... cớ mà chuyên gia viễn thông nhận định: Mạngriêngảocôngnghệmạng WAN hệ mới” 1.1.2 Một số ví dụ Mạngriêng ảo: a) Ví dụ mô hình kết nối Mạngriêngảo Hình 1.1: Những người dùng di động, người ... thấy, yêu cầu ứng dụng côngnghệ mở rộng mạngmạngriêng ngày trở nên phức tạp tốn Với giải pháp mạngriêng ảo, chi phí tiết kiệm sử dụng sở hạ tầng mạng truyền số liệu côngcộng (ở Việt Nam, ... nối tới Intranet Công ty - Bảo mật giao dịch: Vì VPN dùng côngnghệ đường hầm để truyền liệu qua mạngcôngcộng không an toàn Dữ liệu truyền bảo mật mức độ định, Thêm vào đó, côngnghệ đường hầm...
... khả chứa địa IP riêng Hình 1.4 Mô tả chung VIPR Với côngnghệgiao thức không dựa IP FR, ATM, côngnghệ đường điện thoại riêng ảo( Virtual Private Trunking - VPT) sử dụng Côngnghệ VPT mô tả hình ... VPN sử dụng mạngcôngcộng kết nối đường dài, mạng trung gian dựa IP Internet dựa côngnghệmạng khác Frame Relay (FR), Asynchronous Transfer Mode (ATM) Kết VPN sử dụng tất kiểu côngnghệgiao ... truy cập vào mạng (uptime) Trong mạngriêngmạng Intranet, thời gian tương đối cao toàn sở hạ tầng mạng thuộc quyền sở hữu riêng kiểm soát đầy đủ tổ chức Tuy nhiên, VPN sử dụng mạng tương tác...
... gián đoạn QoS không đảm bảo 1.5.3 Mạngriêngảo mở rộng (Extranet VPN) Liên kết khách hàng, nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet tổ chức hạ tầng mạngcôngcộng sử dụng đường ... hay dial-up VPN) đến mạng Intranet hay Extranet tổ chức hạ tầng mạngcôngcộng Dịch vụ cho phép người dùng truy xuất tài nguyên mạngCông ty họ họ kết nối trực tiếp vào mạng Giống tên gọi nó, ... nhiên có số nhược điểm: + Vì liệu định đường hầm qua mạng chia côngcộng nên côngmạng như: từ chối dịch vụ đe doạ nghiêm trọng đến an ninh mạng + Khả gói liệu truyền cao + Đường truyền liệu...
... trội, Mạngriêngảo - ưu công nghệ, chi phí bảo mật” 1.6 Các côngnghệ sách an toàn Mạngriêngảo 1.6.1 Sự cần thiết sách an toàn Mạng Chính sách an toàn mạng có vai trò quan trọng việc bảo mật ... truy cập vào mạngCông ty? Những Client, đối tác, khách hàng cung cấp truy cập tới mạngCông ty? + Những kết nối tới mạng mở rộng, Client hay đối tác + Những truy cập Internet từ mạngCông ty? + ... di động bảo mật nào? Họ phải làm để truy cập an toàn tới mạngcông ty + Những thông tin mật cần bảo vệ? Có quy tắc lưu trữ loại thông hay không? 1.6.3 Chính sách an toàn Mạngriêngảo Trong sách...
... Chương Giao thức mạngriêngảo tẩng Trong chương thảo luận giao thức cho phép kết nối tầng 2, điển PPP định đường hầm qua mạng khác, điển mạng IP Điều giống phương pháp phức ... gồm bốn pha: Thoả thuận khởitạo liên kết; Xác định chuẩn liên kết; Thoả thuận giao thức tầng mạng Sau ta mô tả chi tiết bốn pha kiểm soát liên kết - Thoả thuận khởitạo liên kết: Trước việc ... đổi liệu dựa PPP Node nguồn đích cho phép, LCP phải khởitạo kết nối hai thực thể cuối thoả thuận tham số cấu hình LCP sử dụng Frame khởitạo liên kết cho chức Khi thực thể cuối phản hồi lại...
... Mặc dù dành cho mạng dựa IP, PPTP hỗ trợ giao thức mạng khác như: TCP/IP, IPX, NetBEUI, NetBIOS Vì vậy, PPTP chứng tỏ thành công việc triển khai VPN qua mạng LAN riêng qua mạngcôngcộng PPP đóng ... Ta thảo luận chi tiết vấn đề phần tiếp sau 2.2.1.1 Vai trò PPP giao dịch PPTP PPTP mở rộng logic PPP, PPTP không thay đổi côngnghệ PPP, định nghĩa cách vận chuyển lưu lượng PPP qua mạngcông ... cập PPTP Node mạng có hỗ trợ PPTP có khả bảo quản yêu cầu cho phiên VPN từ Node từ xa hay cục Để phản hồi yêu cầu từ xa, Server phải hỗ trợ khả định tuyến Một RAS hệ điều hành mạng khác có hỗ...
... thẩm quyền, hệ thống mạng) hệ thống mạngriêng Cơ quan thẩm quyền Internet Assigned Numbers (IANA) thiết lập khối địa IP không đăng ký để sử dụng mạngriêng Intranet hệ thống mạng không cho phép ... không mã hoá Và vậy, không đưa bảo vệ từ việc phát lại hay thử lặp công lỗi Một lỗ hỗng PAP khác thực thể truyền thông cuối xác thực lần khởitạo kết nối Vì vậy, kẻ công vượt qua lần lo lắng vấn ... PPTP Lọc gói PPTP cho phép Server PPTP mạngriêng chấp nhận định tuyến gói từ Client PPTP xác thực thành công Kết là, Client PPTP xác thực truy cập lại tới mạng từ xa xác định Trong cách này,...
... Gateway mạngriêng Điều đặc biệt hữu ích việc giảm chi phí người dùng Hình 2.11 mô tả đường hầm L2F 2.2.2.1 Tiến trình L2F Khi Client quay số từ xa khởitạo kết nối tới Host cục Intranet riêng ... hầm tới Gateway mạng đích tồn tại, đường hầm khởitạo Sau đường hầm thiết lập thành công, ID (MID) đa công phân phối tới kết nối Một thông điệp thông báo gửi tới Gateway máy chủ mạng Thông điệp ... Established Hình 2 .12 Thiết lập đường hầm L2F người dùng từ xa Server Các tiến trình sau thực tuần tự: Người dùng từ xa khởitạo kết nối PPP tới ISP họ Nếu người dùng từ xa phần mạng LAN, người...
... yêu cầu cho yêu cầu kết nối ảo từ LAC, thiết lập đường hầm xác thực người dùng khởitạo kết nối Nếu LNS chấp nhận yêu cầu kết nối, tạogiao diện ảo 2.2.3.2 Các tiến trình L2TP PPP Connection ISP's ... Linux,…) Bộ tập trung truy cập L2TP (LAC) Vai trò LAC côngnghệ đường hầm L2TP thiết lập đường hầm qua mạngcôngcộng (như PSTN, ISDN, Internet) tới LNS mạng chủ sau Trong khía cạnh này, LAC server điểm ... Exchange End User Authentication Hình 2.16 Mô tả trình thiết lập đường hầm L2TP Khi người dùng từ xa cần thiết lập đường hầm L2TP qua mạng Internet mạngcông cộng, bước sau: 1) Người dùng từ xa gửi...
... kết PPP thiết lập ISP người dùng từ xa 4) LAC khởitạo đường hầm L2TP tới LNS mạng chủ sau 5) Nếu kết nối chấp nhận LNS, Frame PPP trải qua việc tạo đường hầm L2TP 6) LNS chấp nhận Frame khôi ... kết nối PPP tới ISP thường dùng để hỗ trợ cho đường hầm L2TP riêng biệt Tuy nhiên ưu điểm bất lợi client từ xa, mạng chủ dễ dàng bị công Remote User ISP's Intranet Private Network Internet LAC ... thành công, chuyển tiếp Frame tới Node đích Intranet Tiến trình thiết lập đường hầm L2TP tự nguyện minh hoạ hình 2.22 Việc sử dụng L2TP VPN yêu cầu chi phí thấp nhiên bên cạnh nhiều vấn đề bảo mật...
... không mã hoá Và vậy, không đưa bảo vệ từ việc phát lại hay thử lặp công lỗi PAP có lỗ hỗng khác thực thể truyền thông cuối xác thực lần khởitạo kết nối Vì vậy, kẻ công vượt qua lần lo lắng vấn ... thực thành công, mật rõ trao đổi tiến trình Vấn đề khác thường tích hợp với PAP thực thể truyền thông cuối xác thực lần tiến trình trao đổi thông tin Vì CHAP xác thực nhiều lần phiên, tạo khó khăn ... Kerberos, DCE RACF 2.5.1.8 ID bảo mật ID bảo mật phát triển công ty Security Dynamic, dựa khả xác thực nhân tố Người dùng không yêu cầu Password để xác thực thành công mà mã PIN bí mật dạng số...
... gói tin - Tạo SN: Bộ đếm phía phát khởitạo giá trị SA thiết lập Khi truyền gói tin, đếm tăng lên chèn giá trị vào trường SN Nếu phía phát lựa chọn dịch vụ AntiReplay kiểm tra để đảm bảo không ... dài tuỳ ý SHA-1 tương tự MD5 an toàn kích thước băm lớn Xử lý gói đầu vào Quá trình xử lý gói đầu vào thực ngược với trình xử lý gói đầu - Ghép mảnh: Nếu cần thiết, tiến hành ghép mảnh trước xử ... không cần kiểm tra trường SN Nếu phía thu có sử dụng dịch vụ chống lặp cho SA đếm gói thu phải khởitạo = thiết lập SA Với gói tin vào phía thu tiếp nhận, kiểm tra có chứa số SN không lặp lại gói...
... (tấn công giả mạo) phân phối cho trình xử lý ESP Một nhược điểm khác địa gói IP gốc phải dùng để phân phối Điều vấn đề nới địa chi IP riêng dùng, nơi cấu trúc địa mạng bên cần dấu mạngcôngcộng ... nhiên, tiêu đề IP không bảo vệ Hình 3 .12 IPSec – chế độ Tunnel Chế độ Tunnel sử dụng Getway Như vậy, firewall chế độ Tunnel dùng cho luồng thông tin lưu chuyển qua firewall mạng an toàn qua đường ... mảnh: Nếu cần thiết phân mảnh thực sau xử lý ESP Xử lý gói tin đầu vào Quá trình xử lý gói đầu vào gồm bước ngược với trình xử lý gói tin đầu - Ghép mảnh: Ghép mảnh thực trước xử lý ESP Nếu gói...
... Có thủ thục tạo khoá xác thực danh tính - Tự động làm tươi khoá - Giải bải toán “khoá đầu tiên” - Mỗi giao thức bảo mật có không gian SPI riêng - Có tính bảo vệ xây dựng sẵn + Chống công từ chối ... khoá công khai dựa xác thực, họ cần trao đổi ID họ Sau trao đổi thông tin cần thiết, hai tạo khoá họ việc dùng khoá mật chia Theo cách thông thương, khoá mật mã tạo mà trao đổi thực qua mạng ... SA qua tầng vận tải “không đảm bảo” - Sử dụng hiệu tài nguyên - Cung cấp khả tạo yêu cầu host phiên SA Giao thức IKE thiết kế để đáp ứng yêu cầu Nó dựa liên kết bảo mật Internet cấu trúc giao thức...
... dịch vụ bảo mật IPSEc Hơn nữa, Quick Mode tạo khoá cần thiết Nếu sách bảo mật chuyển tiếp đầy đủ thảo luận trước pha I, trình trao đổi khoá Diffie-Hellman khởitạo Trường hợp khác, khoá tạo việc ... thuận tham số bảo mật IPSec, tập chuyển đổi IPSec (IPsec Transform Sets) để bảo vệ đường hầm IPSec - Thiết lập thoả thuận bảo mật IPSec SA - Định kỳ thoả thuận lại IPSec SA để đảm bảo tính an toàn ... ký không xác thực thành công Chế độ truyền tin dùng để thông báo tới bên khác 3.3 Quá trình hoạt động IPSec Quá trình hoạt động IPSec thực sau: - Ban đầu lưu lượng cần bảo vệ cho IPSec, IKE Phase1...