Thuyết trình chủ đề VPN – virtual private network

What is a VPN ?Virtual Private Network VPN is a type of private network that uses public network, such as the Internet, instead of leased lines to communicate VPN technology enables or

VPN – Virtual Private Network

Lecturer:

Nguyễn Đức Thái, Ph.D Report:

13070263 Nguyễn Minh Thành

13070220 Nguyễn Phan Anh

13070268 Nguyễn Ngọc Thuận

What is a VPN ?

Virtual Private Network (VPN) is a type of private network that uses public network, such as the

Internet, instead of leased lines to communicate

VPN technology enables organizations to create

private network over the public network (Internet) infrastructure that maintain confidentiality and

security

What is a VPN ?

Common Uses of VPN

Remote access over the internet

Common Uses of VPN

Connecting two computer networks securely

VPN benefits

Cost savings

Security - Advanced encryption and authentication

protocols protect data from unauthorized access

Scalability - VPN use the internet infrastructure within ISPs and carriers, making it easy for organizations to add new users

Online markets with the highest VPN usage penetration as of 1st quarter 2014

 http://www.statista.com/statistics/301204/top-markets-vpn-proxy-usage/

Global VPN and proxy server usage as of 1st quarter 2014, by income

 http://www.statista.com/statistics/301217/vpn-proxy-usage-income/

VPN Characteristics

Data confidentiality

Data integrity

Authentication

Introduction VPN

Private Network

• Leased telephone lines

• Work fine, very secure

• High Cost on telephone regions between two points

Virtual Private Network

• Overlay networks on top of public networks

• Most of the properties of private networks

• Firewall, Tunnels between Offices

• Greater flexibility on Internet than Leased lines

VPN Type

 Secure VPNs use cryptographic tunneling protocols

• IPsec, SSL/TLS, OpenVPN, PPTP, L2TP, L2TPv3, VPN-Q and MPVPN

 Trusted VPNs rely on the security of a single provider’s network to protect the traffic

• MPLS and L2TP, L2F

VPN model

Virtual Private Network Topology as seen from the inside

Source: Computer Networks - A Tanenbaum - 5th edition, p.822

 Each pair of firewalls has to negotiate the parameters of its SA,

including the services, modes, algorithms, and keys

 Firewalls, VPNs, and IPsec with ESP in tunnel mode are a natural

combination and widely used in practice

VPN Products

Components based on the type of VPN

(remote-access or site-to-site)

• Desktop software client for each remote user

• Dedicated hardware such as a Cisco VPN Concentrator or a Cisco

Secure PIX Firewall

• Dedicated VPN server for dial-up services

• Network Access Server (NAS) used by service provider for remote user VPN access

• Private network and policy management center

• VPN-Enabled Router/VPN-Optimized Router

Windows Server 2008 and in Windows Vista Service Pack 1)

 Multi Path Virtual Private Network (MPVPN)

 Secure Shell (SSH) VPN - OpenSSH offers VPN tunneling (distinct from port forwarding)

to secure remote connections to a network or to inter-network links OpenSSH server provides a limited number of concurrent tunnels

Virtual Private Network: 3 Forms

Network - Network (site – site)

Host - Network (remote access)

Host – Host

TLS/SSL protocol

SSL: secure socket layer

TLS: transport layer security, based on SSL 3.0

Layers (and protocols) for a home user browsing with SSL

(from Tanenbaum, Wetherall, Computer Networks, 5 th edition, 2011, page 854)

TLS/SSL protocol

SSL consists of 2 subprotocols:

 one for establishing a secure connection using

certificate, public-key (PK) cryptography

 one for using that connection using symmetric-key (SK) cryptography, HMAC

Reason: SK algorithm runs faster than PK algorithm

TLS/SSL protocol

A simplified version of the SSL connection establishment subprotocol

(from Tanenbaum, Wetherall, Computer Networks, 5 th edition, 2011, page 855)

Message authentication code (MAC)

Also called: Message integrity check (MIC)

MAC is a string used to check message's

authentication and integrity

Message digest (MD) is a one-way hash function that takes plaintext P, computes a fixed-length bit string MD(P)

So, in general, given a plaintext P and a key K, we

computes

MAC = combination of MD(P) and K

TLS/SSL protocol

Data transmission using SSL

(from Tanenbaum, Wetherall, Computer Networks, 5 th edition, 2011, page 856)

Packet A encapsulates packet B, to transport packet

B through different network protocols

This technique is used in L2TP, PPTP

Giới thiệu về OpenVPN

Về cơ bản, VPN là một mạng riêng.

Giới thiệu về OpenVPN

Là một giải pháp mã nguồn mở VPN hoàn toàn miễn phí

Là một giải pháp mã nguồn mở VPN hoàn toàn miễn phí

Là một thế hệ mới của VPN

Năm 2003, James Yonan đã kể lại trong thời gian ông

ta đi du lịch ở Central Asia trước ngày 11/09/2001 và

có việc phải kết nối với văn phòng qua nhà cung cấp dịch vụ Internet của châu Á và Nga

Năm 2003, James Yonan đã kể lại trong thời gian ông

ta đi du lịch ở Central Asia trước ngày 11/09/2001 và

có việc phải kết nối với văn phòng qua nhà cung cấp dịch vụ Internet của châu Á và Nga

Đặc trưng của OpenVPN

 OpenVPN dùng giao thức bảo mật SSL và TLS :

Đặc trưng của OpenVPN

Được sử dụng nội bộ chỉ bởi Netscape Communications

Được kết nhập vào Netscape Communications 1.0 đến 2.x

Netscape Communications đã phản ứng lại sự thách thức PCT của Microsoft bằng cách giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng mới

Netscape Communications đã phản ứng lại sự thách thức PCT của Microsoft bằng cách giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng mới

Trong Thông tư số 01/2011/TT-BTTTT ngày 04/01/2011 : Bắt buộc áp dụng tiêu chuẩn TLS phiên bản 1.2 và được xếp vào nhóm Tiêu chuẩn về an toàn thông tin.

GIAO THỨC BẢO MẬT TLS

Các thuật toán dùng trong SSL

SS L

SS L

Cơ chế hoạt động SSL

Kiến trúc SSL Protocol

Lợi ích của mạng riêng ảo (VPN) :

Mở rộng vùng địa lý có thể kết nối được

Tăng cường bảo mật cho hệ thống mạng

Giảm chi phí vận hành so với mạng WAN truyền thống

Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa

Ưu điểm của OpenVPN

• Bảo vệ người làm việc bên ngoài

• Các kết nối OpenVPN có thể đi qua được hầu hết mọi tường lửa và proxy

• Hộ trợ UDP và TCP

• Chỉ cần một cổng trong tường lửa được mở là cho phép nhiều kết nối vào

• Kể từ phần mềm OpenVPN 2.0, máy chủ đặc biệt này cho phép nhiều kết nối vào trên cùng một cổng TCP hoặc UDP, đồng thời vẫn sử dụng các cấu

• Bảo vệ người làm việc bên ngoài

• Các kết nối OpenVPN có thể đi qua được hầu hết mọi tường lửa và proxy

• Hộ trợ UDP và TCP

• Chỉ cần một cổng trong tường lửa được mở là cho phép nhiều kết nối vào

• Kể từ phần mềm OpenVPN 2.0, máy chủ đặc biệt này cho phép nhiều kết nối vào trên cùng một cổng TCP hoặc UDP, đồng thời vẫn sử dụng các cấu

Ưu điểm của OpenVPN

• Không có vấn đề gì với NAT

• Độ linh hoạt cao với khả năng mở rộng

• Hỗ trợ khả năng hoạt động cao, trong suốt cho IP động: Hai đầu đường hầm có thể sử dụng IP động

và ít bị thay đổi

• Cài đặt đơn giản trên bất kỳ hệ thống nào

• Thiết kế kiểu Modun

• Không có vấn đề gì với NAT

• Độ linh hoạt cao với khả năng mở rộng

• Hỗ trợ khả năng hoạt động cao, trong suốt cho IP động: Hai đầu đường hầm có thể sử dụng IP động

Tham khảo

 Các giao thức bảo mật SSL và TLS - Phần I (2007, July 24)

Retrieved from http://vnexperts.net: ky-thuat/security/554-cac-giao-thc-bo-mt-ssl-va-tls-phn-i.html

http://vnexperts.net/bai-viet- Hao, H A., Nguyet, V T., Phong, L T., & Thao, N T (2009) Đề tài bảo mật thông tin Secure Socket Layer Hồ Chí Minh: Học viện Công nghệ Bưu chính - Viễn thông thành phố Hồ Chí Minh.

 Hao, N H., Gia, N T., & Nghia, D T (2013) Tìm hiểu giao thức SSL/TLS: Cách tấn công và phòng chống Hồ Chí Minh: Trường Đại học Kinh tế - Luật.

 HOWTO (2013) Retrieved from OpenVPN:

http://openvpn.net/index.php/open-source/documentation/howto.ht ml

VPN Security

Encryption

IPSec

• Authentication

• User/System and Data

• AAA Servers (Authentication, Authorization, and

Accounting)

Firewalls

Two Basic types of tunneling

• Site-to-Site: Typically uses GRE

• Remote-Access: Typically uses PPP

VPN Encapsulation

 Computer Networks - A Tanenbaum - 5th edition 2011

 Computer Networking - JF Kurose - 6th edition 2013

 Comparing, Designing, and Deploying VPNs, Mark Lewis, Cisco Press 2006

 Internet

Thank you !