An ninh mạng lan không dây - Chương 01: Thiết kế và triển khai VPN

CHƯƠNG 01 
Thiết Kế và Triển Khai 
VPN 
q  Giảng Viên : Ths.Nguyễn Duy 
q  Email : duyn@uit.edu.vn 
1	
  GV	
  :	
  Nguyễn	
  Duy	
  
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
2	
  GV	
  :	
  Nguyễn	
  Duy	
  
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
3	
  GV	
  :	
  Nguyễn	
  Duy	
  
 Chương 1 : Giới thiệu VPN 
q  VPN là gì ? 
q  Những lợi ích của VPN 
q  Những yêu cầu của VPN 
GV	
  :	
  Nguyễn	
  Duy	
   4	
  
VPN là gì ? 
q  VPN là từ viết tắt Virtual Private Network 
Ø  Virtual ? 
Ø  Private ? 
Ø  Network ? 
q  Phân biệt Private Network với Virtual Private 
Network 
GV	
  :	
  Nguyễn	
  Duy	
   5	
  
Chương 1 : Giới thiệu VPN 
Những lợi ích của VPN 
q  Bảo mật dữ liệu trên mạng WAN 
Ø Sử dụng kĩ thuật Tunneling để truyền dữ liệu 
Ø Tăng cường bảo mật với các phương pháp 
mã hóa, xác thực và ủy quyền 
q  Giảm chi phí thiết lập 
Ø VPN có giá thành thấp hơn ISDN, ATM và 
Frame Relay 
GV	
  :	
  Nguyễn	
  Duy	
   6	
  
Chương 1 : Giới thiệu VPN 
Những lợi ích của VPN 
q  Giảm chi phí vận hành 
Ø Nhân công 
Ø Chi phí chi trả cho ISP hàng tháng để duy trì 
q  Nâng cao kết nối 
Ø Kết nối mọi nơi và mọi lúc 
q  Nâng cấp dễ dàng 
GV	
  :	
  Nguyễn	
  Duy	
   7	
  
Chương 1 : Giới thiệu VPN 
Những yêu cầu của VPN 
q  Tính an toàn 
Ø Theo dõi hoạt động của User VPN 
Ø Phân vùng hoạt động của User VPN 
Ø Tách biệt User VPN với User trong Domain 
Ø  
q  Tính sẵn sàng và sự tin cậy 
Ø Độ sẵn sàng phụ thuộc chủ yếu vào ISP 
GV	
  :	
  Nguyễn	
  Duy	
   8	
  
Chương 1 : Giới thiệu VPN 
Những yêu cầu của VPN 
q  Chất lượng dịch vụ 
Ø Latency 
Ø Throughput 
q  Cam kết của nhà cung cấp dịch vụ 
GV	
  :	
  Nguyễn	
  Duy	
   9	
  
Chương 1 : Giới thiệu VPN 
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các vấn đề chính của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
10	
  GV	
  :	
  Nguyễn	
  Duy	
  
Các thành phần của VPN 
q  Qui trình hoạt động của VPN 
q  Các thành phần của VPN 
q  Mô hình hoạt động của VPN 
GV	
  :	
  Nguyễn	
  Duy	
   11	
  
Qui trình hoạt động của VPN 
GV	
  :	
  Nguyễn	
  Duy	
   12	
  
Các thành phần của VPN 
Domain 
Controller 
VPN 
Client 
VPN Server 
3 VPN server authenticates and authorizes the client 
2 VPN server answers the call 4 VPN server transfers data 
VPN client calls the 
VPN server 1 
Các thành phần của VPN 
GV	
  :	
  Nguyễn	
  Duy	
   13	
  
Các thành phần của VPN 
VPN Tunnel 
Tunneling Protocols 
Tunneled Data 
VPN Client 
Address and Name Server Allocation 
DHCP 
Server 
Domain 
Controller 
Authentication 
Transit Network 
VPN 
Server 
Các thành phần của VPN 
q  VPN Server : 
Ø Lắng nghe yêu cầu kết nối của VPN Client 
Ø Xác thực thông tin kết nối của User 
Ø Cung cấp cơ chế mã hóa dữ liệu 
Ø .. 
q  VPN Client : 
Ø Kết nối tới VPN Server 
Ø Mã hóa dữ liệu ở máy client theo cơ chế đã được 
VPN Server yêu cầu 
GV	
  :	
  Nguyễn	
  Duy	
   14	
  
Các thành phần của VPN 
Các thành phần của VPN 
q  VPN Tunnel : 
Ø VPN Tunnel là gì ? 
Ø Các thành phần kĩ thuật của Tunnel ? 
Ø Hoạt động của kĩ thuật đường hầm 
Ø Định dạng gói tin trong Tunnel 
Ø Phân loại Tunnel 
GV	
  :	
  Nguyễn	
  Duy	
   15	
  
Các thành phần của VPN 
VPN Tunnel 
q  VPN Tunnel là gì ? 
Ø Cho phép tạo mạng riêng ngay trên mạng 
internet hoặc các mạng công cộng khác 
Ø Tạo và bảo trì kết nối logic giữa VPN Client và 
VPN Server 
GV	
  :	
  Nguyễn	
  Duy	
   16	
  
Các thành phần của VPN 
VPN Tunnel 
q  Các thành phần kĩ thuật của Tunnel : 
Ø  Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi 
các máy khách ( home network ) 
Ø  Nút initiator : người khởi tạo phiên làm việc VPN. Có thể là người 
dùng di động hoặc người trong mạng nội bộ 
Ø  Home agent (HA) : Phần mềm nằm ở một điểm truy cập ở target 
network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có 
thẩm quyền truy cập không. Nếu kiểm tra thành công, nó sẽ bắt đầu 
thiết lập đường hầm 
Ø  Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy 
cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên 
làm việc VPN từ HA tại mạng đích. 
GV	
  :	
  Nguyễn	
  Duy	
   17	
  
Các thành phần của VPN 
VPN Tunnel 
q  Hoạt động của kĩ thuật đường hầm : 
Ø  Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu 
cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bởi 
HA xem tính hợp pháp của nó 
GV	
  :	
  Nguyễn	
  Duy	
   18	
  
VPN Tunnel 
q  Hoạt động của kĩ thuật đường hầm : 
Ø  Pha II : Dữ liệu sẽ được truyền trong đường hầm 
GV	
  :	
  Nguyễn	
  Duy	
   19	
  
VPN Tunnel 
q  Định dạng gói tin trong Tunnel : 
GV	
  :	
  Nguyễn	
  Duy	
   20	
  
VPN Tunnel 
q  Phân loại Tunnel : 
Ø  Voluntary Tunnel 
GV	
  :	
  Nguyễn	
  Duy	
   21	
  
VPN Tunnel 
q  Phân loại Tunnel : 
Ø  Compulsory Tunel 
GV	
  :	
  Nguyễn	
  Duy	
   22	
  
Mô hình hoạt động của VPN 
q Remote Access 
GV	
  :	
  Nguyễn	
  Duy	
   23	
  
Mô hình hoạt động của VPN 
q Site-to-Site 
GV	
  :	
  Nguyễn	
  Duy	
   24	
  
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
25	
  GV	
  :	
  Nguyễn	
  Duy	
  
Bảo mật trong VPN 
q Xác thực người dùng và quản lý truy cập 
q Mã hóa dữ liệu 
q Hạ tầng mã hóa công khai 
GV	
  :	
  Nguyễn	
  Duy	
   26	
  
Xác thực người dùng và quản lý truy cập 
GV	
  :	
  Nguyễn	
  Duy	
   27	
  
User authentication 
q Xác thực người dùng (User authentication) : 
là cơ chế xác nhận tính hợp lệ của người 
dùng trong mạng riêng ảo 
q Các dạng xác thực : 
Ø Local (tại VPN Server) 
Ø Remote (tại hệ thống xác thực khác : Domain 
Controller Server hoặc RADIUS Server) 
GV	
  :	
  Nguyễn	
  Duy	
   28	
  
Quản lý truy cập 
q Sau khi đã xác thực thành công, người dùng 
có khả năng truy cập vào dữ liệu 
q Để tăng mức độ bảo mật cho hệ thống, 
chúng ta nên có những chính sách sau để 
quản lý VPN User : 
Ø Theo dõi hoạt động 
Ø Phân quyền nghiêm ngặt 
GV	
  :	
  Nguyễn	
  Duy	
   29	
  
Mã hóa dữ liệu 
q Mã hóa dữ liệu là qui trình xóa trộn dữ liệu 
bên phía người gởi trên đường truyền. 
q Mã hóa được chia thành 2 loại chính 
Ø Mã hóa đối xứng 
Ø Mã hóa bất đối xứng 
GV	
  :	
  Nguyễn	
  Duy	
   30	
  
Mã hóa dữ liệu 
q Mã hóa đối xứng : AES, DES, 3DES, RC4 
GV	
  :	
  Nguyễn	
  Duy	
   31	
  
Mã hóa dữ liệu 
q Mã hóa bất đối xứng : Diffie-Hellman và RSA 
GV	
  :	
  Nguyễn	
  Duy	
   32	
  
PKI 
q Các thành phần chính của PKI : 
Ø Khách hàng PKI 
Ø Người cấp giấy chứng nhận (CA) 
Ø Người cấp giấy đăng ký (RA) 
Ø Các giấy chứng nhận số (Certificate) 
Ø Hệ thống phân phối các giấy chứng nhận 
(CDS) 
GV	
  :	
  Nguyễn	
  Duy	
   33	
  
PKI 
q Các giao dịch trên PKI 
GV	
  :	
  Nguyễn	
  Duy	
   34	
  
PKI 
q Mô hình hoạt động của PKI 
Ø CA đơn 
Ø Tin cậy giữa 2 CA 
Ø Thứ bậc 
Ø Lưới 
Ø Hỗn hợp 
GV	
  :	
  Nguyễn	
  Duy	
   35	
  
CA đơn 
GV	
  :	
  Nguyễn	
  Duy	
   36	
  
Tin cậy giữa 2 CA 
GV	
  :	
  Nguyễn	
  Duy	
   37	
  
Thứ bậc 
GV	
  :	
  Nguyễn	
  Duy	
   38	
  
Lưới 
GV	
  :	
  Nguyễn	
  Duy	
   39	
  
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
40	
  GV	
  :	
  Nguyễn	
  Duy	
  
Các giao thức đường hầm 
q Giao thức đường hầm lớp 2 
q Giao thức đường hầm lớp 3 
q Giao thức đường hầm lớp 4 
GV	
  :	
  Nguyễn	
  Duy	
   41	
  
Giao thức đường hầm lớp 2 
q Các giao thức phổ biến ở lớp hai: 
Ø Point-to-Point Tunneling Protocol (PPTP) 
Ø Layer 2 Forwarding (L2F) 
Ø Layer 2 Tunneling Protocol (L2TP) 
GV	
  :	
  Nguyễn	
  Duy	
   42	
  
Giao thức đường hầm lớp 2 
GV	
  :	
  Nguyễn	
  Duy	
   43	
  
PPTP 
q PPTP là một giải pháp mạng riêng cho phép 
bảo mật dữ liệu truyền giữa các máy khách 
di động và máy chủ bằng cách thiết lập 
mạng riêng ảo dựa trên nền IP của mạng 
internet. 
q PPTP được phát triển bởi Microsoft 
Corporation, Ascend Communications, 
3COM, US Robotics và ECI Telematics 
q PPTP ( chủ và khách) nhận dữ liệu TCP và 
IP ở cổng 1723 và cổng 47 
GV	
  :	
  Nguyễn	
  Duy	
   44	
  
PPTP 
q Có hai đặc tính nổi bật đóng vai trò quan 
trọng trong việc bảo mật của PPTP : 
Ø Sử dụng mạng chuyển mạch điện thoại 
công cộng 
Ø Cung cấp giao thức Non_IP : 
§  PPTP cũng hỗ trợ để hiện thực các giao thức 
mạng khác như TCP/IP, IPX, NetBEUI, và 
NetBIOS 
GV	
  :	
  Nguyễn	
  Duy	
   45	
  
PPTP 
GV	
  :	
  Nguyễn	
  Duy	
   46	
  
PPTP - Encapsulation 
GV	
  :	
  Nguyễn	
  Duy	
   47	
  
PPTP - Decapsulation 
GV	
  :	
  Nguyễn	
  Duy	
   48	
  
Generic Routing Encapsulation 
GV	
  :	
  Nguyễn	
  Duy	
   49	
  
PPTP – bảo mật 
q PPTP đưa ra nhiều cơ chế bảo mật cho máy 
chủ và máy khách PPTP. Các dịch vụ bảo 
mật bao gồm : 
Ø Mã hóa và nén dữ liệu 
Ø Chứng thực 
Ø Kiểm soát truy cập 
Ø Lọc gói 
GV	
  :	
  Nguyễn	
  Duy	
   50	
  
PPTP – bảo mật 
q Mã hóa và nén dữ liệu 
Ø  PPTP không cung cấp cơ chế mã hóa để bảo mật dữ 
liệu . PPTP sử dụng dịch vụ mã hóa dữ liệu được 
cung cấp bởi PPP 
Ø  PPP sử dụng phương pháp mã hóa điểm tới điểm 
của Microsoft (MPPE - Microsoft Point-to-Point 
Encryption) 
Ø  Phưương pháp mã hóa công khai-bí mật (ID và pass) 
GV	
  :	
  Nguyễn	
  Duy	
   51	
  
PPTP – bảo mật 
q Chứng thực 
Ø PAP (Password Authentication Protocol) 
Ø MS-CHAP (Microsoft Challenge Handshake 
Authentication Protocol) 
q Kiểm soát truy cập 
q Access Right 
q Permission 
GV	
  :	
  Nguyễn	
  Duy	
   52	
  
PAP 
GV	
  :	
  Nguyễn	
  Duy	
   53	
  
MS-CHAP 
GV	
  :	
  Nguyễn	
  Duy	
   54	
  
MS-CHAP 
q MS-CHAP là một phiên bản được điều chỉnh 
từ CHAP của Microsoft 
q MS-CHAP có rất nhiều điểm tương đồng với 
CHAP nên các chức năng của MS-CHAP 
cũng tương tự các chức năng của CHAP 
q Điểm khác biệt cơ bản : 
Ø CHAP sử dụng giải thuật băm MD5 và mã 
RSA 
Ø MS-CHAP sử dụng giải thuật băm RC4 và mã 
DES 
GV	
  :	
  Nguyễn	
  Duy	
   55	
  
PPTP 
q  Ưu điểm : 
Ø  PPTP là một giải pháp được xây dựng trên nền các sản phẩm 
của Microsoft 
Ø  PPTP có thể hỗ trợ các giao thức non-IP 
Ø  PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, 
và Apple's Macintosh 
q  Nhược điểm 
Ø  Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do 
sử dụng mã hóa với khóa mã phát sinh từ password của user 
Ø  PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec 
GV	
  :	
  Nguyễn	
  Duy	
   56	
  
Giao thức đường hầm lớp 2 
q Các giao thức phổ biến ở lớp hai: 
Ø Point-to-Point Tunneling Protocol (PPTP) 
Ø Layer 2 Forwarding (L2F) 
Ø Layer 2 Tunneling Protocol (L2TP) 
GV	
  :	
  Nguyễn	
  Duy	
   57	
  
Layer 2 Forwarding 
q Cisco Systems, cùng với Nortel, một trong 
những doanh nghiệp đứng đầu về thị phần đã 
bắt đầu đưa ra giải pháp bảo mật có các chức 
năng 
Ø Có khả năng bảo mật. 
Ø Phục vụ truy cập thông qua mạng internet và các 
mạng công cộng khác. 
Ø Hỗ trợ kỹ thuật mạng trên diện rộng như ATM, FDDI, 
IPX, Net-BEUI, và Frame Relay. 
GV	
  :	
  Nguyễn	
  Duy	
   58	
  
Layer 2 Forwarding 
GV	
  :	
  Nguyễn	
  Duy	
   59	
  
Layer 2 Forwarding 
q  Qui trình tạo đường hầm trong L2F : 
Ø  User từ xa đẩy Frame tới NAS được đặt ở ISP 
Ø  POP loại bỏ thông tin về lớp Data Link hay các bytes trong suốt và công 
thêm header, trailer của L2F vào Frame. Framme vừa được đóng gói 
tiếp tục được gửi đến mạng đích thông qua đường hầm 
Ø  Gateway của máy chủ mạng nhận các gói được chuyển qua đường 
hầm này, loại bỏ header và trailer của L2F và gửi tiếp Frame tới nút 
đích trong mạng nội bộ 
Ø  Nút đích xử lý Frame nhận được giống như một Frame bình thường, 
không thông qua đường hầm 
GV	
  :	
  Nguyễn	
  Duy	
   60	
  
Layer 2 Forwarding 
q Qui trình tạo đường hầm trong L2F : 
GV	
  :	
  Nguyễn	
  Duy	
   61	
  
Layer 2 Forwarding – Bảo mật 
q L2F cung cấp các dịch vụ bảo mật 
Ø Mã hóa dữ liệu 
§  L2F sử dụng MPPE (Microsoft Point-to-Point 
Encryption) cho mục đích mã hóa cơ bản 
§  L2F sử dụng thêm phương pháp mã hóa dựa trên 
Internet Protocol Security 
–  Encapsulating Security Payload (ESP- đóng gói dữ liệu 
nguồn bảo mật) 
–  Authentication Header ( AH- header chứng thực). 
GV	
  :	
  Nguyễn	
  Duy	
   62	
  
Layer 2 Forwarding – Bảo mật 
q L2F cung cấp các dịch vụ bảo mật 
Ø Chứng thực : 
§  L2F sử dụng PAP để chứng thực máy khách từ xa 
§  L2F cũng sử dụng quy trình chứng thực sau để 
tăng cưòng bảo mật dữ liệu: 
–  CHAP 
–  L2F còn sử dụng Remote Access Dial-In User Service 
(RADIUS) và Terminal Access Controller Access 
Control Service (TACACS) để bổ sung chứng thực 
GV	
  :	
  Nguyễn	
  Duy	
   63	
  
Layer 2 Forwarding 
q Ưu điểm 
Ø Tăng cường bảo mật 
Ø Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX, 
NetBEUI và Frame Relay 
q Nhược điểm 
Ø Việc chứng thực và mã hóa ở L2F làm cho tốc 
độ trong đường hầm của L2F thấp hơn so với 
PPTP 
GV	
  :	
  Nguyễn	
  Duy	
   64	
  
Giao thức đường hầm lớp 2 
q Các giao thức phổ biến ở lớp hai: 
Ø Point-to-Point Tunneling Protocol (PPTP) 
Ø Layer 2 Forwarding (L2F) 
Ø Layer 2 Tunneling Protocol (L2TP) 
GV	
  :	
  Nguyễn	
  Duy	
   65	
  
Layer 2 Tunneling Protocol – L2TP 
q Được phát triển bởi IETF và được ủng hộ bởi 
các nhà công nghiệp khổng lồ như Cisco 
Systems, Microsoft, 3COM, và Ascend 
q L2TP là sự kết hợp hai giao thức VPN sơ khởi 
PPTP và L2F 
q L2TP cung cấp dịch vụ mềm dẻo với giá cả truy 
cập từ xa hiệu quả của L2F và tốc độ kết nối 
điểm tới điểm nhanh của PPTP 
GV	
  :	
  Nguyễn	
  Duy	
   66	
  
L2TP 
q Lợi ích : 
Ø L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, 
ATM, FFR và PPP 
Ø L2TP cho phép nhiều kỹ thuật truy cập trung gian 
hệ thống thông qua Internet và các mạng công 
cộng khác 
Ø Việc chứng thực và kiểm quyền L2TP được thực 
hiện tại gateway của máy chủ. 
GV	
  :	
  Nguyễn	
  Duy	
   67	
  
L2TP - Encapsulation 
GV	
  :	
  Nguyễn	
  Duy	
   68	
  
L2TP - Decapsulation 
GV	
  :	
  Nguyễn	
  Duy	
   69	
  
L2TP – Bảo mật 
q Các phương pháp chứng thực thông dụng 
của L2TP 
Ø PAP và SPAP 
Ø EAP 
Ø CHAP 
GV	
  :	
  Nguyễn	
  Duy	
   70	
  
L2TP 
q Ưu điểm : 
Ø L2TP tăng cường bảo mật bằng cách cách mã hóa 
dữ liệu dựa trên IPSec trên suốt đường hầm và khả 
năng chưng thực gói của IPSec 
Ø L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP 
của mạng WAN mà không cần IP. 
q Khuyết điểm 
Ø L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc 
để chứng thực từng gói nhận được 
GV	
  :	
  Nguyễn	
  Duy	
   71	
  
Giao thức đường hầm lớp 3 
GV	
  :	
  Nguyễn	
  Duy	
   72	
  
Giao thức đường hầm lớp 4 
GV	
  :	
  Nguyễn	
  Duy	
   73	
  
Nội dung 
q  Chương 1 : Giới thiệu VPN 
q  Chương 2 : Các thành phần của VPN 
q  Chương 3 : Bảo mật trong VPN 
q  Chương 4 : Các giao thức đường hầm 
q  Chương 5 : Thiết kế VPN 
74	
  GV	
  :	
  Nguyễn	
  Duy	
  
Mô hình 1 
GV	
  :	
  Nguyễn	
  Duy	
   75	
  
Mô hình 2 
GV	
  :	
  Nguyễn	
  Duy	
   76	
  
Mô hình 3 
GV	
  :	
  Nguyễn	
  Duy	
   77	
  
Mô hình 4 
GV	
  :	
  Nguyễn	
  Duy	
   78	
  
Mô hình 5 
GV	
  :	
  Nguyễn	
  Duy	
   79	
  
Mô hình 6 
GV	
  :	
  Nguyễn	
  Duy	
   80	
  
Mô hình 7 
GV	
  :	
  Nguyễn	
  Duy	
   81	
  
Mô hình 8 
GV	
  :	
  Nguyễn	
  Duy	
   82	
  
Mô hình 8 - 1 
GV	
  :	
  Nguyễn	
  Duy	
   83	
  
Mô hình 8 - 2 
GV	
  :	
  Nguyễn	
  Duy	
   84