- GIÁO VIÊN: NGUYỄN HIẾU MINH 9/5/2012 1) Một Số Khái Niệm Cơ Bản Về VPN 2) Phân loại VPN 3) PPTP VPN 4) IPSEC VPN 5) MPLS VPN 9/5/2012  Mục đích: Đảm bảo trao đổi thông tin an toàn mạng nội máy tính riêng lẻ qua mạng công cộng  Mục đích chính: Cung cấp tính an toàn, tính hiệu mạng đảm bảo cân giá thành cho toàn trình xây dựng mạng 9/5/2012  Mã hoá bảo mật liệu (Encryption): Là trình xử lý liệu theo thuật toán mật mã nào đó liệu đọc người dùng hợp lệ  Xác thực (Authentication): Là trình xác thực hợp lệ người dùng (hoặc thiết bị)  Cấp quyền (Authorization): Là trình xử lý cấp quyền truy cập ngăn cấm vào tài nguyên mạng sau thực xác thực 9/5/2012  VPNs đưa AT&T từ cuối năm 80 biết Software Defined Networks (SDNs)  Thế hệ thứ hai VPNs đời từ xuất mạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network - ISDN) từ đầu năm 90 9/5/2012  Sau hệ thứ hai VPNs đời, thị trường VPNs tạm thời lắng động chậm tiến triển, có lên hai công nghệ Frame Relay (FR) Asynchronous Tranfer Mode (ATM) Thế hệ thứ ba VPNs phát triển dựa theo công nghệ  Hai công nghệ phát triển dựa khái niệm Virtual Circuit Switching, theo đó, gói liệu không chứa địa nguồn đích Thay vào đó, chúng mang trỏ, trỏ đến virtual circuit nơi mà liệu nguồn đích truyền 9/5/2012  Công nghệ Virtual Circuit switching có tốc độ truyền liệu cao (160 Mbs cao hơn) so với hệ trước - X.25, ISDN  Tuy nhiên việc đóng gói IP lưu thông bên gói Frame Relay ATM cells chậm  Ngoài ra, mạng FR-based ATM-based không cung cấp phương pháp xác nhận packet-level end-to-end mã hóa cho ứng dụng high-end chẳng hạn multimedia 9/5/2012  IP Security (IPSec): Ðược phát triển IETF, IPSec chuẩn mở đảm bảo trình trao đổi liệu an toàn phương thức xác nhận người dùng qua mạng công cộng  Không giống với kỹ thuật mã hoá khác, IPSec thực tầng thứ mô hình OSI Vì thế, chúng chạy độc lập so với ứng dụng chạy mạng 9/5/2012  Point-to-point Tunneling Protocol (PPTP): Phát triển Microsoft, 3COM, Ascend Communications, PPTP chọn lựa để thay cho IPSec Tuy nhiên IPSec sử dụng nhiều số Tunneling Protocol  PPTP thực tầng thứ (Data Link Layer) 9/5/2012  Layer Tunneling Protocol (L2TP): Ðược phát triển Cisco System L2TP kết hợp Layer Forwarding (L2F) PPTP dùng để đóng gói frame sử dụng giao thức Pointto-point để gửi qua mạng X.25, FR, ATM 9/5/2012 10  Không giống Transport mode, Tunnel mode bảo vệ toàn gói liệu Toàn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP 9/5/2012 136 9/5/2012 137 9/5/2012 138 9/5/2012 139  Về biết ISAKMP/Oakley, ISAKMP chữ viết tắc Internet Security Association and Key Management Protocol, IKE giúp bên giao tiếp hòa hợp tham số bảo mật khóa xác nhận trước phiên bảo mật IPSec triển khai  Ngoài việc hòa hợp thiết lập tham số bảo mật khóa mã hóa, IKE sữa đổi tham số cần thiết suốt phiên làm việc IKE đảm nhiệm việc xoá bỏ SAs khóa sau phiên giao dịch hoàn thành 9/5/2012 140  IKE công nghệ độc lập, dùng với chế bảo mật  Cơ chế IKE, không nhanh, hiệu cao lượng lớn liên kết bảo mật thỏa thuận với với vài thông điệp 9/5/2012 141  Giai đoạn I II hai giai đoạn tạo nên phiên làm việc dựa IKE  Trong phiên làm việc IKE, giả sử có kênh bảo mật thiết lập sẵn Kênh bảo mật phải thiết lập trước có thỏa thuận xảy 9/5/2012 142 9/5/2012 143  Giai đoạn I IKE xác nhận điểm thông tin, sau thiết lập kênh bảo mật cho thiết lập SA  Tiếp đó, bên thông tin thỏa thuận ISAKMP SA đồng ý lẫn nhau, bao gồm thuật toán mã hóa, hàm băm, phương pháp xác nhận bảo vệ mã khóa 9/5/2012 144  Giá trị Diffie-Hellman  SPI ISAKMP SA dạng cookies  Số ngẫu nhiên known as nonces (used for signing purposes) 9/5/2012 145  Trong giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải việc thiết lập SAs cho IPSec  Trong giai đoạn này, SAs dùng nhiều dịch vụ khác thỏa thuận Cơ chế xác nhận, hàm băm, thuật toán mã hóa bảo vệ gói liệu IPSec (sử dụng AH ESP) hình thức phần giai đoạn SA 9/5/2012 146  Nhiều doanh nghiệp dần thực hiện việc thay dịch vụ VPN lớp truyền thống ATM hay Frame Relay (FR) dịch vụ dựa MPLS  Liệu MPLS cung cấp bảo mật tương đương với VPN lớp truyền thống ATM Frame Relay? 9/5/2012 147  MPLS cho phép VPN khác sử dụng dải địa sử dụng dải địa riêng [RFC1918]  Điều đạt nhờ việc đưa thêm Tham số phân biệt định tuyến (route distinguisher - RD) 64 bit vào địa IPv4, làm cho địa VPN trở thành lõi MPLS Địa mở rộng gọi “địa VPN - IPv4” (hình 1) Do vậy, khách hàng dịch vụ MPLS không cần thay đổi địa thời họ mạng 9/5/2012 148  Vì lý bảo mật, công ty cung cấp dịch vụ khách hàng thường không muốn cấu trúc mạng họ bị lộ Điều làm cho việc công bị khó khăn Nếu kẻ công mục tiêu, suy đoán địa IP cố tìm địa IP cách thử  Do phần lớn công từ chối dịch vụ DoS (Denial - of - Service) không cung cấp phản hồi cho kẻ công nên việc công mạng khó khăn 9/5/2012 149 9/5/2012 150