+ Bao nhiêu truy cập tới hệ thống của ta từ Internet hoặc những người dùng bên ngoài mạng(như: các đối tác thương mại, nhà cung câp,…) mà ta muốn cho phép? + Hành động nào ta sẽ thực hiện nếu phát hiện sự vi phạm bảo mật? + Những ai trong Công ty của ta sẽ phải tuân thủ và giám sát chính sách này? Đó là những nguyên tắc mang tính định hướng chung cho việc thiết lập và thực hiện một chính sách an toàn mạng. 1.6.2. Chính sách an toàn mạng Nếu hệ thống của ta có kết nối Internet thì rất có thể phải đương đầu với nhiều nguy cơ tấn công tiềm ẩn. Gateway hoặc Firewal là những hệ thống bảo vệ tốt, tuy nhiên cần phải lưu ý rằng: + Gateway không nên chạy nhiều ứng dụng hơn mức cần thiết vì các ứng dụng có những khiếm khuyết có thể bị khai thác. + Gateway nên hạn chế tối đa các loại và số lượng giao thức được cho phép đi qua nó hoặc các kết nối Terminate tại gateway từ bên ngoài, vì các giao thức cũng có thể tiềm ẩn nhiều lỗ hổng bảo mật. + Bất kỳ một hệ thống nào có chứa thông tin mật hoặc nhạy cảm đều không nên cho phép truy cập trực tiếp từ bên ngoài. + Tất cả các dịch vụ trong một Intranet thuộc Công ty nên tối thiểu việc yêu cầu xác thực mật khẩu và kiểm soát truy cập thích hợp. + Truy cập trực tiếp từ bên ngoài luôn phải được xác thực và kiểm toán Chính sách an toàn mạng xác định các dịch vụ sẽ được cho phép hoặc bị từ chối, cách thức các dịch vụ này sẽ được sử dụng và là ngoại lệ với các luật này. Mỗi luật trong chính sách an toàn mạng nên được thực thi trên một firewall hoặc RAS. Và chính sách an toàn mạng của một công ty phải trả lời được các câu hỏi sau: + Những ai được truy cập vào mạng của Công ty? Những Client, đối tác, khách hàng nào được cung cấp truy cập tới mạng của Công ty? + Những ai có thể kết nối tới mạng mở rộng, như của Client hay các đối tác. + Những ai có thể truy cập Internet từ mạng của Công ty? + Lúc nào thì tài khoản của một người dùng sẽ bị xoá? + Phải bảo mật các máy tính như thế nào trước khi chúng ở trong mạng có truy cập Internet không được bảo vệ. + Người dùng có thể tuỳ tiện tải các chương trình từ Internet hay không? + Kiểu mật khẩu nhân viên phải dùng là gì? Và có thường phải thay đổi hay không? + Các máy tính của người dùng từ xa, người dùng di động được bảo mật như thế nào? Họ phải làm gì để có thể truy cập an toàn tới mạng của công ty. + Những thông tin mật nào cần được bảo vệ? Có quy tắc lưu trữ các loại thông này hay không? 1.6.3. Chính sách an toàn Mạng riêng ảo Trong khi một chính sách an toàn mạng truyền thống xác định luồng thông tin nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảo mật VPN mô tả các đặc tính của việc bảo vệ hiện trạng luồng thông tin. Theo một nghĩa nào đó, nó là một tập con của chính sách an toàn mạng , vì nó chỉ cô đọng hơn và phụ thuộc vào vấn đề cho phép luồng thông tin giữa các đích nào đó trước khi nó có thể được bảo vệ. Một chính sách an toàn VPN mô tả hiện trạng luồng thông tin riêng được bảo vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực, mã hoá, độ dài khoá, quản lý khoá…). Chính sách an toàn VPN có thể được định nghĩa trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung để cung cấp sự quản lý và mở rộng tốt hơn. Về cơ bản, các thiết bị cần phải có các chính sách phù hợp với việc mô tả dòng lưu lượng trước khi nó được phép đi vào các thiết bị. Trong khi thực hiện VPN cần lưu ý: + Chỉ có một kết nối mạng được cho phép. + VPN phải được thiết lập và quản trị bởi các nhóm quản trị của Công ty + Tất cả các máy kết nối tới mạng trong của công ty qua VPN phải dùng phần mềm Virus và cập nhật thường xuyên để quét + Người dùng VPN sẽ bị tự động ngắt kết nối nếu không có hoạt động gì sau một khoảng thời gian nhất định(chẳng hạn: sau 30 phút). Câu hỏi ôn tập 1. Mạng riêng ảo là gì? Nêu một số ví dụ về Mạng riêng ảo? 2. Ba loại mô hình VPN là: __________, __________, và __________. a. Intranet b. Internet c. Extranet d. Remote Access 3. Khi tiếp cận cách thiết kế và thực hiện VPN cần xem xét những vấn đề nào? 4. Thuật ngữ RAS là viết tắt của: __________. a. Remote Access Standard b. Remote Access Storage c. Remote Access Server d. Remote Access Subsystem 5. Chọn câu đúng trong các câu sau đây? a. Intranet VPNs là độc lập với một WAN router Backbone b. Extranets VPN là giải pháp chi phí cao hơn và phức tạp hơn c. QoS không thể được đảm bảo trong một Intranet VPNs 6. Sự cần thiết của chính sách an toàn mạng 7. Nêu các nguyên tắc chung cho việc thiết lập chính sách an toàn mạng? 8. Chính sách an toàn mạng riêng ảo cần quan tâm đến những vấn đề nào? Chương 2. Giao thức mạng riêng ảo tại tẩng 2 Trong chương này chúng ta thảo luận các giao thức cho phép một kết nối tại tầng 2, điển hình như PPP được định đường hầm qua một mạng khác, điển hình như mạng IP. Điều này giống như một phương pháp phức tạp kéo theo nhiều overhead(phần thông tin phụ thêm được đưa vào), nhưng một số lợi ích nhận được từ phương pháp này rất hữu dụng cho việc xây dựng VPN. Chúng ta sẽ thấy rằng các giao thức đường hầm này là cơ sở để xây dựng VPN và bảo mật các giao dịch qua VPN. Một số giao thức đường hầm được thực hiện tại tầng 2 - tầng liên kết dữ liệu - của mô hình OSI, như được mô tả trong hình 2.1 Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Hình 2.1 Vị trí các giao thức đường hầm tầng 2 trong mô hình OSI Các giao thức này bao gồm: Giao thức đường hầm điểm - điểm (PPTP), Giao thức chuyển tiếp lớp 2 (L2F), Giao thức đường hầm lớp 2 (L2TP). 2.1. Giao thức PPP PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng. Thuận lợi lớn nhất của PPP là nó có thể điều khiển bất kỳ DTE hoặc DCE nào bao gồm: EIA/TIA-232-C và ITU-T V.35. Một điểm ưa thích của PPP là nó không hạn chế tỷ lệ truyền dữ liệu. Trong khi truyền dữ liệu bị hạn chế bởi giao diện DTE/DCE đang dùng. L2F, PPTP, L2TP Cuối cùng, chỉ yêu cầu của PPP là sẵn sàng với các kết nối kép (2 cách). Nó có thể là đồng bộ hoặc không đồng bộ và có thể điều khiển cả các Switch hay các mode chuyên dụng. Ngoài việc đóng gói các dữ liệu theo giao thức IP, không theo giao thức IP và việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịu trách nhiệm về các chức năng sau: - Chỉ định và quản trị các gói IP thành các gói không IP. - Cấu hình và kiểm tra các liên kết đã thiết lập. - Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu. - Phát hiện lỗi trong khi truyền dữ liệu. - Dồn kênh các giao thức mạng lớp hai. - Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ. PPP thực hiện các chức năng này theo ba chuẩn: - Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm. - Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của giao thức kiểm soát liên kết(Link Control Protocol – LCP). - Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗi trong khi truyền theo dạng của giao thức kiểm soát mạng (Network Control Protocol - NCP) thích hợp. 2.1.1. Quá trình thực hiện PPP Giao thức PPP được sử dụng để đóng gói các gói tin thành các khung PPP và gửi dữ liệu trên các kết nối điểm - điểm. Có năm bước cần tiến hành trong quá trình thương lượng kết nối PPP, đó là: 1. Sau khi các gói dữ liệu đã được đóng gói, Node nguồn (hoặc khởi tạo) gửi khung LPC qua kết nối điểm - điểm tới Node đích. 2. Các tham số này thường được dùng để cấu hình liên kết bằng việc chỉ rõ các tham số và kiểm tra liên kết đã được thiết lập. . Thuận lợi lớn nhất của PPP là nó có thể điều khiển bất kỳ DTE hoặc DCE nào bao gồm: EIA/TIA-232-C và ITU-T V.35. Một điểm ưa thích của PPP là nó không hạn chế tỷ lệ truyền dữ liệu. Trong khi truyền. năng sau: - Chỉ định và quản trị các gói IP thành các gói không IP. - Cấu hình và kiểm tra các liên kết đã thiết lập. - Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu. - Phát hiện. liệu qua liên kết điểm - điểm. - Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của giao thức kiểm soát liên kết(Link Control Protocol – LCP). - Chuẩn thiết lập, cấu