Tìm hiểu giải pháp SSL cho mạng riêng ảo

Những dịch vụ kết nối mạng diện rộng như thế đã đem đến những lợi ích rõ ràng như tốc độ, an toàn thông tin và hiệu quả thực thi công việc, tuy nhiên việc duy trì những mạng diện rộng nh

MỤC LỤC

LỜI MỞ ĐẦU 3

DANH MỤC CÁC THUẬT NGỬ VIẾT TĂT 5

DANH MỤC CÁC HÌNH ẢNH 6

INTERNET VÀ AN TOÀN THÔNG TIN TRÊN INTERNET 8

1.1.SỰ PHÁT TRIỂN CỦA MẠNG INTERNET 8

1.2.AN TÒAN THÔNG TIN TRÊN INTERNET 9

1.2.1.Spoofing 10

1.2.2.Kỹ thuật Session hijacking : 11

1.2.3 Kỹ thuật Sniffing : 12

1.2.3.Kỹ thuật Man-in-the-midle : 12

1.3.CÁC GIẢI PHÁP 13

1.3.1 Kênh thuê riêng (Leased Line) 13

1.3.2.Mạng riêng ảo ( VPN) 15

TỔNG QUAN VỀ MẠNG RIÊNG ẢO 18

2.1.ĐỊNH NGHĨA VPN 18

2.2.LỊCH SỬ PHÁT TRIỂN CỦA VPN 20

2.3.CHỨC NĂNG VÀ ƯU ĐIỂM VPN 21

2.3.1Chức năng 21

2.3.2Ưu điểm 21

a)Tiết kiệm chi phí 22

b)Tính linh hoạt 22

c)Khả năng mở rộng 23

d)Giảm thiểu các hỗ trợ kỹ thuật 23

e)Giảm thiểu các yêu cầu về thiết bị 23

f)Đáp ứng các nhu cầu thương mại 23

2.4PHÂN LOẠI MẠNG VPN 24

2.4.1Mạng VPN truy nhập từ xa 24

2.4.2Mạng VPN cục bộ 25

2.4.3Mạng VPN mở rộng 27

GIẢI PHÁP SSL CHO MẠNG RIÊNG ẢO 29

3.1GIAO THỨC SSL 29

3.2GIỚI THIỆU SSL VPN 42

3.3ƯU ĐIỂM CỦA DỊCH VỤ SSL VPN 42

3.4ĐƯỜNG HẦM TRONG SSL VPN 43

3.6.1Đuờng hầm an toàn 43

3.6.2SSL VPN Tunnel Client 45

3.6.3Thiết lập kết nối mạng qua SSL 46

3.6CÁCH LÀM VIỆC CỦA SSL VPN 48

3.6.1Với lưu lượng Non-Web qua SSL 48

KẾT LUẬN 55

TÀI LIỆU THAM KHẢO 57

và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu.

Cho đến gần đây, ứng dụng của những kênh truyền dẫn thông tin thuê riêng

là giải pháp cơ bản cho kết nối mạng diện rộng trên phạm vi khu vực và thế giới.

Đã giúp các công ty mở rộng mạng cục bộ ra nhiều khu vực địa lý khác nhau Những dịch vụ kết nối mạng diện rộng như thế đã đem đến những lợi ích rõ ràng như tốc độ, an toàn thông tin và hiệu quả thực thi công việc, tuy nhiên việc duy trì những mạng diện rộng như thế, nhất là khi ứng dụng leased lines, có chi phí khá đắt đỏ và chi phí này thường tăng lên cùng với sự gia tăng khoảng cách địa lý giữa các văn phòng công ty.

Cùng với sự phổ cập ngày càng cao của Internet, doanh nghiệp dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có Đầu tiên là intranets, đây là những sites được bảo vệ bằng password và sử dụng trong phạm vi công ty Còn bây giờ nhiều doanh nghiệp đang thiết lập dịch vụ VPN nhằm thoả mãn nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn phòng cách xa về địa lý.

Bên cạnh đó, nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn trong một tổ chức, công ty dẫn đến nhu cầu về các giải pháp cho mạng riêng ảo Thêm vào đó, khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh nghiệp công ty có nhiều chi nhánh và sự phát triển của lượng nhân viên di động cũng làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty.

Secure Sockets Layer (SSL) VPN là một trong những công nghệ nổi trội, cung cấp khả năng truy cập từ xa, chức năng SSL được sử dụng trong các trình duyệt web hiện đại ngày nay SSL VPN cho phép người dùng có thể sự dụng bất kỳ

đó, công nghệ SSL VPN hứa hẹn cải tiến năng suất và cải thiện tính sẵn sàng, cũng như giảm chi phí đầu tư cho IT , các phần mền VPN client và chi phí hổ trợ.

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế.

Với đề tài: “Tìm hiểu giải pháp SSL cho mạng riêng ảo” trong Đồ án

chuyên ngành, em hy vọng nó có thể góp phần tìm hiểu về Giao thức SSL và ứng dụng trong công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN.

Nội dung tìm hiểu gồm có 3 chương lần lượt trình bày các vấn đề cơ bản nhất của giải pháp VPN nói chung và SSL VPN nói riêng.

Chương I : Trình bày tổng quan về quá trình phát triển và những nguy cơ về

an tòan thông tin trên Internet và qua đó đưa ra các giải pháp nhằm khắc phục.

Chương II : Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ đó

làm cơ sở để phân loại các mạng VPN, đưa ra các thuận lợi và khó khăn khi sử dụng các loại hình VPN đó.

Chương III: Đây là chương trọng tâm giới thiệu về giao thức SSL và giải

pháp SSL VPN Các vấn đề lịch sử hình thành và phát triển, đặc điểm cấu trúc của giao thức SSL Từ đó tìm hiểu nguyên tắc hoạt động giải pháp SSL VPN bao gồm :

cơ chế làm việc và các chức năng của giải pháp.

Do những hạn chế về kiến thức và thời gian nội dung của đề tài không thể tránh khỏi nhiều thiếu sót Mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn.

Em xin chân thành cám ơn Th.s Nguyễn Thanh Trung đã tận tình hướng dẫn

em hòan thành một cách tốt nhất đề tài.

Đà Nẵng, Ngày 19 tháng 11 năm 2010 Sinh viên : Lê Nguyễn Quang Minh

DANH MỤC CÁC THUẬT NGỬ VIẾT TĂT

[Chương I]

[Chương II]

[Chương III]

Hình 1.5 : Kết nối kênh thuê riêng đến nhà cung cầp dịch vụ

Hình 1.6 : Mô hình mạng riêng ảo VPN

Hình 2.1 : Mô hình VPN

Hình 2.2 : Mô hình mạng VPN truy nhập từ xa

Hình 2.3 : Mô hình mạng VPN cục bộ

Hình 2.4 : Mô hình mạng VPN mở rộng

Hình 3.1 : Cấu trúc của SSL và giao thức SSL

Bảng 3.2 : Các cổng được gán cho các giao thức ứng dụng chạy trên SSLHình 3.3 : Các bước SSL Record Protocol

Hình 3.4: Quá trình tạo liên kết SSL

Hình 3.5 : Mô hình hệ thống SSL VPN

Hình 3.6 : Đường hầm trên Internet

Hình 3.7 : Full Tunneling

Hình 3.8 : Slipt Tunneling

Hình 3.9 : Công nghệ Revese Proxy

Hình 3.10 : Giao diện truy cập SSL VPN trên nền web

Hình 3.11 : Giao diện truy cập tập tin

Hình 3.11 : Truy cập từ xa đến ổ cứng mạng có giao diện giông với FTP

Hình 3.12 : SSH đến hệ thống máy chủ trên nền Java Applet

Hình 3.13 : Telnet đến hệ thống máy chủ trên nền Java Applet

Hình 3.14 : Sử dụng máy in trong mạng nội bộ

Hình 3.15 : Dịch vụ Mail Outlook

Hình 3.16 : Terminal Server Client với ActiveX

Hình 3.17 : Kết nối đến Server Unix với Java Applet

CHƯƠNG I INTERNET VÀ AN TOÀN THÔNG TIN TRÊN INTERNET

1.1 SỰ PHÁT TRIỂN CỦA MẠNG INTERNET

Internet là một trong những thành tựu công nghệ lớn nhất của thế kỷ XX Bắtđầu như một mạng đơn giản kết nối bốn máy tính nằm rải rác khắp Hoa Kỳ, Internet

đã trở thành mạng dữ liệu công cộng lớn nhất thế giới, kết nối các vùng địa lý, cácdân tộc ở mọi lứa tuổi, quốc tịch và lối sống Đến nay, nó đã trở thành một phầnquan trọng không thể thiếu cho các cá nhân sử dụng máy tính gia đình kết nối vàlàm việc để trao đổi thông tin Ngày nay mọi người có thể sử dụng Internet để liênlạc, hội thảo, mua bán cũng như ký kết các hợp đồng… Internet đã trở thành mộtmạng lưới thương mại, cung cấp các hình thức mới cho việc liên lạc của các doanhnghiệp, với đối tác kinh doanh, các chi nhánh cũng như khách hàng

Ngoài những thành tựu mà Internet đạt được, nó cũng còn những khó khăncho người dùng Internet không có một cơ quan điều hành trung tâm, để đảm bảorằng người dùng thực hiện theo một quy trình cụ thể Ví dụ: Một số tổ chức quản lýnhững khía cạnh khác nhau của Internet Internet Society (ISOC) giúp thúc đẩy cácchính sách và kết nối toàn cầu của Internet, trong khi nhiệm vụ của InternetEngineering Task Force (IETF) là đưa ra tiêu chuẩn, tài liệu có ảnh hưởng đến việcthiết kế, sử dụng và quản lý Internet World Wide Web Consortium (W3C) tậptrung vào thiết lập tiêu chuẩn cho các trang web và tương tác với IETF trong việcthực hiện Phụ trách việc quản lý “địa chỉ” và “ cách đặt tên “ cho các thành phầnthực thể trên Internet là rất quan trọng trong việc quản lý, và nhiệm vụ này đượcchia sẻ bởi Network Solutions và Internet Assigned Number Authority (IANA)

Internet là một tập hợp khá lỏng lẻo của các mạng lưới và làm việc trên mộtmột nguyên tắc chung nhất quán theo những quy tắc và giao thức, Transfer ControlProtocol/Internet Protocal (TCP/IP) Các giao thức này là nền tảng quan trọng củaInternet, được phát triển trong một môi trường mở giữa các chuyên gia dưới sự chỉdẫn của Internet Architecture Board (IAB), dưới sự quản lý của IETF, và một nhóm

đặc biệt của Internet Research Task Force(IRTF) Mặc dù có sự xuất hiện của một

số giao thức khác nhưng TCP/IP vẫn được chọn để mở rộng và phát triển, cả trong

và giữa các doanh nghiệp cũng như cho các mạng công cộng

Sự phát triển theo cấp số nhân dường như không bao giờ kết thúc củaInternet và đây cũng là bằng chứng chứng minh cho sự phát triển cũng như sự phổbiến và linh hoạt của Internet

Hình 1.1 : Hệ thống kết nối Internet từ 1969 đến 2006

Từ con số 4 máy tính trong phòng thí nghiệm được kết nối mạng với nhau

năm 1969 lên hơn 440 triệu máy tính năm 2006Tại thời điểm hiện nay, khi mà công nghệ Internet ngày càng được nâng cao,doanh nghiệp có thể bỏ qua một bên các chi phí cho kết nối riêng lẻ bằng cách tậptrung vào đầu tư cho mạng Internet

Internet cung cấp các kết nối trên phạm vi rộng với chi phí thấp Các kết nốinày có nhiểu sự lựa chọn, từ kết nối tốc độ cao đến vài Mb/s để kết nối 2 hay nhiềuđiểm, hoặc các kết nối qua đường dây điện thoại bình thường với tốc độ 9600 đến28800(b/s)

1.2. AN TÒAN THÔNG TIN TRÊN INTERNET

Ngoài những thành công của nó, Internet không phải là không có nhữngkhuyết điểm Theo nhiều cách , Internet đã trở thành nạn nhân của chính nó Ví dụ:băng thông trên các đường truyền tải Internet của các nhà cung cấp dịch vụ không

như các ứng dụng trong vài năm qua Điều đó, đả làm xuất hiện những lo ngại vềtính tin cậy của Internet Mất kết nối và mất mát thông tin đã xảy ra, nhưng nhữngcải tiến về thiết bị và kết nối đang dần khắc phục những sự cố đó.

Một mối quan tâm liên quan là khả năng xử lý truyền thông đa phương tiện,đặc biệt là thời gian thực Nói chung, việc chậm trể trong truyền thông đa phươngtiện trên Internet làm cho việc truyền thông với thời gian thực trở nên khó khăn ,nhưng các nhà cung cấp dịch vụ mạng đã nổ lực cải thiện đáng kể chất lượng củadịch vụ

Cuối cùng vấn đề được đặt ra khi truyển tải thông tin trên Internet là an ninh

và bảo mật Phần lớn các dữ liệu được truyền trên Internet dưới dạng mã hóa nhưngvẫn có thể bị tấn công và khai thác các dữ liệu đó bởi một người dùng khác Đây làvấn đề nhức nhối hiện nay của an ninh Internet nói chung và truyền tải dữ liệu nóiriêng trên môi trường Internet

Trong môi trường mạng, sự an toàn dữ liệu và thông tin liên lạc phụ thuộcvào 3 đặc tính sau: chứng thực, bảo mật, và toàn vẹn dữ liệu Tuy nhiên, không nhưthiết kế và dự tính ban đầu,giao thức TCP/IP và các mạng sử dụng giao thức nàynhư Internet, ngày càng gặp nhiều khó khăn trong việc đảm bảo an toàn dữ liệu.Trong trường hợp thiếu giải pháp an ninh thích hợp, việc truyền tải dữ liệu trênmạng có thể gặp phải các mối đe dọa

Các phương pháp tấn công trên mạng phổ biến như spoofing, sesionhijacking, sniffing, và man-in-the-middle

1.2.1 Spoofing

Giao thức cơ bản cho việc gửi dữ liệu qua mạng Internet và các mạng khác là

IP Các header của 1 gói tin IP ngoài các thứ khác còn có địa chỉ nguồn và địa chỉđích Địa chỉ nguồn là nơi mà các gói tin được gửi đi Bằng cách giả mạo cácheader với địa chỉ của các nạn nhân khác nhau, kẻ tấn công

Cũng giống như các mạng khác, mạng IP sử dụng địa chỉ số cho các thiết bị.Địa chỉ nguồn và người nhận chứa trong mỗi gói dữ liệu truyền trên mạng.Spoofing là cách kẻ tấn công sử dụng địa chỉ số của nạn nhân và giả mạo nhằm mụcđích xâm nhập vào mạng hoặc thu thập thông tin …

Hình 1.2 : Hình thức tấn công SpoofingCác loại tấn công Spoofing là :

1.2.2 Kỹ thuật Session hijacking :

Đối với kỹ thuật này, thay vì cố gắng khởi tạo một session làm việc bằngcách spoofing, hacker sẽ cố gắng chiếm một kết nối sẵn có giữa hai máy tính Đểlàm được điều này, hacker buộc phải nắm quyền điều khiển thiết bị mạng trongmạng LAN đó, có thể là firewall hoặc thiết bị switch Từ đó, sẽ chuyển luồng dữliệu đến máy nào đó đến máy của mình

Hình 1.3 : Tấn công Session Hijacking

A MUỐN GỬI DỮ LIỆU CHO B

ĐỔI ĐỊA CHỈ ĐÍCH GIẢI MÃ GÓI TIN VÀ CHUYỂN GÓÍ TIN

1.2.3 Kỹ thuật Sniffing :

Hay còn gọi là kỹ thuật nghe trộm Hacker có thể sử dụng các phần mềmnghe trộm và bắt gói tin như ethereal, ettercap…để ghi lại tất cả các gói tin đượctruyền đi trong mạng LAN

Hình 1.4 : Tấn công Sniffing

1.2.3 Kỹ thuật Man-in-the-midle :

Cho đến nay việc sử dụng các kỹ thuật mã hóa và xác thực dữ liệu có thểđược xem như là một giải pháp cho những nguy cơ về bảo mật Thế nhưng quátrình mã hóa đòi hỏi phải trao đổi một số quy ước trước khi tiến hành mã hóa dữliệu ở hai bên Nếu như việc truyền các quy ước mã hóa này không tuân theo cácquy tắc bảo mật và có thể bị hacker sử dụng các kỹ thuật kể trên bắt được thì có thểlàm thất bại toàn bộ mục đích của hệ thống Bởi vì, sau khi bắt được các thông tinquy ước mã hóa này, hacker có thể nhanh chóng tạo các khóa riêng cho mình trongtiến trình, vì thế trong khi người sử dụng vẫn tin rằng minh đang sử dụng một khóariêng của mình thì trên thực tế người đó đang sử dụng một khóa đã bị tấn công

1.3 CÁC GIẢI PHÁP

1.3.1 .Kênh thuê riêng (Leased Line)

Leased-Line, hay còn gọi là kênh thuê riêng, là một hình thức kết nối trực

tiếp giữa các node mạng sử dụng kênh truyền dẫn số liệu thuê riêng Đôi khi nó cònđược gọi là ‘Private Circuit’ hoặc ‘Data Line’ ở Anh hay ‘CDN’( Cricuito DirettoNumerico) ở Italia

Kênh thuê riêng được bắt đầu sử dụng vào những năm đầu của thập niên 70,với sự chuyển đổi mạng xương sống Bell từ mạng tín hiệu tương tự sang tín hiệu số.Công ty AT&T đã cung cấp dịch vụ Dataphone và triển khai các hệ thống cơ sở hạtầng ISDN và đường dây T1 để bắt đầu phục vụ nhu cầu khách hàng

Hình 1.5 Kết nối kênh thuê riêng đến nhà cung cầp dịch vụKênh thuê riêng được sử dụng để kết nối các máy tính lớn với thiết bị đầucuối và kết nối từ xa, thông qua IBM Systems Network Architecture (1974) hayDECnet(1975).Với sự phát triển và mở rộng của các dịch vụ kỹ thuật số những năm

80, kênh thuê riêng đã sử dụng mạng Frame Relay hay ATM để kết nối các cơ sở.Đường dây truyền dữ liệu được tăng từ T1 lên đến T3.Trong những năm 1990 với

sự xuất hiện và tiến bộ của Internet, kênh thuê riêng được sử dụng để kết nối cácđiểm ISP Đến đầu thế kỷ 21, với sự phát triển bùng nổ của mạng Internet và hệthống rộng lớn các đường dây cáp quang, tốc độ của kênh thuê riêng ngày càngđược cải thiện hơn

Kênh truyền dẫn số liệu thông thường cung cấp cho người sử dụng sự lựa

thức khác nhau trên kênh thuê riêng như PPP,HDLC, LAPB v.v…Leased Line khácvới đường PSTN là không sử dụng số điện thoại, nó là một kết nối thường trực vàluôn luôn sẵn sàng Leased Line có thể sử dụng cho điện thoại, truyền dữ liệu hoặccác dịch vụ Internet

Về mặt hình thức, kênh thuê riêng có thể là các đường cáp đồng trục kết nốitrực tiếp giữa hai điểm hoặc có thể bao gồm các tuyến cáp đồng và các mạng truyềndẫn khác nhau Khi kênh thuê riêng phải đi qua các mạng khác nhau, các quy định

về các giao tiếp với mạng truyền dẫn sẽ được quy định bởi nhà cung cấp dịch vụ

Do đó, các thiết bị đầu cuối CSU /DSU cần thiết để kết nối kênh thuê riêng sẽ phụthuộc vào nhà cung cấp dịch vụ Một số các chuẩn kết nối chính được sử dụng làHDSL, G703 v.v…

Khi sử dụng kênh thuê riêng, người sử dụng cần thiết phải có đủ các giaotiếp trên các bộ định tuyến sao cho có một giao tiếp kết nối WAN cho mỗi kết nốikênh thuê riêng tại mỗi node Điều đó có nghĩa là, tại điểm node có kết nối kênhthuê riêng đến 10 điểm khác nhất thiết phải có đủ 10 giao tiếp WAN để phục vụ chocác kết nối kênh thuê riêng Đây là một vấn đề hạn chế về đầu tư thiết bị ban đầu,không linh hoạt trong mở rộng phát triển, phức tạp trong quản lý, đặc biệt là chi phíthuê kênh lớn đối với các yêu cầu kết nối xa về khoảng cách địa lý

Giao thức sử dụng với leased-line là HDLC, PPP, LAPB

• HDLC: là giao thức được sử dụng với họ bộ định tuyến Cisco

hay nói cách khác chỉ có thể sử dụng HDLC khi cả hai phía của kếtnối leased-line đều là bộ định tuyến Cisco

• PPP: là giao thức chuẩn quốc tế, tương thích với tất cả các bộ

định tuyến của các nhà sản xuất khác nhau Khi đấu nối kênh line giữa một phía là thiết bị của Cisco và một phía là thiết bị củahãng thứ ba thì nhất thiết phải dùng giao thức đấu nối này PPP làgiao thức lớp 2 cho phép nhiều giao thức mạng khác nhau có thể chạytrên nó, do vậy nó được sử dụng phổ biến

leased-• LAPB: là giao thức truyền thông lớp 2 tương tự như giao thức

mạng X.25 với đầy đủ các thủ tục, quá trình kiểm soát truyền dẫn,phát triển và sửa lỗi LAPB ít được sử dụng

Dịch vụ Leased Line thường được sử dụng bởi các công ty có chi nhánh ở xanhau về mặt địa lý Chi phí cho một kết nối Leased Line thường rất cao và bị ảnhhưởng bởi 2 yếu tố là khoảng cách và tốc độ của đường truyền

1.3.2 Mạng riêng ảo ( VPN)

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình chođến công nghệ, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế đểkết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng mộtcách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng

đó đang dùng Để làm được điều này người ta sử dụng thiết bị là router để kết nốicác LAN và WAN với nhau Các máy tính kết nối vào Internet thông qua nhà cungcấp dịch vụ ISP, cần một giao thức chung là TCP/IP Điều mà kỹ thuật còn tiếp tụcgặp phải và cần giải quyết là năng lực truyền thông của các mạng viễn thông côngcộng

Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn

y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet cóphạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khókhăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch

vụ

Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêucầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đóchính là mô hình mạng riêng ảo Với mô hình mới này, người ta không phải đầu tưthêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảmbảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này VPN chophép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh cóthể kết nối an toàn đến máy chủ nội bộ bằng cơ sở hạ tầng là mạng công cộng Nó

có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối táckinh doanh với nhau trong môi trường truyền thông rộng lớn Trong nhiều trườnghợp VPN cũng giống như WAN, tuy nhiên đặc tính quyết định của VPN là chúng

có thể dùng mạng công cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệmhơn nhiều

Giải pháp mạng riêng ảo được thiết kế cho những tổ chức có xu hướng tăngcường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tàinguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chiphí và thời gian.

Hình 1.6 : Mô hình mạng riêng ảo VPN

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạngLAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuêriêng, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một

tổ chức với địa điểm hoặc người sử dụng ở xa

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và nhữngmạng leased-line.Những lợi ích đầu tiên bao gồm:

khi truyền tới 20-40% so với những mạng thuộc mạng leased-line vàgiảm việc chi phí truy cập từ xa từ 60-80%

có tính linh hoạt và có thể nâng cấp kiến trúc mạng đơn giản hơn lànhững mạng trước đây, bằng cách đó có thể đưa vào hoạt động kinhdoanh nhanh chóng và tiết kiệm chi phí một cách hiệu quả cho việc mởrộng kết nối VPN có thể dễ dàng thiết lập kết nối hoặc ngắt kết nối từ xacủa những văn phòng,có vị trí khắp nơi trên thế giới, những người dùng

thiết bị di động, những người hoạt động kinh doanh bên ngoài như yêucầu kinh doanh đòi hỏi

tầng, con người

với những người không có quyền truy cập và cho phép truy cập đối vớinhững người dùng có quyền truy cập

• Hỗ trợ các giao thức mạn thông dụng nhất hiện nay nhưTCP/IP

được mã hóa do đó các điạ chỉ bên trong mạng riêng được che giấu và chỉ

sử dụng các địa chỉ bên ngoài Internet

CHƯƠNG II TỔNG QUAN VỀ MẠNG RIÊNG ẢO

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN

là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnhtranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ củaInternet Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạngriêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN)

Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhàcung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường dâytrong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấpdịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Khách hàngcủa mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toànvẹn và bảo mật của dữ liệu truyền trên mạng Các mạng riêng xây dựng trên cácđường dây thuê thuộc dạng “trusted VPN”

Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật

dữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng côngcộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó đượcgiải mã dữ liệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyền trongmột đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn công có thểnhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữliệu đã được mật mã

Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sửdụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các sitecủa các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trênInternet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trênInternet

2.1. ĐỊNH NGHĨA VPN

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảomật giống như mạng cục bộ

Hình 2.1: Mô hình VPN Các thuật ngữ dùng trong VPN như sau:

Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một

kết nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứngvới nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm củamạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở

hạ tầng mạng giữa những điểm đầu cuối

Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị

truy cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi vìgiao thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độbảo mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phầncứng VPN

Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,

những trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dâydẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạonền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từngđược sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế màcông nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn Trong thờigian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làmcho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng vớinhững người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công tyđang sử dụng chung một mạng công cộng

2.2 LỊCH SỬ PHÁT TRIỂN CỦA VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắtnguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách cóhiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng(WAN) Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia

sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việcthông tin với nhau

Các mốc đánh dấu sự phát triển của VPN:

dịch vụ dây chuyên dùng cho các khách hang lớn Colisee có thể cungcấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ nàycăn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản

lý khác

tên riêng là mạng được định nghĩa bằng phần mềm SDN

Ibercom

cho một số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và

có thể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanhchóng dịch vụ này tại Mỹ

Telstra của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khuvục châu Á – Thái Bình Dương

công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN

• Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bốthành lập Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch

vụ quốc tế, trong đó có dịch vụ VPN

• Năm 1994, BT và MCI thành lập công ty hợp tác đầu tưConcert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Framerelay)…

• Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPNtoàn cầu (GVPNS).

thông Pháp (French Telecom) kết thành liên minh Global One

VPN, Công nghệ này có mặt trên khắp các tạp chí khoa học côngnghệ, các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầngmạng Internet công cộng đã mang lại một khả năng mới, một cái nhìnmới cho VPN Công nghệ VPN là giải pháp thông tin tối ưu cho cáccông ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn Ngày nay,với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngàymột hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch

vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

2.3 CHỨC NĂNG VÀ ƯU ĐIỂM VPN

2.3.1 Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực, tính toàn vẹn và tínhbảo mật

• Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả

hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang traođổi thông tin với người mình mong muốn chứ không phải là mộtngười khác

• Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm

bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

• Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước

khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu.Bằng cách làm như vậy, không một ai có thể truy nhập thông tin màkhông được phép Thậm chí nếu có lấy được thì cũng không đọcđược

2.3.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPNkhông chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ngườidùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai

công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạngWAN riêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệmchi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) vàmột số ưu điểm khác

a) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chiphí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ,

do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạngđường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Cònđối với việc truy cập từ xa giảm từ 60 tới 80%

Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụngđường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN

(dặm)

Chi phí choT1

Cho phí choInternet VPN

được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung cấpdịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nốimodem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng côngcộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động Một

cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sửdụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu.Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băngthông lớn hơn thì nó có thể được nâng cấp dễ dàng

d) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP củaISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn

hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảmnhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đốivới người sử dụng ngày càng giảm

e) Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay

số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việcbảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầucuối và các máy chủ truy cập từ xa Một doanh nghiệp có thể thiết lập các thiết bịkhách hàng cho một môi trường đơn, như môi trường T1, với phần còn lại của kếtnối được thực hiện bởi ISP Bộ phận T1 có thể làm việc thiết lập kết nối WAN vàduy trì bằng cách thay đổi dải modem và các mạch nhân của Frame Relay bằng mộtkết nối diện rộng đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa,kết nối LAN-LAN và lưu lượng Internet cùng một lúc

f) Đáp ứng các nhu cầu thương mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần đểđảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sảnphẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm làchuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kếthừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản

2.4 PHÂN LOẠI MẠNG VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bảnsau:

từ xa hoặc di động vào mạng nội bộ của công ty

các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạngInternet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thôngqua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duytrì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động,những người sử dụng di động, những chi nhánh và những bạn hàng của công ty.Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách

sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thườngyêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng

Hình 2.2 : Mô hình mạng VPN truy nhập từ xa

• Các ưu điểm của mạng VPN truy nhập từ xa so vớicác phương pháp truy nhập từ xa truyền thống như:

mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện

kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông quamạng Internet

hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa

công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

nhập từ xa vẫn còn những nhược điểm cố hữu đi cùngnhư:

QoS

phân phát không đến nơi hoặc mất gói

một cách đáng kể

2.4.2 Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chinhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệuđược phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấpnhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là mộtVPN Site- to- Site

Hình 2.3: Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPNbao gồm:

điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

những nơi xa

mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kếtngang cấp mới

sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệchuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

nhược điểm đi cùng như:

mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảomật dữ liệu và mức độ chất lượng dịch vụ (QoS)

vẫn còn khá cao

đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảothời gian thực là thách thức lớn trong môi trường Internet

2.4.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạngVPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mởrộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cầnthiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và cácnhà cung cấp…

Hình 2.4: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa cáckhách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạtầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn đượcbảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhaugiữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạngđược công nhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

so với mạng truyền thống

với mạng đang hoạt động

mạng Internet nên có nhiều cơ hội trong việc cung cấpdịch vụ và chọn lựa giải pháp phù hợp với các nhu cầucủa mỗi công ty hơn

vụ Internet bảo trì, nên giảm được số lượng nhân viên

kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vậnhành của toàn mạng.

VPN mở rộng cũng còn những nhược điểm đi cùng như:

truyền qua mạng công cộng vẫn tồn tại

phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảmbảo thời gian thực, là thách thức lớn trong môi trườngInternet

của công ty

CHƯƠNG III GIẢI PHÁP SSL CHO MẠNG RIÊNG ẢO3.1 GIAO THỨC SSL

Hiển nhiên từ tên SSL VPN, giao thức Secure Sockets Layer là một yếu tốquan trọng trong công nghệ SSL VPN Như vậy, sự hiểu biết cơ bản của SSL sẽgiúp chúng ta hiểu được hoạt động của SSL VPN

có bất kỳ kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được dữliệu có ai đó xâm nhập hay không Để bảo vệ những thông tin mật trên Internet haybất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được mộtgiao dịch an toàn :

ở đầu kia của kết nối Cũng như vậy, các server cũng cần kiểm tra tínhxác thực của người sữ dụng

thứ ba Để loại trừ việc nghe trộm thông tin “nhạy cảm” khi nó đượctruyền qua Internet, dữ liệu phải được mã hóa để không bị đọc bởinhững người khác ngoài người gửi và người nhận

phải thể hiện chính xác thông tin gốc gửi đến

Lợi ích khi sử dụng giao thức SSL