intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bài giảng An ninh mạng: Bài 7 - ThS. Phạm Đình Tài

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:32

Thêm vào BST
Báo xấu
11
lượt xem 5
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An ninh mạng: Bài 7 Bảo mật truy cập từ xa, cung cấp cho người học những kiến thức như: Truy cập từ xa và nguy cơ bảo mật; Giới thiệu Mạng riêng ảo (VPN); Các giao thức VPN thông dụng; VPN Client to Site; VPN Site to Site. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng An ninh mạng: Bài 7 - ThS. Phạm Đình Tài

  1. TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: AN NINH MẠNG Số tín chỉ: 3 Tổng số tiết: 60 tiết Giảng viên: ThS. Phạm Đình Tài (30 LT + 30 TH) Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn
  2. Môn học: AN NINH MẠNG Bài 1 Các kỹ thuật tấn công mạng. Bài 2 Các kỹ thuật mã hóa và xác thực Bài 3 Triển khai hệ thống Firewall Bài 4 Chứng thực trên Firewall Bài 5 Thiết lập các chính sách truy cập Bài 6 Bảo vệ Server công cộng Bài 7 Bảo mật truy cập từ xa -2-
  3. Bài 6: Bảo vệ Server công cộng Truy cập từ xa và nguy cơ bảo mật. Giới thiệu Mạng riêng ảo (VPN) Các giao thức VPN thông dụng VPN Client to Site VPN Site to Site
  4. Truy cập từ xa và các mối nguy hiểm • Truy cập từ xa (Remote Access) • Là các phương pháp cho phép người dùng truy cập từ xa vào các máy tính / dịch vụ trong mạng nội bộ. • Các ví dụ: • Remote Desktop: diều khiển máy tính từ xa • FTP: truy cập tập tin / thư mục từ xa • Các ứng dụng dạng Server – Client • Phương pháp truy cập từ xa: • Port Forwarding / NAT port / Open port: dùng giao thức ở tầng Transport (layer 4) • Routing: dùng các giao thức định tuyến mạng (layer 3). -4-
  5. Truy cập từ xa và các mối nguy hiểm • Port forwarding: • Gói Request nhận được tại Public IP của Router sẽ được chuyển tiếp vào Server trong mạng. • Phân loại gói Request bằng địa chỉ Port (UDP hoặc TCP). -5-
  6. Truy cập từ xa và các mối nguy hiểm • Nguy cơ của Port Forwarding: • Khi người dùng bên ngoài gởi yêu cầu về Router: dễ bị đánh cắp gói tin (sniffer) / cướp phiên (session hijacking)… • Lợi dụng các TCP port mở trên Router để tạo backdoor cho Trojan. -6-
  7. Giới thiệu Mạng riêng ảo (VPN) • VPN (Virtual Private Network) • VPN là hệ thống mạng riêng ảo kết nối giữa các máy tính dựa trên môi trường internet. • Trên đường truyền internet, VPN tạo ra một đường hầm (tunnel) để kết nối về mạng riêng của người dùng. • Có 2 dạng VPN: • VPN Client to Site. (Client to Gateway) • VPN Site to Site (Gateway to Gateway) -7-
  8. Giới thiệu Mạng riêng ảo (VPN) • Các giao thức VPN thông dụng: • PPTP (Point-to-Point Tunneling Protocol): tạo đường hầm kết nối giữa VPN Client và VPN Server. • L2TP (Layer 2 Tunneling Protocol): cải tiến từ PPTP, có sử dụng phương thức mã hóa IPSec (IP Security) • GRE (Generic Routing Encapsulation): Router nhận dạng kiểu đóng gói riêng để cho phép gói tin đi vào trong mạng. • IPSec VPN: tương tự GRE, gói tin nhận dạng được đóng gói có mã hóa IPSec. • DM-VPN (Dynamic Multipoint-VPN): cải tiến từ GRE, cho phép VPN đa điểm. • MPLS-VPN (Multi-Protocol Label Switching – VPN): ứng dụng công nghệ “chuyển mạch nhãn đa giao thức” để tạo VPN. -8-
  9. Giới thiệu Mạng riêng ảo (VPN) • Giao thức PPTP (Point-to-Point Tunneling Protocol) : • PPTP là giao thức tạo “đường hầm” (tunnel) kết nối giữa Client và Server dựa trên đường truyền internet. • PPTP phát sinh một interface ảo trên VPN Client và VPN Server • IP address của các VPN interface (ảo) phải cùng Network address. • Hoạt động của PPTP: • Client tạo cuộc gọi (dial-up) về Server (xác định Server bằng Public IP address hoặc Domain name). • Server tiếp nhận và yêu cầu chứng thực (Authentication). • Client gởi thông tin tài khoản: User (dạng Plan text) và password (dạng NTLM Hash) cho Server. • Server chứng thực thành công: • Gởi Key cho Client mã hóa dữ liệu khi trao đổi với Server => đó là tunnel. • Cấp IP address cho VPN Client interface. -9-
  10. Giới thiệu Mạng riêng ảo (VPN) • Ưu và nhược điểm của giao thức PPTP: • Ưu điểm: dữ liệu truyền được mã hóa thành kênh riêng => bảo mật thông tin trong quá trình truyền. • Nhược điểm: Thông tin chứng thực (user / password) gởi bằng plan-text => Attacker dễ dàng đánh cắp trên đường truyền. • Giao thức L2TP (Layer 2 Tunneling Protocol) • L2TP dùng giao thức IPSec (IP Security) để mã hóa thông tin mỗi khi Client trao đổi với Server. • Để mã hóa và giải mã, L2TP dùng phương thức Pre-shared key (PSK) để Client và Server thống nhất Khóa mã trước với nhau. • Các thông tin trao đổi (như user / password, dữ liệu…) được đóng gói theo IPSec và truyền đi trên đường hầm (tunnel) tương tự PPTP. - 10 -
  11. VPN Client-to-Site trên Firewall • Client-to-site VPN: • Dựa trên đường truyền internet, máy Client bên ngoài sẽ kết nối với mạng nội bộ (bên trong VPN Server) như là “mạng riêng”. • Khi thực hiện kết nối VPN thành công, một tunnel (đường hầm) sẽ được thiết lập để truyền dữ liệu giữa VPN Client và VPN Server. - 11 -
  12. VPN Client-to-Site trên Firewall • Client-to-site VPN: • Tunnel được xem như là đường mạng ảo, kết nối trực tiếp từ Client đến VPN Server. • VPN Server sẽ định tuyến (Routing) cho máy Client bên ngoài giao tiếp vào mạng nội bộ. • Mỗi đầu tunnel là 1 interface ảo, có IP address riêng. - 12 -
  13. VPN Client-to-Site trên Firewall • Các vấn đề cần quan tâm khi triển khai VPN: • Đối với VPN Server: • Loại tài khoản (account) cho người dùng chứng thực khi kết nối VPN vào hệ thống (local users / domain users / RADIUS…). Tài khoản này phải được cấp phép kết nối VPN (remote dial-in access) • VPN Server có chia sẻ kết nối internet (NAT) cho mạng nội bộ không? • Mạng nội bộ (private network) nào cho phép VPN client kết nối tới. • Lựa chọn IP address range cho VPN tunnel interface. • Đối với VPN Client: • Nên đặt tên của VPN connection là tên của mạng sẽ kết nối tới đó. • Cần biết WAN IP address (hay tên miền) của outside interface trên VPN Server muốn kết nối tới. • Cần biết thông tin tài khoản (User / password) được phép kết nối VPN vào mạng. - 13 -
  14. Triển khai VPN Client-to-site • Cung cấp tài khoản chứng thực két nối VPN Server: • RRAS VPN Server chứng thực bằng 1 trong các loại tài khoản: • Local Users: tài khoản local của VPN Server. • Domain Users: tài khoản thuộc domain mà VPN Server là thành viên • RADIUS: tài khoản của máy RADIUS Server (bên thứ 3). • Tài khoản phải được cấp phép kết nối từ xa (Remote Dial-In) - 14 -
  15. Triển khai VPN Client-to-site • Vấn đề IP address của VPN Tunnel: • Có thể sử dụng 1 trong 2 trường hợp sau: • Tunnel network dùng mạng IP riêng (khác với các mạng IP khác) • IP: 10.0.0.1 là IP của interface ảo (VPN tunnel) của VPN Server. • IP: 10.0.0.2 là IP của interface ảo (VPN tunnel) của VPN Client. • Tunnel network dùng 1 đoạn IP của mạng nội bộ: • IP: 192.168.10.201 là IP của interface ảo (VPN tunnel) của VPN Server. • IP: 192.168.10.202 là IP của interface ảo (VPN tunnel) của VPN Client. - 15 -
  16. Triển khai VPN Client-to-site • Cấu hình VPN Server trên RRAS bằng wizard: • Kích hoạt lại RRAS để cấu hình VPN bằng wizard: • Chạy “Routing and Remote Access Service” • Cấu hình lại (Stop RRAS và Configure lại) 🡪 chọn wizard cấu hình “Virtual Private network and NAT” - 16 -
  17. Triển khai VPN Client-to-site • Cấu hình VPN Server trên RRAS bằng wizard: • VPN connection: chỉ định interface kết nối internet để kích hoạt VPN và NAT. • Network Selection: Chỉ định Network (nội bộ) cho phép VPN client giao tiếp vào (trong trường hợp máy RRAS có 3 nhánh mạng trở lên). - 17 -
  18. Triển khai VPN Client-to-site • Cấu hình VPN Server trên RRAS bằng wizard: • IP address Assignment: Xác định IP range cấp phát cho các tunnel bằng 1 trong 2 dạng: • Dùng DHCP Server trong mạng nội bộ (yêu cầu: RRAS phải kích hoạt chức năng DHCP relay agent). • Static Address range: cụ thể dãy IP address cấp cho tunnel (cùng hoặc khác Network address với Nội bộ đều được). • Authentication: chứng thực tài khoản kết nối VPN bằng 1 trong 2 dạng: • Dùng RADIUS Server (dịch vụ Network Policy Server – NPS). • Windows authentication: dùng tài khoản Windows (local or domain) - 18 -
  19. Triển khai VPN Client-to-site • Kết nối VPN từ máy Windows Client: • Tạo mới 1 kết nối VPN trên Windows: • Mở “Network and Sharing center” 🡪 chọn “Setup a new connection on network” • Chọn “Connect to a workplace” 🡪 chọn “VPN” • Nhập WAN IP (hoặc tên miền) của VPN Server. Đồng thời đặt tên cho kết nối VPN này. - 19 -
  20. Triển khai VPN Client-to-site • Kết nối VPN từ máy Windows Client: • Thực thi kết nối VPN tới mạng Công ty: • Mở “Network connections” 🡪 nhấp phải trên icon của kết nối VPN 🡪 chọn “Connect” • Nhập thông tin tài khoản được phép kết nối VPN. • Nếu kết nối VPN thành công: • Máy Windows sẽ giao tiếp được với mạng nội bộ tại công ty. • Mặc định, kết nối internet của Client sẽ dùng VPN Server là Default Gateway. - 20 -
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
5=>2