Giải pháp Cisco VPN cung cấp một cơ sở hạ tầng dựa trên Internet WAN để kết nối các văn phòng chi nhánh, văn phòng nhà, và với đối tác kinh doanh, và kết nối từ xa cho tất cả hoặc một phần của một mạng công ty. Với chi phí, hiệu quả, kết nối Internet băng thông caođược bảo đảm bằng mã hóa đường hầm VPN, bạn có thể giảm chi phí băng thông WAN trong khi tăng tốc độ kết nối.
Cisco VPN đáng tin cậy cho những luồng thông tin quan trọng, chẳng hạn như
cuộc gọi thoại và những ứng dụng theo quan hệ máy con và máy chủ, mà không làm giảm chất lượng thông tin liên lạc, và đảm bảo tính an ninh cao.
1. VPN và lợi ích của nó:
VPN là kết nối được mã hóa giữa các mạng bên trong trên một mạng công cộng
như Internet. Các thông tin từ một mạng riêng là an toàn vận chuyển qua một mạng công cộng, mạng Internet, để tạo thành một mạng ảo. Để bảo đảm tính
riêng tư, luồng vận chuyển được mã hóa để giữ bí mật dữ liệu. Thay vì sử dụng một lớp 2 dành riêng cho kết nối như là một kênh thuê riêng, VPN là sử dụng IPsec để tạo kết nối ảo được định tuyến qua mạng Internet từ các mạng riêng của công ty cho các site hoặc máy chủ từ xa cho nhân viên. Hình 3-1 cho thấy
một số ví dụ của việc sử dụng VPN để kết nối các loại khác nhau của các trang web từ xa.
Hình 3-1: Các ví dụ về kết nối VPN.
Lợi ích của VPN bao gồm:
■ Tiết kiệm chi phí: VPN cho phép các tổ chức sử dụng chi phí Internet một cách có hiệu quả của bên thứ ba (third-party) để kết nối văn phòng từ xa và
người dùng từ xa đến site của công ty chính, do đó loại trừ các liên kết WAN chuyên dụng đắt tiền và các modem. Hơn nữa, với sự thuận lợi của những công nghệ hiện đại và đảm bảo chi phí, chẳng hạn như DSL, tổ chức có thể sử dụng VPN để giảm chi phí kết nối của họtrong khi đồng thời tăngbăng thông kết nối từ xa.
■ Bảo mật: VPN cung cấp mức độ bảo mật cao nhất bằng cách sử dụng mã hóa tiên tiến và các giao thức xác thực bảo vệ dữ liệu từ các truy cập trái phép.
■ Khảnăng mở rộng: VPN cho phép các công ty sử dụng cơ sở hạ tầng Internet trong các ISP và các thiết bị, và làm cho nó dễdàng để thêm người dùng mới.
■ Khảnăng tương thích với công nghệbăng thông rộng: VPN cho phép người làm việc di động, người làm việc từ xa, và những người muốn mở công việc hàng ngày của họđể tận dụng tốc độ cao, kết nối băng thông rộng, chẳng hạn
như DSL và cáp, để truy cập vào mạng doanh nghiệp của họ, cung cấp khảnăng
làm việc đáng kể, linh hoạt và hiệu quả. Hơn nữa, các kết nối băng thông rộng tốc độ cao cung cấp một giải pháp hiệu quảđể kết nối văn phòng từ xa.
2. Các loại VPN
Có hai loại mạng VPN: ■ Site-to-site
■ Truy cập từ xa, bao gồm hai loại giải pháp VPN:
- Cisco Easy VPN
- Cisco IOS IP Security (IPsec) / Secure Socket Layer (SSL) VPN, còn được gọi
là WebVPN.
Một site-to-site VPN là một mở rộng của mạng WAN cổ điển. VPN Site-to- site kết nối toàn bộ hệ thống mạng với nhau. Ví dụ, họ có thể kết nối một mạng lưới văn phòng chi nhánh đến một mạng lưới trụ sở công ty. Trong quá khứ,
một đường dây cho thuê hoặc kết nốiFrame Relay đã được yêu cầu để kết nối
các site, nhưng vì hầu hết các công ty có thể truy cập Internet, những kết nối
này có thể được thay thế bằng VPN site-to-site. Hình 3-2 cho thấy một ví dụ về
một VPN site-to-site.
Trong một site-to-site VPN, host không có phần mềm Cisco VPN Client, nó gửi và nhận luồng dữ liệu TCP/IP thông thường qua một VPN "gateway",có thể là một router, tường lửa, Cisco VPN Concentrator, hoặc Cisco ASA 5500 dòng thiết bị tích hợp an ninh cao. Các cổng VPN có trách nhiệm đóng gói và
mã hóa luồng thông tin đi ra cho tất cảlưu lượng truy cập từ một site cụ thể và gửi đi thông qua một đường hầm VPN qua Internet cho một peer VPN gateway tại site mục tiêu. Khi nhận, các đồng đẳng VPN gateway phân dải tiêu đề, mã hóa nội dung, và chuyển tiếp các gói tin hướng tới mục tiêu bên trong host mạng riêng của mình.
Truy cập từ xa (remote access) là một sự tiến hóa của chuyển mạch mạng, chẳng hạn như dịch vụđiện thoại cũ (POTS) hoặc ISDN. Truy cập từ xa VPN có thể hỗ trợ các nhu cầu của những người làm việc từxa, người dùng điện thoại di động, và mạng diện rộng của người tiêu dùng đến luồng dữ liệu doanh nghiệp. VPN Remote-ccess kết nối máy chủ cá nhân truy cập mạng công ty của họ một cách an toàn qua Internet. Hình 3-3 cho thấy một ví dụ về một VPN truy cập từ xa.
Trong một truy cập từ xa VPN, mỗi host thường có phần mềm Cisco VPN Client. Bất cứ khi nào host cố gắng để gửi lưu lượng truy cập, các phần mềm
Cisco VPN Client đóng gói và mã hóa luồng dữ liệu trước khi gửi đi qua
Internet đến các gateway VPN ở rìa của mạng mục tiêu. Khi nhận, cổng VPN
Hình 3-3: Minh họa về kết nối remote-access VPN
Khi triển khai mạng riêng ảo cho nhân viên từ xa và các văn phòng chi nhánh nhỏ, dễ dàng cho việc triển khai ngày càng quan trọng. Cisco Easy VPN làm cho nó dễ dàng hơn bao giờ hết để triển khai mạng riêng ảo như là một phần của
một mạng doanh nghiệp nhỏ, vừa, hoặc lớn có sản phẩm của Cisco. Cisco Easy
VPN là một giải pháp lý tưởng về chi phí hiệu quả cho các văn phòng từ xa mà có rất ít hỗ trợ công nghệ thông tin.
Có hai thành phần của Cisco Easy VPN:
■ Cisco Easy VPN Server: Máy chủ có thể là một VPN gateway chuyên dụng như Cisco VPN Concentrator, một Cisco PIX Firewall, Cisco ASA một thiết bị
an ninh tích hợp, hoặc một router Cisco IOS với các tính năng tường lửa. Một
cổng nối VPN sử dụng phần mềm Cisco Easy VPN Server có thể chấm dứt
những đường hầm VPN được thực hiện bởi nhân viên di động và từ xa chạy
phần mềm Cisco VPN Client trên máy tính. Một cổng VPN cũng có thể chấm
dứt VPN từ các thiết bị từ xa mà hành động như Cisco Easy VPN trong VPN
site-to-site.
■ Cisco Easy VPN Remote clients: cho phép Cisco router, PIX Firewall, Cisco ASA tích hợp tính năng bảo mật, và Cisco VPN Hardware Clients để nhận được
chính sách bảo mật từ một máy chủ Cisco Easy VPN, giảm thiểu yêu cầu cấu
hình VPN tại các địa điểm từ xa . Cisco Easy VPN cho phép các thông số VPN,
chẳng hạn như địa chỉ IP bên trong, subnet mask nội bộ, địa chỉ máy chủ DHCP, địa chỉ máy chủ Microsoft Windows Internet Name Service (WINS) sẽ được đẩy từ Cisco Easy VPN Server đến các thiết bị từ xa.
Hình 3-4 cho thấy các thành phần của Cisco Easy VPN cung cấp một
Hình 3-4: Cisco Easy VPN
Lợi ích
Sau đây là những lợi ích của Cisco Easy VPN:
■ Trung tâm lưu trữ cấu hình cho phép cấu hình động các chính sách của người dùng cuối và đòi hỏi thao tác bằng tay ít hơn.
■ Cấu hình VPN nội bộđộc lập với địa chỉ IP từxa. Tính năng này cho phép
các nhà cung cấp thay đổi cấu hình thiết bị và mạng khi cần, với cấu hình lại ít hoặc không có của các thiết bịngười dùng cuối.
■ Cisco Easy VPN cung cấp quản lý tập trung chính sách an ninh.
■ Cisco Easy VPN cho phép triển khai quy mô lớn với người dùng một cách nhanh chóng.
■ Cisco Easy VPN loại bỏ sự cần thiết cho người sử dụng cài đặt và cấu hình phần mềm Cisco Easy VPN Remote trên máy tính của họ.
Hạn chế:
Thực hiện Cisco Easy VPN có thểkhông được thích hợp cho tất cả các mạng vì một số hạn chế. Những hạn chếsau đây áp dụng cho Cisco Easy VPN:
■ Không cấu hình bằng tay Network Address Translation (NAT) hoặc Port Address Translation (PAT).
- Cisco Easy VPN Remote tựđộng tạo ra các cấu hình NAT hoặc PAT thích hợp cho các đường hầm VPN.
■ Chỉ có một đồng đẳng đích là hỗ trợ.
- Cisco Easy VPN hỗ trợ các cấu hình chỉ có một đồng đẳng đích và kết nối
đường hầm.
- Nếu một ứng dụng đòi hỏi việc tạo ra nhiều đường hầm VPN, bạn phải cấu hình VPN IPsec và NAT và PAT thông số trên cả máy con và máy chủ từ xa.
■ Cisco Easy VPN yêu cầu các máy chủđích.
- Cisco Easy VPN đòi hỏi các đồng đẳng (peer) là một Cisco Easy VPN máy chủ.
■ Chứng nhận kỹ thuật số không được hỗ trợ.
- Xác thực được hỗ trợ bằng pre-shared keys (PSK). - Mở rộng xác thực (XAUTH) cũng có thểđược sử dụng.
■ Chỉ Internet Security Association và Key Management Protocol (ISAKMP)
nhóm 2 được hỗ trợ trên máy chủ IPsec.
- Cisco VPN Client và máy chủ chỉ hỗ trợđàm phán bằng các chính sách sử
dụng ISAKMP nhóm 2 (1024-bit Diffie-Hellman [DH]) Internet Key Exchange (IKE).
■ Một số bộ chuyển đổi không được hỗ trợ.
- Cisco Easy VPN remote không hỗ trợtính năng chuyển đổi bộ mã hóa và không cung cấp chứng thực (ESP-DES và ESP-3DES) hoặc chuyển đổi bộ cung cấp chứng thực mà không cần mã hóa (ESP-NULL, ESP-SHA-HMAC, và ESP- NULL ESP -MD5-HMAC).
- Cisco VPN Client và máy chủ không hỗ trợ xác thực Authentication Header
3. IPsec SSL VPN (WebVPN)
Cisco IOS IPsec / SSL VPN, còn được gọi là WebVPN, là một công nghệ đang nổi lên dùng cung cấp truy cập từ xa từ bất kỳ vị trí sử dụng trình duyệt web và mã hóa SSL. WebVPN cung cấp sự linh hoạt để hỗ trợ truy cập an toàn cho tất cảngười sử dụng, không phụ thuộc vào host đầu cuối mà nó thiết lập kết nối. Nếu ứng dụng yêu cầu truy cập, WebVPN không đòi hỏi một software client phải được cài đặt sẵn trên host đầu cuối. Khảnăng này cho phép các công ty có thể mở rộng mạng doanh nghiệp an toàn của mình cho bất kỳngười dùng
được quyền bằng cách cung cấp truy cập kết nối từ xa đến các tài nguyên của công ty từ vị trí Internet cho phép bất kỳ-. Hình 3-5 cho thấy một đường hầm SSL VPN có thểđược xây dựng qua mạng Internet sử dụng trình duyệt web.
Hình 3-5: WebVPN
WebVPN hiện đang cung cấp hai phương thức truy cập SSL VPN: clientless và
thin client. WebVPNs cho phép người dùng truy cập các trang web và dịch vụ,
bao gồm khả năng truy cập các tập tin, gửi và nhận e-mail, và chạy các ứng
dụng dựa trên TCP, không yêu cầu phần mềm IPsec VPN Client. WebVPNs
thích hợp cho người dùng có yêu cầu với mỗi ứng dụng hoặc điều khiển truy
(IPS), Cisco Easy VPN, và NAT.
Hạn chế
Cũng như với phần mềm VPN khác, một số hạn chế còn tồn tại với IPsec SSL
VPN (WebVPN). Các hạn chế chủ yếu của WebVPN là nó hiện đang hỗ trợ chỉ
trong phần mềm. CPU của router thực hiện quá trình kết nối WebVPN. Sự tăng
tốc VPN on-board có sẵn trong các dịch vụ tích hợp bộ định tuyến chỉ tăng tốc
kết nối IPsec.
II - Giới thiệu IPsec:
IPsec hoạt động tại lớp mạng (network layer), bảo vệ và thẩm định các gói IP giữa các thiết bị tham gia IPsec (đồng cấp). IPsec là không bị ràng buộc vào bất kỳ chứng thực cụ thể, mã hóa, hoặc các thuật toán bảo mật hay công nghệ
keying. IPsec là một khuôn khổ các tiêu chuẩn mở. Hình 3-6 cho thấy cách thức IPsec có thể được sử dụng với các khách hàng khác nhau và các thiết bị để kết nối.
Hình 3-6: Cách thức sử dụng khác nhau của IPsec.
Bằng cách không ràng buộc IPsec vào các thuật toán cụ thể, IPsec cho phép
thuật toán mới hơn và tốt hơn để được thực hiện mà không cần vá các tiêu chuẩn IPsec hiện có. IPsec cung cấp bảo mật dữ liệu, tính toàn vẹn dữ liệu và xác thực nguồn gốc giữa các đồng cấp tham gia tại tầng IP.
Dịch vụ bảo mật IPsec cung cấp bốn chức năng quan trọng sau:
■ Bảo mật (mã hóa) - Confidentiality: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền chúng qua mạng. Bằng cách đó, không ai có thể nghe trộm trên
đưởng truyền. Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được.
■ Toàn vẹn dữ liệu – Data integrity: Người nhận có thể xác minh rằng các dữ
liệu được truyền qua mạng Internet mà không bị thay đổi. IPsec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một giá trị băm), một kiểm tra dự phòng đơn giản.
■ Xác thực - Authentication: Xác thực đảm bảo rằng kết nối được thực hiện
với các đối tác truyền thông mong muốn. Người nhận có thể xác thực nguồn gốc
của gói tin, bảo đảm, xác thực nguồn gốc của thông tin.
■ Antireplay protection: Antireplay protection xác nhận rằng mỗi gói tin là duy nhất và không trùng lặp. Gói tin IPsec được bảo vệ bằng cách so sánh các
số thứ tự của các gói tin nhận được với một cửa sổ trượt (sliding window) trên
máy đích hoặc cổng an ninh. Một gói tin có số thứ tự trước so với của sổ trượt
hoặc là trễ hoặc trùng với gói tin cũ, sẽ bị từ chối.
Văn bản dạng dữ liệu được vận chuyển qua Internet công cộng có thể bị chặn và
đọc. Để giữ cho dữ liệu cá nhân, bạn nên mã hóa dữ liệu. Bằng kỹ thuật xáo
trộn dữ liệu, nó thì không thể đọc. Hình 3-7 cho thấy dữ liệu được mã hóa khi
Đối việc mã hóa có thể thực thi, cả người gửi và người nhận phải biết các quy
tắc được sử dụng để chuyển thông điệp ban đầu vào mẫu mã của nó. Quy tắc
này dựa trên một thuật toán và khoá. Một thuật toán là một hàm toán học kết
hợp một tin nhắn, văn bản, chữ số, hoặc cả ba với một chuỗi các chữ số được
gọi là một key. Đầu ra là một chuỗi mật mã đọc. Giải mã thì đặc biệt khó khăn
hoặc không thể khi không có chìa khóa chính xác.
Trong hình 3-7, ai đó muốn gửi một tài liệu tài chính qua mạng Internet. Ở tại điểm đầu cuối bên trong, tài liệu được kết hợp với một key và chạy thông qua một thuật toán mã hóa. Kết quả được văn bản mã không đọc được. Các văn bản
mật mã sau đó được gửi qua Internet. Khi kết thúc từ xa, thông báo sẽ kết hợp
lại với một key và gửi trở lại thông qua các thuật toán mã hóa. Đầu ra là các tài liệu tài chính ban đầu.
Mức độ bảo mật phụ thuộc vào độ dài của key của thuật toán mã hóa. Thời gian
mà nó cần để xử lý tất cả các khả năng là một chức năng của sức mạnh tính toán
của máy tính. Vì vậy, với độ dài key ngắn, dễ dàng hơn để phá vỡ. Hình 3-8 cho thấy vai trò của các key trong tiến trình.
Hình 3-8: Mã hóa key.
Các thuật toán mã hóa như DES và 3DES yêu cầu chia sẻ key đối xứng để thực hiện mã hóa và giải mã. Bạn có thể sử dụng e-mail, chuyển phát nhanh để chia xẻ key bí mật đến người quản trị của các thiết bị. Tuy nhiên, phương pháp trao
đổi key dễ nhất là phương pháp trao đổi public key giữa các thiết bị mã hóa và giải mã. Các DH key thỏa thuận là một phương pháp trao đổi public key cung