C) Hoạt động của AH và ESP trong các chế độ (mode)
b) Bộ định tuyến
Nếu các tường lửa đóng vai trò như một vị trí logic đối với việc cài đặt những chức năng cho VPN thì bộ định tuyến thực hiện nhiều chức năng hơn. Các bộ định tuyến phải kiểm tra và xử lý từng gói khi chúng ra/vào mạng LAN.
Hiện nay, người ta thường sử dụng các bộ định tuyến có chức năng bảo mật mạng LAN khỏi sự tấn công của những kẻ phá hoại. Người ta có thể sử dụng bộ định tuyến kèm chức năng lọc gói. Tuy nhiên, lọc gói không đủ để bảo mật đối với nhiều dạng tấn công có thể xảy ra trên mạng, đây là một trong những lý do
để phát triển thêm nhiều loại tường lửa khác nhau. Trong phạm vi của VPN, bộ định tuyến hiện đang được ưa chuông nhất là các bộ định tuyến mã hóa (encryption router).
*Những yêu cầu đối với bộ định tuyến
- Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với những kết nối mạng riêng biệt.
- Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC, HMAC-MD5, HMAC-SHA-1…
- Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng. - Hạn chế việc truy cập đến các khóa.
- Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗikhi có một kết nối mới.
- Hỗ trợ cơ chế khử phát lại (anti-replay).
- Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với những việc lặp đi lặp lại những hoạt động không được phép.
- Hỗ trợ cả hai chế độ transport và tunnel của IPSec.
Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gói tại lớp mạng trong mô hình OSI, không dùng để xác thực người dùng. Do đó, cần phải có thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN có tính bảo mật.
3.3.3 Phần mềm cho VPN
Trong phần này chúng ta sẽ giới thiệu những đặc điểm, yêu cầu chung mà các phần mềm dùng cho VNP cung cấp. Các phần mềm này được dùng để định dạng và quản lý các kênh bảo mật, ngoài ra có thể sử dụng cho các kênh giữa các host mà không cần đến cổng nối bảo mật.
Ta biết rằng, sử dụng phần cứng thay cho phần mềm sẽ đạt được hiệu suất cao hơn vì việc mã hoá bằng phần cứng có tốc độ nhanh hơn nhiều so với mã hoá bằng phần mềm. Tuy nhiên, hiện nay người ta vẫn sử dụng phần mềm và xu hướng sử dụng phần mềm ngày càng tăng, bởi vì:
- Việc sử dụng phần mềm thay vì dùng phần cứng sẽ có giá thấp hơn nhiều, do một số phần mềm có giá tương đối rẻ thậm chí có phần mềm còn miễn phí.
- Các sản phẩm phần mềm VPN được cài trên một hệ điều hành hay hệ điều hành mạng nào đó nên việc quản lý VPN sẽ dễ dàng và thuận lợi hơn.
- Dễ dàng nâng cấp các chức năng của mạng VPN vì khi đó ta chỉ cần nâng cấp phần mềm, điều này rất đơn giản.
- Nếu ta muốn xây dựng một VPN có quy mô nhỏ, lưu lượng thấp thì không cần đến hiệu suất tối ưu mà phần cứng VPN cung cấp. Khi lựa chọn sử dụng phần mềm VPN ta có thể bỏ chi phí xây dựng, thiết kế vừa với nhu cầu sử dụng.