Hình 5.7 Thiết lập mạng riêng ảo cục bộ Những vấn đề nên được xem xét trong khi thiết kế một giải pháp mạng riêng ảo cho môi trường mạng riêng ảo cục bộ bao gồm: - Bảo mật: Mặc dù các giao thực không bảo mật cần được thực thì trên các Router và Gateway bên trong, các thiết bị ngoại vi nên hỗ trợ một cơ chế bảo mật, chẳng hạn như IPSec. Hơn nữa, tốt nhất là, các thiết bị ngoại này nên được che dấu “sau” Firewall với các chính sách bảo mật được định nghĩa rõ ràng - Lược đồ đánh địa chỉ: Vì thực tế là toàn bộ Intranet thuộc một tổ chức, đánh địa chỉ, việc đánh địa chỉ không phải là vấn đề vì các nhánh mạng từ xa kèm theo lược đồ đánh địa chỉ phong phú được sử dụng trong các phần khác của Intranet. Và như vậy, lược đồ đánh địa chỉ được dùng trong phần còn lại của Intranet có thể được sử dụng, miễn là tất các các địa chỉ trong Intranet là duy nhất. Do vậy, vấn đề đánh địa chỉ ít khi gặp trục trặc trong môi trường này. - Phân phối khoá: Vì một mạng Intranet được tin cậy rộng rãi, phân phối khoá host t – to – host không phải là một nhu cầu chính. Tuy nhiên, các khoá sẽ được trao đổi giữa các điểm dễ bị tấn công trong mô hình thiết lập này, cụ thể là các thiết bị ngoại vi như Router, Gateway. Với mục đích này, một cơ chế quản lý và trao đổi khoá một cách tự động và an toàn, chẳng hạn như IKE được khuyến cáo sử dụng - Mã hoá và xác thực dữ liệu: Bất kỳ dữ liệu nào được trao đổi giữa Server và Client phải được mã hoã cũng như được xác thực. Mặc dù thực tế là chúng thuộc cùng mạng Intranet – nhưng vì dữ liệu được định tuyến qua Internet hoặc các mạng công cộng khác dễ bị tổn thương với các nguy cơ bảo mật và sự sai lệch. Khá giống với các chính sách bảo mật được dùng trong môi trường truy cập từ xa, nên thiết lập bộ lọc gói và ban hành các tiêu chuẩn nghiêm ngặt để đảm bảo rằng dữ liệu không được mã hoá hoặc xác thức sẽ bị loại bỏ tại vành đai mạng bởi các thiết bị ngoại vi. Thậm chí thông tin định tuyến trao đổi giữa các Router cũng nên được mã hoá và xác thực - Đường hầm: Thiết lập các đường hầm trực tiếp giữa các thiết bị ngoại vi đặt tại mỗi nhánh mạng là điều thích hợp. Mặc dù thực tế là chúng nâng cao tính bảo mật, đặc biệt nếu mức độ tin cậy trong môi trường Intranet không cao, nhưng nó phát sinh một khối Overhead lớn và tương đối khó khăn trong việc quản lý. Nên phân tích mức độ tin cậy trong Intranet và sau đó quyết định giữa 2 tuỳ chọn như trong trường hợp của môi trường mạng riêng ảo truy cập từ xa để duy trì một mức độ an toàn cao - Các giao thức đường hầm: Nếu các Client Clien sử dụng giao thức đường hầm không IP, các thiết bị VPN ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp 5.2.3. Mạng riêng ảo mở rộng Môi trường mạng riêng ảo mở trộng cho phép các thực thể mở rộng, như đối tác thương mại, nhà cung cấp có thể truy cập tới mạng Intranet của tổ chức một cách an toàn sử dụng Internet mà không phải dựa trên các kênh thuê riêng và các kết nối quay số, như minh hoạ trong hình 5.8 Hình 5.8 Thiết lập mạng riêng ảo mở rộng Các xem xét thiết kế mà ta phải lưu ý khi thiết kế một giải pháp mạng riêng ảo cho môi trường này là: - Bảo mật: Các phương tiện và giao thức bảo mật nghiêm ngặt cần được thực thi tại các Router, Gateway và Firewall ngoại vi. Hơn nữa, các thiết bị ngoại vi này nên được ẩn dấu sau firewall với các chính sách bảo mật được định nghĩa rõ ràng - Lược đồ đánh địa chỉ và định tuyến: Trong môi trường này, ta không thể mong đợi các mạng mở không bị trục trặc. Nếu hai mạng sử dụng một lược đồ địa chỉ riêng, khả năng xung đột địa chỉ xẩy ra là rất cao. Điều này có thể dẫn đến vấn đề định tuyến khi Router và Gateway sẽ không có khả năng giải quyết các địa chỉ nhập nhằng này. Kết quả là, ta cần phải đảm bảo rằng - Phân phối khoá: Vì một thiết lập mở rộng khá phức tạp và bao gồm cả đến các thực thể mở rông không tin cậy, thêm vào đó một số lượng lớn các Client và liên lạc, một cơ chế quản lý và phân phối khoá an toàn và tự động như IKE hoặc ISAKMP/Oakley là bắt buộc với tất các các nhóm – Server, Client, Router, Gateway, Firewall… - Mã hoá và xác thực dữ liệu: Bất kỳ dữ liệu nào được trao đổi giữa Server và Client phải được mã hoá đầu cuối - tới - đầu cuối cũng như xác thực một cách triệt để. Điều này là cần thiết vì dữ liệu có thể từ một môi trường không tin cậy và đã được định tuyến qua Internet hay các mạng công cộng khác, cho nên rất dễ gặp phải các nguy cơ bảo mật và sự sai lệch. Giống như chính sách bảo mạt được dùng trong môi trường truy cập từ xa và môi trường cục bộ, ta nên thiết lập các bộ lọc gói và thông qua các phương tiện nghiêm ngặt để đảm bảo rằng dữ liệu không được xác thực cũng như không được mã hoá sẽ bị loại bỏ tại vành đai mạng bởi các thiết bị ngoại vi. Thậm chí thông tin định tuyến giữa các Router cũng nen được mã hoá và xác thực. - Đường hầm: Thiết lập các đường hầm trực tiếp giữa các thiết bị ngoại vi đặt tại mỗi mạng cuối là điều thích hợp. Mặc dù thực tế điều này nâng cao tính an toàn, đặc biệt nếu mức độ tin cậy trong mạng Intranet là không cao, nhưng nó phát sinh các Overhead lớn và tương đối khó quan lý. Ta sẽ phải phân tích mức độ tin cậy trong môi trường Intranet và sau đó quyết định giữa 2 tuỳ chọn(Các đường hầm giữa người dùng cuối với thiết bị ngoại vi, hoặc đường hầm giữa người dùng cuối với máy chủ mạng riêng ảo) để duy trì một mức an toàn cao. - Các giao thức đường hầm: Nếu các Client từ xa sử dụng các giao thức đường hầm không IP, các thiết bị mạng riêng ảo ngoại vi, như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp, các giao thức đường hầm với các cơ chế bảo mật mạnh thêm vào Trong phần sau, ta sẽ xem xét các bước thông thường để thực thi mạng riêng ảo 5.3. Các bước chung để xây dựng mạng riêng ảo Khi ta đã chú ý về bất kỳ công nghệ nào, một khi ta đã thực thi và bắt đầu sử dụng nó, thì nó trở thành một phần công việc của ta. Điều này cũng đúng với các mạng riêng ảo. Một khi đã thực thi, thậm chí trước khi ta thực hiện, mạng riêng ảo trở thành một phần không thể thiếu của hoạt động giao dịch hằng ngày. Và như vậy, nếu có bất kỳ sai sót nào trong pha thực thi hay lập kế hoạch không chặt chẽ, những người dùng và tổ chức của ta sẽ chịu hậu quả, dẫn đến nhiều công việc phức tạp và mất nhiều thời gian. Điều này lý giải tại sao ta phải thực sự hiểu các yêu cầu và các kế hoạch tương lai của tổ chức trước khi bắt đầu lập kế hoạch. Chỉ sau khi kế hoạch và tiếp đó là bản thiết kế phù hợp, nên chia thành các pha thực thi Việc thực thi đầy đủ một giải pháp dựa trên mạng riêng ảo có thể khái quá thành năm bước sau: - Chuẩn bị cơ sở - Lựa chọn các sản phẩm và một nhà cung cấp dịch vụ - Kiểm thử kết quả - Thiết kế và thực thi giải pháp - Quản trị và giám sát Sau đây ta sẽ thảo luận chi tiết các bước này 5.3.1. Chuẩn bị cơ sở Thực thi một giải pháp dựa trên mạng riêng ảo có thể làm giảm không đáng kể hiệu suất của mạng Intranet. Và như vậy, điều quan trọng là ta phải nghiên cứu đầy đủ các khả năng để chọn lựa các dịch vụ và sản phẩm tối ưu. Hơn nữa, phần cơ sở được làm càng tỉ mĩ, sự hoàn vốn đầu tư càng tối ưu. Ta cần xác định các thông tin sau như một phần của pha nghiên cứu và phân tích này: - Một ước lượng sơ bộ về số lượng người dùng: Cần có một ước lượng sơ bộ về số lượng người dùng mong muốn để xác định phạm vi của giải pháp mạng riêng ảo và các dịch vụ. Số lượng này cũng sẽ giúp ta quyết định số lượng các cổng mạng riêng ảo tối ưu mà ta nên có. . Client, Router, Gateway, Firewall… - Mã hoá và xác thực dữ liệu: Bất kỳ dữ liệu nào được trao đổi giữa Server và Client phải được mã hoá đầu cuối - tới - đầu cuối cũng như xác thực một cách. là bản thiết kế phù hợp, nên chia thành các pha thực thi Việc thực thi đầy đủ một giải pháp dựa trên mạng riêng ảo có thể khái quá thành năm bước sau: - Chuẩn bị cơ sở - Lựa chọn các sản phẩm. Chuẩn bị cơ sở - Lựa chọn các sản phẩm và một nhà cung cấp dịch vụ - Kiểm thử kết quả - Thiết kế và thực thi giải pháp - Quản trị và giám sát Sau đây ta sẽ thảo luận chi tiết các bước này