VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leasedline, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối pointtopoint trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã. Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel) Mô hình mạng riêng ảo (VPN). II. Lợi ích của VPN: VPN ra đời từ nhu cầu kết nối giữa các công ty mẹ với các công ty con và chi nhánh. Chính vì vậy, cho tới nay thì các công ty, tổ chức chính là đối tượng chính sử dụng VPN. Đặc biệt là các công ty có nhu cầu cao về việc trao đổi thông tin, dữ liệu giữa các văn phòng với nhau nhưng lại không đòi hỏi yêu cầu quá cao về tính bảo mật, cũng như dữ liệu.Vì vậy đối với các doanh nghiệp, những lý do sau khiến mỗi đơn vị, tổ chức, công ty sử dụng VPN: • Giảm chi phí thường xuyên: Tiết kiệm 60% chi phí thuê đường truyền, cũng như là chi phí gọi đường dài của những văn phòng ở xa.Với những nhân viên di động thì việc đăng nhập vào mạng VPN chung của công ty thông qua các POP tại địa điểm đó. • Giảm chi phí đầu tư: So với việc phải đầu tư từ đầu như trước đây thì giờ đây mọi chi phí về máy chủ, đường truyền, bộ định tuyến, bộ chuyển mạch … Các công ty có thể thuê chúng từ các đơn vị cung cấp dịch vụ. Như vậy vừa giảm được chi phí đầu tư trang thiết bị. • Giảm chi phí duy trì nơi hệ thống và bảo trì: Thuận tiện cho việc nâng cấp hay bảo trì trong quá trình sử dụng vì hiện nay các công ty cung cấp dịch vụ sẽ chịu trách nhiệm bảo trì hệ thống họ cung cấp hoặc nâng cấp theo nhu cầu của khách hàng. • Truy cập mọi lúc mọi nơi: Mọi nhân viên có thể sử dụng hạ tầng,dịch vụ của bên cung cấp trong điều kiện cho phép để kết nối vào mạng VPN của công ty. Điều này đặc biệt quan trọng thời kỳ hiện nay, khi mà thông tin không chỉ còn được đánh giá bằng độ chính xác mà còn cả tính tức thời. III. Kiến trúc của VPN: Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính là Tunneling (đường hầm kết nối) và Secure services (các dịch vụ bảo mật cho kết nối đó). Tunneling chính là thành phần “Virtual” và Sercure services là thành phần “Private” của một mạng riêng ảo VPN (Virtual Private Network). 1. Đường hầm kết nối (Tunneling) Khác với việc thuê một đường truyền riêng các kết nối bằng việc sử dụng cách tạo đường hầm không liên tục, mà chỉ được xác lập khi có yêu cầu kết nối. Do vậy khi không còn được sử dụng các kết nối này sẽ được huỷ, giải phóng băng thông, tài nguyên mạng cho các yêu cầu khác. Điều này cho thấy một ưu điểm rất lớn của VPN so với việc thuê đường truyền riêng đó là sự linh hoạt. Cấu trúc logic của mạng được thiết lập dành cho thiết bị mạng tương ứng của mạng đó mà không cần quan tâm đến hạ tầng mạng hiện có là một đặc điểm “ảo” khác của VPN. Các thiết bị phần cứng của mạng đều trở nên tàng hình với người dùng và thiết bị của mạng VPN. Chính vì thế trong quá trình tạo ra đường hầm, những kết nối hình thành nên mạng riêng ảo không có cùng tính chất vật lý với những kết nối cố định trong mạng Lan thông thường. Tạo đường hầm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuối trên mạng. Các gói tin IP trước khi chuyển đi phải được đóng gói, mã hoá gói tin gốc và thêm IP header mới. Sau đó các gói tin sẽ được giải mã, tách bỏ phần tiêu đề tại gateway của điểm đến, trước khi được chuyển đến điểm đến đầu cuối. Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàn trong suốt với người sử dụng. Có hai loại đường hầm kết nối thường trực và tạm thời.Tính hiệu quả và tối ưu của một đường hầm kết nối thường trực là không cao.Do đó đường hầm tạm thời thường được sử dụng hơn vì tính linh động và hữu dụng hơn cho VPN. Có hai kiểu kết nối hình thành giữa hai đầu kết nối của mỗi đường hầm là Lan to Lan và Client to Lan. Lan to Lan: Kết nối Lan To Lan được hình thành giữa 2 văn phòng chi nhánh hoặc chi nhánh với công ty. Các nhân viên tại những văn phòng và chi nhánh đều có thể sử dụng đường hầm để trao đổi dữ liệu. Client To Lan: Kiểu kết nối Client To Lan dành cho các kết nối di động của các nhân viên ở xa đến công ty hay chi nhánh. Để thực hiện được điều này, các máy client phải chạy một phần mềm đặc biệt cho phép kết nối với gateway của công ty hay chinh nhánh. Khi kết nối này được thực hiện thì đã xác lập một đường hầm kết nối giữa công ty và nhân viên ở xa. 2. Dịch vụ bảo mật (secure services) Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhân viên ở xa mà không hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thì cũng như việc các ngân hàng chuyển tiền mà không có lực lượng bảo vệ vậy. Tất cả các dữ liệu sẽ không được bảo vệ, hoàn toàn có thể bị đánh cắp, thay đổi trên quá trình vận chuyển một cách dễ dàng. Chính vì vậy các cơ chế bảo mật cho VPN chính là xương sống của giải pháp này. Một mạng VPN cần cung cấp 4 chức năng bảo mật cho dữ liệu: • Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn quy định. • Điều khiển truy cập (Access control): hạn chế quyền từ những người dùng bất hợp pháp. • Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữ liệu trong quá trình vận chuyển trên mạng. • Tính toàn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi, được bảo toàn từ đầu gửi đến đầu nhận. Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data link) và lớp 3 (Network) trong mô hình 7 lớp OSI. Các dịch vụ bảo mật đều được triển khai tại các lớp thấp của mô hình OSI làm giảm sự tác động đến người dùng. Việc bảo mật có thể thực hiện tại các đầu cuối (end to end) hoặc giữa các nút (node to node). Bảo mật tại các điểm đầu cuối là hình thức bảo mật có được độ tin cậy cao, ví dụ như tại 2 máy tính đầu cuối. Tuy vậy nhưng hình thức bảo mật đầu cuối hay client to client lại có nhược điểm làm tăng sự phức tạp cho người dùng, khó khăn cho việc quản lý. Trái với bảo mật điểm đầu cuối, bảo mật tại các nút thân thiện hơn với người dùng cuối. Giảm số tác vụ có thể làm chậm hệ thống máy tính như mã hoá hay giải mã. Tuy nhiên việc bảo mật tại các nút lại yêu cầu mạng sau nó phải có độ tin cậy cao. Mỗi hình thức bảo mật đều có ưu điểm riêng, tuỳ theo từng yêu cầu của hệ thống cần xây dựng mà chọn hình thức phù hợp.
Trang 1Lời nói đầu
Hiện nay, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức,đáp ứng khá đầy đủ các nhu cầu của người sử dụng Internet đã được thiết kế đểkết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sử dụngmột cách tự do và nhanh chóng Để làm được điều này người ta sử dụng một hệthống các thiết bị định tuyến để kết nối các LAN và WAN với nhau Các máytính được kết nối vào Internet thông qua các nhà cung cấp dịch vụ ISP VớiInternet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnhvực và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên do Internet cóphạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rấtkhó khăn trong việc bảo mật và an toàn dữ liệu, cũng như việc quản lý dịch vụ
Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổbiến Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàngđến tận người dùng Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tàinguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn tàinguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên, việctruy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn, bảo mật
Để giải quyết vấn đề trên, nhiều doanh nghiệp đã chọn giải pháp mô hìnhmạng riêng ảo VPN Với mô hình mới này,người ta không phải đầu tư thêmnhiều về cơ sở hạ tầng mà các tính năng như bảo mật và dộ tin cậy vậy được bảođảm, đồng thời có thể quản lý riêng sự hoạt động của mạng này VPN cho phépngười sử dụng làm việc tại nhà riêng, trên đường đi hoặc các văn phòng chinhánh có thể kết nối an toàn tới máy chủ của tổ chức mình bằng cơ sở hạ tầngđược cung cấp bởi mạng công cộng
Nội dung báo cáo được trình bày theo 2 phần chính:
1 Tìm hiểu cơ bản về VPN
2 Cấu hình site to site VPN trên router Cisco, mô phỏng trên phần mềmCisco Packet Tracer
Trang 2Chương 1: Tổng quan về VPN
I Định nghĩa về VPN
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( PrivateNetwork) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạngriêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với cácsite (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụngkết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kếtnối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các sitehay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng côngcộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá
dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơigửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thểtạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi,chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép
nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệuđược mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đườngtruyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải
mã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Cácđường kết nối VPN thường được gọi là đường ống VPN (Tunnel)
Mô hình mạng riêng ảo (VPN)
Trang 3II Lợi ích của VPN:
VPN ra đời từ nhu cầu kết nối giữa các công ty mẹ với các công ty con vàchi nhánh Chính vì vậy, cho tới nay thì các công ty, tổ chức chính là đối tượngchính sử dụng VPN Đặc biệt là các công ty có nhu cầu cao về việc trao đổithông tin, dữ liệu giữa các văn phòng với nhau nhưng lại không đòi hỏi yêu cầuquá cao về tính bảo mật, cũng như dữ liệu.Vì vậy đối với các doanh nghiệp,những lý do sau khiến mỗi đơn vị, tổ chức, công ty sử dụng VPN:
Giảm chi phí thường xuyên:
Tiết kiệm 60% chi phí thuê đường truyền, cũng như là chi phí gọi đườngdài của những văn phòng ở xa.Với những nhân viên di động thì việc đăng nhậpvào mạng VPN chung của công ty thông qua các POP tại địa điểm đó
Giảm chi phí đầu tư:
So với việc phải đầu tư từ đầu như trước đây thì giờ đây mọi chi phí vềmáy chủ, đường truyền, bộ định tuyến, bộ chuyển mạch … Các công ty có thểthuê chúng từ các đơn vị cung cấp dịch vụ Như vậy vừa giảm được chi phí đầu
tư trang thiết bị
Giảm chi phí duy trì nơi hệ thống và bảo trì:
Thuận tiện cho việc nâng cấp hay bảo trì trong quá trình sử dụng vì hiệnnay các công ty cung cấp dịch vụ sẽ chịu trách nhiệm bảo trì hệ thống họ cungcấp hoặc nâng cấp theo nhu cầu của khách hàng
Truy cập mọi lúc mọi nơi:
Mọi nhân viên có thể sử dụng hạ tầng,dịch vụ của bên cung cấp trong điềukiện cho phép để kết nối vào mạng VPN của công ty Điều này đặc biệt quan
Trang 4trọng thời kỳ hiện nay, khi mà thông tin không chỉ còn được đánh giá bằng độchính xác mà còn cả tính tức thời.
III Kiến trúc của VPN:
Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính làTunneling (đường hầm kết nối) và Secure services (các dịch vụ bảo mật cho kếtnối đó) Tunneling chính là thành phần “Virtual” và Sercure services là thànhphần “Private” của một mạng riêng ảo VPN (Virtual Private Network)
1 Đường hầm kết nối (Tunneling)
Khác với việc thuê một đường truyền riêng các kết nối bằng việc sử dụngcách tạo đường hầm không liên tục, mà chỉ được xác lập khi có yêu cầu kết nối
Do vậy khi không còn được sử dụng các kết nối này sẽ được huỷ, giải phóngbăng thông, tài nguyên mạng cho các yêu cầu khác Điều này cho thấy một ưuđiểm rất lớn của VPN so với việc thuê đường truyền riêng đó là sự linh hoạt
Cấu trúc logic của mạng được thiết lập dành cho thiết bị mạng tương ứngcủa mạng đó mà không cần quan tâm đến hạ tầng mạng hiện có là một đặc điểm
“ảo” khác của VPN Các thiết bị phần cứng của mạng đều trở nên tàng hình vớingười dùng và thiết bị của mạng VPN Chính vì thế trong quá trình tạo ra đườnghầm, những kết nối hình thành nên mạng riêng ảo không có cùng tính chất vật lývới những kết nối cố định trong mạng Lan thông thường
Tạo đường hầm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuốitrên mạng Các gói tin IP trước khi chuyển đi phải được đóng gói, mã hoá gói tingốc và thêm IP header mới Sau đó các gói tin sẽ được giải mã, tách bỏ phần tiêu
đề tại gateway của điểm đến, trước khi được chuyển đến điểm đến đầu cuối
Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàntrong suốt với người sử dụng
Có hai loại đường hầm kết nối thường trực và tạm thời.Tính hiệu quả vàtối ưu của một đường hầm kết nối thường trực là không cao.Do đó đường hầmtạm thời thường được sử dụng hơn vì tính linh động và hữu dụng hơn cho VPN
Trang 5Có hai kiểu kết nối hình thành giữa hai đầu kết nối của mỗi đường hầm làLan to Lan và Client to Lan.
2 Dịch vụ bảo mật (secure services)
Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhânviên ở xa mà không hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thìcũng như việc các ngân hàng chuyển tiền mà không có lực lượng bảo vệ vậy.Tất cả các dữ liệu sẽ không được bảo vệ, hoàn toàn có thể bị đánh cắp, thay đổitrên quá trình vận chuyển một cách dễ dàng Chính vì vậy các cơ chế bảo mậtcho VPN chính là xương sống của giải pháp này
Một mạng VPN cần cung cấp 4 chức năng bảo mật cho dữ liệu:
Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn quy định
Điều khiển truy cập (Access control): hạn chế quyền từ những ngườidùng bất hợp pháp
Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữ liệutrong quá trình vận chuyển trên mạng
Tính toàn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi, đượcbảo toàn từ đầu gửi đến đầu nhận
Trang 6Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data link) và lớp 3(Network) trong mô hình 7 lớp OSI Các dịch vụ bảo mật đều được triển khai tạicác lớp thấp của mô hình OSI làm giảm sự tác động đến người dùng Việc bảomật có thể thực hiện tại các đầu cuối (end to end) hoặc giữa các nút (node tonode).
Bảo mật tại các điểm đầu cuối là hình thức bảo mật có được độ tin cậycao, ví dụ như tại 2 máy tính đầu cuối Tuy vậy nhưng hình thức bảo mật đầucuối hay client to client lại có nhược điểm làm tăng sự phức tạp cho người dùng,khó khăn cho việc quản lý
Trái với bảo mật điểm đầu cuối, bảo mật tại các nút thân thiện hơn vớingười dùng cuối Giảm số tác vụ có thể làm chậm hệ thống máy tính như mãhoá hay giải mã Tuy nhiên việc bảo mật tại các nút lại yêu cầu mạng sau nóphải có độ tin cậy cao Mỗi hình thức bảo mật đều có ưu điểm riêng, tuỳ theotừng yêu cầu của hệ thống cần xây dựng mà chọn hình thức phù hợp
IV Các giao thức trong VPN:
1 Ipsec
Mô hình IpsecInternet Security Protocol là một cấu trúc được khởi xướng và duy trì pháttriển bởi lực lượng chuyên trách về kỹ thuật liên mạng (IETF) nhằm cung cấp
Trang 7các dịch vụ bảo mật cho giao thức Ipv4 và Ipv6 Nó được xây dựng để phục vụcho các cấu trúc tầng trên cùng, đúng hơn là tập trung vào các thuật toán mã hoá
và phương pháp trao đổi các khoá Ipsec được thiết kế chạy trên ứng dụng đểbảo mật cho hệ thống mạng của chính nó Nâng cấp Ipsec chỉ có nghĩa là nângcấp tính năng bảo mật, các ứng dụng mạng hiện tại có thể tiếp tục sử dụng đểtruyền dữ liệu
Ipsec cung cấp ba phương thức bảo mật đó là :
➢Thuật toán mã hoá
➢Thuật toán xác thực
➢Quản lý khoá
Hai lợi ích chính bắt nguồn từ IPsec là các sản phẩm hoặc dịch vụ IPSectăng tính năng bảo mật bổ sung cũng như khả năng tương tác với các sản phẩmkhác IPSec tăng cường an ninh có nghĩa là xác thực toàn diện nhất và mạnh mẽnhất ,trao đổi khoá, và các thuật toán mã hóa , mạnh mẽ cho sử dụng trong thếgiới
Mặc dù IPSec vẫn còn trải qua thay đổi, nhiều nền tảng cơ bản đã đượcđông lạnh đủ cho các nhà cung cấp để hoàn thiện, kiểm tra, và phân phối các sảnphẩm VPN
IPSec được hỗ trợ hai kiểu mã hoá Để bảo vệ khối lượng của mỗi gói tin,trong khi các chế độ đường hầm mã hóa cả tiêu đề và khối lượng Một cách hợp
lý đủ các chế độ đường hầm an toàn hơn, vì nó bảo vệ danh tính của người gửi
và người nhận, cùng với một số lĩnh vực ẩn IP khác có thể cung cấp cho mộtngười trung gian thông tin hữu ích
Để Ipsec làm việc như mong đợi, tất cả các thiết bị phải chia sẻ một khoá.Mặc dù các giao thức được sử dụng để mã hóa dữ liệu là rất quan trọng vàothành công chung của hệ thống, rất nhiều công việc đã đi vào xác thực và traođổi khóa bằng người gửi và quá trình nhận.Tất nhiên nó được thực hiện chủ yếu
Trang 8thông qua giao thức ISAKMP / oakley và X 0,509 hệ thống chứng nhận kỹ thuật
số.
2 ESP( Encapsulating Security Payload )
Cấu trúc gói tin được đóng gói bằng giao thức ESPĐơn vị cơ bản của truyền trên internet là các gói tin IP, khi mà hầu hếttruyền thông đều dựa trên WAN và LAN IPSec xử lý mã hóa ngay ở cấp IP góitin sử dụng giao thức mới, Encapsulating Security Protocol (ESP) ESP đượcthiết kế để hỗ trợ hầu như bất kỳ loại mã hóa đối xứng, chẳng hạn như DEShoặc triple DES.Hiện nay, ESP dựa trên tối thiểu 56-bit DES ESP cũng hỗ trợmột số xác thực, một phần chồng chéo với các giao thức Ipsec,AH: xác thựcheader.Thông thường ESP có thể được sử dụng bên trong gói tin IP khác, đểESP có thể được vận chuyển qua các thường xuyên Thay vì TCP bình thườnghoặc chỉ định gói tin UDP, các thông tin tiêu đề sẽ tuyên bố tải trọng của gói tin
là ESP được thay thế Bởi vì nó được đóng gói trong phương thức này, ESP cóthể được vận chuyển qua các mạng và là ngay lập tức tương thích ngược vớiphần lớn các phần cứng được sử dụng để mạng đường sang ngày khác
Trang 93 AH( Authentication header)
Mô hình giao thức AH ESP bảo vệ việc dữ liệu bằng cách mã hóa, giao thức tiêu đề xác thực củaIPSec xử lý chỉ là xác thực, mà không cần bảo mật Giao thức AH có thể được
sử dụng kết hợp với ESP trong chế độ đường hầm hoặc là một đứng một mìnhxác thực Các giao thức xác thực tiêu đề xử lý đảm bảo các thông tin tiêu đề IPnơi ESP là có liên quan với tải để hỗ trợ một IPSec chức năng cơ bản yêu cầutriển khai của AH-chứa HMAC-SHA và HMAC-MD5 (HMAC là một hệ thốngxác thực đối xứng được hỗ trợ bởi hai mã băm này
Trang 104 Internet key exchange,ISAMKP/Oakley
Trao đổi thông báo giữa hai điểm cuối sử dụng giao thức IKEBất kỳ cuộc trò chuyện được bảo vệ giữa hai bên chỉ có ESP và AHkhông hoàn thành bức tranh cho một hệ thống IPSec, để giao tiếp an toàn cho cảhai bên phải có khả năng đàm phán phím để sử dụng trong khi thông tin liên lạcđang xảy ra cộng với cả hai bên cần phải có khả năng quyết định các thuật toán
mã hóa và xác thực để sử dụng trao đổi khóa internet (IKE) giao thức ( trướcđây gọi là ISAKMP / Oakley ) cung cấp xác thực của tất cả các đồng nghiệp xử
lý các chính sách an ninh mỗi một thực hiện và kiểm soát trao đổi các khoá
Trang 11Phát sinh khoá và thay đổi khoá rất quan trọng bởi vì thời gian càng lâu sốlượng dữ liệu có nguy cơ,dễ dàng hơn nó sẽ trở thành bản mã để đánh chặn hơn
để phân tích Đây là khái niệm hoàn hảo chuyển tiếp bằng cách thay đổi cáckhoá thường xuyên nó trở nên khó khăn cho ăn trộm mạng, phải thu thập lượnglớn dữ liệu nếu muốn tiếp tục crack các khoá
5 Iso X.509 v3( Digital Certificates)
Mô hình hệ thống xác thực sử dụng X.509v3 của RedhatOS
Mặc dù không phải là một giao thức bảo mật kiểu giống như ESP và AH,
hệ thống X.509 là quan trọng bởi vì nó cung cấp một mức độ kiểm soát truy cậpvới một phạm vi lớn hơn Bởi vì các hệ thống chứng chỉ X.509 được sử dụngvới các thiết bị cơ sở hạ tầng khóa công cộng khác và các phần mềm, các nhàcung cấp IPsec đã chọn để kết hợp chúng vào thiết bị của họ để xử lý xác thực.Quản lý giấy chứng nhận, như xử lý bởi một bên thứ ba đáng tin cậy, sẽ đóngmột vai trò lớn trong tương lai của bộ IPsec, và công việc đang được thực hiệnbởi các nhà cung cấp để có những sản phẩm của họ giao tiếp với các CAs(Certificate Authorities) để xác thực
6 LDAP( Lightweight directory access protocol)
Trang 12Ví dụ về server có sử dụng LDAP
Hệ thống X.509 là giao thức truy cập thư mục nhẹ, hoặc LDAP LDAP làmột dịch vụ X.500 nhỏ hơn, dễ dàng hơn và hợp lý để thực hiện, điều này hỗ trợcác giải pháp VPN khác nhau để cung cấp xác thực và quản lý giấy chứng nhận.Sản phẩm phần cứng như Vịnh mạng Extranet LDAP Đổi sử dụng cũng như một
số giải pháp phần mềm phổ biến, chẳng hạn như Windows NT và Novell Nóđang trở thành phổ biến hơn để sử dụng hệ thống xác thực của bên thứ ba đángtin cậy (như LDAP và hệ thống thư mục X.500) để truy cập từ xa đến một mạngcông ty (hoặc một VPN)
7 Radius
Hệ thống sử dụng Radius
Có hệ thống LDAP và X.500 cung cấp xác thực và quản lý giấy chứngnhận cho người sử dụng bất cứ nơi nào trên thế giới, Radius là một hệ thống xácthực sử dụng nhiều hơn cho tra cứu tổ chức trong nội bộ Hệ thống radius đượcphát triển như một tiêu chuẩn mở của công ty Livingstone _, và hiện chưa _ bởi
Trang 13IETF, nhưng đang được xem xét Gần đây, _ hệ thống Radius để tăng cường khảnăng client / server và nhà cung cấp cụ thể của của nó, cho phép các nhà sảnxuất để thích ứng sản phẩm và dịch vụ của họ sang các thị trường cụ thể Nhiềugiải pháp VPN hiện để hỗ trợ xác thực bằng cách sử dụng Radius hơn so với các
hệ thống chứng nhận công cộng khác , nhưng một làn sóng hỗ trợ cho hệ thốngX.500 cũng được tiến hành
8 PPTP(point to point tunneling protocol)
Giao thức PPTPGiao thức đường hầm point-to-point (PPTP) là một phần mở rộng củagiao thức PPP (point-to-point) Các dịch vụ đường hầm cung cấp nền tảng cho
IP PPP đã rất thích hợp để sửa đổi bởi vì chức năng của nó đã bắt chước hành
vi của những gì một VPN sẽ cần: một đường hầm điểm-điểm Tất cả những gìcòn thiếu là bảo mật PPTP, tuy nhiên, là nhiều hơn một kênh thông tin liên lạc
an toàn host-to-host, hơn là một Lan-to-Lan Mặc dù nó hoàn toàn có thể địnhtuyến lưu lượng qua một đường hầm PPTP, các giải pháp Ipsec là hộp số tốt hơncho loại ứng dụng