IPSec mô PHỎNG và PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN

Đảm bảo an toàn, bảo mật dữ liệu hay quản lý dịch vụ Từ đó các nhà khoa học đã nghiêm cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang c

Nội dung của bài Trình bày

VPN (Virtual Private Network)

VPN IPSEC

SỰ PHÁT TRIỂN MẠNH MẼ CỦA NỀN CÔNG NGHIỆP, NHU CẦU TRAO ĐỔI THÔNG TIN, DỮ LIỆU GIỮA NHỮNG TỔ CHỨC, CÔNG TY…

Internet đã bùng nổ

download by : skknchat@gmail.com

MỌI NGƯỜI SỬ DỤNG MÁY TÍNH KẾT NỐI INTERNET THÔNG QUA NHÀ CUNG CẤP DỊCH

VỤ (ISP – INTERNET SERVICE PROVIDE)

TCP/IP

download by : skknchat@gmail.com

VỚI INTERNET, NHỮNG DỊCH VỤ NHƯ MUA BÁN TRỰC

TUYẾN, GIÁO DỤC TỪ XA, HAY TƯ VẤN TRỰC

TUYẾN… ĐÃ TRỞ NÊN DỄ DÀNG

Tuy nhiên

download by : skknchat@gmail.com

Đảm bảo an toàn, bảo mật dữ liệu hay quản lý dịch vụ

Từ đó các nhà khoa học đã nghiêm cứu và đưa ra một mô hình

mạng mới, nhằm đáp ứng nhu cầu trên mà vẫn tận dụng cơ sở hạ

tầng đang có của Internet, đó là mô hình mạng riêng ảo(VPN)

download by : skknchat@gmail.com

KHÁI NIỆM

VPN – VIRTUAL PRIVATE NETWORK

download by : skknchat@gmail.com

VPN là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc

mạng riêng do 1 nhà cung cấp dịch vụ sở hữu

Mạng riêng ảo là một kết nối mạng triển khai trên

cơ sở hạ tầng mạng công cộng với các chính sách quản lý và bảo mật giống như mạng cục bộ

download by : skknchat@gmail.com

MÔ HÌNH MẠNG RIÊNG ẢO

New IP

Header Header Trailer Authentication

Encrypted Authentication

download by :

skknchat@g mail.com

Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rất nhiều thứ:

• Truy cập vào mạng doanh nghiệp khi ở xa

• Truy cập mạng gia đình, dù không ở nhà

• Duyệt web ẩn danh

• Truy cập đến những website bị chặn giới hạn địa lý

• Tải tập tin

download by : skknchat@gmail.com

định rằng mình đang trao đổi

thông tin với người mình

mong muốn chứ không phải

là 1 người khác

Đảm bảo dữ liệu không bịthay đổi hay đảm bảo không

có bất kỳ sự xáo trộn nàotrong quá trình truyền và traođổi dữ liệu

Người gửi có thể mã hóa cácgói dữ liệu trước khi truyềnqua mạng công cộng và dữliệu sẽ được giải mã ở phíathu Vì như vậy không ai cóthể đọc được thông tin khi cốtình xâm nhập và bắt gói tin.download by : skknchat@gmail.com

ƯU ĐIỂM

Tiết kiệm chi phí

VPN có thể giúp các doanh

nghiệp tiết kiệm từ 50%-70%

chi phí đầu tư vào các kết nối

leased line và remote access

truyền thống, chi phí đầu tư

cho hạ tầng truyền thông và

chi phí hàng tháng đối với

các kết nối site to site

Tính linh hoạt Tính mở rộng

Tính linh hoạt ở đây không Mạng VPN được xây dựng

dựa trên cơ sở hạ tầng mạngchỉ là linh hoạt trong quá công cộng Vì thế với bất kỳtrình vận hành và khai thác doanh nghiệp nào có nhiều

mà nó còn thực sự mềm dẻo chi nhánh ở xa nhau màđối với yêu cầu sử dụng muốn kết nối với nhau sửKhách hàng có thể sử dụng dụng công nghệ mạng riêngkết hợp với các công nghệ ảo thì điều cần va đủ là cácsẵn có và cơ sở hạ tầng mạng chi nhánh được kết nối tới

mạng Internet

và mật khẩu truy cập vào hệthống mạng riêng ảo trongmạng nội bộ.

Bảo mật cá nhân

Việc truy cập từ xa hay nhân viênkết nối với hệ thống văn phòngbằng máy tính riêng, nếu họ sửdụng các ứng dụng khác, ngoàiviệc kết nối tới văn phòng làmviệc thì hacker có thể lợi dụng yếuđiểm từ máy tính cá nhân của họtấn công vào hệ thống của côngdownload by : skknchat@gmail.com ty.

Độ tin cậy

& hiệu xuất

HẠN CHẾ

KHÁI NIỆM

IPSEC – INTERNET PROTOCOL SECURITY

download by : skknchat@gmail.com

IPSec (Internet Protocol Security) là một giao thức được IETF phát triển IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.

download by : skknchat@gmail.com

(Confidentiality) (Key management)(Authentication &

data integrity)

download by : skknchat@gmail.com

CHẾ ĐỘ GIAO VẬN(TRANSPORT)

Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa hoặc chứng thực IP headerkhông bị chỉnh sửa hay mã hóa, nhưng khi chế độ Authentication header của IPSec được sử dụngthì địa chỉ IP cũng sẽ được mã hóa bằng cách chia nhỏ thành các gói tin riêng rẽ & độc lập (Hash).Các tầng giao vận & ứng dụng thường được bảo đảm bơi hàm Hash, vì vậy chúng không thể bịsửa đổi theo bất kỳ cách nào

AH- kiểu Transport Original AH

Payload Header Header

Authenticated

ESP- kiểu Transport Original ESP

Payload Header Header

Encrypted Authenticated

download by : skknchat@gmail.com

CHẾ ĐỘ ĐƯỜNG HẦM(TUNNEL)

Toàn bộ gói tin IP sẽ được mã hóa hoặc chứng thực Sau đó nó được gói vào 1 gói tin IP mới vớitiêu đề IP mới Chế độ Tunnel được sử dụng để tạo VPN phục vụ cho việc liên lạc giữa cácmạng(vd giữa các bộ định tuyến), giữa các máy chủ(vd chat cá nhân), giữa máy chủ và mạng(vdtruy cập người sử dụng từ xa)

download by : skknchat@gmail.com

BƯỚC 1: Kích hoạt lưu lượng cần bảo vệ

Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec Ở đây, các thiết bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.

Apply IPSec Bypass IPSecDiscard

download by : skknchat@gmail.com

BƯỚC 2: Thoả thuận một trao đổi IKE Phase 1

Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE policy), xác thực các đối tác ngang hà̀ng, và̀ thiết lập kênh an toà̀n giữa các đối tác IKE Phase

1 có hai chế độ: Chế độ chính (main mode) và̀ chế độ nhanh (Aggressive mode).

download by : skknchat@gmail.com

BƯỚC 3: Thoả thuận một trao đổi IKE Phase 2

Mục đích của IKE Phase 2 la để thoả thuận các thông số bảo mật IPSec được sử dụng để bảo mật đường hầm IPSec.

Negotiate IPSec security parameters

download by : skknchat@gmail.com

BƯỚC 4: Đường hầm mật mã IPSec

Sau khi đã hoan thanh IKE Phase 2 đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toan Quá trình xử

lý gói tin (mã hóa, mật mã, đóng gói) phụ thuộc vào các thông số được thiết lập của SA.

IPSec Sessiondownload by : skknchat@gmail.com

BƯỚC 5: Kết thức đường hầm Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn.

IPSec Sessiondownload by : skknchat@gmail.com

SA HẾT HẠN

Khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm Khi các SA kết thúc, các khoá cũng bị huỷ Lúc đó các IPSec SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase 1 mới Một hoả thuận thành công sẽ tạo ra các SA và khoá mới Các SA mới được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.

download by : skknchat@gmail.com

YOU

download by : skknchat@gmail.com