1. Trang chủ
  2. » Công Nghệ Thông Tin

Bảo mật VPN( Mạng riêng ảo)

36 2 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 36
Dung lượng 2,63 MB
File đính kèm Bảo mật VPN.rar (2 MB)

Cấu trúc

  • CHƯƠNG I: BẢO MẬT TRONG VPN 1.1-TỔNG QUAN VỀ VPN (5)
    • 1.1.1. Định nghĩa (5)
    • 1.1.2. Phân loại VPN (0)
      • 1.1.2.1. Mạng VPN truy nhập từ xa (5)
      • 1.1.2.2. Mạng VPN điểm nối điểm (6)
    • 1.1.3. Các giao thức VPN (7)
    • 1.2.1. Các mối đe dọa đối với quá trình bảo mật (9)
      • 1.2.1.1. Mối đe dọa từ bên ngoài (9)
      • 1.2.1.2. Mối đe dọa từ bên trong (9)
      • 1.2.1.3. Mối đe dọa từ hai phía (10)
    • 1.2.2. Các kiểu tấn công VPN (11)
      • 1.2.2.1. Tấn công vào các thành phần VPN (11)
      • 1.2.2.2. Tấn công giao thức VPN (13)
      • 1.2.2.3. Tấn công bằng kỹ thuật giải mã (15)
      • 1.2.2.4. Tấn công từ chối dịch vụ (16)
    • 1.2.3. Các công nghệ bảo mật VPN (0)
      • 1.2.3.1. Kỹ thuật xác thực từ xa (17)
      • 1.2.3.2. Các giải pháp bảo mật khác cho VPN (21)
  • CHƯƠNG II MÔ HÌNH THỬ NGHIỆM 2.1. Mô hình thử nghiệm (29)
    • 2.2. Các bước cài đặt mô hình (30)
    • 2.3. Kết quả thử nghiệm (35)
  • KẾT LUẬN (36)

Nội dung

Mạng riêng ảo VPN( Bảo mật VPN).Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN Tìm hiểu về mạng riêng ảo VPN

BẢO MẬT TRONG VPN 1.1-TỔNG QUAN VỀ VPN

Phân loại VPN

BẢO MẬT VPN 1.1.TỔNG QUAN VỀ VPN

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ.

Các thuật ngữ dùng trong VPN như sau:

-Virtual: nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết nối khi lưu lượng mạng chuyển qua

- Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy cập bởi những người sử dụng được trao quyền

- Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những trạm hay những node để mang dữ liệu.

1.1.2.1.Mạng VPN truy nhập từ xa

Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa

Hình 1.2 : Mô hình mạng VPN truy nhập từ xa 1.1.2.2.Mạng VPN điểm nối điểm ( site - to - site)

VPN điểm-nối-điểm dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên Intranet hoặc Extranet

-VPN intranet (VPN nội bộ)

Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung.

Hình 1.3: Mô hình mạng VPN cục bộ -VPN extranet (VPN mở rộng)

Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp.

Các giao thức VPN

Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer

Bảng 1: Vị trí các giao thức trong mô hình OSI

Các giao thức được trình bày trong bảng sau:

Bảng 2: Các giao thức sử dụng trong VPN1.2.BẢO MẬT TRONG VPN

Các mối đe dọa đối với quá trình bảo mật

VPN cũng bị đe dọa về việc bảo mật giống như các mạng khác

1.2.1.1 Mối đe dọa từ bên ngoài

Thủ phạm thực hiện các vụ tấn công là các tin tặc, những kẻ nằm ngoài công ty Các tin tặc này có thể là chuyên gia nhưng cũng có thể chỉ là những kẻ nghiệp dư Bọn chúng có chung mục đích là xâm nhập bất hợp pháp vào hệ thống của công ty Nguy hiểm nhất là bọn chúng có thể gây ra những thiệt hại nặng nề cho công ty.

Hình 1.5: Một cuộc tấn công từ bên ngoài

Khó khăn lớn nhất khi đối đầu với những mối đe dọa từ bên ngoài là việc xác định danh tính các tin tặc Việc này thường rất khó làm Động cơ của việc xâm nhập này thường là: tò mò, vui thích, triệt hạ đối thủ, báo thù Hai động cơ cuối cùng cực kỳ nguy hiểm đối với công ty – báo thù và triệt hạ đối thủ cạnh tranh Nếu chỉ đơn thuần mua vui hoặc tò mò, các tin tặc thường không gây hại cho hệ thống Các tin tặc thường không muốn tấn công khi hệ thống đã bị phá vỡ Ngược lại nếu động cơ của các tin tặc là báo thù, bọn chúng thường gây thiệt hại nặng cho hệ thống Dữ liệu sẽ bị cướp và gây ra những thiệt hại rất lớn cho công ty.

1.2.1.2 Mối đe dọa từ bên trong

Thông thường người ta chỉ lo bảo vệ hệ thống và dữ liệu của họ khỏi các mối đe dọa từ bên ngoài mà quên mất những kẻ thù từ bên trong Theo thống kê những mối đe dọa thường bắt đầu từ bên trong Theo nghiên cứu của FBI's Computer Security Institute and Ernst and Young thì 60% các vụ tấn công xuất phát từ bên trong.

Hình 1.6 : Một cuộc tấn công từ bên trong. Động cơ của các vụ tấn công từ bên trong thường là: báo thù, hám lợi hoặc để đỡ buồn Có hai lọai đối tượng chính thực hiện các vụ tấn công này, một là những chuyên gia trong lĩnh vực mạng, họ nắm những bí quyết công nghệ kỹ thuật cao, nắm những vị trí trọng trách trong công tác quản trị mạng của công ty (như quản trị mạng) Hai là những người không có trách nhiệm trong việc bảo mật mạng nhưng có những hiểu biết nhất định về mạng Cuối cùng mối đe dọa đến từ những kẻ không có chút kỹ thuật nào về mạng

Các nhân viên chịu trách nhiệm trong việc triển khai, bảo trì, và quản lý hệ thống mạng của công ty thuộc về nhóm thứ nhất của các đối tượng có thể tấn công Đối tượng này có những hiểu biết sâu sắc về hệ thống mạng của công ty và cách tấn công vào những vị trí nhạy cảm nhất Nếu muốn, những đối tượng này có thể tấn công hệ thống một cách dễ dàng Hậu quả của những cuộc tấn công này vô cùng nặng nề, phải mất hằng ngày hoặc không bao giờ để khôi phục lại hệ thống như cũ

Các đối tượng thuộc nhóm thứ hai có kỹ thuật cao, họ sử dụng kiến thức mạng hoặc các mối quan hệ xã hội để tìm kiếm các lỗ hổng bảo mật có giá trị lớn để xâm nhập vào cơ sở dữ liệu Thiêt hại có thể khắc phục được nhưng cũng có thể mất hết Đối tượng thứ ba họ thường sử dụng virus, trojan và worm.

1.2.1.3 Mối đe dọa từ hai phía (Collaborative Security Threats)

Những vụ tấn công nặng nề nhất cần có sự phối hợp từ bên ngoài và bên trong Thông thường những nhân viên bên trong sẽ cung cấp ID và mật khẩu, các tin tặc bên ngoài có thể sử dụng những thông tin đó để tấn công hệ thống Hệ thống bị đe dọa từ bên ngoài và bên trong Đối tượng trực tiếp tấn công là các tin tặc bên ngoài nên rất khó để lần ra dấu vết

Hình 1.7: Một cuộc tấn công phối hợp bên trong và bên ngoài.

Các kiểu tấn công VPN

Một hệ thống VPN có thể bị tấn công từ rất nhiều đường, ví dụ như :

-Security threats to VPN elements - Tấn công vào các thành phần của VPN

-Attacks against VPN protocols - Tấn công vào các giao thức của VPN

-Cryptanalysis attacks - Tấn công bằng cách giải mã

-DoS - Từ chối dịch vụ

1.2.2.1.Tấn công vào các thành phần của VPN

Các thành phần quan trọng của VPN (hình 1.8) gồm có :

-The dial-in remote user - Quay số vào của người dùng từ xa.

-The dial-in ISP segments - Quay số vào của phân đọan ISP

-The host network gateway - Cổng mạng máy chủ

Hình 1.8: Thành phần của VPN

Quay số vào là động tác đầu tiên để thực hiện kết nối VPN Mối đe dọa lớn nhất là người dùng có thể lộ mật khẩu và tên truy cập Do đó người dùng cần chú ý bảo vệ cẩn thận tên truy cập và mật khẩu khi thực hiện kết nối VPN Thay đổi mật khẩu là một cách để ngăn các tin tặc đóan mật khẩu Bên cạnh đó người dùng cần cẩn thận để không bị nhìn lén khi đang làm việc Sử dụng chương trình bảo vệ mật khẩu của window và khóa trạm làm việc của mình lại khi không làm việc nữa Cẩn thận hơn bạn cần khóa cửa phòng cũng như khóa máy lại cẩn thận.

Quay số vào của phân đọan ISP là một điểm yếu thứ hai của VPN Phân đọan này sẽ đưa thông tin của người dùng đến ISP's Network Access Server (NAS) Nếu dữ liệu không được mã hóa cẩn thận, nó có thể bị đọc tại đầu cuối ISP Dữ liệu cũng có thể bị đọc trộm trên đọan đường từ đầu cuối người dùng và mạng nội bộ của ISP Có thể khắc phục việc này bằng cách mã hóa dữ liệu tại đầu cuối của người dùng trước khi truyền đi đến đầu cuối ISP Tuy nhiên nếu cơ chế mã hóa không tốt , nó có thể bị giải mã ngược lại và lấy cắp thông tin cho các mục đích khác

Chúng ta đã biết, kết nối internet và các đường hầm theo sau hoàn toàn độc lập theo một ISP Tuy nhiên nếu ý định của ISP là bất hảo, nó sẽ thiết lập một đường hầm giả, cổng nối giả (Xem minh họa hình 1.9) Trong trường hợp này, những dữ liệu nhạy cảm của người dùng sẽ được chuyển đến cổng nối giả, thông tin này sẽ bị cướp và sử dụng cho mục đích riêng Cổng giả cũng có thể thay đổi dữ liệu và chuyển nó đến đầu cuối Đầu cuối không hề nhận ra dữ liệu đã bị thay đổi và nghĩ đó là dữ liệu gốc ban đầu Do đó những dữ liệu nguy hiểm có thể xâm nhập vào hệ thống

Hình 1.9: ISP giả tạo tải các tập tin dữ liệu nguy hiểm vào mạng nột bộ

Một điều cần nhấn mạnh là dữ liệu sẽ di chuyển qua đường hầm băng qua internet Các datagram sẽ được đi qua các router trung gian trước khi đến đích Nếu chủ nhân của router trung gian có ý đồ xấu Họ có thể chỉnh sửa dữ liệu thực thành các dữ liệu nguy hiểm.

Hình 1.10: Một router đang tải các dữ liệu nguy hiểm vào một mạng nội bộ. 1.2.2.2 Tấn công giao thức VPN

Các giao thức chính của VPN như : PPTP, L2TP, và IPSec đều có những lỗ hổng bảo mật cực kỳ nguy hiểm.

PPTP có hai điểm yếu :

- Generic Routing Encapsulation (GRE) – Quá trình đóng gói

- Trao đổi mật khẩu trong quá trình xác thực Để bảo mật dữ liệu, người ta cần đóng gói dữ liệu GRE là một giao thức đường hầm để đóng gói các dữ liệu dạng văn bản Nó không cung cấp cơ chế bảo mật cho dữ liệu Do đó các hacker dễ dàng bắt được các gói tin được đóng gói bằng GRE Do đó dữ liệu sau khi đóng gói cần được mã hóa trước khi truyền đi Đường hầm GRE sử dụng cơ chế định tuyến một cách tự động, điều này ảnh hưởng nghiêm trọng đến VPN Để ngăn các gói tin định tuyến một cách tự động, VPN yêu cầu bạn phải sử dụng cơ chế định tuyến tĩnh Một giải pháp khác là cho dữ liệu qua tường lửa sau khi GRE header được gỡ bỏ Một điểm yếu của GRE là gói tin GRE sử dụng một chuỗi để đồng bộ đường hầm Tuy nhiên GRE không đưa ra cơ chế để GRE chống lại các chuỗi bất hợp lệ Lợi dụng điểm này, các tin tặc sẽ chèn các dữ liêu nguy hiểm vào, các dữ liệu được biến đổi để đánh lừa điểm đích, điểm đích tưởng đó là các chuỗi đồng bộ và không xử lý Nhờ chiến thuật này, các dữ liệu nguy hiểm sẽ lọt vào mạng nội bộ của công ty.

PPTP cũng có thể bị tấn công bằng “kỹ thuật tấn công từ điển” PPTP dùng Microsoft Point-to-Point Encryption (MPPE) để gửi mật khẩu đi mà không hề mã hóa Nếu kẻ xâm nhập có thể lấy được một phần của mật khẩu như : giải thuật mã băm, mật khẩu được băm, chúng sẽ sử dụng các thông tin có được để khôi phục được mật khẩu chính xác ban đầu.

Bây giờ, password có kích thước nhỏ do chuẩn mã hóa Do đó nó có thể được xác định bằng brute-force Phụ thuộc vào hệ thống, password, và trình độ người tấn công thì sự tấn công có thể thành công trong 1 ngày, 1 giờ hay chỉ vài giây.

IPSec không phải là một giải thuật mã hóa cũng như một cơ chế xác thực IPSec sẽ kết hợp với các giải thuật khác để bảo vệ dữ liệu.Tuy nhiên IPSec vẫn có nhiều điểm yếu :

Các tin tặc khai thác hai điểm yếu của việc triển khai IPSec để tấn công : sử dụng giải thuật NULL, hai máy kết nối sẽ thống nhất một khóa yếu hơn nếu một trong hai máy không có hỗ trợ khóa mạnh

IPSec sử dụng DES-CBC để mã hóa và HMAC-MD5 và HMAC-SHA-1 để xác thực Bên cạnh đó giao thức IPSec cũng có thể sử dụng ESP và AH Do IPSec cho sử dụng giải thuật NULL nên một máy có thể không sử dụng DES-CBC trong quá trình truyền thông trong khi máy còn lại có sử dụng Máy không có sử dụng DES-CBC để mã hóa chính là điểm yếu để các tin tặc khai thác Điều này thường xảy ra khi các nhà cung cấp dịch vụ mạng của bạn sử dụng các tiêu chuẩn khác nhau.

IPSec cho phép hai máy truyền thông tự thống nhất khóa mã hóa Nếu một bên sử dụng khóa yếu (40 bít) máy còn lại cũng phải sử dụng khóa yếu (40 bít) để thông tin mặc dù khả năng hỗ trợ của nó có thể cao hơn (56 -128 bít) Muốn phá một khóa 56 bít phải mất hằng ngày hoặc hàng tháng , nhưng có thể dễ dàng phá một khóa 40 bít.

IPSec sử dụng IKE để quản lý khóa Các tin tặc có thể khai thác điểm yếu của quá trình trao đổi khóa : Nếu một máy kết thúc phiên làm việc, máy còn lại không thể biết rằng phiên làm việc đã kết thúc Như vậy máy đó vẫn mở port để trao đổi thông tin với bên ngoài Ngay lúc này, các tin tặc có thể giả dạng , trao đổi thông tin với máy đó.

Dễ bị tấn công bằng các kiểu tấn công như : Dictionary attacks, Brute Force attacks, và Spoofing attacks Tuy nhiên, L2TP hiếm khi được thực thi độc lập, nó thường được thực thi trên IPSec

1.2.2.3 Tấn công bằng kỹ thuật giải mã

- Tấn công vào các văn bản viết bằng mật mã:

Trong kỹ thuật tấn công này, tin tặc không cần quan tâm đến nội dung dữ liệu gốc mà chỉ cần các văn bản đã được mã hóa Các tin tặc sẽ sử dụng các công cụ sẵn có để khôi phục lại dữ liệu ban đầu từ dữ liệu mã hóa Kỹ thuật này không hiệu quả lắm và thường vô dụng đối với các kỹ thuật mật mã hiện đại

- Tấn công vào plaintext đã biết (hình thức có thể hiểu được của một văn bản được mã hóa)

Trong kỹ thuật này, các tin tặc đã giải mã một phần thông điệp mã hóa và sử dụng những thông tin kinh nghiệm giải mã có được để giải mã phần còn lại Ví dụ : các tin tặc có thể giải mã một phần khóa, dựa vào đó để dự đóan phần còn lại của khóa , sau đó dùng khóa đó để giải mã toàn bộ thông điệp.

Các công nghệ bảo mật VPN

DoS có rất nhiều thuận lợi Đầu tiên, DoS rất đa dạng và tấn công vào nhiều mang đích Các tin tặc có thể tấn công bằng rất nhiều cách : gửi nhiều email hoặc gửi nhiều yêu cầu IP Thứ ba tin tặc dễ dàng giấu tên và danh tính Xui xẻo là việc xác định danh tính các tin tặc thực hiện tấn công DoS cực kỳ khó khăn vì bọn chúng thường sử dụng địa chỉ IP giả Một vụ tấn công DoS thành công có thể được thực hiện bằng cách gửi một gói IP có dung lượng lớn vào mạng Một số công cụ thực hiện một vụ tấn công DoS như: SYN Floods, Broadcast Storm (cơn bão quảng bá), Smurf DoS, Ping of Death, Mail Bomb(Bom mail), Spam Mailing…

1.2.3 Công nghệ bảo mật VPN

1.2.3.1 Kỹ thuật xác thực từ xa

Kỹ thuật xác thực từ xa bảo đảm rằng chỉ có người dùng có thẩm quyền mới có khả năng truy cập vào mạng nội bộ Cơ chế xác thực càng mạnh càng ngăn được những kẻ xâm nhập với ý đồ xấu , tấn công mạng nội bộ hay ăn cắp các dữ liệu quan trọng Các cơ chế xác thực được tích hợp vào trong VPN để nâng cao tính bảo mật của VPN Các cơ chế xác thực gồm có :

-Remote Access Dial-In User Service (RADIUS)

-Terminal Access Controller Access Control System (TACACS)

Như tên của nó, AAA là một kiến trúc dùng để thực hiện ba chức năng chính: xác thực, cấp phép và kiểm toán Ngày nay AAA là một mô hình bảo mật thông dụng vì nó cho phép người quản lý mạng nhận dạng và trả lời ba câu hỏi quan trọng sau: +Ai là người truy cập vào mạng?

+Khi người dùng truy cập vào mạng , họ được phép làm gì, không được phép làm gì? +Người dùng đang làm gì và khi nào ?

Xác thực là bước đầu tiên để thực hiện bảo mật cho VPN Quá trình xác thực sẽ nhận dạng người dùng hợp pháp trước khi cho phép họ truy cập vào các tài nguyên của mạng Quá trình xác thực cung cấp nhiều cơ chế giúp nhận dạng đúng người dùng đang truy cập vào tài nguyên trong mạng nội bộ ID của người dùng và mật khẩu tương ứng là cách truyền thống để làm việc này Các cơ chế khác gồm có: thử thách, trả lời đối thọai, hỗ trợ thông điệp, và thỉnh thoảng là mã hóa, dựa trên giao thức bảo mật sử dụng Các công cụ xác thực thông dụng hay dùng như : PAP, CHAP, EAP, Shiva PAP (SPAP), and IPSec.

Cấp phép là cơ chế điều khiển các hành động cho phép người dùng hoạt động trong mạng và sử dụng các tài nguyên Cấp phép cung cấp một cơ chế điều khiển truy cập từ xa, quá trình cấp phép xảy ra cho từng dịch vụ một , cho từng người dùng, hoặc từng nhóm một Tóm lại, một tập hợp các quyền truy cập, trao quyền, và thuộc tính được kết hợp và chứa trong cơ sở dữ liệu để cấp phép Thông thường, quá trình xác thực xảy ra trước quá trình cấp phép Tuy nhiên điều này không phải là bắt buộc Một ví dụ là máy chủ nhận một yêu cầu cấp phép mà không cần qua quá trình xác thực Quá trình xác thực sẽ xác định xem liệu người dùng có được quyền truy cập vào mạng không và liệu có được thực hiện các dịch vụ mà người dùng yêu cầu không.

Dịch vụ kiểm toán là một cơ chế để ghi lại các họat động của người dùng sau khi đăng nhập thành công vào mạng Dịch vụ kiểm toán bao gồm : tập hợp, kiểm định, báo cáo về nhận dạng người dùng, các câu lệnh đã dùng trong suốt phiên làm việc, số lượng các gói tin đã truyền Khi các họat động của người dùng được ghi lại, một đồng hồ tính thời gian cũng được khởi động, nó sẽ ghi lại chính xác người dùng đã tiến hành họat động nào tương ứng thời gian nào Các thông tin cụ thể về người dùng giúp cho người quản trị mạng theo dõi được những cá nhân đang có hành vi mờ ám và kịp thời ngăn chặn.

Thông thường dịch vụ kiểm toán được kích hoạt sau quá trình xác thực và cấp phép, tuy nhiên thứ tự này là không cố định Dịch vụ có thể xảy ra cho dù chưa có quá trình xác thực và quá trình cấp phép.

Khi mô hình AAA được triển khai tại máy chủ đăng nhập từ xa, bất kỳ người dùng nào đăng nhập vào máy chủ đều phải qua các quá trình xác thực, cấp phép và chịu sự kiểm tra của dịch vụ kiểm toán Trong mô hình AAA, các thông tin về người dùng dễ dàng lưu lại , cập nhật và quản lý trên hệ thống máy chủ.

Hình 1.12: Cấu hình một mạng dùng AAA

1.2.3.1.2 Remote Access Dial-In User Service (RADIUS)-Dịch vụ người dụng truy cập quay số từ xa.

Chương trình được phát triển bởi công ty Livingston dưới sự hỗ trợ của IETF, RADIUS sẽ trở thành một khối chuẩn trong quá trình xác thực từ xa Nó sẽ được hỗ trợ trong các máy chủ truy cập từ xa, sản phẩm VPN, tường lửa.

Trong hệ thống mạng có tích hợp RADIUS, thông tin về người dùng được lưu trong cơ sở dữ liệu trung tâm Tất cả các máy chủ truy cập từ xa đều chia sẻ cơ sở dữ liệu này Khi máy chủ truy cập từ xa nhập được yêu cầu từ người dùng, RADIUS cho phép quá trình truyền thông giữa cơ sở dữ liệu và máy chủ truy cập từ xa RADIUS sẽ xác định định dạng và dòng có gói tin giữa cơ sở dữ liệu và máy chủ truy cập từ xa Cơ sở dữ liệu cung cấp thông tin được yêu cầu Máy chủ truy cập từ xa sử dụng thông tin này để xác thực yêu cầu từ người dùng và cấp phép cho người dùng sử dụng các tài nguyên của mạng.

RADIUS gồm 2 thành phần: RADIUS máy khách và RADIUS máy chủ (hình 1.13) RADIUS máy chủ nhận yêu cầu AAA từ RADIUS máy khách RADIUS máy chủ sau khi nhập yêu cầu sẽ xác nhận nó đúng nếu nó chứa các thông tin liên quan Nếu thông tin yêu cầu được chứa trong cơ sở dữ liệu trung tâm hoặc các máy chủ RADIUS hoặc TACACS khác, yêu cầu sẽ được chuyển đến thiết bị chứa thông tin đó.

Hình 1.13: Hai thành phần của RADIUS.

1.2.3.1.3 Terminal Access Controller Access Control System (TACACS)

Hệ thống được phát triển bởi Cisco, TACACS khá giống với RADIUS TACACS cũng là một giao thức chuẩn dùng cho công nghiệp sản xuất Các chức năng của TACACS cũng tương tự như RADIUS Như ta thấy (hình 1.14), khi máy khách từ xa gửi yêu cầu xác thực đến NAS gần nhất, yêu cầu được chuyển đến TACACS TACACS sẽ chuyển tên truy cập và mật khẩu người dùng đến cơ sở dữ liệu trung tâm (hoặc cơ sở dữ liệu của TACACS hoặc cơ sở dữ liệu bên ngoài) Thông tin cần thiết từ cơ sở dữ liệu được chuyển về TACACS, thông tin sẽ cho phép hoặc không cho phép người dùng kết nối.

Hình 1.14: Xác thực từ xa TACACS.

Có hai phiên bản TACACS được cung cấp bởi Cisco.

-XTACACS (eXtended TACACS) Phiên bản mở rộng của TACACS Nó cung cấp nhiều tiện ích cho quá trình xác thực.

-TACACS+ Máy chủ này cung cấp dịch vụ xác thực , cấp phép, kế toán độc lập.

1.2.3.2 Các giải pháp bảo mật khác của VPN

Các giải pháp và công nghệ được triển khai thành công trong mạng LAN và WAN cũng được tích hợp trong VPN để tăng tính bảo mật của dữ liệu trong quá trình giao tác.

Tường lửa là một công cụ cực kỳ hiệu quả để bảo mật dữ liệu trong mạng khỏi các tác nhân bên ngoài Tường lửa không chỉ ngăn ngừa người dùng bất hợp pháp truy cập vào mạng mà còn ngăn không cho các tin tặc từ bên ngoài tấn công, phá họai mạng

Tường lửa là một thành phần trong mạng nên bất cứ yêu cầu nào dù hợp lệ hay không đều phải đi qua nó Tùy theo bộ lọc được thiết lập, tường lửa sẽ cho qua các yêu cầu nó cho là hợp lệ và chặn các yêu cầu bị cấm Như vậy mạng bên trong sẽ được bảo vệ khỏi cuộc tấn công của các tin tặc Tường lửa sử dụng danh sách điều khiển truy cập (ALC) để lọc các gói tin đi vào mạng ALC cho qua các gói tin “vô hại” và chặn các gói tin từ các nguồn không rõ xuất xứ hoặc các nguồn bị cấm Có ba lọai tường lửa :

-Tường lửa lọc gói tin

-Tường lửa giám sát trạng thái gói tin

Có thể thực thi tường lửa trong VPN bằng hai cách :

-Tường lửa sau máy chủ VPN

-Máy chủ VPN sau tường lửa

MÔ HÌNH THỬ NGHIỆM 2.1 Mô hình thử nghiệm

Các bước cài đặt mô hình

Bước 1: Chuột phải vào My computer -> Tab Computer name -> Change ->Join Radius vào miền bknp.vn(user:administrator/pass:123) ->ok và restart lại máy.

Bước 2: Khi máy restart xong chọn Start-> setting -> Controlpanel -> Add or remove programe -> Add or remove Windowns component -> Networking Service -> Detail -> Cài đặt dịch vụ Internet Authentication Service(IAS) -> Ok -> Next -> Finish.

Bước 3: Cấu hình dịch vụ IAS để xác thực Start -> Administrative tool -> Internet Authentication Service -> chuột phải vào Radius client -> New Radius client -> Điền tên và ip của máy chủ VPN -> Next và điền password dùng xác thực cho dịch vụ Radius -> Finish.

Bước 1: Mở Active Directory -> Chuột phải vào miền bknp.vn ->New user->Tạo một người dùng (name :vpn/pass: p@ssw0rd)

Bước 2: Chuột phải vào người dùng vpn -> tab dial-in -> chọn Allow Access (cho phép người dùng được quyền quay số).-> Apply-> Ok

Bước 1: Cấu hình dịch vụ VPN : Start -> administrative tool -> routing and remote access -> chuột phải vào tên máy chọn enable routing and remote access -> Custom -> VPN access -> Next -> Finish.

Bước 2: Cấu hình VPN Server cấp phát IP cho các máy clien truy cập từ xa Start -> administrative tool -> routing and remote access -> chuột phải vào tên máy chọn Properties -> Tab IP -> Add -> nhập dải IP cần cấp cho máy Client khi truy cập VPN.

Bước 3: Cấu hình bảo mật VPN cho phép xác thực qua RADIUS Server Start -> administrative tool -> routing and remote access -> chuột phải vào tên máy chọn Properties -> Tab Sercurity -> Radius authentication -> Configure -> Add -> Điền IP của máy Radius Server và Password(chú ý password phải giống với pass khi cấu hình bên máy Radius Server).

Bước 4: Tiếp theo bước 3 vẫn ở Tab Sercurity, cấu hình cho phép kết nối VPN sử dụng IPSec + L2TP Chọn Allow custom IPSec policy for L2TP connection -> nhập key ->ok.

Bước 1: Tạo kết nối VPN Chuột phải vào My network chọn Properties -> Create a new connection ->Next -> Connection to the network at my home place -> Virtuar Private network connection -> nhập tên và IP -> Finish

Tiếp theo nhập user name và pass người dùng truy cập VPN(user:vpn/pass:p@w0rd) -> Properties-> Tab security -> advanced-> IPSec setting nhập key đúng với khi cấu hình trên VPN Server-> Tab networking chọn giao thức IPSec/L2TP.Cuối cùng đăng nhập lại với user name và pass của người dùng vpn để kiểm tra kết nối.

Kết quả thử nghiệm

- Kết nối bằng người dùng vpn/p@ssw0rd

- Ping đến Client –XP1 Đã kết nối thành công

Ngày đăng: 16/03/2024, 15:18

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w