Bài giảng An toàn mạng máy tính nâng cao: Chương 1 - ThS. Nguyễn Duy

CHƯƠNG 01 Thiết Kế và Triển Khai VPN q  Giảng Viên : Ths.Nguyễn Duy q  Email : duyn@uit.edu.vn

GV  :  Nguyễn  Duy 1

Nội dung

q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

GV  :  Nguyễn  Duy 2

Nội dung

q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

GV  :  Nguyễn  Duy 3

Chương 1 : Giới thiệu VPN

q  VPN là gì ?

q  Những lợi ích của VPN

q  Những yêu cầu của VPN

GV  :  Nguyễn  Duy 4

VPN là gì ?

Chương 1 : Giới thiệu VPN

q  VPN là từ viết tắt Virtual Private Network

Ø  Virtual ?

Ø  Private ?

Ø  Network ?

q  Phân biệt Private Network với Virtual Private

Network

GV  :  Nguyễn  Duy 5

Những lợi ích của VPN

Chương 1 : Giới thiệu VPN

q  Bảo mật dữ liệu trên mạng WAN

Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu

Ø Tăng cường bảo mật với các phương pháp

mã hóa, xác thực và ủy quyền

q  Giảm chi phí thiết lập

Ø VPN có giá thành thấp hơn ISDN, ATM và

Frame Relay

GV  :  Nguyễn  Duy 6

Những lợi ích của VPN

Chương 1 : Giới thiệu VPN

q  Giảm chi phí vận hành

Ø Nhân công

Ø Chi phí chi trả cho ISP hàng tháng để duy trì

q  Nâng cao kết nối

Ø Kết nối mọi nơi và mọi lúc

q  Nâng cấp dễ dàng

GV  :  Nguyễn  Duy 7

Những yêu cầu của VPN

Chương 1 : Giới thiệu VPN

q  Tính an toàn

Ø Theo dõi hoạt động của User VPN

Ø Phân vùng hoạt động của User VPN

Ø Tách biệt User VPN với User trong Domain

Ø …

q  Tính sẵn sàng và sự tin cậy

Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP

GV  :  Nguyễn  Duy 8

Những yêu cầu của VPN

Chương 1 : Giới thiệu VPN

q  Chất lượng dịch vụ

Ø Latency

Ø Throughput

q  Cam kết của nhà cung cấp dịch vụ

GV  :  Nguyễn  Duy 9

Nội dung

q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các vấn đề chính của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

GV  :  Nguyễn  Duy 10

Các thành phần của VPN

q  Qui trình hoạt động của VPN

q  Các thành phần của VPN

q  Mô hình hoạt động của VPN

GV  :  Nguyễn  Duy 11

Qui trình hoạt động của VPN

Các thành phần của VPN

VPN Server

Domain Controller

VPN Client

1

VPN client calls the VPN server

3 VPN server authenticates and authorizes the client

2 VPN server

4 VPN server transfers

answers the call

data

GV  :  Nguyễn  Duy 12

Các thành phần của VPN

Các thành phần của VPN

VPN Tunnel Tunneling Protocols Tunneled Data

VPN Server

VPN Client

Transit Network

Domain Controller

Authentication

Address and Name Server Allocation

DHCP Server

GV  :  Nguyễn  Duy 13

Các thành phần của VPN

Các thành phần của VPN

q  VPN Server :

Ø Lắng nghe yêu cầu kết nối của VPN Client

Ø Xác thực thông tin kết nối của User

Ø Cung cấp cơ chế mã hóa dữ liệu

Ø …..

q  VPN Client :

Ø Kết nối tới VPN Server

Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được

VPN Server yêu cầu

GV  :  Nguyễn  Duy 14

Các thành phần của VPN

Các thành phần của VPN

q  VPN Tunnel :

Ø VPN Tunnel là gì ?

Ø Các thành phần kĩ thuật của Tunnel ?

Ø Hoạt động của kĩ thuật đường hầm

Ø Định dạng gói tin trong Tunnel

Ø Phân loại Tunnel

GV  :  Nguyễn  Duy 15

VPN Tunnel

Các thành phần của VPN

q  VPN Tunnel là gì ?

Ø Cho phép tạo mạng riêng ngay trên mạng

internet hoặc các mạng công cộng khác

Ø Tạo và bảo trì kết nối logic giữa VPN Client và

VPN Server

GV  :  Nguyễn  Duy 16

VPN Tunnel

Các thành phần của VPN

q  Các thành phần kĩ thuật của Tunnel :

Ø  Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi

các máy khách ( home network )

Ø  Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người

dùng di động hoặc người trong mạng nội bộ

Ø  Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target

network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có

thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu

thiết lập đường hầm

Ø  Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy

cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên

làm việc VPN từ HA tại mạng đích.

GV  :  Nguyễn  Duy 17

VPN Tunnel

q  Hoạt động của kĩ thuật đường hầm :

Ø  Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu

cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi

HA xem tính hợp pháp của nó

GV  :  Nguyễn  Duy 18

VPN Tunnel

q  Hoạt động của kĩ thuật đường hầm :

Ø  Pha II : Dữ liệu sẽ được truyền trong đường hầm

GV  :  Nguyễn  Duy 19

VPN Tunnel

q  Định dạng gói tin trong Tunnel :

GV  :  Nguyễn  Duy 20

VPN Tunnel

q  Phân loại Tunnel : Ø  Voluntary Tunnel

GV  :  Nguyễn  Duy 21

VPN Tunnel

q  Phân loại Tunnel : Ø  Compulsory Tunel

GV  :  Nguyễn  Duy 22

Mô hình hoạt động của VPN

q Remote Access

GV  :  Nguyễn  Duy 23

Mô hình hoạt động của VPN

q Site-to-Site

GV  :  Nguyễn  Duy 24

Nội dung

q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

GV  :  Nguyễn  Duy 25

Bảo mật trong VPN

q Xác thực người dùng và quản lý truy cập

q Mã hóa dữ liệu

q Hạ tầng mã hóa công khai

GV  :  Nguyễn  Duy 26

Xác thực người dùng và quản lý truy cập

GV  :  Nguyễn  Duy 27

User authentication

q Xác thực người dùng (User authentication) :

là cơ chế xác nhận tính hợp lệ của người

dùng trong mạng riêng ảo

q Các dạng xác thực :

Ø Local (tại VPN Server)

Ø Remote (tại hệ thống xác thực khác : Domain

Controller Server hoặc RADIUS Server)

GV  :  Nguyễn  Duy 28

Quản lý truy cập

q Sau khi đã xác thực thành công, người dùng

có khả năng truy cập vào dữ liệu

q Để tăng mức độ bảo mật cho hệ thống,

chúng ta nên có những chính sách sau để

quản lý VPN User :

Ø Theo dõi hoạt động

Ø Phân quyền nghiêm ngặt

GV  :  Nguyễn  Duy 29

Mã hóa dữ liệu

q Mã hóa dữ liệu là qui trình xóa trộn dữ liệu

bên phía người gởi trên đường truyền.

q Mã hóa được chia thành 2 loại chính

Ø Mã hóa đối xứng

Ø Mã hóa bất đối xứng

GV  :  Nguyễn  Duy 30

Mã hóa dữ liệu

q Mã hóa đối xứng : AES, DES, 3DES, RC4

GV  :  Nguyễn  Duy 31

Mã hóa dữ liệu

q Mã hóa bất đối xứng : Diffie-Hellman và RSA

GV  :  Nguyễn  Duy 32

PKI

q Các thành phần chính của PKI :

Ø Khách hàng PKI

Ø Người cấp giấy chứng nhận (CA)

Ø Người cấp giấy đăng ký (RA)

Ø Các giấy chứng nhận số (Certificate)

Ø Hệ thống phân phối các giấy chứng nhận

(CDS)

GV  :  Nguyễn  Duy 33

PKI

q Các giao dịch trên PKI

GV  :  Nguyễn  Duy 34

PKI

q Mô hình hoạt động của PKI

Ø CA đơn

Ø Tin cậy giữa 2 CA

Ø Thứ bậc

Ø Lưới

Ø Hỗn hợp

GV  :  Nguyễn  Duy 35

CA đơn

GV  :  Nguyễn  Duy 36

Tin cậy giữa 2 CA

GV  :  Nguyễn  Duy 37

Thứ bậc

GV  :  Nguyễn  Duy 38

Lưới

GV  :  Nguyễn  Duy 39

Nội dung

q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

GV  :  Nguyễn  Duy 40

Các giao thức đường hầm

q Giao thức đường hầm lớp 2

q Giao thức đường hầm lớp 3

q Giao thức đường hầm lớp 4

GV  :  Nguyễn  Duy 41

Giao thức đường hầm lớp 2

q Các giao thức phổ biến ở lớp hai:

Ø Point-to-Point Tunneling Protocol (PPTP)

Ø Layer 2 Forwarding (L2F)

Ø Layer 2 Tunneling Protocol (L2TP)

GV  :  Nguyễn  Duy 42

Giao thức đường hầm lớp 2

GV  :  Nguyễn  Duy 43

PPTP

q PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các máy khách di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP của mạng internet.

q PPTP được phát triển bởi

Microsoft Corporation, Ascend Communications, 3COM, US Robotics và ECI Telematics

q PPTP ( chủ và khách) nhận dữ liệu TCP và

IP ở cổng 1723 và cổng 47

GV  :  Nguyễn  Duy 44

PPTP

q Có hai đặc tính nổi bật đóng vai trò quan

trọng trong việc bảo mật của PPTP :

Ø Sử dụng mạng chuyển mạch điện thoại

công cộng

Ø Cung cấp giao thức Non_IP :

§  PPTP cũng hỗ trợ để hiện thực các giao thức

mạng khác như TCP/IP, IPX, NetBEUI, và

NetBIOS

GV  :  Nguyễn  Duy 45

PPTP

GV  :  Nguyễn  Duy 46

PPTP - Encapsulation

GV  :  Nguyễn  Duy 47

PPTP - Decapsulation

GV  :  Nguyễn  Duy 48

Generic Routing Encapsulation

GV  :  Nguyễn  Duy 49

PPTP – bảo mật

q PPTP đưa ra nhiều cơ chế bảo mật cho máy

chủ và máy khách PPTP. Các dịch vụ bảo

mật bao gồm :

Ø Mã hóa và nén dữ liệu

Ø Chứng thực

Ø Kiểm soát truy cập

Ø Lọc gói

GV  :  Nguyễn  Duy 50

PPTP – bảo mật

q Mã hóa và nén dữ liệu

Ø  PPTP không cung cấp cơ chế mã hóa để bảo mật dữ

liệu . PPTP sử dụng dịch vụ mã hóa dữ liệu được

cung cấp bởi PPP

Ø  PPP sử dụng phương pháp mã hóa điểm tới điểm

của Microsoft (MPPE

-

Microsoft Point-to-Point

Encryption)

Ø  Phưương pháp mã hóa công khai-bí mật (ID và pass)

GV  :  Nguyễn  Duy 51

PPTP – bảo mật

q Chứng thực

Ø PAP (Password Authentication Protocol)

Ø MS-CHAP (Microsoft Challenge Handshake

Authentication Protocol)

q Kiểm soát truy cập

q Access Right

q Permission

GV  :  Nguyễn  Duy 52

PAP

GV  :  Nguyễn  Duy 53

MS-CHAP

GV  :  Nguyễn  Duy 54

MS-CHAP

q MS-CHAP là một phiên bản được điều chỉnh

từ CHAP của Microsoft

q MS-CHAP có rất nhiều điểm tương đồng với CHAP nên các chức năng của MS-CHAP cũng tương tự các chức năng của CHAP

q Điểm khác biệt cơ bản :

Ø CHAP sử dụng giải thuật băm MD5 và mã

RSA

Ø MS-CHAP sử dụng giải thuật băm RC4 và mã

DES

GV  :  Nguyễn  Duy 55

PPTP

q  Ưu điểm :

Ø  PPTP là một giải pháp được xây dựng trên nền các sản phẩm

của Microsoft

Ø  PPTP có thể hỗ trợ các giao thức non-IP

Ø  PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux,

và Apple's Macintosh

q  Nhược điểm

Ø  Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do

sử dụng mã hóa với khóa mã phát sinh từ password của user

Ø  PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec

GV  :  Nguyễn  Duy 56

Giao thức đường hầm lớp 2

q Các giao thức phổ biến ở lớp hai:

Ø Point-to-Point Tunneling Protocol (PPTP)

Ø Layer 2 Forwarding (L2F)

Ø Layer 2 Tunneling Protocol (L2TP)

GV  :  Nguyễn  Duy 57

Layer 2 Forwarding

q Cisco Systems, cùng với Nortel, một trong

những doanh nghiệp đứng đầu về thị phần đã

bắt đầu đưa ra giải pháp bảo mật có các chức

năng

Ø Có khả năng bảo mật.

Ø Phục vụ truy cập thông qua mạng internet và các

mạng công cộng khác.

Ø Hỗ trợ kỹ thuật mạng trên diện rộng như ATM, FDDI,

IPX, Net-BEUI, và Frame Relay.

GV  :  Nguyễn  Duy 58

Layer 2 Forwarding

GV  :  Nguyễn  Duy 59

Layer 2 Forwarding

q  Qui trình tạo đường hầm trong L2F :

Ø  User từ xa đẩy Frame tới NAS được đặt ở ISP

Ø  POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công

thêm header, trailer của L2F vào Frame. Framme vừa được đóng gói

tiếp tục được gửi đến mạng đích thông qua đường hầm

Ø  Gateway của máy chủ mạng nhận các gói được chuyển qua đường

hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút

đích trong mạng nội bộ

Ø  Nút đích xử lý Frame nhận được giống như một Frame bình thường,

không thông qua đường hầm

GV  :  Nguyễn  Duy 60

Layer 2 Forwarding

q Qui trình tạo đường hầm trong L2F :

GV  :  Nguyễn  Duy 61

Layer 2 Forwarding – Bảo mật

q L2F cung cấp các dịch vụ bảo mật

Ø Mã hóa dữ liệu

§  L2F sử dụng MPPE (Microsoft Point-to-Point

Encryption) cho mục đích mã hóa cơ bản

§  L2F sử dụng thêm phương pháp mã hóa dựa trên

Internet Protocol Security

–  Encapsulating Security Payload (ESP- đóng gói dữ liệu

nguồn bảo mật)

–  Authentication Header ( AH- header chứng thực).

GV  :  Nguyễn  Duy 62

Layer 2 Forwarding – Bảo mật

q L2F cung cấp các dịch vụ bảo mật

Ø Chứng thực :

§  L2F sử dụng PAP để chứng thực máy khách từ xa

§  L2F cũng sử dụng quy trình chứng thực sau để

tăng cưòng bảo mật dữ liệu:

–  CHAP

–  L2F còn sử dụng Remote Access Dial-In User Service

(RADIUS) và

Terminal Access Controller Access

Control Service (TACACS) để bổ sung chứng thực

GV  :  Nguyễn  Duy 63

Layer 2 Forwarding

q Ưu điểm

Ø Tăng cường bảo mật

Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX,

NetBEUI và Frame Relay

q Nhược điểm

Ø Việc chứng thực và mã hóa ở L2F làm cho tốc

độ trong đường hầm của L2F thấp hơn so với

PPTP

GV  :  Nguyễn  Duy 64

Giao thức đường hầm lớp 2

q Các giao thức phổ biến ở lớp hai:

Ø Point-to-Point Tunneling Protocol (PPTP)

Ø Layer 2 Forwarding (L2F)

Ø Layer 2 Tunneling Protocol (L2TP)

GV  :  Nguyễn  Duy 65

Layer 2 Tunneling Protocol – L2TP

q Được phát triển bởi IETF và được ủng hộ bởi

các nhà công nghiệp khổng lồ như

Cisco

Systems, Microsoft, 3COM, và Ascend

q L2TP là sự kết hợp hai giao thức VPN sơ khởi

PPTP và L2F

q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy

cập từ xa hiệu quả của L2F và tốc độ kết nối

điểm tới điểm nhanh của PPTP

GV  :  Nguyễn  Duy 66

L2TP

q Lợi ích :

Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP,

ATM, FFR và PPP

Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian

hệ thống thông qua Internet và các mạng công

cộng khác

Ø Việc chứng thực và kiểm quyền L2TP được thực

hiện tại gateway của máy chủ.

GV  :  Nguyễn  Duy 67

L2TP - Encapsulation

GV  :  Nguyễn  Duy 68

L2TP - Decapsulation

GV  :  Nguyễn  Duy 69

L2TP – Bảo mật

q Các phương pháp chứng thực thông dụng

của L2TP Ø PAP và SPAP Ø EAP Ø CHAP

GV  :  Nguyễn  Duy 70

L2TP

q Ưu điểm :

Ø L2TP tăng cường bảo mật bằng cách cách mã hóa

dữ liệu dựa trên IPSec trên suốt đường hầm và khả

năng chưng thực gói của IPSec

Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP

của mạng WAN mà không cần IP.

q Khuyết điểm

Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc

để chứng thực từng gói nhận được

GV  :  Nguyễn  Duy 71

Giao thức đường hầm lớp 3

GV  :  Nguyễn  Duy 72

Giao thức đường hầm lớp 4

GV  :  Nguyễn  Duy 73

Nội dung

q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN

GV  :  Nguyễn  Duy 74

Mô hình 1

GV  :  Nguyễn  Duy 75

Mô hình 2

GV  :  Nguyễn  Duy 76

Mô hình 3

GV  :  Nguyễn  Duy 77

Mô hình 4

GV  :  Nguyễn  Duy 78

Mô hình 5

GV  :  Nguyễn  Duy 79

Mô hình 6

GV  :  Nguyễn  Duy 80

Mô hình 7

GV  :  Nguyễn  Duy 81

Mô hình 8

GV  :  Nguyễn  Duy 82

Mô hình 8 - 1

GV  :  Nguyễn  Duy 83

Mô hình 8 - 2

GV  :  Nguyễn  Duy 84