Sự ra đời của hệ thống thư điện tử WAFFLE (1994)

Một phần của tài liệu Nghiên cứu giao thức Mobile IP và giải pháp bảo mật (Trang 106)

Mạng Waffle được xây dựng từ năm 1994 – dưới sự tài trợ của UNDP trong khuôn khổ dự án UNDP VIE/93/031 - thời điểm Internet chưa được đưa vào chính thức ở Việt Nam.Với sự tham gia của Netnam, Viện Công nghệ thông tin - Trung tâm Khoa học và Công nghệ Quốc gia (Nay là Viện Khoa học và Công nghệ

Việt Nam) và một số chuyên gia quốc tế, mạng Waffle đã được xây dựng. Mạng WAFFLE đã kết nối Văn phòng Thường trực Ban chỉđạo Phòng chống và Lụt bão Trung Ương với văn phòng ban chỉ huy phòng chống lụt bão các tỉnh thông qua hệ

thống gửi nhận thư điện tử Waffle viết trên nền máy chủ là UNIX, và phần mềm Waffle cho người dùng chạy trên các máy tính Windows 3.1, 95...

4.1.2. S ra đời ca mng DMUnet (1998)

Đến năm 1998, Dự án VIE/97/002 - là sự mở rộng của dự án VIE/93/031,

đã tiến hành nâng cấp mạng Waffle với công nghệ Intranet đang được ứng dụng rộng rãi. Mạng DMUnet mới tiếp tục làm nhiệm vụ kết nối Văn Phòng Ban chỉ đạo

Phòng chống Lụt bão Trung Ương với văn phòng Ban chỉ huy phòng chống lụt bão các tỉnh, thành phố và một số Văn phòng Ban chỉ huy chống lụt bão các bộ, nghành Trung Ương. Với công nghệ mới, mạng DMUnet đã cung cấp cho người dùng khả

năng trao đổi thông tin trong mạng với các ứng dụng thưđiện tử dễ dùng hơn, với giao diện đồ hoạ, tiếng Việt, dựa trên các trình duyệt Internet phổ biến như Internet Explorer, Netscape Navigator... cho phép người dùng dễ dàng kết nối qua mạng

điện thoại công cộng vào mạng DMUnet.

Bên cạnh đó, dự án VIE/97/002 cũng hỗ trợ xây dựng các website tiếng Anh và website tiếng Việt. Các web site này cung cấp các thông tin về quản lý và phòng chống thiên tai ở Việt Nam mà nội dung chính là phòng chống lụt bão. Các thông tin trên DMUweb bao gồm các thông tin cơ bản khái quát thiên tai, các sự

kiện thiên tai, các văn bản, tài liệu... về quản lý thiên tai, các thông tin tham khảo, các thông tin về thiệt hại, cứu trợ, tài trợ. Các tin tức thiên tai, tình hình thiên tai, công điện chỉđạo cũng được cập nhật trên DMUweb.

Website tiếng Anh và tiếng Việt được đặt trên Web server của DMUnet cho phép văn phòng Cục và các tỉnh, các cơ quan liên quan (đã đăng ký vào mạng) có thể truy nhập để cập nhật các thông tin mới cũng như tìm kiếm các thông tin được lưu từ trước.

Trang Web tiếng Anh đã được đưa lên Internet và là nơi mà các thông tin chính thức về thiên tai từ Văn phòng Ban chỉđạo Phòng chống Lụt bão Trung Ương

được công bố với thế giới, được các tổ chức trong nước và quốc tế luôn truy cập để

tìm kiếm các thông tin liên quan đến thiên tai ở Việt Nam.

4.1.3. Mng CCFSCnet hin ti

Do sự phát triển nhanh chóng của công nghệ thông tin, đồng thời do hạ tầng viễn thông đã có nhiều thay đổi, giá cước Internet cũng giảm rất nhiều, hoạt động mạng DMUnet và DMUweb đã có những nhược điểm. Mạng DMUnet đã được nâng cấp thành mạng CCFSCnet để có thểứng dụng những lợi thế mới của cơ sở hạ

tầng viễn thông và Internet hiện tại của Việt Nam và nâng cao hiệu quả trao đổi thông tin và dữ liệu trong hệ thống quản lý thiên tai của Việt Nam.

Hình 48: Hệ thống mạng CCFSCnet

Mạng CCFSCnet được cấu thành từ các thành phần sau - Hệ thống kết nối và cung cấp truy nhập

- Trang thông tin CCFSCweb - Hệ thống thưđiện tử CCFSCmail - Hệ thống chia sẻ dữ liệu CCFSCdata

- Hệ thống thông tin địa lý GIS online (đang thử nghiệm)

f) Hệ thống kết nối và cung cấp truy nhập

Mạng CCFSCnet có đường truyền riêng kết nối 24/24h với Trung tâm Dự

báo Khí tượng Thuỷ văn Quốc gia – Bộ Tài Nguyên và Môi trường. Mọi dữ liệu mới phục vụ công tác PCLB của Văn phòng BCĐ (ảnh mây vệ tinh, số liệu thuỷ, số

liệu khí tượng...) được cập nhật liên tục từ Trung tâm Dự báo KTTV TW sang Văn phòng BCĐ PCLBTW.

Mạng CCFSCnet được trang bị một hệ thống kết nối trực tiếp với Internet qua đường truyền Internet tốc độ cao (Leased Line). Bên cạnh đó, mạng CCFSCnet vẫn duy trì khả năng cung cấp các kết nối dial-up cho các người dùng.

Về khả năng bảo mật, mạng CCFSCnet có hệ thống tường lửa (firewall) ngăn chặn truy nhập trái phép và phá hoại từ bên ngoài.

g) Trang thông tin CCFSCweb

DMUweb đã được xây dựng với công nghệ Web tĩnh từ năm 1998. Website mới được nâng cấp với công nghệ Web động cho phép dữ liệu được cập nhật và quản lý linh hoạt hơn

h) Hệ thống thưđiện tử CCFSCmail

Hệ thống thư điện tử CCFSCmail cung cấp giao diện gửi/nhận thư thông qua các chương trình gửi nhận thư thông dụng sử dụng giao thức POP3/SMTP.

Hệ thống thưđiện tử CCFSCmail cũng cung cấp giao diện gửi nhận thư dựa trên web – cho phép gửi/nhận thưđiện tử bằng việc truy cập Website.

i) Hệ thống chia sẻ dữ liệu CCFSCdata

Với hệ thống kết nối mới, người dùng tham gia vào mạng CCFSCnet có khả năng chia sẻ các file dữ liệu đặt trên các máy chủ. Các dữ liệu này được bảo vệ

và chỉ những người dùng trong nội bộ mạng đã được cấp quyền truy cập mới có khả

năng tiếp cận.

j) Hệ thống thông tin địa lý GIS

Hệ thống thông tin địa lý online đang được thử nghiệm. Hệ thống có khả

năng cho phép người dùng truy cập online các thông tin từ cơ sở dữ liệu như bản đồ

Hiện tại, các ứng dụng online đang được thử nghiệm (như hệ thống thu thập thông tin thiệt hại, khảo sát thực địa trực tuyến) và đặt ra rất nhiều khả năng phát triển các ứng dụng trong tương lai.

4.2. Khả năng ứng dụng Mobile IP

Với sự phát triển nhanh chóng gần đây của các mạng thông tin di động khả

năng kết nối di động là hiện thực. Hiện nay các mạng di động GSM tại Việt Nam cho phép các thiết bị kết nối Internet trong khi di động thông qua dịch vụ GPRS. Nhưng khả năng di động đó được hỗ trợ bởi lớp dưới lớp IP chứ không phải IP.

Để có thểđưa Mobile IP vào ứng dụng rộng rãi, cần có một hạ tầng mạng không dây rộng rãi từ WPAN, WLAN, tới WWAN, thậm chí WGAN. Chỉ có trên nền của hạ tầng như vậy cùng với sự hỗ trợ từ các nhà cung cấp dịch vụ di động, Internet để đưa vào Mobile IP cùng các chuẩn bảo mật, quản lý khóa, roaming, Mobile IP mới thực sự phát huy tác dụng và đem tới khả năng tính toán và kết nối mọi nơi, mọi lúc.

Mạng CCFSCnet đang hoạt động hiệu quả để phục vụ các yêu cầu cơ bản trao đổi thông tin trong công tác phòng chống thiên tai. Tuy nhiên, các nhu cầu về

di động và bảo mật thông tin phục vụ phòng chống thiên tai là có thể nhận thấy: - Trong thiên tai bão, lũ, việc kết nối thông qua các phương tiện không

dây là hết sức hữu ích vì chúng có nguy cơ bị sự cố thấp hơn các phương tiện kết nối truyền thống khác. Khi đó, việc tiếp cận các thiết bị

hữu tuyến cũng trở nên khó khăn.

- Trong khi sử dụng các ứng dụng trực tuyến (như hệ thống GIS trực tuyến, thu thập và cập nhật trực tuyến các thông tin thiên tai, thông tin thiệt hại…), người dùng có nhu cầu duy trì các phiên kết nối đảm bảo tính liên tục của hoạt động. Công việc có thể trở nên nhanh, tiết kiệm thời gian và công sức cho việc cập nhật và truyền dữ liệu về hệ thống trung tâm.

- Các thông tin về thiên tai (nhất là số liệu thiệt hại) là những thông tin nhạy cảm. Bộ Công an đã xếp các số liệu liên quan đến thiên tai chưa công bố chính thức vào danh mục thông tin “mật”. Do đó, bảo mật các thông tin truyền qua mạng là một yêu cầu cần được đáp ứng.

Do đặc thù hạ tầng mạng ở Việt Nam còn chưa hỗ trợ Mobile IP rộng rãi, mong đợi sự tồn tại của các FA tại các mạng ngoài là không khả thi. Đo đó, để ứng dụng Mobile IP, MN sẽ cần làm việc với Mobile IP trong chế độ địa chỉ COA tự

quản (Co-located Care-of-Address), nghĩa là chưa có sự hỗ trợ của FA trong kiến trúc mạng.

Trong phần tiếp theo, giải pháp Cisco Mobile VPN sẽ được trình bày và

được đề xuất như là một giải pháp khả thi cho các mạng riêng lẻ nhưng vẫn mong muốn có một sự hỗ trợ Mobile IP nhưng đảm bảo được tính bảo mật.

4.3. Giải pháp Cisco Mobile VPN

4.3.1. Gii thiu

Cisco Mobile VPN [8] là một bổ sung mới của Cisco vào giải pháp hỗ trợ

di động trong hệđiều hành mạng của Cisco (Cisco IOS IP Mobility). Cisco Mobile VPN cung cấp khả năng di động và bảo mật cho các thiết bị di động đầu cuối như

máy tính xách tay, tablet PC, hoặc PDA. Giải pháp này cũng cho phép người dùng sử dụng nhiều công nghệ có dây cũng như không dây khác nhau(WiFi, cellular data wireless, Ethernet, v.v.) để truy cập từ xa các mạng Intranet bất cứđâu, bấy cứ lúc nào một cách bảo mật. Giải pháp Cisco Mobile VPN kết hợp công nghệ bảo mật Cisco VPN với công nghệ Cisco IOS IP Mobility.

a) Công nghệ Cisco IP Mobility

Cisco IP Mobility trong giải pháp bao gồm Cisco IOS Home Agent và Cisco Mobile Client.

Cisco Mobile Client (CMC) là một phần của giải pháp di động từ Cisco. CMC có khả năng quản lý các thiết lập mạng (network profile), từđó có khả năng

lựa chọn các giao diện mạng, tương tác với các công cụ quản lý mạng. CMC cũng có tính chủ động trong khả năng cung cấp kết nối liên tục. Ví dụ, khi cường độ tín hiệu WLAN giảm dưới một ngưỡng, một kết nối PPP sẽ được tự động thiết lập để

phòng khi tín hiệu WLAN tiếp tục giảm. Nếu tín hiệu WLAN giảm tới một ngướng tiếp theo, CMC sẽ chuyển sang kết nối PPP đã được thiết lập dự phòng.

Với Cisco IP Mobility, HA là một IOS router tại mạng thường trú đóng vai trò HA trong Mobile IP. HA sẽ chuyển tiếp các gói tin từ một nút CN (Correspondent Node) bất kỳ tới CMC.

b) Nhu cầu di động của người dùng VPN

Giải pháp công nghệ Cisco VPN bao gồm Cisco VPN client, Cisco IOS VPN gateway, và Cisco VPN concentrator dựa trên IPsec. Đây là giải pháp toàn diện đảm bảo tính bảo mật cho dữ liệu và hệ thống.

Tuy nhiên, khi người dùng VPN di chuyển, địa chỉ IP sẽ thay đổi và dẫn tới ngắt quãng các kênh (tunnel) thông tin bảo mật. Người dùng sẽ phải thiết lập lại kết nối, điều này không đảm bảo tính liên tục.

4.3.2. Kiến trúc Cisco Mobile VPN

Kiến trúc Cisco Mobile VPN là giải pháp kết hợp Mobile IP và IPsec VPN. Kiến trúc này được xây dựng dựa trên kiến trúc Cisco VPN (Hình 49), và đưa vào khả năng hỗ trợ di động (Hình 50)

a) Kiến trúc Cisco VPN

Trong Hình 49 mạng Internet và WLAN được xem là các mạng bên ngoài mà một thiết bị Mobile VPN có thể di chuyển tới. Khi nút Mobile VPN ở mạng ngoài, nó có nhu cầu truy nhập các mạng bên trong (internal network) bằng IPsec VPN. Thiết bị IPsec VPN Gateway đóng vai trò điểm kết nối IPsec VPN với nút Mobile VPN.

Để xây dựng một mạng theo kiến trúc này, VPN Gateway có thể là một trong các thiết bị tập trung trong dòng sản phẩm Cisco VPN3000 (VPN3000 series Concentrator) hoặc một bộ định tuyến VPN dựa trên Cisco IOS (Cisco IOS Software based VPN router).

VPN Client có thể là một phần mềm như Cisco VPN Client Software, được sử dụng bởi nút Mobile VPN để khởi tạo kết nối IPsec VPN với VPN Gateway.

Thêm vào đó, một bộ định tuyến ngoài biên BR (Border Router) được sử

dụng để giao tiếp với Internet. Bộ đinh tuyến BR cũng có khả năng cung cấp chức năng dịch địa chỉ NAT (Network Address Translation).

b) Kiến trúc Cisco Mobile VPN

Để hỗ trợ người dùng Mobile IP, kiến trúc Cisco VPN trên cần được bổ

sung hai thành phần sau đây để tạo nên kiến trúc Cisco Mobile VPN: - Bộđịnh tuyến HA Router (Home Agent Router).

- Phần mềm Mobile IP Client cho nút Mobile VPN.

Để xây dựng các mạng thực tế theo kiến trúc này, các thiết bị định tuyến của Cisco từ dòng thiết bị định tuyến Cisco 1700 Series tới dòng thiết bị Cisco 7200 series đều có thể giữ vai trò là các HA router. Phần mềm hệ điều hành mạng Cisco IOS trong các dòng sản phầm hiện tại (Cisco IOS Release 12.4) đã hỗ trợ

Mobile IP. Do đó, các dòng thiết bị định tuyến này đều có thể được sử dụng làm HA. Bộ phận Mobile IP Client tại nút di động – người dùng Mobile IP – có thể sử

dụng phần mềm Cisco Mobile Client.

Thành phần HA sẽđóng vai trò một “điểm neo” cho mỗi nút Mobile VPN (từ đây, tài liệu này sẽ gọi ngắn gọn là MN). Cho dù MN nằm ởđâu, phần còn lại của mạng đều xem như MN vẫn đang ở tại mạng thường trú của nó. Do đó các gói tin hướng tới MN sẽ được chuyển tới HA. Tiếp đó, HA sẽ chuyển tiếp các gói tin tới vị trí thực tế của MN thông qua tunnel Mobile IP giữa bản thân HA và MN.

Thành phần phần mềm Mobile IP Client sẽ làm nhiệm vụ thiết lập tunnel Mobile IP. Khi phần mềm khởi động, nó sẽ kết nối tới HA đểđăng ký vị trí hiện tại của MN. Quá trình đăng ký này sẽ tạo nên tunnel Mobile IP giữa HA và MN. Hai

đầu của tunnel này là địa chỉ IP của HA và địa chỉ CCOA (Care-of-Address) của MN. Khi HA nhận thấy các gói tin gửi tới MN, HA sẽ bổ sung vào gói tin các tiêu

đề thích hợp và chuyển nó tới đầu bên kia của tunnel.

4.3.3. Cơ chế tương h gia IPsec và Mobile IP

Về mặt logic, MN được xem như vẫn đang ở trong mạng thường trú. Khi MN khởi tạo một IPsec tunnel, thì về mặt logic, tunnel này được tạo giữa địa chỉ thường trú của MN và IPsec VPN Gateway của chính MN. Bởi vì HA biết rằng MN

thực ra ở tại đầu kia của Mobile IP tunnel, HA chỉ cần mở rộng IPsec tunnel thông qua Mobile IP tunnel tới MN.

Hình 51: Tương hỗ giữa Mobile IP Tunnel và IPsec Tunnel

Khi MN di chuyển tới một mạng khác, thành phần Mobile IP Client sẽđăng ký với HA để cập nhật địa chỉ mới. Khi đó, một Mobile IP tunnel mới sẽđược thiết lập giữa HA và địa chỉ CCOA mới của MN, và Mobile IP tunnel cũ sẽ bị hủy bỏ. Hệ quả là HA sẽ dịch chuyển IPsec tunnel tới Mobile IP tunnel mới Việc dịch chuyển của MN là trong suốt đối với IPsec VPN Gateway. Từ góc nhìn của VPN gateway, MN luôn luôn ở tại mạng thường trú. Điểm cuối của IPsec tunnel không thay đổi, và tunnel không bịđứt quãng do dịch chuyển của MN. Điều này cho phép MN có thể di động mà vẫn duy trì kết nối bảo mật của VPN.

4.3.4. Mt s lưu ý khi trin khai Cisco Mobile VPN

Khi triển khai giải pháp Mobile VPN dựa trên topo như Hình 50, cần lưu ý một sốđiểm sau:

- Địa chỉ HA luôn có thể truy cập được từ mạng ngoài.:Điều này là bắt buộc để MN có thể thiết lập được Mobile IP tunnel.

- IPsec VPN Gateway có thể phải “mở” cổng UDP 1645 nếu HA cần truy xuất các thiết lập bảo mật (Mobile IP Security Association) với MN từ

bảo mật được thực hiện ngay tại HA hoặc AAA server nằm ngoài VPN Gateway.

- Mobile IP phải hoạt động ở chế độ Reverse Tunnelling. Điều này là cần thiết để bỏ qua kiểm tra RPF (Reverse Path Forwarding) tại các mạng ngoài.

- Một lưu ý quang trọng trong qúa trình hoạt động: MN cần kích hoạt Mobile IP trước, sau đó mới kích hoạt IPsec.

4.4. Triển khai tại mạng CCFSCnet

Để có thể triển khai Cisco Mobile VPN vào mạng CCFSCnet cần có một số

thiết bị mạng Cisco mới được thay thế và bổ sung vào mạng hiện tại:

- Một thiết bị VPN Gateway đóng vai trò như một “cửa có khóa bảo mật”

Một phần của tài liệu Nghiên cứu giao thức Mobile IP và giải pháp bảo mật (Trang 106)

Tải bản đầy đủ (PDF)

(121 trang)