1. Trang chủ
  2. » Giáo án - Bài giảng

Đề tài tìm hiểu VPN (Virtual Private Network)

18 617 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 18
Dung lượng 2,03 MB

Nội dung

MÔN HỌC THỰC TẬP MẠNG MÁY TÍNH ĐỀ TÀI TÌM HIỂU VIRTUAL PRIVATE NETWORK Nguồn ảnh: https://www.remoteutilities.com/ MỤC LỤC Phần 2: NỘI DUNG ĐỀ TÀI I VPN gì? VPN từ viết tắt Virtual Private Network, dịch tiếng Việt hệ thống mạng cá nhân ảo hay hệ thống mạng riêng ảo Là mạng riêng (private) sử dụng hệ thống mạng công cộng (public) (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm, thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Nếu hệ thống mạng theo mô hình Private với mức chi phí cao đường truyền riêng biệt để thực kết nối tới node công nghệ VPN giúp người sử dụng cắt giảm nhiều lượng chi phí ban đầu phát sinh so với hệ thống Public Private Network, đồng thời cho phép doanh nghiệp, tổ chức sử dụng giao tiếp WAN để kết nối tới hệ thống public private tương ứng Lý lại gọi hệ thống ảo – Virtual mô hình không yêu cầu thiết bị vật lý để bảo mật liệu truyền tải Công nghệ VPN sử dụng nhiều Hình Mô hình VPN (Nguồn ảnh: ) chế độ mã hóa thông tin khác nhằm chống lại việc xâm nhập trái phép từ phía hacker, chương trình có chứa mã độc phương pháp công hệ thống phổ biến, cụ thể VPN sử dụng kỹ thuật tunneling để đảm bảo mức độ an ninh liệu, dễ dàng tương thích với nhiều hệ thống kỹ thuật khác Hiện nay, VPN dần trở nên phổ biến người dùng thường làm việc nhiều nơi khác không hoàn toàn cố định trước Cơ chế hoạt động VPN: • Cách thức làm việc VPN đơn giản, không khác biệt nhiều so với mô hình server – client thông thường • Server chịu trách nhiệm việc lưu trữ chia sẻ liệu sau mã hóa, giám sát cung cấp hệ thống gateway để giao tiếp xác nhận tài khoản client khâu kết nối • Client VPN, tương tự client hệ thống LAN, tiến hành gửi yêu cầu – request tới server để nhận thông tin liệu chia sẻ, khởi tạo kết nối tới client khác hệ thống VPN xử lý trình bảo mật liệu qua ứng dụng cung cấp II III Chức VPN cung cấp chức là: Tính xác thực Để thiết lập kết nối VPN trước hết phía cần phải xác thực lẫn để đảm bảo trao đổi thông tin với người mà mong muốn khác Tính toàn vẹn Đảm bảo liệu xáo trộn hay thay đổi trình truyền dẫn Tính bảo mật Phía gửi tiến hành mã hóa thông tin trước gửi vào đường truyền sau giải mã phía nhận Điều giúp đảm bảo thông tin không bị lộ, đánh cắp, chí có bị đánh cắp đọc giải mã Phân loại VPN Mạng riêng ảo VPN cung cấp nhiều khả ứng dụng khác Yêu cầu VPN phải điều khiển quyền truy nhập khách hàng, nhà cung cấp dịch vụ đối tượng bên khác Dựa vào hình thức ứng dụng khả mà mạng riêng ảo mang lại, phân chúng thành hai loại sau: VPN truy nhập từ xa (Remote Access VPN) VPN điểm tới điểm (Site-to-Site VPN) Trong mạng VPN điểm tới điểm lại chia thành hai loại là: VPN cục (Intranet VPN) VPN mở rộng (Extranet VPN) VPN truy nhập từ xa (Remote Access VPN) Đúng tên gọi loại cung cấp khả truy cập từ xa cho người sử dụng Thường áp dụng cho nhân viên làm việc lưu động hay làm việc nhà muốn kết nối vào mạng công ty cách an toàn, văn phòng nhỏ xa kết nối vào văn phòng trung tâm công ty thông qua gateway tập trung VPN (bản chất server)  giải pháp client/server Remote Access VPN xem dạng User-to-LAN, cho phép người dùng xa dùng phần mềm VPN Client kết nối với VPN Server VPN giải pháp thiết kế mạng hay, hoạt động nhờ vào kết hợp với giao thức đóng gói, MPLS, SSL, TLS,… Hình Mô hình VPN truy nhập từ xa VPN truy nhập từ xa kiểu điển hình chúng thiết lập vào thời điểm đâu miễn có mạng internet VPN truy nhập từ xa mở rộng mạng công ty tới người sử dụng thông qua sở hạ tầng chia sẻ chung, sách mạng công ty trì Chúng dùng để cung cấp truy nhập an toàn cho nhân viên thường xuyên phải lại, chi nhánh hay đối tác, khách hàng công ty Những kiểu VPN thực thông qua sở hạ tầng công cộng cách sử dụng công nghệ ISDN (Integrated Services Digital Network-Mạng số tích hợp đa dịch vụ), quay số, IP di động, DSL (Digital Subscriber Line) hay công nghệ cáp thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng: SoftEther VPN client, Avaya VPN Client,… Một hướng phát triển VPN truy nhập từ xa dùng VPN không dây (Wireless), nhân viên truy nhập mạng họ thông qua kết nối không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm không dây (Wireless Terminal) sau mạng công ty Trong hai trường hợp (có dây không dây), phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi đường hầm Một vấn đề quan trọng việc thiết kế trình xác thực ban đầu để đảm bảo yêu cầu xuất phát từ nguồn tin cậy Thường giai đoạn ban đầu dựa sách bảo mật công ty Chính sách bao gồm số qui trình kỹ thuật ứng dụng chủ, ví dụ Remote Authentication Dial-In User Service (RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),… điểm Nhược Ưu điểm Ưu điểm && nhược điểm - VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng trình kết nối từ xa ISP thực hiện; - Giảm chi phí cho kết nối từ khoảng cách xa - VPN truy nhập từ xa không hỗ trợ dịch vụ đảm bảo QoS; - Khả liệu cao, thêm phân đoạn gói liệu bị thất thoát VPN điểm tới điểm (Site-to-Site VPN) VPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) giải pháp kết nối hệ thống mạng nơi khác với mạng trung tâm thông qua VPN Trong tình này, trình xác thực ban đầu cho người sử dụng trình xác thực thiết bị Các thiết bị hoạt động Cổng an ninh (Security Gateway), truyền lưu lượng cách an toàn từ Site đến Site Các thiết bị định tuyến hay tường lửa với hỗ trợ VPN có khả thực kết nối Sự khác VPN truy nhập từ xa VPN điểm tới điểm mang tính tượng trưng Nhiều thiết bị VPN hoạt động theo hai cách VPN điểm tới điểm xem VPN cục mở rộng xét từ quan điểm quản lý sách Nếu hạ tầng mạng có chung nguồn quản lý, xem VPN cục Ngược lại, coi mở rộng Vấn đề truy nhập điểm phải kiểm soát chặt chẽ thiết bị tương ứng a VPN cục VPN cục dạng cấu hình tiêu biểu VPN điểm tới điểm, sử dụng để bảo mật kết nối địa điểm khác công ty (hình 1.3) Nó liên kết trụ sở chính, văn phòng, chi nhánh sở hạ tầng chung sử dụng kết nối mã hoá bảo mật VPN cục cung cấp đặc tính mạng WAN khả mở rộng, tính tin cậy hỗ trợ cho nhiều kiểu giao thức khác với chi phí thấp đảm bảo tính mềm dẻo điểm Nhược Ưu điểm Ưu điểm && nhược điểm - Mô VPNdiện cục rộng thiết lập CácHình mạng cục hình hay thông qua hay nhiều nhà cung cấp dịch vụ; - Giảm số nhân viên kỹ thuật hỗ trợ mạng đối - Do liệu truyền “ngầm” qua mạng công cộng Internet nên mối đe dọa mức độ bảo mật liệu chất lượng dịch vụ (QoS); b VPN mở rộng VPN mở rộng cấu VPN điểm tới điểm, cung cấp đường hầm bảo mật khách hàng, nhà cung cấp đối tác thông qua sở hạ tầng mạng công cộng Kiểu VPN sử dụng kết nối bảo mật không bị cô lập với giới bên trường hợp VPN cục hay truy nhập từ xa Giải pháp VPN mở rộng cung cấp khả điều khiển truy nhập tới nguồn tài nguyên mạng cần thiết để mở rộng tới đối tượng kinh doanh Sự khác VPN cục VPN mở rộng truy nhập mạng công nhận hai đầu cuối VPN Hình Mô hình mạng mở rộng IV điểm Nhược Ưu điểm Ưu điểm && nhược điểm - Chi phí cho VPN mở rộng thấp nhiều so với giải pháp kết nối khác để đạt mục đích vậy; - Vấn đề bảo mật thông tin gặp khó khăn môi trường mở rộng vậy, điều làm tăng nguy rủi ro mạng cục công ty; Các thành phần VPN VPN Tunneling Đây điểm khác biệt VPN so với mạng LAN thông thường Các bạn hình dung dạng đường hầm đám mây Internet mà qua đó, yêu cầu gửi nhận liệu hoạt động Khái niệm Tunnel giúp ta hiểu mô hình hoạt động hệ thống mạng VPN: người dùng khởi tạo kết nối gửi liệu qua VPN, giao thức Tunneling sử dụng mạng VPN (ví dụ PPTP, L2TP, IPSec ) “gói” toàn lượng thông tin vào package khác, sau mã hóa chúng tiến hành gửi qua tunnel Ở điểm cuối địa nhận, giao thức hoạt động tương ứng tunneling giải mã package này, say lọc nội dung nguyên bản, kiểm tra nguồn gốc gói tin thông tin, liệu phân loại khác Việc phân loại Tunneling dựa nguồn gốc bắt đầu kết nối Và qua đó, có loại chính, Compulsory Voluntary Tunneling • Compulsory Tunneling o Thường khởi tạo Network Access Server mà không yêu cầu thông tin từ phía người sử dụng, nghĩa quản lý nhà cung cấp dịch vụ o Các client VPN không phép truy xuất thông tin server VPN, kể từ chúng chịu trách nhiệm việc kiểm soát kết nối khởi tạo o Compulsory Tunneling hoạt động server client VPN, đảm nhận chức việc xác nhận tính hợp pháp tài khoản client với server VPN • Voluntary Tunneling o Được khởi tạo, giám sát quản lý người dùng Mô hình yêu cầu người dùng trực tiếp khởi tạo kết nối với đơn vị ISP cách chạy ứng dụng client VPN o Chúng ta sử dụng nhiều phần mềm client VPN khác để tạo tunnel có tính bảo mật cao server VPN riêng o Khi chương trình client VPN định thiết lập kết nối, tiến hành xác định server VPN người dùng định o Voluntary Tunneling không yêu cầu nhiều, ngoại trừ việc cài đặt thêm giao thức tunneling hệ thống người dùng Protocol Một mạng riêng ảo (Virtual Private Network) mở rộng mạng nội cách kết hợp thêm với kết nối thông qua mạng chia sẻ mạng công cộng Internet Tính bảo mật VPN đạt thông qua "đường hầm" (tunneling) cách đóng gói thông tin gói IP truyền qua Internet Thông tin giải mã đích đến cách loại bỏ gói IP để lấy thông tin ban đầu Kỹ thuật Tunneling yêu cầu giao thức khác nhau: • Giao thức truyền tải (Carrier Protocol) giao thức sử dụng mạng có thông tin qua • Giao thức mã hóa liệu (Encapsulating Protocol) giao thức (GRE, IPSec, L2F, PPTP, L2TP) bọc quanh gói liệu gốc • Giao thức gói tin (Passenger Protocol) giao thức liệu gốc truyền (IPX, NetBeui, IP) Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường sử dụng VPN, chúng có ưu điểm nhược điểm riêng Chúng ta xem xét so sánh chúng dựa mục đích sử dụng a PPTP (Point-to-Point Tunneling Protocol) PPTP (Point-to-Point Tunneling Protocol) tập đoàn PPTP Forum phát triển Giao thức hỗ trợ mã hóa 40 bit 128 bit, dùng chế thẩm định quyền truy cập PPP hỗ trợ Hình Mô hình sử dụng PPTP Là số nhiều kỹ thuật sử dụng để thiết lập đường hầm cho kết nối từ xa hỗ trợ rộng rãi máy trạm chạy Windows PPTP thiết lập đường hầm (tunnel) không mã hóa PPTP không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure) Là mở rộng giao thức Internet chuẩn Point-to-Point (PPP) PPTP sử dụng PPP để thực chức năng: • Thiết lập kết thúc kết nối vật lý • Xác thực người dùng: sử dụng kiểu xác thực PPP (PAP, SPAP, CHAP, MS-CHAP, EAP) • Tạo gói liệu PPP: PPTP định nghĩa loại gói điều khiển gói liệu, chúng gán vào kênh khác Sơ đồ đóng gói PPTP PPTP đóngHình gói khung liệu giao thực PPP vào IP datagram để truyền qua mạng IP (Internet Intranet) b L2TP (Layer Tunneling Protocol) L2TP (Layer Tunneling Protocol) sản phẩm hợp tác thành viên PPTP Forum, Cisco IETF, sử dụng làm giao thức đường hầm cho mạng VPN (cả loại) Trên thực tế, L2TP tạo tunnel máy khách router, NAS router, router router So với PPTP L2TP có nhiều đặc tính mạnh an toàn yêu cầu sử dụng chứng số (digital certificates) xác thực người dùng thực thông qua chế xác thực PPP Hình Mô hình sử dụng L2TP (Nguồn: ) Giao thức Layer Tunneling Protocol (L2TP) kết hợp đặc điểm PPTP giao thức Layer Forwarding (L2F) Một ưu việt L2TP so với PPTP có sử dụng mạng ATM, frame relay X.25 Giống PPTP, L2TP hoạt động lớp liên kết liệu (Data Link Layer) mô hình mạng OSI L2TP có vài ưu điểm: • Khả bảo mật liệu: với chế xác thực, chứng số, đường hầm,… • Toàn vẹn liệu: bảo vệ chống lại việc sửa đổi liệu khoảng thời gian di chuyển từ người gửi đến người nhận • Khả xác thực nguồn gốc: xác định người dùng gửi liệu có thực người • Khả bảo vệ chống gửi lại – replay protection (chống lại việc hacker chặn liệu gửi, ví dụ: thông tin quyền đăng nhập (credentials), sau gửi lại (replay) thông tin để bẫy máy chủ c IPSec (Internet Protocol Security) IPsec tích hợp nhiều giải pháp VPN "tiêu chuẩn", đặc biệt giải pháp VPN gateway-to-gateway (site-to-site) để nối mạng LAN với IPsec hoạt động network layer (Layer 3) mô hình OSI IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec chế độ đường hầm bảo mật gói tin trao đổi hai gateway máy tính trạm gateway Như tên nó, IPsec Hình Mô hình VPN sử dụng IPSec (Nguồn: ) hoạt động với mạng ứng dụng dựa tảng IP (IP-based network) Giống PPTP L2TP, IPsec yêu cầu máy tính trạm VPN phải cài đặt sẵn phần mềm VPN client Việc xác thực thực thông qua giao thức Internet Key Exchange (IKE) với chứng số (digital certificates) phương thức bảo mật thông qua khóa mã chia sẻ (preshared key) IPSec 10 VPN bảo vệ chống lại hầu hết phương pháp công thông dụng bao gồm Denial of Service (DoS), replay, "man-in-the-middle" Rất nhiều nhà cung cấp tích hợp đặc tính "quản lý máy khách" phần mềm máy khách VPN họ, cho phép thiết lập sách truy cập liên quan ví dụ yêu cầu máy khách phải cài đặt phần mềm chống virus cài đặt phần mềm tường lửa cá nhân điều kiện phép truy cập vào VPN gateway d SSL/TLS (Secure Sockets Layer/Transport Layer Security) Một công nghệ VPN phát triển nhanh chóng trở nên phổ biến Secure Sockets Layer (SSL) VPN SSL VPN gọi giải pháp "clientless" Điều có nghĩa giao thức xử lý SSL VPN bị hạn chế nhiều  mang lại lợi bảo mật Với SSL VPN, thay cho phép VPN client truy xuất vào toàn mạng mạng (subnet) với IPsec, hạn chế cho phép truy xuất tới số ứng dụng cụ thể Nếu ứng dụng mà bạn muốn họ truy cập là loại ứng dụng dựa trình duyệt (browser-based), cần phải tạo plug-ins Java Active-X để làm cho ứng dụng truy xuất qua trình duyệt SSL VPN hoạt động tầng phiên (Session Layer) – cao IPsec mô hình OSI Điều cho khả điều khiển truy cập theo khối tốt SSL VPN sử dụng chứng số (digital certificates) để xác thực server Mặc dù phương pháp khác áp dụng, sử dụng chứng số ưa chuộng khả bảo mật cao Dù cho không cần phần mềm VPN client máy khách (ngoại trừ trình duyệt Web), SSL VPN gateways cung cấp tiện ích "quản lý máy khách " cách buộc trình duyệt phải chạy applets, ví Hình Mô hình VPN sử dụng SSL/TSL (Nguồn: ) dụ để kiểm tra xem có phần mềm anti-virus hoạt động hay chưa trước kết nối VPN thiết lập Mã hóa Hệ thống mã hoá (Crysystem): hệ thống để thực mã hoá hay giải mã, xác thực người dùng, băm (hashing), trình trao đổi khoá, hệ thống mã hoá sử dụng hay nhiều phương thức khác tuỳ thuộc vào yêu cầu cho vài loại traffic người dùng cụ thể 11 Hình 10 Minh họa trình mã hóa (Nguồn: ) Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung • Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã • Mật mã chung (Public-Key Encryption): kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Các thuật toán thường sử dụng mã hóa: DES (Data Encryption Security), 3DES (Triple Data Encryption Security), SHA (Secure Hash Algorithm)… Firewall Tường lửa (firewall) rào chắn vững mạng riêng Internet Kết hợp với IDS nhằm phát hiện tượng bất thường, hoạt động trái xâm nhập phép vào hệ thống, đồng thời chống xâm nhập mạng bất hợp pháp từ bên mạng Có thể xem Firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" gói liệu vào máy tính hay khỏi máy tính người sử dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu không hợp lệ Firewall đảm bảo tất liệu vào hợp lệ, ngăn ngừa người sử dụng bên đoạt quyền kiểm soát máy tính Chức kiểm soát liệu Firewall quan trọng ngăn ngừa kẻ xâm nhập trái phép "cấy" virus có hại vào máy tính để phát động công cửa sau tới máy tính khác mạng Internet 12 Hình 11 VPN server đứng sau firewall (Nguồn: ) Hình 12 VPN server đứng trước firewall (Nguồn: ) Firewall mức packet kiểm tra thông tin nguồn đích, firewall mức application đóng vai trò host mạng tổ chức Internet Sức mạnh Firewall nằm khả lọc lưu lượng dựa tập hợp quy tắc bảo vệ, gọi quy tắc bảo vệ nhà quản trị đưa vào Đây nhược điểm lớn Firewall, quy tắc xấu không đầy đủ mở lối cho kẻ công, mạng không an toàn OpenVPN OpenVPN phần mềm ứng dụng mã nguồn mở VPN hoàn toàn miễn phí, thực kỹ thuật mạng riêng ảo (VPN) để tạo kết nối an toàn point-to-point, site-to-site hay truy cập từ xa OpenVpn sử dụng giao thức bảo mật SSL/TSL để trao đổi khóa, khả vượt qua NAT tường lửa Và xem giải pháp hoàn hảo cho muốn có kết nối bảo mật hai mạng Phần mềm James Yonan viết phổ biến giấy phép GNU GPL Open VPN cho phép máy ngang hàng xác thực lẫn khóa bí mật chia sẻ từ trước (pre-shared secret key), chứng mã công khai (public key certificate) hay tên người dùng/mật (username/password),…được cung cấp kèm theo hệ điều hành: Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, Windows 2000/XP… Chúng ta hình dung router cầu nối để mạng kết nối vào Máy tính bạn máy chủ OpenVPN (trong trường hợp router) “bắt tay” với cách sử dụng chứng xác nhận lẫn Sau xác nhận, máy khách máy chủ đồng ý “tin tưởng” cho phép truy cập vào mạng server Hình 13 Minh họa mô hình sử dụng OpenVPN (Nguồn: ) OpenVPN sử dụng thiết bị Tun/Tap (hầu có sẵn Linux) openssl để xác nhận (authenticate), mã hóa (khi gởi) giải mã (khi nhận) đường truyền hai bên thành chung network Đặc điểm OpenVPN: 13 • Hỗ trợ VPN lớp lớp : Vì vậy, đường hầm OpenVPN lớp chuyển khung Ethernet, gói liệu IPX, Windows Network Browsing packets (NETBIOS), tất vấn đề gặp phải hầu hết giải phápVPN khác • Bảo vệ người làm việc bên tường lửa nội 14 • Các kết nối OpenVPN qua hầu hết tường lửa proxy: Khi truy cập trang web HTTPS, đường hầm OpenVPN làm việc Việc thiết lập đường hầm OpenVPN bị cấm OpenVPN có hỗ trợ ủy quyền đầy đủ bao gồm xác thực • Hỗ trợ UDP TCP: OpenVPN cấu hình để chạy dịch vụ TCP UDP máy chủ khách hàng Là máy chủ, OpenVPN đơn giản chờ đợi khách hàng yêu cầu kết nối, kết nối thiết lập theo cấu hình khách hàng • Chỉ cần cổng tường lửa mở cho phép nhiều kết nối vào: Kể từ phần mềm OpenVPN 2.0, máy chủ đặc biệt cho phép nhiều kết nối vào cổng TCP UDP, đồng thời sử dụng cấu hình khác cho kết nối • Không có vấn đề với NAT: Cả máy chủ máy khách OpenVPN nằm mạng sử dụng địa IP riêng Mỗi tường lửa dùng để gửi lưu lượng tới điểm cuối đường hầm • Giao diện ảo chấp nhận quy tắc tường lửa: Tất qui tắc, chế chuyển tiếp, NAT dùng chung đường hầm OpenVPN Nhưng giao thức IP , bạn tạo đường hầm VPN khác IPsec bên đường hầm OpenVPN • Độ linh hoạt cao với khả mở rộng kịch bản: OpenVPN cung cấp nhiều điểm trình thiết lập kết nối để bắt đầu kịch riêng, kịch sử dụng cho loạt mục đích từ xác thực chuyển đổi dự phòng nhiều • Hỗ trợ khả hoạt động cao, suốt cho IP động: Hai đầu đường hầm sử dụng IP động bị thay đổi Nếu bị đổi IP, phiên làm việc Windows Terminal Server Secure Shell (SSH) bị ngưng vài giây tiếp tục hoạt động bình thường • Hỗ trợ cho điện thoại di động nhúng: Ngày có nhiều thiết bị di động hỗ trợ • Cài đặt đơn giản hệ thống nào: Đơn giản nhiều so với IPsec Thiết kế kiểu Môđun, chạy client server 6 Một số thành phần khác a Máy chủ AAA AAA (Authentication, Authorization Accouting): dịch vụ bảo mật mạng đặt Router hay Server truy cập Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra AAA sử dụng để đảm bảo truy cập mạng an toàn với hai lựa chọn TACACS+ RADIUS • TACACS+ (Terminal Access Controller Access Control System Plus): Là ứng dụng bảo mật mà cung cấp xác thực tập trung người dùng cố gắng truy nhập tới Router hay mạng truy cập Server • RADIUS (Remote Authentication Dial-In User Service): Là hệ thống phân tán client/server mà bảo mật truy cập không phép tới mạng b Bộ xử lý trung tâm VPN Có nhiều loại máy xử lý VPN hãng khác nhau, sản phẩm Cisco tỏ vượt trội số tính Tích hợp kỹ thuật mã hóa thẩm định quyền truy cập cao cấp nay, máy xử lý VPN thiết kế chuyên biệt cho loại mạng Chứa module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung Hình 14 Bộ xử lý trung tâm VPN số hiệu 3000 hãng Cisco lượng số lượng gói tin truyền tải Dòng sản phẩm có model thích hợp cho mô hình doanh nghiệp từ nhỏ đến lớn (từ 100 10.000 điểm kết nối từ xa truy cập lúc) c Router dùng cho VPN Thiết bị cung cấp tính truyền dẫn, bảo mật Dựa hệ điều hành Internet IOS mình, hãng Cisco phát triển loại router thích hợp cho trường hợp, từ truy cập nhà-tới-văn phòng nhu cầu doanh nghiệp quy mô lớn 15 Hình 15 Router Linksys RV042 dùng VPN d Tường lửa PIX Cisco Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm chế dịch địa mạng mạnh, máy chủ proxy, lọc gói tin, tính VPN chặn truy cập bất hợp pháp Thay dùng IOS, thiết bị có hệ điều hành với khả tổ chức cao, xoay sở với nhiều giao thức, hoạt động mạnh cách tập trung vào IP V 16 Ưu, nhược điểm VPN Mạng riêng ảo (VPN) thực mang lại hiểu giúp đơn giản hóa việc trao đổi thông tin nhân viên, người dùng làm việc xa, lưu động; kết nối chi nhánh, văn phòng công ty hay công ty với khách hàng đối tác Những ưu điểm bật hệ thống VPN: • Tiết kiệm chi phí: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% (kể việc lắp đặt, bảo trì,…), giúp giảm chi phí cho việc lắp đặt, bảo trì hệ thống hay thuê đường dây cho mạng WAN riêng • Tính linh hoạt: trình vận hành, khai thác mà thực mềm dẻo nhu cầu sử dụng • Khả mở rộng (Scalability): VPN xây dựng dựa hệ thống mạng công cộng nên nơi có mạng internet triển khai cài đặt, vận hành VPN Ngoài dễ dàng nâng cấp dịch vụ (băng thông lớn hơn) dễ dàng gỡ bỏ nhu cầu sử dụng • Tăng tính bảo mật: liệu phân quyền truy cập cho người dùng, nghĩa liệu khả dụng đới với người cấp quyền truy cập • Bảo mật địa IP: Bởi thông tin gửi VPN mã hoá địa bên mạng riêng che giấu sử dụng địa bên Internet • Internet dùng làm backbone: xem đặc điểm sống còn, định tồn VPN, thiếu yếu tố Internet có VPN • Cấu trúc mạng ống (VPN tunnel): giúp gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tòan bảo mật VPN cung cấp chế mã hóa liệu đường truyền, liệu mã hóa hay che giấu cung cấp phần đầu gói liệu (header) thông tin đường cho phép đến đích thông qua mạng VI 17 công cộng cách nhanh chóng Dữ lịêu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng đọc nội dung khóa để giải mã Nhưng bên cạnh đó, có nhược điểm dễ nhận thấy như: • VPN khả quản lý Quality of Service (QoS) (thông số độ trễ thông lượng) qua môi trường Internet, gói liệu - Data package có nguy bị thất lạc, rủi ro Khả quản lý đơn vị cung cấp VPN có hạn, không ngờ trước xảy với khách hàng họ Vì nhà cung cấp dịch vụ (ISP) cung cấp chất lượng 100% cam kết mà cố • Phụ thuộc nhiều vào chất lượng mạng internet: tải hay nghẽn mạng gây ảnh hướng xấu đến chất lượng truyền tin hiệu suất toàn hệ thống • Vấn đề bảo mật: mặt dù thường xuyên nâng cấp, cải tiến, hỗ trợ, …nhưng bảo mật vấn đề lớn VPN VPN đưa thông tin có tính riêng tư quan trọng qua mạng chung có độ bảo mật dễ bị công, rò rỉ thông tin Lý công là: cạnh tranh công ty, trả thù,… Ứng dụng VPN Các mô hình doanh nghiệp có quy mô lớn như: trường học, bệnh viện ứng dụng VPN hệ thống họ Một hệ thống VPN kết nối nhiều site khác nhau, dựa khu vực, diện tích địa lý tượng tự chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN dùng để "khuếch tán", mở rộng mô hình Intranet nhằm truyền tải thông tin, liệu tốt Ví dụ, trường học phải dùng VPN để nối khuôn viên trường (hoặc chi nhánh với trụ sở chính) lại với Ngoài ra, VPN ứng dụng lĩnh vực: Thư tín điện tử, phần mềm quản lý, kế toán, chia sẻ tài nguyên sử dụng mạng nội bộ,… Một số chương trình VPN miễn phí thông dụng nay: • ProXPN: hỗ trợ cho Windows, Mac, iPhone,…chỉ cần tải sử dụng • Gpass: cung cấp song song dịch vụ VPN Web Proxy cho phép bạn sử dụng trực tiếp trình duyệt GPass tương thích với Windows bảo mật tốt • CyberGhost: cung cấp miễn phí cho người dùng 1GB băng thông mã hóa hàng tháng CyberGhost tương thích với Windows • AnchorFree Hotspot Shield: hỗ trợ cho Windows, Mac iPhone Hotspot Shield giới hạn băng thông dịch vụ Dịch vụ lại VII [1] [2] [3] [4] [5] 18 đặt quảng cáo trang web người sử dụng dễ dàng loại bỏ dùng Firefox NoScript addon • SecurityKiss: tương thích với Windows, gói miễn phí cung cấp cho người dùng 300MB băng thông/ ngày không bị giới hạn tốc độ • Best Free VPN Service: hỗ trợ tất HĐH thông dụng Windows, Mac, Linux hệ điều hành điện thoại Để tạo công cho thành viên, Best Free VPN tự động đổi mật 12 tiếng Tốc độ thấp (tốc độ tải xuống 512Kbit/s tải lên 256Kbit/s), không hỗ trợ BitTorrent hay P2P Tài liệu tham khảo Slide hướng dẫn môn học Chuyên đề Hệ điều hành Linux Thực tập Hệ điều hành mạng Khoa Công nghệ thông tin – ĐH KHTN TP.HCM Tài liệu tham khảo https://vi.wikipedia.org Tài liệu tham khảo http://luanvan.net.vn/ Tài liệu tham khảo http://quantrimang.com/ Và số tài liệu online, sách báo tham khảo khác [...]... truy cập vào VPN gateway d SSL/TLS (Secure Sockets Layer/Transport Layer Security) Một công nghệ VPN đang phát triển nhanh chóng và trở nên phổ biến là Secure Sockets Layer (SSL) VPN SSL VPN còn được gọi là giải pháp "clientless" Điều này cũng có nghĩa là các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn  mang lại một lợi thế về bảo mật Với SSL VPN, thay vì cho phép VPN client truy... chung một network Đặc điểm của OpenVPN: 13 • Hỗ trợ VPN lớp 2 và lớp 3 : Vì vậy, các đường hầm OpenVPN trên lớp 2 cũng có thể chuyển khung Ethernet, các gói dữ liệu IPX, và Windows Network Browsing packets (NETBIOS), tất cả đều là những vấn đề gặp phải trong hầu hết các giải phápVPN khác • Bảo vệ người làm việc bên ngoài bằng bức tường lửa nội bộ 14 • Các kết nối OpenVPN có thể đi qua được hầu hết mọi... bộ quy tắc xấu hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được an toàn 5 OpenVPN OpenVPN là một phần mềm ứng dụng mã nguồn mở VPN hoàn toàn miễn phí, thực hiện các kỹ thuật mạng riêng ảo (VPN) để tạo các kết nối an toàn point-to-point, site-to-site hay truy cập từ xa OpenVpn sử dụng giao thức bảo mật SSL/TSL để trao đổi khóa, khả năng vượt qua NAT và tường lửa Và hiện đây... hết mọi tường lửa và proxy: Khi truy cập các trang web HTTPS, thì đường hầm OpenVPN làm việc Việc thiết lập đường hầm OpenVPN bị cấm là rất hiếm OpenVPN có hỗ trợ ủy quyền đầy đủ bao gồm xác thực • Hỗ trợ UDP và TCP: OpenVPN có thể được cấu hình để chạy dịch vụ TCP hoặc UDP trên máy chủ hoặc khách hàng Là một máy chủ, OpenVPN chỉ đơn giản là chờ đợi cho đến khi một khách hàng yêu cầu một kết nối, kết... trên VPN đã được mã hoá do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet • Internet được dùng làm backbone: đây được xem là đặc điểm sống còn, quyết định sự tồn tại của VPN, bởi nếu thiếu yếu tố Internet thì sẽ không thể có VPN • Cấu trúc mạng ống (VPN tunnel): giúp gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN. .. hiệu suất của toàn bộ hệ thống • Vấn đề bảo mật: mặt dù thường xuyên được nâng cấp, cải tiến, hỗ trợ, …nhưng bảo mật vẫn là một vấn đề khá lớn đối với VPN bởi VPN đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật kém và dễ bị tấn công, rò rỉ thông tin Lý do tấn công có thể là: sự cạnh tranh giữa các công ty, sự trả thù,… Ứng dụng của VPN Các mô hình doanh nghiệp có quy... mô lớn như: trường học, bệnh viện đều ứng dụng VPN trong hệ thống của họ Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tích địa lý tượng tự như chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN còn được dùng để "khuếch tán", mở rộng các mô hình Intranet nhằm truyền tải thông tin, dữ liệu tốt hơn Ví dụ, các trường học vẫn phải dùng VPN để nối giữa các khuôn viên của... chấp nhận các quy tắc về tường lửa: Tất cả các qui tắc, các cơ chế chuyển tiếp, và NAT có thể dùng chung đường hầm OpenVPN Nhưng giao thức IP cũng có thể , bạn có thể tạo đường hầm VPN khác như IPsec bên trong đường hầm OpenVPN • Độ linh hoạt cao với khả năng mở rộng kịch bản: OpenVPN cung cấp nhiều điểm trong quá trình thiết lập kết nối để bắt đầu các kịch bản riêng, những kịch bản có thể được sử... mạng b Bộ xử lý trung tâm VPN Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này Chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung Hình 14 Bộ xử lý trung tâm VPN số hiệu 3000 của hãng... chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP V 16 Ưu, nhược điểm của VPN Mạng riêng ảo (VPN) thực sự mang lại hiểu quả khi giúp đơn giản hóa việc trao đổi thông tin giữa các nhân viên,

Ngày đăng: 23/06/2016, 23:28

TỪ KHÓA LIÊN QUAN

w