TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN

Bài giảng mơn học:

AN NINH MẠNG

Số tín chỉ: 3
Tổng số tiết: 60 tiết
(30 LT + 30 TH)

Giảng viên: ThS. Phạm Đình Tài
Tel: 0985.73.39.39
Email:


Môn học: AN NINH MẠNG
Bài 1

Các kỹ thuật tấn công mạng.

Bài 2

Các kỹ thuật mã hóa và xác thực

Bài 3

Triển khai hệ thống Firewall

Bài 4

Chứng thực trên Firewall

Bài 5

Thiết lập các chính sách truy cập

Bài 6

Bảo vệ Server cơng cộng

Bài 7

Bảo mật truy cập từ xa
-2-


Bài 6: Bảo vệ Server công cộng
Truy cập từ xa và nguy cơ bảo mật.
Giới thiệu Mạng riêng ảo (VPN)
Các giao thức VPN thông dụng
VPN Client to Site
VPN Site to Site


Truy cập từ xa và các mối nguy hiểm
• Truy cập từ xa (Remote Access)
• Là các phương pháp cho phép người dùng truy cập từ xa vào các
máy tính / dịch vụ trong mạng nội bộ.
• Các ví dụ:
• Remote Desktop: diều khiển máy tính từ xa

• FTP: truy cập tập tin / thư mục từ xa
• Các ứng dụng dạng Server – Client

• Phương pháp truy cập từ xa:
• Port Forwarding / NAT port / Open port: dùng giao thức ở tầng
Transport (layer 4)
• Routing: dùng các giao thức định tuyến mạng (layer 3).

-4-


Truy cập từ xa và các mối nguy hiểm
• Port forwarding:
• Gói Request nhận được tại Public IP của Router sẽ được chuyển
tiếp vào Server trong mạng.
• Phân loại gói Request bằng địa chỉ Port (UDP hoặc TCP).

-5-


Truy cập từ xa và các mối nguy hiểm
• Nguy cơ của Port Forwarding:
• Khi người dùng bên ngồi gởi yêu cầu về Router: dễ bị đánh cắp
gói tin (sniffer) / cướp phiên (session hijacking)…
• Lợi dụng các TCP port mở trên Router để tạo backdoor cho Trojan.

-6-


Giới thiệu Mạng riêng ảo (VPN)

• VPN (Virtual Private Network)
• VPN là hệ thống mạng riêng ảo kết nối giữa các máy tính dựa trên
mơi trường internet.
• Trên đường truyền internet,
VPN tạo ra một đường hầm
(tunnel) để kết nối về mạng
riêng của người dùng.
• Có 2 dạng VPN:
• VPN Client to Site.
(Client to Gateway)
• VPN Site to Site
(Gateway to Gateway)

-7-


Giới thiệu Mạng riêng ảo (VPN)
• Các giao thức VPN thơng dụng:
• PPTP (Point-to-Point Tunneling Protocol): tạo đường hầm kết nối
giữa VPN Client và VPN Server.
• L2TP (Layer 2 Tunneling Protocol): cải tiến từ PPTP, có sử dụng
phương thức mã hóa IPSec (IP Security)
• GRE (Generic Routing Encapsulation): Router nhận dạng kiểu
đóng gói riêng để cho phép gói tin đi vào trong mạng.
• IPSec VPN: tương tự GRE, gói tin nhận dạng được đóng gói có mã
hóa IPSec.
• DM-VPN (Dynamic Multipoint-VPN): cải tiến từ GRE, cho phép
VPN đa điểm.
• MPLS-VPN (Multi-Protocol Label Switching – VPN): ứng dụng
công nghệ “chuyển mạch nhãn đa giao thức” để tạo VPN.

-8-


Giới thiệu Mạng riêng ảo (VPN)
• Giao thức PPTP (Point-to-Point Tunneling Protocol) :
• PPTP là giao thức tạo “đường hầm” (tunnel) kết nối giữa Client và
Server dựa trên đường truyền internet.
• PPTP phát sinh một interface ảo trên VPN Client và VPN Server
• IP address của các VPN interface (ảo) phải cùng Network address.

• Hoạt động của PPTP:
• Client tạo cuộc gọi (dial-up) về Server (xác định Server bằng Public IP
address hoặc Domain name).
• Server tiếp nhận và yêu cầu chứng thực (Authentication).
• Client gởi thơng tin tài khoản: User (dạng Plan text) và password (dạng
NTLM Hash) cho Server.
• Server chứng thực thành cơng:
• Gởi Key cho Client mã hóa dữ liệu khi trao đổi với Server => đó là tunnel.
• Cấp IP address cho VPN Client interface.

-9-


Giới thiệu Mạng riêng ảo (VPN)
• Ưu và nhược điểm của giao thức PPTP:
• Ưu điểm: dữ liệu truyền được mã hóa thành kênh riêng => bảo
mật thơng tin trong q trình truyền.
• Nhược điểm: Thơng tin chứng thực (user / password) gởi bằng
plan-text => Attacker dễ dàng đánh cắp trên đường truyền.


• Giao thức L2TP (Layer 2 Tunneling Protocol)
• L2TP dùng giao thức IPSec (IP Security) để mã hóa thơng tin mỗi
khi Client trao đổi với Server.
• Để mã hóa và giải mã, L2TP dùng phương thức Pre-shared key
(PSK) để Client và Server thống nhất Khóa mã trước với nhau.
• Các thơng tin trao đổi (như user / password, dữ liệu…) được đóng
gói theo IPSec và truyền đi trên đường hầm (tunnel) tương tự
PPTP.
- 10 -


VPN Client-to-Site trên Firewall
• Client-to-site VPN:
• Dựa trên đường truyền internet, máy Client bên ngoài sẽ kết nối
với mạng nội bộ (bên trong VPN Server) như là “mạng riêng”.
• Khi thực hiện kết nối VPN thành công, một tunnel (đường hầm)
sẽ được thiết lập để truyền dữ liệu giữa VPN Client và VPN Server.

- 11 -


VPN Client-to-Site trên Firewall
• Client-to-site VPN:
• Tunnel được xem như là đường mạng ảo, kết nối trực tiếp từ
Client đến VPN Server.
• VPN Server sẽ định tuyến (Routing) cho máy Client bên ngồi
giao tiếp vào mạng nội bộ.
• Mỗi đầu tunnel là 1 interface ảo, có IP address riêng.

- 12 -



VPN Client-to-Site trên Firewall
• Các vấn đề cần quan tâm khi triển khai VPN:
• Đối với VPN Server:
• Loại tài khoản (account) cho người dùng chứng thực khi kết nối VPN
vào hệ thống (local users / domain users / RADIUS…). Tài khoản này
phải được cấp phép kết nối VPN (remote dial-in access)
• VPN Server có chia sẻ kết nối internet (NAT) cho mạng nội bộ khơng?
• Mạng nội bộ (private network) nào cho phép VPN client kết nối tới.
• Lựa chọn IP address range cho VPN tunnel interface.

• Đối với VPN Client:
• Nên đặt tên của VPN connection là tên của mạng sẽ kết nối tới đó.
• Cần biết WAN IP address (hay tên miền) của outside interface trên VPN
Server muốn kết nối tới.
• Cần biết thơng tin tài khoản (User / password) được phép kết nối VPN
vào mạng.
- 13 -


Triển khai VPN Client-to-site
• Cung cấp tài khoản chứng thực két nối VPN Server:
• RRAS VPN Server chứng thực bằng 1 trong các loại tài khoản:
• Local Users: tài khoản local của VPN Server.
• Domain Users: tài khoản thuộc domain mà VPN Server là thành viên
• RADIUS: tài khoản của máy RADIUS Server (bên thứ 3).

• Tài khoản phải được cấp phép kết nối từ xa (Remote Dial-In)


- 14 -


Triển khai VPN Client-to-site
• Vấn đề IP address của VPN Tunnel:

• Có thể sử dụng 1 trong 2 trường hợp sau:
• Tunnel network dùng mạng IP riêng (khác với các mạng IP khác)
• IP: 10.0.0.1 là IP của interface ảo (VPN tunnel) của VPN Server.
• IP: 10.0.0.2 là IP của interface ảo (VPN tunnel) của VPN Client.

• Tunnel network dùng 1 đoạn IP của mạng nội bộ:
• IP: 192.168.10.201 là IP của interface ảo (VPN tunnel) của VPN Server.
• IP: 192.168.10.202 là IP của interface ảo (VPN tunnel) của VPN Client.

- 15 -


Triển khai VPN Client-to-site
• Cấu hình VPN Server trên RRAS bằng wizard:
• Kích hoạt lại RRAS để cấu hình VPN bằng wizard:
• Chạy “Routing and Remote Access Service”
• Cấu hình lại (Stop RRAS và Configure lại) 🡪 chọn wizard cấu hình
“Virtual Private network and NAT”

- 16 -


Triển khai VPN Client-to-site
• Cấu hình VPN Server trên RRAS bằng wizard:

• VPN connection: chỉ định interface kết nối internet để kích hoạt
VPN và NAT.

• Network Selection: Chỉ định Network (nội bộ) cho phép VPN client
giao tiếp vào (trong trường hợp máy RRAS có 3 nhánh mạng trở
lên).

- 17 -


Triển khai VPN Client-to-site
• Cấu hình VPN Server trên RRAS bằng wizard:
• IP address Assignment: Xác định IP range cấp phát cho các tunnel
bằng 1 trong 2 dạng:
• Dùng DHCP Server trong mạng nội bộ (yêu cầu: RRAS phải kích hoạt
chức năng DHCP relay agent).
• Static Address range: cụ thể dãy IP address cấp cho tunnel (cùng hoặc
khác Network address với Nội bộ đều được).

• Authentication: chứng thực tài khoản kết nối VPN bằng 1 trong 2
dạng:
• Dùng RADIUS Server (dịch vụ Network Policy Server – NPS).
• Windows authentication: dùng tài khoản Windows (local or domain)

- 18 -


Triển khai VPN Client-to-site
• Kết nối VPN từ máy Windows Client:
• Tạo mới 1 kết nối VPN trên Windows:

• Mở “Network and Sharing center” 🡪 chọn “Setup a new connection on
network”
• Chọn “Connect to a workplace” 🡪 chọn “VPN”
• Nhập WAN IP (hoặc tên miền) của VPN Server. Đồng thời đặt tên cho
kết nối VPN này.

- 19 -


Triển khai VPN Client-to-site
• Kết nối VPN từ máy Windows Client:
• Thực thi kết nối VPN tới mạng Cơng ty:
• Mở “Network connections” 🡪 nhấp phải trên icon của kết nối VPN 🡪
chọn “Connect”

• Nhập thơng tin tài khoản được phép kết nối VPN.

• Nếu kết nối VPN thành cơng:
• Máy Windows sẽ giao tiếp được với mạng nội bộ tại cơng ty.
• Mặc định, kết nối internet của Client sẽ dùng VPN Server là Default
Gateway.

- 20 -


VPN Site-to-Site
• Khái niệm VPN Site-to-Site:
• VPN tunnel hình thành giữa 2 máy VPN Server tại mỗi Site.
• Mỗi VPN Server đóng vai trị Gateway cho định tuyến giữa 2 mạng
(Site-to-Site).

• Các máy Clients tại mỗi Site chỉ cần trỏ Default Gateway về VPN
Server mà không phải tạo kết nối VPN.

21


VPN Site-to-Site
• Các đặc tính của VPN Site-to-Site:
• Mỗi VPN Server kiêm nhiệm vai trò VPN Client để kết nối vào
mạng bên kia (remote site) => mỗi VPN Server phải tạo mới một
VPN connection đẻ kết nối tới remote site.
• RRAS hỗ trợ phương thức tự động kết nối VPN theo yêu cầu
(Demand Dial routing)
• Định tuyến trên PPTP-VPN là loại 1 chiều – định tuyến từ VPN
Client 🡪 (vào) mạng nội bộ của VPN Server.
• Để đáp ứng định tuyến cho cả 2 sites:
• VPN Server tại mỗi site phải tạo một “kết nối VPN” về site bên kia.
• Khi VPN Server tại B kết nối VPN vào site-A, VPN Server tại A phải tự
động thực hiện kết nối VPN ngược về site-B.

• PPTP-VPN Site-to-Site chỉ thành cơng khi mỗi VPN Server phát
sinh 2 tunnel (1 ở vai trò Server và 1 ở vai trò Client)
22


VPN Site-to-Site
• Giải pháp cho việc tự động kết nối VPN site-to-site:
• Giải pháp tự động kết nối đến Remote site:
• Demand Dial routing là tính năng có sẵn trên RRAS
• Người dùng nội bộ gởi về VPN Server gói tin chứa yêu cầu định tuyến

về Remote site.
• Demand Dial routing sẽ tự động thực hiên kết nối VPN về Remote site
(site có mạng đích theo u cầu định tuyến của gói tin)

• Giải pháp nhận dạng và tự động kết nối ngược về site đối tác:
• RRAS nhận dạng tên của Site ở xa dựa tên tài khoản (Dial-in User) mà
site ở xa khai báo chứng thực.
• RRAS sẽ chọn “VPN connection” có tên trùng khớp với tên của Dial-in
User để tự động thực hiện kết nối ngược về site đối tác

• Nguyên tắc:
• <tên của VPN connection> trùng <tên dial-in user cấp cho site ở xa>
23


Triển khai VPN Site-to-Site
• Các Network topology của VPN Server:
• VPN Server có 2 NIC – đặt sau Edge device:

• Trên Router: mở các port sau về VPN Server:
• PPTP (tcp 1723)
• L2TP (udp 1701)
• IPSecurity IKE (udp 500 và udp 4500)
24


Triển khai VPN Site-to-Site
• Các Network topology của VPN Server:
• VPN Server có 1 NIC – đặt sau Edge device:


• Trên Router: mở các port sau về VPN Server:
• PPTP (tcp 1723)
• L2TP (udp 1701)
• IPSecurity IKE (udp 500 và udp 4500)
25