An toàn mạng máy tính nâng cao - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy

CHƯƠNG 01 Thiết Kế và Triển Khai VPN q  Giảng Viên : Ths.Nguyễn Duy q  Email : duyn@uit.edu.vn 1  GV  :  Nguyễn  Duy   Nội dung q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN 2  GV  :  Nguyễn  Duy   Nội dung q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN 3  GV  :  Nguyễn  Duy   Chương 1 : Giới thiệu VPN q  VPN là gì ? q  Những lợi ích của VPN q  Những yêu cầu của VPN GV  :  Nguyễn  Duy   4   VPN là gì ? q  VPN là từ viết tắt Virtual Private Network Ø  Virtual ? Ø  Private ? Ø  Network ? q  Phân biệt Private Network với Virtual Private Network GV  :  Nguyễn  Duy   5   Chương 1 : Giới thiệu VPN Những lợi ích của VPN q  Bảo mật dữ liệu trên mạng WAN Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu Ø Tăng cường bảo mật với các phương pháp mã hóa, xác thực và ủy quyền q  Giảm chi phí thiết lập Ø VPN có giá thành thấp hơn ISDN, ATM và Frame Relay GV  :  Nguyễn  Duy   6   Chương 1 : Giới thiệu VPN Những lợi ích của VPN q  Giảm chi phí vận hành Ø Nhân công Ø Chi phí chi trả cho ISP hàng tháng để duy trì q  Nâng cao kết nối Ø Kết nối mọi nơi và mọi lúc q  Nâng cấp dễ dàng GV  :  Nguyễn  Duy   7   Chương 1 : Giới thiệu VPN Những yêu cầu của VPN q  Tính an toàn Ø Theo dõi hoạt động của User VPN Ø Phân vùng hoạt động của User VPN Ø Tách biệt User VPN với User trong Domain Ø  q  Tính sẵn sàng và sự tin cậy Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP GV  :  Nguyễn  Duy   8   Chương 1 : Giới thiệu VPN Những yêu cầu của VPN q  Chất lượng dịch vụ Ø Latency Ø Throughput q  Cam kết của nhà cung cấp dịch vụ GV  :  Nguyễn  Duy   9   Chương 1 : Giới thiệu VPN Nội dung q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các vấn đề chính của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN 10  GV  :  Nguyễn  Duy   Các thành phần của VPN q  Qui trình hoạt động của VPN q  Các thành phần của VPN q  Mô hình hoạt động của VPN GV  :  Nguyễn  Duy   11   Qui trình hoạt động của VPN GV  :  Nguyễn  Duy   12   Các thành phần của VPN Domain Controller VPN Client VPN Server 3 VPN server authenticates and authorizes the client 2 VPN server answers the call 4 VPN server transfers data VPN client calls the VPN server 1 Các thành phần của VPN GV  :  Nguyễn  Duy   13   Các thành phần của VPN VPN Tunnel Tunneling Protocols Tunneled Data VPN Client Address and Name Server Allocation DHCP Server Domain Controller Authentication Transit Network VPN Server Các thành phần của VPN q  VPN Server : Ø Lắng nghe yêu cầu kết nối của VPN Client Ø Xác thực thông tin kết nối của User Ø Cung cấp cơ chế mã hóa dữ liệu Ø .. q  VPN Client : Ø Kết nối tới VPN Server Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được VPN Server yêu cầu GV  :  Nguyễn  Duy   14   Các thành phần của VPN Các thành phần của VPN q  VPN Tunnel : Ø VPN Tunnel là gì ? Ø Các thành phần kĩ thuật của Tunnel ? Ø Hoạt động của kĩ thuật đường hầm Ø Định dạng gói tin trong Tunnel Ø Phân loại Tunnel GV  :  Nguyễn  Duy   15   Các thành phần của VPN VPN Tunnel q  VPN Tunnel là gì ? Ø Cho phép tạo mạng riêng ngay trên mạng internet hoặc các mạng công cộng khác Ø Tạo và bảo trì kết nối logic giữa VPN Client và VPN Server GV  :  Nguyễn  Duy   16   Các thành phần của VPN VPN Tunnel q  Các thành phần kĩ thuật của Tunnel : Ø  Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy khách ( home network ) Ø  Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người dùng di động hoặc người trong mạng nội bộ Ø  Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu thiết lập đường hầm Ø  Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ HA tại mạng đích. GV  :  Nguyễn  Duy   17   Các thành phần của VPN VPN Tunnel q  Hoạt động của kĩ thuật đường hầm : Ø  Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi HA xem tính hợp pháp của nó GV  :  Nguyễn  Duy   18   VPN Tunnel q  Hoạt động của kĩ thuật đường hầm : Ø  Pha II : Dữ liệu sẽ được truyền trong đường hầm GV  :  Nguyễn  Duy   19   VPN Tunnel q  Định dạng gói tin trong Tunnel : GV  :  Nguyễn  Duy   20   VPN Tunnel q  Phân loại Tunnel : Ø  Voluntary Tunnel GV  :  Nguyễn  Duy   21   VPN Tunnel q  Phân loại Tunnel : Ø  Compulsory Tunel GV  :  Nguyễn  Duy   22   Mô hình hoạt động của VPN q Remote Access GV  :  Nguyễn  Duy   23   Mô hình hoạt động của VPN q Site-to-Site GV  :  Nguyễn  Duy   24   Nội dung q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN 25  GV  :  Nguyễn  Duy   Bảo mật trong VPN q Xác thực người dùng và quản lý truy cập q Mã hóa dữ liệu q Hạ tầng mã hóa công khai GV  :  Nguyễn  Duy   26   Xác thực người dùng và quản lý truy cập GV  :  Nguyễn  Duy   27   User authentication q Xác thực người dùng (User authentication) : là cơ chế xác nhận tính hợp lệ của người dùng trong mạng riêng ảo q Các dạng xác thực : Ø Local (tại VPN Server) Ø Remote (tại hệ thống xác thực khác : Domain Controller Server hoặc RADIUS Server) GV  :  Nguyễn  Duy   28   Quản lý truy cập q Sau khi đã xác thực thành công, người dùng có khả năng truy cập vào dữ liệu q Để tăng mức độ bảo mật cho hệ thống, chúng ta nên có những chính sách sau để quản lý VPN User : Ø Theo dõi hoạt động Ø Phân quyền nghiêm ngặt GV  :  Nguyễn  Duy   29   Mã hóa dữ liệu q Mã hóa dữ liệu là qui trình xóa trộn dữ liệu bên phía người gởi trên đường truyền. q Mã hóa được chia thành 2 loại chính Ø Mã hóa đối xứng Ø Mã hóa bất đối xứng GV  :  Nguyễn  Duy   30   Mã hóa dữ liệu q Mã hóa đối xứng : AES, DES, 3DES, RC4 GV  :  Nguyễn  Duy   31   Mã hóa dữ liệu q Mã hóa bất đối xứng : Diffie-Hellman và RSA GV  :  Nguyễn  Duy   32   PKI q Các thành phần chính của PKI : Ø Khách hàng PKI Ø Người cấp giấy chứng nhận (CA) Ø Người cấp giấy đăng ký (RA) Ø Các giấy chứng nhận số (Certificate) Ø Hệ thống phân phối các giấy chứng nhận (CDS) GV  :  Nguyễn  Duy   33   PKI q Các giao dịch trên PKI GV  :  Nguyễn  Duy   34   PKI q Mô hình hoạt động của PKI Ø CA đơn Ø Tin cậy giữa 2 CA Ø Thứ bậc Ø Lưới Ø Hỗn hợp GV  :  Nguyễn  Duy   35   CA đơn GV  :  Nguyễn  Duy   36   Tin cậy giữa 2 CA GV  :  Nguyễn  Duy   37   Thứ bậc GV  :  Nguyễn  Duy   38   Lưới GV  :  Nguyễn  Duy   39   Nội dung q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN 40  GV  :  Nguyễn  Duy   Các giao thức đường hầm q Giao thức đường hầm lớp 2 q Giao thức đường hầm lớp 3 q Giao thức đường hầm lớp 4 GV  :  Nguyễn  Duy   41   Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV  :  Nguyễn  Duy   42   Giao thức đường hầm lớp 2 GV  :  Nguyễn  Duy   43   PPTP q PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các máy khách di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP của mạng internet. q PPTP được phát triển bởi Microsoft Corporation, Ascend Communications, 3COM, US Robotics và ECI Telematics q PPTP ( chủ và khách) nhận dữ liệu TCP và IP ở cổng 1723 và cổng 47 GV  :  Nguyễn  Duy   44   PPTP q Có hai đặc tính nổi bật đóng vai trò quan trọng trong việc bảo mật của PPTP : Ø Sử dụng mạng chuyển mạch điện thoại công cộng Ø Cung cấp giao thức Non_IP : §  PPTP cũng hỗ trợ để hiện thực các giao thức mạng khác như TCP/IP, IPX, NetBEUI, và NetBIOS GV  :  Nguyễn  Duy   45   PPTP GV  :  Nguyễn  Duy   46   PPTP - Encapsulation GV  :  Nguyễn  Duy   47   PPTP - Decapsulation GV  :  Nguyễn  Duy   48   Generic Routing Encapsulation GV  :  Nguyễn  Duy   49   PPTP – bảo mật q PPTP đưa ra nhiều cơ chế bảo mật cho máy chủ và máy khách PPTP. Các dịch vụ bảo mật bao gồm : Ø Mã hóa và nén dữ liệu Ø Chứng thực Ø Kiểm soát truy cập Ø Lọc gói GV  :  Nguyễn  Duy   50   PPTP – bảo mật q Mã hóa và nén dữ liệu Ø  PPTP không cung cấp cơ chế mã hóa để bảo mật dữ liệu . PPTP sử dụng dịch vụ mã hóa dữ liệu được cung cấp bởi PPP Ø  PPP sử dụng phương pháp mã hóa điểm tới điểm của Microsoft (MPPE - Microsoft Point-to-Point Encryption) Ø  Phưương pháp mã hóa công khai-bí mật (ID và pass) GV  :  Nguyễn  Duy   51   PPTP – bảo mật q Chứng thực Ø PAP (Password Authentication Protocol) Ø MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) q Kiểm soát truy cập q Access Right q Permission GV  :  Nguyễn  Duy   52   PAP GV  :  Nguyễn  Duy   53   MS-CHAP GV  :  Nguyễn  Duy   54   MS-CHAP q MS-CHAP là một phiên bản được điều chỉnh từ CHAP của Microsoft q MS-CHAP có rất nhiều điểm tương đồng với CHAP nên các chức năng của MS-CHAP cũng tương tự các chức năng của CHAP q Điểm khác biệt cơ bản : Ø CHAP sử dụng giải thuật băm MD5 và mã RSA Ø MS-CHAP sử dụng giải thuật băm RC4 và mã DES GV  :  Nguyễn  Duy   55   PPTP q  Ưu điểm : Ø  PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft Ø  PPTP có thể hỗ trợ các giao thức non-IP Ø  PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh q  Nhược điểm Ø  Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với khóa mã phát sinh từ password của user Ø  PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec GV  :  Nguyễn  Duy   56   Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV  :  Nguyễn  Duy   57   Layer 2 Forwarding q Cisco Systems, cùng với Nortel, một trong những doanh nghiệp đứng đầu về thị phần đã bắt đầu đưa ra giải pháp bảo mật có các chức năng Ø Có khả năng bảo mật. Ø Phục vụ truy cập thông qua mạng internet và các mạng công cộng khác. Ø Hỗ trợ kỹ thuật mạng trên diện rộng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay. GV  :  Nguyễn  Duy   58   Layer 2 Forwarding GV  :  Nguyễn  Duy   59   Layer 2 Forwarding q  Qui trình tạo đường hầm trong L2F : Ø  User từ xa đẩy Frame tới NAS được đặt ở ISP Ø  POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công thêm header, trailer của L2F vào Frame. Framme vừa được đóng gói tiếp tục được gửi đến mạng đích thông qua đường hầm Ø  Gateway của máy chủ mạng nhận các gói được chuyển qua đường hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút đích trong mạng nội bộ Ø  Nút đích xử lý Frame nhận được giống như một Frame bình thường, không thông qua đường hầm GV  :  Nguyễn  Duy   60   Layer 2 Forwarding q Qui trình tạo đường hầm trong L2F : GV  :  Nguyễn  Duy   61   Layer 2 Forwarding – Bảo mật q L2F cung cấp các dịch vụ bảo mật Ø Mã hóa dữ liệu §  L2F sử dụng MPPE (Microsoft Point-to-Point Encryption) cho mục đích mã hóa cơ bản §  L2F sử dụng thêm phương pháp mã hóa dựa trên Internet Protocol Security –  Encapsulating Security Payload (ESP- đóng gói dữ liệu nguồn bảo mật) –  Authentication Header ( AH- header chứng thực). GV  :  Nguyễn  Duy   62   Layer 2 Forwarding – Bảo mật q L2F cung cấp các dịch vụ bảo mật Ø Chứng thực : §  L2F sử dụng PAP để chứng thực máy khách từ xa §  L2F cũng sử dụng quy trình chứng thực sau để tăng cưòng bảo mật dữ liệu: –  CHAP –  L2F còn sử dụng Remote Access Dial-In User Service (RADIUS) và Terminal Access Controller Access Control Service (TACACS) để bổ sung chứng thực GV  :  Nguyễn  Duy   63   Layer 2 Forwarding q Ưu điểm Ø Tăng cường bảo mật Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX, NetBEUI và Frame Relay q Nhược điểm Ø Việc chứng thực và mã hóa ở L2F làm cho tốc độ trong đường hầm của L2F thấp hơn so với PPTP GV  :  Nguyễn  Duy   64   Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV  :  Nguyễn  Duy   65   Layer 2 Tunneling Protocol – L2TP q Được phát triển bởi IETF và được ủng hộ bởi các nhà công nghiệp khổng lồ như Cisco Systems, Microsoft, 3COM, và Ascend q L2TP là sự kết hợp hai giao thức VPN sơ khởi PPTP và L2F q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP GV  :  Nguyễn  Duy   66   L2TP q Lợi ích : Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet và các mạng công cộng khác Ø Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ. GV  :  Nguyễn  Duy   67   L2TP - Encapsulation GV  :  Nguyễn  Duy   68   L2TP - Decapsulation GV  :  Nguyễn  Duy   69   L2TP – Bảo mật q Các phương pháp chứng thực thông dụng của L2TP Ø PAP và SPAP Ø EAP Ø CHAP GV  :  Nguyễn  Duy   70   L2TP q Ưu điểm : Ø L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chưng thực gói của IPSec Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN mà không cần IP. q Khuyết điểm Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói nhận được GV  :  Nguyễn  Duy   71   Giao thức đường hầm lớp 3 GV  :  Nguyễn  Duy   72   Giao thức đường hầm lớp 4 GV  :  Nguyễn  Duy   73   Nội dung q  Chương 1 : Giới thiệu VPN q  Chương 2 : Các thành phần của VPN q  Chương 3 : Bảo mật trong VPN q  Chương 4 : Các giao thức đường hầm q  Chương 5 : Thiết kế VPN 74  GV  :  Nguyễn  Duy   Mô hình 1 GV  :  Nguyễn  Duy   75   Mô hình 2 GV  :  Nguyễn  Duy   76   Mô hình 3 GV  :  Nguyễn  Duy   77   Mô hình 4 GV  :  Nguyễn  Duy   78   Mô hình 5 GV  :  Nguyễn  Duy   79   Mô hình 6 GV  :  Nguyễn  Duy   80   Mô hình 7 GV  :  Nguyễn  Duy   81   Mô hình 8 GV  :  Nguyễn  Duy   82   Mô hình 8 - 1 GV  :  Nguyễn  Duy   83   Mô hình 8 - 2 GV  :  Nguyễn  Duy   84