Intranet IP-VPN và Extranet IP-VPN

Một phần của tài liệu CÔNG NGHỆMẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN (Trang 113)

Ở chương 2 đã trình bày về mơ hình Intranet và Extranet IP-VPN. Chương này sẽ trình bày một ví dụ về mơ hình triển khai Intranet và Extranet IP-VPN khởi tạo từ

raouter. Hình 5.4 ví dụ về hai router ở mỗi đầu của kết nối thiết lập một đường ngầm sử dụng IPSec sau đĩ thỏa thuận việc mật mã.

Mơ hình này cĩ một số lựa chọn thực hiện khác nhau. Trường hợp thứ nhất, ISP quản lý, cung cấp và duy trì kết nối Internet cơ sở, cịn bản thân tổ chức phải quản lý tất cả các vấn đề như an tồn dữ liệu, quản lý router, máy chủ, các nguồn tài nguyên như ngân hàng các modem quay số. Trường hợp thứ hai là mơ hình lai (hybrid model). Trong mơ hình này, tổ chức và nhà cung cấp dịch vụ chia sẻ các cơng việc tương đối ngang bằng, ISP cung cấp thiết bị VPN, đảm bảo QoS với mức băng tần thỏa thuận, cịn phía nhà quản trị mạng quản trị các ứng dụng và cấu hình, cung cấp các dịch vụ

trợ giúp và an tồn dữ liệu. Trường hợp thứ ba, nhà quản trị mạng chỉ quản lý các máy chủ an ninh, cịn ISP cung cấp tồn bộ giải pháp VPN, dịch vụ trợ giúp, huấn luyện…

5.2.3 Mt s sn phm thc hin VPN

như ta đã biết, cĩ nhiều hãng tham gia nghên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dịng sản phẩm. Các hãng khác nhau cĩ cách tiếp cận và ưu nhược điểm riêng. Sau đây ví dụ về các sản phẩm của Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và cĩ thể phục vụ cho một phạm vi rộng các nhu cầu ứng dụng khác nhau.

Bng 5.1: Ví d v các sn phm ca Cisco và Netsreen

Loi khách hàng

Cisco Netsreen

Remote Access Site-to-Site

ISP/ Central Site 3080, 3060 Concentrators VPN routers 71x0 Netsreen-1000, Netsreen-500 Medium Site 3030 Concentrators Routers 7x00, 3600 Netsreen-208,

Netsreen-204 Small Office 3015, 3005 Concentrantors Routers 3600, 2600, 1700 Netsreen-50, Netsreen-20, Netsreen-XP Home Office/ Telecommuter Cisco VPN Software Client 3002 Hardware Client Router 800, 905 Netsreen-Remote 5.3 Ví d v thc hin IP-VPN

Để minh họa, ta xét 2 trường hợp: ứng dụng kết nối remote Access và ứng dụng Site-to-Site sử dụng thiết bị VPN 3000 Concentrantor của Cisco.

- Xác thực tính tồn vẹn dữ liệu: sử dụng thuật tốn HMAC-MD5 (128 bit), HMAC-SHA-1 (160 bit).

- Xác thực nguồn gốc dữ liệu: cĩ thể cấu hình để sử dụng mật khẩu (khĩa chia sẻ trước) hoặc chữ ký số.

- Trao đổi khĩa: sử dụng thuật tốn Diffie-Hellman, chứng thực số.

- Mật mã dữ liệu: sử dụng một trong các thuật tốn DES, 3DES ở chếđộ CBC. Trong tương lai, các thiết bị VPN cần hỗ trợ các thuật tốn tiên tiến hơn, chẳng hạn thuật tốn mật mã AES, xác thực SHA-2.

5.3.1 Kết ni Client-to-LAN

Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để

truy nhập thưđiện tử, các file cơ sở dữ liệu, trình diễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.

Hình 5.5: Các thành phn ca kết ni Client-to-LAN

Cĩ thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.

- Phần mềm IPSec (IPSec Client Software) khơng cĩ sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính cĩ yêu cầu truy nhập từ xa. Nĩ được sử dụng

để mật mã, xác thực và đĩng gĩi dữ liệu, đồng thời là một điểm cuối của đường ngầm. - Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.

- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an tồn (secure tunnel), thơng qua Internet để tới VPN 3000 Concentrantor.

- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối cịn lại của

đường ngầm. Nĩ thực hiện giải mã, xác thực, và mở gĩi dữ liệu.

Hình 5.6: Đường ngm IPSec Client-to-LAN

Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thơng tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ

nguồn thường là địa chỉảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉảo giúp cho client cĩ thể hoạt động nhưđang ở ngay mạng trung tâm.

Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đĩ chúng được mật mã, xác thực và đĩng gĩi bằng giao thức ESP. Sau khi đĩng gĩi dữ

liệu bằng ESP thì một IP header mới được thêm vào gĩi dữ liệu (gọi là header ngồi)

để định tuyến gĩi tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ card mạng (NIC) của client. Địa chỉ đích là giao diện cơng cộng của VPN 3000 Concentrator.

Ngồi thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi máy tính truy nhập từ xa cần cài đặt phần mềm IPSec client. Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an tồn giữa máy tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và quản lý

đường ngầm.

Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.

- Thỏa thuận các thơng sốđường ngầm: địa chỉ, thuật tốn. - Thiết lập đường ngầm dựa trên các thơng sốđã thiết lập.

- Xác thực người sử dụng thơng qua username, groupname, password, digital certificate.

- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…

- Quản trị các khĩa an ninh để mật mã va giải mã. - Thiết lập phiên trao đổi IPSec .

- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.

Hình 5.7: Phn mm IPSec Client

5.3.2 Kết ni LAN-to-LAN

Trong trường hợp này, giả thiết người sử dụng từ mạng LAN ở xa muốn truy nhập vào máy chủ ứng dụng ở mạng trung tâm. Một phương án để thực hiện kết nối này là sử dụng hai VPN 3000 Concentrator, một ở mạng trung tâm, một ở mạng xa.

Một gĩi tin IP được xây dựng với địa chỉ nguồn là 192.168.1.20 và địa chỉđích là 192.168.1.10. Gĩi tin được định tuyến tới VPN Concentrantor, VPN Concentrator mật mã và đĩng gĩi IP ban đầu với ESP header. Gĩi tin này được bảo vệ nhưng khơng

được thêm vào. Các địa chỉ bên ngồi này (203.16.5.19, 172.26.26.1) giúp định tuyến gĩi tin qua Internet. Sau khi đã cĩ đường ngầm thì một phiên trao đổi được thiết lập cho phép truyền thơng giữa hai mạng riêng.

Hình 5.8: Đường ngm IPSec LAN-to-LAN

5.4 Tình hình trin khai VPN Vit Nam

Hiện nay, tại Viêt Nam cĩ rất nhiều hãng đang cung cấp giải pháp VPN cho các doanh nghiệp. Trong đĩ, đứng đầu thị trường VPN Việt Nam là hãng Juniper Networks. Juniper là hãng thiết bị hàng đầu của Mỹ trong các lĩnh vực bảo mật và an tồn cho các giao dịch truyền thơng trong mơi trường mạng IP đơn lẻ. Hiện tại Juniper

đang hợp tác với VNPT phát triển mạng thế hệ sau NGN. Theo như số liệu từ doanh nghiệp này thì thị trường SSL VPN (Secure Socket Layer) phát triển rất mạnh với tốc

độ tăng trưởng bình quân hàng năm là 67%. Hãng này đang cung cấp thiết bị cho nhiều cơng ty lớn của Viêt Nam, trong đĩ cĩ Bảo Việt. Bên cạnh đĩ, Juniper Network

đang tìm cách để liên kết với các ISP đểđưa ra sản phẩm SA 6000 SP cung cấp VPN như là dịch vụ gia tăng cho các doanh nghiệp vừa và nhỏ.

Bên cạnh đĩ, VDC cũng là một cơng ty hiện tại cung cấp dịch vụ VPN cho khách hàng ở Việt Nam. VDC đã liên kết với Singtel (Singapore Telecommunications Limited) và cĩ điểm kết nối IP-VPN tại Hà Nội, Đà Nẵng, TP.HCM, Vũng Tàu, Cần Thơ, Đồng Nai, Bình Dương. Dung lượng dịch vụ kết nối giữa VDC và Singtel đối với IP-VPN là 5MB. Đối tượng khách hàng hướng tới của VDC và Singtel là những cơng ty hoạt động phân bố trên địa bàn khác nhau và mong muốn tăng kết nối từ xa với chi phí giảm như bảo hiểm, ngân hàng, hàng hải, các doanh nghiệp hoạt động ở khu cơng nghiệp, các văn phịng đại diện của cơng ty nước ngồi.

KT LUN

Cơng ngh mng riêng o VPN cho phép tn dng mơi trường mng cơng cng Internet để xây dng các mng riêng đảm bo an ninh. Vi nhng ưu đim v mt giá thành, phm vi hot động khơng hn chế, linh hot trong trin khai và m rng, VPN là mt cơng ngh ha hn trin vng th trường rt ln.

Đồ án này đã đi sâu tìm hiu các vn đề k thut và mơ hình thc hin ca cơng ngh IP-VPN. Trong đĩ, đường ngm là nn tng ca IP-VPN, phm vi ca đồ án này

đã trình bày v các giao thc đường ngm: PPTP, L2TP và IPSec. PPTP và L2TP là nhng giao thc đường ngm được phát trin da trên giao thc PPP. Hai giao thc này là các chun đã hồn thin và các sn phm h tr chúng tương đối ph biến.

Đối vi nhng ng dng yêu cu an tồn d liu cao thì IPSec là giao thc thích hp. IPSec h tr các phương pháp xác thc và mt mã mnh nht, cĩ tính linh hot cao do khơng b ràng buc bi mt phương pháp xác thc cũng như mt mã nào.

Đây được xem là giao thc ti ưu nht cho IP-VPN và được tìm hiu mt cách chi tiết nht. Để thc hin đĩng gĩi d liu, IPSec cĩ hai giao thc đĩng gĩi AH và ESP. Liên kết an ninh SA sẽđịnh ra mt tp các tham s, thut tốn và giao thc đĩng gĩi (là AH hay ESP) cho d liu gia hai bên. Giao thc trao đổi khĩa IKE đảm bo vai trị nhn thc các bên tham gia và tha thun liên kết an ninh gia các bên. Bên cnh

đĩ, đồ án đã trình bày mt s thut tốn mt mã, xác thc, tồn vn d liu là nhng thut tốn được dùng kết hp vi IPSec.

Hin nay, ti Vit Nam cĩ rt nhiu hãng đang cung cp các gii pháp VPN cho các doanh nghip, mi hãng cĩ mt cu hình VPN riêng. Theo như đánh giá ca nhiu cơng ty thì th trường VPN Vit Nam cĩ tc độ phát trin mnh.

Trong giai đon hin nay, khi xu hướng ca mng vin thơng là IP hĩa hay chuyn sang mng thế h mi NGN. Mt trong nhng ưu vit ca NGN là tích hp gia cố định và di động. Vì vy, trong tương lai IP-VPN sẽ được ng dng cho đin thoi di động. Khi đĩ, các dch v vin thơng s rt linh hot, kết hp gia truyn hình

nh, s liu và thoi. Đây cũng chính là hướng phát trin tiếp theo ca để tài.

Mc dù đã c gng, nhưng do cơng ngh IP-VPN cĩ nhiu gii pháp để thc hin và liên quan đến nhiu giao thc và thut tốn phc tp, thi gian và trình độ cĩ hn nên

đồ án này khĩ tránh khi thiếu sĩt. Tơi rt mong nhn được ý kiến đĩng gĩp ca thy cơ và bn bè để cĩ th sa đổi, b sung cho nhng vn đề trình bày trong đồ án này.

Tài liu tham kho

1) TCP/IP protocol suite

Behrouz A. Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill

2) Cải tiến giao thức Internet phiên bản 6 (IPv6)

Tp chí Bưu Chính Vin Thơng- k 1 tháng 12/2003

3) Cơng nghệ chuyển mạch IP

Ch biên:TS.Lê Hu Lp, Biên son: Ks.Hồng Trng Minh Hc vin CNBCVT 11/2000

4) Virtual Private Networking and Intranet Security

Copyright © 1999, Microsoft Corperation, Inc

5) Understanding Virtual Private Networking

Copyrignt © 2001, ADTRAN, Inc

6) VPN Technologies: Sefinitions and Requirements

Copignt © 2002, VPN Consortium

7) CCSP Cisco Secure VPN Exam Certification Guide

John F. Roland and Mark J. Newcomb Copyright © 2003 Cisco Systems, Inc

8) IPSec

Copyright © 1998, Cisco Systems, Inc

9) Security Protocols Overview

Copyright © 1999, RSA Data Security, Inc

10) Public Key Infranstructure

Copyright © 2001, SecGo Solution Oy.

11) Secure Network Communication (part I, II, III, IV)

Copyright © 2002, Zurcher Hochschule Winterthur.

12) Cisco Secure Virtual Private Networks (Volume 1, 2)

Copyright © 2001, Cisco System, Inc

13) Netscreen Concepts and Examples

Các website chính http:// www.itu.int http:// www.ietf.org http://www.iec.org/tutorial/ http:// www.vpnlabs.org http://www.vpnc.org http:// www.parlay.org/specifications http://techguide.com http://www.vnpt.com.vn/ http://www.vnpost.mpt.gov.vn/ http://www.vnn.vn http://www.home.vnn.vn

Một phần của tài liệu CÔNG NGHỆMẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN (Trang 113)

Tải bản đầy đủ (PDF)

(121 trang)