Bảo mật thông tin trên mạng sử dụng

mạng riêng ảo - VPN

Giảng viên: Nguyễn Văn Nghị

Nội dung chính

MẠNG RIÊNG ẢO – KHÁI NIỆM1

2

3

4

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

SITE TO SITE VPN VỚI IPSEC

REMOTE ACCESS VPN VỚI SSL/TLS

MẠNG RIÊNG ẢO

- Virtual (ảo): Thông tin trong mạng nội bộ của một công ty, tổ chức được truyền thông qua mạng công cộng.

- Private (riêng): Đường truyền được mã hóa đảm bảo tính bí mật của thông tin.

VPN

VPN

Firewall

CSA

Chi nhánh công ty

Khách hàng tại hộ gia đình

VPN

Nhân viên làm việc từ xa

Đối tác làm ăn

Trụ sở chínhWAN

Internet

KHÁI NIỆM MẠNG RIÊNG ẢO

Khái niệm:●Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng

(Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ sở

hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và

kiểm soát được truy cập

●Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một

doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết

nối an toàn, thực chất là qua một đường hầm riêng

●VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin

viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử

dụng giao thức tạo đường hầm và các phương thức an toàn.

CÁC THIẾT BỊ VPN

Các thiết bị VPN:●Customer site (Phía khách hàng):

oC (Customer devices): router, switch

oCE (Customer Edge devices): nằm ở biên, kết nối với mạng của nhà

cung cấp

●Provider site (Phía nhà cung cấp): P, PE

●VPN có thể xây dựng dựa trên CE hoặc PE (phải có tính năng hỗ

trợ VPN)

PHÂN LOẠI VPN

Phân loại:●Remote Access VPN

●Site to Site VPN: Intranet based, Extranet based

SITE TO SITE VPN

MARS

VPN

VPN

Iron Port

Firewall

IPS

Web Server

Email Server DNS

CSA

CSA

CSA

CSA

CSA

CSA

CSA

Regional branch with a VPN enabled Cisco ISR router

SOHO with a Cisco DSL

Router

VPN

Business Partnerwith a Cisco

Router

Site-to-SiteVPNs

Internet

WAN

Các thiết bị đầu cuối truyền nhận lưu lượng thông tin TCP/IP thông qua VPN gateway

REMOTE ACCESS VPN

VPN

Iron Port

Firewall

IPS

Web Server

Email Server DNS

CSACSA CSACSA

CSA

CSA

CSA

Mobile Worker with a Cisco VPN Client

Remote-accessVPNs

Internet

CÁC YÊU CẦU CƠ BẢN CỦA VPN

Các yêu cầu cơ bản: ●Bảo mật

●QoS

●Tính sẵn sàng và tin cậy

●Khả năng quản trị

●Khả năng tương thích

KHÁI NIỆM MẠNG RIÊNG ẢO

Các thành phần cơ bản của VPN:

ƯU NHƯỢC ĐIỂM VPN

Ưu và nhược điểm:●Ưu điểm:

oKhả năng mở rộng và linh hoạt caooGiá thành rẻ: Chỉ mất chi phí cho việc truy cập Internet thông thườngoGiảm chi phí thực hiện (thuê kênh riêng đường dài) và chi phí quản trị (duy trì hoạt động và

quản trị mạng WAN)oBăng thông không bị hạn chế (Chỉ phụ thuộc vào tốc độ đường truyền Internet) và sử dụng

hiệu quả băng thôngoNâng cao khả năng kết nối: Không hạn chế số lượng kết nốioĐảm bảo khả năng bảo mật giao dịch nhờ công nghệ đường hầm (mã hoá, xác thực truy

cập, cấp quyền)oQuản lý các kết nối dễ dàng thông qua account

●Nhược điểm:oPhụ thuộc nhiều vào mạng trung gian; khó thiết lập và quản trịoYêu cầu về chuẩn: 2 đầu đường hầm phải sử dụng cùng một thiết bị để đảm bảo khả năng

liên vận hànhoMọi giao thông qua VPN đều được mã hoá bất chấp nhu cầu có cần mã hoá hay không =>

Hiện tượng tắc nghẽn cổ chaioKhông cung cấp sự bảo vệ bên trong mạng

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

●Kỹ thuật đường hầm (tunneling)

●Các giao thức xây dựng mạng riêng ảo:o Giao thức VPN tại tầng 2:

PPTP L2F L2TP

o Giao thức VPN tại tầng 3 (IPSec và IKE)o Giao thức VPN tại tầng 4 (SSL/TLS)o Các giao thức quản trị:

RADIUS ISAKMP/Oakley

●Các công nghệ mạng riêng ảo MPLS VPN

IPSec VPN

SSL VPN

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

Kỹ thuật Tunneling:

●Tunneling là quá trình xử lý và đặt toàn bộ các gói tin trong một gói tin khác

và gửi đi trên mạng

●Kênh thông tin yêu cầu 3 giao thức:oGiao thức sóng mang (Carrier Protocol): truyền thông tin về trạng thái

đường truyền

oGiao thức đóng gói (Encapsulating Protocol): Che giấu nội dung truyền

(GRE, IPSec, L2F, PPTP, L2TP)

oGiao thức gói (Passenger Protocol): IPX, NetBeui, IP

Chiếc xe ô tô giống giao thức truyền tải, cái hộp giống

giao thức đóng gói và chiếc máy tính là giao thức gói

GIAO THỨC IPSEC THIẾT LẬP SITE TO SITE VPN

• Làm việc tại lớp mạng, bảo vệ và xác thực gói IP.

- Là một chồng các giao thức bảo gồm các thuật toán hoạt động độc lập.

- Đảm bảo tính bí mật, tính toàn vẹn và xác thực của dữ liệu.

Business Partnerwith a Cisco Router

Regional Office with aCisco PIX Firewall

SOHO with a CiscoSDN/DSL Router

Mobile Worker with aCisco VPN Client

on a Laptop Computer

ASA

LegacyConcentrator

Main Site

PerimeterRouter

LegacyCisco PIXFirewall

IPsec

POP

Corporate

IPSEC FRAMWORK

IPSEC ĐẢM BẢO TÍNH BÍ MẬT

DH7Diffie-Hellman

Key length: - 56-bits

Key length: - 56-bits (3 times)

Key length: - 160-bits

Key lengths: -128-bits-192 bits-256-bits

Least secure Most secure

IPSEC ĐẢM BẢO TÍNH TOÀN VẸN

DH7Diffie-Hellman

Key length: - 128-bits

Key length: - 160-bits)

Least secure Most secure

IPSEC ĐẢM BẢO TÍNH XÁC THỰC

DH7Diffie-Hellman

PRE-SHARED KEY

RSA SIGNATURES

SECURE KEY EXCHANGE

Diffie-Hellman DH7

IPSEC FRAMWORK PROTOCOL

All data is in plaintext.R1 R2

Data payload is encrypted.R1 R2

Authentication Header

Encapsulating Security Payload

AH provides the following: Authentication

Integrity

ESP provides the following: Encryption

Authentication

Integrity

AUTHENTICATION HEADER

Authentication Data (00ABCDEF)

IP Header + Data + Key

R1

R2

Hash

RecomputedHash

(00ABCDEF)

IP Header + Data + Key

Hash

ReceivedHash

(00ABCDEF)=

DataAHIP HDR

DataAHIP HDR

Internet

1. The IP Header and data payload are hashed

2. The hash builds a new AH header which is prependedto the original packet

3. The new packet is transmitted to the IPSec peer router

4. The peer router hashes the IP header and data payload, extracts the transmitted hash and compares

ESP

Diffie-Hellman DH7

CHỨC NĂNG CỦA ESP

ESP Trailer

ESP Auth

• Provides confidentiality with encryption

• Provides integrity with authentication

Router Router

IP HDR Data

ESP HDRNew IP HDR IP HDR Data

Authenticated

IP HDR Data

Internet

Encrypted

CÁC CHẾ ĐỘ LÀM VIỆC CỦA IPSEC

IP HDR ESP HDR Data

ESP HDR IP HDRNew IP HDR Data

Tunnel Mode

Transport ModeESP Trailer

ESP Auth

ESP Trailer

ESP Auth

Authenticated

Authenticated

IP HDR Data

Encrypted

Encrypted

Original data prior to selection of IPSec protocol mode

Security Associations

IPSec parameters are configured using IKE

CÁC GIAO THỨC VPN TẠI TẦNG 3

IKE:

●Là thành phần hỗ trợ giao thức IPSec, RFC 2409

●Cung cấp cơ chế sinh và phân phối khoá đối xứng, quản lý khoá cho SA

●Cung cấp tính an toàn cho luồng lưu thông của chính nó, thiết lập các liên kết an toàn cho nhiều dịch vụ khác nhau, trong đó có IPSec (Sinh và làm tươi khoá, định dạng an toàn và được bảo vệ)

●Sử dụng ISAKMP như một framework (cơ cấu), kết hợp Oakley và SKEME làm giao thức trao đổi khoá

●2 pha: oPha 1 thiết lập các liên kết an toàn ISAKMPoPha 2 Thoả thuận các SA thay mặt cho các dịch vụ

IKE PHASES

Host A Host BR1 R2

10.0.1.3 10.0.2.3

IKE Phase 1 Exchange

1. Negotiate IKE policy sets

2. DH key exchange

3. Verify the peer identity

IKE Phase 2 Exchange

Negotiate IPsec policy Negotiate IPsec policy

Policy 15DESMD5

pre-shareDH1

lifetime

Policy 10DESMD5

pre-shareDH1

lifetime

1. Negotiate IKE policy sets

2. DH key exchange

3. Verify the peer identity

IKE PHASE 1 – FIRST EXCHANGE

Negotiates matching IKE policies to protect IKE exchange

Policy 15DESMD5

pre-shareDH1

lifetime

Policy 10DESMD5

pre-shareDH1

lifetime

IKE Policy Sets

Policy 203DESSHA

pre-shareDH1

lifetime

Negotiate IKE Proposals

Host A Host BR1 R2

10.0.1.3 10.0.2.3

IKE PHASE 1 – FIRST EXCHANGE

Negotiates matching IKE policies to protect IKE exchange

Policy 15DESMD5

pre-shareDH1

lifetime

Policy 10DESMD5

pre-shareDH1

lifetime

IKE Policy Sets

Policy 203DESSHA

pre-shareDH1

lifetime

Negotiate IKE Proposals

Host A Host BR1 R2

10.0.1.3 10.0.2.3

IKE PHASE 1 – SECOND EXCHANGE

((YB ) mod p = K (YA ) mod p = K XB XA

Private value, XA

Public value, YA

Private value, XB

Public value, YBAlice

Bob

YYAA

YYBB

YB = g mod pXBYYAA = g mod pXA

A DH exchange is performed to establish keying material.

Establish DH Key

IKE Phase 1 – Third Exchange

Peer authentication methods• PSKs

• RSA signatures

• RSA encrypted nonces

HR Servers

Remote Office Corporate Office

Internet

PeerAuthentication

A bidirectional IKE SA is now established.

Authenticate Peer

IKE Phase 1 – Third Exchange

Peer authentication methods• PSKs

• RSA signatures

• RSA encrypted nonces

HR Servers

Remote Office Corporate Office

Internet

PeerAuthentication

A bidirectional IKE SA is now established.

Authenticate Peer

IKE Phase 1 – Aggressive Mode

Host A Host BR1 R2

10.0.1.3 10.0.2.3

IKE Phase 1 Aggressive Mode Exchange

1.Send IKE policy set and R1’s DH key

3.Calculate shared secret, verify peer identify, and confirm with peer

IKE Phase 2 Exchange

Negotiate IPsec policy Negotiate IPsec policy

Policy 15DESMD5

pre-shareDH1

lifetime

Policy 10DESMD5

pre-shareDH1

lifetime 2. Confirm IKE policy set, calculate shared secret and send R2’s DH key

4. Authenticate peer and begin Phase 2.

IKE Phase 2

Negotiate IPsec Security Parameters

Host A Host BR1 R2

10.0.1.3 10.0.2.3

• IKE negotiates matching IPsec policies.

• Upon completion, unidirectional IPsec Security

Associations(SA) are established for each protocol and

algorithm combination.

IPSec VPN Negotiation

IKE Phase 1

IKE Phase 2

IKE SA IKE SA

IPsec SAIPsec SA

1. Host A sends interesting traffic to Host B.

2. R1 and R2 negotiate an IKE Phase 1 session.

3. R1 and R2 negotiate an IKE Phase 2 session.

4. Information is exchanged via IPsec tunnel.

5. The IPsec tunnel is terminated.

R1 R2 10.0.2.3

IPsec Tunnel

10.0.1.3

CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO

SSL VPN:●Được xây dựng trên nền tảng giao thức SSL (Secure Socket Layer)●Yêu cầu cơ bản: 1 trình duyệt + 1 gateway●Gateway SSL VPN thường được đặt ở vùng DMZ phía sau tường lửa của doanh nghiệp, can thiệp vào các traffic đã được mã hoá đi qua cổng 443.●Gateway giải mã dữ liệu và cung cấp menu các ứng dụng được phép hoặc một kết nối mô phỏng môi trường làm việc tại văn phòng của người dùng từ xa●Ưu điểm:

oYêu cầu đơn giản -> Phổ biếnoKhả năng thiết lập an ninh trong môi trường phi Client

●Nhược điểm: oChi phí đầu tư cho máy chủ và thiết bị chuyên dụng lớnoĐòi hỏi trình độ bảo mật cao để vận hành và bảo trì hệ thốngoKhông hỗ trợ các ứng dụng không mã hoá cho SSL như Telnet, FTP, IP

Telephony, các ứng dụng Multicast và các ứng dụng yêu cầu QoS.oSSL Server yêu cầu bộ xử lý và bộ nhớ cao

REMOTE ACCESS VPN

IPsec Remote Access VPN

SSL-BasedVPN

Any Application

Anywhere Access

IPSEC VPN VÀ SSL VPN:

SSL VPN

• Integrated security and routing

• Browser-based full network SSL VPN access

SSL VPN

WorkplaceResources

Headquarters

Internet

SSL VPNTunnel

LOẠI ACCESS VPN

Full Tunnel Client Access Mode

KHỞI TẠO PHIÊN SSL/TLS

User using SSL client

User makes a connection to TCP port 443

Router replies with a digitally signed public key

Shared-secret key, encrypted with public key of the server, is

sent to the router

Bulk encryption occurs using the shared-secret key with a

symmetric encryption algorithm

User software creates a shared-secret key

1

2

3

4

5

SSL VPN enabled ISR

router

GIAO THỨC BẮT TAY CỦA SSL/TLS

QUÁ TRÌNH ĐÓNG GÓI DỮ LIỆU TRONG SSL/TLS