nhom iii vpn 4.11
TRANSCRIPT
VPN
ỘỘNỘI DUNGNỘI DUNG
1.1. GiớiGiới thiệuthiệu
2.2. BảoBảo mậtmật trongtrong VPNVPN
3.3. CácCác giaogiao thứcthức trongtrong VPNVPNgg gg
4.4. VPN VPN -- MPLSMPLS
1. Lịch sử phát triển
VPNs đầu tiên đã được phát sinh bởi AT&T từ cuốihữ ă 80 à đượ biết hư S ft D fi dnhững năm 80 và được biết như Software Defined
Networks (SDNs).Thế hệ thứ hai của VPNs ra đời từ sự xuất hiện củaô hệ X 25 à dị h tí h hợ kỹ th ậtcông nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật
số (Integrated Services Digital Network : ISDN) từđầu những năm 90. Hai công nghệ này cho phéptruyền những dòng gói (package streams) dữ liệutruyền những dòng gói (package streams) dữ liệuqua các mạng chia sẽ chung.Hai công nghệ: Frame Relay (FR) AsynchronousTranfer Mode (ATM) Thế hệ thứ ba của VPNs đãTranfer Mode (ATM). Thế hệ thứ ba của VPNs đãphát triển dựa theo 2 công nghệ này.
1 VPN LÀ GÌ?1. VPN LÀ GÌ?VPN (Virtual Private Network): Mạng riêng áo là một mạngmáy tính trong đó các điểm của khách hàng được kết nốimáy tính, trong đó các điểm của khách hàng được kết nốivới nhau trên một cơ sở hạ tầng chia sẻ với cùng một chínhsách truy nhập và bảo mật như trong mạng riêng
1.2. 1.2. PhânPhân loạiloại
Remote Access VPN ( Client – to – LAN VPN) ( )
1.2. 1.2. PhânPhân loạiloại
Site – to – Site
2. BẢO MẬT TRONG VPN
Lý do:kỹ h ậ d hô đ ề h ếTrong kỹ thuật VPN, do thông tin được truyền qua mạng thiếu an
toàn như mạng Internet thì bảo mật chính là yêu cầu quan trọngnhất. Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuấttrái phép hoặc có khả năng mất mát khi truyền tải VPNs cần cótrái phép hoặc có khả năng mất mát khi truyền tải. VPNs cần cócơ chế mã hóa dữ liệu đủ an toàn.Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN là phảiphù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật víphù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật vídụ như tường lửa, proxy, phần mềm chống vius hay các hệthống bảo mật khác, toàn thể giải pháp cần được quản lý bởi chỉmột ứng dụngmột ứng dụng.
H. Vũ
2 Bảo mật trong VPN2. Bảo mật trong VPNTường lửa (firewall): là rào chắn vững chắc giữa g ( ) g gmạng riêng và Internet. Chúng ta có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Tốt nhất là gói tin và giao thức được chuyển qua. Tốt nhất là cài tường lửa thật tốt trước khi thiết lập VPN.
- Một số sản phẩm dùng cho VPN như router 1700 của Cisco có ộ ố ả p ẩ dù g o ư ou 00 ủa o óthể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp (không nên đưa text – Đưa hình vẽ).)
NX Tình
Bảo mật trong VPNBảo mật trong VPNMật mã truy cập: là khi một máy tính mã ật ã t uy cập à ột áy t ãhóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được.
Có h i l i là ật ã iê à ật ã Có hai loại là mật mã riêng và mật mã chung.+ Mật mã riêng(Symmetric-Key + Mật mã riêng(Symmetric Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tí h khá t Mã iê ê ầ tính khác trong mạng. Mã riêng yêu cầu chúng ta phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. NX Tình
Bảo mật trong VPNBảo mật trong VPN+ Mật mã chung (Public Key Encryption): Kết + Mật mã chung (Public-Key Encryption): Kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của nguời gửi nhận biết, còn mã chung thì do má của người gửi cấp cho bất kỳ má nào thì do máy của người gửi cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung đượ á tí h ồ ấ đồ thời ầ đế được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP) h hé b ã hó hầ hư bất ứ thứ (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. (Tình đưa hình vẽ nhé, phần text in ra thôi)
NX Tình
Bảo mật trong VPNBảo mật trong VPNGiao thức bảo mật giao thức Internet (IPSec):ậ g ( )+ Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.quyền đăng nhập toàn diện hơn.+ IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ.
NX Tình
Bảo mật trong VPNBảo mật trong VPNMáy chủ AAA:Máy chủ AAA:+ AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (t ẩ đị quyề t uy cập), ut o at o(cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích là hết sức cần thiết để theo dõi vì mục đích an toàn.
NX Tình
3. CÁC GIAO THỨC TRONG VPN3. CÁC GIAO THỨC TRONG VPN
Carrier protocol (giao thức sóng mang): Giao thức ểđược dùng để gửi gói tin đường hầm đến đích thông
qua mạng tương tác (giao thức IP).
Encapsulating protocol: Giao thức được dùng để Encapsulating protocol: Giao thức được dùng để đóng gói payload ban đầu, đồng thời đảm nhận chức năng tạo, bảo trì và kết thúc đường hầm (giao thứ PPTP L2TP IPS ) thứcPPTP, L2TP, IPSec).
Passenger protocol: Giao thức được dùng để đóng gói dữ liệu gốc truyền qua đường hầm (giao thức PPP gói dữ liệu gốc truyền qua đường hầm (giao thức PPP, SLIP).
3.1. 3.1. GiaoGiao thứcthức lớplớp 2 2 vàvà lớplớp 3 ???3 ???
Vai trò của các giao thức lớp 2 và 3g p
Tại sao trong VPN lại cài đặt giao thức ở các lớp này
Các giao thức lớp 2 và lớp 3:
Lớp 2: PPP, PPTP, L2F, L2TPLớp 2: PPP, PPTP, L2F, L2TP
Lớp 3: IPSEC
3.2. 3.2. CácCác giaogiao thứcthức lớplớp 22
Application
Presentation
Session
Transportp
Network
Data Link PPTP L2F L2TP
IPSEC,…
Data Link
Physical
PPTP, L2F, L2TP
OSI Model Reference
3.2.1. Giao thức PPP3.2.1. Giao thức PPP
Chức năng: đảm nhận vai trò đóng gói và truyền tải gói Chức năng: đảm nhận vai trò đóng gói và truyền tải gói
dữ liệu IP, non-IP trong mạng thông qua chuỗi liên kết điểm - điểm.
Các chức năng khác:
− Cấu hình và kiểm soát đường truyền được thiết lập
− Đóng gói dữ liệu đồng bộ và bất đồng bộ
− Phát hiện lỗi trong quá trình truyền
− Dồn kênh
− Thỏa thuận các thông số cấu hình gói tin như tỷ lệ nén và địa chỉvà địa chỉ
3.2.1. 3.2.1. GiaoGiao thứcthức PPPPPP
Nguyênắtắc hoạt
động
Định dạnggói tin
3.2.2. 3.2.2. GiaoGiao thứcthức PPTPPPTP
PPTP thực hiện các chức năng:PPTP thực hiện các chức năng:
− Thiết lập và hủy bỏ kết nối giữa các thiết bị truyền thông đầu/cuối truyền thông đầu/cuối
− Chứng thực máy khách PPTP.
Mã hó ói dữ liệ IPX N tBEUI N tBIOS d − Mã hóa gói dữ liệu IPX, NetBEUI, NetBIOS, and TCP/IP để tạo gói dữ liệu PPP.
Các thành phần:
− Máy khách PPTP, Máy chủ PPTP, Máy chủ truy cập mạng từ xa
3.2.2. 3.2.2. GiaoGiao thứcthức PPTPPPTP
Hoạt động: chia làm 3 giai đoạnHoạt động: chia làm 3 giai đoạn
− Giai đoạn 1 - Thiết lập liên kết PPP: tương tựnhư PPPnhư PPP
− Giai đoạn 2 - Kiểm soát kết nối: các thông điệpểkiểm soát kết nối PPTP được đóng gói trong gói
TCP, được truyền theo chu kỳ để phát hiện lỗikết ốikết nối
− Giai đoạn 3: Tạo đường hầm và truyền dữ liệu
Bên gửi Bên nhận
Định dạng gói tin
3.2.2. 3.2.2. GiaoGiao thứcthức PPTPPPTP
Bảo mật PPTP
Chứng thực dữ liệu PPTP: MS – CHAP, PAP
Mã hóa và nén dữ liệu PPTP: MPPE, RSA RC4
Kiểm soát truy cập PPTP: Access rights Kiểm soát truy cập PPTP: Access rights,
Permissions, Access List
PPTP kết hợp với tường lửa và các bộ định tuyến
3.2.2. 3.2.2. GiaoGiao thứcthức PPTPPPTP
Nhận xét (xóa)
Ưu điểm: phổ dụng, hỗ trợ các giao thức non-IP Hỗ trợ nhiều nền tảng khác nhau như Unix IP, Hỗ trợ nhiều nền tảng khác nhau như Unix, Linux, …
Nhượ điể Yê ầ á hủ à á khá h Nhược điểm: Yêu cầu máy chủ và máy khách phải có cấu hình mạnh; Các bộ định tuyến và máy chủ truy cập từ xa cần phải cấu hình trong máy chủ truy cập từ xa cần phải cấu hình trong trường hợp sử dụng các giải pháp định tuyến bằng đường dial-up Bảo mật yếu hơn so với bằng đường dial up. Bảo mật yếu hơn so với L2TP và IPSec;
3.2.3. 3.2.3. GiaoGiao thứcthức L2FL2F
Chức năng:
+ Bảo mật giao tác.
+ Phục vụ truy cập thông qua mạng Internet và các mạngcông cộng khác.
+ Hỗ trợ kỹ thuật mạng diện rộng như ATM, FDDI, IPX, Net-BEUI và Frame RelayBEUI và Frame Relay
+ Hỗ trợ đa kết nối.
Hoạt động của L2F (gồm 2 giai đoạn)ạ ộ g (g g ạ )
+ Thiết lập đường hầm L2F
+ Tạo đường hầm dữ liệu
Giai đoạn I Giai đoạn IIạ
Cấu trúc gói tin
3.2.3. 3.2.3. GiaoGiao thứcthức L2FL2F
Bảo mật L2F Chứng thực dữ liệu L2F: EAP CHAP RADIUS - Chứng thực dữ liệu L2F: EAP, CHAP, RADIUS, TACACS
- Mã hóa dữ liệu L2F: MPPE, mã hóa dựa trênIPSec
Nhận xét: - Ưu điểm: Tăng cường bảo mật, độc lập với ISP, Ưu đ ể ă g cườ g bảo ật, độc ập ớ S ,
hỗ trợ nhiều kỹ thuật mạng: ATM, FDDI, IPX …, hỗ trợ đa kết nối. Nhược điểm: Yêu cầu hình mạnh không cung- Nhược điểm: Yêu cầu hình mạnh, không cungcấp cơ chế kiểm soát luồng, thao tác chứng thựcvà mã hóa ở L2F làm cho tốc độ trong đườngầ ấ ớhầm thấp hơn so với PPTP.
3.2.4. 3.2.4. GiaoGiao thứcthức L2TPL2TP
Giới thiệu − Là sự kết hợp của PPTP và L2F− Hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR
và PPP.− Việc chứng thực và kiểm tra quyền truy nhập L2TP được
thực hiện tại gateway của máy chủ, quy trình thiết lập đường hầm của L2TP nhanh hơn so với L2F. g
− Yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ người sử dụng từ xa hoặc gateway của ISP.
Các thành phầnCác thành phần− Network Access Server (NAS)− Bộ tập kết truy cập L2TP (L2TP Access Concentrators -
C )LACs) − Máy phục vụ mạng L2TP (L2TP Network Server - LNS
3.2.4. 3.2.4. GiaoGiao thứcthức L2TPL2TP
Hoạt động: chia thành 2 giai đoạn
Giai đoạn 1 - Thiết lập đường hầm L2TP
3.2.4. 3.2.4. GiaoGiao thứcthức L2TPL2TP
Giai đoạn 2 - Thiết lập đường hầm dữ liệu, Đóng gói dữ liệu L2TP
Bên gửi
Bên nhận
Bên gửi
3.2.4. 3.2.4. GiaoGiao thứcthức L2TPL2TP
Bảo mật L2TPậ− Chứng thực: PAP, SPAP, EAP, CHAP, IPSec− Mã hóa dữ liệu: ECP
Nhận xét:− Ưu điểm− Nhược điểm
3.2.5. 3.2.5. CácCác giaogiao thứcthức lớplớp 22
Feature PPTP L2F L2TPHỗ trợ đa giao thức Có Có CóHỗ trợ đa liên kết PPP Không Có CóHỗ trợ đa kết nối trên đường hầm Không Có Có
Các chế độ làm việc được hỗ trợ Incoming & Outgoing Incoming Incomingg g g g g
Chế độ đường hầm được hỗ trợ Voluntary Voluntary & Compulsory
Voluntary & Compulsory
Giao thức IP/GRE IP/UDP, IP/FR, IP/UDP, IP/FR, Giao thức IP/GRE IP/ATM IP/ATM
Giao thức kiểm soát TCP, Port: 1723 UDP, Port: 1701 UDP, Port: 1701
CHAP, PAP,
Phương pháp chứng thực MS-CHAP, PAP
C , ,SPAP, EAP,
IPSec, RADIUS RADIUS & &
TACACS
CHAP, PAP, SPAP, EAP,
IPSec, TACACS
Phương pháp mã hóa MPPE MPPE, IPSec MPPE, IPSec, ECP
3.3. 3.3. GiaoGiao thứcthức lớplớp 33
Điệp bổ sung nhéệp g
3.3. 3.3. GiaoGiao thứcthức lớplớp 33
Điệp bổ sung nhéệp g
3.3. 3.3. GiaoGiao thứcthức lớplớp 33
Điệp bổ sung nhéệp g
2. VPN - MPLS
??? 2-3 slide
2. VPN - MPLS
??? 2-3 slide
2. VPN - MPLS
??? 2-3 slide