Chương 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPN 11
2.1 Giao thức định đường hầm điểm tới điểm – PPTP 11
3.2.1 Thuật toán mã hóa DES 23
3.2.2 Giải thuật RSA 25
3.3 Xác thực trong VPN 27
3.3.1 Xác thực nguồn gốc dữ liệu 27
3.3.2 Xác thực tính toàn vẹn dữ liệu 29
Trang 34.1 Giới thiệu chung 34
4.2 Cấu hình cơ bản 35
4.3 Cấu hình VPN Client to Site 36
4.3.1 Cấu hình máy chủ VPN_HANOI 37
4.3.2 Cấu hình trên Client (VPN_SAIGON) 39
4.4 Cấu hình Site- to- Site 42
4.4.1 Cấu hình cơ bản trên hai máy chủ VPN 42
4.4.2 Tạo kết nối Site- to- Site 42
4.4.3 Thực hiện kết nối VPN Site- to- Site 45
4.5 Tình hình triển khai VPN ở Việt Nam 46
KẾT LUẬN 47
TÀI LIỆU THAM KHẢO 48
Trang 4LỜI MỞ ĐẦU
Trước kia, cách truy nhập thông tin từ xa trên máy tính được thực hiện là sử dụng một kết nối quay số Các kết nối RAS dial-up làm việc trên các đường điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng 56kbps Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS, tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập.
Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty … và các doanh nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng Internet.
VPN (Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải pháp an toàn cho các Tổ chức, Doanh nghiệp … và các doanh nhân trao đổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật Hơn thế nữa, nó còn giúp cho các doanh nghiệp giảm thiểu chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu).
Là một sinh viên công nghệ thông tin, phần nào em cũng hiểu được sự băn khoăn và lo lắng về sự mất an toàn bảo mật khi trao đổi thông tin của các tổ chức, cá
nhân Vì thế nên, em chọn đề tài Mạng riêng ảo (VPN) làm để tài đồ án tốt nghiệp
của mình, để nghiên cứu về các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo Nghiên cứu các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng.
Em xin được gửi lời cảm ơn chân thành của mình đến thầy Th.s Đặng HồngLĩnh cùng các thầy trong tổ Kỹ Thuật Máy Tính đã giúp đỡ chúng em trong quá
trình thực hiện đề tài này.
Do nhiều yếu tố khách quan cũng như tầm hiểu biết của chúng em còn hạn chế, đề tài đồ án tốt nghiệp của em sẽ còn có nhiều sai sót Em mong được sự góp ý chân thành của thầy cô và các bạn để kịp thời sửa chữa để thực hiện được tốt hơn trong những lần sau.
Em xin chân thành cảm ơn!
Sinh viên thực hiện:
Thái Thị Thanh Hoa
Trang 5Chương 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
Trong thời đại ngày nay, Internet đã phát triển mạnh mẽ về mặt mô hình cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang sử dụng Để làm được điều này, người ta sử dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP- Internet Service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế và rất nhiều dịch vụ khác đã trở thành hiện thực Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ.
Từ đó, người ta đã đưa ra một mô hình mạng mới nhằm thõa mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình Mạng riêng ảo (Virtual Private Network- VPN) Với mô hình mới này, người ta không phải đầu tư thêm nhiều cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn Trong nhiều trường hợp, VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.
Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet
1.1 Định nghĩa
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (Private Network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng
Trang 6riêng lẻ) hay nhiều người sử dụng ở xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased- line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường hầm (Tunnel) bảo mật giữa nơi nhận và nơi gửi giống như một kết nối point to -point trên mạng riêng Để có thể tạo ra một đường hầm bảo mật đó, dữ liệu phải được mã hóa hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng.
Dữ liệu được mã hóa một cách cẩn thận, do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường hầm VPN (Tunnel).
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo, bắt nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN) Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ
dây chuyên dùng cho các khách hàng lớn Colisee có thể cung cấp
Trang 7phương thức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng
là mạng được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số
xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của
Ô-xtrây-li-a đưa ra dich vụ VPN trong nước đầu tiên ở khu vục châu Á – Thái Bình Dương
- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty
hợp tác đầu tư Unisource, cung cấp dịch vụ VPN
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên
minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung
cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu
- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông
Pháp (French Telecom) kết thành liên minh Global One.
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Công
nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện
Trang 81.3 Chức năng và ưu điểm của VPN
1.3.1 Chức năng
VPN cung cấp 3 chức năng chính: Tính bảo mật (Confidentiality), tính toàn vẹn dữ liệu (Data Integrity), xác thực nguồn gốc (Origin Authentication).
a) Tính bảo mật (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi truyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép, mà nếu lấy được thông tin thì cũng không đọc được vì thông tin đã được mã hóa.
b) Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào.
c) Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
1.3.2 Ưu điểma) Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn đối với việc truy cập từ xa giảm từ 60 tới 80%.
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây
điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu
Trang 9Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm.
e) Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và các máy chủ truy cập từ xa Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường đơn, như môi trường T1, với phần còn lại của kết nối được thực hiện bởi ISP Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet cùng một lúc
f) Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm.
1.4 Phân loại mạng VPN
Ở đây chúng ta sẽ đi phân loại VPN theo kiến trúc của nó Các kiến trúc của VPN có thể phân loại thành hai kiểu chính: Site-to-Site VPN (còn được gọi là LAN-to-LAN hay POP-to-POP) và các VPN truy nhập từ xa
Các Site-to-Site bao gồm các phương án như: Extranet VPN và Intranet VPN, các phương án này đều có chung các thuộc tính nhưng được thiết kế để giải quyết các tập vấn đề khác nhau VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến
Trang 101.4.1 VPN truy nhập từ xa
Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những văn phòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình VPN truy nhập từ xa Truy nhập VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tới người sử dụng của họ thông qua chia sẻ cơ sở hạ tầng công cộng, trong khi mạng lưới của tổ chức vẫn giám sát được tất cả những người dùng Truy nhập từ xa là phương thức đầu tiên sử dụng VPN Nó cung cấp phương thức truy nhập an toàn tới những ứng dụng của tổ chức cho những người sử dụng ở xa, những nhân viên luôn di chuyển, văn phòng nhánh và những đối tác thương mại Cấu trúc VPN này là phương tiện thông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN (mạng số đa dịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL (đường dây thuê bao số) và điện thoại cácp Cấu trúc VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thời điểm nào và bất kể đâu thông qua Internet.
Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những mạng quản lí riêng sang dạng VPN truy nhập từ xa dưới đây:
Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet.
Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua mạng băng rộng luôn hiện hành.
Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho cơ sở hạ tầng.
Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm người sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn.
Mặc dù là có rất nhiều thuận lợi thì để phát triển một VPN truy nhập từ xa vẫn gặp phải khó khăn sau:
Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi truyền và giải mật mã khi nhận được thông tin Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởng đến một số ứng dụng.
Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn 400 kb/s thì VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thức đường ngầm cần có thời gian để xử lí dữ liệu.
Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi Bởi vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về số lượng phải đợi
Trang 11nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet Điều này có thể không phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm Người dùng có thể cần đến chu kì thiết lập kết nối nếu họ cảm thấy lâu.
Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn bộ quốc gia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence: điểm hiện diện) quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dài được giảm đi, tất cả các lo lắng về thủ tục quay số có thể được nhà cung cấp dịch vụ
Internet (ISP) và nhà cung cấp truy nhập gánh chịu Các VPN truy nhập từ xa quay số
có thể được xây dựng trên các phương pháp truyền Tunnel bắt buộc hay tự ý Trong một kịch bản truy nhập từ xa quay số sử dụng phương tiện của hãng khác, người sử dụng quay số đế các POP địa phương của các nhà cung cấp dịch vụ Internet bằng cách thiết lập kết nối PPP (Point to Point Protocol: Giao thức điểm tới điểm) Sau khi người sử dụng đã được nhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiết lập theo cách bắt buộc (nghĩa là trong suốt đối với người sử dụng) một Tunnel đến một cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối Kiến trúc này được mô tả ở hình 1.2 Công nghệ truyền Tunnel được lựa chọn cho VPN truy nhập quay số theo phương tiện của hãng khác là L2TP
LNS: L2TP Network Server- Server mạng L2TP
L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2RAS: Remote Access Server- Server truy nhập xa
DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSLInternet
Hình 1.2: VPN truy nhập từ xa1.4.2 Site-to-Site VPN
Site-to-Site VPN (hay còn được gọi là LAN-to-LAN) được sử dụng để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không xảy ra va chạm.
Trang 121.4.2.1 Intranet VPN
Một tổ chức có thể dùng VPN không chỉ để kết nối các site trực thuộc tổ chức mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc là các văn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạ tâng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng Frame Relay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng VPN thì sẽ có những ưu điểm sau đây: Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng mở rộng site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn Với khả năng này, Intranet VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay
Tuy nhiên mạng Intranet VPN cũng có những nhược điểm đi cùng như: - Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho
nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet.
1.4.2.2 Extranet VPN
Extranet VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác với các văn phòng ở xa của mình mà cả với các site trực thuộc khách hàng của họ, các nguồn cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thông tin Các thực thể này thường được gọi là các mạng đối tác Để hỗ trợ các thông tin này, các Tunnel VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể
Trang 13riêng khác nhau Các chức năng VPN như điều khiển truy nhập, nhận thực và các dịch vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cần thiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet, vì thế VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet.
Những ưu điểm chính của mạng Extranet VPN:
- Chi phí cho mạng Extranet VPN thấp hơn rất nhiều so với mạng truyền thống - Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động - Vì mạng Extranet VPN được xây dựng dựa trên mạng Internet nên có nhiều
cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng Extranet VPN cũng còn những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
Trang 14Chương 2
CÁC GIAO THỨC ĐƯỜNG HẦM VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet Có 3 giao thức chính để xây dựng nên một mạng VPN hoàn chỉnh đó là:
PPTP (Point - to - Point Tunneling Protocol) L2TP (Layer Two Tunneling Protocol) IPSec (Internet Protocol Security).
Tùy theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểm khác nhau khi triển khai vào mạng VPN.
2.1 Giao thức định đường hầm điểm tới điểm – PPTP
PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn giữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN qua một mạng dựa trên IP Được phát triển bởi Consortium PPTP (Tập đoàn Microsoft, Ascend Communications, 3COM, US Robotics,và ECI Telematics) PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng.
Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thành công của PPTP trong việc bảo mật các kết nối đường dài là:
- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng (PSTN): PPTP
cho phép sử dụng PSTN (Public Switched Telephone Network) để thực thi VPN.
Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng chi phí thực thi giảm một cách đáng kể Lý do này hoàn toàn dễ hiểu – vì những yếu tố cần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa trên đường Leased Line và các Server truyền thông chuyên dụng hoàn toàn bị loại bỏ.
- Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên
IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, và NetBIOS Vì vậy, PPTP đã chứng tỏ là thành công trong việc triển khai VPN qua một mạng LAN riêng cũng như qua mạng công cộng.
Trang 15Một PPTP Client là một Node mạng hỗ trợ PPTP và có yêu cầu đến Node khác cho một phiên VPN Nếu kết nối được yêu cầu từ một Server từ xa, PPTP Client phải sử dụng các dịch vụ trên NAS của ISP Vì thế, PPTP Client phải được kết nối tới một Modem, cái thường được dùng để thiết lập một kết nối quay số PPP tới ISP.
Hình 2.1: Đường hầm PPTP và ba thành phầncủa giao dịch dựa trên PPTP
PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có thể định đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa Liên kết đến thiết bị VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập một đường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung gian khác.
Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên VPN tới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP Cả Client và Server đều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nối tới NAS của nhà cung cấp là không cần thiết Client trong trường hợp này chỉ cần yêu cầu một phiên quay số đến thiết bị VPN trên Server Như vậy thủ tục định tuyến của các gói PPTP cho một yêu cầu từ xa và một yêu cầu cục bộ là khác nhau, các gói của hai yêu cầu được xử lý khác nhau Các gói PPTP đến Server cục bộ được đặt trên thiết bị vật lý
Trang 16gắn kèm với card mạng của PPTP Client Gói PPTP đến Server từ xa được định tuyến qua một thiết bị vật lý gắn với một thiết bị truyền thông như một Router Tất cả được minh hoạ như trong hình 2.2.
Hình 2.2: Truyền các gói PPTP đến Node đích2.1.1.2 Các Server PPTP
Server truy cập PPTP là một Node mạng có hỗ trợ PPTP và có khả năng bảo quản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ Để phản hồi các yêu cầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến Một RAS và hệ điều hành mạng khác có hỗ trợ PPTP, chẳng hạn WinNT 4.0 có khả năng hoạt động như một Server PPTP.
2.1.1.3 Các Server truy cập mạng PPTP (PPTP NAS)
Các NAS PPTP được đặt tại Site PPTP và cung cấp kết nối Internet tới các Client đang sử dụng đường quay số PPP Xác suất nhiều Client cùng đồng thời yêu cầu một phiên VPN là rất cao
Các Server này phải có khả năng hỗ trợ các Client này Ngoài ra, các PPTP Client không chỉ hạn chế với hệ điều hành mạng của Microsoft, vì vậy các NAS PPTP phải có khả năng hỗ trợ các Client dựa trên Window, các máy Unix Tuy nhiên, điều quan trọng là các Client này hỗ trợ kết nối PPTP tới NAS.
Trang 172.1.2 Các tính năng của PPTP2.1.2.1 Tính sẵn có
PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong Workstation Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng cấp PPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh của các Switch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics PPTP đã trở thành một phần của các gói tin hệ điều hành mạng và phần lớn các Switch truy cập từ xa Một nhà quản trị mạng Window NT có thể thử nghiệm một VPN ngay lập tức mà không cần tốn thêm một chi phí nào
2.1.2.2 Dễ thi hành
Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ
Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tin PPP theo khuôn dạng PPTP.
2.1.2.3 Tạo đường hầm đa giao thức
Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép
2.1.2.4 Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ
Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy chủ gán cho một địa chỉ IP Địa chỉ này có thể là một phần trong dãi địa chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của tổ chức đó.
Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉ được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng) trên hệ thống mạng riêng Cơ quan thẩm quyền Internet Assigned Numbers (IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cập Internet hay các truy cập qua Router Nếu một công ty có sử dụng một tập các địa chỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập kết nối, sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng nội bộ của công ty Nếu một người sử dụng ở xa
Trang 18quay số kết nối tới ISP và cố gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ phải mở ra một cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có thể tạo ra lỗ hỗng Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể vào mạng cục bộ
2.2 Giao thức định đường hầm lớp 2 – L2TP
Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP.
Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất Để thay thế, đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích) Như trong hình 2.3 Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP.
Hình 2.3: Đường hầm L2TP
Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như các thông điệp giao thức UDP L2TP sử dụng các thông điệp UDP này cho cả dữ liệu đường hầm cũng như việc duy trì đường hầm Cũng vì vậy, dữ liệu đường hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấu trúc gói.
2.2.1 Thành phần của L2TP
Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server
truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạngL2TP (LNS).
2.2.1.1 Server truy cập mạng (NAS)
Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP.
Trang 19NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,…).
2.2.1.2 Bộ tập trung truy cập L2TP (LAC)
Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng Trong khía cạnh này, LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ
Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa.
2.2.1.3 Server mạng L2TP(LNS)
LNS là điểm cuối đầu kia của một kết nối từ xa Nó được đặt tại mạng trung tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc.
Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối Nếu LNS chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo.
2.2.2 Những ưu và nhược điểm của L2TP
Ưu điểm:
- L2TP là giải pháp chung Trong nhiều trường hợp khác, nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng Hơn nữa, nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP mà không cần một IP.
- Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa Vì vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng.
- L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP - L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại bỏ một cách tuỳ ý nếu đường hầm bị đầy Điều này làm cho các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F.
- L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng từ xa qua một mạng công cộng
Trang 20- L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói của IPSec.
Nhược điểm : L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực
từng gói tin nhận được.
2.3 Giao thức IPSec
IPSec thực chất không phải là một giao thức, nó chỉ là một khung của các tập giao thức chuẩn mở rộng được thiết kế để cung cấp tính xác thực và toàn vẹn dữ liệu Giao thức IPSec được làm việc tại tầng Network Layer- Layer 3 của mô hình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng Transport Layer trở lên (từ tầng 4 đến tầng 7 của mô hình OSI) Điều này tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạt động tại tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPSec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI Với một ứng dụng sử dụng IPSec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
2.3.1 Các giao thức của IPSec
Đó là các giao thức xác thực tiêu đề (AH) và giao thức đóng gói tải bảo mật (ESP) Các giao thức này có thể được cấu hình để bảo vệ toàn bộ phần thân của gói tin IP hoặc chỉ riêng phần thông tin liên quan đến các giao thức ở tầng trên
AH được định nghĩa bởi nhóm làm việc RFC 2402, đảm bảo tính toàn vẹn dữ liệu trên đường truyền bằng khoá H (Hàm băm – Hashing function) AH thực hiện phần thuật toán băm cả phần đầu và phần thân của gói tin IP nhưng không áp dụng cho các thông tin sẽ thay đổi trên đường truyền như số đếm của mỗi nút mạng, vì thế AH cho phép thay đổi thông tin địa chỉ và đảm bảo dữ liệu của gói tin IP sẽ không bị nghe trộm Điều này dẫn đến một chức năng nữa của AH là khả năng chống lại việc giả mạo (đột nhập vào giữa đường truyền của các gói tin và tạo ra các gói tin giả) khi sử dụng các số thứ tự tăng dần gắn vào mỗi gói tin Tuy nhiên, AH không cung cấp khả năng mã hoá dữ liệu
ESP là một giao thức Internet được nhóm công tác RFC 2406 định nghĩa Khi được sử dụng riêng rẽ hoặc kết hợp với giao thức AH, ESP đảm bảo tính toàn vẹn và chức năng mã hoá dữ liệu Các thuật toán mã hoá do ESP hỗ trợ bao gồm DES-CBC,
Trang 21DES 56 bit và 3DES Ngoài ra ESP còn cho phép kiểm tra tính toàn vẹn của gói tin thông qua HMAC MD5 và HMAC SHA.
2.3.1.1 Giao thức xác thực tiêu đề (AH)
Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP Như tên gọi của nó, tiêu đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối cùng, tiêu đề này giúp nhận biết bất kỳ sự thay đổi nào về nội dung của gói dữ liệu bởi người dùng không mong muốn trong khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy.
Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm băm (HAMC) được tạo tại người gửi Giá trị băm này được tạo trên cơ sở của SA, cái xác định trình tự giao dịch sẽ được áp dụng cho gói dữ liệu Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc Tại người nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác thực người gửi cũng như tính toàn vẹn của thông điệp.
AH không mang lại sự tin cậy trong một giao dịch Nó chỉ thêm một tiêu đề vào gói IP, phần còn lại của nội dung gói dữ liệu được để mặc Hơn nữa, AH không bảo vệ bất kỳ trường nào trong tiêu đề IP vì một trong số đó có thể thay đổi trong quá trình truyền, chỉ các trường nào không thay đổi trong quá trình truyền là được bảo vệ bởi AH Địa chỉ IP nguồn và địa chỉ IP đích là những trường như vậy và vì thế được bảo vệ bởi AH Tóm lại, giao thức AH có các đặc trưng cơ bản như sau:
- Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại
- Sử dụng mã xác thực thông điệp được băm (HMAC), dựa trên chia sẻ bí mật - Nội dung các gói tin không được mã hoá
- Không sử dụng các trường changeable IP header để tính toán giá trị kiểm tra tính toàn vẹn (IVC)
2.3.1.2 Giao thức đóng gói tải bảo mật(ESP)
Mục đích chính của ESP là cung cấp sự tin cậy thêm vào xác thực người gửi và xác minh tính toàn vẹn của dữ liệu trong khi truyền ESP mã hoá nội dung của gói dữ liệu bằng cách dùng các thuật toán mã hoá, như đã xác định bởi SA Một số thuật toán được sử dụng bởi ESP bao gồm: DES-CBG, NULL, CAST-128, IDEA và 3DES Các thuật toán xác thực thường được dùng tương tự như trong AH là HMAC-MD5 và HMAC-SHA.
Như đã so sánh với AH, AH mang lại tính xác thực và toàn vẹn dữ liệu đối với gói dữ liệu IP ESP không bảo vệ toàn bộ gói dữ liệu Chỉ có payload được bảo vệ, như trong hình 3.7 Tuy nhiên, ESP rất mạnh trong nhóm mã hoá Nó cũng không chiếm
Trang 22dụng nhiều CPU Kết quả là nó nhanh hơn AH Nhưng 24 byte mà nó thêm vào gói dữ liệu có thể làm chậm xuống việc phân đoạn và tính toán thông lượng.
IP HeaderESP HeaderPayLoadESPTrailerESPAuthentication
Hình 2.4: Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào2.3.2 Các chế độ IPSec
Các giao thức của IPSec có thể thực hiện các liên kết an toàn trong hai chế độ: Transport và Tunnel Như được mô tả trong hình 2.5, cả AH và ESP đều có thể hoạt động cả trong hai chế độ
Hình 2.5: Hai chế độ IPSec2.3.2.1 Chế độ Transport
Chế độ Transport bảo vệ các giao thức tầng trên và các ứng dụng Trong chế độ này, tiêu đề IPSec được chèn vào giữa tiêu đề IP và tiêu đề của giao thức tầng trên như được minh họa trong hình 2.6.
Hình 2.6: IPSec – chế độ Transport
Trong giao thức ESP, ESP trailer và dữ liệu xác thực ESP được thêm vào sau phần dữ liệu gốc được tải Tiêu đề mới được chèn vào trước phần dữ liệu được tải.
Chế độ Transport được dùng bởi các host, không được dùng bởi các getway Các Getway thậm chí không yêu cầu hỗ trợ chế độ Transport.
Trang 23Ưu điểm của chế độ Transport là xử lý ít Overhead, vì vậy nó nhanh hơn Một nhược điểm của nó là các trường hay thay đổi không được xác thực ESP trong chế độ Transport không cung cấp tính năng xác thực và mã hóa với các tiêu đề IP Đây là một nhược điểm vì các gói tin sai (tấn công giả mạo) có thể vẫn được phân phối cho quá trình xử lý ESP Một nhược điểm khác là địa chỉ gói IP gốc phải được dùng để phân phối Điều này có thể là một vấn đề nới địa chi IP riêng được dùng, hoặc nơi cấu trúc địa chỉ mạng bên trong cần được dấu trong mạng công cộng.
2.3.2.2 Chế độ Tunnel
Không giống như chế độ Transport, chế độ Tunnel bảo vệ toàn bộ gói IP Toàn bộ gói IP được đóng gói vào trong một gói IP khác và tiêu đề IPSec được chèn vào giữa tiêu đề IP gốc và tiêu đề IP mới Trong chế độ này, khái niệm đường hầm được áp dụng.
Với giao thức ESP thì gói dữ liệu gốc trở thành gói dữ liệu tải cho gói ESP mới và kết quả là cả mã hóa cũng như xác thực được thực thi nếu được chọn Tuy nhiên, tiêu đề IP mới vẫn không được bảo vệ.
Hình 2.7: IPSec – chế độ Tunnel
Chế độ Tunnel được sử dụng bởi các Getway Như vậy, giữa 2 firewall chế độ Tunnel luôn được dùng cho luồng thông tin đang lưu chuyển qua các firewall giữa các mạng an toàn qua một đường hầm IPSec.
Mặc dù các Getway được hỗ trợ chỉ với chế độ Tunnel, thông thường chúng vẫn có thể làm việc được trong chế độ Transport Chế độ này được cho phép khi Getway hoạt động như một Host, đó là trường hợp luồng thông tin được giành riêng cho chính nó Ví dụ: các lệnh SNMP, hoặc các yêu cầu báo lại ICMP.
Trong chế độ Tunnel các địa chỉ IP của tiêu đề ngoài không cần phải giống với các địa chỉ của tiêu đề bên trong Ví dụ, hai getway bảo mật có thể thực hiện một
Trang 24đường hầm AH có xác thực tất cả các luồng thông tin giữa các mạng chúng kết nối cùng nhau.
Ưu điểm của chế độ Tunnel là nó bảo vệ tất cả gói IP đã được đóng gói và khả năng sử dụng các địa chỉ riêng Tuy nhiên, có một quá trình xử lý Overhead nhiều hơn bình thường gắn liền với chế độ này
Trang 25Chương 3
MÃ HÓA VÀ XÁC THỰC TRONG VPN
3.1 Giới thiệu
Như đã biết, đặc điểm của VPN là cho phép truyền dữ liệu thông qua một cơ sở hạ tầng mạng công cộng mà vẫn đảm bảo được các đặc tính an toàn và tin cậy dữ liệu Để thực hiện được điều đó, công nghệ VPN phải giải quyết được hai vấn đề: đóng gói dữ liệu và an toàn dữ liệu
Đóng gói dữ liệu là cách thức thêm các phần thông tin điều khiển vào gói tin ban đầu để đảm bảo gói tin đi được từ nguồn tới đích mong muốn An toàn dữ liệu là cách thức đảm bảo cho dữ liệu đi qua mạng công cộng không bị xâm phạm, làm thay đổi bởi những kẻ không mong muốn Thực tế thì vấn đề an toàn dữ liệu không phải là vấn đề riêng của VPN mà là mối quan tâm cũng như thách thức của tất cả các tổ chức có nhu cầu sử dụng Internet làm môi trường truyền tin.
Chính vì vậy, đã có rất nhiều giải pháp, giao thức, thuật toán được phát triển để giải quyết vấn đề này Việc sử dụng giải pháp nào là tùy thuộc vào từng ứng dụng cụ thể và không loại trừ khả năng sử dụng kết hợp nhiều giải pháp để đạt hiệu quả an toàn như mong muốn
Bảng 3.1 là tóm tắt một số giao thức, thuật toán an toàn dữ liệu chủ yếu đang được sử dụng.
Bảng 3.1: Một số giao thức và thuật toán ứng dụng thông dụng
IPSec Cung cấp các dịch vụ dữ liệu tin cậy,
RSA, SHA, DES S/MIME Đảm bảo việc truyền dẫn, lưu trữ,
xác thực, chuyển tiếp an toàn dữ liệu ở mức ứng dụng
RSA, RC5, RC4, RC2, DES, 3DES SSL&TLS Tạo một đường ống an toàn giữa hai
ứng dụng để trao đổi dữ liệu và xác thực lẫn nhau
RSA, DH, RC4, DES, 3DES, SHA, MD5