Friday, May 14, 2010

VPN - Part 1

VPN note:
1.1 Defination:
Virtual private networks (VPNs) based on the Internet instead of the traditional leased lines offer organizations of all sizes the promise of a low-cost, secure electronic network. However, using the Internet to carry sensitive information can present serious privacy and security problems.
A VPN enables you to send data between two devices across a share network or public network in a manner that emulates the properties of a point-to-point private link.

Định nghĩa đầu trong cuốn VPN Illustrated, cái thứ hai là của Microsoft,. Nhìn chung là khá giống nhau, chỉ khác cái cách triển khai.
Hiểu một cách đơn giản, VPN là mạng riêng ảo. Có nghĩa là, nó sẽ tạo một mạng ảo tới đầu kia. Kết nối loại này, được gọi là point-to-point. Tất nhiên là nó không như Frame-Relay, có hẳn 1 link tới đích ( dù pải qua trung gian, nhưng vẫn được tiếng), VPN sẽ tận dụng đường truyền mạng sẵn có, thường là internet, lập kết nối trên đó. Kết nối đó được gọi là tunnel. Tunnel này là một đường ống đã được bảo mật, đảm bảo cho dữ liệu được an toàn ( tất nhiên như thế nào là an toàn sẽ xem xét sau).
Câu hỏi đặt ra là, VPN hơn gì leasedline. VPN rẻ hơn leased line, vì nó tận dụng được đường truyền sẵn có. Thứ hai, VPN linh họat hơn, cần thì dùng, không cần thì ngắt. Hơn nữa, có thể sử dụng VPN như một đích bt trong mạng. Thứ 3, an toàn hơn, vì chỉ có đầu cuối là hiểu được nhau.
1.2 Compoment:
1.2.1 Các thành phần tạo nên VPN: 4 cái, nhớ mãi:
        Data Authentication.
        Address Management
        Data Encrypttion
        Key Managerment.
1.2.2 Các loại giao thức VPN dùng để tạo tunnel:
        L2TP
        PPTP (M$)
        IpSec
        Cisco GRE ( Ci$co)
        SSL/TSL ( cái này mới ah` nha)
Note về SSL: Trước đây, IpSec là giao thức ( thực ra là bộ giao thức) duy nhất để tạo site-to-site VPN. Tuy nhiên, SSL đã thay đổi. Bắt đầu với việc "secure specific protocols" như http, SSL tiến tới mã hóa bất kỳ application nào và encrypt bất kỳ TCP/UDP connect nào.
2.1 VPN connection
2.2.1 Quá trình tạo 1 kết nối:
        a VPN client tạo kết nối đến VPN qua kết nối thực ( internet)
        b VPN server trả lời kết nối
        c Tiến hành chứng thực ( authentication), cho phép kết nối ( authorization)
        d Tiến hành trao đổi dữ liệu, gửi abc, nhận xyz
2.2.2 Phân loại VPN
2.2.2.1 Remote Access over Internet: Được biết đến với tên khác là Client to site.
        Người dùng ở xa sẽ dùng phần mềm VPN Client để truy cập vào mạng nội bộ của công ty, thông qua 1 gateway ( ở đây là server), họat động theo mô hình client-server, nên có tên như vậy.
2.2.2.2 Site to Site VPN: 1 mạng tại vị trí này sẽ được kết nối đến 1 mạng khác thông qua kết nối VPN. Mỗi site sẽ có một gateway để nói chuyện với nhau. Việc chứg thực do người sử dụng đảm nhiệm.
        Phân loại:
        a. Intranet VPN
        b. Extranet VPN
        2 cái này gần như nhau. Intranet là nội bộ, hệ thống của bạn được thiết kế cho mạng nội bộ của công ty, được site to site với nhau, có thể qua đường truyền riêng hoặc Internet bình thường.
        Extranet mở rộng ra, đó là cho phép cả các partner của công ty bạn cũng có thể kết nối vào. Tuy nhiên, do đó mà các policy áp đặt có thể khác nhau.
3. VPN protocols
3.1 PPTP Point to point Tunel Protocol
    PPTP đóng gói PPP Frame trong IP datagram để chuyển qua Internet. PPTP sử dụng TCP.
    Sử dụng GRE ( Generic Routing Encapsulation) để đóng gói PPP Frame
                                                                   | Encrypted     |
    | IP Header | GRE Header | PPP Header | PPP Payload |
                                             | PPP Frame                         |
    Note: PPP payload, chính là IPdatagram ban đầu:  
                | PPP Payload                 |
                |IP | Payload               |
3.2 L2TP
    Là sự kết hợp của Cisco L2F ( layer2 Forwarding) và PPTP ( Microsoft Point to point Tunnel Protocol).
    Không cung cấp mã hóa.
    Hỗ trợ tốt dial-up, adsl, cùng các kết nối mạng từ xa
    L2TP đóng gói PPP Frame để gửi đi. L2TP sử dụng UDP
    |IP Header | UDP Header | L2TP Header | PPP Header | PPP Payload |
                                                                    | PPP Frame                         |
                                             | L2TP Frame                                              |
                      | UDP Message                                                                  |
    Hiện tại, khi triển khai L2TP, Microsoft sử dụng ESP ( Encapsulation Security Payload để mã hóa L2TP
    Ban đầu:
                     |IP Header | UDP Header | L2TP Header | PPP Header | PPP Payload |
    Mã hóa:
    |IP Header| IPSec ESP Header| UDP Header | L2TP Header | PPP Header | PPP Payload | IPSec ESP Trailer | IPSec Auth Trailer |
3.3 GRE
    Được Cisco triển khai, hỗ trợ IP, IPX, Apple Talk
    Sử dụng để Routing over VPN
3.4 IpSec
To be continuted
-------------------------------
Cám ơn bạn  Đức đã cho mượn sách. :|
------------------------------
Thanks for reading
--------------------------------------------------------------------------
All my Lab:
Linux Lab -- window and Cisco Lab
to be continued - I will update more.

No comments:

Install Xposed Inspector and Frida on Genymotion

Today i had some work with android. So i need trace application. I found 2 nice tool can help me: Xposed Inspector and Frida. To setup ther...