GIỚI THIỆU VỀ MẠNG RIÊNG ẢO Tác giả: Vi Thị Mưu I. Giới Thiệu : VPN (Virtual Private Network) là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật gọi là tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header chứa thông tin định tuyến có thể truyền qua mạng trung gian. VPN là một mạng riêng sử dụng một mạng chung để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường internet từ mạng riêng của công ty tới các site của các nhân viên từ xa. Một phương pháp chung được tìm thấy trong VPN đó là : Generic Routing Encapsulation (GRE). Giao thức mã hoá định tuyến GRE cung cấp cơ cấu đóng gói giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carrier Protocol). Nó bao gồm thông tin về loại gói tin đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. II. Phân loại VPN: 1. Phân loại VPN bao gồm: • VPN cho các nhà doanh nghiệp • VPN đối với các nhà cung cấp dịch vụ • Công nghệ VPN và mô hình OSI • IPSec và security associations • IPSec mode và Protocol Sau đây là công nghệ VPN và mô hình OSI: Figure 2-1: công nghệ VPN và mô hình OSI 2. VPN đối với các nhà doanh nghiêp: Đối với các nhà doanh nghiệp, VPN cung cấp các kết nối được triển khai trên hạ tầng mạng công cộng. giải pháp VPN gồm 3 loại chính: - Remote Access VPN - Site-to-Site VPN - Extranet VPN a. Remote Access VPN: Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng-đến- LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa diểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ. sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. Figure 2-2: Remote Access VPN Một số thành phần chính: - Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. - Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm. - hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng. - bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua internet. Thông tin Remote Access Setup được mô tả bởi hình sau: Figure 2-3: Remote Access VPN setup Thuận lợi của Remote Access VPN: - Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP. - Việc quay số nhanh từ những khoảng cách xa được loại trừ, thay vào đó sẽ là các kết nối cục bộ. - Giảm giá thành chi phí cho các kết nối với khoảng cách xa. - Do đây là một kết nối mang tính cục bộ, do đó tốc độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa. - VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng. Một số bất lợi của VPNs: - Remote Access VPNs cũng không đảm bảo được chất lượng phục vụ. - khả năng mất dữ liệu là rất cao, hơn nữa các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát. ◊- Do độ phức tạp của thuật toán mã hóa, protocol overhead tăng đáng kể điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP xảy ra chậm. - Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn thì sẽ rất chậm. b. VPN site-to-site - là việc sử dụng mật mã dành riêng cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như : đối tác cung cấp, khách hàng …), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Figure 2-4: kết nối các doanh nghiệp qua mạng công cộng - LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu - Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách giữa chúng. c. Extranet: - Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh: chẳng hạn như khách hàng, nhà cung cấp, đối tác của những người giữ vai trò quan trọng trong tổ chức… Figure 2-5: The traditional Extranet setup Từ mô hình trên ta thấy: mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một khó triển khai do có nhiều mạng, đồng thời cũng khó khăn cho◊Extranet cá nhân làm công việc bảo trì và quản trị. Figure 2-6: The Extranet VPN setup Thuận lợi của Extranet : - Dễ triển khai, quản lý và chỉnh sửa thông tin. - Giảm chi phí bảo trì. Một số bất lợi của Extranet: - sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại. - Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet. - Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp. - Quality of Service (QoS) cũng không được đảm bảo thường xuyên. . GIỚI THIỆU VỀ MẠNG RIÊNG ẢO Tác giả: Vi Thị Mưu I. Giới Thiệu : VPN (Virtual Private Network) là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào. một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header chứa thông tin định tuyến có thể truyền qua mạng trung gian. VPN là một mạng riêng. Figure 2-4: kết nối các doanh nghiệp qua mạng công cộng - LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP,