Bài giảng Phòng chống tấn công mạng: Chương 2 - Bùi Trọng Tùng

Bài giảng "Phòng chống tấn công mạng: Chương 2 - Mạng riêng ảo (VPN)" trình bày những nội dung chính sau đây: Giới thiệu chung về VPN; Các mô hình mạng riêng ảo; Giao thức VPN tầng 2; Giao thức VPN tầng 3; SSL VPN; Triển khai các giải pháp VPN. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng Phòng chống tấn công mạng: Chương 2 - Bùi Trọng Tùng BÀI 2. MẠNG RIÊNG ẢO (VPN) Bùi Trọng Tùng, Bộ môn Truyền thông và Mạng máy tính Viện CNTT-TT, Đại học BKHN 1 Nội dung• Giới thiệu chung về VPN• Các mô hình mạng riêng ảo• Giao thức VPN tầng 2• Giao thức VPN tầng 3• SSL VPN• Triển khai các giải pháp VPN 2 1 1. GIỚI THIỆU CHUNG VỀ VPN 3Đặt vấn đề• Nguy cơ mất an toàn thông tin trên mạng Internet • Nghe lén • Giả danh • Giả mạo• Giải pháp • Point-to-point link : lease line Hoặc • Mã hóa bảo mật AES... • Xác thực MAC  Virtual Private Network 4 2VPN là gì? • Kết nối trên mạng công cộng (Internet) được bảo đảm an toàn an ninh, với những chính sách như trong đóng vai trò như một cái Router VPN mạng riêng: bình thường cũng có thể đóng vai trò một • Virtual client gửi yêu cầu kết nối tới một • Private VPN mạng 2 Internet • Network • Mở rộng mạng Intranet trên Internet đường hầm Intranet là mạng riêng, cá nhân tổ chức giới hạn truy nhập sử dụng trong nội bộ VPN chia sẽ tt tài nguyên bảo mật quản lý kiểm soát 5Các thành phần của VPN• VPN gateway: cung cấp dịch vụ kết nối VPN cho các nút mạng• VPN client: điểm đầu cuối(PC, Smartphone, Gateway…) yêu cầu kết nối VPN• Đường hầm VPN đóng gói, mã hóa mọi dữ liệu• Giao thức VPN• Phân loại: • VPN phần cứng • VPN phần mềm 6 3Một số sản phẩm tiêu biểu• VPN phần cứng: • Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính năng router, switch), ASA 5500 series (tích hợp trong UTM) • F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050 • Citrix NetScaler MPX • Dell SonicWall• VPN phần mềm: • OpenVPN • FreeS/WAN • pfSense 7Hoạt động của VPN• Xác thực• Mã hóa• Đóng gói • Gói tin truyền trong liên kết VPN được đóng gói lại theo giao thức VPN • Tiêu đề mới được thêm vào sử dụng địa chỉ IP của VPN gateway • Các thông tin trong tiêu đề ban đầu được che giấu và đảm bảo tính toàn vẹn(địa chỉ, số hiệu cổng ứng dụng) 8 4 Hoạt động của VPN Database check authentication xác thực yêu cầu đi qua VPN router được mã hóa và đóng gói gói tin chưa được mã hóa được gửi từ user 9 Các chế độ kết nối bảo vệ playload = IPsec site-to-site Hạn chế: - Chỉ cho phép bảo vệ dữ liệu MT (duy nhất) mà k cho phép1• Transport mode Truyền tải bảo vệ tất cả các thiết bị trong mạng - Không an toàn cho tất cả các thiết bị trong mạng - Không phù hợp với mạng lớn • Trên từng cặp thiết bị đầu cuối - Bảo mật thấp hơn Tunnel mode vì chỉ có thể mã hóa 1 phần dữ liệu • Dữ liệu đóng gói trong VPN packet • Hạn chế ???2• Tunnel mode Đương hầm • Các thiết bị đầu cuối không tham gia vào VPN • Kết nối VPN thông qua các thiết bị trung gian • Ưu điểm??? Hạn chế: chi phí cao, tốc độ truyền tải chậm, ...