Virtual private network GVHD:nguyễn thành thái TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH ************************* Đề Tài: Môn : Đồ Án 1 Giáo viên hướng dẫn : Nguyễn Thành Thái Sinh Viên : Phan Thị Thu Hồng MSSV : 07718001 Mục Lục Trang 1 Virtual private network GVHD:nguyễn thành thái Mục lục……………………………………………………………………….2 Lời giới thiệu……………………………………………………………… 3 I. Giới thiệu về Virtual Private Network………………………………… 4 1. Khái niệm Virtual Private Network……………………………………4 2. Ưu điểm VPN…………………………………………………………….5 3. Mục đích………………………………………………………………….7 4. Đối tượng sử dụng…………………………………………………… 8 5. Đăng ký sử dụng dịch vụ……………………………………………… 8 II. Các loại VPN…………………………………………………………… 8 Lời Giới Thiệu Trang 2 Virtual private network GVHD:nguyễn thành thái Với sự phát triển nhanh chóng của công nghệ tin học và viễn thông, thế giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vượt qua ranh giới cục bộ và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu. Cùng với sự phổ cập ngày càng cao của Internet, doanh nghiệp dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có. Đầu tiên là intranets, đây là những sites được bảo vệ bằng password và sử dụng trong phạm vi công ty. Còn bây giờ nhiều doanh nghiệp đang thiết lập dịch vụ VPN (virtual private network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian. I. Giới thiệu về Virtual Private Network Trang 3 Virtual private network GVHD:nguyễn thành thái 1. Khái niệm Virtual Private Network Virtual Private Network (viết tắt là VPN) tạm dịch là mạng riêng ảo. VPN là mạng riêng ký sinh trên mạng viễn thông công cộng. Mạng riêng ảo sử dụng hạ tầng mạng viễn thông công cộng (chẳng hạn mạng Internet) và hình thành bởi việc sử dụng các giao thức “đường hầm” với các chế độ an ninh dữ liệu. Khác với những mạng riêng sử dụng đường truyền vật lý hay kênh truyền số liệu thuê riêng (là những mạng mà đường truyền vật lý hay kênh thuê riêng chỉ dùng cho một khách hàng), mạng riêng ảo tận dụng cơ chế “chia sẻ” hạ tầng mạng viễn thông công cộng và do đó giảm chi phí hơn, trong khi vẫn duy trì những tính chất “riêng” cho người dùng. Mạng riêng ảo dựa trên giao thức IP của mỗi công ty hay tổ chức cho phép nhân viên, đối tác, hay khách hàng của họ kết nối một cách bảo mật với trụ sở hay các văn phòng chi nhánh để truy cập và chia sẻ các tài nguyên thông tin, ngay cả khi họ đang lưu động trong chuyến công tác tới một nơi nào khác trên Thế giới. Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) Trang 4 Virtual private network GVHD:nguyễn thành thái truy cập đến từ bên ngoài. 2. Ưu điểm của VPN - Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet. - Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường (giảm từ 60%- 80% chi phí cho các máy trạm truy cập từ xa). - Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet mà bạn xử dụng (Hiện nay đường truyền ADSL tại Việt nam đã đủ cung cấp băng thông cho khái thác dịch vụ như CSDL Kế toán, công văn, công việc, bán hàng, mua hàng, quản lý thông tin trong doanh nghiệp thông qua hệ thống làm việc từ xa – VPN) - Số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn, không hạn chế số lượng, tùy thuộc vào nhu cầu khai thác dữ liệu sẽ có các mô hình VPN cụ thể phù hợp với loại hình kinh doanh của doanh nghiệp (VPN Client hoặc Site to site / truy cập từ các máy trạm vào văn phòng công ty hoặc truy cập từ hệ thống mạng văn phòng này sang hệ thống mạng văn phòng khác tạo thành 1 hệ thống mạng thống nhất) - Đảm bảo khả năng bảo mật cao với các cơ chế mã hoá trên nền tảng mạng riêng ảo (mã hóa, xác thực truy cập, xác nhận truy cập và bảo mật hệ thống) - Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập và hệ thống mạng riêng ảo trong mạng nội bộ (Cung cấp thông tin các Acccont để xác thực truy cập). • Đối với công ty: - Mở rộng kết nối ra nhiều khu vực và cả thế giới Trang 5 Virtual private network GVHD:nguyễn thành thái - Tăng cường an ninh mạng - Giảm chi phí so với thiết lập mạng WAN truyền thống - Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khả năng tương tác. - Đơn giản hoá mô hình kiến trúc mạng - Cung cấp những cơ hội kết nối toàn cầu (điều này rất khó và đắt nếu kết nối trực tiếp bằng đường truyền riêng) - Hỗ trợ làm việc từ xa - Cung cấp khả năng tương thích với mạng lưới băng thông rộng - Giúp thu hồi vốn nhanh (return on investment) so với mạng WAN truyền thống. - Quản lý dễ dàng: trường có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguồn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng. - Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sử dụng công nghệ DSL. - Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp trên mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng liên kết lớn, mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịchvụ. • Đối với nhà cung cấp dịch vụ: - Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo. - Tăng hiệu quả sử dụng mạng internet hiện tại. Trang 6 Virtual private network GVHD:nguyễn thành thái - Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng, đặc biệt là đối với những khách hàng lớn. - Đầu tư không lớn nhưng đem lại hiệu quả cao. - Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ. Thiết bị sử dụng cho mạng VPN. 2. Rủi ro an ninh RỦI RO AN NINH Công nghệ VPN (bao gồm SSL VPN) đem lại lợi ích và tiết kiệm chi phí đáng kể cho tổ chức, nhưng đồng thời cũng mang theo nó các vấn đề về an ninh. Những vấn đề này phải được xử lý một cách phù hợp để đảm bảo tính bí mật, toàn vẹn của dữ liệu và thông tin, cũng như an ninh mạng tổng thể của tổ chức. Trao đổi dưới đây trước hết tập trung vào các rủi ro an ninh chung liên quan đến việc sử dụng máy tính thông qua VPN để truy cập vào mạng nội bộ của một tổ chức, sau đó sẽ đề cập đến rủi ro an ninh của SSL VPN.  Phụ thuộc trong môi trường Internet.  Thiếu sự hổ trợ cho một số giao thức kế thừa. Rủi ro an ninh đối với VPN nói chung Các rủi ro liên quan đến xác thực người dùng Các VPN dễ dàng truy cập từ Internet vào mạng của tổ chức và các nguồn lực nội bộ. An ninh VPN chỉ mạnh đúng bằng độ mạnh của các phương pháp được sử dụng để xác thực người dùng (và các thiết bị) tại đầu xa kết nối VPN. Các phương pháp xác thực đơn giản dựa trên mật khẩu tĩnh là đối tượng của tấn công “ăn trộm”, nghe trộm, hoặc thậm chí các cuộc tấn công dạng social engineering. Xác thực hai yếu tố, mà bao gồm một cái gì đó bạn biết và một cái gì đó bạn có, là yêu cầu tối thiểu để cung cấp an toàn truy cập từ xa tới mạng công ty. Trong một số trường hợp, có thể cần tới xác thực ba yếu tố, dưới hình thức thêm một yêu cầu xác thực - một cái gì đó gắn với bản thân bạn (một yếu tố sinh trắc học, ví dụ như vân tay hoặc quét mống mắt). Lây lan của virus, sâu, và Trojan từ máy tính từ xa vào mạng nội bộ Trang 7 Virtual private network GVHD:nguyễn thành thái Truy cập từ xa là một nguồn nguy cơ tấn công lớn đối với an ninh mạng. Mỗi máy tính từ xa không đáp ứng các yêu cầu an ninh của tổ chức có thể có khả năng chuyển tiếp sự lây nhiễm từ môi trường mạng nội bộ của mình cho mạng nội bộ của tổ chức. Cần cài đặt phần mềm phòng diệt virus được cập nhật thường xuyên trên máy tính từ xa để giảm thiểu rủi ro loại này. Chia tách đường hầm Sự chia tách đường hầm diễn ra khi một máy tính tại đầu xa của một đường hầm VPN đồng thời trao đổi lưu lượng mạng với cả mạng dùng chung (công cộng) và mạng nội bộ (mạng riêng) mà không đặt tất cả các lưu lượng mạng vào bên trong đường hầm VPN. Điều này tạo cơ hội cho kẻ tấn công trên mạng công cộng khống chế máy tính từ xa và sử dụng nó để truy cập mạng vào mạng nội bộ. Tường lửa dạng host-based là một cách hiệu quả để bảo vệ chống lại các cuộc tấn công trên mạng loại này. Ngoài ra, nhiều tổ chức đã lựa chọn giải pháp cấm chia tách đường hầm. 3. Mục đích - Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng. - Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả. - Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. - Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa Trang 8 Virtual private network GVHD:nguyễn thành thái - Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, … - Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu 4. Đối tượng sử dụng - Các thuê bao sử dụng dịch vụ kết nối Internet trực tiếp (Lease line), gián tiếp dialup, ISDN hoặc dịch vụ ADSL có địa chỉ IP tĩnh hoặc IP động (nhờ dịch vụ Dynamic DNS). 5. Đăng ký sử dụng dịch vụ - Người sử dụng chỉ có đường truyền Internet và thiết bị hỗ trợ (phần cứng hay phần mềm). Thiết lập các thông số kết nối là có thể thực hiện được. Để biết thêm thông tin cấu hình dịch vụ này trên các dòng sản phẩm Draytek người sử dụng có thể tham khảo tại website: http://www.draytek.com.vn , mục Hỗ Trợ  VPN và mục Hỏi Đáp  Thắc mắc về VPN. - Mặt khác, nếu bạn sử dụng ADSL với IP động thì bạn cần thêm dịch vụ Dynamic DNS để có thể sử dụng VPN (tham khảo giới thiệu dịch vụ Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần xuất thay đổi cao (do không phải mọi máy tính đều sử dụng địa chỉ IP tĩnh).). II. Các lại VPN Trang 9 Virtual private network GVHD:nguyễn thành thái - Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site) Trang 10 . thời gian. I. Giới thiệu về Virtual Private Network Trang 3 Virtual private network GVHD:nguyễn thành thái 1. Khái niệm Virtual Private Network Virtual Private Network (viết tắt là VPN) tạm. 07718001 Mục Lục Trang 1 Virtual private network GVHD:nguyễn thành thái Mục lục……………………………………………………………………….2 Lời giới thiệu……………………………………………………………… 3 I. Giới thiệu về Virtual Private Network ………………………………. Virtual private network GVHD:nguyễn thành thái TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH ************************* Đề Tài: Môn : Đồ Án 1 Giáo viên hướng