Mô hình mạng riêng ảo thông dụng

Một phần của tài liệu Nghiên cứu và thử nghiệm hạ tầng pki, mạng riêng ảo vpn áp dụng cho trường đại học văn hóa thể thao và du lịch (Trang 45 - 52)

2.3.1. Các yêu cầu bảo mật của VPN

Mạng riêng ảo đảm bảo các yêu cầu say đây:

- Xác thực: Đảmbảo rằng dữ liệu đến đúng từ nơi được yêu cầu. Tức là hai bên phải xác thực lẫn nhau rằng mình đang trao đổi thông tin với đúng người mình mong muốn chứ không phải người khác.

- Kiểm soát truy cập: Hạn chế người sử dụng không được phân quyền có thể

truy cập vào các nguồn tại nguyên trên mạng.

- Tính bí mật dữ liệu: Mục đích là bảo vệ dữ liệu không bị người khác đọc hoặc khi nó đang được truyền trên mạng.

- Tính toàn vẹn dữ liệu: Đảm bảo rằng dữu liệu không bị giả mạo hay xáo trộn khi nó được truyền qua mạng.

2.3.2. Các dạng của VPN

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 45

- Người sử dụng từ xa có thể truy cập vào tài nguyên mạng của đơn vị ở bất kỳ thời gian nào.

- Cho phép kết nối nội bộ giữ của các cơ sở, đơn vị ở xa nhau.

- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể bên ngoài khác mà đó là điều quan trọng của các tổ chức hay cơ quan.

* Dựa vào các yêu cầu cơ bản trên, VPN được chia thành 3 loại:

- Mạng VPN truy cập từ xa (Remote Access VPN). - Mạng VPN mở rộng.

- Mạng VPN cục bộ.

2.3.2.1. Mạng VPN truy nhập từ xa (Remote Access VPN)

VPN truy cập từ xa cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay

dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.

VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty.

Theo mô hình mạng truyền thống(khi chưa thực hiện giải pháp VPN remote

access ) để người dùng có thể truy nhập từ xa yêu cầu:

+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy nhập từ xa.

+ Kết nối Dialup tới mạng trung tâm

+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 46

Hình 2.1. Thiết lập truy nhập từ xa không có VPN

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet.

Hình 2.2. Thiết lập VPN truy nhập từ xa

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 47

a. Mạng VPN cục bộ (Intranet VPN)

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống.

Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó.

Theo mô hình mạng truyền thống (không sử dụng công nghệ VPN), mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian.

Hình 2.3. Thiết lập Intranet sử dụng WAN

Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn thì chi phí

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 48

Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ

Intranet.

Hình 4.4. Thiết lập Intranet dựa trên VPN

* Ưu điểm của việc thiếp lập dựa trên VPN là:

- Loại trừ được các Router từ đường WAN xương sống.

- Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới.

- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động

Intranet.

* Nhược điểm:

- Vì dữ liệu được địnhđường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng.

- Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.

- Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và

thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.

- Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo.

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 49

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống.

Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp.

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 50

Hình 2.5. Mạng Extranet truyền thống

Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau.Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng.

Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể.

Hình 2.6. Mạng Extranet dựa trên VPN

* Ưu điểm chính của Extranet VPN là:

+ Chi phí rất nhỏ so với cách thức truyền thống. + Dễ thực thi, duy trì và dễ thay đổi

+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn

+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống.

* Nhược điểm:

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 51

+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức

+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia.

+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm

Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN

vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”

Một phần của tài liệu Nghiên cứu và thử nghiệm hạ tầng pki, mạng riêng ảo vpn áp dụng cho trường đại học văn hóa thể thao và du lịch (Trang 45 - 52)

Tải bản đầy đủ (PDF)

(95 trang)