ĐỀ TÀI : TÌM HIỂU VÀ TRIỂN KHAI ỨNG DỤNG VPN TRÊN NỀN WINDOWS SERVER 2008

Vấn đề bảo vệ các nguồn thông tin quan trọng lưu trên hệ thống được coitrọng hơn, tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan trọngtrên mạng công cộng không an toà

KHOA CÔNG NGHỆ THÔNG TIN

Tel (84-511) 736 949, Fax (84-511) 842 771Website: itf.ud.edu.vn, E-mail: cntt@edu.ud.vn

LUẬN VĂN TỐT NGHIỆP KỸ SƯ

NGÀNH CÔNG NGHỆ THÔNG TIN

MÃ NGÀNH : 05115

ĐỀ TÀI : TÌM HIỂU VÀ TRIỂN KHAI ỨNG DỤNG VPN TRÊN NỀN

WINDOWS SERVER 2008

Mã số : 06T3-019 Ngày bảo vệ : 15-16/06/2011

SINH VIÊN : NGUYỄN TRUNG KIÊN

ĐÀ NẴNG, 06/2011

Đầu tiên em xin chân thành gởi lời cảm ơn đến quý thầy cô giáo của Đại Học

Đà Nẵng, Trường Đại Học Bách Khoa nói chung và các thầy cô giáo của khoa CôngNghệ Thông Tin nói riêng đã tận tình dạy dỗ, truyền đạt kiến thức, kinh nghiệm cho

em trong suốt 5 năm học vừa qua

Đặc biệt em xin cảm ơn thầy PGS.TS Phan Huy Khánh là giáo viên trực tiếphướng dẫn em nghiên cứu và hoàn thành luận văn tốt nghiệp

Trong suốt quá trình thực hiện luận văn em đã cố gắng hoàn thành tốt đề tàicủa mình song không tránh khỏi những sai sót, kính mong các thầy cô chỉ bảo để emsửa chữa và rút ra bài học kinh nghiệm làm hành trang bước vào đời

Em xin chân thành cảm ơn!

Tôi xin cam đoan :

1 Những nội dung trong báo cáo này là do em thực hiện dưới sự hướng dẫn củathầy PHAN HUY KHÁNH.

2 Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng tên tác giả, nguồn gốc, thời gian, địa điểm công bố.

3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, chúng tôi xin chịu hoàn toàn trách nhiệm.

Sinh viên,

Nguyễn Trung Kiên

MỞ ĐẦU 1

I GIỚI THIỆU VỀ ĐỀ TÀI 1

I.1 Lý do nghiên cứu về đề tài: 1

I.2 Mục đích của đề tài 1

I.3 Ứng dụng của đề tài 2

II PHẠM VI NGHIÊN CỨU CỦA ĐỀ TÀI 2

CƠ SỞ LÝ THUYẾT CỦA ĐỀ TÀI 3

I Tổng quan về Windows Server 2008 3

I.1 Tổng quan 3

I.2 Những điểm mới trong Windows Server 2008 3

II Giới thiệu VPN 5

II.1 Một số khái niệm 5

II.2 Cơ chế đảm bảo an toàn 6

II.3 Sư phát triển của VPN 6

II.4 Giao thức đường hầmVPN 7

II.4.1 Khái niệm đường hầm Tunneling 7

II.4.2 Giao thức đường hầm chính 7

II.5 Ưu điểm và khuyết điểm của VPN 8

II.5.1 Ưu điểm 8

II.5.2 Khuyết điểm 9

II.6 Đánh giá VPN 9

III Các dạng của VPN 10

III.1 Remote Access VPN 11

III.2 Intranet VPN 13

III.3 Extranet VPN 15

IV Các giao thức đường hầm phổ biến 17

IV.1 Tổng quan 17

IV.2 Point-to-Point Tunneling Protocol (PPTP) 17

IV.2.1 Các quy trình xử lý giao thức PPTP 17

IV.2.2 Bảo mật PPTP 18

IV.2.3 Ưu điểm và khuyết điểm của PPTP 18

IV.2.4 Nhược điểm của PPTP 18

IV.3 Layer 2 Tunneling Protocol (L2TP) 19

IV.3.1 Bảo mật L2TP 20

IV.3.2 Ưu và khuyết điểm của L2TP 20

IV.3.3 Đặc điểm nổi bật của SSTP 21

V BẢO MẬT TRONG VPN 22

V.1 Xác nhận người dùng và quản lý truy cập 22

V.1.1 Xác nhận người dùng 23

V.1.2 Quản lý truy cập 23

V.2 Mã hóa dữ liệu 23

I.2 Tạo user để VPN Client kết nối vào VPN Server 31

I.3 Cấu hình VPN client 32

I.4 Cấu hình VPN Server bằng giao thức L2TP 40

II VPN SITE TO SITE 45

II.1 Cài đặt Role Routing and Remote Access trên VPN Server1 và VPN Server2 45 II.2 Cấu hình VPN trên máy VPN Server HCM 48

II.3 Cấu hình trên VPNDN 57

KẾT LUẬN 60

I KẾT QUẢ ĐẠT ĐƯỢC 60

II HƯỚNG PHÁT TRIỂN ĐỀ TÀI 60

MỞ ĐẦU

I.1 Lý do nghiên cứu về đề tài:

Trong thời đại hiện nay Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toànthế giới Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệthống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại,vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau Thương mại điện tử, mọi hoạtđộng kinh doanh, các giao dịch được thực hiện qua mạng internet

Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thôngtin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đếnmáy và mạng mà người sử dụng đó đang dùng Để làm được điều này người ta sửdụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau Cácmáy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet ServiceProvider), cần một giao thức chung là TCP/IP

Chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánhtrên khắp nơi tăng cao Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụngmạng internet, từ đó có thể tăng lợi nhuận của tổ chức Tuy nhiên, do Internet lànguồn thông tin công cộng nên có thể được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất

kỳ nơi đâu, việc trao đổi thông tin có thể bị nghe trộm, bị thay đổi dữ liệu trong quátrình trao đổi

Vấn đề bảo vệ các nguồn thông tin quan trọng lưu trên hệ thống được coitrọng hơn, tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan trọngtrên mạng công cộng không an toàn như Internet được quan tâm

Chính vì lẽ đó, tôi chọn đề tài ”Tìm hiểu và triển khai ứng dụng VPN trênnền Windows Server 2008” làm đề tài tốt nghiệp với mong muốn có thể góp phần giảiquyết vấn đề đã nêu trên

I.2 Mục đích của đề tài

Tìm hiểu về VPN và kĩ thuật đường hầm sử dụng trong VPN

Nghiên cứu phương pháp cài đặt VPN

Mục đích chính của VPN là cung cấp sự bảo mật, tính hiệu quả và độ tin cậy trongkhi vẫn đảm bảo cân bằng giữa chi phí xây dựng và lợi ích của khách hàng

Với mô hình VPN này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng màcác tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sựhoạt động của mạng này

VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chinhánh có thể kết nối an toàn đến máy chủ của tổ chức mình Nó có thể đảm bảo an toànthông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môitrường truyền thông rộng lớn

Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuynhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet màđảm bảo tính riêng tư và tiết kiệm hơn nhiều

II PHẠM VI NGHIÊN CỨU CỦA ĐỀ TÀI

Triển khai ứng dụng VPN trên môi trường Windows Server 2008 các mô hình sau:

Client to Site:

Site to Site

CƠ SỞ LÝ THUYẾT CỦA ĐỀ TÀI

I.1 Tổng quan

Microsoft Windows Server 2008 là thế hệ tiếp theo của hệ điều hành WindowsServer giúp các chuyên gia công nghệ thông tin kiểm soát được cơ sở hạ tầng tối ưu nhất màvẫn đảm bảo khả năng quản lý, tính sẵn sàng, môi trường máy phục vụ mạnh mẽ, ổn định, vàbảo mật hơn nhiều so với trước đây

Mang lại giá trị mới cho tổ chức vì mọi người dù đang ở bất cứ đâu cũng nhận đượcđầy đủ mọi dịch vụ của mạng Windows Server 2008 cũng giúp hiểu biết sâu sắc hơn về hệđiều hành cùng khả năng chẩn đoán sự cố để các nhà quản trị mạng có nhiều thời gian tậptrung tạo thêm giá trị nghiệp vụ

Tuy vậy, Windows Server 2008 không chỉ cải tiến các hệ điều hành trước mà đượcthiết kế để mang lại cho tổ chức một nền tảng có năng suất cao nhất để phục vụ các ứngdụng, mạng và các dịch vụ Web từ nhóm làm việc đến trung tâm dữ liệu, bằng tính năngmới, giá trị và hấp dẫn cùng những cải tiến lớn trong hệ điều hành cơ sở

I.2 Những điểm mới trong Windows Server 2008

 Ứng dụng nền tảng Web

Windows Server 2008 có một nền tảng tạo Web thống nhất, tích hợp InternetInformation Services (IIS) 7.0, ASP.NET, Windows Communication Foundation, WindowsWorkflow Foundation, và Windows SharePoint Services 3.0

IIS 7.0 là một bước nâng cao đáng kể cho Windows Web server đang tồn tại vàđóng vai trò trung tâm trong việc tích hợp các công nghệ nền tảng Web IIS 7.0 giúp cácchuyên gia phát triển phần mềm và quản trị viên được quyền điều khiển trên các giao diệnmạng/Internet thông qua một hệ thống chức năng chính gồm quản trị ủy nhiệm, bảo mậtnâng cao và giảm bề mặt tấn công, tích hợp ứng dụng và quản lý trạng thái cho các dịch vụWeb, các công cụ quản trị được cải thiện

 Ảo hóa

Với công nghệ ảo hóa máy chủ, Windows Server 2008 cho phép bạn giảm được chiphí, tăng khả năng tận dụng phần cứng, tối ưu được cơ sở hạ tầng, tăng khả năng phục vụ củamáy chủ

Windows Server 2008 giới thiệu một số tính năng mới trong Terminal Services để kếtnối đến các máy tính và ứng dụng từ xa Terminal Services RemoteApp tích hợp hoàn toàncác ứng dụng đang chạy trên một máy chủ đầu cuối với các máy trạm của người dùng để họ

có thể sử dụng như đang chạy trên máy tính cục bộ của người dùng phân biệt; người dùng cóthể chạy các chương trình trên máy kế bên Terminal Services Web Access cho phép khảnăng linh động như nhau này đối với việc truy cập ứng dụng từ xa thông qua trình duyệtWeb, cho phép người dùng có nhiều cách khác nhau để truy cập và sử dụng chương trìnhđang tồn tại trên một máy chủ đầu cuối Các tính năng này cùng với Terminal ServicesGateway cho phép người dùng có thể truy cập vào các máy trạm điều khiển xa và ứng dụng

từ xa thông qua HTTPS theo tường lửa thân thiện

 Bảo mật

Windows Server 2008 là Windows Server an toàn nhất chưa từng có Hệ điều hànhvững chắc của nó và các cách tân về bảo mật gồm có Network Access Protection, FederatedRights Management và Read-Only Domain Controller cung cấp những mức bảo vệ chưa từngthấy cho mạng, dữ liệu và doanh nghiệp của bạn

Network Access Protection (NAP): Một cơ cấu làm việc mới cho phép một quản trịviên công nghệ thông tin có thể định nghĩa các yêu cầu về tình trạng cho mạng và hạn chếcác máy tính không có đủ các yêu cầu đó truyền thông với mạng NAP bắt buộc các chínhsách mà quản trị viên định nghĩa để mô tả trình trạng sức khỏe của mạng cho mỗi tổ chức Ví

dụ, các yêu cầu cần thiết có thể được định nghĩa gồm có tất cả các nâng cấp cho hệ điều hànhđược cài đặt, hoặc có phần mềm chống virus và chống spyware được cài đặt và nâng cấp.Với cách này, các quản trị viên mạng có thể định nghĩa một mức bảo vệ cơ bản cho tất cả cácmáy tính muốn kết nối vào mạng của họ

Microsoft BitLocker cung cấp những tính năng bảo mật bổ sung đối với dữ liệuthông qua việc mã hóa ấn bản đầy đủ trên nhiều ổ đĩa, thậm chí khi hệ thống không đượcthẩm định hoặc đang chạy một hệ điều hành khác

Read-Only Domain Controller (RODC): Một kiểu cấu hình bộ điều khiển miền mớitrong hệ điều hành Windows Server 2008 giúp các tổ chức dễ dàng triển khai bộ điều khiểnmiền nhiều vị trí, nơi bảo mật vật lý của bộ điều khiển miền không thể được bảo đảm MộtRODC quản lý một bản sao giống như thực (chỉ đọc) của cơ sở dữ liệu các dịch vụ thư mụcActive Directory cho miền được cho Trước đây, người dùng phải thẩm định với mỗi bộ điềukhiển miền nhưng khi họ ở các văn phòng chi nhánh thì họ không thể cung cấp đầy đủ bảomật vật lý cho mỗi bộ điều khiển miền, từ đó phải thẩm định trên mạng diện rộng (WAN).Trong nhiều trường hợp, điều này là không thể Bằng cách đưa ra bản sao giống như cơ sở dữliệu Active Directory thật chỉ đọc cho những người dùng ở các chi nhánh, những người này

có thể hưởng lợi từ những lần đăng nhập nhanh hơn và truy cập hiệu quả hơn vào tài nguyên

có thẩm định trong mạng, thậm chí trong các môi trường thiếu sự bảo mật vật lý để triển khai

bộ điều khiển miền truyền thống

Failover Clustering (kết cụm chống lỗi): Những cải thiện được trang bị làm dễ dànghơn trong việc cấu hình các nhóm máy chủ, bên cạnh đó vẫn bảo vệ và khả năng có sẵn của

dữ liệu và các ứng dụng của bạn Bằng sử dụng Validate Tool mới trong các nhóm tự độngchuyển đổi dự phòng, bạn có thể thực hiện các kiểm tra để xác định xem hệ thống, lưu trữ vàcấu hình mạng của bạn có thích hợp với nhóm hay không Với khả năng tự động chuyển đổi

dự phòng nhóm trong Windows Server 2008, các quản trị viên có thể thực hiện cài đặt,chuyển đổi cũng như quản lý các nhiệm vụ hoạt động dễ dàng hơn Những cải thiện để nhóm

cơ sở hạ tầng giúp các quản trị viên tối đa được khả năng sẵn có dịch vụ mà họ cung cấp chongười dùng, thực hiện lưu trữ, hiệu suất mạng và bảo mật tốt hơn

II Giới thiệu VPN

II.1 Một số khái niệm

Virtual Private Network (VPN) - Mạng riêng ảo được hiểu là sự mở rộng phạm vicủa mạng LAN (Local Area Network) thông qua mạng công cộng mà không cần bất kìđường dây riêng nào Các hãng thương mại có thể dùng VPN để cung cấp quyền truy cậpmạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thànhmột mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ

Để có thể gởi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính antoàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra mộtđường ống bảo mật giữa nơi nhận và nơi gởi Để có thể tạo ra đường ống bảo mật đó, dữ liệuphải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin vềđường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng

Dữ liệu được mã hóa một cách cẩn thận do đó nếu các packer bị bắt lại trên đường truyềncông cộng cũng không thể đọc được nội dung vì không có khóa để giải mã

Hình 1 Mô hình thiết lập VPN cơ bản

II.2 Cơ chế đảm bảo an toàn

Bao gồm những khái niệm sau đây:

Mã hóa (encryption) : Mã hoá dữ liệu là một quá trình xử lí thay đổi dữ liệu theomột chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn Ðể đọcđược dữ liệu người nhận buộc phải có chính xác khóa giải mã (decryption key) dữ liệu Chứng thực (authentication) : Là một quá trình xử lí bảo đảm chắc chắn dữ liệu sẽđược chuyển đến đúng người nhận người nhận đồng thời cũng bảo đảm thông tin nhận đượcnguyên vẹn Ở hình thức cơ bản, Authentication đòi hỏi ít nhất phải nhập vào Username vàPassword để có thể truy cập vào tài nguyên Trong một số tình huống phức tạp, sẽ có thêmsecret-key (khóa bí mật) hoặc public-key (khóa công khai) để mã hoá dữ liệu

Ủy quyền (authorization) : là sự cho phép hay từ chối truy cập tài nguyên trên mạngsau khi người sử dụng đã xác nhận thành công

II.3 Sư phát triển của VPN

VPN không thực sự là kĩ thuật mới Trái với suy nghĩ của nhiều người, mô hìnhVPN đã phát triển được khoảng hơn 20 năm và trải qua một số thế hệ để trở thành như hiệnnay

Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết

đến với tên Software Defined Network (SDN) SDN là mạng WAN, các kết nối dựa trên cơ

sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài Dựa trên thông tinnày, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻcông cộng

Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch vụtích hợp kỹ thuật số (Integrated Services Digital Network ISDN) đầu những năm 90 Haicông nghệ này cho phép truyền những dòng gói dữ liệu (package streams) qua các mạng chia

sẻ chung Giao thức X.25 và ISDN được xem là nguồn gốc của kĩ thuật VPN Tuy nhiên dohạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu của con người nên thời giantồn tại của nó khá ngắn

Sau khi thế hệ thứ hai của VPN ra đời, thị trường VPN tạm thời trầm xuống cho tớikhi có sự nổi lên của hai công nghệ cell-based Frame Relay (FR) và Asynchronous Tranfer

Mode (ATM) Thế hệ thứ ba của VPN đã phát triển dựa theo 2 công nghệ này Hai kĩ thuật

này dựa trên mô hình chuyển mạch ảo (virtual circuit switching) Trong đó các gói tin khôngchứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó chúng mang các con trỏ đến mạch ảonơi mà nguồn và điểm đến được xác định Với kĩ thuật này thì tốc độ truyền dữ liệu được cảithiện hơn so với trước

Thế hệ thứ tư của VPN là IP VPN : IP VPN có thể là phần cứng hay phần mềm, gồmVPN server và VPN client Giao thức kết nối PPTP, IPSec, L2TP dựa trên các chế độ mãhoá, thuật toán cao cấp như AH, ESP, DES, 3DEC, MD5, v.v… nên bảo mật rất cao

Thế hệ thứ 5 là MPLS VPN : thế hệ mới đang được sử dụng hiện nay MPLS là mộtnền tảng để xây dựng VPN

II.4 Giao thức đường hầmVPN

II.4.1 Khái niệm đường hầm Tunneling

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêngtrên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header(tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những

"đường hầm" riêng (tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến cácmáy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủphải sử dụng chung một giao thức (tunnel protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Haiđiểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ratrong mạng

II.4.2 Giao thức đường hầm chính

Có 3 giao thức đường hầm chính được sử dụng trong VPN:

a IP Security (IPSec): được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyềnthông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng Không giống như các

kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open SystemInterconnect) Do đó nó có thể thực thi độc lập với ứng dụng mạng

b Point-to-Point Tunneling Protocol (PPTP): được phát triển bởi Microsoft, 3COM

và Ascend Communications Nó được đề xuất để thay thế cho IPSec PPTP thi hành ở phânlớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điềuhành Windows

c Layer 2 Tunneling Protocol (L2TP) : được phát triển bởi hệ thống Cisco nhằm

thay thế IPSec Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền

thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mãhóa dữ liệu tốt hơn và có khả năng giao tiếp với Window L2TP là sự phối hợp của L2F) và

PPTP Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên

các mạng X.25, FR, và ATM

Trong 3 phương thức trên thì phương thức IPSec vẫn được sử dụng phổ biến nhất

II.5 Ưu điểm và khuyết điểm của VPN

II.5.1 Ưu điểm

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạngleased-line Những lợi ích đầu tiên bao gồm:

Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40%

so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80% VPN có thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những văn phòng, những vị tríngoài quốc tế, những người truyền thông, những người dùng điện thoại di động, những ngườihoạt động kinh doanh bên ngoài như những yêu cầu kinh doanh đã đòi hỏi

Tăng tính bảo mật: VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạngcông cộng cho nên tính bảo mật cũng được cải thiện, các dữ liệu quan trọng sẽ được che giấuđối với những người không có quyền truy cập và cho phép truy cập đối với những ngườidùng có quyền truy cập Thêm vào đó, VPN sử dụng thêm các phương pháp tăng cường bảomật như mã hóa, xác nhận và ủy quyền

Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP,SSL

Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do đó cácđiạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải pháptruyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý do là VPN đã loại bỏ các kếtnối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải nhưISP, hay ISP's Point of Presence (POP)

Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa,VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể Ngoài ra các tổ chức cũng

có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN sử dụng trong VPN đượcquản lý bởi nhà cung cấp dịch vụ (ISP) Một nguyên nhân nữa giúp làm giảm chi phí vận

hành là nhân sự, tổ chức không mất chi phí để đào tạo và trả cho nhiều người người quản lýmạng

Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho kết nốinội bộ giữa các phần xa nhau của intranet Do Internet có thể được truy cập toàn cầu, do đó ởbất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạngintranet chính

Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào đượckích hoạt Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi có yêu cầutruyền tải thông tin Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet Do

đó hạn chế rất nhiều sự lãng phí băng thông

Có thể nâng cấp dễ dàng: Bởi bì VPN dựa trên cơ sở Internet nên các nó cho phép cáccác mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn,

mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu Điều này làm mạng intranet

có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lạinhiều cho cơ sở hạ tầng

Cung cấp thêm một phương thức mạng toàn cầu

II.5.2 Khuyết điểm

Phụ thuộc nhiều vào chất lượng mạng Internet Sự quá tải hay tắt nghẽn mạng có thểlàm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN

Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kĩ thuật

IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị vàgiao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPN không phù hợp được với cácthiết bị và giao thức này Vấn đề này có thể được giải quyết một cách chừng mực bởi các

“tunneling mechanisms” Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các góitin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng

Do phải truyền dữ liệu qua Internet nên khi trao đổi các dữ liệu lớn như các gói dữliệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

Có khả năng mất dữ liệu, các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thấtthoát

Sử dụng dễ dàng.

Khả năng nâng cấp (Scalability

Performance

Quản lý băng thông

Chọn nhà cung cấp dịch vụ internet (ISP

Bảo vệ mạng khỏi các dữ liệu không mong muốn

III Các dạng của VPN

Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản:

Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời gian nào Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp haycác thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan

Dựa trên tiêu chí đó có thể phân loại VPN thành 3 nhóm chính:

Remote Access VPN

Intranet VPN

Extranet VPN

III.1 Remote Access VPN

Hình 2 mô tả phương pháp truy cập từ xa truyền thống Hệ thống bao gồm các thành phầnchính:

 Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủyquyền của yêu cầu truy cập từ xa

 Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà khoảng

Để nâng cấp Remote Access VPN, người dùng xa và các văn phòng chi nhánh chỉ cầnthiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâmthông qua Internet Mô hình thiết lập Remote Access VPN được mô tả ở hình 3.

Hình 3 Thiết lập VPN

 Ưu khuyết điểm của Remote Access VPN so với Remote Access truyền thống:

Không có thành phần RAS và các thành phần modem liên quan

Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP

Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương

Do đó chi phí vận hành giảm rất nhiều

Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn sovới phải truyền dữ liệu đi xa

VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mứcthấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao Khi sốngười sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khảnăng truy cập không hoàn toàn mất

Bên cạnh những ưu điểm của VPN thì vẫn tồn tại một số khuyết điểm còn tồn tại củaRemote Access truyền thống:

Remote Access VPN không đảm bảo chất lượng của dịch vụ QoS

Khả năng mất dữ liệu là rất cao Thêm vào đó, gói tin có thể bị phân mảnh và mấttrật tự

Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá nhiều.Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn Thêm vào đó, dữ liệu nén IP- andPPP-based là rất chậm và chất lượng ko tốt

Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiệnbằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền

Hình 4 Thiết lập intranet sử dụng WAN backbone

Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối.Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất caophụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet

Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằngchi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống Giảipháp VPN được mô tả như hình 5:

Hình 5 Thiết lập intranet dựa trên VPN

 Ưu điểm:

Giảm chi phí cho router được sử dụng ở WAN backbone.

Giảm số nhân sự hỗ trợ ở các nơi, các trạm

Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-to-peermới

Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp với kĩthuật chuyển mạch nhanh như FR

Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn Sựloại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rấtnhiều

 Khuyết điểm:

Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet - mạng chia sẻ

công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ(denial-of-service)

Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao

Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệthống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet

Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh vàQoS không thể đảm bảo

III.3 Extranet VPN

Không giống như giải pháp của intranet VPN và remote access VPN, extranet VPNkhông tách riêng với thế giới ngoài Extranet VPN cho phép điều khiển sự truy xuất các tàinguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cungcấp những người đóng vai trò quan trọng trong hoạt động thương mại của tổ chức

Mạng kết nối ngoài (extranet connectivity)truyền thống được mô tả ở hình 6

Hình 6 Extranet truyền thống

Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet phải có bộphận kết nối (tailoring) tương xứng các mạng ngoài Do đó sẽ vận hành và quản lý rất phứctạp các mạng khác nhau Ngoài ra yêu cầu nhân sự để bảo trì và quản lý hệ thống phức tạpnày trình độ cao Ngoài ra, với thiết lập dạng này sẽ không dễ mở rộng mạng do phải cài đặtlạu cho toàn bộ intranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài khác

Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn

và giảm chi phí Thiết lập extraner VPN được mô tả như hình sau:

Hình 7 Extranet VPN

 Ưu điểm:

 Giảm chi phí rất nhiều so với phương pháp truyền thống

 Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn

 Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải

pháp tailoring phù hợp với nhu cầu tổ chức

 Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân

sự do đó giảm chi phí vận hành của toàn hệ thống

 Khuyết điểm:

 Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại

 Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức

 Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệthống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet

 Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh vàQoS không thể đảm bảo.

IV Các giao thức đường hầm phổ biến

IV.1 Tổng quan

Giao thức đường hầm là cơ sở để xây dựng mạng riêng ảo và bảo mật đường truyền trongmạng riêng ảo Các chức năng của giao thức đường hầm thường được hiện thực ở lớp 2: lớpdatalink trong cấu trúc mạng OSI

Các giao thức phổ biến ở lớp hai:

Point-to-Point Tunneling Protocol (PPTP)

Layer 2 Tunneling Protocol (L2TP)

Sercure Socket Tunneling Protocol (SSTP)

IV.2 Point-to-Point Tunneling Protocol (PPTP)

Được phát triển bởi Microsoft và một số công ty công nghệ khác, là phương phápVPN được hỗ trợ rộng rãi nhất giữa các máy trạm chạy Windows PPTP là sự mở rộng củagiao thức Internet chuẩn Point-to-Point (PPP) và sử dụng cùng kiểu xác thực như PPP (PAP,SPAP, CHAP, MS-CHAP, EAP)

PPTP thiết lập đường hầm (tunnel) nhưng không mã hóa Nó sử dụng cùng với giaothức Microsoft Point-to-Point Encryption (MPPE) để tạo ra VPN bảo mật PPTP cũng chạynhanh hơn các phương pháp kết nối VPN khác

Do phần mềm kết nỗ hỗ trợ PPTP được tích hợp trong hầu hết các hệ điều hành,triển khai PPTP Server trở nên dễ dàng hơn vì không phải cài đặt phần mềm hỗ trợ trên máytrạm PPTP đã từng bị chỉ trích nhiều vì nhiều khiếm khuyết về bảo mật và rất nhiều các lỗinày đã được chỉ ra trong các phiên bản hiện thời của giao thức này Sử dụng xác thực EAP sẽtăng cường đáng kể khả năng bảo mật của PPTP VPN vì EAP sử dụng chứng chỉ số (digitalcertificates) để xác thực lẫn nhau giữa máy khách và máy chủ Một trong các ưu điểm của sửdụng PPTP là nó không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure)

Có hai đặc tính nổi bật đóng vai trò quan trọng trong việc bảo mật của PPTP khi cáckết nối có khoảng cách xa:

Sử dụng mạng chuyển mạch điện thoại công cộng

Cung cấp giao thức Non_IP

IV.2.1 Các quy trình xử lý giao thức PPTP

PPTP sử dụng ba quy trình để bảo mật truyền thông PPTP trên mạng không bảo mật

Thiết lập liên kết PPP

Kiểm soát kết nối

Tạo đường hầm PPTP và truyền dữ liệu

IV.2.3 Ưu điểm và khuyết điểm của PPTP

1 Ưu điểm của PPTP

PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft (các sảnphẩm được sử dụng rất rộng rãi)

PPTP có thể hỗ trợ các giao thức non-IP

PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh.Các nền không hỗ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyếnđược cài đặt sẵn khả năng của máy khách PPTP

IV.2.4 Nhược điểm của PPTP

PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec

PPTP phụ thuộc nền

PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh

Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như máy chủtruy cập từ từ xa cũng phải cấu hình trong trường hợp sủa dụng các giải pháp định tuyếnbằng đưòng quay số

Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với khóa

mã phát sinh từ password của user Điều này càng nguy hiểm hơn khi password được gửi

IV.3 Layer 2 Tunneling Protocol (L2TP)

Được cộng tác cùng phát triển bởi Cisco và Microsoft, kết hợp các đặc điểm của cảPPTP và giao thức Layer 2 Forwarding (L2F) thuộc sở hữu của Cisco Một trong các ưu việtcủa L2TP so với PPTP là có có thể sử dụng trên các mạng non-IP networks ví dụ như ATM,frame relay và X.25 Giống như PPTP, L2TP hoạt động tại lớp liên kết dữ liệu (data linklayer) của mô hình mạng OSI

Giao thức IP Security (IPSec) và một giao thức đặc biệt của nó là EncapsulatingSecurity Payload (ESP) protocol, cung cấp khả năng mã hóa cho L2TP tunnels

L2TP yêu cầu sử dụng chứng chỉ số (digital certificates) Xác thực người dùng có thểđược thực hiện thông qua cùng cơ chế xác thực PPP tương tự như PPTP, nhưng L2TP cũngcung cấp cách xác thực máy tính (computer authentication) Điều này bổ sung thêm mức độbảo mật cho L2TP

L2TP cung cấp thêm khả năng đảm bảo tính toàn vẹn dữ liệu (bảo vệ chống lại việcsửa đổi dữ liệu trong khoảng thời gian nó di chuyển từ người gửi đến người nhận, khả năngxác thực nguồn gốc (xác định người dùng đã gửi dữ liệu có thực sự đúng người), và khả năngbảo vệ chống gửi lại – replay protection (chống lại việc hacker chặn dữ liệu đã được gửi, ví

dụ thông tin quyền đăng nhập (credentials), rồi sau đó gửi lại (replay) chính thông tin đó đểbẫy máy chủ Mặt khác, do liên quan đến cung cấp các khả năng bảo mật mở rộng làm choL2TP chạy chậm hơn chút ít so với PPTP

Lợi ích của L2TP kết hợp từ các tính năng của L2F và PPTP:

L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP Do đó nó có

thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập

L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet và cácmạng công cộng khác, như

L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển hayphần mềm hỗ trợ Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều không cần phảithực thi phần mềm chuyện dụng

L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của riêng truycập mạng từ xa thông qua mạng công cộng

Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ Do đóISPs không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của user từ xa Hơn nữamạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó và có các cơ chế bảo mật riêng.Điều này làm cho quy trình thiết lập đường hầm của L2TP nhanh hơn so với các nghi thứcđường hầm trước nó

Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất như PPTPthì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích) của mạng Vì vậyyêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ user từ xa và gateway của ISP

Hình 8 Đường hầm L2TP

Khi Frame PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng gói dướidạng gói dữ liệu user : thông điệp UDP(Uer Datagram Protocol) L2TP sử dụng thông điệpUDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm Vì vậy gói dữ liệu đường hầm

và gói bảo trì đường hầm có chung cấu trúc

Để bổ sung cho các phương pháp chứng thực kể trên, L2TP cũng sử dụng thêm IPSec

để chứng thực từng gói riêng biệt Mặc dù việc chứng thực gói giảm tốc độ đường truyềnnhưng đảm bảo hacker và cracker không thể thâm nhập dữ liệu trong đường hầm

IV.3.2 Ưu và khuyết điểm của L2TP

1 Ưu điểm

L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng Hơnnữa L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN mà không cần IP Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP Do đó nó không yêu cầu bổsung cấu hình của user từ xa và ISP

L2TP cho phép tổ chức kiểm soát chứng thực users thay vì

L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải do đógiao tác trên L2TP nhanh hơn giao tác trên L2F

L2TP cho phép users với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa thôngqua mạng công cộng.

L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên suốtđường hầm và khả năng chưng thực gói của IPSec

2 Khuyết điểm

L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói nhận đựoc Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộđịnh tuyến và máy phục vụ truy cập từ xa

Secure Socket Tunneling Protocol(SSTP)

IV.3.3 Đặc điểm nổi bật của SSTP

Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng thông quaInternet.Windows Server 2003 hỗ trợ các đường hầm VPN dựa vào PPTP vàL2TP/IPSec.Nếu người dùng truy cập từ xa ở đằng sau một Firewall,những đường hầm nàyđòi hỏi các port riêng biệt được mở bên trong các firewall như các cổng TCP 1723 và giaothức IP GRE để cho phép kết nối PPTP

Secure Socket Tunneling Protocol(SSTP) là một đường hầm VPN mới được giới thiệutrong Windows Server 2008 nhằm giải quyết vấn đề kết nối VPN này

SSTP thực hiện điều này bằng cách sử dụng HTTPs làm lớp vận chuyển sao cho các kết nốiVPN có thể đi qua các firewall,NAT và server web proxy thường được cấu hình.Bởi vì kếtnối HTTPs (TCP 443) thường được sử dụng để truy cập các site Internet được bảo vệ nhưcác web site thương mại,do đó HTTPs thường được mở trong các firewall và có thể đi quacác Proxy web,router NAT

VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng nghe các kếtnối SSTP tùu VPN client.SSTP server phải có một Computer Certificate được cài đặt thuộctính Server Authentication.Computer Certificate này được sử dụng để xác thực server SSTPvới client SSTP trong quá trình thiết lập session SSL.Client hiệu lực hóa certificate củaserver SSTP.Để thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phảiđược cài đặt trên client SSTP

Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peer-L2TP và dựavào PPTP.Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao đó gửi các lưu lượng chocho kết nối HTTPs.Như vậy,tất cả các tính năng khác của VPN như kiểm tra sức khỏe dựavào NAT,tải lưu lượng IPV6 trên VPN,các thuật toán xác thực như username vàsmartcard và client VPN dựa vào trình quản lý kết nối vẫn không thay đổi đối vớiSSTP,PPTP và L2TP.Nó giup cho Admin một đường dẫn di trú tốt để di chuyển từL2TP/PPTP đến SSTP

IV.4.2 Hoạt động của SSTP:

SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thôngtin và dữ liệu.SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu sử

dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạytrên để xác thực client với server.Nghĩa là Client xác thực server bằng certificate vàServer xác thực Client thông qua giao thức hiện có được hỗ trợ bởi PPP.

Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giaotác tạo lập đường hầm,SSTP thiết lập session HTTPs với server từ xa tại port 443 ởmột địa chỉ URL riêng biệt.Các xác lập proxy HTTP được cấu hình thông qua IE sẽđược sử dụng để thiết lập kết nối này

Với session HTTPs,client đòi hỏi server cung cấp certificate để xác thực.Khi thíết lậpquan hệ SSL hòan tất,các session HTTP được thíet lập trên đó.Sau đó,SSTP được sử dụng đểthương lượng các tham số giữa Client và Server.Khi lớp SSTP được thíêt lập,việc thươnglượng SSTP được bắt đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầmcho dữ liệu

V BẢO MẬT TRONG VPN

Có 2 thành phần bảo mật cơ bản của thiết lập bảo mật VPN: quản lý truy cập và mã hóa

V.1 Xác nhận người dùng và quản lý truy cập

Dữ liệu được lưu trữ trên tài nguyên mạng khác nhau có thể bị nhiều kiểu tấn công Cóthể phân loại các dạng tấn công dữ liệu theo sau:

Hinh 9 Các thành phần chung của xác nhận user và quản lý truy cập trong VPN

V.1.1 Xác nhận người dùng

Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn truy xuất tàinguyên trong mạng thì phải được xác nhận cho phép truy cập Do đó chỉ có những người sửdụng được cho phép mới truy xuất tài nguyên mạng, giảm thiểu sự truy xuất trái phép các tàinguyên mạng

Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập Nguy cơ bảo mật này

có thể được giảm bằng cách giới hạn quyền truy cập của người sử dụng Ví dụ, dữ liệu có thểđược bảo vệ bằng cách cho phép các người sử dụng bình thường chỉ được phép đọc dữ liệu

Và một số người sử dụng đặc biệt mới có khả năng thay đổi hay xóa dữ liệu đó

Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID) Tuy nhiên một sốthông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm có thể đóng vaitrò quan trọng trong phương pháp quản lý truy cập truyền thống Cơ chế quản lý truy cậphiện đại cũng dựa trên các thông số như thời gian, ngày, phần mềm ứng dụng, dịch vụ hayphương pháp xác nhận URL và cơ chế mã hóa

V.2 Mã hóa dữ liệu

Mã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật VPN và đóng

vai trò quan trọng khi truyền dữ liệu quan trọng Đó là cơ chế chuyển đổi dữ liệu sang định

dạng khác mà không có khả năng đọc được gọi là ciphertex, do đó các truy xuất trái phép vào

dữ liệu có thể ngăn được khi dữ liệu truyền qua môi trường trung gian không an toàn

Mã hóa dữ liệu có thể ngăn được cá nguy cơ sau:

Xem dữ liệu trái phép

Thay đổi dữ liệu

Dữ liệu giả

Ngắt dịch vụ mạng

Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu Trong trườnghợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ liệu đó cũng không thểbiết phương pháp để chuyển đổi nó về dạng ban đầu, do đó nó cũng trở nên vô dụng vớingười đó Hình 10 mô phỏng mô hình phương pháp mã hóa truyền thống:

Hình 10 Mô hình mã hóa truyền thống

Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã hóa(cryptosystem).

Cryptosystem thuộc một trong 2 dạng sau:

Đồng bộ

Không đồng bộ

Hệ thống mã hóa được phân loại dựa theo số khóa (key) được sử dụng Khóa có thể là

số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã

TRIỂN KHAI ỨNG DỤNG VPN TRÊN WINDOWS

Mô hình VPN Client to site

Máy VPN server tạo một tài khoản (username:vpn pass :123456789) dùng cho kết nốiVPN và chia sẻ cho nhân viên muốn truy cập từ xa Máy VPN client yêu cầu một kết nối đếnmạng LAN, sau khi nhập user name và password VPN server kiểm tra tính hợp lệ để tạo mộtkết nối VPN Cuối cùng kiểm tra máy VPN client và máy Domain Controller của mạng LANthông nhau Như vậy máy VPN client có thể truy cập mạng nội bộ

Trên máy VPN Server

Cài đặt Routing and Remote Access

Mở Server Manager > Nhấn phải Roles > Add Roles

Chọn vào Network policy and access services

Chọn Next

Chọn Routing and Remote Access Services > Next

Nhấn Install > Nhấn Close

Cấu hình Routing and Remote Access

I.1 Cấu hình VPN Server bằng giao thức PPTP

Vào Start > Administrative Tools > Mở Routing and remote access ,chuột phải lên

WIN-ON(local), chọn Configure and Enable Routing and Remote access

Màn hình Welcome > Next

Màn hình Configguration, chọn Custom Configguration > Next