1. Trang chủ
  2. » Công Nghệ Thông Tin

Tổng quan về công nghệ VPN

7 404 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Nội dung

Tổng quan công nghệ VPN A VPN cần sử dụng VPN? I VPN gì? VPN viết tắt virtual private network (mạng riêng ảo) Chữ network cho biết mạng cho phép kết nối thiết bị với Chữ virtual cho biết kết nối luận lý (logical connection) thiết bị Chẳng hạn thiết bị Hà Nội kết nối Internet thông qua ISP Hà Nội, thiết bị Sài Gòn kết nối Internet thông qua ISP Sài Gòn, ta xây dựng logical network, hay virtual network, thiết bị thông qua phương tiện vận chuyển mạng Internet Chữ private cho biết kết nối riêng tư thiết bị, nghĩa liệu trao đổi thông qua kết nối phải đảm bảo tính tin cậy cách mã hóa , tính toàn vẹn, phải chứng thực thiết bị Để kết nối thiết bị Sài Gòn Hà Nội với nhau, thay dùng VPN ta thuê đường leased-line (kết nối WAN dành riêng) Tuy nhiên, giải pháp đắt nhiều so với dùng VPN, vốn cần có kết nối Internet Ngoài ra, công ty có nhu cầu mở rộng thêm nhiều sites lại phải thuê thêm kênh leased-line khác, khiến chi phí tăng cao Sử dụng VPN giúp tiết kiệm chi phí có tính scalability II Các công nghệ VPN Có số công nghệ VPN sau: IPsec: Thực bảo mật cho gói tin IP Layer mô hình OSI, dùng cho site-to-site VPN remote-access VPN  SSL: Secure Socket Layer thực bảo mật cho TCP session Layer mô hình OSI, dùng cho remote-access VPN (cũng dùng để truy cập an toàn web server thông qua HTTPS)  MPLS: MPLS Layer VPN mặc định mã hóa Ta sử dụng IPsec chung với MPLS VPN III loại VPN VPN phân thành loại remote-access site-to-site   Remote-access VPN: Một số user cần tạo kết nối VPN từ PC họ đến trụ sở (hoặc đến nơi mà họ muốn) Loại gọi remote-access VPN Remote-access VPN sử dụng công nghệ IPsec SSL Site-to-site VPN: Một số công ty có nhiều sites, họ muốn sites kết nối an toàn với Loại gọi site-to-site VPN Site-to-site VPN thường sử dụng công nghệ IPsec IV Những ưu điểm VPN Lợi ích việc sử dụng VPN (cả remote-access site-to-site) bao gồm:  Tính tin cậy  Tính toàn vẹn  Chứng thực  Chống công lặp lại Tính tin cậy Tính tin cậy (confidentiality) nghĩa liệu (được mã hóa) trao đổi bên có bên đọc (nghĩa có bên có khóa giải mã) Bất nghe bắt liệu mà khóa giải mã vô ích  Tính toàn vẹn Tính toàn vẹn liệu (data integrity) nghĩa đảm bảo liệu trao đổi bên nguyên vẹn, có thay đổi liệu trình truyền bị phát Chúng ta sử dụng thuật toán hash (băm) để làm việc Đối với Cisco IOS image, để đảm bảo file image mà ta download từ Cisco xác, không bị lỗi trình truyền, ta dùng lệnhverify với đường dẫn tới file image nhớ flash (ví dụ: verify /md5 flash:/c2800nm-advipservicesk9-mz.12424.T4.bin) Kết lệnh cho chuỗi MD5 hash, ta đem so sánh chuỗi hash vừa tính với chuỗi cung cấp trang web Cisco cho file image Nếu giống ta biết file image download nguyên vẹn, không bị lỗi Chứng thực Ngoài việc mã hóa liệu đảm bảo liệu không bị thay đổi đường truyền, VPN tunnel phải có khả chứng thực (authentication) đối tượng phía đầu bên VPN tunnel Có số cách chứng thực sau: Pre-shared key  Chữ ký số  Username password (dùng với remote-access VPN) Chống công lặp lại  Hầu hết công nghệ VPN hỗ trợ chống kiểu công lặp lại (antireplay), nghĩa gói tin VPN gửi gói tin không hợp lệ gửi tiếp lần thứ VPN session B Các thành phần cryptography I Mã hóa khối Một thuật toán mã hóa khối (block cipher) thực mã hóa khối bit có kích thước cố định, chẳng hạn lấy 64-bit plain text tạo 64-bit cipher text Các thuật toán mã hóa block cipher thuật toán mã hóa đối xứng, nghĩa key mã hóa key giải mã Một số thuật toán block cipher bao gồm: Advanced Encryption Standard (AES)  Triple Digital Encryption Standard (3DES)  Blowfish  Digital Encryption Standard (DES)  International Data Encryption Algorithm (IDEA) Nếu không đủ liệu để mã hóa đủ block block cipher thêm padding vào (chẳng hạn block size 64 bit 56 bit liệu thêm padding bit) Điều dẫn đến overhead (dù nhỏ), padding xử lý chung với liệu thật  II Mã hóa dòng Một thuật toán mã hóa dòng (stream cipher) thực mã hóa bit plain text để tạo bit cipher text tương ứng (còn gọi cipher digit stream) Các thuật toán mã hóa stream cipher thuật toán mã hóa đối xứng, nghĩa key mã hóa key giải mã Bởi stream cipher không mã hóa block cố định nên overhead block cipher III Thuật toán mã hóa đối xứng Thuật toán mã hóa đối xứng (symmetric encryption algorithm) thuật toán sử dụng key để mã hóa giải mã liệu Các thuật toán mã hóa đối xứng phổ biến là:       DES 3DES AES IDEA RC2, RC4, RC5, RC6 Blowfish Thuật toán mã hóa đối xứng thuật toán dùng để mã hóa liệu kết nối VPN ngày Lý dùng thuật toán mã hóa đối xứng nhanh nhiều tốn CPU so với thuật toán mã hóa bất đối xứng Vì thuật toán public nên liệu có an toàn hay không phụ thuộc vào chiều dài key Chiều dài key thông thường từ 40 bit đến 256 bit, key dài an toàn Chiều dài key phải 80 bit xem tương đối an toàn IV Thuật toán mã hóa bất đối xứng Thuật toán mã hóa bất đối xứng (asymmetric encryption algorithm) thuật toán sử dụng key mã hóa key giải mã khác key tạo thành cặp, gọi public key private key Public key key phép công khai cho người biết, private key key giữ bí mật người sở hữu cặp public-private key Nếu mã hóa public key cách để giải mã dùng private key, mã hóa private key cách để giải mã dùng public key Tuy nhiên, thuật toán bất đối xứng làm tốn nhiều CPU, ta không dùng để mã hóa giải mã liệu user, mà dùng cho số mục đích chứng thực VPN peer phát sinh key để dùng cho thuật toán đối xứng V Hàm băm Băm (hashing) phương pháp dùng để kiểm tra tính toàn vẹn liệu Một hàm hash xử lý khối liệu tạo chuỗi liệu với kích thước cố định (fixed-length) Hàm hash hàm chiều, nghĩa suy khối liệu ban đầu từ chuỗi liệu sau hash Nếu máy tính khác dùng hàm hash để xử lý khối liệu chuỗi liệu sau hash phải giống  Không thể phát sinh chuỗi hash từ khối liệu khác Kết hàm hash chuỗi liệu với kích thước cố định, gọi digest, message digest, hash  Bên gửi chạy thuật toán hash cho gói tin đính kèm kết hash gói tin Nếu bên nhận chạy lại thuật toán hash gói tin so sánh kết hash thấy giống với kết gửi kèm gói tin nghĩa liệu gói tin nguyên vẹn Nếu kết khác nghĩa liệu bị thay đổi trình truyền Có loại hash phổ biến là:  Message digest (MD5): Tạo 128-bit digest Secure Hash Algorithm (SHA-1): Tạo 160-bit digest  Secure Hash Algorithm (SHA-2): Tạo 224-bit 512-bit digest Cũng mã hóa, hash nhiều bit đồng nghĩa với an toàn  VI HMAC Hashed Message Authentication Code (HMAC) sử dụng chế hash, dùng secret key để mã hóa trước hash Bằng cách attacker secret key thay đổi liệu gói tin mà không bị phát HMAC khắc phục nhược điểm hash thông thường (không dùng secret key) VII Chữ ký số Chữ ký số (digital signature) đem lại lợi ích: Chứng thực  Tính toàn vẹn  Tính không từ chối trách nhiệm (non-repudiation) Giả sử Bob Lois thiết bị kết nối VPN với nhau, muốn dùng chữ ký số để chứng thực lẫn Để đơn giản ta tập trung vào thiết bị: Bob muốn chứng minh với Lois Bob  Trước thực chứng thực Bob Lois tạo cặp public-private key cho riêng mình, nhận chứng số (digital certificate) từ certificate authority (CA) mà hai tin tưởng (CA tổ chức cung cấp chứng số) Nếu ta mở chứng số thấy tên đối tượng public key đối tượng (public key đối tượng gửi cho CA muốn CA cung cấp chứng số) Ngoài ra, chứng số có chữ ký số CA (dùng để kiểm tra chứng số CA cấp) Trong trường hợp này, ta mở chứng số Bob thấy tên Bob public key Bob Cả Bob Lois tin tưởng CA nhận chứng số CA cấp Bob lấy gói tin phát sinh chuỗi hash từ gói tin Sau Bob mã hóa chuỗi hash private key Bob Tiếp theo Bob đính kèm chuỗi hash mã hóa vào gói tin gửi cho Lois Chuỗi hash sau mã hóa private key gọi chữ ký số Khi Lois nhận gói tin nhìn vào chữ ký số đính kèm với gói tin Lois giải mã chữ ký số public key Bob Sau Lois chạy thuật toán hash gói tin mà Lois nhận được, đem so sánh kết với chuỗi hash mà Bob gửi (sau giải mã public key Bob) Nếu chuỗi hash giống Lois biết điều: thứ nhất, người mã hóa gói tin Bob private key Bob; thứ hai, liệu nguyên vẹn Quá trình gọi chứng thực chữ ký số, thường diễn chiều (2 bên chứng thực lẫn nhau) IPsec VPN tunnel sử dụng chữ ký số để chứng thực Trong trình trên, Lois có public key Bob Bob Lois trao đổi chứng số cho Do Bob có public key Lois Lois có public key Bob Để kiểm tra chữ ký số CA chứng số Bob Lois phải có public key CA Trong trường hợp này, Lois sử dụng public key CA để đảm bảo chứng số Bob CA cấp Vì Lois tin tưởng CA nên Lois tin tưởng sử dụng public key Bob sau biết CA hợp lệ Hầu hết trình duyệt web có sẵn public key CA phổ biến Internet ngày VIII Quản lý key Quản lý key (key management) giải vấn đề liên quan đến tạo key, kiểm tra key, trao đổi key, lưu trữ key, hết thời hạn sử dụng hủy key Không gian key (keyspace) tập hợp tất giá trị có key Key dài (keyspace lớn) an toàn Tuy nhiên, nhược điểm việc sử dụng key dài khiến cho thời gian mã hóa giải mã liệu lâu hơn, tốn nhiều CPU C Sơ lược IPsec SSL I IPsec IPsec tập hợp giao thức thuật toán dùng để bảo vệ gói tin IP IPsec mang lại lợi ích confidentiality thông qua mã hóa, data integrity thông qua hashing HMAC, authentication cách sử dụng chữ ký số pre-shared key (PSK) IPsec hỗ trợ antireplay Dưới thành phần IPsec:    ESP AH: Đây phương pháp để triển khai IPsec ESP viết tắt Encapsulating Security Payload thực tất tính IPsec AH viết tắt Authentication Header, thực nhiều tính IPsec ngoại trừ tính quan trọng mã hóa liệu Vì lý nên ta thấy AH sử dụng Thuật toán mã hóa: DES, 3DES, AES Thuật toán hash: MD5, SHA Kiểu chứng thực: Pre-shared key, chữ ký số  Quản lý key: Thuật toán mã hóa bất đối xứng Diffie-Hellman (DH) dùng để phát sinh key tự động cho thuật toán mã hóa đối xứng Internet Key Exchange (IKE) thực công việc thương lượng quản lý key II SSL IPsec dùng cho site-to-site remote-access VPN, SSL dùng cho remote-access VPN Tuy nhiên, việc sử dụng SSL cho remote-access VPN tỏ tiện lợi IPsec, trình duyệt web (web browser) hỗ trợ SSL, muốn sử dụng IPsec máy tính phải có IPsec client  Để sử dụng SSL, user kết nối đến web server hỗ trợ SSL (SSL server) thông qua giao thức HTTPS Phụ thuộc vào web server kết nối tới mà SSL gọi Transport Layer Security hay TLS Tiếp theo, trình duyệt yêu cầu web server tự định danh, web server gửi cho trình duyệt chứng số nó, hay gọi chứng SSL (SSL certificate) Khi trình duyệt nhận chứng số web server, thực kiểm tra tính hợp lệ chứng cách kiểm tra chữ ký số CA chứng Nếu chữ ký số CA hợp lệ trình duyệt tin tưởng chứng số web server chấp nhận public key web server chứa chứng số Thông thường, web server không yêu cầu trình duyệt tự định danh, mà chứng thực user thông qua username password Sau chứng thực xong, trình duyệt web server tiếp tục trao đổi thương lượng thuật toán mã hóa mà chúng sử dụng key dùng để mã hóa giải mã liệu ...Site-to-site VPN: Một số công ty có nhiều sites, họ muốn sites kết nối an toàn với Loại gọi site-to-site VPN Site-to-site VPN thường sử dụng công nghệ IPsec IV Những ưu điểm VPN Lợi ích việc sử dụng VPN. .. remote-access VPN) Chống công lặp lại  Hầu hết công nghệ VPN hỗ trợ chống kiểu công lặp lại (antireplay), nghĩa gói tin VPN gửi gói tin không hợp lệ gửi tiếp lần thứ VPN session B Các thành phần... Exchange (IKE) thực công việc thương lượng quản lý key II SSL IPsec dùng cho site-to-site remote-access VPN, SSL dùng cho remote-access VPN Tuy nhiên, việc sử dụng SSL cho remote-access VPN tỏ tiện lợi

Ngày đăng: 13/12/2015, 23:40

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w