Bài giảng An ninh mạng - Chương 7: Mạng riêng ảo (Virtual Personal Network-VPN) với mục tiêu cung cấp đến các bạn kiến thức bao gồm giới thiệu về mạng ảo (VPN); các loại VPN phổ biến hiện nay; VPN điểm nối điểm; VPN truy cập từ xa; bảo mật trong VPN; máy chủ AAA; sản phẩm công nghệ dành cho VPN...
Chương 7: Mạng riêng ảo (Virtual Personal Network-VPN) CuuDuongThanCong.com https://fb.com/tailieudientucntt Giới thiệu • Mạng riêng ảo – VPN (Virtual Private Network) ? – Là mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm – Không dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa • Giải pháp VPN: – Thiết kế cho tổ chức có xu hướng tăng cường thơng tin từ xa địa bàn hoạt động rộng (trên tồn quốc hay toàn cầu) – Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian CuuDuongThanCong.com https://fb.com/tailieudientucntt Giới thiệu Một mạng VPN điển hình bao gồm: Mạng LAN trụ sở (Văn phịng chính), Các mạng LAN khác văn phòng từ xa Các điểm kết nối (như 'Văn phòng' gia) người sử dụng (Nhân viên di động) truy cập đến từ bên CuuDuongThanCong.com https://fb.com/tailieudientucntt Các loại VPN phổ biến • Gồm hai loại : – VPN truy cập từ xa (Remote-Access VPN) – VPN điểm-nối-điểm (site-to-site VPN) • Hầu hết VPN dựa vào kỹ thuật Tunneling để tạo mạng riêng Internet – Là q trình đặt tồn gói tin vào lớp header (tiêu đề) chứa thông tin định tuyến truyền qua hệ thống mạng trung gian theo "đường ống" riêng (tunnel) – Kỹ thuật Tunneling yêu cầu giao thức khác nhau: • Giao thức truyền tải (Carrier Protocol): giao thức sử dụng mạng có thơng tin qua • Giao thức mã hóa liệu (Encapsulating Protocol): giao thức (như GRE, IPSec, L2F, PPTP, L2TP) bọc quanh gói liệu gốc • Giao thức gói tin (Passenger Protocol): giao thức liệu gốc truyền (như IPX, NetBeui, IP) CuuDuongThanCong.com https://fb.com/tailieudientucntt VPN điểm-nối-điểm (site-to-site VPN) • Sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng cơng cộng Internet • Giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền giao thức truyền tải (Carier Protocol) • Phân loại dựa Intranet Extranet – Loại dựa Intranet: Nếu cơng ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN – Loại dựa Extranet: Khi cơng ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung CuuDuongThanCong.com https://fb.com/tailieudientucntt VPN điểm-nối-điểm (site-to-site VPN) Trong mơ hình này, gói tin chuyển từ máy tính văn phịng qua máy chủ truy cập, tới router (tại giao thức mã hóa định tuyến GREGeneric Routing Encapsulation diễn ra), qua Tunnel để tới máy tính văn phịng từ xa CuuDuongThanCong.com https://fb.com/tailieudientucntt VPN truy cập từ xa (Remote-Access VPN) • Còn gọi mạng Dial-up riêng ảo (VPDN) • Dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) • Là kết nối người dùng-đến-LAN, xuất phát từ nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng cơng ty từ nhiều địa điểm xa – Ví dụ: • Cơng ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) • ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ • Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an tồn, có mật mã CuuDuongThanCong.com https://fb.com/tailieudientucntt Bảo mật VPN • Tường lửa (firewall): rào chắn vững mạng riêng Internet – Có thể thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua – Nên cài tường lửa thật tốt trước thiết lập VPN – VD: Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp CuuDuongThanCong.com https://fb.com/tailieudientucntt Bảo mật VPN • Giao thức bảo mật giao thức Internet (IPSec): cung cấp tính an ninh cao cấp thuật tốn mã hóa tốt hơn, q trình thẩm định quyền đăng nhập tồn diện – IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin cịn Transport mã hóa kích thước – Những hệ thống có hỗ trợ IPSec tận dụng giao thức – Tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống – IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ CuuDuongThanCong.com https://fb.com/tailieudientucntt Bảo mật VPN • Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã • Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã cơng cộng Mã riêng có máy bạn nhận biết, cịn mã chung máy bạn cấp cho máy muốn liên hệ (một cách an tồn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng CuuDuongThanCong.com https://fb.com/tailieudientucntt Máy chủ AAA • AAA viết tắt ba chữ: – Authentication (thẩm định quyền truy cập) – Authorization (cho phép) – Accounting (kiểm soát) • Các server dùng để đảm bảo truy cập an toàn – Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra – Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an tồn CuuDuongThanCong.com https://fb.com/tailieudientucntt Sản phẩm cơng nghệ dành cho VPN • Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn cần phải cài đặt phận hợp thành để thiết lập mạng riêng ảo Đó là: – Phần mềm cho desktop máy khách dành cho người sử dụng từ xa – Phần cứng cao cấp xử lý trung tâm VPN firewall bảo mật PIX – Server VPN cao cấp dành cho dịch vụ Dial-up – NAS (máy chủ truy cập mạng) nhà cung cấp sử dụng để phục vụ người sử dụng từ xa – Mạng VPN trung tâm quản lý CuuDuongThanCong.com https://fb.com/tailieudientucntt ... xa CuuDuongThanCong.com https://fb.com/tailieudientucntt VPN truy cập từ xa (Remote-Access VPN) • Còn gọi mạng Dial-up riêng ảo (VPDN) • Dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol)... loại dựa Intranet Extranet – Loại dựa Intranet: Nếu cơng ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN – Loại dựa Extranet: Khi...Giới thiệu • Mạng riêng ảo – VPN (Virtual Private Network) ? – Là mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung