BÀI 2. MẠNG RIÊNG ẢO (VPN)

Kiến trúc triển khai VPN• Triển khai trước firewall 61 Kiến trúc triển khai VPN Triển khai trước firewall: • Ưu điểm: kiểm soát được hoàn toàn lưu lượng • Nhược điểm: • VPN Gateway không

• Giới thiệu chung về VPN

• Các mô hình mạng riêng ảo

1 GIỚI THIỆU CHUNG VỀ VPN

VPN là gì?

•Kết nối trên mạng công cộng

(Internet) được bảo đảm an toàn an

ninh, với những chính sách như trong

• VPN client: điểm đầu cuối(PC, Smartphone, Gateway…)

yêu cầu kết nối VPN

Một số sản phẩm tiêu biểu

• VPN phần cứng:

• Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính năng

router, switch), ASA 5500 series (tích hợp trong UTM)

• F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050

• Các thông tin trong tiêu đề ban đầu được che giấu và đảm bảo tính

toàn vẹn(địa chỉ, số hiệu cổng ứng dụng)

Hoạt động của VPN

9

Các chế độ kết nối

• Transport mode

• Trên từng cặp thiết bị đầu cuối

• Dữ liệu đóng gói trong VPN packet

• Hạn chế ???

• Tunnel mode

• Các thiết bị đầu cuối không tham gia vào VPN

• Kết nối VPN thông qua các thiết bị trung gian

• Ưu điểm???

Đường hầm VPN(VPN Tunneling)

11

Các mô hình mạng riêng ảo

• Mô hình truy cập từ xa(client-to-site)

Các mô hình mạng riêng ảo

• Mô hình site-to-site

Intranet dựa trên VPNIntranet dựa trên WAN

13

Các mô hình mạng riêng ảo

• Mô hình site-to-site (tiếp)

Extranet dựa trên VPNExtranet dựa trên WAN

• Mỗi điểm thiết bị VPN

được kết nối với nhiều

VPN đơn điểm kết nối

• Sử dụng cho mạng cỡ nhỏ, nhu cầu kết nối VPN ít

• Tất cả lưu lượng đi qua VPN gateway

• VPN gateway nằm trong VPN domain

VPN đa điểm kết nối

• Dùng cho mạng lớn, nhu cầu kết nối VPN cao

• Có thể sử dụng nhiều VPN gateway

• VPN gateway nằm ngoài VPN domain

19

2 CÁC GIAO THỨC VPN

2.1 CÁC GIAO THỨC VPN TẦNG 2

21

PPTP

•Point-to-Point Tunneling Protocol (RFC 2637)

•Mở rộng của Point-to-Point Protocol (PPP)

•Client/Server : 2 kết nối

 Kết nối điều khiển : TCP, cổng 1723

 Kết nối đường hầm: Generic Routing Encapsulation

3 NAS ngắt và thiết lập lại kết nối

4 Thỏa thuận giao thức

23

PPTP Tunnel Packet

RC4 encryption Keysize : 40 or 128 bits

Internet

Remote User Host Server

Network Gateway

ISP'sIntranet Private Network

1 2

User Authentication (PAP, CHAP) 3

Tunnel Establishment Allocated

L2F Tunnel Initiation

4 5

Connection RequestAccepted/

Rejected 6a

Tunnel Established Notification

6b

User Authentication 7a

Tunnel Established

Đường hầm L2F

• Layer 2 Tunnelling Protocol (RFCs 2661 and 3438)

• Kết hợp L2F và PPTP

• Sử dụng UDP để đóng gói dữ liệu (Port 1701)

• Có thể sử dụng thêm IPSec trong chế độ transport mode

• Thiết lập đường hầm L2TP : 2 bước

 Thiết lập kết nối để trao đổi thông điệp điều khiển tạo đường

2a

2b

Connection 3

Connection Connection Establishment

1

Connection

Đóng gói dữ liệu

29

Các kiểu đường hầm L2TP

• Tự nguyện(Voluntary) : máy trạm người dùng và L2TP

server là 2 điểm đầu cuối, trực tiếp thiết lập đường hầm

Authentication the User

Connection Request

LAC

ISP's Intranet

Private Network Remote User

2

Strips Tunneling Information

3

Frames to the

Authe n tic a tio n

R e q u e st 2

C o nn e c tio n E sta b lishe d

IP/ATM Giao thức kiểm soát TCP, Port:

1723

UDP, Port: 1701 UDP, Port: 1701 Các cơ chế xác thực MS-CHAP, CHAP, PAP, SPAP, EAP, CHAP, PAP, SPAP,

• Bảo mật: DES, 3DES, AES

• Xác thực: HMAC MD-5, HMAC SHA-1

• Chống tấn công phát lại

• Xác thực các bên

• Kiểm soát truy cập

• Giao thức đóng gói dữ liệu :

• AH : Xác thực thông điệp

• ESP : Bảo mật và xác thực thông điệp

Hệ thống tài liệu đặc tả của IPSec

Domain of Interpretation

35

Giao kết bảo mật (security association)

• Chứa tham số để hình thành liên kết bảo mật giữa các

• Định danh của giao thức bảo mật (Security Protocol Identifier)

• Security Policy Database (SPD)

Tiến trình trao đổi dữ liệu qua IPSec VPN

1. Một trong 2 bên khởi tạo

2. Thiết lập kết nối điều khiển: ISAKMP/IKE Phase 1:

 Các chính sách trao đổi khóa

 Diffie-Hellman

 Xác thực thiết bị và xác thực người dùng

3. ISAKMP/IKE Phase 2 : thỏa thuận các tham số thiết

lập kết nối bảo mật để truyền dữ liệu

4. Trao đổi dữ liệu

5. Làm mới các kết nối nếu quá thời gian quy định cho 1

phiên

37

ISAKMP/IKE Phase 1

• Internet Security Associate and Key Management

Protocol : khuôn dạng gói tin, giao thức trao đổi khóa,

thỏa thuận SA để thiết lập kết nối

• Internet Key Exchange : tạo, chia sẻ, quản lý khóa

• ISAKMP/IKE Phase 1:

• Thỏa thuận SA

• Trao đổi khóa bằng Diffie-Hellman

• Xác thực lẫn nhau trước khi tiến hành ISAKMP/IKE Phase 2

• 2 chế độ : main và aggressive

Các chế độ trong ISAKMP/IKE Phase 1

ISAKMP/IKE Phase 1 : Remote-access

• Xác thực người dùng bằng XAUTH (RFC Draft)

• Áp dụng chính sách nhóm cho người dùng (IKE

Đóng gói dữ liệu theo giao thức ESP

45

Đóng gói dữ liệu theo giao thức AH

Đóng gói dữ liệu theo giao thức AH

gói tin IP và phần tiêu đề IPv6 mở rộng

Mã hóa toàn bộ gói tin

IP ban đầu ESP có xác thực Mã hóa phần dữ liệu cùa Mã hóa và xác thực

Xử lý gói tin trong IPSec

• Gói tin outbound

• Kiểm tra policy trong SPDB: discard, bypass, apply

• Thiết lập SA giữa các bên(nếu cần)

• Áp dụng các dịch vụ của IPSec lên dữ liệu theo SA đã thiết lập

• Gói tin inbound

• Nếu không chứa IPSec header : kiểm tra policy trong SPD

 discard , bypass , apply

• Nếu chứa IPSec header : <SPI, Dst IP, Protocol>, Src IP để tìm

kiếm SA trong SADB

• Kiểm tra policy xử lý phần dữ liệu tầng trên

• Chuyển lên cho tầng trên xử lý tiếp

49

Xử lý gói tin trong IPSec(ví dụ)

• A-RB:ESP

• A-B: AH

• Application Translation: khi SSL VPN gateway chỉ hỗ trợ Web

proxy, chức năng này thực hiện chuyển đổi dữ liệu của các dạng

2.1 Mô hình và kiến trúc triển khai:

• Vị trí của VPN gateway trong mạng

• Các thông số cấu hình TCP/IP: địa chỉ, gateway, DNS server…

• Kết nối VPN đơn lẻ được chấp nhận

Thiết kế

2.3 Xác thực

• Lựa chọn phương pháp xác thực tài khoản truy cập

• Lựa chọn giải pháp quản lý người dùng, quản lý khóa

2.4 Các vấn đề khác:

• IPSec: Vòng đời của IKE và IPSec SA, chế độ hoạt động của IKE,

tham số của Diffie-Hellman

• Sao lưu, dự phòng

• Quy trình phản ứng sự cố

57

Các giai đoạn triển khai VPN

3 Triển khai và đánh giá trên môi trường thử nghiệm

Kiến trúc triển khai VPN

• Triển khai trên firewall

59

Kiến trúc triển khai VPN

Triển khai trên firewall:

• Ưu điểm:

• Thiết kế và triển khai dễ dàng

• Dễ dàng tương thích ngay với cơ chế hoạt động của firewall

• Giữ nguyên chính sách của firewall áp dụng lên lưu lượng mạng

• Nhược điểm:

• Phục thuộc vào tính năng hỗ trợ VPN của firewall

• Firewall phải mở cổng dịch vụ VPN(IPSec: 500, 4500; SSL: 443)

Kiến trúc triển khai VPN

• Triển khai trước firewall

61

Kiến trúc triển khai VPN

Triển khai trước firewall:

• Ưu điểm: kiểm soát được hoàn toàn lưu lượng

• Nhược điểm:

• VPN Gateway không được bảo vệ

• Dữ liệu có thể bị nghe lén trên phân vùng DMZ nếu không cấu hình

firewall một cách đúng đắn

Kiến trúc triển khai VPN

Triển khai bên trong vùng mạng riêng(sau firewall)

63

Kiến trúc triển khai VPN

Triển khai bên trong vùng mạng riêng(sau firewall)

• Cấu hình firewall cho phép kết nối từ bên ngoài tới cổng

dịch vụ trên VPN gateway

• Nên đặt thêm 1 firewall kiểm soát luồng dữ liệu từ VPN

gateway tới phần còn lại của mạng riêng

• Ưu điểm:

• Không phụ thuộc vào các sản phẩm firewall

• Không cần mở cổng dịch vụ trên firewall

Kiến trúc triển khai VPN

Triển khai bên trong vùng mạng riêng: mô hình khác

65

Kiến trúc triển khai VPN

• Triển khai bên trong vùng mạng DMZ(sau firewall)

Kiến trúc triển khai VPN

Triển khai bên trong vùng mạng DMZ(sau firewall)

• Cấu hình firewall cho phép kết nối từ bên ngoài tới cổng

dịch vụ trên VPN gateway

• Cấu hình firewall kiểm soát dữ liệu tới các cổng ứng dụng

khác đối với các lưu lượng từ VPN gateway tới vùng

Kiến trúc triển khai VPN

Triển khai bên trong vùng mạng DMZ(sau firewall)

• Ưu điểm:

• Khi VPN gateway bị chiếm quyền điều khiển, vẫn kiểm soát được

các truy cập tới vùng mạng bên trong giải pháp tốt nhất có thể

giảm thiểu nguy cơ khi bị mất quyền điều khiển trên VPN gateway

• Giữ nguyên chính sách của firewall áp dụng lên lưu lượng mạng

tới vùng mạng riêng

• Nhược điểm:

Kiến trúc triển khai VPN

• Triển khai trong vùng mạng DMZ, sử dụng 2 giao tiếp mạng

69

Kiến trúc triển khai VPN

Triển khai bên trong vùng mạng DMZ, sử dụng 2 giao tiếp

trên VPN gateway

• Giao tiếp mạng bên ngoài: kết nối với mạng DMZ, cung

cấp kết nối SSL VPN cho người dùng từ xa

• Giao tiếp mạng bên trong: kết nối với firewall Mọi lưu

lượng giữa VPN gateway và mạng bên trong phải qua

giao tiếp này  có thể kiểm soát các lưu lượng tấn công

• Hạn chế:

• Cấu hình định tuyến cho mạng trở nên phức tạp hơn

• Nếu cung cấp kết nối VPN ở chế độ đầy đủ, không ngăn chặn

được các tấn công bên trong phân vùng DMZ do không áp đặt

được chính sách với các lưu lượng mạng vào vùng DMZ

Vấn đề định tuyến với VPN

• Client sử dụng địa chỉ ảo khi truy cập tới các nút mạng

trong vùng mạng riêng:

• Phải cấu hình định tuyến để nút mạng trong vùng mạng riêng gửi

dữ liệu trả lời tới VPN gateway

• Tại sao không nên dùng NAT?

• Giải pháp triển khai VPN bên trong vùng mạng DMZ, sử

dụng 2 giao tiếp mạng:

• Cấu hình định tuyến tĩnh trên VPN server

71

CASE STUDY 1: TRIỂN KHAI IPSEC VPN

THEO MÔ HÌNH SITE-TO-SITE

Mô tả bài toán

Thiết kế giải pháp

• Xác thực giữa 2 VPN gateway(router): pre-shared key

• Thuật toán mã mật và xác thực cho dữ liệu: AES-128,

HMAC-SHA-1

• Lọc gói: xác định những luồng dữ liệu từ văn phòng chi

nhánh tới văn phòng chính không cần bảo vệ:

• Phụ thuộc vào các dịch vụ tại văn phòng chính cho phép kết nối từ

mạng công cộng

• Lưu ý trong khâu kiểm thử, thực hiện kiểm thử lần lượt: Không có

bộ lọc  Thêm bộ lọc cho từng luồng

75

Triển khai thử nghiệm

Trong trường hợp mạng không có môi trường thử nghiệm

chuyên biệt, có thể thực hiện giai đoạn này vào thời gian

ngoài giờ làm việc

• B1: Kiểm tra lại trạng thái bảo mật của các router

• B2: Sao lưu cấu hình hiện tại của các router

• B3: Kiểm tra tính năng hỗ trợ IPSec VPN trên các router

• B4: Cấu hình cơ chế xác thực trên router(định nghĩa SA)

Triển khai thử nghiệm

• B5: Cấu hình chế độ IPSec và thuật toán mật mã

• B6: Định nghĩa bộ lọc

• B7: Kết nối các cấu hình của bước 4, 5, 6

77

(config)# crypto ipsec transform-set transform_set_name crypto_set auth_set

(config)# access-list ACL_number permit ip sourceIP source_wild_card destIP

dest_wild_card

(config)# crypto map map_name seq_# ipsec-isakmp

(config-crypto-m)# match address ACL_number

(config-crypto-m)# set peer peer_address

(config-crypto-m)# set transform-set transform_set_name

Triển khai thử nghiệm

• B8: Thiết lập cấu hình IPSec cho cổng kết nối mạng

• B9: Kiểm tra cấu hình

• B10: Kiểm thử

(config)# interface interfaceID

(config-if)# crypto map map_name

# show crypto isakmp sa [detail]

# show crypto isakmp policy

# show crypto map

# show crypto ipsec sa

# debug crypto isakmp

# debug crypto ipsec

# debug crypto engine

CASE STUDY 2: TRIỂN KHAI SSL VPN

THEO MÔ HÌNH CLIENT-TO-SITE

79

Mô tả bài toán

• Một công ty có số lượng lớn nhân viên làm việc ở bên

ngoài với công việc thu thập số liệu thị trường bán lẻ

Những nhân viên này thường xuyên phải kết nối tới mạng

nội bộ của công ty để chia sẻ số liệu, sử dụng hệ thống

phân tích số liệu, cập nhật tiến độ công việc, lịch công

tác…

• Hệ thống mạng của công ty đã triển khai giải pháp IPSec

VPN theo mô hình truy cập từ xa Mỗi nhân viên được

Yêu cầu

• Tất cả nhân viên nghiên cứu thị trường có thể truy cập

vào toàn bộ tài nguyên trong mạng nội bộ nếu sử dụng

máy tính của công ty đã cấp phát

• Nếu nhân viên sử dụng máy tính khác, anh ta chỉ được

phép truy cập giới hạn vào một số dịch vụ trong mạng nội

bộ

• Một bộ phận nhân viên phòng Nhân sự khi đi công tác

cũng có thể truy cập vào mạng nội bộ của công ty, nhưng

chỉ được sử dụng ứng dụng Quản lý hồ sơ nhân viên của

• Liệt kê nhóm người dùng

• Liệt kê điều kiện để có thể truy cập vào tài nguyên trong

mạng nội bộ

• Điều kiện chung: máy tính truy cập SSL VPN phải cập nhật phiên

bản HĐH mới nhất, cài đặt phần mềm firewall, anti-virus

• Người dùng sử dụng máy tính của công ty cấp?

• Người dùng sử dụng máy tính khác?

• Người dùng là nhân viên phòng Nhân sự?

PPTP • Hỗ trợ các giao thức non-IP • Phải cài đặt và cấu hình

phần mềm VPN client

• Thuật toán mã hóa yếu

• Không có giao thức xác thực mạnh

• Chỉ hỗ trợ 1 phiên trên mỗi kết nối VPN

L2TP • Hỗ trợ các giao thức non-IP • Phải cài đặt và cấu hình

• Trong suốt với người dùng

nếu sử dụng mô hình

SSL • Hỗ trợ trên trình duyệt Web

• Cơ chế mật mã mạnh

• Cung cấp cơ chế xác thực

đa lớp

• Trong suốt với client

• Hỗ trợ kiểm soát truy cập

• Chỉ bảo vệ dữ liệu trên liên kết TCP

• Hạn chế khi triển khai mô hình site-to-site