Đang tải... (xem toàn văn)
dịch vụ mạng riêng ảo VPN
Học Viện Công Nghệ Bưu Chính Viễn Thông Năm Học 2010 - 2011 Tổng Quan Viễn Thông Đề Tài Tìm Hiểu : Dịch Vụ Mạng Riêng Ảo VPN Giảng Viên : Dương Thị Thanh Tú Nhóm : Nguyễn Văn An Đỗ Hoàng Đạt Lê Hoàng Lương Trịnh Thế Thành Page Tổng quan Trong thập kỷ qua, Internet phát triển bùng nổ với tốc độ chóng mặt toàn giới số lượng kĩ thuật Và phát triển dấu hiệu dừng lại Sự phát triển không đơn giản số lượng lớn thành viên kết nối vào hệ thống Internet mà xâm nhập vào khía cạnh sống đại, vào hoạt động thương mại với quy mô lớn nhỏ khác Ban đầu, tổ chức quan sử dụng Internet để giới thiệu sản phẩm dịch vụ website Cùng với thời gian, phát triển thành thương mại điện tử, hoạt động kinh doanh, giao dịch thực qua mạng internet Cùng với phát triển vấn đề bảo mật, bảo vệ nguồn thông tin quan trọng lưu hệ thống coi trọng Hơn nữa, với phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải liệu chi nhánh khắp nơi tăng cao Người ta thấy giảm chi phí cách sử dụng mạng internet, từ tăng lợi nhuận tổ chức Vấn đề phát sinh tính bảo mật hiệu kinh việc truyền tải liệu quan mạng trung gian công công không an toàn Internet Để giải vấn đề này, giải pháp đưa mạng riêng ảo (VPNs) Chính điều động lực cho phát triển mạnh mẽ VPNs ngày Trong chương này, đề cập đến vấn đề kĩ thuật VPN I Giới thiệu VPNs: Page Một số khái niệm VPNs Đáp ứng nhu cầu truy cập từ xa vào mạng nội văn phòng để trao đổi liệu hay sử dụng ứng dụng ngày phổ biến thúc đẩy phát triển VPNs Tuy nhiên lý mạng Internet mạng công cộng chia sẻ truy cập ai, đâu thời gian nên xuất nhiều nguy thông tin trao đổi bị truy cập trái phép Mục đích VPNs đáp ứng yêu cầu bảo mật, khả truyền tải thông tin độ tin cậy mạng với chi phí bổ sung hợp lý Theo tiêu chuẩn định nghĩa Internet Engineering Task Force (IETF), VPN kết nối mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ công cộng mạng Internet hay IP backbones riêng Hiểu đơn giản, VPN phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) đảm bảo hiệu suất truyền tin hai thiết bị thông tin đầu cuối Sự mở rộng thực “đường hầm” logic (private logical "tunnels") Những đường hầm giúp trao đổi liệu điểm đầu cuối giao thức thông tin point-to-point Kĩ thuật đường hầm lõi VPNs Bên cạnh vấn đề bảo mật mốt số thông tin quan trọng, người ta sử dụng số phương pháp sau: Mã hóa (encryption): Là trình làm thay đổi định dạng liệu cho đọc người nhận cần gửi Để đọc thông tin gửi, người nhận liệu cần phải có xác khóa giải mã (decryption key) Trong phương pháp mã hóa truyền thống Page người gửi người nhận cần phải có khóa cho mã hóa giải mã Ngược lại, phương pháp mã hóa công cộng sử dụng khóa: Khóa chung (public key): tất người sử dụng trình mã hóa giải mã Mã chung riêng biệt cho thực thể khác nhau, khóa chung cung cấp cho thực thể muốn giao tiếp cách an toàn với thực thể Khóa riêng (private key): Khóa riêng cá nhân với thực thể, tăng phần bảo mật cho thông tin Với khóa mã chung thực thể sử dụng để mã hóa gửi liệu, nhiên có thực thể có khóa riêng phù hợp giải mã liệu nhận Trong giao tiếp, người gửi có khóa chung để mã hóa liêu người nhận sử dụng khóa riêng để giải mã liệu Có hai ứng dụng mã hóa sử dụng phổ biến Pretty Good Privacy (PGP) and Data Encryption Standard (DES) Xác nhận (authentication): Là trình để đảm bảo liệu gửi đến nơi cần nhận người nhận liệu nhận thông tin đầy đủ Một dạng đơn giản yêu cầu xác nhận username password để truy cập tài nguyên Một dạng phức tạp xác nhận dựa sở khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption) Ủy quyền (authorization): cho phép hay từ chối truy cập tài nguyên mạng sau người sử dụng xác nhận thành công Sự phát triển VPNs VPNs không thực kĩ thuật Trái với suy nghĩ nhiều người, mô hình VPNs phát triển khoảng 15 năm trải qua số hệ để trở thành Mô hình VPNs đề xuất AT&T cuối năm 80 biết đến với tên Software Defined Networks (SDNs) SDNs mạng WANs, kết nối dựa sở liệu mà phân loại có kết nối cục hay bên Dựa thông tin này, gói liệu định tuyến đường đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng Page Thế hệ thứ hai VPNs đến từ xuất X.25 kĩ thuật Integrated Services Digital Network (ISDN) đầu năm 90 Hai kĩ thuật cho phép truyền liệu gói qua mạng công cộng phổ biến với tốc độ nhanh Và giao thức X.25 ISDN xem nguồn gốc giao thức VPNs Tuy nhiên hạn chế tốc độ truyền tải thông tin để đáp ứng nhu cầu tăng người nên thời gian tồn ngắn Sau hệ thứ 2, VPN phát triển chậm xuất cell-based Frame Relay (FR) kĩ thuật Asynchronous Transfer Mode (ATM) Thế hệ thứ VPN dựa sở kĩ thuật ATM FR Hai kĩ thuật dựa mô hình chuyển mạch ảo (virtual circuit switching) Trong gói tin không chứa liệu nguồn hay địa gửi đến mà thay vào chúng mang trỏ đến mạch ảo nơi mà nguồn điểm đến xác định Với kĩ thuật tốc độ truyền liệu cải thiện (160 Mbps hơn) so với trước SDN, X.25 hay ISDN Với phát triển thương mại điện tử (e-commerce) thập niên 90, người sử dụng tổ chức muốn giải pháp có cấu hình dễ dàng, có khả quản lý, truy cập toàn cầu có tính bảo mật cao Thế hệ VPNs đáp ứng yêu cầu đề ra, cách sử dụng kỹ thuật “đường hầm” (tunneling technology) Kĩ thuật dựa giao thức gói liệu truyền tuyến xác định gọi tunneling, IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer Tunneling Protocol (L2TP) Tuyến đường xác định thông tin IP Vì liệu tạo nhiều dạng khác nên “đường hầm” phải hỗ trợ nhiều giao thức truyền tải khác bao gồm IP, ISDN, FR, ATM Giao thức đường hầmVPN: Có giao thức đường hầm sử dụng VPNs: a IP Security (IPSec): Được phát triển IETF, IPSec tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng hệ thống mạng công cộng Không giống kỹ thuật mã hóa khác, IPSec thi hành phân lớp Network mô hình OSI (Open System Interconnect) Do thực thi độc lập với ứng dụng mạng b Point-to-Point Tunneling Protocol (PPTP) Được phát triển Microsoft, 3COM Ascend Communications Nó đề xuất để thay cho IPSec PPTP thi hành phân lớp (Data Link) mô hình OSI thường sử dụng truyền thông tin hệ điều hảnh Windows Page c Layer Tunneling Protocol (L2TP) Được phát triển hệ thống Cisco nhằm thay IPSec Tiền thân Layer Forwarding (L2F), phát triển để truyền thông tin an toàn mạng Internet bị thay L2TP LT2P có khả mã hóa liệu tốt có khả giao tiếp với Windown L2TP phối hợp L2F) PPTP Thường sử dụng để mã hóa khung Point-to-Point Protocol (PPP) để gửi mạng X.25, FR, ATM Trong phương thức phương thức IPSec sử dụng phổ biến Ưu điểm khuyết điểm VPNs a Ưu điểm: Giảm chi phí thiết lập: VPNs có giá thành thấp nhiều so với giải pháp truyền tin truyền thống Frame Relay, ATM, hay ISDN Lý VPNs loại bỏ kết nối khoảng cách xa cách thay chúng kết nối nội mạng truyền tải ISP, hay ISP's Point of Presence (POP) Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs giảm chi phí vận hành mạng WAN cách đáng kể Ngoài tổ chức giảm tổng chi phí thêm thiết bị mạng WAN dử dụng VPNs quản lý ISP Một nguyên nhân giúp làm giảm chi phí vận hành nhân sự, tố chức không chi phí để đào tạo trả cho nhiều người người quản lý mạng Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội phần xa intranet Do Internet truy cập toàn cầu, chi nhánh xa người sử dụng kết nối dễ dàng với mạng intranet Bảo mật: Bởi VPNs sử dụng kĩ thuật tunneling để truyền liệu thông qua mạng công cộng tính bảo mật cải thiện Thêm vào đó, VPNs sử dụng thêm phương pháp tăng cường bảo mật mã hóa, xác nhận ủy quyền Do VPNs đánh giá cao bảo mật truyền tin Hiệu xuất băng thông: Sự lãng phí băng thông kết nối Internet kích hoạt Trong kĩ thuật VPNs “đường hầm” hình thành có yêu cầu truyền tải thông tin Băng thông mạng sử dụng có kích hoạt kết nối Internet Do hạn chế nhiều lãng phí băng thông Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa sở Internet nên cho phép các mạng intranet tổ chức phát triển mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, thành phần bổ sung thêm vào tối thiểu Điều làm mạng intranet có khả nâng cấp dễ dàng theo phát triển tương lai mà không cần đầu tư lại nhiều cho sở hạ tầng b Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet Sự tải hay tắt nghẽn mạng làm ảnh hưởng xấu đến chất lượng truyền tin máy mạng VPNs Thiếu giao thức kế thừa hỗ trợ: VPNs dựa hoàn toàn sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) thiết bị giao Page thức kế thừa cho việc truyền tin ngày Kết VPNs không phù hợp với thiết bị giao thức Vấn đề giải cách chừng mực “tunneling mechanisms” Nhưng gói tin SNA lưu lượng non-IP bên cạnh gói tin IP làm chậm hiệu suất làm việc mạng Đánh giá VPNs: Đánh giá mạng sử dụng giải pháp VPN, người ta thường sử dụng tiêu chí sau: Bảo mật: Do truyền nhạy cảm quan trọng công ty truyền qua mạng thiếu an toàn mạng Internet, bảo mật yêu cầu quan trọng tổ chức quản trị mạng Để đảm bảo liệu bị chặn hay truy xuất trái phép có khả mát truyền tải Có chế mã hóa liệu đủ khả mã hóa liệu an toàn Một yêu cầu quan trọng khác lựa chọn giải pháp VPN cho mạng doanh nghiệp bạn giải pháp chọn lựa phải phù hợp với sở hạ tầng mạng có giải pháp bảo mật ví dụ tường lửa, sử dụng proxy, phần mềm chống vius hay hệ thống bảo mật khác Một điểm cần ý toàn thể giải pháp cần quản lý ứng dụng Sự thích nghi (interoperablility) thiết bị từ nhiều nhà cung cấp: Nếu thích nghi thiết bị vận hành VPN đảm bảo chất lượng dịch vụ (Quality of Service - QoS) khó đạt Do thiết bị cần kiểm tra thích nghi trước lắp đặt chúng vào mạng VPN Các nhà chuyên môn khuyến cáo để đạt chất lượng tốt truyền tin thiết bị nên từ nhà cung cấp Điều đảm bảo thích nghi thiết bi đảm bảo chất lượng dịch vụ tốt Quản lý VPN tập trung: Điều giúp dễ dàng cấu hình, quản lý khắc phục cố vấn đề liên quan VPN từ vùng cục hay ứng dụng Một điều quan trọng phần mềm quản lý ghi lai hoạt động hệ thống (logs), điều giúp quản trị mạng khoanh vùng giải cố trước gây ảnh hưởng đến chất lượng toàn hệ thống Dễ dàng bổ sung thành phần khác: Giải pháp VPN dễ dàng bổ sung cấu hình Nếu thành phần bổ sung có kích thước lớn bạn phải chắn phần mềm quản lý đủ khả ghi theo dõi số lượng lớn tunnel bổ sung hệ thống Sử dụng dễ dàng: Phần mềm VPN, đặc biệt phần mềm VPN cho khách hàng phải đơn giản không phức tạp đối để người dùng cuối bổ sung cần thiết Thêm vào qusa trình xác nhận giao diện phải dễ hiểu sử dụng Khả nâng cấp (Scalability) Mạng VPN tồn phải có khả nâng cấp, thêm vào thành phần mà không thay đổi nhiều sở hạ tầng Performance: Mã hóa, mặt quan trọng của VPNs, thực chủ yếu nhờ CPU Do đó, điều cần thiết lựa chọn thiết bị cho không đơn thích nghi với mà thi hành nhiệm vụ mã hóa liệu nhanh chóng hiệu Nếu không chất lương thấp phận làm giảm chất lượng toàn hệ thống VPN Quản lý băng thông: Để đảm bảo truyền tin, sẵn sàng đảm bảo QoS việc quản lý băng thông hiệu điều vô quan trọng Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng có khả ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng công ty Page Chọn nhà cung cấp dịch vụ internet (ISP): ISP chọn phải đáng tin cậy có khả cung cấp hỗ trợ cho người sử dụng VPN quản trị mạng Điều thực quan trọng ISP bạn cho phép bạn quản lý dịch vụ Bạn phải chắn hướng phát triển tươn lai ISP cho dịch vụ mà bạn tìm kiếm quan trọng cung cấp dịch vụ phi vật thể phân vùng địa lý(services immaterial to geographic location.) Bảo vệ mạng khỏi liệu không mong muốn: Bằng cách kết nối trực tiếp Internet, VPNs bị cản trở liệu không mong muốn cản trở truyền tin mạng Trong truơng hợp khẩn cấp, liệu làm tràn ngập mạng intranet dẫn đến ngưng kết nối dịch vụ Do dó, tunnel VPN cần cung cấp chế lọc thành phần non-VPN Cơ chế bao gồm dịch vụ hạn chế băng thông hay sách (These mechanisms might include bandwidth reservation services or a policy of not assigning global IP addresses to the nodes located within the network, thus blocking the unauthorized access to these nodes from the public network.) II Các dạng VPNs: Phân loại kỹ thuật VPNs dựa yêu cầu bản: + Người sử dụng xa truy cập vào tài nguyên mạng đoàn thể thời gian + Kết nối nội chi nhánh văn phòng xa + Quản lý truy cập tài nguyên mạng quan trọng khách hàng, nhà cung cấp hay thực thể khác điều quan trọng tổ chức hay quan Dựa tiêu chí phân loại VPNs thành nhóm chính: Remote Access VPNs Intranet VPNs Extranet VPNs Remote Access VPNs: Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống Hệ thống bao gồm thành phần chính: Remote Access Server (RAS), xác định địa kiểm tra xác nhận ủy quyền yêu cầu truy cập từ xa Kết nối Dial-up với văn phòng trung tâm trường hợp kết nối với mà khoảng cách xa Nhân sự: người có trách nhiệm cấu hình hệ thống, bảo trì quản lý RAS hỗ trợ người dùng xa Page Để nâng cấp Remote Access VPNs, người dùng xa văn phòng chi nhánh cần thiết lập kết nối dial-up địa phương với ISP ISP's POP kết nối với mạng trung tâm thông qua Internet Mô hình thiết lập Remote Access VPN mô tả hình 1-3 Page Ưu khuyết điểm Remote Access VPNs so với Remote Access truyền thống: Không có thành phần RAS thành phần modem liên quan Không cần nhân hỗ trợ hệ thống kết nối từ xa thực ISP Kết nối dial-up khoảng cách xa loại bỏ, thay vào kết nối địa phương Do chi phí vận hành giảm nhiều Vì kết nối dial-up cục nên modem vận hành truyền liệu tốc độ cao so với phải truyền liệu xa VPNs cho phép truy địa trung tâm (corporate site) tốt hỗ trợ mức thấp truy cập dịch vụ số người sử dụng đồng thời truy cập mạng tăng cao Khi số người sử dụng hệ thống VPN tăng, chất lượng dịch vụ có giảm khả truy cập không hoàn toàn Bên cạnh ưu điểm VPNs tồn số khuyết điểm tồn Remote Access truyền thống: Remote Access VPNs không đảm bảo chất lượng dịch vụ QoS Khả liệu cao Thêm vào đó, gói tin bị phân mảnh trật tự Do tính phức tạp thuật toán mã hóa, giao thức từ mão tăng lên nhiều Điều đưa đến trình xác nhận phức tạp Thêm vào đó, liệu nén IP- and PPPbased chậm chất lượng ko tốt Sự truyền tải thông tin phụ thuộc vào Internet, truyền tải liệu đa phương tiện “đường hầm” Remote Access VPN gây chậm đường truyền Page 10 Hình 11: FREE4VN-HOME Properties – Tab General Trong Tab General: cần kiểm tra mục Router Remote access server check Mục Router cho phép định tuyến yêu cầu từ VPN Client đến máy mạng nội Mục Remote access server cho phép VPN client kết nối đến Nên chọn LAN and demanddial routing Page 29 Hình 12: FREE4VN-HOME Properties – Tab Security Tab Security: cho phép lựa chọn Authentication provider Accounting provider Nếu mạng nội có máy tính cài RADIUS, lựa chọn Authentication provider Accounting provider RADIUS Trong ví dụ này, lựa chọn Windows Authentication Windows Accounting Page 30 Hình 13: FREE4VN-HOME Properties – Tab IP: cho phép lựa chọn IP cho kết nối VPN Bước nên chọn Static address pool, sau nhắp nút Add Page 31 Hình 14: Tab IP – New Address Range Trong Hình 14, nhập giá trị vào ô Start IP address End IP address Các IP dải cấp tự động cho kết nối VPN 4.1.2.2 Ports Properties Trong giao diện Routing and Remote Access, chuột phải vào Ports, menu chuột phải, chọn Properties Xuất hộp thoại Ports Properties Page 32 Hình 15: Ports Properties Có thể nhận thấy số miniport cho PPTP L2TP 128 Mỗi miniport kết nối VPN từ máy client đến Server Để giảm số xuống, lựa chọn vào WAN Miniport (PPTP), sau nhắp Configure Page 33 Hình 16: Configure Device – WAN Miniport (PPTP) Thay đổi tham số Maximum ports từ 128 xuống Thực tương tự WAN Miniport (L2TP) Với cấu hình Server chấp nhận tối đa 10 kết nối VPN, có VPN Client sử dụng tunnel PPTP, VPN Client sử dụng tunnel L2TP Chú ý: Nếu lựa chọn số kết nối tối VPN lớn số địa IP cấp, kết nối đến VPN hết địa IP, VPN Server lấy địa IP DHCP Server mạng cấp cho kết nối VPN Nếu kô có DHCP Server mạng, có thông báo lỗi, không cho phép kết nối 4.1.2.3 Remote Access Policies Bước cuối cho phép truy cập qua Remote Access Policy Page 34 Hình 17: Remote Access Policies Chọn Remote Access Policies Remote Access Policies có lựa chọn Connections to Microsoft Routing and Remote Access Server Connections to other access server Chuột phải vào Connections to Microsoft Routing and Remote Access Server, menu chuột phải chọn Properties Page 35 Hình 18: Connections to Microsoft Routing and Remote Access Server Properties Chọn Grant remote access permission, sau nhắp OK để xác nhận.Thực công việc tương tự lựa chọn Connections to other access server Sau bước việc tạo account Windows cho phép sử dụng kết nối VPN 4.1.3 Tạo User Windows cho phép sử dụng VPN Như biết, việc tạo user Windows sử dụng Computer Manager Để chạy Computer Manager, click Start→Programs→Administrative Tools→Computer Manager Page 36 Hình 19: Computer Manager – Local User and Groups Chọn System Tools→Local Users and Groups→Users Sau chuột phải vào user muốn cho phép dùng VPN, ví dụ user centos4 Trên menu chuột phải, nhắp Properties Page 37 Hình 20: User Properties Trên Hình 20, chọn Tab Dial-in Trong tab này, chọn Allow access Nếu muốn xác địa IP cấp cho VPN Client user trên, chọn Assign a Static IP Address Sau gõ địa IP vào ô tương ứng Sau bước này, user centos4 kết nối VPN đến VPN Server 4.2 VPN Client Windows XP Trên Windows XP, tạo kết nối VPN đến VPN Server mà ta cài đặt cấu hình bước Dưới hướng dẫn cách tạo kết nối VPN đến VPN Server Windows XP Chuột phải vào biểu tượng My Network Places desktop → Properties Xuất hộp thoại Network Connections Page 38 Hình 21: Network Connections (VPN Client) Vào Create a new connection Xuất hộp thoại New Connection Wizard Next để tiếp tục Hình 22: New Connection Wizard Bạn lựa chọn kiểu connect Bước chọn Connect to the network at my workplace, sau nhắp Next để tiếp tục Page 39 Hình 23: New Connection Wizard chọn Virtual Private Network connection, sau click Next để tiếp tục Hình 24: New Connection Wizard Page 40 Cho phép tạo tên cho kết nối vpn, ví dụ này, gõ free4vn.org, sau click Next để tiếp tục Hình 25: New Connection Wizard Bạn gõ địa IP Server cài đặt dịch vụ VPN Server Có thể dùng địa IP tĩnh gán cho Modem ADSL domain name tương ứng Page 41 Hình 26: New Connection Wizard – Finish (VPN Client) Kết thúc New Connection Wizard, click Finish để kết thúc Sau bước này, Nework Connection có thêm connect có tên free4vn.org Để kết nối đến VPN Server, nhắp đúp vào kết nối Hộp thoại Connect Hình 27 Page 42 Hình 27: Connect to free4vn.org (VPN Client) Trên Hình 32, để kết nối đến VPN Server cần gõ User name, Password mà ta khai báo VPN windows server Tạo User Windows cho phép sử dụng VPN Sau nhắp Connect để kết nối đến VPN Server Có thể click Properties để thêm lựa chọn cho kết nối Sau Connect đến VPN Server, VPN Client xuất thông báo xác nhận kết nối thành công Hình 28: Kết nối VPN thành công (VPN Client) Page 43 [...]... Giao thức bảo mật Ipsec Mục tiêu của IPsec là cung cấp các dịch vụ bảo mật cho các gói IP tại tầng mạng (lớp 3) Những dịch vụ này bao gồm kiểm soát truy cập, tích hợp dữ liệu, xác thực, bảo vệ chống lại, và bảo mật dữ liệu Đóng gói bảo mật (ESP) và tiêu đề xác thực (AH) là hai giao thức bảo mật IPsec được sử dụng để cung cấp bảo mật này cho một mô hình mạng IP Trước khi nhìn vào các giao thức bảo mật IPsec,... không thể đảm bảo Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp Page 14 III.Bảo mật trong VPN H1 : Bảo mật trong VPN 1.Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như router... IPsec trong chế độ vận chuyện host tới host, điển hình của VPN sẽ sử dụng một cổng nối VPN để bảo vệ tất cả các máy từ một site đến tất cả các máy ngang nhau tại một site khác Một điển hình về triển khai IPsec VPN giữa các site khi mỗi site có rất nhiều host và đường hầm IPsec đầu cuối hoạt động như 1 cổng router VPN Với sự bảo vệ của cổng VPN bảo vệ 1 tập hợp các địa chỉ của host thì IPsec chế độ vận... ra VPN (gatequay) Trong chế độ đường hầm, AH đóng gói gói tin IP và tiêu đề IP thêm vào trước tiêu đề AH Mặc dù chế độ đường hầm AH có thể sử dụng IPsec đề bảo vệ 2 đầu cuối kết nối VPN, nhưng lại không bảo mã hóa phần dữ liệu, cho nên chế độ này cũng không thực sự là giải pháp tốt Page 21 4 Cài đặt mạng VPN Cài đặt VPN: (Gồm 2 phần) - Cài đặt trên máy chủ Windows Server 2003 – Xem thêm clip Cai VPN. .. chỉ có thể được sử dụng để bảo vệ dữ liệu khi mà địa chỉ đích đến và địa chỉ đích đến của IPsec là 1 Đối với IPsec, chế độ này thật sự hữu dụng khi luồng dữ liệu giữa 2 host được bảo vệ thay vì chỉ bảo vệ luồng traffic từ 2 mạng mà mỗi mạng có rất nhiều host Thách thức lớn nhất của chế độ vận chuyển là khi sử dụng IPsec để bảo vệ luồng dữ liệu giữa 2 host bất kì trong 2 mạng Thêm nữa, khi địa chỉ IP... VPNs: Page 12 Không giống như giải pháp của intranet VPNs và remote access VPNs, extranet VPNs không tách riêng với thế giới ngoài Extranet VPNs cho phép điều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong hoạt động thương mại của tổ chức Mạng kết nối ngoài (extranet connectivity) truyền thống... mạng ngoài khác Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí Thiết lập extraner VPNs được mô tả như hình 1-7: Page 13 Ưu điểm: Giảm chi phí rất nhiều so với phương pháp truyền thống Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải pháp tailoring phù hợp... dụng 02 card mạng Máy tính từ xa sử dụng Windows XP, có thể đặt kết nối VPN để kết nối đến Server nói trên Hình 1: Mô hình kết nối 4.1 Cài đặt VPN Server 4.1.1 Setup Routing and Remote Access - Nếu windows server 2003 của bạn chưa cài đặt Routing and Remote Access thì bạn sẽ thực hiện bước này để cài đặt - Bạn cần Stop dịch vụ Windows Firewall/Internet Connection Sharing (ICS) và chuyển dịch vụ đó sang... rất cao do mỗi mạng phân chia của intranet phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài Do đó sẽ vận hành và quản lý rất phức tạp các mạng khác nhau Ngoài ra yêu cầu nhân sự để bảo trì và quản lý hệ thống phức tạp này trình độ cao Ngoài ra, với thiết lập dạng này sẽ không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài khác... các giao thức bảo mật IPsec, cần phải hiểu rõ hai chế độ IPsec, chế độ vận chuyển và chế độ đường hầm, và những dịch vụ cung cấp cho mỗi chế độ Đóng gói bảo mật (ESP): ESP cung cấp bảo mật, tích hợp dữ liệu, và tùy chọn dữ liệu có nguồn gốc xác thực và chống gửi lại Nó cung cấp các dịch vụ này bằng cách mã hóa phần payload ban đầu và đóng gói gói tin giữa một tiêu đề và một đi sau, như được hiển thị ... bảo mật Ipsec Mục tiêu IPsec cung cấp dịch vụ bảo mật cho gói IP tầng mạng (lớp 3) Những dịch vụ bao gồm kiểm soát truy cập, tích hợp liệu, xác thực, bảo vệ chống lại, bảo mật liệu Đóng gói bảo... đinh QoS đảm bảo Mặc dù giải pháp VPN số hạn chế ưu điểm VPNs thõa mãn tốt nhu cầu doanh nghiệp Page 14 III.Bảo mật VPN H1 : Bảo mật VPN 1.Tường lửa (firewall) rào chắn vững mạng riêng Internet... giải pháp đưa mạng riêng ảo (VPNs) Chính điều động lực cho phát triển mạnh mẽ VPNs ngày Trong chương này, đề cập đến vấn đề kĩ thuật VPN I Giới thiệu VPNs: Page Một số khái niệm VPNs Đáp ứng nhu