Bài giảng An ninh mạng - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy
VPN là gì ?
VPN là từ viết tắt Virtual Private Network
Virtual ?
Private ?
Network ?
Phân biệt Private Network với Virtual Private
Network
Bảo mật dữ liệu trên mạng WAN
Sử dụng kĩ thuật Tunneling để truyền dữ liệu
Tăng cường bảo mật với các phương pháp
mã hóa, xác thực và ủy quyền
Giảm chi phí thiết lập
VPN có giá thành thấp hơn ISDN, ATM và
Frame Relay
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Bạn đang xem 10 trang mẫu của tài liệu "Bài giảng An ninh mạng - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Bài giảng An ninh mạng - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy
CHƯƠNG 01 Thiết Kế và Triển Khai VPN q Giảng Viên : Ths.Nguyễn Duy q Email : duyn@uit.edu.vn GV : Nguyễn Duy 1 Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 2 Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 3 Chương 1 : Giới thiệu VPN q VPN là gì ? q Những lợi ích của VPN q Những yêu cầu của VPN GV : Nguyễn Duy 4 VPN là gì ? Chương 1 : Giới thiệu VPN q VPN là từ viết tắt Virtual Private Network Ø Virtual ? Ø Private ? Ø Network ? q Phân biệt Private Network với Virtual Private Network GV : Nguyễn Duy 5 Những lợi ích của VPN Chương 1 : Giới thiệu VPN q Bảo mật dữ liệu trên mạng WAN Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu Ø Tăng cường bảo mật với các phương pháp mã hóa, xác thực và ủy quyền q Giảm chi phí thiết lập Ø VPN có giá thành thấp hơn ISDN, ATM và Frame Relay GV : Nguyễn Duy 6 Những lợi ích của VPN Chương 1 : Giới thiệu VPN q Giảm chi phí vận hành Ø Nhân công Ø Chi phí chi trả cho ISP hàng tháng để duy trì q Nâng cao kết nối Ø Kết nối mọi nơi và mọi lúc q Nâng cấp dễ dàng GV : Nguyễn Duy 7 Những yêu cầu của VPN Chương 1 : Giới thiệu VPN q Tính an toàn Ø Theo dõi hoạt động của User VPN Ø Phân vùng hoạt động của User VPN Ø Tách biệt User VPN với User trong Domain Ø q Tính sẵn sàng và sự tin cậy Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP GV : Nguyễn Duy 8 Những yêu cầu của VPN Chương 1 : Giới thiệu VPN q Chất lượng dịch vụ Ø Latency Ø Throughput q Cam kết của nhà cung cấp dịch vụ GV : Nguyễn Duy 9 Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các vấn đề chính của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 10 Các thành phần của VPN q Qui trình hoạt động của VPN q Các thành phần của VPN q Mô hình hoạt động của VPN GV : Nguyễn Duy 11 Qui trình hoạt động của VPN Các thành phần của VPN VPN Server Domain Controller VPN Client VPN client calls the VPN server authenticates 1 VPN server 3 and authorizes the client VPN server VPN server transfers 2 answers the call 4 data GV : Nguyễn Duy 12 Các thành phần của VPN Các thành phần của VPN VPN Tunnel Tunneling Protocols VPN Tunneled Data Server VPN Client Domain Controller Transit Network Authentication DHCP Server Address and Name Server Allocation GV : Nguyễn Duy 13 Các thành phần của VPN Các thành phần của VPN q VPN Server : Ø Lắng nghe yêu cầu kết nối của VPN Client Ø Xác thực thông tin kết nối của User Ø Cung cấp cơ chế mã hóa dữ liệu Ø .. q VPN Client : Ø Kết nối tới VPN Server Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được VPN Server yêu cầu GV : Nguyễn Duy 14 Các thành phần của VPN Các thành phần của VPN q VPN Tunnel : Ø VPN Tunnel là gì ? Ø Các thành phần kĩ thuật của Tunnel ? Ø Hoạt động của kĩ thuật đường hầm Ø Định dạng gói tin trong Tunnel Ø Phân loại Tunnel GV : Nguyễn Duy 15 VPN Tunnel Các thành phần của VPN q VPN Tunnel là gì ? Ø Cho phép tạo mạng riêng ngay trên mạng internet hoặc các mạng công cộng khác Ø Tạo và bảo trì kết nối logic giữa VPN Client và VPN Server GV : Nguyễn Duy 16 VPN Tunnel Các thành phần của VPN q Các thành phần kĩ thuật của Tunnel : Ø Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy khách ( home network ) Ø Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người dùng di động hoặc người trong mạng nội bộ Ø Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu thiết lập đường hầm Ø Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ HA tại mạng đích. GV : Nguyễn Duy 17 VPN Tunnel q Hoạt động của kĩ thuật đường hầm : Ø Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi HA xem tính hợp pháp của nó GV : Nguyễn Duy 18 VPN Tunnel q Hoạt động của kĩ thuật đường hầm : Ø Pha II : Dữ liệu sẽ được truyền trong đường hầm GV : Nguyễn Duy 19 VPN Tunnel q Định dạng gói tin trong Tunnel : GV : Nguyễn Duy 20 VPN Tunnel q Phân loại Tunnel : Ø Voluntary Tunnel GV : Nguyễn Duy 21 VPN Tunnel q Phân loại Tunnel : Ø Compulsory Tunel GV : Nguyễn Duy 22 Mô hình hoạt động của VPN q Remote Access GV : Nguyễn Duy 23 Mô hình hoạt động của VPN q Site-to-Site GV : Nguyễn Duy 24 Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 25 Bảo mật trong VPN q Xác thực người dùng và quản lý truy cập q Mã hóa dữ liệu q Hạ tầng mã hóa công khai GV : Nguyễn Duy 26 Xác thực người dùng và quản lý truy cập GV : Nguyễn Duy 27 User authentication q Xác thực người dùng (User authentication) : là cơ chế xác nhận tính hợp lệ của người dùng trong mạng riêng ảo q Các dạng xác thực : Ø Local (tại VPN Server) Ø Remote (tại hệ thống xác thực khác : Domain Controller Server hoặc RADIUS Server) GV : Nguyễn Duy 28 Quản lý truy cập q Sau khi đã xác thực thành công, người dùng có khả năng truy cập vào dữ liệu q Để tăng mức độ bảo mật cho hệ thống, chúng ta nên có những chính sách sau để quản lý VPN User : Ø Theo dõi hoạt động Ø Phân quyền nghiêm ngặt GV : Nguyễn Duy 29 Mã hóa dữ liệu q Mã hóa dữ liệu là qui trình xóa trộn dữ liệu bên phía người gởi trên đường truyền. q Mã hóa được chia thành 2 loại chính Ø Mã hóa đối xứng Ø Mã hóa bất đối xứng GV : Nguyễn Duy 30 Mã hóa dữ liệu q Mã hóa đối xứng : AES, DES, 3DES, RC4 GV : Nguyễn Duy 31 Mã hóa dữ liệu q Mã hóa bất đối xứng : Diffie-Hellman và RSA GV : Nguyễn Duy 32 PKI q Các thành phần chính của PKI : Ø Khách hàng PKI Ø Người cấp giấy chứng nhận (CA) Ø Người cấp giấy đăng ký (RA) Ø Các giấy chứng nhận số (Certificate) Ø Hệ thống phân phối các giấy chứng nhận (CDS) GV : Nguyễn Duy 33 PKI q Các giao dịch trên PKI GV : Nguyễn Duy 34 PKI q Mô hình hoạt động của PKI Ø CA đơn Ø Tin cậy giữa 2 CA Ø Thứ bậc Ø Lưới Ø Hỗn hợp GV : Nguyễn Duy 35 CA đơn GV : Nguyễn Duy 36 Tin cậy giữa 2 CA GV : Nguyễn Duy 37 Thứ bậc GV : Nguyễn Duy 38 Lưới GV : Nguyễn Duy 39 Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 40 Các giao thức đường hầm q Giao thức đường hầm lớp 2 q Giao thức đường hầm lớp 3 q Giao thức đường hầm lớp 4 GV : Nguyễn Duy 41 Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV : Nguyễn Duy 42 Giao thức đường hầm lớp 2 GV : Nguyễn Duy 43 PPTP q PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các máy khách di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP của mạng internet. q PPTP được phát triển bởi Microsoft Corporation, Ascend Communications, 3COM, US Robotics và ECI Telematics q PPTP ( chủ và khách) nhận dữ liệu TCP và IP ở cổng 1723 và cổng 47 GV : Nguyễn Duy 44 PPTP q Có hai đặc tính nổi bật đóng vai trò quan trọng trong việc bảo mật của PPTP : Ø Sử dụng mạng chuyển mạch điện thoại công cộng Ø Cung cấp giao thức Non_IP : § PPTP cũng hỗ trợ để hiện thực các giao thức mạng khác như TCP/IP, IPX, NetBEUI, và NetBIOS GV : Nguyễn Duy 45 PPTP GV : Nguyễn Duy 46 PPTP - Encapsulation GV : Nguyễn Duy 47 PPTP - Decapsulation GV : Nguyễn Duy 48 Generic Routing Encapsulation GV : Nguyễn Duy 49 PPTP – bảo mật q PPTP đưa ra nhiều cơ chế bảo mật cho máy chủ và máy khách PPTP. Các dịch vụ bảo mật bao gồm : Ø Mã hóa và nén dữ liệu Ø Chứng thực Ø Kiểm soát truy cập Ø Lọc gói GV : Nguyễn Duy 50 PPTP – bảo mật q Mã hóa và nén dữ liệu Ø PPTP không cung cấp cơ chế mã hóa để bảo mật dữ liệu . PPTP sử dụng dịch vụ mã hóa dữ liệu được cung cấp bởi PPP Ø PPP sử dụng phương pháp mã hóa điểm tới điểm của Microsoft (MPPE - Microsoft Point-to-Point Encryption) Ø Phưương pháp mã hóa công khai-bí mật (ID và pass) GV : Nguyễn Duy 51 PPTP – bảo mật q Chứng thực Ø PAP (Password Authentication Protocol) Ø MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) q Kiểm soát truy cập q Access Right q Permission GV : Nguyễn Duy 52 PAP GV : Nguyễn Duy 53 MS-CHAP GV : Nguyễn Duy 54 MS-CHAP q MS-CHAP là một phiên bản được điều chỉnh từ CHAP của Microsoft q MS-CHAP có rất nhiều điểm tương đồng với CHAP nên các chức năng của MS-CHAP cũng tương tự các chức năng của CHAP q Điểm khác biệt cơ bản : Ø CHAP sử dụng giải thuật băm MD5 và mã RSA Ø MS-CHAP sử dụng giải thuật băm RC4 và mã DES GV : Nguyễn Duy 55 PPTP q Ưu điểm : Ø PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft Ø PPTP có thể hỗ trợ các giao thức non-IP Ø PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh q Nhược điểm Ø Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với khóa mã phát sinh từ password của user Ø PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec GV : Nguyễn Duy 56 Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV : Nguyễn Duy 57 Layer 2 Forwarding q Cisco Systems, cùng với Nortel, một trong những doanh nghiệp đứng đầu về thị phần đã bắt đầu đưa ra giải pháp bảo mật có các chức năng Ø Có khả năng bảo mật. Ø Phục vụ truy cập thông qua mạng internet và các mạng công cộng khác. Ø Hỗ trợ kỹ thuật mạng trên diện rộng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay. GV : Nguyễn Duy 58 Layer 2 Forwarding GV : Nguyễn Duy 59 Layer 2 Forwarding q Qui trình tạo đường hầm trong L2F : Ø User từ xa đẩy Frame tới NAS được đặt ở ISP Ø POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công thêm header, trailer của L2F vào Frame. Framme vừa được đóng gói tiếp tục được gửi đến mạng đích thông qua đường hầm Ø Gateway của máy chủ mạng nhận các gói được chuyển qua đường hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút đích trong mạng nội bộ Ø Nút đích xử lý Frame nhận được giống như một Frame bình thường, không thông qua đường hầm GV : Nguyễn Duy 60 Layer 2 Forwarding q Qui trình tạo đường hầm trong L2F : GV : Nguyễn Duy 61 Layer 2 Forwarding – Bảo mật q L2F cung cấp các dịch vụ bảo mật Ø Mã hóa dữ liệu § L2F sử dụng MPPE (Microsoft Point-to-Point Encryption) cho mục đích mã hóa cơ bản § L2F sử dụng thêm phương pháp mã hóa dựa trên Internet Protocol Security – Encapsulating Security Payload (ESP- đóng gói dữ liệu nguồn bảo mật) – Authentication Header ( AH- header chứng thực). GV : Nguyễn Duy 62 Layer 2 Forwarding – Bảo mật q L2F cung cấp các dịch vụ bảo mật Ø Chứng thực : § L2F sử dụng PAP để chứng thực máy khách từ xa § L2F cũng sử dụng quy trình chứng thực sau để tăng cưòng bảo mật dữ liệu: – CHAP – L2F còn sử dụng Remote Access Dial-In User Service (RADIUS) và Terminal Access Controller Access Control Service (TACACS) để bổ sung chứng thực GV : Nguyễn Duy 63 Layer 2 Forwarding q Ưu điểm Ø Tăng cường bảo mật Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX, NetBEUI và Frame Relay q Nhược điểm Ø Việc chứng thực và mã hóa ở L2F làm cho tốc độ trong đường hầm của L2F thấp hơn so với PPTP GV : Nguyễn Duy 64 Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV : Nguyễn Duy 65 Layer 2 Tunneling Protocol – L2TP q Được phát triển bởi IETF và đượ c ủng hộ bởi các nhà công nghiệp khổng lồ như Cisco Systems, Microsoft, 3COM, và Ascend q L2TP là sự kết hợp hai giao thức VPN sơ khởi PPTP và L2F q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP GV : Nguyễn Duy 66 L2TP q Lợi ích : Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet và các mạng công cộng khác Ø Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ. GV : Nguyễn Duy 67 L2TP - Encapsulation GV : Nguyễn Duy 68 L2TP - Decapsulation GV : Nguyễn Duy 69 L2TP – Bảo mật q Các phương pháp chứng thực thông dụng của L2TP Ø PAP và SPAP Ø EAP Ø CHAP GV : Nguyễn Duy 70 L2TP q Ưu điểm : Ø L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chưng thực gói của IPSec Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN mà không cần IP. q Khuyết điểm Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói nhận được GV : Nguyễn Duy 71 Giao thức đường hầm lớp 3 GV : Nguyễn Duy 72 Giao thức đường hầm lớp 4 GV : Nguyễn Duy 73 Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 74 Mô hình 1 GV : Nguyễn Duy 75 Mô hình 2 GV : Nguyễn Duy 76 Mô hình 3 GV : Nguyễn Duy 77 Mô hình 4 GV : Nguyễn Duy 78 Mô hình 5 GV : Nguyễn Duy 79 Mô hình 6 GV : Nguyễn Duy 80 Mô hình 7 GV : Nguyễn Duy 81 Mô hình 8 GV : Nguyễn Duy 82 Mô hình 8 - 1 GV : Nguyễn Duy 83 Mô hình 8 - 2 GV : Nguyễn Duy 84
File đính kèm:
- bai_giang_an_ninh_mang_chuong_1_thiet_ke_va_trien_khai_vpn_n.pdf