- Extranet VPN
2.5.2.2Kỹ thuật Tunneling trong mạng VPN điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Hình 24 Mô hình Tunneling điểm nối điểm
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
2.6 Các giao thức sử dụng trong VPN
Hiện nay có ba giao thức chính dùng để xây dựng VPN là:
2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol)
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã. Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum. Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic. Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng. Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ.
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.
Hình 25 Giao thức PPTP
2.6.2 Giao thức định đường hầm lớp 2 - L2TP (Layer 2 Tunneling Protocol)
Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000.
Hình 26 Giao thức L2TP
2.6.3 Giao thức bảo mật IP – Ipsec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000.
2.7 Lợi ích của VPN 2.7.1 Đối với khách hàng
Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng. Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng 60% so với chi phí của việc dùng kênh kết nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến.
+ Giảm thiểu thiết bị sử dụng và chi phí kênh kết nối đường dài + Giảm thiểu việc thiết kế và quản lý mạng.
+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng.
Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng. Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002.
2.7.2 Đối với nhà cung cấp dịch vụ
Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo.
Tăng hiệu quả sử dụng mạng Internet hiện tại.
Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn.
Ðầu tư không lớn hiệu quả đem lại cao.
Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN.
2.8 Ưu điểm và nhược điểm 2.8.1 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.f
Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung
Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp.
Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới. (adsbygoogle = window.adsbygoogle || []).push({});
Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP
2.8.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN.
Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh…
QOS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn. Thường QoS trên Internet chỉ là best effort.
Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%.
CHƯƠNG III :TÌM HIỂU VỀ ISA 2006 3.1 Giới thiệu:
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share Internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm share Internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).Ngoài ra còn có rất nhiều tính năng khác nữa.
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng. )
3.2 Tổng quan về ISA
3.2.1 So sánh ISA 2006 và ISA 2004
ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server . Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế như:
- Phát triển hỗ trợ OWA, OMA ActiveSync và RPC/http Publishing - Hỗ trợ SharePoint Portal Server
- Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listener. - Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules
Đặc điểm nổi bậc của bản 2006 so với bản 2004 là tính năng Pulishing và VPN 3.2.1.1 Về khả năng Pulishing Serviece
ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based , chống lại các người dùng bất hợp pháp vào trang web OWA, tính năng này được phát triển dưới dạng Add-ins . Cho phép Public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet ( kể cả Password ). Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server . Rất nhiều các Wizard cho phép người quản trị Public các Server nội bộ ra Internet một cách an toàn. Hỗ trợ các sản phảm mới như Exchange 2007.
3.2.1.2 Khả năng kết nối VPN
Cung cấp Wizard cho phép cấu hình tự động site to site VPN ở hai văn phòng riêng biệt ( tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được ). Tích hợp hoàn toàn Quanratine, Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,… Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hổ trợ PPTP, L2TP/IPSec, IPSec Tunnel site to site.
3.2.1.3 Backup và Restore đơn giản
Cho phép ủy quyền quản trị cho các User/Group Log và Report cực tốt. Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise). Khai báo thêm server vào array dễ dàng. Tích hợp với giải pháp quản lý của Microsoft: MOM SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này. Có các giải pháp hardware các tính năng khác. Hỗ trợ nhiều CPU và RAM max 32 node Network Loadbalancing. Hỗ trợ nhiều network, không cần đong đếm cài này, ăn đứt các loại khác. Route/NAT theo từng network Firewall rule đa dạng IDS Flood Resiliency HTTP compression Diffserv.
3.3 So sánh hai phiên bản ISA 2006 3.3.1 Standard Edition
ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình.
Với phiên bản này chúng ta có thể xây dựng firewall để:
- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty - Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp.
- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội sở.
- Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm ngăn ngừa sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống.
- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc độ kết nối Internet của mạng nội bộ.
Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration.
3.3.2 Enterprise Edition:
ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing. (adsbygoogle = window.adsbygoogle || []).push({});
3.3.3 So sánh giữa phiên bản Standard Edition và Enterprise Edition:
Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau. Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard.
- Centralized storage of configuration data
Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt. Khi bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage server). Các storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server.(Bạn có thể cài ADAM lên máy khác ko có ISA hay cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẽ tự nhân bản (replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ như bạn muốn thay đổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồi vào một trong những storage server mà làm. Còn với bản Standard, bạn phải đến từng máy để cấu hình.
- Support for cache Array Routing Protocol ( CARP )
Bản Enterprise cho phép ta chia sẻ việc cache giữa một dãy các ISA với nhau. Với bản Enterprise, một dãy gồm nhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn luận lý bằng cách kết nối khả năng cache của tất cả các ISA lại với nhau.