1 BÀI 2. MẠNG RIÊNG ẢO (VPN) Bùi Trọng Tùng, Bộ môn Truyền thông và Mạng máy tính Viện CNTT-TT, Đại học BKHN 1 Nội dung • Giới thiệu chung về VPN • Các mô hình mạng riêng ảo • Giao thức VPN tầng 2 • Giao thức VPN tầng 3 • SSL VPN • Triển khai các giải pháp VPN 2
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1
BÀI 2.
MẠNG RIÊNG ẢO (VPN)
Bùi Trọng Tùng,
Bộ môn Truyền thông và Mạng máy tính
Viện CNTT-TT, Đại học BKHN
1
Nội dung
• Giới thiệu chung về VPN
• Các mô hình mạng riêng ảo
• Giao thức VPN tầng 2
• Giao thức VPN tầng 3
• SSL VPN
• Triển khai các giải pháp VPN
2
2
1. GIỚI THIỆU CHUNG VỀ VPN
3
Đặt vấn đề
• Nguy cơ mất an toàn thông tin trên mạng Internet• Nghe lén
• Giả danh
• Giả mạo
• Giải pháp• Point-to-point link : lease line
Hoặc
• Mã hóa bảo mật
• Xác thực
Virtual Private Network
4
3
VPN là gì?• Kết nối trên mạng công cộng
(Internet) được bảo đảm an toàn an ninh, với những chính sách như trong mạng riêng:• Virtual
• Private
• Network
• Mở rộng mạng Intranet trên Internet
VPN
VPN
Internet
5
Các thành phần của VPN
• VPN gateway: cung cấp dịch vụ kết nối VPN cho các nút mạng
• VPN client: điểm đầu cuối(PC, Smartphone, Gateway…) yêu cầu kết nối VPN
• Đường hầm VPN
• Giao thức VPN
• Phân loại:• VPN phần cứng
• VPN phần mềm
6
4
Một số sản phẩm tiêu biểu
• VPN phần cứng:• Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính năng
router, switch), ASA 5500 series (tích hợp trong UTM)
• F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050
• Citrix NetScaler MPX
• Dell SonicWall
• VPN phần mềm:• OpenVPN
• FreeS/WAN
• pfSense
7
Hoạt động của VPN
• Xác thực
• Mã hóa
• Đóng gói• Gói tin truyền trong liên kết VPN được đóng gói lại theo giao thức
VPN
• Tiêu đề mới được thêm vào sử dụng địa chỉ IP của VPN gateway
• Các thông tin trong tiêu đề ban đầu được che giấu và đảm bảo tính toàn vẹn(địa chỉ, số hiệu cổng ứng dụng)
8
5
Hoạt động của VPN
9
Các chế độ kết nối
• Transport mode• Trên từng cặp thiết bị đầu cuối
• Dữ liệu đóng gói trong VPN packet
• Hạn chế ???
• Tunnel mode• Các thiết bị đầu cuối không tham gia vào VPN
• Kết nối VPN thông qua các thiết bị trung gian
• Ưu điểm???
10
6
Đường hầm VPN(VPN Tunneling)
11
Các mô hình mạng riêng ảo
• Mô hình truy cập từ xa(client-to-site)
12
7
Các mô hình mạng riêng ảo• Mô hình site-to-site
Intranet dựa trên VPNIntranet dựa trên WAN13
Các mô hình mạng riêng ảo• Mô hình site-to-site (tiếp)
Extranet dựa trên VPNExtranet dựa trên WAN14
8
VPN topology
• VPN topology: cách thức kết nối các thiết bị VPN gateway
• Thường phù hợp với topology của hạ tầng mạng
• VPN dạng lưới(mesh)• Mỗi điểm thiết bị VPN
được kết nối với nhiều hoặc tất cả các thiết bị VPN khác
• Khó mở rộng
15
VPN topology – Dạng sao
• Hub-and-spoke
• Sử dụng một thiết bị VPN đóng vai trò tập trung kết nối
• Ưu điểm:• Triển khai đơn giản
• Dễ mở rộng
16
9
VPN topology – Dạng lai
• Sử dụng cho các hệ thống lớn, phức tạp
• Phần mạng lõi trung tâm sử dụng dạng lưới
• Các mạng nhánh kết nối tới trung tâm theo dạng sao
AH Xác thực cho phần dữ liệucủa gói tin IP và một phầnIP header
Xác thực toàn bộ góitin IP ban đầu và mộtphần tiêu đề gói tinIPSec
ESP Mã hóa phần dữ liệu củagói tin IP và phần tiêu đềIPv6 mở rộng
Mã hóa toàn bộ gói tinIP ban đầu
ESP có xác thực Mã hóa phần dữ liệu cùagói tin IP và phần tiêu đềIPv6 mở rộngXác thực phần dữ liệutrong gói tin IP
Mã hóa và xác thựctoàn bộ gói tin IP banđầu
48
25
Xử lý gói tin trong IPSec
• Gói tin outbound• Kiểm tra policy trong SPDB: discard, bypass, apply
• Thiết lập SA giữa các bên(nếu cần)
• Áp dụng các dịch vụ của IPSec lên dữ liệu theo SA đã thiết lập
• Nếu sử dụng nhiều SA bắt buộc phải tuân theo thứ tự
• Gói tin inbound• Nếu không chứa IPSec header : kiểm tra policy trong SPD discard, bypass, apply
• Nếu chứa IPSec header : <SPI, Dst. IP, Protocol>, Src. IP để tìm kiếm SA trong SADB
• Kiểm tra policy xử lý phần dữ liệu tầng trên
• Chuyển lên cho tầng trên xử lý tiếp
49
Xử lý gói tin trong IPSec(ví dụ)
• A-RB:ESP
• A-B: AH
50
26
2.3. SSL VPN
51
SSL VPN
• Giải pháp VPN sử dụng giao thức SSL/TLS
• Các chức năng của SSL VPN gateway:• Proxy
• Application Translation: khi SSL VPN gateway chỉ hỗ trợ Web proxy, chức năng này thực hiện chuyển đổi dữ liệu của các dạng ứng dụng khác sang dạng Web
• Network Extension: cung cấp kết nối SSL VPN tương tự IPSec VPN:
• Chế độ đầy đủ(full tunneling): dữ liệu của mọi ứng dụng được gửi qua kết nối SSL VPN
• Chế độ đơn lẻ(split tunneling): chỉ có dữ liệu của ứng dụng chỉ định được gửi qua kết nối SSL VPN
52
27
SSL VPN
53
SSL VPN vs IPSec VPN
• Ưu điểm:• Triển khai đơn giản
• Linh hoạt
• Hỗ trợ cơ chế AAA(Authentication-Authorization-Auditing) cho ứng dụng
• Dễ dàng tương thích với các giải pháp khác như NAT, firewall
• Hạn chế:• Không phù hợp cho mô hình site-to-site
54
28
5. TRIỂN KHAI VPN
55
Các giai đoạn triển khai VPN1. Xác định yêu cầu:
• Liên kết cần bảo vệ
• Các thành phần của liên kết
• Sử dụng giải pháp VPN ở tầng nào
2. Thiết kế
2.1. Mô hình và kiến trúc triển khai:• Vị trí của VPN gateway trong mạng
• Các thông số cấu hình TCP/IP: địa chỉ, gateway, DNS server…
• Kết nối VPN đơn lẻ được chấp nhận
• Phần mềm VPN Client
2.2. Mã hóa:• Lựa chọn thuật toán mã mật và xác thực toàn vẹn
• Kích thước khóa
56
29
Thiết kế
2.3. Xác thực• Lựa chọn phương pháp xác thực tài khoản truy cập
• Lựa chọn giải pháp quản lý người dùng, quản lý khóa
2.4. Các vấn đề khác:• IPSec: Vòng đời của IKE và IPSec SA, chế độ hoạt động của IKE,
tham số của Diffie-Hellman
• Sao lưu, dự phòng
• Quy trình phản ứng sự cố
57
Các giai đoạn triển khai VPN
3. Triển khai và đánh giá trên môi trường thử nghiệm• Kết nối VPN
• Kiểm soát lưu lượng
• Xác thực người dùng
• Tương thích với hệ thống
• Quản trị: tính dễ sử dụng với người dùng, thông số TCP/IP, chính sách mạng…
• Log
• Hiệu năng
4. Triển khai
5. Vận hành và quản trị
58
30
Kiến trúc triển khai VPN
• Triển khai trên firewall
59
Kiến trúc triển khai VPN
Triển khai trên firewall:
• Ưu điểm:• Thiết kế và triển khai dễ dàng
• Dễ dàng tương thích ngay với cơ chế hoạt động của firewall
• Giữ nguyên chính sách của firewall áp dụng lên lưu lượng mạng
• Nhược điểm:• Phục thuộc vào tính năng hỗ trợ VPN của firewall
• Firewall phải mở cổng dịch vụ VPN(IPSec: 500, 4500; SSL: 443)
60
31
Kiến trúc triển khai VPN
• Triển khai trước firewall
61
Kiến trúc triển khai VPN
Triển khai trước firewall:
• Ưu điểm: kiểm soát được hoàn toàn lưu lượng
• Nhược điểm:• VPN Gateway không được bảo vệ
• Dữ liệu có thể bị nghe lén trên phân vùng DMZ nếu không cấu hình firewall một cách đúng đắn
62
32
Kiến trúc triển khai VPNTriển khai bên trong vùng mạng riêng(sau firewall)
63
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng riêng(sau firewall)
• Cấu hình firewall cho phép kết nối từ bên ngoài tới cổng dịch vụ trên VPN gateway
• Nên đặt thêm 1 firewall kiểm soát luồng dữ liệu từ VPN gateway tới phần còn lại của mạng riêng
• Ưu điểm:• Không phụ thuộc vào các sản phẩm firewall
• Không cần mở cổng dịch vụ trên firewall
• Nhược điểm:• Các chính sách trên filewall không thể áp dụng với lưu lượng VPN phát sinh nguy cơ nếu lưu lượng trên kết nối VPN là lưu lượng tấn công
64
33
Kiến trúc triển khai VPNTriển khai bên trong vùng mạng riêng: mô hình khác
65
Kiến trúc triển khai VPN
• Triển khai bên trong vùng mạng DMZ(sau firewall)
66
34
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng DMZ(sau firewall)
• Cấu hình firewall cho phép kết nối từ bên ngoài tới cổng dịch vụ trên VPN gateway
• Cấu hình firewall kiểm soát dữ liệu tới các cổng ứng dụng khác đối với các lưu lượng từ VPN gateway tới vùng mạng bên trong
• Nên đặt thêm firewall để cách ly VPN gateway và vùng mạng riêng, hoặc
• Thiết lập phân vùng mạng DMZ riêng cho VPN gateway
67
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng DMZ(sau firewall)
• Ưu điểm:• Khi VPN gateway bị chiếm quyền điều khiển, vẫn kiểm soát được
các truy cập tới vùng mạng bên trong giải pháp tốt nhất có thể giảm thiểu nguy cơ khi bị mất quyền điều khiển trên VPN gateway
• Giữ nguyên chính sách của firewall áp dụng lên lưu lượng mạng tới vùng mạng riêng
• Nhược điểm:• Không ngăn chặn được tấn công ARP hoặc nghe lén do lưu lượng
mạng tới mạng riêng được truyền trên hạ tầng vùng DMZ
• Nếu cung cấp kết nối VPN ở chế độ đầy đủ, không ngăn chặn được các tấn công bên trong phân vùng DMZ do không áp đặt được chính sách với các lưu lượng mạng vào vùng DMZ
68
35
Kiến trúc triển khai VPN• Triển khai trong vùng mạng DMZ, sử dụng 2 giao tiếp mạng
69
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng DMZ, sử dụng 2 giao tiếp trên VPN gateway
• Giao tiếp mạng bên ngoài: kết nối với mạng DMZ, cung cấp kết nối SSL VPN cho người dùng từ xa
• Giao tiếp mạng bên trong: kết nối với firewall. Mọi lưu lượng giữa VPN gateway và mạng bên trong phải qua giao tiếp này có thể kiểm soát các lưu lượng tấn công
• Hạn chế:• Cấu hình định tuyến cho mạng trở nên phức tạp hơn
• Nếu cung cấp kết nối VPN ở chế độ đầy đủ, không ngăn chặn được các tấn công bên trong phân vùng DMZ do không áp đặt được chính sách với các lưu lượng mạng vào vùng DMZ
70
36
Vấn đề định tuyến với VPN
• Client sử dụng địa chỉ ảo khi truy cập tới các nút mạng trong vùng mạng riêng:• Phải cấu hình định tuyến để nút mạng trong vùng mạng riêng gửi
dữ liệu trả lời tới VPN gateway
• Tại sao không nên dùng NAT?
• Giải pháp triển khai VPN bên trong vùng mạng DMZ, sử dụng 2 giao tiếp mạng:• Cấu hình định tuyến tĩnh trên VPN server
71
CASE STUDY 1: TRIỂN KHAI IPSEC VPN THEO MÔ HÌNH SITE-TO-SITE
72
37
Mô tả bài toán
73
Lựa chọn giải pháp
• Leased line:• Chi phí đắt
• Cần kết hợp với các giải pháp VPN tầng 2
• IPSec VPN:• Client-to-site
• Site-to-site
• SSL VPN: sử dụng ứng dụng trên nền tảng Web
• SSL VPN: sử dụng proxy
74
38
Thiết kế giải pháp
• Xác thực giữa 2 VPN gateway(router): pre-shared key
• Thuật toán mã mật và xác thực cho dữ liệu: AES-128, HMAC-SHA-1
• Lọc gói: xác định những luồng dữ liệu từ văn phòng chi nhánh tới văn phòng chính không cần bảo vệ:• Phụ thuộc vào các dịch vụ tại văn phòng chính cho phép kết nối từ
mạng công cộng
• Lưu ý trong khâu kiểm thử, thực hiện kiểm thử lần lượt: Không có bộ lọc Thêm bộ lọc cho từng luồng
75
Triển khai thử nghiệm
Trong trường hợp mạng không có môi trường thử nghiệm chuyên biệt, có thể thực hiện giai đoạn này vào thời gian ngoài giờ làm việc.
• B1: Kiểm tra lại trạng thái bảo mật của các router
• B2: Sao lưu cấu hình hiện tại của các router
• B3: Kiểm tra tính năng hỗ trợ IPSec VPN trên các router
• B4: Cấu hình cơ chế xác thực trên router(định nghĩa SA)
(config)# access-list ACL_number permit ip sourceIP source_wild_card destIP dest_wild_card
(config)# crypto map map_name seq_# ipsec-isakmp(config-crypto-m)# match address ACL_number(config-crypto-m)# set peer peer_address(config-crypto-m)# set transform-set transform_set_name
Triển khai thử nghiệm
• B8: Thiết lập cấu hình IPSec cho cổng kết nối mạng
# show crypto isakmp sa [detail]# show crypto isakmp policy# show crypto map# show crypto ipsec sa# debug crypto isakmp# debug crypto ipsec# debug crypto engine
40
CASE STUDY 2: TRIỂN KHAI SSL VPN THEO MÔ HÌNH CLIENT-TO-SITE
79
Mô tả bài toán• Một công ty có số lượng lớn nhân viên làm việc ở bên
ngoài với công việc thu thập số liệu thị trường bán lẻ. Những nhân viên này thường xuyên phải kết nối tới mạng nội bộ của công ty để chia sẻ số liệu, sử dụng hệ thống phân tích số liệu, cập nhật tiến độ công việc, lịch công tác…
• Hệ thống mạng của công ty đã triển khai giải pháp IPSec VPN theo mô hình truy cập từ xa. Mỗi nhân viên được công ty cấp máy tính cá nhân có phần mềm VPN client
• Tuy nhiên, trong một số trường hợp, vì lý do bất khả kháng, nhân viên không thể sử dụng máy tính của công ty. Khi đó, anh ta muốn sử dụng các máy tính khác để thay thế.
80
41
Yêu cầu
• Tất cả nhân viên nghiên cứu thị trường có thể truy cập vào toàn bộ tài nguyên trong mạng nội bộ nếu sử dụng máy tính của công ty đã cấp phát
• Nếu nhân viên sử dụng máy tính khác, anh ta chỉ được phép truy cập giới hạn vào một số dịch vụ trong mạng nội bộ
• Một bộ phận nhân viên phòng Nhân sự khi đi công tác cũng có thể truy cập vào mạng nội bộ của công ty, nhưng chỉ được sử dụng ứng dụng Quản lý hồ sơ nhân viên của công ty.
81
Thiết kế giải pháp
Chính sách truy cập
• Liệt kê và phân nhóm các tài nguyên trong mạng nội bộ có thể truy cập qua SSL VPN:
• Liệt kê nhóm người dùng
• Liệt kê điều kiện để có thể truy cập vào tài nguyên trong mạng nội bộ• Điều kiện chung: máy tính truy cập SSL VPN phải cập nhật phiên
bản HĐH mới nhất, cài đặt phần mềm firewall, anti-virus
• Người dùng sử dụng máy tính của công ty cấp?
• Người dùng sử dụng máy tính khác?
• Người dùng là nhân viên phòng Nhân sự?
82
42
Thiết kế giải pháp
• Cách thức truy cập:• Từ máy tính của công ty cấp
• Từ máy tính khác
• Từ máy tính của nhân viên phòng nhân sự
• Cách thức xác thực: sử dụng RADIUS server
83
Tổng kếtƯu điểm Nhược điểm
PPTP • Hỗ trợ các giao thức non-IP • Phải cài đặt và cấu hình phần mềm VPN client
• Thuật toán mã hóa yếu• Không có giao thức xác
thực mạnh• Chỉ hỗ trợ 1 phiên trên
mỗi kết nối VPN
L2TP • Hỗ trợ các giao thức non-IP• Hỗ trợ nhiều phiên trên mỗi
kết nối VPN• Hỗ trợ RADIUS server• Có thể kết hợp cùng IPSec
để cung cấp các dịch vụ mã mật và quản lý khóa
• Phải cài đặt và cấu hình phần mềm VPN client
84
43
Tổng kếtƯu điểm Nhược điểm
L2F • Hỗ trợ các giao thức non-IP• Trong suốt với client• Hỗ trợ RADIUS server
• Yêu cầu sự phối hợp của các ISP
• Không bảo vệ dữ liệu từ client tới ISP
• Không có cơ chế bảo mật riêng
IPSec • Được hỗ trợ bởi HĐH• Cơ chế mật mã mạnh• Hỗ trợ các giao thức xác
thực khác nhau• Trong suốt với người dùng
nếu sử dụng mô hình site-to-site
• Chỉ hỗ trợ giao thức IP• Phải cài đặt và cấu hình
VPN client• Không bảo vệ dữ liệu từ
client tới VPN gateway trong mô hình site-to-site
85
Tổng kết
Ưu điểm Nhược điểm
SSL • Hỗ trợ trên trình duyệt Web• Cơ chế mật mã mạnh• Cung cấp cơ chế xác thực
đa lớp• Trong suốt với client• Hỗ trợ kiểm soát truy cập