1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Đề tài Cài đặt mạng riêng ảo VPN

74 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 74
Dung lượng 2,07 MB

Nội dung

Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng. Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:  Thứ nhất, thuê các đường Leasedline của các nhà cung cấp dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.  Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp này lại không đáp ứng được tính bảo mật cao. Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leasedline. Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng. Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế.

LỜI MỞ ĐẦU Ngày nay, với phát triển nhanh chóng khoa học kỹ thuật đặc biệt Cơng nghệ thơng tin Viễn thơng góp phần quan trọng vào phát triển kinh tế giới Các tổ chức, doanh nghiệp có nhiều chi nhánh, cơng ty đa quốc gia q trình hoạt động ln phải trao đổi thông tin với khách hàng, đối tác, nhân viên họ Chính địi hỏi phải ln nắm bắt thơng tin nhất, xác nhất, đồng thời phải đảm bảo độ tin cậy cao chi nhánh khắp giới, với đối tác khách hàng Để đáp ứng yêu cầu khứ có hai loại hình dịch vụ Viễn thơng mà tổ chức, doanh nghiệp chọn lựa sử dụng cho kết nối là:  Thứ nhất, thuê đường Leased-line nhà cung cấp dịch vụ để kết nối tất mạng công ty lại với Phương pháp tốn cho việc xây dựng ban đầu trình vận hành, bảo dưỡng hay mở rộng sau  Thứ hai, họ sử dụng Internet để liên lạc với nhau, nhiên phương pháp lại không đáp ứng tính bảo mật cao Sự đời kỹ thuật mạng riêng ảo VPN dung hoà hai loại hình dịch vụ trên, xây dựng sở hạ tầng sẵn có mạng Internet lại có tính chất mạng cục sử dụng đường Leased-line Vì vậy, nói VPN lựa chọn tối ưu cho doanh nghiệp kinh tế Với chi phí hợp lý, VPN giúp doanh nghiệp tiếp xúc tồn cầu nhanh chóng hiệu so với giải pháp mạng diện rộng WAN Với VPN, ta giảm chi phí xây dựng tận dụng sở hạ tầng công cộng sẵn có, giảm chi phí thường xun, mềm dẻo xây dựng Ở Việt Nam, kinh tế thời kỳ phát triển hội nhập quốc tế nhu cầu sử dụng VPN vừa đáp ứng yêu cầu thông tin, vừa giải khó khăn kinh tế Với việc nghiên cứu đề tài: “Cài đặt mạng riêng ảo (VPN) ”, chúng em hy vọng góp phần tìm hiểu Cơng nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN Nội dung tìm hiểu đề tài gồm chương trình bày vấn đề mạng VPN Chương 1: Nêu số khái niệm tổng quan, đặc điểm VPN, từ làm sở để phân loại mạng VPN, đưa thuận lợi khó khăn sử dụng loại hình VPN đó, nêu thành phần mạng riêng ảo Chương 2: Đây chương trọng tâm giới thiệu kĩ thuật Tunneling, đặc điểm hoạt động giao thức đường hầm L2F, PPTP, L2TP, IPSec sử dụng VPN Chương 3: Cài đặt minh họa bước thiết lập mạng riêng ảo máy ảo Chương 4: Nêu vấn đề bảo mật VPN, phần quan trọng VPN Bảo mật VPN bao gồm: trình mật mã xác thực Trong chương giới thiệu giải pháp, thuật toán mã hoá xác thực VPN Chương 5: Trình bày số vấn đề liên quan tới vai trò ý nghĩa, nhược điểm số vấn đề cần ý mạng riêng ảo CHƯƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN Cụm từ Virtual Private Network (mạng riêng ảo) thường gọi tắt VPN kỹ thuật xuất từ lâu, nhiên thực bùng nổ trở nên cạnh tranh xuất công nghệ mạng thông minh với đà phát triển mạnh mẽ Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) mạng riêng ảo an toàn (Secure VPN) Mạng riêng ảo kiểu tin tưởng xem số mạch thuê nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động đường dây mạng cục Tính riêng tư trusted VPN thể chỗ nhà cung cấp dịch vụ đảm bảo khơng có sử dụng mạch thuê riêng Khách hàng mạng riêng ảo loại tin tưởng vào nhà cung cấp dịch vụ để trì tính tồn vẹn bảo mật liệu truyền mạng Các mạng riêng xây dựng đường dây thuê thuộc dạng “trusted VPN” Mạng riêng ảo an toàn mạng riêng ảo có sử dụng mật mã để bảo mật liệu Dữ liệu đầu mạng mật mã chuyển vào mạng công cộng (ví dụ: mạng Internet) liệu khác để truyền tới đích sau giải mã liệu phía thu Dữ liệu mật mã coi truyền đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù kẻ cơng nhìn thấy liệu đường truyền khơng có khả đọc liệu mã hóa Mạng riêng ảo xây dựng dựa Internet mạng riêng ảo kiểu an toàn, sử dụng sở hạ tầng mở phân tán Internet cho việc truyền liệu site cơng ty Trọng tâm đồ án tốt nghiệp bàn VPN dựa Internet Khi nói đến mạng riêng ảo VPN phải hiểu mạng riêng ảo dựa Internet 1.1.Định nghĩa Mạng riêng ảo VPN (VirtualPrivateNetwork) định nghĩa kết nối mạng triển khai sở hạ tầng mạng cơng cộng (như mạng Internet) với sách quản lý bảo mật giống mạng cục Mạng riêng (LAN) Mạng riêng (LAN) Đường hầm Router Router Internet Router Router Router Router Hình 1.1: Mơ hình VPN Các thuật ngữ dùng VPN sau: Virtual- nghĩa kết nối động, không gắn cứng tồn kết nối lưu lượng mạng chuyển qua Kết nối thay đổi thích ứng với nhiều mơi trường khác có khả chịu đựng khuyết điểm mạng Internet Khi có u cầu kết nối thiết lập trì bất chấp sở hạ tầng mạng điểm đầu cuối Private- nghĩa liệu truyền ln ln giữ bí mật bị truy cập nguời sử dụng trao quyền Điều quan trọng giao thức Internet ban đầu TCP/IP- không thiết kế để cung cấp mức độ bảo mật Do đó, bảo mật cung cấp cách thêm phần mềm hay phần cứng VPN Network- thực thể hạ tầng mạng người sử dụng đầu cuối, trạm hay node để mang liệu Sử dụng tính riêng tư, cơng cộng, dây dẫn, vơ tuyến, Internet hay tài nguyên mạng dành riêng khác sẵn có để tạo mạng Khái niệm mạng riêng ảo VPN khái niệm mới, chúng sử dụng mạng điện thoại trước số hạn chế mà công nghệ VPN chưa có sức mạnh khả cạnh tranh lớn Trong thời gian gần đây, phát triển mạng thông minh, sở hạ tầng mạng IP làm cho VPN thực có tính mẻ VPN cho phép thiết lập kết nối riêng với người dùng xa, văn phòng chi nhánh công ty đối tác công ty sử dụng chung mạng công cộng 1.2.Lịch sử phát triển VPN Sự xuất mạng chuyên dùng ảo, gọi mạng riêng ảo (VPN), bắt nguồn từ yêu cầu khách hàng (client), mong muốn kết nối cách có hiệu với tổng đài thuê bao (PBX) lại với thông qua mạng diện rộng (WAN) Trước kia, hệ thống điện thoại nhóm mạng cục (LAN) trước sử dụng đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực việc thông tin với Các mốc đánh dấu phát triển VPN: • Năm 1975, Franch Telecom đưa dịch vụ Colisee, cung cấp dịch vụ dây chuyên dùng cho khách hang lớn Colisee cung cấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ vào lượng dịch vụ mà đưa cước phí nhiều tính quản lý khác • Năm 1985, Sprint đưa VPN, AT&T đưa dịch vụ VPN có tên riêng mạng định nghĩa phần mềm SDN • Năm 1986, Sprint đưa Vnet, Telefonica Tây Ban Nha đưa Ibercom • Năm 1988, nổ đại chiến cước phí dịch vụ VPN Mỹ, làm cho số xí nghiệp vừa nhỏ chịu cước phí sử dụng VPN tiết kiệm gần 30% chi phí, kích thích phát triển nhanh chóng dịch vụ Mỹ • Năm 1989, AT&T đưa dịch vụ quốc tế IVPN GSDN • Năm 1990, MCI Sprint đưa dịch vụ VPN quốc tế VPN; Telstra Ô-xtrây-li-a đưa dich vụ VPN rong nước khu vục châu Á – Thái Bình Dương • Năm 1992, Viễn thơng Hà Lan Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN • Năm 1993, AT&T, KDD viễn thông Singapo tuyên bố thành lập Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, có dịch vụ VPN • Năm 1994, BT MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)… • Năm 1995, ITU-T đưa khuyến nghị F-16 dịch vụ VPN tồn cầu (GVPNS) • Năm 1996, Sprint viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One • Năm 1997 coi năm rực rỡ cơng nghệ VPN, Cơng nghệ có mặt khắp tạp chí khoa học cơng nghệ, hội thảo…Các mạng VPN xây dựng sở hạ tầng mạng Internet công cộng mang lại khả mới, nhìn cho VPN Cơng nghệ VPN giải pháp thông tin tối ưu cho công ty, tổ chức có nhiều văn phịng, chi nhánh lựa chọn Ngày nay, với phát triển công nghệ, sở hạ tầng mạng IP (Internet) ngày hoàn thiện làm cho khả VPN ngày hồn thiện Hiện nay, VPN khơng dùng cho dịch vụ thoại mà dùng cho dịch vụ liệu, hình ảnh dịch vụ đa phương tiện 1.3.Chức ưu điểm 1.3.1.Chức VPN cung cấp ba chức là: tính xác thực (Authentication), tính tồn vẹn (Integrity) tính bảo mật (Confidentiality) a) Tính xác thực : Để thiết lập kết nối VPN trước hết hai phía phải xác thực lẫn để khẳng định trao đổi thơng tin với người mong muốn khơng phải người khác b) Tính tồn vẹn : Đảm bảo liệu không bị thay đổi hay đảm bảo khơng có xáo trộn q trình truyền dẫn c) Tính bảo mật : Người gửi mã hố gói liệu trước truyền qua mạng công cộng liệu giải mã phía thu Bằng cách làm vậy, khơng truy nhập thơng tin mà khơng phép Thậm chí có lấy không đọc 1.3.2.Ưu điểm VPN mang lại lợi ích thực tức thời cho công ty Có thể dùng VPN khơng để đơn giản hố việc thông tin nhân viên làm việc xa, người dùng lưu động, mở rộng Intranet đến văn phịng, chi nhánh, chí triển khai Extranet đến tận khách hàng đối tác chủ chốt mà cịn làm giảm chi phí cho cơng việc thấp nhiều so với việc mua thiết bị đường dây cho mạng WAN riêng Những lợi ích dù trực tiếp hay gián tiếp bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả mở rộng (scalability) số ưu điểm khác a) Tiết kiệm chi phí Việc sử dụng VPN giúp cơng ty giảm chi phí đầu tư chi phí thường xuyên Tổng giá thành việc sở hữu mạng VPN thu nhỏ, phải trả cho việc thuê băng thông đường truyền, thiết bị mạng đường trục trì hoạt động hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn việc truy cập từ xa giảm từ 60 tới 80% Ta thấy rõ ưu điểm VPN qua việc so sánh chi phí sử dụng đường thuê riêng T1 (1.5 Mbit/s) với chi phí sử dụng Internet VPN Bảng 1: Chi phí hàng tháng cho mạng dùng đường thuê riêng đơn so với Internet VPN (2002) Thành phố Boston-New York New Yor-Washington Tổng Khoảng cách (dặm) 194 235 Chi phí cho T1 $4.570 $4.775 $9.345 Cho phí cho Internet VPN $1.900 $1.900 $3.800 Bảng 2: Chi phí hàng tháng cho mạng dùng đường thuê kép so với Internet VPN.(2002) Thành phố San FranCisco- Denver Denver-chicago Chicago-New York Denver-Salt Lake Denver-Dallas New York-Washington New York- Boston Tổng Khoảng cách (dặm) 1.267 1.023 807 537 794 235 194 Chi phí cho T1 Chi phí cho Internet $13.535 $12.315 $11.235 $6.285 $7.570 $4.775 $4.570 $60.285 VPN $1.900 $1.900 $1.900 $1.900 $1.900 $1.900 $1.900 $13.300 b)Tính linh hoạt Tính linh hoạt khơng linh hoạt trình vận hành khai thác mà cịn thực mềm dẻo u cầu sử dụng Khách hàng sử dụng kết nối T1, T3 văn phòng nhiều kiểu kết nối khác sử dụng để kết nối văn phòng nhỏ, đối tượng di động Nhà cung cấp dịch vụ VPN cung cấp nhiều lựa chọn cho khách hàng, kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 … c) Khả mở rộng Do VPN xây dựng dựa sở hạ tầng mạng cơng cộng (Internet), nơi có mạng cơng cộng triển khai VPN Mà mạng cơng cộng có mặt khắp nơi nên khả mở rộng VPN linh động Một quan xa kết nối cách dễ dàng đến mạng công ty cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ có nhu cầu Khả mở rộng băng thơng văn phịng, chi nhánh u cầu băng thơng lớn nâng cấp dễ dàng d) Giảm thiểu hỗ trợ kỹ thuật Việc chuẩn hoá kiểu kết nối từ đối tượng di động đến POP ISP việc chuẩn hoá yêu cầu bảo mật làm giảm thiểu nhu cầu nguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, mà nhà cung cấp dịch vụ đảm nhiệm nhiệm vụ hỗ trợ mạng nhiều yêu cầu hỗ trợ kỹ thuật người sử dụng ngày giảm e) Giảm thiểu yêu cầu thiết bị Bằng việc cung cấp giải pháp đơn cho xí nghiệp truy cập quay số truy cập Internet, VPN yêu cầu thiết bị hơn, đơn giản nhiều so với việc bảo trì modem riêng biệt, card tương thích (adapter) cho thiết bị đầu cuối máy chủ truy cập từ xa Một doanh nghiệp thiết lập thiết bị khách hàng cho môi trường đơn, mơi trường T1, với phần cịn lại kết nối thực ISP Bộ phận T1 làm việc thiết lập kết nối WAN trì cách thay đổi dải modem mạch nhân Frame Relay kết nối diện rộng đơn đáp ứng nhu cầu lưu lượng người dùng từ xa, kết nối LAN-LAN lưu lượng Internet lúc f)Đáp ứng nhu cầu thương mại Các sản phẩm dịch vụ VPN tuân theo chuẩn chung nay, phần để đảm bảo khả làm việc sản phẩm có lẽ quan trọng để sản phẩm nhiều nhà cung cấp khác làm việc với Đối với thiết bị Công nghệ Viễn thông vấn đề cần quan tâm chuẩn hố, khả quản trị, khả mở rộng, khả tích hợp mạng, tính kế thừa, độ tin cậy hiệu suất hoạt động, đặc biệt khả thương mại sản phẩm 1.4.Phân loại Mục tiêu đặt công nghệ mạng VPN thoả mãn ba yêu cầu sau: - Tại thời điểm, nhân viên cơng ty truy nhập từ xa di động vào mạng nội cơng ty - Nối liền chi nhánh, văn phịng di động - Khả điều khiển quyền truy nhập khách hàng, nhà cung cấp dịch vụ đối tượng bên khác Dựa vào yêu cầu trên, mạng riêng ảo VPN phân làm ba loại: - Mạng VPN truy nhập từ xa (Remote Access VPN) - Mạng VPN cục (Intranet VPN) - Mạng VPN mở rộng (Extranet VPN) 1.4.1.Mạng VPN truy cập từ xa (Remote Access VPN) Remote Access gọi Dial-up riêng ảo (VPDN) kết nối người dùngđến-LAN, VPN truy nhập từ xa cung cấp khả truy nhập từ xa Tại thời điểm, nhân viên, chi nhánh văn phòng di động có khả trao đổi, truy nhập vào mạng công ty Kiểu VPN truy nhập từ xa kiểu VPN điển hình Bởi vì, VPN thiết lập thời điểm nào, từ nơi có mạng Internet VPN truy nhập từ xa mở rộng mạng công ty tới người sử dụng thông qua sở hạ tầng chia sẻ chung, sách mạng cơng ty trì Chúng dùng để cung cấp truy nhập an toàn từ thiết bị di động, người sử dụng di động, chi nhánh bạn hàng công ty Những kiểu VPN thực thông qua sở hạ tầng công cộng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL công nghệ cáp thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng Ví dụ cơng ty muốn thiết lập VPN lớn đến nhà cung cấp dịch vụ doanh nghiệp (ESP) Doanh nghiệp tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng xa phần mềm máy khách cho máy tính họ sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an toàn, có mật mã Hình 1.2 : Mơ hình mạng VPN truy nhập từ xa Các ưu điểm mạng VPN truy nhập từ xa so với phương pháp truy nhập từ xa truyền thống như:  Mạng VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng trình kết nối từ xa ISP thực  Giảm chi phí cho kết nối từ khoảng cách xa kết nối khoảng cách xa thay kết nối cục thông qua mạng Internet  Cung cấp dịch vụ kết nối giá rẻ cho người sử dụng xa  Bởi kết nối truy nhập nội nên Modem kết nối hoạt động tốc độ cao so với truy nhập khoảng cách xa  VPN cung cấp khả truy nhập tốt đến site cơng ty chúng hỗ trợ mức thấp dịch vụ kết nối Mặc dù có nhiều ưu điểm mạng VPN truy nhập từ xa nhược điểm cố hữu như:  Mạng VPN truy nhập từ xa không hỗ trợ dịch vụ đảm bảo QoS  Nguy bị liệu cao Hơn nữa, nguy gói bị phân phát khơng đến nơi gói  Bởi thuật tốn mã hố phức tạp, nên tiêu đề giao thức tăng cách đáng kể 10 làm giảm đáng kể số tổ hợp cần thử cơng kiểu brute force, có tác dụng che dấu trạng thái bên thuật tốn băm khó khăn nhiều cho kẻ cơng để từ đầu vòng băm thứ hai tới kết trung gian vòng băm thứ Phương pháp mã xác thực tính tồn vẹn sử dụng MAC có ưu điểm thực nhanh hiệu việc tạo MAC dựa hàm băm tương đối đơn giản, thường sử dụng để xác thực cụm liệu tốc độ cao (sử dụng cho gói tin IPSec) Nhược điểm phương pháp phía thu phải biết khố bí mật kiểm tra tính tồn vẹn tin, dẫn đến vấn đề phải phân phối khố cách an tồn c)Chữ ký số (Digital Signature) Chữ ký số phương pháp khác để để bảo vệ chống sửa đổi bất hợp pháp nội dung tin Chữ ký số thực cách mật mã giá trị hash thu từ hàm băm chiều Giá trị hash (MD5 SHA) tin mật mã với khố bí mật phía phát để tạo thành chữ ký số truyền với tin tương ứng Phía phát Phía thu Tài liệu tin Tài liệu tin Hàm hash Giá trị hash Giá trị hash Kênh truyền dẫn Giá trị hash Mã hoá với khoá riêng Mã hoá với khoá cơng cộng Chữ ký Chữ ký So sánh Hình 4.4: Chữ ký số Phía thu tính lại mã hash từ tin thu được, đồng thời giải mã chữ ký số kèm với tin Nếu giá trị giải mã trùng khớp với giá trị hash tính kết luận tính tồn vẹn tin, có phía phát có khố bí mật để mật mã chữ ký Do khố cơng cộng phân phối rộng rãi, nên người dùng xác định tính tồn vẹn tin Phương pháp tránh vấn đề phân phối khố an tồn, q trình mật mã giải mã sử dụng khố bí mật/cơng khai thực chậm Vì phương pháp sử dụng để xác thực đối tác thời điểm ban đầu phiên trao đổi thông tin 4.3.Mã hoá Mã hoá thực dựa hai thành phần: thuật tốn khố Một thuật toán mã hoá chức toán học nối phần văn hay thông tin dễ hiểu với chuỗi số gọi khoá để tạo văn mật mã khó hiểu Có nhiều thuật tốn mã hố khác nhau, có vài thuật tốn mã hố đặc biệt khơng sử dụng khố có sẵn với thuật tốn sử dụng khoá sử dụng nhiều Mã hoá hệ thống khoá cung cấp hai ưu điểm quan trọng là: • Bằng việc dùng khố sử dụng thuật tốn để truyền thông với nhiều người, người dùng sử dụng khố • Nếu tin mã hoá bị bẻ gãy, cần chuyển khoá để bắt đầu mã hố tin lại mà khơng cần phải đổi thuật tốn để thực q trình Một thuật tốn mã hố tốt phải có tính chất: • Bảo mật chống lại cơng tới cryptographic • Khả mở rộng, chiều dài khố thây đổi • Bất kỳ thay đổi tới văn lối vào mã hoá làm thay đổi lớn lối mã hố • Khơng hạn chế nhập vào hay xuất Có nhiều kiểu thuật tốn mã hố khác sử dụng Tuy nhiên, có hai kiểu thuật tốn mã hố sử dụng khố sử dụng phổ biến là: thuật tốn mã hố khố bí mật (secret key) hay cịn gọi mã hố đối xứng (symmetric) thuật tốn mã hố khố cơng cộng (Public key) Số khố mà thuật tốn cung cấp phụ thuộc vào số bit khố Ví dụ, khố dài bit cho phép có 8=256 khố, khố dài 40 bit cho phép có 240 khố Số khố lớn khả tin mã hố bị bẻ khố thấp Mức độ khó phụ thuộc vào chiều dài khoá 4.3.1.Thuật toán mã hoá khố bí mật (hay đối xúng) Shared Secret Key Clear Message Shared Secret Key E n c ry p t Ecryption Message D e c ry p t Clear Message Hình 4.5: Mã hố khố bí mật hay đối xứng Thuật toán đối xứng đựoc định nghĩa thuật toán khoá chia sẻ sử dụng để mã hoá giải mã tin Các thuật toán mã hoá đối xứng sử dụng chung khoá để mã hoá giải mã tin, điều có nghĩa bên gửi bên nhận thoả thuận, đồng ý sử dụng khố bí mật để mã hố giải mã Khi ta có nhiều trao đổi với N người khác ta phải giữ dấu N khố bí mật với khố dùng cho trao đổi Ưu điểm mã hố khố đối xứng: • Thuật tốn mã hố giải mã nhanh, phù hợp với khối lng ln thụng tin ã Chiu di khoỏ t 40ữ168 bit • Các tính tốn tốn học dễ triển khai phần cứng • Người gửi người nhận chia sẻ chung mật Cơ chế mã hoá đối xứng nảy sinh vấn đề là: • Việc nhận thực đặc điểm nhận dạng nhận dạng tin khơng thể chúng minh • Do hai bên chiếm giữ khoá giống nên tạo mã hố cho người khác gửi tin Điều gây nên cảm giác không tin cậy nguồn gốc tin Một số thuật tốn đối xứng DES (Data Encryption Standard) có độ dài khố 56 bit, 3DES có độ dài khố 168 bit AES (Advanced Encryption Standard) có độ dài khố 128 bit, 256 bit 512 bit Tất thuật toán sử dụng khoá để mã hoá giải mã thơng tin a)Thuật tốn DES (Data Encryption Standard) Chuẩn mật mã liệu DES đưa từ năm 1977 Mỹ sử dụng rộng rãi DES sở để xây dựng thuật toán tiên tiến 3DES Hiện DES sử dụng cho ứng dụng khơng địi hỏi tính an tồn cao, chuẩn mật mã AES chưa thức thay Paintext Block (64 bit) Key (64 bít) Hốn vị khởi tạo (IP) Bỏ Parity (56 bit) Round Round Round 16 Hoán vị đảo (RP) Ciphertext Block (64 bits) Hình 4.6: Sơ đồ thuật toán DES DES kết hợp hai kỹ thuật mật mã xáo trộn (confusion) xếp lại (defusion) Hai kỹ thuật thực vòng (round) với đầu vào khối liệu plaintext khố DES có 16 vòng, hai kỹ thuật thực khối plaintext 16 lần Mỗi vịng thuật tốn DES có khố 48 bit riêng cách liên tục dịch hoán vị khoá 56 bit vịng Độ dài khố 56 bit thực chất 64 bit, có bit kiểm tra chẵn lẻ bit bị loại bỏ khoá đưa vào thuật toán DES Trước thực thuật toán DES, khối plaintext 64 bit qua bước hốn vị khởi tạo IP (Initial Permutation), khơng phụ thuộc vào khố Sau thực 16 vịng lặp, liệu qua bước hoán vị đảo RP (Reversed Permutation) tạo thành khối tin mã hố (ciphertext) Thực chất bước hốn vị khơng làm tăng tính an tồn cho DES Một phiên DES DES gọi thuật tốn thực ba hoạt động mã hố liệu Nó thực q trình mã hố, q trình giải mã sau q trình mã hố khác, q trình thực với khố 56 bit khác Qúa trình tạo khoá kết hợp 168 bit, cung cấp phương thức mã hoá mạnh Tất sản phẩm phần mềm Cisco VPN hỗ trợ thuật toán mã hoá 3DES với khoá 168 bit thuật toán DES 56 bit b)Giới thiệu AES Hiện có nhiều tổ chức uy tín đề nghị đưa thuật tốn cho AES ví dụ như: thuật tốn MARS (IBM), RC6 (RSA), Twofish (Bruce Schneier), Rijndael (Joan Daemen/ Vincent Rijmen).v.v Năm 2000 NIST (US National Institute of Standard and Technology) chọn thuật toán Rijndael: thực mạng hoán vị thay cải tiến, 10 vòng cho chuẩn AES Trong tương lai, AES chuẩn mật mã khối đối xứng thực phần cứng phần mềm AES thiết kế để tăng độ dài khoá câng thiết Độ dài khối liệu AES 128 bit, cịn độ dài khố k=128, 192, 256 bit 4.3.2.Thuật tốn mã hố khố cơng cộng Thuật tốn mã hố khố cơng cộng định nghĩa thuật toán sử dụng cặp khoá để mã hoá giải mã bảo mật tin Theo thuật tốn sử dụng khố để mã hoá khoá khác để giải mã hai khố có liên quan với tạo thành cặp khoá tin, có hai khố mã hố giải mã cho Transfer’s Public Key clear Message Receive’s Public Key E n c ry p t Encrypted Message D e c ry p t clear Message Hình 4.7: Thuật tốn mã hố khố cơng cộng Ưu điểm thuật tốn mã hố khố cơng cộng • Khố cơng cộng khố đơi phân phát sẵn sang mà không sợ điều làm ảnh hưởng đến việc sử dụng khố riêng Khơng cần phải gửi chép khố cơng cộng cho tất đáp ứng mà lấy từ máy chủ trì công ty nhà cung cấp dịch vụ • Cho phép xác thực nguồn phát tin • Nhươc điểm mã hố khố cơng cộng q trình mã hố giải mã châm, chậm nhiều so với mã hố khố bí mật Do thường sử dụng để mã hoá khoá phiên, lượng liệu nhỏ Một số thuật tốn sử dụng mã hố khố cơng cộng RSA, Diffie-Hellman a)Hệ thống mật mã khố cơng khai RSA Kỹ thuật mã hố khố cơng cộng RSA phát triển năm 1977, tên RSA bắt nguồn từ tên ba nhà phát triển là: Ron Rivest, Adir Shamir Leonard Adleman Cơ sở thuật toán dựa tính phức tạp phép phân tích số tự nhiên lớn thành ước số nguyên tố, hiểu dễ dàng nhân A B kết C không dễ dàng suy A B biết C, với A, B số tương đối lớn Khoá RSA bao gồm ba giá trị số đặc biệt sử dụng cặp để mã hoá giải mã liệu Khố cơng cộng RSA gồm giá trị khố công cộng (thường 317 hay 65.537) mạch toán modulus để lấy giá trị tuyệt đối Modulus sản phẩm hai số lớn chọn cách ngẫu nhiên, liên kết cách toán học đến khố cơng cơng chọn Khố riêng tính tốn từ hai số phát từ modulus giá trị khố cơng cộng Thực tế, để thực thuật tốn mật mã khố cơng khai RSA cịn phải liên quan đến loạt vấn đề lý thuyết số phức tạp, thuật tốn Euclide để tìm ƯSCLN hai số nguyên, thuật toán Miller-Rabin để kiểm tra tính nguyên tố số tự nhiên lớn Kỹ thuật tạo khố cơng cộng phù hợp với khoá riêng đặc biệt Điều tạo cho RSA ưu điểm cho phép người khố riêng mã hố liệu với khố đó, người có khố cơng cộng giải mã sau b) Kỹ thuật Diffie-Hellman Kỹ thuật Diffie-Hellman thuật tốn mã hố khố cơng cộng thực tế thực tế kỹ thuật úng dụng nhiều cho việc quản lý khoá Thuật toán DH cho phép tự động bảo mật trao đổi khoá qua mạng khơng an tồn Với DH, đối tượng ngang hàng tạo cặp khoá chung riêng Khoá riêng tạo đối tượng ngang hàng giữ bí mật, khơng chia sẻ Khố chung tính tốn từ khố riêng đối tượng ngang hàng truyền kênh khơng an tồn Mỗi đối tượng tổ hợp khố chung đối tượng ngang hàng khác với khoá riêng chúng, tính tốn để tao số mật mã chia sẻ Số mật mã chia sẻ đựoc biến đổi thành khoá chia sẻ Khoá mật mã chia sẻ ln truyền kênh khơng an tồn Trao đổi khoá DH phương thức trao đổi khoá chung cung cấp cho hai đối tượng ngang hàng IPSec thiết lập mật mã chia sẻ mà chúng biết CHƯƠNG ĐÁNH GIÁ VỀ VAI TRÒ VÀ Ý NGHĨA CỦA MẠNG VPN 5.1.Về phía cơng ty Một VPN thiết kế tốt đem đến nhiều lợi ích cho cơng ty, như: • Mở rộng kết nối nhiều khu vực giới • Tăng cường an ninh mạng • Giảm chi phí so với thiết lập mạng WAN truyền thống • Giúp nhân viên làm việc từ xa, giảm chi phí giao thơng tăng khả tương tác • Đơn giản hố mơ hình kiến trúc mạng • Cung cấp hội kết nối toàn cầu (điều khó đắt kết nối trực tiếp đường truyền riêng) • Hỗ trợ làm việc từ xa • Cung cấp khả tương thích với mạng lưới băng thơng rộng • Giúp thu hồi vốn nhanh (return on investment) so với mạng WAN truyền thống • Quản lý dễ dàng: trường có khả quản lý số lượng người sử dụng (khả thêm, xoá kênh kết nối liên tục, nhanh chóng) Hiện nhu cầu sử dụng tư vấn từ bên ngoài, nguồn lực từ bên ngồi để phục vụ cho cơng tác kinh doanh trở thành xu hướng • Khả lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, sử dụng cơng nghệ DSL • Khả cung cấp dịch vụ cách nhanh chóng: VPN cung cấp mạng IP tích hợp số ưu điểm mạng khả liên kết lớn, mạng lưới sẵn có giảm thiểu thời gian cung cấp dịch vụ 5.2.Đối với nhà cung cấp dịch vụ • Tăng doanh thu từ lưu lượng sử dụng xuất phát từ dịch vụ gia tăng giá trị khác kèm theo • Tăng hiệu sử dụng mạng internet • Đầu tư khơng lớn hiệu đem lại cao • Tính an tồn • Kéo theo khả tư vấn thiết kế mạng cho khách hàng yếu tố quan trọng tạo mối quan hệ gắn bó nhà cung cấp dịch vụ với khách hàng đặc biệt khách hàng lớn • Mở lĩnh vực kinh doanh nhà cung cấp dịchvụ Thiết bị sử dụng cho mạng VPN • Tuy nhiên bên cạnh VPN có nhược điểm : • Phụ thuộc môi trường Internet • Thiếu hổ trợ cho số giao thức kế thừa • Những Ðiều Cần Quan Tâm Trong VPNs : • Thao tác thiết bị nhà cung cấp khác • Quản lý tập trung • Dễ triển khai • Dễ sử dụng • Scalability • Hiệu xuất • Quản lý băng thông • Lựa chọn nhà cung cấp dịch vụ (ISP) • Bảo vệ mạng từ liệu gởi tự nhiên bên 5.2.Nhược điểm VPN • Phụ thuộc nhiều vào chất lượng mạng Internet Sự tải hay tắt nghẽn mạng làm ảnh hưởng xấu đến chất lượng truyền tin máy mạng VPN • Thiếu giao thức kế thừa hỗ trợ: VPN dựa hoàn toàn sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) thiết bị giao thức kế thừa cho việc truyền tin ngày Kết VPN không phù hợp với thiết bị giao thức Vấn đề giải cách chừng mực “tunneling mechanisms” Nhưng gói tin SNA lưu lượng non-IP bên cạnh gói tin IP làm chậm hiệu suất làm việc mạng 5.4.Những điều cần quan tâm VPN Đảm bảo hoạt động liên tục mạng, đặc biệt mạng lớn vấn đề đóng vai trị quan trọng Người quản trị mạng phải nắm bắt đầy đử thường xuyên thông tin cấu hình, cố tất số liệu liên quan đến việc sử dụng mạng Trong mạng VPN cần ý đến vấn đề: quản lý bảo mật, quản lý địa IP quản lý chất lượng mạng 5.4.1.Quản lý bảo mật (mật mã xác thực) Quản lý bảo mật không bao hàm việc xác thực người dùng từ vị trí khác nhau, điều khiển quyền truy cập mà cịn có quản lý khố, liên kết với thiết bị VPN Quản lý bảo mật bao gồm quản lý vấn đề sau: • Các sách bảo mật thống • Quản lý khố cho cổng nối • Quản lý khố cho người dùng • Các dịch vụ xác thực • Quản lý CA nội • Điều khiển quyền truy cập 5.4.2.Quản lý địa Sự phát triển bùng nổ việc sử dụng địa IP để truyền thông liệu, tổ chức thương mại dẫn tới số vấn đề việc cấp phát quản lý địa IP Không gian địa IPv4 có 32 bit, cung cấp 232=4.294.967.296 địa không đủ cung cấp Các giải pháp ngắn hạn sử dụng để giải thiếu hụt địa Tuy nhiên, tương lai IPv6 với trường địa dài 128 bit cung cấp 2128 địa Quản lý địa cần quan tâm: • Địa IPv4 • Cấp phát địa • NAT địa riêng 5.4.3.Quản lý chất lượng Quản lý chất lượng hiểu thực biện pháp để đảm bảo chất lượng mạng VPN, bao gồm: • Hiệu suất mạng • Giám sát hiệu suất ISP SLA • Hiệu suất VPN KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng sở hạ tầng mạng công cộng để xây dựng mạng WAN riêng, với ưu điểm mặt giá thành, phạm vi không hạn chế, linh hoạt triển khai mở rộng mạng Ngày nay, VPN hữu ích hữu ích tương lai Các chuẩn thi hành, điều cải tiến khả liên vận hành quản lý Chất lượng mạng VPN cải thiện, cho phép cung cấp ứng dụng hội nghị truyền hình, điện thoại IP, dịch vụ đa phương tiện Đề tài tìm hiểu số vấn đề kỹ thuật liện quan đến việc thực VPN, nội dung gồm vấn đề chính: • Các khái niệm bản, đặc điểm giao thức đường hầm L2F, PPTP, L2TP IPSec Nguyên tắc hoạt hoạt động VPN dựa giao thức đường hầm • Trong số giao thức đường hầm có, IPSec đáp ứng tốt nhu cầu cao an tồn liệu, giải pháp cho bảo mật VPN tổ chức, công ty Tuy nhiên, IPSec hỗ trợ luồng IP chiều; gói liệu IP chiều đường hầm hố, sau kiểu đóng gói cung cấp IPSec đủ đơn giản để cấu hình sửa chữa Để tạo đường hầm cho IP nhiều hướng ta sử dụng L2TP, với luồng lưu lượng mạng sử dụng mạng, thiết bị Microsoft L2TP lựa chọn tốt L2TP phù hợp với VPN truy cập từ xa hỗ trợ đa giao thức Tuy nhiên, L2TP khơng hỗ trợ mã hố liệu tính tồn vẹn liệu sử dụng IPSec kết hợp với L2TP giải pháp tồn vẹn • Các thành phần mạng VPN, vấn đề cần ý yêu cầu ISP với thiết bị phần cứng, phần mềm để xây dựng mạng VPN Một điều thuận lợi phát triển công nghệ nên thiết bị phần cứng hay phần mềm tích hợp nhiều chức năng, trở thành thiết bị dễ sử dụng, quản lý Hơn nữa, sở hạ tầng mạng cơng cộng ngày hồn thiện nên việc xây dựng mạng VPN dễ dàng chất lượng VPN tốt hơn, đáp ứng dịch vụ • Một số vấn đề bảo mật VPN, bảo mật liệu chống lại truy cập thay đổi trái phép Bảo mật VPN phải thực hai q trình là: Xác thực mật mã Phần giới thiệu số thuật toán xác thực, mật mã thường sử dụng mạng VPN PAP, CHAP, MD, SHA, MAC…, DES, AES, RAS, DH Hiện nay, IETF nhiều tổ chức uy tín đưa nhiều thuật tốn xác thực mã hố để hồn thiện chuẩn cho cơng nghệ • Các vấn đề quản lý VPN, bao gồm: quản lý bảo mật, quản lý địa quản lý chất lượng Trong xu toàn cầu hoá, thương mại hoá mạng IP thiết kế để truyền thông thống xung quanh World Wide Web (WWW) Extranet, để phù hợp với ứng dụng giao dịch thương mại, kinh doanh Extranet thường thiết lập đối tác kinh doanh thúc đẩy nhu cầu cho ứng dụng kinh doanh chi tiết, xử lý nhanh điều khiển kiểm tốn tốt cịn VPN phát triển với nhu cầu để cung cấp liên lạc bảo mật Internet chung, loại lưu lượng mà không cần quan tâm đến ứng dụng nên tương lai mở rộng VPN đến Extranet Ta xây dựng Extranet sở VPN, bước việc mở rộng VPN đến Extranet chuyển nhượng quyền truy cập đối tác Extranet đến tài nguyên đặc biệt bên bổ sung sở liệu đối tác đến hệ thống xác thực Với nhiều nhà quản lý, Extranet có nhiều thuận lợi cho việc liên lạc nhiều đối tác kinh doanh là: - Các Extranet thường xây dựng dựa giao thức TCP/IP, mà giao thức thuận lợi cho việc liên kết mạng (riêng) - Sử dụng Internet để liên kết mạng với độ linh động cao thủ tục kết thúc hoạt động ngắn hạn cần - Extranet luân chuyển xung quanh WWW, điều giúp cung cấp giao tiếp người dùng chung tới nhiều ứng dụng qua ranh giới công ty TÀI LIỆU THAM KHẢO )1 Trung Tâm Điện Toán Truyền Số Liệu Khu Vực I VDC Giáo Trình Quản Trị Mạng )2 Đai học Cần Thơ, Giáo Trình Mạng )3 Tìm hiểu mạng riêng ảo, http://vnexpress.net/GL/Vi-tinh/Kinh- nghiem/2006/08/3B9ECCB5/ )4 Mạng riêng ảo, http://vi.wikipedia.org/wiki/

Ngày đăng: 03/06/2023, 10:57

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w