Bài giảng Phòng chống tấn công mạng: Chương 2 - Bùi Trọng Tùng

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:43

Thêm vào BST

Báo xấu

7
lượt xem 3
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Phòng chống tấn công mạng: Chương 2 - Mạng riêng ảo (VPN)" trình bày những nội dung chính sau đây: Giới thiệu chung về VPN; Các mô hình mạng riêng ảo; Giao thức VPN tầng 2; Giao thức VPN tầng 3; SSL VPN; Triển khai các giải pháp VPN. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Phòng chống tấn công mạng: Chương 2 - Bùi Trọng Tùng

BÀI 2. MẠNG RIÊNG ẢO (VPN) Bùi Trọng Tùng, Bộ môn Truyền thông và Mạng máy tính Viện CNTT-TT, Đại học BKHN 1 Nội dung • Giới thiệu chung về VPN • Các mô hình mạng riêng ảo • Giao thức VPN tầng 2 • Giao thức VPN tầng 3 • SSL VPN • Triển khai các giải pháp VPN 2 1
1. GIỚI THIỆU CHUNG VỀ VPN 3 Đặt vấn đề • Nguy cơ mất an toàn thông tin trên mạng Internet • Nghe lén • Giả danh • Giả mạo • Giải pháp • Point-to-point link : lease line Hoặc • Mã hóa bảo mật AES... • Xác thực MAC  Virtual Private Network 4 2
VPN là gì? • Kết nối trên mạng công cộng (Internet) được bảo đảm an toàn an ninh, với những chính sách như trong đóng vai trò như một cái Router VPN mạng riêng: bình thường cũng có thể đóng vai trò một • Virtual client gửi yêu cầu kết nối tới một • Private VPN mạng 2 Internet • Network • Mở rộng mạng Intranet trên Internet đường hầm Intranet là mạng riêng, cá nhân tổ chức giới hạn truy nhập sử dụng trong nội bộ VPN chia sẽ tt tài nguyên bảo mật quản lý kiểm soát 5 Các thành phần của VPN • VPN gateway: cung cấp dịch vụ kết nối VPN cho các nút mạng • VPN client: điểm đầu cuối(PC, Smartphone, Gateway…) yêu cầu kết nối VPN • Đường hầm VPN đóng gói, mã hóa mọi dữ liệu • Giao thức VPN • Phân loại: • VPN phần cứng • VPN phần mềm 6 3
Một số sản phẩm tiêu biểu • VPN phần cứng: • Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính năng router, switch), ASA 5500 series (tích hợp trong UTM) • F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050 • Citrix NetScaler MPX • Dell SonicWall • VPN phần mềm: • OpenVPN • FreeS/WAN • pfSense 7 Hoạt động của VPN • Xác thực • Mã hóa • Đóng gói • Gói tin truyền trong liên kết VPN được đóng gói lại theo giao thức VPN • Tiêu đề mới được thêm vào sử dụng địa chỉ IP của VPN gateway • Các thông tin trong tiêu đề ban đầu được che giấu và đảm bảo tính toàn vẹn(địa chỉ, số hiệu cổng ứng dụng) 8 4
Hoạt động của VPN Database check authentication xác thực yêu cầu đi qua VPN router được mã hóa và đóng gói gói tin chưa được mã hóa được gửi từ user 9 Các chế độ kết nối bảo vệ playload = IPsec site-to-site Hạn chế: - Chỉ cho phép bảo vệ dữ liệu MT (duy nhất) mà k cho phép 1• Transport mode Truyền tải bảo vệ tất cả các thiết bị trong mạng - Không an toàn cho tất cả các thiết bị trong mạng - Không phù hợp với mạng lớn • Trên từng cặp thiết bị đầu cuối - Bảo mật thấp hơn Tunnel mode vì chỉ có thể mã hóa 1 phần dữ liệu • Dữ liệu đóng gói trong VPN packet • Hạn chế ??? 2• Tunnel mode Đương hầm • Các thiết bị đầu cuối không tham gia vào VPN • Kết nối VPN thông qua các thiết bị trung gian • Ưu điểm??? Hạn chế: chi phí cao, tốc độ truyền tải chậm, Ưu điểm Bảo mật cao: mã hóa toàn bộ dữ liệu Linh hoạt: bảo vệ tất cả thiết bị trong mạng Khả năng hoạt dộng mạng lớn vì cho phép kết nối nhiều thiết bị Dễ dàng quản lý và cấu hình Độ ổn định cao khi truyền tải qua các mạng public 10 Transport mode thường được dùng khi thiết lập kết nối VPN giữa 2 thiết bị kết nối trực tiếp với nhau (MT vs VPN) Chỉ các dữ liệu được mã hóa, tiêu đề IP của gói tin được giữ nguyên Thích hợp kết nối VPN điểm-điểm Tunnel mode thường được kết nối VPN giữa 2 mạng riêng (IP riêng) VD: mạng nội bộ vs VPN công cộng Toàn bộ gói tin được mã hóa, tiêu đề gói tin IP được thay thế bằng tiêu đề gói tin VPN, điều này giúp ẩn đi thông tin về IP nguồn và đích Cho phép kết nối giữa các mạng riêng tư và mạng công cộng, tạo ra một "đường hầm an toàn" dề truyền thông tin 5
Đường hầm VPN(VPN Tunneling) VPN router đóng gói + mã hóa Tunnel VPN 11 Các mô hình mạng riêng ảo • Mô hình truy cập từ xa(client-to-site) client client client Site client client 12 6
Backbone là mạng chính, cơ sở hoặc cấu trúc chính của một mạng máy tính Các mô hình mạng riêng ảo • Mô hình site-to-site 3VP trung tâm vai trò tương đương nhau cần 3 vp trung tâm liên kết liên kết với VP nhánh thông qua intenet trực tiếp với nhau Cung cấp đường truyền chung Intranet dựa trên WAN Intranet dựa trên VPN Mạng nội bộ 13 Các mô hình mạng riêng ảo • Mô hình site-to-site (tiếp) Tunnel Extranet dựa trên WAN Extranet dựa trên VPN Extranet là mở rộng của Intranet 14 7
VPN topology Kiến trúc VPN thiết lập kết nối giữa mọi VPN gateway • VPN topology: cách thức kết nối các thiết bị VPN gateway • Thường phù hợp với topology của hạ tầng mạng • VPN dạng lưới(mesh) • Mỗi điểm thiết bị VPN được kết nối với nhiều hoặc tất cả các thiết bị VPN khác • Khó mở rộng Phù hợp với ít VPN gateway vì chi phí để kết nối là O(n^2) 15 VPN topology – Dạng sao • Hub-and-spoke centrer • Sử dụng một thiết bị VPN đóng vai trò tập trung kết nối • Ưu điểm: • Triển khai đơn giản • Dễ mở rộng 16 8
VPN topology – Dạng lai • Sử dụng cho các hệ thống lớn, phức tạp • Phần mạng lõi trung tâm sử dụng dạng lưới • Các mạng nhánh kết nối tới trung tâm theo dạng sao 17 VPN đơn điểm kết nối • Sử dụng cho mạng cỡ nhỏ, nhu cầu kết nối VPN ít • Tất cả lưu lượng đi qua VPN gateway • VPN gateway nằm trong VPN domain 18 9
VPN đa điểm kết nối • Dùng cho mạng lớn, nhu cầu kết nối VPN cao • Có thể sử dụng nhiều VPN gateway • VPN gateway nằm ngoài VPN domain 19 2. CÁC GIAO THỨC VPN 20 10
2.1 CÁC GIAO THỨC VPN TẦNG 2 21 PPTP Không sử dụng mã hóa nào PPTP giao thức thiết lập kênh kết nối PPTP • Point-to-Point Tunneling Protocol (RFC 2637) • Mở rộng của Point-to-Point Protocol (PPP) • Client/Server : 2 kết nối  Kết nối điều khiển : TCP, cổng 1723  Kết nối đường hầm: Generic Routing Encapsulation GRE thiết lập kết nối đàm phán xác thực NAS: network access server tham số PPP -> GRE -> Router cấu hình kết nối đường hấm thiết lập và cấu hình PPP PPTP 22 Point-to-point Protocol Connect moderm của wifi vs nhà mạng LCP link control protocol: thiết lập kết nối NCP network control protocol: cấu hình kết nối 11
PPTP (tiếp) Kết nối mở • Các thành phần của PPTP:  PPTP Client  PPTP Server Network access server  NAS thỏa thuận • Thiết lập kết nối PPTP 1. Thiết lập liên kết: LCP (Link Control Protocol) 2. Xác thực người dùng:  PAP – Password Authentication Protocol  CHAP - Challenge Handshake Authentication Protocol  MS-CHAPv1  MS-CHAPv2 3. NAS ngắt và thiết lập lại kết nối 4. Thỏa thuận giao thức 23 PPTP Tunnel Packet PPP Payload có thể được mã hóa hoặc không RC4 encryption đóng gói bằng GRE Keysize : 40 or 128 bits Kết nối đường hầmS 24 12
L2F L2F độc quyền, an toàn hơn • Layer 2 Forwarding Protocol • Thiết lập đường hầm L2F ISP'sIntranet Private Network • Bảo mật Internet Remote • MPPE User NAS Host Server 1 Network PPP Connection • IPSec 2 Request Gateway Request Accepted/ • Xác thực : Rejected 3 User xác thực PPP giữa máy trạm và máy NAS Authentication CHAP, EAP (PAP, CHAP) 4 L2F Tunnel Initiation 5 Tunnel Establishment Allocated 6a Connection RequestAccepted/ 6b Tunnel Established Notification Rejected 7a User kiểm tra danh tính người dùng khi truy cập Authentication mạng riêng 7b Tunnel Established 25 Đường hầm L2F 26 13
L2TP L2TP • Layer 2 Tunnelling Protocol (RFCs 2661 and 3438) • Kết hợp L2F và PPTP • Sử dụng UDP để đóng gói dữ liệu (Port 1701) • Có thể sử dụng thêm IPSec trong chế độ transport mode • Thiết lập đường hầm L2TP : 2 bước  Thiết lập kết nối để trao đổi thông điệp điều khiển tạo đường hầm  Thiết lập phiên trao đổi dữ liệu qua đường hầm 27 Thiết lập đường hầm L2TP ISP's Intranet Private netw ork PPP Connection Internet Remote 1 User NAS LAC Connection Request LNS 2a Authentication Request Connection Accepted 2b 3 4 Connection Connection Establishment Accepted/ Connection Rejected Forw arded to LAC Notifiaction Message (CID+Authentication 5 Information) Data Exchange 6 End User Authentication 28 14
Đóng gói dữ liệu 29 Các kiểu đường hầm L2TP • Tự nguyện(Voluntary) : máy trạm người dùng và L2TP server là 2 điểm đầu cuối, trực tiếp thiết lập đường hầm Remote User ISP's Intranet Private Network Internet LAC Connection 1a Request LNS 1b ConnectionRequest ConnectionAccepted/Rejected 2 L2TP Frames 3 Strips Tunneling Information 4a Authentication the User 4b Frames to the Destination Node 30 15
Các kiểu đường hầm L2TP • Cưỡng bức(Compulsory) : • L2TP Access Concentrator (LAC) : khởi tạo thiết lập • L2TP Network Server (LNS) Priva te N e tw or k IS P's Intra ne t PPP C onne c tion Internet R e m ote 1 User NAS LAC PPP C o nn e c tio n R e q u e st LNS 2 Authe n tic a tio n R e q u e st 4 3 In itia tio n o f L 2 F T un n e l C o n ne c tio n E sta b lish e d 5 C o nn e c tio n E sta b lishe d 6 L 2 T P T un n e l F ra m e s 7 Auth e n tic a tio n th e R e m o te U se r T o D e stin a tion 8 Node 31 So sánh các giao thức VPN tầng 2 Đặc điểm PPTP L2F L2TP Hỗ trợ nhiều giao thức Yes Yes Yes Hỗ trợ nhiều liên kết No Yes Yes PPP Hỗ trợ nhiều kết nối trên No Yes Yes đường hầm Các chế độ đường hầm Voluntary Voluntary & Compulsory Voluntary & được hỗ trợ Compulsory Giao thức đóng gói IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, IP/ATM Giao thức kiểm soát TCP, Port: UDP, Port: 1701 UDP, Port: 1701 1723 Các cơ chế xác thực MS-CHAP, CHAP, PAP, SPAP, EAP, CHAP, PAP, SPAP, PAP IPSec, RADIUS RADIUS EAP, IPSec, & & TACACS TACACS Các cơ chế mã hoá MPPE MPPE, IPSec MPPE, IPSec, ECP 32 16
2.2. IPSEC Công nghệ VPN hiệu quả nhất 33 Giới thiệu chung tài liệu • Bộ giao thức (RFC 4301 và >30 RFC khác ) • Các dịch vụ: • Bảo mật: DES, 3DES, AES • Xác thực: HMAC MD-5, HMAC SHA-1 • Chống tấn công phát lại • Xác thực các bên • Kiểm soát truy cập • Giao thức đóng gói dữ liệu : • AH : Xác thực thông điệp • ESP : Bảo mật và xác thực thông điệp mã hóa 34 17
Hệ thống tài liệu đặc tả của IPSec Domain of Interpretation 35 Giao kết bảo mật (security association) SA • Chứa tham số để hình thành liên kết bảo mật giữa các bên. 1 thành phần hỗ trợ • Có tính 1 chiều cần trao đổi CSA theo từng chiều • Xác định bởi 3 tham số: • SPI (Sercurity Parameter Index):32 bit • Địa chỉ IP đích • Định danh của giao thức bảo mật (Security Protocol Identifier) • Security Policy Database (SPD) • Selector : nhóm thông tin (IP, Port, UserID…) để tham chiếu tới 1 mục trên SPD SPA CSDL các SA mà một nút đang sử dụng trên các liên kết VPN 36 18
Tiến trình trao đổi dữ liệu qua IPSec VPN Tiến trình IPSec 1. Một trong 2 bên khởi tạo 2. Thiết lập kết nối điều khiển: ISAKMP/IKE Phase 1:  Các chính sách trao đổi khóa  Diffie-Hellman
Trong Main Mode, quá trình thiết lập kết nối diễn ra trong ba giai đoạn, và nó chậm hơn Aggressive Mode nhưng an toàn hơn vì sử dụng nhiều bước trao đổi thông tin bảo mật hơn. Các chế độ trong ISAKMP/IKE Phase 1 NonceS: chống phát lại: Một số thôi KE: key exchange • Main mode Cert: chứng chỉ số nếu xác thực Bước đầu Call Key Xác thực • Aggressive mode 39 ISAKMP/IKE Phase 1 : Thỏa thuận SA Yêu cầu kết nối từ A tới B Xử lý gói tin gửi từ A đến B SA|Header 768bit giây sau thời gian này sẽ tạo kết nối mới ban đầu dùng HMAC khác nhau gđ đầu: trao đổi các thông số SA với nhau => Đi đến thống nhất dùng SHA-1 tạo mã xác thực group 2 mạnh hơn MD5 => Giao thức trao đổi qua VPN HMAC MD5 ???? 40 Nếu mọi thứ SA là như nhau thì sẽ chọn AES-192, SHA-256, Group 14 làm SA trong VPN 20