C) Hoạt động của AH và ESP trong các chế độ (mode)
b) Các yêucầu của sản phẩm
Khi lựa chọn phần mềm VPN cho một LAN, thì phần mềm này phảiđảm bảo hỗ trợ tốt các yêu cầu của VPN để đảm bảo mạng hoạt động tố và hiệu suất cao. Các yêu cầu chính như:
- Giao thức được hỗ trợ: Ta kiểm tra xem sản phẩm này hỗ trợ giao thức nào trong việc truyền thông qua mạng VPN của công ty: nó chỉ hỗ trợ IP hay hỗ trợ IPX và NetBEUI?
- Khả năng tích hợp với các hệ thống hiện có: ta cần xem xét sản phẩm ta chọn tích hợp như thế nào đối với hệ thống quản lý mạng và hệ thống bảo mật đang có trên mạng.
- Giải thuật mật mã được hỗ trợ: Ta kiểm tra xem sản phẩm hỗ trợ giải thuật mật mã nào? giải thuật IPSec, DES dùng cho việc mã hoá, giải thuật HMAC-MD5 hay HMAC-SHA-1 cho việc xác thực người dùng.
- Duy trì nhiều vị trí: Khi chuẩn bị cài đặt các sản phẩm phần mềm tại nhiều vị trí trong VPN thì có thể ta phải duy trì một cơ chế có tính hoà hợp cao hơn nếu sản phẩm ta chọn có hỗ trợ việc quản trị đồng bộ nhiều vị trí. Điều này có thể liên quan đến việc trao đổi các tệp hay việc quản lý từ xa. Nếu sản phẩm có khả năng quản lý từ xa, ta phải đảm bảo việc truy cập từ xa đến các sản phẩm phải có tính bảo mật.
- Cấp phát chứng nhận điện tử: Nếu ta sử dụng một hệ thống xác thực dựa trên các chứng nhận điện tử thì phải chú ý đến việc các chứng nhận điện tử này được phân phối và kiển tra như thế nào? Khi nào một chứng nhận
được bảo dưỡng trong nội bộ mạng hay ở bên ngoài và các chứng nhận sẽ liên kết với các dịch vụ khiác như thế nào?
- Nhật ký ghi xung đột: Mỗi cổng nối bảo mật đều có chức năng ghi nhận lại các biến cố bảo mật, cảnh báo khi xuất hiện sự cố hay tường thuật lại khi cần.
Tóm lại, trước kia các sản phẩm phần mềm dùng cho việc tạo nên VPN thường độc quyền, không có sự thống nhất hay tuân theo tiêu chuẩn nào đã làm hạn chế khả năng liên kết giữa các mạng. Nhưng kể từ năm 1998, nhiều sản phẩm của các hãng được thiết kế để có thể sử dụng chung, tương thích với nhau làm tăng thêm tính liên điều khiển giữa chúng.
Phần mềm RRAS chạy trên nền Windows của hãng Microsoft có tính năng tốt và được cung cấp miễn phí khi mua hệ điều hành Windows. Sản phẩm Borđerguard của hãng Novell rất thích hợp cho mạng đang hoạt động với giao thức IPX cũng như giao thức IP.
CHƯƠNG 4
BẢO MẬT TRONG VPN
Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật dữ liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép
không chỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính hay giữa các mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập hơn là khi dữ liệu vẫn còn trên một máy tính đơn.
Bảo mật không phải là vấn đề riêng của VPN mà thực tế là mối quan tâm và thách thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng Internet để trao đổi thông tin. Để thực hiện bảo mật cho dữ liệu trong mạng VPN người ta thực hiện hai quá trình đó là xác thực (Authentication) và mật mã (Encryption).
4.1 Quá trình xác thực
Xác thực là một phần không thể thiếu được trong kiến trúc bảo mật của một mạng VPN. Xác thực được dựa trên ba thuộc tính: Cái gì ta có (một khoá hay một card token); cái gì chúng ta biết (một mật khẩu); hay cái gì chúng ta nhận dạng (giọng nói, quét võng mạc, dấu vân tay,..). Xác thực là thuật ngữ dùng chung, nó bao gồm hai khái niệm: Xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn dữ liệu.
4.1.1 Xác thực nguồn gốc dữ liệu