03/05/2014 BÀI MẠNG RIÊNG ẢO (VPN) Bùi Trọng Tùng, Bộ môn Truyền thông Mạng máy tính Viện CNTT-TT, Đại học BKHN Nội dung Giới thiệu chung VPN Các mô hình mạng riêng ảo Giao thức VPN tầng Giao thức VPN tầng 03/05/2014 GIỚI THIỆU CHUNG VỀ VPN Đặt vấn đề • Nguy an toàn thông tin mạng Internet • Nghe • Giả danh • Giả mạo • Giải pháp • Point-to-point link : lease line Hoặc • Mã hóa bảo mật • Xác thực  Virtual Private Network 03/05/2014 VPN gì? • Kết nối mạng công cộng (Internet) bảo đảm an toàn an ninh, với sách mạng riêng: VPN • Virtual • Private • Network Internet • Mở rộng mạng Intranet Internet VPN Lợi ích VPN • Bảo mật • Linh hoạt, không phụ thuộc vào công nghệ hạ tầng kết nối • Sử dụng dịch vụ tính toán khắp nơi • Tăng khả mở rộng : kết nối, băng thông • Chi phí triển khai thấp 03/05/2014 Các chế độ kết nối • Transport mode • Trên cặp thiết bị đầu cuối • Dữ liệu đóng gói VPN packet • Hạn chế ??? • Tunnel mode • Các thiết bị đầu cuối không tham gia vào VPN • Kết nối VPN thông qua thiết bị trung gian • Ưu điểm??? Đường hầm VPN(VPN Tunneling) 03/05/2014 CÁC MÔ HÌNH MẠNG RIÊNG ẢO Các mô hình mạng riêng ảo • Mô hình truy cập từ xa 03/05/2014 Các mô hình mạng riêng ảo • Mô hình site-to-site Intranet dựa WAN Intranet dựa VPN Các mô hình mạng riêng ảo • Mô hình site-to-site (tiếp) Extranet dựa WAN Extranet dựa VPN 03/05/2014 GIAO THỨC VPN TẦNG 3.1 PPTP • Point-to-Point Tunneling Protocol (RFC 2637) • Mở rộng Point-to-Point Protocol (PPP) • Client/Server : kết nối  Kết nối điều khiển : TCP, cổng 1723  Kết nối đường hầm: Generic Routing Encapsulation PPP PPTP 03/05/2014 PPTP (tiếp) • Các thành phần PPTP:  PPTP Client  PPTP Server  NAS • Thiết lập kết nối PPTP Thiết lập liên kết: LCP (Link Control Protocol) Xác thực người dùng:     PAP – Password Authentication Protocol CHAP - Challenge Handshake Authentication Protocol MS-CHAPv1 MS-CHAPv2 NAS ngắt thiết lập lại kết nối Thỏa thuận giao thức PPTP Tunnel Packet RC4 encryption Keysize : 40 or 128 bits 03/05/2014 3.2 L2F • Layer Forwarding Protocol • Thiết lập đường hầm L2F • Bảo mật • MPPE • IPSec • Xác thực : Private Network ISP'sIntranet Internet Remote NAS User PPP Connection Request Request Accepted/ Rejected CHAP, EAP Host Network Gateway Server User Authentication (PAP, CHAP) L2F Tunnel Initiation Tunnel Establishment Allocated 6b Tunnel Established Notification 6a Connection RequestAccepted/ Rejected 7a User Authentication 7b Tunnel Established Đường hầm L2F 03/05/2014 3.3.L2TP • Layer Tunnelling Protocol (RFCs 2661 and 3438) • Kết hợp L2F PPTP • Sử dụng UDP để đóng gói liệu (Port 1701) • Có thể sử dụng thêm IPSec chế độ transport mode • Thiết lập đường hầm L2TP : bước  Thiết lập kết nối để trao đổi thông điệp điều khiển tạo đường hầm  Thiết lập phiên trao đổi liệu qua đường hầm Thiết lập đường hầm L2TP PPP Connection ISP's Intranet Private netw ork Internet Remote User Connection Request NAS LAC LNS 2a Authentication Request Connection Accepted 2b Connection Accepted/ Rejected Connection Forw arded to LAC Connection Establishment Notifiaction Message (CID+Authentication Information) Data Exchange End User Authentication 10 03/05/2014 Đóng gói liệu Các kiểu đường hầm L2TP • Tự nguyện(Voluntary) : máy trạm người dùng L2TP server điểm đầu cuối, trực tiếp thiết lập đường hầm Remote User ISP's Intranet Private Network Internet LAC 1a Connection Request 1b LNS ConnectionRequest ConnectionAccepted/Rejected L2TP Frames Strips Tunneling Information 4a Authentication the User 4b Frames to the Destination Node 11 03/05/2014 Các kiểu đường hầm L2TP • Cưỡng bức(Compulsory) : • L2TP Access Concentrator (LAC) : khởi tạo thiết lập • L2TP Network Server (LNS) Pri va te N e tw or k PPP C onne c tion IS P's Intra ne t Internet R e m ote User PPP C o nn e c tio n R e q u e st NAS LAC LNS Authe n tic a tio n R e q u e st In itia tio n o f L F T un n e l C o n ne c tio n E sta b lish e d C o nn e c tio n E sta b lishe d L T P T un n e l F m e s Auth e n tic a tio n th e R e m o te U se r T o D e stin a tion Node So sánh giao thức VPN tầng Feature Hỗ trợ nhiều giao thức PPTP Yes Yes Yes Hỗ trợ nhiều liên kết PPP Hỗ trợ nhiều kết nối đường hầm Các chế độ hoạt động hỗ trợ Các chế độ đường hầm hỗ trợ Giao thức đóng gói No Yes Yes No Yes Yes Giao thức kiểm soát Các chế xác thực Các chế mã hoá L2F L2TP Incoming & Incoming Incoming Outgoing Voluntary Voluntary & Compulsory Voluntary & Compulsory IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, IP/ATM TCP, Port: UDP, Port: 1701 UDP, Port: 1701 1723 MS-CHAP, CHAP, PAP, SPAP, EAP, CHAP, PAP, SPAP, PAP IPSec, RADIUS RADIUS EAP, IPSec, & & TACACS TACACS MPPE MPPE, IPSec MPPE, IPSec, ECP 12 03/05/2014 IPSEC Giới thiệu chung • Bộ giao thức (RFC 4301 >30 RFC khác ) • Các dịch vụ: • Bảo mật: DES, 3DES, AES • Xác thực: HMAC MD-5, HMAC SHA-1 • Chống công phát lại • Xác thực bên • Kiểm soát truy cập • Giao thức đóng gói liệu : • AH : Xác thực thông điệp • ESP : Bảo mật xác thực thông điệp 13 03/05/2014 Hệ thống tài liệu đặc tả IPSec Domain of Interpretation Giao kết bảo mật (security association) • Chứa tham số để hình thành liên kết bảo mật bên • Có tính chiều • Xác định tham số: • SPI (Sercurity Parameter Index):32 bit • Địa IP đích • Định danh giao thức bảo mật (Security Protocol Identifier) • Security Policy Database (SPD) • Selector : nhóm thông tin (IP, Port, UserID…) để tham chiếu tới mục SPD 14 03/05/2014 Tiến trình trao đổi liệu qua IPSec VPN Một bên khởi tạo Thiết lập kết nối điều khiển: ISAKMP/IKE Phase 1:    Các sách trao đổi khóa Diffie-Hellman Xác thực thiết bị xác thực người dùng ISAKMP/IKE Phase : thỏa thuận tham số thiết lập kết nối bảo mật để truyền liệu Trao đổi liệu Làm kết nối thời gian quy định cho phiên ISAKMP/IKE Phase • Internet Security Associate and Key Management Protocol : khuôn dạng gói tin, giao thức trao đổi khóa, thỏa thuận SA để thiết lập kết nối • Internet Key Exchange : tạo, chia sẻ, quản lý khóa • ISAKMP/IKE Phase 1: • Thỏa thuận SA • Trao đổi khóa Diffie-Hellman • Xác thực lẫn trước tiến hành ISAKMP/IKE Phase • chế độ : main aggressive 15 03/05/2014 Các chế độ ISAKMP/IKE Phase • Main mode • Aggressive mode ISAKMP/IKE Phase : Thỏa thuận SA 16 03/05/2014 ISAKMP/IKE Phase : Remote-access • Xác thực người dùng XAUTH (RFC Draft) • Áp dụng sách nhóm cho người dùng (IKE Mode/Client Config) • Trao đổi thông tin định tuyến Gán địa cho client 17 03/05/2014 ISAKMP/IKE Phase • Sử dụng giao thức đóng gói: • AH : Authentication Header (RFC 2420) • ESP : Encapsulating Security Payloads (RFC 2406) Đóng gói liệu theo giao thức ESP 18 03/05/2014 Đóng gói liệu theo giao thức ESP Đóng gói liệu theo giao thức AH 19 03/05/2014 Đóng gói liệu theo giao thức AH Các chế độ kết nối Transport Mode Tunnel Mode AH Xác thực cho phần liệu Xác thực toàn gói gói tin IP phần tin IP ban đầu IP header phần tiêu đề gói tin IPSec ESP Mã hóa phần liệu Mã hóa toàn gói tin gói tin IP phần tiêu đề IP ban đầu IPv6 mở rộng ESP có xác thực Mã hóa phần liệu cùa Mã hóa xác thực gói tin IP phần tiêu đề toàn gói tin IP ban IPv6 mở rộng đầu Xác thực phần liệu gói tin IP 20 03/05/2014 Xử lý gói tin IPSec • Gói tin outbound • Kiểm tra policy SPD: discard, bypass, apply • Thiết lập SA bên(nếu cần) • Áp dụng dịch vụ IPSec lên liệu theo SA thiết lập • Nếu sử dụng nhiều SA bắt buộc phải tuân theo thứ tự • Gói tin inbound • Nếu không chứa IPSec header : kiểm tra policy SPD discard, bypass, apply • Nếu chứa IPSec header : , Src IP để tìm kiếm SA SADB • Kiểm tra policy xử lý phần liệu tầng • Chuyển lên cho tầng xử lý tiếp Xử lý gói tin IPSec(ví dụ) • A-RB:ESP • A-B: AH 21