1. Trang chủ
  2. » Công Nghệ Thông Tin

Bài giảng An ninh mạng: Bài 7 - ThS. Phạm Đình Tài

32 4 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 32
Dung lượng 818,33 KB

Nội dung

Bài giảng An ninh mạng: Bài 7 Bảo mật truy cập từ xa, cung cấp cho người học những kiến thức như: Truy cập từ xa và nguy cơ bảo mật; Giới thiệu Mạng riêng ảo (VPN); Các giao thức VPN thông dụng; VPN Client to Site; VPN Site to Site. Mời các bạn cùng tham khảo!

TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN NINH MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Giảng viên: ThS Phạm Đình Tài Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài Các kỹ thuật công mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài Bảo mật truy cập từ xa -2- Bài 6: Bảo vệ Server công cộng Truy cập từ xa nguy bảo mật Giới thiệu Mạng riêng ảo (VPN) Các giao thức VPN thông dụng VPN Client to Site VPN Site to Site Truy cập từ xa mối nguy hiểm • Truy cập từ xa (Remote Access) • Là phương pháp cho phép người dùng truy cập từ xa vào máy tính / dịch vụ mạng nội • Các ví dụ: • Remote Desktop: diều khiển máy tính từ xa • FTP: truy cập tập tin / thư mục từ xa • Các ứng dụng dạng Server – Client • Phương pháp truy cập từ xa: • Port Forwarding / NAT port / Open port: dùng giao thức tầng Transport (layer 4) • Routing: dùng giao thức định tuyến mạng (layer 3) -4- Truy cập từ xa mối nguy hiểm • Port forwarding: • Gói Request nhận Public IP Router chuyển tiếp vào Server mạng • Phân loại gói Request địa Port (UDP TCP) -5- Truy cập từ xa mối nguy hiểm • Nguy Port Forwarding: • Khi người dùng bên gởi yêu cầu Router: dễ bị đánh cắp gói tin (sniffer) / cướp phiên (session hijacking)… • Lợi dụng TCP port mở Router để tạo backdoor cho Trojan -6- Giới thiệu Mạng riêng ảo (VPN) • VPN (Virtual Private Network) • VPN hệ thống mạng riêng ảo kết nối máy tính dựa mơi trường internet • Trên đường truyền internet, VPN tạo đường hầm (tunnel) để kết nối mạng riêng người dùng • Có dạng VPN: • VPN Client to Site (Client to Gateway) • VPN Site to Site (Gateway to Gateway) -7- Giới thiệu Mạng riêng ảo (VPN) • Các giao thức VPN thơng dụng: • PPTP (Point-to-Point Tunneling Protocol): tạo đường hầm kết nối VPN Client VPN Server • L2TP (Layer Tunneling Protocol): cải tiến từ PPTP, có sử dụng phương thức mã hóa IPSec (IP Security) • GRE (Generic Routing Encapsulation): Router nhận dạng kiểu đóng gói riêng phép gói tin vào mạng • IPSec VPN: tương tự GRE, gói tin nhận dạng đóng gói có mã hóa IPSec • DM-VPN (Dynamic Multipoint-VPN): cải tiến từ GRE, cho phép VPN đa điểm • MPLS-VPN (Multi-Protocol Label Switching – VPN): ứng dụng công nghệ “chuyển mạch nhãn đa giao thức” để tạo VPN -8- Giới thiệu Mạng riêng ảo (VPN) • Giao thức PPTP (Point-to-Point Tunneling Protocol) : • PPTP giao thức tạo “đường hầm” (tunnel) kết nối Client Server dựa đường truyền internet • PPTP phát sinh interface ảo VPN Client VPN Server • IP address VPN interface (ảo) phải Network address • Hoạt động PPTP: • Client tạo gọi (dial-up) Server (xác định Server Public IP address Domain name) • Server tiếp nhận yêu cầu chứng thực (Authentication) • Client gởi thông tin tài khoản: User (dạng Plan text) password (dạng NTLM Hash) cho Server • Server chứng thực thành cơng: • Gởi Key cho Client mã hóa liệu trao đổi với Server => tunnel • Cấp IP address cho VPN Client interface -9- Giới thiệu Mạng riêng ảo (VPN) • Ưu nhược điểm giao thức PPTP: • Ưu điểm: liệu truyền mã hóa thành kênh riêng => bảo mật thơng tin q trình truyền • Nhược điểm: Thơng tin chứng thực (user / password) gởi plan-text => Attacker dễ dàng đánh cắp đường truyền • Giao thức L2TP (Layer Tunneling Protocol) • L2TP dùng giao thức IPSec (IP Security) để mã hóa thơng tin Client trao đổi với Server • Để mã hóa giải mã, L2TP dùng phương thức Pre-shared key (PSK) để Client Server thống Khóa mã trước với • Các thơng tin trao đổi (như user / password, liệu…) đóng gói theo IPSec truyền đường hầm (tunnel) tương tự PPTP - 10 - Triển khai VPN Client-to-site • Cấu hình VPN Server RRAS wizard: • IP address Assignment: Xác định IP range cấp phát cho tunnel dạng: • Dùng DHCP Server mạng nội (yêu cầu: RRAS phải kích hoạt chức DHCP relay agent) • Static Address range: cụ thể dãy IP address cấp cho tunnel (cùng khác Network address với Nội được) • Authentication: chứng thực tài khoản kết nối VPN dạng: • Dùng RADIUS Server (dịch vụ Network Policy Server – NPS) • Windows authentication: dùng tài khoản Windows (local or domain) - 18 - Triển khai VPN Client-to-site • Kết nối VPN từ máy Windows Client: • Tạo kết nối VPN Windows: • Mở “Network and Sharing center” 🡪 chọn “Setup a new connection on network” • Chọn “Connect to a workplace” 🡪 chọn “VPN” • Nhập WAN IP (hoặc tên miền) VPN Server Đồng thời đặt tên cho kết nối VPN - 19 - Triển khai VPN Client-to-site • Kết nối VPN từ máy Windows Client: • Thực thi kết nối VPN tới mạng Cơng ty: • Mở “Network connections” 🡪 nhấp phải icon kết nối VPN 🡪 chọn “Connect” • Nhập thơng tin tài khoản phép kết nối VPN • Nếu kết nối VPN thành cơng: • Máy Windows giao tiếp với mạng nội cơng ty • Mặc định, kết nối internet Client dùng VPN Server Default Gateway - 20 - VPN Site-to-Site • Khái niệm VPN Site-to-Site: • VPN tunnel hình thành máy VPN Server Site • Mỗi VPN Server đóng vai trò Gateway cho định tuyến mạng (Site-to-Site) • Các máy Clients Site cần trỏ Default Gateway VPN Server mà tạo kết nối VPN 21 VPN Site-to-Site • Các đặc tính VPN Site-to-Site: • Mỗi VPN Server kiêm nhiệm vai trị VPN Client để kết nối vào mạng bên (remote site) => VPN Server phải tạo VPN connection đẻ kết nối tới remote site • RRAS hỗ trợ phương thức tự động kết nối VPN theo yêu cầu (Demand Dial routing) • Định tuyến PPTP-VPN loại chiều – định tuyến từ VPN Client 🡪 (vào) mạng nội VPN Server • Để đáp ứng định tuyến cho sites: • VPN Server site phải tạo “kết nối VPN” site bên • Khi VPN Server B kết nối VPN vào site-A, VPN Server A phải tự động thực kết nối VPN ngược site-B • PPTP-VPN Site-to-Site thành công VPN Server phát sinh tunnel (1 vai trò Server vai trị Client) 22 VPN Site-to-Site • Giải pháp cho việc tự động kết nối VPN site-to-site: • Giải pháp tự động kết nối đến Remote site: • Demand Dial routing tính có sẵn RRAS • Người dùng nội gởi VPN Server gói tin chứa yêu cầu định tuyến Remote site • Demand Dial routing tự động thực hiên kết nối VPN Remote site (site có mạng đích theo u cầu định tuyến gói tin) • Giải pháp nhận dạng tự động kết nối ngược site đối tác: • RRAS nhận dạng tên Site xa dựa tên tài khoản (Dial-in User) mà site xa khai báo chứng thực • RRAS chọn “VPN connection” có tên trùng khớp với tên Dial-in User để tự động thực kết nối ngược site đối tác • Nguyên tắc: • trùng 23 Triển khai VPN Site-to-Site • Các Network topology VPN Server: • VPN Server có NIC – đặt sau Edge device: • Trên Router: mở port sau VPN Server: • PPTP (tcp 1723) • L2TP (udp 1701) • IPSecurity IKE (udp 500 udp 4500) 24 Triển khai VPN Site-to-Site • Các Network topology VPN Server: • VPN Server có NIC – đặt sau Edge device: • Trên Router: mở port sau VPN Server: • PPTP (tcp 1723) • L2TP (udp 1701) • IPSecurity IKE (udp 500 udp 4500) 25 Triển khai VPN Site-to-Site • Các Network topology VPN Server: • VPN Server có NIC – vai trị Edge device: 26 Triển khai VPN Site-to-Site • Quy trình triển khai VPN Site-to-Site: • Cấu hình RRAS trở thành VPN Server • Chuẩn bị Dial-in User (local user / Domain user / RADIUS…) • Chuẩn bị “IP address range” cho VPN interfaces • Tạo “VPN connection” để kết nối tới Remote site • Các lưu ý: • Các cơng đoạn cấu hình VPN Server, Dial-in User, IP address cho tunnel tương tự triển khai VPN Client-to-Site • Tạo “VPN connection” cần quan tâm: • Đảm bảo “tên VPN connection” trùng “tên Dial-in User” • WAN IP address Remote site • Dial-out User Dial-in User Remote site • Remote Network address: địa mạng Remote site 27 Triển khai VPN Site-to-Site • Minh họa triển khai VPN Site-to-Site: • Chuẩn bị tài khoản cấp cho Remote site thực dial-in: Nội dung Site (HCM) Site (HaNoi) Tạo Dial-in User HaNoi / pass1 HCM / pass2 Site (HCM) Site (HaNoi) HaNoi PPTP (or L2TP) 10.0.0.y IP: 192.168.20.0 HCM PPTP (or L2TP) 10.0.0.x IP: 192.168.10.0 M: 255.255.255.0 M: 255.255.255.0 HCM / pass2 HaNoi / pass1 • Tạo VPN Connection: Nội dung Interface Name: VPN type: Destination address: Static route for remote network: Dial-Out credentials: 28 Client-to-site qua Firewall - 29 - Client-to-site qua Firewall - 30 - Client-to-site qua Firewall - 31 - Thảo Luận Cấu trúc MT – ThS Vương Xuân Chí Trang 32 ... học: AN NINH MẠNG Bài Các kỹ thuật cơng mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài. .. Remote site • Dial-out User Dial-in User Remote site • Remote Network address: địa mạng Remote site 27 Triển khai VPN Site-to-Site • Minh họa triển khai VPN Site-to-Site: • Chuẩn bị tài khoản cấp... Client-to-site qua Firewall - 29 - Client-to-site qua Firewall - 30 - Client-to-site qua Firewall - 31 - Thảo Luận Cấu trúc MT – ThS Vương Xuân Chí Trang 32

Ngày đăng: 27/01/2023, 08:39