Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 37 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
37
Dung lượng
586,19 KB
Nội dung
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÀI TẬP LỚN THIẾT KẾ ĐẢM BẢO AN TOÀN CHO DỊCH VỤ MẠNG RIÊNG ẢO (VPN) Giáo viên hướng dẫn: Vũ Thị Vân Sinh viên thực hiện: Nhóm 10: Nguyễn Văn Thiệu Nguyễn Anh Tuấn Tạ Việt Thảo Hoàng Xuân Trường Lớp: AT7B MỤC LỤC DANH MỤC HÌNH ẢNH Chương 1. Vấn đề khi thiết kế mạng riêng ảo Một bản thiết kế chi tiết và đầy đủ là cơ sở chính của một mạng. Và điều này cũng đúng với bất kỳ mạng riêng ảo nào. Nếu có sai sót trong việc phân tích các yêu cầu của một tổ chức và theo đó là kế hoạch cũng bị sai sót thì sẽ có ảnh hưởng rất nhiều về sau. Chẳng hạn, có thể có nhiều thứ gặp sự cố và làm việc không như mong muốn, Ngoài ra người dùng cuối cũng phải chịu các hậu quả của việc lập kế hoạch không hợp lý. Lúc thiết kế mạng, người thiết kế cần phải luôn tuân thủ định hướng, không bỏ sót bất cứ thứ gì. Vấn đề chính mà ta cần phải xem xét lúc triển khai thiết kế mạng riêng ảo bao gồm như sau: - Bảo mật - Đánh địa chỉ IP và định tuyến - Các vấn đề liên quan đến DNS - Các vấn đề về Router/Gateway, Firewall và NAT - Các xem xét về Client và Server - Hiệu suất thực thi - Khả năng mở rộng và tính tương thích Sau đây, ta sẽ nghiên cứa riêng từng vấn đề này 1.1. Bảo mật Một mạng riêng ảo mở rộng qua một mạng công cộng “không an toàn” để kết nối một cách an toàn tới các nguồn tài nguyên và các mạng chi nhánh của một tổ chức. Tuy nhiên, hầu hết các quản trị mạng vẫn còn xem nhẹ vấn đề bảo mật của một mạng riêng ảo. Đây là vấn đề chính cần xem xét khi thiết kế một mạng riêng ảo bởi vì trong mạng riêng ảo có sử dụng các mạng công cộng làm trung gian, mạng công cộng thường là mở với tất cả các cá nhân, đặc biệt với những cá nhân có ý đồ xấu. Điều này làm cho mạng riêng ảo dễ bị tấn công trước nhiều mối đe doạ, bao gồm cả giả mạo, bắt gói, sửa đổi nội dung thông tin, các tấn công kiểu brute-force, tấn công từ chối dịch vụ và các tấn công trên các giao thức mạng riêng ảo. Khi xem xét các đặc điểm thiết lập mạng riêng ảo, bốn thành phần nổi bật của kết nối mạng riêng ảo rất dễ bị tấn công từ bên ngoài là: - Người dùng từ xa (người dùng cuối hoặc Client VPN): Thực thể này có thể là một phần trong các nhân viên di động của tổ chức hoặc một người dùng cuối truy cập Intranet của tổ chức từ nhà. Thực thể này sử dụng một ID và Password để làm việc từ xa. Kết quả là, người dùng từ xa thường bị tấn công vào ID hoặc Password. Nếu kẻ tấn công hoặc các cá nhân có ý đồ xấu thu được các ID và Password này, hắn ta dễ dàng truy cập lại vào Intranet của tổ chức và các tài nguyên trong đó. - Phân đoạn kết nối tới ISP: Một người dùng từ xa hay các chi nhánh yêu cầu một tuỳ chọn truy cập đề kết nối tới POP của ISP, nó sẽ lần lượt thiết lập kết nối tới mạng đích. Phân đoạn kết nối này có thể hoặc là một đường leased line hoặc một kết nối quay số từ xa. Kết nối đường Leased Line tồn tại giữa một chi nhánh ở xa và Intranet của ISP cung cấp thuê bao kết nối trực tiếp tới mạng ISP. Mặc dù một tuỳ chọn kết nối an toàn, đường leased line có thể bị mắc rẽ để nghe trộm và một kẻ tấn công có thể nghe trộm trên các cuộc truyền tin. Các kết nối quay số rẻ hơn khá nhiều so với đường thuê riêng và thường được dùng để kết nối một người dùng từ xa với mạng của tổ chức. Các kết nối quay số có khả năng truy cập tới tất cả và do đó dễ dàng mắc rẽ vào để nghe trộm. Điểm yếu này làm cho chúng rất dễ bị nghe trộm. Vì vậy, các kết nối quay số không an toàn như đường leased line Chú ý: Không quan tâm đến phân đoạn kết nối, việc nghe trộm trên một phiên liên lạc có thể cung câp cho kẻ tấn công có một địa chỉ IP máy chủ từ xa hợp lệ. Kẻ tấn công này sau đó sử dụng thông tin này để giả mạo địa chỉ IP và phá vỡ hàng rào an toàn của tổ chức mà không gặp trở ngại nào. Một vấn đề chính yếu khác gắn liền với phân đoạn kết nối, dù là đường thuê riêng hay đường quay số, nếu chính ISP có ý đồ xấu thì nhà cung cấp dịch vụ có thể dễ dàng đọc được tất cả dữ liệu trong phiên liên lạc và như vậy dễ dàng truy cập tới dữ liệu bí mật được truyền giữa một người dùng cuối và mạng Intranet của tổ chức. - Mạng công cộng: Một mạng công cộng, đặc biệt là Internet , không nằm trong địa hạt của một cơ quan thẩm quyền đơn nào có thể kiểm soát tất cả các hoạt động và giao dịch qua nó. Hơn nữa, các điểm trung gian, chẳng hạn như các bộ định tuyến tạo nên Internet và hỗ trợ các đường hầm mạng riêng ảo có thể không dùng riêng cho các đường hầm của một tổ chức đơn. Một bộ định tuyến trung gian có thể đồng thời hỗ trợ nhiều đường hầm bắt nguồn từ nhiều mạng Intranet của nhiều tổ chức. Kết quả là lưu lượng từ một tổ chức có thể không hoàn toàn được biệt lập với lưu lượng của các tổ chức khác. Thêm vào đó, mạng công cộng bản chất là dùng chung, nó có thể được truy cập bởi bất kỳ ai muốn sử dụng nó. Một ý định của cá nhân hay một tổ chức với các trang thiết bị đúng và giỏi chuyên môn có thể dễ dàng gắn vào một phương tiện liên lạc và sử dụng nó để đem lại lợi ích riêng. Trong các trường hợp khác, một kẻ tấn công có thể giả mạo các gói dữ liệu hoặc thay đổi nội dung dữ liệu dẫn đến nhiều thiệt hại cho một tổ chức. - Điểm truy cập mạng đích: Một Router, Gateway, Firewall hoặc một thiết bị NAT thường được đặt tại vành đai của mạng và các Server như là một điểm truy cập Intranet của một tổ chức. Các thiết bị này không chỉ phải đối mặt với các mối đe doạ bảo mật và các nguy cơ xâm nhập từ các thực thể bên ngoài mà còn cả từ các thực thể bất mãn ở bên trong. Thêm vào đó, nếu tổ chức hỗ trợ một mạng Extranet, các thiết bị ngày cũng dễ bị tấn công với các luồng lưu lượng độc hại từ các đối tác thương mại bên ngoài. Hình – Bốn thành phần dễ bị tấn công của kết nối mạng riêng ảo Ở trên ta đã thảo luận về các lỗ hổng bảo mật trong một thiết lập mạng riêng ảo đầy đủ. Và như vậy, ta không thể bỏ qua các vấn đề bảo mật này. Ta cần giữ các bước hợp lý trong việc thực thi để đảm bảo rằng giải pháp mạng riêng ảo của ta có thể chịu được tất cả các kiểu tấn công, mà vẫn cho phép khai thác Internet và hạ tầng mạng công cộng để giảm chi phí thực thi trong khi tăng mức độ an toàn của các giao dịch, vì vậy bảo vệ được mạng trước hầu hết các khả năng tấn công vào tổ chức, dữ liệu. IPSec đã được thảo luận chi tiết trong chương III của phần I được xem là câu trả lời cho hầu hết các mối quan tâm bảo mật liên quan đến 4 thành phần dễ bị tấn công trong mạng riêng ảo. Nó đảm bảo sự an toàn của dữ liệu trong khi truyền. IPSec bảo mật dữ liệu bằng cách mã hoá mỗi gói dữ liệu với các thuật toán mã hoá mạnh. Kết quả là kẻ nghe trộm hoặc thậm chí cả ISP trung gian không thể đọc được dữ liệu. Hơn nữa, IPSec xác thực mỗi gói dữ liệu riêng lẻ ngoài việc xác thực người dùng cuối một lần. Điều này làm giảm khả năng giả mạo. Thêm hai khía cạnh bảo mật của bất kỳ giao dịch nào dựa trên mạng riêng ảo là quan hệ tin cậy và trao đổi khoá giữa các bên liên quan. Nếu một trong hai khía cạnh này bị tổn hại thì sự an toàn của toàn bộ thiết lập mạng riêng ảo có thể bị tổn hại. Vấn đề quan hệ tin cậy: Tin cậy là một phần không thể thiếu của việc đảm bảo an toàn cho bất kỳ hệ thống nào, bao gồm cả thiết lập mạng riêng ảo của ta. Tuy nhiên, sự tin cậy có thể bị khai thác để giành được quyền truy cập vào thiết lập an toàn cẩn mật của ta. Vì vậy, cần phải để ý các vấn đề sau khi quyết định mức tin cậy trong thiết lập của ta với các thực thể bên ngoài: + Các ứng dụng như Telnet, FTP rất dễ bị tấn công. Cân nhắc để sử dụng các ứng dụng an toàn hơn, như SSH để thay thế Chú ý Vì sự phức tạp của các cơ chế bảo mật mà SSH sử dụng, hiệu suất của SSH qua VPN sẽ bị chậm. + Không chạy các dịch vụ thêm trên Server VPN. Server VPN phải chạy không chỉ tối thiểu các ứng dụng và dịch vụ liên quan đến mạng riêng ảo mà còn phải tối thiểu hoá các dịch vụ mà kẻ xâm nhập có thể truy cập trong trường hợp xâm nhập thành công. + Mặc dù việc không tin cậy hoàn toàn các Client VPN đã xác thực là không thích hợp, nhưng vẫn nên duy trì một mức không tin cậy hợp lý. Nếu cung cấp truy cập hạn chế tới các tài nguyên và thiết bị, nhưng vẫn cho phép người dùng thực hiện các hoạt động cần thiết liên quan đến công việc của họ, ta có thể giảm hậu quả của sự xâm nhập trong đó kẻ tấn công nhằm vào các máy của người dùng cuối. Cũng có thể dùng firewal để hạn chế các truy cập nói trên. Các xem xét liên quan đến trao đổi khoá: Trao đổi khoá giữa các bên liên quan là một khía cạnh khác của bảo mật mà khi bị tổn hại có thể dẫn đến tổn hại rất lớn trong mạng. Vì thế, điều cốt yếu là khả năng phân phối các khoá một cách an toàn, đặc biệt trong trường hợp sử dụng mật mã đối xứng, như ta đã biết, trong mật mã đối xứng thường sử dụng một khoá mật cho cả lập mã và giải mã. Vì thế, nếu khoá này rơi vào tay một kẻ xâm nhập, nó sẽ mang lại cho kẻ xâm nhập khả năng truy cập tới các giao dịch đang tiếp diễn. Sẽ là hợp lý khi sử dụng IPSec, bảo mật SSH và các ứng dụng dựa trên SSL/TSL, nó tránh được việc trao đổi khoá dưới dạng rõ. Mật mã phi đối xứng không giống như mật mã đối xứng, không dựa vào một khoá cho việc giải mã và lập mã. Trái ngược với các mật mã đối xứng, mật mã phi đối xứng trao đổi các khoá công khai giữa các bên liên quan và sử dụng các khoá mật tương ứng với chúng cho chức năng giải mã. Tuy nhiên, các cơ chế này không phải tuyệt đối an toàn và rất dễ bị tổn thương với các tấn công kiểu Man-in-the-Middle. Trong kiểu tấn công này, kẻ xâm nhập có thể thay thế khoá công khai của anh ta, và như vậy hoàn toàn truy cập được vào liên lạc giữa hai người dùng cuối hợp lệ. Vì vấn đề này, ta cần phải xác nhận lại khoá công khai với những người liên lạc khác sau khi pha trao đổi khoá hoàn tất, nhưng phải trước khi pha trao đổi dữ liệu bắt đầu. Mặc dù để thực hiện như vậy mọi lúc là không thể, một sự kiểm tra chéo ngẫu nhiên của các khoá công khai nhận được rất nên được thực hiện. Một điểm mà ta phải luôn lưu ý, bất kể mật mã đối xứng hay phi đối xứng thì các khoá không bao giờ lưu trữ trên một điểm cuối VPN, nơi chúng dễ dàng bị truy cập bởi kẻ xâm nhập. Một giải pháp khả thi cho vấn đề này là lưu trữ các khoá trong một vị trí tập trung, được bảo vệ tốt thay vì lưu trữ tất cả các khóa trên một Server VPN riêng. Mặc dùng quá trình truy cập khoá có thể bị kéo dài, nhưng trong thực tế, nó không chỉ giảm gánh nặng lưu trữ trên Server VPN mà còn nâng cao việc bảo đảm an toàn cho các khoá. 1.2. Đánh địa chỉ và định tuyến Một vấn đề quan trọng khác trong việc lập kế hoạch và thiết kế mạng riêng ảo là việc đảm bảo rằng các địa chỉ IP cần được gán cho các thiết bị mạng riêng ảo phải có kế hoạch và hợp lý. Hơn nữa, cũng cần phải đảm bảo rằng lược đồ định tuyến không chỉ có khả năng điều khiển kết nối mạng công cộng dựa trên địa chỉ IP toàn cục, mà còn sẽ có khả năng thích ứng với bất kỳ lược đồ đánh địa chỉ IP nào của ta trong tương lai. Ngoài ra, giới hạn hợp lý phải được giữ để đảm bảo rằng các đối tác thương mại bên ngoài và các Client từ xa cũng có thể kết nối tới mạng riêng ảo của chúng ta mà không gặp phải vấn đề trục trặc. 1.2.1. Vấn đề đánh địa chỉ Trong một mạng riêng, một công ty A không cần mua các địa chỉ IP duy nhất (được biết như là các địa chỉ IP toàn cầu) từ một cơ quan có thẩm quyền, như InterNIC, IANA hoặc từ ISP. Công ty A có thể sử dụng các địa chỉ IP riêng hoặc bất kỳ một địa chỉ IP nào mà họ muốn, bởi vì truyền thông trong một mạng riêng không phải định tuyến ra ngoài phạm vi công ty. Kết quả là, các host và các thực thể đặt trong một mạng riêng không thể liên lạc với các mạng qua Internet hay các mạng công cộng khác và vì vậy nó biệt lập với thế giới bên ngoài. Chú ý: Các địa chỉ IP trong phạm vi 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 và 192.168.0.0 – 192.168.255.255 được dùng như các địa chỉ IP riêng và có thể được dùng trong một mạng riêng hoặc Intranet không sử dụng một mạng công cộng để kết nối tới các nhánh ở xa và người dùng từ xa Lược đồ địa chỉ riêng không hoàn toàn đúng cho các mạng riêng ảo vì chúng còn dựa trên một mạng đường trục công công để truyền thông. Điều này ngụ ý rằng chỉ VPN Client và Server liên quan trong một giao dịch là cần một địa chỉ IP công cộng. Liên lạc thực sự trên giao diện VPN ảo sẽ làm việc với các địa chỉ IP riêng. Kết quả là, công ty A sẽ đòi hỏi ít nhất một khối địa chỉ IP duy nhất toàn cầu từ ISP. Ta sẽ xem xét các nhân tố sau lúc đánh địa chỉ các thiết bị mạng riêng ảo. - Nếu công ty A sử dụng đường Leased Line để kết nối tới ISP, các thiết bị mạng riêng ảo sẽ được cấp phát các địa chỉ IP tĩnh. Các trường hợp khác, nếu sử dụng các kết nối quay số để kết nối tới POP của ISP, các Client VPN được dùng bởi những người dùng di động phải được cấp phát các địa chỉ IP động, mặc dù VPN Server sẽ vẫn đòi hỏi một địa chỉ IP tĩnh để có khả năng truy cập. Tuy nhiên, có một sự kế thừa vấn đề gắn với các Client VPN sử dụng địa chỉ IP động. Ta không thể giới hạn truy cập tới VPN Server trên cơ sở các địa chỉ IP mà ISP có thể cấp phát cho các VPN Client mỗi lần khác nhau. Trong hoàn cảnh này, các VPN Server rất dễ bị tấn công bởi các nguy cơ bảo mật mà một kẻ tấn công có thể hành động như một người dùng tin cậy. - Sẽ không gặp vấn đề gì nếu sử dụng một VPN Server đơn hoặc nhiều VPN Server, tất cả phải được cấp phát một địa chỉ IP tĩnh. Nếu các VPN Server sử dụng các địa chỉ IP động, VPN Client không thể định vị được Server mong muốn. - Nếu địa chỉ IP xung đột có thể cắt bỏ nếu cần hợp nhất hai mạng riêng, như trong trường hợp sát nhập hai tổ chức. Trong kịch bản này, nếu các mạng được hợp nhất sử dụng địa chỉ IP riêng thì rất có thể một số địa chỉ IP có thể xung đột. Việc thay đổi các địa chỉ IP xung đột là dễ dàng nếu chỉ với số lượng nhỏ các IP bị xung đột. Tuy nhiên, với một số lượng lớn thì có thể ta phải thay đổi lược đồ địa chỉ IP của ít nhất một mạng hoặc xấu nhất là toàn bộ mạng sau khi hợp nhất. Việc thay đổi lược đồ địa chỉ là rất mất nhiều thời gian. Có thể sử dụng khả năng cấu hình địa chỉ IP tự động, như sử dụng DHCP. Giao thức này cho phép một thiết bị mạng nhận được thông tin cấu hình, bao gồm cả một địa chỉ IP động khi thiết bị đó khởi động. - Nếu không có đủ địa chỉ IP duy nhất toàn cầu, cách thích hợp nhất là sử dụng địa chỉ IP riêng trong mạng của công ty và một NAT tại vành đai mạng để kết nối với thế giới bên ngoài. NAT sẽ cấp phát một địa chỉ IP duy nhất bất cứ lúc nào một host bên trong cần kết nối tới Internet hoặc thiết lập một phiên mạng riêng ảo. Cách này sẽ giúp ta đảm bảo rằng không có xung đột IP khi thiết lập kết nối Internet hoặc một phiên mạng riêng ảo. Một điểm quan trọng ở đây là NAT và VPN có thể xung đột vì việc ghi đè tiêu đề. Chúng ta giả thiết rằng công ty A trước đây có một mạng truyền thống, trong đó các mạng Intranet khác nhau của công ty được kết nối với nhau qua các phương tiện thiết bị riêng, như đường Leased-Line hoặc Frame Relay. Chúng ta cũng giả thiết rằng công ty A đã xây dựng một lược đồ địa chỉ cho mạng của họ. Vì mạng là độc lập và đường trục sử dụng chỉ các phương tiện thiết bị riêng, công ty A có thể sử dụng hoặc các địa chỉ IP nhập nhằng toàn cục (hay còn gọi là địa chỉ riêng) hoặc các địa chỉ duy nhất toàn cục (còn gọi là địa [...]... Trong khi Server mạng riêng ảo cung cấp các dịch vụ liên quan đến mạng riêng ảo, thì các Client sử dụng các dịch vụ này Kết quả là, một số lượng đáng kể rơi vào lựa chọn của các Client và Server mạng riêng ảo Các xem xét chính liên quan tới các Server mạng riêng ảo bao gồm: - Server mạng riêng ảo phải có hiệu suất cao - Server chỉ chạy các dịch vụ cần thiết - Server phải có khả năng kết nối tới được... triển mạng riêng ảo Ta phải có một ý tưởng tổng quát trong việc xem xét khi thiết kế một giải pháp mạng riêng ảo, có thể xem xét ba môi trường thực thi mạng riêng ảo thông dụng nhất và các đặc tính của chúng Chương 2 Môi trường mạng riêng ảo Tùy thuộc vào chiến lược truy cập, mạng riêng ảo có thể được phân thành các loại như: Mạng riêng ảo truy cập từ xa, Mạng riêng ảo cục bộ, và Mạng riêng ảo mở rộng... để tới bộ định tuyến đích Tuy nhiên, trong các mạng riêng ảo, các thiết bị định tuyến chỉ đảm bảo tính sẵn sàng cho các đường định tuyến qua các kết nối và đường hầm mạng riêng ảo an toàn thay vì qua các mạmg công cộng trung gian Cần lưu ý các vấn đề sau đây khi quyết định lược đồ định tuyến cho mạng riêng ảo: - Server mạng riêng ảo mà các Client từ xa kết nối tới, chỉ định một tuyến đường mặc định... các thiết bị mạng riêng ảo ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp 2.2 Mạng riêng ảo chi nhánh Môi trường mạng riêng ảo chi nhánh cho phép các nhánh mạng từ xa truy cập các phần khác trong mạng Intranet của tổ chức một cách an toàn qua mạng Internet mà không dựa trên các kênh thuê riêng và các kết nối quay số đầu cuối - tới - đầu cuối như trong hình 5.7 Hình – Thiết. .. hình 5.7 Hình – Thiết lập mạng riêng ảo chi nhánh Những vấn đề nên được xem xét trong khi thiết kế một giải pháp mạng riêng ảo cho môi trường mạng riêng ảo cục bộ bao gồm: - Bảo mật: Mặc dù các giao thức không bảo mật cần được thực thì trên các Router và Gateway bên trong, các thiết bị ngoại vi nên hỗ trợ một cơ chế bảo mật, chẳng hạn như IPSec Hơn nữa, tốt nhất là, các thiết bị ngoại này nên được... minh hoạ trong hình 5.8 Hình – Thiết lập mạng riêng ảo đối tác Các xem xét thiết kế mà ta phải lưu ý khi thiết kế một giải pháp mạng riêng ảo cho môi trường này là: - Bảo mật: Các phương tiện và giao thức bảo mật nghiêm ngặt cần được thực thi tại các Router, Gateway và Firewall ngoại vi Hơn nữa, các thiết bị ngoại vi này nên được ẩn dấu sau firewall với các chính sách bảo mật được định nghĩa rõ ràng... chúng với các địa chỉ IP Trong mạng riêng ảo Intranet, chỉ cho phép truy cập tới các tài nguyên đặt trong mạng Intranet của tổ chức, ta sẽ cần tạo một Domain riêng biệt cho mạng chính và nhiều Domain riêng lẻ cho mỗi nhánh mạng từ xa Ví dụ, ta có thể tạo một Domain là “MyIntranet.com” và tạo các Domain trong như là “RemoteBranch1.MyIntranet.com”, “RemoteBranch2.MyIntranet.com” v.v Dễ dàng cấu hình... bản thiết kế mạng riêng ảo cẩn thận trước khi đi đến pha thực thi Trong hầu hết các trường hợp, thiết lập thương mại được bao gồm một sự cấu hình tập trung hoá, nơi mạng chính của tổ chức hoạt động như một “Hub” của tất các các nhánh từ xa Trong cấu hình này, mỗi nhánh mạng từ xa được kết nối với nhánh mạng chính qua một kết nối mạng riêng ảo, như trong hình 5.3 Hình – Nhánh mạng từ xa kết nối tới mạng. .. dù có thể phải đầu tư nhiều hơn cho Firewall kiểm soát trạng thái gói dữ liệu, nhưng nó sẽ tăng đáng kể hiệu suất của toàn bộ thiết lập mạng riêng ảo - Để vượt qua hầu hết các vấn đề liên quan đến Firewall, ta phải định nghĩa một chính sách bảo mật, chính sách bảo mật lần lượt định nghĩa cách thức một Firewall tương tác với thiết lập mạng riêng ảo Trong chính sách bảo mật, ta cũng sẽ phải quyết định... chỉ đưa ra các dịch vụ mạng riêng ảo cần thiết nên là một phần của vùng này - Mặc dù một cách hiệu qủa và không mất chi phí lớn của việc bảo mật Intranet và thiết lập mạng riêng ảo là xây dựng một kiến trúc bảo mật phân cấp dựa trên firewall sử dụng các kiểu Firewall khác nhau, như minh hoạ trong hình 2 Ví dụ, Firewall giữa Internet và DMZ có thể là một loại và Firewall giữa DMZ và Intranet có thể là . MÃ KHOA AN TOÀN THÔNG TIN BÀI TẬP LỚN THIẾT KẾ ĐẢM BẢO AN TOÀN CHO DỊCH VỤ MẠNG RIÊNG ẢO (VPN) Giáo viên hướng dẫn: Vũ Thị Vân Sinh viên thực hiện: Nhóm 10: Nguyễn Văn Thiệu Nguyễn Anh. việc bảo đảm an toàn cho các khoá. 1.2. Đánh địa chỉ và định tuyến Một vấn đề quan trọng khác trong việc lập kế hoạch và thiết kế mạng riêng ảo là việc đảm bảo rằng các địa chỉ IP cần được gán cho. liên quan đến Client và Server mạng riêng ảo Các Client và Server mạng riêng ảo là các điểm cuối của một thiết lập mạng riêng ảo đầy đủ. Trong khi Server mạng riêng ảo cung cấp các dịch vụ liên