Bài giảng An toàn mạng máy tính nâng cao - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy

pdf 84 trang ngocly 40
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng An toàn mạng máy tính nâng cao - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_an_toan_mang_may_tinh_nang_cao_chuong_1_thiet_ke_v.pdf

Nội dung text: Bài giảng An toàn mạng máy tính nâng cao - Chương 1: Thiết kế và triển khai VPN - Nguyễn Duy

  1. CHƯƠNG 01 Thiết Kế và Triển Khai VPN q Giảng Viên : Ths.Nguyễn Duy q Email : [email protected] GV : Nguyễn Duy 1
  2. Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 2
  3. Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 3
  4. Chương 1 : Giới thiệu VPN q VPN là gì ? q Những lợi ích của VPN q Những yêu cầu của VPN GV : Nguyễn Duy 4
  5. VPN là gì ? Chương 1 : Giới thiệu VPN q VPN là từ viết tắt Virtual Private Network Ø Virtual ? Ø Private ? Ø Network ? q Phân biệt Private Network với Virtual Private Network GV : Nguyễn Duy 5
  6. Những lợi ích của VPN Chương 1 : Giới thiệu VPN q Bảo mật dữ liệu trên mạng WAN Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu Ø Tăng cường bảo mật với các phương pháp mã hóa, xác thực và ủy quyền q Giảm chi phí thiết lập Ø VPN có giá thành thấp hơn ISDN, ATM và Frame Relay GV : Nguyễn Duy 6
  7. Những lợi ích của VPN Chương 1 : Giới thiệu VPN q Giảm chi phí vận hành Ø Nhân công Ø Chi phí chi trả cho ISP hàng tháng để duy trì q Nâng cao kết nối Ø Kết nối mọi nơi và mọi lúc q Nâng cấp dễ dàng GV : Nguyễn Duy 7
  8. Những yêu cầu của VPN Chương 1 : Giới thiệu VPN q Tính an toàn Ø Theo dõi hoạt động của User VPN Ø Phân vùng hoạt động của User VPN Ø Tách biệt User VPN với User trong Domain Ø q Tính sẵn sàng và sự tin cậy Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP GV : Nguyễn Duy 8
  9. Những yêu cầu của VPN Chương 1 : Giới thiệu VPN q Chất lượng dịch vụ Ø Latency Ø Throughput q Cam kết của nhà cung cấp dịch vụ GV : Nguyễn Duy 9
  10. Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các vấn đề chính của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 10
  11. Các thành phần của VPN q Qui trình hoạt động của VPN q Các thành phần của VPN q Mô hình hoạt động của VPN GV : Nguyễn Duy 11
  12. Qui trình hoạt động của VPN Các thành phần của VPN VPN Server Domain Controller VPN Client VPN client calls the VPN server authenticates 1 VPN server 3 and authorizes the client VPN server VPN server transfers 2 answers the call 4 data GV : Nguyễn Duy 12
  13. Các thành phần của VPN Các thành phần của VPN VPN Tunnel Tunneling Protocols VPN Tunneled Data Server VPN Client Domain Controller Transit Network Authentication DHCP Server Address and Name Server Allocation GV : Nguyễn Duy 13
  14. Các thành phần của VPN Các thành phần của VPN q VPN Server : Ø Lắng nghe yêu cầu kết nối của VPN Client Ø Xác thực thông tin kết nối của User Ø Cung cấp cơ chế mã hóa dữ liệu Ø q VPN Client : Ø Kết nối tới VPN Server Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được VPN Server yêu cầu GV : Nguyễn Duy 14
  15. Các thành phần của VPN Các thành phần của VPN q VPN Tunnel : Ø VPN Tunnel là gì ? Ø Các thành phần kĩ thuật của Tunnel ? Ø Hoạt động của kĩ thuật đường hầm Ø Định dạng gói tin trong Tunnel Ø Phân loại Tunnel GV : Nguyễn Duy 15
  16. VPN Tunnel Các thành phần của VPN q VPN Tunnel là gì ? Ø Cho phép tạo mạng riêng ngay trên mạng internet hoặc các mạng công cộng khác Ø Tạo và bảo trì kết nối logic giữa VPN Client và VPN Server GV : Nguyễn Duy 16
  17. VPN Tunnel Các thành phần của VPN q Các thành phần kĩ thuật của Tunnel : Ø Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy khách ( home network ) Ø Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người dùng di động hoặc người trong mạng nội bộ Ø Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu thiết lập đường hầm Ø Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ HA tại mạng đích. GV : Nguyễn Duy 17
  18. VPN Tunnel q Hoạt động của kĩ thuật đường hầm : Ø Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi HA xem tính hợp pháp của nó GV : Nguyễn Duy 18
  19. VPN Tunnel q Hoạt động của kĩ thuật đường hầm : Ø Pha II : Dữ liệu sẽ được truyền trong đường hầm GV : Nguyễn Duy 19
  20. VPN Tunnel q Định dạng gói tin trong Tunnel : GV : Nguyễn Duy 20
  21. VPN Tunnel q Phân loại Tunnel : Ø Voluntary Tunnel GV : Nguyễn Duy 21
  22. VPN Tunnel q Phân loại Tunnel : Ø Compulsory Tunel GV : Nguyễn Duy 22
  23. Mô hình hoạt động của VPN q Remote Access GV : Nguyễn Duy 23
  24. Mô hình hoạt động của VPN q Site-to-Site GV : Nguyễn Duy 24
  25. Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 25
  26. Bảo mật trong VPN q Xác thực người dùng và quản lý truy cập q Mã hóa dữ liệu q Hạ tầng mã hóa công khai GV : Nguyễn Duy 26
  27. Xác thực người dùng và quản lý truy cập GV : Nguyễn Duy 27
  28. User authentication q Xác thực người dùng (User authentication) : là cơ chế xác nhận tính hợp lệ của người dùng trong mạng riêng ảo q Các dạng xác thực : Ø Local (tại VPN Server) Ø Remote (tại hệ thống xác thực khác : Domain Controller Server hoặc RADIUS Server) GV : Nguyễn Duy 28
  29. Quản lý truy cập q Sau khi đã xác thực thành công, người dùng có khả năng truy cập vào dữ liệu q Để tăng mức độ bảo mật cho hệ thống, chúng ta nên có những chính sách sau để quản lý VPN User : Ø Theo dõi hoạt động Ø Phân quyền nghiêm ngặt GV : Nguyễn Duy 29
  30. Mã hóa dữ liệu q Mã hóa dữ liệu là qui trình xóa trộn dữ liệu bên phía người gởi trên đường truyền. q Mã hóa được chia thành 2 loại chính Ø Mã hóa đối xứng Ø Mã hóa bất đối xứng GV : Nguyễn Duy 30
  31. Mã hóa dữ liệu q Mã hóa đối xứng : AES, DES, 3DES, RC4 GV : Nguyễn Duy 31
  32. Mã hóa dữ liệu q Mã hóa bất đối xứng : Diffie-Hellman và RSA GV : Nguyễn Duy 32
  33. PKI q Các thành phần chính của PKI : Ø Khách hàng PKI Ø Người cấp giấy chứng nhận (CA) Ø Người cấp giấy đăng ký (RA) Ø Các giấy chứng nhận số (Certificate) Ø Hệ thống phân phối các giấy chứng nhận (CDS) GV : Nguyễn Duy 33
  34. PKI q Các giao dịch trên PKI GV : Nguyễn Duy 34
  35. PKI q Mô hình hoạt động của PKI Ø CA đơn Ø Tin cậy giữa 2 CA Ø Thứ bậc Ø Lưới Ø Hỗn hợp GV : Nguyễn Duy 35
  36. CA đơn GV : Nguyễn Duy 36
  37. Tin cậy giữa 2 CA GV : Nguyễn Duy 37
  38. Thứ bậc GV : Nguyễn Duy 38
  39. Lưới GV : Nguyễn Duy 39
  40. Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 40
  41. Các giao thức đường hầm q Giao thức đường hầm lớp 2 q Giao thức đường hầm lớp 3 q Giao thức đường hầm lớp 4 GV : Nguyễn Duy 41
  42. Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV : Nguyễn Duy 42
  43. Giao thức đường hầm lớp 2 GV : Nguyễn Duy 43
  44. PPTP q PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các máy khách di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP của mạng internet. q PPTP được phát triển bởi Microsoft Corporation, Ascend Communications, 3COM, US Robotics và ECI Telematics q PPTP ( chủ và khách) nhận dữ liệu TCP và IP ở cổng 1723 và cổng 47 GV : Nguyễn Duy 44
  45. PPTP q Có hai đặc tính nổi bật đóng vai trò quan trọng trong việc bảo mật của PPTP : Ø Sử dụng mạng chuyển mạch điện thoại công cộng Ø Cung cấp giao thức Non_IP : § PPTP cũng hỗ trợ để hiện thực các giao thức mạng khác như TCP/IP, IPX, NetBEUI, và NetBIOS GV : Nguyễn Duy 45
  46. PPTP GV : Nguyễn Duy 46
  47. PPTP - Encapsulation GV : Nguyễn Duy 47
  48. PPTP - Decapsulation GV : Nguyễn Duy 48
  49. Generic Routing Encapsulation GV : Nguyễn Duy 49
  50. PPTP – bảo mật q PPTP đưa ra nhiều cơ chế bảo mật cho máy chủ và máy khách PPTP. Các dịch vụ bảo mật bao gồm : Ø Mã hóa và nén dữ liệu Ø Chứng thực Ø Kiểm soát truy cập Ø Lọc gói GV : Nguyễn Duy 50
  51. PPTP – bảo mật q Mã hóa và nén dữ liệu Ø PPTP không cung cấp cơ chế mã hóa để bảo mật dữ liệu . PPTP sử dụng dịch vụ mã hóa dữ liệu được cung cấp bởi PPP Ø PPP sử dụng phương pháp mã hóa điểm tới điểm của Microsoft (MPPE - Microsoft Point-to-Point Encryption) Ø Phưương pháp mã hóa công khai-bí mật (ID và pass) GV : Nguyễn Duy 51
  52. PPTP – bảo mật q Chứng thực Ø PAP (Password Authentication Protocol) Ø MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) q Kiểm soát truy cập q Access Right q Permission GV : Nguyễn Duy 52
  53. PAP GV : Nguyễn Duy 53
  54. MS-CHAP GV : Nguyễn Duy 54
  55. MS-CHAP q MS-CHAP là một phiên bản được điều chỉnh từ CHAP của Microsoft q MS-CHAP có rất nhiều điểm tương đồng với CHAP nên các chức năng của MS-CHAP cũng tương tự các chức năng của CHAP q Điểm khác biệt cơ bản : Ø CHAP sử dụng giải thuật băm MD5 và mã RSA Ø MS-CHAP sử dụng giải thuật băm RC4 và mã DES GV : Nguyễn Duy 55
  56. PPTP q Ưu điểm : Ø PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft Ø PPTP có thể hỗ trợ các giao thức non-IP Ø PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh q Nhược điểm Ø Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với khóa mã phát sinh từ password của user Ø PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec GV : Nguyễn Duy 56
  57. Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV : Nguyễn Duy 57
  58. Layer 2 Forwarding q Cisco Systems, cùng với Nortel, một trong những doanh nghiệp đứng đầu về thị phần đã bắt đầu đưa ra giải pháp bảo mật có các chức năng Ø Có khả năng bảo mật. Ø Phục vụ truy cập thông qua mạng internet và các mạng công cộng khác. Ø Hỗ trợ kỹ thuật mạng trên diện rộng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay. GV : Nguyễn Duy 58
  59. Layer 2 Forwarding GV : Nguyễn Duy 59
  60. Layer 2 Forwarding q Qui trình tạo đường hầm trong L2F : Ø User từ xa đẩy Frame tới NAS được đặt ở ISP Ø POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công thêm header, trailer của L2F vào Frame. Framme vừa được đóng gói tiếp tục được gửi đến mạng đích thông qua đường hầm Ø Gateway của máy chủ mạng nhận các gói được chuyển qua đường hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút đích trong mạng nội bộ Ø Nút đích xử lý Frame nhận được giống như một Frame bình thường, không thông qua đường hầm GV : Nguyễn Duy 60
  61. Layer 2 Forwarding q Qui trình tạo đường hầm trong L2F : GV : Nguyễn Duy 61
  62. Layer 2 Forwarding – Bảo mật q L2F cung cấp các dịch vụ bảo mật Ø Mã hóa dữ liệu § L2F sử dụng MPPE (Microsoft Point-to-Point Encryption) cho mục đích mã hóa cơ bản § L2F sử dụng thêm phương pháp mã hóa dựa trên Internet Protocol Security – Encapsulating Security Payload (ESP- đóng gói dữ liệu nguồn bảo mật) – Authentication Header ( AH- header chứng thực). GV : Nguyễn Duy 62
  63. Layer 2 Forwarding – Bảo mật q L2F cung cấp các dịch vụ bảo mật Ø Chứng thực : § L2F sử dụng PAP để chứng thực máy khách từ xa § L2F cũng sử dụng quy trình chứng thực sau để tăng cưòng bảo mật dữ liệu: – CHAP – L2F còn sử dụng Remote Access Dial-In User Service (RADIUS) và Terminal Access Controller Access Control Service (TACACS) để bổ sung chứng thực GV : Nguyễn Duy 63
  64. Layer 2 Forwarding q Ưu điểm Ø Tăng cường bảo mật Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX, NetBEUI và Frame Relay q Nhược điểm Ø Việc chứng thực và mã hóa ở L2F làm cho tốc độ trong đường hầm của L2F thấp hơn so với PPTP GV : Nguyễn Duy 64
  65. Giao thức đường hầm lớp 2 q Các giao thức phổ biến ở lớp hai: Ø Point-to-Point Tunneling Protocol (PPTP) Ø Layer 2 Forwarding (L2F) Ø Layer 2 Tunneling Protocol (L2TP) GV : Nguyễn Duy 65
  66. Layer 2 Tunneling Protocol – L2TP q Được phát triển bởi IETF và đượ c ủng hộ bởi các nhà công nghiệp khổng lồ như Cisco Systems, Microsoft, 3COM, và Ascend q L2TP là sự kết hợp hai giao thức VPN sơ khởi PPTP và L2F q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP GV : Nguyễn Duy 66
  67. L2TP q Lợi ích : Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet và các mạng công cộng khác Ø Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ. GV : Nguyễn Duy 67
  68. L2TP - Encapsulation GV : Nguyễn Duy 68
  69. L2TP - Decapsulation GV : Nguyễn Duy 69
  70. L2TP – Bảo mật q Các phương pháp chứng thực thông dụng của L2TP Ø PAP và SPAP Ø EAP Ø CHAP GV : Nguyễn Duy 70
  71. L2TP q Ưu điểm : Ø L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chưng thực gói của IPSec Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN mà không cần IP. q Khuyết điểm Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói nhận được GV : Nguyễn Duy 71
  72. Giao thức đường hầm lớp 3 GV : Nguyễn Duy 72
  73. Giao thức đường hầm lớp 4 GV : Nguyễn Duy 73
  74. Nội dung q Chương 1 : Giới thiệu VPN q Chương 2 : Các thành phần của VPN q Chương 3 : Bảo mật trong VPN q Chương 4 : Các giao thức đường hầm q Chương 5 : Thiết kế VPN GV : Nguyễn Duy 74
  75. Mô hình 1 GV : Nguyễn Duy 75
  76. Mô hình 2 GV : Nguyễn Duy 76
  77. Mô hình 3 GV : Nguyễn Duy 77
  78. Mô hình 4 GV : Nguyễn Duy 78
  79. Mô hình 5 GV : Nguyễn Duy 79
  80. Mô hình 6 GV : Nguyễn Duy 80
  81. Mô hình 7 GV : Nguyễn Duy 81
  82. Mô hình 8 GV : Nguyễn Duy 82
  83. Mô hình 8 - 1 GV : Nguyễn Duy 83
  84. Mô hình 8 - 2 GV : Nguyễn Duy 84