nghiên cứu và triển khai mạng riêng ảo vpn

Khái niệm VPNVPN là một mạng riêng sử dụng hệ thống mạng công cộng thường là Internet để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm.. Thay vì dùng

NGHIÊN CỨU VÀ TRIỂN KHAI

Mạng riêng ảo VPN

VPN

1 2 3 4 5

1 Khái niệm VPN

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường

là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

1.1 Ưu điểm của VPN

Hiệu suất băng thông

1.2 Nhược điểm của VPN

• Phụ thuộc nhiều vào chất lượng mạng Internet : sự quá tải hay nghẽn mạng có thể làm ảnh hưởng xấu chất lượng truyền tin của các máy trong mạng

• Thiếu các giao thức kế thừa hỗ trợ

• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể

kiểm tra rằng dữ liệu được truyền qua mạng Internet mà

không có sự thay đổi nào.

• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.

• Điều khiển truy nhập (Access Control): VPN có thể phân

biệt giữa những người dùng hợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sự chứng thực

1.3 Chức năng của VPN

Mạng riêng ảo VPN và ứng dụng hạ tầng Public Key

VPN và các vấn đề an toàn bảo mật trên internet

Công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo

ra một đường hầm (tunnel), mã hoá và chứng thực dữ liệu giữa hai đầu kết nối Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầm riêng biệt, qua đó

sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin.

2 VPN và các vấn đề an toàn bảo mật

Sự an toàn của hệ thống mạng phụ thuộc vào tất cả những thành phần của nó Có ba kiểu khác nhau của sự an toàn: An toàn phần cứng, An toàn thông tin và An toàn quản trị.

An toàn phần cứng: Sự an toàn về mặt vật lý, bảo vệ phần cứng của

hệ thống khỏi những mối đe doạ vật lý bên ngoài.

An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe

doạ mà con người làm tổn hại đến một hệ thống mạng Những mối đe doạ này có thể xuất phát cả từ bên ngoài lẫn bên trong của một tổ chức, doanh nghiệp.

An toàn thông tin: An toàn thông tin nghĩa là thông tin được bảo vệ,

các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, các lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ

an toàn của hệ thống là nhỏ nhất.

 Hệ thống có một trong các đặc điểm sau là không an toàn:

 Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ).

 Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn hoặc mất mát).

2.1 Các kiểu an toàn

Mạng riêng ảo VPN và ứng dụng hạ tầng Public Key

VPN

1 2

3.1 Đường hầm và phân loại đường

hầm

Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel)

Việc phân loại Tunnel dựa trên nguồn gốc bắt đầu các kết nối Và qua đó, có 2 loại chính, đó là Compulsory và Voluntary Tunnel:

•Compulsory Tunneling thường được khởi tạo bởi Network Access Server mà không yêu cầu thông tin từ phía người sử dụng

Bên cạnh đó, các client VPN không được phép truy xuất thông tin trên server VPN, kể từ khi chúng không phải chịu trách nhiệm

chính trong việc kiểm soát các kết nối mới được khởi tạo

•Voluntary Tunneling thì khác, được khởi tạo, giám sát và quản

lý bởi người dùng Không giống như Compulsory Tunneling –

thường được quản lý bởi các nhà cung cấp dịch vụ, mô hình này

yêu cầu người dùng trực tiếp khởi tạo kết nối với đơn vị ISP bằng

cách chạy ứng dụng client VPN

3.2 Các giao thức yêu cầu của kỹ thuật Tunneling

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức

(như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).

Người dùng có thể đặt một gói tin sử dụng giao thức không được

hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó

an toàn qua Internet Hoặc, họ có thể đặt một gói tin dùng địa chỉ

IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.

Mã hóa là quá trình biến đổi nội dung thông tin nguyên bản ở dạng đọc được (clear text hay plain text) thành một dạng văn

bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó

không có khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép Giải mã là quá trình ngược lại của

mã hoá, tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép

3.3 Mã hóa và giải mã

Mạng riêng ảo VPN và ứng dụng hạ tầng Public Key

• VPN truy cập từ xa (Remote acccess VPN)

• VPN điểm nối điểm (Site – to – site VPN)

4 Các dạng kết nối VPN

Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để truy cập vào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất là một server)

Vì vậy, giải pháp này thường được gọi là client/server Trong giải pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel về mạng trung tâm của họ

4.1 VPN truy cập từ xa (Remote access VPN)

Ưu và nhược điểm của Remote Access VPN

• Ưu điểm Remote Access VPN:

VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết nối từ xa do các nhà cung cấp dịch vụ Internet đảm

nhiệm

Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPN truy nhập từ xa chính là các kết nối Internet

VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó

hỗ trợ dịch vụ truy cập ở mức độ tối thiểu

• Nhược điểm của Remote Access VPN:

Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ (QoS)

Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể bị thất thoát

Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trình xác nhận

4.2 Site-to-Site VPN (LAN-to-LAN)

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa

và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở

cả hai giao diện Tunnel

4.2.1 Intranet VPN

Intranet VPN được sữ dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corperate Intranet (backbone router) sử dụng campus router (Hình a) Theo mô hình này sẽ rất tốn chi phí

do phải sử dụng 2 router để thiết lập được mạng Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet (Hình b)

Hình

a

Hình b

4.2.1 Intranet VPN (TT)

• Những ưu điểm chính của giải pháp này bao gồm:

 Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay nhiều nhà cung cấp dịch vụ Internet.

 Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở

xa.

 Do kết nối trung gian được thực hiện thông qua Internet nên nó có

thể dễ dàng thiết lập thêm một liên kết ngang hàng mới.

 Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao.

• Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định như:

 Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).

 Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao.

 Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương

tiện với yêu cầu tốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môi trường Internet.

4.2.2 Extranet VPN (VPN mở rộng)

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khác nhau giữa VPN nội bộ và VPN mở rộng là sự truy nhập mạng được công

nhận ở một trong hai đầu cuối của VPN.

4.2.2 Extranet VPN (VPN mở rộng) (TT)

• Một số ưu điểm của Extranet:

• Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức

• Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung

cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì

• Dễ dàng triển khai, quản lý và chỉnh sữa thông tin

• Những điểm bất lợi của Extranet:

• Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

• Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

• Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp

• Do dựa trên Internet, QoS cũng không được bảo đảm thường

xuyên

Mạng riêng ảo VPN và ứng dụng hạ tầng Public Key

5.Các giao thức kết nối VPN

Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều giao thức đường hầm khác nhau, việc sử dụng giao thức nào liên quan đến các phương pháp xác thực và mã hóa đi kèm Như đã giới thiệu ở trên, các giao thức đường hầm phổ biến hiện nay là:

 PPTP - Point-to-Point Tunneling Protocol

 L2TP - Layer 2 Tunneling Protocol

 SSTP – Secure Socket Tunneling Protocol

5.1 Giao thức PPTP (Point-to-Point

Tunneling Protocol)

PPTP (Point-to-Point Tunneling Protocol) VPN là công

nghệ VPN đơn giản nhất, sử dụng kết nối Internet được cung cấp

bởi ISP để tạo tunnel bảo mật giữa client và server hoặc client và

client. PPTP là ứng dụng dựa trên hệ thống VPN, có thể các bạn

cũng biết rằng Windows đã tích hợp sẵn chức năng PPTP bên trong,

và tất cả những gì cần thiết để kết nối tới hệ thống VPN chỉ là 1 phần mềm hỗ trợ VPN client Mặc dù PPTP không có một số cơ chế

bảo mật để đảm bảo luồng thông tin, dữ liệu (Point to Point

Protocol đảm nhận việc này với PPTP), thì Windows, về mặt cơ

bản đã tiến hành xác nhận và mã hóa với PPTP để mã hóa các

package trước đó. 

Sơ đồ đóng gói dữ liệu PPTP

5.2 Giao thức L2TP - Layer 2 Tunneling Protocol

Là chuẩn giao thức do IETF (IETF-The Internet Engineering Task Force) đề xuất, L2TP tích hợp cả hai điểm mạnh là truy nhập từ xa của L2F(Layer 2 Forwarding của Cisco System) và tính kết nối nhanh Point - to Point của Microsoft (Point to Point Tunnling Protocol của Microsoft) Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm cho các frame và sử dụng giao thức PPP truyền dữ liệu trong đường hầm

5.3 Giao thức SSTP – Secure Socket

Tunneling Protocol

SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong Windows Vista và Windows Server 2008 SSTP sử dụng các kết nối HTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway SSTP là một giao thức rất an toàn vì các thông tin quan trọng của người dùng không được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN

gateway SSTP cũng được biết đến với tư cách là PPP

( Point-to-point Protocol) trên SSL, chính vì thế nó cũng có nghĩa là bạn có

chứng thực PPP và EAP để bảo đảm cho các kết nối SSTP được

an toàn hơn

Kết Luận

• VPN đang trên đà phát triển ở việt nam nói riêng và thế giới nói chung kéo theo đó rất nhiều giải pháp để tạo một kết nối VPN được đưa ra cả về phần cứng và phần mềm từ các nhà

sản xuất Hi vọng trong tương lai các nhà sản xuất sẽ ngày

càng đưa ra nhiều giải pháp để tạo ra các mạng riêng ảo với chi phí thấp đơn giản cho việc vận hành vào bảo trì khi đó một người không chuyên về IT cũng hoàn toàn có thể tạo ra một mạng riêng ảo để phục vụ nhu cầu kết nối cá nhân

TÀI LIỆU THAM KHẢO

• [1] TCP/IP protocol suite Behrouz A Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill

• [2] Cải tiến giao thức Internet phiên bản 6 (IPv6) Tạp chí Bưu Chính Viễn Thông- kỳ 1 tháng 12/2003

• [3] Công nghệ chuyển mạch IP Chủ biên:TS.Lê Hữu Lập, Biên soạn: KS Hoàng Trọng Minh Học viện CNBCVT 11/2000

• [4] Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft

Corperation, Inc

• [5] Understanding Virtual Private Networking Copyrignt © 2001, ADTRAN, Inc

• [6] VPN Technologies: Sefinitions and Requirements Copỷignt © 2002, VPN Consortium

• [7] CCSP Cisco Secure VPN Exam Certification Guide John F Roland and Mark J Newcomb Copyright © 2003 Cisco Systems, Inc

• [8] IPSec Copyright © 1998, Cisco Systems, Inc

• [9] Security Protocols Overview Copyright © 1999, RSA Data Security, Inc

• [10] Public Key Infranstructure Copyright © 2001, SecGo Solution Oy.

• [11] Secure Network Communication (part I, II, III, IV) Copyright © 2002, Zurcher

Hochschule Winterthur.

XIN CHÂN THÀNH CẢM ƠN SỰ

CHÚ Ý THEO DÕI CỦA QUÝ THẦY/

CÔ