Embed Size (px)
Citation preview
1
COMP1049 – Computer & Network Security
Virtual Private Network – VPN
Luong Tran Hy Hien, Lecturer of FIT, HCMUP
What is a VPN?
http://www.3linkserver.com/images/themes/3link/vpn_image.gif
VPN Solutions for Campus
Giới thiệu
• Mạng riêng ảo – VPN (Virtual Private Network)
là gì ?
– Là một mạng riêng sử dụng hệ thống mạng công
cộng (thường là Internet) để kết nối các địa điểm
hoặc người sử dụng từ xa với một mạng LAN ở trụ sở
trung tâm.
• Giải pháp VPN:
– Thiết kế cho những tổ chức có xu hướng tăng cường
thông tin từ xa vì địa bàn hoạt động rộng (trên toàn
quốc hay toàn cầu).
– Tài nguyên ở trung tâm có thể kết nối đến từ nhiều
nguồn nên tiết kiệm được được chi phí và thời gian.
Giới thiệu
Một mạng VPN điển hình bao gồm:1. Mạng LAN chính tại trụ sở (Văn phòng chính),
2. Cácmạng LAN khác tại những văn phòng từ xa
3. Các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng
(Nhân viên di động) truy cập đến từ bên ngoài.
Ví dụ: VPN-1 POWER CỦA CHECKPOINT
Các loại VPN phổ biến hiện nay
• Gồm hai loại :
– VPN truy cập từ xa (Remote-Access VPN)
– VPN điểm-nối-điểm (site-to-site VPN)
• Hầu hết các VPN dựa vào kỹ thuật Tunneling để tạo ra
một mạng riêng trên nền Internet.
– Là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu
đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng
trung gian theo những "đường ống" riêng (tunnel).
– Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
• Giao thức truyền tải (Carrier Protocol): là giao thức được sử dụng bởi mạng
có thông tin đang đi qua.
• Giao thức mã hóa dữ liệu (Encapsulating Protocol): là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
• Giao thức gói tin (Passenger Protocol): là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP).
VPN site to site
INTERNET
VPN
Gateway
VPN
Gateway
Head
Quarters Branch
VPN điểm-nối-điểm (site-to-site VPN)
• Sử dụng mật mã dành cho nhiều người để kết nối nhiều điểmcố định với nhau thông qua một mạng công cộng nhưInternet.
• Giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin(Passenger Protocol) để truyền đi trên giao thức truyền tải(Carier Protocol).
• Phân loại dựa trên Intranet hoặc Extranet.– Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa
muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ramột VPN intranet (VPN nội bộ) để nối LAN với LAN.
– Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiếtvới một công ty khác (ví dụ như đối tác cung cấp, khách hàng...),họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nốiLAN với LAN để nhiều tổ chức khác nhau có thể làm việc trênmột môi trường chung.
VPN điểm-nối-điểm (site-to-site VPN)
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính
qua máy chủ truy cập, tới router (tại đây giao thức mã hóa định tuyến GRE-Generic Routing Encapsulation diễn ra), qua Tunnel để tới máy tính của văn
phòng từ xa.
Intranet VPN
Extranet VPN
Remote Access VPN
VPN truy cập từ xa (Remote-Access VPN)
• Còn gọi là mạng Dial-up riêng ảo (VPDN).
• Dùng giao thức điểm-nối-điểm PPP (Point-to-Point
Protocol)
• Là một kết nối người dùng-đến-LAN, xuất phát từ nhu
cầu của một tổ chức có nhiều nhân viên cần liên hệ với
mạng riêng của công ty mình từ rất nhiều địa điểm ở xa.
– Ví dụ:• Công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung
cấp dịch vụ doanh nghiệp (ESP).
• ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho
những người sử dụng từ xa một phần mềm máy khách cho máy tính
của họ.
• Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với
NAS và dùng phần mềm VPN máy khách để truy cập vào mạng
riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có
mật mã.
Bảo mật trong VPN
• Tường lửa (firewall): là rào chắn vững chắc giữa mạng
riêng và Internet.
– Có thể thiết lập các tường lửa để hạn chế số lượng
cổng mở, loại gói tin và giao thức được chuyển qua.
– Nên cài tường lửa thật tốt trước khi thiết lập VPN.
– VD: Một số sản phẩm dùng cho VPN như router 1700
của Cisco có thể nâng cấp để gộp những tính năng
của tường lửa bằng cách chạy hệ điều hành Internet
Cisco IOS thích hợp.
Bảo mật trong VPN
• Bảo mật giao thức Internet (IPSec): cung cấp những
tính năng an ninh cao cấp như các thuật toán mã hóa tốt
hơn, quá trình thẩm định quyền đăng nhập toàn diện
hơn.
– IPSec có hai cơ chế mã hóa là Tunnel và Transport.
Tunnel mã hóa tiêu đề (header) và kích thước của mỗi
gói tin còn Transport chỉ mã hóa kích thước.
– Những hệ thống có hỗ trợ IPSec mới có thể tận dụng
được giao thức này.
– Tất cả các thiết bị phải sử dụng một mã khóa chung
và các tường lửa trên mỗi hệ thống phải có các thiết
lập bảo mật giống nhau.
– IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác
nhau như router với router, firewall với router, PC với
router, PC với máy chủ.
Bảo mật trong VPN
• Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính
đều có một mã bí mật để mã hóa gói tin trước khi gửi tới
máy tính khác trong mạng. Mã riêng yêu cầu bạn phải
biết mình đang liên hệ với những máy tính nào để có thể
cài mã lên đó, để máy tính của người nhận có thể giải
mã được.
• Mật mã chung (Public-Key Encryption) kết hợp mã riêng
và một mã công cộng. Mã riêng này chỉ có máy của bạn
nhận biết, còn mã chung thì do máy của bạn cấp cho bất
kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để
giải mã một message, máy tính phải dùng mã chung
được máy tính nguồn cung cấp, đồng thời cần đến mã
riêng của nó nữa.
Máy chủ AAA
• AAA là viết tắt của ba chữ:
– Authentication (thẩm định quyền truy cập)
– Authorization (cho phép)
– Accounting (kiểm soát).
• Các server này được dùng để đảm bảo truy cập antoàn hơn.
– Khi yêu cầu thiết lập một kết nối được gửi tới từ máykhách, nó sẽ phải qua máy chủ AAA để kiểm tra.
– Các thông tin về những hoạt động của người sử dụnglà hết sức cần thiết để theo dõi vì mục đích an toàn.
Sản phẩm công nghệ dành cho VPN
• Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm),
bạn sẽ cần phải cài đặt những bộ phận hợp thành nào
đó để thiết lập mạng riêng ảo. Đó có thể là:
– Phần mềm cho desktop của máy khách dành cho
người sử dụng từ xa.
– Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc
firewall bảo mật PIX.
– Server VPN cao cấp dành cho dịch vụ Dial-up.
– NAS (máy chủ truy cập mạng) do nhà cung cấp sử
dụng để phục vụ người sử dụng từ xa.
– Mạng VPN và trung tâm quản lý.
VPN
• Các giao thức dùng trong VPN
– L2F – Layer 2 Forwarding (Cisco)
– PPTP – Point to Point Tunneling Protocol(Microsoft)
– L2TP – Layer 2 Tunneling Protocol (Microsoft+ Cisco)
– IPSec – IP Security
– SSL/TLS – Security Sockets Layer/TransportLayer Security
– MPLS – Multi-Protocol Label Switching
Tunneling Protocols
• Common VPN Protocols
– Point-to-Point Tunneling Protocol (PPTP)• Designed for client/server connectivity
• Point-to-point connection between two computers
• Layer 2 on IP only networks
– Layer 2 Tunneling Protocol (L2TP)• Combines functionality of PPTP/L2F
• Works over multiple protocols, not just IP
– Internet Protocol Security (IPSec)
– Secure Sockets Layer (SSL)
Tunneling Protocols
o A tunnel is a virtual path across a network that
delivers packets that are encapsulated and
possibly encrypted.
o A packet based on one protocol is wrapped, or
encapsulated, in a second packet based on a
different protocol
Tunneling Protocols
• Example of situation where Tunneling is
used:
– An Ethernet network is connected to an FDDI
backbone, that FDDI network does not
understand the Ethernet frame format
– Two networks use IPX and need to
communicate across the Internet
What is tunneling?
What is tunneling?
http://www.novell.com/documentation/nias41/iptuneun/graphics/rtc_021a.gif
• Tunneling is the main ingredient to a VPN,
tunneling is used by VPN to creates its
connection
• Three main tunneling protocols are used
in VPN connections: • PPTP
• L2TP
• IPSec
What is tunneling?
Example of packet encapsulation
• PPTP is a Microsoft
protocol which allows
remote users to set up a
PPP connection to a local
ISP and then create a
secure VPN to their
destination
Point-to-Point Tunneling Protocol
(PPTP)
CISSP Certification All in One Exam Guide pg 612
• In PPTP, the PPP payload is encrypted with
Microsoft Point-to-Point Encryption
(MPPE) using MS-CHAP or EAP-TLS.
• The keys used in encrypting this data are
generated during the authentication
process between the user and the
authentication server.
Point-to-Point Tunneling Protocol
(PPTP)
Point-to-Point Tunneling Protocol
(PPTP)
CISSP Certification All in One Exam Guide pg 613
• One limitation of PPTP is that it can work
only over IP networks, Other protocols
must be used to move data over frame
relay, X.25, and ATM links
Point-to-Point Tunneling Protocol
(PPTP)
• L2TP provides the functionality of PPTP,
but it can work over networks other than
just IP.
• L2TP does not provide any encryption or
authentication services.
• It needs to be combined with IPSec if
encryption and authentication services are
required.
Layer 2 Transport Protocol
• The processes that L2TP uses for
encapsulation are similar to those used by
PPTP
Layer 2 Transport Protocol
• PPTP can run only within IP networks.
• L2TP, on the can run within other
protocols such as frame relay, X.25, and
ATM.
• PPTP is an encryption protocol and L2TP is
not.
• L2TP supports TACACS+ and RADIUS,
while PPTP does not.
Layer 2 Transport Protocol
• Provides a method of setting up a secure
channel for protected data exchange
between two devices.
• More flexible and less expensive than end-
to end and link encryption methods.
• Employed to establish virtual private
networks (VPNs) among networks across
the Internet.
IPSec (Internet Protocol Security)
• IPSec uses two basic security protocols:
– Authentication Header (AH): It is the
authenticating protocol
– Encapsulating Security Payload (ESP): ESP is an
authenticating and encrypting protocol that
provide source authentication, confidentiality,
and message integrity.
IPSec (Internet Protocol Security)
• IPSec can work in one of two modes:
– Transport mode, in which the payload of the
message is protected
– Tunnel mode, in which the payload and the
routing and header information are protected.
IPSec (Internet Protocol Security)
IPSec (Internet Protocol
Security)
CISSP Certification All in One Exam Guide pg 610
• Point-to-Point Tunneling Protocol (PPTP):
– Designed for client/server connectivity
– Sets up a single point-to-point connection
between two computers
– Works at the data link layer
– Transmits over IP networks only
Summary of tunneling
• Layer 2 Tunneling Protocol (L2TP)
– Sets up a single point-to-point connection
between two computers
– Works at the data link layer
– Transmits over multiple types of networks, not
just IP
– Combined with IPSec for security
Summary of tunneling
• IPSec:
– Handles multiple connections at the same
time
– Provides secure authentication and
encryption
– Supports only IP networks
Summary of tunneling
Bài tập
• Thực hiện cài đặt OpenVPN
42
Thực hành thiết kế mạng VPN
Gateway, firewal 1
Ip int: 10.0.0.254
Ip ext: 200.1.1.1Gateway, firewall 2
Ip int: 192.168.2.254
Ip ext: 200.1.1.2
Gateway, firewall 3
Ip int: 192.168.3.254
Ip ext: 200.1.1.3
Windows XP
IP: 192.168.2.100
Default gateway:
192.168.2.254
Windows XP
IP: 192.168.3.100
Default gateway:
192.168.3.254
WinXP
IP: 10.0.0.200
Windows XP
IP: 10.0.0.201
Bảo mật & An ninh mạng
AN TOÀN IP – IP Security
Giới thiệu• Tại sao cần IPSec?
– Có những vấn đề an ninh cần giải quyết ở mức thấp hơn tầng ứng dụng
• Đặc biệt các hình thức tấn công ở tầng IP rất phổ biến như giả mạo IP, xem trộm gói tin
– An ninh ở mức IP sẽ đảm bảo an ninh cho tất cả các ứng dụng
• Bao gồm nhiều ứng dụng chưa có tính năng an ninh
• Các cơ chế an ninh của IPSec– Xác thực
– Bảo mật
– Quản lý khóa
Các ứng dụng của IPSec
• Xây dựng mạng riêng ảo an toàn trên Internet
– Tiết kiệm chi phí thiết lập và quản lý mạng riêng
• Truy nhập từ xa an toàn thông qua Internet
– Tiết kiệm chi phí đi lại
• Giao tiếp an toàn với các đối tác
– Đảm bảo xác thực, bảo mật và cung cấp cơ chế trao
đổi khóa
• Tăng cường an ninh thương mại điện tử
– Hỗ trợ thêm cho các giao thức an ninh có sẵn của các
ứng dụng Web và thương mại điện tử
Minh họa ứng dụng IPSec
Lợi ích của IPSec
• Tại tường lửa hoặc bộ định tuyến, IPSec đảm
bảo an ninh cho mọi luồng thông tin vượt biên
• Tại tường lửa, IPSec ngăn chặn thâm nhập trái
phép từ Internet vào
• IPSec nằm dưới tầng giao vận, do vậy trong suốt
với các ứng dụng
• IPSec có thể trong suốt với người dùng cuối
• IPSec có thể áp dụng cho người dùng đơn lẻ
• IPSec bảo vệ an ninh kiến trúc định tuyến
Kiến trúc an ninh IP• Đặc tả IPSec khá phức tạp
• Định nghĩa trong nhiều tài liệu– Bao gồm RFC 2401 (tổng quan kiến trúc), RFC 2402
(mô tả mở rộng xác thực), RFC 2406 (mô tả mở rộng mã hóa), RFC 2408 (đặc tả khả năng trao đổi khóa)
– Các tài liệu khác được chia thành 7 nhóm
• Việc hỗ trợ IPSec là bắt buộc đối với IPv6, tùy chọn đối với IPv4
• IPSec được cài đặt như các phần đầu mở rộng sau phần đầu IP– Phần đầu mở rộng cho xác thực là AH
– Phần đầu mở rộng cho mã hóa là ESP
Tổng quan tài liệu IPSec
Các dịch vụ IPSec
• Bao gồm
– Điều khiển truy nhập
– Toàn vẹn phi kết nối
– Xác thực nguồn gốc dữ liệu
– Từ chối các gói tin lặp
• Một hình thức của toàn vẹn thứ tự bộ phận
– Bảo mật (mã hóa)
– Bảo mật luồng tin hữu hạn
• Sử dụng một trong hai giao thức
– Giao thức xác thực (ứng với AH)
– Giao thức xác thực/mã hóa (ứng với ESP)
Các liên kết an ninh
• Khái niệm liên kết an ninh (SA)
– Là quan hệ một chiều giữa bên gửi và bên nhận, cho
biết các dịch vụ an ninh đối với luồng tin lưu chuyển
• Mỗi SA được xác định duy nhất bởi 3 tham số
– Chỉ mục các tham số an ninh (SPI)
– Địa chỉ IP đích
– Định danh giao thức an ninh
• Các tham số khác lưu trong CSDL SA (SAD)
– Số thứ tự, các thông tin AH và ESP, thời hạn,...
• CSDL chính sách an ninh (SPD) cho phép điều
chỉnh mức độ áp dụng IPSec
Phần đầu xác thực
• Đảm bảo toàn vẹn và xác thực các gói IP
– Cho phép một hệ thống đầu cuối hay một thiết bị
mạng xác thực người dùng hoặc ứng dụng
– Tránh giả mạo địa chỉ nhờ xem xét số thứ tự
– Chống lại hình thức tấn công lặp lại
• Sử dụng mã xác thực thông báo
• Bên gửi và bên nhận phải có một khóa bí mật
dùng chung
Khuôn dạng AH
Chế độ giao vận và đường hầm
Phần đầu ESP
• Đảm bảo bảo mật nội dung và bảo mật luồng tin
hữu hạn
• Có thể cung cấp các dịch vụ xác thực giống như
với AH
• Cho phép sử dụng nhiều giải thuật mã hóa,
phương thức mã hóa, và cách độn khác nhau
– DES, 3DES, RC5, IDEA, CAST,...
– CBC,...
– Độn cho tròn kích thước khối, kích thước trường, che
dấu lưu lượng luồng tin
Khuôn dạng ESP
Giao vận và đường hầm ESP
• Chế độ giao vận ESP dùng để mã hóa và có thể
có thêm chức năng xác thực dữ liệu IP
– Chỉ mã hóa dữ liệu không mã hóa phần đầu
– Dễ bị phân tích lưu lượng nhưng hiệu quả
– Áp dụng cho truyền tải giữa hai điểm cuối
• Chế độ đường hầm mã hóa toàn bộ gói tin IP
– Phải bổ xung phần đầu mới cho mỗi bước chuyển
– Áp dụng cho các mạng riêng ảo, truyền tải thông qua
cầu nối
Kết hợp các liên kết an ninh
• Mỗi SA chỉ có thể cài đặt một trong hai giao
thức AH và ESP
• Để cài đặt cả hai cần kết hợp các SA với nhau
– Tạo thành một gói liên kết an ninh
– Có thể kết thúc tại các điểm cuối khác nhau hoặc
giống nhau
• Kết hợp theo 2 cách
– Gần với giao vận
– Tạo đường hầm theo nhiều bước
• Cần xem xét thứ tự xác thực và mã hóa
Ví dụ kết hợp các SA
Quản lý khóa
• Có chức năng sản sinh và phân phối khóa
• Hai bên giao tiếp với nhau nói chung cần 4 khóa
– Mỗi chiều cần 2 khóa: 1 cho AH, 1 cho ESP
• Hai chế độ quản lý khóa
– Thủ công
• Quản trị hệ thống khai báo các khóa khi thiết lập cấu hình
• Thích hợp với các môi trường nhỏ và tương đối tĩnh
– Tự động
• Cho phép tạo khóa theo yêu cầu cho các SA
• Thích hợp với các hệ phân tán lớn có cấu hình luôn thay đổi
• Gồm các thành phần Oakley và ISAKMP
Oakley• Là một giao thức trao đổi khóa dựa trên giải
thuật Diffie-Hellman
• Bao gồm một số cải tiến quan trọng
– Sử dụng cookie để ngăn tấn công gây quá tải
• Cookie cần phụ thuộc vào các bên giao tiếp, không thể sinh
ra bởi một bên khác với bên sinh cookie, có thể sinh và kiểm
tra một cách nhanh chóng
– Hỗ trợ việc sử dụng các nhóm với các tham số Diffie-
Hellman khác nhau
– Sử dụng các giá trị nonce để chống tấn công lặp lại
– Xác thực các trao đổi Diffie-Hellman để chống tấn
công người ở giữa
ISAKMP
• Viết tắt của Internet Security Association and Key
Management Protocol
• Cung cấp một cơ cấu cho việc quản lý khóa
• Định nghĩa các thủ tục và các khuôn dạng thông
báo cho việc thiết lập, thỏa thuận, sửa đổi, và
hủy bỏ các liên kết an ninh
• Độc lập với giao thức trao đổi khóa, giải thuật
mã hõa, và phương pháp xác thực
Các khuôn dạng ISAKMP
Q & A
65
THE END
