5.2 Triển khai ứng dụng VPN tại Ngõn hàng Nhà nước Việt Nam
5.2.1 Giải phỏpVPN của Nokia Checkpoint
VPN-1/FireWall-1 được triển khai, cài đặt trờn mỏy gateway nối Internet và cỏc điểm truy nhập mạng khỏc, nú kiểm tra tất cả cỏc gúi tin đi qua những điểm, nỳt quan trọng trong mạng tựy theo chớnh sỏch an ninh. Nhằm tăng khả năng điều khiển truy nhập, VPN-1/FireWall-1 cú cỏc tớnh năng quản trị, bảo mật, cỏc tớnh năng này cú thể dễ dàng tương thớch với những chớnh sỏch an ninh chung của toàn hệ thống mạng WAN và được quản lý bằng giao diện đồ hoạ thõn thiện. VPN-1/FireWall-1 là hoàn toàn trong suốt đối với người dựng và cỏc ứng dụng.
SecuRemote và SecureClient: Tạo kết nối VPN từ xa, cho phộp cỏc mỏy trạm kết nối đến mạng của cơ quan qua internet bằng modem, vừa truy nhập trực tiếp đến mỏy chủ vừa đảm bảo an toàn dữ liệu khi truyền.
Kiến trỳc của VPN-1/FireWall-1 cú dạng modul, phõn lớp cho phộp một tổ chức định nghĩa và thực hiện một chớnh sỏch an ninh, bảo mật quản lý tập trung, đơn lẻ. Chớnh sỏch an ninh (Security Policy) doanh nghiệp được định nghĩa tại một “console” quản lý trung tõm và được tải xuống nhiều điểm đúng vai trũ Firewall thụng qua mạng.
VPN-1/FireWall-1 cung cấp cho người dựng ở xa sự truy cập cú xỏc thực, an toàn đến cỏc tài nguyờn mạng. Cỏc phương thức xỏc thực mềm dẻo cung cấp cho người dựng bất cứ dịch vụ hoặc ứng dụng nào. Người quản trị cú thể yờu cầu mỗi người cú một cỏch xỏc thực riờng, người dựng được truy cập vào cỏc ứng dụng nhất định trong những khoảng thời gian nhất định.
VPN-1/FireWall-1 hỗ trợ nhiều phương ỏn thực hiện xỏc thực như: Radius; Tacacs/tacacs+; chứng nhận số (Digital Certificates); DES; 3DES; IPSec; IKE …
Thiết lập IPSec VPN giữa 2 site:
Site thứ nhất cú lớp địa chỉ thật là 10.0.0.0, được NAT thành lớp địa chỉ 12.0.0.0. Cụ thể mỏy chủ ftp cú địa chỉ thật là 10.0.0.2 được NAT thành 12.0.0.2
Site thứ hai cú lớp địa chỉ thật là 10.0.0.0 được nat thành lớp địa chỉ 13.0.0.0. Cụ thể là, mỏy trạm dựng làm ftp client cú địa chỉ 10.0.0.18 nat thành 13.0.0.18
Hỡnh 5.3 - Thiết lập IPSec VPN giữa 2 Site với giải phỏp Nokia Checkpoint
Thiết lập chớnh sỏch bảo mật: Tất cả cỏc dịch vụ (http, ftp, tcp…) từ site local đến site remote và ngược lại đều được mó hoỏ, được lưu vết vào bất cứ thời gian nào. Ngoài ra đều bị từ chối (drop).
Sau khi thiết lập NAT như trờn ta cú chớnh sỏch NAT như sau:
Sử dụng IP pools: Khoảng địa chỉ trượt cú thể rộng tuỳ ý, trong trường hợp này chỳng ta dựng 20 địa chỉ trượt. Cỏc địa chỉ này sẽ được gỏn cho cỏc mỏy trạm tham gia vào mạng riờng ảo.
Thiết lập miền mật mó hoỏ (encryption Domains) : Ta đưa tất cả cỏc địa chỉ mỏy trạm ứng dụng VPN vào trong nhúm, bao gồm cả địa chỉ trước và sau khi NAT, trong trường hợp này cú hai địa chỉ 13.0.0.18 và 10.0.0.18
Tạo miền Remote cho firewall B trong cơ sở dữ liệu firewall A: Thờm tất cả cỏc địa chỉ mỏy trạm vào Nhúm ứng dụng VPN. Khụng cần thờm những địa chỉ thực trong miền Remote. Miền Remote khụng yờu cầu địa chỉ thật khi thiết lập VPN giữa 1 mỏy ở site này với 1 mỏy ở site kia, vớ dụ ta cú thể tạo đường hầm giữa mỏy cú địa chỉ 10.0.0.18 với mỏy 10.0.0.18 ở site kia.
Tại Firewall B cũng cấu hỡnh tương tự như vậy.
Kiểm tra cấu hỡnh:
Ping thử từ một mỏy phớa sau FW-A (địa chỉ thực là 10.0.0.2; địa chỉ sau khi NAT là 12.0.0.2) đến mỏy phớa sau FW-B (địa chỉ thực là 10.0.0.18; địa chỉ sau khi NAT là 13.0.0.18).
Dưới đõy là file log của lệnh ping ở trờn, lưu ý là địa chỉ 10.0.0.2 đó được chuyển thành 12.0.0.2 trước khi truyền cỏc gúi tin đó được mó hoỏ đến FW-B
Thực hiện FTP từ mỏy phớa sau FW-B (địa chỉ thực là 10.0.0.18, địa chỉ sau khi NAT là 13.0.0.18) đến mỏy phớa sau FW-A (địa chỉ thực là 10.0.0.2, địa chỉ sau khi NAT là 12.0.0.2)
Lưu ý là mỏy cú địa chỉ 10.0.0.18 đó được NAT thành 13.0.0.18 trước khi truyền cỏc gúi tin đó được mó hoỏ đến FW-A
5.2.2 Giảp phỏp VPN của Cisco Mụ hỡnh triển khai thực tế: Mail Server PPTP Server Firewall PIX 535 IDS Switch Cluster Server Router 2800 ` PPTP Client Trung tõm tớch hợp dữ liệu quảnlý hành chớnh NHNN Mạng LAN Cục CNTH Ngõn hàng Tunnel 192.168.12.1 Router 3660 209.165.201.8 209.165.201.7 209.165.200.5 209.165.200.6 Firewall 10.0.0.1
Hỡnh 5.4 - Mụ hỡnh triển khai VPN của giải phỏp Cisco
Thiết lập đường hầm IPSec giữa 2 site là mạng LAN Cục Cụng nghệ tin học Ngõn hàng Nhà nước và Trung tõm tớch hợp dữ liệu NHNN. Cục Cụng nghệ tin học được phõn một dải địa chỉ lớp C là 192.168.12.0, Trung tõm tớch hợp dữ liệu được phõn 1 dải địa chỉ lớp A là 10.0.0.0. Địa chỉ IP của cỏc giao diện card mạng của firewal và router được thể hiện ở hỡnh vẽ trờn. Tại Firewall Pix 535 ở Cục Cụng nghệ tin học thực hiện cấu hỡnh như sau:
Cấu hỡnh chớnh sỏch IKE: Dựng phương phỏp mó khoỏ đối xứng 3DES Interface FastEthernet1/0
Ip address 192.168.12.1 255.255.255.0 Authentication pre-share
Encrypt 3des
Cấu hỡnh khoỏ đối xứng với địa chỉ IP phớa đầu bờn kia Crypto isakmp key cisco1 address 209.165.200.6 Cấu hỡnh hỗ trợ IPSec
Tạo ra chớnh sỏch truy nhập (access list)
Access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0 Thực hiện NAT
NAT 0 accesslist 90
Ấn định 1 khoảng địa chỉ trượt cho NAT
Global (outsite) 1 209.165.202.6-209.165.202.36 Định nghĩa một crypto map
Crypto map TTHDL 20 ipsec-isakmp Crypto map TTHDL 20 match address 90
Crypto map TTHDL 20 set transform-set vpn-test Crypto map TTHDL 20 set peer 209.165.200.6 Áp dụng crypto map cho cỏc giao diện bờn ngoài
Crypto map TTHDL interface outside
Đối với Firewall tại Trung tõm tớch hợp dữ liệu cấu hỡnh tương tự như trờn. Như vậy, ta đó thiết lập được mạng riờng ảo VPN IPSec giữa 2 site để truyền thụng tin một cỏch an toàn, bảo mật với cỏc đặc tớnh là: sử dụng mó hoỏ đối xứng 3DES, dựng thuật toỏn xỏc thực HMAC-SHA.
Ngoài ra, đối với cỏc kết nối khụng cần độ bảo mật quỏ cao, chỳng ta cú thể sử dụng giải phỏp VPN của Microsoft để giảm chi phớ, bởi vỡ cỏc dịch vụ tạo mạng riờng ảo đó được tớch hợp trong hệ điều hành Windown 2000 server.
5.2.3 Giải phỏp VPN của Microsoft
TCP/IP PC Web Server PPTP Server Router 2621 Router 2800 Client 10.53.16.160
Hỡnh 5.5 - Thiết lập VPN của giải phỏp Microsoft
Trong mụ hỡnh trờn cú cỏc thành phần sau:
- PPTP Server là một mỏy tớnh chạy dịch vụ RRAS (Routing and Remote Access Service) trờn hệ điều hành WINDOWS 2000 Server.
- PPTP client là một mỏy tớnh chạy hệ điều hành WINDOWS 2000 Professional (cú hỗ trợ giao thức PPTP).
- Router A là Router Cisco 2621 đúng vai trũ là một mỏy NAS, dựng để tiếp nhận cỏc cuộc truy cập từ xa qua đường điện thoại cụng cộng. Đồng thời nú đúng vai trũ là một bộ định tuyến qua mạng TCP/IP.
- Router B là Router Cisco 2800 đúng vai trũ là Gateway của hệ thống mạng cục bộ bờn trong và cũng là một bộ định tuyến trong mạng TCP/IP.
Để tạo một VPN giữa PPTP Server và PPTP Client ta thiết lập cấu hỡnh như sau: Tại mỏy PPTP Server:
- Đặt địa chỉ IP của cạc mạng là 10.53.16.160
- Cài đặt dịch vụ RRAS
Thiết lập cấu hỡnh cho RRAS như sau:
Khoảng địa chỉ IP được gỏn từ 10.53.16.161 - 10.53.16.190 (Khoảng địa chỉ này sẽ được PPTP Server gỏn cho PPTP Client).
Cấu hỡnh cổng PPTP: Khi dịch vụ RRAS được cài đặt sẽ cú 5 cổng PPTP (Giỏ trị mặc định). Ta cú thể thay đổi số lượng cổng của PPTP (Giỏ trị tối đa là 16384).
Chọn phương phỏp xỏc thực là MS-CHAP Version 2.
Tạo một tài khoản người sử dụng cho VPN cú tờn là vpn Tại mỏy PPTP Client:
Tạo một kết nối quay số từ xa, tạo một kết nối VPN như sau:
Mở Network and Dial-up Connection, chọn Make New Connection
Chọn mục Connect to a private network through the Internet
Trong mục Host name or IP address ta đưa vào địa chỉ IP của PPTP Server là 10.53.16.160
Để tạo một VPN giữa PPTP Client và PPTP Server ta thực hiện hai bước sau:
- Bước 1: Từ mỏy Client tạo kết nối bằng cỏch kớch hoạt kết nối quay số từ xa - Bước 2: Sau khi kết nối được thiết lập ta kớch hoạt kết nối VPN
Kết nối VPN được tạo ra cú cỏc đặc tớnh sau: Xỏc thực: MS CHAP V2
Hỡnh 5.6 - Một số đặc tớnh của VPN PPTP được tạo ra
Mỗi giải phỏp cú những ưu, nhược điểm riờng. Khi triển khai VPN, tựy vào tớnh hiệu quả, chi phớ, cơ sở hạ tầng mạng và tớnh chất của thụng tin mà lựa chọn giải phỏp cho phự hợp. Giải phỏp của Nokia Checkpoint cú mức an ninh, bảo mật cao, nhưng chi phớ mua bản quyền phần mềm cũng như phần cứng là rất lớn. Ngõn hàng nhà nước cú thể lựa chọn giải phỏp này cho cỏc giao dịch nghiệp vụ thanh toỏn, chuyển tiền, triển khai giữa Sở Giao dịch, Vụ Quản lý ngoại hối với Cục Cụng nghệ tin học Ngõn hàng. Tuy nhiờn cơ sở hạ tầng mạng NHNN chủ yếu là cỏc thiết bị mạng của cisco như Pix firewall, router, switch… nờn giải phỏp VPN của cisco được sử dụng phố biến cho cỏc hệ thống thụng tin bỏo cỏo, số liệu nhạy cảm như giữa mạng của vụ Tổng kiểm soỏt, Thanh tra với cục Cụng nghệ tin học để giảm sỏt, theo dừi cỏc hoạt động tớn dụng…Đối với cỏc thụng tin khụng cần bảo mật cao như cụng văn, bỏo cỏo phục vụ quản lý hành chớnh, điều hành giữa mạng của Văn phũng với cỏc đơn vị chức năng cú thể sử dụng giải phỏp của Microsoft vỡ dễ triển khai, dễ quản trị và chi phớ thấp.
KẾT LUẬN
Sau một thời gian nghiờn cứu, tỡm hiểu và triển khai luận văn đó hoàn thành được cỏc mục tiờu đặt ra như trong bản Đề cương đăng ký. Gồm cỏc nội dung như sau: 1. Luận văn đó tỡm hiểu, nghiờn cứu sõu về cụng nghệ mạng riờng ảo VPN, cỏc mụ hỡnh, giao thức và đặc biệt là cỏc biện phỏp an ninh, bảo mật được sử dụng trong mạng VPN.
2. Nghiờn cứu cụng nghệ chuyển mạch nhón đa giao thức MPLS: mụ hỡnh, kiến trỳc, giao thức định tuyến, bỏo hiệu, chất lượng dịch vụ …trờn cơ sở đú ứng dụng mạng riờng ảo VPN trờn nền MPLS.
3. Triển khai MPLS/VPN trong thực tế, so sỏnh hai cụng nghệ mạng riờng ảo IPSec và MPLS, trờn cơ sở đú triển khai ứng dụng mạng riờng ảo VPN tại Ngõn hàng Nhà nước Việt Nam với ba giải phỏp của Nokia Checkpoint, Cisco và Microsoft. Sự phỏt triển và hội tụ thoại -số liệu là xu thế tất yếu trong viễn thụng, cụng nghệ thụng tin ngày nay. Tổng cụng ty Bưu chớnh viễn thụng Việt nam đó triển khai MPLS trong mạng lừi của VNPT, thờm vào đú, cỏc nhà cung cấp dịch vụ ngày càng đưa ra nhiều dịch vụ ứng dụng mạng riờng ảo VPN, bao gồm thương mại điện tử, thoại IP, an ninh bảo mật và cỏc ứng dụng đa phương tiện…
Trong xu hướng đú, nghiờn cứu cụng nghệ mạng riờng ảo VPN/MPLS là rất cần thiết. Luận văn đó trỡnh bày cỏc kỹ thuật mạng riờng ảo, đưa ra cỏc cơ sở lý luận khoa học để triển khai thực tiễn và đạt được những kết quả nhất định khi ứng dụng VPN tại Ngõn hàng Nhà nước Việt Nam.
TÀI LIỆU THAM KHẢO
[1] - Brian Williams, Quality of Service Differentiated Services and Multiprotocol Label Switching, White paper, Ericsson, Australia 2000.
[2] - Cisco Systems, Overview of Virtual Private Networks and IPSec Technologies.
[3] – Cisco VPN solution, www.cisco.com/go/vpn
[4] - Christopher Y.Metz, IP Switching Protocol and Architectures, McGraw-Hill, NewYork 1998
[5] - Dave Kosiur - Building and Managing Virtual Private Network, USA, 1998 [6] - Harkins, D. and Carrel, D. (1998), “The Internet Key Exchange”, RFC 2409, November 1998.
[7] - IETF Working Group, RFCxxxx http://www.ietf.org/rfc
[7a] - IETF RFC 2637 “Point – to – Point Tunneling Protocol (PPTP)” [7b] - IETF RFC 1701 “Generic Routing Encapsulation (GRE)”
[7c] - IETF RFC 2661 “Layer Two Tunneling Protocol (L2TP)" [7d] - IETF RFC 2409 “ The Internet Key Exchange (IKE)”
[8] – International Business Machines Corporation - Using IPSec to Construct Secure Virtual Private Networks, 1998
[9] - Ivan Pepelnjak and Jim Guichard, MPLS and VPN Architectures - A pratical guide to understanding, designing and deploying MPLS and MPLS-VPN enabled VPNs, Cisco Systems, IN-USA, 2001.
[10] - Paul Brittain, Adrian Farrel, MPLS Traffic Engineering: a choice of signalling protocols, Data connection Ltd., UK 2000.
[11] - Peter Gutmann - Encryption and Security Tutorial, University of Auckland [12] - R.C.Streijl - Analysis of Managed Virtual Private Network, 2000
[13] - RSA Security Inc - A Guide to Security Technologies, www.rsasecurity.com
[14] - Tổng hợp cỏc tài liệu từ Internet.
[15] - Xipeng Xiao, Aln Hannan, Brook Bailey and Lionel M.Ni, Traffic Engineering with MPLS in the Internet.