BÀI MẠNG RIÊNG ẢO (VPN) Bùi Trọng Tùng, Bộ mơn Truyền thơng Mạng máy tính Viện CNTT-TT, Đại học BKHN Nội dung • Giới thiệu chung VPN • Các mơ hình mạng riêng ảo • Giao thức VPN tầng • Giao thức VPN tầng • SSL VPN • Triển khai giải pháp VPN 1 GIỚI THIỆU CHUNG VỀ VPN Đặt vấn đề • Nguy an tồn thơng tin mạng Internet • Nghe • Giả danh • Giả mạo • Giải pháp • Point-to-point link : lease line Hoặc • Mã hóa bảo mật • Xác thực  Virtual Private Network VPN gì? • Kết nối mạng công cộng (Internet) bảo đảm an tồn an ninh, với sách mạng riêng: VPN • Virtual • Private • Network Internet • Mở rộng mạng Intranet Internet VPN Các thành phần VPN • VPN gateway: cung cấp dịch vụ kết nối VPN cho nút • • • • mạng VPN client: điểm đầu cuối(PC, Smartphone, Gateway…) yêu cầu kết nối VPN Đường hầm VPN Giao thức VPN Phân loại: • VPN phần cứng • VPN phần mềm Một số sản phẩm tiêu biểu • VPN phần cứng: • Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính router, switch), ASA 5500 series (tích hợp UTM) • F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050 • Citrix NetScaler MPX • Dell SonicWall • VPN phần mềm: • OpenVPN • FreeS/WAN • pfSense Hoạt động VPN • Xác thực • Mã hóa • Đóng gói • Gói tin truyền liên kết VPN đóng gói lại theo giao thức VPN • Tiêu đề thêm vào sử dụng địa IP VPN gateway • Các thơng tin tiêu đề ban đầu che giấu đảm bảo tính toàn vẹn(địa chỉ, số hiệu cổng ứng dụng) Hoạt động VPN Các chế độ kết nối • Transport mode • Trên cặp thiết bị đầu cuối • Dữ liệu đóng gói VPN packet • Hạn chế ??? • Tunnel mode • Các thiết bị đầu cuối khơng tham gia vào VPN • Kết nối VPN thơng qua thiết bị trung gian • Ưu điểm??? 10 Đường hầm VPN(VPN Tunneling) 11 Các mô hình mạng riêng ảo • Mơ hình truy cập từ xa(client-to-site) 12 Các mơ hình mạng riêng ảo • Mơ hình site-to-site Intranet dựa WAN Intranet dựa VPN 13 Các mơ hình mạng riêng ảo • Mơ hình site-to-site (tiếp) Extranet dựa WAN Extranet dựa VPN 14 VPN topology • VPN topology: cách thức kết nối thiết bị VPN gateway • Thường phù hợp với topology hạ tầng mạng • VPN dạng lưới(mesh) • Mỗi điểm thiết bị VPN kết nối với nhiều tất thiết bị VPN khác • Khó mở rộng 15 VPN topology – Dạng • Hub-and-spoke • Sử dụng thiết bị VPN đóng vai trị tập trung kết nối • Ưu điểm: • Triển khai đơn giản • Dễ mở rộng 16 VPN topology – Dạng lai • Sử dụng cho hệ thống lớn, phức tạp • Phần mạng lõi trung tâm sử dụng dạng lưới • Các mạng nhánh kết nối tới trung tâm theo dạng 17 VPN đơn điểm kết nối • Sử dụng cho mạng cỡ nhỏ, nhu cầu kết nối VPN • Tất lưu lượng qua VPN gateway • VPN gateway nằm VPN domain 18 VPN đa điểm kết nối • Dùng cho mạng lớn, nhu cầu kết nối VPN cao • Có thể sử dụng nhiều VPN gateway • VPN gateway nằm VPN domain 19 CÁC GIAO THỨC VPN 20 10 Thiết kế 2.3 Xác thực • Lựa chọn phương pháp xác thực tài khoản truy cập • Lựa chọn giải pháp quản lý người dùng, quản lý khóa 2.4 Các vấn đề khác: • IPSec: Vịng đời IKE IPSec SA, chế độ hoạt động IKE, tham số Diffie-Hellman • Sao lưu, dự phịng • Quy trình phản ứng cố 57 Các giai đoạn triển khai VPN Triển khai đánh giá mơi trường thử nghiệm • Kết nối VPN • Kiểm sốt lưu lượng • Xác thực người dùng • Tương thích với hệ thống • Quản trị: tính dễ sử dụng với người dùng, thơng số TCP/IP, sách mạng… • Log • Hiệu Triển khai Vận hành quản trị 58 29 Kiến trúc triển khai VPN • Triển khai firewall 59 Kiến trúc triển khai VPN Triển khai firewall: • Ưu điểm: • Thiết kế triển khai dễ dàng • Dễ dàng tương thích với chế hoạt động firewall • Giữ ngun sách firewall áp dụng lên lưu lượng mạng • Nhược điểm: • Phục thuộc vào tính hỗ trợ VPN firewall • Firewall phải mở cổng dịch vụ VPN(IPSec: 500, 4500; SSL: 443) 60 30 Kiến trúc triển khai VPN • Triển khai trước firewall 61 Kiến trúc triển khai VPN Triển khai trước firewall: • Ưu điểm: kiểm sốt hồn tồn lưu lượng • Nhược điểm: • VPN Gateway khơng bảo vệ • Dữ liệu bị nghe phân vùng DMZ khơng cấu hình firewall cách đắn 62 31 Kiến trúc triển khai VPN Triển khai bên vùng mạng riêng(sau firewall) 63 Kiến trúc triển khai VPN Triển khai bên vùng mạng riêng(sau firewall) • Cấu hình firewall cho phép kết nối từ bên tới cổng dịch vụ VPN gateway • Nên đặt thêm firewall kiểm soát luồng liệu từ VPN gateway tới phần lại mạng riêng • Ưu điểm: • Khơng phụ thuộc vào sản phẩm firewall • Khơng cần mở cổng dịch vụ firewall • Nhược điểm: • Các sách filewall áp dụng với lưu lượng VPN  phát sinh nguy lưu lượng kết nối VPN lưu lượng công 64 32 Kiến trúc triển khai VPN Triển khai bên vùng mạng riêng: mơ hình khác 65 Kiến trúc triển khai VPN • Triển khai bên vùng mạng DMZ(sau firewall) 66 33 Kiến trúc triển khai VPN Triển khai bên vùng mạng DMZ(sau firewall) • Cấu hình firewall cho phép kết nối từ bên tới cổng dịch vụ VPN gateway • Cấu hình firewall kiểm sốt liệu tới cổng ứng dụng khác lưu lượng từ VPN gateway tới vùng mạng bên • Nên đặt thêm firewall để cách ly VPN gateway vùng mạng riêng, • Thiết lập phân vùng mạng DMZ riêng cho VPN gateway 67 Kiến trúc triển khai VPN Triển khai bên vùng mạng DMZ(sau firewall) • Ưu điểm: • Khi VPN gateway bị chiếm quyền điều khiển, kiểm soát truy cập tới vùng mạng bên trong giải pháp tốt giảm thiểu nguy bị quyền điều khiển VPN gateway • Giữ ngun sách firewall áp dụng lên lưu lượng mạng tới vùng mạng riêng • Nhược điểm: • Khơng ngăn chặn cơng ARP nghe lưu lượng mạng tới mạng riêng truyền hạ tầng vùng DMZ • Nếu cung cấp kết nối VPN chế độ đầy đủ, không ngăn chặn công bên phân vùng DMZ khơng áp đặt sách với lưu lượng mạng vào vùng DMZ 68 34 Kiến trúc triển khai VPN • Triển khai vùng mạng DMZ, sử dụng giao tiếp mạng 69 Kiến trúc triển khai VPN Triển khai bên vùng mạng DMZ, sử dụng giao tiếp VPN gateway • Giao tiếp mạng bên ngoài: kết nối với mạng DMZ, cung cấp kết nối SSL VPN cho người dùng từ xa • Giao tiếp mạng bên trong: kết nối với firewall Mọi lưu lượng VPN gateway mạng bên phải qua giao tiếp  kiểm sốt lưu lượng cơng • Hạn chế: • Cấu hình định tuyến cho mạng trở nên phức tạp • Nếu cung cấp kết nối VPN chế độ đầy đủ, không ngăn chặn công bên phân vùng DMZ khơng áp đặt sách với lưu lượng mạng vào vùng DMZ 70 35 Vấn đề định tuyến với VPN • Client sử dụng địa ảo truy cập tới nút mạng vùng mạng riêng: • Phải cấu hình định tuyến để nút mạng vùng mạng riêng gửi liệu trả lời tới VPN gateway • Tại khơng nên dùng NAT? • Giải pháp triển khai VPN bên vùng mạng DMZ, sử dụng giao tiếp mạng: • Cấu hình định tuyến tĩnh VPN server 71 CASE STUDY 1: TRIỂN KHAI IPSEC VPN THEO MƠ HÌNH SITE-TO-SITE 72 36 Mơ tả tốn 73 Lựa chọn giải pháp • Leased line: • Chi phí đắt • Cần kết hợp với giải pháp VPN tầng • IPSec VPN: • Client-to-site • Site-to-site • SSL VPN: sử dụng ứng dụng tảng Web • SSL VPN: sử dụng proxy 74 37 Thiết kế giải pháp • Xác thực VPN gateway(router): pre-shared key • Thuật tốn mã mật xác thực cho liệu: AES-128, HMAC-SHA-1 • Lọc gói: xác định luồng liệu từ văn phịng chi nhánh tới văn phịng khơng cần bảo vệ: • Phụ thuộc vào dịch vụ văn phịng cho phép kết nối từ mạng cơng cộng • Lưu ý khâu kiểm thử, thực kiểm thử lần lượt: Khơng có lọc  Thêm lọc cho luồng 75 Triển khai thử nghiệm Trong trường hợp mạng khơng có mơi trường thử nghiệm chuyên biệt, thực giai đoạn vào thời gian ngồi làm việc • B1: Kiểm tra lại trạng thái bảo mật router • B2: Sao lưu cấu hình router • B3: Kiểm tra tính hỗ trợ IPSec VPN router • B4: Cấu hình chế xác thực router(định nghĩa SA) (config)# crypto isakmp policy priority (config-isakmp)# encryption {des | 3des | aes | aes-192 | aes-256} (config-isakmp)# hash {sha | md5} (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share} (config-isakmp)# group {1 | | | 7} (config)# crypto isakmp key {0 | 6} keystring address peer_address [subnet_mask] [no-xauth] 76 38 Triển khai thử nghiệm • B5: Cấu hình chế độ IPSec thuật tốn mật mã (config)# crypto ipsec transform-set transform_set_name crypto_set auth_set • B6: Định nghĩa lọc (config)# access-list ACL_number permit ip sourceIP source_wild_card destIP dest_wild_card • B7: Kết nối cấu hình bước 4, 5, (config)# crypto map map_name seq_# ipsec-isakmp (config-crypto-m)# match address ACL_number (config-crypto-m)# set peer peer_address (config-crypto-m)# set transform-set transform_set_name 77 Triển khai thử nghiệm • B8: Thiết lập cấu hình IPSec cho cổng kết nối mạng (config)# interface interfaceID (config-if)# crypto map map_name • B9: Kiểm tra cấu hình # show crypto isakmp sa [detail] # show crypto isakmp policy # show crypto map # show crypto ipsec sa # debug crypto isakmp # debug crypto ipsec # debug crypto engine • B10: Kiểm thử 78 39 CASE STUDY 2: TRIỂN KHAI SSL VPN THEO MÔ HÌNH CLIENT-TO-SITE 79 Mơ tả tốn • Một cơng ty có số lượng lớn nhân viên làm việc bên ngồi với cơng việc thu thập số liệu thị trường bán lẻ Những nhân viên thường xuyên phải kết nối tới mạng nội công ty để chia sẻ số liệu, sử dụng hệ thống phân tích số liệu, cập nhật tiến độ công việc, lịch công tác… • Hệ thống mạng cơng ty triển khai giải pháp IPSec VPN theo mơ hình truy cập từ xa Mỗi nhân viên công ty cấp máy tính cá nhân có phần mềm VPN client • Tuy nhiên, số trường hợp, lý bất khả kháng, nhân viên khơng thể sử dụng máy tính cơng ty Khi đó, muốn sử dụng máy tính khác để thay 80 40 Yêu cầu • Tất nhân viên nghiên cứu thị trường truy cập vào tồn tài ngun mạng nội sử dụng máy tính cơng ty cấp phát • Nếu nhân viên sử dụng máy tính khác, phép truy cập giới hạn vào số dịch vụ mạng nội • Một phận nhân viên phịng Nhân cơng tác truy cập vào mạng nội công ty, sử dụng ứng dụng Quản lý hồ sơ nhân viên cơng ty 81 Thiết kế giải pháp Chính sách truy cập • Liệt kê phân nhóm tài ngun mạng nội truy cập qua SSL VPN: • Liệt kê nhóm người dùng • Liệt kê điều kiện để truy cập vào tài nguyên mạng nội • Điều kiện chung: máy tính truy cập SSL VPN phải cập nhật phiên HĐH nhất, cài đặt phần mềm firewall, anti-virus • Người dùng sử dụng máy tính cơng ty cấp? • Người dùng sử dụng máy tính khác? • Người dùng nhân viên phòng Nhân sự? 82 41 Thiết kế giải pháp • Cách thức truy cập: • Từ máy tính cơng ty cấp • Từ máy tính khác • Từ máy tính nhân viên phịng nhân • Cách thức xác thực: sử dụng RADIUS server 83 Tổng kết Ưu điểm Nhược điểm PPTP • Hỗ trợ giao thức non-IP • Phải cài đặt cấu hình phần mềm VPN client • Thuật tốn mã hóa yếu • Khơng có giao thức xác thực mạnh • Chỉ hỗ trợ phiên kết nối VPN L2TP • Hỗ trợ giao thức non-IP • Hỗ trợ nhiều phiên kết nối VPN • Hỗ trợ RADIUS server • Có thể kết hợp IPSec để cung cấp dịch vụ mã mật quản lý khóa • Phải cài đặt cấu hình phần mềm VPN client 84 42 Tổng kết Ưu điểm L2F Nhược điểm • Hỗ trợ giao thức non-IP • • Trong suốt với client • Hỗ trợ RADIUS server • • IPSec • Được hỗ trợ HĐH • Cơ chế mật mã mạnh • Hỗ trợ giao thức xác thực khác • Trong suốt với người dùng sử dụng mơ hình siteto-site • • • Yêu cầu phối hợp ISP Không bảo vệ liệu từ client tới ISP Khơng có chế bảo mật riêng Chỉ hỗ trợ giao thức IP Phải cài đặt cấu hình VPN client Khơng bảo vệ liệu từ client tới VPN gateway mô hình site-to-site 85 Tổng kết Ưu điểm SSL • Hỗ trợ trình duyệt Web • Cơ chế mật mã mạnh • Cung cấp chế xác thực đa lớp • Trong suốt với client • Hỗ trợ kiểm soát truy cập Nhược điểm • • Chỉ bảo vệ liệu liên kết TCP Hạn chế triển khai mơ hình site-to-site 86 43