Mạng máy tính truyền số liệu nâng cao MỤC LỤC Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao VPN Chương I Tổng quan CHƯƠNG I TỔNG QUAN VỀ VPN 1.1 Giới thiệu chung 1.1.1 Lịch sử hình thành Trong thời đại ngày nay, Internet phát triển mạnh mặt mô hình công nghệ, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà không xem xét đến máy mạng mà người sử dụng dùng Để làm điều này, người ta sử dụng router để kết nối LAN WAN với Các máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet Service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật phải tiếp tục giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ như: giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế,… trở thành thực Tuy nhiên, Internet có phạm vi toàn cầu mà không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình mạng nhằm thỏa mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riêng ảo – VPN (Virtual Private Network) 1.1.2 Khái niệm Mạng riêng ảo - VPN (Virtual Private Network) công nghệ cung cấp phương thức giao tiếp an toàn mạng riêng dựa vào kỹ thuật chung gọi tunneling để tạo mạng riêng Internet Về chất, trình đặt toàn gói tin vào lớp header chứa thông tin định tuyến truyền qua mạng trung gian VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường leased line, VPN sử dụng kết nối ảo thông qua Internet từ mạng riêng công ty, tổ chức tới site hay người sử dụng từ xa Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao VPN Chương I Tổng quan Hình 1.1 Mô hình VPN 1.2 Phân loại Dựa nhu cầu trên, VPN phát triển phân làm loại sau: 1.2.1 VPN truy cập từ xa (Remote Access) Remote Access hay gọi virtual private dial-up network (VPDN) Cung cấp truy cập từ xa đến Intranet hay Extranet dựa cấu trúc hạ tầng chia sẻ Access VPN, kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến mạng cục công ty dial-up Khi công ty muốn thiết lập Remote Access quy mô rộng, thuê ESP (Enterprise Service Provider) ESP thiết lập NAS (Network Access Server), người dùng từ xa quay số truy cập đến NAS dùng phần mềm VPN đầu cuối để kết nối với mạng cục công ty ĐƯờng truyền Access VPN tương tự, quay số, ISDN, đường thuê bao số (DSL) Hình 1.2 Mô hình VPN truy cập từ xa Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao VPN Chương I Tổng quan 1.2.2 VPN điểm nối điểm (Site to Site) Đây cách kết nối nhiều văn phòng trị sở xa thông qua thiết bị chuyên dụng đường truyền mã hóa quy mô lớn hoạt động Internet Hình 1.3 Mô hình VPN Điểm nối điểm Site to Site gồm loại: - - Các VPN nội (Intranet VPN): kiểu kết nối Site to Site VPN Các chi nhánh có riêng Server VPN kết nối lại với thông qua Internet Các chi nhánh kết nối lại với thành mạng riêng (Intranet VPN) kết nối LAN to LAN Các VPN mở rộng (Extranet VPN): Khi công ty có quan hệ mật thiết với công ty khác (ví dụ đối tác, nhà cung cấp hay khách hàng) họ xây dựng Extranet VPN nhằm kết nối LAN to LAN cho phép công ty làm việc trao đổi môi trường chia sẻ riêng biệt Internet 1.3 Ưu điểm nhược điểm 1.3.1 Ưu điểm VPN mang lại lợi ích thực tức thời cho công ty Có thể dùng VPN để đơn giản hóa việc truy cập nhân viên làm việc người lưu động, mở rộng Intranet đến văn phòng chi nhánh, chí triển khai Extranet đến tận khách hàng đối tác chủ chốt Điều quan trọng công việc có chi phí thấp nhiều so với việc mua thiết bị đường dây cho mạng WAN riêng - Giảm chi phí thường xuyên: VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền giảm đáng kể tiền cước gọi đến nhân viên làm việc xa Giảm cước phí đường dài truy cập VPN cho nhân viên di động Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao VPN - - - Chương I Tổng quan nhân viên làm việc xa nhà vào việc họ truy cập vào mạng thông qua điểm kết nối POP (Point of Presence) địa phương, hạn chế gọi đường dài đến modem tập trung Giảm chi phí đầu tư: không tốn chi phí đầu tư cho máy chủ, định tuyến cho mạng đường trục chuyển mạch phục vụ cho việc truy cập thiết bị nhà cung cấp dịch vụ quản lý làm chủ Truy cập lúc, nơi: Client VPN truy cập tất dịch vụ như: email, FTP,… ứng dụng thiết yếu khác mà không cần quan tâm đến phần phức tạp bên Khả mở rộng: VPN sử dụng môi trường công nghệ tương tự Internet với Internet VPN, văn phòng, nhóm đối tượng di động trở nên phần mạng VPN nơi mà ISP cung cấp điểm kết nối cục POP 1.3.2 Nhược điểm Với ưu điểm VPN lựa chọn số cho doanh nghiệp Tuy nhiên, VPN nhược điểm, không ngừng cải tiến, nâng cấp hỗ trợ nhiều công cụ tăng tính bảo mật dường vấn đề lớn VPN Vì bảo mật lại vấn đề lớn với VPN? Một lý VPN đưa thông tin có tính riêng tư quan trọng qua mạng chung có độ bảo mật (thường Internet) Lý bị công VPN: tranh đua công ty, tham lam muốn chiếm hữu nguồn thông tin, trả thù,… QoS cho VPN vấn đề lớn Hai thông số QoS cho mạng độ trễ thông lượng VPN chạy mạng chung Internet mà đặc thù Internet mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán Chính vậy, việc quản lý chất lượng cho dịch vụ khó khăn Khả quản lý vấn đề khó khăn VPN Bởi VPN chạy mạng Internet nên khả nnawg quản lý kết nối End to end từ phía nhà cung cấp đơn lẻ điểu thực Vì nhà cung cấp dịch vụ (ISP) cung cấp chất lượng 100% cam kết mà cố Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao động Chương II Thành phần phương thức hoạt CHƯƠNG II THÀNH PHẦN VÀ PHƯƠNG THỨC HOẠT ĐỘNG 2.1 Thành phần Cấu trúc phần cứng VPN bao gồm: - Máy chủ VPN (VPN Server) Máy khách VPN (VPN Client) Một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN Router), cổng kết nối VPN (VPN Gateway) tập trung (Concentrator) 2.1.1 Máy chủ VPN Nhìn chung, Máy chủ VPN thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers) Dựa vào yêu cầu công ty, mà mạng VPN có hay nhiều máy chủ Bởi máy chủ VPN phải cung cấp dịch vụ cho máy khách (VPN client) xa máy khách cục bộ, đồng thời máy chủ luôn sãn sàng thực yêu cầu truy nhập từ máy khách Những chức máy chủ VPN bao gồm: - Tiếp nhận yêu cầu kết nối vào mạng VPN - Dàn xếp yêu cầu thông số kết nối vào mạng là: chế trình bảo mật hay trình xác lập - Thực trình xác lập hay trình bảo mật cho máy khách VPN - Tiếp nhận liệu từ máy khách chuyển liệu yêu cầu máy khách - Máy chủ VPN hoạt động điểm cuối đường ngầm kết nối VPN Điểm cuối lại xác lập người dùng cuối Máy chủ VPN phải hỗ trợ hai nhiều hai Card đáp ứng mạng Một nhiều cạc đáp ứng sử dụng để kết nối chúng tới mạng mở rộng (Intranet) công ty, Card lại kết nối chúng tới mạng Internet Một máy chủ VPN hoạt động cổng kết nối (Gateway) hay định tuyến (Router) trưòng hợp số yêu cầu số người dùng mạng nhỏ (Nhỏ 20) Trong trường hợp máy chủ VPN phải hỗ trợ nhiều người sử dụng hơn, mà hoạt động cổng kết nối định tuyến máy chủ VPN bị chạy chậm hơn, gặp khó khăn vấn đề bảo mật thông tin bảo mật liệu lưu trữ máy chủ 2.1.2 Máy khách VPN Máy khách VPN thiết bị xa hay cục bộ, khởi đầu cho kết nối tới máy chủ VPN đăng nhập vào mạng từ xa, sau chúng phép xác lập tới điểm cuối xa mạng Chỉ sau đăng nhập thành công máy khách VPN máy chủ VPN truyền thông với Nhìn chung, máy khách VPN dựa phần mềm Tuy nhiên, thiết bị phần cứng dành riêng Với nhu cầu ngày tăng số lượng nhân viên làm việc di động công ty người dùng (những máy khách VPN) bắt buộc phải có hồ sơ cập nhật vị trí Những người dùng sử dụng VPN để kết nối đến mạng cục công ty Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao động Chương II Thành phần phương thức hoạt Đặc trưng máy khách VPN gồm: - Những người làm việc xa sử dụng mạng Internet mạng công cộng để kết nối đến tài nguyên công ty từ nhà - Những người dùng di động sử dụng máy tính xách tay để kết nối vào mạng cục công ty thông qua mạng công cộng, để truy cập vào hòm thư điện tử nguồn tài nguyên mạng mở rộng - Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian, mạng Internet, để kết nối tới site xa để quản lý, giám sát, sửa chữa cài đặt dịch vụ hay thiết bị Hình 2.1 Đặc trưng máy khách VPN 2.1.3 Bộ định tuyến VPN Trong trường hợp thiết lập mạng VPN nhỏ, máy chủ VPN đảm nhiệm vai trò định tuyến Tuy nhiên, thực tế cách thiết lập không hiệu trường hợp mạng VPN lớn - mạng phải đáp ứng số lượng lớn yêu cầu Trong trường hợp này, sử dụng định tuyến VPN riêng cần thiết Nhìn chung, định tuyến điểm cuối mạng riêng trừ đặt sau “bức tường lửa” (Firewall) Vai trò định tuyến VPN tạo kết nối từ xa đạt mạng cục Do vậy, định tuyến thiết bị chịu trách nhiệm việc tìm tất đường có thể, để đến nơi đến mạng, chọn đường ngắn có thể, giống mạng truyền thống Mặc dù định tuyến thông thường sử dụng mạng VPN, theo khuyến nghị chuyên gia sử dụng định tuyến VPN khả quan Bộ định tuyến VPN chức định tuyến thêm chức bảo mật đảm bảo mức chất lượng dịch vụ (QoS) đường truyền Ví dụ định tuyến truy nhập modun 1750 Cisco sử dụng phổ biến Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao động Chương II Thành phần phương thức hoạt 2.1.4 Bộ tập trung VPN (VPN Concentrator) Giống Hub thiết bị sử dụng mạng truyền thống, tập trung VPN (VPN concentrators) sử dụng để thiết lập mạng VPN truy cập từ xa có kích thước nhỏ Ngoài việc làm tăng công suất số lượng VPN, thiết bị cung cấp khả thực cao lực bảo mật lực xác thực cao Ví dụ tập trung sêri 3000 5000 Cisco hay tập trung VPN Altiga tập trung sử dụng phổ biến 2.1.5 Cổng kết nối VPN Cổng kết nối IP thiết bị biên dịch giao thức giao thức IP sang giao thức IP ngược lại Như vậy, cổng kết nối cho phép mạng riêng hỗ trợ chuyển tiếp dựa giao thức IP Những thiết bị thiết bị mạng dành riêng, giải pháp dựa phần mềm Với thiết bị phần cứng, cổng kết nối IP nói chung thiết lập biên mạng cục công ty Còn giải pháp dựa phần mềm, cổng kết nối IP cài đặt máy chủ sử dụng để chuyển đổi lưu lượng từ giao thức giao thức IP sang giao thức IP ngược lại Ví dụ phần mềm Novell’s Border Manager Các cổng kết nối VPN cổng kết nối bảo mật (Security gateway) đặt mạng công cộng mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng Cổng kết nối VPN cung cấp khả tạo đường hầm mã hoá liệu riêng trước chuyển đến mạng công cộng 2.2 Phương thức hoạt động VPN Hầu hết VPN dựa vào kỹ thuật gọi Tunneling để tạo mạng riêng Internet Về chất, trình đặt toàn gói tin vào lớp header (tiêu đề) chứa thông tin định tuyến truyền qua hệ thống mạng trung gian theo Tunnel riêng Khi gói tin truyền đến đích, chúng tách lớp header chuyến đến máy trạm cuối cần nhận liệu Để thiết lập kết nối Tunnel, máy khách máy chủ phải sử dụng chung giao thức (Tunnel Protocol) Giao thức gói tien bọc mạng hai điểm đầ cuối nhận biết Hai điểm đầu cuối gọi giao diện Tunnel (Tunnel Interface), nơi gói tin vào mạng Kỹ thuật Tunneling yêu cầu giao thức khác nhau: - Giao thức truyền tải (Carrier Protocol) giao thức sử dụng mạng có thông tin qua Giao thức mã hóa liệu (Encapsulating Protocol) giao thức GRE, IPSec, L2F, PPTP, L2TP bọc quanh gói liệu gốc Giao thức gói tin (Passenger Protocol) giao thức liệu gốc truyền IPX, NetBeui, IP Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao động Chương II Thành phần phương thức hoạt Người dùng đặt gói tin sử dụng giao thức không hỗ trợ Internet (như NetBeui) bên gói tin IP gửi an toàn qua Internet Hoặc họ đặt gói tin dùng địa IP riêng (không định tuyến) bên gói tin khác dùng địa IP chung (định tuyến) để mở rộng mạng riêng Internet Kỹ thuật Tunneling mạng VPN điểm nối điểm Trong VPN loại này, giao thức mã háo định tuyến GRE (Generic Routing Encapsulation) cung cấp cấu “đóng gói” giao thức gói tin (Passenger Protocol) để truyền giao thức truyền tải (Carrier Protocol) Nó bao gồm thông tin loại gói tin mà bạn mã hóa thông tin kết nối máy chủ với máy khách Nhưng IPSec chế Tunnel thay dùng GRE, lại đóng vai trò giao thức mã hóa IPSec hoạt động tốt hai loại mạng VPN truy cập từ xa điểm nối điểm Tất nhiên, phải hỗ trợ haigiao diện Tunnel Trong mô hình này, gói tin chuyển từ máy tính văn phòng qua máy chủ truy cập, tới router (tại giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính văn phòng từ xa Kỹ thuật Tunneling mạng VPN truy cập từ xa Với loại VPN này, Tunneling thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol) Là phần TCP/IP, PPP đóng vai trò truyền tải cho giao thức IP khác liên hệ mạng máy chủ máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP Các giao thức thiết lập dựa cấu trúc PPP dùng mạng VPN truy cập từ xa - L2F (Layer Forwarding) Cisco phát triển L2F dùng chế thẩm định quyền truy cập PPP hỗ trợ - PPTP (Point to Point Tunneling Protocol) tập đoàn PPTP Forum phát triển Giao thức hỗ trợ mã hóa 40 bit 128 bit, dùng chế thẩm định quyền truy cập PPP hỗ trợ - L2TP (Layer Tunneling Protocol) sản phẩm hợp tác thành viên PPTP Forum, Cisco IETF Kết hợp tính PPTP L2F, L2TP hỗ trợ đầy đủ IPSec L2TP sử dụng làm giao thức Tunneling cho mạng VPN điểm nối điểm VPN truy cập từ xa Trên thực tế, L2TP tạo tunnel máy khách router, NAS router, router router So với PPTP L2TP có nhiều đặc tính mạnh an toàn Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao động Chương II Thành phần phương thức hoạt 2.3 Các giao thức 2.3.1 IP Security (IPSec) Được dùng để bảo mật giao tiếp, luồng liệu môi trường Internet (môi trường bên VPN) Đây điểm mấu chốt, lượng traffic qua IPSec dùng chủ yếu Transport mode, Tunnel (hay gọi hầm khái niệm hay dùng Proxy, SOCKS) để mã hóa liệu VPN Hình 2.2 Chế độ Tunnel Transport Sự khác biệt mode là: Transport mode có nhiệm vụ mã hóa liệu bên gói (data package - biết từ payload) Trong Tunnel mã hóa toàn data package Do đó, IPSec thường coi Security Overlay, IPSec dùng lớp bảo mật so với Protocol khác 2.3.2 Secure Sockets Layer (SSL) Transport Layer Security (TLS) Có phần tương tự IPSec, giao thức dùng mật để đảm bảo an toàn kết nối môi trường Internet Bên cạnh đó, giao thức sử dụng chế độ Handshake - có liên quan đến trình xác thực tài khoản client server Để kết nối coi thành công, trình xác thực dùng đến Certificate - khóa xác thực tài khoản lưu trữ server client 10 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao động Chương II Thành phần phương thức hoạt Hình 2.3 Mô hình SSL VPN 2.3.3 Point-To-Point Tunneling Protocol (PPTP) Là giao thức dùng để truyền liệu qua hầm - Tunnel tầng traffic Internet L2TP thường dùng song song với IPSec (đóng vai trò Security Layer - đề cập đến phía trên) để đảm bảo trình truyền liệu L2TP qua môi trường Internet thông suốt Không giống PPTP, VPN "kế thừa" toàn lớp L2TP/IPSec có key xác thực tài khoản chia sẻ Certificate Hình 2.4 Mô hình PPTP 11 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao động Chương II Thành phần phương thức hoạt 12 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao Chương III Bảo mật VPN CHƯƠNG III BẢO MẬT TRONG VPN 3.1 Các vấn đề cần ý thiết kế VPN Để thiết kế VPN hữu dụng, cần phải nắm vững thông số mạng yêu cầu VPN thiết kế, chẳng hạn: - Số lượng site? Số lượng người dùng site? - Lưu lượng mạng site phát sinh, biến đổi lưu lượng theo giờ, theo ngày - Các site có hỗ trợ người dùng từ xa không? Nếu có bao nhiêu? - Loại kết nối đến Internet? Là kết nối thường trực hay kết nối theo yêu cầu? • Nếu kết nói thường trực kết nối lưu dự phòng lần • Nếu kết nối theo yêu cầu yêu cầu? Độ tin cậy cần thiết phải có? 3.1.1 Các vấn đề mạng ISP Do phát triển qua nhanh mạng nên vấn đề đặt mạng vấn đề định tuyến bảo mật Vấn đề giải cách: - Thêm phần cứng phần mềm vào định tuyến để đóng vai trò cổng mối bảo mật VPN - Nâng cấp định tuyến tường lửa để hỗ trợ chức VPN - Thay định tuyến hay tường lửa thiết bị thuộc hệ có nhiều chức hơn, tương thích với mạng Hiện nay, để đảm bảo chất lượng dịch vụ người ta cố gắng chuyển việc quản lý, hỗ trợ yêu cầu từ mạng riêng sang ISP Rất nhiều chức ISP hỗ trợ xây dựng VPN sử dụng nhiều ISP Một lý để sử dụng nhiều ISP phạm vi địa lý VPN Mặc dù IPv6 phát triển chậm chắn phát triển Do vậy, vấn đề cần ý xây dựng VPN khả nâng cấp mạng lên IPv6 tương lai 3.1.2 Các vấn đề bảo mật VPN cho phép người dùng phân quyền truy cập tới mạng con, thiết bị sơ liệu quan trọng Do đó, quyền truy cập vấn đề cần quan tâm xem xét tới việc bảo mật cho VPN Một giải pháp phổ biến cho công ty muốn chia sẻ phần thông tin từ VPN cho người dùng Internet, khách hàng hay nhân viên họ bảo mật tài nguyên riêng cần, sử dụng vùng giới tuyến DMZ (Demilitarized Zone) DMZ bao gồm có hai tường lửa: Một đặt Internet tài nguyên muốn chia sẻ, Một đặt tài nguyên muốn chia sẻ mạng nội bên Máy chủ DMZ đóng vai trò nơi lưu giữ thông tin phụ cho bị hư hỏng giảm thiểu thiệt hại xảy Ví dụ, máy chủ Web DMZ lưu trang Web nằm máy chủ mạng nội 13 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao Chương III Bảo mật VPN Để bảo mật người ta sử dụng mã hoá, trao đổi giao khoá chứng thực số Mã hoá tiến trình đòi hỏi tính toán thay đổi tuỳ theo giải thuật Với giải thuật khác cho ta mức độ bảo mật khác nhau, ta sử dụng phương thức mã hoá khác để phân quyền truy cập Khi thiết kế VPN cần định khoá chuyển đổi cổng nối bảo mật Nếu VPN có số lượng nhỏ cổng bảo mật chuyển khoá bang tay giải pháp chấp nhận Tuy nhiên, giải pháp không thích hợp VPN trải rộng quốc gia hay khắp toàn cầu Trong trường hợp sử dụng e-mail bảo mật giải pháp Để liệu bảo mật cao tốt hết sử dụng hệ thống chuyển khoá tự động Những khoá sử dụng cho mã hoá xác thực thay đổi theo quy luật: sau số gói truyền đi; sau khoảng thời gian;mỗi bắt đầu phiên làm việc tổ hợp quy luật Tự đông thay đổi khoá làm tăng khả chống lại công, xâm phập trái phép Khi sử dụng hệ thống quản lý khoá cần kèm theo số chế hồi khoá Điều đặc biệt hưu ích muốn khôi phục lại liệu cũ với khoá cũ trước Chứng thực số hay gọi xác thực tính hợp lệ Trong tiến trìng mã hoá khoá chung có sử dụng cặp khoá chung để xác thực tính hợp lệ khoá Những chứng thực nhằm buộc khoá chung với số thực thể mạng tên, nguời dùng hay máy tính Nhiều trình duyệt Web sử dụng chứng thực điện tử để đảm bảo truyền thông bảo mật với máy chủ, sử dụng Secure Sockets Layer cho mục đích thương mại điện tử Một số hệ thống e-mail đưa khả mã hóa dựa chứng thực điện tử công nghệ để phân phối chúng: Chứng thực điện tử CA sở hạ tầng khóa công cộng (Public Key Infrastructures) 3.2 Bảo mật VPN - - Tường lửa (Firewall) rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung • Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính 14 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao - - Chương III Bảo mật VPN để cài mã lên đó, để máy tính người nhận giải mã • Mật mã chung (Public-Key Encryption): kết hợp mã riêng mã công cộng, Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec): cung cấp tính an ning cap cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện IPSec có hai có chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Máy chủ AAA (Authentication Authorization Accounting): server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an toàn 3.3 Tính ứng dụng VPN cá nhân, doanh nghiệp Với phát triển nhanh chóng công nghệ thông tin viễn thông, giới ngày thu nhỏ trở nên gần gũi Với nhiều công ty vượt qua ranh giới cục khu vực, vươn thị trường giới Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc chí khu vực giới, tất họ phải đối mặt với cầu thiết thực: cách thức nhằm trì kết nối thông tin kịp thời, an toàn hiệu cho dù văn phòng đặt nơi đâu Cho đến gần đây, ứng dụng kênh truyền dẫn thoogn tin thuê riêng (leased line) giải pháp cho kết nối mạng diện rộng (WAN) phạm vi khu vực giới Leased line bao gồm từ ISDN (Intergrated Service Digital Network, 128 Kbps) đến OC3 (Optical Carrier-3, 155 Mbps) fiber, giúp công ty mở rộng mạng cục nhiều khu vực địa lý khác Những dịch vụ kết nối mạng diện rộng đem đến lợi ích rõ ràng tốc độ, an toàn thông tin hiệu thực thi công việc, nhiên, việc trì mạng diện rộng (WAN) thế, khu ứng dụng leased line có phí đắt đỏ chi phí thường tăng lên với gia tăng khoảng cách địa lý văn phòng công ty Cùng với phổ cập ngày cao Internet, doanh nghiệp dần chuyển sang sử dụng Internet phương tiện giúp họ mở rộng mạng cục sẵn có Đầu tiên 15 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao Chương III Bảo mật VPN Intranet, site bảo vệ password sử dụng phạm vi công ty Còn nhiều doanh nghiệp thiết lập dịch vụ PVN nhằm thỏa mãn nhu cầu kết nối từ xa nhân viên với văn phòng văn phòng cách xa địa lý Một mạng riêng ảo – VPN tiêu biểu gồm mạng LAN đặt trụ sở công ty, mạng LAN khác văn phòng xa, nhân viên kết nối từ xa đến mạng nội công ty VPN mạng cục sử dụng hệ thống mạng công cộng sẵn có Internet để kết nối văn phòng nhân viên xa Thay sử dụng kết nối chuyên biệt trực tiếp văn phòng nhưu kênh thuê riêng leased line, VPN sử dụng kết nối ảo thiết lập môi trường Internet từ mạng riêng ảo công ty tới văn phòng nhân viên cách xa địa lý Một VPN thiết kế tốt đem đến nhiều lợi ích cho công ty như: - Mở rộng kết nối nhiều khu vực giới Tăng cường an ninh mạng Giảm chi phí so với thiết lập mạng WAN truyền thống Giúp nhân viên làm việc từ xa giảm chi phí giao thông tăng khả tương tác Đơn giản hóa mô hình kiến trúc mạng Cung cấp hội kết nối toàn cầu (điều khó đắt kết nối trực tiếp đường truyền riêng) Hỗ trợ làm việc từ xa Cung cấp khả tương thích với mạng lưới thông rộng Giúp thu hồi vốn nhanh so với mạng WAN truyền thống Quản lý dễ dàng:có khả lý số lượng người sử dụng (khả thêm, xóa kênh kết nối liên tục, nhanh chóng) Khả lựa chọn tốc độ tối đa từu tốc độ 9,6 Kbit/s tới T1/E1, sử dụng công nghệ DSL Khả cung cấp dịch vụ cách nhanh chóng: VPN cung cấp mạng IP tích hợp số ưu điểm mạng khả liên kết lớn, mạng lưới sẵn có giảm thiểu thời gian cung cấp dịch vụ Đối với nhà cung cấp dịch vụ: - - Tăng doanh thu từ lưu lượng sử dụng mạng Internet Kéo theo khả tư vấn thiết kế mạng cho khách hàng, yếu tố quan trọng tạo mối quan hệ gắn bó nhà cung cấp dịch vụ với khách hàng, đặc biệt khách hàng lớn Đầu tư không lớn hiệu đem lại cao Mở lĩnh vực kinh doanh nhà cung cấp dịch vụ, thiết bị sử dụng cho mạng VPN 16 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao Chương III Bảo mật VPN Một mạng riêng ảo hiệu bao gồm đặc điểm sau: - Bảo mật Tin cậy Khả mở rộng Khả quản trị hệ thống mạng Khả quản trị sách Sự phát triển dịch vụ tạo mạng riêng ảo Internet (IP VPN) xu tất yêu trình hội tụ Internet mạng dùng riêng Có lý dẫn đến trình hội tụ Việt Nam giới: - - - - Sự phát triển mặt địa lý thị trường dẫn đến gia tăng số lượng nhân viên hoạt động phân tán, điều gây khso khăn việc quản lý mạng dùng riêng Nhu cầu liên lạc công tác hay xu hướng làm việc công tác hay xu hướng làm việc nhà, xu hướng hội nhập mở rộng công ty diễn mạnh mẽ làm cho hệ thống mạng dùng riêng không đáp ứng nhanh chsong VPN giải pháp trường hợp Nhu cầu sử dụng tác nghiệp trực tuyến phát triển kinh tế dẫn đến xu hướng làm việc với nhiều nhà cung cấp dịch vụ, sản phẩm nhiều đối tượng khách hàng khác Mỗi nhà cung cấp dịch vụ sản phẩm, khách hàng sử dụng cấu trúc mạng khác (thủ tục, ứng dụng, nhà cung cấp dịch vụ, hệ thống quản trị mạng lưới,…) Điều thách thức lướn mạng dùng riêng việc kết nối với tất mạng Chi phí cho việc cài đặt trì mạng diện rộng lớn Điều đặc biệt ảnh hướng tới doanh nghiệp có phạm vi hoạt động vượt khỏi biên giới quốc gia Nhu cầu tích hợp đơn giản hóa giao diện cho người sử dụng Trong tình hình Việt Nam với việc phổ cập Internet tốc độ cao ngày rộng với giá rẻ, xuất nhiều thiết bị mạng hỗ trợ VPN với chức tích hợp đa dạng, giao diện dễ sử dụng giá hợp lý điều kiện tốt để doang nghiệp tổ chức tăng cường sử dụng mạng riêng ảo VPN phương thức kết nối từ xa an toàn, tiện dụng nhanh chóng với chi phi thấp 3.4 Một số chương trình VPN miễn phí thông dụng Hiện đa phẩn dịch vụ VPN bắt thành viên trả phí có số dịch vụ cung cấp miễn phí: - ProXPN: Dịch vụ VPN miễn phí dành cho người dùng Windows Mac ProXPN hoạt động tốt iPhone loại điện thoại hỗ trợ VPN Người dùng việc tải ứng dụng ProXPN máy sử dụng Tài 17 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao - - - - - Chương III Bảo mật VPN khoản miễn phí bị giới hạn băng thông mức MB/s đủ cho nhu cầu lướt web đọc tin Gpass: Cung cấp song song dịch vụ VPN Web Proxy cho phép bạn sử dụng trực tiếp trình duyệt GPass tiếng Trung Quốc, dịch vụ bảo mật tốt người dùng sử dụng mà không cần phải đăng ký Tuy nhiên, GPass tương thích với Windows CyberGhost: Cung cấp miễn phí cho người dùng 1GB băng thông mã hóa hàng tháng CyberGhost tương thích với Windows để sử dụng dịch vụ người dùng cần phải đăng ký thành viên Tài khoản miễn phí dịch vụ phù hợp cho việc lướt web, muốn chia sẻ file, người dùng phải nâng cấp lên tài khoản trả phí AnchorFree Hotspot Shield: Cung cấp giải pháp VPN cho Windows, Mac Iphone (hoặc hệ thống khác sử dụng thông tin đăng nhập iPhone) Dịch vụ không giới hạn băng thông, nhiên lại đặt quảng trang web người sử dụng SecurityKiss: Gói miễn phí SecurityKiss cung cấp cho người dùng 300 MB băng thông ngày Tuy nhiên, lượng băng thông không bị giới hạn tốc độ người dùng tận dụng mạnh đường truyền Dịch vụ tương thích với Windows Best Free VPN Service: Đây dịch vụ hoi hỗ trợ tất hệ điều hành thông dụng như: Windows, Mac, Linux hệ điều hành điện thoại Để tạo công cho thành viên, Best Free VPN tự động đổi mật 12 tiếng Và dịch vụ nhanh hỗ trợ tốc độ tải xuống 512 Kbit/s tải lên 256 Kbit/s Đồng thời, dịch vụ không hỗ trợ BitTorrent hay chương trình P2P 18 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao KẾT LUẬN Bất bạn sử dụng Internet, địa IP bạn bị tiết lộ bị ghi lại Địa IP tiết lộ thông tin vị trí bạn Vì vậy, bạn truy cập số nội dung nhạy cảm Internet, nhà cung cấp dịch vụ mạng lần bạn dựa vào địa IP Ngoài sử dụng điểm truy cập Wifi công cộng, toàn liệu bạn gửi không mã hóa đến router, nghĩa khu vực bắt liệu bạn ăn trộm thứ mật website bạn truy cập kết nối Thêm vào đó, có dịch vụ bị chặn nội dung tùy theo vị trí bạn VPN cung cấp cách để mã hóa phần đầu kết nối Internet bạn, lúc giúp che giấu địa IP vị trí bạn Kết giúp tăng cường riêng tư bảo mật, cộng thêm khả mở khóa nội dụng hạn chế theo vị trí địa lý 19 Phạm Thị Hương Mạng máy tính truyền số liệu nâng cao TÀI LIỆU THAM KHẢO Richard Deal, The Complete Cisco VPN Configuration Guide, 1032, 2005 https://quantrimang.com/ 20 Phạm Thị Hương ... Cấu trúc phần cứng VPN bao gồm: - Máy chủ VPN (VPN Server) Máy khách VPN (VPN Client) Một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN Router), cổng kết nối VPN (VPN Gateway) tập trung... động Internet Hình 1.3 Mô hình VPN Điểm nối điểm Site to Site gồm loại: - - Các VPN nội (Intranet VPN) : kiểu kết nối Site to Site VPN Các chi nhánh có riêng Server VPN kết nối lại với thông qua... Internet Về chất, trình đặt toàn gói tin vào lớp header chứa thông tin định tuyến truyền qua mạng trung gian VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN