03/05/2014
BÀI 8
MẠNG RIÊNG ẢO (VPN)
Bùi Trọng Tùng,
Bộ môn Truyền thông và Mạng máy tính
Viện CNTT-TT, Đại học BKHN
Nội dung
1. Giới thiệu chung về VPN
2. Các mô hình mạng riêng ảo
3. Giao thức VPN tầng 2
4. Giao thức VPN tầng 3
1
03/05/2014
1. GIỚI THIỆU CHUNG
VỀ VPN
Đặt vấn đề
• Nguy cơ mất an toàn thông tin trên mạng Internet
• Nghe lén
• Giả danh
• Giả mạo
• Giải pháp
• Point-to-point link : lease line
Hoặc
• Mã hóa bảo mật
• Xác thực
Virtual Private Network
2
03/05/2014
VPN là gì?
• Kết nối trên mạng công cộng
(Internet) được bảo đảm an toàn an
ninh, với những chính sách như trong
mạng riêng:
VPN
• Virtual
• Private
• Network
Internet
• Mở rộng mạng Intranet trên Internet
VPN
Lợi ích của VPN
• Bảo mật
• Linh hoạt, không phụ thuộc vào công nghệ hạ tầng kết nối
• Sử dụng các dịch vụ tính toán khắp nơi
• Tăng khả năng mở rộng : kết nối, băng thông
• Chi phí triển khai thấp
3
03/05/2014
Các chế độ kết nối
• Transport mode
• Trên từng cặp thiết bị đầu cuối
• Dữ liệu đóng gói trong VPN packet
• Hạn chế ???
• Tunnel mode
• Các thiết bị đầu cuối không tham gia vào VPN
• Kết nối VPN thông qua các thiết bị trung gian
• Ưu điểm???
Đường hầm VPN(VPN Tunneling)
4
03/05/2014
2. CÁC MÔ HÌNH MẠNG
RIÊNG ẢO
2. Các mô hình mạng riêng ảo
• Mô hình truy cập từ xa
5
03/05/2014
2. Các mô hình mạng riêng ảo
• Mô hình site-to-site
Intranet dựa trên WAN
Intranet dựa trên VPN
2. Các mô hình mạng riêng ảo
• Mô hình site-to-site (tiếp)
Extranet dựa trên WAN
Extranet dựa trên VPN
6
03/05/2014
3. GIAO THỨC VPN
TẦNG 2
3.1. PPTP
• Point-to-Point Tunneling Protocol (RFC 2637)
• Mở rộng của Point-to-Point Protocol (PPP)
• Client/Server : 2 kết nối
Kết nối điều khiển : TCP, cổng 1723
Kết nối đường hầm: Generic Routing Encapsulation
PPP
PPTP
7
03/05/2014
PPTP (tiếp)
• Các thành phần của PPTP:
PPTP Client
PPTP Server
NAS
• Thiết lập kết nối PPTP
1. Thiết lập liên kết: LCP (Link Control Protocol)
2. Xác thực người dùng:
PAP – Password Authentication Protocol
CHAP - Challenge Handshake Authentication Protocol
MS-CHAPv1
MS-CHAPv2
3. NAS ngắt và thiết lập lại kết nối
4. Thỏa thuận giao thức
PPTP Tunnel Packet
RC4 encryption
Keysize : 40 or 128 bits
8
03/05/2014
3.2. L2F
• Layer 2 Forwarding Protocol
• Thiết lập đường hầm L2F
• Bảo mật
• MPPE
• IPSec
• Xác thực :
Private Network
ISP'sIntranet
Internet
Remote
NAS
User
1
PPP Connection
Request
2
Request Accepted/
Rejected
CHAP, EAP
Host
Network
Gateway
Server
3
User
Authentication
(PAP, CHAP)
4 L2F Tunnel Initiation
5 Tunnel Establishment
Allocated
6b Tunnel Established Notification
6a Connection
RequestAccepted/
Rejected
7a User
Authentication
7b Tunnel Established
Đường hầm L2F
9
03/05/2014
3.3.L2TP
• Layer 2 Tunnelling Protocol (RFCs 2661 and 3438)
• Kết hợp L2F và PPTP
• Sử dụng UDP để đóng gói dữ liệu (Port 1701)
• Có thể sử dụng thêm IPSec trong chế độ transport mode
• Thiết lập đường hầm L2TP : 2 bước
Thiết lập kết nối để trao đổi thông điệp điều khiển tạo đường hầm
Thiết lập phiên trao đổi dữ liệu qua đường hầm
Thiết lập đường hầm L2TP
PPP Connection
ISP's Intranet
Private netw ork
Internet
Remote
User
1
Connection
Request
NAS
LAC
LNS
2a
Authentication
Request
Connection Accepted
2b
Connection
Accepted/
Rejected
3
Connection
Forw arded
to LAC
Connection Establishment
4
Notifiaction Message
(CID+Authentication 5
Information)
Data Exchange
6 End User
Authentication
10
03/05/2014
Đóng gói dữ liệu
Các kiểu đường hầm L2TP
• Tự nguyện(Voluntary) : máy trạm người dùng và L2TP
server là 2 điểm đầu cuối, trực tiếp thiết lập đường hầm
Remote User
ISP's Intranet
Private Network
Internet
LAC
1a
Connection
Request
1b
LNS
ConnectionRequest
ConnectionAccepted/Rejected
2
L2TP Frames
3
Strips Tunneling
Information
4a
Authentication
the User
4b Frames to the
Destination Node
11
03/05/2014
Các kiểu đường hầm L2TP
• Cưỡng bức(Compulsory) :
• L2TP Access Concentrator (LAC) : khởi tạo thiết lập
• L2TP Network Server (LNS)
Pri va te N e tw or k
PPP C onne c tion
IS P's Intra ne t
Internet
R e m ote
User
1
PPP C o nn e c tio n
R e q u e st
NAS
LAC
LNS
2
Authe n tic a tio n
R e q u e st
4
3
In itia tio n o f L 2 F T un n e l
C o n ne c tio n
E sta b lish e d
5
6
C o nn e c tio n E sta b lishe d
L 2 T P T un n e l F ra m e s
7
Auth e n tic a tio n
th e R e m o te U se r
T o D e stin a tion
8 Node
So sánh các giao thức VPN tầng 2
Feature
Hỗ trợ nhiều giao thức
PPTP
Yes
Yes
Yes
Hỗ trợ nhiều liên kết
PPP
Hỗ trợ nhiều kết nối trên
đường hầm
Các chế độ hoạt động
được hỗ trợ
Các chế độ đường hầm
được hỗ trợ
Giao thức đóng gói
No
Yes
Yes
No
Yes
Yes
Giao thức kiểm soát
Các cơ chế xác thực
Các cơ chế mã hoá
L2F
L2TP
Incoming & Incoming
Incoming
Outgoing
Voluntary Voluntary & Compulsory Voluntary &
Compulsory
IP/GRE
IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR,
IP/ATM
TCP, Port: UDP, Port: 1701
UDP, Port: 1701
1723
MS-CHAP, CHAP, PAP, SPAP, EAP, CHAP, PAP, SPAP,
PAP
IPSec, RADIUS RADIUS EAP, IPSec,
& & TACACS
TACACS
MPPE
MPPE, IPSec
MPPE, IPSec, ECP
12
03/05/2014
4. IPSEC
Giới thiệu chung
• Bộ giao thức (RFC 4301 và >30 RFC khác )
• Các dịch vụ:
•
Bảo mật: DES, 3DES, AES
•
Xác thực: HMAC MD-5, HMAC SHA-1
•
Chống tấn công phát lại
•
Xác thực các bên
•
Kiểm soát truy cập
• Giao thức đóng gói dữ liệu :
•
AH : Xác thực thông điệp
•
ESP : Bảo mật và xác thực thông điệp
13
03/05/2014
Hệ thống tài liệu đặc tả của IPSec
Domain of Interpretation
Giao kết bảo mật (security association)
• Chứa tham số để hình thành liên kết bảo mật giữa các
bên.
• Có tính 1 chiều
• Xác định bởi 3 tham số:
• SPI (Sercurity Parameter Index):32 bit
• Địa chỉ IP đích
• Định danh của giao thức bảo mật (Security Protocol Identifier)
• Security Policy Database (SPD)
• Selector : nhóm thông tin (IP, Port, UserID…) để tham
chiếu tới 1 mục trên SPD
14
03/05/2014
Tiến trình trao đổi dữ liệu qua IPSec VPN
Một trong 2 bên khởi tạo
Thiết lập kết nối điều khiển: ISAKMP/IKE Phase 1:
1.
2.
3.
4.
5.
Các chính sách trao đổi khóa
Diffie-Hellman
Xác thực thiết bị và xác thực người dùng
ISAKMP/IKE Phase 2 : thỏa thuận các tham số thiết lập kết nối
bảo mật để truyền dữ liệu
Trao đổi dữ liệu
Làm mới các kết nối nếu quá thời gian quy định cho 1 phiên
ISAKMP/IKE Phase 1
• Internet Security Associate and Key Management
Protocol : khuôn dạng gói tin, giao thức trao đổi khóa,
thỏa thuận SA để thiết lập kết nối.
• Internet Key Exchange : tạo, chia sẻ, quản lý khóa.
• ISAKMP/IKE Phase 1:
• Thỏa thuận SA
• Trao đổi khóa bằng Diffie-Hellman
• Xác thực lẫn nhau trước khi tiến hành ISAKMP/IKE Phase 2
• 2 chế độ : main và aggressive
15
03/05/2014
Các chế độ trong ISAKMP/IKE Phase 1
• Main mode
• Aggressive
mode
ISAKMP/IKE Phase 1 : Thỏa thuận SA
16
03/05/2014
ISAKMP/IKE Phase 1 : Remote-access
• Xác thực người dùng bằng XAUTH (RFC Draft)
• Áp dụng chính sách nhóm cho người dùng (IKE
Mode/Client Config)
• Trao đổi thông tin định tuyến
Gán địa chỉ cho client
17
03/05/2014
ISAKMP/IKE Phase 2
• Sử dụng 1 trong 2 giao thức đóng gói:
• AH : Authentication Header (RFC 2420)
• ESP : Encapsulating Security Payloads (RFC 2406)
Đóng gói dữ liệu theo giao thức ESP
18
03/05/2014
Đóng gói dữ liệu theo giao thức ESP
Đóng gói dữ liệu theo giao thức AH
19
03/05/2014
Đóng gói dữ liệu theo giao thức AH
Các chế độ kết nối
Transport Mode
Tunnel Mode
AH
Xác thực cho phần dữ liệu Xác thực toàn bộ gói
của gói tin IP và một phần tin IP ban đầu và một
IP header
phần tiêu đề gói tin
IPSec
ESP
Mã hóa phần dữ liệu của Mã hóa toàn bộ gói tin
gói tin IP và phần tiêu đề IP ban đầu
IPv6 mở rộng
ESP có xác thực
Mã hóa phần dữ liệu cùa Mã hóa và xác thực
gói tin IP và phần tiêu đề toàn bộ gói tin IP ban
IPv6 mở rộng
đầu
Xác thực phần dữ liệu trong
gói tin IP
20
03/05/2014
Xử lý gói tin trong IPSec
• Gói tin outbound
• Kiểm tra policy trong SPD: discard, bypass, apply
• Thiết lập SA giữa các bên(nếu cần)
• Áp dụng các dịch vụ của IPSec lên dữ liệu theo SA đã thiết lập
• Nếu sử dụng nhiều SA bắt buộc phải tuân theo thứ tự
• Gói tin inbound
• Nếu không chứa IPSec header : kiểm tra policy trong SPD
discard, bypass, apply
• Nếu chứa IPSec header : <SPI, Dst. IP, Protocol>, Src. IP để tìm
kiếm SA trong SADB
• Kiểm tra policy xử lý phần dữ liệu tầng trên
• Chuyển lên cho tầng trên xử lý tiếp
Xử lý gói tin trong IPSec(ví dụ)
• A-RB:ESP
• A-B: AH
21