– Là một mạng riêng sử dụng hệ thống mạng côngcộng thường là Internet để kết nối các địa điểmhoặc người sử dụng từ xa với một mạng LAN ở trụ sởtrung tâm.. Các loại VPN phổ biến hiện nay
Trang 1COMP104901 – Computer & Network Security
Virtual Private Network – VPN
COMP104901 – Computer & Network Security
Virtual Private Network – VPN
Luong Tran Hy Hien, Lecturer of FIT, HCMUP
Trang 2What is a VPN?
http://www.3linkserver.com/images/themes/3link/vpn_image.gif
Trang 3VPN Solutions for Campus
Trang 4Giới thiệu
• Mạng riêng ảo – VPN (Virtual Private Network)
là gì ?
– Là một mạng riêng sử dụng hệ thống mạng côngcộng (thường là Internet) để kết nối các địa điểmhoặc người sử dụng từ xa với một mạng LAN ở trụ sởtrung tâm
• Giải pháp VPN:
– Thiết kế cho những tổ chức có xu hướng tăng cườngthông tin từ xa vì địa bàn hoạt động rộng (trên toànquốc hay toàn cầu)
– Tài nguyên ở trung tâm có thể kết nối đến từ nhiềunguồn nên tiết kiệm được được chi phí và thời gian
Trang 5Giới thiệu
Một mạng VPN điển hình bao gồm:
1 Mạng LAN chính tại trụ sở (Văn phòng chính),
2 Các mạng LAN khác tại những văn phòng từ xa
3 Các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.
Trang 6Các loại VPN phổ biến hiện nay
– Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
• Giao thức truyền tải (Carrier Protocol): là giao thức được sử dụng bởi mạng
có thông tin đang đi qua.
• Giao thức mã hóa dữ liệu (Encapsulating Protocol): là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
• Giao thức gói tin (Passenger Protocol): là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).
Trang 7VPN điểm-nối-điểm (site-to-site VPN)
• Sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm
cố định với nhau thông qua một mạng công cộng như Internet.
• Giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol).
• Phân loại dựa trên Intranet hoặc Extranet.
– Loại dựa trên Intranet : Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN.
– Loại dựa trên Extranet : Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ),
họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Trang 8VPN điểm-nối-điểm (site-to-site VPN)
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa định tuyến GRE- Generic Routing Encapsulation diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
Trang 9Intranet VPN
Trang 10Extranet VPN
Trang 11Remote Access VPN
Trang 12VPN truy cập từ xa (Remote-Access VPN)
• Còn gọi là mạng Dial-up riêng ảo (VPDN)
• Dùng giao thức điểm-nối-điểm PPP (Point-to-PointProtocol)
• Là một kết nối người dùng-đến-LAN, xuất phát từ nhucầu của một tổ chức có nhiều nhân viên cần liên hệ vớimạng riêng của công ty mình từ rất nhiều địa điểm ở xa
• Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã.
Trang 13– VD: Một số sản phẩm dùng cho VPN như router 1700của Cisco có thể nâng cấp để gộp những tính năngcủa tường lửa bằng cách chạy hệ điều hành InternetCisco IOS thích hợp.
Trang 14Bảo mật trong VPN
• Bảo mật giao thức Internet (IPSec): cung cấp những
tính năng an ninh cao cấp như các thuật toán mã hóa tốthơn, quá trình thẩm định quyền đăng nhập toàn diệnhơn
– IPSec có hai cơ chế mã hóa là Tunnel và Transport.Tunnel mã hóa tiêu đề (header) và kích thước của mỗigói tin còn Transport chỉ mã hóa kích thước
– Những hệ thống có hỗ trợ IPSec mới có thể tận dụngđược giao thức này
– Tất cả các thiết bị phải sử dụng một mã khóa chung
và các tường lửa trên mỗi hệ thống phải có các thiếtlập bảo mật giống nhau
– IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khácnhau như router với router, firewall với router, PC vớirouter, PC với máy chủ
Trang 15Bảo mật trong VPN
• Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính
đều có một mã bí mật để mã hóa gói tin trước khi gửi tớimáy tính khác trong mạng Mã riêng yêu cầu bạn phảibiết mình đang liên hệ với những máy tính nào để có thểcài mã lên đó, để máy tính của người nhận có thể giải
mã được
• Mật mã chung (Public-Key Encryption) kết hợp mã riêng
và một mã công cộng Mã riêng này chỉ có máy của bạnnhận biết, còn mã chung thì do máy của bạn cấp cho bất
kỳ máy nào muốn liên hệ (một cách an toàn) với nó Đểgiải mã một message, máy tính phải dùng mã chungđược máy tính nguồn cung cấp, đồng thời cần đến mãriêng của nó nữa
Trang 16Máy chủ AAA
• AAA là viết tắt của ba chữ:
– Authentication (thẩm định quyền truy cập)
– Authorization (cho phép)
– Accounting (kiểm soát)
• Các server này được dùng để đảm bảo truy cập an toàn hơn.
– Khi yêu cầu thiết lập một kết nối được gửi tới từ máykhách, nó sẽ phải qua máy chủ AAA để kiểm tra
– Các thông tin về những hoạt động của người sử dụng
là hết sức cần thiết để theo dõi vì mục đích an toàn
Trang 17Sản phẩm công nghệ dành cho VPN
• Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm),bạn sẽ cần phải cài đặt những bộ phận hợp thành nào
đó để thiết lập mạng riêng ảo Đó có thể là:
– Phần mềm cho desktop của máy khách dành chongười sử dụng từ xa
– Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặcfirewall bảo mật PIX
– Server VPN cao cấp dành cho dịch vụ Dial-up
– NAS (máy chủ truy cập mạng) do nhà cung cấp sửdụng để phục vụ người sử dụng từ xa
– Mạng VPN và trung tâm quản lý
Trang 18Tunneling Protocols
Trang 19• Common VPN Protocols
– Point-to-Point Tunneling Protocol (PPTP)
• Designed for client/server connectivity
• Point-to-point connection between two computers
• Layer 2 on IP only networks
– Layer 2 Tunneling Protocol (L2TP)
• Combines functionality of PPTP/L2F
• Works over multiple protocols, not just IP
– Internet Protocol Security (IPSec) – Secure Sockets Layer (SSL)
Tunneling Protocols
Trang 20o A tunnel is a virtual path across a network that delivers packets that are encapsulated and
possibly encrypted.
o A packet based on one protocol is wrapped, or encapsulated, in a second packet based on a different protocol
Tunneling Protocols
Trang 21• Example of situation where Tunneling is used:
– An Ethernet network is connected to an FDDI backbone, that FDDI network does not
understand the Ethernet frame format
– Two networks use IPX and need to
communicate across the Internet
What is tunneling?
Trang 22What is tunneling?
http:// www.novell.com/documentation/nias41/iptuneun/graphics/rtc_021a.gif
Trang 23• Tunneling is the main ingredient to a VPN, tunneling is used by VPN to creates its
Trang 24Example of packet encapsulation
Trang 25• PPTP is a Microsoft
protocol which allows
remote users to set up a
Trang 26• In PPTP, the PPP payload is encrypted with Microsoft Point-to-Point Encryption
(MPPE) using MS-CHAP or EAP-TLS
• The keys used in encrypting this data are generated during the authentication
process between the user and the
Trang 27Point-to-Point Tunneling Protocol (PPTP)
Point-to-Point Tunneling Protocol (PPTP)
CISSP Certification All in One Exam Guide pg 613
Trang 28• One limitation of PPTP is that it can work only over IP networks, Other protocols
must be used to move data over frame
relay, X.25, and ATM links
Point-to-Point Tunneling Protocol (PPTP)
Point-to-Point Tunneling Protocol (PPTP)
Trang 29• L2TP provides the functionality of PPTP,
but it can work over networks other than just IP.
• L2TP does not provide any encryption or authentication services.
• It needs to be combined with IPSec if
encryption and authentication services are required.
Layer 2 Transport Protocol
Trang 30• The processes that L2TP uses for
encapsulation are similar to those used by PPTP
Layer 2 Transport Protocol
Trang 31• PPTP can run only within IP networks
• L2TP, on the can run within other
protocols such as frame relay, X.25, and
ATM.
• PPTP is an encryption protocol and L2TP is not.
• L2TP supports TACACS+ and RADIUS,
while PPTP does not.
Layer 2 Transport Protocol
Trang 32• Provides a method of setting up a secure channel for protected data exchange
between two devices.
• More flexible and less expensive than
end-to end and link encryption methods.
• Employed to establish virtual private
networks (VPNs) among networks across the Internet.
IPSec (Internet Protocol Security)
Trang 33• IPSec uses two basic security protocols:
– Authentication Header (AH): It is the
authenticating protocol
– Encapsulating Security Payload (ESP): ESP is an authenticating and encrypting protocol that provide source authentication, confidentiality, and message integrity.
IPSec (Internet Protocol Security)
Trang 34• IPSec can work in one of two modes:
– Transport mode, in which the payload of the message is protected
– Tunnel mode, in which the payload and the routing and header information are protected.
IPSec (Internet Protocol Security)
Trang 35IPSec (Internet Protocol Security)
IPSec (Internet Protocol Security)
CISSP Certification All in One Exam Guide pg 610
Trang 36• Point-to-Point Tunneling Protocol (PPTP):
– Designed for client/server connectivity
– Sets up a single point-to-point connection between two computers
– Works at the data link layer
– Transmits over IP networks only
Summary of tunneling
Trang 37• Layer 2 Tunneling Protocol (L2TP)
– Sets up a single point-to-point connection
between two computers
– Works at the data link layer
– Transmits over multiple types of networks, not just IP
– Combined with IPSec for security
Summary of tunneling
Trang 39Authentication Protocols
Trang 40Authentication Protocols
• Password Authentication Protocol (PAP)
• Challenge Handshake Protocol (CHAP)
• PAP vs CHAP
• Extensible Authentication Protocol (EAP)
Trang 41• What is authentication?
The process of determining that you are whom you say you are “It provides
identification and authentication of the
user who is attempting to access a
all-in-one exam guide, pg 614)
Trang 42How does one get authenticated?
By username/password, token, etc validation
• If valid, then the user is granted access
• If not valid, no access is provided
Authentication
Trang 43• Used by remote users to authenticate over PPP lines
– Users enter username and password before Authentication.
– The password and the username are sent over the network to the authentication server.
– The username and password are compared to the database that is stored
on the authentication server.
– If username and password matches access is granted Else access is denied.
Password Authentication Protocol
(PAP) Password Authentication Protocol
(PAP)
Trang 44Password Authentication Protocol (PAP)
Password Authentication Protocol (PAP)
PAP Authentication process
Trang 45– PAP is very insecure.
• Credentials are sent in cleartext This limitation allows for a sniffer software to obtain you
Trang 46• Uses a challenge/response mechanism to authenticate the user instead of a
Trang 47• The authentication process
– The host computer sends the authentication server a logon request.
– The server sends the user a random valued challenge.
– This challenge is encrypted with the use of a predefined password as an encryption key.
– The encrypted challenge value is returned to the server.
Trang 48• The Authentication process (con’t)
– The authentication server uses the predefined password as the encryption key to decrypt the challenge value.
– The Server compares the received value with the one stored in its database.
– If the results are the same, the server
authenticates the user and grants access Else, access will be denied.
Trang 49Challenge Handshake
Authentication Protocol (CHAP)
Challenge Handshake
Authentication Protocol (CHAP)
Challenge Handshake Process
Trang 50PAP vs CHAP
• PAP
• Sends credentials in cleartext during transmission
• Use has decreased because it does not provide a high level of security
• Supported by most networks NSAs
• CHAP
• Used the same way PAP is used but provides a higher degree of security
• Authenticates using a challenge/response method
• Used by remote users, routers, and NASs to provide authentication before providing
connectivity
Trang 51• An authentication protocol which supports
multiple authentication mechanisms.
• Used for PPP and 802.X connections.
Extensible Authentication Protocol (EAP)
Extensible Authentication Protocol (EAP)
Trang 52• EAP support authentication schemes such as:
– Generic Token Card
– An example is secure ID D:\VPN\Token card.jpg
– One Time Password (OTP)
– Message Digest 5 (MD5)-Challenge
– Transport Layer Security (TLS) for smart card and
digital certificate-based authentication
Extensible Authentication Protocol (EAP)
Extensible Authentication Protocol (EAP)
Trang 53• Authentication Process:
– Peers negotiate to perform EAP during the
connection authentication phase.
– When the connection authentication phase is reached, the peers negotiate the use of a
specific EAP authentication
(https://www.microsoft.com/technet/network/eap/eap.mspx)
– After Negotiation, the client and server
exchange messages between themselves.
– Authentication messages consist of requests and responses.
Extensible Authentication Protocol (EAP)
Extensible Authentication Protocol (EAP)
Trang 54Extensible Authentication Protocol (EAP)
Extensible Authentication Protocol (EAP)
EAP Authentication Process ( https://www.microsoft.com/technet/network/eap/eap.mspx)
Trang 56Thùc hµnh thiÕt kÕ m¹ng VPN
Trang 57Bảo mật & An ninh mạng
AN TOÀN IP – IP Security
Trang 58Giới thiệu
• Tại sao cần IPSec?
– Có những vấn đề an ninh cần giải quyết ở mức thấp hơn tầng ứng dụng
• Đặc biệt các hình thức tấn công ở tầng IP rất phổ biến như giả mạo IP, xem trộm gói tin
– An ninh ở mức IP sẽ đảm bảo an ninh cho tất cả các ứng dụng
• Bao gồm nhiều ứng dụng chưa có tính năng an ninh
• Các cơ chế an ninh của IPSec
– Xác thực
– Bảo mật
– Quản lý khóa
Trang 59Các ứng dụng của IPSec
• Xây dựng mạng riêng ảo an toàn trên Internet
– Tiết kiệm chi phí thiết lập và quản lý mạng riêng
• Truy nhập từ xa an toàn thông qua Internet
– Tiết kiệm chi phí đi lại
• Giao tiếp an toàn với các đối tác
– Đảm bảo xác thực, bảo mật và cung cấp cơ chế trao đổi khóa
• Tăng cường an ninh thương mại điện tử
– Hỗ trợ thêm cho các giao thức an ninh có sẵn của các ứng dụng Web và thương mại điện tử
Trang 60Minh họa ứng dụng IPSec
Trang 61Lợi ích của IPSec
• Tại tường lửa hoặc bộ định tuyến, IPSec đảm
bảo an ninh cho mọi luồng thông tin vượt biên
• Tại tường lửa, IPSec ngăn chặn thâm nhập trái phép từ Internet vào
• IPSec nằm dưới tầng giao vận, do vậy trong suốt với các ứng dụng
• IPSec có thể trong suốt với người dùng cuối
• IPSec có thể áp dụng cho người dùng đơn lẻ
• IPSec bảo vệ an ninh kiến trúc định tuyến
Trang 62Kiến trúc an ninh IP
• Đặc tả IPSec khá phức tạp
• Định nghĩa trong nhiều tài liệu
– Bao gồm RFC 2401 (tổng quan kiến trúc), RFC 2402 (mô tả mở rộng xác thực), RFC 2406 (mô tả mở rộng
mã hóa), RFC 2408 (đặc tả khả năng trao đổi khóa)– Các tài liệu khác được chia thành 7 nhóm
• Việc hỗ trợ IPSec là bắt buộc đối với IPv6, tùy chọn đối với IPv4
• IPSec được cài đặt như các phần đầu mở rộng sau phần đầu IP
– Phần đầu mở rộng cho xác thực là AH
– Phần đầu mở rộng cho mã hóa là ESP
Trang 63Tổng quan tài liệu IPSec
Trang 64Các dịch vụ IPSec
• Bao gồm
– Điều khiển truy nhập
– Toàn vẹn phi kết nối
– Xác thực nguồn gốc dữ liệu
– Từ chối các gói tin lặp
• Một hình thức của toàn vẹn thứ tự bộ phận
– Bảo mật (mã hóa)
– Bảo mật luồng tin hữu hạn
• Sử dụng một trong hai giao thức
– Giao thức xác thực (ứng với AH)
– Giao thức xác thực/mã hóa (ứng với ESP)