Bào cáo đầy đủ IPsec VPN
9/14/12 BÀI THUYẾT TRÌNHMÔN:ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN ĐỀ TÀI SỐ 5: IPSEC & VPN Giảng Viên Hướng Dẫn:Ths.Tô Nguyển Nhật Quang 9/14/12 Thành viên nhóm 13 Võ V n Hoàng Anhă 07520015 Nguy n Thanh Tâmễ 07520308 Tr n H i ngầ ả Đă 07520409 Tr n Quang Thu nầ ấ 07520341 u c Qu nhĐậ Đứ ỳ 07520575 9/14/12 Tổng quangoTrong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật.oCùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn 9/14/12 Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu qua mạng trung gian công công không an toàn như Internet.oĐể giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs) và kết hợp với giao thức ipsec để nhằm tăng khả năng bảo mật 9/14/12 ipsec 9/14/12 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP)Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tinIPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thựcTổng quan IPSec 9/14/12 IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSIĐiều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng nàyIPSec trong suốt với người dùng cuốiTổng quan IPSec 9/14/12 IPSec Uses 9/14/12 Chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và/hoặc xác thực.Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm)Transport mode sử dụng trong tình huống giao tiếp hosttohostCác mode Transport mode 9/14/12 Toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực.Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của routerTunnel mode được sử dụng trong giao tiếp networktonetwork (hay giữa các routers với nhau), hoặc hosttonetwork và hosttohost trên internetCác mode Tunnel mode [...]... c. Layer 2 Tunneling Protocol (L2TP). Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Thường được sử dụng để mã hóa các khung Pointto Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM. 9 / 1 4 / 1 2 3.3/ Extraner VPNs: Khơng giống như giải pháp của intranet VPNs và remote access VPNs, extranet VPNs khơng tách riêng với thế giới ngồi. Extranet VPNs cho phép điều khiển sự truy xuất các tài ngun mạng cho các thực thể ngồi tổ chức như các các đối tác, khách hàng hay nhà cung cấp những người đóng vai trị quan trọng trong hoạt động thương mại của tổ chức ... Ø Do tính phức tạp của thuật tốn mã hóa, giao thức từ mã sẽ tăng lên khá nhiều, dữ liệu nén IP and PPPbased là rất chậm và chất lượng ko tốt. Ø Sự truyền tải thơng tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền. 9 / 1 4 / 1 2 IPsec được làm việc tại tầng Network Layer – layer 3 của mơ hình OSI Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPSec trong suốt với người dùng cuối Tổng quan IPSec 9 / 1 4 / 1 2 Hệ thống intranet khơng sử dụng VPN .Sự vận hành, bảo trì và quản lý intranet backbone u cầu chi phí rất cao ... Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6 IP Authentication Header giúp đảm bảo tính tồn vẹn và cung cấp xác thực. IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính tồn vẹn dữ liệu. Thuật tốn mã hố được sử dụng trong IPsec bao gồm HMACSHA1 cho tính tồn vẹn dữ liệu (integrity protection), và thuật tốn TripleDES CBC và AESCBC cho mã mã hố và đảm bảo độ an tồn của gói tin. Tồn bộ thuật tốn này được thể hiện trong RFC 4305 Phương thức 9 / 1 4 / 1 2 Phần cứng VPN bao gồm các sever VPN, khách hàng, và các thiết bị phần cứng khác như VPN routers, gateways và concentrator Phần mềm VPN bao gồm các phần mềm server và client và các cơng cụ quản lý VPN Cơ sở hạ tầng bảo mật của sự tổ chức, bao gồm các giải pháp dựa trên AAA, RADIUS, TACACS, NAT ` Có thể được dựa trên Ipsec, PPTP, L2TP hoặc L2F ... Mã hố q trình truyền thơng tin Đảm bảo tính ngun ven của dữ liệu Phải được xác thực giữa các giao tiếp Chống q trình replay trong các phiên bảo mật. Dịch vụ IPSec 9 / 1 4 / 1 2 2.1 Remote Access VPNs: 9 / 1 4 / 1 2 ISAKMP 9 / 1 4 / 1 2 Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngồi trở nên dễ dàng hơn và giảm chi phí 9 / 1 4 / 1 2 Authentication Header 9 / 1 4 / 1 2 BÀI THUYẾT TRÌNH MƠN:ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THƠNG TIN ĐỀ TÀI SỐ 5: IPSEC & VPN Giảng Viên Hướng Dẫn:Ths.Tô... Tổng quang o Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên tồn thế giới cả về số lượng và về kĩ thuật. o Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thơng tin quan trọng được lưu trên hệ thống được coi trọng hơn 9 / 1 4 / 1 2 ipsec 9 / 1 4 / 1 2 Khuyết Điểm Một số khuyết điểm cịn tồn tại của Remote Access truyền thống: Ø Remote Access VPNs khơng đảm bảo chất lượng của dịch vụ QoS Ø Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự 9 / 1 4 / 1 2 b. VPNs độc lập Ở đây, toàn bộ chức năng của việc thành lập VPN được xử lý bởi tổ chức đăng ký ... Hệ thống intranet khơng sử dụng VPN .Sự vận hành, bảo trì và quản lý intranet backbone u cầu chi phí rất cao 9 / 1 4 / 1 2 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật q trình truyền thơng tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hố (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong q trình truyền thơng tin IPsec cũng bao gồm những giao thức cung cấp cho mã hố và xác thực Tổng quan IPSec 9 / 1 4 / 1 2 Là thủ rục trao đổi khố Dựa trên trao đổi khố DiffieHellman Bổ sung các đặc trưng để khắc phục các điểm yếu Cookies, nhóm (tham số tổng thể), các chỉ số đặc trưng (nonces), trao đổi khố DH với việc xác thực Có thể sử dụng số học trên trường số ngun tố hoặc đường cong elip Oakley ... a.IP Security b.PointtoPoint Tunneling Protocol (PPTP). Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nó được đề xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mơ hình OSI và thường được sử dụng trong truyền thơng tin hệ điều hành Windows. 9 / 1 4 / 1 2 Ø Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập khơng hồn tồn mất. Ø Vì kết nối dialup là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa. ... Phần cứng VPN bao gồm các sever VPN, khách hàng, và các thiết bị phần cứng khác như VPN routers, gateways và concentrator Phần mềm VPN bao gồm các phần mềm server và client và các cơng cụ quản lý VPN Cơ sở hạ tầng bảo mật của sự tổ chức, bao gồm các giải pháp dựa trên AAA, RADIUS, TACACS, NAT ` Có thể được dựa trên Ipsec, PPTP, L2TP hoặc L2F 9 / 1 4 / 1 2 Ø Do tính phức tạp của thuật tốn mã hóa, giao thức từ mã sẽ tăng lên khá nhiều, dữ liệu nén IP and PPPbased là rất chậm và chất lượng ko tốt. Ø Sự truyền tải thơng tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền. ... 9 / 1 4 / 1 2 1.2 Kỹ thuật cơ bản của vpn Encryption Public Key Private Key Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (3DES). Authentication +Secretkey encryption +Publickey encryption Authorization ... Quản lý sinh khố và phân phối khố Thơng thường cần hai cặp khố 2 trên một hướng cho AH và ESP Quản trị khố thủ cơng Người quản trị hệ thống thiết lập cấu hình cho từng hệ thống Quản trị khố tự động Hệ thống tự dộng dựa vào u cầu về khố cho các các liên kết an tồn trong hệ thống lớn Có các thành phần Oakley và ISAKMP Quản trị khố Key Management 9 / 1 4 / 1 2 Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin pointtopoint. . Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu qua mạng trung gian công công không an toàn như Internet.oĐể giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs) và kết hợp với giao thức ipsec để nhằm tăng khả năng bảo mật 9/14/12 ipsec 9/14/12 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP)Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thựcTổng quan IPSec 9/14/12. IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP)Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thựcTổng quan IPSec 9/14/12 IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSIĐiều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPSec trong suốt với người dùng cuốiTổng quan IPSec 9/14/12