với CA Server để nhận
chứng nhận từ CA.
KeyServer(config)# crypto pki authenticate GETVPN
Certificate has the following attributes:
% Do you accept this certificate? [yes / no]: y
Trustpoint CA certificate accept.
Enrolling to the CA Server: Yêu cầu một chứng nhận cho router từ CA Server.
KeyServer(config)# crypto pki enroll GETVPN
% Start certificate enrollment...
% Create a challenge password. You will need to verbally provide this
password to the CA Adminnistrator in order to revoke your certificate.For
security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:
% The subject name in the certificate will include: OU=GETVPN
% The subject name in the certificate will include: KeyServer
% In clude the router serial number in the subject name? [yes / no] : n
% Include an IP address in the subject name? [no] : n
Request certificate from CA? [yes / no] : y
% Certificate request sent to Certificate Authority
% The show crypto ca certificate GETVPN verbose’ command will show
the fingerprint.
54
Chương 5: Cấu hình GET VPN
server local
! RSA key
sa ipsec 1
profile gdoi-profile-getvpn
55
Chương 5: Cấu hình GET VPN
10.1.0.0 0.0.255.255
PSKs:
crypto isakmp policy 10
encr aes
lifetime 1200
authentication pre-share
group 2
crypto isakmp key cisco address 192.168.38.3
PKI:
crypto isakmp policy 10
encr aes
group 2
authentication rsa-sig
56
Chương 5: Cấu hình GET VPN
! Nếu Key Server chính không hoạt động, đăng kí với KS phụ trong nhóm
Tạo RSA keys cho KS chính và export cả private và public keys tới tất cả COOP
KSs. Đây là yêu cầu trong trường hợp KS xảy ra sự cố.
Bầu chọn giữa các KS dựa trên ưu tiên trong phần cấu hình chọn KS chính .
Định kỳ ISAKMP keepalive phải được cấu hình trên COOP KSs để các KS chính
có thể theo dõi trạng thái các KS phụ.
Cấu hình rekey, chính sách và anti-replay phải được cấu hình giống nhau trên tất
cả KSs
KeyServer(config)# crypto key export rsa KEY_KS pem terminal 3des passphrase
57
Chương 5: Cấu hình GET VPN
COO_KeySer
!
crypto isakmp keepalive 15 periodic
!
crypto gdoi group getvpn
server local
redundancy
local priority 75
peer address ipv4 192.168.38.3
58
Chương 5: Cấu hình GET VPN
59
Chương 5: Cấu hình GET VPN
Kết quả phân tích gói tin trong mạng core: Nội dung gói tin qua mạng core được
mã hóa.
60
Chương 5: Cấu hình GET VPN
Khi xảy ra sự cố trên KeyServer thì GMs kết nối và đăng kí GDOI Group với
COO_KeySer. Sau đó đắng kí thành công thì GMs tải về các chính sách mã hóa và keys
dùng trong quá trình trao đổi và mã hóa.
61
Chương 6: Tổng kết và đánh giá kết quả
So với mô hình IPsec thì GET VPN tạo ra mô hình kết nối full-mesh mà không sử
dụng đường hầm. Khả năng quản lý tập trung các hoạt động trên Key Server, do đó giảm
bớt quá trình xử lý cho các node.
Khả năng mở rộng tốt khi có một node mới tham gia thì cấu hình đơn giản, không
phải thay đổi nhiều trên hệ thống.
Tuy nhiên GET VPN phải hoạt động trên các thiết bị hỗ trợ giao thức GDOI
(Cisco). Đồng thời khó triển khai hệ thống trên Internet vì đòi hỏi các địa chỉ tham gia
phải định tuyến được.
Đồng thời kết hợp xây dựng hệ thống CA(Certification Authority) hoàn chỉnh dễ
dàng quản lý và mở rộng hệ thống PKI (Public Key Infrastruture).
62
TÀI LIỆU THAM KHẢO.
[1] Haseeb Niazi, Nipul Shah, Biao Zhou, Varun Sethi. Group Encrypted Transport VPN
(GET VPN) Design and Implementation Guide. (2010) Cisco Press.
[2] Luc De Ghein. MPLS Fundamentals. (2006) Cisco Press. ISBN: 1-58705-197-4
[3] Andre Karamanian, Srinivas Tenneti, Francois Dessart. PKI Uncovered, Certificate-
Based Security Solutions for Next-Generation Networks. (2011) Cisco Press. ISBN: 1-
58705-916-9.
[4] Yusuf Bhaiji. CCIE Professional Development Series Network Security Technologies
and Solutions. (2008). Cisco Press. ISBN: 1-58705-246-6.
[5] Sean Wilkins, Franklin H. Smith III. CCNP Security SECURE 642-637 Official Cert
Guide. (2011) Cisco Press. ISBN: 1-58714-280-5
[6] Scott Wainner. Lecture Advanced Site-to-Site with GET VPN. (2008)
[7] www.cisco.com
[8] www.gns3.net
[9] www.wikipedia.com
63