Bài 4: Mạng riêng ảo (VPN) môn Phòng chống tấn công mạng | Trường Đại học Bách Khoa Hà Nội
Virtual Private Network (VPN) - Mạng riêng ảo sử dụng mạng công cộng để thiết lập kết nối riêng tư, còn gọi là đường hầm bảo mật, mở rộng mạng của tổ chức. Tài liệu được sưu tầm gồm 48 trang, giúp các bạn ôn luyện và phục vụ cho việc học tập, đạt kết quả tốt. Mời các bạn đón xem!
Môn: Phòng chống tấn công mạng 10 tài liệu
Trường: Đại học Bách Khoa Hà Nội 3 K tài liệu
Tác giả:
Preview text:
lOMoAR cPSD| 59421307 1 lOMoAR cPSD| 59421307 3 VPN là gì?
• Virtual Private Network (VPN) - Mạng riêng ảo
• Sử dụng mạng công cộng để thiết lập kết nối riêng tư, còn
gọi là đường hầm bảo mật • Mở rộng mạng của tổ chức • Các thành phần của VPN:
• VPN gateway: cung cấp dịch vụ kết nối VPN cho các nút mạng
• VPN client: điểm đầu cuối(PC, Smartphone, Gateway…) yêu cầu kết nối VPN
• Đường hầm VPN(VPN Tunnel) • Giao thức VPN 4 4 lOMoAR cPSD| 59421307
VPN phần cứng (Hardware VPN)
• Thiết bị chuyên dụng hoặc được tích hợp vào bộ định tuyến:
• Xu hướng công nghệ: Tích hợp VPN trên các sản
phẩm an ninh hợp nhất(Unified Threat Management - UTM)
• Đóng vai trò như là điểm đầu cuối trên kết nối VPN • Ưu điểm:
• Có khả năng mở rộng tốt
• Cung cấp khả năng bảo mật tốt hơn 6 lOMoAR cPSD| 59421307 6 lOMoAR cPSD| 59421307
Một số sản phẩm tiêu biểu • VPN phần cứng:
• Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính
năng router, switch), ASA 5500 series (tích hợp trong
UTM – Unified Threat Management)
• F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050 • Citrix NetScaler MPX
• Dell SonicWall, Checkpoint, Sophos, FireEye, Fortinet • VPN phần mềm: • OpenVPN
• FreeS/WAN(tạm dừng) kế thừa bởi StrongS/WAN • pfSense 9 9 lOMoAR cPSD| 59421307 lOMoAR cPSD| 59421307 lOMoAR cPSD| 59421307 lOMoAR cPSD| 59421307 lOMoAR cPSD| 59421307 17 lOMoAR cPSD| 59421307 PPTP
• Point-to-Point Tunneling Protocol (RFC 2637)
• Mở rộng của Point-to-Point Protocol (PPP)
• Client/Server : 2 kết nối
• Kết nối điều khiển : TCP, cổng 1723
• Kết nối đường hầm: Generic Routing Encapsulation
• Phương pháp mã hóa: MS Point-To-Point Encryption (MPPE)
• Mã hóa dữ liệu truyền giữa 2 nút đầu cuối
• Chỉ nên sử dụng trên mạng tin cậy, mà các yêu cầu
ATTT đã được đảm bảo bởi các thành phần khác 19 lOMoAR cPSD| 59421307 19 lOMoAR cPSD| 59421307 lOMoAR cPSD| 59421307 lOMoAR cPSD| 59421307 lOMoAR cPSD| 59421307 L2TP
• Layer 2 Tunnelling Protocol (RFCs 2661 và 3438) • Kết hợp L2F và PPTP
• Sử dụng UDP để đóng gói dữ liệu (Port 1701)
• Thiết lập đường hầm L2TP : 2 bước
• Thiết lập kết nối để trao đổi thông điệp điều khiển tạo đường hầm
• Thiết lập phiên trao đổi dữ liệu qua đường hầm • Mô hình kết nối
• Compulsory tunnel: LAC/NAS LNS
• Voluntary tunnel: PPP Client LNS 27 lOMoAR cPSD| 59421307 27 lOMoAR cPSD| 59421307
Thiết lập kết nối đường hầm L2TP
1) PPP client thiết lập kết nối PPP với LAC/NAS và được xác thực bằng CHAP
2) PPP client yêu cầu khởi tạo một đường hầm L2TP. ISP
xác thực máy khách một lần nữa qua TACACS+ hoặc RADIUS
3) LAC yêu cầu khởi tạo một đường hầm L2TP đến LNS
4) (Tùy chọn)LNS xác thực LAC qua TACACS+ hoặc
RADIUS và phản hồi chấp nhận hoặc từ chối
5) PPP client và LNS hiện có thể trao đổi dữ liệu xác
thực, ủy quyền, và cấu hình địa chỉ IP
6) Kết nối PPP được thiết lập giữa PPP client và LNS. Kết
nối đường hầm L2TP đã được thiết lập giữa LAC và LNS. 29 29 lOMoAR cPSD| 59421307 31 lOMoAR cPSD| 59421307
Giao kết bảo mật (Security Association - SA)
• Mô tả tham số để thỏa thuận thiết lập kết nối VPN
• Mode: Chế độ được sử dụng cho đóng gói kiểu AH hay ESP
• Transform: Giao thức đóng gói và phương pháp mã mật
được sử dụng để mã hóa dữ liệu
• Peer: Thông tin của peer thực hiện thỏa thuận IPsec SA
• Matched Traffic: thông tin lưu lượng được so khớp
• Path MTU: giá trị MTU trên kết nối VPN
• SPI (Sercurity Parameter Index): giá trị 32 bit xác định SA
được sử dụng để xử lý gói tin
• SA có tính một chiều