đề tài vpn

đề tài vpn

ĐỀ TÀI VPN

1 Lịch sử phát triển

 VPNs đầu tiên đã được phát sinh bởi AT&T từ

cuối những năm 80 và được biết như Software Defined Networks (SDNs)

 Thế hệ thứ hai của VPNs ra đời từ sự xuất hiện

của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network : ISDN) từ đầu những năm 90 Hai công nghệ này cho phép truyền những dòng gói (package streams) dữ liệu qua các mạng chia sẽ chung

1 Lịch sử phát triển

 Hai công nghệ: Frame Relay (FR)

Asynchronous Tranfer Mode (ATM) Thế hệ thứ

ba của VPNs đã phát triển dựa theo 2 công

nghệ này

1 VPN LÀ GÌ?

 VPN (Virtual Private Network): Mạng riêng

áo là một mạng máy tính, trong đó các

điểm của khách hàng được kết nối với

nhau trên một cơ sở hạ tầng chia sẻ với

cùng một chính sách truy nhập và bảo mật như trong mạng riêng

1.2 Phân loại

 Remote Access VPN ( Client - to - LAN

VPN)

1.2 Phân loại

 Site - to - Site

2 BẢO MẬT TRONG VPN

 Trong kỹ thuật VPN, do thông tin được

truyền qua mạng thiếu an toàn như mạng Internet thì bảo mật chính là yêu cầu quan trọng nhất Để đảm bảo rằng dữ liệu

không thể bị chặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải VPNs cần có cơ chế mã hóa dữ liệu đủ an toàn

2 BẢO MẬT TRONG VPN

 Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN là phải phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví

dụ như tường lửa, proxy, phần mềm chống vius hay các hệ thống bảo mật khác, toàn thể giải pháp cần được quản lý bởi chỉ một ứng dụng

2 BẢO MẬT TRONG VPN

 Tường lửa (firewall): là rào chắn vững chắc giữa

mạng riêng và Internet Chúng ta có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Tốt nhất là cài tường lửa thật tốt trước khi thiết lập VPN

 Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính

năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp (không nên đưa text

- Đưa hình vẽ)

2 BẢO MẬT TRONG VPN

 Mật mã truy cập: là khi một máy tính mã

hóa dữ liệu và gửi nó tới một máy tính

khác thì chỉ có máy đó mới giải mã được

 Có hai loại là mật mã riêng và mật mã chung

– Mật mã riêng(Symmetric-Key Encryption): Mỗi

máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng

Mã riêng yêu cầu chúng ta phải biết mình đang liên hệ với những máy tính nào để có thể cài

mã lên đó, để máy tính của người nhận có thể giải mã được

2 BẢO MẬT TRONG VPN

 Mật mã chung (Public-Key Encryption):

Kết hợp mã riêng và một mã công cộng

Mã riêng này chỉ có máy của nguời gửi

nhận biết, còn mã chung thì do máy của người gửi cấp cho bất kỳ máy nào muốn

liên hệ (một cách an toàn) với nó Để giải

mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp,

đồng thời cần đến mã riêng của nó nữa

Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

(Tình đưa hình vẽ nhé, phần text in ra

thôi)

2 BẢO MẬT TRONG VPN

 Giao thức bảo mật giao thức Internet (IPSec): +

Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá

trình thẩm định quyền đăng nhập toàn

diện hơn

 + IPSec có hai cơ chế mã hóa là Tunnel và

Transport Tunnel mã hóa tiêu đề (header)

và kích thước của mỗi gói tin còn

Transport chỉ mã hóa kích thước Chỉ

những hệ thống nào hỗ trợ IPSec mới có

thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã

khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệu giữa

nhiều thiết bị khác nhau như router với

router , firewall với router, PC với router,

PC với máy chủ

2 BẢO MẬT TRONG VPN

 Máy chủ AAA:

– AAA là viết tắt của ba chữ Authentication

(thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng để đảm bảo truy cập an toàn

hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA

để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn

2 BẢO MẬT TRONG VPN

 Giao thức bảo mật giao thức Internet (IPSec): +

Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá

trình thẩm định quyền đăng nhập toàn

diện hơn

– IPSec có hai cơ chế mã hóa là Tunnel và

Transport Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một

mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống

nhau IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router ,

firewall với router, PC với router, PC với máy

chủ

3 CÁC GIAO THỨC TRONG VPN

 Carrier protocol (giao thức sóng mang): Giao

thức được dùng để gửi gói tin đường hầm đến đích thông qua mạng tương tác (giao thức IP)

 Encapsulating protocol: Giao thức được dùng

để đóng gói payload ban đầu, đồng thời

đảm nhận chức năng tạo, bảo trì và kết

thúc đường hầm (giao thứcPPTP, L2TP,

IPSec)

3 CÁC GIAO THỨC TRONG VPN

 Passenger protocol: Giao thức được dùng để

đóng gói dữ liệu gốc truyền qua đường

hầm (giao thức PPP , SLIP)

3.1 Giao thức lớp 2 và lớp 3

 Vai trò của các giao thức lớp 2 và 3

 Tại sao trong VPN lại cài đặt giao thức ở các lớp

này

 Các giao thức lớp 2 và lớp 3:  Lớp 2: PPP, PPTP, L2F, L2TP  Lớp 3: IPSEC

3.2 Các giao thức lớp 2

3.2.1 Giao thức PPP

truyền tải gói dữ liệu IP, non-IP trong

mạng thông qua chuỗi liên kết điểm -

3.2.2 Giao thức PPTP

 PPTP thực hiện các chức năng:

– Thiết lập và hủy bỏ kết nối giữa các thiết bị

truyền thông đầu/cuối

3.2.2 Giao thức PPTP

 Hoạt động: chia làm 3 giai đoạn

– Giai đoạn 1 - Thiết lập liên kết PPP: tương tự như PPP

– Giai đoạn 2 - Kiểm soát kết nối: các thông điệp

kiểm soát kết nối PPTP được đóng gói trong gói TCP, được truyền theo chu kỳ để phát hiện lỗi kết nối

 Giai đoạn 3: Tạo đường hầm và truyền dữ liệu

3.2.2 Giao thức PPTP

Bên nhận Bên gửi

3.2.2 Giao thức PPTP

 Bảo mật PPTP

– Chứng thực dữ liệu PPTP: MS - CHAP, PAP  Mã hóa và nén dữ liệu PPTP: MPPE, RSA RC4  Kiểm soát truy cập PPTP: Access rights, Permissions,

Access List

 PPTP kết hợp với tường lửa và các bộ định

tuyến

 Ưu điểm: phổ dụng, hỗ trợ các giao thức

non- IP ,Hỗ trợ nhiều nền tảng khác nhau như Unix , Linux, …

 Nhược điểm: Yêu cầu máy chủ và máy

khách phải có cấu hình mạnh; Các bộ định tuyến và máy chủ truy cập từ xa cần phải cấu hình trong trường hợp sử dụng các

giải pháp định tuyến bằng đường

dial-up Bảo mật yếu hơn so với L2TP và

IPSec;

3.2.2 Giao thức PPTP

– Hỗ trợ kỹ thuật mạng diện rộng như ATM,

FDDI, IPX, Net- BEUI và Frame Relay

3.2.3 Giao thức L2F

Cấu trúc gói tin

3.2.3 Giao thức L2F

 Bảo mật L2F

 Chứng thực dữ liệu L2F: EAP,CHAP,RADIUS, TACACS

– Mã hóa dữ liệu L2F: MPPE, mã hóa trên IPSec

 Nhận xét:

– Ưu điểm: Tăng cường bảo mật, độc lập với ISP,

hỗ trợ nhiều kỹ thuật mạng: ATM, FDDI, IPX

…, hỗ trợ đa kết nối

– Nhược điểm: Yêu cầu hình mạnh ,không cung cấp cơ chế kiểm soát luồng, thao tác chứng

thực và mã hóa ở L2F làm cho tốc độ trong

đường hầm thấp hơn so với PPTP.

3.2.4 Giao thức L2TP

 Là sự kết hợp của PPTP và L2F

 Hỗ trợ nhiều giao thức và kỹ thuật mạng: IP,

ATM, FFR và PPP

 Việc chứng thực và kiểm tra quyền truy nhập

L2TP được thực hiện tại gateway của máy chủ, quy trình thiết lập đường hầm của L2TP nhanh hơn so với L2F

 Yêu cầu thiết lập đường hầm L2TP có thể được

khởi tạo từ người sử dụng từ xa hoặc gateway của ISP

3.2.4 Giao thức L2TP

  Hoạt động: chia thành 2 giai đoạn

– Giai đoạn 1 - Thiết lập đường hầm L2TP

3.2.4 Giao thức L2TP

 Giai đoạn 2 - Thiết lập đường hầm dữ liệu, Đóng gói dữ liệu L2TP