ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG Đề tài: Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm bảo mật CHƯƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN Cụm từ Virtual Private Network (mạng riêng ảo) thường gọi tắt VPN kỹ thuật xuất từ lâu, nhiên thực bùng nổ trở nên cạnh tranh xuất công nghệ mạng thông minh với đà phát triển mạnh mẽ Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) mạng riêng ảo an toàn (Secure VPN) Mạng riêng ảo kiểu tin tưởng xem số mạch thuê nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động đường dây mạng cục Tính riêng tư trusted VPN thể chỗ nhà cung cấp dịch vụ đảm bảo khơng có sử dụng mạch thuê riêng Khách hàng mạng riêng ảo loại LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com tin tưởng vào nhà cung cấp dịch vụ để trì tính tồn vẹn bảo mật liệu truyền mạng Các mạng riêng xây dựng đường dây thuê thuộc dạng “trusted VPN” Mạng riêng ảo an toàn mạng riêng ảo có sử dụng mật mã để bảo mật liệu Dữ liệu đầu mạng mật mã chuyển vào mạng cơng cộng (ví dụ: mạng Internet) liệu khác để truyền tới đích sau giải mã liệu phía thu Dữ liệu mật mã coi truyền đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù kẻ cơng nhìn thấy liệu đường truyền khơng có khả đọc liệu mật mã Mạng riêng ảo xây dựng dựa Internet mạng riêng ảo kiểu an toàn, sử dụng sở hạ tầng mở phân tán Internet cho việc truyền liệu site cơng ty Trọng tâm đồ án tốt nghiệp bàn VPN dựa Internet Khi nói đến mạng riêng ảo VPN phải hiểu mạng riêng ảo dựa Internet 1.1 Định nghĩa Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng Internet) với sách quản lý bảo mật giống mạng cục LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 1.1: Mơ hình VPN Các thuật ngữ dùng VPN sau: Virtual- nghĩa kết nối động, không gắn cứng tồn kết nối lưu lượng mạng chuyển qua Kết nối thay đổi thích ứng với nhiều mơi trường khác có khả chịu đựng khuyết điểm mạng Internet Khi có u cầu kết nối thiết lập trì bất chấp sở hạ tầng mạng điểm đầu cuối Private- nghĩa liệu truyền ln ln giữ bí mật bị truy cập nguời sử dụng trao quyền Điều quan trọng giao thức Internet ban đầu TCP/IP- khơng thiết kế để cung cấp mức độ bảo mật Do đó, bảo mật cung cấp cách thêm phần mềm hay phần cứng VPN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Network- thực thể hạ tầng mạng người sử dụng đầu cuối, trạm hay node để mang liệu Sử dụng tính riêng tư, công cộng, dây dẫn, vô tuyến, Internet hay tài nguyên mạng dành riêng khác sẵn có để tạo mạng Khái niệm mạng riêng ảo VPN khái niệm mới, chúng sử dụng mạng điện thoại trước số hạn chế mà công nghệ VPN chưa có sức mạnh khả cạnh tranh lớn Trong thời gian gần đây, phát triển mạng thông minh, sở hạ tầng mạng IP làm cho VPN thực có tính mẻ VPN cho phép thiết lập kết nối riêng với người dùng xa, văn phòng chi nhánh công ty đối tác công ty sử dụng chung mạng công cộng 1.2 Lịch sử phát triển VPN Sự xuất mạng chuyên dùng ảo, gọi mạng riêng ảo (VPN), bắt nguồn từ yêu cầu khách hàng (client), mong muốn kết nối cách có hiệu với tổng đài thuê bao (PBX) lại với thông qua mạng diện rộng (WAN) Trước kia, hệ thống điện thoại nhóm mạng cục (LAN) trước sử dụng đường thuê LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com riêng cho việc tổ chức mạng chuyên dùng để thực việc thông tin với Các mốc đánh dấu phát triển VPN: - Năm 1975, Franch Telecom đưa dịch vụ Colisee, cung cấp dịch vụ dây chuyên dùng cho khách hang lớn Colisee cung cấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ vào lượng dịch vụ mà đưa cước phí nhiều tính quản lý khác - Năm 1985, Sprint đưa VPN, AT&T đưa dịch vụ VPN có tên riêng mạng định nghĩa phần mềm SDN - Năm 1986, Sprint đưa Vnet, Telefonica Tây Ban Nha đưa Ibercom - Năm 1988, nổ đại chiến cước phí dịch vụ VPN Mỹ, làm cho số xí nghiệp vừa nhỏ chịu cước phí sử dụng VPN tiết kiệm gần 30% chi phí, kích thích phát triển nhanh chóng dịch vụ Mỹ - Năm 1989, AT&T đưa dịch vụ quốc tế IVPN GSDN - Năm 1990, MCI Sprint đưa dịch vụ VPN quốc tế VPN; Telstra Ô-xtrây-li-a đưa dich vụ VPN rong nước khu vục châu Á – Thái Bình Dương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Năm 1992, Viễn thông Hà Lan Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN - Năm 1993, AT&T, KDD viễn thông Singapo tuyên bố thành lập Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, có dịch vụ VPN - Năm 1994, BT MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)… - Năm 1995, ITU-T đưa khuyến nghị F-16 dịch vụ VPN toàn cầu (GVPNS) - Năm 1996, Sprint viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One - Năm 1997 coi năm rực rỡ công nghệ VPN, Công nghệ có mặt khắp tạp chí khoa học cơng nghệ, hội thảo…Các mạng VPN xây dựng sở hạ tầng mạng Internet công cộng mang lại khả mới, nhìn cho VPN Công nghệ VPN giải pháp thông tin tối ưu cho cơng ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn Ngày nay, với phát triển công nghệ, sở hạ tầng mạng IP (Internet) ngày LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com hoàn thiện làm cho khả VPN ngày hồn thiện Hiện nay, VPN khơng dùng cho dịch vụ thoại mà dùng cho dịch vụ liệu, hình ảnh dịch vụ đa phương tiện 1.3 Chức ưu điểm VPN 1.3.1 Chức VPN cung cấp ba chức là: tính xác thực (Authentication), tính tồn vẹn (Integrity) tính bảo mật (Confidentiality) a) Tính xác thực : Để thiết lập kết nối VPN trước hết hai phía phải xác thực lẫn để khẳng định trao đổi thơng tin với người mong muốn khơng phải người khác b) Tính tồn vẹn : Đảm bảo liệu khơng bị thay đổi hay đảm bảo khơng có xáo trộn trình truyền dẫn c) Tính bảo mật : Người gửi mã hố gói liệu trước truyền qua mạng cơng cộng liệu giải mã phía thu Bằng cách làm vậy, khơng truy nhập thông tin mà không phép Thậm chí có lấy khơng đọc LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.3.2 Ưu điểm VPN mang lại lợi ích thực tức thời cho cơng ty Có thể dùng VPN khơng để đơn giản hố việc thơng tin nhân viên làm việc xa, người dùng lưu động, mở rộng Intranet đến văn phòng, chi nhánh, chí triển khai Extranet đến tận khách hàng đối tác chủ chốt mà cịn làm giảm chi phí cho công việc thấp nhiều so với việc mua thiết bị đường dây cho mạng WAN riêng Những lợi ích dù trực tiếp hay gián tiếp bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả mở rộng (scalability) số ưu điểm khác a) Tiết kiệm chi phí Việc sử dụng VPN giúp công ty giảm chi phí đầu tư chi phí thường xuyên Tổng giá thành việc sở hữu mạng VPN thu nhỏ, phải trả cho việc thuê băng thông đường truyền, thiết bị mạng đường trục trì hoạt động hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn việc truy cập từ xa giảm từ 60 tới 80% Ta thấy rõ ưu điểm VPN qua việc so sánh chi phí sử dụng đường thuê riêng T1 (1.5 Mbit/s) với chi phí sử dụng Internet VPN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Bảng 1: Chi phí hàng tháng cho mạng dùng đường thuê riêng đơn so với Internet VPN (2002) Thành phố Khoảng Chi phí cho Cho phí cho cách T1 Internet VPN (dặm) Boston-New 194 $4.570 $1.900 235 $4.775 $1.900 $9.345 $3.800 York New York- Washington Tổng Bảng 2: Chi phí hàng tháng cho mạng dùng đường thuê kép so với Internet VPN.(2002) Thành phố Khoảng Chi phí cho Chi phí cho cách T1 Internet VPN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com (dặm) 1.267 $13.535 $1.900 Denver-chicago 1.023 $12.315 $1.900 Chicago-New 807 $11.235 $1.900 Denver-Salt Lake 537 $6.285 $1.900 Denver-Dallas 794 $7.570 $1.900 New York- 235 $4.775 $1.900 194 $4.570 $1.900 $60.285 $13.300 San FranCiscoDenver York Washington New YorkBoston Tổng b) Tính linh hoạt LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tính linh hoạt khơng linh hoạt trình vận hành khai thác mà cịn thực mềm dẻo u cầu sử dụng Khách hàng sử dụng kết nối T1, T3 văn phòng nhiều kiểu kết nối khác sử dụng để kết nối văn phòng nhỏ, đối tượng di động Nhà cung cấp dịch vụ VPN cung cấp nhiều lựa chọn cho khách hàng, kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 … c) Khả mở rộng Do VPN xây dựng dựa sở hạ tầng mạng công cộng (Internet), nơi có mạng cơng cộng triển khai VPN Mà mạng cơng cộng có mặt khắp nơi nên khả mở rộng VPN linh động Một quan xa kết nối cách dễ dàng đến mạng công ty cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ có nhu cầu Khả mở rộng băng thơng văn phịng, chi nhánh u cầu băng thơng lớn nâng cấp dễ dàng d) Giảm thiểu hỗ trợ kỹ thuật Việc chuẩn hoá kiểu kết nối từ đối tượng di động đến POP ISP việc chuẩn hoá yêu cầu bảo mật làm giảm thiểu nhu cầu nguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, mà nhà cung cấp dịch vụ đảm nhiệm nhiệm vụ hỗ trợ mạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nhiều yêu cầu hỗ trợ kỹ thuật người sử dụng ngày giảm e) Giảm thiểu yêu cầu thiết bị Bằng việc cung cấp giải pháp đơn cho xí nghiệp truy cập quay số truy cập Internet, VPN yêu cầu thiết bị hơn, đơn giản nhiều so với việc bảo trì modem riêng biệt, card tương thích (adapter) cho thiết bị đầu cuối máy chủ truy cập từ xa Một doanh nghiệp thiết lập thiết bị khách hàng cho môi trường đơn, môi trường T1, với phần lại kết nối thực ISP Bộ phận T1 làm việc thiết lập kết nối WAN trì cách thay đổi dải modem mạch nhân Frame Relay kết nối diện rộng đơn đáp ứng nhu cầu lưu lượng người dùng từ xa, kết nối LAN-LAN lưu lượng Internet lúc f) Đáp ứng nhu cầu thương mại Các sản phẩm dịch vụ VPN tuân theo chuẩn chung nay, phần để đảm bảo khả làm việc sản phẩm có lẽ quan trọng để sản phẩm nhiều nhà cung cấp khác làm việc với Đối với thiết bị Cơng nghệ Viễn thơng vấn đề cần quan tâm chuẩn hoá, khả quản trị, khả mở rộng, khả LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com tích hợp mạng, tính kế thừa, độ tin cậy hiệu suất hoạt động, đặc biệt khả thương mại sản phẩm 1.4 Phân loại mạng VPN Mục tiêu đặt công nghệ mạng VPN thoả mãn ba yêu cầu sau: - Tại thời điểm, nhân viên cơng ty truy nhập từ xa di động vào mạng nội công ty - Nối liền chi nhánh, văn phòng di động - Khả điều khiển quyền truy nhập khách hàng, nhà cung cấp dịch vụ đối tượng bên khác Dựa vào yêu cầu trên, mạng riêng ảo VPN phân làm ba loại: - Mạng VPN truy nhập từ xa (Remote Access VPN) - Mạng VPN cục (Intranet VPN) - Mạng VPN mở rộng (Extranet VPN) 1.4.1 Mạng VPN truy nhập từ xa LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Các VPN truy nhập từ xa cung cấp khả truy nhập từ xa Tại thời điểm, nhân viên, chi nhánh văn phịng di động có khả trao đổi, truy nhập vào mạng công ty Kiểu VPN truy nhập từ xa kiểu VPN điển hình Bởi vì, VPN thiết lập thời điểm nào, từ nơi có mạng Internet VPN truy nhập từ xa mở rộng mạng công ty tới người sử dụng thông qua sở hạ tầng chia sẻ chung, sách mạng cơng ty trì Chúng dùng để cung cấp truy nhập an toàn từ thiết bị di động, người sử dụng di động, chi nhánh bạn hàng công ty Những kiểu VPN thực thông qua sở hạ tầng công cộng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL công nghệ cáp thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng DSL cable or POP Internet Router or POP Mobile Extranet khách hàng tới công ty Hỡnh 1.2 : Mụ hình mạng VPN truy nhập từ xa LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Các ưu điểm mạng VPN truy nhập từ xa so với phương pháp truy nhập từ xa truyền thống như: Mạng VPN truy nhập từ xa không cần hỗ trợ nhân viên - mạng trình kết nối từ xa ISP thực Giảm chi phí cho kết nối từ khoảng cách xa - kết nối khoảng cách xa thay kết nối cục thông qua mạng Internet - Cung cấp dịch vụ kết nối giá rẻ cho người sử dụng xa - Bởi kết nối truy nhập nội nên Modem kết nối hoạt động tốc độ cao so với truy nhập khoảng cách xa VPN cung cấp khả truy nhập tốt đến site cơng - ty chúng hỗ trợ mức thấp dịch vụ kết nối Mặc dù có nhiều ưu điểm mạng VPN truy nhập từ xa nhược điểm cố hữu như: - Mạng VPN truy nhập từ xa không hỗ trợ dịch vụ đảm bảo QoS - Nguy bị liệu cao Hơn nữa, nguy gói bị phân phát khơng đến nơi gói - Bởi thuật tốn mã hố phức tạp, nên tiêu đề giao thức tăng cách đáng kể LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.4.2 Mạng VPN cục Các VPN cục sử dụng để bảo mật kết nối địa điểm khác công ty Mạng VPN liên kết trụ sở chính, văn phịng, chi nhánh sở hạ tầng chung sử dụng kết nối mã hoá bảo mật Điều cho phép tất địa điểm truy nhập an tồn nguồn liệu phép toàn mạng công ty Những VPN cung cấp đặc tính mạng WAN khả mở rộng, tính tin cậy hỗ trợ cho nhiều kiểu giao thức khác với chi phí thấp đảm bảo tính mềm dẻo Kiểu VPN thường cấu VPN Site- to- Site Central site Remote site POP Internet or Router văn phòng xa Hình 1.3: Mơ hình mạng VPN cục Những ưu điểm mạng cục dựa giải pháp VPN bao gồm: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Các mạng lưới cục hay toàn thiết lập (với điều kiện mạng thơng qua hay nhiều nhà cung cấp dịch vụ) - Giảm số nhân viên kỹ thuật hỗ trợ mạng nơi xa - Bởi kết nối trung gian thực thông qua mạng Internet, nên dễ dàng thiết lập thêm liên kết ngang cấp - Tiết kiệm chi phí thu từ lợi ích đạt cách sử dụng đường ngầm VPN thông qua Internet kết hợp với cơng nghệ chuyển mạch tốc độ cao Ví dụ công nghệ Frame Relay, ATM Tuy nhiên mạng cục dựa giải pháp VPN có nhược điểm như: - Bởi liệu truyền “ngầm” qua mạng công cộng – mạng Internet – mối “đe dọa” mức độ bảo mật liệu mức độ chất lượng dịch vụ (QoS) - Khả gói liệu bị truyền dẫn cao LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Trường hợp truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực thách thức lớn môi trường Internet 1.4.3 Mạng VPN mở rộng Không giống mạng VPN cục mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị lập với “thế giới bên ngồi” Thực tế mạng VPN mở rộng cung cấp khả điều khiển truy nhập tới nguồn tài nguyên mạng cần thiết để mở rộng đối tượng kinh doanh đối tác, khách hàng, nhà cung cấp… Central site Remote site DSL cable POP Internet or Router Extranet Business-to-business Intranet Hình 1.4: Mơ hình mạng VPN mở rộng Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp đối tác qua sở hạ tầng công cộng Kiểu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com VPN sử dụng kết nối ln bảo mật cấu VPN Site–to–Site Sự khác VPN cục VPN mở rộng truy cập mạng công nhận hai đầu cuối VPN Những ưu điểm mạng VPN mở rộng: - Chi phí cho mạng VPN mở rộng thấp nhiều so với mạng truyền thống - Dễ dàng thiết lập, bảo trì dễ dàng thay đổi mạng hoạt động - Vì mạng VPN mở rộng xây dựng dựa mạng Internet nên có nhiều hội việc cung cấp dịch vụ chọn lựa giải pháp phù hợp với nhu cầu cơng ty - Bởi kết nối Internet nhà cung cấp dịch vụ Internet bảo trì, nên giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, giảm chi phí vận hành toàn mạng Bên cạnh ưu điểm giải pháp mạng VPN mở rộng nhược điểm như: - Khả bảo mật thông tin, liệu truyền qua mạng công cộng tồn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực, thách thức lớn môi trường Internet - Làm tăng khả rủi ro mạng cục công ty LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... vào nhà cung cấp dịch vụ để trì tính tồn vẹn bảo mật liệu truyền mạng Các mạng riêng xây dựng đường dây thuê thuộc dạng “trusted VPN? ?? Mạng riêng ảo an tồn mạng riêng ảo có sử dụng mật mã để bảo. .. bàn VPN dựa Internet Khi nói đến mạng riêng ảo VPN phải hiểu mạng riêng ảo dựa Internet 1.1 Định nghĩa Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng. .. bảo mật liệu Dữ liệu đầu mạng mật mã chuyển vào mạng cơng cộng (ví dụ: mạng Internet) liệu khác để truyền tới đích sau giải mã liệu phía thu Dữ liệu mật mã coi truyền đường hầm (tunnel) bảo mật