03/05/2014

BÀI 8

MẠNG RIÊNG ẢO (VPN)
Bùi Trọng Tùng,
Bộ môn Truyền thông và Mạng máy tính
Viện CNTT-TT, Đại học BKHN

Nội dung
1. Giới thiệu chung về VPN
2. Các mô hình mạng riêng ảo
3. Giao thức VPN tầng 2
4. Giao thức VPN tầng 3

1


03/05/2014

1. GIỚI THIỆU CHUNG
VỀ VPN

Đặt vấn đề
• Nguy cơ mất an toàn thông tin trên mạng Internet
• Nghe lén
• Giả danh
• Giả mạo
• Giải pháp
• Point-to-point link : lease line
Hoặc

• Mã hóa bảo mật
• Xác thực
 Virtual Private Network

2


03/05/2014

VPN là gì?
• Kết nối trên mạng công cộng

(Internet) được bảo đảm an toàn an
ninh, với những chính sách như trong
mạng riêng:

VPN

• Virtual
• Private
• Network

Internet

• Mở rộng mạng Intranet trên Internet
VPN

Lợi ích của VPN
• Bảo mật
• Linh hoạt, không phụ thuộc vào công nghệ hạ tầng kết nối

• Sử dụng các dịch vụ tính toán khắp nơi
• Tăng khả năng mở rộng : kết nối, băng thông
• Chi phí triển khai thấp

3


03/05/2014

Các chế độ kết nối
• Transport mode
• Trên từng cặp thiết bị đầu cuối
• Dữ liệu đóng gói trong VPN packet
• Hạn chế ???
• Tunnel mode
• Các thiết bị đầu cuối không tham gia vào VPN
• Kết nối VPN thông qua các thiết bị trung gian
• Ưu điểm???

Đường hầm VPN(VPN Tunneling)

4


03/05/2014

2. CÁC MÔ HÌNH MẠNG
RIÊNG ẢO

2. Các mô hình mạng riêng ảo

• Mô hình truy cập từ xa

5


03/05/2014

2. Các mô hình mạng riêng ảo
• Mô hình site-to-site

Intranet dựa trên WAN

Intranet dựa trên VPN

2. Các mô hình mạng riêng ảo
• Mô hình site-to-site (tiếp)

Extranet dựa trên WAN

Extranet dựa trên VPN

6


03/05/2014

3. GIAO THỨC VPN
TẦNG 2

3.1. PPTP

• Point-to-Point Tunneling Protocol (RFC 2637)
• Mở rộng của Point-to-Point Protocol (PPP)
• Client/Server : 2 kết nối
 Kết nối điều khiển : TCP, cổng 1723
 Kết nối đường hầm: Generic Routing Encapsulation

PPP

PPTP

7


03/05/2014

PPTP (tiếp)
• Các thành phần của PPTP:
 PPTP Client
 PPTP Server
 NAS
• Thiết lập kết nối PPTP
1. Thiết lập liên kết: LCP (Link Control Protocol)
2. Xác thực người dùng:





PAP – Password Authentication Protocol
CHAP - Challenge Handshake Authentication Protocol

MS-CHAPv1
MS-CHAPv2

3. NAS ngắt và thiết lập lại kết nối
4. Thỏa thuận giao thức

PPTP Tunnel Packet

RC4 encryption
Keysize : 40 or 128 bits

8


03/05/2014

3.2. L2F
• Layer 2 Forwarding Protocol
• Thiết lập đường hầm L2F
• Bảo mật
• MPPE
• IPSec
• Xác thực :

Private Network

ISP'sIntranet
Internet

Remote

NAS
User
1
PPP Connection
Request
2
Request Accepted/
Rejected

CHAP, EAP

Host
Network
Gateway

Server

3
User
Authentication
(PAP, CHAP)
4 L2F Tunnel Initiation
5 Tunnel Establishment
Allocated

6b Tunnel Established Notification

6a Connection
RequestAccepted/
Rejected

7a User
Authentication

7b Tunnel Established

Đường hầm L2F

9


03/05/2014

3.3.L2TP
• Layer 2 Tunnelling Protocol (RFCs 2661 and 3438)
• Kết hợp L2F và PPTP
• Sử dụng UDP để đóng gói dữ liệu (Port 1701)
• Có thể sử dụng thêm IPSec trong chế độ transport mode
• Thiết lập đường hầm L2TP : 2 bước
 Thiết lập kết nối để trao đổi thông điệp điều khiển tạo đường hầm
 Thiết lập phiên trao đổi dữ liệu qua đường hầm

Thiết lập đường hầm L2TP
PPP Connection

ISP's Intranet

Private netw ork

Internet
Remote

User

1

Connection
Request

NAS

LAC

LNS

2a
Authentication
Request

Connection Accepted

2b
Connection
Accepted/
Rejected

3
Connection
Forw arded
to LAC

Connection Establishment


4

Notifiaction Message
(CID+Authentication 5
Information)

Data Exchange

6 End User
Authentication

10


03/05/2014

Đóng gói dữ liệu

Các kiểu đường hầm L2TP
• Tự nguyện(Voluntary) : máy trạm người dùng và L2TP

server là 2 điểm đầu cuối, trực tiếp thiết lập đường hầm
Remote User

ISP's Intranet

Private Network
Internet


LAC
1a

Connection
Request

1b

LNS
ConnectionRequest

ConnectionAccepted/Rejected
2

L2TP Frames
3

Strips Tunneling
Information

4a

Authentication
the User
4b Frames to the
Destination Node

11



03/05/2014

Các kiểu đường hầm L2TP
• Cưỡng bức(Compulsory) :
• L2TP Access Concentrator (LAC) : khởi tạo thiết lập
• L2TP Network Server (LNS)
Pri va te N e tw or k
PPP C onne c tion

IS P's Intra ne t

Internet
R e m ote
User

1

PPP C o nn e c tio n
R e q u e st

NAS

LAC
LNS

2
Authe n tic a tio n
R e q u e st
4
3


In itia tio n o f L 2 F T un n e l

C o n ne c tio n
E sta b lish e d

5
6

C o nn e c tio n E sta b lishe d
L 2 T P T un n e l F ra m e s
7
Auth e n tic a tio n
th e R e m o te U se r
T o D e stin a tion
8 Node

So sánh các giao thức VPN tầng 2
Feature
Hỗ trợ nhiều giao thức

PPTP
Yes

Yes

Yes

Hỗ trợ nhiều liên kết
PPP

Hỗ trợ nhiều kết nối trên
đường hầm
Các chế độ hoạt động
được hỗ trợ
Các chế độ đường hầm
được hỗ trợ
Giao thức đóng gói

No

Yes

Yes

No

Yes

Yes

Giao thức kiểm soát
Các cơ chế xác thực

Các cơ chế mã hoá

L2F

L2TP

Incoming & Incoming

Incoming
Outgoing
Voluntary Voluntary & Compulsory Voluntary &
Compulsory
IP/GRE
IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR,
IP/ATM
TCP, Port: UDP, Port: 1701
UDP, Port: 1701
1723
MS-CHAP, CHAP, PAP, SPAP, EAP, CHAP, PAP, SPAP,
PAP
IPSec, RADIUS RADIUS EAP, IPSec,
& & TACACS
TACACS
MPPE

MPPE, IPSec

MPPE, IPSec, ECP

12


03/05/2014

4. IPSEC

Giới thiệu chung
• Bộ giao thức (RFC 4301 và >30 RFC khác )

• Các dịch vụ:
•

Bảo mật: DES, 3DES, AES

•

Xác thực: HMAC MD-5, HMAC SHA-1

•

Chống tấn công phát lại

•

Xác thực các bên

•

Kiểm soát truy cập

• Giao thức đóng gói dữ liệu :
•

AH : Xác thực thông điệp

•

ESP : Bảo mật và xác thực thông điệp


13


03/05/2014

Hệ thống tài liệu đặc tả của IPSec

Domain of Interpretation

Giao kết bảo mật (security association)
• Chứa tham số để hình thành liên kết bảo mật giữa các

bên.
• Có tính 1 chiều
• Xác định bởi 3 tham số:
• SPI (Sercurity Parameter Index):32 bit
• Địa chỉ IP đích
• Định danh của giao thức bảo mật (Security Protocol Identifier)

• Security Policy Database (SPD)
• Selector : nhóm thông tin (IP, Port, UserID…) để tham

chiếu tới 1 mục trên SPD

14


03/05/2014

Tiến trình trao đổi dữ liệu qua IPSec VPN

Một trong 2 bên khởi tạo
Thiết lập kết nối điều khiển: ISAKMP/IKE Phase 1:

1.
2.




3.
4.
5.

Các chính sách trao đổi khóa
Diffie-Hellman
Xác thực thiết bị và xác thực người dùng

ISAKMP/IKE Phase 2 : thỏa thuận các tham số thiết lập kết nối
bảo mật để truyền dữ liệu
Trao đổi dữ liệu
Làm mới các kết nối nếu quá thời gian quy định cho 1 phiên

ISAKMP/IKE Phase 1
• Internet Security Associate and Key Management

Protocol : khuôn dạng gói tin, giao thức trao đổi khóa,
thỏa thuận SA để thiết lập kết nối.
• Internet Key Exchange : tạo, chia sẻ, quản lý khóa.
• ISAKMP/IKE Phase 1:
• Thỏa thuận SA

• Trao đổi khóa bằng Diffie-Hellman
• Xác thực lẫn nhau trước khi tiến hành ISAKMP/IKE Phase 2
• 2 chế độ : main và aggressive

15


03/05/2014

Các chế độ trong ISAKMP/IKE Phase 1
• Main mode

• Aggressive

mode

ISAKMP/IKE Phase 1 : Thỏa thuận SA

16


03/05/2014

ISAKMP/IKE Phase 1 : Remote-access
• Xác thực người dùng bằng XAUTH (RFC Draft)
• Áp dụng chính sách nhóm cho người dùng (IKE

Mode/Client Config)
• Trao đổi thông tin định tuyến


Gán địa chỉ cho client

17


03/05/2014

ISAKMP/IKE Phase 2
• Sử dụng 1 trong 2 giao thức đóng gói:
• AH : Authentication Header (RFC 2420)
• ESP : Encapsulating Security Payloads (RFC 2406)

Đóng gói dữ liệu theo giao thức ESP

18


03/05/2014

Đóng gói dữ liệu theo giao thức ESP

Đóng gói dữ liệu theo giao thức AH

19


03/05/2014

Đóng gói dữ liệu theo giao thức AH


Các chế độ kết nối
Transport Mode

Tunnel Mode

AH

Xác thực cho phần dữ liệu Xác thực toàn bộ gói
của gói tin IP và một phần tin IP ban đầu và một
IP header
phần tiêu đề gói tin
IPSec

ESP

Mã hóa phần dữ liệu của Mã hóa toàn bộ gói tin
gói tin IP và phần tiêu đề IP ban đầu
IPv6 mở rộng

ESP có xác thực

Mã hóa phần dữ liệu cùa Mã hóa và xác thực
gói tin IP và phần tiêu đề toàn bộ gói tin IP ban
IPv6 mở rộng
đầu
Xác thực phần dữ liệu trong
gói tin IP

20



03/05/2014

Xử lý gói tin trong IPSec
• Gói tin outbound
• Kiểm tra policy trong SPD: discard, bypass, apply
• Thiết lập SA giữa các bên(nếu cần)
• Áp dụng các dịch vụ của IPSec lên dữ liệu theo SA đã thiết lập
• Nếu sử dụng nhiều SA bắt buộc phải tuân theo thứ tự

• Gói tin inbound
• Nếu không chứa IPSec header : kiểm tra policy trong SPD
discard, bypass, apply
• Nếu chứa IPSec header : <SPI, Dst. IP, Protocol>, Src. IP để tìm
kiếm SA trong SADB
• Kiểm tra policy xử lý phần dữ liệu tầng trên
• Chuyển lên cho tầng trên xử lý tiếp

Xử lý gói tin trong IPSec(ví dụ)
• A-RB:ESP
• A-B: AH

21