1
BÀI 2.
MNG RIÊNG O (VPN)
Bùi Trọng Tùng,
Bộ môn Truyền thông và Mạng máy tính
Viện CNTT-TT, Đại học BKHN
1
Ni dung
Giới thiệu chung về VPN
Các mô hình mạng riêng ảo
Giao thức VPN tầng 2
Giao thức VPN tầng 3
SSL VPN
Triển khai các giải pháp VPN
2
2
1. GII THIU CHUNG V VPN
3
Đt vn đ
Nguy cơ mất an toàn thông tin trên mạng Internet
Nghe lén
Giả danh
Giả mạo
Giải pháp
Point-to-point link : lease line
Hoặc
Mã hóa bảo mật
Xác thực
Virtual Private Network
4
AES...
MAC
3
VPN là gì?
Kết nối trên mạng công cộng
(Internet) được bảo đảm an toàn an
ninh, với những chính sách như trong
mạng riêng:
Virtual
Private
Network
Mở rộng mạng Intranet trên Internet
VPN
VPN
Internet
5
Các thành phn ca VPN
VPN gateway: cung cấp dịch vụ kết nối VPN cho các nút
mạng
VPN client: điểm đầu cuối(PC, Smartphone, Gateway…)
yêu cầu kết nối VPN
Đường hầm VPN
Giao thức VPN
Phân loại:
VPN phần cứng
VPN phần mềm
6
đóng vai trò như mt cái Router
bình thưng
cũng có th đóng vai trò mt
client gi yêu cu kết ni ti mt
VPN mng 2
đóng gói, mã hóa mi d liu
đưng hm
Intranet là mng riêng, cá nhân t chc
gii hn truy nhp
s dng trong ni b
chia s tt tài nguyên
bo mt
qun lý kim soát
4
Mt s sản phm tiêu biu
VPN phần cứng:
Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính năng
router, switch), ASA 5500 series (tích hợp trong UTM)
F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050
Citrix NetScaler MPX
Dell SonicWall
VPN phần mềm:
OpenVPN
FreeS/WAN
pfSense
7
Hot đng ca VPN
Xác thực
Mã hóa
Đóng gói
Gói tin truyền trong liên kết VPN được đóng gói lại theo giao thức
VPN
Tiêu đề mới được thêm vào sử dụng địa chỉ IP của VPN gateway
Các thông tin trong tiêu đề ban đầu được che giấu và đảm bảo tính
toàn vẹn(địa chỉ, số hiệu cổng ứng dụng)
8
5
Hot đng ca VPN
9
Các chế đ kết ni
Transport mode
Trên từng cặp thiết bị đầu cuối
Dữ liệu đóng gói trong VPN packet
Hạn chế ???
Tunnel mode
Các thiết bị đầu cuối không tham gia vào VPN
Kết nối VPN thông qua các thiết bị trung gian
Ưu điểm???
10
gói tin chưa đưc mã hóa
đưc gi t user
đi qua VPN router
đưc mã hóa và đóng gói
Database check
Truyn ti
Đương hm
Hn chế:
- Ch cho phép bo v d liu MT (duy nht) mà k cho phép
bo v tt c các thiết b trong mng
- Không an toàn cho tt c các thiết b trong mng
- Không phù hp vi mng ln
- Bo mt thp hơn Tunnel mode vì ch có th mã hóa 1 phn
d liu
Hn chế: chi phí cao, tc đ truyn ti chm,
Ưu đim
Bo mt cao: mã hóa toàn b d liu
Linh hot: bo v tt c thiết b trong mng
Kh năng hot dng mng ln vì cho phép kết ni nhiu thiết b
D dàng qun lý và cu hình
Đ n đnh cao khi truyn ti qua các mng public
bo v playload = IPsec site-to-site
authentication
1
2
Transport mode thưng đưc dùng khi thiết lp kết ni VPN gia 2 thiết b kết ni trc tiếp vi nhau (MT vs VPN)
Ch các d liu đưc mã hóa, tiêu đ IP ca gói tin đưc gi nguyên
Thích hp kết ni VPN đim-đim
Tunnel mode thưng đưc kết ni VPN gia 2 mng riêng (IP riêng) VD: mng ni b vs VPN công cng
Toàn b gói tin đưc mã hóa, tiêu đ gói tin IP đưc thay thế bng tiêu đ gói tin VPN, điu này giúp n đi thông tin
v IP ngun và đích
Cho phép kết ni gia các mng riêng tư và mng công cng, to ra mt "đưng hm an toàn" d truyn thông tin