Mạng riêng ảo (virtual private network) các giải pháp an ninh cho mạng ảo

Khái quát về VPN …

Sự phát triển của các loại VPN

VPN không phải là kĩ thuật mới Mô hình VPNs đã phát triển được khoảng trên

20 năm và trải qua một số thế hệ để trở thành như hiện nay

Mô hình VPN đầu tiên, do AT&T đề xuất vào cuối những năm 80, được gọi là Mạng Định Nghĩa Phần Mềm (SDNs) SDNs hoạt động như các mạng WAN, nơi các kết nối dựa trên cơ sở dữ liệu được phân loại theo từng kết nối cục bộ hoặc bên ngoài Dựa trên thông tin này, gói dữ liệu được định tuyến đến đích thông qua hệ thống chuyển mạch công cộng.

Thế hệ thứ hai của VPN ra đời nhờ sự phát triển của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) vào đầu những năm 90, cho phép truyền dữ liệu gói qua mạng công cộng với tốc độ nhanh X.25 và ISDN được xem là nền tảng cho giao thức VPN Tuy nhiên, do hạn chế về tốc độ truyền tải thông tin không đáp ứng được nhu cầu ngày càng tăng của con người, thời gian tồn tại của chúng khá ngắn.

Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-basedFrame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM)

Thế hệ thứ 3 của VPN sử dụng công nghệ ATM và FR, dựa trên mô hình chuyển mạch ảo Các gói tin trong hệ thống này không chứa thông tin về nguồn hay địa chỉ gửi, mà thay vào đó là các con trỏ đến mạch ảo, nơi xác định nguồn và điểm đến Nhờ vào kỹ thuật này, tốc độ truyền dữ liệu được cải thiện đáng kể, đạt 160 Mbps hoặc cao hơn, so với các công nghệ trước đây như SDN, X.25 và ISDN.

Với sự bùng nổ của thương mại điện tử vào thập niên 90, nhu cầu về giải pháp mạng an toàn, dễ cấu hình và có khả năng truy cập toàn cầu gia tăng Các VPN hiện nay đã đáp ứng những yêu cầu này thông qua kỹ thuật "đường hầm" (tunneling technology), sử dụng các giao thức như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP) và Layer 2 Tunneling Protocol (L2TP) Kỹ thuật này cho phép truyền dữ liệu qua các tuyến đường xác định dựa trên thông tin IP, đồng thời hỗ trợ nhiều giao thức truyền tải khác nhau như IP, ISDN, FR và ATM.

Khái niệm mạng riêng ảo…

Mạng riêng ảo (VPN - Virtual Private Network) cho phép kết nối hai hoặc nhiều mạng riêng qua mạng công cộng (Internet) bằng cách sử dụng các đường hầm (tunneling) để bảo vệ sự riêng tư và toàn vẹn dữ liệu Thay vì sử dụng các kết nối thực phức tạp và tốn kém như kênh thuê riêng, VPN tạo ra các liên kết ảo thông qua mạng công cộng, đảm bảo bảo mật, khả năng truyền tải thông tin và độ tin cậy với chi phí thấp.

Ưu điểm và khuyết điểm của VPN

Sinh viên thực hiện:Lưu Viết Thụy Khóa K50 Lớp Hệ Thống Thông tin

VPN giúp giảm chi phí thiết lập đáng kể so với các giải pháp truyền tin truyền thống như leased-line hay ATM Việc sử dụng công nghệ VPN cho phép tiết kiệm chi phí thuê kênh riêng và giảm chi phí cuộc gọi đường dài xuống mức tương đương với cuộc gọi nội hạt Hơn nữa, kết nối đến ISP không chỉ cho phép sử dụng VPN mà còn truy cập Internet, mang lại hiệu quả tối ưu cho băng thông.

Giảm chi phí vận hành quản lý là một lợi ích lớn từ việc sử dụng VPN, vì nó giúp giảm chi phí viễn thông cho các kết nối xa và giảm đáng kể chi phí vận hành mạng WAN Các tổ chức còn có thể tiết kiệm thêm chi phí nếu thiết bị mạng WAN trong VPN được quản lý bởi nhà cung cấp dịch vụ Internet (ISP) Hơn nữa, việc giảm thiểu nhân sự cũng góp phần làm giảm chi phí, vì tổ chức không cần phải chi trả cho việc đào tạo và lương cho nhiều người quản lý mạng.

VPN giúp nâng cao kết nối bằng cách sử dụng mạng Internet để liên kết các phần xa nhau của intranet Nhờ vào khả năng truy cập toàn cầu của Internet, người dùng tại các chi nhánh xa có thể dễ dàng kết nối với mạng intranet chính.

VPN cải thiện tính bảo mật bằng cách sử dụng kỹ thuật tunneling để truyền dữ liệu qua mạng công cộng Ngoài ra, VPN còn áp dụng các phương pháp bảo mật nâng cao như mã hóa, xác thực và ủy quyền, giúp bảo vệ thông tin người dùng hiệu quả hơn.

Do đó VPN được đánh giá cao bảo mật trong truyền tin

Hiệu suất băng thông là yếu tố quan trọng trong việc tiết kiệm tài nguyên mạng, đặc biệt khi không có kết nối Internet nào được kích hoạt Trong kỹ thuật VPN, các "đường hầm" chỉ được hình thành khi có yêu cầu truyền tải thông tin, giúp tối ưu hóa việc sử dụng băng thông Điều này có nghĩa là băng thông mạng chỉ được sử dụng khi có kết nối Internet, từ đó hạn chế đáng kể sự lãng phí băng thông.

VPN cho phép nâng cấp mạng intranet một cách dễ dàng, nhờ vào việc dựa trên cơ sở Internet Khi hoạt động kinh doanh phát triển, các tổ chức có thể mở rộng mạng của mình với yêu cầu nâng cấp tối thiểu và bổ sung các thành phần mới Điều này giúp mạng intranet linh hoạt hơn trong việc thích ứng với sự phát triển trong tương lai mà không cần đầu tư lớn vào cơ sở hạ tầng.

Chất lượng mạng Internet đóng vai trò quan trọng trong hiệu suất của các máy trong mạng VPN Sự quá tải hoặc tắc nghẽn mạng có thể gây ảnh hưởng tiêu cực đến chất lượng truyền tin, dẫn đến trải nghiệm không ổn định cho người dùng.

VPN hiện nay chủ yếu dựa vào kỹ thuật IP, nhưng nhiều tổ chức vẫn sử dụng máy tính lớn và các thiết bị kế thừa cho việc truyền tin hàng ngày Điều này dẫn đến việc VPN không tương thích với các thiết bị và giao thức cũ Mặc dù có thể sử dụng các cơ chế "tunneling" để giải quyết phần nào vấn đề này, nhưng việc xử lý các gói tin SNA và lưu lượng non-IP cùng với gói tin IP có thể làm giảm hiệu suất của toàn bộ mạng.

Các thành phần cơ bản của VPN

Hình 1-2 : Các thành phần cơ bản của VPN

Máy chủ VPN (VPN server) là thiết bị mạng chuyên dụng để chạy phần mềm máy chủ, thường là máy tính có tốc độ xử lý cao và dung lượng lớn Nhiệm vụ chính của máy chủ VPN là cung cấp dịch vụ cho máy khách và đảm bảo an toàn cho mạng Để thực hiện điều này, máy chủ cần có độ sẵn sàng và độ tin cậy cao, cũng như khả năng đáp ứng các yêu cầu kết nối mọi lúc.

Chức năng của máy chủ:

Phát hiện yêu cầu kết nối mạng và thực hiện sắp xếp thứ tự kết nối là rất quan trọng, đặc biệt khi có nhiều yêu cầu đồng thời từ các máy khách Việc này giúp tối ưu hóa hiệu suất mạng và đảm bảo rằng tất cả các yêu cầu được xử lý một cách hiệu quả.

Quá trình điều khiển truy cập và xác thực người dùng rất quan trọng để đảm bảo rằng chỉ những người dùng hợp pháp mới được phép truy cập vào mạng, trong khi những người dùng bất hợp pháp sẽ bị từ chối quyền truy cập.

Máy chủ đóng vai trò là điểm cuối của đường hầm VPN, trong khi máy khách là đầu kia của đường hầm Đặc biệt, máy chủ có khả năng khởi tạo đường hầm khi sử dụng chế độ đường hầm bắt buộc.

- Mật mã hoá dữ liệu truyền đi nhằm bảo mật thông tin khi truyền trên mạng công cộng

- Lựa chọn các thông số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người dùng

- Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách

Máy chủ VPN có thể hoạt động như một router hoặc gateway trong mạng nhỏ với dưới 20 máy khách Tuy nhiên, trong mạng lớn, việc kết hợp chức năng router hoặc gateway vào máy chủ VPN có thể làm giảm hiệu suất, do máy chủ phải hỗ trợ nhiều kết nối VPN cùng lúc.

Máy khách VPN (VPN client) là thiết bị trong mạng cục bộ hoặc từ xa, khởi tạo kết nối đến máy chủ VPN Sau khi xác nhận và cấp phép, máy khách được phép truy cập máy chủ để tiến hành truyền thông Máy khách có thể là phần mềm hoặc thiết bị phần cứng chuyên dụng Các đặc trưng của VPN client bao gồm khả năng bảo mật, ẩn danh và truy cập từ xa, giúp người dùng kết nối an toàn đến mạng nội bộ.

Nhân viên làm việc từ xa có thể dễ dàng truy cập vào mạng công ty thông qua mạng công cộng, điều này mang lại sự thuận tiện cho những người làm việc tại nhà.

- Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của công ty và trong mạng mở rộng

Các nhà quản trị mạng có thể sử dụng mạng công cộng để kết nối với các nút mạng xa, từ đó quản lý và giám sát hoạt động, cấu hình dịch vụ và thiết bị, cũng như sửa chữa và khắc phục sự cố cho người dùng từ xa.

Bộ định tuyến (router) đóng vai trò quan trọng trong việc kết nối các nút ở đầu xa và định đường cho gói dữ liệu qua mạng Chức năng chính của bộ định tuyến là tìm ra đường đi nhanh nhất cho dữ liệu đến đích trong mạng chuyển mạch gói Bộ định tuyến VPN không chỉ thực hiện chức năng giống như bộ định tuyến thông thường mà còn cung cấp bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ (QoS) Mặc dù bộ định tuyến thông thường có thể được sử dụng làm bộ định tuyến VPN, nhưng để tăng cường bảo mật và đảm bảo chất lượng dịch vụ, nên sử dụng bộ định tuyến chuyên dụng cho mạng riêng ảo.

Hiện nay, người dùng có thể nâng cấp router thông thường thành router VPN bằng cách thêm chức năng VPN, mặc dù việc cấu hình, cài đặt và kiểm tra lỗi ban đầu sẽ tốn thời gian Phương pháp này không chỉ tận dụng các router cũ mà còn giúp giảm chi phí xây dựng VPN.

Trong các mạng nhỏ, máy chủ VPN thường đảm nhận vai trò định tuyến, nhưng trong mạng lớn, cần sử dụng bộ định tuyến VPN riêng để đảm bảo hiệu suất và khả năng xử lý lượng yêu cầu lớn Nếu không có tường lửa, bộ định tuyến sẽ là điểm cuối của đường hầm VPN, trong khi máy chủ VPN có thể hoạt động như một router VPN.

Bộ định tuyến với chức năng lọc gói có thể được sử dụng, nhưng tính năng này không đủ để bảo vệ mạng khỏi nhiều dạng tấn công Điều này đã thúc đẩy sự phát triển của nhiều loại tường lửa khác nhau Trong bối cảnh VPN, bộ định tuyến mã hóa hiện đang được ưa chuộng nhất.

Những yêu cầu đối với bộ định tuyến:

- Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với những kết nối mạng riêng biệt

- Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC, HMAC- MD5, HMAC-SHA-1…

- Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng

- Hạn chế việc truy cập đến các khóa

- Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗi khi có một kết nối mới

- Hỗ trợ cơ chế khử phát lại (anti-replay)

Ghi nhận các lỗi trong quá trình xử lý tiêu đề và cảnh báo về những hoạt động không được phép lặp lại là rất quan trọng.

- Hỗ trợ cả hai chế độ transport và tunnel của IPSec

Các bộ định tuyến chủ yếu kiểm tra các gói tại lớp mạng trong mô hình OSI và không có chức năng xác thực người dùng Do đó, để tạo ra một VPN an toàn, cần bổ sung một máy chủ xác thực cho bộ định tuyến.

Bộ tập trung VPN (VPN concentrator) hoạt động tương tự như một hub trong mạng LAN truyền thống, đóng vai trò quan trọng trong việc thiết lập một VPN truy nhập từ xa với quy mô nhỏ.

Nó giúp tăng dung lượng và công suất của hệ thống, đồng thời cũng cung cấp khả năng xác thực và bảo mật cao.

Các giao thức xây dựng IP-VPN

1.5.1 IP Security Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng Đây là giao thức hoạt động ở lớp mạng, cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị

IPSec thiết lập một đường hầm bảo mật giữa hai mạng riêng, cho phép nhận thực hai đầu của đường hầm Các thiết bị có thể là cặp host, cặp cổng bảo mật như router, firewall, hoặc bộ tập trung VPN Đường hầm này hoạt động như một kênh truyền an toàn, cho phép các gói dữ liệu được truyền tải một cách bảo mật mà không làm thay đổi cấu trúc hoặc ứng dụng hiện có trên mạng trung gian, từ đó giảm thiểu chi phí triển khai và quản lý.

Mặc dù IPSec cung cấp các tính năng bảo mật cần thiết cho VPN qua internet, nhưng nó vẫn chưa hoàn thiện Việc xử lý các gói tin theo IPSec làm tăng kích thước gói do phải thêm tiêu đề, dẫn đến giảm thông lượng mạng Giải pháp nén dữ liệu trước khi mã hóa có thể khắc phục vấn đề này, nhưng hiện vẫn chưa được chuẩn hóa.

Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính sau:

- Liên kết bảo mật SA (Security Association)

- Xác thực tiêu đề AH(Authentication Header)

- Bọc gói bảo mật tải ESP (Encapsulating Security Payload)

Chế độ làm việc của liên kết bảo mật SA (Security Association) yêu cầu cả hai bên tham gia phải thống nhất về thuật toán mã hóa, phương thức trao đổi khóa, và thời gian thay đổi khóa Tất cả các thỏa thuận này được quản lý bởi SA Để đảm bảo việc truyền thông giữa bên gửi và bên nhận, ít nhất một SA là cần thiết, và có thể cần nhiều SA hơn do mỗi giao thức IPSec yêu cầu một SA riêng Bên cạnh đó, xác thực tiêu đề AH cũng là một phần quan trọng trong quy trình này.

Xác thực tiêu đề AH cung cấp khả năng xác thực và kiểm tra tính toàn vẹn dữ liệu cho các gói IP được truyền giữa hai hệ thống Phương pháp này giúp đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền tải.

1 8 bị thay đổi trong khi truyền không Do AH không cung cấp khả năng mật mã dữ liệu nên các dữ liệu đều được truyền dưới dạng bản rõ

AH được chèn giữa tiêu đề IP và nội dung phía sau mà không làm thay đổi nội dung của gói dữ liệu Ngoài ra, ESP cũng được sử dụng để bọc gói bảo mật, đảm bảo an toàn cho thông tin truyền tải.

Bọc gói dữ liệu tải được sử dụng để bảo vệ an toàn cho các gói tin trong quá trình truyền tải, cung cấp các chức năng quan trọng như mã hóa dữ liệu, xác thực nguồn gốc và kiểm tra tính toàn vẹn ESP đảm bảo tính bí mật của thông tin thông qua việc mã hóa.

Sinh viên Lưu Viết Thụy, lớp K50 Hệ Thống Thông tin, đã thực hiện nghiên cứu về gói tin IP Tất cả lưu lượng ESP được mã hóa giữa hai hệ thống, điều này cho thấy xu hướng ngày càng tăng trong việc sử dụng ESP thay vì AH nhằm nâng cao tính an toàn cho dữ liệu.

Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung gói tiếp theo Tuy nhiên, tiêu đề ESP có chức năng mã hóa dữ liệu, dẫn đến việc nội dung của gói sẽ bị thay đổi.

Hình 1-6: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP d) Chế độ làm việc

Có hai chế độ làm việc trong IPSec:

- Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói được xử lý

- Chế độ đường hầm (Tunnel mode): toàn bộ gói sẽ được ử lí cho mã hóa xác thực

1.5.2 Giao thức đường hầm điểm-điểm PPTP

PPTP, được phát triển bởi Microsoft, 3COM và Ascend Communications, là một giao thức được đề xuất thay thế IPSec Nó hoạt động ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông thông tin trên hệ điều hành Windows.

Giao thức PPTP (Point-to-Point Tunneling Protocol) được phát triển dựa trên chức năng của PPP (Point-to-Point Protocol), cho phép truy cập từ xa qua quay số và tạo ra một đường hầm bảo mật trên Internet đến địa điểm đích.

PPTP sử dụng giao thức GRE để đóng gói và tách gói PPP, cho phép xử lý linh hoạt các giao thức không phải IP như IPX và NETBEUI Nó thiết lập một kết nối TCP, gọi là kết nối điều khiển PPTP, để khởi tạo, duy trì và kết thúc đường hầm.

Hình 1-7 : Kiến trúc của PPTP

PPTP được phát triển dựa trên giao thức PPP nhằm thiết lập kết nối quay số giữa người dùng và máy chủ truy cập mạng, với việc sử dụng PPP để thực hiện các chức năng cần thiết cho việc kết nối này.

- Thiết lập và kết thúc kết nối vật lý

- Tạo các gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm

Sau khi thiết lập đường hầm, dữ liệu người dùng được truyền giữa client và máy chủ PPTP thông qua các gói PPTP chứa gói dữ liệu IP Những gói dữ liệu này được đóng gói bởi tiêu đề GRE, sử dụng ID của Host để kiểm soát truy cập, đồng thời sử dụng ACK để giám sát tốc độ truyền dữ liệu trong đường hầm.

PPTP hoạt động ở lớp liên kết dữ liệu, yêu cầu tiêu đề môi trường truyền trong gói để xác định phương thức truyền dữ liệu trong đường hầm, bao gồm Ethernet, Frame Relay hoặc kết nối PPP.

Các dạng kết nối VPN

1.6.1 Remote Access VPNs (VPN truy cập từ xa):

VPN truy cập từ xa cho phép nhân viên và các chi nhánh văn phòng di động kết nối và truy cập vào mạng công ty mọi lúc, mọi nơi chỉ cần có kết nối Internet.

VPN truy nhập từ xa cho phép mở rộng mạng công ty tới người dùng qua hạ tầng chia sẻ chung, đồng thời giữ vững các chính sách mạng công ty Loại VPN này cung cấp truy nhập an toàn cho thiết bị di động, người dùng di động, các chi nhánh và đối tác của công ty Được triển khai qua hạ tầng công cộng, VPN này sử dụng công nghệ như quay số, IP di động và DSL, thường yêu cầu phần mềm client trên máy tính của người sử dụng.

Việc triển khai VPN truy nhập từ xa cho phép người dùng từ xa và các chi nhánh văn phòng dễ dàng kết nối với nhà cung cấp dịch vụ ISP và truy cập tài nguyên qua Internet, giúp giảm đáng kể chi phí gọi đường dài.

Hình 1-14: VPN truy nhập từ xa Đặc điểm VPN truy cập từ xa :

- Sự cần thiết hổ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP.

Việc quay số từ khoảng cách xa sẽ không còn được áp dụng, và thay vào đó, các kết nối cục bộ sẽ được sử dụng để thay thế cho những kết nối từ xa.

- Giảm giá thành chi phí cho các kết nối với khoảng cách xa.

Kết nối cục bộ mang lại tốc độ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.

VPNs nâng cao khả năng truy cập vào trung tâm, cung cấp dịch vụ truy cập tối ưu ngay cả khi có sự gia tăng nhanh chóng về số lượng kết nối đồng thời đến mạng.

Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :

- Remote Access VPNs cũng không bảo đảm được chất lượng phụcvụ.

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thễ đi ra ngoài và bị thất thoát.

Việc truyền dữ liệu qua Internet có thể gây chậm trễ khi xử lý các gói dữ liệu lớn như video, âm thanh và truyền thông.

1.6.2 Site - To – Site (Lan – To - Lan):

VPN site-to-site (VPN Lan-to-Lan) được sử dụng để thiết lập kết nối mạng giữa hai vị trí khác nhau thông qua một mạng riêng ảo (VPN).

Lan-to-Lan VPN kết nối hai mạng riêng biệt qua một đường hầm bảo mật, sử dụng các giao thức như PPTP, L2TP hoặc IPSec Mục tiêu chính của Lan-to-Lan VPN là thiết lập kết nối giữa hai mạng không có liên kết trực tiếp, đồng thời đảm bảo tính toàn vẹn, xác thực và bảo mật cho dữ liệu truyền tải.

Kết nối Lan-to-Lan cho phép thiết lập mạng trực tiếp và hiệu quả, bất chấp khoảng cách vật lý Kết nối này có thể diễn ra qua internet hoặc mạng không đáng tin cậy Để đảm bảo an toàn, cần sử dụng mã hóa dữ liệu cho tất cả các gói thông tin di chuyển giữa các mạng.

Lan-to-Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN

Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm

Hình 1-15 : Mô hình Intranet xây dựng dựa trên VPN Đặc điểm Intranet VPN :

Kết nối nhanh chóng và hiệu quả hơn nhờ vào việc kết nối trực tiếp với nhà cung cấp dịch vụ, giúp khắc phục vấn đề khoảng cách xa và đồng thời giảm thiểu chi phí cho việc triển khai Intranet trong tổ chức.

- Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau.

- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng.

Những bất lợi chính của Intranet VPN :

Dữ liệu vẫn tiếp tục bị tunnel trong quá trình chia sẻ trên Internet, dẫn đến nguy cơ tấn công, đặc biệt là tấn công từ chối dịch vụ (denial-of-service), vẫn là một mối đe dọa nghiêm trọng đối với an toàn thông tin.

- Khả năng mất dữ liệu trong lúc di chuyển thông tin cao.

Việc truyền tải dữ liệu qua Internet thường gặp khó khăn khi xử lý các tệp lớn như phim ảnh, âm thanh và các gói dữ liệu truyền thông, dẫn đến tốc độ trao đổi chậm.

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên cũng không được đảm bảo.

Extranet VPN là một loại mạng riêng ảo cho phép kết nối không chỉ người dùng trong cùng một công ty mà còn cả những người dùng bên ngoài như đối tác kinh doanh, khách hàng và nhà cung cấp Khác với VPN truy cập từ xa và Intranet VPN, Extranet VPN không bị cô lập với “thế giới bên ngoài”, giúp mở rộng khả năng truy cập vào các tài nguyên nhất định của công ty.

Hình 1-16 : Mô hình Extranet xây dựng dựa trên VPN Đặc điểm Extraner VPN:

Trên môi trường Internet, tổ chức có thể tự do lựa chọn nhà phân phối và áp dụng các phương pháp giải quyết phù hợp với nhu cầu cụ thể của mình.

Xây dựng mạng VPN

Các vấn đề cần chú ý khi thiết kế VPN

Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số của mạng và những yêu cầu đối với VPN sắp được thiết kế :

- Số lượng site? số lượng người dùng ở mỗi site?

- Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày.

- Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu?

Khi xem xét loại kết nối Internet, cần phân biệt giữa kết nối thường trực và kết nối theo yêu cầu Kết nối thường trực cho phép người dùng duy trì liên lạc liên tục, trong khi kết nối theo yêu cầu chỉ hoạt động khi cần thiết Đối với kết nối thường trực, thời gian lưu dự phòng kết nối là yếu tố quan trọng cần được xác định.

Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy cần thiết phải có?

2.1.1 Các vấn đề về mạng và ISP

Với sự phát triển nhanh chóng của mạng, vấn đề định tuyến và bảo mật trở nên ngày càng quan trọng Để giải quyết những thách thức này, cần áp dụng các giải pháp hiệu quả nhằm nâng cao tính an toàn và tối ưu hóa quá trình định tuyến trong hệ thống mạng.

- Thêm phần cứng hoặc phần mềm vào bộ định tuyến để nó đóng vai trò là một cổng mối bảo mật trong VPN.

- Nâng cấp bộ định tuyến hoặc tường lửa để hỗ trợ các chức năng của VPN.

- Thay thế bộ định tuyến hay tường lửa bằng thiết bị thuộc thế hệ mới có nhiều chức năng hơn, tương thích hơn với mạng mới.

Hiện nay, để nâng cao chất lượng dịch vụ, việc quản lý và hỗ trợ yêu cầu đã được chuyển giao từ mạng riêng sang nhà cung cấp dịch vụ Internet (ISP) Nhiều chức năng quan trọng đã được ISP hỗ trợ nhằm đáp ứng nhu cầu của người dùng.

Sinh viên Lưu Viết Thụy, thuộc K50 lớp Hệ thống thông tin, đã chỉ ra rằng khi xây dựng một VPN, người dùng có thể sử dụng nhiều nhà cung cấp dịch vụ Internet (ISP) Việc sử dụng nhiều ISP mang lại lợi ích về phạm vi địa lý, giúp mở rộng khả năng kết nối của VPN.

2.1.2 Các vấn đề về bảo mật

VPN cho phép người dùng quản lý quyền truy cập vào các mạng con, thiết bị và cơ sở dữ liệu quan trọng Vì vậy, việc kiểm soát quyền truy cập là yếu tố quan trọng cần xem xét khi đảm bảo an toàn cho VPN.

Một giải pháp hiệu quả cho các công ty muốn chia sẻ thông tin từ VPN với người dùng Internet, khách hàng hoặc nhân viên mà vẫn bảo đảm an toàn cho tài nguyên riêng là sử dụng vùng giới tuyến DMZ (Demilitarized Zone) DMZ bao gồm hai tường lửa: một tường lửa giữa Internet và tài nguyên chia sẻ, và một tường lửa giữa tài nguyên đó và mạng nội bộ Máy chủ trong DMZ giữ vai trò lưu trữ thông tin phụ, giúp giảm thiểu thiệt hại nếu có sự cố xảy ra, chẳng hạn như máy chủ Web trong DMZ lưu bản sao của trang Web, trong khi bản chính được lưu trữ trong mạng nội bộ Để tăng cường bảo mật, các biện pháp như mã hóa, trao đổi khóa và chứng thực số được áp dụng.

Mã hóa là một quy trình tính toán phức tạp, phụ thuộc vào từng thuật toán cụ thể Các thuật toán khác nhau mang lại mức độ bảo mật khác nhau, cho phép chúng ta áp dụng các phương thức mã hóa đa dạng để quản lý quyền truy cập hiệu quả.

Khi thiết kế VPN, việc quyết định thời gian chuyển đổi giữa các cổng bảo mật là rất quan trọng Nếu VPN chỉ có ít cổng bảo mật, việc chuyển khoá bằng tay có thể chấp nhận được, nhưng không phù hợp với VPN trải rộng toàn cầu Trong trường hợp này, việc sử dụng e-mail bảo mật là cần thiết Để đảm bảo dữ liệu được bảo mật cao nhất, hệ thống chuyển khoá tự động là lựa chọn tốt nhất Các khoá mã hoá và xác thực có thể thay đổi theo quy luật như sau: sau khi truyền một số gói dữ liệu, sau một khoảng thời gian nhất định, mỗi khi bắt đầu phiên làm việc mới hoặc theo tổ hợp các quy luật này Việc tự động thay đổi khoá giúp tăng cường khả năng chống lại các cuộc tấn công và xâm nhập trái phép.

Khi áp dụng hệ thống quản lý khoá, việc tích hợp các cơ chế hồi khoá là rất quan trọng Điều này không chỉ giúp khôi phục dữ liệu cũ mà còn cho phép sử dụng lại khoá cũ một cách hiệu quả.

Chứng thực số, hay xác thực tính hợp lệ, sử dụng cặp khoá chung trong quá trình mã hoá để đảm bảo tính xác thực của khoá Những chứng thực này liên kết khoá chung với các thực thể mạng như người dùng hoặc máy tính Nhiều trình duyệt web áp dụng chứng thực điện tử để bảo vệ thông tin khi truyền tải giữa máy chủ, sử dụng giao thức Secure Sockets Layer cho thương mại điện tử Ngoài ra, một số hệ thống email cung cấp khả năng mã hoá dựa trên chứng thực điện tử cùng với công nghệ phân phối như Chứng thực điện tử CA và cơ sở hạ tầng khoá công cộng.

Quá trình xây dựng

Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN.

Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy nhập vào trang web của công ty bao gồm 4 bước:

Bước 1: Người sử dụng ở xa thực hiện kết nối vào nhà cung cấp dịch vụ Internet của họ như bình thường.

Khi kết nối với mạng công ty, người dùng sẽ khởi đầu một đường hầm tới máy chủ bảo mật của mạng Máy chủ này sẽ xác thực người dùng và tạo ra một kết cuối khác cho đường hầm.

Người sử dụng sẽ gửi dữ liệu đã được mã hoá thông qua phần mềm VPN qua đường hầm tunnel, kết nối với nhà cung cấp dịch vụ Internet (ISP).

Máy chủ bảo mật nhận dữ liệu đã mã hóa, thực hiện giải mã và chuyển tiếp các gói dữ liệu đã được giải mã tới mạng công ty Tất cả thông tin gửi lại cho người sử dụng từ xa đều được mã hóa trước khi truyền qua Internet.

Hình vẽ dưới đây minh hoạ rằng phần mềm VPN có thể được sử dụng ở bất kỳ vị trí nào có mạng Internet.

Hình 2-5: VPN có thể cung cấp nhiều kết nối

Một VPN bao gồm hai thành phần chính: kết nối từ người dùng đến Internet thông qua nhà cung cấp dịch vụ Internet (ISP) và các công nghệ phần cứng, phần mềm để bảo vệ dữ liệu bằng cách mã hóa trước khi truyền tải qua Internet.

Trong phần này, chúng ta sẽ thảo luận về các khía cạnh quan trọng liên quan đến việc xây dựng một VPN, bao gồm kết nối đến nhà cung cấp dịch vụ Internet (ISP), việc sử dụng bộ định tuyến và tường lửa, cũng như các thiết bị phần cứng và sản phẩm phần mềm cần thiết.

Kết nối giữa người dùng, mạng riêng và Internet do nhà cung cấp dịch vụ Internet (ISP) cung cấp là yếu tố then chốt trong việc thiết lập một VPN, vì ISP chịu trách nhiệm về đường truyền dữ liệu và duy trì kết nối ổn định.

Các mạng đường trục tốc độ cao Mạng đường trục

Các điểm truy xuất mạng

Mạng miền Mạng miền Mạng miền Mạng miền

Hình 2-6 Kiến trúc mạng của các ISP a) Khả năng của ISP

Các nhà cung cấp mạng ISP được phân chia theo cấp độ, khả năng, phạm vi phục vụ của mạng Ta có thể chia ISP làm các nhóm:

Nhóm 1: Nhóm các nhà cung cấp mạng chính, các mạng riêng ảo đóng vai trò là mạng đường trục (do mạng có tốc độ cao và tin cậy…) cho Internet Các ISP thuộc nhóm này là mạng của các quốc gia phát triển có mạng lưới thông tin phát triển hoặc là mạng của các công ty đa quốc gia có thể kể đến như: AT&T, IBM, PSInet…Các mạng này độc lập và kết nối với nhau thông qua nhưng điểm truy cập mạng NAP Không có NAP nào cung cấp các kết nối đến Internet từ một nhà cung cấp trong nhóm đến một mạng công ty hay tới các doanh nghiêp Các NAP chỉ là những điểm đấu nối, chuyển giao lưu lượng giữa các mạng Về tốc độ, các kết nối đến NAP Internet phải được tạo ra với tốc độ tối thiểu là DS-3 (45Mbit/s)

Nhóm 2: Các công ty mua những kết nối đến Internet từ các nhà cung cấp nhóm

Họ cung cấp lại cho khách hàng các dịch vụ như đường truyền riêng, cho thuê địa chỉ trang web và bán băng thông.

Nhóm 3: nhóm các ISP hoạt động bên dưới các ISP nhóm 2, đây là những ISP độc lập, có thể ở quy mô nhỏ như chỉ có từ 2 hay 3 khách hàng sử dụng bằng cách quay số, xDSL,… vào các điểm kết nối địa phương POP (point of presence) cho đến hàng

Hầu hết các nhà cung cấp dịch vụ Internet (ISP) không kiểm soát mạng đường trục hay mạng quốc gia của họ, phục vụ khoảng 600 khách hàng Các ISP thường cung cấp nhiều tùy chọn kết nối với băng thông từ 56 kbit/s đến T3 (44.736 Mbit/s) hoặc cao hơn Một số ISP yêu cầu khách hàng mua thiết bị như bộ định tuyến và CSU/DSU, trong khi những ISP khác sẽ hỗ trợ và quản lý thiết bị cho khách hàng.

Các nhà cung cấp dịch vụ Internet (ISP) thường hỗ trợ khách hàng trong việc cấu hình, lắp đặt và giám sát thông qua trung tâm điều hành mạng (NOC) hoạt động 24/7 Họ cung cấp ba loại cước phí cho khách hàng lựa chọn: cước cài đặt, cước trọn gói và cước truy cập theo từng lần sử dụng Ngoài ra, các hợp đồng dịch vụ SLA cũng được cung cấp để đảm bảo chất lượng dịch vụ.

Hợp đồng dịch vụ SLA (Service Level Agreement) là thỏa thuận giữa khách hàng và nhà cung cấp dịch vụ Internet (ISP) về mức độ dịch vụ mà khách hàng sẽ nhận được SLA đảm bảo thông tin của doanh nghiệp luôn hoạt động ổn định và chất lượng dịch vụ được cam kết bởi ISP Bên cạnh đó, SLA cũng hỗ trợ ISP trong việc dự đoán lưu lượng mạng, từ đó giúp họ đưa ra các phương án điều khiển và phân luồng lưu lượng một cách chính xác.

Khi đánh giá SLA, ba thông số quan trọng cần xem xét là độ sẵn sàng, thông lượng thực tế và độ trễ Độ sẵn sàng của mạng được định nghĩa là thời gian mà mạng có thể phục vụ khách hàng, và có thể được xác định thông qua công thức cụ thể.

24 giờ x Số ngày của tháng - thời gian mạng ngừng hoạt động

24 giờ x Số ngày của tháng Độ sẵn sàng 2.2.2 Tường lửa và Bộ định tuyến

Sau khi kết nối Internet được thiết lập, cần có các thiết bị quan trọng như bộ định tuyến và tường lửa để thiết lập đường truyền dữ liệu Những thiết bị này giúp truyền dữ liệu đến đích và kiểm soát truy cập vào mạng riêng, bảo vệ mạng khỏi các xâm nhập bất hợp pháp.

Internet CSU/DSU Bộ định tuyến

Hình 2-7: Vị trí của các thành phẩn trong VPN

Tại đầu tuyến POP của ISP, hệ thống mạng bao gồm thiết bị CSU/DSU, bộ định tuyến, tường lửa và mạng riêng Các thiết bị này có thể được đặt ở nhiều vị trí khác nhau trong kết nối từ LAN đến ISP Đặc biệt, các thiết bị hỗ trợ VPN có thể được lắp đặt giữa CSU/DSU và bộ định tuyến hoặc giữa bộ định tuyến và tường lửa, giúp tăng cường bảo mật cho mạng.

Bảo mật trong VPN

Quản lý mạng VPN

Quản lý bảo mật

Quản lý bảo mật không chỉ bao gồm việc xác thực người dùng từ nhiều vị trí khác nhau và kiểm soát quyền truy cập, mà còn liên quan đến quản lý khóa và kết nối với các thiết bị VPN Bài viết này sẽ thảo luận về các vấn đề bảo mật liên quan đến máy tính, mạng lưới và dữ liệu.

Bài viết này sẽ đề cập đến các vấn đề tổng quát về chính sách bảo mật thống nhất và các yếu tố liên quan đến bảo mật trong quản lý VPN Chúng ta sẽ tập trung vào việc lựa chọn các giải thuật mã hoá, chiều dài khoá, phân phối khoá và liên kết thông tin trong tập liên kết bảo mật IPSec, cũng như xác thực người dùng và kiểm soát truy cập IPSec cung cấp các chính sách bảo mật dữ liệu cho mọi giao thức, với nhiều lựa chọn, do đó, việc quản lý bảo mật cho VPN sẽ được xây dựng dựa trên nền tảng IPSec, bao gồm cả PPTP và L2TP ở những vị trí phù hợp.

4.1.1 Các chính sách bảo mật thống nhất

Khung làm việc bảo mật cho tổ chức bao gồm các yếu tố quan trọng như xác thực, tính bảo mật, tính nguyên vẹn, cấp quyền, tính sẵn sàng, quản lý và độ tin cậy Để đảm bảo an ninh, cần thiết lập một cơ chế bảo mật thống nhất.

- Xem xét những gì ta đang bảo mật.

- Xem xét những gì ta cần bảo mật từ đâu.

- Xác định các nguy cơ có thể.

- Tiến hành đánh giá những việc bảo mật trong phương pháp xác thực giá.

- Xem xét việc xử lý một cách liên tục.

- Hoàn thiện mọi thời gian thực.

Chính sách bảo mật của mạng riêng

Hình 4-1: Các thành phần của hệ thống bảo mật

Chính sách bảo mật truyền thống tập trung vào việc nhận diện tài sản và thông tin cần bảo vệ, cùng với việc quản lý cơ sở dữ liệu và phần cứng máy tính Tuy nhiên, với sự phát triển của các hệ thống thông tin phân tán, các chính sách bảo mật hiện nay cần mở rộng để bao quát việc quản lý trên các mạng LAN.

Khi xây dựng chính sách bảo mật cho mạng, cần xác định tất cả các điểm truy cập vào hệ thống thông tin và thiết lập các nguyên tắc nhằm bảo vệ các điểm vào/ra một cách hiệu quả.

Một số vấn đề khi lập một chính sách bảo mật:

Việc tổ chức, lập kế hoạch sử dụng các dịch vụ Internet?

Các dịch vụ sẽ được sử dụng trong nhiều lĩnh vực khác nhau, và việc liên kết cung cấp dịch vụ với khả năng truy cập có thể tạo ra những thay đổi đáng kể Định giá các yếu tố trong giới hạn của việc kiểm soát và ảnh hưởng trên mạng không tin cậy là rất quan trọng để đảm bảo an ninh và bảo mật.

Cần bổ sung những gì (mã hoá, xác thực ) để có thể hỗ trợ?

Ngân sách để thực hiện việc bảo mật?

Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng các biến cố, sự cố phức tạp xảy ra.

4.1.2 Các phương thức mã hoá

Khi thiết lập một mạng VPN, mức độ bảo mật dữ liệu có thể được điều chỉnh tùy thuộc vào yêu cầu cụ thể Các giao thức và giải thuật cho VPN đóng vai trò quan trọng trong việc đảm bảo an toàn thông tin.

Các giao thức IPSec, PPTP và L2TP đưa ra các giải thuật cho phép để mã hoá dữ liệu.

Giao thức PPTP hỗ trợ mã hóa dữ liệu thông qua PPP, DES và 3DES Đặc biệt, Microsoft phát triển phương thức mã hóa MPPE (Mã hóa điểm-điểm của Microsoft) dành riêng cho đường hầm PPTP MPPE áp dụng thuật toán RC4 với các khóa có độ dài 40 bit hoặc 128 bit, đảm bảo an toàn cho dữ liệu truyền tải.

Giao thức L2TP có thể sử dụng PPP để mã hoá dữ liệu, tuy nhiên trong L2TP, thường sử dụng IPSec để mã hoá dữ liệu.

Trong IPSec, giải thuật mã hoá được mặc định để sử dụng trong ESP là DES và 3DES b) Chiều dài khoá

Để bảo vệ dữ liệu hiệu quả, cần xác định độ nhạy của nó, từ đó tính toán thời gian nhạy và thời gian bảo mật Sau khi có thông tin này, chúng ta có thể lựa chọn thuật toán mã hóa và chiều dài khóa phù hợp, đảm bảo rằng thời gian để phá mã dữ liệu dài hơn nhiều so với thời gian nhạy của nó.

Bảng: là thông tin tóm lược của Brude Schnier (Thực hành mã hoá_Applied Cryptography) đưa ra thời gian và phí tổn cần thiết để phá khoá.

Chi u d i khoá theo bitều dài khoá theo bit ài khoá theo bit

100 ng nài khoá theo bit

37 ng yài khoá theo bit

24 ng yài khoá theo bit

10 13 n măm Bảng 1: Đối chiếu thồi gian và phí tổn để phá các khoá

4.1.3 Quản lý khoá cho các cổng nối

Một số khoá thường được yêu cầu đẩm bảo liên lạc giữa các cổng nối bao gồm:

Cặp khoá được sử dụng để nhận dạng hai cổng nối khác nhau cần được kết nối một cách chắc chắn, có thể thay đổi nhân công hoặc truyền tải qua các chứng nhận điện tử.

Các khoá phiên yêu cầu xác thực và mã hoá các gói được truyền giữa các cổng nối, cụ thể, sử dụng các tiêu đề AH, ESP của IPSec

Mỗi tiêu đề IPSec yêu cầu các khoá khác nhau, và điều này được kiểm tra qua các liên kết bảo mật Khi cả AH và ESP được áp dụng để xử lý gói tin, hai SA sẽ được xem xét giữa các cổng nối hoặc các máy chủ.

Nhận dạng các cổng nối

Một đường hầm bảo mật có thể được thiết lập giữa hai cổng nối bảo mật hoặc giữa một host từ xa và cổng nối bảo mật, với điều kiện các thiết bị này đã được xác thực bởi một thiết bị khác và được chấp thuận trên một khoá Xác thực này không đồng thời với việc xác thực các gói sử dụng tiêu đề AH, mà là quá trình tự xác thực của các thiết bị.

Các cổng nối sử dụng cặp khoá chung có thể được xác thực nhân công, nhưng thường được kết nối cứng trong thiết bị trước khi xếp đặt Sau đó, người quản lý mạng ghi nhận các thiết bị mới với các cổng nối bảo mật khác trên VPN, cho phép thay đổi các khoá phiên bằng cách sử dụng khoá chung.

Nếu một cổng nối bảo mật không được cấu hình với các khoá két nối cứng, nó sẽ tự động tạo ra một cặp khoá ngẫu nhiên Một chứng nhận điện tử sẽ được gán với khoá riêng và gửi đến quyền đăng nhập chứng nhận thích hợp, như một máy chủ chứng nhận nội bộ hoặc CA cấp 3 như Versign Sau khi nhận được sự chấp thuận, chứng nhận này sẽ sẵn sàng từ CA để các cổng nối bảo mật khác và các client từ xa sử dụng nhằm xác thực vị trí trước khi thực hiện thay đổi dữ liệu Việc kiểm soát các khoá phiên là rất quan trọng trong quy trình này.

Khi cần thay đổi khoá trong các giao thức như IPSec hay L2TP, phương pháp cơ bản là thay đổi khoá nhân công Một khoá phiên ban đầu được tạo ra ngẫu nhiên bởi cổng nối bảo mật, sau đó được quản lý mạng phân phối cho các thiết bị thứ cấp như máy điện thoại và hệ thống ghi thư Quản lý thứ cấp sẽ đưa khoá vào cổng nối bảo mật thứ cấp, thiết lập một phiên bảo mật giữa hai cổng nối Các khoá mới sẽ được tạo ra và phân phối theo cách tương tự khi có yêu cầu.

4.1.4 Quản lý khoá cho các người dùng

Quản lý địa chỉ

Sự bùng nổ trong việc sử dụng địa chỉ IP cho truyền thông dữ liệu đã gây ra nhiều vấn đề trong việc cấp phát và quản lý địa chỉ IP cho các tổ chức thương mại Không gian địa chỉ IPv4 với 32 bit chỉ cung cấp khoảng 4,3 tỷ địa chỉ, không đủ để đáp ứng nhu cầu hiện tại Mặc dù đã có các giải pháp ngắn hạn để giải quyết tình trạng thiếu hụt này, nhưng trong tương lai, IPv6 với trường địa chỉ dài 128 bit sẽ cung cấp một số lượng địa chỉ khổng lồ lên tới 2^128, giúp giải quyết triệt để vấn đề này.

Trong phần này, chúng tôi sẽ đề cập đến các vấn đề hỗ trợ cho người quản lý và người thiết kế mạng, bao gồm các phương pháp phân phối địa chỉ cho các thiết bị mạng trên cả mạng riêng và mạng chung Bên cạnh đó, chúng tôi cũng sẽ thảo luận về các vấn đề liên quan đến việc đặt tên các thực thể mạng thông qua hệ thống tên miền DNS (Domain Name System).

Địa chỉ IPv4 là một số nhị phân 32 bit, được chia thành 4 octet, bao gồm phần mạng và phần host Phần mạng được gán bởi ARIN (American Registry for Internet Number), trong khi phần host do nhà quản lý chỉ định ARIN phân chia địa chỉ IP thành 3 lớp: lớp A, lớp B và lớp C, trong đó địa chỉ lớp A sử dụng 8 bit đầu tiên để xác định phần mạng và 24 bit còn lại cho phần host.

(3 octet) còn lại có thể được dùng cho phần host của địa chỉ Mỗi mạng của địa chỉ lớp

Lớp B của địa chỉ IP cho phép gán tối đa 16.777.214 địa chỉ cho các thiết bị trong mạng, sau khi trừ đi một địa chỉ mạng và một địa chỉ quảng bá Địa chỉ lớp B sử dụng 16 bit đầu tiên (2 octet) để xác định phần địa chỉ mạng, trong khi hai octet còn lại được dùng cho phần host của địa chỉ.

Địa chỉ IP lớp B cho phép gán tới 65.534 địa chỉ cho các thiết bị, nhờ vào khả năng sử dụng (2^16 - 2) địa chỉ Trong khi đó, địa chỉ IP lớp C sử dụng 24 bit đầu tiên để xác định phần mạng, với chỉ octet cuối cùng có thể được sử dụng cho phần host Mỗi mạng sử dụng địa chỉ IP lớp C có thể gán tối đa 254 địa chỉ, tương ứng với (2^8 - 2) địa chỉ.

IP cho các thiết bị gắn vào

Trong các tổ chức lớn với hàng ngàn máy tính, việc cấp phát địa chỉ IP cho các trạm làm việc và cấu hình chúng trong phần mềm TCP/IP trở thành một thách thức đáng kể.

Có hai kiểu cấp phát địa chỉ IP vẫn thường được đề cập và sử dụng đó là: Cấp phát địa chỉ động và cấp phát địa chỉ tĩnh.

Phương thức cấp phát địa chỉ IP tĩnh yêu cầu cấu hình từng thiết bị một cách thủ công, điều này có thể dẫn đến rủi ro về việc trùng địa chỉ hoặc cấu hình sai Phương pháp này chỉ phù hợp cho một số lượng nhỏ thiết bị, vì nó tốn nhiều thời gian và công sức Bất kỳ thay đổi nào trong mạng đều cần phải cấu hình lại, gây tốn kém và giảm hiệu quả hoạt động của mạng.

IP cần cấp phát lên tới hàng trăm, hàng ngàn thì phương pháp này không còn hợp lý và rất khó để thực hiện

Với phương thức cấp phát địa chỉ IP động, địa chỉ IP được gán tự động mà không cần can thiệp từ thiết bị, cho phép quản lý từ máy chủ ở xa Giao thức cấu hình host động (DHCP) là một giải pháp hiệu quả cho việc cấp phát địa chỉ IP động này.

Giao thức cấu hình host động DHCP cung cấp phương pháp tập trung để quản lý và duy trì không gian địa chỉ IP, cho phép cấu hình các thiết bị mạng một cách hiệu quả DHCP linh động chỉ định địa chỉ IP cho các trạm làm việc, giúp tối ưu hóa việc sử dụng tài nguyên mạng.

Hoạt động của DHCP rất đơn giản: khi một client DHCP được kích hoạt, nó gửi yêu cầu quảng bá đến máy chủ DHCP để nhận địa chỉ IP và thông số cấu hình Máy chủ DHCP sẽ phản hồi bằng cách cung cấp một địa chỉ IP và các thông số cần thiết cho client Client có thể chọn chấp nhận hoặc đợi phản hồi từ các máy chủ khác Cuối cùng, client sẽ công bố lựa chọn của mình đến máy chủ đã chọn, và máy chủ này sẽ xác nhận với địa chỉ IP cùng các thông số cấu hình mà client yêu cầu Địa chỉ IP được cấp cho client có thời gian tồn tại nhất định, và trong thời gian này, client sẽ thường xuyên yêu cầu gia hạn từ máy chủ Nếu client không cần gia hạn hoặc ngừng hoạt động, địa chỉ IP sẽ được cấp phát cho thiết bị khác.

Hệ thống tên miền DNS (Domain Name System)

Địa chỉ IP dưới dạng số nhị phân hoặc thập phân thường khó nhớ, vì vậy người dùng thích tên miền hơn Để kết nối nội dung của website với địa chỉ của nó, hệ thống tên miền DNS đã được phát triển Một miền (domain) là tập hợp các máy tính liên quan đến vị trí địa lý hoặc hình thức kinh doanh của nó Tên miền (domain name) là chuỗi ký tự hoặc chữ số, thường là tên đầy đủ hoặc viết tắt, đại diện cho địa chỉ số của một trang web trên Internet Hiện nay, có hơn 200 miền cấp cao trên mạng Internet.

Cũng có các tên phân loại chung, ví dụ như:

com Những site thương mại

edu Những site giáo dục

org Những site phi lợi nhuận

gov Những site của tổ chức chính phủ

Hệ thống tên miền DNS đóng vai trò quan trọng trong việc xác định tên miền chính thức của Internet Là một hệ thống phân tán, DNS sử dụng cơ sở dữ liệu các tên tịnh tiến nhằm cung cấp thông tin cho nhiều máy chủ khác nhau.

Hệ thống DNS hoạt động theo cấu trúc phân cấp với nhiều cấp độ khác nhau cho các máy chủ DNS Máy chủ tên miền DNS là thiết bị mạng có nhiệm vụ xử lý yêu cầu từ các client, chuyển đổi tên miền thành địa chỉ IP tương ứng.

Khi một DNS cục bộ nhận yêu cầu dịch tên miền sang địa chỉ IP, nó sẽ thực hiện nếu có khả năng Nếu không, yêu cầu sẽ được chuyển đến DNS cấp cao hơn để tiếp tục quá trình dịch Nếu DNS cấp cao này thành công, kết quả sẽ được gửi lại cho client; nếu không, yêu cầu sẽ tiếp tục được chuyển lên các DNS cấp cao hơn Quá trình này lặp lại cho đến khi tên miền được dịch thành công hoặc đạt đến DNS cấp cao nhất Nếu không tìm thấy tên miền trên DNS cấp cao nhất, một thông báo lỗi sẽ được gửi đến client.

Tất cả các ứng dụng sử dụng tên miền để biểu diễn địa chỉ IP đều cần đến DNS để chuyển đổi tên miền thành địa chỉ IP tương ứng.

Máy chủ DNS thứ cấp

Máy chủ DNS sơ cấp

Máy chủ DNS thứ cấp

Máy chủ DHCP cấp địa chỉ IP cho các host

Máy chủ DHCP thông báo cho máy chủ DNS thứ cấp chấp nhận địa chỉ IP và tên của host.

Máy chủ DNS thông báo cho máy chủ DNS sơ cấp về những thay đổi nếu cần.

Hình 4-3: Mối quan hệ giữa máy chủ DHCP và máy chủ DNS

4.2.3 NAT và các địa chỉ riêng

Quản lý chất lượng

Quản lý chất lượng ở đây được hiểu là thực hiện các biện pháp để đảm bảo chất lượng của mạng VPN.

Việc quản lý lưu lượng mạng là rất quan trọng, nếu không sẽ dẫn đến tắc nghẽn và ảnh hưởng đến tính ổn định của mạng Khi không có sự kiểm soát, người dùng không thể điều chỉnh lưu lượng phù hợp với băng thông, khiến các luồng dữ liệu ưu tiên cao bị cản trở và các thiết bị trong mạng không thể tự khắc phục vấn đề.

Băng thông là yếu tố quyết định đánh giá khả năng và chất lượng của mạng, xác định tổng lượng dữ liệu có thể truyền tải trong một khoảng thời gian nhất định.

Độ trễ mạng, hay thời gian chờ, là khoảng thời gian giữa yêu cầu dữ liệu và khi dữ liệu được nhận, ảnh hưởng đến thời gian phản hồi giữa client và máy chủ Nhiều yếu tố có thể tác động đến độ trễ này, bao gồm cơ sở hạ tầng mạng, băng thông, công nghệ định tuyến và các giao thức hỗ trợ.

Trễ truyền (Propagation delay) là khoảng thời gian cần thiết để thông tin di chuyển qua đường truyền Thời gian này phụ thuộc vào tốc độ tải trọng và băng thông của mạng.

Trễ truyền dẫn là thời gian cần thiết để gửi một gói dữ liệu qua môi trường nhất định Thời gian này phụ thuộc vào tốc độ tải trọng, kích thước gói và băng thông của mạng.

- Trễ xử lý (Processing delay): là thời gian để cho bộ định tuyến, hệ thống chuyển mạch … xử lý gói.

Độ dao động ảnh hưởng đến thời gian thực của lưu lượng mạng, đặc biệt là biến đổi của thời gian chờ Khi độ trễ mạng vượt quá giới hạn cho phép, có thể dẫn đến hoạt động sai và không cung cấp được dịch vụ đa phương tiện Để đảm bảo an toàn và đáp ứng các yêu cầu lưu lượng khác nhau của các ứng dụng, lưu lượng mạng được phân chia thành ba loại: lưu lượng thời gian thực, lưu lượng tương tác và lưu lượng truyền lớn.

Lưu lượng thời gian thực, bao gồm đàm thoại, hội nghị truyền hình và lưu lượng đa phương tiện, đòi hỏi thời gian chờ ngắn và độ dao động được kiểm soát Việc sử dụng băng thông rộng có thể nâng cao chất lượng dịch vụ cho các loại lưu lượng này.

Lưu lượng tương tác bao gồm lưu lượng thực hiện xử lý, nhập dữ liệu từ xa và một số giao thức kế thừa, với thời gian chờ khoảng một giây hoặc ít hơn Thời gian chờ lớn có thể gây ra trễ xử lý, khiến người dùng phải chờ đợi phản hồi trước khi tiếp tục công việc Do đó, lưu lượng tương tác cần có thời gian chờ hợp lý và không yêu cầu băng thông lớn.

Lưu lượng truyền lớn không yêu cầu thời gian chờ nghiêm ngặt, có thể kéo dài từ vài giây trở lên Đối với loại lưu lượng này, băng thông rộng là rất cần thiết; băng thông càng lớn thì thời gian truyền dữ liệu càng ngắn.

Lưu lượng thời gian thực

Hội nghị truyền hình Đa phương tiên thời gian thực

Nhập dữ liệu từ xa

Các giao thức kế thừa (SNA)

Dòng dữ liệu đa phương tiện FTP

Hình 4-5: Lưu lượng truyền trên mạng

Dựa vào các đặc điểm của các kiểu lưu lượng, người quản trị mạng có thể dự đoán chính xác các dạng lưu lượng của mạng trong các thời điểm khác nhau Những dự đoán này giúp tối ưu hóa hiệu suất mạng và cải thiện trải nghiệm người dùng.

Sinh viên Lưu Viết Thụy, khóa K50 lớp Hệ Thống Thông tin, đã nghiên cứu và đưa ra các biện pháp nhằm tối ưu hóa việc điều khiển lưu lượng người dùng Mục tiêu là cải thiện hiệu suất mạng, đảm bảo rằng mạng có thể đáp ứng tốt nhất nhu cầu sử dụng của người dùng.

Có nhiều phương pháp hỗ trợ phân lớp dịch vụ nhằm nâng cao hiệu suất và giảm tắc nghẽn mạng Năm công nghệ phổ biến nhất được đề xuất bao gồm:

1 Dự phòng quá băng thông mạng.

3 Quyền ưu tiên lưu lượng.

4 Cấp phát tài nguyên tĩnh.

5 Cấp phát tài nguyên động.

Dự phòng quá băng thông mạng không phải là phương pháp tối ưu cho các dịch vụ phân biệt, nhưng có thể giúp giảm tắc nghẽn mạng bằng cách kiểm soát lưu lượng lớn Giải pháp này phù hợp cho mạng LAN cục bộ, nhưng lại không hiệu quả với mạng WAN hay VPN do chi phí băng thông bổ sung cao.

Công nghệ duy trì băng thông hiện đại cải thiện chất lượng mạng bằng cách tối ưu hóa khả năng sử dụng mạng, thay vì phân chia theo các dịch vụ khác nhau Các công nghệ phổ biến hiện nay bao gồm quảng bá IP (IP multicasting), nén dữ liệu và cung cấp băng thông theo yêu cầu.

Quảng bá IP giúp giảm tổng giá trị lưu lượng mạng bằng cách loại bỏ lưu lượng dư thừa Công nghệ IP multicasting hoạt động hiệu quả khi dữ liệu được truyền đồng thời đến nhiều người nhận Tuy nhiên, nếu mỗi phiên kết nối qua một đường hầm VPN giữa các client và server khác nhau, thì lợi ích của IP multicasting sẽ bị hạn chế.

Xây dựng ứng dụng an ninh trong mạng

Tổng quan về ứng dụng

Chương này trình bày ứng dụng chặn các trnag web đen

Chạy trương trình tự động them url vào file host

Xóa url khỏi CSDL Cập nhật file host

Hình 5-1:Mô hình của ứng dụng chặn các trnag web đen

Các URL cần chặn sẽ được lưu trữ trong một tệp blacklist Chương trình sẽ thêm danh sách đen này vào tệp hosts của Windows, giúp người dùng không thể truy cập vào các trang web đã được lưu trong tệp hosts.

Sau khi đăng nhập vào chương trình ta có thể them hoặc xóa url trong blacklist thông qua các module xủ lý của trương trình

Các kết quả thử nghiệm

Hình 5-2 màn hình của chương trình

Hình 5-3: Thông báo khi đăng nhập thành công

Hình 5-4:Sau khi đăng nhập

Hình 5-5: Chức năng đổi mật khẩu

Hình 5-6: chức năng quản lý các url

Danh sách các URL trong blacklist sẽ hiển thị trong khung cửa sổ Để xóa một URL, bạn chỉ cần nhấp chuột vào URL muốn xóa và nhấn nút Delete Ngược lại, để thêm URL, hãy nhập địa chỉ URL vào ô input và nhấn Save.

Tiêu đề	Mạng Riêng Ảo (Virtual Private Network) & Các Giải Pháp An Ninh Cho Mạng Ảo
Tác giả	Lưu Viết Thụy
Trường học	Hệ Thống Thông Tin
Thể loại	khóa luận
Năm xuất bản	K50

Định dạng
Số trang	77
Dung lượng	2,28 MB