1. Trang chủ
  2. Kỹ Thuật - Công Nghệ

MẠNG RIÊNG ẢO

31 441 0
MẠNG RIÊNG ẢO

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

MNG RIấNG O (Virtual Private Network - VPN) Ha Noi, thang nam 2004 Ni dung trỡnh by Ni dung: I Gii thiu tng quan v VPN II VPN v bo mt INTERRNET VPN III Thit k cỏc ca mt VPN IV Qun lý VPN V Tng kt Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr Nhng kin thc liờn quan Lý thuyt mng TCP/IP Mó hoỏ thụng tin Firewall I GII THIU TNG QUAN V VPN 1.MNG RING O L G? Virtual Private Network Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr Virtual Private Network gi l mng riờng o -VPN c s nm 1997 Khỏi nim mng riờng o L phng phỏp lm cho mt mng cụng cng hot ng nh mt mng cc b kt hp vi cỏc gii phỏp bo mt trờn ng truyn VPN cho phộp thnh lp cỏc kt ni riờng vi ngi dựng xa, cỏc phũng chi nhỏnh ca cụng ty v cỏc i tỏc ca cụng ty ang s dng chung mt mng cụng cng Khỏi nim nh ng hm (Tunneling) L c ch dựng cho vic úng gúi mt giao thc mt giao thc khỏc nh ng hm cho phộp che du giao thc lp mng nguyờn thu bng cỏch mó hoỏ gúi d liu v cha gúi ó mó hoỏ vo mt v bc IP Khỏi nim v cht lng dch v VPN cũn cung cp cỏc tho thun v cht lng dch v (QoS), nh mt gii hn trờn cho phộp v tr trung bỡnh ca gúi mng VPN= nh ng hm + Bo mt + Cỏc tho thun QoS Ti phi xõy dng VPN ? Gim chi phớ ng truyn: cho phộp tit kim n 60% chi phớ so vi thuờ bao ng truyn v gim ỏng k tin cc Gim chi phớ u t VPN khụng tn chi phớ u t cho mỏy ch, b nh tuyn, cỏc b chuyn mch nh u t cho mt mng WAN ca cụng ty (cú th thuờ ca cỏc nh cung cp dch v) Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr Gim chi phớ qun lý v h tr Vi quy mụ kinh t ca mỡnh cỏc nh cung cp dch v cú th mang li cho cụng ty nhng tit kim cú giỏ tr so vi vi vic t qun lý mng Truy cp mi lỳc mi ni VPN khụng lm nh hng n bt k mt dch v trun thng no ca Internet 2.Phõn loi mng riờng o Extranet Business Partner Mobile User POP Internet VPN DSL Cable Home Telecommuter Central Site Site-to-Site Remote Office Truy cp t xa (Remote Access) Kt ni chi nhỏnh ca cụng ty (Site to Site) Mng m rng (ExtranetVPN) Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr Ba loi liờn kt mng VPN Remote User Access Intranet Extranet 3.Cu trỳc ca VPN Tớnh tng thớch (Compatibility) H tr nhiu chun giao thc Tớnh bo mt (Sercurity) Password cho User mng Mó hoỏ d liu truyn n gin qun lý, s dng Tớnh kh dng (Availability) Tc kt ni Cht lng dch v (QoS) Kh nng hot ng tng tỏc ng b vi thit b s dng 10 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr II VPN v bo mt internet vpn Kiến trúc VPN Bảo mật với VPN Giao thức VPN 11 1.Kin trỳc mng VPN Kin trỳc ca mt mng VPN ng hm: phn o VPN: Khụng trỡ kt ni thng trc gia cỏc im cui, thay vo ú mt ni ch c to gia hai site cn thit, khụng cũn cn thit na thỡ nú s b hu b, ti nguyờn mng sn sng cho nhng kt ni khỏc i vi ngi s dng VPN nhng thnh phn vt lý ca mng c cỏc ISP giu i Vic che giu c s h tng ca ISP v Internet c thc hin bi khỏi nim gi l nh ng hm (Tunneling) 12 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr Vic to ng hm to mt kt ni c bit gia hai im cui to mt ng hm im cui ngun phi úng cỏc gúi ca mỡnh nhng gúi IP (IP Packet) cho vic truyn qua Internet Trong VPN vic úng gúi bao gm c vic mó hoỏ gúi gc im cui nhn, cng ni (Gateway) g b tiờu IP v gii mó gúi nu cn v v chuyn gúi n ớch ca nú Vic to ng hm cho phộp nhng dũng d liu v thụng tin ngi dựng kt hp c truyn trờn mt mng chia s mt ng o (virtual pipe) ng ny lm cho vic nh tuyn trờn mng hon ton tr nờn sut i vi ngi dựng 13 ip ah Esp Tiêu dề Dữ liệu Gúi tin kiu ng hm A B Dữ liệu A B Dữ liệu A B Dữ liệu 14 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr Cỏc dch v bo mt: phn riờng VPN Authemtication: Bo m d liu n cú ngun gc rừ rng Access control: ngawnhng ngi dựng bt hp phỏp Confidentiality: Hn ch vic d liu b phỏ hoi trờn ng truyn Data intergity: Bo khụng cú th thay i ni dung d liu trờn ng truyn Mc dự nhng ng hm cú th lm cho vic truyn d liu trờn Internet c bo mt, nhng vic xỏc thc ngi dựng v trỡ tớnh ton d liu ph thuc vo cỏc tin trỡnh mó hoỏ nh: ch ký in t, xỏc nhn bn Nhng tin trỡnh ny c s dng thụng qua cỏc khoỏ, phi c phõn phi v qun lý cht ch, õy l mt cụng vic ca mng VPN Mt khỏc cỏc dch v bo mt d liu c thc hin tng v tng 15 Mt s giao thc cho VPN a Point to Point Tunneling Protocol (PPTP) PPTP l m rng ca giao thc PPP (RFC 1661) Dch v ng hm m PPTP cung cp chy phớa trờn ca lp IP, ngc li thỡ giao thc PPP truyn thng li nm phớa di PPP thớch hp cho vic bin i bi vỡ hot ng ca nú cng gn ging nh hot ng m VPN cn, nhng PPP khụng an ton Kt ni iu khin PPTP: Khi s dng kt ni ti Internet c thit lp bi PPP, PPTP thit lp kt ni iu khin, s dng cng TCP 1723, kt ni ny dựng TCP thit lp Xỏc thc: Cỏc mỏy khỏch PPTP c nhn thc s dng giao thc PPP Cỏc mt khu rừ rng c s dng cỏc cỏch xỏc thc l PAP Password Authentication Protocol, CHAP Chalenge Handshake Authentication Protocol RFC 1334, RFC1994, RFC2284 16 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr b Layer Tunneling Protocol (L2TP) Giao thc ng hm lp lai ghộp (Hybrid Layer tunneling) - Giao thc xõy dng ng hm cho VPN i vi nhu cu truy cp t xa L m rng ca giao thc PPP, kt hp c u im ca L2F ca Cisco v PPTP ca Microsoft - H tr cho mụi trng a giao thc: Truyn c bt k giao thc no c nh tuyn gm: IP, IPX, AppleTalk - Phng tin c lp: L2PT hot ng trờn bt k mng no cú kh nng truyn khung IP, h tr bt k ng trc WAN no: Frame Relay, ATM, X25, SONET, h tr cỏc phng tin LAN: Ethernet, TokenRing, FDDI - Cú th thit lp t mỏy ch truy cp mng (Network Access Server) hoc t phn mm client ti mt router hot ng nh im u cui ca ng hm 17 Minh ho kin trỳc VPN ca Cisco Khi truy cp VPN Khi truy cp lm nn cho cỏc ng dng thng mi, c thit k tuõn theo cỏc yờu cu v quy nh ging nh mng riờng ca cụng ty Khi bo mt @ Kin trỳc xỏc thc Trong mụi trng truy cp VPN, khớa cnh bo mt quan trng nht liờn quan n vic nhn dng mt ngi dựng ca cụng ty v thit lp mt ng hm n cng ni ca cụng ty Cng ni ny phi cú kh nng xỏc thc ngi dựng, cỏc quyn truy cp v tớnh cc (AAA) @ Xỏc thc n phng xỏc thc ngi dựng, u tiờn Client s thit lp kt ni n mng cung cp dch v thụng qua mt POP, sau ú thit mt kt ni th hai vi mng khỏch hng 18 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr Cỏc im cui ca ng hm truy cp VPN xỏc thc vi K tip ngi dựng kt ni n cỏc thit b u cui khỏch hng (CPE) Cỏc Cng ni ngi dựng s dng giao thc phõn tớch cht lng thnh viờn hay giao thc Internet tuyn ni tip SLIP (Serial Line Internet Protocol) v c xỏc thc thụng qua mt giao thc xỏc nh tờn/mt khu nh : PAP ( Password Authentication Protocol), giao thc xỏc thc yờu cu bt tay CHAP (Chanllenge Handshake Protocol) hay mt h thng iu khin truy cp cng 19 VPN reference architecture customer edge device provider edge device 20 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr 10 Cỏc nguy c an ninh mng Vic truyn d liu trờn cỏc mng IP cú th chu nhiu mi nguy him , ú cú mt loi thụng dng: ỏnh la (spoofing), n cp phiờn (session hijacking), nghe trm (sniffing) v tn cụng chớnh din (the manin the-middle-attack) ỏnh la Tn cụng kiu ỏnh la l mt k tn cụng cú th s dng a ch IP ca mt ú mng v gi v tr li ngi khỏc Sau k tn cụng xỏc nh hai trm A v B ang truyn thụng vi keo kiu client / server, s c gng gi lm mt hai trm ú (A chng hn) bng cỏch no ú trm cũn li (trm B) tin rng minh ang kt ni vi B K tn cụng thc hin iu ny bng cỏch to mt bn tin gi vi a ch ngun l a ch ca A, yờu cu kt ni n B Khi B nhn c bn tin ny, nú s xỏc thc (Acknowlegment) kốm theo s tun t cho vic truyn d liu vi A Nhng s tun t t mỏy ch A l nht i vi kt ni gia hai mỏy 35 hon tt mt phiờn lm vic gia A v B, B s mong ch A xỏc thc s tun t ca B trc tin hnh bt c mt s trao i thụng tin no, ngi tn cụng úng vai bờn A, phi oỏn s s tun t m B s s dng v phi ngn chn bờn A tr li Tuy nhiờn, khụng quỏ khú xỏc nh s tun t gia cho mỏy A khụng ỏp ng c bt k vic truyn d liu no ca B, ngi tn cụng thng xuyờn truyn mt s lng ln cỏc gúi n A, lm cho A b quỏ ti Kiu tn cụng ỏnh la tng i d bo mt, bng cỏch cu hỡnh cỏc b nh tuyn loi b cỏc gúi tin quay v no m bt phi hỡnh thnh t mt mỏy tớnh mng ni b n cp phiờn K tn cụng c gng tip qun mt kt ni sn cú gia hai mỏy tớnh mng u tiờn, k tn cụng iu khin thit b mng trờn mng LAN, cú th l bc tng la hay mt mỏy tớnh khỏc, ú cú th giỏm sỏt kt ni gia hai mỏy tớnh, k tn cụng cú th xỏc nh c s tun t c s dng bi hai bờn 36 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr 17 Sau giỏm sỏt c kt ni, k tn cụng cú th to mt lu lng, lu lng ny xut hin n t mt cỏc bờn truyn thụng, chim lỏy phiờn lm vic t mt cỏc cỏ nhõn tham gia K tn cụng s lm cho mt cỏc mỏy tớnh truyn thụng quỏ ti bi vic x lý cỏc gúi tin trỏnh vic n cp phiờn ch cn cú mt xỏc nhn thnh viờn mt phiờn lm vic m bin phỏp an ton nht l mó hoỏ Nghe trm Bn cht ca vic nghe lộn trờn mng to mt s Card giao tip gi theo chun Ethernet cú th nhn c mt s gúi tin kiu Broadcast K tn cụng cú th dựng mt loi phn mm gi l ỏnh hi (sniffer) cú th ghi li cỏc lu lng mng chuyn qua chỳng, ú l mt phn cn thit chn oỏn mng no lm vic vi mng Ethernet, cho phộp xỏc nh mt cỏch nhanh chúng iu gỡ ang din trờn mt on mng bt k Cỏc sn phm Sniffer cng l mt cụng c ghi li nhng gúi ng nhp vo mng v sau ú s dng nhng thụng tin ny xõm nhp vo mt mng m khụng cú quyn truy cp Giỏm sỏt vt lý l cỏch tt nht gim nguy c nghe trm 37 Tn cụng trc din Rừ rng l vic s dng nhng k thut mó hoỏ bo mt v xỏc thc d liu l gii phỏp hu hiu cho cỏc nguy c bo mt trờn, nhng mó hoỏ cng cú nhng nguy c tim n nh l vic qun lý mt cỏc cn thn h thng khoỏ K tn cụng cú th dựng nhiu bin phỏp thu c cỏc thụng tin v vic trao i khoỏ gia cỏc thnh viờn mng Kiu tn cụng ú gi l tn cụng trc din 38 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr 18 K thut xỏc thc Xỏc thc l mt phn khụng th thiu ca kin trỳc bo mt trờn VPN Xỏc thc da trờn ba thuc tớnh: cỏi gỡ ta cú ( mt khoỏ hay mt card token), cỏi gỡ chỳng ta bit (mt khu) v cỏi gỡ nhn din (ging núi, quột vừng mc, du võn tay, .) Mt khu truyn thng Cỏc loi xỏc thc n nh ID, mt khu c trỡ mt khong thi gian nht nh khụng mnh bo mt truy cp trờn mng c ngi dựng luụn cnh giỏc Vỡ vy gii phỏp mt khu mt ln hu hiu hn Mt khu mt ln OTP (One Time Password) H thng mt khu mt ln ú loi S/Key l loi xỏc thc in hỡnh H thng S/Key to mt cỏch t ng danh sỏch mt khu cho mi phiờn lm vic ca ngi dựng Nhc im ca phng phỏp ny l khú qun tr danh sỏch mt khu cho mt s lng ln ngi dựng 39 Cỏc giao thc xỏc thc Giao thc xỏc thc mt khu PAP (Password Authentication Protocol) Giao thc PAP c thit k mt cỏch n gin cho mt mỏy tớnh t xỏc thc n mt mỏy tớnh khỏc giao thc im - im c s dng lm giao thc truyn thụng.PAP l giao thc bt tay hai chiu mỏy tớnh ch to kt ni gi mt nhn dng ngi dựng v mt khu kộp n h thng ớch m nú c gng thit lp kt ni v sau ú h thng ớch xỏc thc rng mỏy tớnh ú c xỏc thc ỳng v chp nhn cho vic truyn thụng PAP khụng bo mt bi vỡ thụng tin xỏc thc c truyn i rừ rng v khụng cú gỡ bo mt chng li tn cụng tr li hay lp li quỏ nhiu bi nhng ngi tn cụng nhm oỏn mt khu ỳng Giao thc xỏc thc yờu cu bt tay CHAP (Challenge Handshake Authentication Protocol) Giao thc CHAP l mt giao thc bt tay ba chiu, xỏc thc ny gm bc: 1- B xỏc thc gi mt bn tin thỏch n mỏy tớnh ngang cp 2- Mỏy tớnh ngang cp tớnh toỏn mt giỏ tr s dng hm bm chiu gi tr li cho b xỏc thc 3- Mỏy tớnh xỏc thc cú th ỏp ng chp nhn nu tng ng vi giỏ tr mong mun 40 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr 19 H thng iu khin truy cp b iu khin truy cp u cui TACACS TACACS (Terminal Access Controller Access System) l mt nhng H thng c phỏt trin khụng ch cung cp c ch xỏc thc, m cũn thờm hai chc nng 2A vic bo mt truy cp t xa, ú l : cho phộp (Authorization) v tớnh cc (Accouting) Khụng nh nhng mi quan h ngang cp c thit k PAP v CHAP,TACACS c thit k cú chc nng nh mt h thụng Client/Server, ú mang tớnh mm hn, c bit vic qun lý bo mt mng Trung tõm hot ng ca TACACS v RADIUS l mt mỏy ch xỏc thc (authentication server) DL ND User quay s vo mỏy ch truy nhp Giao thc TACACS/RDIUS gi yờu cu xỏc thc v Server Mỏy ch xỏc thc kim tra yờu cu nhn dng Mỏy ch xỏc thc v thụng bỏo cho mỏy ch truy nhp 41 Cỏc h thng phn cng c bn A- Smart card v PC card Card thụng minh (Smart card) l thit b cú kớch thc ging nh th tớn dng bao gm: 01 b vi x lý v 01 b nh c cỏc thụng tin t Smart card cn 01 u c Smart card cú th lu tr mt khoỏ riờng ca tng ngi dựng cựng vi bt k ng dng no c gi t nhm n gin hoỏ quỏ trỡnh xỏc thc, c bit i vi ngi dựng di ng Hin xut hin mt s SC gm mt b ng x lý mó hoỏ v gii mó, ú vic mó v gii mó d dng v nhanh chúng Cỏc h thng chng nhn in t n gin nht yờu cu ngi nhp vo s nhn din cỏ nhõn PIN hon tt tin trỡnh xỏc thc Trong rt nhiu h thng ngi ta kt hp gia PIN ca SC v cỏc thụng tin v sinh trc hc ca ngi dựng nh võn tay dựng h thng ny ngi ta trang b mỏy quột võn tay, sau ú so sỏnh vi d liu c lu trờn SC PC card l mt bo mch nh c cm vo slot m rng trờn bo mch ch ca mỏy tớnh Cỏc PC card kộm linh hot hn nhng cú b nh ln hn SC nờn cú th lu tr lng tụng tin xỏc thc ln hn 42 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr 20 B- Cỏc thit b th bi (token Devices) Th bi c xõy dng da trờn phn cng riờng bit dựng hin th cỏc mó nhn dng (pascode) thay i m ngi dựng phi nhp vo mỏy B x lý bờn th bi lu gi mt cỏc khoỏ mó mt c dựng phỏt cỏc mó nhn dng mt ln Cỏc mó ny c chuyn n mt mỏy ch bo mt trờn mng, mỏy ch ny kim tra tớnh hp l v chuyn quyn truy cp cho ngi dựng Trc ngi dựng c xỏc thc, cỏc thit b th yờu cu mt PIN, sau ú s dng mt ba c ch sau: 1- C ch ỏp ng thỏch , mỏy ch bo mt phỏt mt s ngu nhiờn ngi dựng ng nhp vo mng Mt s thỏch xut hin trờn mn hỡnh, ngi dựng nhp vo s cỏc s th bi Th bi mó hoỏ cỏc s thỏch ny vi mó khoỏ mt ca nú v hin th lờn mn hỡnh LCD, sau ú ngi dựng nhp kt qu ny vo mỏy tớnh Trong ú, mỏy ch mó hoỏ s thỏch vi cựng mt khoỏ v nu nh hai kt qu ny phự hp thỡ ngi dựng s c phộp vo mng 43 2- C ch ng b thi gian õy th bi hin th mt s c mó hoỏ vi khoỏ mt m khoỏ ny thay i c 60 giõy Ngi dựng c nhc cho s c gng ng nhp vo mỏy ch Bi ng h trờn mỏy ch v th c ng b, cho nờn mỏy ch cú th xỏc nhn ngi dựng bng cỏch gii mó s th v so sỏnh kt qu 3- C ch ng b s kin õy, mt b m ghi li s ln vo mng ca ngi dựng Sau mi ln vo mng, b m c cp nht v mt mó nhn dng khỏc c to cho ln ng nhp k tip C- H thng sinh trc hc H thng sinh trc hc ph thuc vo vic s dng mt du vt cỏ nhõn nht xỏc nh ngi dựng Cỏc du vt thng c s dng l : võn tay, ging núi, vừng mc 44 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr 21 K thut mt mó Mó hoỏ i xng Khoỏ K Vn bn gc Vn bn gc Vn bn mó Khoỏ K Khoỏ K Mó hoỏ phi i xng Khoỏ E Vn bn gc Vn bn gc Vn bn mó Khoỏ E Khoỏ D 45 Mó hoỏ i xng K thut mó hoỏ DES ú 56 bits dựng lm khoỏ v bits dựng kim soỏt li S thut toỏn nh sau: Input T=t1t2 t64 Hoỏn v u (IP) T0=IP(T) 16 ln lp Tớnh toỏn mó hoỏ To khoỏ Ki (16 la chn) Khoỏ K K=k1k2 k64 Hoỏn v ngc u (IP) T=IP(Tn) Output T=t1t2 t64 46 Copyright â 1998, Cisco Systems, Inc All rights reserved Printed in USA Presentation_ID.scr 22 Mó hoỏ phi i xng K thut mó hoỏ Diffie Hellman (DH), c ch lm vic: hai bờn trao i cú th s dng k thut DH to mt giỏ tr mt dựng chung m sau ú cú th c dựng nh mt khoỏ chung cho thut toỏn mó hoỏ khoỏ mt To s ngu nhiờn Vn bn gc Tớnh toỏn khoỏ Tớnh toỏn khoỏ Vn bn mó To s ngu nhiờn Vn bn gc 47 Phng phỏp mó hoỏ cụng khai RSA ( Rivest, Shamir, Adleman) Nm 1978 Rivest, Shamir v Adleman ó xut phng phỏp mó hoỏ RSA mó Cụng khai Thut toỏn RSA da trờn nhn xột sau: cú th d dng sinh s nguyờn t ln v nhõn chỳng vi nhau, nhng cc k khú phõn tớch mt hp s thnh s nguyờn t Thut gii c mụ t nh sau: 1- Chn s nguyờn t ln p v q 2- Tớnh n= pxq v (n)=(p-1)(q-1) 3- Chn ngu nhiờn D ( < D

Ngày đăng: 09/09/2016, 08:46

Xem thêm: MẠNG RIÊNG ẢO

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan