VPN phụ thuộ c

Một phần của tài liệu nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo (Trang 37 - 49)

L ỜI MỞ ĐẦU

3.2.1 VPN phụ thuộ c

Trong trường hợp VPN phụ thuộc, nhà cung cấp dịch vụ chịu trách nhiệm về việc cung cấp giải pháp VPN hồn chỉnh. Vì thế nĩ là trách nhiệm của nhà cung cấp dịch vụ để thi hành cơ sở hạ tầng đường hầm và cung cấp tính an tồn và hiệu suất trong khi bảo đảm tính quản lý được của thiết lập. Như vậy thì tổ chức đăng ký cĩ vai trị nhỏ nhất trong loại thực thi VPN này. Bởi vì điều này, tổ chức khơng cần phải thay đổi cơ sở hạ tầng hiện cĩ của nĩ. Hình 3-7 miêu tả cấu trúc của VPN phụ thuộc

Hình 3-7 : Cấu trúc VPN phụ thuộc

Bởi vì sự hiện thực và quản lý VPN hồn chỉnh được thực hiện bởi nhà cung cấp dịch vụ, phương pháp đường hầm là rõ ràng với người sử dụng. Khi một người dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS được đặt tại ISP’s POP xác nhận người dùng. Nếu NAS lưu trữ thơng tin liên quan đến thơng tin thành viên, đặc quyền, và các thơng số đường hầm. Nĩ cĩ thể tự xác nhận các người sử dụng. Tuy nhiên NAS cĩ thể truy vấn một server RADIUS, AAA, hoặc TACACS về các thơng tin liên quan. Sau khi được xác nhận, người sử dụng cuối cùng (người đã khởi tạo một phiên VPN) gởi và nhận các gĩi dữ liệu khơng đường hầm. Các gĩi này được tạo đường hầm hoặc được lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp dịch vụ

bảo đảm độ an tồn của nguồn tại nguyên nội bộ. Như thế thì RADIUS, AAA, và TACACS khơng phải là tuỳ chọn trong ngữ cảnh này. Rất cần thiết để thực hiện các phương pháp an tồn này và tốt nhất là thực hiện nĩ tại mạng nội bộ của tổ chức, cho dù độ tin cậy của nhà cung cấp dịch vụđến đâu đi nữa. Việc thực thi các bức tường lửa ở đây cũng rất quan trọng, vì chúng cĩ chức năng ngăn chặn các truy cập khơng được phép từ mạng nội bộ của tổ chức

3.2.2 VPN độc lp

VPN độc lập thì ngược với VPN phụ thuộc. Ởđây, tồn bộ chức năng của việc thành lập VPN được xử lý bởi tổ chức đăng ký. Vai trị của nhà cung cấp dịch vụ trong trường hợp này là cĩ thể bỏ qua và được giao cho nhiệm vụ xử lý lưu thơng trên internet. Kỹ thuật tạo đường hầm, giải đường hầm và mật mã dữ liệu, giải mã dữ liệu xảy ra ở mạng nội bộ của tổ chức. Hình 3-8 miêu tả cấu trúc của VPN độc lập

Hình 3-8 : Cấu trúc VPN độc lập

VPN độc lập, như trên hình, cung cấp một mức độ an tồn cao và cho phép tổ chức cĩ thể duy trì sựđiều khiển hồn tồn đối với các giao dịch dựa trên VPN. Hầu hết các nhà quản trị xem cách tiếp cận này như là một cách tiếp cận lý tưởng về vấn đề độ an tồn bởi vì tồ chức khơng phải giao sự chịu trách nhiệm của cấu trúc VPN cho một thực thể bên ngồi. Thêm vào đĩ, giá thành tổng cộng của VPN trong nhà khơng lớn hơn nhiều so với VPN phụ thuộc. Tuy nhiên các tiếp cận này thêm vào một nhiệm vụ và ở ngồi tầm kiểm sốt của nhà quản lý mạng

3.2.3 VPN hn hp

Cấu trúc VPN hỗn hợp cung cấp một sự kết hợp các cách tiếp cận VPN độc lập và phụ thuộc. Cách tiếp cận này được sử dụng khi tổ chức khơng giao giải pháp VPN

được thực hiện và điều khiển bởi tổ chức trong khi phần cịn lại được thực hiện và quản lý bởi nhà cung cấp dịch vụ, như Hình 3-9.

Hình 3-9 : VPN hỗn hợp, cĩ sự tham gia điều khiển của người dùng và nhà cung cấp dịch vụ

Một cách tiếp cận khác tới VPNs hỗn hợp như trên Hình 3-10, tổ chức giao giải pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấp dịch vụ kiểm sốt tồn bộ thiết lập như trong cấu trúc phụ thuộc. Như vậy thì, khơng cĩ nhà cung cấp dịch vụ nào cĩ thể kiểm sốt hồn tồn cấu trúc hồn chỉnh và theo cách này, tổ chức cĩ thể thực hiện một VPN phụ thuộc mà khơng cần thêm nhiệm vụ quản lý VPN. Mặc dù cách tiếp cận này về mặt quản lý thì hơi phức tạp, nĩ cho phép tổ chức loại bỏđược sựđộc quyền của một nhà cung cấp dịch vụ. Lợi điểm lớn nhất của tách tiếp cận này là nĩ tạo nên sự sẵn sàng, nếu một kết nối ISP bị trục trặc, bạn vẫn cịn những kết nối khác.

3.3 Đánh giá các loi VPN da trên độ an tồn

Mặc dù VPN là các giải pháp an tồn, dựa trên mức độ an tồn ta cĩ thể phân ra thành các loại VPN sau: VPN router tới router, VPN tường lửa tới tường lửa, VPN được khởi tạo bởi khách hàng, VPN trực tiếp.

3.3.1 VPN router ti router

VPN router tới router cho phép tạo một kết nối an tồn giữa các văn phịng của một tổ chức lại với nhau thơng qua mạng Internet. VPN router tới router cho phép các sự hiện thực sau :

Đường hầm đơn giao thức theo yêu cầu: trong cách thực hiện này, một đường hầm an tồn được thiết lập giữa các router được ở bên phía khách hàng và bên phía trung tâm như Hình 3-11. Các loại đường hầm này cĩ thể hỗ trợ nhiều loại kết nối đồng thời và duy trì cho tới khi kết nối cuối cùng đã xong. Để kết nối thành cơng đường hầm theo yêu cầu router tới router, các router tại cả hai đầu phải hỗ trợ các các tính năng VPN, như thuật tốn mã hĩa và cách thức trao đổi khĩa. Một bất lợi lớn của phương pháp này là các đường hầm router tới router này phụ thuộc vào mạng nội bộ của nhà cung cấp dịch vụđã chọn hoặc giao thức đường hầm .

Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router

Đường hầm đa giao thức theo yêu cầu. Cách tạo đường hầm này là sự mở rộng logic của các đường hầm đơn giao thức theo yêu cầu vì nĩ hỗ trợ nhiều giao thức đường hầm giữa hai vùng thơng qua internet. Khi một khách hàng khơng cĩ IP yêu cầu thiết lập một phiên VPN, một đường hầm “trong suốt”, đường hầm này khơng rõ ràng cho bất cứ giao thức đường hầm nào. Đường hầm này được thiết lập giữa các router tại hai đầu cuối như Hình 3-12. Sau đĩ các dữ liệu khơng IP được đĩng gĩi trong đường

Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router

Các phiên mã hĩa theo yêu cầu. Với cách thực hiện này, một đường hầm riêng biệt cho mỗi yêu cầu được thiết lập giữa các router tại hai đầu, mặc dù nhiều yêu cầu kết nối được được phát ra ở cùng một nơi. Hình 3-13 mơ tả các phiên được mã hĩa dựa trên yêu cầu giữa hai router. Kết quả là nhiều đường hầm riêng rẽ tồn tại đồng thời đồng thời kết nối hai vùng lại với nhau. Mỗi phiên được mã hĩa khác nhau. Bất lợi chính của cấu trúc VPN này là nĩ tạo ra chi phí khá lớn.

Hình 3-13 : Các phiên VPN mã hĩa theo yêu cầu

3.3.2 VPN tường la ti tường la

Khơng giống cấu trúc VPN router tới router, VPN tường lửa tới tường lửa được thiết lập giữa 2 tường lửa. VPN tường lửa tới tường lửa cĩ thể được thực hiện theo 2 cách sau :

Đường hầm đơn giao thức theo yêu cầu. Như Hình 3-14, cách thực hiện tường lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêu cầu router tới router ngoại trừ rằng việc các bức tường lửa được sử dụng ở hai đầu. Với cách làm này thì dữ liệu sẽ cĩ một độ an tồn cao hơn. Khi cần, các nhà quản trị mạng cĩ thể thêm vào các điều kiện bảo mật chặt chẽ hơn. Với sự hỗ trợ của tường lửa, lưu lượng cĩ thể được kiểm sốt chặt chẽ hơn.

Hình 3-14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa Đường hầm đa giao thức theo yêu cầu. Cách thực hiện tường lửa tới tường lửa chỉ ra các vấn đề liên quan tới sự khác nhau giữa các bức tường lửa được sử dụng ở hai đầu giao tiếp; các bức tường lửa khác nhau khơng thể truyền thơng thành cơng trong mơi trường VPN. Các bức tường lửa ở cả 2 đầu phải hỗ trợ các giao thức giống nhau để lọc luồng lưu thơng thuộc về các giao thức khác nhau. Giao thức IPSec được sử dụng cho mục đích này vì nĩ hỗ trợ các đường hầm đa giao thức cũng như các bức tường lửa. Tuy nhiên, yêu cầu trong trường hợp này là đầu cịn lại cũng phải dựa trên IPSec. Hình 3-15 mơ tả các đường hầm tương lửa tới tường lửa đa giao thức dựa trên yêu cầu.

3.3.3 VPN được khi to bi khách hàng :

Đối với loại VPN được khởi tạo bởi khách hàng thì kỹ thuật mã hĩa và quản lý đường hầm được thiết lập từ phía khách hàng VPN. Như vậy, các khách hàng VPN đĩng vai trị quan trọng trong việc khởi tạo các đường hầm. Loại VPN này cĩ thểđược phân nhỏ ra thành hai loại sau:

VPN được khởi tạo từ khách hàng tới tường lửa hoặc router. Theo cách thực hiện này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên Hình 3-16. Tường lửa trong trường hợp này phải hỗ trợ việc xử lý các yêu cầu khởi tạo bởi khách hàng cho một phiên VPN. Cách làm này tạo ra một quá trình xử lý khổng lồ lên khách hàng vì sự quản lý, phân phối khĩa và độ an tồn đưa đến việc xử lý cĩ độ phức tạp cao. Thêm vào đĩ, khách hàng phải đối mặt với các vấn đề khác để cĩ thích ứng với các hệđiều hành và các nền cấu trúc khác nhau của hệ thống.

Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router VPN được khởi tạo từ khách hàng tới máy chủ. Với cách thực hiện tường lửa tới tường lửa, một phiên VPN từđầu này đến đầu kia được thiết lập giữa người đặt ra yêu cầu và bộ xử lý yêu cầu như trên Hình 3-17. Phương thức này tạo ra một nhiệm vụ xử lý khổng lồở phía khách hàng. Tuy nhiên nĩ cĩ độ an tồn hơn nhiều so với VPN khởi tạo từ khách hàng tới tường lửa vì nhà cung cấp dịch vụ trung gian hồn tồn khơng hề biết về sự tồn tại của đường hầm. Điều này giảm nguy cơ của sự tấn cơng đường hầm.

Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ

3.3.4 VPN trc tiếp

Khơng giống các loại cấu trúc VPN khác, VPN trực tiếp khơng tạo ra các đường hầm truyền hai hướng. Thay vào đĩ một đường hầm một hướng truyền duy nhất được thiết lập giữa hai đầu cuối truyền thơng như Hình 3-18. Dữ liệu được mã hĩa trong VPN trực tiếp tại lớp thứ 5 của mơ hình OSI - tức lớp phiên. Giao thức thường được dùng cho mục đích này là SOCKS v5.

Hình 3-18 : Kiến trúc VPN trực tiếp

Khi so sánh với đường hầm hai chiều, cấu trúc VPN trực tiếp cung cấp độ an tồn cao hơn theo các cách sau:

Trong mối quan hệ tin cậy hai chiều, khi một hacker thành cơng trong việc truy cập vào một mạng, tất cả các mạng nối kết đều bịảnh hưởng, bởi vì hacker cĩ thể truy

cập vào các mạng nối kết này với các lỗ hỏng bảo mật trong đường hầm hai chiều. Nếu hacker đã lấy đuợc thơng tin của một chiều thì nĩ cĩ thể mạo danh để lấy thơng tin của chiều cịn lại. Nhưng điều này khơng thể thực hiện trong trường hợp VPN trực tiếp. Do dịng lưu thơng chỉ cĩ một hướng trong VPN trực tiếp nên khi một hacker đã cĩ thể truy cập vào một bên của truyền thơng, xác suất của sựđe dọa sự an tồn chỉ cịn một nửa do việc sử dụng các đường hầm một chiều.

Điều khiển truy nhập trong cách tiếp cận bằng đường hầm hai chiều được dựa trên địa chì nguồn và địa chỉ đích. Trái lại, sự điều khiển truy cập trong VPN trực tiếp cĩ thể dựa vào khơng những địa chỉ nguồn và địa chỉ đích mà cịn dựa vào các thơng số cơ bản khác như ID người sử dụng, thời gian và ứng dụng. VPN trực tiếp cĩ thể dựa trên nội dung của các gĩi dữ liệu để điều khiển truy nhập.

Sự chứng thực người sử dụng thì chặt chẽ hơn trong trường hợp VPN trực tiếp bởi vì cĩ sự thêm vào của các máy chủ RADIUS, các router, các gateway và các tường lửa để chứng thực người dùng ở xa, máy chủ VPN cũng như khách hàng VPN cũng cĩ khả năng chứng thực cho đầu kia. Điều này thì khơng cĩ trong trường hợp các cấu trúc VPN khác. Trong các trường hợp khác, các yêu cầu VPN được cho qua đường hầm qua một chuỗi các thiết bị trung gian như NAS, chuỗi các router, bức tường lửa, v.v.. cái thiết bị này sẽ chứng thực cho đầu cuối VPN dựa trên địa chỉ IP nguồn và đích. Với phương pháp đường hầm hai chiều được sử dụng thì các hacker rất dễ dàng nhái một địa chỉ IP và chúng sẽ dùng địa chỉ này để thâm nhập vào hệ thống.

Mã hĩa trong VPN trực tiếp được dựa trên lớp phiên, lớp này được hỗ trợ các kỹ thuật mã hĩa đa dạng khác nhau. Do đĩ, mã hố trong VPN trực tiếp thì phức tạp hơn so với các cấu trúc VPN khác.

3.4 Đánh giá VPN da theo lp

Dựa trên mơ hình OSI các loại VPN cĩ thểđược xếp vào một trong hai loại lớn sau: VPN lớp liên kết, VPN lớp mạng.

3.4.1 VPN lp liên kết

VPN lớp liên kết sử dụng kết nối ở lớp liên kết. Các giao dịch ở VPN lớp liên kết bị giới hạn ở mạng cục bộ vì chúng sử dụng địa chỉ MAC; vì vậy VPN lớp liên kết cĩ chức năng tương tự như một mạng cá nhân.

Dựa trên kỹ thuật lớp liên kết, VPN lớp liên kết cĩ 4 loại sau :

Các kết nối Frame Relay ảo: các kết nối ảo dựa trên Frame Delay sử dụng cơ sở hạ tầng chuyển mạch của các mạng cá nhân, mà chúng kết nối. Sự khác biệt chính giữa

dịch được chỉnh phù hợp với ứng dụng và yêu cầu tín hiệu. Thuận lợi chính của VPN loại này là nĩ khơng đắt và đảm bảo được CIR(Committed Information Rate).

Các kết nối ảo VPN. Các kết nối ảo VPN thì tương tự như các kết nối ảo dựa trên Frame Delay. Tuy nhiên các kết nối này sử dụng cơ sở hạ tầng ATM của mạng cá nhân. Các kết nối ảo này cũng thiếu một sự đồng bộ clock dữ liệu. Các kết nối ảo ATM thì tương đối nhanh hơn và cho hiệu suất tốt hơn. Vì thế, Các kết nối ATM ảo, thì mắc hơn các kết nối ảo Frame Delay.

Đa giao thức trên ATM (MPOA). Các kết nối VPN dựa trên MPOA hồn tồn dựa trên cơ sở hạ tầng của ATM. Tuy nhiên chúng cĩ thể hỗ trợ đa giao thức bởi vì chúng phụ thuộc vào các router đặt tại cạnh của mạng cá nhân để xác định đường truyền thuận trong mạng ATM. Cách tiếp cận này thì khơng được phổ biến vì dựa trên cơ sở hạ tầng ATM, cái mà khơng thể chấp nhận một mạng nội bộ hỗn hợp sử dụng nhiều kỹ thuật mạng khác nhau .

Chuyển mạch đa giao thức (MPLS). MPLS cung cấp một phương pháp hiệu quảđể triển khai VPNs dựa trên IP qua ATM dựa trên backbone WAN. Trong MPLS, router MPLS VPN tạo nên các bảng định tuyến chuyên biệt VPN sử dụng các giao thức định tuyến VPN bao gồm BGP, v.v... Mỗi router được cấp phát một nhãn. Thơng

Một phần của tài liệu nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo (Trang 37 - 49)

Tải bản đầy đủ (PDF)

(70 trang)