6. Các mô hình của VPN
6.1 Mô hình Client – Server (Remote Access)
Các VPN này cung cấp truy cập tin cậy cho những người dùng đầu xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới của công ty.
Hình 1.6.2 Mô hình Remote Access VPN qua Internet
Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là Client/Server. Trong giải pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo lại các Tunnel về trung tâm của họ, việc cấu hình cũng như xác thực gần như trong suốt với người dùng, họ đơn giản chỉ cần cung cấp thông tin xác thực thông qua phần mềm Client để máy chủ tiến hành việc chứng thực User nên còn được gọi là Easy VPN (Theo Cisco).
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao
13
gồm: qui trình (procedure), kỹ thuật, máy chủ (Ví dụ như Remote Authentication Dial-In User Service - RADIUS, Terminal Access Controller Access Control System Plus - TACACS+, hay AAA…).
Các thành phần chính:
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng.
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
Thuận lợi chính của Remote Access VPN:
- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
- Sự cần thiết hỗ trợ cho người dùng cá nhân được giảm thiểu bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP.
- Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
- Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
- Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.
-VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
Hạn chế của Remote Access VPN:
- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát.
14
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP -based diễn ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
- Mặc định, người dùng Remote Access VPN khi kết nối tới VPN Server sẽ không thể đi ra Internet trực tiếp từ máy của mình. Tất cả các gói tin đều sẽ được mã hóa đi trong Tunnel tới VPN Server, và nếu VPN Ser ver cho phép gói tin này thì mới ra được Internet. Tuy nhiên, Cisco đã cung cấp cho người dùng công nghệ Split Tunneling để cải thiện việc này. Bản chất của Split Tunneling là tạo ra một ACL trong đó định nghĩa ra lớp mạng nào sẽ được bảo vệ bằng đường hầm IPSec, những gói tin mang địa chỉ nguồn, đích khác với ACL này được hiểu là không mã hóa và không đưa vào Tunnel.
- Remote Aceess VPN có thể dễ dàng truy cập dial-up bởi người dùng từ xa dùng phần mềm truy cập (Với Cisco là Cisco Secure VPN Client), nhưng việc cấu hình cho VPN server là khá phức tạp, hiện nay hầu như các hãng đều hỗ trợ việc cấu hình bằng giao diện web cho Router để dơn giản hóa việc cấu hình, nhưng điều này cũng làm cho việc tùy chọn cũng như chỉnh sửa một phần trở nên không thuận lợi như cấu hình dòng lệnh.
Hoạt động của Remote Access VPN:
Tại server: Router server được cấu hình một dải địa chỉ để cấp xuống cho Remote user khi có yêu cầu, đồng thời các chính sách bảo mật, xác thực người dùng có thể được sử dụng trên ngay Router server bằng cách tạo ra các username và password trực tiếp. Chuyên dụng hơn, với những VPN lớn số người dùng truy cập có thể lên tới hàng ngàn, ngươi ta đưa việc xác thực người dùng này cho một bên thứ ba có thể là máy chủ Terminal Access Controller Access Control Service (TACACS), Remote Access Dial-In User Service (RADIUS), hay dùng một server chứng thực đơn giản như AAA. Router Server sẽ trỏ đến các server chứng thực này đề lấy thông tin.
Tại Remote User: Người dùng sử dụng phần mềm quay số VPN đến Server nhập username và password nếu có sẵn trên server VPN hay gửi yêu cầu cung cấp chứng thực người dùng tới các server chứng thực nói trên, sau khi Remote user được cung cấp chứng thực, Remote user sẽ dùng nó kết nối tới Server VPN, lúc này Server VPN đẩy cấu hình VPN cho User cấp địa chỉ IP theo dải thiết lập của nó để thực hiện kết nối VPN.
15
Các bƣớc thiết lập đƣờng hầm Remote Access VPN: Bƣớc 1:
- Chia sẻ key, hoạt động ở mức tích cực - Sử dụng chứng chỉ số, tiến hành chính thức
Hình 1.6.3 Bước 1 trong thiết lập đường hầm
Bƣớc 2 :
- VPN client nỗ lực để thiết lập một SA giữa những địa chỉ IP bằng cách gửi nhiều ISAKMP đến Easy VPN Server
- Để giảm cấu hình bằng tay tại máy VPN Client ,có sự kết hợp giữa ISAKMP với một số điều sau đây :
o Các thuật toàn mã hóa và hàm băm
o Phương pháp xác thực
o Diffie-Hellman
16
Bƣớc 3 :
- Easy VPN Server tìm kiếm cho phù hợp :
- Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được chấp nhận
- Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng một danh sách cùa Easy VPN Server
- Các SA ISAKMP thiết lập thành công
- Thiết bị kết thúc xác thực và bắt đầu xác thực user
Hình 1.6.5 Bước 3 trong thiết lập đường hầm
Bƣớc 4 :
- Nếu Easy VPN Server cấu hình cho Xauth , VPN Client chờ đợi thách thức cho Username / Password :
- Người dùng nhập vào Username / Password
- Thông tin User/ Pass được đối tượng kiểm tra và xác thực bằng AAA - Tất cả Easy VPN Server được cấu hình để thực thi xác thực User
17
Bƣớc 5:
- Nếu Easy VPN cho biết xác thực thành công , VPN Client sẽ yêu cầu những tham số còn lại từ Easy VPN Server :
o Khởi động chế độ cấu hình
o Các thông số hệ thống còn lại ( địa chỉ IP , DNS, Tunnel ….) được tải về cho VPN Client
o Nhớ rằng địa chỉ IP chỉ cần thiết cho 1 nhóm, còn các thông số khác là tùy chọn
Hình 1.6.7 Bước 5 trong thiết lập đường hầm
Bƣớc 6 :
- RRI nên được sử dụng khi các điều kiện sau xảy ra : - Nhiều hơn một máy VPN Server
- Địa chỉ IP tĩnh được sử dụng với một số Client - RRI đảm bảo việc tạo ra Static Router
- Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các máy chủ tìm thấy Easy VPN Server thích hợp cho việc kết nối với Client
18
Bƣớc 7 :
- Sau khi các thông số được cấu hình đã được công nhận bởi VPN Client - IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập IPSec SA - Sau khi thành lập IPSec SA kết nối VPN đã hoàn tất .
Hình 1.6.9 Bước 7 trong thiết lập đường hầm