1
CÔNG NGHỆ MẠNG RIÊNG ẢO VPN:
CÁC GIAO THỨC ĐƯỜNG HẦM VÀ BẢO MẬT
Giáo viên hướng dẫn: Ths.Nguyễn Thị Thu Hằng
Sinh viên thực hiện : Đoàn Thanh Bình
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH - VIỄN THÔNG
KHOA VIỄN THÔNG I
o0o
2
CÔNG NGHỆ MẠNG RIÊNG ẢO VPN

MỘT SỐ ĐIỂM TỔNG QUAN CỦA VPN

CÁC GIAO THỨC ĐƯỜNG HẦM

BẢO MẬT TRONG VPN

VẤN ĐỀ QUẢN LÝ MẠNG VPN

KẾT LUẬN
NỘI DUNG CỦA ĐỒ ÁN TRÌNH BÀY
3
TỔNG QUAN MẠNG RIÊNG ẢO
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai
trên cơ sở hạ tầng công cộng như mạng Internet với các chính sách
quản lý và bảo mật giống như mạng cục bộ.
4
XÂY DỰNG MẠNG VPN
THÀNH PHẦN CƠ BẢN CỦA MẠNG VPN

MÁY CHỦ


MÁY KHÁCH

BỘ ĐỊNH TUYẾN VÀ TƯỜNG LỬA

CỔNG KẾT NỐI

BỘ TẬP TRUNG

PHẦN MỀM
5
TỔNG QUAN MẠNG RIÊNG ẢO
VPN CUNG CẤP 3 CHỨC NĂNG CHÍNH

TÍNH XÁC THỰC

TÍNH TOÀN VẸN

TÍNH BẢO MẬT
ƯU ĐIỂM

TIẾT KIỆM CHI PHÍ

LINH HOẠT

DỄ DÀNG MỞ RỘNG

GIẢM THIỂU HỖ TRỢ KỸ THUẬT

GIẢM THIỂU YÊU CẦU VỀ THIẾT BỊ

…Chức năng-ưu điểm
6
TỔNG QUAN MẠNG RIÊNG ẢO
…Phân loại
PHÂN RA THÀNH 3 KIỂU

VPN TRUY CẬP TỪ XA

VPN CỤC BỘ

VPN MỞ RỘNG

VPN TRUY CẬP TỪ XA

VPN CỤC BỘ

VPN MỞ RỘNG

VPN CỤC BỘ

VPN MỞ RỘNG
7
CÁC GIAO THỨC ĐƯỜNG HẦM

GIAO THỨC ĐỊNH HƯỚNG LỚP 2_ L2F

GIAO THỨC ĐƯỜNG HẦM ĐIỂM-ĐIỂM_PPTP

GIAO THỨC ĐƯỜNG HẦM LỚP 2_L2TP


GIAO THỨC BẢO MẬT IP_ IPSec
CÓ 4 GIAO THỨC ĐƯỜNG HẦM ĐƯỢC SỬ DỤNG
TRONG VPN
8
CÁC GIAO THỨC ĐƯỜNG HẦM
KIẾN TRÚC CỦA PPTP
GIAO THỨC ĐƯỜNG HẦM ĐIỂM ĐIỂM
9
CÁC GIAO THỨC ĐƯỜNG HẦM
SỬ DỤNG PPTP
GIAO THỨC ĐƯỜNG HẦM ĐIỂM ĐIỂM
10
CÁC GIAO THỨC ĐƯỜNG HẦM
KIẾN TRÚC CỦA L2TP
GIAO THỨC ĐƯỜNG HẦM LỚP 2
11
CÁC GIAO THỨC ĐƯỜNG HẦM
SỬ DỤNG L2TP
GIAO THỨC ĐƯỜNG HẦM LỚP 2
12
CÁC GIAO THỨC ĐƯỜNG HẦM
KHUNG GIAO THỨC IPSec
GIAO THỨC BẢO MẬT IP
14
CÁC GIAO THỨC ĐƯỜNG HẦM
HOẠT ĐỘNG CỦA GIAO THỨC IP
…Giao thức IPSec
Route B
Route A
GIAO THỨC BẢO MẬT IP

15
BẢO MẬT TRONG VPN

XÁC THỰC NGUỒN GỐC
BẢO MẬT TRONG VPN BAO GỒM HAI QUÁ TRÌNH:
XÁC THỰC
NGUỒN GỐC
TOÀN VẸN

XÁC THỰC MẬT KHẨU - PAP

XÁC THỰC YÊU CẦU BẮT TAY- CHAP

HỆ THỐNG ĐIỀU KHIỂN TRUY CẬP ĐẦU CUỐI -TACACS

XÁC THỰC NGƯỜI DÙNG QUAY SỐ TỪ XA - RADIUS

CÁC HỆ THỐNG PHẦN CỨNG NHƯ SMART CARD

HỆ THỐNG SINH TRẮC HỌC

GIẢN LƯỢC THÔNG ĐIỆP MD-MD

MÃ XÁC THỰC BẢN TIN-MAC

CHỮ KÝ SỐ-DS
…Xác thực
VÀ MẬT MÃ

XÁC THỰC TÍNH TOÀN VẸN


XÁC THỰC TÍNH TOÀN VẸN
16
BẢO MẬT TRONG VPN
MD là phương pháp sử dụng để phát hiện lỗi truyền dẫn dựa trên
hàm băm (hash) một chiều. Các hàm băm một chiều được sử dụng
để tính MD.
…Xác thực: Toàn vẹn
GIẢN LƯỢC THÔNG ĐIỆP
17
BẢO MẬT TRONG VPN
…Xác thực: Toàn vẹn
Cấu trúc cơ bản của MD5/SHA
18
BẢO MẬT TRONG VPN
MAC là phương pháp bảo vệ chống sửa đổi bất hợp pháp nội dung
của bản tin. MAC được thực hiện dựa trên hàm băm một chiều kết
hợp với khóa bí mật
…Xác thực: Toàn vẹn
MÃ XÁC THỰC BẢN TIN
19
BẢO MẬT TRONG VPN
Chữ ký số được thực hiện bằng cách mật mã giá trị hash thu được từ
hàm băm một chiều. Giá trị hash (MD5 hay SHA) của bản tin được
mật mã với khóa bí mật của phía phát để tạo thành chữ ký số và được
truyền đi cùng với bản tin tương ứng.
…Xác thực: Toàn vẹn
CHỮ KÝ SỐ
20
BẢO MẬT TRONG VPN

HAI KIỂU THUẬT TOÁN MÃ HOÁ SỬ DỤNG KHOÁ

THUẬT TOÁN MÃ HOÁ KHOÁ BÍ MẬT
…Mã hoá

THUẬT TOÁN MÃ HOÁ KHOÁ CÔNG CỘNG
BÍ MẬT
CÔNG CỘNG
THUẬT TOÁN MÃ HOÁ KHOÁ CÔNG CỘNG
Thuật toán mã hóa khóa bí mật: sử dụng chung một khóa để
mã hóa và giải mã bản tin.
Thuật toán mã hóa khóa công cộng: sử dụng một khóa để mã hóa và
một khóa khác để giải mã nhưng hai khóa này có liên quan với nhau
tạo thành một cặp khóa duy nhất của một bản tin, chỉ có hai khóa
này mới có thể mã hóa và giải mã cho nhau
21
BẢO MẬT TRONG VPN
Chuẩn mã hoá dữ liệu DES là sự kết hợp của hai kỹ thuật
cơ bản trong mật mã là xáo trộn và xếp lại
Sơ đồ thuật toán DES Mạng Fiestel
THUẬT TOÁN DES
…Mã hoá khoá bí mật
CHUẨN MÃ HOÁ DỮ LIỆU DES
22
QUẢN LÝ MẠNG VPN

QUẢN LÝ BẢO MẬT

QUẢN LÝ ĐỊA CHỈ IP


QUẢN LÝ CHẤT LƯỢNG MẠNG
QUẢN LÝ MẠNG VPN
QUẢN LÝ BẢO MẬT

QUẢN LÝ CÁC PHƯƠNG THỨC MÃ HOÁ

QUẢN LÝ KHOÁ CHO CÁC CỔNG NỐI

QUẢN LÝ KHOÁ CHO CÁC NGƯỜI DÙNG

QUẢN LÝ DỊCH VỤ XÁC THỰC

QUẢN LÝ CÁC CA NỘI BỘ

ĐIỀU KHIỂN QUYỀN TRUY CẬP
BẢO MẬT
ĐỊA CHỈ
CHẤT LƯỢNG
QUẢN LÝ ĐỊA CHỈ

CẤP PHÁT ĐỊA CHỈ

NAT VÀ CÁC ĐỊA CHỈ RIÊNG
QUẢN LÝ CHẤT LƯỢNG

HIỆU NĂNG MẠNG

GIÁM SÁT HIỆU NĂNG ISP VÀ SLA
23
VÍ DỤ

Bước 1: Người ở xa thực hiện kết nối với nhà cung cấp dịch vụ
ISP như bình thường.
QUÁ TRÌNH THIẾT LẬP KẾT NỐI
24
VÍ DỤ
Bước 2: Khi kết nối tới mạng công ty được yêu cầu, người sử dụng
khởi tạo một đường hầm tới máy chủ bảo mật đích của mạng công
ty. Máy chủ xác thực người sử dụng và tạo kết cuối còn lại của
đường hầm
Dữ liệu đã mã hoá
Dữ liệu đã
mã hoá
Bước 3: Người sử dụng gửi dữ liệu đã mã hóa xuyên qua đường
hầm thông qua kết nối của ISP.
Bước 4: Máy chủ bảo mật đích thu dữ liệu đã mã hóa và thực hiện
giải mã. Sau đó, máy chủ bảo mật hướng những gói dữ liệu được
giải mã tới mạng công ty.
…Thiết lập kết nối
25
KẾT LUẬN
IPSec đáp ứng được tốt các nhu cầu cao về an toàn dữ liệu, là
giải pháp chính cho bảo mật các VPN của các tổ chức, công ty. Tuy
nhiên, IPSec chỉ hỗ trợ luồng IP một chiều; nếu các gói dữ liệu IP
một chiều được đường hầm hoá, sau đó một kiểu đóng gói duy nhất
được cung cấp bởi IPSec là đủ và đơn giản để cấu hình và sửa
chữa.
Để tạo đường hầm cho IP nhiều hướng ta có thể sử dụng L2TP,
với luồng lưu lượng mạng sử dụng mạng, thiết bị của Microsoft thì
L2TP là sự lựa chọn tốt nhất. L2TP cũng phù hợp với các VPN truy
cập từ xa hỗ trợ đa giao thức. Tuy nhiên, L2TP không hỗ trợ mã

hoá dữ liệu và tính toàn vẹn dữ liệu vì thế sử dụng IPSec kết hợp
với L2TP là giải pháp toàn vẹn.

26
KẾT LUẬN
VPN được phát triển với nhu cầu để cung cấp liên lạc bảo mật
trên Internet chung, bất kể loại lưu lượng nào mà không cần quan
tâm đến ứng dụng nên trong tương lai sẽ mở rộng các VPN đến
Extranet. Với nhiều nhà quản lý, Extranet có nhiều thuận lợi cho
việc liên lạc giữa nhiều đối tác kinh doanh đó là:

Các Extranet thường được xây dựng dựa trên giao thức TCP/IP,
mà giao thức này thuận lợi cho việc liên kết các mạng con (riêng).

Sử dụng Internet để liên kết các mạng với độ linh động cao hơn
trong các thủ tục và kết thúc các hoạt động ngắn hạn khi cần.

Extranet được luân chuyển xung quanh WWW, điều này giúp
cung cấp giao tiếp người dùng chung tới nhiều ứng dụng qua các
ranh giới công ty.