intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

An toàn Mạng riêng ảo

Chia sẻ: Nguyen Tien Lich | Ngày: | Loại File: DOC | Số trang:200

618
lượt xem
282
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN. Sau đây ta thường gọi ngắn gọn theo tên viết tắt. Có nhiều định nghĩa khác nhau về Mạng riêng ảo. Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập....

Chủ đề:
Lưu

Nội dung Text: An toàn Mạng riêng ảo

  1. An toàn Mạng riêng ảo An toàn Mạng riêng ảo ……….., tháng … năm ……. Nhóm chủ biên 1
  2. An toàn Mạng riêng ảo MỤC LỤC PHẦN I CÔNG NGHỆ MẠNG RIÊNG ẢO....................................................7 Chương I. Giới thiệu chung về Mạng riêng ảo............................................ 7 1.1. Các khái niệm cơ bản về mạng riêng ảo....................................................... 7 1.1.1. Định nghĩa về Mạng riêng ảo..........................................................................7 1.1.2. Một số ví dụ về Mạng riêng ảo:.....................................................................8 1.2. Những lợi ích cơ bản của Mạng riêng ảo.................................................... 10 1.3. Những yêu cầu đối với Mạng riêng ảo........................................................ 11 1.3.1. Bảo mật............................................................................................................ 12 1.3.2. Tính sẵn sàng và tin cậy.................................................................................. 13 1.3.3. Chất lượng dịch vụ......................................................................................... 14 1.3.4. Khả năng quản trị............................................................................................ 14 1.3.5. Khả năng tương thích...................................................................................... 15 1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN........................................... 17 1.5. Các mô hình kết nối VPN thông dụng.......................................................... 17 1.5.1.VPN Truy cập từ xa (Remote Access VPN): .................................................18 1.5.2. VPN Cục bộ (Intranet VPN) ..........................................................................19 1.5.3. Mạng riêng ảo mở rộng (Extranet VPN).......................................................22 1.6. Các công nghệ và các chính sách an toàn Mạng riêng ảo............................24 1.6.1. Sự cần thiết của chính sách an toàn Mạng...................................................24 1.6.2. Chính sách an toàn mạng................................................................................. 25 1.6.3. Chính sách an toàn Mạng riêng ảo.................................................................26 Câu hỏi ôn tập....................................................................................................... 27 Chương 2. Giao thức mạng riêng ảo tại tẩng 2...........................................28 2.1. Giao thức PPP................................................................................................. 28 2.1.1. Quá trình thực hiện PPP..................................................................................29 2.1.2. Định dạng gói PPP........................................................................................... 30 2.1.2. Kiểm soát liên kết PPP.................................................................................... 31 2.2. Các giao thức đường hầm tại tầng 2 trong mô hình OSI...........................32 2.2.1. Giao thức đường hầm điểm (PPTP)..............................................................32 2.2.1.1. Vai trò của PPP trong các giao dịch PPTP........................................33 2.2.1.2. Các thành phần của giao dịch PPTP.................................................33 2.2.1.3. Các tiến trình PPTP............................................................................36 2.2.1.4. Bảo mật PPTP....................................................................................39 2.2.1.5. Các tính năng của PPTP.....................................................................41 2.2.2. Chuyển tiếp tầng 2 (L2F)...............................................................................42 2.2.2.1. Tiến trình L2F.....................................................................................43 2.2.2.2. Đường hầm L2F.................................................................................45 2.2.2.3. Bảo mật L2F.......................................................................................46 2.2.2.4. Các ưu và nhược điểm của L2F........................................................47 2.2.3. Giao thức đường hầm lớp 2 (L2TP)..............................................................47 2.2.3.1. Thành phần của L2TP........................................................................ 49 2.2.3.2. Các tiến trình L2TP............................................................................ 50 Nhóm chủ biên 2
  3. An toàn Mạng riêng ảo 2.2.3.3. Dữ liệu đường hầm L2TP..................................................................51 2.2.3.4. Mô hình đường hầm L2TP................................................................. 53 2.2.3.5. Kiểm soát kết nối L2TP..................................................................... 56 2.2.3.6. Bảo mật L2TP.....................................................................................57 2.2.3.7. Những ưu và nhược điểm của L2TP.................................................58 2.2.4. So sánh các giao thức đường hầm truy cập từ xa.........................................58 2.5. Lập mã và xác thực trong các giao thức đường hầm tại tầng 2................59 2.5.1. Các tùy chọn xác thực.....................................................................................59 2.5.1.1. Giao thức xác thực mật khẩu (Password Authentication Protocol - PAP)................................................................................................................. 59 2.5.1.2. Giao thức xác thực có thăm dò trước (Challenge Handshake Authentication Protocol - CHAP).....................................................................60 2.5.1.3. Giao thức xác thực có thăm dò trước của Microsoft (Microsoft CHAP).............................................................................................................. 60 2.5.1.4. Giao thức xác thực mật khẩu Shiva (Shiva Password Authentication Protocol - SPAP).............................................................................................. 60 2.5.1.5. Giao thực xác thực mở rộng (Extensible Authentication Protocol - EAP)................................................................................................................. 60 2.5.1.6. Kiến trúc bảo mật IP (IP Security)....................................................61 2.5.1.7 RADIUS and TACACS..........................................................................61 2.5.1.8. ID bảo mật..........................................................................................61 2.5.2. Tuỳ chọn mã hoá.............................................................................................. 62 2.5.2.1. Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point Encryption - MPPE).........................................................................................62 2.5.2.2. Giao thức kiểm soát mã hóa(Encryption Control Protocol - ECP). . .62 2.5.2.3. IPSec....................................................................................................62 Tổng kết................................................................................................................. 64 Câu hỏi ôn tập....................................................................................................... 64 Chương III Các giao thức mạng riêng ảo tại tẩng 3.................................. 66 3.1. Kiến trúc an toàn IP (IPSec)........................................................................... 66 3.1.1. Giới thiệu chung và các chuẩn.......................................................................66 3.1.2. Liên kết bảo mật IPSec (SA-IPSec)..............................................................69 3.1.3. Các giao thức của IPSec.................................................................................. 71 3.1.3.1. Giao thức xác thực tiêu đề (AH)........................................................72 3.1.3.1. Giao thức đóng gói tải bảo mật(ESP)............................................... 76 3.1.4. Các chế độ IPSec............................................................................................. 81 3.1.4.1. Chế độ Transport............................................................................... 81 3.1.4.2. Chế độ Tunnel.................................................................................... 82 3.1.5. Sự kết hợp giữa các SA..................................................................................83 3.1.5.1. Kết hợp giữa AH và ESP trong chế độ Transport............................83 3.1.5.2. Kết hợp AH và ESP ở chế độ Tunnel................................................84 3.2. Giao thức trao đổi khoá Internet................................................................... 84 3.2.1. Giới thiệu chung và các chuẩn.......................................................................84 3.2.2. Các yêu cầu quản lý khoá đối với IPSec.......................................................85 3.2.3. Pha thứ nhất của IKE...................................................................................... 87 3.2.4. Pha IKE thứ II.................................................................................................. 89 3.2.5. Các chế độ IKE................................................................................................ 90 Nhóm chủ biên 3
  4. An toàn Mạng riêng ảo 3.2.5.1. Main Mode...........................................................................................90 3.2.5.2. Aggressive mode..................................................................................92 3.2.5.3. Quick Mode......................................................................................... 92 3.2.5.4. Chế độ New Group.............................................................................93 3.3. Quá trình hoạt động của IPSec..................................................................... 93 3.4. Xử lý hệ thống IPSec/IKE............................................................................. 94 3.4.1. Xử lý IPSec cho đầu ra với các hệ thống máy chủ......................................94 3.4.2. Xử lý đầu vào với các hệ thống máy chủ Host............................................95 3.4.3. Xử lý đầu ra với các hệ thống cổng kết nối................................................95 3.4.4. Xử lý đầu vào với các hệ thống cổng kết nối.............................................96 Tổng kết chương III............................................................................................. 97 Câu hỏi ôn tập....................................................................................................... 98 Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo 100 4.1. Xác thực với người dùng quay số truy cập từ xa...................................... 100 4.1.1. Hoạt động của RADIUS...............................................................................104 4.1.2 Sử dụng RADIUS với các đường hầm tầng 2............................................106 4.2 Chuyển dịch địa chỉ mạng(NAT)................................................................. 107 4.2.1. Sử dụng NAT với các mạng riêng ảo.........................................................109 4.3. Giao thức SOCKS.......................................................................................... 109 4.4. Giao thức SSL và TLS................................................................................... 111 4.5. So sánh giao thức IPSec với SSL.................................................................. 113 Tổng kết chương IV........................................................................................... 115 Câu hỏi ôn tập..................................................................................................... 115 PHẦN II XÂY DỰNG VÀ THỰC THI MẠNG RIÊNG ẢO..................... 117 Chương V Xây dựng mạng riêng ảo.......................................................... 118 5.1. Các vấn đề khi thiết kế mạng riêng ảo..................................................... 118 5.1.1. Bảo mật.......................................................................................................... 119 5.1.2. Vấn đề đánh địa chỉ và định tuyến mạng riêng ảo....................................123 5.1.2.1. Vấn đề đánh địa chỉ..........................................................................123 5.1.2.2. Vấn đề định tuyến............................................................................125 5.1.3. Các xem xét liên quan đến DNS...................................................................128 5.1.4. Các xem xét liên quan đến Firewall, Router, NAT......................................129 5.1.4.1. Các xem xét liên quan đến Router....................................................129 5.1.4.2. Các xem xét liên quan đến Firewall.................................................131 5.1.4.3. Các xem xét liên quan đến NAT........................................................132 5.1.4.4. Các xem xét liên quan đến Client và Server mạng riêng ảo............133 5.1.5. Hiệu suất thực thi..........................................................................................134 5.1.6. Khả năng mở rộng và liên tác.......................................................................135 5.2 Các môi trường mạng riêng ảo riêng lẻ...................................................... 138 5.2.1. Mạng riêng ảo truy cập từ xa.......................................................................139 5.2.2. Mạng riêng ảo cục bộ...................................................................................140 5.2.3. Mạng riêng ảo mở rộng................................................................................ 142 5.3. Các bước chung để xây dựng mạng riêng ảo............................................ 144 5.3.1. Chuẩn bị cơ sở............................................................................................... 145 5.3.2. Lựa chọn các sản phẩm và nhà cung cấp dịch vụ......................................146 5.3.3. Kiểm thử kết quả.......................................................................................... 147 Nhóm chủ biên 4
  5. An toàn Mạng riêng ảo 5.3.4. Thiết kế và thực thi giải pháp......................................................................148 5.3.5. Giám sát và quản trị.......................................................................................148 Tổng kết............................................................................................................... 149 Chương VI Xây dựng mạng riêng ảo truy cập từ xa.............................. 150 6.1. Các thành phần trong mạng riêng ảo truy cập từ xa................................ 150 6.1.1. Giới thiệu chung............................................................................................150 6.1.2. Các thành phần............................................................................................... 150 6.2. Triển khai mạng riêng ảo truy cập từ xa................................................... 156 6.2.1. Triển khai truy cập từ xa dựa trên PPTP hoặc L2TP/IPSec......................156 6.2.1.1. Triển khai một cơ sở hạ tầng chứng chỉ số....................................157 6.2.1.2. Triển khai một cơ sở hạ tầng Internet............................................ 157 6.2.1.3. Triển khai một cơ sở hạ tầng AAA..................................................159 6.2.1.5. Triển khai máy chủ mạng riêng ảo..................................................160 6.2.1.6. Triển khai cơ sở hạ tầng Intranet....................................................161 6.2.1.6. Triển khai các Client VPN................................................................162 Tổng kết............................................................................................................... 163 Câu hỏi ôn tập..................................................................................................... 163 Chương VII Xây dựng mạng riêng ảo Site – to – Site..............................164 7.1. Các thành phần của mạng riêng ảo Site – to – Site................................... 164 7.1.1. Định tuyến theo yêu cầu quay số.................................................................164 7.1.2. Giới thiệu các kết nối mạng riêng ảo Site – to – Site................................166 7.1.2.1. Các kết nối theo yêu cầu và thường trực........................................166 7.1.2.2. Hạn chế sự khởi tạo các kết nối theo yêu cầu...............................167 7.1.2.3. Các kết nối được khởi tạo một chiều và hai chiều........................168 7.1.3. Các thành phần của mạng riêng ảo Site – to – Site....................................169 7.1.3.1. Các Router VPN................................................................................170 7.1.3.2. Cơ sở hạ tầng Internet.....................................................................172 7.1.3.3. Cơ sở hạ tầng mạng chi nhánh........................................................174 7.1.3.4. Cơ sở hạ tầng AAA..........................................................................175 7.1.3.5. Cơ sở hạ tầng chứng chỉ số.............................................................176 7.2. Triển khai mạng riêng ảo Site – to – Site.................................................... 176 7.2.1. Triển khai cơ sở hạ tầng cung cấp chứng chỉ............................................177 7.2.2. Triển khai cơ sở hạ tầng Internet................................................................177 7.2.2.1. Triển khai các Router trả lời............................................................178 7.2.2.2. Triển khai các Router gọi.................................................................178 7.2.3. Triển khai cơ sở hạ tầng AAA....................................................................179 7.2.3.1. Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm...............................................................................................................179 7.2.3.2. Cấu hình máy chủ dịch vụ xác thực Internet(IAS)...........................179 7.2.4. Triển khai cơ sở hạ tầng mạng chi nhánh..................................................180 7.2.4.1. Cấu hình định tuyến trên các Router VPN.......................................180 7.2.4.2. Kiểm tra khả năng kết nối tới được mỗi Router VPN....................180 7.2.4.3. Cấu hình định tuyến cho vùng địa chỉ IP ngoại lệ..........................181 7.2.5. Triển khai cơ sở hạ tầng mạng ngoài chi nhánh........................................181 7.3. Xây dựng mạng riêng ảo chi nhánh............................................................ 181 Nhóm chủ biên 5
  6. An toàn Mạng riêng ảo 7.3.1. Mạng riêng ảo với các văn phòng chi nhánh không kết nối thường xuyên ................................................................................................................................... 181 7.3.1.1. Giới thiệu chung...............................................................................181 7.3.1.2. Các công việc cài đặt.................................................................................183 7.3.1.2.1. Cấu hình cho máy chủ mạng riêng ảo..........................................183 7.3.2. Các văn phòng chi nhánh kết nối thường xuyên.........................................191 7.3.2.1. Cấu hình máy chủ mạng riêng ảo....................................................191 7.3.2.2. Cấu hình kết nối dựa trên PPTP..................................................... 193 7.3.2.3. Cấu hình kết nối dựa trên L2TP/IPSec............................................196 7.3.3. Tổng kết thực hành.......................................................................................196 7.4. Xây dựng mạng riêng ảo đối tác................................................................. 197 7.4.1. Giới thiệu chung............................................................................................197 7.4.2. Các công việc cài đặt....................................................................................198 7.4.2.1. Cấu hình máy chủ mạng riêng ảo....................................................198 7.4.2.2. Mạng riêng ảo dựa trên PPTP cho các đối tác thương mại...........199 7.4.2.3. Mạng riêng ảo mở rộng dựa trên L2TP/IPSec cho các đối tác thương mại.................................................................................................... 200 7.5. Tổng kết thực hành...................................................................................... 201 Câu hỏi ôn tập..................................................................................................... 201 Nhóm chủ biên 6
  7. An toàn Mạng riêng ảo PHẦN I CÔNG NGHỆ MẠNG RIÊNG ẢO Chương I. Giới thiệu chung về Mạng riêng ảo Chương này, chúng ta bắt đầu bằng việc định nghĩa Mạng riêng ảo và những lợi ích cơ bản từ việc thực thi giải pháp Mạng riêng ảo. Chúng ta cũng xem xét các mô hình kết nối mạng riêng ảo thông dụng. 1.1. Các khái niệm cơ bản về mạng riêng ảo 1.1.1. Định nghĩa về Mạng riêng ảo Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN. Sau đây ta thường gọi ngắn gọn theo tên viết tắt. Có nhiều định nghĩa khác nhau về Mạng riêng ảo. Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở h ạ t ầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết c ủa khách hàng được triển khai trên một hạ tầng công cộng với các chính sách nh ư là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet. Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng. VPN truy ền thông tin m ột cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng. Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả k ết nối giữa 2 điểm truyền thông cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các “đường hầm”. Các đường hầm này cho phép các th ực th ể cuối trao đổi dữ liệu theo cách tương tự như truyền thông điểm - điểm. Và như trong hình 1.2, mạng riêng của các Công ty loại trừ đ ược các đường Lease-Line chi phí cao. Một báo cáo nghiên cứu về VPN cho th ấy: Có thể tiết kiệm từ 20% đến 47% chi phí mạng WAN khi thay th ế các đ ường Lease-Line để truy cập mạng từ xa bằng VPN. Và với VPN truy c ập t ừ xa có Nhóm chủ biên 7
  8. An toàn Mạng riêng ảo thể tiết kiệm từ 60% đến 80% chi phí khi sử dụng đường Dial-up để truy c ập từ xa đến Công ty. Mạng riêng ảo đã thực sự chinh phục cuộc sống. Việc kết nối các m ạng máy tính của các doanh nghiệp lâu nay vẫn được thực hiện trên các đ ường truyền thuê riêng, cũng có thể là kết nối Frame Relay hay ATM. Nh ưng, rào cản lớn nhất đến với các doanh nghiệp tổ chức đó là chi phí. Chi phí t ừ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành h ạ t ầng m ạng, các thi ết b ị riêng của doanh nghiệp... rất lớn. Vì vậy, điều dễ hiểu là trong th ời gian dài, chúng ta gần như không thấy được nhiều ứng dụng, giải pháp h ữu ích trên mạng diện rộng WAN. Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh nghiệp có thêm sự lựa chọn mới. Không phải vô c ớ mà các chuyên gia viễn thông nhận định: “Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới”. 1.1.2. Một số ví dụ về Mạng riêng ảo: a) Ví dụ về các mô hình kết nối Mạng riêng ảo Hình 1.1: Những người dùng di động, người dùng từ xa thiết lập k ết n ối VPN qua Internet đến mạng Công ty của họ để trao đổi d ữ li ệu, truy c ập các tài nguyên giống như là họ đang ở trong Công ty. Người quản lý kết nối từ nhà để xem doanh thu và Nhân viên lưu động có thể quay số vào quản lý các báo cáo mạng của Công ty để truyền thông tin, cập nhật hệ thống đơn hàng Nhân viên tiếp thị kết nối từ văn phòng khách hàng để kiểm tra trạng thái đơn hàng Người quản lý Nhân viên lưu động có thể bán hàng in đề quay số vào mạng của Công ty xuất mới trên máy để in ấn , thậm chí cả fax in, sẵn sàng nhận lại vào sáng sớm Hình 1.1 Hình 1.2: Là một ví dụ thiết lập VPN gồm một nhánh Văn phòng từ xa, một người dùng di động kết nối VPN đến mạng Văn phòng chính Nhóm chủ biên 8
  9. An toàn Mạng riêng ảo Hình 1-1: Một ví d ụ đi ể hình về VPN n Hình 1.2 Hình 1.3: Một ví dụ đầy đủ hơn Hình 1.3 Một mạng VPN điển hình đầy đủ bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, những đối tác kinh doanh, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. b) Ví dụ về ứng dụng Mạng riêng ảo Mới đây, ngày 11/08/2005, bệnh viện Nhi trung ương đã thử nghiệm thành công dịch vụ Mạng riêng ảo. Một ca chẩn đoán bệnh từ xa được thực hiện tại bệnh viên Nhi trung ương, đầu bên kia là bệnh viện Nghệ An và bệnh viện Hoà Bình. Thông qua dịch vụ truyền hình hội nghị “video conferencing” sử dụng công nghệ mạng riêng ảo, các chuyên gia y tế đầu ngành có th ể cùng h ội chẩn các ca b ệnh "khó" tại bệnh viện tuyến dưới, từ đó đưa ra các chẩn đoán, phác đ ồ đi ều tr ị Nhóm chủ biên 9
  10. An toàn Mạng riêng ảo phù hợp cho người bệnh. Đây là một việc đã cũ với th ế gi ới nh ưng hoàn toàn mới với Việt Nam. 1.2. Những lợi ích cơ bản của Mạng riêng ảo VPN mang lại nhiều lợi ích, những lợi ích này bao gồm: - Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại trừ được những yếu t ố c ần thi ết cho các k ết n ối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP. - Giảm được chi phí thuê nhân viên và qu ản trị: Vì giảm được chi phí truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN một cách đáng kể. Hơn nữa, một tổ ch ức s ẽ gi ảm đ ược toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế là Tổ ch ức không cần thuê nhi ều nhân viên m ạng cao cấp. - Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở xa của một Intranet. Vì Internet có th ể được truy c ập toàn c ầu, nên hầu hết các nhánh văn phòng, người dùng, người dùng di đ ộng t ừ xa đ ều có thể dễ dàng kết nối tới Intranet của Công ty mình. - Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truy ền được bảo mật ở một mức độ nhất định, Thêm vào đó, công ngh ệ đường hầm s ử dụng các biện pháp bảo mật như: Mã hoá, xác th ực và c ấp quy ền đ ể b ảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin. - Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề truy ền dữ liệu khi được yêu cầu, kết quả là băng thông mạng ch ỉ đ ược s ử d ụng khi có một kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng. Nhóm chủ biên 10
  11. An toàn Mạng riêng ảo - Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần phải thay đổi với phí tổn tối thiểu cho vi ệc thêm các ph ương ti ện, thiết bị. Điều này làm cho Intranet dựa trên VPN có kh ả năng mở r ộng cao và dễ dàng tương thích với sự phát triển trong tương lai. Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém. V ới giải pháp mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ s ở h ạ tầng là mạng truyền số liệu công cộng ( ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là chi phí cho các kênh thuê riêng đường dài, các mạng riêng cũng không quá lớn và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ sở h ạ t ầng mạng truyền số liệu công cộng). Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang l ại. Tuy nhiên bên cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet. Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet. Các đường Lease-Line bảo đảm băng thông đ ược xác định trong hợp đồng giữa nhà cung cấp và Công ty. Tuy nhiên không có một đảm bảo về sự thực thi của Internet. Một sự quá tải l ưu lượng và t ắc ngh ẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN. 1.3. Những yêu cầu đối với Mạng riêng ảo Như ta đã biết trong phần trước, VPN là một phương pháp để kết nối mạng Intranet tương đối đơn giản và bảo mật qua mạng công cộng nh ư Internet. Công nghệ VPN không chỉ làm giảm chi phí thực thi một môi tr ường mạng bảo mật cao mà còn giảm chi phí cho việc quản trị và tổ ch ức nhân viên. Hơn nữa, nó mang lại sự sẵn sàng, sự tin cậy và hiệu quả cao trong việc sử dụng băng thông mạng. Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành ph ần và yêu cầu của VPN là gì? Tất cả sẽ được xem xét trong phần này. VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng ta dễ dàng thiết lập mạng LAN hoặc Intranet cùng với Internet và các mạng công Nhóm chủ biên 11
  12. An toàn Mạng riêng ảo cộng khác để truyền thông một cách bảo mật và kinh tế. Và như vậy, hầu hết các yêu cầu của VPN và của mạng riêng truy ền thống là r ất gi ống nhau. Tuy nhiên, trong VPN có các yêu cầu nổi bật như sau: Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Kh ả năng tương thích, Khả năng quản trị. 1.3.1. Bảo mật Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy cập trái phép đến Intranet và các tài nguyên của nó là rất th ấp. Tuy nhiên, nhận định này rất có thể không đúng với VPN có sử dụng Internet và các mạng công cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Networks - PSTNs) cho truy ền thông. Thi ết l ập VPN mang lại cho các Hacker, Cracker cơ hội thuận lợi để truy cập tới m ạng riêng và luồng dữ liệu của nó qua các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách chặt chẽ. Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách như sau: + Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng l ưu lượng đã cấp quyền từ các nguồn tin cậy vào mạng và t ừ ch ối tất c ả các l ưu lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ về kỹ thuật phòng thủ. Firewall không chỉ kiểm tra kỹ l ưu l ượng vào mà còn cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. B ộ d ịch chuy ển địa chỉ là một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên c ục bộ trong mạng. Và như vậy, kẻ tấn công không biết được đích của các tài nguyên đó trong mạng Intranet. + Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để thiết lập định danh của người dùng và quyết định anh ta có được phép truy cập tới các tài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền, kiểm toán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi ng ười dùng đã được xác thực thành công, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả Nhóm chủ biên 12
  13. An toàn Mạng riêng ảo các người dùng mạng cũng được duy trì, cho phép người quản trị mạng ghi lại những hoạt động trái phép, bất thường. + Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ li ệu để đảm bảo tính xác thực, tính toàn vẹn và tính tin c ậy c ủa d ữ li ệu khi đ ược truyền qua mạng không tin cậy. Bảo mật giao thức Internet(Internet Protocol Security - IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nh ất. Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho phép xác th ực m ỗi người dùng và từng gói dữ liệu riêng biệt. + Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull). Vì vậy, cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng. 1.3.2. Tính sẵn sàng và tin cậy Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng (uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internet và PSTN vì vậy các thiết lập dựa trên VPN ph ụ thuộc nhi ều vào mạng trung gian. Trong trường hợp này, nhân tố tính sẵn sàng ph ụ thuộc vào nhà cung cấp dịch vụ (ISP). Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức dịch vụ” (Service Level Agreement - SLA). SLA là bản hợp đồng được ký kết giữa ISP và người dùng ( một tổ chức hoặc một công ty ) để cam kết về thời gian truy cập mạng. Một số ISP đề xuất uptime rất cao, kho ảng 99%. Nếu một tổ chức muốn đảm bảo tính sẵn sàng rất cao, thì tìm m ột ISP có c ơ sở hạ tầng chuyển mạch xương sống có khả năng phục hồi cao. Đó là: + Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo hiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến khi được yêu cầu. + Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng giải thông mạng. Nhóm chủ biên 13
  14. An toàn Mạng riêng ảo + Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thi ết b ị này không chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ thống làm lạnh Tính tin cậy cũng là một yêu cầu quan trọng n ữa c ủa VPN và nó liên quan mật thiết với nhân tố tính sẵn sàng. Tính tin c ậy c ủa giao d ịch trong VPN đảm bảo rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũng như hầu hết các thiết lập mạng khác, tính tin c ậy trong môi trường dựa trên VPN có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạo hoặc thi ết b ị trong đ ường b ị lỗi. Toàn bộ quá trình này là hoàn toàn trong suốt với người dùng cuối. 1.3.3. Chất lượng dịch vụ Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều có mong muốn là mang lại tính trong suốt cho các gói d ữ li ệu khi chúng đ ược truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác. Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? là rất khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm bảo. Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng cách gán một tỷ lệ để xác định giới hạn lỗi trong việc s ử dụng băng thông mạng và các tài nguyên cho các ứng dụng. Các ứng dụng nh ư giao d ịch tài chính, quá trình đặt hàng từ các đối tác thương mại là tương đối nh ạy c ảm với băng thông. Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn để tránh hiện tượng chất lượng kém của giao dịch. 1.3.4. Khả năng quản trị Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn v ị có mạng kết nối phạm vi toàn cầu. Hầu hết các đơn vị được kết nối v ới các nguồn tài nguyên của thế giới bằng sự trợ giúp của nhà cung cấp d ịch vụ. Kết quả là không thể kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng Intranet trung gian của nhà cung cấp dịch vụ. Trong hoàn cảnh này, một đơn vị phải quản trị được tài nguyên cho đến cả m ạng kinh doanh của họ, trong khi nhà cung cấp dịch vụ quản trị các thiết lập mạng Nhóm chủ biên 14
  15. An toàn Mạng riêng ảo của họ. Với sự sẵn có các thiết bị VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có th ể loại trừ được ranh giới vốn có của việc quản trị tài nguyên và quản trị toàn bộ ph ần riêng và phần công cộng của các phần cuối VPN. Một Công ty có th ể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như trong mô hình truy ền th ống, có th ể kiểm soát toàn bộ truy cập mạng và có quyền giám sát trạng thái th ời gian thực, sự thực thi của VPN. Hơn nữa Công ty cũng có th ể giám sát ph ần công cộng của VPN. Tương tự, các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ. Tuy nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng, bao gồm cả cơ sở h ạ tầng VPN của người dùng. 1.3.5. Khả năng tương thích Như chúng ta đã biết VPN sử dụng mạng công cộng như là m ột k ết nối đường dài, các mạng trung gian này có thể dựa trên IP nh ư Internet hoặc cũng có thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous Transfer Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và giao thức cơ sở. Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích v ới một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN. Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao th ức không dựa trên IP thành IP. Các thiết bị này có th ể là các thi ết b ị m ạng chuyên d ụng hoặc cũng có thể là các giải pháp dựa trên phần mềm. Getway IP đ ược cài đặt trên mọi Server và thường được dùng để chuyển đổi dòng lưu lượng. Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng gói các gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầng dựa trên IP. Các thiết bị cuối khác, khi nhận được các gói d ữ li ệu đã đóng gói này sẻ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. “Đường hầm” bây giờ được xem như là một thiết bị tryền tải. Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như trong hình vẽ 1.4, VIPR làm việc bằng cách phân vùng lôgic một Router vật lý t ại v ị trí nhà Nhóm chủ biên 15
  16. An toàn Mạng riêng ảo cung cấp dịch vụ sau cùng(như là một phần cơ sở hạ tầng của ISP). Mỗi m ột phân vùng được cấu hình và quản trị như một Router vật lý và có thể hỗ trợ một VPN. Theo cách gọi đơn giản, mỗi một phân vùng lôgic được xem như một Router với đầy đủ các chức năng của nó. Kết quả là, phân vùng Router lôgic có thể hỗ trợ nhiều giao thức và có khả năng chứa địa chỉ IP riêng. Hình 1.4 Mô tả chung của VIPR Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công nghệ đường điện thoại riêng ảo(Virtual Private Trunking - VPT) được sử dụng. Công nghệ VPT được mô tả như trong hình 1.5. Hình 1.5 Mô tả chung của VPT VPT tương thích với nhiều giao thức và được dựa trên công ngh ệ chuyển mạch gói. Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits - PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền dữ liệu. Để truyền dữ liệu thành công, VPT yêu c ầu một thi ết b ị Nhóm chủ biên 16
  17. An toàn Mạng riêng ảo WAN như một Router có khả năng hỗ trợ FR và ATM. Để chắc chắn rằng các giao dịch thương mại có lợi nhuận, các PVC thường được dùng cho vi ệc liên kết các Site trong một mạng riêng hoặc một Intranet. SVC lại th ường được dùng để liên kết các Site trong một Extranet 1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thi ết l ập một mạng. Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong vi ệc phân tích các yêu cầu của tổ chức sẽ kéo theo thiếu sót trong lập kế hoạch và ta s ẽ thấy ảnh hưởng rất nhiều về sau. Lúc thiết kế và thực thi mạng VPN, chúng ta cần ph ải tuân th ủ theo ý tưởng tối ưu hoá mọi thứ. Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặt VPN bao gồm: + Mô hình VPN nào được chọn để thực hiện? + Bảo mật + VPN sẽ được quản trị như thế nào? + Đánh địa chỉ và định tuyến + Các vấn đề liên quan đến DNS + Các vấn đề Router/Getway, firewall, NAT + Hiệu suất + Khả năng mở rộng và tương thích trong tương lai. 1.5. Các mô hình kết nối VPN thông dụng Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau: - Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa c ủa một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào - Có khả năng kết nối từ xa giữa các nhánh văn phòng. - Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan trọng đối với giao dịch thương mại của công ty. Nhóm chủ biên 17
  18. An toàn Mạng riêng ảo Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN) 1.5.1.VPN Truy cập từ xa (Remote Access VPN): Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền h ạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó. Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty. Như trong hình 1.6, chuyển mạch truy cập từ xa thiết lập khi ch ưa có s ự mở rộng của VPN bao gồm các thành phần chính như sau: + Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa. + Kết nối Dialup tới mạng trung tâm + Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và h ỗ trợ người dùng từ xa Nhóm chủ biên 18
  19. An toàn Mạng riêng ảo Hình 1.6 Thiết lập truy cập từ xa không có VPN Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet. Thiết l ập VPN truy c ập từ xa tương ứng được mô tả như trong hình 1.7. Hình 1.7 Thiết lập VPN truy cập từ xa 1.5.2. VPN Cục bộ (Intranet VPN) Nhóm chủ biên 19
  20. An toàn Mạng riêng ảo Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ s ở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các d ịch v ụ m ạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống. Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian. Thiết lập này được mô tả như trong hình 1.8. Hình 1.8 Thiết lập Intranet sử dụng WAN Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ t ốn kém. Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn thì chi phí càng cao. Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có th ể giảm được t ổng chi phí c ủa Nhóm chủ biên 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2