Bài giảng An ninh mạng - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy

 CHƯƠNG 01 
 Thiết Kế và Triển Khai 
 VPN 
q  Giảng Viên : Ths.Nguyễn Duy 
q  Email : duyn@uit.edu.vn 
 GV : Nguyễn Duy 1 
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
 GV : Nguyễn Duy 2 
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
 GV : Nguyễn Duy 3 
 Chương 1 : Giới thiệu VPN 
q  VPN là gì ? 
q  Những lợi ích của VPN 
q  Những yêu cầu của VPN 
 GV : Nguyễn Duy 4 
VPN là gì ? 
Chương 1 : Giới thiệu VPN 
q  VPN là từ viết tắt Virtual Private Network 
 Ø  Virtual ? 
 Ø  Private ? 
 Ø  Network ? 
q  Phân biệt Private Network với Virtual Private 
 Network 
 GV : Nguyễn Duy 5 
Những lợi ích của VPN 
Chương 1 : Giới thiệu VPN 
q  Bảo mật dữ liệu trên mạng WAN 
 Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu 
 Ø Tăng cường bảo mật với các phương pháp 
 mã hóa, xác thực và ủy quyền 
q  Giảm chi phí thiết lập 
 Ø VPN có giá thành thấp hơn ISDN, ATM và 
 Frame Relay 
 GV : Nguyễn Duy 6 
Những lợi ích của VPN 
Chương 1 : Giới thiệu VPN 
q  Giảm chi phí vận hành 
 Ø Nhân công 
 Ø Chi phí chi trả cho ISP hàng tháng để duy trì 
q  Nâng cao kết nối 
 Ø Kết nối mọi nơi và mọi lúc 
q  Nâng cấp dễ dàng 
 GV : Nguyễn Duy 7 
Những yêu cầu của VPN 
Chương 1 : Giới thiệu VPN 
q  Tính an toàn 
 Ø Theo dõi hoạt động của User VPN 
 Ø Phân vùng hoạt động của User VPN 
 Ø Tách biệt User VPN với User trong Domain 
 Ø  
q  Tính sẵn sàng và sự tin cậy 
 Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP 
 GV : Nguyễn Duy 8 
Những yêu cầu của VPN 
Chương 1 : Giới thiệu VPN 
q  Chất lượng dịch vụ 
 Ø Latency 
 Ø Throughput 
q  Cam kết của nhà cung cấp dịch vụ 
 GV : Nguyễn Duy 9 
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các vấn đề chính của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
 GV : Nguyễn Duy 10 
Các thành phần của VPN 
q  Qui trình hoạt động của VPN 
q  Các thành phần của VPN 
q  Mô hình hoạt động của VPN 
 GV : Nguyễn Duy 11 
Qui trình hoạt động của VPN 
Các thành phần của VPN 
 VPN Server 
 Domain 
Controller 
 VPN 
 Client 
 VPN client calls the VPN server authenticates 
 1 VPN server 3 and authorizes the client 
 VPN server VPN server transfers 
 2 answers the call 4 data 
 GV : Nguyễn Duy 12 
Các thành phần của VPN 
Các thành phần của VPN 
 VPN Tunnel 
 Tunneling Protocols 
 VPN Tunneled Data 
 Server 
 VPN Client 
 Domain 
 Controller Transit Network 
 Authentication 
 DHCP 
 Server Address and Name Server Allocation 
 GV : Nguyễn Duy 13 
Các thành phần của VPN 
Các thành phần của VPN 
q  VPN Server : 
 Ø Lắng nghe yêu cầu kết nối của VPN Client 
 Ø Xác thực thông tin kết nối của User 
 Ø Cung cấp cơ chế mã hóa dữ liệu 
 Ø .. 
q  VPN Client : 
 Ø Kết nối tới VPN Server 
 Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được 
 VPN Server yêu cầu 
 GV : Nguyễn Duy 14 
Các thành phần của VPN 
Các thành phần của VPN 
q  VPN Tunnel : 
 Ø VPN Tunnel là gì ? 
 Ø Các thành phần kĩ thuật của Tunnel ? 
 Ø Hoạt động của kĩ thuật đường hầm 
 Ø Định dạng gói tin trong Tunnel 
 Ø Phân loại Tunnel 
 GV : Nguyễn Duy 15 
VPN Tunnel 
Các thành phần của VPN 
q  VPN Tunnel là gì ? 
 Ø Cho phép tạo mạng riêng ngay trên mạng 
 internet hoặc các mạng công cộng khác 
 Ø Tạo và bảo trì kết nối logic giữa VPN Client và 
 VPN Server 
 GV : Nguyễn Duy 16 
VPN Tunnel 
Các thành phần của VPN 
q  Các thành phần kĩ thuật của Tunnel : 
 Ø  Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi 
 các máy khách ( home network ) 
 Ø  Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người 
 dùng di động hoặc người trong mạng nội bộ 
 Ø  Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target 
 network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có 
 thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu 
 thiết lập đường hầm 
 Ø  Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy 
 cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên 
 làm việc VPN từ HA tại mạng đích. 
 GV : Nguyễn Duy 17 
VPN Tunnel 
q  Hoạt động của kĩ thuật đường hầm : 
 Ø  Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu 
 cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi 
 HA xem tính hợp pháp của nó 
 GV : Nguyễn Duy 18 
VPN Tunnel 
q  Hoạt động của kĩ thuật đường hầm : 
 Ø  Pha II : Dữ liệu sẽ được truyền trong đường hầm 
 GV : Nguyễn Duy 19 
VPN Tunnel 
q  Định dạng gói tin trong Tunnel : 
 GV : Nguyễn Duy 20 
VPN Tunnel 
q  Phân loại Tunnel : 
 Ø  Voluntary Tunnel 
 GV : Nguyễn Duy 21 
VPN Tunnel 
q  Phân loại Tunnel : 
 Ø  Compulsory Tunel 
 GV : Nguyễn Duy 22 
Mô hình hoạt động của VPN 
q Remote Access 
 GV : Nguyễn Duy 23 
Mô hình hoạt động của VPN 
q Site-to-Site 
 GV : Nguyễn Duy 24 
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
 GV : Nguyễn Duy 25 
Bảo mật trong VPN 
q Xác thực người dùng và quản lý truy cập 
q Mã hóa dữ liệu 
q Hạ tầng mã hóa công khai 
 GV : Nguyễn Duy 26 
Xác thực người dùng và quản lý truy cập 
 GV : Nguyễn Duy 27 
User authentication 
q Xác thực người dùng (User authentication) : 
 là cơ chế xác nhận tính hợp lệ của người 
 dùng trong mạng riêng ảo 
q Các dạng xác thực : 
 Ø Local (tại VPN Server) 
 Ø Remote (tại hệ thống xác thực khác : Domain 
 Controller Server hoặc RADIUS Server) 
 GV : Nguyễn Duy 28 
Quản lý truy cập 
q Sau khi đã xác thực thành công, người dùng 
 có khả năng truy cập vào dữ liệu 
q Để tăng mức độ bảo mật cho hệ thống, 
 chúng ta nên có những chính sách sau để 
 quản lý VPN User : 
 Ø Theo dõi hoạt động 
 Ø Phân quyền nghiêm ngặt 
 GV : Nguyễn Duy 29 
Mã hóa dữ liệu 
q Mã hóa dữ liệu là qui trình xóa trộn dữ liệu 
 bên phía người gởi trên đường truyền. 
q Mã hóa được chia thành 2 loại chính 
 Ø Mã hóa đối xứng 
 Ø Mã hóa bất đối xứng 
 GV : Nguyễn Duy 30 
Mã hóa dữ liệu 
q Mã hóa đối xứng : AES, DES, 3DES, RC4 
 GV : Nguyễn Duy 31 
Mã hóa dữ liệu 
q Mã hóa bất đối xứng : Diffie-Hellman và RSA 
 GV : Nguyễn Duy 32 
PKI 
q Các thành phần chính của PKI : 
 Ø Khách hàng PKI 
 Ø Người cấp giấy chứng nhận (CA) 
 Ø Người cấp giấy đăng ký (RA) 
 Ø Các giấy chứng nhận số (Certificate) 
 Ø Hệ thống phân phối các giấy chứng nhận 
 (CDS) 
 GV : Nguyễn Duy 33 
PKI 
q Các giao dịch trên PKI 
 GV : Nguyễn Duy 34 
PKI 
q Mô hình hoạt động của PKI 
 Ø CA đơn 
 Ø Tin cậy giữa 2 CA 
 Ø Thứ bậc 
 Ø Lưới 
 Ø Hỗn hợp 
 GV : Nguyễn Duy 35 
CA đơn 
 GV : Nguyễn Duy 36 
Tin cậy giữa 2 CA 
 GV : Nguyễn Duy 37 
Thứ bậc 
 GV : Nguyễn Duy 38 
Lưới 
 GV : Nguyễn Duy 39 
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
 GV : Nguyễn Duy 40 
Các giao thức đường hầm 
q Giao thức đường hầm lớp 2 
q Giao thức đường hầm lớp 3 
q Giao thức đường hầm lớp 4 
 GV : Nguyễn Duy 41 
Giao thức đường hầm lớp 2 
q Các giao thức phổ biến ở lớp hai: 
 Ø Point-to-Point Tunneling Protocol (PPTP) 
 Ø Layer 2 Forwarding (L2F) 
 Ø Layer 2 Tunneling Protocol (L2TP) 
 GV : Nguyễn Duy 42 
Giao thức đường hầm lớp 2 
 GV : Nguyễn Duy 43 
PPTP 
q PPTP là một giải pháp mạng riêng cho phép 
 bảo mật dữ liệu truyền giữa các máy khách 
 di động và máy chủ bằng cách thiết lập 
 mạng riêng ảo dựa trên nền IP của mạng 
 internet. 
q PPTP được phát triển bởi Microsoft 
 Corporation, Ascend Communications, 
 3COM, US Robotics và ECI Telematics 
q PPTP ( chủ và khách) nhận dữ liệu TCP và 
 IP ở cổng 1723 và cổng 47 
 GV : Nguyễn Duy 44 
PPTP 
q Có hai đặc tính nổi bật đóng vai trò quan 
 trọng trong việc bảo mật của PPTP : 
 Ø Sử dụng mạng chuyển mạch điện thoại 
 công cộng 
 Ø Cung cấp giao thức Non_IP : 
 §  PPTP cũng hỗ trợ để hiện thực các giao thức 
 mạng khác như TCP/IP, IPX, NetBEUI, và 
 NetBIOS 
 GV : Nguyễn Duy 45 
PPTP 
 GV : Nguyễn Duy 46 
PPTP - Encapsulation 
 GV : Nguyễn Duy 47 
PPTP - Decapsulation 
 GV : Nguyễn Duy 48 
Generic Routing Encapsulation 
 GV : Nguyễn Duy 49 
PPTP – bảo mật 
q PPTP đưa ra nhiều cơ chế bảo mật cho máy 
 chủ và máy khách PPTP. Các dịch vụ bảo 
 mật bao gồm : 
 Ø Mã hóa và nén dữ liệu 
 Ø Chứng thực 
 Ø Kiểm soát truy cập 
 Ø Lọc gói 
 GV : Nguyễn Duy 50 
PPTP – bảo mật 
q Mã hóa và nén dữ liệu 
 Ø  PPTP không cung cấp cơ chế mã hóa để bảo mật dữ 
 liệu . PPTP sử dụng dịch vụ mã hóa dữ liệu được 
 cung cấp bởi PPP 
 Ø  PPP sử dụng phương pháp mã hóa điểm tới điểm 
 của Microsoft (MPPE - Microsoft Point-to-Point 
 Encryption) 
 Ø  Phưương pháp mã hóa công khai-bí mật (ID và pass) 
 GV : Nguyễn Duy 51 
PPTP – bảo mật 
q Chứng thực 
 Ø PAP (Password Authentication Protocol) 
 Ø MS-CHAP (Microsoft Challenge Handshake 
 Authentication Protocol) 
q Kiểm soát truy cập 
 q Access Right 
 q Permission 
 GV : Nguyễn Duy 52 
PAP 
 GV : Nguyễn Duy 53 
MS-CHAP 
 GV : Nguyễn Duy 54 
MS-CHAP 
q MS-CHAP là một phiên bản được điều chỉnh 
 từ CHAP của Microsoft 
q MS-CHAP có rất nhiều điểm tương đồng với 
 CHAP nên các chức năng của MS-CHAP 
 cũng tương tự các chức năng của CHAP 
q Điểm khác biệt cơ bản : 
 Ø CHAP sử dụng giải thuật băm MD5 và mã 
 RSA 
 Ø MS-CHAP sử dụng giải thuật băm RC4 và mã 
 DES 
 GV : Nguyễn Duy 55 
PPTP 
q  Ưu điểm : 
 Ø  PPTP là một giải pháp được xây dựng trên nền các sản phẩm 
 của Microsoft 
 Ø  PPTP có thể hỗ trợ các giao thức non-IP 
 Ø  PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, 
 và Apple's Macintosh 
q  Nhược điểm 
 Ø  Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do 
 sử dụng mã hóa với khóa mã phát sinh từ password của user 
 Ø  PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec 
 GV : Nguyễn Duy 56 
Giao thức đường hầm lớp 2 
q Các giao thức phổ biến ở lớp hai: 
 Ø Point-to-Point Tunneling Protocol (PPTP) 
 Ø Layer 2 Forwarding (L2F) 
 Ø Layer 2 Tunneling Protocol (L2TP) 
 GV : Nguyễn Duy 57 
Layer 2 Forwarding 
q Cisco Systems, cùng với Nortel, một trong 
 những doanh nghiệp đứng đầu về thị phần đã 
 bắt đầu đưa ra giải pháp bảo mật có các chức 
 năng 
 Ø Có khả năng bảo mật. 
 Ø Phục vụ truy cập thông qua mạng internet và các 
 mạng công cộng khác. 
 Ø Hỗ trợ kỹ thuật mạng trên diện rộng như ATM, FDDI, 
 IPX, Net-BEUI, và Frame Relay. 
 GV : Nguyễn Duy 58 
Layer 2 Forwarding 
 GV : Nguyễn Duy 59 
Layer 2 Forwarding 
q  Qui trình tạo đường hầm trong L2F : 
 Ø  User từ xa đẩy Frame tới NAS được đặt ở ISP 
 Ø  POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công 
 thêm header, trailer của L2F vào Frame. Framme vừa được đóng gói 
 tiếp tục được gửi đến mạng đích thông qua đường hầm 
 Ø  Gateway của máy chủ mạng nhận các gói được chuyển qua đường 
 hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút 
 đích trong mạng nội bộ 
 Ø  Nút đích xử lý Frame nhận được giống như một Frame bình thường, 
 không thông qua đường hầm 
 GV : Nguyễn Duy 60 
Layer 2 Forwarding 
q Qui trình tạo đường hầm trong L2F : 
 GV : Nguyễn Duy 61 
Layer 2 Forwarding – Bảo mật 
q L2F cung cấp các dịch vụ bảo mật 
 Ø Mã hóa dữ liệu 
 §  L2F sử dụng MPPE (Microsoft Point-to-Point 
 Encryption) cho mục đích mã hóa cơ bản 
 §  L2F sử dụng thêm phương pháp mã hóa dựa trên 
 Internet Protocol Security 
 –  Encapsulating Security Payload (ESP- đóng gói dữ liệu 
 nguồn bảo mật) 
 –  Authentication Header ( AH- header chứng thực). 
 GV : Nguyễn Duy 62 
Layer 2 Forwarding – Bảo mật 
q L2F cung cấp các dịch vụ bảo mật 
 Ø Chứng thực : 
 §  L2F sử dụng PAP để chứng thực máy khách từ xa 
 §  L2F cũng sử dụng quy trình chứng thực sau để 
 tăng cưòng bảo mật dữ liệu: 
 –  CHAP 
 –  L2F còn sử dụng Remote Access Dial-In User Service 
 (RADIUS) và Terminal Access Controller Access 
 Control Service (TACACS) để bổ sung chứng thực 
 GV : Nguyễn Duy 63 
Layer 2 Forwarding 
q Ưu điểm 
 Ø Tăng cường bảo mật 
 Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX, 
 NetBEUI và Frame Relay 
q Nhược điểm 
 Ø Việc chứng thực và mã hóa ở L2F làm cho tốc 
 độ trong đường hầm của L2F thấp hơn so với 
 PPTP 
 GV : Nguyễn Duy 64 
Giao thức đường hầm lớp 2 
q Các giao thức phổ biến ở lớp hai: 
 Ø Point-to-Point Tunneling Protocol (PPTP) 
 Ø Layer 2 Forwarding (L2F) 
 Ø Layer 2 Tunneling Protocol (L2TP) 
 GV : Nguyễn Duy 65 
Layer 2 Tunneling Protocol – L2TP 
q Được phát triển bởi IETF và đượ c ủng hộ bởi 
 các nhà công nghiệp khổng lồ như Cisco 
 Systems, Microsoft, 3COM, và Ascend 
q L2TP là sự kết hợp hai giao thức VPN sơ khởi 
 PPTP và L2F 
q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy 
 cập từ xa hiệu quả của L2F và tốc độ kết nối 
 điểm tới điểm nhanh của PPTP 
 GV : Nguyễn Duy 66 
L2TP 
q Lợi ích : 
 Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, 
 ATM, FFR và PPP 
 Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian 
 hệ thống thông qua Internet và các mạng công 
 cộng khác 
 Ø Việc chứng thực và kiểm quyền L2TP được thực 
 hiện tại gateway của máy chủ. 
 GV : Nguyễn Duy 67 
L2TP - Encapsulation 
 GV : Nguyễn Duy 68 
L2TP - Decapsulation 
 GV : Nguyễn Duy 69 
L2TP – Bảo mật 
q Các phương pháp chứng thực thông dụng 
 của L2TP 
 Ø PAP và SPAP 
 Ø EAP 
 Ø CHAP 
 GV : Nguyễn Duy 70 
L2TP 
q Ưu điểm : 
 Ø L2TP tăng cường bảo mật bằng cách cách mã hóa 
 dữ liệu dựa trên IPSec trên suốt đường hầm và khả 
 năng chưng thực gói của IPSec 
 Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP 
 của mạng WAN mà không cần IP. 
q Khuyết điểm 
 Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc 
 để chứng thực từng gói nhận được 
 GV : Nguyễn Duy 71 
Giao thức đường hầm lớp 3 
 GV : Nguyễn Duy 72 
Giao thức đường hầm lớp 4 
 GV : Nguyễn Duy 73 
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
 GV : Nguyễn Duy 74 
Mô hình 1 
 GV : Nguyễn Duy 75 
Mô hình 2 
 GV : Nguyễn Duy 76 
Mô hình 3 
 GV : Nguyễn Duy 77 
Mô hình 4 
 GV : Nguyễn Duy 78 
Mô hình 5 
 GV : Nguyễn Duy 79 
Mô hình 6 
 GV : Nguyễn Duy 80 
Mô hình 7 
 GV : Nguyễn Duy 81 
Mô hình 8 
 GV : Nguyễn Duy 82 
Mô hình 8 - 1 
 GV : Nguyễn Duy 83 
Mô hình 8 - 2 
 GV : Nguyễn Duy 84