Các thành phần kĩ thuật của Tunnel :
Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi
các máy khách ( home network )
Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người
dùng di động hoặc người trong mạng nội bộ
Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target
network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có
thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu
thiết lập đường hầm
Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy
cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên
làm việc VPN từ HA tại mạng đích.
84 trang |
Chia sẻ: thanhle95 | Lượt xem: 595 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng An ninh mạng - Nguyễn Duy, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
CHƯƠNG 01
Thiết Kế và Triển Khai
VPN
q Giảng Viên : Ths.Nguyễn Duy
q Email : duyn@uit.edu.vn
1
GV
:
Nguyễn
Duy
Nội dung
q Chương 1 : Giới thiệu VPN
q Chương 2 : Các thành phần của VPN
q Chương 3 : Bảo mật trong VPN
q Chương 4 : Các giao thức đường hầm
q Chương 5 : Thiết kế VPN
2
GV
:
Nguyễn
Duy
Nội dung
q Chương 1 : Giới thiệu VPN
q Chương 2 : Các thành phần của VPN
q Chương 3 : Bảo mật trong VPN
q Chương 4 : Các giao thức đường hầm
q Chương 5 : Thiết kế VPN
3
GV
:
Nguyễn
Duy
Chương 1 : Giới thiệu VPN
q VPN là gì ?
q Những lợi ích của VPN
q Những yêu cầu của VPN
GV
:
Nguyễn
Duy
4
VPN là gì ?
q VPN là từ viết tắt Virtual Private Network
Ø Virtual ?
Ø Private ?
Ø Network ?
q Phân biệt Private Network với Virtual Private
Network
GV
:
Nguyễn
Duy
5
Chương 1 : Giới thiệu VPN
Những lợi ích của VPN
q Bảo mật dữ liệu trên mạng WAN
Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu
Ø Tăng cường bảo mật với các phương pháp
mã hóa, xác thực và ủy quyền
q Giảm chi phí thiết lập
Ø VPN có giá thành thấp hơn ISDN, ATM và
Frame Relay
GV
:
Nguyễn
Duy
6
Chương 1 : Giới thiệu VPN
Những lợi ích của VPN
q Giảm chi phí vận hành
Ø Nhân công
Ø Chi phí chi trả cho ISP hàng tháng để duy trì
q Nâng cao kết nối
Ø Kết nối mọi nơi và mọi lúc
q Nâng cấp dễ dàng
GV
:
Nguyễn
Duy
7
Chương 1 : Giới thiệu VPN
Những yêu cầu của VPN
q Tính an toàn
Ø Theo dõi hoạt động của User VPN
Ø Phân vùng hoạt động của User VPN
Ø Tách biệt User VPN với User trong Domain
Ø
q Tính sẵn sàng và sự tin cậy
Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP
GV
:
Nguyễn
Duy
8
Chương 1 : Giới thiệu VPN
Những yêu cầu của VPN
q Chất lượng dịch vụ
Ø Latency
Ø Throughput
q Cam kết của nhà cung cấp dịch vụ
GV
:
Nguyễn
Duy
9
Chương 1 : Giới thiệu VPN
Nội dung
q Chương 1 : Giới thiệu VPN
q Chương 2 : Các vấn đề chính của VPN
q Chương 3 : Bảo mật trong VPN
q Chương 4 : Các giao thức đường hầm
q Chương 5 : Thiết kế VPN
10
GV
:
Nguyễn
Duy
Các thành phần của VPN
q Qui trình hoạt động của VPN
q Các thành phần của VPN
q Mô hình hoạt động của VPN
GV
:
Nguyễn
Duy
11
Qui trình hoạt động của VPN
GV
:
Nguyễn
Duy
12
Các thành phần của VPN
Domain
Controller
VPN
Client
VPN Server
3 VPN server authenticates and authorizes the client
2 VPN server answers the call 4 VPN server transfers data
VPN client calls the
VPN server 1
Các thành phần của VPN
GV
:
Nguyễn
Duy
13
Các thành phần của VPN
VPN Tunnel
Tunneling Protocols
Tunneled Data
VPN Client
Address and Name Server Allocation
DHCP
Server
Domain
Controller
Authentication
Transit Network
VPN
Server
Các thành phần của VPN
q VPN Server :
Ø Lắng nghe yêu cầu kết nối của VPN Client
Ø Xác thực thông tin kết nối của User
Ø Cung cấp cơ chế mã hóa dữ liệu
Ø ..
q VPN Client :
Ø Kết nối tới VPN Server
Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được
VPN Server yêu cầu
GV
:
Nguyễn
Duy
14
Các thành phần của VPN
Các thành phần của VPN
q VPN Tunnel :
Ø VPN Tunnel là gì ?
Ø Các thành phần kĩ thuật của Tunnel ?
Ø Hoạt động của kĩ thuật đường hầm
Ø Định dạng gói tin trong Tunnel
Ø Phân loại Tunnel
GV
:
Nguyễn
Duy
15
Các thành phần của VPN
VPN Tunnel
q VPN Tunnel là gì ?
Ø Cho phép tạo mạng riêng ngay trên mạng
internet hoặc các mạng công cộng khác
Ø Tạo và bảo trì kết nối logic giữa VPN Client và
VPN Server
GV
:
Nguyễn
Duy
16
Các thành phần của VPN
VPN Tunnel
q Các thành phần kĩ thuật của Tunnel :
Ø Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi
các máy khách ( home network )
Ø Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người
dùng di động hoặc người trong mạng nội bộ
Ø Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target
network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có
thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu
thiết lập đường hầm
Ø Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy
cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên
làm việc VPN từ HA tại mạng đích.
GV
:
Nguyễn
Duy
17
Các thành phần của VPN
VPN Tunnel
q Hoạt động của kĩ thuật đường hầm :
Ø Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu
cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi
HA xem tính hợp pháp của nó
GV
:
Nguyễn
Duy
18
VPN Tunnel
q Hoạt động của kĩ thuật đường hầm :
Ø Pha II : Dữ liệu sẽ được truyền trong đường hầm
GV
:
Nguyễn
Duy
19
VPN Tunnel
q Định dạng gói tin trong Tunnel :
GV
:
Nguyễn
Duy
20
VPN Tunnel
q Phân loại Tunnel :
Ø Voluntary Tunnel
GV
:
Nguyễn
Duy
21
VPN Tunnel
q Phân loại Tunnel :
Ø Compulsory Tunel
GV
:
Nguyễn
Duy
22
Mô hình hoạt động của VPN
q Remote Access
GV
:
Nguyễn
Duy
23
Mô hình hoạt động của VPN
q Site-to-Site
GV
:
Nguyễn
Duy
24
Nội dung
q Chương 1 : Giới thiệu VPN
q Chương 2 : Các thành phần của VPN
q Chương 3 : Bảo mật trong VPN
q Chương 4 : Các giao thức đường hầm
q Chương 5 : Thiết kế VPN
25
GV
:
Nguyễn
Duy
Bảo mật trong VPN
q Xác thực người dùng và quản lý truy cập
q Mã hóa dữ liệu
q Hạ tầng mã hóa công khai
GV
:
Nguyễn
Duy
26
Xác thực người dùng và quản lý truy cập
GV
:
Nguyễn
Duy
27
User authentication
q Xác thực người dùng (User authentication) :
là cơ chế xác nhận tính hợp lệ của người
dùng trong mạng riêng ảo
q Các dạng xác thực :
Ø Local (tại VPN Server)
Ø Remote (tại hệ thống xác thực khác : Domain
Controller Server hoặc RADIUS Server)
GV
:
Nguyễn
Duy
28
Quản lý truy cập
q Sau khi đã xác thực thành công, người dùng
có khả năng truy cập vào dữ liệu
q Để tăng mức độ bảo mật cho hệ thống,
chúng ta nên có những chính sách sau để
quản lý VPN User :
Ø Theo dõi hoạt động
Ø Phân quyền nghiêm ngặt
GV
:
Nguyễn
Duy
29
Mã hóa dữ liệu
q Mã hóa dữ liệu là qui trình xóa trộn dữ liệu
bên phía người gởi trên đường truyền.
q Mã hóa được chia thành 2 loại chính
Ø Mã hóa đối xứng
Ø Mã hóa bất đối xứng
GV
:
Nguyễn
Duy
30
Mã hóa dữ liệu
q Mã hóa đối xứng : AES, DES, 3DES, RC4
GV
:
Nguyễn
Duy
31
Mã hóa dữ liệu
q Mã hóa bất đối xứng : Diffie-Hellman và RSA
GV
:
Nguyễn
Duy
32
PKI
q Các thành phần chính của PKI :
Ø Khách hàng PKI
Ø Người cấp giấy chứng nhận (CA)
Ø Người cấp giấy đăng ký (RA)
Ø Các giấy chứng nhận số (Certificate)
Ø Hệ thống phân phối các giấy chứng nhận
(CDS)
GV
:
Nguyễn
Duy
33
PKI
q Các giao dịch trên PKI
GV
:
Nguyễn
Duy
34
PKI
q Mô hình hoạt động của PKI
Ø CA đơn
Ø Tin cậy giữa 2 CA
Ø Thứ bậc
Ø Lưới
Ø Hỗn hợp
GV
:
Nguyễn
Duy
35
CA đơn
GV
:
Nguyễn
Duy
36
Tin cậy giữa 2 CA
GV
:
Nguyễn
Duy
37
Thứ bậc
GV
:
Nguyễn
Duy
38
Lưới
GV
:
Nguyễn
Duy
39
Nội dung
q Chương 1 : Giới thiệu VPN
q Chương 2 : Các thành phần của VPN
q Chương 3 : Bảo mật trong VPN
q Chương 4 : Các giao thức đường hầm
q Chương 5 : Thiết kế VPN
40
GV
:
Nguyễn
Duy
Các giao thức đường hầm
q Giao thức đường hầm lớp 2
q Giao thức đường hầm lớp 3
q Giao thức đường hầm lớp 4
GV
:
Nguyễn
Duy
41
Giao thức đường hầm lớp 2
q Các giao thức phổ biến ở lớp hai:
Ø Point-to-Point Tunneling Protocol (PPTP)
Ø Layer 2 Forwarding (L2F)
Ø Layer 2 Tunneling Protocol (L2TP)
GV
:
Nguyễn
Duy
42
Giao thức đường hầm lớp 2
GV
:
Nguyễn
Duy
43
PPTP
q PPTP là một giải pháp mạng riêng cho phép
bảo mật dữ liệu truyền giữa các máy khách
di động và máy chủ bằng cách thiết lập
mạng riêng ảo dựa trên nền IP của mạng
internet.
q PPTP được phát triển bởi Microsoft
Corporation, Ascend Communications,
3COM, US Robotics và ECI Telematics
q PPTP ( chủ và khách) nhận dữ liệu TCP và
IP ở cổng 1723 và cổng 47
GV
:
Nguyễn
Duy
44
PPTP
q Có hai đặc tính nổi bật đóng vai trò quan
trọng trong việc bảo mật của PPTP :
Ø Sử dụng mạng chuyển mạch điện thoại
công cộng
Ø Cung cấp giao thức Non_IP :
§ PPTP cũng hỗ trợ để hiện thực các giao thức
mạng khác như TCP/IP, IPX, NetBEUI, và
NetBIOS
GV
:
Nguyễn
Duy
45
PPTP
GV
:
Nguyễn
Duy
46
PPTP - Encapsulation
GV
:
Nguyễn
Duy
47
PPTP - Decapsulation
GV
:
Nguyễn
Duy
48
Generic Routing Encapsulation
GV
:
Nguyễn
Duy
49
PPTP – bảo mật
q PPTP đưa ra nhiều cơ chế bảo mật cho máy
chủ và máy khách PPTP. Các dịch vụ bảo
mật bao gồm :
Ø Mã hóa và nén dữ liệu
Ø Chứng thực
Ø Kiểm soát truy cập
Ø Lọc gói
GV
:
Nguyễn
Duy
50
PPTP – bảo mật
q Mã hóa và nén dữ liệu
Ø PPTP không cung cấp cơ chế mã hóa để bảo mật dữ
liệu . PPTP sử dụng dịch vụ mã hóa dữ liệu được
cung cấp bởi PPP
Ø PPP sử dụng phương pháp mã hóa điểm tới điểm
của Microsoft (MPPE - Microsoft Point-to-Point
Encryption)
Ø Phưương pháp mã hóa công khai-bí mật (ID và pass)
GV
:
Nguyễn
Duy
51
PPTP – bảo mật
q Chứng thực
Ø PAP (Password Authentication Protocol)
Ø MS-CHAP (Microsoft Challenge Handshake
Authentication Protocol)
q Kiểm soát truy cập
q Access Right
q Permission
GV
:
Nguyễn
Duy
52
PAP
GV
:
Nguyễn
Duy
53
MS-CHAP
GV
:
Nguyễn
Duy
54
MS-CHAP
q MS-CHAP là một phiên bản được điều chỉnh
từ CHAP của Microsoft
q MS-CHAP có rất nhiều điểm tương đồng với
CHAP nên các chức năng của MS-CHAP
cũng tương tự các chức năng của CHAP
q Điểm khác biệt cơ bản :
Ø CHAP sử dụng giải thuật băm MD5 và mã
RSA
Ø MS-CHAP sử dụng giải thuật băm RC4 và mã
DES
GV
:
Nguyễn
Duy
55
PPTP
q Ưu điểm :
Ø PPTP là một giải pháp được xây dựng trên nền các sản phẩm
của Microsoft
Ø PPTP có thể hỗ trợ các giao thức non-IP
Ø PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux,
và Apple's Macintosh
q Nhược điểm
Ø Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do
sử dụng mã hóa với khóa mã phát sinh từ password của user
Ø PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec
GV
:
Nguyễn
Duy
56
Giao thức đường hầm lớp 2
q Các giao thức phổ biến ở lớp hai:
Ø Point-to-Point Tunneling Protocol (PPTP)
Ø Layer 2 Forwarding (L2F)
Ø Layer 2 Tunneling Protocol (L2TP)
GV
:
Nguyễn
Duy
57
Layer 2 Forwarding
q Cisco Systems, cùng với Nortel, một trong
những doanh nghiệp đứng đầu về thị phần đã
bắt đầu đưa ra giải pháp bảo mật có các chức
năng
Ø Có khả năng bảo mật.
Ø Phục vụ truy cập thông qua mạng internet và các
mạng công cộng khác.
Ø Hỗ trợ kỹ thuật mạng trên diện rộng như ATM, FDDI,
IPX, Net-BEUI, và Frame Relay.
GV
:
Nguyễn
Duy
58
Layer 2 Forwarding
GV
:
Nguyễn
Duy
59
Layer 2 Forwarding
q Qui trình tạo đường hầm trong L2F :
Ø User từ xa đẩy Frame tới NAS được đặt ở ISP
Ø POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công
thêm header, trailer của L2F vào Frame. Framme vừa được đóng gói
tiếp tục được gửi đến mạng đích thông qua đường hầm
Ø Gateway của máy chủ mạng nhận các gói được chuyển qua đường
hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút
đích trong mạng nội bộ
Ø Nút đích xử lý Frame nhận được giống như một Frame bình thường,
không thông qua đường hầm
GV
:
Nguyễn
Duy
60
Layer 2 Forwarding
q Qui trình tạo đường hầm trong L2F :
GV
:
Nguyễn
Duy
61
Layer 2 Forwarding – Bảo mật
q L2F cung cấp các dịch vụ bảo mật
Ø Mã hóa dữ liệu
§ L2F sử dụng MPPE (Microsoft Point-to-Point
Encryption) cho mục đích mã hóa cơ bản
§ L2F sử dụng thêm phương pháp mã hóa dựa trên
Internet Protocol Security
– Encapsulating Security Payload (ESP- đóng gói dữ liệu
nguồn bảo mật)
– Authentication Header ( AH- header chứng thực).
GV
:
Nguyễn
Duy
62
Layer 2 Forwarding – Bảo mật
q L2F cung cấp các dịch vụ bảo mật
Ø Chứng thực :
§ L2F sử dụng PAP để chứng thực máy khách từ xa
§ L2F cũng sử dụng quy trình chứng thực sau để
tăng cưòng bảo mật dữ liệu:
– CHAP
– L2F còn sử dụng Remote Access Dial-In User Service
(RADIUS) và Terminal Access Controller Access
Control Service (TACACS) để bổ sung chứng thực
GV
:
Nguyễn
Duy
63
Layer 2 Forwarding
q Ưu điểm
Ø Tăng cường bảo mật
Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX,
NetBEUI và Frame Relay
q Nhược điểm
Ø Việc chứng thực và mã hóa ở L2F làm cho tốc
độ trong đường hầm của L2F thấp hơn so với
PPTP
GV
:
Nguyễn
Duy
64
Giao thức đường hầm lớp 2
q Các giao thức phổ biến ở lớp hai:
Ø Point-to-Point Tunneling Protocol (PPTP)
Ø Layer 2 Forwarding (L2F)
Ø Layer 2 Tunneling Protocol (L2TP)
GV
:
Nguyễn
Duy
65
Layer 2 Tunneling Protocol – L2TP
q Được phát triển bởi IETF và được ủng hộ bởi
các nhà công nghiệp khổng lồ như Cisco
Systems, Microsoft, 3COM, và Ascend
q L2TP là sự kết hợp hai giao thức VPN sơ khởi
PPTP và L2F
q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy
cập từ xa hiệu quả của L2F và tốc độ kết nối
điểm tới điểm nhanh của PPTP
GV
:
Nguyễn
Duy
66
L2TP
q Lợi ích :
Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP,
ATM, FFR và PPP
Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian
hệ thống thông qua Internet và các mạng công
cộng khác
Ø Việc chứng thực và kiểm quyền L2TP được thực
hiện tại gateway của máy chủ.
GV
:
Nguyễn
Duy
67
L2TP - Encapsulation
GV
:
Nguyễn
Duy
68
L2TP - Decapsulation
GV
:
Nguyễn
Duy
69
L2TP – Bảo mật
q Các phương pháp chứng thực thông dụng
của L2TP
Ø PAP và SPAP
Ø EAP
Ø CHAP
GV
:
Nguyễn
Duy
70
L2TP
q Ưu điểm :
Ø L2TP tăng cường bảo mật bằng cách cách mã hóa
dữ liệu dựa trên IPSec trên suốt đường hầm và khả
năng chưng thực gói của IPSec
Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP
của mạng WAN mà không cần IP.
q Khuyết điểm
Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc
để chứng thực từng gói nhận được
GV
:
Nguyễn
Duy
71
Giao thức đường hầm lớp 3
GV
:
Nguyễn
Duy
72
Giao thức đường hầm lớp 4
GV
:
Nguyễn
Duy
73
Nội dung
q Chương 1 : Giới thiệu VPN
q Chương 2 : Các thành phần của VPN
q Chương 3 : Bảo mật trong VPN
q Chương 4 : Các giao thức đường hầm
q Chương 5 : Thiết kế VPN
74
GV
:
Nguyễn
Duy
Mô hình 1
GV
:
Nguyễn
Duy
75
Mô hình 2
GV
:
Nguyễn
Duy
76
Mô hình 3
GV
:
Nguyễn
Duy
77
Mô hình 4
GV
:
Nguyễn
Duy
78
Mô hình 5
GV
:
Nguyễn
Duy
79
Mô hình 6
GV
:
Nguyễn
Duy
80
Mô hình 7
GV
:
Nguyễn
Duy
81
Mô hình 8
GV
:
Nguyễn
Duy
82
Mô hình 8 - 1
GV
:
Nguyễn
Duy
83
Mô hình 8 - 2
GV
:
Nguyễn
Duy
84