« Home « Kết quả tìm kiếm

Ứng dụng IPSEC VPN trong bảo mật tầng mạng

Tóm tắt Xem thử

- Cc ni dung nghin cu v kt qu trnh by trong lun văn l trung thc r rng.
- N l mt h thng thng tin ton cu c th đc truy nhp cng cng gm cc mng my tnh đc lin kt vi nhau.
- H thng ny truyn thng tin theo kiu ni chuyn gi d liu (packet switching) da trn mt giao thc lin mng đ đc chuẩn ha (giao thc IP).
- H thng ny bao gm hng ngn mng my tnh nh hn ca cc doanh nghip, ca cc vin nghin cu v cc trng đi hc, ca ngi dùng c nhn v cc chnh ph trn ton cu.
- Mng Internet mang li rất nhiu tin ch hu dụng v cung cấp cho ngi dùng mt khi lng thng tin v dch vụ khổng l.
- TCP/IP l m hnh mng truyn thng đc s dụng rng ri trn ton th gii.
- V c bn, d liu ở mt tng sẽ đc đng gi thm cc thng tin nn kch thc sẽ ln hn khi xung tng di n.
- Tng giao vn c th la chn đm bo truyn thng tin cy.
- IP l giao thc tng mng c bn trong m hnh TCP/IP.
- Giao thc thng dụng khc đc dùng trong tng mng nh ICMP hay IGMP.
- Data link layer (tầng liên kết dữ liệu): Tng ny sẽ x l truyn thng trn cc thnh phn vt l.
- Kim sot an ninh trn mng truyn thng tn ti trn mi tng trong m hnh TCP/IP.
- Bởi v cc thng tin IP đc thm vo ti tng mng nn kim sot tng giao vn khng th bo v đc nó.
- V dụ, tất c cc giao tip mng gia 2 thit b đu cui hoặc gia 2 mng c th đc bo v ở tng ny m khng c bất k s sa đổi no trn my ch hoặc my khch.
- Bởi v tng lin kt d liu nằm di tng mng nn cc điu khin ở tng ny c th bo v c d liu ln thng tin IP.
- Điu khin ti mi tng thng c cc đim mnh v thuc tnh ring m cc điu khin tng khc khng c đc.
- Điu ny thng đc thc hin bằng cch trin khai mt cổng VPN cho tng mng v thit lp kt ni VPN gia hai cổng.
- Hai cổng vo VPN trao đổi thng tin vi nhau v to ra mt kt ni IPsec.
- Gateway-to-gateway VPN thng l trong sut đi vi ngi s dụng, khng cn phi thc hin xc thc ring bit ch đ s dụng VPN.
- Ngoi ra, h thng ca ngi s dụng v thit b cui (v dụ, my ch) khng cn phi ci đặt bất kỳ phn mm VPN client no, v cng khng yu cu cấu hnh li, đ c th s dụng VPN.
- Ngi s dụng thng xuyn thc hin hi cổng VPN đ xc thc trc khi kt ni c th đc thnh lp.
- Cổng VPN c th t mnh thc hin xc thc ngi dùng hoặc tham kho  kin ca mt my ch xc thc chuyn dụng.
- Trao đổi thng tin cổng, khch hng v kt ni IPsec đc thnh lp.
- Truy cp gia ngi s dụng v h thng khng đc kim sot 16 bởi tổ chc cng c th đc đnh tuyn thng qua cổng VPN, điu ny cho phép IPsec c th p dụng bo v cho cc truy cp ny nu mun.
- Cc đng đt nét cho thấy rằng truyn thng gia cổng v thit b (v dụ, my ch) l khng đc bo v.
- M hnh Host-to-gateway thng đc s dụng đ thay th modem dial-up.
- M hình Host-to-gateway thng khng minh bch cho ngi dùng bởi v h phi xc thc trc khi s dụng VPN.
- Trong trng hp ny, tổ chc sẽ cấu hnh my ch cung cấp dch vụ VPN v qun tr h thng my ch đ hot đng nh cc my khch VPN.
- Cc qun tr vin h thng s dụng VPN client khi cn thit đ thit lp m ha kt ni đn my ch t xa.
- Điu ny c th l mt vấn đ, bởi v khng th tch hp vo mng h thng tng la, h thng pht hin xm nhp, v cc thit b khc đ kim tra d liu đc gii m, v điu ny chc chn sẽ lm mất đi tnh bo mt ca cc tng.
- 18 Chng 2: Tổng quan v IPSec IPsec l mt tp hp cc giao thc h tr bo v truyn thng trn mng IP.
- Trong cc phin bn IPsec đu tin, giao thc ESP c th cung cấp m ha nhng khng c xc thc, do đ AH v ESP thng đc s dụng chung đ cung cấp c s bo đm tin cy v ton vẹn d liu cho truyn thng.
- Bởi v ch đ transport khng th thay đổi IP header gc hoặc to mt IP header mi nn ch đ transport thng s dụng kin trc host-to-host.
- Mt s thut ton MAC thng thng l AES Cipher Block Chaining MAC (AES-XCBCMAC-96).
- Theo cch gii thch tng t nh trn ta c th thấy đc ti sao AH thng khng tng thch vi s thc thi network address translation (NAT).
- M ha ESP cng c th đc v hiu ha thng qua thut ton 22 Null Encryption.
- Trong ch đ transport, payload l mt giao thc ở tng transport, thng l TCP (protocol number l 6) hoặc UDP (protocol number l 17).
- Th t bng ch ci đ thấy ở proteced payload ca gi tin AH trc đ khng th thấy đc ở protected payload ca gi tin ESP bởi v n đ đc m ha.
- IKE s dụng 5 loi trao đổi đ to ra security association, trng thi truyn, thng tin li v xc đnh cc nhm DiffieHellman mi.
- Knh mt đc to ra trong giai đon 1 thng đc gi l IKE SA.
- Bất k phng thc no đc dùng, bn tin ny m ha da trn cc thng tin trao đổi trong cặp thng đip th hai.
- Ngoài ra, cc thng tin đnh danh khng phi lun b ẩn trong ch đ aggressive, do đ mt ngi quan st c th xc đnh bn no thc hin đm phn.
- Ch đ aggressive c th che giấu thng tin đnh danh trong mt vi trng hp khi kha cng khai đ đc trao đổi.
- SAD bao gm cc thng tin sau cho mi kt ni đc bo v.
- Thng tin ny đc lu trong Security Policy Database (SPD), n phn loi cc lu lng yu cu IPsec bo v (protect), cc lu lng khng yu cu IPsec bo v (bypass), hoặc b cấm (discard).
- C IKE SA v IPsec SA thng c thi gian sng gii hn, khng th đc tăng ln sau khi SA đc to ra.
- 2.3.3 Trao đổi thông tin Mục đch ca trao đổi thng tin IKE l cung cấp cho cc thit b cui mt phng php đ gi đn nhau cc bn tin trng thi v bo li.
- Tuy nhin cc bn tin đc gi thng qua trao đổi thng tin l da trn UDP, v bn nhn khng bo nhn chng, v vy khng th đm bo cc thit b cui khc sẽ nhn đc chng.
- Xc đnh mt nhm Diffie-Hellman mi khng phi l vấn đ tm thng, do đ, trong thc t trao đổi nhm khng thng đc s dụng.
- Giao thc IP Payload Compression (IPComp) thng đc s dụng vi IPsec.
- Gateway A khp cc đặc đim ca gi tin đi vi nhng thng tin ca n trong Security Policy Database.
- Thit b A to v gi gi tin bnh thng (khng IPsec), thit b ny c đch l đa ch ca thit b B.
- 3.1 Xc đnh nhu cu Mục đch ca phn ny l xc đnh cc nhu cu trong bo v qu trnh truyn thng v cn nhc xem nhng nhu cu no l cn thit nhất.
- Bc đu tin l xem xét xem qu trnh truyn thng no cn đc bo v (v dụ nh: tất c cc kt ni gia 2 mng, hay cc ng dụng lin quan đn cc server c nhn).
- Đặc t cc yu cu v hot đng ca h thng (ti ca h thng ở mc bnh thng hay đt đnh).
- Vic tch hp IPsec gateway vo trong 1 kin trc mng cn nm vng kin thc v mng cng nh cc chính sch an ninh.
- 39 ● Nhiu tunnel hot đng đng thi ● T đng thay đổi key.
- 3.2.2 Xác thực Thc thi IPsec thng thng h tr 2 phng php xc thc: pre-shared keys và ch k s.
- Pre-shared keys cng thng đc khuyn khng nn s dụng cho cc host c đa ch IP đng bởi v cc kha khng th b hn ch vi nhng đa ch IP đặc bit hay mt di nh cc đa ch IP.
- Pre-shared keys thng thng cng đc s dụng trong qu trnh kim th v thc thi IPsec do s đn gin ca n.
- Cc gi tin trong qu trnh đm phn IKE thng kh nh v khng cn phi phn mnh.
- N lc đ c th s dụng IPsec đ bo v cc lu lng nh vy thng gy ra vấn đ trong truyn thng hoặc l gim hiu qu thm ch ph hng c ng dụng.
- Bảo vệ: Mi lu lng nn đc bo v mt cch phù hp vi thng tin thu thp đc trong qu trnh xc đnh yu cu.
- Chng cng nn chc chn rằng vic thc thi khng b chm mt cch bất thng vi nhng tùy chnh mặc đnh.
- Do đ c th gy ra vấn đ tng thch nu mt qu trnh gi v mong đc nhn chnh thng đip đ, và qu trnh khc li khng thc hin đặc đim ny.
- Thng đip DPD c th đc gi đ chc chn rằng cc SA khng đc s dụng khc vn còn sng.
- Mt vi qu trnh thc thi IPsec lu tr pre-shared key di dng plan text trn h thng.
- Quyn thc thi nn đc trnh khi nhng truy nhp vt l bất hp php vo h thng.
- V dụ cc thit b h thng pht hin xm nhp trn mng hay thit b h thng ngăn chặn xm nhp c th đc cấu hnh đ cnh bo nhng lu lng khng đi qua tunnel.
- cc nh sn xuất nhng l hổng mi v, ở thi đim thch hp, cng thng bo rng ri cc vấn đ v cc gii php nn p dụng, v dụ nh ci đặt bn v li m nh sn xuất cung cấp.
- Cc thng tin v l hổng đc cung cấp bởi nhiu c sở d liu online, bo gm c NVD (National Vulnerability Database).
- Cc vấn đ thng thng lin quan đn IPsec bao gm.
- V dụ phn mm IPsec client c th b hng do cp nht h điu hnh mi.
- Mt kha cnh khc ca vic qun l gii php IPsec l x l cc vấn đ lin quan đn hot đng ca h thng.
- Log ca IPsec gateway v log ca client c th cng l ti nguyn c gi tr trong qu trnh sa li.
- Giao thc VPN tng lin kt d liu thng đc s dụng ở trn mng Point-to-Point (PPP) v thng đc s dụng đ bo v kt ni modem-based.
- Mi h thng c th s dụng cc nhu cu ca PPTP nu ci đặt phn mm PPTP client v cấu hnh phù hp.
- o L2TP thng s dụng IPsec đ cung cấp dch vụ m ha v qun l quan trng.
- Tuy nhin, điu ny cng c ngha l truyn thng gia cc h thng ca ngi s dụng v nh cung cấp dch vụ (ISP) l hon ton khng đc bo v.
- PPTP khng nn đc s dụng đ bo v cc truyn thng v nhng đim yu ca n.
- Trong thc t, v ng dụng SSL VPN cung cấp cc ng dụng trn nn Web (Web-based application), cc ng dụng e-mail (POP3/IMAP/SMTP).
- Theo m hnh giao thc tng giao vn truyn thng, mi my ch ng dụng c nhu cu bo v truyn thng phi bao gm cc h tr cho cc giao thc.
- Ngi dùng sẽ khng truy cp vo cc ng dụng trc tip, h thng ca ngi s dụng c mt TLS bo v kt ni HTTP vi my ch proxy.
- Mặc dù phng php my ch proxy TLS l rất phù hp đ bo v cc ng dụng trn nn web, nhng n li khng th x l cc ng dụng khng da trn Web theo cch tng t.
- Sau đ, qun tr h thng hoặc ngi s dụng phi ci đặt mt thit b đu cui khch hng da trn my ch web trn mi h thng đ đm bo c th s dụng bất kỳ ng dụng no.
- Bo v c th ch cn thit cho vic truyn thng trn Internet.
- Cc ng dụng khng da trn nn web v cc ng dụng nhiu th thch hn proxy (v dụ, nhng ngi s dụng nhiu cổng năng đng) thng yu cu phn mm v cc dch vụ bổ sung, chẳng hn nh my ch đu cui v phn mm my khch đặc bit.
- Điu khin tng giao vn khng th cung cấp bất c bo v no cho cc thng tin tng mng, chẳng hn nh đa ch IP.
- 53 4.3 Giao thc VPN tng ng dụng Mi giao thc tng ng dụng sẽ cung cấp kh năng bo v cho mt ng dụng duy nhất.
- V dụ, chng trnh m ha nh PGP v GnuPG (GPG) c th đc s dụng kt hp vi mt e-mail client đ m ha ni dung ca mt e-mail, nhng khng phi l cc tiu đ e-mail (trong đ bao gm thng tin đa ch.
- Giao thc VPN tng ng dụng cng c th đc xy dng vo cc ng dụng đ cung cấp bo v cho d liu m khng cn s dụng cc ng dụng ring bit.
- Chng trnh SSH client sẽ cung cấp cc bo v cho đăng nhp t xa vo h thng khc.
- Điu ny cho phép nhiu ng dụng đc bo v cùng mt lc thng qua mt đng hm duy nhất.
- Ni chung, đng hm đc xy dng gia mt h thng ngi dùng t xa v mt my ch trong tổ chc m ngi dùng c th đăng nhp vo.
- Ni chung, ngi dùng cn phi c kỹ năng kỹ thut vng chc đ c th cấu hnh h thng v cc ng dụng, cng nh khc phục s c cc vấn đ xy ra.
- Thc thi cc thng s Internet Key Exchange (IKE.
- Thc thi cc thng s IPsec.
- Sau đ cc peer trao đổi v phù hp cc chnh sch IPsec đ xc thc v m ha cc lu lng d liu.
- Trn cc router c th kim tra xem chnh sch an ninh no c th tng thch vi cc peer ca n.
- Hiu đc tnh cấp thit ca bo mt tng mng trong vấn đ an ton an ninh thng tin

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt