Bài giảng An ninh mạng: Bài 7 - ThS. Phạm Đình Tài

Bài giảng An ninh mạng: Bài 7 Bảo mật truy cập từ xa, cung cấp cho người học những kiến thức như: Truy cập từ xa và nguy cơ bảo mật; Giới thiệu Mạng riêng ảo (VPN); Các giao thức VPN thông dụng; VPN Client to Site; VPN Site to Site. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng An ninh mạng: Bài 7 - ThS. Phạm Đình Tài TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: AN NINH MẠNG Số tín chỉ: 3 Tổng số tiết: 60 tiết Giảng viên: ThS. Phạm Đình Tài (30 LT + 30 TH) Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài 1 Các kỹ thuật tấn công mạng. Bài 2 Các kỹ thuật mã hóa và xác thực Bài 3 Triển khai hệ thống Firewall Bài 4 Chứng thực trên Firewall Bài 5 Thiết lập các chính sách truy cập Bài 6 Bảo vệ Server công cộng Bài 7 Bảo mật truy cập từ xa -2- Bài 6: Bảo vệ Server công cộng Truy cập từ xa và nguy cơ bảo mật. Giới thiệu Mạng riêng ảo (VPN) Các giao thức VPN thông dụng VPN Client to Site VPN Site to Site Truy cập từ xa và các mối nguy hiểm • Truy cập từ xa (Remote Access) • Là các phương pháp cho phép người dùng truy cập từ xa vào các máy tính / dịch vụ trong mạng nội bộ. • Các ví dụ: • Remote Desktop: diều khiển máy tính từ xa • FTP: truy cập tập tin / thư mục từ xa • Các ứng dụng dạng Server – Client • Phương pháp truy cập từ xa: • Port Forwarding / NAT port / Open port: dùng giao thức ở tầng Transport (layer 4) • Routing: dùng các giao thức định tuyến mạng (layer 3). -4- Truy cập từ xa và các mối nguy hiểm • Port forwarding: • Gói Request nhận được tại Public IP của Router sẽ được chuyển tiếp vào Server trong mạng. • Phân loại gói Request bằng địa chỉ Port (UDP hoặc TCP). -5- Truy cập từ xa và các mối nguy hiểm • Nguy cơ của Port Forwarding: • Khi người dùng bên ngoài gởi yêu cầu về Router: dễ bị đánh cắp gói tin (sniffer) / cướp phiên (session hijacking)… • Lợi dụng các TCP port mở trên Router để tạo backdoor cho Trojan. -6- Giới thiệu Mạng riêng ảo (VPN) • VPN (Virtual Private Network) • VPN là hệ thống mạng riêng ảo kết nối giữa các máy tính dựa trên môi trường internet. • Trên đường truyền internet, VPN tạo ra một đường hầm (tunnel) để kết nối về mạng riêng của người dùng. • Có 2 dạng VPN: • VPN Client to Site. (Client to Gateway) • VPN Site to Site (Gateway to Gateway) -7- Giới thiệu Mạng riêng ảo (VPN) • Các giao thức VPN thông dụng: • PPTP (Point-to-Point Tunneling Protocol): tạo đường hầm kết nối giữa VPN Client và VPN Server. • L2TP (Layer 2 Tunneling Protocol): cải tiến từ PPTP, có sử dụng phương thức mã hóa IPSec (IP Security) • GRE (Generic Routing Encapsulation): Router nhận dạng kiểu đóng gói riêng để cho phép gói tin đi vào trong mạng. • IPSec VPN: tương tự GRE, gói tin nhận dạng được đóng gói có mã hóa IPSec. • DM-VPN (Dynamic Multipoint-VPN): cải tiến từ GRE, cho phép VPN đa điểm. • MPLS-VPN (Multi-Protocol Label Switching – VPN): ứng dụng công nghệ “chuyển mạch nhãn đa giao thức” để tạo VPN. -8- Giới thiệu Mạng riêng ảo (VPN) • Giao thức PPTP (Point-to-Point Tunneling Protocol) : • PPTP là giao thức tạo “đường hầm” (tunnel) kết nối giữa Client và Server dựa trên đường truyền internet. • PPTP phát sinh một interface ảo trên VPN Client và VPN Server • IP address của các VPN interface (ảo) phải cùng Network address. • Hoạt động của PPTP: • Client tạo cuộc gọi (dial-up) về Server (xác định Server bằng Public IP address hoặc Domain name). • Server tiếp nhận và yêu cầu chứng thực (Authentication). • Client gởi thông tin tài khoản: User (dạng Plan text) và password (dạng NTLM Hash) cho Server. • Server chứng thực thành công: • Gởi Key cho Client mã hóa dữ liệu khi trao đổi với Server => đó là tunnel. • Cấp IP address cho VPN Client interface. -9- Giới thiệu Mạng riêng ảo (VPN) • Ưu và nhược điểm của giao thức PPTP: • Ưu điểm: dữ liệu truyền được mã hóa thành kênh riêng => bảo mật thông tin trong quá trình truyền. • Nhược điểm: Thông tin chứng thực (user / password) gởi bằng plan-text => Attacker dễ dàng đánh cắp trên đường truyền. • Giao thức L2TP (Layer 2 Tunneling Protocol) • L2TP dùng giao thức IPSec (IP Security) để mã hóa thông tin mỗi khi Client trao đổi với Server. • Để mã hóa và giải mã, L2TP dùng phương thức Pre-shared key (PSK) để Client và Server thống nhất Khóa mã trước với nhau. • Các thông tin trao đổi (như user / password, dữ liệu…) được đóng gói theo IPSec và truyền đi trên đường hầm (tunnel) tương tự PPTP. - 10 - VPN Client-to-Site trên Firewall • Client-to-site VPN: • Dựa trên đường truyền internet, máy Client bên ngoài sẽ kết nối với mạng nội bộ (bên trong VPN Server) như là “mạng riêng”. • Khi thực hiện kết nối VPN thành công, một tunnel (đường hầm) sẽ được thiết lập để truyền dữ liệu giữa VPN Client và VPN Server. - 11 - VPN Client-to-Site trên Firewall • Client-to-site VPN: • Tunnel được xem như là đường mạng ảo, kết nối trực tiếp từ Client đến VPN Server. • VPN Server sẽ định tuyến (Routing) cho máy Client bên ngoài giao tiếp vào mạng nội bộ. • Mỗi đầu tunnel là 1 interface ảo, có IP address riêng. - 12 - VPN Client-to-Site trên Firewall • Các vấn đề cần quan tâm khi triển khai VPN: • Đối với VPN Server: • Loại tài khoản (account) cho người dùng ch ...