Intranet IP-VPN và Extranet IP-VPN

Ở chương 2 đã trình bày về mơ hình Intranet và Extranet IP-VPN. Chương này sẽ trình bày một ví dụ về mơ hình triển khai Intranet và Extranet IP-VPN khởi tạo từ

raouter. Hình 5.4 ví dụ về hai router ở mỗi đầu của kết nối thiết lập một đường ngầm sử dụng IPSec sau đĩ thỏa thuận việc mật mã.

Mơ hình này cĩ một số lựa chọn thực hiện khác nhau. Trường hợp thứ nhất, ISP quản lý, cung cấp và duy trì kết nối Internet cơ sở, cịn bản thân tổ chức phải quản lý tất cả các vấn đề như an tồn dữ liệu, quản lý router, máy chủ, các nguồn tài nguyên như ngân hàng các modem quay số. Trường hợp thứ hai là mơ hình lai (hybrid model). Trong mơ hình này, tổ chức và nhà cung cấp dịch vụ chia sẻ các cơng việc tương đối ngang bằng, ISP cung cấp thiết bị VPN, đảm bảo QoS với mức băng tần thỏa thuận, cịn phía nhà quản trị mạng quản trị các ứng dụng và cấu hình, cung cấp các dịch vụ

trợ giúp và an tồn dữ liệu. Trường hợp thứ ba, nhà quản trị mạng chỉ quản lý các máy chủ an ninh, cịn ISP cung cấp tồn bộ giải pháp VPN, dịch vụ trợ giúp, huấn luyện…

5.2.3 Một số sản phẩm thực hiện VPN

như ta đã biết, cĩ nhiều hãng tham gia nghên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dịng sản phẩm. Các hãng khác nhau cĩ cách tiếp cận và ưu nhược điểm riêng. Sau đây ví dụ về các sản phẩm của Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và cĩ thể phục vụ cho một phạm vi rộng các nhu cầu ứng dụng khác nhau.

Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen

Loại khách hàng

Cisco Netsreen

Remote Access Site-to-Site

ISP/ Central Site 3080, 3060 Concentrators VPN routers 71x0 Netsreen-1000, Netsreen-500 Medium Site 3030 Concentrators Routers 7x00, 3600 Netsreen-208,

Netsreen-204 Small Office 3015, 3005 Concentrantors Routers 3600, 2600, 1700 Netsreen-50, Netsreen-20, Netsreen-XP Home Office/ Telecommuter Cisco VPN Software Client 3002 Hardware Client Router 800, 905 Netsreen-Remote 5.3 Ví dụ về thực hiện IP-VPN

Để minh họa, ta xét 2 trường hợp: ứng dụng kết nối remote Access và ứng dụng Site-to-Site sử dụng thiết bị VPN 3000 Concentrantor của Cisco.

- Xác thực tính tồn vẹn dữ liệu: sử dụng thuật tốn HMAC-MD5 (128 bit), HMAC-SHA-1 (160 bit).

- Xác thực nguồn gốc dữ liệu: cĩ thể cấu hình để sử dụng mật khẩu (khĩa chia sẻ trước) hoặc chữ ký số.

- Trao đổi khĩa: sử dụng thuật tốn Diffie-Hellman, chứng thực số.

- Mật mã dữ liệu: sử dụng một trong các thuật tốn DES, 3DES ở chếđộ CBC. Trong tương lai, các thiết bị VPN cần hỗ trợ các thuật tốn tiên tiến hơn, chẳng hạn thuật tốn mật mã AES, xác thực SHA-2.

5.3.1 Kết nối Client-to-LAN

Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để

truy nhập thưđiện tử, các file cơ sở dữ liệu, trình diễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.

Hình 5.5: Các thành phần của kết nối Client-to-LAN

Cĩ thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.

- Phần mềm IPSec (IPSec Client Software) khơng cĩ sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính cĩ yêu cầu truy nhập từ xa. Nĩ được sử dụng

để mật mã, xác thực và đĩng gĩi dữ liệu, đồng thời là một điểm cuối của đường ngầm. - Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.

- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an tồn (secure tunnel), thơng qua Internet để tới VPN 3000 Concentrantor.

- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối cịn lại của

đường ngầm. Nĩ thực hiện giải mã, xác thực, và mở gĩi dữ liệu.

Hình 5.6: Đường ngầm IPSec Client-to-LAN

Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thơng tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ

nguồn thường là địa chỉảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉảo giúp cho client cĩ thể hoạt động nhưđang ở ngay mạng trung tâm.

Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đĩ chúng được mật mã, xác thực và đĩng gĩi bằng giao thức ESP. Sau khi đĩng gĩi dữ

liệu bằng ESP thì một IP header mới được thêm vào gĩi dữ liệu (gọi là header ngồi)

để định tuyến gĩi tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ card mạng (NIC) của client. Địa chỉ đích là giao diện cơng cộng của VPN 3000 Concentrator.

Ngồi thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi máy tính truy nhập từ xa cần cài đặt phần mềm IPSec client. Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an tồn giữa máy tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và quản lý

đường ngầm.

Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.

- Thỏa thuận các thơng sốđường ngầm: địa chỉ, thuật tốn. - Thiết lập đường ngầm dựa trên các thơng sốđã thiết lập.

- Xác thực người sử dụng thơng qua username, groupname, password, digital certificate.

- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…

- Quản trị các khĩa an ninh để mật mã va giải mã. - Thiết lập phiên trao đổi IPSec .

- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.

Hình 5.7: Phần mềm IPSec Client

5.3.2 Kết nối LAN-to-LAN

Trong trường hợp này, giả thiết người sử dụng từ mạng LAN ở xa muốn truy nhập vào máy chủ ứng dụng ở mạng trung tâm. Một phương án để thực hiện kết nối này là sử dụng hai VPN 3000 Concentrator, một ở mạng trung tâm, một ở mạng xa.

Một gĩi tin IP được xây dựng với địa chỉ nguồn là 192.168.1.20 và địa chỉđích là 192.168.1.10. Gĩi tin được định tuyến tới VPN Concentrantor, VPN Concentrator mật mã và đĩng gĩi IP ban đầu với ESP header. Gĩi tin này được bảo vệ nhưng khơng

được thêm vào. Các địa chỉ bên ngồi này (203.16.5.19, 172.26.26.1) giúp định tuyến gĩi tin qua Internet. Sau khi đã cĩ đường ngầm thì một phiên trao đổi được thiết lập cho phép truyền thơng giữa hai mạng riêng.

Hình 5.8: Đường ngầm IPSec LAN-to-LAN

5.4 Tình hình triển khai VPN ở Việt Nam

Hiện nay, tại Viêt Nam cĩ rất nhiều hãng đang cung cấp giải pháp VPN cho các doanh nghiệp. Trong đĩ, đứng đầu thị trường VPN Việt Nam là hãng Juniper Networks. Juniper là hãng thiết bị hàng đầu của Mỹ trong các lĩnh vực bảo mật và an tồn cho các giao dịch truyền thơng trong mơi trường mạng IP đơn lẻ. Hiện tại Juniper

đang hợp tác với VNPT phát triển mạng thế hệ sau NGN. Theo như số liệu từ doanh nghiệp này thì thị trường SSL VPN (Secure Socket Layer) phát triển rất mạnh với tốc

độ tăng trưởng bình quân hàng năm là 67%. Hãng này đang cung cấp thiết bị cho nhiều cơng ty lớn của Viêt Nam, trong đĩ cĩ Bảo Việt. Bên cạnh đĩ, Juniper Network

đang tìm cách để liên kết với các ISP đểđưa ra sản phẩm SA 6000 SP cung cấp VPN như là dịch vụ gia tăng cho các doanh nghiệp vừa và nhỏ.

Bên cạnh đĩ, VDC cũng là một cơng ty hiện tại cung cấp dịch vụ VPN cho khách hàng ở Việt Nam. VDC đã liên kết với Singtel (Singapore Telecommunications Limited) và cĩ điểm kết nối IP-VPN tại Hà Nội, Đà Nẵng, TP.HCM, Vũng Tàu, Cần Thơ, Đồng Nai, Bình Dương. Dung lượng dịch vụ kết nối giữa VDC và Singtel đối với IP-VPN là 5MB. Đối tượng khách hàng hướng tới của VDC và Singtel là những cơng ty hoạt động phân bố trên địa bàn khác nhau và mong muốn tăng kết nối từ xa với chi phí giảm như bảo hiểm, ngân hàng, hàng hải, các doanh nghiệp hoạt động ở khu cơng nghiệp, các văn phịng đại diện của cơng ty nước ngồi.

KẾT LUẬN

Cơng nghệ mạng riêng ảo VPN cho phép tận dụng mơi trường mạng cơng cộng Internet để xây dựng các mạng riêng đảm bảo an ninh. Với những ưu điểm về mặt giá thành, phạm vi hoạt động khơng hạn chế, linh hoạt trong triển khai và mở rộng, VPN là một cơng nghệ hứa hẹn triển vọng thị trường rất lớn.

Đồ án này đã đi sâu tìm hiểu các vấn đề kỹ thuật và mơ hình thực hiện của cơng nghệ IP-VPN. Trong đĩ, đường ngầm là nền tảng của IP-VPN, phạm vi của đồ án này

đã trình bày về các giao thức đường ngầm: PPTP, L2TP và IPSec. PPTP và L2TP là những giao thức đường ngầm được phát triển dựa trên giao thức PPP. Hai giao thức này là các chuẩn đã hồn thiện và các sản phẩm hỗ trợ chúng tương đối phổ biến.

Đối với những ứng dụng yêu cầu an tồn dữ liệu cao thì IPSec là giao thức thích hợp. IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất, cĩ tính linh hoạt cao do khơng bị ràng buộc bởi một phương pháp xác thực cũng như mật mã nào.

Đây được xem là giao thức tối ưu nhất cho IP-VPN và được tìm hiểu một cách chi tiết nhất. Để thực hiện đĩng gĩi dữ liệu, IPSec cĩ hai giao thức đĩng gĩi AH và ESP. Liên kết an ninh SA sẽđịnh ra một tập các tham số, thuật tốn và giao thức đĩng gĩi (là AH hay ESP) cho dữ liệu giữa hai bên. Giao thức trao đổi khĩa IKE đảm bảo vai trị nhận thực các bên tham gia và thỏa thuận liên kết an ninh giữa các bên. Bên cạnh

đĩ, đồ án đã trình bày một số thuật tốn mật mã, xác thực, tồn vẹn dữ liệu là những thuật tốn được dùng kết hợp với IPSec.

Hiện nay, tại Việt Nam cĩ rất nhiều hãng đang cung cấp các giải pháp VPN cho các doanh nghiệp, mỗi hãng cĩ một cấu hình VPN riêng. Theo như đánh giá của nhiều cơng ty thì thị trường VPN Việt Nam cĩ tốc độ phát triển mạnh.

Trong giai đoạn hiện nay, khi xu hướng của mạng viễn thơng là IP hĩa hay chuyển sang mạng thế hệ mới NGN. Một trong những ưu việt của NGN là tích hợp giữa cố định và di động. Vì vậy, trong tương lai IP-VPN sẽ được ứng dụng cho điện thoại di động. Khi đĩ, các dịch vụ viễn thơng sẽ rất linh hoạt, kết hợp giữa truyền hình

ảnh, số liệu và thoại. Đây cũng chính là hướng phát triển tiếp theo của để tài.

Mặc dù đã cố gắng, nhưng do cơng nghệ IP-VPN cĩ nhiều giải pháp để thực hiện và liên quan đến nhiều giao thức và thuật tốn phức tạp, thời gian và trình độ cĩ hạn nên

đồ án này khĩ tránh khỏi thiếu sĩt. Tơi rất mong nhận được ý kiến đĩng gĩp của thầy cơ và bạn bè để cĩ thể sửa đổi, bổ sung cho những vấn đề trình bày trong đồ án này.

Tài liệu tham khảo

1) TCP/IP protocol suite

Behrouz A. Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill

2) Cải tiến giao thức Internet phiên bản 6 (IPv6)

Tạp chí Bưu Chính Viễn Thơng- kỳ 1 tháng 12/2003

3) Cơng nghệ chuyển mạch IP

Chủ biên:TS.Lê Hữu Lập, Biên soạn: Ks.Hồng Trọng Minh Học viện CNBCVT 11/2000

4) Virtual Private Networking and Intranet Security

Copyright © 1999, Microsoft Corperation, Inc

5) Understanding Virtual Private Networking

Copyrignt © 2001, ADTRAN, Inc

6) VPN Technologies: Sefinitions and Requirements

Copỷignt © 2002, VPN Consortium

7) CCSP Cisco Secure VPN Exam Certification Guide

John F. Roland and Mark J. Newcomb Copyright © 2003 Cisco Systems, Inc

8) IPSec

Copyright © 1998, Cisco Systems, Inc

9) Security Protocols Overview

Copyright © 1999, RSA Data Security, Inc

10) Public Key Infranstructure

Copyright © 2001, SecGo Solution Oy.

11) Secure Network Communication (part I, II, III, IV)

Copyright © 2002, Zurcher Hochschule Winterthur.

12) Cisco Secure Virtual Private Networks (Volume 1, 2)

Copyright © 2001, Cisco System, Inc

13) Netscreen Concepts and Examples

Các website chính http:// www.itu.int http:// www.ietf.org http://www.iec.org/tutorial/ http:// www.vpnlabs.org http://www.vpnc.org http:// www.parlay.org/specifications http://techguide.com http://www.vnpt.com.vn/ http://www.vnpost.mpt.gov.vn/ http://www.vnn.vn http://www.home.vnn.vn