CÔNG NGHỆ MẠNG RIÊNG ẢO VPN: CÁC GIAO THỨC ĐƯỜNG HẦM VÀ BẢO MẬT Giáo viên hướng dẫn: Ths.Nguyễn Thị Thu Hằng Sinh viên thực hiện : Đoàn Thanh Bình... Mạng riêng ảo VPN được định nghĩa l
Trang 1CÔNG NGHỆ MẠNG RIÊNG ẢO VPN:
CÁC GIAO THỨC ĐƯỜNG HẦM VÀ BẢO MẬT
Giáo viên hướng dẫn: Ths.Nguyễn Thị Thu Hằng Sinh viên thực hiện : Đoàn Thanh Bình
Trang 2
MỘT SỐ ĐIỂM TỔNG QUAN CỦA VPN
Trang 3Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng công cộng như mạng Internet với các chính sách quản lý và bảo mật giống như mạng cục bộ
Trang 5 GIẢM THIỂU HỖ TRỢ KỸ THUẬT
GIẢM THIỂU YÊU CẦU VỀ THIẾT BỊ
Trang 7 GIAO THỨC ĐỊNH HƯỚNG LỚP 2_ L2F
GIAO THỨC ĐƯỜNG HẦM ĐIỂM-ĐIỂM_PPTP
GIAO THỨC ĐƯỜNG HẦM LỚP 2_L2TP
GIAO THỨC BẢO MẬT IP_ IPSec
CÓ 4 GIAO THỨC ĐƯỜNG HẦM ĐƯỢC SỬ DỤNG TRONG VPN
Trang 9SỬ DỤNG PPTP
GIAO THỨC ĐƯỜNG HẦM ĐIỂM ĐIỂM
Trang 10CÁC GIAO THỨC ĐƯỜNG HẦM
KIẾN TRÚC CỦA L2TP
GIAO THỨC ĐƯỜNG HẦM LỚP 2
Trang 11SỬ DỤNG L2TP
GIAO THỨC ĐƯỜNG HẦM LỚP 2
Trang 12CÁC GIAO THỨC ĐƯỜNG HẦM
KHUNG GIAO THỨC IPSec
GIAO THỨC BẢO MẬT IP
Trang 14 XÁC THỰC YÊU CẦU BẮT TAY- CHAP
HỆ THỐNG ĐIỀU KHIỂN TRUY CẬP ĐẦU CUỐI -TACACS
XÁC THỰC NGƯỜI DÙNG QUAY SỐ TỪ XA - RADIUS
CÁC HỆ THỐNG PHẦN CỨNG NHƯ SMART CARD
Trang 15MD là phương pháp sử dụng để phát hiện lỗi truyền dẫn dựa trên
hàm băm (hash) một chiều Các hàm băm một chiều được sử dụng
để tính MD
GIẢN LƯỢC THÔNG ĐIỆP
Trang 16BẢO MẬT TRONG VPN…Xác thực: Toàn vẹn
Cấu trúc cơ bản của MD5/SHA
Trang 17MAC là phương pháp bảo vệ chống sửa đổi bất hợp pháp nội dungcủa bản tin MAC được thực hiện dựa trên hàm băm một chiều kếthợp với khóa bí mật
MÃ XÁC THỰC BẢN TIN
Trang 18BẢO MẬT TRONG VPN
Chữ ký số được thực hiện bằng cách mật mã giá trị hash thu được từhàm băm một chiều Giá trị hash (MD5 hay SHA) của bản tin đượcmật mã với khóa bí mật của phía phát để tạo thành chữ ký số và được truyền đi cùng với bản tin tương ứng
…Xác thực: Toàn vẹn
CHỮ KÝ SỐ
Trang 19THUẬT TOÁN MÃ HOÁ KHOÁ BÍ MẬT
THUẬT TOÁN MÃ HOÁ KHOÁ CÔNG CỘNG
BÍ MẬT
CÔNG CỘNG
THUẬT TOÁN MÃ HOÁ KHOÁ CÔNG CỘNG
Thuật toán mã hóa khóa bí mật: sử dụng chung một khóa để
mã hóa và giải mã bản tin
Thuật toán mã hóa khóa công cộng: sử dụng một khóa để mã hóa và một khóa khác để giải mã nhưng hai khóa này có liên quan với nhau tạo thành một cặp khóa duy nhất của một bản tin, chỉ có hai khóa này mới có thể mã hóa và giải mã cho nhau
Trang 20BẢO MẬT TRONG VPN
Chuẩn mã hoá dữ liệu DES là sự kết hợp của hai kỹ thuật
cơ bản trong mật mã là xáo trộn và xếp lại
Sơ đồ thuật toán DES Mạng Fiestel
THUẬT TOÁN DES
…Mã hoá khoá bí mật
CHUẨN MÃ HOÁ DỮ LIỆU DES
Trang 21 QUẢN LÝ CÁC PHƯƠNG THỨC MÃ HOÁ
QUẢN LÝ KHOÁ CHO CÁC CỔNG NỐI
QUẢN LÝ KHOÁ CHO CÁC NGƯỜI DÙNG
Trang 24KẾT LUẬN
IPSec đáp ứng được tốt các nhu cầu cao về an toàn dữ liệu, là giải pháp chính cho bảo mật các VPN của các tổ chức, công ty Tuy nhiên, IPSec chỉ hỗ trợ luồng IP một chiều; nếu các gói dữ liệu IP một chiều được đường hầm hoá, sau đó một kiểu đóng gói duy nhất được cung cấp bởi IPSec là đủ và đơn giản để cấu hình và sửa
chữa
Để tạo đường hầm cho IP nhiều hướng ta có thể sử dụng L2TP, với luồng lưu lượng mạng sử dụng mạng, thiết bị của Microsoft thì L2TP là sự lựa chọn tốt nhất L2TP cũng phù hợp với các VPN truy cập từ xa hỗ trợ đa giao thức Tuy nhiên, L2TP không hỗ trợ mã
hoá dữ liệu và tính toàn vẹn dữ liệu vì thế sử dụng IPSec kết hợp với L2TP là giải pháp toàn vẹn
Trang 25VPN được phát triển với nhu cầu để cung cấp liên lạc bảo mật trên Internet chung, bất kể loại lưu lượng nào mà không cần quan tâm đến ứng dụng nên trong tương lai sẽ mở rộng các VPN đến Extranet Với nhiều nhà quản lý, Extranet có nhiều thuận lợi cho việc liên lạc giữa nhiều đối tác kinh doanh đó là:
Các Extranet thường được xây dựng dựa trên giao thức TCP/IP,
mà giao thức này thuận lợi cho việc liên kết các mạng con (riêng).
Sử dụng Internet để liên kết các mạng với độ linh động cao hơn
trong các thủ tục và kết thúc các hoạt động ngắn hạn khi cần.
Extranet được luân chuyển xung quanh WWW, điều này giúp
cung cấp giao tiếp người dùng chung tới nhiều ứng dụng qua các ranh giới công ty.
Trang 26XIN CHÂN THÀNH CẢM ƠN
