Embed Size (px)
Citation preview
1
BÀI 2.
MẠNG RIÊNG ẢO (VPN)
Bùi Trọng Tùng,
Bộ môn Truyền thông và Mạng máy tính
Viện CNTT-TT, Đại học BKHN
1
Nội dung
• Giới thiệu chung về VPN
• Các mô hình mạng riêng ảo
• Giao thức VPN tầng 2
• Giao thức VPN tầng 3
• SSL VPN
• Triển khai các giải pháp VPN
2
2
1. GIỚI THIỆU CHUNG VỀ VPN
3
Đặt vấn đề
• Nguy cơ mất an toàn thông tin trên mạng Internet• Nghe lén
• Giả danh
• Giả mạo
• Giải pháp• Point-to-point link : lease line
Hoặc
• Mã hóa bảo mật
• Xác thực
Virtual Private Network
4
3
VPN là gì?• Kết nối trên mạng công cộng
(Internet) được bảo đảm an toàn an ninh, với những chính sách như trong mạng riêng:• Virtual
• Private
• Network
• Mở rộng mạng Intranet trên Internet
VPN
VPN
Internet
5
Các thành phần của VPN
• VPN gateway: cung cấp dịch vụ kết nối VPN cho các nút mạng
• VPN client: điểm đầu cuối(PC, Smartphone, Gateway…) yêu cầu kết nối VPN
• Đường hầm VPN
• Giao thức VPN
• Phân loại:• VPN phần cứng
• VPN phần mềm
6
4
Một số sản phẩm tiêu biểu
• VPN phần cứng:• Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính năng
router, switch), ASA 5500 series (tích hợp trong UTM)
• F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050
• Citrix NetScaler MPX
• Dell SonicWall
• VPN phần mềm:• OpenVPN
• FreeS/WAN
• pfSense
7
Hoạt động của VPN
• Xác thực
• Mã hóa
• Đóng gói• Gói tin truyền trong liên kết VPN được đóng gói lại theo giao thức
VPN
• Tiêu đề mới được thêm vào sử dụng địa chỉ IP của VPN gateway
• Các thông tin trong tiêu đề ban đầu được che giấu và đảm bảo tính toàn vẹn(địa chỉ, số hiệu cổng ứng dụng)
8
5
Hoạt động của VPN
9
Các chế độ kết nối
• Transport mode• Trên từng cặp thiết bị đầu cuối
• Dữ liệu đóng gói trong VPN packet
• Hạn chế ???
• Tunnel mode• Các thiết bị đầu cuối không tham gia vào VPN
• Kết nối VPN thông qua các thiết bị trung gian
• Ưu điểm???
10
6
Đường hầm VPN(VPN Tunneling)
11
Các mô hình mạng riêng ảo
• Mô hình truy cập từ xa(client-to-site)
12
7
Các mô hình mạng riêng ảo• Mô hình site-to-site
Intranet dựa trên VPNIntranet dựa trên WAN13
Các mô hình mạng riêng ảo• Mô hình site-to-site (tiếp)
Extranet dựa trên VPNExtranet dựa trên WAN14
8
VPN topology
• VPN topology: cách thức kết nối các thiết bị VPN gateway
• Thường phù hợp với topology của hạ tầng mạng
• VPN dạng lưới(mesh)• Mỗi điểm thiết bị VPN
được kết nối với nhiều hoặc tất cả các thiết bị VPN khác
• Khó mở rộng
15
VPN topology – Dạng sao
• Hub-and-spoke
• Sử dụng một thiết bị VPN đóng vai trò tập trung kết nối
• Ưu điểm:• Triển khai đơn giản
• Dễ mở rộng
16
9
VPN topology – Dạng lai
• Sử dụng cho các hệ thống lớn, phức tạp
• Phần mạng lõi trung tâm sử dụng dạng lưới
• Các mạng nhánh kết nối tới trung tâm theo dạng sao
17
VPN đơn điểm kết nối
• Sử dụng cho mạng cỡ nhỏ, nhu cầu kết nối VPN ít
• Tất cả lưu lượng đi qua VPN gateway
• VPN gateway nằm trong VPN domain
18
10
VPN đa điểm kết nối
• Dùng cho mạng lớn, nhu cầu kết nối VPN cao
• Có thể sử dụng nhiều VPN gateway
• VPN gateway nằm ngoài VPN domain
19
2. CÁC GIAO THỨC VPN
20
11
2.1 CÁC GIAO THỨC VPN TẦNG 2
21
PPTP• Point-to-Point Tunneling Protocol (RFC 2637)
• Mở rộng của Point-to-Point Protocol (PPP)
• Client/Server : 2 kết nối Kết nối điều khiển : TCP, cổng 1723
Kết nối đường hầm: Generic Routing Encapsulation
PPP PPTP22
12
PPTP (tiếp)
• Các thành phần của PPTP: PPTP Client
PPTP Server
NAS
• Thiết lập kết nối PPTP1. Thiết lập liên kết: LCP (Link Control Protocol)
2. Xác thực người dùng: PAP – Password Authentication Protocol
CHAP - Challenge Handshake Authentication Protocol
MS-CHAPv1
MS-CHAPv2
3. NAS ngắt và thiết lập lại kết nối
4. Thỏa thuận giao thức
23
PPTP Tunnel Packet
RC4 encryptionKeysize : 40 or 128 bits
24
13
L2F
• Layer 2 Forwarding Protocol
• Thiết lập đường hầm L2F
• Bảo mật• MPPE
• IPSec
• Xác thực :
CHAP, EAP
Request Accepted/Rejected
PPP Connection Request
NAS
Internet
RemoteUser ServerHost
Network Gateway
ISP'sIntranet Private Network
1
2
UserAuthentication(PAP, CHAP)
3
Tunnel EstablishmentAllocated
L2F Tunnel Initiation4
5
Connection RequestAccepted/
Rejected
6a
Tunnel Established Notification6b
UserAuthentication
7a
Tunnel Established7b 25
Đường hầm L2F
26
14
L2TP
• Layer 2 Tunnelling Protocol (RFCs 2661 and 3438)
• Kết hợp L2F và PPTP
• Sử dụng UDP để đóng gói dữ liệu (Port 1701)
• Có thể sử dụng thêm IPSec trong chế độ transport mode
• Thiết lập đường hầm L2TP : 2 bước Thiết lập kết nối để trao đổi thông điệp điều khiển tạo đường
hầm
Thiết lập phiên trao đổi dữ liệu qua đường hầm
27
Thiết lập đường hầm L2TP
InternetRemote
User NAS
Connection Accepted
4
Data Exchange
LAC
AuthenticationRequest
2a
2b
Connection Accepted/Rejected
3
Connection Forwarded
to LAC
Connection Establishment
Notifiaction Message(CID+Authentication
Information)5
End UserAuthentication
6
PPP ConnectionISP's Intranet Private network
1
ConnectionRequest
LNS
28
15
Đóng gói dữ liệu
29
Các kiểu đường hầm L2TP
• Tự nguyện(Voluntary) : máy trạm người dùng và L2TP server là 2 điểm đầu cuối, trực tiếp thiết lập đường hầm
Authenticationthe User
Connection Request
LAC
ISP's Intranet
1a LNS
Private NetworkRemote User
4a
4b
Internet
ConnectionRequest 1b
ConnectionAccepted/Rejected
L2TP Frames 2
Strips TunnelingInformation
3
Frames to theDestination Node 30
16
Các kiểu đường hầm L2TP
• Cưỡng bức(Compulsory) :• L2TP Access Concentrator (LAC) : khởi tạo thiết lập
• L2TP Network Server (LNS)
Connec tionEstablished
PPP Connection Request
Rem oteUser
ISP's Intranet
1
3 In itia tion of L2F T unnel
4
5
6
8
LNSLACNAS
Private Network
PPP C onnection
AuthenticationRequest
2
Connec tion E stablishe d
L2T P T unnel Fram e s
T o DestinationNode
Authenticationthe Rem ote User
7
Internet
31
So sánh các giao thức VPN tầng 2
Đặc điểm PPTP L2F L2TP
Hỗ trợ nhiều giao thức Yes Yes Yes
Hỗ trợ nhiều liên kết PPP
No Yes Yes
Hỗ trợ nhiều kết nối trên đường hầm
No Yes Yes
Các chế độ đường hầm được hỗ trợ
Voluntary Voluntary & Compulsory Voluntary & Compulsory
Giao thức đóng gói IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, IP/ATM
Giao thức kiểm soát TCP, Port: 1723
UDP, Port: 1701 UDP, Port: 1701
Các cơ chế xác thực MS-CHAP, PAP
CHAP, PAP, SPAP, EAP, IPSec, RADIUS RADIUS & & TACACS
CHAP, PAP, SPAP, EAP, IPSec, TACACS
Các cơ chế mã hoá MPPE MPPE, IPSec MPPE, IPSec, ECP
32
17
2.2. IPSEC
33
Giới thiệu chung
• Bộ giao thức (RFC 4301 và >30 RFC khác )
• Các dịch vụ:
• Bảo mật: DES, 3DES, AES
• Xác thực: HMAC MD-5, HMAC SHA-1
• Chống tấn công phát lại
• Xác thực các bên
• Kiểm soát truy cập
• Giao thức đóng gói dữ liệu :
• AH : Xác thực thông điệp
• ESP : Bảo mật và xác thực thông điệp
34
18
Hệ thống tài liệu đặc tả của IPSec
Domain of Interpretation
35
Giao kết bảo mật (security association)
• Chứa tham số để hình thành liên kết bảo mật giữa các bên.
• Có tính 1 chiều
• Xác định bởi 3 tham số:• SPI (Sercurity Parameter Index):32 bit
• Địa chỉ IP đích
• Định danh của giao thức bảo mật (Security Protocol Identifier)
• Security Policy Database (SPD)
• Selector : nhóm thông tin (IP, Port, UserID…) để tham chiếu tới 1 mục trên SPD
36
19
Tiến trình trao đổi dữ liệu qua IPSec VPN
1. Một trong 2 bên khởi tạo
2. Thiết lập kết nối điều khiển: ISAKMP/IKE Phase 1: Các chính sách trao đổi khóa
Diffie-Hellman
Xác thực thiết bị và xác thực người dùng
3. ISAKMP/IKE Phase 2 : thỏa thuận các tham số thiết lập kết nối bảo mật để truyền dữ liệu
4. Trao đổi dữ liệu
5. Làm mới các kết nối nếu quá thời gian quy định cho 1 phiên
37
ISAKMP/IKE Phase 1
• Internet Security Associate and Key Management Protocol : khuôn dạng gói tin, giao thức trao đổi khóa, thỏa thuận SA để thiết lập kết nối.
• Internet Key Exchange : tạo, chia sẻ, quản lý khóa.
• ISAKMP/IKE Phase 1:• Thỏa thuận SA
• Trao đổi khóa bằng Diffie-Hellman
• Xác thực lẫn nhau trước khi tiến hành ISAKMP/IKE Phase 2
• 2 chế độ : main và aggressive
38
20
Các chế độ trong ISAKMP/IKE Phase 1
• Main mode
• Aggressive
mode
39
ISAKMP/IKE Phase 1 : Thỏa thuận SA
40
21
ISAKMP/IKE Phase 1 : Remote-access
• Xác thực người dùng bằng XAUTH (RFC Draft)
• Áp dụng chính sách nhóm cho người dùng (IKE Mode/Client Config)
• Trao đổi thông tin định tuyến
41
Gán địa chỉ cho client
42
22
ISAKMP/IKE Phase 2
• Sử dụng 1 trong 2 giao thức đóng gói:• AH : Authentication Header (RFC 2420)
• ESP : Encapsulating Security Payloads (RFC 2406)
43
Đóng gói dữ liệu theo giao thức ESP
44
23
Đóng gói dữ liệu theo giao thức ESP
45
Đóng gói dữ liệu theo giao thức AH
46
24
Đóng gói dữ liệu theo giao thức AH
47
Các chế độ kết nốiTransport Mode Tunnel Mode
AH Xác thực cho phần dữ liệucủa gói tin IP và một phầnIP header
Xác thực toàn bộ góitin IP ban đầu và mộtphần tiêu đề gói tinIPSec
ESP Mã hóa phần dữ liệu củagói tin IP và phần tiêu đềIPv6 mở rộng
Mã hóa toàn bộ gói tinIP ban đầu
ESP có xác thực Mã hóa phần dữ liệu cùagói tin IP và phần tiêu đềIPv6 mở rộngXác thực phần dữ liệutrong gói tin IP
Mã hóa và xác thựctoàn bộ gói tin IP banđầu
48
25
Xử lý gói tin trong IPSec
• Gói tin outbound• Kiểm tra policy trong SPDB: discard, bypass, apply
• Thiết lập SA giữa các bên(nếu cần)
• Áp dụng các dịch vụ của IPSec lên dữ liệu theo SA đã thiết lập
• Nếu sử dụng nhiều SA bắt buộc phải tuân theo thứ tự
• Gói tin inbound• Nếu không chứa IPSec header : kiểm tra policy trong SPD discard, bypass, apply
• Nếu chứa IPSec header : <SPI, Dst. IP, Protocol>, Src. IP để tìm kiếm SA trong SADB
• Kiểm tra policy xử lý phần dữ liệu tầng trên
• Chuyển lên cho tầng trên xử lý tiếp
49
Xử lý gói tin trong IPSec(ví dụ)
• A-RB:ESP
• A-B: AH
50
26
2.3. SSL VPN
51
SSL VPN
• Giải pháp VPN sử dụng giao thức SSL/TLS
• Các chức năng của SSL VPN gateway:• Proxy
• Application Translation: khi SSL VPN gateway chỉ hỗ trợ Web proxy, chức năng này thực hiện chuyển đổi dữ liệu của các dạng ứng dụng khác sang dạng Web
• Network Extension: cung cấp kết nối SSL VPN tương tự IPSec VPN:
• Chế độ đầy đủ(full tunneling): dữ liệu của mọi ứng dụng được gửi qua kết nối SSL VPN
• Chế độ đơn lẻ(split tunneling): chỉ có dữ liệu của ứng dụng chỉ định được gửi qua kết nối SSL VPN
52
27
SSL VPN
53
SSL VPN vs IPSec VPN
• Ưu điểm:• Triển khai đơn giản
• Linh hoạt
• Hỗ trợ cơ chế AAA(Authentication-Authorization-Auditing) cho ứng dụng
• Dễ dàng tương thích với các giải pháp khác như NAT, firewall
• Hạn chế:• Không phù hợp cho mô hình site-to-site
54
28
5. TRIỂN KHAI VPN
55
Các giai đoạn triển khai VPN1. Xác định yêu cầu:
• Liên kết cần bảo vệ
• Các thành phần của liên kết
• Sử dụng giải pháp VPN ở tầng nào
2. Thiết kế
2.1. Mô hình và kiến trúc triển khai:• Vị trí của VPN gateway trong mạng
• Các thông số cấu hình TCP/IP: địa chỉ, gateway, DNS server…
• Kết nối VPN đơn lẻ được chấp nhận
• Phần mềm VPN Client
2.2. Mã hóa:• Lựa chọn thuật toán mã mật và xác thực toàn vẹn
• Kích thước khóa
56
29
Thiết kế
2.3. Xác thực• Lựa chọn phương pháp xác thực tài khoản truy cập
• Lựa chọn giải pháp quản lý người dùng, quản lý khóa
2.4. Các vấn đề khác:• IPSec: Vòng đời của IKE và IPSec SA, chế độ hoạt động của IKE,
tham số của Diffie-Hellman
• Sao lưu, dự phòng
• Quy trình phản ứng sự cố
57
Các giai đoạn triển khai VPN
3. Triển khai và đánh giá trên môi trường thử nghiệm• Kết nối VPN
• Kiểm soát lưu lượng
• Xác thực người dùng
• Tương thích với hệ thống
• Quản trị: tính dễ sử dụng với người dùng, thông số TCP/IP, chính sách mạng…
• Log
• Hiệu năng
4. Triển khai
5. Vận hành và quản trị
58
30
Kiến trúc triển khai VPN
• Triển khai trên firewall
59
Kiến trúc triển khai VPN
Triển khai trên firewall:
• Ưu điểm:• Thiết kế và triển khai dễ dàng
• Dễ dàng tương thích ngay với cơ chế hoạt động của firewall
• Giữ nguyên chính sách của firewall áp dụng lên lưu lượng mạng
• Nhược điểm:• Phục thuộc vào tính năng hỗ trợ VPN của firewall
• Firewall phải mở cổng dịch vụ VPN(IPSec: 500, 4500; SSL: 443)
60
31
Kiến trúc triển khai VPN
• Triển khai trước firewall
61
Kiến trúc triển khai VPN
Triển khai trước firewall:
• Ưu điểm: kiểm soát được hoàn toàn lưu lượng
• Nhược điểm:• VPN Gateway không được bảo vệ
• Dữ liệu có thể bị nghe lén trên phân vùng DMZ nếu không cấu hình firewall một cách đúng đắn
62
32
Kiến trúc triển khai VPNTriển khai bên trong vùng mạng riêng(sau firewall)
63
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng riêng(sau firewall)
• Cấu hình firewall cho phép kết nối từ bên ngoài tới cổng dịch vụ trên VPN gateway
• Nên đặt thêm 1 firewall kiểm soát luồng dữ liệu từ VPN gateway tới phần còn lại của mạng riêng
• Ưu điểm:• Không phụ thuộc vào các sản phẩm firewall
• Không cần mở cổng dịch vụ trên firewall
• Nhược điểm:• Các chính sách trên filewall không thể áp dụng với lưu lượng VPN phát sinh nguy cơ nếu lưu lượng trên kết nối VPN là lưu lượng tấn công
64
33
Kiến trúc triển khai VPNTriển khai bên trong vùng mạng riêng: mô hình khác
65
Kiến trúc triển khai VPN
• Triển khai bên trong vùng mạng DMZ(sau firewall)
66
34
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng DMZ(sau firewall)
• Cấu hình firewall cho phép kết nối từ bên ngoài tới cổng dịch vụ trên VPN gateway
• Cấu hình firewall kiểm soát dữ liệu tới các cổng ứng dụng khác đối với các lưu lượng từ VPN gateway tới vùng mạng bên trong
• Nên đặt thêm firewall để cách ly VPN gateway và vùng mạng riêng, hoặc
• Thiết lập phân vùng mạng DMZ riêng cho VPN gateway
67
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng DMZ(sau firewall)
• Ưu điểm:• Khi VPN gateway bị chiếm quyền điều khiển, vẫn kiểm soát được
các truy cập tới vùng mạng bên trong giải pháp tốt nhất có thể giảm thiểu nguy cơ khi bị mất quyền điều khiển trên VPN gateway
• Giữ nguyên chính sách của firewall áp dụng lên lưu lượng mạng tới vùng mạng riêng
• Nhược điểm:• Không ngăn chặn được tấn công ARP hoặc nghe lén do lưu lượng
mạng tới mạng riêng được truyền trên hạ tầng vùng DMZ
• Nếu cung cấp kết nối VPN ở chế độ đầy đủ, không ngăn chặn được các tấn công bên trong phân vùng DMZ do không áp đặt được chính sách với các lưu lượng mạng vào vùng DMZ
68
35
Kiến trúc triển khai VPN• Triển khai trong vùng mạng DMZ, sử dụng 2 giao tiếp mạng
69
Kiến trúc triển khai VPN
Triển khai bên trong vùng mạng DMZ, sử dụng 2 giao tiếp trên VPN gateway
• Giao tiếp mạng bên ngoài: kết nối với mạng DMZ, cung cấp kết nối SSL VPN cho người dùng từ xa
• Giao tiếp mạng bên trong: kết nối với firewall. Mọi lưu lượng giữa VPN gateway và mạng bên trong phải qua giao tiếp này có thể kiểm soát các lưu lượng tấn công
• Hạn chế:• Cấu hình định tuyến cho mạng trở nên phức tạp hơn
• Nếu cung cấp kết nối VPN ở chế độ đầy đủ, không ngăn chặn được các tấn công bên trong phân vùng DMZ do không áp đặt được chính sách với các lưu lượng mạng vào vùng DMZ
70
36
Vấn đề định tuyến với VPN
• Client sử dụng địa chỉ ảo khi truy cập tới các nút mạng trong vùng mạng riêng:• Phải cấu hình định tuyến để nút mạng trong vùng mạng riêng gửi
dữ liệu trả lời tới VPN gateway
• Tại sao không nên dùng NAT?
• Giải pháp triển khai VPN bên trong vùng mạng DMZ, sử dụng 2 giao tiếp mạng:• Cấu hình định tuyến tĩnh trên VPN server
71
CASE STUDY 1: TRIỂN KHAI IPSEC VPN THEO MÔ HÌNH SITE-TO-SITE
72
37
Mô tả bài toán
73
Lựa chọn giải pháp
• Leased line:• Chi phí đắt
• Cần kết hợp với các giải pháp VPN tầng 2
• IPSec VPN:• Client-to-site
• Site-to-site
• SSL VPN: sử dụng ứng dụng trên nền tảng Web
• SSL VPN: sử dụng proxy
74
38
Thiết kế giải pháp
• Xác thực giữa 2 VPN gateway(router): pre-shared key
• Thuật toán mã mật và xác thực cho dữ liệu: AES-128, HMAC-SHA-1
• Lọc gói: xác định những luồng dữ liệu từ văn phòng chi nhánh tới văn phòng chính không cần bảo vệ:• Phụ thuộc vào các dịch vụ tại văn phòng chính cho phép kết nối từ
mạng công cộng
• Lưu ý trong khâu kiểm thử, thực hiện kiểm thử lần lượt: Không có bộ lọc Thêm bộ lọc cho từng luồng
75
Triển khai thử nghiệm
Trong trường hợp mạng không có môi trường thử nghiệm chuyên biệt, có thể thực hiện giai đoạn này vào thời gian ngoài giờ làm việc.
• B1: Kiểm tra lại trạng thái bảo mật của các router
• B2: Sao lưu cấu hình hiện tại của các router
• B3: Kiểm tra tính năng hỗ trợ IPSec VPN trên các router
• B4: Cấu hình cơ chế xác thực trên router(định nghĩa SA)
76
(config)# crypto isakmp policy priority(config-isakmp)# encryption {des | 3des | aes | aes-192 | aes-256}(config-isakmp)# hash {sha | md5}(config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share}(config-isakmp)# group {1 | 2 | 5 | 7}(config)# crypto isakmp key {0 | 6} keystring address peer_address [subnet_mask] [no-xauth]
39
Triển khai thử nghiệm
• B5: Cấu hình chế độ IPSec và thuật toán mật mã
• B6: Định nghĩa bộ lọc
• B7: Kết nối các cấu hình của bước 4, 5, 6
77
(config)# crypto ipsec transform-set transform_set_name crypto_set auth_set
(config)# access-list ACL_number permit ip sourceIP source_wild_card destIP dest_wild_card
(config)# crypto map map_name seq_# ipsec-isakmp(config-crypto-m)# match address ACL_number(config-crypto-m)# set peer peer_address(config-crypto-m)# set transform-set transform_set_name
Triển khai thử nghiệm
• B8: Thiết lập cấu hình IPSec cho cổng kết nối mạng
• B9: Kiểm tra cấu hình
• B10: Kiểm thử
78
(config)# interface interfaceID(config-if)# crypto map map_name
# show crypto isakmp sa [detail]# show crypto isakmp policy# show crypto map# show crypto ipsec sa# debug crypto isakmp# debug crypto ipsec# debug crypto engine
40
CASE STUDY 2: TRIỂN KHAI SSL VPN THEO MÔ HÌNH CLIENT-TO-SITE
79
Mô tả bài toán• Một công ty có số lượng lớn nhân viên làm việc ở bên
ngoài với công việc thu thập số liệu thị trường bán lẻ. Những nhân viên này thường xuyên phải kết nối tới mạng nội bộ của công ty để chia sẻ số liệu, sử dụng hệ thống phân tích số liệu, cập nhật tiến độ công việc, lịch công tác…
• Hệ thống mạng của công ty đã triển khai giải pháp IPSec VPN theo mô hình truy cập từ xa. Mỗi nhân viên được công ty cấp máy tính cá nhân có phần mềm VPN client
• Tuy nhiên, trong một số trường hợp, vì lý do bất khả kháng, nhân viên không thể sử dụng máy tính của công ty. Khi đó, anh ta muốn sử dụng các máy tính khác để thay thế.
80
41
Yêu cầu
• Tất cả nhân viên nghiên cứu thị trường có thể truy cập vào toàn bộ tài nguyên trong mạng nội bộ nếu sử dụng máy tính của công ty đã cấp phát
• Nếu nhân viên sử dụng máy tính khác, anh ta chỉ được phép truy cập giới hạn vào một số dịch vụ trong mạng nội bộ
• Một bộ phận nhân viên phòng Nhân sự khi đi công tác cũng có thể truy cập vào mạng nội bộ của công ty, nhưng chỉ được sử dụng ứng dụng Quản lý hồ sơ nhân viên của công ty.
81
Thiết kế giải pháp
Chính sách truy cập
• Liệt kê và phân nhóm các tài nguyên trong mạng nội bộ có thể truy cập qua SSL VPN:
• Liệt kê nhóm người dùng
• Liệt kê điều kiện để có thể truy cập vào tài nguyên trong mạng nội bộ• Điều kiện chung: máy tính truy cập SSL VPN phải cập nhật phiên
bản HĐH mới nhất, cài đặt phần mềm firewall, anti-virus
• Người dùng sử dụng máy tính của công ty cấp?
• Người dùng sử dụng máy tính khác?
• Người dùng là nhân viên phòng Nhân sự?
82
42
Thiết kế giải pháp
• Cách thức truy cập:• Từ máy tính của công ty cấp
• Từ máy tính khác
• Từ máy tính của nhân viên phòng nhân sự
• Cách thức xác thực: sử dụng RADIUS server
83
Tổng kếtƯu điểm Nhược điểm
PPTP • Hỗ trợ các giao thức non-IP • Phải cài đặt và cấu hình phần mềm VPN client
• Thuật toán mã hóa yếu• Không có giao thức xác
thực mạnh• Chỉ hỗ trợ 1 phiên trên
mỗi kết nối VPN
L2TP • Hỗ trợ các giao thức non-IP• Hỗ trợ nhiều phiên trên mỗi
kết nối VPN• Hỗ trợ RADIUS server• Có thể kết hợp cùng IPSec
để cung cấp các dịch vụ mã mật và quản lý khóa
• Phải cài đặt và cấu hình phần mềm VPN client
84
43
Tổng kếtƯu điểm Nhược điểm
L2F • Hỗ trợ các giao thức non-IP• Trong suốt với client• Hỗ trợ RADIUS server
• Yêu cầu sự phối hợp của các ISP
• Không bảo vệ dữ liệu từ client tới ISP
• Không có cơ chế bảo mật riêng
IPSec • Được hỗ trợ bởi HĐH• Cơ chế mật mã mạnh• Hỗ trợ các giao thức xác
thực khác nhau• Trong suốt với người dùng
nếu sử dụng mô hình site-to-site
• Chỉ hỗ trợ giao thức IP• Phải cài đặt và cấu hình
VPN client• Không bảo vệ dữ liệu từ
client tới VPN gateway trong mô hình site-to-site
85
Tổng kết
Ưu điểm Nhược điểm
SSL • Hỗ trợ trên trình duyệt Web• Cơ chế mật mã mạnh• Cung cấp cơ chế xác thực
đa lớp• Trong suốt với client• Hỗ trợ kiểm soát truy cập
• Chỉ bảo vệ dữ liệu trên liên kết TCP
• Hạn chế khi triển khai mô hình site-to-site
86
