c. SIP Server
4.6. Vấn đề bảo mật cho mạng VPN
4.6.1. Giới thiệu
Ngày nay cỏc doanh nghiệp phỏt triển khụng tập chung mà cú nhiều chi nhỏnh ở nhiều nơi khỏc nhau với như cầu trao đổi dữ liệu giữa cỏc chi nhỏnh và trung tõm lại rất lớn. Vấn đề kết nối cỏc chi nhỏnh với trung tõm qua đường đường line riờng rất phức tạp và nhiều hạn chế. Trong khi mạng internet lại phỏt triển rất mạnh nờn nảy sinh ra mạng VPN để kết nối cỏc chi nhỏnh với nhau rẻ và ổn định cao.
Cú nhiều cỏch phõn loại VPN nhưng cú hai cỏch phổ biến là: Phõn loại theo kiến trỳc dịch vụ (Remote Access VPN, Site to site VPN, Extranet VPN); Phõn loại theo cụng nghệ (Peer to peer, Overlay, lớp 2, lớp 3).
Trong đề tài ta chỉ quan tõm đến 2 giải phỏp VPN ở lớp 3 là Ipsec và SSL.
4.6.2. IPsec VPN: VPN ở lớp mạng
IPSec (Internet Protocol Security) là giao thức mạng về bảo mật và thường được liờn kết với VPN (tất nhiờn cú thể dựng IPsec ở trong mạng cục bộ LAN). IPSec cho phộp việc truyền tải dữ liệu được mó húa an toàn ở lớp mạng (Network Layer) theo mụ hỡnh OSI thụng qua mạng cụng cộng như Internet. VPN lớp mạng đề cập đến những thỏch thức trong việc dựng Internet như là một mụi trường truyền đưa cỏc lưu lượng đa giao thức và nhạy cảm.
Hỡnh 4.15: Giải phỏp IPSec VPN
Việc thiết lập một đường hầm IPSec (IPsec tunnel) giữa hai thực thể, trước tiờn, phải thỏa thuận về chớnh sỏch an ninh (security policy), giải thuật mó húa (encryption algorithm), kiểu xỏc thực (authentication method) sẽ được dựng để tạo kờnh. Trong IPSec tất cả cỏc nghi thức lớp trờn lớp mạng (từ lớp 4) như TCP, UDP, SNMP, HTTP, POP, SMTP,VoIP…đều được mó húa một khi kờnh IPSec được thiết lập.
4.6.3. SSL VPN là gỡ?
Thuật ngữ SSL VPN được dựng để chỉ một dũng sản phẩm VPN mới và phỏt triển nhanh chúng dựa trờn giao thức SSL. Cũng cần núi rừ là bản thõn giao thức SSL khụng mới nhưng liờn kết SSL với VPN là mụ hỡnh mới. Dựng SSL VPN, kết nối giữa người dựng từ xa và tài nguyờn mạng cụng ty thụng qua kết nối HTTPS ở lớp ứng dụng thay vỡ tạo “đường hầm” ở lớp mạng như giải phỏp IPSec. SSL VPN là giải phỏp VPN hướng ứng dụng (application based VPN)[17].
Hỡnh 4.16: Giải phỏp SSL VPN
4.6.4. SSL VPN hay IPsec VPN?
Trước tiờn, cần phải khẳng định là SSL VPN và IPSec VPN khụng phải là hai cụng nghệ loại trừ lẫn nhau. Thường thỡ hai cụng nghệ này đồng thời được triển khai trong cựng một cụng ty. Việc xem xột cỏc khớa cạnh liờn quan đến chi phớ/lợi nhuận (cost/benefit) cũng như cỏc vấn đề cụng nghệ mà hai giải phỏp SSL và IPsec đề cập giỳp cho việc lựa chọn triển khai VPN sẽ trở nờn dễ dàng hơn. Chỳng ta xem xột vấn đề dưới cỏc mặt sau đõy:
Kiểu kết nối, kiểu truy cập: IPSec VPN phự hợp cho cỏc kết nối theo kiểu site-to-site. Nú là sự lựa chọn tốt nhất cho cỏc mạng LAN từ xa kết nối với nhau hay kết nối với mạng trung tõm. Cỏc kết nối yờu cầu băng thụng rộng, hiệu suất cao, dữ liệu lớn, kết nối liờn tục (always on), cố định là đối tượng cung cấp của giải phỏp IPsec VPN truyền thống này. Tuy nhiờn, khi được dựng cho mục đớch truy cập tài nguyờn tập trung từ cỏc vị trớ phõn bố rải rỏc khắp nơi, hay khi người dựng di động từ xa từ cỏc vị trớ cụng cộng ớt tin cậy như sõn bay, nhà ga, khỏch sạn, tiệm cà phờ internet muốn truy cập vào tài nguyờn của cụng ty họ thỡ giải phỏp IPSec VPN tỏ ra nhiều bất cập và đú chớnh là ưu điểm của SSL VPN.
Cú thể lấy một vớ dụ điển hỡnh việc triển khai SSL VPN của Cụng ty Bảo hiểm Việt Nam (Bảo Việt) được trỡnh bày trong hội thảo về An ninh mạng do Cụng ty Juniper Networks tổ chức tại TP. Hồ Chớ Minh ngày 30/11/2004. Giải phỏp SSL VPN của Juniper dựa trờn dũng sản phẩm NetScreen phự hợp nhu cầu của Bảo Việt. Bảo Việt cú hàng ngàn cỏc đại lý bảo hiểm rải khắp cỏc tỉnh thành trong cả nước, từ đú cú hàng trăm cỏc kết nối di động đến Trung tõm dữ liệu của Bảo Việt. Do đú giải phỏp SSL VPN là rất phự hợp. Tuy nhiờn, Bảo Việt dự tớnh xõy dựng thờm một trung tõm dữ liệu thứ hai và việc kết nối hai trung tõm này (dạng site-to-site) qua mụi trường
Phần mềm khỏch (Client software): IPSec VPN yờu cầu cần phải cú phần mềm client cài đặt tại cỏc mỏy tớnh để bàn hoặc mỏy tớnh xỏch tay. Điều này làm hạn chế tớnh linh động của người dựng vỡ khụng thể kết nối VPN nếu khụng cú phần mềm IPSec client được nạp. Trong khi với giải phỏp SSL VPN, chỉ cần hệ điều hành cú tớch hợp một trỡnh duyệt (browser) bất kỳ hỗ trợ SSL là thực hiện được một kết nối an toàn. Sự cú mặt khắp nơi của trỡnh duyệt trờn tất cả cỏc thiết bị từ mỏy tớnh đến PDA, điện thoại thụng minh… làm cụng nghệ VPN dựa trờn SSL dễ triển khai hơn.
Vỡ cần phải cài phần mềm IPsec client trờn cỏc thiết bị truy cập từ xa, nờn điều này làm tăng thờm chi phớ quản trị, cấu hỡnh. Với một cụng ty cú hàng trăm, thậm chớ hàng ngàn người dựng từ xa thỡ việc cài đặt, quản lý, hỗ trợ người dựng trong giải phỏp IPSec là cụng việc tốn nhiều thời gian, cụng sức, tài nguyờn và tiền bạc của cụng ty. SSL VPN thật sự là giải phỏp hiệu quả trong trường hợp này.
Độ tin cậy của thiết bị truy nhập mạng từ xa: Với IPSec VPN, người dựng từ xa hay mạng LAN từ xa kết nối với trung tõm cú thể dễ dàng truy cập đến toàn bộ tài nguyờn mạng như thể họ đang ngồi tại trung tõm. Vỡ vậy, cỏc thiết bị hay mạng từ xa phải tin cậy (trusted), mặt khỏc vỡ cỏc thiết bị truy cập được quản lý và cài đặt cấu hỡnh nờn IPSec VPN đỏp ứng nhu cầu này. Tuy nhiờn, mọi việc trở nờn khú khăn nếu như chỳng ta cung cấp giải phỏp này cho người dựng từ xa khụng cú độ tin cậy tương tự và cỏc thiết bị truy cập đa dạng như PDA, điện thoại thụng minh (smart phone) khụng do chỳng ta quản lý hay cài đặt cấu hỡnh IPSec client (Bảng dưới).
Bảng 4.3: So sỏnh IPSec VPN và SSL VPN theo quan điểm kiểu kết nối
Kiểm soỏt truy cập (Access Control): IPSec VPN được thiết kế để mở rộng phạm vi của mạng LAN. Người dựng ở cỏc chi nhỏnh văn phũng cũng muốn truy cập khụng hạn chế tài nguyờn mạng một cỏch hiệu quả, đũi hỏi cỏc chớnh sỏch an ninh của mạng từ xa cũng tương tự như của mạng tại trung tõm. Do đú cỏc giải phỏp IPSec
được ỏp dụng rất hiệu quả cho mụ hỡnh site-to-site. Sự việc sẽ khỏc đi nếu chỳng ta cho phộp cỏc nhõn viờn thường xuyờn di chuyển, cỏc đại lý, cỏc nhà cung cấp, nhà thầu, cỏc đối tỏc thương mại kết nối vào mạng chỳng ta. Và giải phỏp SSL VPN là một lựa chọn hợp lý nhằm giảm thiểu nguy cơ đến từ cỏc kết nối này nhờ cơ chế kiểm soỏt chi tiết (granular access control)[18].
Độ bảo mật (security): Khi so sỏnh SSL VPN và IPsec VPN thường cú cõu hỏi được đặt ra “Giao thức nào an toàn hơn?”. Thật ra, cả hai nghi thức bảo mật này đều hoàn tất nhiệm vụ tương tự. Chỳng đều cung cấp một phương phỏp trao đổi khúa an toàn (secure key exchange) và phương phỏp mó húa mạnh. Mặc dự hai cụng nghệ khỏc nhau, tiến hành thiết lập, triển khai trờn cỏc hệ thống theo cỏc phương thức khỏc nhau, thế nhưng chỳng đều chia sẻ chung một số đặc trưng cơ bản đú là cơ chế mó húa mạnh, dựng khúa phiờn (session key), khả năng xỏc thực sử dụng cỏc phương phỏp, cụng nghệ như: Triple DES, 128-bit RC4, MD5, SHA1, RADIUS, Active Directory, LDAP, X.509.
Tương thớch Firewall, NAT: Việc kết nối IPSec thụng qua Firewall cũng là một khú khăn. IPSec dựng cỏc giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu Firewall của ISP ngăn khụng cho hai nghi thức này đi qua hoặc ngăn cổng UDP mà IKE (Internet Key Exchange) dựng để thương lượng cỏc thụng số bảo mật trước khi kết nối thỡ IPSec khụng thể thực hiện được. Một thỏch thức khỏc là sự khụng tương thớch của IPSec với dịch địa chỉ mạng NAT (Network Address Translation). Trong khi đú, giải phỏp SSL VPN tương thớch hoàn toàn với Firewall, NAT hay server proxy.
Ứng dụng: IPSec VPN hỗ trợ tất cả cỏc ứng dụng trờn nền tảng IP. Một khi kờnh IPSec được thiết lập, tất cả cỏc dịch vụ ứng dụng từ cỏc ứng dụng truyền thống như web, thư điện tử, truyền tệp đến cỏc ứng dụng khỏc như ICMP, VoIP, SQL, .net, Citrix ICA, cỏc ứnh dụng đa dịch vụ… đều cho phộp đi ngang qua kờnh này. Đõy là một ưu điểm của IPSec VPN, nhất là IPSec VPN cú thể cung cấp kết nối an toàn cho cỏc ứng dụng khụng dựa trờn nền Web (non Web-based applications). Vỡ vậy, cỏc mỏy khỏch (client) dựng IPSec thực hiện kết nối VPN được gọi là fat-client do khả năng cung ứng nhiều dịch vụ và ứng dụng. Trong khi đú, khả năng truy cập cỏc ứng dụng, dịch vụ của giải phỏp SSL VPN dường như hạn chế hơn. SSL VPN cung cấp cỏc ứng dụng trờn nền Web (Web-based application), cỏc ứng dụng e-mail (POP3/IMAP/SMTP). Cỏc mỏy khỏch (client) chỉ cần dựng trỡnh duyệt (browser) cú hỗ trợ SSL thực hiện kết nối VPN mà khụng cần cài đặt phần mềm client nờn được gọi là clientless hoặc thin-client. Đa số cỏc giải phỏp SSL VPN khụng cung cấp cỏc ứng dụng dựng cổng TCP động như FTP hay VoIP. Hiện nay, mọi người vẫn chỉ biết đến SSL VPN chỉ hỗ trợ cỏc ứng dụng trờn nền Web. Thật ra, SSL VPN hỗ trợ cả cỏc ứng
như Terminal Services (RDP protocol) hoặc ứng dụng chia sẻ tệp CIFS (Common Internet File Service), Citrix ICA… (riờng dũng sản phẩm Cisco VPN 3000 Concentrator hiện chưa hỗ trợ Citrix ICA, hóng Cisco dự định sẽ hỗ trợ ứng dụng này trong phiờn bản sắp tới.
Sau đõy là bảng so sỏnh túm tắt cỏc đặc tớnh của hai giải phỏp IPSec và SSL VPN: Bảng dưới.
Bảng 4.4: So sỏnh đặc trưng của VPN hai giải phỏp IPSec và SSL
4.6.5. Xu hướng
Hiện nay, với xu hướng thương mại điện tử, nhiều ứng dụng trờn nền Web được xõy dựng. Theo hóng Gartner điều tra: “Đến cuối năm 2004, 60 % cụng ty sử dụng thin-client VPN (SSL VPN) thay vỡ full, fat-client VPN (IPSec VPN)”. Thờm vào đú, hóng Frost and Sullivan đỏnh giỏ đến năm 2009, doanh số giải phỏp SSL VPN sẽ vượt qua 1.3 tỷ USD và chi phớ trung bỡnh cho một người dựng của giải phỏp SSL VPN từ 60 USD đến 200 USD so với 150 USD đến 300 USD khi dựng giải phỏp IPSec VPN. Nhỡn vào con số ấn tượng trờn, chỳng ta cú cảm tưởng tương lai thuộc về SSL VPN. Tuy nhiờn theo nghiờn cứu mới nhất của Infonetics Research (www.infonetics.com), giải phỏp VPN và Firewall phần cứng chiếm 82%, phần mềm VPN chiếm 12%, SSL VPN chỉ chiếm cú 5% và đến năm 2007 mới chiếm 14% thị
phần VPN và Firewall. Vỡ vậy, cú thể tạm kết luận giải phỏp IPSec VPN đang chiếm ưu thế, nhưng khuynh hướng dựng giải phỏp SSL VPN đang gia tăng.
Hóng Juniper sau khi mua lại hóng chuyờn về sản phẩm bảo mật mạng NetScreen vào đầu năm 2004 hiện dẫn đầu thị trường SSL VPN với 57 %. Kế tiếp là F5 (14%), Aventail (12%), Nokia (9%). Hóng khổng lồ Cisco hỡnh như chậm chõn trong cuộc chơi này. Sản phẩm chuyờn về Firewall series 500 PIX của hóng hiện chỉ hỗ trợ IPSec. Dũng sản phẩm chủ đạo về VPN 3000 Concentrator mới hỗ trợ cả hai cụng nghệ IPSec và SSL VPN. Nhưng xột về tổng thể cỏc giải phỏp VPN và Firewall thỡ Cisco System vẫn đứng đầu, tiếp theo là Checkpoint Software Technologies, thứ ba là Juniper Network.
4.6.6. Kết luận
Giải phỏp VPN nào là tốt nhất cho kết nối từ xa? Điều này phụ thuộc nhiều yếu tố như phõn tớch ở trờn. IPSec VPN phự hợp cho cỏc kết nối thường trực site-to- site, nhằm đảm bảo an toàn cho tất cả cỏc dịch vụ trờn nền IP từ Web, email, truyền tệp đến cỏc ứng dụng VoIP và đa dịch vụ. Trong khi đú, SSL VPN thớch hợp cho cỏc ứng dụng trờn nền Web, cho phộp kết nối an toàn bất kỳ thiết bị nào hỗ trợ trỡnh duyệt web. Cả hai cụng nghệ đều an toàn hay cú nguy cơ mất an toàn giống nhau. Tựy trường hợp mà giải phỏp nào sẽ được ưu tiờn thiết lập, nhưng thường thỡ cỏc tổ chức triển khai cả hai cụng nghệ VPN này trờn hạ tầng cơ sở mạng của họ.
Hiện nay ngõn hàng ở Việt Nam chưa sử dụng phổ thụng cỏc tài khoản và thanh toỏn, chuyển khoản tiền trực tuyến trờn internet nờn cỏc ngõn hàng vẫn dựng phổ biến là Ipsec VPN. Nhưng một khi thanh toỏn trờn mạng cũng như cỏc dịch vụ khỏc sử dụng mạng internet thụng qua web thỡ giải phỏp SSL sẽ là lợi thế tốt nhất.
KẾT LUẬN
Qua quỏ trỡnh nghiờn cứu và tỡm hiểu dưới sự giỳp đỡ nhiệt tỡnh của thầy hướng
dẫn là PGS.TS Vương Đạo Vy, tụi đó hoàn thành luận văn: “Tỡm hiểu cụng nghệ,
nghiờn cứu cấu hỡnh và chất lượng dịch vụ của mạng Voice over IP ỏp dụng cho hệ thống mạng của ngõn hàng VPB”.
Trong luận văn này, tụi đó nghiờn cứu một cỏch khỏi quỏt bức tranh tổng thể và cỏc vấn đề cốt lừi cỏc thành phần trong mạng IP, cỏch triển khai mạng VoIP cho doanh nghiệp vừa và lớn. Đi sõu vào khảo sỏt cỏc giao thức truyền tải thời gian thực và ứng dụng của VoIP, đặc biệt triển khai hệ thống thoại VoIP thụng qua hệ thống SIP server nhất là đi sõu vào phõn tớch bảo mật cho mạng VoIP được triển khai trờn mạng VPN cho hệ thống ngõn hàng.
Phõn tớch cỏc giải phỏp truyền õm thanh trờn hệ thống mạng WAN đảm bảo đỏp ứng tốt cỏc yờu cầu của ngành ngõn hàng. Như tận dụng được cơ sở hạ tầng cũ, đảm bảo được hệ thống Call center đó tồn tại từ trước của ngõn hàng.
Cỏc ưu điểm mà dịch vụ thoại trờn internet mang lại cho doanh nghiệp. Yờu cầu về chất lượng dịch vụ, độ ổn định của dịch vụ.
Nhất là yờu cầu về độ an toàn trong vấn đề bảo mật trong mạng VPN mà cụ thể là hệ thống mạng MegaWAN (của nhà cung cấp dịch vụ NGN sử dụng cụng nghệ MPLS), phõn tớch việc sử dụng cỏc cụng nghệ bảo mật cho mạng VPN như IPSEC, SSL.
Trờn đõy là toàn bộ cỏc vấn triển khai cụng nghệ VoIP cho doanh nghiệp mà tụi đó nghiờn cứu trong thời gian qua. Tuy tụi đó hết sức cố gắng để hoàn thành bản luận văn nhưng chắc chắn sẽ khụng trỏnh khỏi những thiếu sút. Tụi rất mong nhận được ý kiến đúng gúp của thầy cụ và cỏc bạn bố đồng nghiệp để cú thể hoàn thiện hệ thống VoIP trong tương lai của doanh nghiệp.
TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Đinh Văn Dũng (12/1998), Nghiờn cứu cụng nghệ điện thoại trờn Internet (Internet
Telephony), Viện khoa học kỹ thuật bưu điện.
2. Đinh Văn Dũng (12/1999), Nghiờn cứu triển khai thử nghiệm dịch vụ thoại giữa
mạng IP và mạng mạch chuyển kờnh, Viện khoa học kỹ thuật bưu điện.
3. Trần Đại Dũng (4/2004), “Đo kiểm chất lượng thoại VoIP trờn hạ tầng NGN”, Tạp
chớ “Bưu chớnh viễn thụng”.
4. TS. Lờ Ngọc Giao (2002), Điện thoại IP, Nhà xuất bản Bưu điện, Hà Nội.
5. Lờ Quốc Hựng, Đào Nguyờn Trung (8/2001), “Chất lượng cuộc gọi trờn mạng
VoIP: những vấn đề cần quan tõm”, Tạp chớ “Bưu chớnh viễn thụng”.
6. Mai Linh (5/2005), “VoIP - cụng nghệ viễn thụng của tương lai”, Thời bỏo kinh tế Sài gũn.
7. Trần Anh Thư (5/2002), “Chất lượng dịch vụ thoại VoIP và cỏc phương phỏp đo
thử”, Tạp chớ “Bưu chớnh viễn thụng”.
8. Đàm Thuận Trinh, Trịnh Quang Khải (9/2001), “Nõng cao chất lượng dịch vụ
VoIP”, Tạp chớ “Bưu chớnh Viễn Thụng”.
9. Trần Minh Tuấn (2/1998), “Điện thoại IP- Cơ hội hay thỏch thức”, Tạp chớ “Bưu
chớnh Viễn Thụng”.
10. Tham khảo trờn diễn đàn: http://vntelecom.org/diendan/
11. Tham khảo trờn tạp chớ: http://www.tapchibcvt.gov.vn/news/?s=1335041030
Tiếng anh
12. Tham khảo trờn web site học trực tuyến của Alcatel-lucent: http://training.alcatel- lucent.com
13. Tham khảo trờn web site: http://www.brekeke.com/
14. Tham khảo tài liệu của Cisco : Cisco Press - Voice over IP Fundamentals - 2nd Edition - Jul 2006
15. Tài liệu của hóng AWAYA
16. Tài liệu : Switching to VoIP, by Ted Wallingford, Copyright â 2005 O'Reilly