Ch ng 1ươ T NG QUAN V VPNỔ Ề 1.1. Mở đầu Hi n t i, Internet đã phát tri n m nh m c v m t mô hình l n t ch c, đáp ngệ ạ ể ạ ẽ ả ề ặ ẫ ổ ứ ứ khá đ y đ các nhu c u c a ng i s d ng. Internet đã đ c thi t k đ k t n i nhi uầ ủ ầ ủ ườ ử ụ ượ ế ế ể ế ố ề m ng v i nhau và cho phép thông tin chuy n đ n ng i s d ng m t cách t do và nhanhạ ớ ể ế ườ ử ụ ộ ự chóng. Đ làm đ c đi u này ng i ta s d ng m t h th ng các thi t b đ nh tuy nể ượ ề ườ ử ụ ộ ệ ố ế ị ị ế (router) đ k t n i các LAN và WAN v i nhau. Các máy tính đ c k t n i vào Internetể ế ố ớ ượ ế ố thông qua các nhà cung c p d ch v (ISP – Internet Service Provider). Đi u mà k thu t cònấ ị ụ ề ỹ ậ ti p t c ph i gi i quy t là năng l c truy n thông c a các m ng vi n thông công c ng. V iế ụ ả ả ế ự ề ủ ạ ễ ộ ớ Internet, nh ng d ch v nh đào t o t xa, mua hàng tr c tuy n, t v n các lĩnh v c và r tữ ị ụ ư ạ ừ ự ế ư ấ ự ấ nhi u đi u khác đã tr thành hi n th c. Tuy nhiên do Internet có ph m vi toàn c u và khôngề ề ở ệ ự ạ ầ m t t ch c, chính ph c th nào qu n lý nên r t khó khăn trong vi c b o m t và an toànộ ổ ứ ủ ụ ể ả ấ ệ ả ậ d li u cũng nh trong vi c qu n lý các d ch v . T đó ng i ta đã đ a ra m t mô hìnhữ ệ ư ệ ả ị ụ ừ ườ ư ộ m ng m i nh m thoã mãn nh ng yêu c u trên mà v n có th t n d ng l i nh ng c s hạ ớ ằ ữ ầ ẫ ể ậ ụ ạ ữ ơ ở ạ t ng hi n có c a Internet, đó chính là mô hình m ng riêng o (Virtual Private Network –ầ ệ ủ ạ ả VPN). V i mô hình m i này, ng i ta không ph i đ u t thêm nhi u v c s h t ng màớ ớ ườ ả ầ ư ề ề ơ ở ạ ầ các tính năng nh b o m t và đ tin c y v n đ c đ m b o, đ ng th i có th qu n lý riêngư ả ậ ộ ậ ẫ ượ ả ả ồ ờ ể ả đ c s ho t đ ng c a m ng này. VPN cho phép ng i s d ng làm vi c t i nhà riêng, trênượ ự ạ ộ ủ ạ ườ ử ụ ệ ạ đ ng đi ho c các văn phòng chi nhánh có th k t n i an toàn đ n máy ch c a t ch cườ ặ ể ế ố ế ủ ủ ổ ứ mình b ng c s h t ng đ c cung c p b i m ng công c ng. Nó cũng có th đ m b o anằ ơ ở ạ ầ ượ ấ ở ạ ộ ể ả ả toàn thông tin gi a các đ i lý, nhà cung c p và các đ i tác kinh doanh v i nhau trong môiữ ạ ấ ố ớ tr ng truy n thông r ng l n. Trong nhi u tr ng h p, VPN cũng gi ng nh WAN (Wireườ ề ộ ớ ề ườ ợ ố ư Area Network), tuy nhiên đ c tính quy t đ nh c a VPN là chúng có th dùng m ng côngặ ế ị ủ ể ạ c ng nh Internet mà v n đ m b o tính riêng t và ti t ki m chi phí.ộ ư ẫ ả ả ư ế ệ 1.1.1. Đ nh nghĩa VPNị VPN đ c hi u đ n gi n nh là s m r ng c a m t m ng riêng (Private Network)ượ ể ơ ả ư ự ở ộ ủ ộ ạ thông qua các m ng công c ng. V căn b n, m i VPN là m t m ng riêng r s d ng m tạ ộ ề ả ỗ ộ ạ ẽ ử ụ ộ h t ng m ng chung (th ng là Internet) đ k t n i cùng v i các site (các m ng riêng l )ạ ầ ạ ườ ể ế ố ớ ạ ẻ hay nhi u ng i s d ng t xa. Thay cho vi c s d ng k t n i th c, chuyên dùng, m iề ườ ử ụ ừ ệ ử ụ ế ố ự ỗ VPN s d ng các k t n i o đ c thi t l p qua Internet t m ng riêng c a các Công ty t iử ụ ế ố ả ượ ế ậ ừ ạ ủ ớ các chi nhánh hay các nhân viên t xa. Đ có th g i và nh n d li u thông qua m ng côngừ ể ể ử ậ ữ ệ ạ c ng mà v n b o đ m tính an toàn và b o m t, VPN cung c p các c ch mã hoá d li uộ ẫ ả ả ả ậ ấ ơ ế ữ ệ trên đ ng truy n, t o ra m t đ ng ng (tunnel) b o m t gi a n i g i và n i nh n. Đ cóườ ề ạ ộ ườ ố ả ậ ữ ơ ử ơ ậ ể th t o ra m t đ ng ng b o m t đó, d li u ph i đ c mã hoá, ch cung c p ph n đ uể ạ ộ ườ ố ả ậ ữ ệ ả ượ ỉ ấ ầ ầ gói d li u (header) là thông tin v đ ng đi cho phép nó có th đi đ n đích thông qua m ngữ ệ ề ườ ể ế ạ 1 công c ng m t cách nhanh chóng. D li u đ c mã hoá m t cách c n th n do đó n u cácộ ộ ữ ệ ượ ộ ẩ ậ ế packet b xem lén trên đ ng truy n công c ng thì cũng không th đ c đ c n i dung vìị ườ ề ộ ể ọ ượ ộ không có khoá đ gi i mã. Các đ ng k t n i VPN th ng đ c g i là đ ng ng VPNể ả ườ ế ố ườ ượ ọ ườ ố (tunnel). Hình 1.1 – M t mô hình m ng VPNộ ạ 1.1.2. L i ích c a VPNợ ủ VPN cung c p nhi u đ c tính h n so v i nh ng m ng truy n thông và nh ng m ngấ ề ặ ơ ớ ữ ạ ề ữ ạ leased-line. Nh ng l i ích đ u tiên bao g m:ữ ợ ầ ồ  Chi phí th p h n nh ng m ng riêng: VPN có th gi m chi phí t 20 đ n 40% so v iấ ơ ữ ạ ể ả ừ ế ớ nh ng m ng s d ng leased-line và gi m chi phí trong vi c truy c p t xa t 40 đ nữ ạ ử ụ ả ệ ậ ừ ừ ế 60%  Tính linh ho tạ trong k t n i.ế ố  Tăng tính b o m t: Các d li u quan tr ng s đ c che gi u đ i v i nh ng ng iả ậ ữ ệ ọ ẽ ượ ấ ố ớ ữ ườ không có quy n truy c p.ề ậ  H tr các giao th c m ng thông d ng nh t hi n nay là TCP/IP.ỗ ợ ứ ạ ụ ấ ệ  B o m t đ a ch IP: B i vì thông tin đ c g i đi trên VPN đã đ c mã hoá, do đó cácả ậ ị ỉ ở ượ ử ượ đ a ch bên trong m ng riêng đ c che gi u và ch s d ng các đ a ch bên ngoàiị ỉ ạ ượ ấ ỉ ử ụ ị ỉ Internet. 1.1.3. Các ch c năng c b n c a VPN: ứ ơ ả ủ VPN cung c p 4 ch c năng chínhấ ứ :  S tin c y và b o m t (confidentiality): Ng i g i có th mã hoá các gói d li uự ậ ả ậ ườ ử ể ữ ệ tr c khi truy n chúng ngang qua m ng. B ng cách này, không m t ai có th truyướ ề ạ ằ ộ ể nh p thông tin mà không đ c phép, mà n u nh có l y đ c thông tin thì cũngậ ượ ế ư ấ ượ không th đ c đ c vì thông tin đã đ c mã hoá.ể ọ ượ ượ 2  Tính toàn v n d li u (Data Integrity): Ng i nh n có th ki m tra r ng d li uẹ ữ ệ ườ ậ ể ể ằ ữ ệ đ c truy n qua m ng Internet mà không có s thay đ i nào.ượ ề ạ ự ổ  Xác th c ngu n g c (Origin Authentication): Ng i nh n có th xác th c ngu n g cự ồ ố ườ ậ ể ự ồ ố c a gói d li u, đ m b o và công nh n ngu n thông tin.ủ ữ ệ ả ả ậ ồ  Đi u khi n truy nh p (Access Control): VPN có th phân bi t gi a nh ng ng iề ể ậ ể ệ ữ ữ ườ dùng h p l và trái phép b ng nhi u cách nh d a vào chính sách b o m t, s ch ngợ ệ ằ ề ư ự ả ậ ự ứ th c ự 1.2. VPN và các vấn đề an toàn bảo mật trên Internet Nh chúng ta đã bi t, s phát tri n bùng n và m r ng m ng toàn c u Internet ngàyư ế ự ể ổ ở ộ ạ ầ càng tăng, hàng tháng có kho ng 10.000 m ng m i k t n i vào Internet kèm theo đó là v nả ạ ớ ế ố ấ đ làm sao đ có th trao đ i thông tin d li u m t cách an toàn qua m ng công c ng nhề ể ể ổ ữ ệ ộ ạ ộ ư Internet. Hàng năm s rò r và m t c p thông tin, d li u đã gây thi t h i r t l n v kinh tự ỉ ấ ắ ữ ệ ệ ạ ấ ớ ề ế trên toàn th gi i. Các tin t c luôn tìm m i cách đ nghe tr m, đánh c p thông tin và d li uế ớ ặ ọ ể ộ ắ ữ ệ nh y c m nh : mã th tín d ng, tài kho n ng i dùng, các thông tin kinh t nh y c m ạ ả ư ẻ ụ ả ườ ế ạ ả c a các t ch c hay cá nhân.ủ ổ ứ V y gi i pháp s d ng m ng riêng o VPN s gi i quy t v n đ an toàn và b o m tậ ả ử ụ ạ ả ẽ ả ế ấ ề ả ậ thông tin trên Internet nh th nào?ư ế Câu tr l i là đ các t ch c, doanh nghi p, cá nhân c m th y yên tâm khi trao đ iả ờ ể ổ ứ ệ ả ấ ổ thông tin d li u qua m ng Internet là s d ng công ngh m ng riêng o VPN.ữ ệ ạ ử ụ ệ ạ ả Th c ch t, công ngh chính đ c s d ng trong m ng riêng o VPN là t o ra m tự ấ ệ ượ ử ụ ạ ả ạ ộ đ ng h m (tunnel), mã hoá và ch ng th c d li u gi a hai đ u k t n i. Các thông tin dườ ầ ứ ự ữ ệ ữ ầ ế ố ữ li u s đ c mã hoá và ch ng th c tr c khi đ c l u chuy n trong m t đ ng h m riêngệ ẽ ượ ứ ự ướ ượ ư ể ộ ườ ầ bi t, qua đó s tránh đ c nh ng c p m t tò mò mu n đánh c p thông tin.ệ ẽ ượ ữ ặ ắ ố ắ 1.2.1. An toàn và tin c yậ S an toàn c a m t h th ng m ng là m t ph n trong các tiêu chí đánh giá m t hự ủ ộ ệ ố ạ ộ ầ ộ ệ th ng đáng tin c y. Có 4 y u t nh h ng đ n m t h th ng đáng tin c y:ố ậ ế ố ả ưở ế ộ ệ ố ậ  Tính s n sàng: Kh năng s n sàng ph c v , đáp ng yêu c u trong kho ng th i gianẵ ả ẵ ụ ụ ứ ầ ả ờ ng n. Tính s n sàng th ng đ c th c hi n thông qua nh ng h th ng ph n c ngắ ẵ ườ ượ ự ệ ữ ệ ố ầ ứ d phòng.ự  S tin c y: Đ nh nghĩa năng l c c a h th ng khi th c hi n các ch c năng c a nóự ậ ị ự ủ ệ ố ự ệ ứ ủ trong m t chu kỳ th i gian. S tin c y khác v i tính s n sàng, s tin c y t ng ngộ ờ ự ậ ớ ẵ ự ậ ươ ứ t i tính liên t c c a m t d ch v nào đó.ớ ụ ủ ộ ị ụ  S an toàn: Khái ni m an toàn ch ra tính v ng ch c c a m t h th ng tr c các nguyự ệ ỉ ữ ắ ủ ộ ệ ố ướ c ti m n, ví d các cu c t n công t ch i d ch v , s xâm nh p trái phép vào hơ ề ẩ ụ ộ ấ ừ ố ị ụ ự ậ ệ th ng thông qua các l h ng b o m t ố ỗ ổ ả ậ  S an ninh: Trong tr ng h p này s an ninh có nghĩa nh m t s b o v t t c cácự ườ ợ ự ư ộ ự ả ệ ấ ả tài nguyên h th ng.ệ ố 3 M t h th ng m ng đáng tin c y m c cao nh t nghĩa là h th ng luôn đ m b oộ ệ ố ạ ậ ở ứ ấ ệ ố ả ả đ c s an toàn t i b t kỳ th i đi m nào. ượ ự ạ ấ ờ ể 1.2.2. Các hình th c an toànứ S an toàn c a h th ng m ng ph thu c vào t t c nh ng thành ph n c a nó. Có baự ủ ệ ố ạ ụ ộ ấ ả ữ ầ ủ ki u khác nhau c a s an toàn: An toàn ph n c ng, An toàn thông tin và An toàn qu n tr .ể ủ ự ầ ứ ả ị  An toàn ph n c ng: ầ ứ S an toàn v m t v t lý, b o v ph n c ng c a h th ngự ề ặ ậ ả ệ ầ ứ ủ ệ ố kh i nh ng m i đe do v t lý bên ngoài nh s phá h a làm m t mát thông tin, cácỏ ữ ố ạ ậ ư ự ọ ấ s c liên quan đ n ngu n cung c p, các y u t môi tr ng có th làm h ng ph nự ố ế ồ ấ ế ố ườ ể ỏ ầ c ng T t c nh ng y u t trên c n ph i đ c tính đ n và th c hi n các bi n phápứ ấ ả ữ ế ố ầ ả ượ ế ự ệ ệ phòng ng a.ừ  An toàn thông tin: An toàn thông tin nghĩa là thông tin đ c b o v , các h th ng vàượ ả ệ ệ ố nh ng d ch v có kh năng ch ng l i nh ng tai ho , các l i và s tác đ ng khôngữ ị ụ ả ố ạ ữ ạ ỗ ự ộ mong đ i, các thay đ i tác đ ng đ n đ an toàn c a h th ng là nh nh t. H th ngợ ổ ộ ế ộ ủ ệ ố ỏ ấ ệ ố có m t trong các đ c đi m sau là không an toàn:ộ ặ ể - Các thông tin d li u trong h th ng b ng i không đ c quy n truy nh p tìmữ ệ ệ ố ị ườ ượ ề ậ cách l y và s d ng (thông tin b rò r ).ấ ử ụ ị ỉ - Các thông tin trong h th ng b thay th ho c s a đ i làm sai l ch n i dung (thôngệ ố ị ế ặ ử ổ ệ ộ tin b xáo tr n ho c m t mát).ị ộ ặ ấ  An toàn qu n tr : ả ị An toàn qu n tr liên quan đ n t t c các m i đe do mà conả ị ế ấ ả ố ạ ng i làm t n h i đ n m t h th ng m ng. Nh ng m i đe do này có th xu t phátườ ổ ạ ế ộ ệ ố ạ ữ ố ạ ể ấ c t bên ngoài l n bên trong c a m t t ch c, doanh nghi p.ả ừ ẫ ủ ộ ổ ứ ệ 1.3. Định nghĩa “đường hầm” và “mã hoá” Ch c năng chính c a m t m ng riêng o (VPN) là cung c p s b o m t thông tinứ ủ ộ ạ ả ấ ự ả ậ b ng cách mã hoá và ch ng th c qua m t đ ng h m (tunnel).ằ ứ ự ộ ườ ầ 1.3.1. Đ ng h m và c u trúc gói tin ườ ầ ấ Cung c p các k t n i logic, v n chuy n các gói d li u đã đ c mã hoá b ng m tấ ế ố ậ ể ữ ệ ượ ằ ộ đ ng h m riêng bi t qua m ng IP, đi u đó làm tăng tính b o m t thông tin vì d li u sauườ ầ ệ ạ ề ả ậ ữ ệ khi mã hoá s l u chuy n trong m t đ ng h m đ c thi t l p gi a ng i g i và ng iẽ ư ể ộ ườ ầ ượ ế ậ ữ ườ ử ườ nh n, do đó s tránh đ c s nhòm ngó, xem tr m thông tin. Các giao th c đ nh đ ng h mậ ẽ ượ ự ộ ứ ị ườ ầ đ c s d ng trong VPN nh sau:ượ ử ụ ư  L2F (Layer 2 Forwarding): Đ c Cisco phát tri n.ượ ể  PPTP (Point-to-Point Tunneling Protocol): Đ c PPTP Forum phát tri n, giao th c nàyượ ể ứ h tr mã hóa 40 bit và 128 bit.ỗ ợ  L2TP (Layer 2 Tunneling Protocol): Là s n ph m c a s h p tác gi a các thành viênả ẩ ủ ự ợ ữ PPTP Forum, Cisco và IETF. L2TP k t h p các tính năng c a c PPTP và L2F.ế ợ ủ ả 4  IPSec (IP Security): Đ c phát tri n b i IETF. M c đích chính c a vi c phát tri nượ ể ở ụ ủ ệ ể IPSec là cung c p m t c c u b o m t l p 3 (network layer) trong mô hình OSI.ấ ộ ơ ấ ả ậ ở ớ  GRE (Generic Routing Encapsulation): Đây là giao th c truy n thông đóng gói IP vàứ ề các d ng gói d li u khác bên trong đ ng ng. Gi ng nh IPSec, GRE ho t đ ng ạ ữ ệ ườ ố ố ư ạ ộ ở t ng 3 c a mô hình tham chi u OSI, tuy nhiên GRE không mã hóa thông tin.ầ ủ ế 1.3.2. Mã hoá và gi i mã (Encryption/Decryption):ả Mã hóa là quá trình bi n đ i n i dung thông tin nguyên b n d ng đ c đ c (clearế ổ ộ ả ở ạ ọ ượ text hay plain text) thành m t d ng văn b n m t mã vô nghĩa không đ c đ c (cyphertex), vìộ ạ ả ậ ọ ượ v y nó không có kh năng đ c đ c hay kh năng s d ng b i nh ng ng i dùng khôngậ ả ọ ượ ả ử ụ ở ữ ườ đ c phép. Gi i mã là quá trình ng c l i c a mã hoá, t c là bi n đ i văn b n đã mã hoáượ ả ượ ạ ủ ứ ế ổ ả thành d ng đ c đ c b i nh ng ng i dùng đ c phép.ạ ọ ượ ở ữ ườ ượ 1.3.3. M t s thu t ng s d ng trong VPN:ộ ố ậ ữ ử ụ - H th ng mã hoá (CryptoSystem)ệ ố : Là m t h th ng đ th c hi n mã hoá hay gi i mã,ộ ệ ố ể ự ệ ả xác th c ng i dùng, băm (hashing) và các quá trình trao đ i khoá, m t h th ng mã hoáự ườ ổ ộ ệ ố có th s d ng m t hay nhi u ph ng th c khác nhau tuỳ thu c vào yêu c u cho m t vàiể ử ụ ộ ề ươ ứ ộ ầ ộ lo i traffic c th .ạ ụ ể - Hàm băm (hashing): Là m t k thu t đ m b o tính toàn v n d li u, nó s d ng m tộ ỹ ậ ả ả ẹ ữ ệ ử ụ ộ công th c ho c m t thu t toán đ bi n đ i m t b n tin có chi u dài thay đ i và m tứ ặ ộ ậ ể ế ổ ộ ả ề ổ ộ khoá m t mã công c ng vào trong m t chu i đ n các s li u có chi u dài c đ nh. B nậ ộ ộ ỗ ơ ố ệ ề ố ị ả tin hay khoá và hash di chuy n trên m ng t ngu n t i đích. n i nh n, vi c tính toánể ạ ừ ồ ớ Ở ơ ậ ệ l i hash đ c s d ng đ ki m tra r ng b n tin và khoá không b thay đ i trong khiạ ượ ử ụ ể ể ằ ả ị ổ truy n trên m ng.ề ạ - Xác th c (Authentication):ự Là quá trình c a vi c nh n bi t m t ng i s d ng hay quáủ ệ ậ ế ộ ườ ử ụ trình truy c p h th ng máy tính ho c k t n i m ng. Xác th c đ m b o ch c ch n r ngậ ệ ố ặ ế ố ạ ự ả ả ắ ắ ằ cá nhân hay m t ti n trình là h p l .ộ ế ợ ệ - Cho phép (Authorization): Là ho t đ ng ki m tra th c th nào đó có đ c phép th cạ ộ ể ự ể ượ ự hi n nh ng quy n h n c th nào.ệ ữ ề ạ ụ ể - Qu n lý khoá (Key management):ả M t khoá thông tin, th ng là m t dãy ng u nhiênộ ườ ộ ẫ ho c trông gi ng nh các s nh phân ng u nhiên, đ c s d ng ban đ u đ thi t l p vàặ ố ư ố ị ẫ ượ ử ụ ầ ể ế ậ thay đ i m t cách đ nh kỳ s ho t đ ng trong m t h th ng m t mã. Qu n lý khoá là sổ ộ ị ự ạ ộ ộ ệ ố ậ ả ự giám sát và đi u khi n ti n trình nh các khoá đ c t o ra. Các công vi c chính có th làề ể ế ờ ượ ạ ệ ể c t gi , b o v , bi n đ i, t i lên, s d ng hay lo i b .ấ ữ ả ệ ế ổ ả ử ụ ạ ỏ - D ch v ch ng th c CA (Certificate of Authority):ị ụ ứ ự M t d ch v đ c tin t ng độ ị ụ ượ ưở ể b o m t quá trình truy n tin gi a các th c th m ng ho c ng i dùng b ng cách t o raả ậ ề ữ ự ể ạ ặ ườ ằ ạ và gán các ch ng nh n s nh các ch ng nh n khoá công c ng cho m c đích mã hoá.ứ ậ ố ư ứ ậ ộ ụ M t CA đ m b o cho s liên k t gi a các thành ph n b o m t trong ch ng nh n.ộ ả ả ự ế ữ ầ ả ậ ứ ậ 5 - IKE (Internet Key Exchange): Là giao th c ch u trách nhi m trao đ i khóa gi a haiứ ị ệ ổ ữ đi m k t n i VPN. IKE h tr ba ki u xác th c là dùng khóa bi t tr c (pre-share key),ể ế ố ỗ ợ ể ự ế ướ RSA và RSA signature. IKE l i dùng hai giao th c là Oakley Key Exchange (mô t ki uạ ứ ả ể trao đ i chìa khoá) và Skeme Key Exchange (đ nh nghĩa k thu t trao đ i chìa khoá), m iổ ị ỹ ậ ổ ỗ giao th c đ nh nghĩa m t cách th c đ thi t l p s trao đ i khoá xác th c, bao g m c uứ ị ộ ứ ể ế ậ ự ổ ự ồ ấ trúc t i tin, thông tin mà các t i tin mang, th t các khoá đ c x lý và các khoá đ cả ả ứ ự ượ ử ượ s d ng nh th nào.ử ụ ư ế - AH (Authentication Header): Là giao th c b o m t giúp xác th c d li u, b o đ m tínhứ ả ậ ự ữ ệ ả ả toàn v n d li u và các d ch v “anti-replay” (d ch v b o đ m tính duy nh t c a góiẹ ữ ệ ị ụ ị ụ ả ả ấ ủ tin). AH đ c nhúng vào trong d li u đ b o v .ượ ữ ệ ể ả ệ - ESP (Encapsulation Security Payload): Là m t giao th c b o m t cung c p s tin c yộ ứ ả ậ ấ ự ậ c a d li u, đ m b o tính toàn v n d li u và xác th c ngu n g c d li u. ESP đóngủ ữ ệ ả ả ẹ ữ ệ ự ồ ố ữ ệ gói d li u đ b o v . ữ ệ ể ả ệ 1.4. Các dạng kết nối mạng riêng ảo 1.4.1. Truy c p VPN t xa (Remote Access VPN)ậ ừ Remote Access VPN cho phép các ng i dùng xa s d ng VPN client đ truy c pườ ở ử ụ ể ậ vào m ng Intranet c a Công ty thông qua Gateway ho c VPN concentrator (b n ch t là m tạ ủ ặ ả ấ ộ server). Vì v y, gi i pháp này th ng đ c g i là client/server. Trong gi i pháp này, ng iậ ả ườ ượ ọ ả ườ dùng th ng s d ng các công ngh WAN truy n th ng đ t o ra các tunnel v m ng trungườ ử ụ ệ ề ố ể ạ ề ạ tâm c a h .ủ ọ 1.4.1.1. M t s thành ph n chính c a ộ ố ầ ủ Remote Access VPN  Remote Access Server (RAS): Thi t b này đ c đ t t i trung tâm và có nhi m vế ị ượ ặ ạ ệ ụ xác th c và ch ng nh n các yêu c u g i t i sau đó thi t l p k t n i.ự ứ ậ ầ ử ớ ế ậ ế ố 6 Hình 1.3 – Mô hình non-VPN Remote Access  Remote Access Client: B ng vi c tri n khai Remote Access VPN qua Internet, nh ngằ ệ ể ữ ng i dùng t xa ho c các văn phòng chi nhánh ch c n thi t l p m t k t n i c c bườ ừ ặ ỉ ầ ế ậ ộ ế ố ụ ộ đ n nhà cung c p d ch v Internet, sau đó có th k t n i đ n tài nguyên c a doanhế ấ ị ụ ể ế ố ế ủ nghi p thông qua Remote Access VPN. Mô hình Remote Access VPN đ c mô t nhệ ượ ả ư hình d i đây:ướ Hình 1.4 – Mô hình Remote Access VPN 7 1.4.1.2. u và nh c đi m c a Remote Access VPNƯ ượ ể ủ  u đi m Remote Access VPN:Ư ể - VPN truy nh p t xa không c n đ n s h tr c a qu n tr m ng b i cácậ ừ ầ ế ự ỗ ợ ủ ả ị ạ ở k t n i t xa do các nhà cung c p d ch v Internet đ m nhi m.ế ố ừ ấ ị ụ ả ệ - Gi m giá thành chi phí k t n i v i kho ng cách xa vì các k t n i c a VPNả ế ố ớ ả ế ố ủ truy nh p t xa chính là các k t n i Internet.ậ ừ ế ố - VPN cung c p kh năng truy c p đ n trung tâm t t h n b i vì nó h trấ ả ậ ế ố ơ ở ỗ ợ d ch v truy c p m c đ t i thi u.ị ụ ậ ở ứ ộ ố ể  Nh c đi m c a Remote Access VPN:ượ ể ủ - Remote Access VPN cũng không đ m b o đ c ch t l ng d ch v (QoS).ả ả ượ ấ ượ ị ụ - Kh năng m t d li u là r t cao, thêm n a là các phân đo n c a gói dả ấ ữ ệ ấ ữ ạ ủ ữ li u có th b th t thoát.ệ ể ị ấ - Do đ ph c t p c a thu t toán mã hoá nên gây khó khăn cho quá trình xácộ ứ ạ ủ ậ nh n.ậ 1.4.2. Site-to-Site VPN (LAN-to-LAN) Site-to-Site VPN là gi i pháp k t n i các h th ng m ng nh ng đ a đi m khác nhauả ế ố ệ ố ạ ở ữ ị ể v i m ng trung tâm thông qua VPN. Trong tr ng h p này, quá trình xác th c ban đ u choớ ạ ườ ợ ự ầ ng i s d ng là quá trình xác th c gi a các thi t b . Các thi t b này ho t đ ng nh ườ ử ụ ự ữ ế ị ế ị ạ ộ ư c ngổ an ninh (security gateway), truy n d n l u l ng m t cách an toàn t site này t i site kia.ề ẫ ư ượ ộ ừ ớ Các b đ nh tuy n hay t ng l a h tr VPN đ u có kh năng th c hi n k t n i này. Sộ ị ế ườ ử ỗ ợ ề ả ự ệ ế ố ự khác nhau gi a Site-to-Site VPN và Remote Access VPN ch mang tính t ng tr ng. Nhi uữ ỉ ượ ư ề thi t b VPN m i có th ho t đ ng theo c hai cách này.ế ị ớ ể ạ ộ ả Hình 1.5 – Mô hình Site–to–Site VPN Site-to-Site VPN có th đ c xem nh là Intranet VPN ho c Extranet VPN xét theoể ượ ư ặ quan đi m chính sách qu n lý. N u h t ng m ng có chung m t ngu n qu n lý, nó có thể ả ế ạ ầ ạ ộ ồ ả ể đ c xem nh Intranet VPN, ng c l i, nó có th đ c coi là Extranet VPN. Vi c truy nh pượ ư ượ ạ ể ượ ệ ậ gi a các đi m ph i đ c ki m soát ch t ch b i các thi t b t ng ng.ữ ể ả ượ ể ặ ẽ ở ế ị ươ ứ 8 1.4.2.1. Intranet VPN Hình 1.6 – Mô hình Intranet VPN Intranet VPN hay còn g i là VPN c c b là m t mô hình tiêu bi u c a Site-to-Siteọ ụ ộ ộ ể ủ VPN, d ng k t n i này đ c s d ng đ b o m t các k t n i gi a đ a đi m khác nhau c aạ ế ố ượ ử ụ ể ả ậ ế ố ữ ị ể ủ m t công ty hay doanh nghi p. Nó liên k t tr s chính và các văn phòng chi nhánh trên m tộ ệ ế ụ ở ộ c s h t ng chung s d ng các k t n i luôn đ c mã hóa b o m t. Đi u này cho phép t tơ ở ạ ầ ử ụ ế ố ượ ả ậ ề ấ c các đi m có th truy nh p an toàn các ngu n d li u đ c phép trong toàn công ty.ả ể ể ậ ồ ữ ệ ượ Intranet VPN cung c p nh ng đ c tính c a m ng WAN nh kh năng m r ng, tínhấ ữ ặ ủ ạ ư ả ở ộ tin c y và h tr nhi u ki u giao th c khác nhau v i chi phí th p ậ ỗ ợ ề ể ứ ớ ấ nh ng v n đ m b o tínhư ẫ ả ả m m d o.ề ẻ  Nh ng u đi m chính c a gi i pháp này bao g m:ữ ư ể ủ ả ồ - Các m ng c c b ho c di n r ng có th đ c thi t l p thông qua m t hay nhi uạ ụ ộ ặ ệ ộ ể ượ ế ậ ộ ề nhà cung c p d ch v Internet.ấ ị ụ - Gi m đ c nhân l c h tr k thu t m ng đ i v i các chi nhánh xa.ả ượ ự ỗ ợ ỹ ậ ạ ố ớ ở - Do k t n i trung gian đ c th c hi n thông qua Internet nên nó có th d dàngế ố ượ ự ệ ể ễ thi t l p thêm m t liên k t ngang hàng m i.ế ậ ộ ế ớ - Ti t ki m chi phí t vi c s d ng đ ng h m VPN thông qua Internet k t h p v iế ệ ừ ệ ử ụ ườ ầ ế ợ ớ các công ngh chuy n m ch t c đ cao.ệ ể ạ ố ộ  Tuy nhiên, gi i pháp Intranet VPN cũng có nh ng nh c đi m nh t đ nh nh :ả ữ ượ ể ấ ị ư - Do d li u đ c truy n qua m ng công c ng (m c dù đã đ c mã hóa) nên v nữ ệ ượ ề ạ ộ ặ ượ ẫ còn nh ng m i đe d a v m c đ b o m t d li u và ch t l ng d ch v (QoS).ữ ố ọ ề ứ ộ ả ậ ữ ệ ấ ượ ị ụ - Kh năng các gói d li u b th t thoát trong khi truy n là khá cao.ả ữ ệ ị ấ ề - Trong tr ng h p c n truy n kh i l ng l n d li u nh đa ph ng ti n v i yêuườ ợ ầ ề ố ượ ớ ữ ệ ư ươ ệ ớ c u t c đ cao và đ m b o th i gian th c là m t thách th c l n trong môi tr ngầ ố ộ ả ả ờ ự ộ ứ ớ ườ Internet. 9 1.4.2.2. Extranet VPN (VPN m r ng)ở ộ Gi i pháp VPN m r ng cung c p kh năng đi u khi n truy nh p t i nh ng ngu nả ở ộ ấ ả ề ể ậ ớ ữ ồ tài nguyên m ng c n thi t đ m r ng t i nh ng đ i t ng kinh doanh. S khác nhau gi aạ ầ ế ể ở ộ ớ ữ ố ượ ự ữ VPN n i b và VPN m r ng là s truy nh p m ng đ c công nh n m t trong hai đ uộ ộ ở ộ ự ậ ạ ượ ậ ở ộ ầ cu i c a VPN.ố ủ Hình 1.7 – Mô hình Extranet VPN  Nh ng u đi m chính c a VPN m r ng bao g m:ữ ư ể ủ ở ộ ồ - Chi phí cho VPN m r ng th p h n nhi u so v i các gi i pháp k t n i khác đở ộ ấ ơ ề ớ ả ế ố ể cùng đ t đ c m t m c đích nh v y.ạ ượ ộ ụ ư ậ - D dàng thi t l p, b o trì và thay đ i v i m ng đang ho t đ ng.ễ ế ậ ả ổ ớ ạ ạ ộ - Do VPN m r ng đ c xây d ng d a trên Internet nên có nhi u c h i trong vi cở ộ ượ ự ự ề ơ ộ ệ cung c p d ch v và l a ch n gi i pháp phù h p v i nhu c u c th c a t ng côngấ ị ụ ự ọ ả ợ ớ ầ ụ ể ủ ừ ty. - Các k t n i Internet đ c các ISP b o trì nên có th gi m s l ng nhân viên kế ố ượ ả ể ả ố ượ ỹ thu t h tr m ng, do đó s gi m đ c chi phí v n hành c a toàn m ng.ậ ỗ ợ ạ ẽ ả ượ ậ ủ ạ  Bên c nh nh ng u đi m trên, gi i pháp VPN m r ng cũng có nh ng nh c đi m nh tạ ữ ư ể ả ở ộ ữ ượ ể ấ đ nh nh :ị ư - V n đ b o m t thông tin g p khó khăn h n trong môi tr ng m r ng nh v y,ấ ề ả ậ ặ ơ ườ ở ộ ư ậ đi u này làm tăng nguy c r i ro đ i v i m ng c c b c a công ty.ề ơ ủ ố ớ ạ ụ ộ ủ - Kh năng th t thoát d li u trong khi truy n qua m ng công c ng v n t n t i.ả ấ ữ ệ ề ạ ộ ẫ ồ ạ - Vi c truy n kh i l ng l n d li u v i yêu c u t c đ cao và th i gian th c v nệ ề ố ượ ớ ữ ệ ớ ầ ố ộ ờ ự ẫ còn là m t thách th c l n c n gi i quy t.ộ ứ ớ ầ ả ế Tóm t t ch ng 1ắ ươ 10 [...]... sau: 21 - Xử lý loại bỏ tiêu đề và đuôi của lớp liên kết dữ liệu Xử lý và loại bỏ tiêu đề IP Dùng phần đuôi IPSec ESP Authentication để xác thực tải IP và tiêu đề IPSec ESP Dùng tiêu đề IPSec ESP để giải mã phần gói đã được mã hóa Xử lý tiêu đề UDP và gửi gói tới L2TP L2TP dùng chỉ số đường hầm và chỉ số cuộc gọi trong tiêu đề L2TP để xác định đường hầm L2TP cụ thể - Dùng tiêu đề PPP để xác định tải PPP... dưới đây mô tả cấu trúc dữ liệu đã được đóng gói: Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề GRE Tiêu đề PPP Tải PPP được mã hóa (IP, IPX, NetBEUI) Phần đuôi liên kết dữ liệu Hình 2.6 – Gói dữ liệu đường hầm PPTP Phần tải của khung PPP ban đầu được mã hóa và đóng gói với tiêu đề PPP để tạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi GRE là giao thức... và PPTP echo-reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và máy chủ PPTP Các gói của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đề, phần đuôi của lớp liên kết dữ liệu Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề TCP Bản tin điều khiển PPTP Phần đuôi liên kết dữ liệu Hình 2.5 – Gói dữ liệu kết nối điều khiển PPTP 17 2.1.2.3 Đóng gói dữ liệu đường... chế độ này, vấn đề an ninh được cung cấp bởi các giao thức lớp cao trong mô hình OSI (từ lớp 4 trở lên) Chế độ này bảo vệ phần tải tin của gói nhưng vẫn để phần tiêu đề IP ban đầu ở dạng gốc như trong nguyên bản Địa chỉ IP ban đầu này được sử dụng để định tuyến gọi qua Internet AH – chế độ truyền tải Tiêu đề gốc Tiêu đề AH Tải tin Được mã hóa ESP – chế độ truyền tải 24 Tiêu đề gốc Tiêu đề AH Tải tin... Internet Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPSec thay cho các trạm đầu cuối (host) AH – chế độ đường hầm Tiêu đề mới Tiêu đề AH Tiêu đề gốc Tải tin Được xác thực ESP – chế độ đường hầm Tiêu đề mới Tiêu đề ESP Tiêu đề gốc Tải tin Được mã hóa Được xác thực Hình 2.11 – Xử lý gói tin IP ở chế độ đường hầm 2.2.4 Các thành phần bên trong IPSec 2.2.4.1 Giao thức đóng... tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa: loại thứ nhất là xác thực tiêu đề AH (Authentication Header), loại thứ hai là đóng gói tải tin an toàn ESP (Encapsulation Security Payload ESP) Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu Trong khi đó đóng gói tải tin an toàn ESP thực hiện mã hóa và đảm bảo tính toàn vẹn cho gói dữ liệu nhưng không bảo vệ tiêu đề cho... tới - điểm, chúng sẽ được đóng gói với tiêu đề và đuôi PPP Hình dưới đây chỉ ra cấu trúc cuối cùng của gói dữ liệu đường hầm L2TP trên nền IPSec Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề IPSec ESP Tiêu đề UDP Tiêu đề L2TP Tiêu đề PPP Tải PPP (IP, IPX, NetBEUI) Phần đuôi IPSec ESP Phần đuôi nhận thực IPSec ESP Phần đuôi liên kết dữ liệu Được mã hóa Được xác thực Hình 2.9 – Đóng gói dữ liệu đường hầm... điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa máy trạm và máy chủ L2TP (đều được sử dụng cổng UDP 1701) Các bản tin điều khiển L2TP qua mạng IP được gửi như các gói UDP, gói UDP lại được mã hóa bởi IPSec ESP như hình dưới đây Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề IPSec ESP Tiêu đề UDP Bản tin L2TP Phần đuôi IPSec ESP Phần đuôi xác thực IPSec ESP Phần đuôi liên kết dữ liệu... WAN điểm – tới – điểm, nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP Xử lý dữ liệu tại đầu cuối đường hầm PPTP Khi nhận được dữ liệu đầu cuối đường hầm PPTP, máy trạm và máy chủ PPTP sẽ thực hiện các bước sau: - Xử lý loại bỏ phần tiêu đề và đuôi của lớp liên kết dữ liệu Xử lý và loại bỏ tiêu đề IP 18 - Xử lý và loại bỏ tiêu đề GRE và PPP Giải mã và/hoặc giải nén phần tải PPP (nếu... nối Trong chương tiếp theo, chúng ta sẽ tìm hiểu kỹ hơn các giao thức chủ yếu được sử dụng trong VPN đồng thời so sánh ưu và nhược nhược điểm của từng giao thức, qua đó có thể căn cứ vào từng yêu cầu cụ thể để lựa chọn giải pháp xây dựng một mạng VPN thích hợp 11 Chương 2 CÁC GIAO THỨC TRONG VPN Trong VPN có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là:  L2F - Layer 2 Forwarding . khoá đ gi i mã. Các đ ng k t n i VPN th ng đ c g i là đ ng ng VPN ả ườ ế ố ườ ượ ọ ườ ố (tunnel). Hình 1.1 – M t mô hình m ng VPN ạ 1.1.2. L i ích c a VPN ủ VPN cung c p nhi u đ c tính h n. ảo 1.4.1. Truy c p VPN t xa (Remote Access VPN) ậ ừ Remote Access VPN cho phép các ng i dùng xa s d ng VPN client đ truy c pườ ở ử ụ ể ậ vào m ng Intranet c a Công ty thông qua Gateway ho c VPN concentrator. Access VPN. Mô hình Remote Access VPN đ c mô t nhệ ượ ả ư hình d i đây:ướ Hình 1.4 – Mô hình Remote Access VPN 7 1.4.1.2. u và nh c đi m c a Remote Access VPN ượ ể ủ  u đi m Remote Access VPN: Ư