Ƣu nhƣợc điểm của VPN

Một phần của tài liệu Đồ án tốt nghiệp : Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng cho công ty trên thiết bị của CISCO (Trang 25)

5.1 Ƣu điểm :

- Bảo mật: VPN mã hóa tất cả dữ liệu trên đường hầm VPN.

- Tiết kiệm chi phí: Sự xuất hiện của VPN đã làm cho những cuộc quay số đường dài tốn kém hay đường dây thuê bao không còn cần thiết nữa đối với những tổ chức sử dụng VPN”đóng gói” dữ liệu 1 cách an toàn qua mạng internet.

- Nhanh chóng: những tổ chức có văn phòng chi nhánh hay những người làm việc từ xa có thể truy cập dữ liệu của văn phòng công ty chính từ bất kì địa điểm nào trên thế giới mà không phải tốn kém nhiều bằng cách kết nối vào mạng internet thông qua nhà cung cấp dịch vụ địa phương.

- Có nhiều lý do cho việc thiết lập VPN cho việc truy xuất từ xa, nhưng đặc biệt hấp dẫn nhất tới những người quan tâm là khả năng tiếc kiệm giá thành.

- Trong những tổ chức lớn, điều này gây ra một sự khác biệt lớn về giá thành. Khi một tổ chức đưa công ty lên mạng của mình, số lượng đường truyền thuê sẽ tăng theo số mũ. Trong mạng WAN truyền thống, điều này có thể giới hạn tính linh hoạt cho sự phát triển, VPN thì không.

- Sử dụng VPN, các khách hàng nhận được sự thiết lập kết nối Internet tốc độ cao và thiết lập cấu hình trong thời gian ngắn hơn những dịch vụ tương tự.

- Số lượng kết nối đồng thời lớn.

- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền internet mà bạn sử dụng.

11

5.2 Nhƣợc điểm:

- Yêu cầu về chuẩn: cả hai đầu đường hầm phải dùng cùng một thiết bị để đảm bảo khả năng liên vận hành (interoperability).

- Khó thiết lập và quản trị: những máy client từ xa cần được cấu hình với những thông số bảo mật đúng. Thêm vào đó, những đường hầm bảo mật giữa client và đường hầm phải được tích hợp với firewall (firewall hổ trợ NAT). VPN không dễ dàng vận hành cùng với những thiết bị NAT vì NAT sử dụng địa chỉ IP riêng mà thiết bị của VPN không nhận ra.

- Mọi giao thông qua VPN điều được mã hóa bất chấp nhu cầu có cần mã hóa hay không. Việc này có chiều hướng gây nên tắt ngẽn cổ chay.

- Không cung cấp sự bảo vệ bên trong mạng – VPN kết thúc ở đầu mạng.

- Một khi nhân viên đã vào bên trong mạng, dữ liệu không còn được mã hóa nữa. Hơn nữa, các VPN không thể giới hạn nhân viên thoát khỏi sự truy cập thoải mái bất kì server nào trên mạng nội bộ.

6. Các mô hình VPN:

12

6.1 Mô hình Client – Server (Remote Access):

Các VPN này cung cấp truy cập tin cậy cho những người dùng đầu xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới của công ty.

Hình 1.6.2 Mô hình Remote Access VPN qua Internet

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là Client/Server. Trong giải pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo lại các Tunnel về trung tâm của họ, việc cấu hình cũng như xác thực gần như trong suốt với người dùng, họ đơn giản chỉ cần cung cấp thông tin xác thực thông qua phần mềm Client để máy chủ tiến hành việc chứng thực User nên còn được gọi là Easy VPN (Theo Cisco).

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao

13

gồm: qui trình (procedure), kỹ thuật, máy chủ (Ví dụ như Remote Authentication Dial-In User Service - RADIUS, Terminal Access Controller Access Control System Plus - TACACS+, hay AAA…).

Các thành phần chính:

Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới.

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng.

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.

Thuận lợi chính của Remote Access VPN:

- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.

- Sự cần thiết hỗ trợ cho người dùng cá nhân được giảm thiểu bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP.

- Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.

- Giảm giá thành chi phí cho các kết nối với khoảng cách xa.

- Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.

-VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.

Hạn chế của Remote Access VPN:

- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát.

14

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP -based diễn ra vô cùng chậm chạp và tồi tệ.

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.

- Mặc định, người dùng Remote Access VPN khi kết nối tới VPN Server sẽ không thể đi ra Internet trực tiếp từ máy của mình. Tất cả các gói tin đều sẽ được mã hóa đi trong Tunnel tới VPN Server, và nếu VPN Ser ver cho phép gói tin này thì mới ra được Internet. Tuy nhiên, Cisco đã cung cấp cho người dùng công nghệ Split Tunneling để cải thiện việc này. Bản chất của Split Tunneling là tạo ra một ACL trong đó định nghĩa ra lớp mạng nào sẽ được bảo vệ bằng đường hầm IPSec, những gói tin mang địa chỉ nguồn, đích khác với ACL này được hiểu là không mã hóa và không đưa vào Tunnel.

- Remote Aceess VPN có thể dễ dàng truy cập dial-up bởi người dùng từ xa dùng phần mềm truy cập (Với Cisco là Cisco Secure VPN Client), nhưng việc cấu hình cho VPN server là khá phức tạp, hiện nay hầu như các hãng đều hỗ trợ việc cấu hình bằng giao diện web cho Router để dơn giản hóa việc cấu hình, nhưng điều này cũng làm cho việc tùy chọn cũng như chỉnh sửa một phần trở nên không thuận lợi như cấu hình dòng lệnh.

Hoạt động của Remote Access VPN:

Tại server: Router server được cấu hình một dải địa chỉ để cấp xuống cho Remote user khi có yêu cầu, đồng thời các chính sách bảo mật, xác thực người dùng có thể được sử dụng trên ngay Router server bằng cách tạo ra các username và password trực tiếp. Chuyên dụng hơn, với những VPN lớn số người dùng truy cập có thể lên tới hàng ngàn, ngươi ta đưa việc xác thực người dùng này cho một bên thứ ba có thể là máy chủ Terminal Access Controller Access Control Service (TACACS), Remote Access Dial-In User Service (RADIUS), hay dùng một server chứng thực đơn giản như AAA. Router Server sẽ trỏ đến các server chứng thực này đề lấy thông tin.

Tại Remote User: Người dùng sử dụng phần mềm quay số VPN đến Server nhập username và password nếu có sẵn trên server VPN hay gửi yêu cầu cung cấp chứng thực người dùng tới các server chứng thực nói trên, sau khi Remote user được cung cấp chứng thực, Remote user sẽ dùng nó kết nối tới Server VPN, lúc này Server VPN đẩy cấu hình VPN cho User cấp địa chỉ IP theo dải thiết lập của nó để thực hiện kết nối VPN.

15

Các bƣớc thiết lập đƣờng hầm Remote Access VPN: Bƣớc 1:

- Chia sẻ key, hoạt động ở mức tích cực - Sử dụng chứng chỉ số, tiến hành chính thức

Hình 1.6.3 Bước 1 trong thiết lập đường hầm

Bƣớc 2 :

- VPN client nỗ lực để thiết lập một SA giữa những địa chỉ IP bằng cách gửi nhiều ISAKMP đến Easy VPN Server

- Để giảm cấu hình bằng tay tại máy VPN Client ,có sự kết hợp giữa ISAKMP với một số điều sau đây :

o Các thuật toàn mã hóa và hàm băm

o Phương pháp xác thực

o Diffie-Hellman

16

Bƣớc 3 :

- Easy VPN Server tìm kiếm cho phù hợp :

- Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được chấp nhận

- Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng một danh sách cùa Easy VPN Server

- Các SA ISAKMP thiết lập thành công

- Thiết bị kết thúc xác thực và bắt đầu xác thực user

Hình 1.6.5 Bước 3 trong thiết lập đường hầm

Bƣớc 4 :

- Nếu Easy VPN Server cấu hình cho Xauth , VPN Client chờ đợi thách thức cho Username / Password :

- Người dùng nhập vào Username / Password

- Thông tin User/ Pass được đối tượng kiểm tra và xác thực bằng AAA - Tất cả Easy VPN Server được cấu hình để thực thi xác thực User

17

Bƣớc 5:

- Nếu Easy VPN cho biết xác thực thành công , VPN Client sẽ yêu cầu những tham số còn lại từ Easy VPN Server :

o Khởi động chế độ cấu hình

o Các thông số hệ thống còn lại ( địa chỉ IP , DNS, Tunnel ….) được tải về cho VPN Client

o Nhớ rằng địa chỉ IP chỉ cần thiết cho 1 nhóm, còn các thông số khác là tùy chọn

Hình 1.6.7 Bước 5 trong thiết lập đường hầm

Bƣớc 6 :

- RRI nên được sử dụng khi các điều kiện sau xảy ra : - Nhiều hơn một máy VPN Server

- Địa chỉ IP tĩnh được sử dụng với một số Client - RRI đảm bảo việc tạo ra Static Router

- Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các máy chủ tìm thấy Easy VPN Server thích hợp cho việc kết nối với Client

18

Bƣớc 7 :

- Sau khi các thông số được cấu hình đã được công nhận bởi VPN Client - IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập IPSec SA - Sau khi thành lập IPSec SA kết nối VPN đã hoàn tất .

Hình 1.6.9 Bước 7 trong thiết lập đường hầm

6.2 Mô hình Site-to-site VPN:

Site-to-site VPN (Lan-to-Lan VPN) được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có một kết nối VPN được thiết lập giữa chúng. Khi đó các t hiết bị này đóng vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác. Các router và Firewall tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này.

19

Hình 1.6.10 Mô hình Site-to-Site VPN

Site-to-Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN (xem xét về mặt chính sách quản lý). Nếu chúng ta xem xét dưới góc độ chứng thực nó có thể được xem như là một Intranet VPN, ngược lại chúng được xem như là một Extranet VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển bởi cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng. Giải pháp Site-to-Site VPN không phải là một Remote Access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó.

Sự phân biệt giữa Remote Access VPN và Site-to-Site VPN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận. Phân biệt lớn nhất là các Phase trong VPN, khi thiết lập VPN ở dạng Remote Access VPN, với chế độ Config và Xauth để cung cấp các cơ chế và chính sách bảo mật cho người dùng ở xa.

Site-to-Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. Đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IP Sec, mục đích của Site-to-Site VPN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. Bạn có thể thiết lập một Site-to-Site VPN thông qua sự kết hợp của các thiết bị VPN Concentrators, Routers, and Firewalls.

20

Hình 1.6.11 Các bước tạo Tunnel cho VPN Site-to-Site

Bƣớc 1:

A và B hình thành tuyến lưu thông dữ liệu lý tưởng dựa trên các cấu hình định tuyến trước đó.

Hình 1.6.12 Hình thành tuyến lưu thông lý tưởng

Tuyến lưu thông này sẽ được tạo đường hầm IPSec trong suốt quá trình kết nối về sau này.

Bƣớc 2:

21

Hình 1.6.13 IKE Phase 1 giữa hai Peer

Quá trình này chia làm các phiên trao đổi nhỏ hơn trong đó là việc thiết lập và gửi cho nhau các SA nhằm tạo ra sự đồng bộ về chính sách bảo mật giữa các Site. Sau đó là việc trao đổi khóa Diffie-Hellman và dựa vào khóa này Router sẽ tiến hành xác nhận lại các Peers của mình. Cụ thể

Hình 1.6.14 Thiết lập chính sách cho IKE

Các Router tiến hành khởi tạo thỏa thuận IKE, tất nhiên chính sách bảo mật IKE phải hoàn toàn giống nhau trên các Router này.

22

Hình 1.6.15 Quá trình trao đổi khóa Diffle-Hellman

Tiếp theo 2 bên sẽ thực hiện trao đổi khóa theo thuật toán Diffie-Hellman và cuối cùng là việc xác thực Peer, cách xác thực có thể là dùng Preshared keys, thuật toán RSA hay dùng RSA mã hóa Nonces (Số ngẫu nhiên trong quá trình trao đổi).

Hình 1.6.16 Xác thực Peer

Bƣớc 3:

23

Hình 1.6.17 Khởi tạo các thành phần bảo mật IPSec

Khởi tạo thành phần bảo mật IPSec và các cơ chế bảo mật trên nó được Cisco gọi là Transform Set, thực chất transform set là một thuật ngữ để chỉ những thiết lập an ninh cho Tunnel dựa trên việc kết hợp các thuật toán và giao thức bảo mật, nó định nghĩa cơ chế làm việc của giao thức IPSec để đảm bảo dữ liệu choVPN. Để thiết lập transform set, chúng ta phải định nghĩa tên transform set cho từng Router, việc đặt tên này có thể khác nhau, tuy nhiên các chính sách bảo mật ban hành bên trong nó bắt buộc phải giống nhau để có thể thực hiện trao đổi dữ liệu. Transform Set cho phép tùy chọn các mục:

- AH sử dụng MD5 hay SHA-1.

- Mã hóa ESP dùng thuật toán DES, 3DES, AES và một số thuật toán khác. - Xác thực ESP dùng MD5 hay SHA-1.

- Các thuật toán nén dữ liệu.

24

Thiết lập các SA cũng như việc hủy và tái thiết lập các SA mới theo chu kì. Trong giai đoạn này Router sẽ thực hiện hai thành phần chính là tạo cơ sở dữ liệu SA, trong đó có việc xác định địa chỉ IP đích, SPI và việc sử dụng chế độ AH hay ESP. Thành phần

Một phần của tài liệu Đồ án tốt nghiệp : Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng cho công ty trên thiết bị của CISCO (Trang 25)

(99 trang)