Đang tải... (xem toàn văn)
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leasedline, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối pointtopoint trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã. Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel) Mô hình mạng riêng ảo (VPN). II. Lợi ích của VPN: VPN ra đời từ nhu cầu kết nối giữa các công ty mẹ với các công ty con và chi nhánh. Chính vì vậy, cho tới nay thì các công ty, tổ chức chính là đối tượng chính sử dụng VPN. Đặc biệt là các công ty có nhu cầu cao về việc trao đổi thông tin, dữ liệu giữa các văn phòng với nhau nhưng lại không đòi hỏi yêu cầu quá cao về tính bảo mật, cũng như dữ liệu.Vì vậy đối với các doanh nghiệp, những lý do sau khiến mỗi đơn vị, tổ chức, công ty sử dụng VPN: • Giảm chi phí thường xuyên: Tiết kiệm 60% chi phí thuê đường truyền, cũng như là chi phí gọi đường dài của những văn phòng ở xa.Với những nhân viên di động thì việc đăng nhập vào mạng VPN chung của công ty thông qua các POP tại địa điểm đó. • Giảm chi phí đầu tư: So với việc phải đầu tư từ đầu như trước đây thì giờ đây mọi chi phí về máy chủ, đường truyền, bộ định tuyến, bộ chuyển mạch … Các công ty có thể thuê chúng từ các đơn vị cung cấp dịch vụ. Như vậy vừa giảm được chi phí đầu tư trang thiết bị. • Giảm chi phí duy trì nơi hệ thống và bảo trì: Thuận tiện cho việc nâng cấp hay bảo trì trong quá trình sử dụng vì hiện nay các công ty cung cấp dịch vụ sẽ chịu trách nhiệm bảo trì hệ thống họ cung cấp hoặc nâng cấp theo nhu cầu của khách hàng. • Truy cập mọi lúc mọi nơi: Mọi nhân viên có thể sử dụng hạ tầng,dịch vụ của bên cung cấp trong điều kiện cho phép để kết nối vào mạng VPN của công ty. Điều này đặc biệt quan trọng thời kỳ hiện nay, khi mà thông tin không chỉ còn được đánh giá bằng độ chính xác mà còn cả tính tức thời. III. Kiến trúc của VPN: Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính là Tunneling (đường hầm kết nối) và Secure services (các dịch vụ bảo mật cho kết nối đó). Tunneling chính là thành phần “Virtual” và Sercure services là thành phần “Private” của một mạng riêng ảo VPN (Virtual Private Network). 1. Đường hầm kết nối (Tunneling) Khác với việc thuê một đường truyền riêng các kết nối bằng việc sử dụng cách tạo đường hầm không liên tục, mà chỉ được xác lập khi có yêu cầu kết nối. Do vậy khi không còn được sử dụng các kết nối này sẽ được huỷ, giải phóng băng thông, tài nguyên mạng cho các yêu cầu khác. Điều này cho thấy một ưu điểm rất lớn của VPN so với việc thuê đường truyền riêng đó là sự linh hoạt. Cấu trúc logic của mạng được thiết lập dành cho thiết bị mạng tương ứng của mạng đó mà không cần quan tâm đến hạ tầng mạng hiện có là một đặc điểm “ảo” khác của VPN. Các thiết bị phần cứng của mạng đều trở nên tàng hình với người dùng và thiết bị của mạng VPN. Chính vì thế trong quá trình tạo ra đường hầm, những kết nối hình thành nên mạng riêng ảo không có cùng tính chất vật lý với những kết nối cố định trong mạng Lan thông thường. Tạo đường hầm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuối trên mạng. Các gói tin IP trước khi chuyển đi phải được đóng gói, mã hoá gói tin gốc và thêm IP header mới. Sau đó các gói tin sẽ được giải mã, tách bỏ phần tiêu đề tại gateway của điểm đến, trước khi được chuyển đến điểm đến đầu cuối. Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàn trong suốt với người sử dụng. Có hai loại đường hầm kết nối thường trực và tạm thời.Tính hiệu quả và tối ưu của một đường hầm kết nối thường trực là không cao.Do đó đường hầm tạm thời thường được sử dụng hơn vì tính linh động và hữu dụng hơn cho VPN. Có hai kiểu kết nối hình thành giữa hai đầu kết nối của mỗi đường hầm là Lan to Lan và Client to Lan. Lan to Lan: Kết nối Lan To Lan được hình thành giữa 2 văn phòng chi nhánh hoặc chi nhánh với công ty. Các nhân viên tại những văn phòng và chi nhánh đều có thể sử dụng đường hầm để trao đổi dữ liệu. Client To Lan: Kiểu kết nối Client To Lan dành cho các kết nối di động của các nhân viên ở xa đến công ty hay chi nhánh. Để thực hiện được điều này, các máy client phải chạy một phần mềm đặc biệt cho phép kết nối với gateway của công ty hay chinh nhánh. Khi kết nối này được thực hiện thì đã xác lập một đường hầm kết nối giữa công ty và nhân viên ở xa. 2. Dịch vụ bảo mật (secure services) Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhân viên ở xa mà không hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thì cũng như việc các ngân hàng chuyển tiền mà không có lực lượng bảo vệ vậy. Tất cả các dữ liệu sẽ không được bảo vệ, hoàn toàn có thể bị đánh cắp, thay đổi trên quá trình vận chuyển một cách dễ dàng. Chính vì vậy các cơ chế bảo mật cho VPN chính là xương sống của giải pháp này. Một mạng VPN cần cung cấp 4 chức năng bảo mật cho dữ liệu: • Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn quy định. • Điều khiển truy cập (Access control): hạn chế quyền từ những người dùng bất hợp pháp. • Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữ liệu trong quá trình vận chuyển trên mạng. • Tính toàn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi, được bảo toàn từ đầu gửi đến đầu nhận. Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data link) và lớp 3 (Network) trong mô hình 7 lớp OSI. Các dịch vụ bảo mật đều được triển khai tại các lớp thấp của mô hình OSI làm giảm sự tác động đến người dùng. Việc bảo mật có thể thực hiện tại các đầu cuối (end to end) hoặc giữa các nút (node to node). Bảo mật tại các điểm đầu cuối là hình thức bảo mật có được độ tin cậy cao, ví dụ như tại 2 máy tính đầu cuối. Tuy vậy nhưng hình thức bảo mật đầu cuối hay client to client lại có nhược điểm làm tăng sự phức tạp cho người dùng, khó khăn cho việc quản lý. Trái với bảo mật điểm đầu cuối, bảo mật tại các nút thân thiện hơn với người dùng cuối. Giảm số tác vụ có thể làm chậm hệ thống máy tính như mã hoá hay giải mã. Tuy nhiên việc bảo mật tại các nút lại yêu cầu mạng sau nó phải có độ tin cậy cao. Mỗi hình thức bảo mật đều có ưu điểm riêng, tuỳ theo từng yêu cầu của hệ thống cần xây dựng mà chọn hình thức phù hợp.
Lời nói đầu Hiện nay, Internet phát triển mạnh mẽ mặt mơ hình lẫn tổ chức, đáp ứng đầy đủ nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng với cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng Để làm điều người ta sử dụng hệ thống thiết bị định tuyến để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ ISP Với Internet, dịch vụ đào tạo từ xa, mua hàng trực tuyến, tư vấn lĩnh vực nhiều điều khác trở thành thực Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu, việc quản lý dịch vụ Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày trở nên phổ biến Không vậy, nhiều doanh nghiệp triển khai đội ngũ bán hàng đến tận người dùng Do đó, để kiểm sốt, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên, việc truy xuất sở liệu từ xa ln địi hỏi cao vấn đề an toàn, bảo mật Để giải vấn đề trên, nhiều doanh nghiệp chọn giải pháp mơ hình mạng riêng ảo VPN Với mơ hình này,người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật dộ tin cậy bảo đảm, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường văn phòng chi nhánh kết nối an tồn tới máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nội dung báo cáo trình bày theo phần chính: Tìm hiểu VPN Cấu hình site to site VPN router Cisco, mô phần mềm Cisco Packet Tracer Chương 1: Tổng quan VPN I Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng ( Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng đường leased-line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tồn bảo mật VPN cung cấp chế mã hoá liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hoá hay chế giấu đi, cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Dữ liệu mã hố cách cẩn thận packet bị bắt lại đường truyền công cộng khơng thể đọc nội dùng khơng có khố để giải mã Liên kết với liệu mã hố đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Mơ hình mạng riêng ảo (VPN) II Lợi ích VPN: VPN đời từ nhu cầu kết nối công ty mẹ với cơng ty chi nhánh Chính vậy, cơng ty, tổ chức đối tượng sử dụng VPN Đặc biệt cơng ty có nhu cầu cao việc trao đổi thơng tin, liệu văn phịng khơng địi hỏi u cầu q cao tính bảo mật, liệu.Vì doanh nghiệp, lý sau khiến đơn vị, tổ chức, công ty sử dụng VPN: • Giảm chi phí thường xuyên: Tiết kiệm 60% chi phí thuê đường truyền, chi phí gọi đường dài văn phòng xa.Với nhân viên di động việc đăng nhập vào mạng VPN chung công ty thông qua POP địa điểm • Giảm chi phí đầu tư: So với việc phải đầu tư từ đầu trước chi phí máy chủ, đường truyền, định tuyến, chuyển mạch … Các công ty thuê chúng từ đơn vị cung cấp dịch vụ Như vừa giảm chi phí đầu tư trang thiết bị • Giảm chi phí trì nơi hệ thống bảo trì: Thuận tiện cho việc nâng cấp hay bảo trì trình sử dụng cơng ty cung cấp dịch vụ chịu trách nhiệm bảo trì hệ thống họ cung cấp nâng cấp theo nhu cầu khách hàng • Truy cập lúc nơi: Mọi nhân viên sử dụng hạ tầng,dịch vụ bên cung cấp điều kiện cho phép để kết nối vào mạng VPN công ty Điều đặc biệt quan trọng thời kỳ nay, mà thông tin không cịn đánh giá độ xác mà cịn tính tức thời III Kiến trúc VPN: Một hệ thống VPN xây dựng lên thành phần Tunneling (đường hầm kết nối) Secure services (các dịch vụ bảo mật cho kết nối đó) Tunneling thành phần “Virtual” Sercure services thành phần “Private” mạng riêng ảo VPN (Virtual Private Network) Đường hầm kết nối (Tunneling) Khác với việc thuê đường truyền riêng kết nối việc sử dụng cách tạo đường hầm không liên tục, mà xác lập có yêu cầu kết nối Do khơng cịn sử dụng kết nối huỷ, giải phóng băng thông, tài nguyên mạng cho yêu cầu khác Điều cho thấy ưu điểm lớn VPN so với việc thuê đường truyền riêng linh hoạt Cấu trúc logic mạng thiết lập dành cho thiết bị mạng tương ứng mạng mà không cần quan tâm đến hạ tầng mạng có đặc điểm “ảo” khác VPN Các thiết bị phần cứng mạng trở nên tàng hình với người dùng thiết bị mạng VPN Chính q trình tạo đường hầm, kết nối hình thành nên mạng riêng ảo khơng có tính chất vật lý với kết nối cố định mạng Lan thông thường Tạo đường hầm hình thành kết nối đặc biệt hai điểm cuối mạng Các gói tin IP trước chuyển phải đóng gói, mã hố gói tin gốc thêm IP header Sau gói tin giải mã, tách bỏ phần tiêu đề gateway điểm đến, trước chuyển đến điểm đến đầu cuối Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàn suốt với người sử dụng Có hai loại đường hầm kết nối thường trực tạm thời.Tính hiệu tối ưu đường hầm kết nối thường trực khơng cao.Do đường hầm tạm thời thường sử dụng tính linh động hữu dụng cho VPN Có hai kiểu kết nối hình thành hai đầu kết nối đường hầm Lan to Lan Client to Lan Lan to Lan: Kết nối Lan To Lan hình thành văn phòng chi nhánh chi nhánh với cơng ty Các nhân viên văn phịng chi nhánh sử dụng đường hầm để trao đổi liệu Client To Lan: Kiểu kết nối Client To Lan dành cho kết nối di động nhân viên xa đến công ty hay chi nhánh Để thực điều này, máy client phải chạy phần mềm đặc biệt cho phép kết nối với gateway công ty hay chinh nhánh Khi kết nối thực xác lập đường hầm kết nối công ty nhân viên xa Dịch vụ bảo mật (secure services) Nếu thực tạo đường hầm kết nối đến chi nhánh hay nhân viên xa mà khơng có chế bảo vệ cho liệu di chuyển việc ngân hàng chuyển tiền mà khơng có lực lượng bảo vệ Tất liệu khơng bảo vệ, hồn tồn bị đánh cắp, thay đổi trình vận chuyển cách dễ dàng Chính chế bảo mật cho VPN xương sống giải pháp Một mạng VPN cần cung cấp chức bảo mật cho liệu: • Xác thực (Authentication): Đảm bảo liệu đến từ nguồn quy định • Điều khiển truy cập (Access control): hạn chế quyền từ người dùng bất hợp pháp • Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay chép liệu q trình vận chuyển mạng • Tính tồn vẹn (Data integrity): đảm bảo liệu không bị thay đổi, bảo toàn từ đầu gửi đến đầu nhận Các dịch vụ bảo mật cung cấp lớp (Data link) lớp (Network) mô hình lớp OSI Các dịch vụ bảo mật triển khai lớp thấp mơ hình OSI làm giảm tác động đến người dùng Việc bảo mật thực đầu cuối (end to end) nút (node to node) Bảo mật điểm đầu cuối hình thức bảo mật có độ tin cậy cao, ví dụ máy tính đầu cuối Tuy hình thức bảo mật đầu cuối hay client to client lại có nhược điểm làm tăng phức tạp cho người dùng, khó khăn cho việc quản lý Trái với bảo mật điểm đầu cuối, bảo mật nút thân thiện với người dùng cuối Giảm số tác vụ làm chậm hệ thống máy tính mã hoá hay giải mã Tuy nhiên việc bảo mật nút lại yêu cầu mạng sau phải có độ tin cậy cao Mỗi hình thức bảo mật có ưu điểm riêng, tuỳ theo yêu cầu hệ thống cần xây dựng mà chọn hình thức phù hợp IV Các giao thức VPN: Ipsec Mơ hình Ipsec Internet Security Protocol cấu trúc khởi xướng trì phát triển lực lượng chuyên trách kỹ thuật liên mạng (IETF) nhằm cung cấp dịch vụ bảo mật cho giao thức Ipv4 Ipv6 Nó xây dựng để phục vụ cho cấu trúc tầng cùng, tập trung vào thuật toán mã hoá phương pháp trao đổi khoá Ipsec thiết kế chạy ứng dụng để bảo mật cho hệ thống mạng Nâng cấp Ipsec có nghĩa nâng cấp tính bảo mật, ứng dụng mạng tiếp tục sử dụng để truyền liệu Ipsec cung cấp ba phương thức bảo mật : ➢Thuật tốn mã hố ➢Thuật tốn xác thực ➢Quản lý khố Hai lợi ích bắt nguồn từ IPsec sản phẩm dịch vụ IPSec tăng tính bảo mật bổ sung khả tương tác với sản phẩm khác IPSec tăng cường an ninh có nghĩa xác thực tồn diện mạnh mẽ ,trao đổi khoá, thuật tốn mã hóa , mạnh mẽ cho sử dụng giới Mặc dù IPSec trải qua thay đổi, nhiều tảng đông lạnh đủ cho nhà cung cấp để hoàn thiện, kiểm tra, phân phối sản phẩm VPN IPSec hỗ trợ hai kiểu mã hoá Để bảo vệ khối lượng gói tin, chế độ đường hầm mã hóa tiêu đề khối lượng Một cách hợp lý đủ chế độ đường hầm an tồn hơn, bảo vệ danh tính người gửi người nhận, với số lĩnh vực ẩn IP khác cung cấp cho người trung gian thơng tin hữu ích Để Ipsec làm việc mong đợi, tất thiết bị phải chia sẻ khoá Mặc dù giao thức sử dụng để mã hóa liệu quan trọng vào thành công chung hệ thống, nhiều công việc vào xác thực trao đổi khóa người gửi q trình nhận.Tất nhiên thực chủ yếu thơng qua giao thức ISAKMP / oakley X 0,509 hệ thống chứng nhận kỹ thuật số ESP( Encapsulating Security Payload ) Cấu trúc gói tin đóng gói giao thức ESP Đơn vị truyền internet gói tin IP, mà hầu hết truyền thơng dựa WAN LAN IPSec xử lý mã hóa cấp IP gói tin sử dụng giao thức mới, Encapsulating Security Protocol (ESP) ESP thiết kế để hỗ trợ loại mã hóa đối xứng, chẳng hạn DES triple DES.Hiện nay, ESP dựa tối thiểu 56-bit DES ESP hỗ trợ số xác thực, phần chồng chéo với giao thức Ipsec,AH: xác thực header.Thơng thường ESP sử dụng bên gói tin IP khác, để ESP vận chuyển qua thường xuyên Thay TCP bình thường định gói tin UDP, thông tin tiêu đề tuyên bố tải trọng gói tin ESP thay Bởi đóng gói phương thức này, ESP vận chuyển qua mạng tương thích ngược với phần lớn phần cứng sử dụng để mạng đường sang ngày khác AH( Authentication header) Mơ hình giao thức AH ESP bảo vệ việc liệu cách mã hóa, giao thức tiêu đề xác thực IPSec xử lý xác thực, mà không cần bảo mật Giao thức AH sử dụng kết hợp với ESP chế độ đường hầm đứng xác thực Các giao thức xác thực tiêu đề xử lý đảm bảo thông tin tiêu đề IP nơi ESP có liên quan với tải để hỗ trợ IPSec chức yêu cầu triển khai AH-chứa HMAC-SHA HMAC-MD5 (HMAC hệ thống xác thực đối xứng hỗ trợ hai mã băm Internet key exchange,ISAMKP/Oakley Trao đổi thông báo hai điểm cuối sử dụng giao thức IKE Bất kỳ trò chuyện bảo vệ hai bên có ESP AH khơng hoàn thành tranh cho hệ thống IPSec, để giao tiếp an tồn cho hai bên phải có khả đàm phán phím để sử dụng thông tin liên lạc xảy cộng với hai bên cần phải có khả định thuật tốn mã hóa xác thực để sử dụng trao đổi khóa internet (IKE) giao thức ( trước gọi ISAKMP / Oakley ) cung cấp xác thực tất đồng nghiệp xử lý sách an ninh thực kiểm soát trao đổi khố Ví dụ server có sử dụng LDAP Hệ thống X.509 giao thức truy cập thư mục nhẹ, LDAP LDAP dịch vụ X.500 nhỏ hơn, dễ dàng hợp lý để thực hiện, điều hỗ trợ giải pháp VPN khác để cung cấp xác thực quản lý giấy chứng nhận Sản phẩm phần cứng Vịnh mạng Extranet LDAP Đổi sử dụng số giải pháp phần mềm phổ biến, chẳng hạn Windows NT Novell Nó trở thành phổ biến để sử dụng hệ thống xác thực bên thứ ba đáng tin cậy (như LDAP hệ thống thư mục X.500) để truy cập từ xa đến mạng công ty (hoặc VPN) Radius Hệ thống sử dụng Radius Có hệ thống LDAP X.500 cung cấp xác thực quản lý giấy chứng nhận cho người sử dụng nơi giới, Radius hệ thống xác thực sử dụng nhiều cho tra cứu tổ chức nội Hệ thống radius phát triển tiêu chuẩn mở công ty Livingstone _, chưa _ IETF, xem xét Gần đây, _ hệ thống Radius để tăng cường khả client / server nhà cung cấp cụ thể của nó, cho phép nhà sản xuất để thích ứng sản phẩm dịch vụ họ sang thị trường cụ thể Nhiều giải pháp VPN để hỗ trợ xác thực cách sử dụng Radius so với hệ thống chứng nhận cơng cộng khác , sóng hỗ trợ cho hệ thống X.500 tiến hành PPTP(point to point tunneling protocol) Giao thức PPTP Giao thức đường hầm point-to-point (PPTP) phần mở rộng giao thức PPP (point-to-point) Các dịch vụ đường hầm cung cấp tảng cho IP PPP thích hợp để sửa đổi chức bắt chước hành vi VPN cần: đường hầm điểm-điểm Tất cịn thiếu bảo mật PPTP, nhiên, nhiều kênh thông tin liên lạc an tồn host-to-host, Lan-to-Lan Mặc dù hồn tồn định tuyến lưu lượng qua đường hầm PPTP, giải pháp Ipsec hộp số tốt cho loại ứng dụng V Hệ thống mạng VPN Remote Access VPNs Remote Access VPNs Remote Access VPNs cho phép truy cập lúc Remote, mobile thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Remote Access VPNs mô tả việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thông qua gateway VPN concertrator ( chất server), lý này, giải pháp thường gọi client/server Trong giải pháp này, người dùng thường sử dụng công nghệ WAN truyền thống để tạo lại tunnel mạng riêng họ Một hướng phát triển remote access VPN dùng wireless VPN, nhân viên truy cập mạng họ thông qua kết nối không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm wireless sau mạng cơng ty Trong hai trường hợp, phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi tunnel Một phần quan trọng thiết kế việc thiết kế trình xác thực ban đầu nhằm để đảm bảo yêu cầu xuất phát từ nguồn tin cậy Thường giai đoạn ban đầu dựa sách bảo mật cơng ty Chính sách bao gồm: Quy trình, kỹ thuật, máy chủ, điều khiển truy cập, … Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP's POP kết nối đến tài nguyên thông qua Internet Việc sử dụng Remote Access VPNs cho thấy nhiều lợi ích: • Sự cần thiết RAS việc kết hợp với modem loại trừ • Sự cần thiết hỗ trợ cho người dùng cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lởi ISP • Việc quay số từ khoảng cách xa loại trừ, thay vào đó, kết nối với khoảng cách xa thay kết nối cục • Giảm giá thành chi phí cho kết nối với khoảng cách xa • Do kết nối mang tính cục bộ, tốc độ kết nối cao so với kết nối trực tiếp đến khoảng cách xa • VPNs cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu cho dù có tăng nhanh chóng kết nối đồng thời đến mạng Nhưng bên cạnh ưu điểm Remote Access VPNs tồn khiếm khuyết : • Remote Access VPNs không đảm bảo chất lượng phục vụ • Khả liệu cao, thêm phân đoạn gói liệu ngồi bị thất • Do độ phức tạp thuật tốn mã hố, protocol overhead tăng đáng kể, điều gây khó khăn cho q trình xác nhận Thêm vào việc nén liệu IP PPPbased diễn vô chậm chạp • Do phải truyền liệu thơng qua Internet, nên trao đổi liệu lớn gói liệu truyền thơng, phim ảnh, âm chậm Site to Site (Lan to Lan) Site to Site Site to site VPN áp dụng để cài đặt mạng từ vị trí kết nối với mạng vị trí khác thơng qua VPN Trong hồn cảnh việc chứng thực ban đầu thiết bị mạng giao cho người sử dụng Nơi mà có kết nối VPN thiết lập chúng Khi thiết bị đóng vai trị gateway, đảm bảo việc lưu thơng dược dự tính trước cho site khác Các router Firewall tương thích với VPN, tập trung VPN chuyên dụng cung cấp chức Lan to Lan xem intranet VPN extranet VPN Nếu xem xét góc độ chứng thực xem intranet VPN, ngược lại chúng đươc xem extranet VPN Tính chặt chẽ việc truy cập site có thẻ điều khiển hai (intranet extranet VPN) theo site tương ứng chúng Giải pháp Site to Site VPN remote access VPN thêm vào tính chất hồn thiện Sự phân biệt remote access VPN Lan to Lan đơn mang tính chất tượng trưng xa cung cấp cho mục đích thảo luận Ví dụ thiết bị VPN dựa phần cứng mới, để phân loại được, phải áp dụng hai cách, yêu cầu phần cứng cho client xuất thiết bị truy cập vào mạng Mặc dù mạng có nhiều thiết bị VPN vận hành Lan to Lan VPN kết nối hai mạng riêng lẻ thông qua đường hầm bảo mật, đường hầm bảo mật sử dụng giao thức PPTP, L2TP, IPSec, mục đích Lan to Lan kết nối hai mạng khơng có đường nối lại với nhau, khơng có việc thoả hiệp thích hợp, chứng thực, cẩn mật liệu, bạn thiết lập Lan to Lan VPN thông qua kết hợp thiết bị VPN Concentrators, Routers Firewalls Kết nối Lan to Lan thiết kế để tạo kết nối mạng trực tiếp, hiệu bất chất khoảng cách vật lý chúng Có thể kết nối luân chuyển thông qua internet mạng không tin cậy Bản phải bảo đảm vấn đề bảo mật cách sử dụng mã hoá liệu tất gói liệu luân chuyển mạng Intranet VPNs: sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Backbone Router sử dụng campus router Theo mơ hình bên tốn chi phí phải dử dụng router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì, quản lý mạng Intranet Backbone tốn tuỳ thuộc vào lưu lượng lưu thông Để giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp Với mơ hiệu chi phí hơn, giảm số lượng router sử dụng theo mô hình WAN backbone Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số remote site khác Kết nối nhanh hơn, tốt Intranet VPNs Extranet VPNs: Khơng giống Intranet Remote Access-based, Extranet khơng hồn toàn cách li từ bên ngoài, Extranet cho phép truy cập tài nguyên mạng cần thiết đối tác kinh doanh, chẳng hạn khách hàng, nhà cung cấp, đối tác người giữ vai trò quan trọng tổ chức Do hoạt động môi trường Internet, bạn lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tuỳ theo nhu cầu tổ chức Bởi phần Internet-Connectivity bảo trì nhà cung cấp ISP nên giảm chi phí bảo trì th nhân viên bảo trì Dễ dàng triển khai, quản lý chỉnh sửa thơng tin Extranet VPNs Q trình thiết lập kết nối Client Server Quá trình kết nối Client Server Máy VPN cần kết nối (VPN Client) tạo kết nối VPN tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới Client Client gửi chứng nhận kết nối dựa file cấu hình tới server Server chứng thực kết nối cấp phép cho kết nối tới client Bắt đầu trao đổi liệu client server Chương 2: Cấu hình VPN thiết bị Cisco, mô phần mềm Cisco Packet Tracer I Đặt vấn đề: Giả sử có chi nhánh A chi nhánh B công ty Việt Nam, chi nhánh A thành phố Đà Nẵng, chi nhánh B thành phố Hồ Chí Minh Nếu cơng ty muốn kết nối chi nhánh A B th dịch vụ MPLS VPN, thuê đường Leased Lines tự triển khai VPN Sau cách kết nối Site – To – Site VPN thông qua internet, Router chi nhánh A với Router chi nhánh B Ở đây, ta giả lập Internet cách sử dụng địa IP public Các host Lan A, Lan B muốn truy cập vào internet phải thông qua NAT ISP Router cấu hình để định tuyến cho tất địa IP Public sử dụng II Quá trình tiến hành cấu hình Site–to–Site VPN: Kết nối Console vào thiết bị thực cấu hình: Cấu hình hostname cho Router: • Router A: Router#configure terminal Router(config)#host name Router A Router A(config)#end • Router B Router#configure terminal Router(config)#host name Router B Router B(config)#end • Router ISP Router#configure terminal Router(config)#host name ISP ISP(config)#end Cấu hình địa IP cho Router • Router A Router A#configure terminal Router A(config)#interface f0/1 Router A(config-if)#ip address 192.168.1.1 255.255.255.0 Router A(config-if)#exit Router A(config)#interface s0/0/1 Router A(config-if)#ip address 209.165.200.242 255.255.255.248 Router A(config-if)#no shutdown Router A(config-if)#end • Router B Router B#configure terminal Router B(config)#interface f0/1 Router B(config-if)#ip address 192.168.3.1 255.255.255.0 Router B(config-if)#exit Router B(config)#interface s0/0/1 Router B(config-if)#ip address 209.165.200.226 255.255.255.248 Router B(config-if)#clock rate 9600 Router B(config-if)#no shutdown Router B(config-if)#end • Router ISP ISP#configure terminal ISP(config)#interface s0/0/0 ISP(config-if)#ip address 209.165.200.241 255.255.255.248 ISP(config-if)#clock rate 9600 ISP(config-if)#no shutdown ISP(config-if)#exit ISP(config)#interface s0/0/0 ISP(config-if)#ip address 209.165.200.225 255.255.255.248 ISP(config-if)#no shutdown ISP(config-if)#exit Cấu hình định tuyến cho Router • Router A Router A#configure terminal Router A(config)#ip route 0.0.0.0 0.0.0.0 s0/0/1 • Router B Router B#configure terminal Router B(config)#ip route 0.0.0.0 0.0.0.0 s0/0/1 • ISP ISP#configure terminal ISP(config)#ip route 209.165.200.248 255.255.255.248 s0/0/0 ISP(config)#ip route 209.165.200.232 255.255.255.248 s0/0/1 Cấu hình NAT cho thiết bị LAN • Router A Để cấu hình NAT cho host LAN, trước hết ta cần tạo Access-List, sau: Router A#configure terminal Router A(config)#access-list permit 192.168.1.0 0.0.0.255 Cấu hình NAT: Router A#config terminal Router A(config)# ip nat inside source list interface Serial0/0/1 overload Thực NAT vào interface: Router A#config terminal Router A(config)#interface f0/1 Router A(config-if)#ip nat inside Router A(config-if)#exit Router A(config)#interface s0/0/1 Router A(config-if)#ip nat outside Router A(config-if)#exit • Router B, cấu hình tương tự Router A Router B#configure terminal Router B(config)#access-list permit 192.168.3.0 0.0.0.255 Cấu hình NAT: Router B#config terminal Router B(config)# ip nat inside source list interface Serial0/0/1 overload Thực NAT vào interface: Router B#config terminal Router B(config)#interface f0/1 Router B(config-if)#ip nat inside Router B(config-if)#exit Router B(config)#interface s0/0/1 Router B(config-if)#ip nat outside Router B(config-if)#exit Cấu hình Interface Tunel • Router A Router A#config terminal Router A(config)#interface Tunnel0 Router A(config-if)#tunnel mode gre ip Router A(config-if)#ip address 172.16.100.2 255.255.255.248 Router A(config-if)#tunnel source Serial0/0/1 Router A(config-if)#tunnel destination 209.165.200.226 • Router B Router B#config terminal Router B(config)#interface Tunnel0 Router B(config-if)#tunnel mode gre ip Router B(config-if)#ip address 172.16.100.1 255.255.255.248 Router B(config-if)#tunnel source Serial0/0/1 Router B(config-if)#tunnel destination 209.165.200.242 Đến đây, ta ping, hay trao đổi tệp tin từ máy Lan A (chi nhánh A – TP Đà Nẵng) đến máy Lan B (chi nhánh B – TP Hồ Chí Minh) Cấu hình VPN hồn tất TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt Kỹ thuật mạng riêng ảo VPN - Th.s Trần Công Hùng Hướng dẫn thực hành CCNA++ - VDC Training, NXB Đà Nẵng Tài liệu tiếng Anh Virtual Private Networks 2nd Edition - Charlie Scott, Paul Wolfe, Mike Erwin SSL VPN - Joseph Steinberg, Timothy Speed Internet www.quantrimang.com.vn www.lab.vdctraining.com www.9tut.com ... VPN I Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng ( Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng. .. qua NAT ISP Router cấu hình để định tuyến cho tất địa IP Public sử dụng II Quá trình tiến hành cấu hình Site–to–Site VPN: Kết nối Console vào thiết bị thực cấu hình: Cấu hình hostname cho Router:... tâm đến hạ tầng mạng có đặc điểm “ảo” khác VPN Các thiết bị phần cứng mạng trở nên tàng hình với người dùng thiết bị mạng VPN Chính q trình tạo đường hầm, kết nối hình thành nên mạng riêng ảo khơng