04. VPN
description
Transcript of 04. VPN
![Page 1: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/1.jpg)
Bảo mật thông tin trên mạng sử dụng
mạng riêng ảo - VPN
Giảng viên: Nguyễn Văn Nghị
![Page 2: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/2.jpg)
Nội dung chính
MẠNG RIÊNG ẢO – KHÁI NIỆM1
2
3
4
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
SITE TO SITE VPN VỚI IPSEC
REMOTE ACCESS VPN VỚI SSL/TLS
![Page 3: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/3.jpg)
MẠNG RIÊNG ẢO
- Virtual (ảo): Thông tin trong mạng nội bộ của một công ty, tổ chức được truyền thông qua mạng công cộng.
- Private (riêng): Đường truyền được mã hóa đảm bảo tính bí mật của thông tin.
VPN
VPN
Firewall
CSA
Chi nhánh công ty
Khách hàng tại hộ gia đình
VPN
Nhân viên làm việc từ xa
Đối tác làm ăn
Trụ sở chínhWAN
Internet
![Page 4: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/4.jpg)
KHÁI NIỆM MẠNG RIÊNG ẢO
Khái niệm:●Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng
(Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ sở
hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và
kiểm soát được truy cập
●Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một
doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết
nối an toàn, thực chất là qua một đường hầm riêng
●VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin
viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử
dụng giao thức tạo đường hầm và các phương thức an toàn.
![Page 5: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/5.jpg)
CÁC THIẾT BỊ VPN
Các thiết bị VPN:●Customer site (Phía khách hàng):
oC (Customer devices): router, switch
oCE (Customer Edge devices): nằm ở biên, kết nối với mạng của nhà
cung cấp
●Provider site (Phía nhà cung cấp): P, PE
●VPN có thể xây dựng dựa trên CE hoặc PE (phải có tính năng hỗ
trợ VPN)
![Page 6: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/6.jpg)
PHÂN LOẠI VPN
Phân loại:●Remote Access VPN
●Site to Site VPN: Intranet based, Extranet based
![Page 7: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/7.jpg)
SITE TO SITE VPN
MARS
VPN
VPN
Iron Port
Firewall
IPS
Web Server
Email Server DNS
CSA
CSA
CSA
CSA
CSA
CSA
CSA
Regional branch with a VPN enabled Cisco ISR router
SOHO with a Cisco DSL
Router
VPN
Business Partnerwith a Cisco
Router
Site-to-SiteVPNs
Internet
WAN
Các thiết bị đầu cuối truyền nhận lưu lượng thông tin TCP/IP thông qua VPN gateway
![Page 8: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/8.jpg)
REMOTE ACCESS VPN
VPN
Iron Port
Firewall
IPS
Web Server
Email Server DNS
CSACSA CSACSA
CSA
CSA
CSA
Mobile Worker with a Cisco VPN Client
Remote-accessVPNs
Internet
![Page 9: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/9.jpg)
CÁC YÊU CẦU CƠ BẢN CỦA VPN
Các yêu cầu cơ bản: ●Bảo mật
●QoS
●Tính sẵn sàng và tin cậy
●Khả năng quản trị
●Khả năng tương thích
![Page 10: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/10.jpg)
KHÁI NIỆM MẠNG RIÊNG ẢO
Các thành phần cơ bản của VPN:
![Page 11: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/11.jpg)
ƯU NHƯỢC ĐIỂM VPN
Ưu và nhược điểm:●Ưu điểm:
oKhả năng mở rộng và linh hoạt caooGiá thành rẻ: Chỉ mất chi phí cho việc truy cập Internet thông thườngoGiảm chi phí thực hiện (thuê kênh riêng đường dài) và chi phí quản trị (duy trì hoạt động và
quản trị mạng WAN)oBăng thông không bị hạn chế (Chỉ phụ thuộc vào tốc độ đường truyền Internet) và sử dụng
hiệu quả băng thôngoNâng cao khả năng kết nối: Không hạn chế số lượng kết nốioĐảm bảo khả năng bảo mật giao dịch nhờ công nghệ đường hầm (mã hoá, xác thực truy
cập, cấp quyền)oQuản lý các kết nối dễ dàng thông qua account
●Nhược điểm:oPhụ thuộc nhiều vào mạng trung gian; khó thiết lập và quản trịoYêu cầu về chuẩn: 2 đầu đường hầm phải sử dụng cùng một thiết bị để đảm bảo khả năng
liên vận hànhoMọi giao thông qua VPN đều được mã hoá bất chấp nhu cầu có cần mã hoá hay không =>
Hiện tượng tắc nghẽn cổ chaioKhông cung cấp sự bảo vệ bên trong mạng
![Page 12: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/12.jpg)
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
●Kỹ thuật đường hầm (tunneling)
●Các giao thức xây dựng mạng riêng ảo:o Giao thức VPN tại tầng 2:
PPTP L2F L2TP
o Giao thức VPN tại tầng 3 (IPSec và IKE)o Giao thức VPN tại tầng 4 (SSL/TLS)o Các giao thức quản trị:
RADIUS ISAKMP/Oakley
●Các công nghệ mạng riêng ảo MPLS VPN
IPSec VPN
SSL VPN
![Page 13: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/13.jpg)
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
Kỹ thuật Tunneling:
●Tunneling là quá trình xử lý và đặt toàn bộ các gói tin trong một gói tin khác
và gửi đi trên mạng
●Kênh thông tin yêu cầu 3 giao thức:oGiao thức sóng mang (Carrier Protocol): truyền thông tin về trạng thái
đường truyền
oGiao thức đóng gói (Encapsulating Protocol): Che giấu nội dung truyền
(GRE, IPSec, L2F, PPTP, L2TP)
oGiao thức gói (Passenger Protocol): IPX, NetBeui, IP
Chiếc xe ô tô giống giao thức truyền tải, cái hộp giống
giao thức đóng gói và chiếc máy tính là giao thức gói
![Page 14: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/14.jpg)
GIAO THỨC IPSEC THIẾT LẬP SITE TO SITE VPN
• Làm việc tại lớp mạng, bảo vệ và xác thực gói IP.
- Là một chồng các giao thức bảo gồm các thuật toán hoạt động độc lập.
- Đảm bảo tính bí mật, tính toàn vẹn và xác thực của dữ liệu.
Business Partnerwith a Cisco Router
Regional Office with aCisco PIX Firewall
SOHO with a CiscoSDN/DSL Router
Mobile Worker with aCisco VPN Client
on a Laptop Computer
ASA
LegacyConcentrator
Main Site
PerimeterRouter
LegacyCisco PIXFirewall
IPsec
POP
Corporate
![Page 15: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/15.jpg)
IPSEC FRAMWORK
![Page 16: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/16.jpg)
IPSEC ĐẢM BẢO TÍNH BÍ MẬT
DH7Diffie-Hellman
Key length: - 56-bits
Key length: - 56-bits (3 times)
Key length: - 160-bits
Key lengths: -128-bits-192 bits-256-bits
Least secure Most secure
![Page 17: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/17.jpg)
IPSEC ĐẢM BẢO TÍNH TOÀN VẸN
DH7Diffie-Hellman
Key length: - 128-bits
Key length: - 160-bits)
Least secure Most secure
![Page 18: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/18.jpg)
IPSEC ĐẢM BẢO TÍNH XÁC THỰC
DH7Diffie-Hellman
![Page 19: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/19.jpg)
PRE-SHARED KEY
![Page 20: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/20.jpg)
RSA SIGNATURES
![Page 21: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/21.jpg)
SECURE KEY EXCHANGE
Diffie-Hellman DH7
![Page 22: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/22.jpg)
IPSEC FRAMWORK PROTOCOL
All data is in plaintext.R1 R2
Data payload is encrypted.R1 R2
Authentication Header
Encapsulating Security Payload
AH provides the following: Authentication
Integrity
ESP provides the following: Encryption
Authentication
Integrity
![Page 23: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/23.jpg)
AUTHENTICATION HEADER
Authentication Data (00ABCDEF)
IP Header + Data + Key
R1
R2
Hash
RecomputedHash
(00ABCDEF)
IP Header + Data + Key
Hash
ReceivedHash
(00ABCDEF)=
DataAHIP HDR
DataAHIP HDR
Internet
1. The IP Header and data payload are hashed
2. The hash builds a new AH header which is prependedto the original packet
3. The new packet is transmitted to the IPSec peer router
4. The peer router hashes the IP header and data payload, extracts the transmitted hash and compares
![Page 24: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/24.jpg)
ESP
Diffie-Hellman DH7
![Page 25: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/25.jpg)
CHỨC NĂNG CỦA ESP
ESP Trailer
ESP Auth
• Provides confidentiality with encryption
• Provides integrity with authentication
Router Router
IP HDR Data
ESP HDRNew IP HDR IP HDR Data
Authenticated
IP HDR Data
Internet
Encrypted
![Page 26: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/26.jpg)
CÁC CHẾ ĐỘ LÀM VIỆC CỦA IPSEC
IP HDR ESP HDR Data
ESP HDR IP HDRNew IP HDR Data
Tunnel Mode
Transport ModeESP Trailer
ESP Auth
ESP Trailer
ESP Auth
Authenticated
Authenticated
IP HDR Data
Encrypted
Encrypted
Original data prior to selection of IPSec protocol mode
![Page 27: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/27.jpg)
Security Associations
IPSec parameters are configured using IKE
![Page 28: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/28.jpg)
CÁC GIAO THỨC VPN TẠI TẦNG 3
IKE:
●Là thành phần hỗ trợ giao thức IPSec, RFC 2409
●Cung cấp cơ chế sinh và phân phối khoá đối xứng, quản lý khoá cho SA
●Cung cấp tính an toàn cho luồng lưu thông của chính nó, thiết lập các liên kết an toàn cho nhiều dịch vụ khác nhau, trong đó có IPSec (Sinh và làm tươi khoá, định dạng an toàn và được bảo vệ)
●Sử dụng ISAKMP như một framework (cơ cấu), kết hợp Oakley và SKEME làm giao thức trao đổi khoá
●2 pha: oPha 1 thiết lập các liên kết an toàn ISAKMPoPha 2 Thoả thuận các SA thay mặt cho các dịch vụ
![Page 29: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/29.jpg)
IKE PHASES
Host A Host BR1 R2
10.0.1.3 10.0.2.3
IKE Phase 1 Exchange
1. Negotiate IKE policy sets
2. DH key exchange
3. Verify the peer identity
IKE Phase 2 Exchange
Negotiate IPsec policy Negotiate IPsec policy
Policy 15DESMD5
pre-shareDH1
lifetime
Policy 10DESMD5
pre-shareDH1
lifetime
1. Negotiate IKE policy sets
2. DH key exchange
3. Verify the peer identity
![Page 30: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/30.jpg)
IKE PHASE 1 – FIRST EXCHANGE
Negotiates matching IKE policies to protect IKE exchange
Policy 15DESMD5
pre-shareDH1
lifetime
Policy 10DESMD5
pre-shareDH1
lifetime
IKE Policy Sets
Policy 203DESSHA
pre-shareDH1
lifetime
Negotiate IKE Proposals
Host A Host BR1 R2
10.0.1.3 10.0.2.3
![Page 31: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/31.jpg)
IKE PHASE 1 – FIRST EXCHANGE
Negotiates matching IKE policies to protect IKE exchange
Policy 15DESMD5
pre-shareDH1
lifetime
Policy 10DESMD5
pre-shareDH1
lifetime
IKE Policy Sets
Policy 203DESSHA
pre-shareDH1
lifetime
Negotiate IKE Proposals
Host A Host BR1 R2
10.0.1.3 10.0.2.3
![Page 32: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/32.jpg)
IKE PHASE 1 – SECOND EXCHANGE
((YB ) mod p = K (YA ) mod p = K XB XA
Private value, XA
Public value, YA
Private value, XB
Public value, YBAlice
Bob
YYAA
YYBB
YB = g mod pXBYYAA = g mod pXA
A DH exchange is performed to establish keying material.
Establish DH Key
![Page 33: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/33.jpg)
IKE Phase 1 – Third Exchange
Peer authentication methods• PSKs
• RSA signatures
• RSA encrypted nonces
HR Servers
Remote Office Corporate Office
Internet
PeerAuthentication
A bidirectional IKE SA is now established.
Authenticate Peer
![Page 34: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/34.jpg)
IKE Phase 1 – Third Exchange
Peer authentication methods• PSKs
• RSA signatures
• RSA encrypted nonces
HR Servers
Remote Office Corporate Office
Internet
PeerAuthentication
A bidirectional IKE SA is now established.
Authenticate Peer
![Page 35: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/35.jpg)
IKE Phase 1 – Aggressive Mode
Host A Host BR1 R2
10.0.1.3 10.0.2.3
IKE Phase 1 Aggressive Mode Exchange
1.Send IKE policy set and R1’s DH key
3.Calculate shared secret, verify peer identify, and confirm with peer
IKE Phase 2 Exchange
Negotiate IPsec policy Negotiate IPsec policy
Policy 15DESMD5
pre-shareDH1
lifetime
Policy 10DESMD5
pre-shareDH1
lifetime 2. Confirm IKE policy set, calculate shared secret and send R2’s DH key
4. Authenticate peer and begin Phase 2.
![Page 36: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/36.jpg)
IKE Phase 2
Negotiate IPsec Security Parameters
Host A Host BR1 R2
10.0.1.3 10.0.2.3
• IKE negotiates matching IPsec policies.
• Upon completion, unidirectional IPsec Security
Associations(SA) are established for each protocol and
algorithm combination.
![Page 37: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/37.jpg)
IPSec VPN Negotiation
IKE Phase 1
IKE Phase 2
IKE SA IKE SA
IPsec SAIPsec SA
1. Host A sends interesting traffic to Host B.
2. R1 and R2 negotiate an IKE Phase 1 session.
3. R1 and R2 negotiate an IKE Phase 2 session.
4. Information is exchanged via IPsec tunnel.
5. The IPsec tunnel is terminated.
R1 R2 10.0.2.3
IPsec Tunnel
10.0.1.3
![Page 38: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/38.jpg)
CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO
SSL VPN:●Được xây dựng trên nền tảng giao thức SSL (Secure Socket Layer)●Yêu cầu cơ bản: 1 trình duyệt + 1 gateway●Gateway SSL VPN thường được đặt ở vùng DMZ phía sau tường lửa của doanh nghiệp, can thiệp vào các traffic đã được mã hoá đi qua cổng 443.●Gateway giải mã dữ liệu và cung cấp menu các ứng dụng được phép hoặc một kết nối mô phỏng môi trường làm việc tại văn phòng của người dùng từ xa●Ưu điểm:
oYêu cầu đơn giản -> Phổ biếnoKhả năng thiết lập an ninh trong môi trường phi Client
●Nhược điểm: oChi phí đầu tư cho máy chủ và thiết bị chuyên dụng lớnoĐòi hỏi trình độ bảo mật cao để vận hành và bảo trì hệ thốngoKhông hỗ trợ các ứng dụng không mã hoá cho SSL như Telnet, FTP, IP
Telephony, các ứng dụng Multicast và các ứng dụng yêu cầu QoS.oSSL Server yêu cầu bộ xử lý và bộ nhớ cao
![Page 39: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/39.jpg)
REMOTE ACCESS VPN
IPsec Remote Access VPN
SSL-BasedVPN
Any Application
Anywhere Access
![Page 40: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/40.jpg)
IPSEC VPN VÀ SSL VPN:
![Page 41: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/41.jpg)
SSL VPN
• Integrated security and routing
• Browser-based full network SSL VPN access
SSL VPN
WorkplaceResources
Headquarters
Internet
SSL VPNTunnel
![Page 42: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/42.jpg)
LOẠI ACCESS VPN
![Page 43: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/43.jpg)
Full Tunnel Client Access Mode
![Page 44: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/44.jpg)
KHỞI TẠO PHIÊN SSL/TLS
User using SSL client
User makes a connection to TCP port 443
Router replies with a digitally signed public key
Shared-secret key, encrypted with public key of the server, is
sent to the router
Bulk encryption occurs using the shared-secret key with a
symmetric encryption algorithm
User software creates a shared-secret key
1
2
3
4
5
SSL VPN enabled ISR
router
![Page 45: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/45.jpg)
GIAO THỨC BẮT TAY CỦA SSL/TLS
![Page 46: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/46.jpg)
QUÁ TRÌNH ĐÓNG GÓI DỮ LIỆU TRONG SSL/TLS
![Page 47: 04. VPN](https://reader035.fdocuments.net/reader035/viewer/2022070417/5695ced51a28ab9b028b6c78/html5/thumbnails/47.jpg)