Tải bản đầy đủ (.pptx) (37 trang)
  1. Trang chủ
    2. >>
  2. Kỹ thuật
    3. >>
  3. Điện - Điện tử - Viễn thông

Bảo mật GET VPN trên VPNMPLS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.47 MB, 37 trang )

BÁO CÁO LUẬN VĂN TỐT NGHIỆP
ĐỀ TÀI:
Bảo mật GET VPN
trên VPN-MPLS
SVTH: Nguyễn Văn Gấm
Lê Thanh Phong
GVHD: TS.Nguyễn Minh Hoàng
1
Giới thiệu đề tài

Sử dụng VPN-MPLS để kết nối site-to-site tách biệt ra
khỏi mạng internet, nhưng data chưa được mã hóa không
đảm bảo an toàn. Cần một giải pháp bảo mật data trong
VPN-MPLS?

Giải pháp GET VPN có nhiều ưu điểm hơn so với IPSec
VPN.
2
Giới thiệu về đề tài

Nhiệm vụ:

GET VPN được triển khai trên mạng VPN-MPLS với hai
phương pháp xác thực: PSKs và PKI.

PSKs: triển khai đơn giản, thích hợp cho mạng quy mô
nhỏ.

PKI: sử dụng CA để xác thực các client đảm bảo an toàn,
quản lý và mở rộng dễ dàng thích hợp cho mạng quy mô
lớn.



Xây dựng hệ thống CA phân cấp, phân phối chứng thực
cho các client đăng kí xác thực PKI.
3
Nội dung

Giới thiệu VPN/MPLS

Hệ thống PKI

Giải pháp GET VPN

Demo
4
Giới thiệu VPN-MPLS

Là mạng riêng ảo dựa trên chuyển mạch nhãn.

Sử dụng chung hạ tầng nhà cung cấp, mỗi khách hàng là 1
mạng riêng.

Mô hình tham khảo:
5
Giới thiệu VPN-MPLS

Hình thành nhãn:

Nhãn LSP:LDP (Label Distribute Protocol)

Nhãn VPN: MP-BGP (Multiprotocol-Border Gateway

Protocol)

Bảng định tuyến ảo VRF (Virtual Routing Forwarding) cho mỗi
khách hàng gồm có:

RD:

RT: phân biệt và xác định các khách hàng cùng nhóm hay
khác nhóm.
6
Giới thiệu VPN-MPLS

Hoạt động vận chuyển data trong VPN-MPLS
7
Demo VPN-MPLS

Mô hình
8
Demo VPN-MPLS

Kết quả mô phỏng
9
Cấu trúc PKI

Các thành phần cơ bản:

Chứng thực: thiết lập liên kết giữa key và thiết bị.

CA (Certification Authority): là liên kết quan trọng
trong PKI và ban hành chứng thực cho chính nó và

client.

Có hai loại CA là public và private.

Cuối cùng là các thiết bị cuối. Chúng sử dụng
chứng thực để xác thực cho các hoạt động mã hóa.
10
Các hoạt động trong PKI

Các quá trình xảy ra trong PKI như:

Quá trình Enrollment.

Hết hạn và cấp mới chứng thực.

Việc kiểm tra chứng thực.
11
Quá trình Enrollment

Các bước Enrollment:

Các client tạo một cặp key RSA.

Gửi yêu cầu chứng thực chức public key đến CA.

CA ký nhận bằng private key của nó và ban hành
chứng thực cho client.
12
Quá trình Enrollment


Có hai cách enrollment:

Manual: phải copy và paste chứng thực vào các client.

Dùng giao thức SCEP (Simple Certificate Enrollment
Protocol): cấu hình đơn giản và cải thiện tính mở rộng.

SCEP sử dụng kết nối TCP và chạy trên port 80.
13
Hết hạn và cấp mới chứng thực

Chứng thực có thời sống nhất định. Khi chứng thực trên
CA và client hết hạn thì việc xác thực không còn nữa.

Hai cơ chế cấp mới chứng thực là:

Auto enrollment, sử dụng cho client.

Rollover, sử dụng cho CA.
14
Việc kiểm tra chứng thực

Khi các chứng thực không còn được sử dụng thì chúng
cần phải bị thu hồi.

Có ba phương pháp là

CRL (Certificate Revocation List): update định kỳ CRL
sau thời nhất định.


OCSP (Online Certification Status Protocol): đáp ứng
thời gian thực

AAA (Authentication, Authorization, Accounting)
server.
15
Hệ thống CA phân cấp

Trong hệ thống PKI lớn, việc
xử lý của CA sẽ trở nên
khó khăn.

Hệ thống CA phân cấp sẽ giải
quyết vấn đề trên.

Có hai loại hệ thống CA
phân cấp.
16
Hệ thống CA phân cấp

Đầu tiên, nội dung chuỗi
chứng thực
cho phép các client
xác thực lẫn nhau.

Trong IKE, mặc định
cho phép việc này.
17
Hệ thống CA phân cấp


Loại thứ hai là nội dung
chuỗi chứng thực không
cho phép thiết bị khác
sub-CA chứng thực lẫn
nhau.

Trong SSL
(Secure Socket Layer)
mặc định chuỗi chứng
thực này.
18
Demo hệ thống CA

Mô hình demo
19
Demo hệ thống CA

Nội dung chứng thực trên client
20
Giải pháp GET VPN

Giải pháp bảo mật VPN/MPLS: IPSec, GET VPN

Chọn GET VPN (Group Encrypted Transport VPN)

Loại bỏ đường hầm bảo mật

Giảm số kết nối

Dễ quản lý

21
Giải pháp GET VPN

Ưu điểm

Kiến trúc any-to-any có tính bảo mật của IPsec

Tận dụng cơ sở của IP routing

Hỗ trợ multicast

Bảo vệ IP nguồn và đích trong quá trình mã hóa và đóng gói.

Tunel Header Preservation
ESP (Encapsulation Security Payload)
22
Giải pháp GET VPN

Thành phần của GET VPN:

Key Server (KS):
Xác thực GMs tham gia,
quản lý và cung cấp chính
sách an ninh, keys cho GMs

Group Members (GMs):
Trao đổi dữ liệu an toàn và
được quản lý bởi KS

GDOI: Cung cấp keys

và chính sách cho GMs
23
Hoạt động của GET VPN
Bước 1: GMs đăng kí với KS
qua giao thức GDOI
IKE SA: Thuật toán mã hóa, thuật toán hash,
phương pháp chứng thực, key trao đổi và
thời gian sống SA.
SA (Security Association)
24
Hoạt động của GET VPN
Bước 2: GMs trao đổi dữ liệu
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×