5. 4M ng chuy nm ch gói X2
7.3.3Các l oi Firewall
Firewall l c gói th ng là m t b đnh tuy n có l c. Khi nh n m t gói d li u, nó quy t đnh cho phép qua ho c t ch i b ng cách th m tra gói tin đ xác đnh quy t c l c gói d a vào các thông tin c a Header đ đ m b o quá trình chuy n phát IP.
Firewall c ng m ng hai ng n là lo i Firewall có hai c a n i đ n m ng khác. Ví d m t c a n i t i m t m ng bên ngoài không tín nhi m còn m t c a n i t i m t m ng n i b có th tín nhi m. c đi m l n nh t Firewall lo i này là gói tin IP b ch n l i.
Firewall che ch n (Screening) máy ch b t bu c có s k t n i t i t t c máy ch bên ngoài v i máy ch kiên c , không cho phép k t n i tr c ti p v i máy ch n i b . Firewall che ch n máy ch là do b đnh tuy n l c gói và máy ch kiên c h p thành. H th ng Firewall có c p an toàn cao h n so v i h th ng Firewall l c gói thông th ng vì nó đ m b o an toàn t ng m ng (l c gói) và t ng ng d ng (d ch v đ i lý).
Firewall che ch n m ng con: H th ng Firewall che ch n m ng con dùng hai b đnh tuy n l c gói và m t máy ch kiên c , cho phép thi t l p h th ng Firewall an toàn nh t, vì nó đ m b o ch c n ng an toàn t ng m ng và t ng ng d ng.
7.3.4. K thu t Fire wall
L c khung (Frame Filtering): Ho t đ ng trong t ng 2 c a mô hình OSI, có th l c, ki m tra đ c m c bit và n i dung c a khung tin (Ethernet/802.3, Token Ring 802.5, FDDI,...). Trong t ng này các khung d li u không tin c y s b t ch i ngay tr c khi vào m ng
L c gói (Packet Filtering): Ki u Firewall chung nh t là ki u d a trên t ng m ng c a mô hình OSI. L c gói cho phép hay t ch i gói tin mà nó nh n đ c. Nó ki m tra toàn b đo n d
li u đ quy t đnh xem đo n d li u đó có tho mãn m t trong s các quy đnh c a l c Packet hay không. Các quy t c l c Packet d a vào các thông tin trong Packet Header.
N u quy t c l c Packet đ c tho mãn thì gói tin đ c chuy n qua Firewall. N u không s b b đi. Nh v y Firewall có th ng n c n các k t n i vào h th ng, ho c khoá vi c truy c p vào h th ng m ng n i b t nh ng đa ch không cho phép.
M t s Firewall ho t đ ng t ng m ng (t ng t nh m t Router) th ng cho phép t c đ x lý nhanh vì ch ki m tra đa ch IP ngu n mà không th c hi n l nh trên Router, không xác đnh đa ch sai hay b c m. Nó s d ng đa ch IP ngu n làm ch th , n u m t gói tin mang đa ch ngu n là đa ch gi thì nó s chi m đ c quy n truy nh p vào h th ng. Tuy nhiên có nhi u bi n pháp k thu t có th đ c áp d ng cho vi c l c gói tin nh m kh c ph c nh c đi m trên, ngoài tr ng đa ch IP đ c ki m tra, còn có các thông tin khác đ c ki m tra v i các quy t c đ c t o ra trên Firewall, các thông tin này có th là th i gian truy nh p, giao th c s d ng, c ng ...
Firewall ki u Packet Filtering có 2 lo i:
a. Packet filtering Fire wall: Ho t đ ng t i t ng m ng c a mô hình OSI hay t ng IP trong mô hình TCP/IP. Ki u Firewall này không qu n lý đ c các giao d ch trên m ng.
b. Circuit Level Gateway: Ho t đ ng t i t ng phiên (Session) c a mô hình OSI hay t ng TCP trong mô hình TCP/IP. Là lo i Firewall x lý b o m t giao d ch gi a h th ng và ng i dùng cu i (VD: ki m tra ID, m t kh u...) lo i Firewall cho phép l u v t tr ng thái c a ng i truy nh p.
7.3.5. K thu t Proxy
Là h th ng Firewall th c hi n các k t n i thay cho các k t n i tr c ti p t máy khách yêu c u.Proxy ho t đ ng d a trên ph n m m. Khi m t k t n i t m t ng i s d ng nào đó đ n m ng s d ng Proxy thì k t n i đó s b ch n l i, sau đó Proxy s ki m tra các tr ng có liên quan đ n yêu c u k t n i. N u vi c ki m tra thành công, có ngh a là các tr ng thông tin đáp ng đ c các quy t c đã đ t ra, nó s t o m t c u k t n i gi a hai node v i nhau. u đi m c a ki u Firewall lo i này là không có ch c n ng chuy n ti p các gói tin IP, và có th đi u khi n m t cách chi ti t h n các k t n i thông qua Firewall. Cung c p nhi u công c cho phép ghi l i các quá trình k t n i. Các gói tin chuy n qua Firewall đ u đ c ki m tra k l ng v i các quy t c trên Firewall, đi u này ph i tr giá cho t c đ x lý.
Khi m t máy ch nh n các gói tin t m ng ngoài r i chuy n chúng vào m ng trong, s t o ra m t l h ng cho các k phá ho i (Hacker) xâm nh p t m ng ngoài vào m ng trong. Nh c đi m c a ki u Firewall này là ho t đ ng d a trên trình ng d ng u quy n (Proxy).
7.4. M ng riêng o VPN (Virtual Private Networks) 7.4.1. Khái ni m m ng riêng o 7.4.1. Khái ni m m ng riêng o
M ng máy tính ban đ u đ c tri n khai v i 2 k thu t chính: đ ng thuê riêng (Leased Line) cho các k t n i c đnh và đ ng quay s (Dial-up) cho các k t n i không th ng xuyên. Các m ng này có tính b o m t cao, nh ng khi l u l ng thay đ i và đòi h i t c đ cao nên đã thúc đ y hình thành m t ki u m ng d li u m i, m ng riêng o. M ng riêng o đ c xây d ng trên các kênh lôgích có tính “ o”. Xu h ng h i t c a các m ng trên n n NGN t o đi u ki n cho s xu t hi n nhi u d ch v m i, trong đó có d ch v m ng riêng o.
M ng riêng o là m t m ng máy tính, trong đó các đi m c a khách hàng đ c k t n i v i nhau trên m t c s h t ng chia s v i cùng m t chính sách truy nh p và b o m t nh trong m ng riêng. Có 2 d ng chính m ng riêng o VPN là: Remote Access VPN , Site - to - Site VPN (Intranet VPN và Extranet VPN).
Remote Access VPN (Client - to - LAN VPN) cho phép th c hi n các k t n i truy nh p t xa đ i v i ng i s d ng di đ ng (máy tính cá nhân ho c các Personal Digital Assistant) v i m ng chính (LAN ho c WAN) qua đ ng quay s , ISDN, đ ng thuê bao s DSL.
Site- to - Site VPN dùng đ k t n i các m ng t i các v trí khác nhau thông qua k t n i VPN. Có th chia lo i này ra 2 lo i khác: Intranet VPN và Extranet VPN. Intranet VPN k t n i các v n phòng xa v i tr s chính th ng là các m ng LAN v i nhau. Extranet VPN là khi Intranet VPN c a m t khách hàng m r ng k t n i v i m t Intranet VPN khác.
B o m t là m t y u t quan tr ng b o đ m cho VPN ho t đ ng an toàn và hi u qu . K t h p v i các th t c xác th c ng òi dùng, d li u đ c b o m t thông qua các k t n i đ ng h m (Tunnel) đ c t o ra tr c khi truy n d li u. Tunnel là k t n i o đi m - đi m (Point to Point) và làm cho m ng VPN ho t đ ng nh m t m ng riêng. D li u truy n trên VPN có th đ c mã hoá theo nhi u thu t toán khác nhau v i các đ b o m t khác nhau. Ng i qu n tr m ng có th l a ch n tu theo yêu c u b o m t và t c đ truy n d n. Gi i pháp VPN đ c thi t k phù h p cho nh ng t ch c có xu h ng t ng kh n ng thông tin t xa, các ho t đ ng phân b trên ph m vi đa lý r ng và có các c s d li u, kho d li u, h th ng thông tin dùng riêng v i yêu c u đ m b o an ninh cao.
Ch t l ng d ch v QoS, các tho thu n (Service Level Agreement-SLA) v i các ISP liên quan đ n đ tr trung bình c a gói trên m ng, ho c kèm theo ch đnh v gi i h n d i c a b ng thông. B o đ m cho QoS là m t vi c c n đ c th ng nh t v ph ng di n qu n lý đ i v i các ISP. T t c các giao th c s d ng trong m ng VPN, các gói d li u IP đ c mã hoá (RSA RC-4 trong PPTP ho c mã khóa công khai khác trong L2TP, IPSec) và sau đó đóng gói (ESP), thêm tiêu đ IP m i đ t o đ ng h m trên m ng IP công c ng. Nh v y, khi gói tin MTU b th t l c trên m ng IP công c ng thì thông tin trong đó đã đ c mã hoá nên k phá ho i khó có th dò tìm thông tin th c s ch a trong b n tin. Trong các giao th c PPTP và L2TP, mã hoá gói tin đã đ c th c hi n t ng i dùng cho đ n máy ch c a VPN. Vi c m t mát gói tin d n đ n vi c ph i truy n l i toàn b gói tin, đi u này gây nên đ tr chung đ i v i VPN và nh h ng đ n QoS c a m ng VPN.
7.4.2. Ki n trúc c a m ng riêng o
Hai thành ph n c b n c a Internet t o nên m ng riêng o VPN, đó là:
• ng h m (Tunnelling) cho phép làm “ o” m t m ng riêng.
A B 1 2 A B A B a ch ngu n a ch đích ClientA Server Security Gateway 1 Security Gateway 2 c mã hoá Internet
Data DataData
Hình 7.3: C u trúc m t đ ng h m
ng h m: là k t n i gi a 2 đi m cu i khi c n thi t. Khi k t n i này s đ c gi i phóng khi không truy n d li u dành b ng thông cho các k t n i khác. K t n i này mang tính lôgích “ o” không ph thu c vào c u trúc v t lý c a m ng. Nó che gi u các các thi t b nh b đnh tuy n, chuy n m ch và trong su t đ i v i ng i dùng.
Client VPN Server Security Gateway 1 Security Gateway 2 LAN Internet (adsbygoogle = window.adsbygoogle || []).push({});
Hình 7.4: ng h m trong các c u trúc LAN và Client.
ng h m đ c t o ra b ng cách đóng gói các gói tin (Encapsulate) đ truy n qua Internet. óng gói có th mã hoá gói g c và thêm vào tiêu đ IP m i cho gói. T i đi m cu i, c ng
nh d ng gói tin t o đ ng h m: IP Header, AH, ESP, Tiêu đ và d li u.
ng h m có 2 lo i: Th ng tr c (Permanent) và t m th i (Temporary hay Dynamic). Thông th ng các m ng riêng o VPN s d ng d ng đ ng h m đ ng. ng h m đ ng r t hi u qu cho VPN, vì khi không có nhu c u trao đ i thông tin thì đ c hu b . ng h m có th k t n i 2 đi m cu i theo ki u LAN- to - LAN t i các c ng b o m t (Security Gateway), khi đó ng i dùng trên các LAN có th s d ng đ ng h m này. Còn đ i v i tr ng h p Client- to - LAN, thì Client ph i kh i t o vi c xây d ng đ ng h m trên máy ng i dùng đ thông tin v i c ng b o m t đ đ n m ng LAN đích.
7.4.3. Nh ng u đi m c a m ng VPN
Chi phí: Công ngh VPN cho phép ti t ki m đáng k chi phí thuê kênh riêng ho c các cu c g i đ ng dài b ng chi phí cu c g i n i h t. H n n a, s d ng k t n i đ n ISP còn cho phép v a s d ng VPN v a truy nh p Internet. Công ngh VPN cho phép s d ng b ng thông đ t hi u qu cao nh t. Gi m nhi u chi phí qu n lý, b o trì h th ng.
Tính b o m t: Trong VPN s d ng c ch đ ng h m (Tunnelling) và các giao th c t ng 2 và t ng 3, xác th c ng i dùng, ki m soát truy nh p, b o m t d li u b ng mã hoá, vì v y VPN có tính b o m t cao, gi m thi u kh n ng t n công, th t thoát d li u.
Truy nh p d dàng: Ng i s d ng trên VPN, ngoài vi c s d ng các tài nguyên trên VPN còn đ c s d ng các d ch v khác c a Internet mà không c n quan tâm đ n ph n ph c t p t ng d i.
7.4.4. Giao th c PPTP (Point to Point Tunnelling Protocol)
PPP là giao th c t ng 2-Data link, truy nh p m ng WAN nh HDLC, SDLC, X.25, Frame Relay, Dial on Demand. PPP có th s d ng cho nhi u giao th c l p trên nh TCP/IP, Novell/IPX, Apple Talk nh s d ng NCP - Network Control Protocol. PPP s d ng Link Control Protocol đ thi t l p và đi u khi n các k t n i. PPP s d ng giao th c xác th c PAP ho c CHAP.
PPTP d a trên PPP đ th c thi các ch c n ng sau: - Thi t l p và k t thúc k t n i vât lý.
- Xác th c ng i dùng - T o gói d li u PPP.
7.4.5. Giao th c L2F (Layer Two Forwarding Protocol)
Giao th c L2FP do hãng Cisco phát tri n, dùng đ truy n các khung SLIP/PPP qua Internet. L2F ho t đ ng t ng 2 (Data Link) trong mô hình OSI. C ng nh PPTP, L2F đ c thi t k nh là m t giao th c Tunnel, s d ng các đnh ngh a đóng gói d li u riêng c a nó đ truy n các gói tin m c 2. M t s khác nhau gi a PPTP và L2F là t o Tunnel trong giao th c L2F không ph thu c vào IP và GRE, đi u này cho phép nó làm vi c v i các môi tr ng v t lý khác nhau.
C ng nh PPTP, L2F s d ng ch c n ng c a PPP đ cung c p m t k t n i truy c p t xa và k t n i này có th đ c đi qua m t tunnel thông qua Internet đ t i đích. Tuy nhiên L2TP đnh ngh a giao th c t o tunnel riêng c a nó, d a trên c c u c a L2F. C c u này ti p t c đnh ngh a vi c truy n L2TP qua các m ng chuy n m ch gói nh X25, Frame Relay và ATM. M c dù nhi u
cách th c hi n L2TP t p trung vào vi c s d ng giao th c UDP trên m ng IP, ta v n có kh n ng thi t l p m t h th ng L2TP không s d ng IP. M t m ng s d ng ATM ho c Frame Relay c ng có th đ c tri n khai cho các tunnel L2TP.
7.4.6. Giao th c L2TP (Layer Two Tunnelling Protocol)
Giao th c L2TP đ c s d ng đ xác th c ng i s d ng Dial-up và Tunnel các k t n i SLIP/PPP qua Internet. Vì L2TP là giao th c l p 2, nên h tr cho ng i s d ng các kh n ng m m d o nh PPTP trong vi c truy n t i các giao th c không ph i là IP, ví d nh là IPX và NETBEUI. L2TP PPP Giao th c AH Qu n lý khoá Giao th c ESP Gi i thu t Mã hoá Gi i thu t Xác th c Hình 7.5: Ki n trúc c a L2TP. LAN Internet L2TP Network Server ISP L2TP Acces Concentratcy
Delivery media Header (IP, ATM,X25) L2TP Header
PPP Framing media Header
PPP, Payload packets Ethernet IP, IPX and NetBeui Datagram
B o m t trong L2TP: Vi c xác th c ng i dùng trong 3 giai đo n: Giai đo n 1 t i ISP, giai đo n 2 và giai đo n 3 (tu ch n) t i máy ch m ng riêng. Trong giai đo n 1, ISP có th s d ng s đi n tho i c a ng i dùng ho c tên ng i dùng đ xác đnh d ch v L2TP và kh i t o k t n i đ ng h m đ n máy ch c a VPN. Khi đ ng h m đ c thi t l p, LAC c a ISP ch đnh m t s nh n d ng cu c g i (Call ID) m i đ đnh d nh cho k t n i trong đ ng h m và kh i t o phiên làm vi c b ng cách chuy n thông tin xác th c cho máy ch VPN. Máy ch VPN ti n hành ti p b c 2 là quy t đnh ch p nh n hay t ch i cu c g i d a vào các thông tin xác th c t cu c g i c a ISP chuy n đ n. Thông tin đó có th mang CHAP, PAP, EAP hay b t c thông tin xác th c