Một cách tổng quát thì việc lựa chọn một phương án để thực hiện VPN phụ
thuộc vào mục đích và qui mơ của ứng dụng. Như đã biết, mục đích cơ bản của ứng dụng VPN là truy nhập từ xa (Remote Access) hoặc kết nối Site-to-Site. Cịn qui mơ của ứng dụng thể hiện ở số phiên trao đổi cĩ thể thực hiện đồng thời. Một đặc điểm quan trọng khác là vai trị của nhà cung cấp dịch vụ ISP. Một phương án thực hiện VPN cĩ thể dựa vào dịch vụ cung cấp bởi ISP hoặc trong suốt đối với ISP. Trong trường hợp thứ nhất, ISP được trang bị các thiết bị VPN và cĩ thể cung cấp dịch vụ
VPN cho các tổ chức, người sử dụng cĩ nhu cầu về dịch vụ này. Trong trường hợp thứ
hai, bản thân các tổ chức và người sử dụng tự trang bị lấy thiết bị VPN cho mình. Khi này họ cĩ thể thực hiện VPN mà khơng cần quan tâm đến việc ISP cĩ hỗ trợ dịch vụ
này hay khơng.
Về phương diện người sử dụng, cĩ 3 ứng dụng hay loại hình IP-VPN là: Access IP-VPN, Intranet VPN và Extranet IP-VPN.
Hình 5.1: Ba mơ hình IP-VPN
- Access IP-VPN: cung cấp truy nhập từ xa thơng qua Internet tới mạng trung tâm, với những đặc điểm của một mạng riêng, ví dụ như tín an tồn (sercurity), độổn
định. Access IP-VPN cho phép người sử dụng truy nhập các nguồn tài nguyên của tổ
chức ở bất kỳ nơi nào, lúc nào mà họ mong muốn. Các cơng nghệ truy nhập tương tự, quay số, ISDN, đường dây thuê bao số (DSL), điện thoại di động… đều cĩ thể dùng để
kết nối an tồn những người sử dụng lưu động tới mạng trung tâm.
- Intranet VPN: kết nối các mạng chi nhánh với mạng trung tâm thơng qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.
- Extranet VPN: kết nối với khách hàng, đối tác với một phần mạng trung tâm thơng qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.
5.2.1 Access VPN
Cĩ rất nhiều lựa chọn để thực hiện Access VPN, do vậy cần cân nhắc thận trọng trước khi quyết định lựa chọn phương án nào. Như liệt kê ởđây, cĩ nhiều cơng nghệ
truy nhập, từ các cơng nghệ quay số hoặc ISDN truyền thơng tới các cơng nghệ mới như truy nhập sử dụng DSL. Thêm vào đĩ phải lực chọn một kiến trúc VPN: kiến trúc khởi tạo từ máy khách (client inititated) hay kiến trúc khởi tạo từ máy chủ truy nhập (network access server initiated architure).
5.2.1.1 Kiến trúc khởi tạo từ máy khách
Đối với Access IP-VPN khởi tạo từ phia máy khách, mỗi PC của người sử dụng từ xa phải cài đặt phần mềm IPSec. Khi người sử dụng quay số tới POP (Point of Presence) của ISP, phần mềm này sẽ khởi tạo một đường ngầm IP-VPN và thực hiện mật mã. Kiến trúc này rất an tồn vì dữ liệu được bảo vệ trên tồn bộđường ngầm PC của người sử dụng đến mạng trung tâm. Trong phương án này cĩ thể sử dụng bất kỳ
cơng nghệ truy nhập nào để kết nối tới Internet. Thêm vào đĩ, phương án này là trong suốt đối với nhà cung cấp dịch vụ ISP, nghĩa là cĩ thể thực hiện IP-VPN mà khơng cần thực hiện bất cứ thay đổi nào đối với ISP, chẳng hạn như mật mã dữ liệu. Nhược điểm của mơ hình này là phải cài đặt và quản trị phần mềm IPSec client trên tất cả các PC truy nhập từ xa.
5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS
Đối với truy nhập IP-VPN khởi tạo từ máy chủ truy nhập thì NAS (tại POP) sẽ
khởi tạo đường ngầm và thực hiện mật mã thay cho người sử dụng. Sẽ cĩ một phần kết nối khơng được bảo vệ giữa người sử dụng và POP. Phần kết nối cịn lại được bảo đảm an tồn bởi một đường ngầm và mật mã dữ lệu. Mơ hình này dễ quản lí hơn, vì khơng phải kiểm sốt tất cả phần mềm IPSec client tại các PC truy nhập từ xa. Mơ hình này cũng dể dàng mở rộng hơn so với mơ hình truy nhập khởi tạo từ người sử dụng vì chỉ
cần cấu hình máy chủ NAS, thay vì cấu hình tất cả các PC.
Hình 5.3: Truy nhập IP-VPN khởi tạo từ máy chủ
5.2.2 Intranet IP-VPN và Extranet IP-VPN
Ở chương 2 đã trình bày về mơ hình Intranet và Extranet IP-VPN. Chương này sẽ trình bày một ví dụ về mơ hình triển khai Intranet và Extranet IP-VPN khởi tạo từ
raouter. Hình 5.4 ví dụ về hai router ở mỗi đầu của kết nối thiết lập một đường ngầm sử dụng IPSec sau đĩ thỏa thuận việc mật mã.
Mơ hình này cĩ một số lựa chọn thực hiện khác nhau. Trường hợp thứ nhất, ISP quản lý, cung cấp và duy trì kết nối Internet cơ sở, cịn bản thân tổ chức phải quản lý tất cả các vấn đề như an tồn dữ liệu, quản lý router, máy chủ, các nguồn tài nguyên như ngân hàng các modem quay số. Trường hợp thứ hai là mơ hình lai (hybrid model). Trong mơ hình này, tổ chức và nhà cung cấp dịch vụ chia sẻ các cơng việc tương đối ngang bằng, ISP cung cấp thiết bị VPN, đảm bảo QoS với mức băng tần thỏa thuận, cịn phía nhà quản trị mạng quản trị các ứng dụng và cấu hình, cung cấp các dịch vụ
trợ giúp và an tồn dữ liệu. Trường hợp thứ ba, nhà quản trị mạng chỉ quản lý các máy chủ an ninh, cịn ISP cung cấp tồn bộ giải pháp VPN, dịch vụ trợ giúp, huấn luyện…
5.2.3 Một số sản phẩm thực hiện VPN
như ta đã biết, cĩ nhiều hãng tham gia nghên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dịng sản phẩm. Các hãng khác nhau cĩ cách tiếp cận và ưu nhược điểm riêng. Sau đây ví dụ về các sản phẩm của Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và cĩ thể phục vụ cho một phạm vi rộng các nhu cầu ứng dụng khác nhau.
Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen
Loại khách hàng
Cisco Netsreen
Remote Access Site-to-Site
ISP/ Central Site 3080, 3060 Concentrators VPN routers 71x0 Netsreen-1000, Netsreen-500 Medium Site 3030 Concentrators Routers 7x00, 3600 Netsreen-208,
Netsreen-204 Small Office 3015, 3005 Concentrantors Routers 3600, 2600, 1700 Netsreen-50, Netsreen-20, Netsreen-XP Home Office/ Telecommuter Cisco VPN Software Client 3002 Hardware Client Router 800, 905 Netsreen-Remote 5.3 Ví dụ về thực hiện IP-VPN
Để minh họa, ta xét 2 trường hợp: ứng dụng kết nối remote Access và ứng dụng Site-to-Site sử dụng thiết bị VPN 3000 Concentrantor của Cisco.
- Xác thực tính tồn vẹn dữ liệu: sử dụng thuật tốn HMAC-MD5 (128 bit), HMAC-SHA-1 (160 bit).
- Xác thực nguồn gốc dữ liệu: cĩ thể cấu hình để sử dụng mật khẩu (khĩa chia sẻ trước) hoặc chữ ký số.
- Trao đổi khĩa: sử dụng thuật tốn Diffie-Hellman, chứng thực số.
- Mật mã dữ liệu: sử dụng một trong các thuật tốn DES, 3DES ở chếđộ CBC. Trong tương lai, các thiết bị VPN cần hỗ trợ các thuật tốn tiên tiến hơn, chẳng hạn thuật tốn mật mã AES, xác thực SHA-2.
5.3.1 Kết nối Client-to-LAN
Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để
truy nhập thưđiện tử, các file cơ sở dữ liệu, trình diễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.
Hình 5.5: Các thành phần của kết nối Client-to-LAN
Cĩ thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.
- Phần mềm IPSec (IPSec Client Software) khơng cĩ sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính cĩ yêu cầu truy nhập từ xa. Nĩ được sử dụng
để mật mã, xác thực và đĩng gĩi dữ liệu, đồng thời là một điểm cuối của đường ngầm. - Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.
- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an tồn (secure tunnel), thơng qua Internet để tới VPN 3000 Concentrantor.
- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối cịn lại của
đường ngầm. Nĩ thực hiện giải mã, xác thực, và mở gĩi dữ liệu.
Hình 5.6: Đường ngầm IPSec Client-to-LAN
Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thơng tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ
nguồn thường là địa chỉảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉảo giúp cho client cĩ thể hoạt động nhưđang ở ngay mạng trung tâm.
Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đĩ chúng được mật mã, xác thực và đĩng gĩi bằng giao thức ESP. Sau khi đĩng gĩi dữ
liệu bằng ESP thì một IP header mới được thêm vào gĩi dữ liệu (gọi là header ngồi)
để định tuyến gĩi tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ card mạng (NIC) của client. Địa chỉ đích là giao diện cơng cộng của VPN 3000 Concentrator.
Ngồi thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi máy tính truy nhập từ xa cần cài đặt phần mềm IPSec client. Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an tồn giữa máy tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và quản lý
đường ngầm.
Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.
- Thỏa thuận các thơng sốđường ngầm: địa chỉ, thuật tốn. - Thiết lập đường ngầm dựa trên các thơng sốđã thiết lập.
- Xác thực người sử dụng thơng qua username, groupname, password, digital certificate.
- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…
- Quản trị các khĩa an ninh để mật mã va giải mã. - Thiết lập phiên trao đổi IPSec .
- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.
Hình 5.7: Phần mềm IPSec Client
5.3.2 Kết nối LAN-to-LAN
Trong trường hợp này, giả thiết người sử dụng từ mạng LAN ở xa muốn truy nhập vào máy chủ ứng dụng ở mạng trung tâm. Một phương án để thực hiện kết nối này là sử dụng hai VPN 3000 Concentrator, một ở mạng trung tâm, một ở mạng xa.
Một gĩi tin IP được xây dựng với địa chỉ nguồn là 192.168.1.20 và địa chỉđích là 192.168.1.10. Gĩi tin được định tuyến tới VPN Concentrantor, VPN Concentrator mật mã và đĩng gĩi IP ban đầu với ESP header. Gĩi tin này được bảo vệ nhưng khơng
được thêm vào. Các địa chỉ bên ngồi này (203.16.5.19, 172.26.26.1) giúp định tuyến gĩi tin qua Internet. Sau khi đã cĩ đường ngầm thì một phiên trao đổi được thiết lập cho phép truyền thơng giữa hai mạng riêng.
Hình 5.8: Đường ngầm IPSec LAN-to-LAN
5.4 Tình hình triển khai VPN ở Việt Nam
Hiện nay, tại Viêt Nam cĩ rất nhiều hãng đang cung cấp giải pháp VPN cho các doanh nghiệp. Trong đĩ, đứng đầu thị trường VPN Việt Nam là hãng Juniper Networks. Juniper là hãng thiết bị hàng đầu của Mỹ trong các lĩnh vực bảo mật và an tồn cho các giao dịch truyền thơng trong mơi trường mạng IP đơn lẻ. Hiện tại Juniper
đang hợp tác với VNPT phát triển mạng thế hệ sau NGN. Theo như số liệu từ doanh nghiệp này thì thị trường SSL VPN (Secure Socket Layer) phát triển rất mạnh với tốc
độ tăng trưởng bình quân hàng năm là 67%. Hãng này đang cung cấp thiết bị cho nhiều cơng ty lớn của Viêt Nam, trong đĩ cĩ Bảo Việt. Bên cạnh đĩ, Juniper Network
đang tìm cách để liên kết với các ISP đểđưa ra sản phẩm SA 6000 SP cung cấp VPN như là dịch vụ gia tăng cho các doanh nghiệp vừa và nhỏ.
Bên cạnh đĩ, VDC cũng là một cơng ty hiện tại cung cấp dịch vụ VPN cho khách hàng ở Việt Nam. VDC đã liên kết với Singtel (Singapore Telecommunications Limited) và cĩ điểm kết nối IP-VPN tại Hà Nội, Đà Nẵng, TP.HCM, Vũng Tàu, Cần Thơ, Đồng Nai, Bình Dương. Dung lượng dịch vụ kết nối giữa VDC và Singtel đối với IP-VPN là 5MB. Đối tượng khách hàng hướng tới của VDC và Singtel là những cơng ty hoạt động phân bố trên địa bàn khác nhau và mong muốn tăng kết nối từ xa với chi phí giảm như bảo hiểm, ngân hàng, hàng hải, các doanh nghiệp hoạt động ở khu cơng nghiệp, các văn phịng đại diện của cơng ty nước ngồi.
KẾT LUẬN
Cơng nghệ mạng riêng ảo VPN cho phép tận dụng mơi trường mạng cơng cộng Internet để xây dựng các mạng riêng đảm bảo an ninh. Với những ưu điểm về mặt giá thành, phạm vi hoạt động khơng hạn chế, linh hoạt trong triển khai và mở rộng, VPN là một cơng nghệ hứa hẹn triển vọng thị trường rất lớn.
Đồ án này đã đi sâu tìm hiểu các vấn đề kỹ thuật và mơ hình thực hiện của cơng nghệ IP-VPN. Trong đĩ, đường ngầm là nền tảng của IP-VPN, phạm vi của đồ án này
đã trình bày về các giao thức đường ngầm: PPTP, L2TP và IPSec. PPTP và L2TP là những giao thức đường ngầm được phát triển dựa trên giao thức PPP. Hai giao thức này là các chuẩn đã hồn thiện và các sản phẩm hỗ trợ chúng tương đối phổ biến.
Đối với những ứng dụng yêu cầu an tồn dữ liệu cao thì IPSec là giao thức thích hợp. IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất, cĩ tính linh hoạt cao do khơng bị ràng buộc bởi một phương pháp xác thực cũng như mật mã nào.
Đây được xem là giao thức tối ưu nhất cho IP-VPN và được tìm hiểu một cách chi tiết nhất. Để thực hiện đĩng gĩi dữ liệu, IPSec cĩ hai giao thức đĩng gĩi AH và ESP. Liên kết an ninh SA sẽđịnh ra một tập các tham số, thuật tốn và giao thức đĩng gĩi (là AH hay ESP) cho dữ liệu giữa hai bên. Giao thức trao đổi khĩa IKE đảm bảo vai trị nhận thực các bên tham gia và thỏa thuận liên kết an ninh giữa các bên. Bên cạnh
đĩ, đồ án đã trình bày một số thuật tốn mật mã, xác thực, tồn vẹn dữ liệu là những thuật tốn được dùng kết hợp với IPSec.
Hiện nay, tại Việt Nam cĩ rất nhiều hãng đang cung cấp các giải pháp VPN cho các doanh nghiệp, mỗi hãng cĩ một cấu hình VPN riêng. Theo như đánh giá của nhiều cơng ty thì thị trường VPN Việt Nam cĩ tốc độ phát triển mạnh.
Trong giai đoạn hiện nay, khi xu hướng của mạng viễn thơng là IP hĩa hay chuyển sang mạng thế hệ mới NGN. Một trong những ưu việt của NGN là tích hợp giữa cố định và di động. Vì vậy, trong tương lai IP-VPN sẽ được ứng dụng cho điện thoại di động. Khi đĩ, các dịch vụ viễn thơng sẽ rất linh hoạt, kết hợp giữa truyền hình
ảnh, số liệu và thoại. Đây cũng chính là hướng phát triển tiếp theo của để tài.
Mặc dù đã cố gắng, nhưng do cơng nghệ IP-VPN cĩ nhiều giải pháp để thực hiện và liên quan đến nhiều giao thức và thuật tốn phức tạp, thời gian và trình độ cĩ hạn nên
đồ án này khĩ tránh khỏi thiếu sĩt. Tơi rất mong nhận được ý kiến đĩng gĩp của thầy cơ và bạn bè để cĩ thể sửa đổi, bổ sung cho những vấn đề trình bày trong đồ án này.