1. Trang chủ
  2. Giáo Dục - Đào Tạo

ĐỀ TÀI: Mạng riêng ảo VPN

20 206 0
ĐỀ TÀI: Mạng riêng ảo VPN

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

TRƯỜNG ………………… KHOA……………………… -[\ [\ - BÁO CÁO TỐT NGHIỆP ĐỀ TÀI: Mạng riêng ảo VPN Đại học Công nghệ Khoá luận tốt nghiệp Mục lục Lời mở đầu Chương 1: Tổng quan VPN Tổng Quan 1.1 Định nghĩa VPN 1.2 Lợi ích VPN 1.3 Chức VPN Định nghĩa “đường hầm” “mã hoá” 2.1 Định nghĩa đường hầm: 2.2 Cấu trúc gói tin IP đường hầm: 2.3 Mã hoá giải mã (Encryption/Deccryption): 2.4 Một số thuật ngữ sử dụng VPN: 2.5 Các thuật toán sử dụng mã hoá thông tin Các dạng kêt nối mạng riêng ảo VPN 10 3.1 Truy cập VPN (Remote Access VPNs) 10 3.1.1 Một số thành phần 11 3.1.2 Thuận lợi Remote Access VPNs: 12 3.1.3 Ngoài thuận lợi trên, VPNs tồn số bất lợi khác như: 12 3.2 Site – To – Site VPN 13 3.2.1 Intranet 14 3.2.2 Extranet VPNs (VPN mở rộng) 16 VPN vấn đề an toàn bảo mật Internet 18 4.1 An toàn tin cậy 19 4.2 Hình thức an toàn 20 Chương 2: Giao thức VPN Bộ giao thức IPSec (IP Security Protocol): 22 1.1 Cấu trúc bảo mật 22 1.1.1 Hiện trạng 23 Chế độ làm việc IPSec 23 2.1 Chế độ chuyển vận (Transport mode) 23 2.2 Chế độ đường hầm ( Tunnel Mode ): 24 Giao thức PPTP L2TP 31 3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling Protocol) 31 3.1.1 Quan hệ PPTP PPP 32 3.2 Giao thức chuyển tiếp lớp (Layer Forwarding Protocol) 34 3.3 Giao thức định đường hầm lớp (Layer Tunneling Protocol) 35 3.3.1 Quan hệ L2TP với PPP 36 3.4 Tổng quan giao thức đinh đường hầm lớp ( L2TP Overview) 38 3.5 Ứng dụng L2TP VPN 42 3.6 So sánh PPTP L2TP 42 Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp 3.6.1 Ưu điểm L2TP 43 3.6.2 Ưu điểm PPTP 43 Chương 3: Mã hoá chứng thực VPN Mã hoá VPN 45 1.1 Thuật toán mã hoá DES 45 1.1.1 Mô tả DES 46 1.1.2 Ưu nhược điểm DES 47 1.1.3 Ứng dụng thuật toán DES thực tế 47 1.2 Thuật toán mã hoá 3DES 48 1.2.1 Mô tả 3DES 48 1.2.2 Ưu nhược điểm 3DES 49 1.3 Giải thuật hàm băm (Secure Hash Algorithm) 49 1.4 Giải thuật RSA 49 Chứng thực VPN 50 2.1 Password Authentication Protocol (PAP): Giao thức chứng thực mật 51 2.2 Challenge Handshare Authentication Protocol (CHAP) 52 Firewall 52 3.1 Khái niệm Firewall 52 3.2 Các thành phần Firewall 53 3.2.1 Bộ lọc gói (Packet Filtering Router) 53 3.2.2 Cổng ứng dụng (Application-level gateway) 55 3.2.3 Cổng vòng (Circuit-level Gateway) 57 3.3 Những hạn chế từ Firewall 58 3.4 Thiết lập sách cho Firewall 58 3.5 Một số loại Firewall 59 3.5.1 Screened Host Firewall 60 3.5.2 Screened-Subnet Firewall 61 3.6 Mô hình kết hợp Firewall với VPN 62 Chương 4: Cấu hình VPN thiết bị Cisco Mô hình Site –to – Site VPN Extranet VPN 64 1.1 Kịch Site – to – site VPN 64 1.1.1 Phân chia thành phần địa vật lý mô hình site – to –site VPN 64 1.1.2 Bảng địa chi tiết cho mô hình mạng Site – to – Site VPN 65 2.1 Kịch Extranet 65 2.1.1 Phân chia thành phần địa vật lý mô hình Extranet VPN 66 2.1.2 Bảng địa chi tiết cho mô hình mạng Extranet VPN 66 Cấu hình đường hầm (tunnel) 67 2.1 Sự định cấu hình GRE Tunnel 68 2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, Đích 68 Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp 2.1.2 Kiểm tra giao diện đường hầm, Nguồn, Đích 70 2.2 Cấu hình IPSec Tunnel: 70 Cấu hình NAT (Network Address Translation) 71 3.1 Cấu hình Static Inside Source Address Translation 73 3.2 Kiểm tra Static Inside Source Address Translation 73 Cấu hình mã hoá IPSec 74 4.1 Cấu hình sách IKE: 75 4.1.1 Tạo sách IKE 76 4.1.2 Cấu hình bổ xung thêm yêu cầu cho sách IKE: 77 4.1.3 Cấu hình Những khoá dùng chung 78 4.2 Cấu hình cổng vào cho thao tác chứng số 80 4.2.1 Kiểm tra IKE Policies 81 4.2.2 Cấu hình khoá dùng chung khác 81 4.3 Cấu hình IPSec chế độ IPSec tunnel 82 4.3.1 Tạo danh sách truy nhập mật mã 83 4.3.2 Kiểm tra danh sách mật mã 83 4.4 Định nghĩa tập hợp biến đổi cấu hình chế độ IPSec tunnel 83 4.4.1 Kiểm tra tập hợp biến đổi chế độ IPSec tunnel 85 4.5 Cấu hình Crypto Maps 85 4.5.1 Tạo mục Crypto Map 85 4.5.2 Kiểm tra mục Crypto map 88 4.5.3 Áp dụng Crypto map vào Interface 88 4.5.4 Kiểm tra kết hợp Crypto Map interface 89 Cấu hình tính Cisco IOS Firewall 89 5.1 Tạo Access list mở rộng sử dụng số Access list 90 5.2 Kiểm tra Access list mở rộng 90 5.3 Áp dụng Access-list tới Interface 90 5.4 Kiểm tra Access-list áp dụng xác 91 Chương 5: Cấu hình VPN Widows Server 2003 Giới thiệu chung 92 Cài đặt VPN Server 92 Cấu hình VPN Server 99 3.1 Route and Remote Access Properties 99 3.2 Ports Properties 102 3.3 Remote Access Policies 103 Tạo User Windows cho phép sử dụng VPN 104 VPN Client Windows XP 106 Quản lý kết nối VPN Server 113 Kết luận 115 Tài liệu tham khảo 116 CÁC THUẬT NGỮ VIẾT TĂT 117 Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp Lời mở đầu Trước kia, cách truy cập thông tin từ xa máy tính thực sử dụng kết nối quay số Các kết nối RAS dial-up làm việc đường điện thoại POTS (Plain Old Telephone Service) thông thường có tốc độ đạt vào khoảng 56kbps Tốc độ vấn đề lớn kết nối dial-up RAS, nhiên vấn đề lớn chi phí cho kết nối khoảng cách dài cần có cho việc truy cập Ngày với phát triển bùng nổ, mạng Internet ngày mở rộng, khó kiểm soát kèm theo an toàn việc trao đổi thông tin mạng, thông tin liệu trao đổi mạng bị rò rỉ bị đánh cắp khiến cho tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty … doanh nhân lo ngại vấn đề an toàn bảo mật thông tin liệu mạng cục (LAN) trao đổi thông tin qua mạng công cộng Internet VPN ( Virtual Private Network) giải pháp đưa để cung cấp giải pháp an toàn cho các: Tổ chức, doanh nghiệp … doanh nhân trao đổi thông tin từ mạng cục xuyên qua mạng Internet cách an toàn bảo mật Hơn giúp cho doanh nghiệp giảm thiểu chi phí cho liên kết từ xa địa bàn rộng (trên toàn quốc hay toàn cầu) Là sinh viên công nghệ, phần em hiểu băn khoăn lo lắng an toàn bảo mật trao đổi thông tin tổ chức, cá nhân Với hướng dẫn, giúp đỡ thầy cô bạn bè, em chọn đề tài mạng riêng ảo (VPN) để nghiên cứu giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo Nghiên cứu mô hình truy cập, phương pháp xác thực ứng dụng triển khai cài đặt hệ thống mạng Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp Chương TỔNG QUAN VỀ VPN Tổng Quan Trong thời đại ngày Internet phát triển mạnh mẽ mặt mô hình cho công nghiệp, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà không xem xét đến máy mạng mà người sử dụng sử dụng Để làm điều người ta sử dụng máy tính đặc biệt gọi Router để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ giáo dục từ xa, mua hang trực tuyến, tư vấn y tế,và nhiều điều khác trở thành thực Tuy nhiên Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình mạng nhằm thoã mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riên ảo (Virtual Private Network – VPN ) Với mô hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường hay văn phòng chi nhánh kết nối an toàn đến máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an toàn thông tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN giống WAN (Wire Area Network), nhiên đặc tính định VPN chúng dùng mạng công cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều 1.1 Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng ( Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng đường leased-line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an toàn bảo mật VPN cung cấp chế mã hoá liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hoá hay chế giấu đi, cung cấp phần đầu gói liệu (header) thông tin đường cho phép đến đích thông qua mạng công cộng cách nhanh chóng Dữ liệu mã hoá cách cẩn thận packet bị bắt lại đường truyền công cộng đọc nội dùng khoá để giải mã Liên kết với liệu mã hoá đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1: Mô hình mạng VPN 1.2 Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền thông mạng leased-line Những lợi ích bao gồm:  Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80%  Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, băng cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối từ xa văn phòng, vị trí quốc tế, người truyền Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp    thông, người dùng điện thoại di động, người hoạt động kinh doanh bên yêu cầu kinh doanh đòi hỏi Đơn giản hóa gánh nặng Những cấu trúc mạng ống, giảm việc quản lý gánh nặng: Sử dụng giao thức Internet backbone loại trừ PVC tĩnh hợp với kết nối hướng giao thức Frame Relay ATM Tăng tính bảo mật: Các liệu quan trọng che giấu người quyền truy cập cho phép truy cập người dùng có quyền truy cập Hỗ trợ giao thức mạng thông dụng TCP/IP   Bảo mật địa IP: Bởi thông tin gửi VPN mã hoá địa bên mạng riêng che giấu sử dụng địa bên Internet 1.3 Chức VPN VPN cung cấp chức  Sự tin cậy (Confidentiality): Người gửi mã hoá gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, không truy nhập thông tin mà không phép, mà lấy thông tin không đọc thông tin mã hoá  Tính toàn vẹn liệu (Data Integrity): Người nhận kiểm tra liệu truyền qua mạng Internet mà thay đổi  Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin Định nghĩa “đường hầm” “mã hoá” Chức mạng riêng ảo VPN cung cấp bảo mật thông tin cách mã hoá chứng thực qua đường hầm (tunnel) 2.1 Định nghĩa đường hầm: Cung cấp kết nối logic, điểm tới điểm vận chuyển gói liệu mã hoá đường hầm riêng biệt qua mạng IP, điều làm tăng tính bảo mật thông tin liệu sau mã hoá lưu chuyển đường hầm thiết lập người gửi người nhận tránh cắp, xem trộm thông tin, đường hầm đặc tính ảo VPN Các giao thức định đường hầm sử dụng VPN sau: Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp  L2TP (layer Tunneling Protocol): Giao thức định đường hầm lớp  PPTP (Point-to-Point Tunneling Protocol)  L2F (Layer Forwarding) Các VPN nội VPN mở rộng sử dụng công nghệ:  IP Sec (IP security)  GRE (Genenic Routing Encapsulation) 2.2 Cấu trúc gói tin IP đường hầm: Tunnel mode packet IP AH ESP Header Data Original packet 2.3 Hình 2: Cấu trúc gói tin IP đường hầm Mã hoá giải mã (Encryption/Deccryption): Biến đổi nội dùng thông tin nguyên dạng đọc (clear text hay plain text) thành dạng văn mật mã vô nghĩa không đọc (cyphertex), khả đọc hay khả sử dụng người dùng không phép Giải mã trình ngược lại mã hoá, tức biến đổi văn mã hoá thành dạng đọc người dùng phép 2.4 Một số thuật ngữ sử dụng VPN: Hệ thống mã hoá (Crysystem): hệ thống để thực mã hoá hay giải mã, xác thực người dùng, băm (hashing), trình trao đổi khoá, hệ thống mã hoá sử dụng hay nhiều phương thức khác tuỳ thuộc vào yêu cầu cho vài loại traffic người dùng cụ thể Hàm băm (hashing): kỹ thuật toàn vẹn liệu mà sử dụng công thức thuật toán để biến đổi tin có chiều dài thay đổi khoá mật mã công cộng vào chuỗi đơn số liệu có chiều dài cố đinh Bản tin hay khoá hash di chuyển mạng từ nguồn tới đích Ở nơi nhận việc tính toán lại hash sử dụng để kiểm tra tin khoá không bị thay đổi truyền mạng Xác thực (Authentication): Là trình việc nhận biết người sử dụng hay trình truy cập hệ thống máy tính kết nối mạng Xác thực chắn cá nhân hay tiến trình hoàn toàn xác định Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp Cho phép (Authorization): Là hoạt động kiểm tra thực thể có phép thực quyền hạn cụ thể Quản lý khoá (Key management): Một khoá thông tin, thường dãy ngẫu nhiên trông giống số nhị phân ngẫu nhiên, sử dụng ban đầu để thiết lập thay đổi cách định kỳ hoạt động hệ thống mật mã Quản lý khoá giám sát điều khiển tiến trình nhờ khoá tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà tin tưởng để giúp bảo mật trình truyền tin thực thể mạng người dùng cách tạo gán chứng nhận số chứng nhận khoá công cộng, cho mục đích mã hoá Một CA đảm bảo cho lien kết thành phần bảo mật chứng nhận 2.5 Các thuật toán sử dụng mã hoá thông tin:  DES (Data Encryption Security)  3DES (Triple Data Encryption Security)  SHA (Secure Hash Algorithm) AH ( Authentication Header): La giao thức bảo mật giúp xác thực liệu, bảo đảm tính toàn vẹn liệu dịch vụ “anti-replay” (dịch vụ bảo đảm tính gói tin) AH nhúng vào liệu để bảo vệ ESP (Encapsulation Security Payload): Là giao thức bảo mật cung cấp tin cậy liệu, bảo đảm tính toàn vẹn liệu, xác thực nguồn gốc liệu, dịch vụ “anti-replay” ESP đóng gói liệu để bảo vệ Oakley Skeme định nghĩa phương thức để thiết lập trao đổi khoá xác thực, bao gồm cấu trúc tải tin, thông tin mà tải tin mang, thứ tự mà khoá sử lý khoá sử dụng ISAKMP (Internet Security Association and Key Management): IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa Oakley trao đổi khoá Skeme bên khung ISAKMP (Protocol): Là khung giao thức mà định nghĩa định dạng tải tin, giao thức triển khai giao thức trao đổi khoá trao đổi SA (Security Association) SA (Security Association): Là tập sách khoá sử dụng để bảo vệ thông tin ISAKMP SA sách chung khoá sử dụng đối tượng ngang hang đàm phán giao thức để bảo vệ thông tin chúng Lê Anh Hưng K49DB Đại học Công nghệ Khoá luận tốt nghiệp AAA (Authentication, Authorization Accouting): dịch vụ bảo mật mạng mà cung cấp khung qua điều khiển truy cập đặt Router hay Server truy cập Hai lựa chọn cho AAA TACACS+ RADIUS TACACS+ (Terminal Access Controller Access Control System Plus): Là ứng dụng bảo mật mà cung cấp xác thực tập trung người dùng cố gắng truy nhập tới Router hay mạng truy cập Server RADIUS (Remote Authentication Dial-In User Service): Là hệ thống phân tán client/server mà bảo mật truy cập không phép tới mạng Các dạng kêt nối mạng riêng ảo VPN 3.1 Truy cập VPN (Remote Access VPNs) Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Remote Access VPN mô tả công việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thông qua gateway VPN concentrator (bản chất server) Vì lý này, giải pháp thường gọi client/server Trong giải pháp này, người dùng thường thường sử dụng công nghệ WAN truyền thống để tạo lại tunnel mạng HO họ Một hướng phát triển remote access VPN dùng wireless VPN, nhân viên truy cập mạng họ thông qua kết nối không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm wireless (Wireless terminal) sau mạng công ty Trong hai trường hợp, phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi tunnel Một phần quan trọng thiết kế việc thiết kế trình xác thực ban đầu nhằm để đảm bảo yêu cầu xuất phát từ nguồn tin cậy Thường giai đoạn ban đầu dựa sách bảo mật công ty Chính sách bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+] …) Lê Anh Hưng K49DB 10 Đại học Công nghệ Khoá luận tốt nghiệp 3.1.1 Một số thành phần Remote Access Server (RAS): đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới Quay số kết nối đến trung tâm, điều làm giảm chi phí cho số yêu cầu xa so với trung tâm Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Hình Thiết lập non-VPN remote access Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài nguyên thông qua Internet Thông tin Remote Access Setup mô tả hình vẽ sau: Lê Anh Hưng K49DB 11 Đại học Công nghệ Khoá luận tốt nghiệp Hình Thiêt lập VPN remote access 3.1.2 Thuận lợi Remote Access VPNs: - Sự cần thiết RAS việc kết hợp với modem loại trừ - Sự cần thiết hỗ trợ cho người dùng cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi ISP - Việc quay số từ khoảng cách xa loại trừ, thay vào đó, kết nối với khoảng cách xa thay kết nối cục - Giảm giá thành chi phí kết nối với khoảng cách xa - Do kết nối mang tính cục bộ, tố độ kết nối cao so với kết nối trực tiếp đến khoảng cách xa - VPNs cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu nhật cho dù có tăng nhanh chóng kết nối đồng thời đến mạng 3.1.3 Ngoài thuận lợi trên, VPNs tồn số bất lợi khác như: - Remote Access VPNs không đảm bảo chất lượng dịch vụ - Khả liệu cao, thêm phân đoạn gói liệu bị thất thoát Lê Anh Hưng K49DB 12 Đại học Công nghệ Khoá luận tốt nghiệp - Do độ phức tạp thuật toán mã hoá, protocol overhead tăng đáng kể, điều gây khó khăn cho trính xác nhận Thêm vào đó, việc nén liệu IP PPP-based diễn vô chậm chạp tồi tệ - Do phải truyền liệu thông qua Internet, nên trao đổi liệu lớn gói liệu truyền thông, phim ảnh, âm chậm 3.2 Site – To – Site VPN Site –to – site : Được áp dụng để cài đặt mạng từ vị trí kết nối tới mạng vị trí khác thông qua VPN Trong hoàn cảnh việc chứng thực ban đầu thiết bị mạng giao cho người sử dụng Nơi mà có kết nối VPN thiết lập chúng Khi thiết bị đóng vài trò gateway, đảm bảo việc lưu thông dự tính trước cho site khác Các Router Firewall tương thích với VPN, tập trung VPN chuyên dụng cung cấp chức Hình Site – to – site VPN Site – to –Site VPN xem Intranet VPN Extranet VPN Nếu xem xét chúng góc độ chứng thực xem intranet VPN, ngược lại chúng xem extranet VPN Tính chặt chẽ việc truy cập site điều khiể hai (Intranet Extranet VPN) theo site tương ứng chúng Giải pháp Site – To – Site VPN remote access VPN thêm vào tính chất hoàn thiện Sự phân biệt remote access VPN Site – To – Site VPN đơn mang tính chất tượng trưng xa cung cấp cho mục đích thảo luận Ví dụ thiết bị VPN dựa phần cứng (Router Cisco Lê Anh Hưng K49DB 13 Đại học Công nghệ Khoá luận tốt nghiệp 3002 chẳng hạn) để phân loại được, phải áp dụng hai cách, harware-based client xuất thiết bị truy cập vào mạng Mặc dù mạng có nhiều thiết bị VPN vận hành Một ví dụ khác chế độ mở rộng giải pháp Ez VPN cách dùng Router 806 17xx Site –to –Site VPN kết nối hai mạng riêng lẻ thông qua đường hầm bảo mật, đường hầm bảo mật sử dụng giao thức PPTP, L2TP, IPSec, mục đích Site –to –Site VPN kết nối hại mạng đường nối lại với nhau, việc thoả hiệp tích hợp, chứng thực, cẩn mật liệu, bạn thiết lập Site – to –Site VPN thông qua kết hợp thiết bị VPN concentrators, Router, Firewalls Kết nối Site –to –Site VPN thiết kế để tạo kết nối mạng trực tiếp, hiệu bất chấp khoảng cách vật lý chúng Có thể kết nối luân chuyển thông qua Internet mạng không tin cậy Bạn phải đảm bảo vấn đề bảo mật cách sử dụng mã hoá liệu tấ gói liệu luân chuyển mạng 3.2.1 Intranet Hình Thiết lập Intranet sử dụng WAN backbone Intranet VPNs hay gọi VPN nội kết nối mạng trụ sở chính, văn phòng chi nhánh từ xa qua sở hạ tầng mạng dùng chung Internet thành mạng riêng tư tập đoàn hay tổ chức Lê Anh Hưng K49DB 14 Đại học Công nghệ Khoá luận tốt nghiệp gồm nhiều công ty văn phòng làm việc mà kết nối luôn mã hoá thông tin Intranet VPN sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router (Hình 7) Theo mô hình bên tốn chi phí phải sử dụng Router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì quản lý mạng Intranet Backbone tốn tuỳ thuộnc vào lượng lưu thông mạng phạm vi địa lý toàn mạng Intranet Để giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp, điều lượng chi phí đáng kể việc triển khai mạng Intranet (Hình 1-5) Hình Thiếp lập Intranet dựa VPN Những thuận lợi Intranet setup dựa VPN theo hình - Hiệu chi phí giảm số lượng router sử dụng theo mô hình WAN backbone Lê Anh Hưng K49DB 15 Đại học Công nghệ Khoá luận tốt nghiệp - Giảm thiểu số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số remote site khác - Bởi Internet hoạt động kết nối trung gian, dễ dàng cung cấp kết nối ngang hang - Kết nối nhanh tốt chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa thêm giúp tổ chức giảm thiểu chi phí cho việc thực Intranet Những bất lợi kết hợp với cách giải quyết: - Bởi liệu tunnel trình chia sẻ mạng công cộng-Internet nguy công, công từ chối dịch vụ (denial-of service), mối đe doạ an toàn thông tin - Khả liệu lúc di chuyển thông tin cao - Trong số trường hợp, liệu loại high-end, tập tin multimedia, việc trao đổi liệu chậm chạp truyền thông qua Internet - Do kết nối dựa Internet, nên tính hiệu không liên tục, thường xuyên, QoS không bảo đảm 3.2.2 Extranet VPNs (VPN mở rộng) Hình Extranet VPN Lê Anh Hưng K49DB 16 Đại học Công nghệ Khoá luận tốt nghiệp Extranet mở rộng từ Intranet liên kết khách hàng, nhà cung cấp, đối tác hay nhân viên làm việc Intranet qua sở hạ tầng dùng chung chia kết nối Không giốn intranet Remote Access –based, Extranet không an toàn cách ly từ bên (outer-world), Extranet cho phép truy nhập tài nguyên mạng cần thiết kế đối tác kinh doanh, chẳng hạn khách hang, nhà cung cấp, đối tác người giữ vài trò quan trọng tổ chức Hình Thiết lập mạng Extranet theo truyền thống Như hình trên, mạng Extranet tốn có nhiều đoạn mạng riêng biệt intranet kết hợp lại với để tạo Extranet Điều làm cho khó triển khai quản lý có nhiều mạng, đồng thời khó khăn cho cá nhân làm công việc bảo trì quản trị Thêm mạng Extranet dễ mở rộng điều làm rối tung toàn mạng Intranet ảnh hưởng đến kết nối bên mạng Sẽ có vấn đề bạn gặp phải kết nối Intranet vào mạng Extranet Triển khai thiết kế mạng Extranet ác mộng nhà thiết kế quản trị mạng Lê Anh Hưng K49DB 17 Đại học Công nghệ Khoá luận tốt nghiệp Hình 10: Thiết lập Extranet Một số thuận lợi Extranet: Do hoạt động môi trường Internet, bạn lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tuỳ theo nhu cầu tổ chức Bởi phần Internet-connectivity bảo trì nhà cung cấp ISP nên giảm chi phí bảo trì thuê nhân viên bảo trì Dễ dàng triển khai, quản lý chỉnh sữa thông tin Một số bất lợi: - Sự đe doạ tính an toàn, bị công từ chối dịch vụ tồn - Tăng thêm nguy hiểm xâm nhập tổ chức Extranet - Do dựa Internet nên liệu loại high-end data việc trao đổi diễn chậm chạp - Do dựa Internet, QoS không bảo đảm thường xuyên VPN vấn đề an toàn bảo mật Internet Như biết, phát triển bùng nổ mở rộng mạng toàn cầu Internet ngày tăng, hàng tháng có khoảng 10.000 mạng kết nối vào Internet kèm theo vấn đề để trao đổi thông tin liệu cách an toàn qua mạng công cộng Internet Hàng năm rò rỉ cắp thông tin liêu gây thiệt hại lớn kinh tế toàn giới Các tội Lê Anh Hưng K49DB 18 Đại học Công nghệ Khoá luận tốt nghiệp phạm tin tặc “ hacker” tìm cách để nghe trộm, đánh cắp thông tin liệu nhạy cảm như: thẻ tín dụng, tài khoản người dùng, thông tin kinh tế nhạy cảm tổ chức hay cá nhân Vậy giải pháp sử dụng mạng riêng ảo VPN giải vấn đề an toàn bảo mật thông tin Internet ? Câu trả lời để tổ chức, doanh nghiệp, cá nhân cảm thấy yên tâm trao đổi thông tin liệu qua mạng Internet sử dụng công nghệ mạng riêng ảo VPN Thực chất công nghệ sử dụng mạng riêng ảo VPN tạo đường hầm (tunnel) mã hoá chứng thực liệu hai đầu kết nối Các thông tin liệu mã hoá chứng thực trước lưu chuyển đường hầm riêng biệt, qua tránh cặp mắt tò mò muốn đánh cắp thông tin 4.1 An toàn tin cậy Sự an toàn hệ thống máy tính phận khả bảo trì hệ thống đáng tin cậy Thuộc tính hệ thống đựơc viện dẫn đáng tin cậy Có yếu tố ảnh hưởng đến hệ thống đáng tin cậy:  Tính sẵn sang: Khả sẵn sang phục vụ, đáp ứng yêu cầu khoản thời gian Tính sẵn sang thường đựơc thực qua hệ thống phần cứng dự phòng  Sự tin cậy: Nó đình nghĩa xác xuất hệ thống thực chức chu kỳ thời gian Sự tin cậy khác với tính sẵn sang , đo chu kỳ thời gian Nó tương ứng tới tính liên tục dịch vụ  Sự an toàn: Nó báo hiệu hệ thống thực chức xác thực trường hợp thất bại ứng xử không thiệt hại xuất  Sự an ninh: Trong trường hợp an ninh có nghĩa bảo vệ tất tài nguyên hệ thống Một hệ thống máy tính đáng tin cậy mức cao đảm bảo an toàn thời gian Nó đảm bảo không chạm mà không cảnh báo thông tin có cảm giác, lưu tâm đến liệu có cảm giác có khía cạnh để xem xét:  Tính bí mật  Tính toàn vẹn Thuật ngữ tính bảo mật xác định có nghĩa liệu không thay đổi ứng xử không hợp pháp thời gian tồn Tính Lê Anh Hưng K49DB 19 [...]... các tổ chức hay cá nhân Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mật thông tin trên Internet như thế nào ? Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra một đường hầm (tunnel) mã hoá... client/server mà bảo mật các truy cập không được phép tới mạng 3 Các dạng kêt nối mạng riêng ảo VPN 3.1 Truy cập VPN (Remote Access VPNs) Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức Remote Access VPN mô tả công việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet... đang truy cập vào mạng Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành Một ví dụ khác như là một chế độ mở rộng của giải pháp Ez VPN bằng cách dùng Router 806 và 17xx Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không có đường... site khác Các Router và Firewall tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này Hình 5 Site – to – site VPN Site – to –Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem như là một intranet VPN, ngược lại chúng được xem như một extranet VPN Tính chặt chẽ trong việc truy cập giữa các site... cho cá nhân làm công việc bảo trì và quản trị Thêm nữa là mạng Extranet dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng Lê Anh Hưng K49DB 17... - Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên 4 VPN và các vấn đề an toàn bảo mật trên Internet Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng công cộng như Internet Hàng năm sự rò rỉ... liệu, bạn có thể thiết lập một Site – to –Site VPN thông qua sự kết hợp của các thiết bị VPN concentrators, Router, và Firewalls Kết nối Site –to –Site VPN được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luân chuyển thông qua Internet hoặc một mạng không được tin cậy Bạn phải đảm bảo vấn đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên... sẽ rất chậm 3.2 Site – To – Site VPN Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng Nơi mà có một kết nối VPN được thiết lập giữa chúng Khi đó các thiết bị này đóng vài trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự... cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng Giải pháp Site – To – Site VPN không phải là một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận Ví dụ như là các thiết bị VPN dựa trên phần cứng mới (Router... dụng sự mã hoá dữ liệu trên tấ cả các gói dữ liệu đang luân chuyển giữa các mạng đó 3.2.1 Intranet Hình 6 Thiết lập Intranet sử dụng WAN backbone Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ sở chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng chung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chức Lê Anh Hưng K49DB 14 Đại học Công ... chọn đề tài mạng riêng ảo (VPN) để nghiên cứu giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo Nghiên cứu mô hình truy cập, phương pháp xác thực ứng dụng triển khai cài đặt hệ thống mạng. .. định VPN chúng dùng mạng công cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều 1.1 Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng ( Private Network) thông qua mạng công cộng Về bản, VPN. .. nối VPN thường gọi đường ống VPN (Tunnel) Hình 1: Mô hình mạng VPN 1.2 Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền thông mạng leased-line Những lợi ích bao gồm:  Chi phí thấp mạng

Ngày đăng: 15/01/2016, 09:16

Xem thêm: ĐỀ TÀI: Mạng riêng ảo VPN

Tài liệu cùng người dùng

Tài liệu liên quan