HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - BÀI TẬP LỚN THIẾT KẾ ĐẢM BẢO AN TOÀN CHO DỊCH VỤ MẠNG RIÊNG ẢO (VPN) Giáo viên hướng dẫn: Vũ Thị Vân Sinh viên thực hiện: Nhóm 10: Nguyễn Văn Thiệu Nguyễn Anh Tuấn Tạ Việt Thảo Hoàng Xuân Trường Lớp: AT7B MỤC LỤC DANH MỤC HÌNH ẢNH Chương Vấn đề thiết kế mạng riêng ảo Một thiết kế chi tiết đầy đủ sở mạng Và điều với mạng riêng ảo Nếu có sai sót việc phân tích yêu cầu tổ chức theo kế hoạch bị sai sót có ảnh hưởng nhiều sau Chẳng hạn, có nhiều thứ gặp cố làm việc khơng mong muốn, Ngồi người dùng cuối phải chịu hậu việc lập kế hoạch không hợp lý Lúc thiết kế mạng, người thiết kế cần phải ln tn thủ định hướng, khơng bỏ sót thứ Vấn đề mà ta cần phải xem xét lúc triển khai thiết kế mạng riêng ảo bao gồm sau: - Bảo mật - Đánh địa IP định tuyến - Các vấn đề liên quan đến DNS - Các vấn đề Router/Gateway, Firewall NAT - Các xem xét Client Server - Hiệu suất thực thi - Khả mở rộng tính tương thích Sau đây, ta nghiên cứa riêng vấn đề 1.1 Bảo mật Một mạng riêng ảo mở rộng qua mạng công cộng “khơng an tồn” để kết nối cách an tồn tới nguồn tài nguyên mạng chi nhánh tổ chức Tuy nhiên, hầu hết quản trị mạng xem nhẹ vấn đề bảo mật mạng riêng ảo Đây vấn đề cần xem xét thiết kế mạng riêng ảo mạng riêng ảo có sử dụng mạng công cộng làm trung gian, mạng công cộng thường mở với tất cá nhân, đặc biệt với cá nhân có ý đồ xấu Điều làm cho mạng riêng ảo dễ bị công trước nhiều mối đe doạ, bao gồm giả mạo, bắt gói, sửa đổi nội dung thơng tin, cơng kiểu brute-force, công từ chối dịch vụ công giao thức mạng riêng ảo Khi xem xét đặc điểm thiết lập mạng riêng ảo, bốn thành phần bật kết nối mạng riêng ảo dễ bị cơng từ bên ngồi là: - Người dùng từ xa (người dùng cuối Client VPN): Thực thể phần nhân viên di động tổ chức người dùng cuối truy cập Intranet tổ chức từ nhà Thực thể sử dụng ID Password để làm việc từ xa Kết là, người dùng từ xa thường bị công vào ID Password Nếu kẻ cơng cá nhân có ý đồ xấu thu ID Password này, ta dễ dàng truy cập lại vào Intranet tổ chức tài nguyên - Phân đoạn kết nối tới ISP: Một người dùng từ xa hay chi nhánh yêu cầu tuỳ chọn truy cập đề kết nối tới POP ISP, thiết lập kết nối tới mạng đích Phân đoạn kết nối đường leased line kết nối quay số từ xa Kết nối đường Leased Line tồn chi nhánh xa Intranet ISP cung cấp thuê bao kết nối trực tiếp tới mạng ISP Mặc dù tuỳ chọn kết nối an toàn, đường leased line bị mắc rẽ để nghe trộm kẻ cơng nghe trộm truyền tin Các kết nối quay số rẻ nhiều so với đường thuê riêng thường dùng để kết nối người dùng từ xa với mạng tổ chức Các kết nối quay số có khả truy cập tới tất dễ dàng mắc rẽ vào để nghe trộm Điểm yếu làm cho chúng dễ bị nghe trộm Vì vậy, kết nối quay số khơng an tồn đường leased line Chú ý:Không quan tâm đến phân đoạn kết nối, việc nghe trộm phiên liên lạc cung câp cho kẻ cơng có địa IP máy chủ từ xa hợp lệ Kẻ cơng sau sử dụng thơng tin để giả mạo địa IP phá vỡ hàng rào an tồn tổ chức mà khơng gặp trở ngại Một vấn đề yếu khác gắn liền với phân đoạn kết nối, dù đường thuê riêng hay đường quay số, ISP có ý đồ xấu nhà cung cấp dịch vụ dễ dàng đọc tất liệu phiên liên lạc dễ dàng truy cập tới liệu bí mật truyền người dùng cuối mạng Intranet tổ chức - Mạng công cộng: Một mạng công cộng, đặc biệt Internet , không nằm địa hạt quan thẩm quyền đơn kiểm sốt tất hoạt động giao dịch qua Hơn nữa, điểm trung gian, chẳng hạn định tuyến tạo nên Internet hỗ trợ đường hầm mạng riêng ảo khơng dùng riêng cho đường hầm tổ chức đơn Một định tuyến trung gian đồng thời hỗ trợ nhiều đường hầm bắt nguồn từ nhiều mạng Intranet nhiều tổ chức Kết lưu lượng từ tổ chức khơng hồn tồn biệt lập với lưu lượng tổ chức khác Thêm vào đó, mạng cơng cộng chất dùng chung, truy cập muốn sử dụng Một ý định cá nhân hay tổ chức với trang thiết bị giỏi chun mơn dễ dàng gắn vào phương tiện liên lạc sử dụng để đem lại lợi ích riêng Trong trường hợp khác, kẻ cơng giả mạo gói liệu thay đổi nội dung liệu dẫn đến nhiều thiệt hại cho tổ chức - Điểm truy cập mạng đích: Một Router, Gateway, Firewall thiết bị NAT thường đặt vành đai mạng Server điểm truy cập Intranet tổ chức Các thiết bị đối mặt với mối đe doạ bảo mật nguy xâm nhập từ thực thể bên ngồi mà cịn từ thực thể bất mãn bên Thêm vào đó, tổ chức hỗ trợ mạng Extranet, thiết bị ngày dễ bị công với luồng lưu lượng độc hại từ đối tác thương mại bên Hình – Bốn thành phần dễ bị công kết nối mạng riêng ảo Ở ta thảo luận lỗ hổng bảo mật thiết lập mạng riêng ảo đầy đủ Và vậy, ta bỏ qua vấn đề bảo mật Ta cần giữ bước hợp lý việc thực thi để đảm bảo giải pháp mạng riêng ảo ta chịu tất kiểu công, mà cho phép khai thác Internet hạ tầng mạng công cộng để giảm chi phí thực thi tăng mức độ an tồn giao dịch, bảo vệ mạng trước hầu hết khả công vào tổ chức, liệu IPSec thảo luận chi tiết chương III phần I xem câu trả lời cho hầu hết mối quan tâm bảo mật liên quan đến thành phần dễ bị cơng mạng riêng ảo Nó đảm bảo an toàn liệu truyền IPSec bảo mật liệu cách mã hoá gói liệu với thuật tốn mã hố mạnh Kết kẻ nghe trộm chí ISP trung gian đọc liệu Hơn nữa, IPSec xác thực gói liệu riêng lẻ việc xác thực người dùng cuối lần Điều làm giảm khả giả mạo Thêm hai khía cạnh bảo mật giao dịch dựa mạng riêng ảo quan hệ tin cậy trao đổi khoá bên liên quan Nếu hai khía cạnh bị tổn hại an toàn toàn thiết lập mạng riêng ảo bị tổn hại Vấn đề quan hệ tin cậy: Tin cậy phần thiếu việc đảm bảo an toàn cho hệ thống nào, bao gồm thiết lập mạng riêng ảo ta Tuy nhiên, tin cậy bị khai thác để giành quyền truy cập vào thiết lập an tồn cẩn mật ta Vì vậy, cần phải để ý vấn đề sau định mức tin cậy thiết lập ta với thực thể bên ngoài: + Các ứng dụng Telnet, FTP dễ bị công Cân nhắc để sử dụng ứng dụng an toàn hơn, SSH để thay Chú ý Vì phức tạp chế bảo mật mà SSH sử dụng, hiệu suất SSH qua VPN bị chậm + Không chạy dịch vụ thêm Server VPN Server VPN phải chạy không tối thiểu ứng dụng dịch vụ liên quan đến mạng riêng ảo mà phải tối thiểu hoá dịch vụ mà kẻ xâm nhập truy cập trường hợp xâm nhập thành cơng + Mặc dù việc khơng tin cậy hồn tồn Client VPN xác thực khơng thích hợp, nên trì mức khơng tin cậy hợp lý Nếu cung cấp truy cập hạn chế tới tài nguyên thiết bị, cho phép người dùng thực hoạt động cần thiết liên quan đến cơng việc họ, ta giảm hậu xâm nhập kẻ công nhằm vào máy người dùng cuối Cũng dùng firewal để hạn chế truy cập nói Các xem xét liên quan đến trao đổi khoá: Trao đổi khoá bên liên quan khía cạnh khác bảo mật mà bị tổn hại dẫn đến tổn hại lớn mạng Vì thế, điều cốt yếu khả phân phối khố cách an tồn, đặc biệt trường hợp sử dụng mật mã đối xứng, ta biết, mật mã đối xứng thường sử dụng khoá mật cho lập mã giải mã Vì thế, khố rơi vào tay kẻ xâm nhập, mang lại cho kẻ xâm nhập khả truy cập tới giao dịch tiếp diễn Sẽ hợp lý sử dụng IPSec, bảo mật SSH ứng dụng dựa SSL/TSL, tránh việc trao đổi khố dạng rõ Mật mã phi đối xứng không giống mật mã đối xứng, khơng dựa vào khố cho việc giải mã lập mã Trái ngược với mật mã đối xứng, mật mã phi đối xứng trao đổi khố cơng khai bên liên quan sử dụng khoá mật tương ứng với chúng cho chức giải mã Tuy nhiên, chế khơng phải tuyệt đối an tồn dễ bị tổn thương với công kiểu Man-in-the-Middle Trong kiểu cơng này, kẻ xâm nhập thay khố cơng khai anh ta, hồn toàn truy cập vào liên lạc hai người dùng cuối hợp lệ Vì vấn đề này, ta cần phải xác nhận lại khố cơng khai với người liên lạc khác sau pha trao đổi khố hồn tất, phải trước pha trao đổi liệu bắt đầu Mặc dù để lúc không thể, kiểm tra chéo ngẫu nhiên khố cơng khai nhận nên thực Một điểm mà ta phải lưu ý, mật mã đối xứng hay phi đối xứng khố khơng lưu trữ điểm cuối VPN, nơi chúng dễ dàng bị truy cập kẻ xâm nhập Một giải pháp khả thi cho vấn đề lưu trữ khoá vị trí tập trung, bảo vệ tốt thay lưu trữ tất khóa Server VPN riêng Mặc dùng q trình truy cập khố bị kéo dài, thực tế, khơng giảm gánh nặng lưu trữ Server VPN mà cịn nâng cao việc bảo đảm an tồn cho khoá 1.2 Đánh địa định tuyến Một vấn đề quan trọng khác việc lập kế hoạch thiết kế mạng riêng ảo việc đảm bảo địa IP cần gán cho thiết bị mạng riêng ảo phải có kế hoạch hợp lý Hơn nữa, cần phải đảm bảo lược đồ định tuyến khơng có khả điều khiển kết nối mạng công cộng dựa địa IP tồn cục, mà cịn có khả thích ứng với lược đồ đánh địa IP ta tương lai Ngoài ra, giới hạn hợp lý phải giữ để đảm bảo đối tác thương mại bên Client từ xa kết nối tới mạng riêng ảo mà không gặp phải vấn đề trục trặc 1.2.1 Vấn đề đánh địa Trong mạng riêng, công ty A không cần mua địa IP (được biết địa IP tồn cầu) từ quan có thẩm quyền, InterNIC, IANA từ ISP Cơng ty A sử dụng địa IP riêng địa IP mà họ muốn, truyền thơng mạng riêng khơng phải định tuyến ngồi phạm vi cơng ty Kết là, host thực thể đặt mạng riêng liên lạc với mạng qua Internet hay mạng cơng cộng khác biệt lập với giới bên Chú ý: Các địa IP phạm vi 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 dùng địa IP riêng dùng mạng riêng Intranet không sử dụng mạng công cộng để kết nối tới nhánh xa người dùng từ xa Lược đồ địa riêng khơng hồn tồn cho mạng riêng ảo chúng cịn dựa mạng đường trục cơng cơng để truyền thông Điều ngụ ý VPN Client Server liên quan giao dịch cần địa IP công cộng Liên lạc thực giao diện VPN ảo làm việc với địa IP riêng Kết là, công ty A địi hỏi khối địa IP toàn cầu từ ISP Ta xem xét nhân tố sau lúc đánh địa thiết bị mạng riêng ảo - Nếu công ty A sử dụng đường Leased Line để kết nối tới ISP, thiết bị mạng riêng ảo cấp phát địa IP tĩnh Các trường hợp khác, sử dụng kết nối quay số để kết nối tới POP ISP, Client VPN dùng người dùng di động phải cấp phát địa IP động, VPN Server địi hỏi địa IP tĩnh để có khả truy cập Tuy nhiên, có kế thừa vấn đề gắn với Client VPN sử dụng địa IP động Ta giới hạn truy cập tới VPN Server sở địa IP mà ISP cấp phát cho VPN Client lần khác Trong hoàn cảnh này, VPN Server dễ bị công nguy bảo mật mà kẻ cơng hành động người dùng tin cậy - Sẽ không gặp vấn đề sử dụng VPN Server đơn nhiều VPN Server, tất phải cấp phát địa IP tĩnh Nếu VPN Server sử dụng địa IP động, VPN Client định vị Server mong muốn - Nếu địa IP xung đột cắt bỏ cần hợp hai mạng riêng, trường hợp sát nhập hai tổ chức Trong kịch này, mạng hợp sử dụng địa IP riêng số địa IP xung đột Việc thay đổi địa IP xung đột dễ dàng với số lượng nhỏ IP bị xung đột Tuy nhiên, với số lượng lớn ta phải thay đổi lược đồ địa IP mạng xấu toàn mạng sau hợp Việc thay đổi lược đồ địa nhiều thời gian Có thể sử dụng khả cấu hình địa IP tự động, sử dụng DHCP Giao thức cho phép thiết bị mạng nhận thơng tin cấu hình, bao gồm địa IP động thiết bị khởi động - Nếu khơng có đủ địa IP tồn cầu, cách thích hợp sử dụng địa IP riêng mạng công ty NAT vành đai mạng để kết nối với giới bên NAT cấp phát địa IP lúc host bên cần kết nối tới Internet thiết lập phiên mạng riêng ảo Cách giúp ta đảm bảo khơng có xung đột IP thiết lập kết nối Internet phiên mạng riêng ảo Một điểm quan trọng NAT VPN xung đột việc ghi đè tiêu đề Chúng ta giả thiết cơng ty A trước có mạng truyền thống, mạng Intranet khác công ty kết nối với qua phương tiện thiết bị riêng, đường Leased-Line Frame Relay Chúng ta giả thiết công ty A xây dựng lược đồ địa cho mạng họ Vì mạng độc lập đường trục sử dụng phương tiện thiết bị riêng, cơng ty A sử dụng địa IP nhập nhằng tồn cục (hay cịn gọi địa riêng) địa toàn cục (còn gọi địa Hình - Nhánh mạng kết nối tới nhánh Intranet kế cận qua VPN Một lựa chọn khác với cấu hình mạng riêng ảo tập trung cấu hình tương tự mạng lưới, nhánh mạng kết nối tới tất các mạng từ xa khác Hình 5.5 mơ tả mơ hình cấu hình Thiết lập này, dù chi phí cao khó để cài đặt trì, tránh vấn đề “điểm đơn bị lỗi” đảm bảo mạng ảnh hưởng đến hiệu suất mạng kết nối khác Hơn nữa, khả mởi rộng cao, thực tế việc thực thi mở rộng khác khó khăn tốn nhiều thời gian Hình – Nhánh từ xa kết nối với tất nhánh qua VPN Khả liên tác vấn đề quan trọng khác cần lưu ý lúc lựa chọn phần từ mạng riêng ảo, đặc biệt việc xem xét người quản trị hướng tới sản phẩm thích hợp tích hợp đề xuất nhà cung cấp khác để giảm tổng chi phí thực thi Những sản phẩm đề xuất nhà cung cấp khác khơng liên tác bằng, ta nên kiểm tra tính tương thích liên tác tất sản phẩm mạng riêng ảo trước thực thi chúng mạng riêng ảo Một điểm khác ta nên nhớ với việc quan tâm đến tính liên tác sản phẩm VPN mà ta chọn phải làm việc suôn sẻ với nhiều khác Dù điều lãng phí tiền bạc thời điểm này, đặc biệt mạng Intranet ta sử dụng với số Platform, chiến lược có ích cho ta lúc mở rộng phát triển mạng riêng ảo Ta phải có ý tưởng tổng quát việc xem xét thiết kế giải pháp mạng riêng ảo, xem xét ba mơi trường thực thi mạng riêng ảo thông dụng đặc tính chúng Chương Mơi trường mạng riêng ảo Tùy thuộc vào chiến lược truy cập, mạng riêng ảo phân thành loại như: Mạng riêng ảo truy cập từ xa, Mạng riêng ảo cục bộ, Mạng riêng ảo mở rộng Xem xét môi trường truy cập mạng riêng ảo điều kiện tốt để hiểu rõ vấn đề mà ta phải đối mặt với môi trường 2.1 Mạng riêng ảo truy cập từ xa Môi trường mạng riêng ảo truy cập từ xa cho phép Client từ xa, Client hay người dùng di động truy cập tới mạng Intranet công ty cách an tồn qua mạng Internet mà khơng phải dựa kế nối quay số đầu cuối - đến - đầu cuối, minh hoạ hình 5.6 Hình – Mạng riêng ảo truy cập từ xa Các vấn đề nảy sinh với môi trường sau: - Bảo mật: Tốt cài đặt định tuyến “sau” Firewall cấu hình Router chuyển tất liệu đường hầm tới Firewall - Lược đồ đánh địa chỉ: ISP cấp phát động địa IP tới Client từ xa chúng sử dụng kết nối quay số tới POP ISP (không phải đến Intranet) Kết là, máy chủ mạng riêng ảo đặt mạng Intranet phải hỗ trợ khả định danh Client Hơn việc thiết lập máy chủ DNS thảo luận phần trước “Các xem xét liên quan đến DNS”, ta giải vấn đề sử dụng IPSec IKE giao thức bên thứ ba hỗ trợ IPSec, hỗ trợ khả định danh Client từ xa qua địa IP dạng tên chúng địa IP dạng số - Phân phối khoá: Phân phối khoá không nên thực dạng rõ Một chế phân phối khoá tự điều chỉnh, IKE nên sử dụng số lượng Client từ xa lớn Trong trường hợp số lượng Client từ xa giới hạn, quản lý khố cách thủ cơng thực Tuy nhiên, thực tế việc quản lý khố cách thủ cơng khơng khuyến cáo xác suất xẩy việc khoá cao - Mã hoá xác thực liệu: Đây điều quan trọng, liệu trao đổi Server Client mã hoã xác thực Thêm vào đó, ta nên thiết lập lọc gói sách bảo mật nghiêm ngặt để đảm bảo thiết bị ngoại vi Router, Gateway Firewall từ chối liệu không xác thực khơng mã hố Thậm chí, thơng tin định tuyến Router Gatewal nên mã hoá xác thực - Đường hầm: Thiết lập trực tiếp đường hầm Host từ xa máy chủ mạng riêng ảo thích hợp Dù điều làm tăng tính an tồn, đặc biệt mức độ tin cậy mạng Intranet không cao, thường phát sinh Overhead lớn tương đối khó quản lý Ta phải phân tích mức độ trinh cậy môi trường Intranet sau đớ định tuỳ chọn (Các đường hầm người dùng cuối với thiết bị ngoại vi, đường hầm người dùng cuối với máy chủ mạng riêng ảo) để trì mức an tồn cao - Các giao thức đường hầm: Nếu Client sử dụng giao thức đường hầm không IP, thiết bị mạng riêng ảo ngoại vi Firewall Router phải hỗ trợ giao thức đường hầm thích hợp 2.2 Mạng riêng ảo chi nhánh Môi trường mạng riêng ảo chi nhánh cho phép nhánh mạng từ xa truy cập phần khác mạng Intranet tổ chức cách an tồn qua mạng Internet mà khơng dựa kênh thuê riêng kết nối quay số đầu cuối - tới - đầu cuối hình 5.7 Hình – Thiết lập mạng riêng ảo chi nhánh Những vấn đề nên xem xét thiết kế giải pháp mạng riêng ảo cho môi trường mạng riêng ảo cục bao gồm: - Bảo mật: Mặc dù giao thức không bảo mật cần thực Router Gateway bên trong, thiết bị ngoại vi nên hỗ trợ chế bảo mật, chẳng hạn IPSec Hơn nữa, tốt là, thiết bị ngoại nên che dấu “sau” Firewall với sách bảo mật định nghĩa rõ ràng - Lược đồ đánh địa chỉ: Vì thực tế tồn Intranet thuộc tổ chức, đánh địa chỉ, việc đánh địa vấn đề nhánh mạng từ xa kèm theo lược đồ đánh địa phong phú sử dụng phần khác Intranet Và vậy, lược đồ đánh địa dùng phần lại Intranet sử dụng, miễn tất các địa Intranet Do vậy, vấn đề đánh địa gặp trục trặc mơi trường - Phân phối khố: Vì mạng Intranet tin cậy rộng rãi, phân phối khố host – to – host khơng phải nhu cầu Tuy nhiên, khố trao đổi điểm dễ bị công mơ hình thiết lập này, cụ thể thiết bị ngoại vi Router, Gateway Với mục đích này, chế quản lý trao đổi khoá cách tự động an toàn, chẳng hạn IKE khuyến cáo sử dụng - Mã hoá xác thực liệu: Bất kỳ liệu trao đổi Server Client phải mã hoá xác thực Mặc dù thực tế chúng thuộc mạng Intranet – liệu định tuyến qua Internet mạng công cộng khác dễ bị tổn thương với nguy bảo mật sai lệch Khá giống với sách bảo mật dùng môi trường truy cập từ xa, nên thiết lập lọc gói ban hành tiêu chuẩn nghiêm ngặt để đảm bảo liệu khơng mã hố xác thức bị loại bỏ vành đai mạng thiết bị ngoại vi Thậm chí thơng tin định tuyến trao đổi Router nên mã hoá xác thực - Đường hầm: Thiết lập đường hầm trực tiếp thiết bị ngoại vi đặt nhánh mạng điều thích hợp Mặc dù thực tế chúng nâng cao tính bảo mật, đặc biệt mức độ tin cậy môi trường Intranet không cao, phát sinh khối Overhead lớn tương đối khó khăn việc quản lý Nên phân tích mức độ tin cậy Intranet sau định tuỳ chọn trường hợp môi trường mạng riêng ảo truy cập từ xa để trì mức độ an tồn cao - Các giao thức đường hầm: Nếu Client Clien sử dụng giao thức đường hầm không IP, thiết bị VPN ngoại vi Firewall Router phải hỗ trợ giao thức đường hầm thích hợp 2.3 Mạng riêng ảo đối tác Môi trường mạng riêng ảo đối tác cho phép thực thể mở rộng, đối tác thương mại, nhà cung cấp truy cập tới mạng Intranet tổ chức cách an toàn sử dụng Internet mà dựa kênh thuê riêng kết nối quay số, minh hoạ hình 5.8 Hình – Thiết lập mạng riêng ảo đối tác Các xem xét thiết kế mà ta phải lưu ý thiết kế giải pháp mạng riêng ảo cho môi trường là: - Bảo mật: Các phương tiện giao thức bảo mật nghiêm ngặt cần thực thi Router, Gateway Firewall ngoại vi Hơn nữa, thiết bị ngoại vi nên ẩn dấu sau firewall với sách bảo mật định nghĩa rõ ràng - Lược đồ đánh địa định tuyến: Trong môi trường này, ta mong đợi mạng mở không bị trục trặc Nếu hai mạng sử dụng lược đồ địa riêng, khả xung đột địa xẩy cao Điều dẫn đến vấn đề định tuyến Router Gateway khơng có khả giải địa nhập nhằng Kết là, ta cần phải đảm bảo - Phân phối khố: Vì thiết lập mở rộng phức tạp bao gồm đến thực thể mở rộng khơng tin cậy, thêm vào số lượng lớn Client liên lạc, chế quản lý phân phối khố an tồn tự động IKE ISAKMP/Oakley bắt buộc với tất các nhóm – Server, Client, Router, Gateway, Firewall… - Mã hoá xác thực liệu: Bất kỳ liệu trao đổi Server Client phải mã hoá đầu cuối - tới - đầu cuối xác thực cách triệt để Điều cần thiết liệu từ mơi trường không tin cậy định tuyến qua Internet hay mạng công cộng khác, dễ gặp phải nguy bảo mật sai lệch Giống sách bảo mật dùng môi trường truy cập từ xa môi trường cục bộ, ta nên thiết lập lọc gói thông qua phương tiện nghiêm ngặt để đảm bảo liệu không xác thực khơng mã hố bị loại bỏ vành đai mạng thiết bị ngoại vi Thậm chí thông tin định tuyến Router nen mã hoá xác thực - Đường hầm: Thiết lập đường hầm trực tiếp thiết bị ngoại vi đặt mạng cuối điều thích hợp Mặc dù thực tế điều nâng cao tính an toàn, đặc biệt mức độ tin cậy mạng Intranet khơng cao, phát sinh Overhead lớn tương đối khó quản lý Ta phải phân tích mức độ tin cậy mơi trường Intranet sau định tuỳ chọn (Các đường hầm người dùng cuối với thiết bị ngoại vi, đường hầm người dùng cuối với máy chủ mạng riêng ảo) để trì mức an toàn cao - Các giao thức đường hầm: Nếu Client từ xa sử dụng giao thức đường hầm không IP, thiết bị mạng riêng ảo ngoại vi, Firewall Router phải hỗ trợ giao thức đường hầm thích hợp, giao thức đường hầm với chế bảo mật mạnh thêm vào Trong phần sau, ta xem xét bước thông thường để thực thi mạng riêng ảo Chương Các bước xây dựng mạng riêng ảo Khi ta ý công nghệ nào, ta thực thi bắt đầu sử dụng nó, trở thành phần công việc ta Điều với mạng riêng ảo Một thực thi, chí trước ta thực hiện, mạng riêng ảo trở thành phần thiếu hoạt động giao dịch ngày Và vậy, có sai sót pha thực thi hay lập kế hoạch không chặt chẽ, người dùng tổ chức ta chịu hậu quả, dẫn đến nhiều công việc phức tạp nhiều thời gian Điều lý giải ta phải thực hiểu yêu cầu kế hoạch tương lai tổ chức trước bắt đầu lập kế hoạch Chỉ sau kế hoạch tiếp thiết kế phù hợp, nên chia thành pha thực thi Việc thực thi đầy đủ giải pháp dựa mạng riêng ảo khái thành năm bước sau: - Chuẩn bị sở - Lựa chọn sản phẩm nhà cung cấp dịch vụ - Kiểm thử kết - Thiết kế thực thi giải pháp - Quản trị giám sát Sau ta thảo luận chi tiết bước 3.1 Chuẩn bị sở Thực thi giải pháp dựa mạng riêng ảo làm giảm khơng đáng kể hiệu suất mạng Intranet Và vậy, điều quan trọng ta phải nghiên cứu đầy đủ khả để chọn lựa dịch vụ sản phẩm tối ưu Hơn nữa, phần sở làm tỉ mĩ, hoàn vốn đầu tư tối ưu Ta cần xác định thông tin sau phần pha nghiên cứu phân tích này: - Ước lượng sơ số lượng người dùng: Cần có ước lượng sơ số lượng người dùng mong muốn để xác định phạm vi giải pháp mạng riêng ảo dịch vụ Số lượng giúp ta định số lượng cổng mạng riêng ảo tối ưu mà ta nên có - Phân loại người dùng tuỳ theo yêu cầu họ: Ta cần phải nghiên cứu hồ sơ người dùng cách thấu xác định yêu cầu họ phân loại vào nhóm khác bao gồm nhóm người dùng thuộc chi nhánh văn phịng, nhóm người dùng di động, nhóm nhân viên làm việc nhà Những người dùng thuộc nhóm chi nhánh văn phịng thường khơng di động yêu cầu truy cập không bị giới hạn tới mạng văn phòng trung tâm nhánh mạng khác Intranet Nhóm người dùng di động tập người dùng với hồ sơ di chuyển, họ thường sử dụng máy xách tay để truy cập Intranet tổ chức Điển hình họ sử dụng kết nối mạng riêng ảo để truy cập email số tài nguyên cần thiết khác Nhóm nhân viên làm việc nhà truy cập Intranet tổ chức với thời gian ngắn tài nguyên giới hạn - Các yêu cầu truy cập kết nối: Bước xác định yêu cầu kết nối truy cập mạng loại người dùng VPN Ta cần xác định kiểu kết nối mạng WAN cung cấp theo ngân quỹ ta ràng buộc hiệu suất Ta cần xác định tốc độ liệu trung bình yêu cầu cho loại kết nối người dùng khác - Các yêu cầu an toàn: An toàn thiết lập dựa màng riêng ảo địi hỏi tính bí mật, tồn vẹn xác thực Để đảm bảo tất yếu tố giao dịch mạng riêng ảo ta, cần phải thực thi phương tiện an toàn khác nhau, chẳng hạn chế mã hoá, chế xác thực giải pháp an toàn dựa phần cứng RADIUS, AAA, TACACS, Firewall, NAT,… Ta chọn tuỳ tiện phương tiện số trên, mà cần phân tích yêu cầu tổ chức để hiểu giải pháp nên thực thi Sự lựa chọn giải pháp bảo mật thích hợp tuỳ thuộc vào mức bảo mật toàn vẹn yêu cầu luồng lưu lượng mạng Ví dụ, tổ chức đề cập đến liệu nhạy cảm giao dịch thương mại điện tử, ta cần thực thi nhiều giải pháp an tồn để đảm bảo tính bí mật, tồn vẹn xác thực thích hợp liệu 3.2 Lựa chọn sản phẩm nhà cung cấp dịch vụ Sau ta phân tích hiểu rõ yêu cầu tổ chức mong muốn người dùng, lúc ta tiến hành chọn lựa sản phẩm để thực thi mạng riêng ảo Việc dễ dàng đưa định có nhiều sản phẩm phần cứng phần mềm mạng riêng ảo có Xem xét ràng buộc ngân sách, phương pháp tốt để chọn sản phẩm đáp ứng yêu cẩu ta khả tài Một số tham số giúp ta chọn lựa sản phẩm phần cứng phần mềm thích hợp cho mạng riêng ảo là: - Các tham số liên quan đến hiệu suất, thông lượng trì liên tục mức cao thời gian phản hồi thấp - Các tham số liên quan đến an tồn, chế mã hố xác thực hỗ trợ - Các tham số liên quan đến phiên làm việc, tốc độ tuyền liệu cao - Số lượng kết nối đồng thời hỗ trợ Chú ý: Ta phải cẩn thận lựa chọn chế mã hoá xác thực Mặc dù chúng nâng cao tính an tồn, chúng cần nhiều CPU để tính tốn làm giảm hiệu suất tồn phần mạng Kết là, nên dung hồ tính an tồn hiệu suất Vì ta cịn chưa xong pha thực thi, điểm mà ta định giải pháp tận dụng dựa phân tích sản phẩm sở ta Nhà cung cấp dịch vụ có yêu cầu khả kỹ thuật kinh nghiệm yêu để thiết kế thực thi giải pháp mạng riêng ảo thích ứng với yêu cầu tổ chức Hơn nữa, giải pháp tận dụng dẫn đến gánh nặng việc quản lý giám sát lên vai Tuy nhiên, hạn chế việc xử lý an toàn tổ chức qua tổ chức bên ngồi (người ngồi cuộc) Điều khơng thể chấp nhận với tổ chức người quản trị Vì vậy, ta nên phân tích chi tiết SLA mà nhà cung cấp dịch vụ đem lại cho ta Một hiểu biết sâu sắc điểm SLA giúp ta xác minh nhà cung cấp dịch vụ cung cấp mức dịch vụ SLA 3.3 Kiểm thử kết Nếu định áp dụng thực thi nhóm thiết lập mạng riêng ảo, ta cần kiểm tra đánh giá sản phẩm mạng riêng ảo mà ta chọn Điều giúp ta đảm bảo tính đắn trước bắt đầu lựa chọn sản phẩm phần cứng phần mềm tương thích với sản phẩm khác Thông thường, việc kiểm thử thực với phạm vi nhỏ thí điểm có kết hợp nhiều nhóm người dùng khác Mỗi phía mạng riêng ảo nên kiểm thử ta nên xem cách thức hoạt động sản phẩm mơi trường thực Thí nghiệm đảm bảo sản phẩm cấu hình thự thi đặc tính kỹ thuật Nếu ta định sử dụng dịch vụ nhà cung cấp, thí nghiệm nhỏ để kiểm thử xác minh giải pháp đưa nhà cung cấp dịch vụ mơi trường thực khuyến cáo Nếu thí nghiệm xẩy lỗi, cần thay sản phẩm không đáp ứng đầy đủ yêu cầu cấu hình lại chúng 3.4 Thiết kế thực thi giải pháp Ta hoàn tất để sang pha thiết kế thực thi sau pha kiểm thử thành công Trong pha thiết kế thực thi, ta thực thi giải pháp mạng riêng ảo mềm dẻo theo kế hoạch tổ chức Sau giải pháp thực thi thành cơng, ta cần kiểm thử lại tồn thiết lập Sau kiểm thử thành công, ta cần tinh chỉnh giải pháp để tối ưu hố tính an tồn hiệu suất 3.5 Giám sát quản trị Việc quản lý trì mạng trình liên tục Để giám sát thiết lập mạng riêng ảo phạm vi lớn phức tạp Vì cần vạch chiến lược để quản lý giám sát mạng ta Những thói quen sau giúp ta đảm bảo mạng riêng ảo tối ưu - Thu thập cách sử dụng thống kê hiệu suất đặn - Duy trì file nhật ký chi tiết hành động liên quan đến mạng riêng ảo, kể hành động thành công Một am hiểu sâu sắc cách mà nhà cung cấp dịch vụ thực thi giải pháp mạng riêng ảo cung giữ vai trò quan trọng việc giám sát đánh giá hiệu suất, hiệu tính đầy đủ giải pháp cung cấp Công nghệ mạng phát triển nhanh chónh, cơng nghệ mạng riêng ảo Vì thế, ta phải cần cập nhật cho thiết lập mạng riêng ảo ta, ta cần di trú tới môi trường khác để thích ứng với phát triển tương lại tổ chức yêu cầu tổ chức Hầu hết người thiết kế quản trị mạng cho ta, công việc ta không kết thúc với thực thi giải pháp Ta cần phải quản lý giám sát giải pháp, cung cấp hiệu suất hợp đồng Thi thoảng, ta cần định danh, hỗ trợ giải vấn đề nảy sinh TÀI LIỆU THAM KHẢO Andrew G.Mason (2003), “Cisco Secure Virtual Private Netwoks”, CCIE Cisco Systems, Cisco Access VPN solutions Using Tunneling Techlnology [2] Martin W Murhammer et als (1998), “A Comprehensive Guide to Virtual Private Networks”, Volume I, IBM [3] Martin W Murhammer et als (1999), “A Comprehensive Guide to Virtual Private Networks”, Volume II, IBM [4] Martin W Murhammer et als (1999), “A Comprehensive Guide to Virtual Private Networks”, Volume III, IBM [1]