Môi trường mạng riêng ảo truy cập từ xa cho phép các Client từ xa, như các Client hay người dùng di động có thể truy cập tới mạng Intranet của công ty một cách an toàn qua mạng Internet mà không phải dựa trên các kế nối quay số đầu cuối - đến - đầu cuối, như minh hoạ trong hình 5.6
Hình – Mạng riêng ảo truy cập từ xa
Các vấn đề có thể nảy sinh với môi trường này như sau:
- Bảo mật: Tốt nhất là cài đặt bộ định tuyến “sau” Firewall và cấu hình các Router chuyển tất cả dữ liệu đường hầm tới Firewall
- Lược đồ đánh địa chỉ: ISP cấp phát động các địa chỉ IP tới các Client từ xa này vì chúng sử dụng một kết nối quay số tới POP của ISP (không phải đến Intranet). Kết quả là, máy chủ mạng riêng ảo đặt trong mạng Intranet phải hỗ trợ khả năng định danh các Client này. Hơn nữa việc thiết lập máy chủ DNS như đã thảo luận trong phần trước “Các xem xét liên quan đến DNS”, ta có thể giải quyết vấn đề này bằng các sử dụng IPSec. IKE là một giao thức bên thứ ba được hỗ trợ bởi IPSec, hỗ trợ khả năng định danh các Client từ xa qua các địa chỉ IP dưới dạng tên của chúng hơn là các địa chỉ IP dưới dạng số.
- Phân phối khoá: Phân phối khoá không nên thực hiện ở dạng bản rõ. Một cơ chế phân phối khoá tự điều chỉnh, như IKE nên được sử dụng nếu số lượng Client từ xa lớn. Trong trường hợp số lượng Client từ xa giới hạn, quản lý khoá một cách thủ công cũng có thể thực hiện được. Tuy nhiên, thực tế việc quản lý khoá một cách thủ công không được khuyến cáo vì xác suất xẩy ra việc mất khoá là khá cao.
- Mã hoá và xác thực dữ liệu: Đây là điều rất quan trọng, dữ liệu được trao đổi giữa Server và Client được mã hoã cũng như được xác thực. Thêm vào đó, ta nên thiết lập các bộ lọc gói và chính sách bảo mật nghiêm ngặt để đảm bảo rằng các thiết bị ngoại vi như Router, Gateway hoặc Firewall sẽ từ chối dữ liệu không được xác thực hoặc không được mã hoá. Thậm chí, thông tin định tuyến giữa các Router và Gatewal cũng nên được mã hoá và xác thực
- Đường hầm: Thiết lập trực tiếp các đường hầm giữa các Host từ xa và máy chủ mạng riêng ảo là thích hợp. Dù điều này làm tăng tính an toàn, đặc biệt nếu mức độ tin cậy trong mạng Intranet không cao, nhưng nó thường phát sinh các Overhead lớn và tương đối khó quản lý. Ta sẽ phải phân tích mức độ trinh cậy trong môi trường Intranet và sau đớ quyết định giữa 2 tuỳ chọn (Các đường hầm giữa người dùng cuối với thiết bị ngoại vi, hoặc đường hầm giữa người dùng cuối với máy chủ mạng riêng ảo) để duy trì một mức an toàn cao
- Các giao thức đường hầm: Nếu các Client sử dụng các giao thức đường hầm không IP, các thiết bị mạng riêng ảo ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp