Cỏc mạng số liệu riờng vẫn được xem như là cụng nghệ truyền tải cao hơn so với IP VPN, hay thậm chớ cỏc mạng ATM và chuyển tiếp khung. Điều này bắt nguồn từ việc cung cấp cỏc dịch vụ viễn thụng của cỏc nhà khai thỏc dựa trờn tớnh an ninh và vững chắc của cỏc tuyến cỏp đồng và cỏp quang của mạng truyền dẫn, nhưng quan điểm nay là hoàn toàn vụ căn cứ. Thớ dụ điển hỡnh nhất của của cỏc mạng riờng như vậy là PSTN, cỏc đường thuờ số liệu riờng và cỏc mạng quay số ở cả hữu tuyến và vụ tuyến. Dưới đõy ta sẽ cho thấy rằng cỏc mạng dựa trờn cỏc phương tiện riờng dành riờng cũng chịu chung cỏc vấn đề khai thỏc như cỏc mạng riờng ảo được cung cấp trờn cỏc cơ sở hạ tầng nối mạng chung.
2.2.1. Cỏc mạng riờng đảm bảo an ninh
Người ta thường núi rằng một hệ thống đảm bảo được an ninh ngay cả khi đường truyền ở mức độ yếu kộm. Từ cỏch nhỡn này, cỏc phương tiện nối mạng riờng của nhà cung cấp dịch vụ chỉ được đảm bảo an ninh ở dạng phần tử riờng của nú, chẳng hạn cỏp đồng hoặc cỏp quang, cỏc kờnh được thiết lập trờn đường truyền vụ tuyến (trong trường hợp thụng tin vụ tuyến) và cỏc phần tử chuyển mạch, định tuyến trờn đường truyền số liệu. Đoạn truyền yếu nhất của một mạng thường là mụi trường vật lý, thụng thường mụi trường này khụng được đảm bảo tớnh riờng tư và an ninh.
Chẳng hạn, cỏc đoạn mạng riờng được xõy lắp trong cỏc ống dẫn dưới mặt đất ở thành phố hoặc nụng thụn (thường được đỏnh dấu bằng cỏc ký hiệu khỏc nhau để phõn biệt chỳng) hay treo (cỏp trờn cỏc cột điện thoại, mà mọi người đều cú thể với đến bằng một thiết bị phự hợp và chỳng chỉ được bảo vệ bởi lớp vỏ nhựa bọc ngoài) thường khụng được canh giữ và dễ dàng bị truy nhập trỏi phộp với cỏc mục đớch hỡnh sự. Kết quả là số liệu truyền giữa hai điểm của một hóng cú thể bị lấy ra từ cỏp quang dưới mặt đất chỉ đơn giản bằng cỏch rạch vỏ cỏp và búc lớp bảo vệ, uốn cong nú và thu ỏnh sỏng lọt ra ngoài bằng một thiết bị rẻ tiền thường được cỏc kỹ thuật viờn bảo dưỡng sử dụng. Số liệu truyền dẫn trờn cỏc mạch vũng cỏp đồng trong cỏc vựng đụ thị cú thể bị truy nhập dễ dàng bằng cỏch đặt cỏc nhỏnh rẽ cầu vào cỏc đường dẫn khụng được bảo vệ hoặc đặt đường rẽ trực tiếp đến cỏc đầu cuối kết nối cho cỏc phương tiện xuyờn qua tầng hầm của tũa nhà trong thành phố. Cỏc mạng dựa trờn cụng nghệ lớp liờn kết như ATM và chuyển tiếp khung, ngoài việc bị dễ bị tổn hại lớp vật lý cũn thường xuyờn bị cỏc tấn cụng lớp mạng như cỏc xõm phạm dụng ý xấu hoặc bị nghe trộm.
Ngoài việc dễ bị tấn cụng của cỏc phương tiện truyền tải, số liệu truyền tải trờn cỏc mạng riờng thường khụng được cỏc nhà cung cấp dịch vụ lẫn cỏc cụng ty mật mó húa. Vỡ họ cho rằng khụng thể thõm nhập vào cỏp và cỏc ống dẫn đặt dưới mặt đất, nờn cỏc nhà cung cấp dịch vụ khụng lo lắng đến việc ỏp dụng cỏc sơ đồ mật mó húa hay cỏc biện phỏp mó húa và nhận thực khỏc. Cỏc phũng IT của cỏc hóng lại tin vào cỏc nhà
cung cấp dịch vụ rằng lưu lượng được truyền trờn cỏc phương tiện riờng của họ (nghĩa là được đảm bảo an ninh), vỡ thế cũng khụng cần thiết phải ỏp dụng cỏc biện phỏp an ninh phức tạp đầu cuối-đầu cuối.
Tỡnh trạng này cũng khụng sỏng sủa hơn trong thụng tin LAN vụ tuyến và thụng tin di động. Việc truy nhập đến thụng tin được truyền trờn đường vụ tuyến thậm chớ cũn dễ hơn nhiều so với truy nhập thụng tin truyền trờn cỏp. Cỏc hệ thống tương tự ban đầu khụng đảm bảo bất kỳ biện phỏp bảo vệ số liệu nào thậm chớ cả việc nhận thực cần thiết nờn thường bị xõm nhập bằng thiết bị quột và giải mó rẻ tiền. Điều này dẫn đến hiện tượng nhõn bản hàng loạt điện thoại di động vào những năm 1980 và 1990.
Nền cụng nghiệp viễn thụng vụ tuyến đó giải quyết cỏc vấn đề này bằng cỏc hệ thống số mới cú cỏc sơ đồ mật mó húa ở giao diện vụ tuyến và SIM, USIM trong cỏc mỏy thoại GSM, UMTS để nhận thực và mật mó húa. Mặc dự cỏc biện phỏp này giải quyết thành cụng cỏc vấn đề xõm phạm cỏc thiết bị di động, nhưng vấn đề an toàn số liệu vẫn chưa được giải quyết tương xứng. Cỏc sơ đồ mật mó húa giao diện vụ tuyến của cỏc hệ thống thụng tin di động số 2G và 3G để bảo vệ số liệu của người sử dụng thường yếu và đắt tiền khi ỏp dụng vào thực tế và thường khụng đảm bảo kết quả mong muốn của khỏch hàng. Kết quả là những biờn phỏp này là khụng bắt buộc đối với nhiều hệ thống. Vớ dụ như an ninh giao diện vụ tuyến trong cdma2000 chỉ là một tựy chọn của cỏc tiờu chuẩn TIA và thường khụng được cỏc nhà sản xuất thiết bị hỗ trợ, cũn mật mó húa trong GSM cú thể khụng cần hoặc được update nếu cú yờu cầu.
2.2.2. Cỏc mạng riờng luụn luụn tin cậy
Trỏi với sự tin tưởng của nhiều người, đụi khi việc thuờ riờng một phương tiện riờng cú thể để lộ ra cỏc phỏ vỡ dịch vụ nghiờm trọng và phục hồi chậm hơn cỏc mạng dựa trờn cụng nghệ VPN. Cỏc mạng riờng dựa trờn cỏc kờnh riờng ớt tin cậy hơn nhiều so với cỏc cụng nghệ dựa trờn việc sử dụng cỏc liờn kết ảo (như cỏc mạng ATM, chuyển tiếp khung hay MPLS) hay cỏc giải phỏp dựa trờn datagram (như IP VPN), cho phộp tự động định tuyến lại cỏc luồng số liệu trờn cỏc tuyến ảo khỏc nhau trong trường hợp sự cố ở đoạn nối trung gian hay tại cỏc node.
Thụng thường cỏc mạng riờng trải dài trờn cỏc khoảng cỏch lớn với nhiều phương tiện liờn kết và cú nhiều kiểu thiết bị số liệu như: Cỏc chuyển mạch, cỏc router, cỏc bộ nối chộo và cỏc SONET ADM( Synchronous Optical Network Add/Drop Multiplexer). Trong trường hợp cú sự cố kờnh hay đường riờng được dành riờng khụng thể tự động định tuyến lại số liệu qua cỏc tuyến khỏc và khụng thể giữ được thụng tin cho đến khi dịch vụ được phục hồi. Đụi khi sử dụng cỏc vũng ring SONET để giải quyết vấn đề này, nhưng chỉ ở lớp vật lý (đoạn nối mạng yếu nhất của hệ thống) và thường khụng ở dạng đầu cuối-đầu cuối. Khụng chỉ riờng cụng nghệ vật lý trong một mạng riờng để lộ ra cỏc vấn đề về khả năng tồn tại của tuyến đầu cuối-đầu cuối.
2.3. CÁC KHỐI CƠ BẢN CỦA VPN
Trong chương này ta sẽ xột cỏc khối cơ bản của VPN bao gồm:
Điều khiển truy nhập Nhận thực
An ninh Truyền tunnel
Cỏc thỏa thuận về mức dịch vụ
Cỏc khối này là cỏc khối chung cho hầu hết cỏc kiểu mạng VPN số liệu bao gồm cả MVPN.
2.3.1. Điều khiển truy nhập
Điều khiển truy nhập (AC: Access Control) trong nối mạng số liệu được định nghĩa là tập cỏc chớnh sỏch và kỹ thuật điều khiển việc truy nhập đến cỏc tài nguyờn nối mạng riờng cho cỏc phớa được trao quyền. Cỏc cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa cỏc tài nguyờn nào khả dụng cho một người sử dụng cụ thể sau khi người này đó được nhận thực. Trong VPN, cỏc thực thể vật lý như cỏc mỏy trạm ở xa, tường lửa và cỏc cổng VPN trong cỏc mạng thuộc hóng tham dự vào cỏc phiờn thụng tin thường chịu trỏch nhiệm hoặc tham gia đảm bảo trạng thỏi cỏc kết nối VPN. Thớ dụ về cỏc quyết định bao gồm: + Khởi đầu + Cho phộp + Tiếp tục + Từ chối + Kết thỳc
Mục đớch chớnh của VPN là cho phộp truy nhập đảm bảo an ninh và cú chọn lựa đến cỏc tài nguyờn nối mạng từ xa. Nếu chỉ cú an ninh và nhận thực mà khụng cú AC, VPN chỉ bảo vệ tớnh toàn vẹn, bớ mật của lưu lượng được truyền và ngăn cản những người sử dụng vụ danh sử dụng mạng, nhưng khụng cho phộp truy nhập cỏc tài nguyờn mạng. AC thường phụ thuộc vào thụng tin mà thực thể yờu cầu kết nối, như nhận dạng hay tớn chỉ, cũng như cỏc quy tắc định nghĩa quyết định AC. Chẳng hạn một số VPN cú thể được điều hành bởi một server tập trung hay thiết bị điều khiển VPN khỏc được đặt tại trung tõm số liệu của nhà cung cấp dịch vụ, hay nú cú thể được quản lý cục bộ bởi cổng VPN trong cỏc mạng cú liờn quan đến truyền thụng VPN.
Tập cỏc quy tắc và hành động quy định cỏc quyền truy nhập đến cỏc tài nguyờn mạng được gọi là chớnh sỏch điều khiển truy nhập. Chớnh sỏch điều khiển truy nhập đảm bảo mục đớch kinh doanh. Chẳng hạn, chớnh sỏch "Cho phộp truy nhập cho cỏc thuờ bao từ xa khụng vượt quỏ 60 giờ sử dụng" cú thể được thực hiện bằng cỏch sử dụng nhận thực dựa trờn RADIUS và sử dụng một bộ đếm thời gian mỗi khi người sử
dụng truy nhập. Về mặt lý thuyết (xem [RFC2882]) cú thể sử dụng bản tin RADIUS DISCONNECT (ngắt kết nối radius) để ngắt phiờn của người sử dụng khi vượt quỏ 60 giờ, nhưng đụi khi chớnh sỏch này lại được ỏp dụng tại thời gian đăng nhập (Logon) (chứ khụng phải tại thời điểm truy nhập) do người sử dụng khụng thường xuyờn ở tỡnh trạng đăng nhập, hay bằng cỏch đặt ra một giới hạn khoảng thời gian của một phiờn. Cú thể thực hiện cỏc chớnh sỏch tương tự bằng cỏch thay đổi giới hạn thời gian bằng một giới hạn tớn dụng liờn quan đến tài khoản trả trước.
2.3.1.1. Trang bị chớnh sỏch và buộc thi hành
Cỏc thớ dụ về cơ chế trang bị chớnh sỏch theo tiờu chuẩn và ộp buộc thi hành gồm cú LDAP (Lightweight Directory Access Protocol), một chuẩn dựng để yờu cầu một danh mục, được định nghĩa bởi [RFC2820], [RFC2829] và RADIUS. Cỏc định nghĩa về dịch vụ và cỏc lệnh truy nhập đặc thự cho cả hai cơ chế này được lưu trong cỏc cơ sở dữ liệu tập trung. Cỏc thiết bị cú trỏch nhiệm với cỏc quyết định điều khiển truy nhập như cỏc router IP, cỏc cổng VPN và cỏc thiết bị mạng thụng minh đều cú thể truy nhập vào cỏc cơ sở dữ liệu này. Ưu điểm chớnh của cỏc phương phỏp này là đơn giản và dễ quản lý cũng như cung cấp. Với LDAP, cỏc thay đổi chớnh sỏch cú thể được thực hiện bởi cả nhà cung cấp dịch vụ lẫn nhà quản lý IT của hóng bằng cỏch truy nhập đến một server cú chứa một cơ sở dữ liệu riờng thay vỡ cung cấp lại thụng tin được lưu trờn rất nhiều phần tử mạng.
Việc sử dụng RADIUS sẽ liờn kết quỏ trỡnh nhận thực người sử dụng với điều khiển truy nhập và chọn lựa chớnh sỏch dịch vụ. Sau mỗi lần chọn lựa chớnh sỏch truy nhập, việc ộp buộc thực thi cú thể thực hiện tại thiết bị bằng cỏch yờu cầu một kho lưu chớnh sỏch sử dụng LDAP. Trong những năm gần đõy một giao thức mới tờn là COPS (Common Open Policy Service, [RFC2748]) đó được đề suất để thực hiện trang bị và ra quyết định chớnh sỏch cho cỏc thiết bị đơn giản. Việc sử dụng giao thức thức này vẫn cũn rất hạn chế. Tuy nhiờn nú đó được 3GPP R5 chấp nhận để nhận thực cỏc phiờn truyền thụng. Đõy chớnh là cơ chế điều khiển truy nhập cho cỏc mạng (cú thể là cỏc VPN), được sử dụng để cung cấp cỏc dịch vụ đa phương tiện trờn cỏc hệ thống 3G.
2.3.1.2. Cổng bắt giữ (Captive Portal)
Chức năng AC cú thể được thi hành tại điểm kết cuối cỏc giao thức truy nhập bằng cỏch chỉ cho phộp truy nhập mạng sau khi nhận thực giao thức truy nhập thành cụng. Núi một cỏch khỏc cú thể thi hành AC mạng thụng qua phương phỏp cổng bắt giữ. Phương phỏp này thường được sử dụng trong cỏc mạng truy nhập dựa trờn WLAN và cỏc mạng truy nhập băng rộng. Nú buộc cỏc người sử dụng phải nhận thực bằng cỏch điền vào một mẫu biểu trờn một trang Web, là nơi duy nhất họ cú thể truy nhập sau khi đạt được kết nối IP. Điều này cú thể được thực hiện qua chức năng chuyển hướng TCP trờn cỏc cổng 80, 8000 và 8080 thường được sử dụng cho HTTP (giao thức được sử dụng để truyền cỏc trang Web).
Chức năng chuyển hướng TCP, được cài đặt trờn một thiết bị mạng hay một router thụng thường tại biờn của VPN (hay một mạng IP bất kỳ), sẽ giỏm sỏt tất cả cỏc gúi IP chuyển lờn lớp truyền tải. Nếu giao thức là TCP và số cổng là HTTP, địa chỉ nơi nhận của mạng và tiờu đề HTTP được thay đổi để yờu cầu trang Web phự hợp với trang Web đầu vào cổng chớnh. Một phương phỏp khỏc được sử dụng khi thiết bị mạng khụng được thiết kế để hoạt động tại mức ứng dụng, bản thõn cổng chớnh cú thể hiểu được để luụn luụn đỏp trả cỏc yờu cầu HTTP đến từ cỏc địa chỉ IP khụng đăng ký (khụng được phộp) bằng cỏc phỏt đi trang Web đăng ký thụng qua HTTP. Khi đó thu thập chứng nhận và nhận thực thành cụng người sử dụng, cổng chớnh thụng bỏo cho thiết bị mạng và thiết bị này đưa lờn chức năng chuyển hướng TCP và để cho lưu lượng người sử dụng qua tự do, tất nhiờn chỉ đến khi xảy ra một sự kiện nào đú sau đõy: bộ định thời người sử dụng khụng tớch cực, thời gian sử dụng hay giới hạn lưu lượng bị vượt quỏ, khoảng thời gian được phộp trước khi nhận thực mới được yờu cầu, hay thậm chớ việc chuyển hướng đến một trang quảng cỏo nào đú khụng làm thay đổi trạng thỏi này.
Chỳng ta sẽ khụng đi sõu vào cỏc chi tiết khụng liờn quan đến mục đớch chớnh của chương này, nhưng cú thể thấy rằng việc thực hiện điều khiển truy nhập AC núi trờn ngày càng trở nờn phổ biến do sự chuyển dịch cỏc cụng nghệ truy nhập vào cỏc mụi trường quảng bỏ như WLAN, và sự chia sẻ cỏc tài nguyờn mạng truy nhập cú thể cần một giai đoạn lựa chọn nhà cung cấp trước khi bắt đầu sử dụng dịch vụ. Ngoài ra khi lựa chọn nhà cung cấp, người sử dụng cú thể được nhắc nhở trờn một trang Web thứ hai (mang tớnh cỏ nhõn) về lý lịch tài khoản của người này, cỏc hoạt động quảng cỏo và cỏc đường nối đến cỏc đối tỏc cung cấp cỏc dịch vụ hấp dẫn khỏc. Chức năng này cú thể được đặt tại cỏc VPN hay cỏc mạng dịch vụ và khụng thể truy nhập được chừng nào giai đoạn AC dựa trờn cổng bắt giữ (captive portal) chưa được tiến hành thành cụng.
Một số nhà cung cấp dịch vụ thậm chớ khụng sử dụng sự phức tạp của captive portals dựa trờn chuyển hướng TCP, cú thể vỡ thiết bị của họ chỉ kiểm tra cỏc gúi ở mức lớp mạng và chỉ cú thể được lập cấu hỡnh để cho phộp truy nhập đến một số nơi nhận của lớp mạng. Thay vào đú họ đảm bảo truy nhập cho cỏc người sử dụng nếu họ chỉ ra cho cỏc bộ trỡnh duyệt của mỡnh về một URL được in trờn card đăng ký hay card trả tiền trước mà họ nhận được. Sau khi đó qua giai đoạn nhận thực, mạng cho phộp người sử dụng được nhận dạng bằng địa chỉ nguồn IP (hay cả nhận dạng MAC lớp 2) và cú thể truy nhập thành cụng đến tất cả cỏc đớch.
2.3.2. Nhận thực
Một trong cỏc chức năng quan trọng nhất được VPN hỗ trợ là nhận thực. Trong nối mạng riờng ảo, mọi thực thể liờn quan đến truyền thụng tin phải cú thể tự nhận dạng mỡnh với cỏc đối tỏc liờn quan khỏc và ngược lai. Nhận thực là một quỏ trỡnh cho phộp
cỏc thực thể truyền thụng kiểm tra cỏc nhận dạng như vậy. Một trong cỏc phương phỏp nhận thực phổ biến được sử dụng rộng rói hiện này là hạ tầng khúa cụng cộng PKI (Public Key Infrastructure). Đõy là phương phỏp nhận thực dựa trờn chứng nhận, và cỏc bờn tham dự truyền thụng tin sẽ nhận thực lẫn nhau bằng cỏch trao đổi cỏc chứng nhận của họ. Cỏc chứng nhận này được đảm bảo bởi quan hệ tin tưởng với một bộ phận thẩm quyền chứng nhận.
Quỏ trỡnh nhận thực cũng cú thể liờn quan đến cung cấp thụng tin nhận thực dựa