Tài liệu tham khảo ngành viễn thông Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật
Trang 1CHƯƠNG 3
XÂY DỰNG MẠNG VPN
Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internetđược sung cấp bởi ISP và phần mềm cũng như phần cứng để bảo mật dữ liệubằng cách mã hoá trước khi truyền ra mạng Internet Các chức năng của VPN
được thực hiện bởi các bộ định tuyến, tường lửa và các phần cứng, phần mềm
Trong chương này, ta sẽ xem xét tới các thành phần của mạng VPN và mộtsố vấn đề liên quan đến việc xây dựng mạng VPN như việc kết nối đến ISP, cácbộ định tuyến, tường lửa, và các thiết bị phần cứng khác, các sản phẩm phầnmềm cần thiết cho mạng VPN.
3.1 Thành phần cơ bản của một VPN
Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPNservers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như:Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộtập trung (Concentrator).
3.1.1 Máy chủ VPN
Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềmmáy chủ (Software servers) Dựa vào những yêu cầu của công ty, mà một mạngVPN có thể có một hay nhiều máy chủ Bởi vì mỗi máy chủ VPN phải cung cấpdịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ,đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từcác máy khách.
Những chức năng chính của máy chủ VPN bao gồm:- Tiếp nhận những yêu cầu kết nối vào mạng VPN
- Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơchế của các quá trình bảo mật hay các quá trình xác lập
- Thực hiện các quá trình xác lập hay quá trình bảo mật cho cácmáy khách VPN
- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu vềmáy khách
Trang 2- Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầmkết nối trong VPN Điểm cuối còn lại được xác lập bởi ngườidùng cuối cùng.
Máy chủ VPN phải được hỗ trợ hai hoặc nhiều hơn hai Card đáp ứngmạng Một hoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nối chúng tớimạng mở rộng (Intranet) của công ty, trong khi Card còn lại kết nối chúng tớimạng Internet
Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối
(Gateway) hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầuhoặc số người dùng trong mạng nhỏ (Nhỏ hơn 20) Trong trường hợp máy chủVPN phải hỗ trợ nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kếtnối hoặc một bộ định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khókhăn trong vấn đề bảo mật thông tin cũng như bảo mật dữ liệu lưu trữ trong máychủ.
3.1.2 Máy khách VPN
Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tớimáy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lậptới điểm cuối ở xa trên mạng Chỉ sau khi đăng nhập thành công thì máy kháchVPN và máy chủ VPN mới có thể truyền thông được với nhau Nhìn chung, mộtmáy khách VPN có thể được dựa trên phần mềm Tuy nhiên, nó cũng có thể làmột thiết bị phần cứng dành riêng.
Với nhu cầu ngày càng tăng về số lượng nhân viên làm việc di động trongmột công ty thì những người dùng này (những máy khách VPN) bắt buộc phảicó hồ sơ cập nhật vị trí Những người dùng này có thể sử dụng VPN để kết nốiđến mạng cục bộ của công ty
Đặc trưng của máy khách VPN gồm:
- Những người làm việc ở xa sử dụng mạng Internet hoặc mạngcông cộng để kết nối đến tài nguyên của công ty từ nhà.
- Những người dùng di động sử dụng máy tính xách tay để kết nốivào mạng cục bộ của công ty thông qua mạng công cộng, để cóthể truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trongmạng mở rộng.
Trang 3- Những người quản trị mạng từ xa, họ dùng mạng công cộng trunggian, như là mạng Internet, để kết nối tới những site ở xa để quảnlý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị
InternetBộ tập trung truy cập của ISP
Máy chủBộ định tuyến Máy chủ
Bộ định tuyếnMạng riêng
được bảo vệ Máy khách di động được bảo vệMạng riêng
Máy khách tại nhà
Hình 3.1: Đặc trưng của máy khách VPN3.1.3 Bộ định tuyến VPN
Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thểđảm nhiệm luôn vai trò của bộ định tuyến Tuy nhiên, trong thực tế thì cách thiếtlập đó không hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng mộtsố lượng lớn các yêu cầu Trong trường hợp này, sử dụng bộ định tuyến VPNriêng là cần thiết Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêngtrừ khi nó được đặt sau “bức tường lửa” (Firewall) Vai trò của bộ định tuyếnVPN là tạo kết nối từ xa có thể đạt được trong mạng cục bộ Do vậy, bộ địnhtuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi cóthể, để đến được nơi đến trong mạng, và chọn ra đường đi ngắn nhất có thể, cũnggiống như trong mạng truyền thống.
Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trongmạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ địnhtuyến VPN là khả quan hơn Bộ định tuyến VPN ngoài chức năng định tuyến cònthêm các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên
Trang 4đường truyền Ví dụ như bộ định tuyến truy nhập modun 1750 của Cisco đượcsử dụng rất phổ biến.
3.1.4 Bộ tập trung VPN (VPN Concentrators)
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tậptrung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truycập từ xa có kích thước nhỏ Ngoài việc làm tăng công suất và số lượng củaVPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mậtcũng như năng lực xác thực cao Ví dụ như bộ tập trung sêri 3000 và 5000 củaCisco hay bộ tập trung VPN của Altiga là các bộ tập trung được sử dụng kháphổ biến.
3.1.5 Cổng kết nối VPN
Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giaothức IP sang giao thức IP và ngược lại Như vậy, những cổng kết nối này chophép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP Những thiết bịnày có thể là những thiết bị mạng dành riêng, nhưng cũng có thể là giải phápdựa trên phần mềm Với thiết bị phần cứng, cổng kết nối IP nói chung được thiếtlập ở biên của mạng cục bộ của công ty Còn là giải pháp dựa trên phần mềm,thì cổng kết nối IP được cài đặt trên mỗi máy chủ và được sử dụng để chuyểnđổi các lưu lượng từ giao thức không phải là giao thức IP sang giao thức IP vàngược lại Ví dụ như phần mềm Novell’s Border Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) đượcđặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phépvào mạng riêng Cổng kết nối VPN có thể cung cấp những khả năng tạo đườnghầm và mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng.
3.2 Các vấn đề cần chú ý khi thiết kế VPN
Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số củamạng và những yêu cầu đối với VPN sắp được thiết kế, chẳng hạn:
- Số lượng site? số lượng người dùng ở mỗi site?
- Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày - Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu?
- Loại kết nối đến Internet? Là kết nối thường trực hay kết nối theo yêucầu?Nếu là kết nói thường trực thì bao lâu kết nối được lưu dự phòng một lần.
Trang 5Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy cần thiết phải có?
Mặc dù hiện nay IPv6 đang phát triển chậm nhưng nó chắc chắn sẽ pháttriển Do vậy, một vấn đề cần chú ý khi xây dựng VPN là khả năng nâng cấpmạng lên IPv6 trong tương lai
3.2.2 Các vấn đề về bảo mật
VPN có thể cho phép người dùng phân quyền truy cập tới những mạng con,thiết bị hoặc những cơ sơ dữ liệu quan trọng Do đó, quyền truy cập là vấn đềcần quan tâm khi xem xét tới việc bảo mật cho VPN.
Một giải pháp phổ biến cho công ty khi muốn chia sẻ một phần thông tin từVPN của mình cho người dùng Internet, khách hàng hay nhân viên của họ trongkhi vẫn bảo mật được những tài nguyên riêng nếu cần, đó là sử dụng vùng giớituyến DMZ (Demilitarized Zone) DMZ bao gồm có hai tường lửa: Một đặt giữaInternet và tài nguyên muốn chia sẻ, Một đặt giữa tài nguyên muốn chia sẻ vàmạng nội bộ bên trong Máy chủ trong DMZ đóng vai trò là nơi lưu giữ thôngtin phụ sao cho nếu như nó bị hư hỏng thì giảm thiểu thiệt hại xảy ra Ví dụ, máychủ Web trong DMZ lưu nhưng bản sao trang Web còn bản chính thì nằm trênmáy chủ ở trong mạng nội bộ.
Để bảo mật người ta sử dụng mã hoá, trao đổi giao khoá và chứng thực số.
Trang 6Mã hoá là một tiến trình đòi hỏi tính toán và nó thay đổi tuỳ theo giải thuật.Với các giải thuật khác nhau cho ta các mức độ bảo mật khác nhau, ta có thể sửdụng các phương thức mã hoá khác nhau để phân quyền truy cập.
Khi thiết kế VPN cần quyết định bao lâu thì khoá được chuyển đổi giữa cáccổng nối bảo mật Nếu một VPN chỉ có một số lượng nhỏ cổng bảo mật thìchuyển khoá bang tay vẫn là một giải pháp có thể chấp nhận được Tuy nhiên,giải pháp trên không thích hợp khi VPN trải rộng trên một quốc gia hay kgắptoàn cầu Trong trường hợp này thì sử dụng e-mail bảo mật là một giải pháp.
Để dữ liệu được bảo mật cao nhất thì tốt hơn hết là sử dụng hệ thốngchuyển khoá tự động Những khoá sử dụng cho mã hoá và xác thực có thể thayđổi theo quy luật: sau một số gói được truyền đi; sau một khoảng thời gian;mỗikhi bắt đầu một phiên làm việc mới hoặc là tổ hợp nhưng quy luật trên Tự đôngthay đổi khoá làm tăng khả năng chống lại tấn công, xâm phập trái phép.
Khi sử dụng hệ thống quản lý khoá thì cần kèm theo một số cơ chế hồikhoá Điều này đặc biệt hưu ích khi muốn khôi phục lại dữ liệu cũ cùng vớikhoá cũ trước đó.
Chứng thực số hay còn gọi là xác thực tính hợp lệ Trong tiến trìng mã hoákhoá chung có sử dụng một cặp khoá chung để xác thực tính hợp lệ của khoá.Những chứng thực này nhằm rằng buộc khoá chung với một số thực thể mạngtên, có thể là nguời dùng hay máy tính nhiều trình duyệt Web sử dụng chứngthực điện tử để đảm bảo truyền hông bảo mật với máy chủ, sử dụng SecureSockets Layer cho các mục đích thương mại điện tử Một số hệ thống e-mail đưara khả năng mã hoá dựa trên chứng thực điện tử và những công nghệ để phânphối chúng: Chứng thực điện tử CA và cơ sở hạ tầng khóa công cộng (PublicKey Infrastructures)
3.3 Quá trình xây dựng
Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN.Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truynhập vào trang web của công ty bao gồm 4 bước:
Bước 1: Người sử dụng ở xa thực hiện kết nối vào nhà cung cấp dịch vụInternet của họ như bình thường.
Trang 7Hình 3.2: bước 1
Bước 2: Khi kết nối tới mạng công ty được yêu cầu, người sử dụng khởiđầu một tunnel tới máy chủ bảo mật đích của mạng công ty Máy chủ bảo mậtxác thực người sử dụng và tạo kết cuối khác của đường hầm tunnel.
Hình 3.3: Bước 2
Bước 3: Sau dó, người sử dụng gửi dữ liệu đã được mã hoá bởi phần mềmVPN xuyên qua đường hầm tunnel được gửi thông qua kết nối của nhà cung cấpdịch vụ Internet ISP.
Trang 8Hình 3.4: Bước 3
Bước 4: Máy chủ bảo mật đích thu dữ liệu đã mã hoá và thực hiện giải mã.Sau đó, máy chủ bảo mật hướng những gói dữ liệu được giải mã tới mạng côngty Bất cứ thông tin nào được gửi trở lại tới người sử dụng ở xa cũng được mãhoá trước khi được gửi thông qua Internet
Hình 3.5: Bước 4
Trang 9Hình vẽ dưới đây minh hoạ rằng phần mềm VPN có thể được sử dụng ở bấtkỳ vị trí nào có mạng Internet.
Hình 3.6: VPN có thể cung cấp nhiều kết nối
Như vậy, một VPN bao gồm hai thành phần chính: tuyến kết nối từ ngườidùng, các mạng riêng đến Internet do nhà cung cấp dịch vụ Internet ISP cungcấp và phần cứng cũng như phần mềm để bảo mật dữ liệu băng cách mã hoátrước khi truyền qua Internet.
Do vậy, trong phần này ta sẽ đề cập đến những vấn đề liệu quan đến việcxây dựng một VPN như việc kết nối đến ISP, việc sử dụng bộ định tuyến vàtường lửa, các thiết bị phần cứng, và các sản phẩm phần mềm.
3.3.1 Kết nối với ISP
Tuyến kết nối từ người dùng, mạng riêng tới mạng Internet do ISP cungcấp đóng vai trò quan trọng trong việc xây dựng nên một VPN bởi vì ISP đóngvai trò là người chịu trách nhiệm về đường truyền dữ liệu, duy trì kết nối Kiếntrúc mạng như hình vẽ:
Trang 10Các mạng đường trục tốc độ caoMạng đường trục
Các điểm truy xuất mạng
Các mạng miền(Regional nets)
Các ISP nội hạtCác mạng người dùng(mạng riêng)
Mạng miềnMạng miềnMạng miềnMạng miền
Hình 3.7: Kiến trúc mạng của các ISP
a) Khả năng của ISP
Các nhà cung cấp mạng ISP được phân chia theo cấp độ, khả năng, phạmvi phục vụ của mạng Ta có thể chia ISP làm các nhóm:
Nhóm 1: Nhóm các nhà cung cấp mạng chính, các mạng riêng ảo đóng vaitrò là mạng đường trục (do mạng có tốc độ cao và tin cậy…) cho Internet CácISP thuộc nhóm này là mạng của các quốc gia phát triển có mạng lưới thông tinphát triển hoặc là mạng của các công ty đa quốc gia có thể kể đến như: AT&T,IBM, PSInet…Các mạng này độc lập và kết nối với nhau thông qua nhưng điểmtruy cập mạng NAP Không có NAP nào cung cấp các kết nối đến Internet từmột nhà cung cấp trong nhóm đến một mạng công ty hay tới các doanh nghiêp.Các NAP chỉ là những điểm đấu nối, chuyển giao lưu lượng giữa các mạng Vềtốc độ, các kết nối đến NAP Internet phải được tạo ra với tốc độ tối thiểu là DS-3 (45Mbit/s)
Trang 11Nhóm 2: Các công ty mua những kết nối đến Internet từ các nhà cung cấpnhóm 1, rồi sau đó họ lại cung cấp lại cho khách hàng dưới dạng đường dànhriêng , cho khách hàng thuê các địa chỉ trang Web, hay bán lại băng thông
Nhóm 3: nhóm các ISP hoạt động bên dưới các ISP nhóm 2, đây là nhữngISP độc lập, có thể ở quy mô nhỏ như chỉ có từ 2 hay 3 khách hàng sử dụngbằng cách quay số, xDSL,… vào các điểm kết nối địa phương POP (point ofpresence) cho đến hàng trăm khách hàng Những nhà cung cấp này không nắmquyền điều khiển mạng đường trục hay mạng quốc gia của họ.
Đa số các ISP thường cung cấp đầy đủ các tuỳ chọn kết nối với các sảnphẩm hhỗ trợ băng thông từ 56kbit/s đến tốc độ T3 (44.736 Mbit/s) thâm chí làhơn nữa Một số ISP yêu cầu khách hàng phải mua các thiết bị như bộ địnhtuyến cà các CSU/DSU, trong khi môt số ISP khác sẽ hỗ trợ và quản lý chochúng ta.
Thông thường cácISP sẽ hỗ trợ khách hàng trong việc cấu hình, lắp đặt,giám sát, chuẩn doán các lỗi thông qua trung tâm điều hành mạng NOC(Network Operation Center) hoạt động thường xuyên 24/24, 7 ngày trong tuần,luôn sẵn sàng phục vụ khách hàng Đa số các ISP đưa ra 3 loại cước cho kháchhàng lựa chọn đó là: Cước cài đặt, cước trọn gói, hay cước truy cập mỗi khichúng ta truy cập đến điểm truy cập
b) Các hợp đồng dịch vụ SLA
Hợp đồng dịch vụ SLA (Service level agreement) là thoả thuận về lớp dịchvụ mà khách hàng đăng ký với ISP SLA giúp cho thông tin của khách hàng,doanh nghiệp luôn hoạt động, đảm bảo chất lượng với sự cam kết cung cấp củaISP SLA cũng giúp ISP phán đoán, dự báo lưu lượng mạng để từ đó đưa ra cácphương án điều khiển, phân luồng lưu lượng chính xác.
Khi xem xét đánh giá SLA người ta thường xem xét các thông số: Độ sẵnsàng, thông lượng thật sự (thông lượng hiệu dụng), độ trễ.
Độ sẵn sàng của mạng được hiểu là thời gian mạng sẵn sàng phục vụ kháchhàng Ta có thể xác định độ sẵn sàng của mạng theo công thức:
24 giờ x Số ngày của tháng - thời gian mạng ngừng hoạt động24 giờ x Số ngày của tháng
Độ sẵn sàng =
Trang 123.3.2 Tường lửa và Bộ định tuyến
Sau khi kết nối đến Internet được thiết lập, cần đến một số thiết bị quantrọng khác để thiết lập đường truyền dữ liệu, truyền dữ liệu tới đích, điều khiểntruy cập đến mạng riêng cần được bảo vệ của mình, chống lại những xâm nhậpbất hợp pháp Các chức năng này đều được thực hiện nhờ bộ định tuyến vàtường lửa
Internet CSU/DSU Bộ định tuyến
a) Tường lửa
Thuật ngữ “Tường lửa” đã được sử dụng trong mạng WAN cho việc bảomật, chống lại những tấn công của những kẻ phá hoại (attacker/hacker) Tườnglửa là một phần tích hợp trong chính sách bảo mật của, nó xác định lưu lượngchuyển qua giữa mạng Intranet với mạng Internet Tưòng lửa có thể dùng để bảomật những vùng giới hạn với các vùng còn lại trong mạng
* Các loại tường lửa
Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gói (PacketFilters), các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (ApplicationProxies), kiểm tra trạng thái
