Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật - Chương 1

Tài liệu tham khảo ngành viễn thông Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật

CHƯƠNG 1

TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt làVPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trởnên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnhmẽ của Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là:mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (SecureVPN).

Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhàcung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đườngdây trong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhàcung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó.Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ đểduy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng Các mạng riêngxây dựng trên các đường dây thuê thuộc dạng “trusted VPN”

Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mậtdữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng côngcộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đóđược giải mã dữ liệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyềntrong một đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấncông có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năngđọc được vì dữ liệu đã được mật mã.

Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sửdụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa cácsite của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựatrên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựatrên Internet

1.1 Định nghĩa

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơsở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý vàbảo mật giống như mạng cục bộ.

Đường hầm

RouterRouter RouterRouter

RouterMạng riêng

Mạng riêng(LAN)

Hình 1.1: Mô hình VPN Các thuật ngữ dùng trong VPN như sau:

Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một

kết nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứngvới nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểmcủa mạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bấtchấp cơ sở hạ tầng mạng giữa những điểm đầu cuối.

Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị

truy cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởivì giao thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mứcđộ bảo mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hayphần cứng VPN.

Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,

những trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng,dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn cóđể tạo nền mạng.

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đãtừng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạnchế mà công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn.Trong thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầngmạng IP đã làm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập cáckết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công tyvà đối tác của công ty đang sử dụng chung một mạng công cộng.

1.2 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắtnguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cáchcó hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diệnrộng (WAN) Trước kia,hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN)trước kia sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng đểthực hiện việc thông tin với nhau

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch

vụ dây chuyên dùng cho các khách hang lớn Colisee có thể cungcấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ nàycăn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năngquản lý khác

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên

riêng là mạng được định nghĩa bằng phần mềm SDN.

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho

một số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và cóthể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanhchóng dịch vụ này tại Mỹ

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN;

Telstra của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ởkhu vục châu Á – Thái Bình Dương

- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công

ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập

Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốctế, trong đó có dịch vụ VPN

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert,

cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn

cầu (GVPNS).

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn

thông Pháp (French Telecom) kết thành liên minh Global One.

- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN,

Công nghệ này có mặt trên khắp các tạp chí khoa học công nghệ,các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầngmạng Internet công cộng đã mang lại một khả năng mới, một cáinhìn mới cho VPN Công nghệ VPN là giải pháp thông tin tối ưucho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn.Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP(Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngàymột hoàn thiện

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho cácdịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

1.3 Chức năng và ưu điểm của VPN

b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

c) Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền

qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làmnhư vậy, không một ai có thể truy nhập thông tin mà không được phép.Thậm chí nếu có lấy được thì cũng không đọc được.

1.3.2Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùngVPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa,người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí

triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảmchi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dâycho mạng WAN riêng Những lợi ích này dù trực tiếp hay gián tiếp đều baogồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mởrộng (scalability) và một số ưu điểm khác

a) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chiphí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thunhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bịmạng đường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nốiLAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyềnthống Còn đối với việc truy cập từ xa giảm từ 60 tới 80%.

Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụngđường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN.

Bảng 1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng đơn so vớiInternet VPN (2002)

Thành phố Khoảng cách(dặm)

Chi phí cho T1 Cho phí choInternet VPNBoston-New York 194 $4.570 $1.900

Chi phí cho T1 Chi phí choInternet VPN

b) Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành vàkhai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng cóthể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũngcó thể được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhàcung cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể làkết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạngcông cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linhđộng Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công tybằng cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ

bỏ khi có nhu cầu

Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầubăng thông lớn hơn thì nó có thể được nâng cấp dễ dàng

d) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POPcủa ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu vềnguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấpdịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗtrợ kỹ thuật đối với người sử dụng ngày càng giảm.

e) Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằngquay số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều sovới việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho cácthiết bị đầu cuối và các máy chủ truy cập từ xa Một doanh nghiệp có thể thiếtlập các thiết bị khách hàng cho một môi trường đơn, như môi trường T1, vớiphần còn lại của kết nối được thực hiện bởi ISP Bộ phận T1 có thể làm việcthiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạchnhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầulưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internetcùng một lúc

f) Đáp ứng các nhu cầu thương mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần đểđảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sảnphẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.

Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâmlà chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng,tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mạicủa sản phẩm

1.4 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơbản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty.

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tượng bên ngoài khác.

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm baloại:

- Mạng VPN truy nhập từ xa (Remote Access VPN) - Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)1.4.1Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thờiđiểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truynhập vào mạng của công ty Kiểu VPN truy nhập từ xa là kiểu VPN điển hìnhnhất Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơinào có mạng Internet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụngthông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công tyvẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bịdi động, những người sử dụng di động, những chi nhánh và những bạn hàng củacông ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng côngcộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công

nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tínhcủa người sử dụng

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt độngở tốc độ cao hơn so với các truy nhập khoảng cách xa.

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởivì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xavẫn còn những nhược điểm cố hữu đi cùng như:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.- Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân

phát không đến nơi hoặc mất gói.

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cáchđáng kể.

1.4.2Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chinhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảomật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồndữ liệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năngmở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phíthấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hìnhnhư là một VPN Site- to- Site

nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụngđường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạchtốc độ cao Ví dụ như công nghệ Frame Relay, ATM.

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đicùng như:

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet– cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu vàmức độ chất lượng dịch vụ (QoS).

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với

yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thứclớn trong môi trường Internet.

1.4.3Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạngVPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mởrộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạngcần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, kháchhàng, và các nhà cung cấp… .

Văn phòng trung tâm

Hình 1.4: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữacác khách hàng, các nhà cung cấp và các đối tác qua một cơ sởhạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luônđược bảo mật và được cấu hình như một VPN Site–to–Site Sựkhác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự

truy cập mạng được công nhận ở một trong hai đầu cuối củaVPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so vớimạng truyền thống.

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối vớimạng đang hoạt động.

- Vì mạng VPN mở rộng được xây dựng dựa trên mạngInternet nên có nhiều cơ hội trong việc cung cấp dịch vụvà chọn lựa giải pháp phù hợp với các nhu cầu của mỗicông ty hơn.

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụInternet bảo trì, nên giảm được số lượng nhân viên kỹthuật hỗ trợ mạng, do vậy giảm được chi phí vận hànhcủa toàn mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mởrộng cũng còn những nhược điểm đi cùng như:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyềnqua mạng công cộng vẫn tồn tại.

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện,với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gianthực, là thách thức lớn trong môi trường Internet.

- Làm tăng khả năng rủi ro đối với các mạng cục bộ củacông ty.