Việc duy trì quyền truy cập của người dùng trong mạng và thông tin bảo mật liên quan đến họ, ví dụ như khóa mật mã (cruptographic key) là một vấn đề quản lý quyết định trong các mạng VPN. Hai họ giao thức khác nhau hiện nay được sử dụng tùy theo loại mạng VPN đang được quản lý. Đối với mạng quay số VPN hay
kết nối Client - LAN đùng đường hầm PPTP và L2TP, có một giao thức gọi là
RADIUS (Remote Authentication Dial-In User Service) có thể được dùng cho
việc xác thực (authentication) và tính cước (accounting). Đối với mạng riêng ảo
VPN dùng kết nối LAN — LAN, giao thức ISAKMP/Oakley (Internet Security
Association and Key Management Protocol) được sử dụng như là một biến thể của IPSec.
Công cụ phổ biến nhất cho việc xác thực và tính cước đối với việc truy cập từ
xa là xác thực dịch vụ người dùng quay số từ RADIUS và đây là giao thức thích hợp cho người dùng sử dụng đường hầm quay số, như PPTP và L2F. RADIUS hỗ
trợ việc xác thực và tính cước bằng một cơ sở dữ liệu lưu trữ các profile truy cập
của tất cả người dùng tin cậy. Thông tin trên mỗi profile của người dùng bao gồm mật khẩu (password), quyền truy cập (access privilege), network usage cho việc tính cước. Thiết bị truy cập mạng tương tác với máy chủ RADIUS một cách bảo
mật, trong suốt và tự động. Khi một người dùng muốn đăng nhập mạng từ xa,
chuyên mạch dùng để truy cập mạng (network access switch) truy vấn máy chủ RADIUS để thu thập profile của người dùng cho việc xác thực và cấp quyền. Một RADIUS proxy để cho máy chủ RADIUS tại một nhà cung cấp dịch vụ truy cập
vào máy chủ RADIUS của một cơ quan để thu thập thông tin cần thiết cho việc
bảo mật mạng riêng ảo VPN dựa trên nên tảng Internet.
Trong thực tế, có nhiều phương pháp xác thực và mã hóa được sử dụng trong mạng VPN yêu cầu xác định và phân phối các khóa. Đối với những hệ thống nhỏ,
việc phân phối các khóa được thực hiện bằng tay, trên một cuộc hội thoại bảo mật,
hay qua một người thông tin cũng đáp ứng được. Nhưng đối với những mạng
riêng ảo VPN lớn thì các hệ thống tự động cần thiết hơn. Mặc dù không có một
tiêu chuẩn nào được yêu cầu cho việc quản lý khóa thủ công (manual key), nhưng
vài chuẩn hóa được yêu cầu cho những hệ thống tự động, một phần bởi vì tất cả
các thiết bị truy cập mạng hầu hết tương tác một cách thường xuyên và tự động
với hệ thống quản lý khóa (key — management system).
2.3 CÁC KHÓI TRONG MẠNG RIÊNG ÁO VPN:
Có 4 thành phần chính của một mạng Internet VPN, đó là: Internet, công nối bảo mật (security gateway), máy chú chính sách bảo mật (security policy server)
và cấp quyền CA (certificate authority).
Mạng LAN Công nối
được bảo vệ * báomạc |” Internet
Máy chủ |
chính sách Cấp quyền
bảo mật CA
Hình 2.7: Các khối trong hệ thống mạng riêng ảo VPN
2.3.1 Internet:
Có nhiều kiểu nhà cung cấp dịch vụ Intenet ISP khác nhau, được phân loại từ
các ISP nội hạt nhỏ đến các ISP vùng và ISP quốc gia hay quốc tế, tất cả được sắp xếp thành những bậc (tier) tùy thuộc vào khả năng của các ISP này.
Nhà cung cấp bậc 1 ví dụ như FiberNet, AT&T, IBM, GTE, Internetworking,
ISP sở hữu và vận hành các mạng quốc gia riêng cùng với việc mở rộng các mạng xương sống quốc gia. Những mạng độc lập này gặp nhau và liên mạng với nhau tại điểm truy cập của mạng Internet NAP Network Access Point). Qua những thỏa
thuận ngang hàng giữa các công ty riêng này, trao đổi có thứ tự các luồng tín hiệu
số được trở nên dễ dàng giữa các mạng khác nhau.
Nhà cung cấp bậc 2 là một công mua kết nối Internet từ một trong những nhà cung cấp bậc 1, cung cấp truy cập quay số ở nhà riêng hay đưa lên trang Web hoặc bán lại băng thông ví dụ như FPT, VNPT...
2.3.2. Các công nối bảo mật (Security gateway):
Các công nối bảo mật được đặt giữa các mạng công cộng và mạng riêng, có
nhiệm vụ ngăn chặn sự xâm nhập trái phép từ bên ngoài vào hệ thống mạng Tiêng.
Ngoài ra các công nối bảo mật còn có thê cung cấp khả năng tạo đường hầm và mã hóa các gói đữ liệu trước khi chúng được chuyên đến mạng công cộng.
Nói chung, công nối bảo mật cho mạng riêng ảo VPN bao gồm những loại
sau: Bộ định tuyến, tường lửa, phần mềm tích hợp VPN và phần mềm VPN. Vì
những bộ định tuyến phải kiểm tra, xử lý và mã hóa các gói đữ liệu mỗi khi các
gói rời khỏi mạng LAN nên các nhà cung cấp của các dịch vụ VPN dựa trên bộ định tuyến thường đưa ra hai loại sản phẩm: Phần mềm thêm vào hay một mạch thêm vào với phương tiện mã hóa trên cơ sở đồng xử lý (coprocessor — base
encryption engine) và sản phẩm sau thích hợp cho những yêu cầu năng suất truyền
lớn.
Nhiều nhà cung cấp tường lửa có một đường hầm mạnh trong sản phẩm của
họ. Giống như bộ định tuyến, các tường lửa phải xử lý tất cả các luồng IP để
truyền luồng dữ liệu dựa trên các bộ lọc được quy định bởi người dùng cho tường
lửa. Bởi vì tất cả các tiến trình được thực hiện bởi tường lửa nên mặc dù được tích
hợp sẵn công cụ xây dựng đường hầm nhưng công cụ này không đủ khả năng xây dựng xây dựng đường hầm trên những mạng có lưu lượng lớn. Việc kết hợp tạo đường hầm và mã hóa với tường lửa chỉ thích hợp với những mạng nhỏ có lưu lượng thấp.
Một giải pháp mạng riêng ảo VPN khả thi khác là sử dụng phần cứng đặc
biệt được thiết kế cho nhiệm vụ tạo đường hầm và mã hóa. Những thiết bị này
thường hoạt động như những cầu mã hóa được đặt giữa các bộ định tuyến mạng
với các kết nối WAN. Mặc dù hầu hết các thiết bị phần cứng này được thiết kế cho
các cầu hình kêt nối LAN — LAN, nhưng một vài sản phẩm cũng hỗ trợ cho kết nối Client— LAN.
Cuối cùng, những hệ thống phần mềm VPN thường là những sự chọn lựa giá thấp cho những môi trường nhỏ và không phải xử lý nhiều lưu lượng. Những giải
pháp này có thể hoạt động trên những máy chủ có sẵn và chia sẽ tài nguyên với
nhau và được xem là có hiệu quả kinh tế nhất cho một mạng riêng ảo quy mô
tương đối nhỏ.