Bài giảng An toàn mạng máy tính nâng cao: Chương 1 - ThS. Nguyễn Duy

Bài giảng An toàn mạng máy tính nâng cao - Chương 1: Thiết kế và triển khai VPN cung cấp cho người học các kiến thức: VPN là gì, những lợi ích của VPN, những yêu cầu của VPN. Mời các bạn cùng tham khảo nội dung chi tiết.

CHƯƠNG 01 Thiết Kế và Triển Khai

VPN

q  Giảng Viên : Ths.Nguyễn Duy

q  Email : duyn@uit.edu.vn

Nội dung

q  Chương 1 : Giới thiệu VPN

q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN

q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

Nội dung

q  Chương 1 : Giới thiệu VPN

q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN

q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

Chương 1 : Giới thiệu VPN

q  VPN là gì ?

q  Những lợi ích của VPN

q  Những yêu cầu của VPN

Những lợi ích của VPN

q  Bảo mật dữ liệu trên mạng WAN

Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu Ø Tăng cường bảo mật với các phương pháp

mã hóa, xác thực và ủy quyền

q  Giảm chi phí thiết lập

Ø VPN có giá thành thấp hơn ISDN, ATM và

Frame Relay

Chương 1 : Giới thiệu VPN

Những lợi ích của VPN

q  Giảm chi phí vận hành

Ø Nhân công

Ø Chi phí chi trả cho ISP hàng tháng để duy trì

q  Nâng cao kết nối

Ø Kết nối mọi nơi và mọi lúc

q  Nâng cấp dễ dàng

Chương 1 : Giới thiệu VPN

Những yêu cầu của VPN

q  Tính an toàn

Ø Theo dõi hoạt động của User VPN

Ø Phân vùng hoạt động của User VPN

Ø Tách biệt User VPN với User trong Domain Ø …

q  Tính sẵn sàng và sự tin cậy

Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP

Chương 1 : Giới thiệu VPN

Những yêu cầu của VPN

q  Chất lượng dịch vụ

Ø Latency

Ø Throughput

q  Cam kết của nhà cung cấp dịch vụ

Chương 1 : Giới thiệu VPN

Nội dung

q  Chương 1 : Giới thiệu VPN

q  Chương 2 : Các vấn đề chính của VPN

q  Chương 3 : Bảo mật trong VPN

q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

Qui trình hoạt động của VPN

Các thành phần của VPN

Domain

Controller

VPN Client VPN Server

Các thành phần của VPN

Các thành phần của VPN

VPN Tunnel Tunneling Protocols Tunneled Data

VPN Client

Address and Name Server Allocation

DHCP Server

Domain

Controller

Authentication

Transit Network VPN

Server

Các thành phần của VPN

q  VPN Server :

Ø Lắng nghe yêu cầu kết nối của VPN Client

Ø Xác thực thông tin kết nối của User

Ø Cung cấp cơ chế mã hóa dữ liệu

Ø …

q  VPN Client :

Ø Kết nối tới VPN Server

Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được VPN Server yêu cầu

Các thành phần của VPN

Ø Phân loại Tunnel

Các thành phần của VPN

VPN Tunnel

q  Các thành phần kĩ thuật của Tunnel :

Ø  Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy khách ( home network )

Ø  Nút initiator : người khởi tạo phiên làm việc VPN Có thể là người dùng di động hoặc người trong mạng nội bộ

Ø  Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target

network HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không Nếu kiểm tra thành công, nó sẽ bắt đầu

thiết lập đường hầm

Ø  Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy

cập mạng chứa initiator Initiator sử dụng FA để yêu cầu một phiên

làm việc VPN từ HA tại mạng đích

Các thành phần của VPN

VPN Tunnel

q  Hoạt động của kĩ thuật đường hầm :

Ø  Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu

cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi

HA xem tính hợp pháp của nó

VPN Tunnel

q  Hoạt động của kĩ thuật đường hầm :

Ø  Pha II : Dữ liệu sẽ được truyền trong đường hầm

VPN Tunnel

q  Định dạng gói tin trong Tunnel :

VPN Tunnel

q  Phân loại Tunnel :

Ø  Voluntary Tunnel

VPN Tunnel

q  Phân loại Tunnel :

Ø  Compulsory Tunel

Mô hình hoạt động của VPN

q Remote Access

Mô hình hoạt động của VPN

q Site-to-Site

Nội dung

q  Chương 1 : Giới thiệu VPN

q  Chương 2 : Các thành phần của VPN

q  Chương 3 : Bảo mật trong VPN

q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

Xác thực người dùng và quản lý truy cập

User authentication

q Xác thực người dùng (User authentication) :

là cơ chế xác nhận tính hợp lệ của người

dùng trong mạng riêng ảo

q Các dạng xác thực :

Ø Local (tại VPN Server)

Ø Remote (tại hệ thống xác thực khác : Domain Controller Server hoặc RADIUS Server)

Quản lý truy cập

q Sau khi đã xác thực thành công, người dùng

có khả năng truy cập vào dữ liệu

q Để tăng mức độ bảo mật cho hệ thống,

chúng ta nên có những chính sách sau để quản lý VPN User :

Ø Theo dõi hoạt động

Ø Phân quyền nghiêm ngặt

Mã hóa dữ liệu

q Mã hóa đối xứng : AES, DES, 3DES, RC4

Mã hóa dữ liệu

q Mã hóa bất đối xứng : Diffie-Hellman và RSA

PKI

q Các thành phần chính của PKI :

Ø Khách hàng PKI

Ø Người cấp giấy chứng nhận (CA)

Ø Người cấp giấy đăng ký (RA)

Ø Các giấy chứng nhận số (Certificate)

Ø Hệ thống phân phối các giấy chứng nhận (CDS)

PKI

q Các giao dịch trên PKI

CA đơn

Tin cậy giữa 2 CA

Thứ bậc

Lưới

Nội dung

q  Chương 1 : Giới thiệu VPN

q  Chương 2 : Các thành phần của VPN

q  Chương 3 : Bảo mật trong VPN

q  Chương 4 : Các giao thức đường hầm

q  Chương 5 : Thiết kế VPN

Các giao thức đường hầm

q Giao thức đường hầm lớp 2

q Giao thức đường hầm lớp 3

q Giao thức đường hầm lớp 4

Giao thức đường hầm lớp 2

q Các giao thức phổ biến ở lớp hai:

Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F)

Ø Layer 2 Tunneling Protocol (L2TP)

Giao thức đường hầm lớp 2

PPTP

q PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các máy khách

di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP của mạng internet

q PPTP được phát triển bởi Microsoft Corporation, Ascend Communications,

3COM, US Robotics và ECI Telematics

q PPTP ( chủ và khách) nhận dữ liệu TCP và

IP ở cổng 1723 và cổng 47

PPTP

PPTP - Encapsulation

Generic Routing Encapsulation

PPTP – bảo mật

q Mã hóa và nén dữ liệu

Ø  PPTP không cung cấp cơ chế mã hóa để bảo mật dữ liệu PPTP sử dụng dịch vụ mã hóa dữ liệu được cung cấp bởi PPP

Ø  PPP sử dụng phương pháp mã hóa điểm tới điểm của Microsoft (MPPE - Microsoft Point-to-Point Encryption)

Ø  Phưương pháp mã hóa công khai-bí mật (ID và pass)

PPTP – bảo mật

q Chứng thực

Ø PAP (Password Authentication Protocol)

Ø MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)

q Kiểm soát truy cập

q Access Right

q Permission

PAP

MS-CHAP

q MS-CHAP là một phiên bản được điều chỉnh

từ CHAP của Microsoft

q MS-CHAP có rất nhiều điểm tương đồng với CHAP nên các chức năng của MS-CHAP cũng tương tự các chức năng của CHAP

q Điểm khác biệt cơ bản :

Ø CHAP sử dụng giải thuật băm MD5 và mã RSA

Ø MS-CHAP sử dụng giải thuật băm RC4 và mã DES

Ø  Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do

sử dụng mã hóa với khóa mã phát sinh từ password của user Ø  PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec

Giao thức đường hầm lớp 2

q Các giao thức phổ biến ở lớp hai:

Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F)

Ø Layer 2 Tunneling Protocol (L2TP)

Layer 2 Forwarding

q Cisco Systems, cùng với Nortel, một trong

những doanh nghiệp đứng đầu về thị phần đã bắt đầu đưa ra giải pháp bảo mật có các chức năng

Layer 2 Forwarding

q  Qui trình tạo đường hầm trong L2F :

Ø  User từ xa đẩy Frame tới NAS được đặt ở ISP

Ø  POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công thêm header, trailer của L2F vào Frame Framme vừa được đóng gói tiếp tục được gửi đến mạng đích thông qua đường hầm

Ø  Gateway của máy chủ mạng nhận các gói được chuyển qua đường

hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút

đích trong mạng nội bộ

Ø  Nút đích xử lý Frame nhận được giống như một Frame bình thường, không thông qua đường hầm

Layer 2 Forwarding

q Qui trình tạo đường hầm trong L2F :

Layer 2 Forwarding – Bảo mật

Layer 2 Forwarding – Bảo mật

q L2F cung cấp các dịch vụ bảo mật

Ø Chứng thực :

§  L2F sử dụng PAP để chứng thực máy khách từ xa

§  L2F cũng sử dụng quy trình chứng thực sau để tăng cưòng bảo mật dữ liệu:

Layer 2 Forwarding

q Ưu điểm

Ø Tăng cường bảo mật

Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX, NetBEUI và Frame Relay

q Nhược điểm

Ø Việc chứng thực và mã hóa ở L2F làm cho tốc

độ trong đường hầm của L2F thấp hơn so với PPTP

Giao thức đường hầm lớp 2

q Các giao thức phổ biến ở lớp hai:

Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F)

Ø Layer 2 Tunneling Protocol (L2TP)

Layer 2 Tunneling Protocol – L2TP

q Được phát triển bởi IETF và được ủng hộ bởi các nhà công nghiệp khổng lồ như Cisco Systems, Microsoft, 3COM, và Ascend

q L2TP là sự kết hợp hai giao thức VPN sơ khởi PPTP và L2F

q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP

L2TP

q Lợi ích :

Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP

Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian

hệ thống thông qua Internet và các mạng công

cộng khác

Ø Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ

L2TP - Encapsulation

L2TP – Bảo mật

q Các phương pháp chứng thực thông dụng của L2TP

Ø PAP và SPAP

Ø EAP

Ø CHAP

L2TP

q Ưu điểm :

Ø L2TP tăng cường bảo mật bằng cách cách mã hóa

dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chưng thực gói của IPSec

Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN mà không cần IP

q Khuyết điểm

Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc

để chứng thực từng gói nhận được

Giao thức đường hầm lớp 3

Nội dung

q  Chương 1 : Giới thiệu VPN

q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN

q  Chương 4 : Các giao thức đường hầm

q  Chương 5 : Thiết kế VPN

Mô hình 1

Mô hình 4

Mô hình 5

Mô hình 8 - 1