Trong báo cáo này, chúng em xin trình bày đề tài: “Thiết kế hệ thống mô phỏng Internet” với cơ sở lý thuyết, phân tích thiết kế, xây dựng và triển khai dịch vụ VPN trên một hệ thống mô p
Trang 1ĐẠI HỌC BÁCH KHOA HÀ NỘI TRƯỜNG CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
-
🙞🙜🕮🙞🙜 -BÁO CÁO
KIẾN TRÚC PHẦN MỀM MẠNG
Đề tài: Thiết lập hệ thống mạng mô phỏng Internet
Giảng viên hướng dẫn: TS Phạm Huy Hoàng
Bộ môn: Truyền thông và mạng máy tính Nhóm sinh viên thực hiện:
1 Phạm Tuấn Dũng - 20176728
2 Nguyễn Tài Thao - 20176875
3 Vũ Nguyễn Khánh - 20176795
4 Nguyễn Văn Giang - 20176740
5 Nguyễn Tuấn Việt - 20176909 Lớp: Information Technology Specialist-CNTT Việt Nhật - K62
Hà Nội, tháng 1 năm 2022
Trang 21
MỤC LỤC
2.4 Virtual Private Network (VPN) 10
Trang 35.2 Minh họa dịch vụ VPN 28 5.2.1 Trước khi áp dụng khởi tạo kết nối VPN đến gateway 28
Trang 43
LỜI NÓI ĐẦU
Hiện nay, trong đời sống hàng ngày nhu cầu sử dụng mạng internet là không thể thiếu đối với mỗi cá nhân Tuy nhiên, người dùng sẽ có thể bị chặn truy cập tới một vài trang web hay ứng dụng (điển hình là những năm 2010, khi các nhà cung cấp mạng chặn IP của mạng xã hội Facebook khiến người dùng không thể truy cập được) VPN chính là giải pháp cho vấn đề này Tuy nhiên đó không phải là thứ duy nhất mà VPN làm được VPN còn làm được rất nhiều thứ, mang lại lợi ích to lớn trong công việc và bảo mật thông tin
VPN là từ viết tắt của Virtual Private Network, hay còn gọi là mạng riêng ảo, mạng ảo Đây
là một công nghệ mạng giúp tạo nên những kết nối mạng an toàn khi tham gia mạng riêng của nhà cung cấp dịch vụ hoặc mạng công cộng internet, intranet
Trong báo cáo này, chúng em xin trình bày đề tài: “Thiết kế hệ thống mô phỏng Internet” với
cơ sở lý thuyết, phân tích thiết kế, xây dựng và triển khai dịch vụ VPN trên một hệ thống mô phỏng mạng Internet để kiểm tra và nắm vững lại các kiến thức trong học phần Kiến trúc phần mềm mạng Chúng em xin cảm ơn TS Phạm Huy Hoàng giảng viên bộ môn Truyền thông và mạng máy - tính, Trường Công nghệ thông tin, Đại học Bách khoa Hà Nội đã tận tình giảng dạy cung cấp những kiến thức đầy đủ, trực quan và các tài liệu liên quan cho môn học Kiến trúc phần mềm mạng (IT4152) để chúng em để hoàn thành bài báo cáo này
Trang 54
CHƯƠNG 1: KHẢO SÁT BÀI TOÁN 1.1 Giới thiệu bài toán
Thiết lập 1 hệ thống mạng mô phỏng Internet bao gồm:
● Thiết kế 3 AS kết nối với nhau trong đó 1 AS đóng vai trò là Tier 1 và 2 AS đóng vai trò
là các ISP
● Mỗi AS có tối thiểu 3 router sử dụng RIP hoặc OSPF
● Mỗi ISP cần phải được kết nối với 1 home network
● Triển khai dịch vụ VPN trên mạng Internet mô phỏng này để cho phép 2 máy tính tại
2 home network kết nối dịch vụ với nhau
1.2 Khảo sát bài toán
● Bài toán được triển khai trong môi trường mô phỏng trên hệ thống máy ảo để nghiên cứu
và nắm rõ các kiến thức liên quan đến cách thức hoạt động của mạng Internet
● Từ việc mô phỏng hệ thống mạng có thể áp dụng cho hệ thống thực tế để triển khai các
dịch multicast
Trang 6Liên mạng có thể được liên kết bởi LAN to LAN LAN to WAN, và WAN to WAN Có ba phương pháp liên kết liên mạng phổ biến tương ứng với 3 tầng cuối của mô hình OSI Phương pháp liên
kết tại tầng vật lý, cùng cấu trúc và phương thức trao đổi thông tin Bộ lặp Repeater hoạt động tại tầng vật lý, là thiết bị được sử dụng để mở rộng chiều dài của một mạng LAN Phương pháp liên kết tại tầng liên kết dữ liệu Datalink, có cấu trúc khác nhau và phương thức trao đổi thông tin khác nhau Cầu Bridge và các bộ chuyển mạch Switched tầng 2 hoạt động tại tầng liên kết dữ liệu
Những thiết bị này hỗ trợ cho các giao thức tầng vật lý khác nhau và có thể liên kết giữa các mạng LAN có cấu trúc khác nhau Phương pháp liên kết sử dụng tầng mạng Network Layer hay tầng
Internet Layer cho các mạng khác nhau về phần cứng, khác nhau về phần mềm, khác nhau về giao thức và thường cung cấp những chức năng và ứng dụng khác nhau
Internet backbone (đường trục internet) có thể hiểu là một đường truyền đặc biệt nó được xác ,
định bởi các tuyến dữ liệu chính giữa các mạng máy tính lớn, được kết nối chiến lược và các bộ
định tuyến lõi của Internet Nó là một đường truyền dữ liệu tốc độ rất cao cung cấp các thiết bị
mạng cho các nhà cung cấp dịch vụ Internet tương đối nhỏ nhưng tốc độ cao trên toàn thế giới
Internet backbone yêu cầu kết nối băng thông tốc độ cao và máy chủ hay bộ định tuyến có hiệu
phải học thông tin về đường đi tới các mạng khác Thông tin về đường đi tới các mạng
khác sẽ được người quản trị cấu hình cho router Khi cấu trúc mạng thay đổi, người quản trị mạng phải tự thay đổi bảng định tuyến của router
● Kỹ thuật định tuyến tĩnh đơn giản, dễ thực hiện, ít hao tốn tài nguyên mạng và CPU xử lý trên router (do không phải trao đổi thông tin định tuyến và không phải tính toán định
tuyến) Tuy nhiên kỹ thuật này không hội tụ với các thay đổi diễn ra trên mạng và không
thích hợp với những mạng có quy mô lớn (khi đó số lượng route quá lớn, không thể khai
báo bằng tay được)
● Ưu điểm:
- Sử dụng ít bandwidth hơn định tuyến động
- Không tiêu tốn tài nguyên để tính toán và phân tích gói tin định tuyến
● Nhược điểm:
Trang 76
- Không có khả năng tự động cập nhật đường đi
- Phải cấu hình thủ công khi mạng có sự thay đổi
- Phù hợp với mạng nhỏ, rất khó triển khai trên mạng lớn
● Một số tình huống bắt buộc dùng định tuyến tĩnh:
- Đường truyền có băng thông thấp
- Người quản trị mạng cần kiểm soát các kết nối
- Kết nối dùng định tuyến tĩnh là đường dự phòng cho đường kết nối dùng giao
thức định tuyến động
- Chỉ có một đường duy nhất đi ra mạng bên ngoài (mạng stub)
- Router có ít tài nguyên và không thể chạy một giao thức định tuyến động
- Người quản trị mạng cần kiểm soát bảng định tuyến và cho phép các giao thức
classful và classless
2.2.2 Dynamic routing
● Các router sẽ trao đổi thông tin định tuyến với nhau Từ thông tin nhận được, mỗi router
sẽ thực hiện tính toán định tuyến từ đó xây dựng bảng định tuyến gồm các đường đi tối
ưu nhất đến mọi điểm trong hệ thống mạng Với định tuyến động, các router phải chạy
các giao thức định tuyến (routing protocol) Giao thức định tuyến động không chỉ thực
hiện chức năng tự tìm đường và cập nhật bảng định tuyến, nó còn có thể xác định tuyến
đường đi tốt nhất thay thế khi tuyến đường đi tốt nhất không thể sử dụng được Khả năng thích ứng nhanh với sự thay đổi mạng là lợi thế rõ rệt nhất của giao thức định tuyến động
so với giao thức định tuyến tĩnh
● Ưu điểm:
- Đơn giản trong việc cấu hình
- Tự động tìm ra những tuyến đường thay thế khi mạng thay đổi
● Nhược điểm:
- Yêu cầu xử lý của CPU của router cao hơn so với định tuyến tĩnh
- Tiêu tốn một phần băng thông trên mạng để xây dựng bảng định tuyến
● Tất cả các giao thức định tuyến động được xây dựng dựa trên giải thuật Định tuyến
động chia thành hai trường phái: các giao thức định tuyến ngoài - Exterior Gateway
Protocol (EGP) và các giao thức định tuyến trong - Interior Gateway Protocol (IGP)
- Các giao thức định tuyến ngoài (EGP) với giao thức tiêu biểu: BGP (Border
Gateway Protocol) là loại giao thức được dùng để chạy giữa các router thuộc các
AS khác nhau, phục vụ cho việc trao đổi thông tin định tuyến giữa các AS AS -
Autonomous System - tạm dịch là Hệ tự trị là tập hợp các router chung một chính sách về định tuyến
- Các giao thức định tuyến trong (IGP) gồm các giao thức tiêu biểu như: RIP,
OSPF, EIGRP Trong đó, RIP và OSPF là các giao thức chuẩn quốc tế, EIGRP là
giao thức của Cisco, chỉ chạy trên thiết bị Cisco IGP là loại giao thức định tuyến
chạy giữa các router nằm bên trong một AS
2.3 Các giải thuật tìm đường trong mạng
2.3.1 RIP (Routing Information Protocol)
● RIP (tiếng Anh: Routing Information Protocol) là một giao thức định tuyến bên trong
miền sử dụng thuật toán định tuyến distance vector RIP được dùng trên Internet và
-phổ biến trên môi trường NetWare như phương thức trao đổi thông tin định tuyến giữa
các bộ định tuyến Giao thức định tuyến chuẩn Internet OSPF (Open Shortest Path
Trang 87
First) là một phiên bản kế thừa của RIP
- RIP có hai phiên bản là RIPv1 và phiên bản mới hơn là RIPv2
- Đây là một giao thức dạng Vector khoảng cách
- Nó chọn đường đi theo số nút mạng đi qua(# of hops, Max =15 hops)
- RIP chọn đường dạng DV(bạn của bạn là bạn)
● RIP trao đổi thông tin theo cách sau:
○ Trao đổi bảng chọn đường
○ Định kỳ
- Các vector khoảng cách được trao đổi định kỳ mỗi 30s
- Mỗi thông điệp chứa tối đa 25 mục
- Trong thực tế nhiều thông điệp được sử dụng
- Khởi tạo lại mỗi khi nhận được thông tin chọn đường
- Nếu sau 180s mà không nhận được thông tin thì chuyển sang trạng thái
Hold Down
○ Hold down timer:
- Giữ lại trạng thái Hold Down trong 180s
- Chuyển sang trạng thái Down
○ Flush timer:
- Khởi tạo lại mỗi khi nhận được thông tin chọn đường
- Sau 120s xóa mục tương ứng trong bảng chọn đường
2.3.2 OSPF (Open Shortest Path First)
● OSPF - Open Shortest Path First là một giao thức định tuyến động theo kiểu Link
State Đây là một giao thức được sử dụng rộng rãi trong các mạng có quy mô lớn
Trang 98
● Một số đặc điểm chính của giao thức OSPF:
- OSPF là một giao thức Link State điển hình Mỗi router khi chạy giao thức sẽ
gửi các trạng thái đường link của nó cho tất cả các router trong vùng (area) Sau
một thời gian trao đổi, các router sẽ đồng nhất được bảng cơ sở dữ liệu trạng
thái đường link (Link State Database – LSDB) với nhau, mỗi router đều có được
“bản đồ mạng” của cả vùng Từ đó mỗi router sẽ chạy giải thuật Dijkstra tính
toán ra một cây đường đi ngắn nhất (Shortest Path Tree) và dựa vào cây này để
xây dựng nên bảng định tuyến
- OSPF có AD = 110
- Metric của OSPF còn gọi là cost, được tính theo bandwidth trên cổng chạy
OSPF
- OSPF chạy trực tiếp trên nền IP, có protocol ID là 89
- OSPF là một giao thức chuẩn quốc tế, được định nghĩa trong RFC – 2328
● Các bước hoạt động của OSPF:
- Bầu chọn Router ID
- Thiết lập quan hệ láng giềng (neighbor)
- Trao đổi LSDB
- Tính toán xây dựng bảng định tuyến
2.3.3 BGP (Border Gateway Protocol)
● BGP là giao thức tìm đường nòng cốt trên Internet Nó hoạt động dựa trên việc cập
nhật một bảng chứa các địa chỉ mạng (prefix) cho biết mối liên kết giữa các hệ thống
tự trị (autonomous system, tập hợp các hệ thống mạng dưới cùng sự điều hành của một
nhà quản trị mạng, thông thường là một nhà cung cấp dịch vụ Internet, ISP) BGP là
một giao thức vector đường đi (path vector) Khác với các giao thức tìm đường khác
như RIP (vector độ dài), OSPF (trạng thái liên kết), BGP chọn đường bằng một tập
các chính sách và luật Phiên bản BGP hiện nay là phiên bản 4, dựa trên RFC 4271
● BGP hỗ trợ tìm đường liên vùng phi lớp (CIDR Classless Inter Domain Routing) và
-dùng kỹ thuật kết hợp đường đi để giảm kích thước bảng tìm đường (ví dụ nếu một
mạng chiếm 255 địa chỉ lớp C từ 203.162.0.0/24 203.162.254.0/24 thì chỉ dùng 1 địa -
Trang 109
chỉ 203.162.0.0/16 để định danh mạng)
● BGP được sử dụng thay thế cho EGP và xóa hẳn mạng xương sống NSFNET nhằm
giúp cho Internet trở thành một hệ thống phân tán đúng nghĩa
● Ngoài việc sử dụng BGP giữa các AS, BGP cũng có thể được sử dụng trong các mạng
riêng quy mô lớn do OSPF không đáp ứng được Một lý do khác là dùng BGP để hỗ
trợ multihome
● Đa số người sử dụng Internet thường không sử dụng BGP một cách trực tiếp Chỉ có
các nhà cung cấp dịch vụ Internet sử dụng BGP để trao đổi đường đi BGP là một
trong những giao thức quan trọng nhất đảm bảo tính kết nối của Internet
● Hoạt động của BGP:
- Các thiết bị tìm đường (router) sử dụng BGP kết nối từng cặp (peering) với nhau
bằng cách thiết lập phiên làm việc trên giao thức TCP qua cổng 179 Phiên kết
nối này được duy trì bằng việc gửi các thông điệp keep alive 19 byte mỗi 60
-giây (mặc định)
- Có bốn loại thông điệp BGP là open (mở phiên kết nối), update (thông báo hoặc
rút lại một đường đi), notification (thông báo lỗi), keep alive (duy trì phiên kết
-nối)
- BGP có 4 thông điệp kết nối
● Thứ tự ưu tiên trong cơ chế tìm đường của BGP:
- Chọn đường đi tường minh trong bảng trước(so với đường đi mặc định)
- Chọn đường đi có trọng số cao nhất (weight) (chỉ với router của Cisco)
- Chọn đường đi có độ ưu tiên cục bộ cao nhất (local preference)
- Chọn đường đi do chính người quản trị mạng cài đặt trên router (static route, có
thuộc tính origin là INCOMPLETE)
- Chọn đường đi đi qua ít AS nhất (AS path ngắn nhất)
- Chọn đường đi có nguồn gốc bên trong trước (origin = IGP < EGP)
- Chọn đường đi có độ ưu tiên gần/xa thấp nhất MED (Multi exit discriminator)
- Chọn đường đi ra bên ngoài trước (external path)
- Chọn đường đi có độ đo IGP đến hop tiếp theo thấp nhất (IGP metric to the next
hop)
- Chọn đường đi tồn tại trong bảng lâu nhất (oldest one)
- Chọn đường đi đến router tiếp theo có BGP ID thấp nhất
● Các vấn đề hiện tại của BGP:
- Đường đi không ổn định, thay đổi liên tục theo chu kỳ (route flapping)
- Sự tăng trưởng của kích thước bảng tìm đường
- Độ trễ của việc hội tụ bảng tìm đường (thời gian để cập nhật bảng tìm đường
Trang 1110
cho tất cả router khi có sự thay đổi, convergence delay)
- Vòng lặp trong việc chuyển thông tin đường đi (looping behavior)
- Độ tin cậy và cơ chế mã hóa thông tin
2.4 Virtual Private Network (VPN)
2.4.1 Giới thiệu
● Virtual Private Network là mạng riêng ảo hay còn được biết đến với từ viết tắt VPN,
đây không phải là một khái niệm mới trong công nghệ mạng VPN có thể được định
nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống
mạng công cộng VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu
động từ xa kết nối về văn phòng chính
● Virtual Private Network s dử ụng kỹ thuật Tunneling Protocols, Đây là kỹ thuật đóng
gói một gói tin dữ liệu bên trong một gói tin khác để tạo ra một kênh truyền an toàn
● VPN cung cấp nhiều đặc tính hữ ích bao gồm:u
- Chi phí thiết lập mạng VPN thấp do sử ụ d ng chung h t ng Internet ạ ầ
- Tính linh hoạt: VPN đã xóa bỏ rào cản về mặt địa lý cho hệ thống mạng, sẵn
sàng kết nối các mạng riêng lại với nhau một cách dễ dàng thông qua môi
trường Internet
- Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người
không có quyền truy cập và cho phép truy cập đối với những người dùng có
quyền truy cập Sử dụng các giao thức đóng gói, các thuật toán mã hóa và các
phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền
- Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do đó
các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên
ngoài Internet
Trang 1211
2.4.2 Các Mode Hoạt Động Của VPN
● Mode hoạt động của VPN là khái niệm dùng để chỉ sự quy định các đóng gói dữ liệu
trong quá trình truyền giữa các thiết bị VPN có hai mode hoạt động là Transport và
Tunnel
- Transports mode: Dữ liệu được mã hóa sẽ nằm trong ESP header và ESP sẽ
chèn vào giữa Layer 2 header và layer 3 header
- Tunnel mode: Dữ liệu sẽ được mã hóa và đóng gói thành 1 IP Header mới với
source và des IP mới
● VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào
mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp Công nghệ VPN
có thể được phân thành 2 loại cơ bản: Site- -Site to VPN và Remote Access VPN
● VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec,
GRE, MPLS, SSL, TLS
a) Site- -Site VPN to
● Là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành
Trang 1312
một hệ thống mạng thống nhất Ở loại kết nối này thì việc chứng thực ban đầu
phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như
Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một
cách an toàn giữa các Site
● Lan- -to Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN
(xem xét về mặt chính sách quản lý) Nếu chúng ta xem xét dướI góc độ chứng
thực nó có thể được xem như là một intranet VPN, ngược lại chúng được xem
như là một extranet VPN Tính chặt chẽ trong việc truy cập giữa các site có thể
được điều khiển bởi cả hai (intranet và extranet VPN) theo các site tương ứng
của chúng
b) Remote Access VPN
● Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và
các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên
mạng của tổ chức
● Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm
VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN
concentrator (bản chất là một server) Vì lý do này, giải pháp này thường được
gọi là client/server Trong giải pháp này, các người dùng thường thường sử dụng
các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ
● Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà
muốn kết nối vào mạng công ty một cách an toàn Cũng có thể áp dụng cho văn
phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty
● Remote Access VPN còn được xem như là dạng User- -toLAN, cho phép người
dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server
● Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không
dây Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm
wireless (wireless terminal) và sau đó về mạng của công ty Trong cả hai trường
hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật,
còn được gọi là tunnel
● Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy Thường thì
giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty
Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote
Authentication Dial-InUser Service [RADIUS], Terminal Access Controller
Access Control System Plus [TACACS+]…)
Trang 1413
● Point- -Point Tunneling Protocol (PPTP)To
- PPTP được viết tắt từ Point to Point Tunneling Protocol Là sự mở rộng của
-giao thức Internet chuẩn Point- -toPoint (PPP) và sử dụng cùng kiểu xác thực
như PPP (PAP, SPAP, CHAP, MS-CHAP, EAP)
- Là phương pháp VPN được hỗ trợ rộng rãi nhất giữa các máy trạm chạy
Windows PPTP thiết lập đường hầm (tunnel) nhưng không mã hóa Ưu điểm
khi sử dụng PPTP là nó không yêu cầu hạ tầng mã khóa công cộng (Public Key
Infrastructure)
● Layer 2 Forwarding L2F–
- Được Cisco phát triển L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào
được PPP hỗ trợ
● Layer 2 Tunneling Protocol L2TP–
- Là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF
Tiêu chuẩn L2TP được hoàn tất vào cuối năm 1998
- Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec
L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN
điểm-nối-điểm và VPN truy cập từ xa
- Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và
router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an
toàn hơn
● IPSec-VPN
- IPsec được tích hợp trong rất nhiều giải pháp VPN “tiêu chuẩn”, đặc biệt trong
các giải pháp VPN gateway- -gateway (site- -to tosite) để nối 2 mạng LAN với
nhau
- IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai gateway
hoặc giữa máy tính trạm và gateway
- IPsec chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based
network) Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm VPN phải
được cài đặt sẵn phần mềm VPN client
- IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data Link như các
-giao thức dùng trong VPN khác như L2TP, PPTP
Trang 1514
- IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính
nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng
công cộng Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:
+ Tính bảo mật dữ liệu – Data confidentiality
+ Tính toàn vẹn dữ liệu – Data Integrity
+ Tính chứng thực nguồn dữ liệu – Data origin authentication
+ Tính tránh trùng lặp gói tin – Anti-replay
- Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange (IKE)
hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật hơn hoặc
thông qua khóa mã chia sẻ (preshared key)
- IPSec VPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông
dụng bao gồm Denial of Service (DoS), replay, và “man- -the-in middle”
● SSL-VPN
- SSL VPN còn được gọi là giải pháp “clientless” Điều này cũng có nghĩa là các
giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn
- Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ mạng hoặc
một mạng con (subnet) như với IPsec, có thể hạn chế chỉ cho phép truy xuất tới
một số ứng dụng cụ thể
- Nếu một ứng dụng mà bạn muốn họ truy cập không phải là là loại ứng dụng dựa
trên trình duyệt (browser based), thì cần phải tạo ra một plug ins Java hoặc -
-Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt
- SSL VPN hoạt động ở session layer, điều này cho nó khả năng điều khiển truy
cập theo khối tốt hơn
- SSL VPN sử dụng chứng chỉ số (digital certificates) để xác thực server
- SSL VPN không cần phần mềm VPN client trên máy khách (ngoại trừ trình
duyệt Web), SSL VPN gateways vẫn có thể cung cấp các tiện ích “quản lý máy
khách ” bằng cách buộc trình duyệt phải chạy các applets
● OpenVPN
- OpenVPN là phần mềm mã nguồn mở tạo các kết nối và thực hiện bảo mật
mạng ở tầng 2 và 3
- Sử dụng SSL/TLS để tạo ra kênh truyền bảo mật (đã được sử dụng rộng rãi trên
thế giới và các hãng đang bắt đầu hỗ trợ VPN qua giao thức này như Microsoft,
Cisco )
- Sử dụng thư viện SSL API để thực hiện mã hóa, do đó ta có thể linh động thay
đổi bằng những thuật toán khác