TỔNG QUAN VPN Table of Contents 1. Định nghĩa VPN 3 2. Lợi ích của VPN 4 3. Chức năng của VPN 5 4. Các dạng kết nối VPN 5 4.1Các thành phần cần thiết để tạo kết nối VPN. 5 4.2 Các dạng kết nối VPN 6 5. VPN và các vấn đề an toàn bảo mật trên Internet. 13 5.1 An toàn và tin cậy. 14 5.2 Hình thức an toàn 15 I. Mã hóa và chứng thực trong VPN. 16 1. Mã hoá trong VPN. 16 1.1 Thuật toán mã hoá DES 16 1.2 Thuật toán mã hoá 3DES. 19 1.3 Giải thuật hàm băm (Secure Hash Algorithm). 19 1.4 Giải thuật RSA 20 2. Chứng thực trong VPN. 21 2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng mật khẩu. 22 2.2 Challenge Handshare Authentication Protocol (CHAP). 22 3 Firewall 22 3.1 Khái niệm về Firewall. 22 3.2 Các thành phần của Firewall. 23 3.3 Những hạn chế từ Firewall 28 3.4 Thiết lập chính sách cho Firewall. 28 3.5 Một số loại Firewall 28 3.6 Mô hình kết hợp Firewall với VPN. 31 II. Các giao thức trong VPN 32 1. Giao thức IPSec (IP Security Protocol): 32 1.1 Cấu trúc bảo mật 32 1.2 Hiện trạng 33 1.3 Chế độ làm việc của IPSec 33 1.3.1 Chế độ chuyển vận (Transport mode) 33 1.3.2 Chế độ đường hầm ( Tunnel Mode ): 33 2 Giao thức PPTP và L2TP 35 2.1 Giao thức định đường hầm điểm tới điểm (PointtoPoint Tunneling 35 Protocol) 35 2.2 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol) 36 2.3. Quan hệ giữa L2TP với PPP 36 2.4 Ứng dụng L2TP trong VPN. 37 2.5 So sánh giữa PPTP và L2TP 37 3. SSL 38 3.1 Những bổ sung SSL Client (SSL Client Implementations) 40 3.2 SSL Protection 40 4. đánh giá chung về SSL và IPSec 41 4.1 Kiểu kết nối, kiểu truy cập : 41 4.2 Phần mềm khách (Client software): 41 4.3 Độ tin cậy của thiết bị truy nhập hay mạng từ xa: 42 4.4 Kiểm soát truy cập (Access Control): 42 4.5 Độ bảo mật (security): 43 4.6 Tương thích Firewall, NAT: 43 4.7 Ứng dụng: 43 5. Xu hướng 45
TỔNG QUAN VPN Table of Contents Table of Contents Lợi ích VPN Chức VPN Các dạng kết nối VPN 4.1Các thành phần cần thiết để tạo kết nối VPN .5 4.2 Các dạng kết nối VPN VPN vấn đề an toàn bảo mật Internet 13 5.1 An toàn tin cậy 14 5.2 Hình thức an toàn 14 Mã hoá VPN 16 1.1 Thuật toán mã hoá DES 16 1.3 Giải thuật hàm băm (Secure Hash Algorithm) 19 1.4 Giải thuật RSA 19 2.1 Password Authentication Protocol (PAP): Giao thức chứng thực mật 21 2.2 Challenge Handshare Authentication Protocol (CHAP) 21 Firewall .22 3.1 Khái niệm Firewall 22 3.2 Các thành phần Firewall 23 3.3 Những hạn chế từ Firewall 27 3.4 Thiết lập sách cho Firewall .27 3.5 Một số loại Firewall 28 3.6 Mô hình kết hợp Firewall với VPN .30 Giao thức IPSec (IP Security Protocol): 31 1.1 Cấu trúc bảo mật .32 1.2 Hiện trạng 32 1.3 Chế độ làm việc IPSec 33 1.3.1 Chế độ chuyển vận (Transport mode) .33 1.3.2 Chế độ đường hầm ( Tunnel Mode ): 33 Giao thức PPTP L2TP 34 2.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling .34 Protocol) 34 2.2 Giao thức định đường hầm lớp (Layer Tunneling Protocol) 35 2.3 Quan hệ L2TP với PPP 36 2.4 Ứng dụng L2TP VPN 36 2.5 So sánh PPTP L2TP 37 SSL 38 3.1 Những bổ sung SSL Client (SSL Client Implementations) 39 3.2 SSL Protection 40 4.1 Kiểu kết nối, kiểu truy cập : 40 4.2 Phần mềm khách (Client software): 41 4.3 Độ tin cậy thiết bị truy nhập hay mạng từ xa: .41 4.4 Kiểm soát truy cập (Access Control): 42 4.5 Độ bảo mật (security): 42 4.6 Tương thích Firewall, NAT: 43 4.7 Ứng dụng: 43 I Tổng quan VPN Trong thời đại ngày Internet phát triển mạnh mẽ mặt mô hình công nghiệp, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà không xem xét đến máy mạng mà người sử dụng sử dụng Để làm điều người ta sử dụng máy tính đặc biệt gọi Router để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ giáo dục từ xa, mua hang trực tuyến, tư vấn y tế,và nhiều điều khác trở thành thực Tuy nhiên Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình mạng nhằm thoã mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riên ảo (Virtual Private Network – VPN ) Với mô hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường hay văn phòng chi nhánh kết nối an toàn đến máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an toàn thông tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN giống WAN (Wire Area Network), nhiên đặc tính định VPN chúng dùng mạng công cộng Internet mà đảmbảo tính riêng tư tiết kiệm nhiều Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng ( Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng đường leased-line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an toàn bảo mật VPN cung cấp chế mã hoá liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hoá hay chế giấu đi, cung cấp phần đầu gói liệu (header) thông tin đường cho phép đến đích thông qua mạng công cộng cách nhanh chóng Dữ liệu mã hoá cách cẩn thận packet bị bắt lại đường truyền công cộng đọc nội dùng khoá để giải mã Liên kết với liệu mã hoá đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1: mô hình mạng vpn Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền thống mạng leased-line Những lợi ích bao gồm: • Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% • Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, băng cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối từ xa văn phòng, vị trí • • • • • quốc tế, người truyền thông, người dùng điện thoại di động, người hoạt động kinh doanh bên yêu cầu kinh doanh đòi hỏi Đơn giản hóa gánh nặng Những cấu trúc mạng ống, giảm việc quản lý gánh nặng: Sử dụng giao thức Internet backbone loại trừ PVC tĩnh hợp với kết nối hướng giao thức Frame Relay ATM Tăng tính bảo mật: Các liệu quan trọng che giấu người quyền truy cập cho phép truy cập người dùng có quyền truy cập Hỗ trợ giao thức mạng thông dụng TCP/IP Bảo mật địa IP: Bởi thông tin gửi VPN mã hoá địa bên mạng riêng che giấu sử dụng địa bên Internet Chức VPN VPN cung cấp chức • Sự tin cậy (Confidentiality): Người gửi mã hoá gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, không truy nhập thông tin mà không phép, mà lấy thông tin không đọc thông tin mã hoá • Tính toàn vẹn liệu (Data Integrity): Người nhận kiểm tra liệu truyền qua mạng Internet mà thay đổi • Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thong tin Các dạng kết nối VPN 4.1Các thành phần cần thiết để tạo kết nối VPN • User Authentication: Cung cấp chế chứng thưc người dùng, cho phép người dùng hợp lệ kết nối truy cập hệ thống VPN • Address Management: cung cấp địa IP hợp lệ cho người dung sau gia nhập hệ thống VPN để truy cập tài nguyên mạng nội • Data Encryption: cung cấp giải pháp mã hóa liệu trình truyển nhằm đảm bảo tính riêng tư toàn vẹn liệu • Key Management: cung cấp giải pháp quản lý khóa dung cho trình mã hóa giải mã liệu 4.2 Các dạng kết nối VPN a remote Access VPNs: Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền thong nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Remote Access VPN mô tả việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thong qua gateway VPN concentrator (bản chất sever) Vì lý này, giải pháp thường gọi client/sever Trong giải pháp người dùng thường sử dụng công nghệ WAN truyền thống để tạo lại tunel mạng HO họ Một hướng phát triển remote access VPN dùng wireless VPN, nhân viên truy cập mạng họ thông qua kết nối không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm wireless (wireless terminal) sau mạng công ty Trong hai trường hợp, phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi tunnel Một phần quan trọng thiết kế việc thiết kế trình xác thực ban đầu nhằm để đảm bảo yêu cầu xuất phát từ người tin cậy Thường giai đoạn ban đầu dựa sách bảo mật công ty Chính sác bao gồm: quy trình (procedure), kỹ thuật, sever (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Control System Plus [TACACS+] …) Một số thành phần chính: - Remote Access Sever (RAS) : đặt trung tâm có nhiệm vụ xác nhận chứng thực yêu cầu gửi tới - Quay số kết nối tới trung tâm, điều làm giảm chi phí cho số yêu cầu xa so với trung tâm - Hỗ trợ cho người có nhiệm vụ cấu hình, vảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Hình 1: The non-VPN remote access setup - Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài nguyên thông qua Internet Thông tin Remote Access Setup mô tả hình vẽ sau: Figure 1-3: The Remote Access VPN setup Từ hình ta suy thuận lợi Remote Access VPNs: - Sự cần thiết RAS việc kết hợp với modem loại trừ - Sự cần thiết hỗ trợ cho người dùng cá nhân loại trừ kết nối từ ca tạo điều kiện thuận lợi ISP - Việc quay số từ khoảng cách ca loại trừ, thay vào đó, kết nối với khoảng xa thay vởi kết nối cục - Giảm giá thành chi phí cho kết nối với khoảng xa - Do mối kết nối mang tính cục bộ, tốc độ nối kết cao với kết nối trực tiếp đến khoảng cách xa - VPNs cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu cho dù có tăng nhanh chóng kết nối đồng thời đến mạng Ngoài thuận lợi VPNs tồn mội số bất lợi khác như: - Remote Access VPNs không đảm bảo chất lượng phục vụ - Khả dự liệu cao, thêm phân đoạn gói dự liệu bị thất thoát - Do độ phức tập thuật toán mã hóa, protocol overhead tăng đáng kể, điều gây khó khăn cho trình xác nhận Thêm vào đó, việc nén dự liệu lớn gói liệu truyền thông phim ảnh âm chậm b Site - To – Site (Lan – To - Lan): - Site-to-site VPN (Lan-to-Lan VPN): áp dụng để cài đặt mạng từ vị trí kết nối tới mạng vị trí khác thông qua VPN Trong hoàn cảnh việc chứng thực ban đầu thiết bị mạng giao cho người sử dụng Nơi mà có kết nối VPN thiết lập chúng Khi thiết bị mày đóng vai trò gateway, đảm bảo việc lưu thông dự tính trước cho sote khác Các router Firewall tương thích với VPN, tập trung VPN chuyên dụng cung cấp chức Hình 3: site to site VPN - Lan-to-Lan VPN xem Intranet VPN Extranet VPN (xem xét mặt sách quản lý) Nếu xem xét góc độ chứng thực xem IntranetVPN, ngược lại chúng xem ExtranetVPN Tính chặt chẽ việc truy cập site điều khiển hai( Intranet Extranet VPN) theo site tương ứng chúng Giải pháp Site to Site VPN không hoàn toàn Remote Access VPN thêm vào tính chất hoàn thiện - Sự phân biệt Remote Access VPN Lan to Lan VPN đơn mang tính chất tượng trưng xa cung cấp cho muc đích thảo luận Ví dụ thiết bị VPN dựa phần cứng (Router Cisco 3002 chẳng hạn) để phân loại , phải áp dụng hai cách , hardware-based client xuất nết thiết bị truy cập vào mạng mạng có nhiều thiết bị VPN vận hành Một ví dụ khác chế độ mở rộng giải pháp EZ VPN cách dùng router 806 17xx - Lan-to-Lan VPN kết hợp nối hai mạng riêng lẻ thông qua đường hầm bảo mật Đườn hầm bảo mật sử dụng giao thức PPTP, L2TP, IPSec, mục đích Lan-to-Lan VPN kết nối hai mạng đường kết nối lại với nhau, việc thỏa hiệp tích hợp, chứng thực, cẩn mật liệu Bạn thiết lập Lan-to-Lan VPN thông qua kết hợp thiết bị VPN Concentrators, Routers, firewalls - Kết nốt Lan-to-Lan thiết kế để tạo kết nối mạng trực tiếp, hiệu bất chấp khoảng cách vật lý chúng Có thể kết nối luân chuyển thông qua internet mạng không tin cậy Bạn phải đảm bảo vấn đề bảo mật cách sử dụng mã hóa liệu tất gói liệu luân chuyển mạng b.1 Intranet VPNs: Figure 1-4: The intranet setup using WAN backbone - Intranet VPNs sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corperate Intranet(backbone router) sử dụng campus Router, - Theo mô hình tốn chi phí phải sử dụng router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì quản lý mạng Intranet Backbone tốn tùy thuộc vào lượng lưu thông tin mạng phạm vi địa lý toàn mạng Intranet - Để giải vấn đề trên, tốn WAN backbone thay kết nối Intranet với chi phí thấp, điều tiêu tốn lượng chi phí đáng kể việc triển khai mạng Intranet: Figure 1-5: The intranet setup based on VPN 10 kết trụ sở, chi nhánh văn phòng tới mạng tập đoàn VPN sử dụng kết hợp với Firewall để cung cấp bảo vệ an toàn toàn diện cho tổ chức Hình 51: Mô hình kết hợp Firewall VPN Sự truy nhập tài nguyên mạng tập đoàn điều khiển Firewall, qua thiết lập tin tưởng người dùng mạng Tuy nhiên liệu truyền người dùng mạng tập đoàn tiềm ẩn mối nguy hiểm như: Rò rỉ, cắp hay thay đổi thông tin người dùng bất hợp pháp luồng thông tin ngang qua mạng công cộng Internet Do VPN tạo để cung cấp an toàn liệu riêng tư hai vị trí mạng Như việc sử dụng kết hợp hai công nghệ Firewall mạng riêng ảo VPN giải pháp tối ưu hiệu an toàn thông tin cao II Các giao thức VPN Giao thức IPSec (IP Security Protocol): IPSec thực chất giao thức, khung tập giao thức chuẩn mở rộng thiết kế để cung cấp tính xác thực toàn vẹn liệu Giao thức IPSec làm việc tầng Network Layer- Layer mô hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng đến tầng mô hình OSI) Điều tạo 31 tính mềm dẻo cho IPSec, giao thức hoạt động tầng với TCP, UDP, hầu hết giao thức sử dụng tầng IPSec có tính cao cấp SSL phương thức khác hoạt động tầng mô hình OSI Với ứng dụng sử dụng IPSec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mô hình OSI đoạn mã ứng dụng bị thay đổi lớn 1.1 Cấu trúc bảo mật IPSec triển khai (1) sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trình truyền,(2) phương thức xác thực (3) thiết lập thông số mã hoá Xây dựng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kêt hợp thuật toán thông số (ví dụ khoá-keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPSec IPSec bao gồm nhóm giao thức bảo mật đáp ứng mã hoá xác thực cho gói tin IP Trong bước thực phải định cần bảo vệ cung cấp cho gói tin outgoing (đi ngoài), IPSec sử dụng thông số Security Parameter Index (SPI), trình Index ( đánh thứ tự lưu liệu – Index ví danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài địa đích header gói tin, với nhận dạng thoả hiệp bảo mật cho gói tin Một trình tương tự làm với gói tin vào (incoming packet), nơi IPSec thực trình giải mã kiểm tra khoá từ SADB Cho gói multicast, thoả hiệp bảo mật cung cấp cho group, thực cho toàn receiver group Có thể có thoả hiệp bảo mật cho group, cách sử dụng SPI khác nhau, nhiên cho phép thực nhiều mức độ bảo mật cho group Mỗi người gửi có nhiều thoả hiệp bảo mật, cho phép xác thực, người nhận biết keys gửi liệu Chú ý chuẩn không miêu tả làm để thoả hiệp lựa chọn việc nhân từ group tới cá nhân 1.2 Hiện trạng IPSec phần bắt buộc IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kế cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 Các giao thức IPSec định nghĩa từ RFCs 1825 -1829, phổ biến năm 1995 Năm 1998, nâng cấp với phiên RFC 2401-2412, không tương thích với chuẩn 1825-1829 Trong tháng 12 năm 2005, hệ thứ chuẩn IPSec, RFC 430132 4309 Cũng không khác nhiều so với chuẩn RFC 2401-2412 hệ cung cấp chuẩn IKE second Trong hệ IP security viết tắt lại IPSec 1.3 Chế độ làm việc IPSec 1.3.1 Chế độ chuyển vận (Transport mode) Chế độ hỗ trợ truyền thông tin máy máy chủ với máy khác mà can thiệp gateway làm nhiệm vụ an ninh mạng Trong Transport mode, liệu bạn giao tiếp gói tin mã hoá xác thực Trong trình Routing, IP header không bị chỉnh sữa hay mã hoá; nhiên authentication header sử dụng, địa IP chỉnh sửa ( ví dụ port number) Transport mode sử dụng tình giao tiếp host-tohost Điều có nghĩa đóng gói thông tin IPSec cho NAT traversal định nghĩa thông tin tài liệu RFC NAT-T 1.3.2 Chế độ đường hầm ( Tunnel Mode ): Chế độ hỗ trợ khả truy nhập từ xa liên kết an toàn Website Chế độ chuyển vận sử dụng AH ESP phần tầng chuyển vận gói tin IP Phần liệu thực giao thức IP phần bảo vệ toàn gói tin Phần header gói tin IP với địa điểm truyền điểm nhận không bảo vệ Khi áp dụng AH ESP AH áp dụng sau để tính tính toàn vẹn liệu tổng lượng liệu Mặt khác chế độ đường hầm cho phép mã hoá tiếp nhận toàn gói tin IP Các cổng bảo mật sử dụng chế độ để cung cấp dịch vụ bảo mật thay cho thực thể khác mạng Các điểm truyền thông đầu cuối bảo vệ bên gói tin IP đến điểm cuối mã hoá lại lưu gói tin IP truyền Một gateway bảo mật thực phân tách gói tin IP đến cho điểm nhận cuối sau IPSec hoàn thành việc sử lý Trong chế độ đường hầm, địa IP điểm đến bảo vệ Trong chế độ đường hầm, có phần header IP phụ thêm vào, chế độ chuyển vận điều IPSec định chế độ đường hầm để áp dụng cho AH ESP Khi host muốn giao tiếp với host 2, sử dụng chế độ đường hầm phép gateway bảo mật cung cấp dịch vụ để đảm bảo an toàn cho việc liên lạc hai nút mạng mạng công cộng IPSec cho phép chế độ bảo mật theo nhiều lớp theo nhiều tuyến truyền Trong đó, phần header gói tin nội hoàn toàn bao bọc phần header gói tin phát Tuy vậy, phải có điều kiện tuyếntruyền không gối chồng lên Đối với việc sử lý luồng liệu truyền đi, tầng IP tham chiếu 33 đến SPD (Security Policy Database ) để định dịch vụ bảo mật cần áp dụng Các chọn lọc lấy từ phần header sử dụng để cách thức hoạt động cho SPD Nếu hoạt động SPD áp dụng tính bảo mật có trỏ, trỏ đến SA SADB ( Security Association Database ) trả Trường hợp SA SADB IKE kích hoạt Sau phần header AH ESP bổ xùng theo cách mà SA định gói tin truyền Với việc sử lý luồng liệu gửi đến, sau nhận gói tin, tầng có nhiệm vụ bảo mật kiểm tra danh mục phương thức bảo mật để đưa hành động sau đây: huỷ bỏ, bỏ qua áp dụng Nếu hành động áp dụng mà SA không tồn gói tin bị bỏ qua Tuy nhiên, SA có SADB gói tin chuyển đến tầng để xử lý Nếu gói tin có chứa phần header dịch vụ IPSec stack IPSec thu nhận gói tin thực sử lý Trong trình sử lý, IPSec lấy phấn SPI, phần địa nguồn địa đích gói tin Đồng thời, SADB đánh số theo tham số để chọn SA địn để sử dụng: SPT, địa đích giao thức Giao thức PPTP L2TP 2.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling Protocol) PPTP số nhiều kỹ thuật sử dụng để thiết lập đường hầm cho kết nối từ xa Giao thức PPTP mở rộng giao thức PPP giao thức PPTP không hỗ trợ kết nối nhiều điểm liên tục mà hỗ trợ kết nối từ điểm tới điểm PPTP hỗ trợ IP, IPX, NetBIOS, NetBEUI, PPTP không làm thay đổi PPP mà giải pháp mới, cách tạo đường hầm việc chuyên chở giao thông PPP 2.1.1 Quan hệ PPTP PPP PPP trở thành giao thức quay số truy cập Internet mạng TCP/IP phổ biến Giao thức làm việc lớp thứ mô hình OSI PPP bao gồm phương pháp đóng gói cho loại gói liệu khác để truyền nối tiếp PPTP dựa PPP để tạo kết nối quay số khách hàng máy chủ truy cập mạng PPTP dựa PPP để thực thi chức o Thiết lập kết thúc kết nối vật lý o Xác thực người dùng o Tạo gói liệu PPP 34 Sau PPP thiết lập kết nối, PPTP sử dụng quy luật đóng gói PPP để đóng gói gói truyền đường hầm đây: H・h 21 Để tận dụng ưu điểm kết nối tạo PPP, PPTP định nghĩa hai loại gói: Gói điều khiển gói liệu gán chúng voà hai kênh riêng Sau đó, PPTP phân tách kênh điều khiển kênh liệu thành luồng diều khiển với giao thức TCP luồng liệu với giao thức IP Kết nối TCP tạo client PPTP với máy chủ PPTP sử dụng để chuyển thông báo điều khiển Sau đường hầm thiết lập liệu truyền từ client sang máy chủ PPTP chứa gói liệu IP Gói liệu IP đóng gói tiêu đề hình sau: H・h 22 Khi đóng gói có sử dụng số ID host cho điều khiển truy cập ACK cho giám sát tốc độ truyền liệu đường hầm PPTP có chế điều khiển tốc độ nhằm giới hạn số lượng liệu truyền Chế độ làm giảm tối thiểu kích thước liệu phải truyền lại gói PPTP cho phép người dùng ISP tạo nhiều loại đường hầm khác Người dùng định điểm kết thúc đường hầm máy tính có cài client PPTP, hay máy chủ ISP máy tính họ có PPP mà PPTP Đường hầm chia làm hai loại: o Đường hầm tự nguyện tạo theo yêu cầu người dùng cho mục đích xác định o Đường hầm bắt buộc tạo không thông qua người dùng suốt người dùng đầu cuối 2.2 Giao thức định đường hầm lớp (Layer Tunneling Protocol) L2TP kỹ thuật nảy sinh để cung cấp kết nối từ xa tới Intranet tập đoàn hay tổ chức L2TP giao thức phát triển hoà trộn hai giao thức PPTP L2F 35 L2TP cung cấp kỹ thuật để xây dựng cho kết nối đường hầm qua giao thức điểm tới điểm PPP Đường hầm vắ đầu tạo người dùng từ xa tới nhà cung cấp dịch vụ Giao thức L2TP cung cấp kết nối từ xa người dùng mạng riêng ảo VPN mà hỗ trợ giao thông đa thủ tục, tất giao thức lớp mạng hỗ trợ giao thức PPP đáng tin cậy Hơn nữa, L2TP cung cấp hỗ trợ cho định vị cho lớp mạng lên sơ đồ kết nối qua Internet 2.3 Quan hệ L2TP với PPP Giao thức định đường hầm lớp 2, L2TP kết hợp hai giao thức PPTP L2F Giống PPTP, L2F giao thức đường hầm, sử dụng tiêu đề đóng gói riêng cho việc truyền gói lớp Điểm khác biệt PPTP L2F L2F không phụ thuộc vào IP GRE Cho phép làm việc môi trương vật lý khác L2TP mang đặc tính PPTP L2F Tuy nhiên, L2TP định nghĩa riêng giao thức đường hầm dựa hoạt động L2F L2TP dựa PPP để tạo kết nối quay số client máy chủ truy cập mạng ( NAS ) L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành xác thực đầu, tạo gói liệu PPP đóng kết nối kết thúc phiên làm việc L2TP tạo nhiều đường hầm ISP máy chủ mạng client 2.4 Ứng dụng L2TP VPN Ví dụ: Công ty hỗ trợ nhà cung cấp dịch vụ VPN Có nghĩa ISP cung cấp kết nối Internet cho công ty có máy chủ Proxy RADIUS LAC Còn công ty trì máy chủ RADIUS LNS Hình 36:Quay số L2TP truy nhập VPN 36 L2TP hệ giao thức quay số truy cập VPN Nó phối hợp đặc điểm tốt PPTP L2F Hầu hết nhà cung cấp sản phẩm PPTP đưa sản phẩm tương thích L2TP giới thiệu sau Mặc dù chạy chủ yếu mạng IP khả chạy mạng Frame Relay, ATM điều làm cho trở nên phổ biến 2.5 So sánh PPTP L2TP Cả hai PPTP L2TP\IPSec sử dụng giao thức kết nối điểm - điểm để cung cấp vỏ bọc sở cho liệu, sau nối thêm phần header vào để truyền qua mạng làm việc Tuy nhiên có khác sau đây: o Với PPTP, liệu bắt đầu mã hoá sau PPP kết nối xử lý ( và, vậy, PPP xác thực ) hoàn thành Với L2TP\IPSec, liệu bắt đầu mã hoá trước PPP kết nối xử lý đàm phán IPSec liên kết bảo mật o PPTP kết nối sử dụng MPPE, chuỗi mật mã RSA RC-4 thuật toán mã hoá sử dụng 40, 56, 128 bit khoá mã hoá Chuỗi mật mã mã hoá liệu bit chuỗi kết nối L2TP\IPSec sử dụng DES, khối mật mã mà sử dụng khoá 56 bit cho DES, khoá 56 bit cho 3- DES Các khối mật mã mã hoá liệu khối riêng biệt ( khối 64 bit, trường hợp DES) o Các kết nối PPTP yêu cầu sử dụng mức chứng thực qua giao thức chứng thực PPP Các kết nối L2TP\IPSec yêu cầu sử dụng mức chứng thực thêm mức máy tính chứng thực sử dụng máy tính cấp chứng nhận 2.5.1 Ưu điểm L2TP Sau thuận lợi sử dụng L2TP\IPSec PPTP Windows 2000: o IPSec cung cấp cho gói liệu chứng thực ( Chứng minh liệu gửi người dùng cho phép), toàn ven liệu (Chứng minh liệu không bị sửa đổi trình truyền ), replay protection ( Ngăn cản từ việc gửi lại chuỗi gói lấy ), liệu tin cậy ( Ngăn cản từ việc phiên dịch gói lấy với khoá mã hoá) Bởi trái ngược, PPP cung cấp cho gói liệu tin cậy o Các kết nối L2TP/IPSec cung cấp chứng thực chắn yêu cầu hai chứng thực mức máy tính qua giấy chứng nhận mức chứng thực người dùng qua giao thức chứng thực PPP o Các gói PPP thay đổi thời gian mức chứng thực người dùng không gửi dạng bảng mã kết nối PPP xử lý cho L2TP/IPSec xuất sau IPSec liên kết bảo mật (SAs) thiết lập Nếu chặc, xác thực PPP thay đổi để vài kiểu giao thức xác thực PPP 37 sử dụng thực thi công từ điển ngoại tuyến định sử dụng mật Bởi mã hoá thay đổi xác thực PPP, công từ điển ngoại tuyến thực sau gói mã hoá hoàn thành giải mã 2.5.2 Ưu điểm PPTP Sau thuận lợi PPTP L2TP/ IPSec Windows 2000 o PPTP không yêu cầu chứng nhận sở hạ tầng L2TP/IPSec yêu cầu chứng nhận sở hạ tầng để đưa chứng nhận máy tính tới máy chủ VPN tất máy khách o PPTP sử dụng máy tính chạy Windows XP, Windows 2000 …với mạng Windows quay số thực thi cập nhật bảo mật L2TP/IPSec sử dụng với Windows XP Windows 2000 máy khách VPN Chỉ khách hỗ trợ giao thức L2TP/IPSec, sử dụng chứng nhận o Các máy khách máy chủ PPTP đặt máy truyền địa mạng (NAT) NAT có máy phụ trách thích hợp cho giao thông PPTP Các máy khách máy chủ L2TP/IPSec đặt NATunnless hai hỗ trợ IPSec NAT traversal (NAT-T) IPSec NAT-T hỗ trợ Windows Server 2003 SSL Thuật ngữ SSL VPN dùng để dòng sản phẩm VPN phát triển nhanh chóng dựa giao thức SSL Cũng cần nói rõ thân giao thức SSL không liên kết SSL với VPN mô hình Dùng SSL VPN, kết nối người dùng từ xa tài nguyên mạng công ty thông qua kết nối HTTPS lớp ứng dụng thay tạo “đường hầm” lớp mạng giải pháp IPSec [3] SSL VPN giải pháp VPN hướng ứng dụng (application based VPN) 38 Hình 2: Giải pháp SSL VPN SSL xuất bổ sung VPN thị trường Nó thiết kế cho giải pháp truy cập từ xa không cung cấp kết nối site-to-site SSL VPNs cung cấp vấn đề bảo mật truy cập ứng dụng web Bởi SSL sử dụng trình duyệt web, điển hình người sử dụng chạy phần mềm client đặc biệt máy tính họ SSL VPNs hoạt động tầng phiên (session layer) mô hình tiêu chuẩn OSI Và client trình duyệt web, ứng dụng mà chúng hổ trợ trình duyệt web, mặc định, làm việc với giải pháp VPN Vì ứng dụng Telnet, FTP, SMTP, POP3, multimedia, hệ thống điện thoại di động IP, điều khiển desktop từ xa, khác không làm việc với SSL VPNs chúng không sử dụng trình duyệt web cho giao diện đầu cuối người dùng họ Tất nhiên, nhiều nhà cung cấp sử dụng java ActiveX để nâng cao SSL VPNs việc hổ trợ ứng dụng HTTP, khách hàng POP3, SMTP e-mail, tập tin Microsoft Windows chia sẻ máy in Ví dụ bổ sung SSL VPNs Cisco hỗ trợ ứng dụng web chẳng hạn Citrix, Windows Terminal Services, nhiều khác Thêm vào đó, vài nhà cung cấp sử dụng java hay ActiveX để phân phối thành phần SSL VPNs khác, chẳng hạn thêm vào chức bảo mật cho việc xóa hết dấu vết từ hoạt động khách hàng máy tính họ sau SSL VPNs kết thúc Cisco bổ xung SSL VPN WebVPN 3.1 Những bổ sung SSL Client (SSL Client Implementations) Một nguyên nhân mà người quản trị mạng yêu cầu đưa bổ sung SSL VPN giao thức SSL VPNs mà không yêu cầu loại phần mềm đặc biệt VPN Client để cài đặt trước máy tính để bàn người sử dụng Tất nhiên, người sử dụng biết vài phần mềm cần thiết, giống trình duyệt web đươc hổ trợ SSL, đặc thù với Java ActiveX hổ trợ, người sử dụng cài điều từ cài đặt ban đầu máy tính Có loại SSL Client Implementation tổng quát: • Clientless • Thin client • Network client 39 Bởi trình duyệt web yêu cầu máy tính người sử dụng, SSL client thông thường xem “Clientless” “webified” Vì SSL VPN gọi clientless VPN Điều trở ngại clientless VPN giao thông dạng web bảo vệ Đặc thù Thin client phần mềm java ActiveX tải xuống thông qua SSL VPN đến máy tính người sử dụng Nó cho phép tập hợp nhỏ ứng dụng web vận chuyển thông qua SSL VPN Trong việc truy cập dựa vào mạng, SSL client cài đặt máy tính người sử dụng; nhiên, đặc tính tải xuống máy tính người sử dụng 3.2 SSL Protection SSL VPN không cần thiết cung cấp việc bảo vệ liệu tầng network, chẳng hạn IPSec, PPTP, L2TP Client SSL VPN cung cấp việc bảo vệ cho ứng dụng web tầng Session (tầng thứ 5) mà chúng sử dụng trình duyệt web Vì thế, sử dụng việc bảo vệ giao thông vài thứ giới hạn, cho ứng dụng giao thông bảo vệ, vài cách truy cập người sử dụng đến ứng dụng phải thông qua trình duyệt web Tất nhiên, cách kết nối kiểu HTTP dễ dàng bảo vệ người sử dụng sử dụng trình duyệt web cho kiểu chức này, điều xuất vấn đề cho kiểu ứng dụng khác, chẳng hạn Telnet, POP3, SMTP, SNMP, ping, traceroute, FTP, IP telephony, Citrix, Oracle’s SQL*net, tập tin việc chia máy in thông qua Windows Unix nhiều thứ khác đánh giá chung SSL IPSec Trước tiên, cần phải khẳng định SSL VPN IPSec VPN hai công nghệ loại trừ lẫn Thường hai công nghệ đồng thời triển khai công ty Việc xem xét khía cạnh liên quan đến chi phí/lợi nhuận (cost/benefit) vấn đề công nghệ mà hai giải pháp SSL IPsec đề cập giúp cho việc lựa chọn triển khai VPN trở nên dễ dàng Chúng ta xem xét vấn đề mặt sau đây: 4.1 Kiểu kết nối, kiểu truy cập : IPSec VPN phù hợp cho kết nối theo kiểu site-to-site Nó lựa chọn tốt cho mạng LAN từ xa kết nối với hay kết nối với mạng trung tâm Các kết nối yêu cầu băng thông rộng, hiệu suất cao, liệu lớn, kết nối liên tục (always on), cố định đối tượng cung cấp giải pháp IPsec VPN truyền thống Tuy nhiên, dùng cho mục đích truy cập tài nguyên tập trung từ vị 40 trí phân bố rải rác khắp nơi, hay người dùng di động từ xa từ vị trí công cộng tin cậy sân bay, nhà ga, khách sạn, tiệm cà phê internet muốn truy cập vào tài nguyên công ty họ giải pháp IPSec VPN tỏ nhiều bất cập ưu điểm SSL VPN Có thể lấy ví dụ điển hình việc triển khai SSL VPN Công ty Bảo hiểm Việt Nam (Bảo Việt) trình bày hội thảo An ninh mạng Công ty Juniper Networks tổ chức TP Hồ Chí Minh ngày 30/11/2004 Giải pháp SSL VPN Juniper dựa dòng sản phẩm NetScreen phù hợp nhu cầu Bảo Việt Bảo Việt có hàng ngàn đại lý bảo hiểm rải khắp tỉnh thành nước, từ có hàng trăm kết nối di động đến Trung tâm liệu Bảo Việt Do giải pháp SSL VPN phù hợp Tuy nhiên, Bảo Việt dự tính xây dựng thêm trung tâm liệu thứ hai việc kết nối hai trung tâm (dạng site-tosite) qua môi trường Internet giải pháp IPSec cần xem xét 4.2 Phần mềm khách (Client software): IPSec VPN yêu cầu cần phải có phần mềm client cài đặt máy tính để bàn máy tính xách tay Điều làm hạn chế tính linh động người dùng kết nối VPN phần mềm IPSec client nạp Trong với giải pháp SSL VPN, cần hệ điều hành có tích hợp trình duyệt (browser) hỗ trợ SSL thực kết nối an toàn Sự có mặt khắp nơi trình duyệt tất thiết bị từ máy tính đến PDA, điện thoại thông minh… làm công nghệ VPN dựa SSL dễ triển khai Vì cần phải cài phần mềm IPsec client thiết bị truy cập từ xa, nên điều làm tăng thêm chi phí quản trị, cấu hình Với công ty có hàng trăm, chí hàng ngàn người dùng từ xa việc cài đặt, quản lý, hỗ trợ người dùng giải pháp IPSec công việc tốn nhiều thời gian, công sức, tài nguyên tiền bạc công ty SSL VPN thật giải pháp hiệu trường hợp 4.3 Độ tin cậy thiết bị truy nhập hay mạng từ xa: Với IPSec VPN, người dùng từ xa hay mạng LAN từ xa kết nối với trung tâm dễ dàng truy cập đến toàn tài nguyên mạng thể họ ngồi trung tâm Vì vậy, thiết bị hay mạng từ xa phải tin cậy (trusted), mặt khác thiết bị truy cập quản lý cài đặt cấu hình nên IPSec VPN đáp ứng nhu cầu Tuy nhiên, việc trở nên khó khăn cung cấp giải pháp cho người dùng từ xa độ tin cậy tương tự thiết bị truy cập đa dạng PDA, điện thoại thông minh (smart phone) không quản lý hay cài đặt cấu hình IPSec client 41 Bảng 1: So sánh IPSec VPN SSL VPN theo quan điểm kiểu kết nối 4.4 Kiểm soát truy cập (Access Control): IPSec VPN thiết kế để mở rộng phạm vi mạng LAN Người dùng chi nhánh văn phòng muốn truy cập không hạn chế tài nguyên mạng cách hiệu quả, đòi hỏi sách an ninh mạng từ xa tương tự mạng trung tâm Do giải pháp IPSec áp dụng hiệu cho mô hình site-to-site Sự việc khác cho phép nhân viên thường xuyên di chuyển, đại lý, nhà cung cấp, nhà thầu, đối tác thương mại kết nối vào mạng Và giải pháp SSL VPN lựa chọn hợp lý nhằm giảm thiểu nguy đến từ kết nối nhờ chế kiểm soát chi tiết (granular access control) 4.5 Độ bảo mật (security): Khi so sánh SSL VPN IPsec VPN thường có câu hỏi đặt “Giao thức an toàn hơn?”[3] Thật ra, hai nghi thức bảo mật hoàn tất nhiệm vụ tương tự Chúng cung cấp phương pháp trao đổi khóa an toàn (secure key exchange) phương pháp mã hóa mạnh Mặc dù hai công nghệ khác nhau, tiến hành thiết lập, triển khai hệ thống theo phương thức khác nhau, chúng chia sẻ chung số đặc trưng chế mã hóa mạnh, dùng khóa phiên (session key), khả xác thực sử dụng phương 42 pháp, công nghệ như: Triple DES, 128-bit RC4, MD5, SHA1, RADIUS, Active Directory, LDAP, X.509 4.6 Tương thích Firewall, NAT: Việc kết nối IPSec thông qua Firewall khó khăn IPSec dùng giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload) Nếu Firewall ISP ngăn không cho hai nghi thức qua ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để thương lượng thông số bảo mật trước kết nối IPSec thực Một thách thức khác không tương thích IPSec với dịch địa mạng NAT (Network Address Translation) Trong đó, giải pháp SSL VPN tương thích hoàn toàn với Firewall, NAT hay server proxy 4.7 Ứng dụng: IPSec VPN hỗ trợ tất ứng dụng tảng IP Một kênh IPSec thiết lập, tất dịch vụ ứng dụng từ ứng dụng truyền thống web, thư điện tử, truyền tệp đến ứng dụng khác ICMP, VoIP, SQL* net, Citrix ICA, ứnh dụng đa dịch vụ… cho phép ngang qua kênh Đây ưu điểm IPSec VPN, IPSec VPN cung cấp kết nối an toàn cho ứng dụng không dựa Web (non Web-based applications) Vì vậy, máy khách (client) dùng IPSec thực kết nối VPN gọi fat-client khả cung ứng nhiều dịch vụ ứng dụng Trong đó, khả truy cập ứng dụng, dịch vụ giải pháp SSL VPN dường hạn chế SSL VPN cung cấp ứng dụng Web (Web-based application), ứng dụng email (POP3/IMAP/SMTP) Các máy khách (client) cần dùng trình duyệt (browser) có hỗ trợ SSL thực kết nối VPN mà không cần cài đặt phần mềm client nên gọi clientless thin-client Đa số giải pháp SSL VPN không cung cấp ứng dụng dùng cổng TCP động [5] FTP hay VoIP Hiện nay, người biết đến SSL VPN hỗ trợ ứng dụng Web Thật ra, SSL VPN hỗ trợ ứng dụng TCP sử dụng chương trình chuyển tiếp cổng (port forwarding applet)[6] Terminal Services (RDP protocol) ứng dụng chia sẻ tệp CIFS (Common Internet File Service), Citrix ICA… (riêng dòng sản phẩm Cisco VPN 3000 Concentrator chưa hỗ trợ Citrix ICA, hãng Cisco dự định hỗ trợ ứng dụng phiên tới [6] ) Sau bảng so sánh tóm tắt đặc tính hai giải pháp IPSec SSL VPN 43 Bảng 2: So sánh đặc trưng hai giải pháp VPN: IPSec SSL Xu hướng Hiện nay, với xu hướng thương mại điện tử, nhiều ứng dụng Web xây dựng Một số liệu thống kê cũ cho thấy giới: “Đến cuối năm 2004, 60 % công ty sử dụng thin-client VPN (SSL VPN) thay full, fat-client VPN (IPSec VPN) Năm 2008, doanh số giải pháp SSL VPN vượt qua tỷ USD chi phí 44 trung bình cho người dùng giải pháp SSL VPN từ 60 USD đến 200 USD so với 150 USD đến 300 USD dùng giải pháp IPSec VPN [7] Nhìn vào số ấn tượng trên, có cảm tưởng tương lai thuộc SSL VPN 45 [...]... cũ I Mã hóa và chứng thực trong VPN Với sự phát triển nhanh chóng của Internet, các ứng dụng, dịch vụ trên mạng máy tính: thư điện tử, chuyển và nhận tiền, thương mại điện tử, chính phủ điện tử… đã trở nên phổ biến, thuận lợi và quan trọng thì yêu cầu về an toàn mạng, về an ninh dữ liệu trên mạng ngày càng trở nên cấp bách và cần thiết Tổ chức Interpol đã khuyến cáo về các nguy cơ đối với mạng máy... Do đó rất nhiều quốc gia trên thế giới rất quan tâm đến vấn đề này, các nhà khoa học đã nghiên cứu và đưa ra các thuật toán mã hoá để bảo mật thông tin ngày một tốt hơn tránh nguy cơ rò rỉ, mất mát thông tin cho người dùng, các doanh nghiệp và các quốc gia khi giao dịch, trao đổi thông tin qua mạng toàn cầu Internet Trong ứng dụng công nghệ “ Mạng riêng ảo ” VPN, các thuật toán mã hoá được ứng dụng trong... tại nhiều nhược điểm như: Có thể bẽ gãy bằng những máy có mục đích đặc biệt để tìm ra khóa 1.2.1 Mô tả 3DES Về cấu tạo, 3 DES có nghĩa là 3 lần dùng DES( mã hóa, giải mã, rồi lại mã hóa) bằng các khóa khác nhau Về độ bền thuật toán có khóa 3*56=168 bít, nhưng trên thực tế chỉ có 2*56=112 bit Về tốc độ, 3DES = 0.33 DES Des Encryption Des Encryption Des Encryption Key 1 Ciphertext Plaintext Key 2 Key... đi qua Firewall Một mạng riêng ảo VPN cung cấp những phiên kết nối an toàn dựa trên cơ sở hạ tầng mạng công cộng Internet, do đó mạng riêng ảo VPN sẽ làm giảm chi phí xây dựng cơ sở hạ tầng một mạng máy tính cũng như giá thành truy cập từ xa bằng việc sử dụng tài nguyên, cơ sở hạ tầng mạng công cộng Internet dùng chung bởi nhiều người dùng Công nghệ mạng riêng ảo VPN đã cho phép những công ty xây dựng... dùng bất hợp pháp khi các luồng thông tin đi ngang qua mạng công cộng Internet Do đó VPN được tạo ra để cung cấp sự an toàn dữ liệu riêng tư giữa hai vị trí mạng Như vậy việc sử dụng kết hợp giữa hai công nghệ Firewall và mạng riêng ảo VPN là một giải pháp tối ưu và hiệu quả an toàn thông tin cao II Các giao thức trong VPN 1 Giao thức IPSec (IP Security Protocol): IPSec thực chất không phải là một giao... L2TP có thể tạo nhiều đường hầm giữa ISP và các máy chủ mạng client 2.4 Ứng dụng L2TP trong VPN Ví dụ: Công ty được hỗ trợ bởi nhà cung cấp dịch vụ VPN Có nghĩa là ISP cung cấp kết nối Internet cho công ty có máy chủ Proxy RADIUS và LAC Còn ở tại công ty duy trì máy chủ RADIUS và LNS Hình 36:Quay số L2TP truy nhập VPN 36 ... Intranet setup dựa trên VPN theo hình 1-5: - Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone - Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số Remote site khác nhau - Bởi vì Intranet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng - Kết nối nhanh hơn và tốt hơn do về bản chất kết nối... xuyên, và QoS(quality of service) không được đảm bảo b.2 Extranet VPNs: - Không giống như Intranet và Remote Access- based, Extranet không hoàn toàn cách li từ bên ngoài (Router-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người dữ vai trò quan trọng trong tổ chức 11 Figure 1-6: The traditional extranet... tính thương mại 1.1.1 Mô tả DES Cấu trúc tổng thể của thuật toán được thể hiện ở Hình 2: có 16 chu trình giống nhau trong quá trình xử lý Ngoài ra còn có hai lần hoán vị đầu và cuối (Initial and final permutation - IP & FP) Hai quá trình này có tính chất đối nhau (Trong quá trình mã hóa thì IP trước FP, khi giải mã thì ngược lại) IP và FP không có vai trò xét về mật mã học và việc sử dụng chúng chỉ... 17 gãy và dò ra khoá rất nhanh 1.1.3 Ứng dụng của thuật toán DES trong thực tế Một ứng dụng rất quan trọng của DES là ứng dụng cho các văn bản trong giao dịch ngân hang sử dụng các tiêu chuẩn được hiệp hội các ngân hang Mỹ phát triển DES được sử dụng để mã hoá các số nhận dạng cá nhân (Pins) và các văn bản về tài khoản được máy thu ngân tự động thực hiện (ATMs)… 1.2 Thuật toán mã hoá 3DES Thuật toán ... mã Liên kết với liệu mã hoá đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1: mô hình mạng vpn Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền... Hình 3: site to site VPN - Lan-to-Lan VPN xem Intranet VPN Extranet VPN (xem xét mặt sách quản lý) Nếu xem xét góc độ chứng thực xem IntranetVPN, ngược lại chúng xem ExtranetVPN Tính chặt chẽ việc... Intranet Extranet VPN) theo site tương ứng chúng Giải pháp Site to Site VPN không hoàn toàn Remote Access VPN thêm vào tính chất hoàn thiện - Sự phân biệt Remote Access VPN Lan to Lan VPN đơn mang