Đồ án môn học: Sercurity+ ĐỀ TÀI: SECURITY FOR VPN Chuyên ngành: Quản trị mạng Hà Nội - 2011 BỘ GIÁO DỤC VÀ ĐÀO TẠO Đồ án môn học: Sercurity+ ĐỀ TÀI: SECURITY FOR VPN Chuyên ngành: Quản trị mạng Hà Nội - 2011 MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I: BẢO MẬT TRONG VPN 1.1-TỔNG QUAN VỀ VPN 1.1.1.Định nghĩa 1.1.2.Phân loại VPN 1.1.2.1.Mạng VPN truy nhập từ xa .2 1.1.2.2.Mạng VPN điểm nối điểm 1.1.3.Các giao thức VPN 1.2-BẢO MẬT VPN 1.2.1.Các mối đe dọa trình bảo mật 1.2.1.1.Mối đe dọa từ bên .5 1.2.1.2.Mối đe dọa từ bên .6 1.2.1.3.Mối đe dọa từ hai phía 1.2.2.Các kiểu công VPN .8 1.2.2.1.Tấn công vào thành phần VPN 1.2.2.2.Tấn công giao thức VPN 10 1.2.2.3.Tấn công kỹ thuật giải mã 11 1.2.2.4.Tấn công từ chối dịch vụ 13 1.2.3.Các công nghệ bảo mật VPN 14 1.2.3.1.Kỹ thuật xác thực từ xa .14 1.2.3.1.1.Authenticate Authorize Auditting(AAA) 14 1.2.3.1.2.(RADIUS) 16 1.2.3.1.3.(TACACS) 17 1.2.3.2.Các giải pháp bảo mật khác cho VPN 18 1.2.3.2.1.Tường lửa .18 1.2.3.2.2.Network Access Translation(NAT) 20 1.2.3.2.3.Socket Server(SOCKS) .23 1.2.3.2.3.Sercure Socket Layer(SSL) Transport Layer Sercurity(TLS) .24 CHƯƠNG II :MÔ HÌNH THỬ NGHIỆM 2.1 Mô hình thử nghiệm .26 2.2 Các bước cài đặt mô hình 26 2.3 Kết thử nghiệm 32 KẾT LUẬN 33 Sercurity for VPN LỜI MỞ ĐẦU Ngày với phát triển cao công nghệ thông tin, hacker dễ dàng xâm nhập vào mạng nhiều đường khác Vì nói điểm yếu mạng máy tính khả bảo mật, an toàn thông tin Thông tin tài sản quý giá, đảm bảo an toàn liệu cho người sử dụng yêu cầu đặt hàng đầu Chính em định chọn đề tài “Sercurity for VPN” với mong muốn tìm hiểu, nghiên cứu, hiểu biết thêm đề tài Chúng em xin chân thành cảm ơn thầy giáo giúp đỡ em nhiệt tình suốt trình làm đồ án xin cảm ơn bạn bè góp ý giúp đỡ em hoàn thành đồ án Vì đề tài mới, nguồn tài liệu chủ yếu Tiếng Anh nên đồ án chắn không tránh sai sót, chúng em mong nhận ý kiến đóng góp thầy cô bạn Sercurity for VPN CHƯƠNG 1: BẢO MẬT VPN 1.1.TỔNG QUAN VỀ VPN 1.1.1.Định nghĩa VPN Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng Internet) với sách quản lý bảo mật giống mạng cục Hình 1.1: Mô hình VPN Các thuật ngữ dùng VPN sau: -Virtual: nghĩa kết nối động, không gắn cứng tồn kết nối lưu lượng mạng chuyển qua - Private- nghĩa liệu truyền luôn giữ bí mật bị truy cập người sử dụng trao quyền - Network- thực thể hạ tầng mạng người sử dụng đầu cuối, trạm hay node để mang liệu 1.1.2.Phân loại mạng VPN 1.1.2.1.Mạng VPN truy nhập từ xa Hay gọi Mạng quay số riêng ảo (Virtual Private Dial-up Network), dạng kết nối User-to-Lan áp dụng cho công ty mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa Sercurity for VPN Hình 1.2 : Mô hình mạng VPN truy nhập từ xa 1.1.2.2.Mạng VPN điểm nối điểm ( site - to - site) VPN điểm-nối-điểm dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng công cộng Internet Loại dựa Intranet Extranet -VPN intranet (VPN nội bộ) Mạng VPN liên kết trụ sở chính, văn phòng, chi nhánh sở hạ tầng chung Hình 1.3: Mô hình mạng VPN cục -VPN extranet (VPN mở rộng) Thực tế mạng VPN mở rộng cung cấp khả điều khiển truy nhập tới nguồn tài nguyên mạng cần thiết để mở rộng đối tượng kinh doanh đối tác, khách hàng, nhà cung cấp Sercurity for VPN Hình 1.4: Mô hình mạng VPN mở rộng 1.1.3.Các giao thức VPN: Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer L2F, PPTP, L2TP Physical Layer Bảng 1: Vị trí giao thức mô hình OSI Các giao thức trình bày bảng sau: Sercurity for VPN Sercurity for VPN Bảng 2: Các giao thức sử dụng VPN 1.2.BẢO MẬT TRONG VPN 1.2.1.Các mối đe dọa trình bảo mật VPN bị đe dọa việc bảo mật giống mạng khác 1.2.1.1 Mối đe dọa từ bên Thủ phạm thực vụ công tin tặc, kẻ nằm công ty Các tin tặc chuyên gia kẻ nghiệp dư Bọn chúng có chung mục đích xâm nhập bất hợp pháp vào hệ thống công ty Nguy hiểm bọn chúng gây thiệt hại nặng nề cho công ty Hình 1.5: Một công từ bên Khó khăn lớn đối đầu với mối đe dọa từ bên việc xác định danh tính tin tặc Việc thường khó làm Động việc xâm nhập thường là: tò mò, vui thích, triệt hạ đối thủ, báo thù Hai động cuối nguy hiểm công ty – báo thù triệt hạ đối thủ cạnh tranh Nếu đơn mua vui tò mò, tin tặc thường không gây hại cho hệ thống Các tin tặc thường không muốn công hệ thống bị phá vỡ Ngược lại động tin tặc báo thù, bọn chúng thường gây thiệt hại nặng cho hệ thống Dữ liệu bị cướp gây thiệt hại lớn cho công ty 1.2.1.2 Mối đe dọa từ bên Thông thường người ta lo bảo vệ hệ thống liệu họ khỏi mối đe dọa từ bên mà quên kẻ thù từ bên Theo thống kê mối đe dọa thường bên Theo nghiên cứu FBI's Computer Security Institute and Ernst and Young 60% vụ công xuất phát từ bên Sercurity for VPN Hình 1.6 : Một công từ bên Động vụ công từ bên thường là: báo thù, hám lợi để đỡ buồn Có hai lọai đối tượng thực vụ công này, chuyên gia lĩnh vực mạng, họ nắm bí công nghệ kỹ thuật cao, nắm vị trí trọng trách công tác quản trị mạng công ty (như quản trị mạng) Hai người trách nhiệm việc bảo mật mạng có hiểu biết định mạng Cuối mối đe dọa đến từ kẻ chút kỹ thuật mạng Các nhân viên chịu trách nhiệm việc triển khai, bảo trì, quản lý hệ thống mạng công ty thuộc nhóm thứ đối tượng công Đối tượng có hiểu biết sâu sắc hệ thống mạng công ty cách công vào vị trí nhạy cảm Nếu muốn, đối tượng công hệ thống cách dễ dàng Hậu công vô nặng nề, phải ngày không để khôi phục lại hệ thống cũ Các đối tượng thuộc nhóm thứ hai có kỹ thuật cao, họ sử dụng kiến thức mạng mối quan hệ xã hội để tìm kiếm lỗ hổng bảo mật có giá trị lớn để xâm nhập vào sở liệu Thiêt hại khắc phục hết Đối tượng thứ ba họ thường sử dụng virus, trojan worm 1.2.1.3 Mối đe dọa từ hai phía (Collaborative Security Threats) Những vụ công nặng nề cần có phối hợp từ bên bên Thông thường nhân viên bên cung cấp ID mật khẩu, tin tặc bên sử dụng thông tin để công hệ thống Hệ thống bị đe dọa từ bên bên Đối tượng trực tiếp công tin tặc bên nên khó để lần dấu vết Sercurity for VPN khiển truy cập (ALC) để lọc gói tin vào mạng ALC cho qua gói tin “vô hại” chặn gói tin từ nguồn không rõ xuất xứ nguồn bị cấm Có ba lọai tường lửa : -Tường lửa lọc gói tin -Tường lửa giám sát trạng thái gói tin -Application proxy firewalls Có thể thực thi tường lửa VPN hai cách : -Tường lửa sau máy chủ VPN -Máy chủ VPN sau tường lửa Nếu thực thi tường lửa sau VPN, máy chủ VPN kết nối trực tiếp với mạng công cộng tường lửa nằm máy chủ VPN mạng nội riêng (Hình 11-6) Trong trường hợp cần cấu hình phép lưu lượng VPN đến máy chủ VPN Cần định cấu hình lên lọc tường lửa qua gói tin VPN Hình 1.16: tường lửa nằm sau máy chủ VPN Như mô tả hình 11-6, máy chủ VPN nhận gói tin , giải mã gói tin đường hầm chuyển đến tường lửa Tường lửa kiểm tra gói tin dựa theo tiêu chuẩn lọc định cấu hình Nếu gói tin “vô hại” chuyển đến nút đích bên mạng Nếu gói tin đến từ máy khác máy máy khách xác thực, gói tin bi hủy, tường lửa không cần công kiểm tra VPN định cấu hình nhận liệu từ máy khách 21 Sercurity for VPN Phương pháp đặt VPN sau tường lửa thường sử dụng nhiều Tường lửa kết nối trực tiếp với mạng công cộng, VPN nằm tường lửa mạng riêng (hình 1.17 ) Hình 1.17: VPN nằm sau tường lửa Hình cho thấy máy chủ VPN phần DeMilitarized Zone (DMZ) DMZ phần hay phân đọang mạng bảo vệ truy cập người dùng bên Ví dụ dịch vụ web hay FTP Nó cho phép người dùng truy cập vào số tài nguyên mạng ngăn không cho truy cập vào tài nguyên khác Trong “VNP sau tường lửa” , lọc phải cấu hình tường lửa Không giống trường hợp trên, tường lửa phải trực tiếp xử lý gói tin đường hầm Chúng lọc dựa plaintext header gói tin đường hầm Máy chủ VPN bảo vệ an toàn thông qua chế Bất kỳ lọai tường lửa đòi hỏi chi phí đầu tư đắt Tuy nhiên, Network Address Translation (NAT) cung cấp công cụ bảo mật giá rẻ cho bạn 1.2.3.2.2 Network Address Translation (NAT) NAT phát triển Cisco, ban đầu giải pháp cho vấn đề everdwindling IP addresses Bên cạnh NAT làm công cụ hữu hiệu để ngăn tin tặc xâm nhập vào mạng máy tính NAT cho phép mạng nội sử dụng địa IP riêng để giao tiếp với bên mạng công cộng 22 Sercurity for VPN NAT chế ngọai vi giống tường lửa NAT thực thi điểm kết nối mạng nội mạng công cộng Toàn mạng cục đặc trưng địa IP Khi người dùng mạng muốn kết nối với bên ngoài, chuyển yêu cầu đến thiết bị NAT (NAT thực chất router) Router che địa IP ban đầu nút mạng mạng nội thay vào địa IP đại diện cho toàn mạng gửi gói tin đến máy chủ bên Một chế tương tự áp dụng gói tin từ vào mạng nội (Thường có nhiều địa IP đại diện cho toàn mạng) Như tin tặc biết địa IP nút mạng mà bọn chúng nhắm tới mạng nội địa IP che NAT Hình 1.18: Thực thi NAT Giải pháp NAT thực thi theo hai cách -NATs tĩnh -NATs động Đối với NAT tĩnh , địa IP chưa đăng kí luôn gán cho địa IP cố định ( Minh họa hình 1.19 ) NATs tĩnh dùng thực thể bên truy cập vào mạng riêng 23 Sercurity for VPN Hình 1.19: Công nghệ NAT tĩnh NATs động gán cho địa IP chưa đăng kí địa IP sẵn có số địa IP dùng làm địa toàn cục cho mạng riêng (Minh họa hình 1.20) NATs động dùng máy bên mạng riêng truy cấp thực thể bên mạng Hình 1.20: Công nghệ NAT động Để thực thi thành công NATs với VPN, NAT phải gán thành công dòng liệu vào địa IP Bên cạnh đo người dùng không quan tâm không nhìn thấy NAT Tuy nhiên NAT làm việc khác với giao thức VPN PPTP, L2TP IPSec Lý NAT hoán đổi địa IP nguồn đích mà hoán đổi port TCP nguồn đích, thay đổi header kiểm tra tổng IP TCP, thay đổi trật tự TCP, thay đổi địa IP chứa gói tin gốc Đây lý NAT tương thích với VPN dựa giao thức tương thích với VPN dựa giao thức khác Để thực thi thành công công nghệ VPN, lớp thứ (IP) cần phải thay đồi Khi VPN xây dựng dựa PPTP NAT tích hợp vào để tăng tính bảo mật Tuy nhiên phải đối mặt với nhiều vấn đề nảy sinh VPN sử dụng L2TP L2TP over IPSec Điều làm cho L2TP L2TP over IPSec không tương thích 24 Sercurity for VPN với NAT NAT làm việc với gói tin qua IPSec L2TP Bên cạnh , gói tin có địa mạng Ngoài ra, trường hợp xác thực IPSec, gói tin có địa thay đổi luôn bị cho hư AH kiểm tra tính toàn vẹn Nói tóm lại , NAT phá vỡ chế VPN dựa tảng L2TP L2TP over IP Khi thực thi NAT, phải thiết kế lưu lượng cho phép qua NAT cẩn thận; lưu lượng qua hầm IPSec, qua thiết bị NAT NAT cho phép máy tính kêt nối với Internet mạng công cộng khác mà không cần phải cung cấp địa IP thật Có thể thực điều với trợ giúp SOCKS 1.2.3.2.3 SOCKet Server (SOCKS) SOCKS phát triển Permeo Technologies, chấp thuận IETF SOCKS giao thức mạng proxy cho phép máy chủ phía SOCKs truy cập vào máy chủ phía bên SOCKS mà không cần phải cho biết địa IP thật SOCKS có trách nhiệm với yêu cầu xác thực cấp phép, thiết lập kết nối proxy, chuyển liệu hai đầu mạng Thực thi SOCKS sử dụng hai thành phần máy chủ SOCKS máy khách SOCKS Khi máy khách SOCKS muốn kết nối với thực thể bên ngoài, chuyển yêu cầu kết nối đến máy chủ SOCKS Sau máy chủ SOCKS kết nối với nút đích Sau kết nối cài đặt máy chủ SOCKS nút đích, máy khách SOCKS chuyển liệu đến cho máy chủ SOCKS, sau thông tin chuyển đến thiết bị đích Tương tự thiết bị đích kết nối trực tiếp với máy khách SOCKS Nó chuyển liệu yêu cầu đến máy chủ SOCKS, sau đo chuyển đến máy khách SOCKS 25 Sercurity for VPN Hình 1.23: Thực thi SOCKS SOCKSv5 phiên cuối không hoàn toàn hỗ trợ tương thích với SOCKSv4 Khi thực thi SOCKSv4, tạo yêu cầu kết nối, cài đặt mạch proxy, truyền liệu nút đích máy chủ SOCKS SOCKSv5 cung cấp thêm chức bảo mật tính sẵn có SOCKSv4 Ngày VPN thực thi SOCKSv5 VPN sử dụng SOCKSv5 để bảo vệ máy bên mạng cục cách đặt SOCKSv5 nút nguồn đích SOCKS thực thi với tường lửa Tường lửa nhận liệu sau truyền đến máy chủ SOCKS thông qua port 1080 Sau nhận liệu từ tường lửa, SOCKS lọc chuyển đến nút đích Điều ngăn quản trị mạng mở nhiều port tường lửa VPN SOCKS che dấu cấu hình cấu trúc mạng nội bên Điều gây khó khăn cho tin tặc việc truy cập vào vùng liệu quan trọng SOCKSv5 thực thi lớp thứ mô hình OSI (lớp phiên) Nó công cụ đắc lực để tăng tính bảo mật hoạt động tương thích với giao thức VPN khác PPTP, L2TP, IPSec (được thực thi lớp 3) Bên cạnh thực thi lớp cao, SOCKS dễ dàng kiểm soát trình ứng dụng chạy lớp SOCKS tương thích với công nghệ bảo mật hệ điều hành khác hữu dụng môi trường máy tính không đồng SOCKS cung cấp chế xác thực, mã hóa, quản lý khóa chức bảo mật khác cho VPN Trong công nghệ SOCKS, Secure Socket Layer (SSL) Transport Layer Security (TLS) giúp bảo mật giao tiếp thông qua VPN 1.2.3.2.4 Secure Socket Layer (SSL) Transport Layer Security (TLS) 26 Sercurity for VPN SSL TLS phát triển Netscape Communications Corporation and RSA Data Security Inc SSL chuẩn bảo mật cho giao tác qua mạng công cộng SSL cung cấp kênh riêng cho ứng dụng truyền thông, bảo đảm cho liệu riêng tư toàn vẹn giữ ứng dụng truyền thông Giao thức SSL chạy TCP/IP hỗ trợ tất chương trình dựa TCP/IP Tuy nhiên SSL chủ yếu thực thi HyperText Transfer Protocol (HTTP) Đây lý thực thi hầu hết máy chủ web SSL thực thi Telnet Network News Transfer Protocol (NNTP) SSL dùng để bảo đảm an toàn cho trình truy cập vào tường lửa SSL gồm có hai lớp : lớp lớp Giao thức sử dụng lớp giao thức bắt tay dùng cho trình xác thực Giao thức đóng vai trò quan trọng trình trao đổi khóa mật mã hai máy Lớp sử dụng giao thức ghi lại SSL chịu trách nhiệm trình truyền liệu hai máy Hình 1.24: Hai lớp SSL Khi máy khách gửi yêu cầu đến máy chủ web yêu cầu bảo vệ giao tác chế SSL tiền tố thêm vào phải http : máy khách SSL kết nối với máy chủ SSL thông qua port 443 Nếu máy chủ SSL chấp nhận kết nối , máy khách khởi tạo trinh bắt tay SSL Trong trình này, máy chủ SSL xác thực thiết lập mã hóa khóa TLS phát triển tảng SSL có nhiều điểm tốt so với SSL Nó cho phép máy chủ máy khách truyền thông an toàn thông qua mạng công cộng SSL TLS cung cấp tiện ích bảo mật chống lại eavesdropping, sniffing, and spoofing 27 Sercurity for VPN TLS gồm có hai lớp : giao thức ghi lại TLS giao thức bắt tay TLS Giao thức ghi lại TLS thực trình bảo mật chế mã hóa, DES Giao thức bắt tay TLS cung cấp chế xác thực cho hai chiều, máy khách tham gia vào trình xác thực máy chủ Hai bên thống giải thuật khóa dùng để mã hóa liệu trình trao đổi thông tin Trong VPN, SSL TLS thực thi máy chủ VPN máy khách Các chức bảo mật thêm vào lớp mô hình OSI CHƯƠNG II: MÔ HÌNH THỬ NGHIỆM 2.1.Mô hình thử nghiệm Cấu hình địa IP sau: - VMNET 2: RADIUS Server, Domain, Client-XP1, VPN Server + RADIUS Server: 172.16.1.20/24, GW: 172.16.1.10, DNS: 172.16.1.1 28 Sercurity for VPN + Domain:172.16.1.1/24 + VPN Server: 172.16.1.10 + Client-XP1:172.16.1.3/24 - VMNET 3: VPN Server, Client-XP2 + VPN Server : 192.168.1.1/24 + Client-XP2 :192.168.1.2/24 2.2.Các bước cài đặt mô hình: -Tại máy Radius Server : Bước 1: Chuột phải vào My computer -> Tab Computer name -> Change ->Join Radius vào miền bknp.vn(user:administrator/pass:123) ->ok restart lại máy Bước 2: Khi máy restart xong chọn Start-> setting -> Controlpanel -> Add or remove programe -> Add or remove Windowns component -> Networking Service -> Detail -> Cài đặt dịch vụ Internet Authentication Service(IAS) -> Ok -> Next -> Finish 29 Sercurity for VPN Bước 3: Cấu hình dịch vụ IAS để xác thực Start -> Administrative tool -> Internet Authentication Service -> chuột phải vào Radius client -> New Radius client -> Điền tên ip máy chủ VPN -> Next điền password dùng xác thực cho dịch vụ Radius -> Finish - Tại Domain Con troller Bước 1: Mở Active Directory -> Chuột phải vào miền bknp.vn ->New user->Tạo người dùng (name :vpn/pass: p@ssw0rd) 30 Sercurity for VPN Bước 2: Chuột phải vào người dùng vpn -> tab dial-in -> chọn Allow Access (cho phép người dùng quyền quay số).-> Apply-> Ok - Tại VPN Server : Bước 1: Cấu hình dịch vụ VPN : Start -> administrative tool -> routing and remote access -> chuột phải vào tên máy chọn enable routing and remote access -> Custom -> VPN access -> Next -> Finish 31 Sercurity for VPN Bước 2: Cấu hình VPN Server cấp phát IP cho máy clien truy cập từ xa Start -> administrative tool -> routing and remote access -> chuột phải vào tên máy chọn Properties -> Tab IP -> Add -> nhập dải IP cần cấp cho máy Client truy cập VPN Bước 3: Cấu hình bảo mật VPN cho phép xác thực qua RADIUS Server Start -> administrative tool -> routing and remote access -> chuột phải vào tên máy chọn Properties -> Tab Sercurity -> Radius authentication -> Configure -> Add -> Điền IP máy Radius Server Password(chú ý password phải giống với pass cấu hình bên máy Radius Server) 32 Sercurity for VPN Bước 4: Tiếp theo bước Tab Sercurity, cấu hình cho phép kết nối VPN sử dụng IPSec + L2TP Chọn Allow custom IPSec policy for L2TP connection -> nhập key ->ok - Tại Client-XP2: Bước 1: Tạo kết nối VPN Chuột phải vào My network chọn Properties -> Create a new connection ->Next -> Connection to the network at my home place -> Virtuar Private network connection -> nhập tên IP -> Finish Tiếp theo nhập user name pass người dùng truy cập VPN(user:vpn/pass:p@w0rd) -> Properties-> Tab security -> advanced-> IPSec setting nhập key với cấu 33 Sercurity for VPN hình VPN Server-> Tab networking chọn giao thức IPSec/L2TP.Cuối đăng nhập lại với user name pass người dùng vpn để kiểm tra kết nối 2.3.Kết thử nghiệm: - Kết nối người dùng vpn/p@ssw0rd - Ping đến Client –XP1 34 Sercurity for VPN Đã kết nối thành công KẾT LUẬN: Một mối quan tâm công ty việc bảo mật liệu họ Bảo mật liệu chống lại truy nhập thay đổi trái phép không vấn đề mạng Việc truyền liệu máy tính hay mạng LAN với làm cho liệu bị công dễ bị thâm nhập liệu máy tính đơn Bảo mật vấn đề riêng VPN mà thực tế mối quan tâm thách thức tất tổ chức có nhu cầu sử dụng môi trường mạng Internet để trao đổi thông tin VPN công nghệ bảo mật mạnh, sử dụng chế xác thực, mã hóa, chứng nhận điện tử Tuy nhiên, tin tặc phát triển hệ thống phá họai mạnh tương tự Hệ thống VPN hệ thống an toàn tuyệt đối lỗ hổng Do tình hình việc tăng cường hệ thống bảo mật điều hoàn toàn cần thiết 35 [...]... thức VPN Các giao thức chính của VPN như : PPTP, L2TP, và IPSec đều có những lỗ hổng bảo mật cực kỳ nguy hiểm - Tấn công PPTP PPTP có hai điểm yếu : - Generic Routing Encapsulation (GRE) – Quá trình đóng gói - Trao đổi mật khẩu trong quá trình xác thực Để bảo mật dữ liệu, người ta cần đóng gói dữ liệu GRE là một giao thức đường hầm để đóng gói các dữ liệu dạng văn bản Nó không cung cấp cơ chế bảo mật. .. sau máy chủ VPN -Máy chủ VPN sau tường lửa Nếu thực thi tường lửa sau VPN, máy chủ VPN có thể kết nối trực tiếp với mạng công cộng và tường lửa nằm giữa máy chủ VPN và mạng nội bộ riêng (Hình 11-6) Trong trường hợp này cần cấu hình để cho phép duy nhất lưu lượng VPN đến máy chủ VPN Cần định cấu hình lên bộ lọc tường lửa để chỉ cho qua các gói tin VPN Hình 1.16: tường lửa nằm sau máy chủ VPN Như mô tả... Sercurity for VPN hình trên VPN Server-> Tab networking chọn giao thức IPSec/L2TP.Cuối cùng đăng nhập lại với user name và pass của người dùng vpn để kiểm tra kết nối 2.3.Kết quả thử nghiệm: - Kết nối bằng người dùng vpn/ p@ssw0rd - Ping đến Client –XP1 34 Sercurity for VPN Đã kết nối thành công KẾT LUẬN: Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật dữ liệu của họ Bảo mật dữ liệu... người dùng có thể lộ mật khẩu và tên truy cập Do đó người dùng cần chú ý bảo vệ cẩn thận tên truy cập và mật khẩu khi thực hiện kết nối VPN Thay đổi mật khẩu là 10 Sercurity for VPN một cách để ngăn các tin tặc đóan mật khẩu Bên cạnh đó người dùng cần cẩn thận để không bị nhìn lén khi đang làm việc Sử dụng chương trình bảo vệ mật khẩu của window và khóa trạm làm việc của mình lại khi không làm việc... trên cùng SOCKS tương thích với các công nghệ bảo mật và các hệ điều hành khác và cực kỳ hữu dụng đối với các môi trường máy tính không đồng nhất SOCKS cũng cung cấp cơ chế xác thực, mã hóa, quản lý khóa và các chức năng bảo mật khác cho VPN Trong công nghệ SOCKS, Secure Socket Layer (SSL) và Transport Layer Security (TLS) giúp bảo mật các giao tiếp thông qua VPN 1.2.3.2.4 Secure Socket Layer (SSL) và... cung cấp dịch vụ xác thực , cấp phép, kế toán độc lập 1.2.3.2 Các giải pháp bảo mật khác của VPN Các giải pháp và công nghệ được triển khai thành công trong mạng LAN và WAN cũng được tích hợp trong VPN để tăng tính bảo mật của dữ liệu trong quá trình giao tác 1.2.3.2.1 Tường lửa Tường lửa là một công cụ cực kỳ hiệu quả để bảo mật dữ liệu trong mạng khỏi các tác nhân bên ngoài Tường lửa không chỉ ngăn... thông tin Trong VPN, SSL và TLS được thực thi ở máy chủ VPN và máy khách Các chức năng bảo mật được thêm vào các lớp trong mô hình OSI CHƯƠNG II: MÔ HÌNH THỬ NGHIỆM 2.1.Mô hình thử nghiệm Cấu hình địa chỉ IP như sau: - VMNET 2: RADIUS Server, Domain, Client-XP1, VPN Server + RADIUS Server: 172.16.1.20/24, GW: 172.16.1.10, DNS: 172.16.1.1 28 Sercurity for VPN + Domain:172.16.1.1/24 + VPN Server: 172.16.1.10... Sercurity for VPN Bước 2: Chuột phải vào người dùng vpn -> tab dial-in -> chọn Allow Access (cho phép người dùng được quyền quay số).-> Apply-> Ok - Tại VPN Server : Bước 1: Cấu hình dịch vụ VPN : Start -> administrative tool -> routing and remote access -> chuột phải vào tên máy chọn enable routing and remote access -> Custom -> VPN access -> Next -> Finish 31 Sercurity for VPN Bước 2: Cấu hình VPN Server...Sercurity for VPN Hình 1.7: Một cuộc tấn công phối hợp bên trong và bên ngoài 1.2.2.Các kiểu tấn công VPN Một hệ thống VPN có thể bị tấn công từ rất nhiều đường, ví dụ như : -Security threats to VPN elements - Tấn công vào các thành phần của VPN -Attacks against VPN protocols - Tấn công vào các giao thức của VPN -Cryptanalysis attacks - Tấn công bằng cách giải... trên một máy tính đơn Bảo mật không phải là vấn đề riêng của VPN mà thực tế là mối quan tâm và thách thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng Internet để trao đổi thông tin VPN là một công nghệ bảo mật cực kỳ mạnh, nó sử dụng các cơ chế như xác thực, mã hóa, chứng nhận điện tử Tuy nhiên, các tin tặc cũng đã phát triển các hệ thống phá họai mạnh tương tự Hệ thống VPN không phải là ... bày bảng sau: Sercurity for VPN Sercurity for VPN Bảng 2: Các giao thức sử dụng VPN 1.2.BẢO MẬT TRONG VPN 1.2.1.Các mối đe dọa trình bảo mật VPN bị đe dọa việc bảo mật giống mạng khác 1.2.1.1... for VPN CHƯƠNG 1: BẢO MẬT VPN 1.1.TỔNG QUAN VỀ VPN 1.1.1.Định nghĩa VPN Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng Internet) với sách quản lý bảo mật. .. 1.1.2.1.Mạng VPN truy nhập từ xa .2 1.1.2.2.Mạng VPN điểm nối điểm 1.1.3.Các giao thức VPN 1.2-BẢO MẬT VPN 1.2.1.Các mối đe dọa trình bảo mật 1.2.1.1.Mối