« Home « Kết quả tìm kiếm

Bài giảng VPN

Tóm tắt Xem thử

- Ch có đ u g i (sender) và đ u nh n ế ề ụ ỉ ầ ở ầ ậ (receiver) có th đ c đ ể ọ ượ c d li u.
- SA th ườ ng có th dùng pre-share-key, RSA encryption ho c các RSA ể ặ signatures..
- SA có th đ ể ượ ấ c c u hình không c n dùng IKE nh ng cách này ít đ ầ ư ượ c dùng..
- Khi áp ặ d ng ESP ho c AH vào m t gói IP, gói IP này có th ( m c dù không ph i là ụ ặ ộ ể ặ ả luôn luôn) b thay đ i.
- Có h n khóa có th dùng.
- Quá trình ả ậ ụ ỗ ữ ệ mã hóa có th ho t đ ng vài ch đ và bao g m 16 l ể ạ ộ ở ế ộ ồ ượ t thao tác (operations)..
- Ph ơ ươ ng th c đ crack ứ ể DES có th đ ể ượ c tìm th y trong quy n sách “Cracking DES: Secrets of ấ ể.
- Giai đo n 1 c a quá ấ ị ỉ ủ ầ ạ ủ trình trao đ i key (phase 1) s thi t l p đ i tác (peer) c a k t n i VPN.
- Trong b ấ ướ c này, b n có th ch ra các ki u mã hóa và ạ ể ỉ ể ki u t h p hash.
- Do b ở ướ c trên, b n có th đ nh nghĩa nhi u transform-set.
- Ghi chú: đ có th th nghi m VPN, phiên b n IOS c n là IPSec/DES.
- và mã hóa (encryption) trong IPSec ổ.
- M t ể ạ ầ ạ ộ VPN có th đ ể ượ c xây d ng trên h t ng m ng Internet ho c trên m ng IP, ự ạ ầ ạ ặ ạ.
- D ch v này cho phép nh ng ng ị ụ ữ ườ i dùng m ng t xa (remote user) k t n i vào m ng c a công ty h .
- Ngoài ra, b i vì MPLS ch y trên m t m ng IP riêng ch không ph i là ủ ở ạ ộ ạ ứ ả Internet, các ISP có th cung c p các m c khác nhau c a ch t l ể ấ ứ ủ ấ ượ ng d ch v (QoS) và ị ụ.
- th i đi m hi n t i, m t nhà cung c p d ch vu ISP có th ố ệ ạ Ở ờ ể ệ ạ ộ ấ ị ể t o ra các k t n i VPN hi u qu trên h t ng m ng c a ISP thông qua các k t n i ạ ế ố ệ ả ạ ầ ạ ủ ế ố dialup, DSL, và Cable Modem (DOCSIS)..
- V i vi c gi i thi u d ch v ớ ệ ớ ệ ị ụ Remote Access to MPLS VPN, các nhà cung c p d ch v ấ ị ụ đã có th tích h p các ph ể ợ ươ ng th c truy c p khác nhau vào d ch v VPN c a h .
- V i vi c ợ ạ ớ ệ dùng IP-based MPLS v i IPSEC/L2TP, các nhà cung c p d ch v có th c i ti n kh ớ ấ ị ụ ể ả ế ả năng m r ng và hi n th c QoS.
- Enterprise VPN cung c p các k t n i đ ấ ế ố ưọ c tri n khai trên h t ng m ng công c ng v i ể ạ ầ ạ ộ ớ cùng m t policy nh m ng riêng, đó các ng ộ ư ạ ở ườ i dùng có th có cùng performance, ể.
- ng d ng và lo i k t n i..
- Các công ty có th m r ng m ng ra ạ ả ạ ủ ệ ể ở ộ ạ nh ng n i mà tr ữ ơ ướ c đây không th m r ng.
- D dàng nh n th y r ng các chi phí c a ế ố ố ễ ậ ấ ằ ủ leased lines có th b c t gi m b i các k t n i VPN.
- Đ i v i d ch v truy c p t xa: thay vì dùng các đ ố ớ ị ụ ậ ừ ườ ng k t n i t c đ ch m ế ố ố ộ ậ ho c các d ch v đ c ti n nh ISDN/Frame Relay, các ng ặ ị ụ ắ ề ư ườ i dùng t xa bây ừ gi đã có th s d ng VPN thông qua các công ngh nh : ờ ể ử ụ ệ ư.
- ấ ở ư ệ - Nh ng ng ữ ườ i dùng c đ ng (mobile user) cũng có th t n d ng các k t n i ơ ộ ể ậ ụ ế ố.
- M t trong nh ng l i ích khác c a VPN là các công ty có th tri n khai các ộ ữ ợ ủ ể ể ng d ng m i ví d nh e-commerce.
- Trong ọ gi i pháp này, các ng ả ườ i dùng th ườ ng th ườ ng s d ng các công ngh truy n th ng đ ử ụ ệ ề ố ể t o l i các tunnel v m ng HO c a h .
- M t h ộ ướ ng phát tri n khá m i trong remote access VPN là dùng wireless VPN, trong đó ể ớ m t nhân viên có th truy c p v m ng c a h thông qua k t n i không dây.
- M t ph n quan tr ng c a thi t k này là vi c thi t k quá trình xác th c ban đ u ộ ầ ọ ủ ế ế ệ ế ế ự ầ nh m đ đ m b o là yêu c u đ ằ ể ả ả ầ ượ c xu t phát t m t ngu n tin c y.
- Trong tình hu ng này, quá ơ ề ạ ở ộ ị ố trình xác th c ban đ u cho nh ng ng ự ầ ữ ườ i dùng s là quá trình xác th c gi a các thi t b .
- LAN-to-LAN VPN có th đ ể ượ c xem nh m t Intranet ho c Extranet VPN n u xét t ư ộ ặ ế ừ quan đi m qu n lý chính sách.
- N u h t ng m ng này có chung m t ngu n qu n lý, nó ể ả ế ạ ầ ạ ộ ồ ả có th đ ể ượ c xem nh Intranet VPN.
- Ng ư ượ ạ c l i, nó có th xem là extranet.
- M t ví d là: các thi t b VPN m i có th ho t đ ng theo c hai cách.
- V i vi c đ a vào Pix 501, gi i pháp VPN s m r ng nh ng ch n l a cho ng ớ ệ ư ả ẽ ở ộ ữ ọ ư ườ i dùng..
- Trong môi tr ườ ng m ng công c ng, các gi i thu t mã hóa l p datalink có th đ ạ ộ ả ậ ớ ể ượ c hi n th c trong các thi t b bên trong m ng riêng.
- ố ạ B i vì PPP h tr nhi u giao th c khác nhau (IP, IPX, NetBEUI), nó có th truy c p ở ỗ ợ ề ứ ể ậ các h t ng m ng r t khác nhau.
- C hai đ u đ u có th kh i t o tunnel.
- M t NAS có th kh i t o m t tunnel ngay c ọ ộ ể ở ạ ộ ả khi m t client không có ch y PPTP.
- PPTP client có th đ ể ượ c k t n i vào m t m ng IP mà PPTP server cũng k t n i ế ố ộ ạ ế ố vào m ng IP này.
- Ho c PPTP clients cũng có th quay vào m t NAS đ thi t l p k t ạ ặ ể ộ ể ế ậ ế n i IP.
- T i c a khung PPP có th đ ể ư ữ ệ ủ ả ủ ể ượ c mã hóa ho c nén ho c c hai.
- PPTP có th truy n các giao th c khác nhau l p network, ch ng h n nh IP, IPX và ể ề ứ ở ớ ẳ ạ ư NetBEUI..
- Quá trình xác th c di n ra trong giai đo n t o các k t n i VPN PPTP s d ng cùng ự ễ ạ ạ ế ố ử ụ m t c ch nh ng các k t n i PPP.
- M t ch n l a khác cho quá trình xác th c là IETF PPP ộ ọ ự ự (Extensible Authentication Protocol –EAP).
- ự ậ N u quá trình mã hóa trên toàn b k t n i là c n thi t, IPSEC có th mã hóa IP traffic ế ộ ế ố ầ ế ể t đ u k t n i cho đ n cu i k t n i (end-to-end) sau khi m t kênh PPTP đã đ ừ ầ ế ố ế ố ế ố ộ ượ c thi t ế l p.
- Quá trình đóng gói d li u thông qua nhi u m c đóng gói khác nhau.
- M t L2TP tunnel có th kh i t o t m t PC xa quay tr v L2TP Network ộ ể ở ạ ừ ộ ở ở ề server (LNS) hay t L2TP access concentrator (LAC) và LNS.
- L2TP có th chuy n các giao th c l p 3 khác nhau.
- L2TP có th fùng PAP, CHAP và ể ể ứ ớ ể EAP cho v n đ ki m tra xác th c, tuy nhiên m t s khác nhau ch y u là traffic có ấ ề ể ự ộ ự ủ ế th đ ể ượ c an toàn trên toàn b đ ộ ườ ng đi t PC c a ng ừ ủ ườ i dùng đ n m ng c a công ty.
- L2TP có th dùng hai ki u thông đi p: thông đi p đi u khi n và thông đi p d li u.
- trong khi các thông đi p d li u không đ ố ệ ữ ệ ượ c truy n l i khi thông đi p b m t ề ạ ệ ị ấ trong quá trình truy n.
- Ví d d ụ ướ i đây s s mô t quá trình đóng gói L2TP trên đ ẽ ẽ ả ườ ng truy n HDLC.
- M t cách tiêu bi u, các công ngh VPN này dùng các giao th c IP nh là giao ộ ể ệ ứ ư th c l p networl và nó có th bao g m các L2 VPN nh ứ ở ớ ể ồ ư Multiprotocol Label Switching (MPLS) ho c IPSec.
- K t qu là, m ng tr c IP có th đ ế ả ạ ụ ể ượ c dùng nh m t công ư ộ ngh l p datalink.
- ế ế ớ ọ IKE SA là quá trình hai chi u và cung c p m t kênh giao ti p b o m t gi a hai bên.
- ề ấ ộ ế ả ậ ữ Thu t ng ‘hai chi u’ có ý nghĩa là khi đã đ ậ ữ ề ượ c thi t l p, m i bên có th kh i t o ch ế ậ ỗ ể ở ạ ế đ QuickMode, Informational và NewGroupMode.
- IKE th c hi n quá trình dò tìm, quá trình xác th c, qu n lý và trao đ i khóa.
- VPN 3000 Concentrator có ch đ c u hình, trong đó cho phép nh ng ng ệ ế ộ ấ ữ ườ i dùng xa có th ki m soát các chính sách, bao g m DNS, WINS, IP address và domain ở ể ể ồ name..
- IPSEC SA là m t chi u và đ ộ ề ượ c dùng cho quá trình trao đ i th t s gi a hai thi t b .
- Quá trình b t tay c a ISAKMP, các pha và các ch đ c a IPSec ắ ủ ế ộ ủ.
- Quá trình trao đ i khóa và qu n lý khóa là m t ph n ế ậ ộ ế ố ổ ả ộ ầ quan tr ng c a IPSec b i vì m t s khóa ph i đ ọ ủ ở ộ ố ả ượ c trao đ i đ các bên có th giao ổ ể ể ti p v i nhau an toàn.
- M c dù quá trình b o v danh x ng không c n, ch có ắ ặ ả ệ ư ầ ỉ aggressive mode có th đ ể ượ c dùng đ gi m th i gian cho quá trình b t tay này.
- Ch đ quickmode s hoàn t t quá ặ ị ụ ầ ố ế ộ ẽ ấ trình trao đ i c a pha 2 và ch đ ổ ủ ỉ ượ c dùng trong pha 2.
- Aggressive mode th ườ ng là tiêu bi u cho các tình hu ng khi quá trình xác th c là ể ố ự không c n thi t ho c đã đ ầ ế ặ ượ c th c hi n tr ự ệ ướ c đó).
- IPSec SA s k t thúc thông qua quá trình xóa ho c timeout.
- M t quá trình b t tay thành công s có k t qu là các SAs m i và ắ ộ ắ ẽ ế ả ớ khóa m i.
- Các SAs m i có th đ ớ ớ ể ượ c thi t l p tr ế ậ ướ c khi các SAs b h t h n, và vì v y ị ế ạ ậ m t dòng d li u m i có th đ ộ ữ ệ ớ ể ượ c truy n mà không b ng t quãng.
- IPSec có th ho t đ ng ề ế ầ ủ ể ạ ộ ở m t trong hai ch đ : transport mode và tunnel mode.
- ữ ẹ Transport mode có th đ ể ượ c dùng khi c hai host h tr IPSec.
- V i tunnel ho t đ ng gi a hai security gateway, đ a ch ngu n và đích có th đ ớ ạ ộ ữ ị ỉ ồ ể ượ c mã hóa.
- Bên nh n s có th ki m tra xem là thông đi p đã b thay đ i trong khi truy n ậ ậ ẽ ể ể ệ ị ổ ề hay không..
- ESP có th áp d ng riêng l ho c dùng kêt h p v i AH.
- ESP có th đ ể ụ ẽ ặ ợ ớ ể ượ c áp d ng gi a hai host giao ti p, gi a hai security gateway và gi a 1 gateway và 1 host.
- Tính b o m t trong ESP đ t đ ả ậ ạ ượ c thông qua quá trình mã hóa.
- Quá trình gi i mã là quá trình ng ả ượ ạ c l i.
- Mã hóa đ ng b (khóa dùng chung) và mã hóa b t đ ng b (public/private key).
- Tuy nhiên DES có th b t n công ki u brute-force.
- V i các chi u dài khóa này, s có th có ạ ớ ề ẽ ể đ n ế.
- Quá trình xác th c trong VPN ự.
- Quá trình xác th c trong VPN bao g m: ự ồ.
- Xác th c ng ự ườ i dùng.
- Tên nhóm và m t mã c a nhóm giúp đ n gi n hóa m t chính sách c n đ nh nghĩa ậ ủ ơ ả ộ ầ ị (policy) b i vì m t ng ở ộ ườ i dùng có th là thành viên c a m t nhóm có chung m t ể ủ ộ ộ policy..
- B ậ ủ ẽ ơ ả ấ ề ả ệ ố ướ c đ u có ầ th c u hình m t nhóm c b n, sau đó đ n t ng nhóm riêng và sau cùng là c u hình ể ấ ộ ơ ả ế ừ ấ t ng thành viên c a nhóm.
- M t đ c tính quan tr ng khác n a là ngu i qu n tr có th k t h p các ng ộ ặ ọ ữ ờ ả ị ể ế ợ ườ i dùng khác nhau vào các nhóm khác nhau.
- M t trong nh ng ch c năng c b n c a trao đ i khóa là đ m b o quá trình trao đ i ộ ữ ứ ơ ả ủ ổ ả ả ổ di n ra gi a các ngu n tin c y.
- Các danh x ng c a ng ế ặ ư ủ ườ i dùng s d ng các ử ụ ch ký đi n t và các c ch xác th c.
- Extended Authentication (XAUTH) bên trong IKE: ki m tra xác th c ng ể ự ườ i dùng v i ớ IKE.
- XAUTH s yêu c u ng ẽ ầ ườ i dùng nh p username/m t mã.
- Quá trình ki m tra xác th c c a ng ể ự ủ ườ i dùng di n ra gi a pha 1 và pha 2.
- N u ng ễ ữ ế ườ i dùng đã xác th c thành công, quá trình thi t l p pha 2 (IPSEC SA) cho phép ng ự ế ậ ườ i dùng có th g i d li u an toàn trên m ng.
- N u ng ể ử ữ ệ ạ ế ườ i dùng th t b i trong quá trình ấ ạ xác th c, s không có pha 2 nào đ ự ẽ ượ c thi t l p và ng ế ậ ườ i dùng s không th g i d ẽ ể ử ữ li u.
- D ch v b o m t (confidentialy) có th đ ị ụ ả ậ ể ượ c ch n l a m t cách đ c l p v i các d ch ọ ự ộ ộ ậ ớ ị v khác.
- Tuy nhiên, vi c s d ng confidentialy mà không dùng k t h p v i các d ch v ụ ệ ử ụ ế ợ ớ ị ụ khác nh integrity/authentication có th là đ i t ư ể ố ượ ng c a nh ng ki u t n công.
- Vì v y, ủ ữ ể ấ ậ quá trình xác th c đ ự ượ c xem nh là m t ch n l a kèm theo v i condentiality.
- Khi có thêm ng ườ i dùng xa, m t m c th nhì c a quá trình xác th c ng ở ộ ứ ứ ủ ự ườ i dùng di n ễ ra sau khi thi t b đã đ ế ị ượ c xác th c trong IKE SA.
- Sau khi quá trình xác th c ở ầ ự đã hoàn thành, pha 2 s k t n i m ng xa và m ng c c b .
- Quá ề ả ả ậ ộ ọ trình b t đ u khi m i bên c a k t n i t o ra m t khóa riêng.
- Qui trình trao đ i khóa dùng DH v n có th b ki u t n công man-in-the-middle b i vì ổ ẫ ể ị ể ấ ờ các đ i tác tham d đã không đ ố ự ượ c xác th c.
- MIM có th gi l p các ậ ộ ả ử ữ ộ ể ả ậ traffic đã mã hóa, sau đó gi i mã, chép và thay đ i nó, tái mã hóa v i khóa gi r i sau ả ổ ớ ả ồ đó forward đi.
- M t chu kỳ s ng lifetime có th đ ả ờ ộ ố ể ượ c đo l ườ ng b ng ằ giây ho c kilobytes và áp d ng vào c ặ ụ ả IKE SA and IPSec SAs.

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt