nhom iii vpn 4.11

VPN

ỘỘNỘI DUNGNỘI DUNG

1.1. GiớiGiới thiệuthiệu

2.2. BảoBảo mậtmật trongtrong VPNVPN

3.3. CácCác giaogiao thứcthức trongtrong VPNVPNgg gg

4.4. VPN VPN -- MPLSMPLS

1. Lịch sử phát triển

VPNs đầu tiên đã được phát sinh bởi AT&T từ cuốihữ ă 80 à đượ biết hư S ft D fi dnhững năm 80 và được biết như Software Defined

Networks (SDNs).Thế hệ thứ hai của VPNs ra đời từ sự xuất hiện củaô hệ X 25 à dị h tí h hợ kỹ th ậtcông nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật

số (Integrated Services Digital Network : ISDN) từđầu những năm 90. Hai công nghệ này cho phéptruyền những dòng gói (package streams) dữ liệutruyền những dòng gói (package streams) dữ liệuqua các mạng chia sẽ chung.Hai công nghệ: Frame Relay (FR) AsynchronousTranfer Mode (ATM) Thế hệ thứ ba của VPNs đãTranfer Mode (ATM). Thế hệ thứ ba của VPNs đãphát triển dựa theo 2 công nghệ này.

1 VPN LÀ GÌ?1. VPN LÀ GÌ?VPN (Virtual Private Network): Mạng riêng áo là một mạngmáy tính trong đó các điểm của khách hàng được kết nốimáy tính, trong đó các điểm của khách hàng được kết nốivới nhau trên một cơ sở hạ tầng chia sẻ với cùng một chínhsách truy nhập và bảo mật như trong mạng riêng

1.2. 1.2. PhânPhân loạiloại

Remote Access VPN ( Client – to – LAN VPN) ( )

1.2. 1.2. PhânPhân loạiloại

Site – to – Site

2. BẢO MẬT TRONG VPN

Lý do:kỹ h ậ d hô đ ề h ếTrong kỹ thuật VPN, do thông tin được truyền qua mạng thiếu an

toàn như mạng Internet thì bảo mật chính là yêu cầu quan trọngnhất. Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuấttrái phép hoặc có khả năng mất mát khi truyền tải VPNs cần cótrái phép hoặc có khả năng mất mát khi truyền tải. VPNs cần cócơ chế mã hóa dữ liệu đủ an toàn.Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN là phảiphù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật víphù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật vídụ như tường lửa, proxy, phần mềm chống vius hay các hệthống bảo mật khác, toàn thể giải pháp cần được quản lý bởi chỉmột ứng dụngmột ứng dụng.

H. Vũ

2 Bảo mật trong VPN2. Bảo mật trong VPNTường lửa (firewall): là rào chắn vững chắc giữa g ( ) g gmạng riêng và Internet. Chúng ta có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Tốt nhất là gói tin và giao thức được chuyển qua. Tốt nhất là cài tường lửa thật tốt trước khi thiết lập VPN.

- Một số sản phẩm dùng cho VPN như router 1700 của Cisco có ộ ố ả p ẩ dù g o ư ou 00 ủa o óthể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp (không nên đưa text – Đưa hình vẽ).)

NX Tình

Bảo mật trong VPNBảo mật trong VPNMật mã truy cập: là khi một máy tính mã ật ã t uy cập à ột áy t ãhóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được.

Có h i l i là ật ã iê à ật ã Có hai loại là mật mã riêng và mật mã chung.+ Mật mã riêng(Symmetric-Key + Mật mã riêng(Symmetric Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tí h khá t Mã iê ê ầ tính khác trong mạng. Mã riêng yêu cầu chúng ta phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. NX Tình

Bảo mật trong VPNBảo mật trong VPN+ Mật mã chung (Public Key Encryption): Kết + Mật mã chung (Public-Key Encryption): Kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của nguời gửi nhận biết, còn mã chung thì do má của người gửi cấp cho bất kỳ má nào thì do máy của người gửi cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung đượ á tí h ồ ấ đồ thời ầ đế được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP) h hé b ã hó hầ hư bất ứ thứ (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. (Tình đưa hình vẽ nhé, phần text in ra thôi)

NX Tình

Bảo mật trong VPNBảo mật trong VPNGiao thức bảo mật giao thức Internet (IPSec):ậ g ( )+ Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.quyền đăng nhập toàn diện hơn.+ IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ.

NX Tình

Bảo mật trong VPNBảo mật trong VPNMáy chủ AAA:Máy chủ AAA:+ AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (t ẩ đị quyề t uy cập), ut o at o(cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích là hết sức cần thiết để theo dõi vì mục đích an toàn.

NX Tình

3. CÁC GIAO THỨC TRONG VPN3. CÁC GIAO THỨC TRONG VPN

Carrier protocol (giao thức sóng mang): Giao thức ểđược dùng để gửi gói tin đường hầm đến đích thông

qua mạng tương tác (giao thức IP).

Encapsulating protocol: Giao thức được dùng để Encapsulating protocol: Giao thức được dùng để đóng gói payload ban đầu, đồng thời đảm nhận chức năng tạo, bảo trì và kết thúc đường hầm (giao thứ PPTP L2TP IPS ) thứcPPTP, L2TP, IPSec).

Passenger protocol: Giao thức được dùng để đóng gói dữ liệu gốc truyền qua đường hầm (giao thức PPP gói dữ liệu gốc truyền qua đường hầm (giao thức PPP, SLIP).

3.1. 3.1. GiaoGiao thứcthức lớplớp 2 2 vàvà lớplớp 3 ???3 ???

Vai trò của các giao thức lớp 2 và 3g p

Tại sao trong VPN lại cài đặt giao thức ở các lớp này

Các giao thức lớp 2 và lớp 3:

Lớp 2: PPP, PPTP, L2F, L2TPLớp 2: PPP, PPTP, L2F, L2TP

Lớp 3: IPSEC

3.2. 3.2. CácCác giaogiao thứcthức lớplớp 22

Application

Presentation

Session

Transportp

Network

Data Link PPTP L2F L2TP

IPSEC,…

Data Link

Physical

PPTP, L2F, L2TP

OSI Model Reference

3.2.1. Giao thức PPP3.2.1. Giao thức PPP

Chức năng: đảm nhận vai trò đóng gói và truyền tải gói Chức năng: đảm nhận vai trò đóng gói và truyền tải gói

dữ liệu IP, non-IP trong mạng thông qua chuỗi liên kết điểm - điểm.

Các chức năng khác:

− Cấu hình và kiểm soát đường truyền được thiết lập

− Đóng gói dữ liệu đồng bộ và bất đồng bộ

− Phát hiện lỗi trong quá trình truyền

− Dồn kênh

− Thỏa thuận các thông số cấu hình gói tin như tỷ lệ nén và địa chỉvà địa chỉ

3.2.1. 3.2.1. GiaoGiao thứcthức PPPPPP

Nguyênắtắc hoạt

động

Định dạnggói tin

3.2.2. 3.2.2. GiaoGiao thứcthức PPTPPPTP

PPTP thực hiện các chức năng:PPTP thực hiện các chức năng:

− Thiết lập và hủy bỏ kết nối giữa các thiết bị truyền thông đầu/cuối truyền thông đầu/cuối

− Chứng thực máy khách PPTP.

Mã hó ói dữ liệ IPX N tBEUI N tBIOS d − Mã hóa gói dữ liệu IPX, NetBEUI, NetBIOS, and TCP/IP để tạo gói dữ liệu PPP.

Các thành phần:

− Máy khách PPTP, Máy chủ PPTP, Máy chủ truy cập mạng từ xa


Hoạt động: chia làm 3 giai đoạnHoạt động: chia làm 3 giai đoạn

− Giai đoạn 1 - Thiết lập liên kết PPP: tương tựnhư PPPnhư PPP

− Giai đoạn 2 - Kiểm soát kết nối: các thông điệpểkiểm soát kết nối PPTP được đóng gói trong gói

TCP, được truyền theo chu kỳ để phát hiện lỗikết ốikết nối

− Giai đoạn 3: Tạo đường hầm và truyền dữ liệu

Bên gửi Bên nhận

Định dạng gói tin


Bảo mật PPTP

Chứng thực dữ liệu PPTP: MS – CHAP, PAP

Mã hóa và nén dữ liệu PPTP: MPPE, RSA RC4

Kiểm soát truy cập PPTP: Access rights Kiểm soát truy cập PPTP: Access rights,

Permissions, Access List

PPTP kết hợp với tường lửa và các bộ định tuyến


Nhận xét (xóa)

Ưu điểm: phổ dụng, hỗ trợ các giao thức non-IP Hỗ trợ nhiều nền tảng khác nhau như Unix IP, Hỗ trợ nhiều nền tảng khác nhau như Unix, Linux, …

Nhượ điể Yê ầ á hủ à á khá h Nhược điểm: Yêu cầu máy chủ và máy khách phải có cấu hình mạnh; Các bộ định tuyến và máy chủ truy cập từ xa cần phải cấu hình trong máy chủ truy cập từ xa cần phải cấu hình trong trường hợp sử dụng các giải pháp định tuyến bằng đường dial-up Bảo mật yếu hơn so với bằng đường dial up. Bảo mật yếu hơn so với L2TP và IPSec;

3.2.3. 3.2.3. GiaoGiao thứcthức L2FL2F

Chức năng:

+ Bảo mật giao tác.

+ Phục vụ truy cập thông qua mạng Internet và các mạngcông cộng khác.

+ Hỗ trợ kỹ thuật mạng diện rộng như ATM, FDDI, IPX, Net-BEUI và Frame RelayBEUI và Frame Relay

+ Hỗ trợ đa kết nối.

Hoạt động của L2F (gồm 2 giai đoạn)ạ ộ g (g g ạ )

+ Thiết lập đường hầm L2F

+ Tạo đường hầm dữ liệu

Giai đoạn I Giai đoạn IIạ

Cấu trúc gói tin

3.2.3. 3.2.3. GiaoGiao thứcthức L2FL2F

Bảo mật L2F Chứng thực dữ liệu L2F: EAP CHAP RADIUS - Chứng thực dữ liệu L2F: EAP, CHAP, RADIUS, TACACS

- Mã hóa dữ liệu L2F: MPPE, mã hóa dựa trênIPSec

Nhận xét: - Ưu điểm: Tăng cường bảo mật, độc lập với ISP, Ưu đ ể ă g cườ g bảo ật, độc ập ớ S ,

hỗ trợ nhiều kỹ thuật mạng: ATM, FDDI, IPX …, hỗ trợ đa kết nối. Nhược điểm: Yêu cầu hình mạnh không cung- Nhược điểm: Yêu cầu hình mạnh, không cungcấp cơ chế kiểm soát luồng, thao tác chứng thựcvà mã hóa ở L2F làm cho tốc độ trong đườngầ ấ ớhầm thấp hơn so với PPTP.

3.2.4. 3.2.4. GiaoGiao thứcthức L2TPL2TP

Giới thiệu − Là sự kết hợp của PPTP và L2F− Hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR

và PPP.− Việc chứng thực và kiểm tra quyền truy nhập L2TP được

thực hiện tại gateway của máy chủ, quy trình thiết lập đường hầm của L2TP nhanh hơn so với L2F. g

− Yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ người sử dụng từ xa hoặc gateway của ISP.

Các thành phầnCác thành phần− Network Access Server (NAS)− Bộ tập kết truy cập L2TP (L2TP Access Concentrators -

C )LACs) − Máy phục vụ mạng L2TP (L2TP Network Server - LNS


Hoạt động: chia thành 2 giai đoạn

Giai đoạn 1 - Thiết lập đường hầm L2TP


Giai đoạn 2 - Thiết lập đường hầm dữ liệu, Đóng gói dữ liệu L2TP

Bên gửi

Bên nhận

Bên gửi


Bảo mật L2TPậ− Chứng thực: PAP, SPAP, EAP, CHAP, IPSec− Mã hóa dữ liệu: ECP

Nhận xét:− Ưu điểm− Nhược điểm

3.2.5. 3.2.5. CácCác giaogiao thứcthức lớplớp 22

Feature PPTP L2F L2TPHỗ trợ đa giao thức Có Có CóHỗ trợ đa liên kết PPP Không Có CóHỗ trợ đa kết nối trên đường hầm Không Có Có

Các chế độ làm việc được hỗ trợ Incoming & Outgoing Incoming Incomingg g g g g

Chế độ đường hầm được hỗ trợ Voluntary Voluntary & Compulsory

Voluntary & Compulsory

Giao thức IP/GRE IP/UDP, IP/FR, IP/UDP, IP/FR, Giao thức IP/GRE IP/ATM IP/ATM

Giao thức kiểm soát TCP, Port: 1723 UDP, Port: 1701 UDP, Port: 1701

CHAP, PAP,

Phương pháp chứng thực MS-CHAP, PAP

C , ,SPAP, EAP,

IPSec, RADIUS RADIUS & &

TACACS

CHAP, PAP, SPAP, EAP,

IPSec, TACACS

Phương pháp mã hóa MPPE MPPE, IPSec MPPE, IPSec, ECP

3.3. 3.3. GiaoGiao thứcthức lớplớp 33

Điệp bổ sung nhéệp g

2. VPN - MPLS

??? 2-3 slide

nhom iii vpn 4.11

Documents