1. Trang chủ
  2. » Công Nghệ Thông Tin

Cơ bản về VPN

39 827 5
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 39
Dung lượng 792,92 KB

Nội dung

Cơ bản, VPN

www.nhipsongcongnghe.net www.nhipsongcongnghe.net I. Giới Thiệu Về Mạng Riêng Ảo (VPN) Trước khi xuất hiện mạng riêng ảo (Virtual Private Network – VPN), khi những nhân viên làm việc ở xa muốn truy cập vào mạng công ty thì hoặc là văn phòng ở xa thể dùng đường dây thuê bao, hoặc là những người làm việc ở xa hầu như phải sử dụng việc kết nối quay số. Cả hai cách này đều tốn kém về chi phí và không bảo mật về thông tin. Sự xuất hiện của mạng riêng ảo không những đã giúp cho những người làm việc ở xa thể truy cập tài nguyên của công ty như thể họ đang ngồi trước màn hình máy tính ở bàn làm việc tại công ty họ, mà còn tiết kiệm hơn về chi phí. Mạng riêng ảo sử dụng Internet như một bộ máy vận chuyển của nó trong khi vẫn duy trì tính bảo mật dữ liệu. Mạng riêng ảo đang trở nên một phần thiết yếu của mạng dữ liệu hiện nay. Phần trình bày dưới đây sẽ giới thiệu về mạng riêng ảo, thường được gọi là VPN, và cách thiết lập nó 1. Mạng riêng ảo là gì ? Mạng riêng ảo – Virtual Private Network, gọi tắt là VPN. VPN là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ở đầu này đến hệ thống ở đầu kia qua mạng chung như là mạng Internet mà không để giao thông nhận biết những hộp trung gian giữa hai đầu, hoặc không để cho những hộp trung gian nhận biết chúng đang chuyển những gói tin mạng đã được mã hóa đi qua đường hầm. Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạng giúp cho những văn phòng chi nhánh hoặc văn phòng ở xa hoặc những người làm việc từ xa thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng công ty. Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall. Những thiết bị này thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP. Phần “ảo” (virtual) của VPN bắt nguồn từ yếu tố ta đang tạo một liên kết riêng qua mạng chung (như là mạng Internet). VPN cho phép ta giả vờ như ta đang dùng đường dây thuê bao hoặc quay số điện thoại trực tiếp để truyền thông tin giữa hai đầu. VPN là “riêng” (private) vì sự mã hóa được dùng để đạt sự bảo mật một trao đổi mạng riêng mặc dù trao đổi này xảy ra trên mạng chung. VPN cũng dùng “mạng” (network) IP để trao đổi. VPN cho phép những máy tính kết nối trực tiếp tới những máy khác thông qua sự kết nối địa lý, mà không cần phải thuê đường đường truyền hoặc PVC. Điều này làm đơn giản hóa những tùy chọn cấu trúc mạng và làm tăng sự phát triển mạng mà không phải thiết kế lại mạng LANs hoặc gián đọan sự kết nối. Hơn nữa, VPN hỗ trợ những sự kết nối khác nhau, bao gồm thuê đường truyền, điều chỉnh sự tiếp nối, ADSL, Ethernet và PSTN. Những giải pháp mạng thể được đưa ra dễ dàng để thích hợp cho những đòi hỏi của những máy client riêng lẽ, bao gồm tăng những tùy chọn cho những lọai kết nối mở rộng. Dữ liệu, phone và những ứng dụng video cũng thể chạy trên những mạng riêng lẽ này, mà không cần cho những kênh riêng lẽ và phần cứng đặc biệt. Tương tự VDC, dịch vụ cung cấp những giải pháp phù hợp nhất cho các ngân hàng, các công ty bảo hiểm, họat động công nghiệp, lĩnh vực xuất khẩu, và phần mềm. VPN-Virtual Private Network là một nhánh của kỹ thuật liên lạc riêng lẽ, được đưa lên từ mạng chung chẳng hạn như Internet. Người sử dụng thể truy xuất tới mạng dù ở nhà hay ở xa xa, thong qua sự kết nối cục bộ tới ISP. VPN thiết lập mộ sự kết nối bảo mật giữa người sử dụng và mạng trung tâm. Dịch vụ này cũng thể thiết lập sự kết nối trực tiếp giữa những khu vực khác nhau thông qua ISP, qua ISP giá thành giảm trong kết nối qua quay số và những dịch vụ thuê đường truyền. Dữ liệu chuyền đi thì được bảo đảm với kỹ thuật bảo mật cao. www.nhipsongcongnghe.net 2. Các kiểu mạng VPN: Gồm ba khả năng thiết lập mạng VPN 1) NETWORK to NETWORK (Mạng nối Mạng) Hai mạng con được nối bằng đường hầm VPN. Mỗi mạng con một gateway hoặc router và một máy chủ. Gateway của mỗi mạng con hai giao diện: • Một giao diện cho thế giới bên ngoài • Một giao diện cho mạng nội bộ của gateway. Kiểu setup này cho phép hai mạng khả năng truyền thông tin lẫn nhau theo cách mã hóa và xác thực qua mạng Internet. Một khả năng setup cho kiểu này là nối một văn phòng chi nhánh vào công ty chính qua mạng Internet. Mọi sự truyền thông tin IP giữa hai gateway được mã hóa. NET <----> VPN-Gateway <----> Internet <----> VPN-Gateway <----> NET <---- được mã hóa ---> 2) HOST to NETWORK (Máy nối Mạng) Kiểu mạng này thể được diễn dịch như là một trường hợp giảm cấp của mô hình Network to Network. Kiểu thiết lập này cho phép một máy tính khả năng truy nhập một mạng được mã hóa và được xác thực. Kiểu này là kiểu setup phổ biến nhất và thường dùng đối với những người làm việc từ xa hoặc làm việc tại nhà, hoặc khi nhân viên muốn nối vào mạng công ty một cách an toàn trong quá trình di chuyển. Ví dụ: Một đại diện bán hàng quay số vào Internet và thiết lập một kết nối VPN vào firewall công ty và nhờ đó đạt được truy nhập mã hóa và xác thực vào server mạng LAN hoặc DMZ hoặc Email của công ty. HOST <---> Router <---> Internet <---> Router <---> VPN-Gateway <---> NET <------------------ được mã hóa -------------> 3) HOST to HOST (Máy nối Máy) Hai máy kết nối VPN với nhau và thực hiện sự truyền thông tin được mã hóa. Một kiểu setup thuộc mô hình này là sự giảm cấp mô hình Host – Network sao cho nó chỉ còn một cặp máy chủ muốn nối với nhau. Điều này nghĩa là sự truyền thông tin giữa hai máy chủ thuộc hai mạng khác nhau được mã hóa. Mô hình này khác với hai mô hình trên vì chỉ hai máy chủ thể gởi giao thông được bảo mật cho nhau. Nếu như nhiều máy muốn trao đổi bảo mật, thiết lập theo kiểu Host - Network hay Network - Network sẽ phù hợp hơn. HOST <----> Router <----> Internet <---- > Router <----> HOST <-------------------- được mã hóa ---------------> Trong thực tế, cấu hình phổ biến của mạng VPN một mạng nội bộ chính với những điểm ở xa dùng VPN truy cập vào mạng trung tâm. Những điểm truy cập từ xa này thường là những văn www.nhipsongcongnghe.net phòng hoặc nhân viên làm việc tại nhà. Cũng thể dùng VPN nối hai mạng vật lý ở hai nơi khác nhau nhưng thuộc cùng một công ty thành một mạng logic. II. Bảo Mật Trong VPN 1. Bảo mật trong VPN là gì ? Mô hình bức tường lửa trong VPN VPN sử dụng mạng Internet cho những trao đổi riêng. Như ta biết hai cách giữ cho hội thoại điện tử được bảo mật: Đường dây bảo mật và dữ liệu bảo mật. Trước đây, các công ty đã dùng phương tiện vận chuyển riêng - đường dây thuê bao - để duy trì tính bảo mật. Tuy nhiên, đường dây thuê bao rất tốn kém. VPN chọn cách thứ hai: Dùng sự mã hóa dữ liệu để duy trì tính bảo mật. Từ Private trong “Virtual Private Networks” nghĩa là riêng. Trong nền thị trường ngày nay dữ liệu thông tin mật về các tổ chức thường dễ bị xem lén hay là bị mất là do bởi các hackers, hoặc tệ hơn là từ chính các đối thủ. May mắn thay, VPN được xem như là giải pháp bảo mật an toàn ảnh hưởng nhất bất kể dù chúng sử dụng trên mạng chung (public networks). Để mà chứng minh, xác nhận một người sử dụng, một bức tường lửa sẽ là sự cần thiết. Trong quá khứ, những bức tường lửa đã trở nên những nguồn vấn đề lớn cho những người quản lý hệ thống mạng, việc tạo thành những bức tường lửa và quản lý chúng không đơn giản. Ngày nay, chế độ bảo mật đã được thực hiện đầy đủ. Nhiều thiết bị bảo mật chẳng hạn như hộp đen (black box) cũng bao gồm phần nào hệ thống mã hóa, cho dù một số VPNS thì không. Những thiết bị tường lửa của VPNS, chẳng hạn như NetScreen, Watchguard hoặc NetFortress thì thường tương đối là đương giản, những giải pháp plug-and-play cho bảo mật mạng cũng được kết nối tới nhiều mạng LANs. Tuy nhiên những giải pháp này thể đạt đến giá cả cao, và sự chọn lựa đúng sẽ dựa trên mạng lưới mạng và bảo mật cần của công ty, hoặc các công ty sử dụng mạng duy nhất. Nói chung là, nếu bạn đã cho mình những thiết bị riêng và kết nối Internet, thì những giải pháp như out-of-the-box không còn cần thiết nữa. Các VPNS yêu cầu sự cầu hình của một thiết bị truy xuất, hoặc là dựa trên phần cứng và phần www.nhipsongcongnghe.net mềm, để cài đặt một kênh bảo mật. Một người sử dụng ngẫu nhiên không thể đơn giản log in tới VPNS, như một vài thông tin cần để cho phép một người từ xa truy xuất tới hệ thống, hoặc thậm chí “bắt tay” VPNS. Khi được sử dụng với sự xác nhận là đúng, VPNS vẫn cản trở những người xâm nhập cho dù đã được xác nhận thành công tới mạng lưới, thậm chí nếu chúng thể bằng cách này hay cách khác chiếm lấy một session VPN. Hầu hết VPNS đều sử dụng kỹ thuật IPSec, sự tạo ra khung của giao thức, giao thức này đã trở thành một chuẩn thương mại. IPSec rất được sử dụng bởi vì nó tương thích với hầu hết các phần cứng và phần mềm VPN khác nhau và được phổ biến nhất cho hệ thống mạng với các máy clients truy xuất từ xa. IPSec đòi hỏi một vài sự nhận biết cho những clients, bởi vì sự xác nhận là đúng thì không dựa trên người sử dụng, điều này nghĩa là một dấu hiệu chẳng hạn như Secure ID hoặc Crypto Card không được sử dụng. Thay vì, bảo mật được nói đến ở đây qua địa chỉ IP hoặc sự xác nhận từ nó, sự thiết lập xác nhận của người sử dụng và đảm bảo tính toàn vẹn của hệ thống. Một IP Tunnel bản họat động như là một lớp mạng bảo đảm cho tất cả các gói dữ liệu được truyền đi, bất kể ứng dụng gì. Dựa trên giải pháp được sử dụng, nó thể kiểm tra các kiểu vận chuyển gởi qua giải pháp VPN. Nhiều thiết bị cho phép các nhà quản trị xác nhận ra những nhóm tín hiệu, mà những nhóm tín hiệu này kiểm tra địa chỉ IP và các dịch vụ protocol hoặc port cho phép qua Tunnel. 2. Bảo mật trong VPN (qua giao thức SSH và PPP) 1) Mã khoá công cộng (PKI) trong mạng riêng ảo (VPN) Ða số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗ trợ của sở hạ tầng mã khoá công khai (PKI). Các điểm kết cuối của các mạng VPN này (các cổng bảo mật hoặc các máy khách) nhận thực lẫn nhau thông qua thiết lập các "đường hầm" IP. Một cách đơn giản nhất, điều đó thể thực hiện được thông qua việc thiết đặt cấu hình tại cả hai đầu của đường ngầm VPN cùng chia sẻ một bí mật chung - một cặp mật khẩu (password). Phương pháp giải quyết "thô sơ" này thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nên kồng kềnh, khó điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lên tới hàng trăm, thậm chí hàng ngàn điểm. Hãy so sánh với một câu lạc bộ nhỏ mà ở đó mọi người đều biết nhau vì số lượng người ít và hầu như họ đã quen biết nhau từ trước. Không gì khó khăn trong việc ghi nhớ tên và nhận dạng của các thành viên trong một nhóm nhỏ. Nhưng với một câu lạc bộ hàng trăm thành viên thì chắc chắn cần phải thẻ hội viên. Các thành viên mới thể chứng minh họ là ai khi họ xuất trình thẻ hội viên. Với "hạ tầng" như vậy, hai người hoàn toàn không quen biết thể nhận dạng và tin cậy nhau đơn giản là vì họ tin vào thẻ hội viên của nhau. Tương tự như vậy, hai đầu cuối VPN thể nhận thực nhau thông qua giấy chứng nhận điện tử - Một loại "thẻ hội viên điện tử" không thể thiếu trong các mạng VPN lớn. Vậy tại sao hiện nay không phải mạng VPN lớn nào cũng sử dụng chứng nhận điện tử? Bởi vì việc triển khai mạng lớn không chỉ đòi hỏi chứng nhận điện tử mà yêu cầu xây dựng một hạ tầng hoàn thiện bao gồm khối cung cấp chứng nhận điện tử, phương cách bảo đảm để khởi tạo và phân phối chúng, cách thức truy xuất dễ dàng để xác nhận tính hợp lệ. Nói một cách ngắn gọn, đó chính là sở hạ tầng mã khoá công cộng - PKI. 2) Khoá công cộng là gì và tác dụng Ðể hiểu được yêu cầu và các đòi hỏi của PKI, chúng ta cần biết một số kiến thức sơ lược về khoá mật mã công cộng. Hệ thống này xây dựng trên sở một cặp khoá mã liên hệ toán học với nhau trong đó một khoá sử dụng để mã hoá thông điệp và chỉ khoá kia mới giải mã được thông điệp và ngược lại. Khi đó chúng ta thể công khai hoá một khoá trong cặp khoá này. Nếu ai cần gửi cho chúng ta các thông điệp bảo đảm, họ sẽ thể sử dụng khoá đã được cung cấp công khai này để mã hoá thông điệp trước khi gửi đi và bởi vì chúng ta đã giữ bí mật khoá mã còn lại nên chỉ chúng ta mới thể giải mã được thông điệp bảo đảm đó. Cặp khoá này còn dùng để xác nhận thông điệp. Người gửi sẽ tạo một đoạn mã băm (hash) của thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ như www.nhipsongcongnghe.net MD5, SHA-1 .). Người gửi sẽ mã hoá đoạn mã băm bằng khoá riêng của mình và người nhận sẽ dùng khoá công cộng của người gửi để giai đoạn mã băm của người gửi, sau đó so sánh với đoạn mã băm của thông điệp nhận được (được tạo bằng cùng một thuật toán). Nếu trùng nhau thì người nhận thể tin rằng thông điệp nhận được không bị thay đổi trong quá trình truyền tải trên mạng và xuất phát từ người gửi xác định. Cách thực hiện này được gọi là chữ ký điện tử. Nhưng cần nhắc lại là chung ta yêu cầu không chỉ chữ ký - chúng ta cần một thẻ hội viên điện tử. Chính vì thế mà xuất hiện khái niệm giấy chứng nhận điện tử. Một chứng nhận điện tử gắn tên của hội viên hay thiết bị với một cặp khoá, tương tự như thẻ hội viên gắn tên của hội viên với chữ ký và ảnh của họ. Ðể đảm bảo giấy chứng nhận là hợp lệ, chúng ta thường yêu cầu giấy chứng nhận phải được cấp do một tổ chức tin cậy. Ðối với giấy chứng nhận điện tử, tổ chức này được gọi là hệ thống cung cấp chứng nhận (Ca-Certification Autbority). 3) Các mạng VPN sử dụng chứng nhận điện tử như thế nào ? Khi đường ngầm IP đã được khởi tạo, các điểm kết cuối sẽ nhận thực lẫn nhau thông qua chứng nhận điện tử. Ví dụ, cổng bảo mật X sẽ tự chứng nhận và ký (điện tử) thông điệp bằng khoá mã riêng của nó. Cổng bảo mật Y sẽ nhận chứng nhận điện tử của X và sử dụng khoá công khai của X để kiểm tra chữ ký điện tử. Nếu đúng thì cổng bảo mật X được xác nhận vì chữ ký điện tử chỉ thể được tạo ra bằng khoá mã riêng được gắn liền với chứng nhận điện tử của X. Tại sao giấy chứng nhận điện tử lại tính mở rộng hơn kiểu chia sẻ khoá bảo mật chung? Rõ ràng chúng ta không còn cần phải cung cấp những cặp mã khoá chia sẻ cho mỗi cặp thiết bị VPN. Mỗi thiết bị VPN chỉ cần một giấy chứng nhận điện tử. Và chúng ta cũng không cần phải thiết lập lại cấu hình của tất cả các điểm đã của VPN mỗi khi chúng ta mở thêm một điểm mới. Thay vào đó, chúng ta thể chứng nhận cho mỗi thiết bị thông qua hệ thống thư mục công cộng - ví dụ như qua LDAP. Cao hơn nữa, chúng ta thể kết hợp hai mạng VPN sẵn thông qua việc cộng tác giữa hai CA trong trao đổi sở dữ liệu và trong việc phát hành giấy chứng nhận. Ðiều đó cũng tương tự như việc công nhận hộ chiếu của một nước khác như là một giấy chứng minh hợp lệ vậy. Cũng như hộ chiếu, mỗi giấy chứng nhận điện tử cũng phải thời hạn hợp lệ và thể bị nơi phát hành thu hồi khi cần thiết. Xuất trình chữ ký điện tử liên quan đến một giấy chứng nhận điện tử không hợp lệ, không tồn tại hay đã bị thu hồi sẽ dẫn đến việc truy nhập không thành công. Vấn đề này thể trở nên phức tạp nếu người kiểm tra (nơi nhận) không thường xuyên kiểm tra tình trạng hợp lệ của giấy chứng nhận tại nơi phát hành giấy chứng nhận (CA). Thậm chí, nếu việc kiểm tra được thực hiện thì thể danh sách các giấy chứng nhận điện tử bị thu hồi cũng đã lạc hậu. Vậy thì cần phải kiểm tra các danh sách này hàng tháng, hàng tuần hay hàng ngày, hàng giờ ? Ðó là vấn đề của thực tế khi áp dụng các chính sách bảo mật của mỗi nhà quản trị mạng cụ thể 4) Các thành phần của PKI VPN không phải là dịch vụ bảo mật duy nhất ứng dụng PKI. rất nhiều yêu cầu bảo mật khác thể được thoả mãn khi sử dụng PKI như thư bảo mật (e-mail-secured with S/MINE), các giao dịch bảo mật của Web (Web transaction secured with SSL) . Các yêu cầu đó thể khác nhau do tính chất của mỗi dịch vụ hay ứng dụng, tất cả đều dựa trên một "Cơ sở hạ tầng mã khoá công cộng - PKI" bao gồm nhiều thành phần bản. Nền tảng của PKI là CA. CA phát hành các giấy chứng nhận điện tử. Nó thể thuộc riêng về một doanh nghiệp hoặc thuộc một tổ chức thuộc bên ngoài các doanh nghiệp (chuyên cung cấp dịch vụ trong lĩnh vực này). Các CA thể uỷ nhiệm sự tin cậy cho nhau thông qua kiến trúc phân cấp. CA gốc (root CA) là CA cung cấp trực tiếp các giấy chứng nhận điện tử cho doanh nghiệp, CA phụ thuộc (subordinate CA) là CA được công nhận gián tiếp thông qua mối liên hệ với CA gốc. CA gốc thể mặc nhiên được công nhận (đối với nội bộ doanh nghiệp). Các CA phụ thuộc được công nhận thông qua chứng nhận của CA gốc và tạo nên chuỗi các CA uỷ thác. Mỗi khi tạo ra một giấy chứng nhận điện tử mới, một cặp khoá mã được phát ra cho mỗi thực thể - thiết bị VPN, máy chủ Web, người sử dụng thư điện tử . Những thực thể sẽ giữ các khoá riêng (private key) dùng để tạo ra chữ ký điện tử. Còn khoá công khai (public key), tên của thực www.nhipsongcongnghe.net thể, tên của CA phát hành, tất cả sẽ được tập hợp trong giấy chứng nhận điện tử, và tất cả sẽ được xác nhận thông qua chữ ký điện tử của chính CA. Với mục đích tránh sự không công nhận của mỗi thực thể, chỉ chính bản thân họ mới được sử dụng đến khoá bảo mật riêng. Với cách làm như vậy, các thực thể không thể phủ nhận được việc đã "ký" tên vào thông điệp vì không ai khác thể "ký" như vậy được. Cũng chính vì nguyên nhân như vậy mã khoá riêng này cần được lưu giữ an toàn. Khi mã khoá này bị lộ vì một nguyên nhân nào đó, giấy chứng nhận điện tử cần phải được thu hồi. Ðể thuận tiện trong việc phân phát, các giấy chứng nhận thường được công bố qua hệ thống uỷ nhiệm. Ðể tăng khả năng truy xuất, tìm kiếm và độ an toàn của hệ thống, các giấy chứng nhận trong các hệ thống uỷ nhiệm thường được công bố trong các "thư mục che phủ nhiều tầng" (Multiple shadow directories). Do yêu cầu thiết kế và nhu cầu thực tế, cả CA đều cần phải được bảo mật tốt nên hai thành phần này thường được phân cách không những theo logic mà còn phải được phân cách cả vị trí vật lý. Chức năng quản lý được giao cho RA - Thành phần cấp quyền đăng nhập (Registration Authorities). RA nhiệm vụ quản trị việc đăng ký tên, khởi tạo hoặc lưu trữ các cặp khoá mã, xác nhận các thực thể trong giai đoạn đăng ký, yêu cầu CA cấp chứng nhận, chuyển các khoá mã đến các thực thể, khởi tạo hoặc thu hồi các giấy chứng nhận điện tử. RA là một chế hỗ trợ CA rất hiệu quả, và cũng như trường hợp trên, do yêu cầu bảo mật, RA và CA thường cũng được phân cách nhau cả về mặt vật lý và do các nhóm quản trị mạng khác nhau chịu trách nhiệm. Ðó là các thành phần căn bản của một hệ thống PKI. Ngoài ra, trong thực tế thể một số thành phần và dịch vụ phụ trợ khác trong PKI hoặc liên quan đến hoạt động của PKI cũng như không phải một hệ PKI nào cũng đủ các thành phần bản như trên. Chúng ta cũng hai cách lựa chọn triển khai PKI: Sử dụng dịch vụ từ nhà cung cấp hoặc tự xây dựng nên hệ thống của mình. 5) Sử dụng PKI từ nhà cung cấp dịch vụ Trên mạng Internet rất nhiều nhà cung cấp hạ tầng PKI, những người sẽ bán các giấy chứng nhận điện tử. Dưới đây là danh sách một số nhà cung cấp như vậy. Digital Signature Trust Company: www.digsigtrust.com/ ID Certify: www.idcertify.com/ Thawte: www.thawthe.com/ USERTrust, Inc.: www.usertrust.com/ VerSign OnSite: www.versign.com/ Cần nhắc lại là nếu bạn muốn xây dựng một mạng VPN sử dụng công nghệ nhận thực bằng giấy chứng nhận điện tử thì tất cả các thực thể trong mạng của bạn đều cần được chứng nhận và nếu mạng quá lớn, chi phí mua giấy chứng nhận từ nhà cung cấp sẽ là không nhỏ. Sau đó cần xây dựng các chính sách về quản trị, điều hành và bảo mật thực hợp. Một điểm cần chú ý khác là bạn nên chọn nhà cung cấp VPN hỗ trợ cho thiết bị VPN của bạn. 6) Xây dựng hạ tầng mã khoá công khai của riêng bạn Các sản phẩm khác nhau sẽ các đặc trưng riêng khác nhau, và điều quan trọng nhất cần phải hiểu là việc mua một sản phẩm phần mềm hỗ trợ PKL chỉ là một phần nhỏ trong toàn bộ chi phí để xây dựng một hệ PKI. Nên chọn một nhóm chuyên gia tư vấn để xây dựng chính sách bảo mật và kiến trúc của PKI sao cho phù hợp với thực tế và nhu cầu phát triển trong tương lai. Hầu hết các công ty cung cấp kể trên đều thể giúp đỡ bạn trong công việc hoạch định đó. Bảo mật rất quan trọng đối với VPN. Hãy cùng tìm hiểu xem bảo mật được xây dựng ra sao ở chế hoạt động VPN qua giao thức SSH và PPP như trên. • Tiến trình daemon. Dừng tất cả trừ SSHD và Roxen Web server. Dùng web server để download một vài file nhằm thiết lập những máy mới để truy cập VPN. • Không cho phép dùng password • Disable password hoàn toàn. Mọi xác thực trên máy này nên được thực hiện qua hệ thống xác thực khóa chung của SSH. Bằng www.nhipsongcongnghe.net cách này, chỉ những người khóa mới thể vào mạng, và không thể nhớ một khóa nhị phân chiều dài 530 ký tự. Để làm được như vậy, ta cần sửa lại file /etc/passwd. Cột thứ 2 chứa password hash, hoặc chứa ‘x’ thông báo cho hệ thống xác nhận tìm trong tập tin /etc/shadow. Việc ta cần làm là thay những giá trị trên ở cột này bằng “*”. Điều này thông báo cho hệ thống xác nhận rằng không password, và không một password nào được cho phép. Việc này đã được thực hiện ở bước Thêm những người dùng khi cấu hình VPN Server. • Truy cập người dùng Truy cập người dùng được thực hiện qua hệ thống xác thực của SSH. Như đã đề cập ở phần trên, đây là cách người dùng truy nhập vào hệ thống, trong khi vẫn duy trì mức độ bảo mật cao (SSH đang dùng là SSH1). • Cấu hình SSHD. Disable password authentication và rhosts authentication trong tập tin /etc/SSHD_config như sau: • Giới hạn người dùng. Chỉ cho người dùng chạy PPPD sudo hay không sudo PPPD cần chạy dưới quyền root. Tuy nhiên, ta chạy mọi thứ trên VPN Server bằng quyền người dùng vpn-users. Để các vpn-users chạy PPPD, ta dùng tiện ích sudo. Sudo cấp quyền superuser cho các người dùng thường nhưng chỉ gồm một tập lệnh rất giới hạn được quy định bởi người quản trị hệ thống. Trong trường hợp này, ta chỉ muốn cho người dùng VPN chạy PPPD bằng đặc quyền superuser. Phương pháp này được sử dụng khi muốn cho phép người dùng truy nhập shell. Nếu không muốn cho phép người dùng truy nhập shell, thì cách tốt nhất là làm cho shell của họ PPPD như đã thực hiện trong tập tin / etc/ passwd cho 3 người dùng ở 3 hàng cuối ở bước Thêm những người dùng thuộc phần cấu hình VPN Server. 3. Bảo mật cho Client và Gateway trong giải pháp SSL VPNs Trong giải pháp SSL VPNs, SSL VPNS thể đơn giản hóa việc truy cập từ xa thì đồng thời nó cũng phức tạp hóa quá trình bảo mật thông tin vì người sử dụng lại thường truy cập vào các ứng dụng từ các máy tính kém tin cậy nhiều hơn. Để khắc phục vấn đề này, các nhà cung cấp đã phải nỗ lực rất nhiều trong việc đưa tính năng kiểm tra độ tin cậy của máy client vào trong giải pháp của mình. Quá trình kiểm tra này thể chia thành ba loại chính: quét host, dọn dẹp cache và tạo một sandbox bảo mật trên một thiết bị client. Một vài nhà cung cấp khác đang từng bước bổ sung các tính năng cho gateway để nó thể tự bảo đảm an toàn cho mình. Quá trình quét gateway sẽ tóm gọn các phần mềm hại (malware) www.nhipsongcongnghe.net bị bỏ qua bởi quá trình kiểm tra host, trong khi các tường lửa tầng ứng dụng thì nhận nhiệm vụ nhận dạng các cuộc tấn công theo kiểu SQL injection hoặc tràn bộ đệm bắt nguồn từ các máy núp danh người dùng cuối tin cậy. Hãng Whale trang bị cho gateway SSL VPN của mình một tường lửa tầng ứng dụng. Tường lửa chỉ cho phép các thông lượng thỏa mãn yêu cầu đặt ra của ứng dụng, mọi lưu lượng còn lại đều bị drop. Giải pháp Connectra SSL VPN của CheckPoint thể chạy cùng một chế chặn tấn công trên tầng ứng dụng và Web như trên FireWall-1 (một sản phẩm tường lửa nổi tiếng của hãng). Giải pháp FirePass SSL VPN của F5 thì lại bao gồm nhiều phần cùng hoạt động như: phần phát hiện và diệt virus, phần ngăn chặn SQL injection đơn giản, phần chặn các script liên site và các tấn công trên nền Web khác. Một tùy chọn khác là truyền các traffic SSL VPN qua một thiết bị bảo mật bổ sung ngay sau khi traffic được giải mã ở gateway. Checkpoint, Juniper, và F5 đều giới thiệu đến khách hàng giải pháp bảo mật trên tầng ứng dụng trong loạt sản phẩm truyền thống của họ. Aventail vừa mới đây cũng đã công bố liên kết với NetContinuum, một công ty chuyên về xây dựng các tường lửa ứng dụng Web. Các chuyên viên mạng sẽ phải cân nhắc lựa chọn giữa hai công nghệ truy cập từ xa này. Việc để traffic mạng đi qua nhiều thiết bị hỗ trợ bảo mật đồng nghĩa với việc tăng độ trễ cho kết nối cũng như tăng xác suất sai hỏng dữ liệu. Tuy nhiên, mặt khác thực hiện quá nhiều thao tác kiểm tra bảo mật tại gateway SSL VPN chắc chắn sẽ ảnh hưởng đến hiện năng họat động chung của hệ thống. III. Chế Hoạt Động Của VPN Kết Nối Truy Xuất Từ Xa 1. 2 loại kết nối VPN là Site-to-site VPN connection. Remote access VPN connection. www.nhipsongcongnghe.net 1) Kết nối truy xuất từ xa VPN Một client truy xuất từ xa thực hiện một sự kết nối VPN theo một mạng riêng (theo quan hệ một-một).VPN truy nhập từ xa hay mạng riêng ảo quay số ( Virtual private dial-up network VPDN) đuợc triển khai, thiết kế cho nhừng khách hàng riêng lẻ ở xa như những khách hàng đi đường hay những khách hàng truy cập vô tuyến. Trước đây, các tổ chức, tập đoàn hỗ trợ cho những khách hàng từ xa theo những hệ thống quay số. Đây không phải là một giải pháp kinh tế, đặc biệt khi một người goi lại theo đường truyền quốc tế. Với sự ra đời của VPN truy cập từ xa, một khách hàng di động gọi điện nội hạt cho nhà cung cấp dịch vụ Internet (ISP) để truy nhập vào mạng tập đoàn của họ chỉ với một máy tính cá nhân được kết nối Internet cho dù họ đang ở bất kỳ đâu. VPN truy cập từ xa là sự mở rộng những mạng quay số truyền thống. Trong hệ thống này, phần mềm PC cung cấp một kết nối an toàn - như một đường hầm, cho tổ chức. Bởi vì những người sử dụng chỉ thực hiện các cuộc gọi nội hạt nên chi phí giảm. 2) Kết nối Site-to Site VPN Một router thực hiện sự kết nối site-to-site VPN, sự kết nối này nối 2 phần của mạng riêng. VPN site - to - site được triền khai cho các kết nối giữa các vùng khác nhau của một tập đoàn hay tổ chức. Nói cách khác mạng ở một đia điểm, vi trí được nối kết với mạng ở một vị trí khác sử dụng một VPN. Truớc đăy, một kết nối giữa các vi trí này là kênh thuê nêng hay frame relay. Tuy nhiên, ngày nay hầu hết các tổ chức, đoàn thể, tập đoàn đều sử dụng Intemet, với việc sử dụng truy nhặp Intemet, VPN site-to-site thế thay thế kênh thuê riêng truyền thống và frame relay. VPN site-to site là sự mở rộng và kế thừa chọn lọc mạng WAN. Hai ví dụ sử dụng VPN site - to - site là VPN Intranet và VPN Extranet. VNP Intranet thế xem là những kết nối giữa các vị trí trong cùng một tổ chức, người dùng truy cập các vị trí này ít bị hạn chế hơn so vớiVPN Extranet. VPN Extranet thề xem như những kết nối giữa một tổ chức và đối tác kinh doanh của nó, người dùng truy cập giữa các vi trí này được các bên quản lý chặt chẽ tại các vi trí của mình. [...]... giải pháp Ephelio – VPN Hãng Nippon Telegraph and Telephone East (Nhật Bản) đã lựa chọn những thiết bị truy cập NetScreen dòng SA và RA của Juniper Networks cho một trong những dịch vụ Ephelio -VPN SSL Kit và giải pháp mạng riêng ảo dựa trên cơng nghệ lớp bảo mật gói. Ephelio -VPN được giới thiệu lần đầu tiên vào năm 2000 với tên gọi Ephelio -VPN Easy Kit, là một giải pháp gói VPN dựa trên nền IPSec.... nhặp Intemet, VPN site-to-site thế thay thế kênh thuê riêng truyền thống và frame relay. VPN site-to site là sự mở rộng và kế thừa chọn lọc mạng WAN. Hai ví dụ sử dụng VPN site - to - site là VPN Intranet và VPN Extranet. VNP Intranet thế xem là những kết nối giữa các vị trí trong cùng một tổ chức, người dùng truy cập các vị trí này ít bị hạn chế hơn so vớiVPN Extranet. VPN Extranet có... khác thực hiện quá nhiều thao tác kiểm tra bảo mật tại gateway SSL VPN chắc chắn sẽ ảnh hưởng đến hiện năng họat động chung của hệ thống. III. Chế Hoạt Động Của VPN Kết Nối Truy Xuất Từ Xa 1. 2 loại kết nối VPN là Site-to-site VPN connection. Remote access VPN connection. www.nhipsongcongnghe.net Hướng dẫn cài đặt VPN Client bằng hình ảnh minh họa 1. Right click vào My Network... lại thì để cho bảng tìm đường định đoạt. Khi đến VPN server, bảng tìm đường ở đó sẽ chỉ những gói tin này đến giao diện PPPD vận hành bởi SSH. 3) Đường hầm www.nhipsongcongnghe.net Configuring the VPN Ports Trong phần Ports Properties như hình dưới đây. Chọn VPN interface mà bạn muốn enable, ví dụ như bạn muốn enable giao thức PPTP để client thể tạo kết nối với mạng VPN, giao thức... hoặc PPTP VPN. Hệ thống thiết lập VPN dưới đây sử dụng SSH (secure shell) và PPP (point-to-point protocol): dùng SSH để tạo kết nối đường hầm, sau đó dùng PPPD để chạy TCP hoặc IP qua đó. Ta sẽ tìm hiểu chế hoạt động của loại hình VPN này. 4. Giới thiệu về SSH và PPPD SSH là một giao thức cung cấp những trao đổi từ xa được mã hóa an tồn qua kênh khơng an tồn ví dụ như là Internet. Về thực... Là sở để tiến tới một mơ hình quan mới " ;Cơ quan khơng giấy tờ cơng văn" (paperless office), nghĩa các thơng tin trao đổi cho nhau chỉ thơng qua máy tính khơng theo đường công văn. Hiện tại chúng ta đang làm việc trong môi trường mà hầu như mọi thông tin văn bản pháp quy đều được trao đổi bằng giấy tờ công văn kéo theo sự chậm trễ, sai lệch và phiền phức của nó. Mơ hình quan... sẻ cho mỗi cặp thiết bị VPN. Mỗi thiết bị VPN chỉ cần một giấy chứng nhận điện tử. Và chúng ta cũng không cần phải thiết lập lại cấu hình của tất cả các điểm đã của VPN mỗi khi chúng ta mở thêm một điểm mới. Thay vào đó, chúng ta thể chứng nhận cho mỗi thiết bị thông qua hệ thống thư mục cơng cộng - ví dụ như qua LDAP. Cao hơn nữa, chúng ta thể kết hợp hai mạng VPN sẵn thơng qua việc... Thuật ngữ Vì việc thiết lập VPN rất giống giao tác client-server, ta mượn thuật ngữ này để phân biệt máy tính ở mỗi đầu đường hầm. • Server: Dùng chỉ máy đợi những yêu cầu kết nối VPN vào một cách thụ động. Nó chạy hồn tồn tự động. • Client: Dùng chỉ máy khởi sự yêu cầu kết nối: yêu cầu Server kết nối VPN. 3. Các công nghệ VPN khác nhau Hiện nay một vài giải pháp VPN cho Linux: IPSec - IP... của Juniper Networks với cơng nghệ SSL -VPN là dịng sản phẩm IVE chuyên dụng tiên tiến nhất của ngành cơng nghiệp mạng. Nó thể được quản trị thơng qua các lựa chọn truy cập Java hay Active-X và hồn tồn tương thích với mọi kiểu ứng dụng kết nối mạng khác. 3. Hệ thống IP -VPN với giải pháp của Nortel Contivity Secure IP Gateway là dòng sản phẩm chuyên dụng cho giải pháp VPN của Nortel Network,... bị chuyên dụng cho IP -VPN, tiếp theo sau là Cisco, Lucent, Check Point, Nokia . Cho phép xây dựng hệ thống IP -VPN với chi phí hợp lý cho mọi mơ hình doanh nghiệp từ nhỏ, trung bình đến lớn và rất lớn. Từ mơ hình các www.nhipsongcongnghe.net 1) Kết nối truy xuất từ xa VPN Một client truy xuất từ xa thực hiện một sự kết nối VPN theo một mạng riêng (theo quan hệ một- một) .VPN truy nhập từ xa hay . thiệu về mạng riêng ảo, thường được gọi là VPN, và cách thiết lập nó 1. Mạng riêng ảo là gì ? Mạng riêng ảo – Virtual Private Network, gọi tắt là VPN. VPN. dùng thuộc phần cấu hình VPN Server. 3. Bảo mật cho Client và Gateway trong giải pháp SSL VPNs Trong giải pháp SSL VPNs, SSL VPNS có thể đơn giản hóa

Ngày đăng: 23/08/2012, 11:53

Xem thêm

HÌNH ẢNH LIÊN QUAN

Kiểu mạng này có thể được diễn dịch như là một trường hợp giảm cấp của mô hình Network to Network - Cơ bản về VPN
i ểu mạng này có thể được diễn dịch như là một trường hợp giảm cấp của mô hình Network to Network (Trang 3)
Mô hình bức tường lửa trong VPN - Cơ bản về VPN
h ình bức tường lửa trong VPN (Trang 4)
Việc này đã được thực hiện ở bước Thêm những người dùng khi cấu hình VPN Server. • Truy cập người dùng  - Cơ bản về VPN
i ệc này đã được thực hiện ở bước Thêm những người dùng khi cấu hình VPN Server. • Truy cập người dùng (Trang 8)
SSHD là một tiến trình daemon, được ghép vào làm việc cùng SSH theo mô hình server-client - Cơ bản về VPN
l à một tiến trình daemon, được ghép vào làm việc cùng SSH theo mô hình server-client (Trang 13)
Lấy ví dụ ở mô hình VPN Network-Network, VPN có hai máy chủ điều khiển sự mã hóa hoặc giải mã giao thông VPN: Client và Server, thuộc hai mạng mà ta muốn nối và cũng là điểm bắt đầu  và kết thúc của VPN - Cơ bản về VPN
y ví dụ ở mô hình VPN Network-Network, VPN có hai máy chủ điều khiển sự mã hóa hoặc giải mã giao thông VPN: Client và Server, thuộc hai mạng mà ta muốn nối và cũng là điểm bắt đầu và kết thúc của VPN (Trang 15)
Là cơ sở để tiến tới một mô hình cơ quan mới &#34;Cơ quan không giấy tờ công văn&#34; (paperless office), có nghĩa các thông tin trao đổi cho nhau chỉ thông qua máy tính không theo đường công  văn - Cơ bản về VPN
c ơ sở để tiến tới một mô hình cơ quan mới &#34;Cơ quan không giấy tờ công văn&#34; (paperless office), có nghĩa các thông tin trao đổi cho nhau chỉ thông qua máy tính không theo đường công văn (Trang 24)
configured server và click Next theo hình dưới đây. - Cơ bản về VPN
configured server và click Next theo hình dưới đây (Trang 27)
Right click vào server name của bạn và chọn Properties theo hình dưới đây. - Cơ bản về VPN
ight click vào server name của bạn và chọn Properties theo hình dưới đây (Trang 28)
Sau khi bạn chọn xong thì click OK để tiếp tục phần configure ports như hình dưới đây. - Cơ bản về VPN
au khi bạn chọn xong thì click OK để tiếp tục phần configure ports như hình dưới đây (Trang 30)
Trong phần Ports Properties như hình dưới đây. Chọn VPN interface mà bạn muốn enable, ví dụ như bạn muốn enable giao thức PPTP để client có thể tạo kết nối với mạng VPN, giao  thức PPTP tương đối là đơn giản nhất, cho nên bạn nên bắt đầu bằng giao thức nà - Cơ bản về VPN
rong phần Ports Properties như hình dưới đây. Chọn VPN interface mà bạn muốn enable, ví dụ như bạn muốn enable giao thức PPTP để client có thể tạo kết nối với mạng VPN, giao thức PPTP tương đối là đơn giản nhất, cho nên bạn nên bắt đầu bằng giao thức nà (Trang 31)
Trong phần configure WAN Miniport (PPTP) như hình dưới, bạn nên chọn mục Remote access connections (inbound only)  để clients có thể tạo kết nối với VPN server - Cơ bản về VPN
rong phần configure WAN Miniport (PPTP) như hình dưới, bạn nên chọn mục Remote access connections (inbound only) để clients có thể tạo kết nối với VPN server (Trang 32)
Click OK. Nếu bạn chọn ít hơn số port mặc định thì bạn sẽ gặp lời cảnh cáo như hình dưới đây, nhưng không sao bạn cứ việc click Yes - Cơ bản về VPN
lick OK. Nếu bạn chọn ít hơn số port mặc định thì bạn sẽ gặp lời cảnh cáo như hình dưới đây, nhưng không sao bạn cứ việc click Yes (Trang 33)
Grant remote access permission như hình dưới sau đó. Click Apply and then click OK.  - Cơ bản về VPN
rant remote access permission như hình dưới sau đó. Click Apply and then click OK. (Trang 34)
2. Chọn vào Connect to private network through the Internet theo hình dưới đây. - Cơ bản về VPN
2. Chọn vào Connect to private network through the Internet theo hình dưới đây (Trang 36)
Hướng dẫn cài đặt VPN Client bằng hình ảnh minh họa - Cơ bản về VPN
ng dẫn cài đặt VPN Client bằng hình ảnh minh họa (Trang 36)
5. Nếu bạn cho phép các users khác được phép sử dụng kết nối này của bạn để truy cập VPN thì chọn mục For all users, còn không thì chọn Only for myself  - Cơ bản về VPN
5. Nếu bạn cho phép các users khác được phép sử dụng kết nối này của bạn để truy cập VPN thì chọn mục For all users, còn không thì chọn Only for myself (Trang 38)
6. Trong hình dưới đây bạn chỉ việc nhập vào user name và password để kết nối. - Cơ bản về VPN
6. Trong hình dưới đây bạn chỉ việc nhập vào user name và password để kết nối (Trang 38)
Hy vọng là những hình ảnh trên có thể giúp bạn ít nhiều trong cách thiết lập VPN client. - Cơ bản về VPN
y vọng là những hình ảnh trên có thể giúp bạn ít nhiều trong cách thiết lập VPN client (Trang 39)

TỪ KHÓA LIÊN QUAN

w