1. Trang chủ
  2. » Công Nghệ Thông Tin

Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 23 pps

6 273 2

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 6
Dung lượng 177,45 KB

Nội dung

các địa chỉ duy nhất toàn cục(public) từ trung tâm thông tin mạng (Network Information Center - NIC). Bởi vì việc gán địa chỉ IP công cộng được thực hiện bởi tổ chức có thẩm quyền trên phạm vi toàn cầu, họ rất rõ ràng. Các địa chỉ công cộng có khả năng định tuyến tới bất kỳ đâu. Tuy nhiên, vì việc gán địa chỉ riêng rất dễ dàng thực hiện mà không cần đến một tổ chức có thẩm quyền trên phạm vi toàn cầu, chúng có thể nhập nhằng khi sử dụng trong Internet công cộng và chỉ có thể có khả năng định tuyến được trong một mạng riêng của chính công ty. Tóm lại: 1. Nếu công ty A sử dụng các địa chỉ công cộng trong mạng của mình, các địa chỉ có thể tiếp tục được sử dụng mà không cần phải thay đổi trong môi trường mạng riêng ảo. Nếu có mong muôn che dấu chúng trong khi gói dữ liệu được truyên qua Internet, một đường hầm ESP có thể được sử dụng giữa các firewall. 2. Nếu một công ty A sử dụng các địa chỉ IP riêng trong mạng của mình, các địa chỉ cũng có thể tiếp tục được dùng trên tất cả các mạng con không có kết nối vật lý tới mạng Internet công cộng. Nếu không có các mạng con đó mà kết nối tới Internet công cộng, đặc biệt tồn tại các liên kết tại vành đai của mạng Intranet, một địa chỉ IP công công phải được sử dụng. Chế độ đường hầm ESP hoặc AH và ESP kết hợp trong chế độ đường hầm giữa các firewall giữ cho cả hai làm việc. Tiêu đề IP mới của đường hầm sẻ sử dụng các địa chỉ toàn cục của hai firewall, cho phép các gói dữ liệu được định tuyến quan Internet giữa hai firewall (hoặc các router). Tiêu đề của gói IP gốc sẽ sử dụng các địa chỉ IP được gán cho người dùng trên Intranet, vì vậy các địa chỉ này sẽ được che dấu khỏi sự dò xét bởi các giao thức mã hoá của ESP 5.1.2.2. Vấn đề định tuyến Như trong các mạng truyền thống, việc định tuyến trong mạng riêng ảo liên quan tới việc xử lý định tuyến tới một địa chỉ đích xác định. Trong định tuyến truyền thống, làm việc trên bất kỳ tuyến đường hiện tại có thể dùng được để tới bộ định tuyến đích. Tuy nhiên, trong các mạng riêng ảo, các phương tiện định tuyến cũng đảm bảo tính sẵn sàng của chỉ các tuyến đường qua các kết nối và đường hầm mạng riêng ảo an toàn thay vì quan các mạmg công cộng trung gian. Cần lưu ý các vấn đề sau đây khi quyết định lược đồ định tuyến cho mạng riêng ảo: - Server mạng riêng ảo mà các Client từ xa kết nối tới, chỉ định một tuyến đường mặc định tới các Client VPN từ xa này. Bất kỳ tương tác khác giữa hai đầu cuối trong một phiên mạng riêng ảo đã cho được định tuyến qua tuyến đường đã được định nghĩa trước này. Tương tự, trong trường hợp của một Client quay số, nơi đường hầm được thiết lập giữa nhánh mạng của ISP và mạng đích, Client VPN sử dụng tuyến đường tới Intranet của ISP như tuyến đường mặc định. - Nếu Server VPN được đặt sau một firewall, tất cả các tuyến đường mặc định nên trỏ vào các firewall đó. - Nếu gán rõ ràng một tuyến đường (hoặc một tập các tuyến đường) tới mỗi Client cho một phiên mạng riêng ảo, ta có thể phải kiểm soát đầy đủ qua các đường dẫn giao dịch. Tuy nhiên, làm như vậy đòi hỏi phải cấu hình các tuyến đường trên mỗi Client một cách thủ công. Đây có thể là một công việc cực kỳ mệt mỏi nếu số lượng Client VPN lớn. Hơn nữa, khả năng tắc nghẽn mạng rất cao nếu số tuyến đường được gán rõ ràng có giới hạn. - Ta có thể muốn sử dụng các tuyến đường tĩnh lúc thiết lập một giải pháp mạng riêng ảo lần đầu tiên. Các tuyến đường này được định nghĩa và cấu hình trước trên cả Server VPN cũng như Client VPN. Kết quả là các tuyến đường tĩnh này có thể giữ vai trò quan trọng trong việc kiểm thử một thiết lập mạng riêng ảo mới. Tương tự, các tuyến đường tĩnh này cũng có thể giúp ta gỡ rối các vấn đề liên quan đến định tuyến. - Ngoại trừ việc kiểm thử các thiết lập mạng riêng ảo mới và trợ giúp khi gặp vấn đề, ta nên sử dụng các tuyến đường tĩnh một cách hạn chế vì chúng có thể là nguyên nhân dẫn đến nhiều sự quản lý và cấu hình lại overhead, đặc biệt nếu có một thay đổi trong lược đồ đánh địa chỉ hoặc sự sắp xếp lại các thiết bị mạng riêng ảo - Thông thường, trong một phiên mạng riêng ảo có sử dụng các đường hầm tự nguyện và mở rộng qua Internet, ta có thể hoặc truy cập các Host trên Internet hoặc các Host trên Intranet, miễn là một Gateway mặc định được sử dụng cho mạng riêng ảo, không đồng thời xẩy ra cùng một lúc cả hai. Vì vậy, ta sẽ cần cấu hình một tuyến đường mặc định giữa Client VPN và NAS của ISP. Điều này sẽ cho phép Client VPN truy cập đồng thời các Host dựa trên Intranet cũng như dựa trên Internet. Ch ú ý Phương phát dễ nhất và an toàn nhất của việc gán các đường định tuyến cho các phiên mạng riêng ảo là cấu hình firewal, bộ định tuyến mạng riêng ảo mặc định, hoặc các cổng nối mạng riêng ảo mặc định với tất cả các đường định tuyến có thể liên quan đến mạng riêng ảo. Thực tế này sẽ tiết kiệm cho ta nhiều thời gian và công sức vì sau đó ta chỉ cần cấu hình một đường định tuyến mặc định trên tất cả các máy phía Client. Hơn nữa, như vậy có thể làm đơn giản hoá nếu Gateway, Router VPN hoặc firewall có thể chia sẻ thông tin định tuyến này với các thiết bị định tuyến khác . Kết quản là, ta sẽ không cần phải cấu hình mỗi một thiết bị một cách riêng lẻ. L ý do Các Client VPN quay đó được cấp phát hai địa chỉ IP, thứ nhất là lúc thiết lập một kết nối PPP với nhánh mạng của ISP và thứ hai là trong khi thiết lập phiên mạng riêng ảo . Vì thế, ta phải rất cẩn thận trong khi gán các đường định tuyến cho các phiên mạng riêng ảo, vì nếu thêm một đường định tuyến PPP thay cho đường định tuyến mạng riêng ảo, tất cả các lưu lượng sẽ được định tuyến qua đường định tuyến PPP không an toàn dưới dạng không được mã hoá. Hơn nữa, nếu các gói có địa chỉ IP riêng chúng sẽ bị loại bỏ tại thiết bị định tuyến của ISP. Các mạng riêng ảo cũng yêu cầu rằng phải lựa chọn giao thức định tuyến đúng. Ta sẽ cần chọn giao thức định tuyến theo các điều kiện và yêu cầu của tổ chức. Một số nhân tố có thể giup ta trong việc quyết định giao thức bao gồm: - Giải thông được sử dụng bởi giao thức: Ví dụ, ta có thể muốn sử dụng BGP(Boder Gateway Protocol – Giao thức cổng biên) khi thực tế nó sử dụng một giải thông nhỏ. - Overhead được phát sinh: Một số giao thức định tuyến phát sinh overhead truyền thông rất cao so với các giao thức khác. RIP là một ví dụ. Mặc dù IPSec không phải là một giao thức định tuyến, nhưng nó cũng phát sinh overhead cao. - Chiều hướng liên lạc: Một số giao thức định tuyến, như RIP, chỉ hỗ trợ các địa chỉ Unicast, các giao thức khác như RIPv2 và Open Shortest Path First (OSPF) hỗ trợ các địa chỉ broadcast and multicast. - Tính năng bảo mật được cung cấp: Một số giao thức định tuyến mang lại khả năng bảo mật cao 5.1.3. Các xem xét liên quan đến DNS Hệ thống tên miền(Domain Name System - DNS) là một thư mục phân tán toàn cục được sử dụng cho việc chuyển đổi các địa chỉ dựa vào tên, Chẳng hạn như www.yahoo.com tương ứng với một địa chỉ IP là 64.58.76.223. Ta sẽ cân DNS trong mạng riêng ảo cho chức năng tương tự - ánh xạ các địa chỉ dựa vào tên của host để tương ứng chúng với các địa chỉ IP. Trong mạng riêng ảo Intranet, chỉ cho phép truy cập tới các tài nguyên đặt trong mạng Intranet của tổ chức, ta sẽ cần tạo một Domain riêng biệt cho mạng chính và nhiều Domain riêng lẻ cho mỗi nhánh mạng từ xa. Ví dụ, ta có thể tạo một Domain là “MyIntranet.com” và tạo các Domain trong như là “RemoteBranch1.MyIntranet.com”, “RemoteBranch2.MyIntranet.com” v.v. Dễ dàng cấu hình máy chủ DSN để hỗ trợ kiến trúc Domain này. Hơn nữa, cũng sẽ cần thiết lập ít nhất một máy chủ Domain trong như là một máy chủ Domain thứ cấp cho mỗi Domain trong mà ta tạo ra. Điều này sẽ mang lại thuận lợi trong việc chia sẻ các các cập nhật và thông tin liên quan đến DNS khác giữa nhiều Domain trong. Cấu hình trước đây quan tâm đển việc truy cập mạng riêng ảo dựa trên Intranet, các host bên trong sẽ không còn khả năng truy cập Intrernet. Nếu muốn các host bên trong có khả năng truy cập Internet hoặc các tài nguyên trong mạng Internet, ta cần thiết lập bổ sung một máy chủ DNS bên ngoài, nó sẽ nhận tất cả truy vấn tới các host bên ngoài từ các DNS bên trong và anh xạ các địa chỉ theo tên bên ngoài tương ứng với các địa chỉ dạng số. Trong trường hợp những người dùng di động sử dụng một mạng riêng ảo để truy cập Intrnanet, có một vấn đề cố hữ với các thiết lập DNS. Nếu những người dùng từ xa này phụ thuộc vào một kết nối đường quay số, các Client VPN kết nối tới Intranet sử dụng một địa chỉ IP mới mỗi lần. Và như vậy, ta không thể mã cứng DSN của ta để cung cấp cho các Client này. Để giải quyết vấn đề này, ta sẽ cần thiết lập các máy Client cá nhân để sử dụng các máy chủ DNS bên trong. Nếu những người dùng từ xa yêu cầu một kết nối Internet đồng thời, ta phải cấu hình những đầu cuối từ xa này để tìm kiếm các máy chủ DNS bên ngoài thêm vào các máy chủ bên trong Ch ú ý Khi kết nối tới Internet, ta có thể đối mặt với độ trễ rất lớn, hoặc thập chí ngừng ứng dụng trong khi phân giải tên/địa chỉ nếu ta thiết lập các host VPN trước hết tìm kiếm một máy chủ DNS bên trong và sau đó tìm kiếm một máy chủ DNS bên ngoài (trong cả hai kịch bản intranet và remote access). Điều này là bởi vì các host se tìm một máy chủ DNS bên ngoài sau khi đã tình kiếm qua tất cả các máy chủ DNS bên trong mà chúng được đăng ký. Và như vậy, host VPN nên tìm kiếm một máy chủ DSN bên trong có khả năng chuyển tiếp yêu cầu tới DNS của ISP. Kết quả là nhanh hơn nhiều vì nó cho phép lưu cache các tên được tìm kiếm. Hơn nữa, để xem xét những điều mới được đề cập, ta cũng cần cảnh giác với các tính chất dễ bị tổn thương máy chủ DSN sau đây: - Nếu xẩy ra lỗi bảo mật các máy chủ DNS, một kẻ xâm nhập có thể chiếm quyền điều khiển Server của ta và giành được toàn quyền kiểm soát qua các Domain đã đăng ký với chúng. Kiểu tấn công này được xem như là cướp Domain. - Một kẻ xâm nhập có thể sử dụng các tấn công từ chối dịch vụ trên các máy chủ DNS của ta. Trong trường hợp này, các Domain bị tấn công sẽ không có khả đăng định vị các Host trong các Domain khác và Internet. Vì tất cả các máy chủ DNS dựa trên Internet liên lạc với mỗi máy chủ khác, kiểu tấn công này có thể dẫn đến sự chậm trễ toàn cục lan rộng trong tiến trình xử lý ánh xạ tên/ip. - Nếu một kẻ xâm nhập giành được quyền truy cập vào máy chủ DNS của ta và sửa đổi các thông tin được lưu trong máy chủ để chuyển hướng bất kỳ lưu lượng nào giành cho các địa chỉ hợp pháp tới một vị trí giả mạo, các Domain bị tấn công sẽ không nhận được bất kỳ lưu lượng dữ liệu nào giành cho chúng. Để tránh các vấn đề này, cần phải bảo mật cho các máy chủ DNS trong cũng như ngoài 5.1.4. Các xem xét liên quan đến Firewall, Router, NAT Như ta đã biết, các Router (hay Gateway), Firewall và các thiết bị NAT là các thiết bị ngoại biên. Ta cần xem xét một số vấn đề về sự an toàn và sự tích hợp của chúng trong một môi trường mạng riêng ảo. 5.1.4.1. Các xem xét liên quan đến Router Router(và các Gateway) giữ một vai trò đáng kể trong việc định tuyến luồng lưu lượng qua một mạng dựa trên IP. Vì có các thiết bị ngoại biên này, mối quan tâm chính liên quan đến chúng là về tính an toàn của chúng. Nếu Router của ta được bảo mật kiém, chúng có thể dễ dàng bị nhắm tới bởi những kẻ xâm nhập, là những kẻ phái sinh luồng lưu lượng giả tạo gây ra các tấn công từ chối dịch vụ. Chúng cũng có thể được dùng bởi những kẻ xâm nhập để tấn công các Router khác. Các xem xét khác liên quan đến Router và Gateway trong thiết lập mạng riêng ảo bao gồm: . phiên mạng riêng ảo là cấu hình firewal, bộ định tuyến mạng riêng ảo mặc định, hoặc các cổng nối mạng riêng ảo mặc định với tất cả các đường định tuyến có thể liên quan đến mạng riêng ảo. Thực. nhiên, trong các mạng riêng ảo, các phương tiện định tuyến cũng đảm bảo tính sẵn sàng của chỉ các tuyến đường qua các kết nối và đường hầm mạng riêng ảo an toàn thay vì quan các mạmg công cộng trung. mạng riêng ảo . Vì thế, ta phải rất cẩn thận trong khi gán các đường định tuyến cho các phiên mạng riêng ảo, vì nếu thêm một đường định tuyến PPP thay cho đường định tuyến mạng riêng ảo, tất

Ngày đăng: 08/07/2014, 15:21

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w