Chương 3: Các giải pháp an toàn trong Internet Banking
3.9.1. Khái niệm, phân loại các hình thức mạng riêng ảo
*Khái niệm:
Mạng riêng ảo là một mạng dùng riêng do khách hàng tạo ra trên cơ sở hạ tầng mạng công cộng nhưng vẫn đảm bảo tính riêng tư của dữ liệu. Một mạng riêng ảo thường bao gồm các thành phần chính sau:
• VPN Server: máy chủ nhận yêu cầu kết nối từ VPN Client, VPN Server cung cấp các kết nối remote site hay site to site.
• VPN Client: máy trạm khởi tạo kết nối với máy chủ.
• Tunnel: là phần kết nối trong đó thông tin được mã hóa và đóng gói.
• VPN connection: là phần của kết nối mà ở đó thông tin được mã hóa và đóng gói trong thành phần của kết nối.
*Phân loại:
Theo hình thức triển khai kết nối thì có thể chia ra làm 3 nhóm chính :
• Intranet VPN: là hình thức kết nối giữa nội bộ các bộ phận hoặc chi nhánh của một công ty với nhau.
Hình 26: Intranet VPN
• Extranet VPN: là hình thức kết nối giữa công ty với đối tác, khách hàng hoặc nhà cung cấp của mình.
Hình 27: Extranet VPN
• Remote Access VPN: là hình thức kết nối giữa các nhân viên đang công tác ở xa với công ty mình.
Hình 28: Remote Access VPN
• Sơ đồ tổng quát hệ thống VPN cho một công ty
Hình 29: Tổng hợp các hình thức VPN Theo công nghệ mạng được chia làm 2 nhóm chính
• IPSec VPN: IPSec là giao thức bảo mật lớp mạng thường được sử dụng để thiết lập kết nối VPN trong đó cho phép dữ liệu được mã hóa an toàn ở lớp network khi di chuyển trên mạng công cộng như Internet.
Hình 30: IPSec VPN
• SSL VPN: Là một dòng VPN dựa trên giao thức SSL, SSl VPN chạy ở lớp ứng dụng giúp người dùng từ xa có thể dễ dàng kết nối với công ty thông qua kết nối HTTPS ở lớp ứng dụng mà không phải tạo các kết nối phức tạp như IPSec.
Hình 31: SSL VPN
Bảng 2: So sánh IPSec VPN và SSL VPN
IPSec VPN SSL VPN
Kiểu kết nối Cố định Tạm thời
Kiểu thiết bị Quản lý được Không quản lý được
Kiểu truy cập Site to site Remote site
Tốc độ Nhanh hơn SSL
VPN
Chậm hơn IPSec VPN
Phần mềm yêu cầu IPSec client Trình duyệt hỗ trợ Tương thích
firewall
Không tương thích Tương thích
Mã hóa dữ liệu DES,3DES,AES DES,3DES,RC4
Xác thực X509,Active
Directory,RADIUS Directory,RADIUS X509,Active
Ứng dụng Tất cả ứng dụng
nền IP Các ứng dụng web, email
Triển khai Phức tạp Dễ dàng
Hai công nghệ này không loại trừ lẫn nhau mà trong thực tế thường được kết hợp với nhau. Một công ty thường áp dụng đồng thời cả hai giải pháp này, với các kết nối truyền thống site to site thì IPSec VPN luôn là giải pháp được lựa chọn bởi nó phù hợp cho một kết nối liên tục, tốc độ cao còn với những trường hợp nhân viên đi công tác xa không có điều kiện triển khai IPSec thì họ vẫn có thể kết nối với trung tâm với công nghệ SSL VPN chỉ cần họ có một máy tính nối mạng và trình duyệt web.