Bào cáo đầy đủ IPsec VPN

Bào cáo đầy đủ IPsec VPN

BÀI THUYẾT TRÌNH

MÔN:ỨNG DỤNG TRUYỀN THÔNG VÀ AN

NINH THÔNG TIN

ĐỀ TÀI SỐ 5: IPSEC & VPN

Giảng Viên Hướng Dẫn:Ths.Tô Nguyển Nhật Quang

TỔNG QUANG

o Trong thập kỷ qua, Internet đã phát triển bùng

nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật

o Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn

 Vấn đề phát sinh là tính bảo mật và hiệu quả

kinh thế của việc truyền tải dữ liệu qua mạng

trung gian công công không an toàn như

Internet

o Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs) và kết hợp với giao thức ipsec để nhằm tăng khả năng bảo mật

IPSEC

 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP)

 Bao gồm xác thực và/hoặc mã hoá

(Authenticating and/or Encrypting) cho mỗi gói

IP (IP packet) trong quá trình truyền thông tin

 IPsec cũng bao gồm những giao thức cung cấp cho

mã hoá và xác thực

TỔNG QUAN IPSEC

 IPsec được làm việc tại tầng

Network Layer – layer 3 của mô hình OSI

 Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này

 IPSec trong suốt với người dùng cuối

TỔNG QUAN IPSEC

IPSEC USES

 Chỉ những dữ liệu bạn giao tiếp các gói tin được

mã hoá và/hoặc xác thực

 Trong quá trình routing, cả IP header đều không

bị chỉnh sửa hay mã hoá; tuy nhiên khi

authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm)

 Transport mode sử dụng trong tình huống giao tiếp host-to-host

CÁC MODE - TRANSPORT MODE

 Toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực.

 Nó phải được đóng gói lại trong một dạng IP

packet khác trong quá trình routing của router

 Tunnel mode được sử dụng trong giao tiếp

network-to-network (hay giữa các routers với

nhau), hoặc host-to-network và host-to-host trên internet

CÁC MODE - TUNNEL MODE

 IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4

 Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995

 Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương

thích với chuẩn 1825 – 1929.

 Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309

HIỆN TRẠNG

 Mã hoá quá trình truyền thông tin

 Đảm bảo tính nguyên ven của dữ liệu

 Phải được xác thực giữa các giao tiếp

 Chống quá trình replay trong các phiên bảo mật

DỊCH VỤ IPSEC

 Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6

 IP Authentication Header giúp đảm bảo tính

 Cung cấp sự hỗ trợ cho an toàn dữ liệu và xác

 Dựa trên sử dụng MAC

 HMAC–MD5–96 hoặc HMAC – SHA -1-96

 Các bên cần chia sẻ khoá mật

AUTHENTICATION HEADER

(AH)

AUTHENTICATION HEADER

 Đảm bảo bảo mật nội dung mẩu tin và luồng vận chuyển giới hạn

TẢI TRỌNG AN TOÀN ĐÓNG GÓI

ENCAPSULATING SECURITY PAYLOAD (ESP)

ENCAPSULATING SECURITY PAYLOAD

 Quản lý sinh khoá và phân phối khoá

 Thông thường cần hai cặp khoá

2 trên một hướng cho AH và ESP

 Quản trị khoá thủ công

Người quản trị hệ thống thiết lập cấu hình cho từng hệ thống

 Là thủ rục trao đổi khoá

 Dựa trên trao đổi khoá Diffie-Hellman

 Bổ sung các đặc trưng để khắc phục các điểm yếu

 Cookies, nhóm (tham số tổng thể), các chỉ số đặc

trưng (nonces), trao đổi khoá DH với việc xác thực

 Có thể sử dụng số học trên trường số nguyên tố hoặc đường cong elip

OAKLEY

 Liên kết an toàn Internet và thủ tục quản trị

ISAKMP

VPN

1:GIỚI THIỆU

1.1 MỘT SỐ KHÁI NIỆM VỂ VPN

 VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng

 Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet)

và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối

 Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels") Những đường

hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu

cuối như là giao thức thông tin point-to-point

1.2 KỸ THUẬT CƠ BẢN CỦA VPN

 Encryption

 Public Key

 Private Key

 Có hai ứng dụng mã hóa sử dụng phổ biến là

Pretty Good Privacy (PGP) and Data Encryption Standard (3DES)

 Authentication

+Secret-key encryption

+Public-key encryption

 Authorization

1.3 GIAO THỨC ĐƯỜNG HẦM

(TUNNELING)VPN:

 Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel,

máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol)

 Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel

interface), nơi gói tin đi vào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau

 - Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua



- Giao thức mã hóa dữ liệu (Encapsulating

Protocol) là giao thức (như GRE, IPSec, L2F,

PPTP, L2TP) được bọc quanh gói dữ liệu gốc



- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX,

NetBeui, IP)

a.IP Security

b.Point-to-Point Tunneling Protocol (PPTP)

Được phát triển bởi Microsoft, 3COM và Ascend Communications Nó được đề xuất để thay thế cho IPSec PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows

c Layer 2 Tunneling Protocol (L2TP) Được

phát triển bởi hệ thống Cisco nhằm thay thế IPSec

Thường được sử dụng để mã hóa các khung

Point-to-Point Protocol (PPP) để gửi trên các mạng X.25,

FR, và ATM

2 CÁC DẠNG CỦA VPNS:

 Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:

 + Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời gian nào.

 + Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

 + Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể

ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.

 Dựa trên tiêu chí đó có thể phân loại VPNs thành 3 nhóm chính:

1 Remote Access VPNs

2 Intranet VPNs

3 Extranet VPNs

2.1 REMOTE ACCESS VPNS:

-Cho phép người dùng truy cập vào dữ liệu nội bộ của công từ ngoài internet

2.1 REMOTE ACCESS VPNS:

ƯU KHUYẾT ĐIỂM CỦA REMOTE ACCESS VPNS

SO VỚI REMOTE ACCESS TRUYỀN THỐNG:

Ưu Điểm

 Không có thành phần RAS và các thành phần

modem liên quan

 Không cần nhân sự hỗ trợ hệ thống do kết nối từ

xa được thực hiện bởi ISP

 Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương Do đó chi phí vận hành giảm rất nhiều

 Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền

dữ liệu đi xa

 Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất.

 Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền

dữ liệu đi xa

 Do tính phức tạp của thuật toán mã hóa, giao

thức từ mã sẽ tăng lên khá nhiều, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt

 Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng

“đường hầm” Remote Access VPN có thể gây

chậm đường truyền

2.2/ INTRANET VPNS:

 Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm

Hệ thống intranet không sử dụng VPN

.Sự vận hành, bảo trì và quản lý intranet backbone yêu cầu chi phí rất cao

Giải Pháp VPN

3.3/ EXTRANER VPNS:

 Không giống như giải pháp của intranet VPNs và remote access VPNs, extranet VPNs không tách riêng với thế giới ngoài

 Extranet VPNs cho phép điều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ

chức như các các đối tác, khách hàng hay nhà

cung cấp những người đóng vai trò quan trọng

trong hoạt động thương mại của tổ chức

 Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả

 Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí

3.CÁC YÊU CẦU, CÁC KHỐI

VÀ KIẾN TRÚC CỦA MẠNG RIÊNG ẢO

3.2 CẤU TRÚC KHỐI VPN

 sáu thành phần cơ bản tạo thành một giải pháp dựa trên VPN hoàn chỉnh

 Phần cứng VPN bao gồm các sever VPN, khách hàng, và các thiết bị phần cứng khác như VPN routers, gateways và concentrator

 Phần mềm VPN bao gồm các phần mềm server

và client và các công cụ quản lý VPN

 Cơ sở hạ tầng bảo mật của sự tổ chức, bao gồm các giải pháp dựa trên AAA, RADIUS, TACACS, NAT `

 Có thể được dựa trên Ipsec, PPTP, L2TP hoặc L2F

 Cơ sở hạ tầng được hỗ trợ bởi nhà cung cấp dịch

vụ bao gồm xương sống chuyển mạch truy cập mạng của nhà cung cấp dịch vụ và xương sống Internet

 Mạng công cộng bao gồm mạng Internet, mạng chuyển mạch điện thoại công cộng và Plain Old Services (POTS)

 Đường hầm, có thể được dựa trên PPTP, L2TP hoặc L2F

b VPNs độc lập

-Ở đây, toàn bộ chức năng của việc thành lập VPN

được xử lý bởi tổ chức đăng ký

c VPNs hỗn hợp

-Sự kết hợp giữa vpn độc lập và vơn kết hợp

4 BẢO MẬT TRONG VPN4.1 Xác nhận người dùng

4.2 Quản lý truy cập

o Quản lý các kết nối của người dùng

o Phân quyền và tài nguyên

o Quản lý truy cập dựa trên mã xác nhận người dùng

4.3 Mã Hóa Dữ liệu

 Mã hóa dữ liệu hay mật mã là một phần quan

trọng trong vấn đề bảo mật VPN

 Mã hóa dữ liệu có thể ngăn được cá nguy cơ sau:

 Xem dữ liệu trái phép

 Thay đổi dữ liệu

 Dữ liệu giả

 Ngắt dịch vụ mạng

4.4 Cơ sở hạ tầng khóa chung (Public Key

 Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn

 Xác nhận người sử dụng PKI

Các thành phần PKI

 Khách hàng PKI

 Người cấp giấy chứng nhận (CA)

 Người cấp giấy đăng ký (RA)

 Các giấy chứng nhận số

 Hệ thống phân phối các giấy chứng nhận (CDS)

5.CONFIGURING A VPN

SITE TO SITE

Topology

 Headoffice(config)#ip route 0.0.0.0 0.0.0.0 193.168.1.0 Branch(config)#ip route 0.0.0.0 0.0.0.0 194.168.1.0

b.Cấu hình VPN theo các bước sau:

Trên router HQ

Bước1: Tạo Internet Key Exchange (IKE) key policy.

Headoffice(config)#crypto isakmp policy 9

Headoffice(config-isakmp)#hash md5

Headoffice(config-isakmp)#authentication pre-share

Bước 2: Tạo shared key để sử dụng cho kết nối VPN

Headoffice(config)#crypto isakmp key VPNKEY address 194.168.1.2

Bước 3: Quy định lifetime

HQ(config)#crypto ipsec security-association lifetime seconds 86400

Bước 4: Cấu hình ACL dãy IP có thể VPN.

HQ(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Bước 5: Define the transformations set that will be used for this VPN connection

HQ(config)#crypto ipsec transform-set SETNAME esp-3des esp-md5-hmac

Bước 6: Tạo cypto-map cho các transform, setname

HQ(config)#crypto map MAPNAME 10 ipsec-isakmp

HQ(config-crypto-map)#set peer 115.114.113.1 (ip của router branch)

HQ(config-crypto-map)#set transform-set SETNAME

THANKS YOUR

LISTENING