Đảm bảo hoạt động liên tục của mạng, đặc biệt với hệ thống mạng lớn thì việc quản lý mạng là rất quan trọng. Người quản trị mạng phải nắm bắt được đầy đủ và thường xun các thơng tin về cấu hình, sự cố và tất cả số liệu liên quan đến việc truy cập, sử dụng mạng.
Các giải pháp VPN đã cách mạng hóa thực sự cho các kết nối mạng từ xa tại nhiều nơi trên thế giới. Việc triển khai VPN đã trở thành một phần tất yếu đối với các chính sách bảo mật của các tổ chức. Tuy nhiên, các tổ chức này thường bỏ qua hay thực hiện rất kém việc quản lý VPN. Để quản lý một VPN hiệu quả, cần phải nắm vững yêu cầu cho VPN để có những chính sách quản lý đúng đắn.
Do VPN được tạo nên từ các site, nên việc quản lý sẽ bắt đầu từ quản lý site trong VPN. Dưới đây là một số vấn đề liên quan đến mỗi site trong VPN:
- Số lượng nguời dùng tại mỗi site?
- Loại kết nối đến Internet, kết nối thường trực hay kết nối theo yêu cầu? - Lưu lượng mạng do site phát sinh, biến đổi của lưu lượng theo giờ,
theo ngày?
- Nếu là kết nối thường trực thì bao lâu kết nối được lưu dự phòng một lần. Nếu là kết nối theo yêu cầu thì bao lâu thì được yêu cầu? Độ tin cậy cần thiết phải có.
- Site có hỗ trợ người dùng từ xa khơng? Nếu có thì hỗ trợ bao nhiêu người.
Cần phải nắm rõ các loại lưu lượng phát sinh từ site và các loại ứng dụng làm phát sinh các lưu lượng đó. Đối với mạng LAN thì băng thơng đủ để đáp ứng cho các loại ứng dụng. Nhưng điều này đã thay đổi khi mà World
Wide Web ra đời, lưu lượng biến động thường xuyên và khơng thể dự đốn trước được. Khi mà các ứng dụng thời gian thực như điện thoại IP, hội nghị truyền hình (video conference)… phát triển. Điều đóđặt ra những yêu cầu mới đối với băng thông mạng. Kết nối WAN cũng ảnh hưởng đến VPN do về kiến trúc thì VPN và WAN đều lớn như nhau. Kết nối WAN truyền thống có băng thơng nhỏ hơn kết nối LAN rất nhiều. Do đó cần phải xem xét đến lưu lượng truyền trên kết nối. Băng thông là một vấn đề cần xem xét kỹ khi xây dựng một VPN, bởi vì kết nối giữa ISP và máy chủ tại site VPN cần phải có băng thơng đủ để xử lý một số lượng đường hầm đồng thời được tạo ra.
Do VPN khơng phải chỉ có 2 site liên lạc với nhau mà là tập hợp của rất nhiều site, nên cần phải lưu ý đến vị trí địa lý của các site. Cần phải xem xét đến tính tương tác giữa các site với nhau. Nếu 2 site liên lạc với nhau thường xuyên thì kết nối giữa chúng là kết nối thường trực, còn hiếm khi mới liên lạc với nhau thì kết nối theo yêu cầu. Mặc dù Internet cho phép các site có thể tạo những đường hầm nối thẳng với nhau nhưng nên tổ chức các site có phân cấp để dễ điều khiển lưu lượng.
Vị trí địa lý đóng vai trị quan trọng đối với việc bảo mật. Nếu một mạng VPN phủ trên nhiều quốc gia thì khơng chắc giải thuật mã hoá và chiều dài từ khoá ở nơi này lại được chính phủ nơi khác chấp nhận. Chính phủ Mỹ có thể thay đổi quan điểm của họ về việc xuất khẩu chiều dài từ khoá. Một số sản phẩm còn phải được cơng nhận bản quyền từ phía Hoa Kỳ. Trong tình hình này phải xây dựng hệ thống hỗ trợ ít nhất là 2 chiều dài từ khố khác nhau.
Tính tức thời của dữ liệu cũng là một yếu tố cần quan tâm khi quản lý một VPN thương mại. Một dữ liệu thương mại đã cũ 2 năm thì khơng thể được xử lý như một dữ liệu mới 2 tuần. Khi mà nắm vững chu kỳ dữ liệu cần bảo
mật thì sẽ chọn được chiều dài từ khoá và giải thuật mã hố hợp lý để bảo mật dữ liệu đó.
Khả năng mở rộng VPN thành Extranet cũng cần được quan tâm trong quá trình quản lý. Nếu như Extranet là một phần trong kế hoạch phát triển mạng thì cần quan tâm đến khả năng của mạng hiện tại và các ứng dụng được sử dụng trong tương lai.
Sau đây ta khảo sát một số vấn đề chính trong q trình quản lý VPN.
4.1 Các vấn đề về hạ tầng mạng
Một trong những vấn đề mạng cần phải quantâm đó là các thiết bị định tuyến và bảo mật. Có thể thêm phần cứng hoặc phần mềm vào bộ định tuyến để nó đóng vai trị là một cổng nối bảo mật trong VPN. Tuy nhiên, nếu như bộ định tuyến và tường lửa đã cố gắng tối đa nhưng vẫn không thay thế được các chức năng của VPN thì có 2 cách lựa chọn.
- Nâng cấp bộ định tuyến hoặc tường lửa để hỗ trợ các chức năng của VPN.
- Thay thế bộ định tuyến hay tường lửa bằng thiết bị thuộc thế hệ mới, tương thích hơn.
- Sử dụng thiết bị khác để cung cấp dịch vụ VPN.
Mã hố là mộttiến trình địi hỏi tính tốn, tuy nhiên nó thay đổi tuỳ theo giải thuật. Một số nhà cung cấp đã đưa ra một số card đồng xử lý mã hoá cho bộ định tuyến và tường lửa để tăng khả năng xử lý của VPN.
Một thiết bị cần quan tâm khi nâng cấp từ một mạng hiện có lên VPN là máy chủ truy cập từ xa RAS (Remote Access Server). Một trong những nỗ lực của VPN là cố gắng chuyển việc quản lý, hỗ trợ và thiết bị được yêu cầu từ mạng riêng sang ISP. Khi xây dựng một VPN thì vẫn có thể duy trì RAS cũ và dựa thêm vào hỗ trợ của ISP để cho RAS tương thích với VPN.
Một thành phần vẫn cịn có thể sử dụng lại được trong VPN là hệ thống xác thực cho người dùng từ xa. Nhiều thiết bị VPN có thể sử dụng được hệ thống xác thực cho người dùng từ xa như TACACS+, xác thực dựa trên thể bài. Việc tương thích này cho phép tiếp tục duy trì hệ thống xác thực khi chuyển từ mạng truy cập từ xa RAN (Remote Access Network) lên VPN.
Hai vấn đề quan trọng cần phải giải quyết là định tuyến và phân giải tên. Có hai hướng để giải quyết vấn đề này. Hướng thứ nhất: xem mạng như một mạng đơn bao trùm lấy toàn bộ các site, hướng thứ hai là xem mỗi site như một phần mạng riêng và các site được kết nối với nhau thơng qua đường hầm.
Có thể áp dụng định tuyến đầy đủ (full routing) giữa các phần của mạng kết nối bởi đường hầm và dùng tên thống nhất cho DNS. Một công ty không thể đăng ký được một mảng địa chỉ IP thực rộng lớn do tài nguyên địa chỉ IP đang dần bị cạn kiệt. Có thể dùng giải pháp gán địa chỉ IP nội bộ cho các host trong mạng và sử dụng dịch địa chỉ mạng NAT để chuyển đổi chúng thành các địa chỉ IP thực được cấp. Điều này có thể làm nảy sinh vấn đề đối với VPN khi mà 2 site cố gắng kết nối với nhau thông qua đường hầm thì có thể có trường hợp 2 địa chỉ mạng trùng nhau, sẽ làm phá vỡ việc định tuyến và một số chức năng khác của mạng.
Một vấn đề nữa là khi quản lý VPN cần quan tâm đến vấn đề nâng cấp mạng lên IPv6 trong tương lai. Mặc dù IPv6 đang phát triển chậm nhưng cần chọn giao thức có thể hỗ trợ cho IPv6 (IPSec) để có thể dễ dàng nâng cấp mạng trong tương lai.
4.2 Các vấn đề về bảo mật
Quyền truy cập là vấn đề quan tâm khi xem xét tới việc bảo mật cho VPN. Bởi vì VPN có thể cho phép người dùng truy cập tới những mạng con hoặc thiết bị nhưng cũng có thể cấm truy cập tới những phần khác của mạng.
Tổng qt thì một đường hầm có thể cho phép người dùng truy cập vào mạng mà khơng có sự ngăn cấm nào. Tuỳ theo giao thức sử dụng và hệ điều hành mạng mà có thể chỉ định cho quyền truy cập đường hầm khi mà đường hầm được thiết lập.
Khi muốn kiểm sốt lưu lượng trên mạng thì cần quy hoạch VPN sao cho mọi lưu lượng đến phải thông qua tường lửa trước khi đến được mạng bên trong.
Một giải pháp phổ biến cho công ty khi muốn chia sẻ một phần thơng tin từ VPN của mình cho người dùng Internet hay khách hàng của họ trong khi vẫn bảo mật được tài nguyên riêng của họ đó là sử dụng vùng giới tuyến DMZ (Demilitarized Zone). DMZ bao gồm 2 tường lửa: một đặt giữa Internet mà tài nguyên muốn chia sẻ, một đặt giữa tài nguyên chi sẻ và mạng nội bộ bên trong. Máy chủ trong DMZ đóng vai tần số như nơi lưu trữ thông tin phụ sao cho nếu như nó bị hỏng thì thiệt hại xảy ra rất ít. Ví dụ như máy chủ Web trong DMZ lưu những bản sao trang web cịn bản chính thì nằm trên máy chủ ở trong mạng nội bộ.
Hai thành phần của bảo mật được xem là mới khi giới thiệu trong VPN đó là chuyển giao khoá (key exchange) và chứng nhận số liệu (digital certificate).
Khi quản lý VPN cần quyết định bao lâu thì khóa được chuyển một lần giữa các cổng nối bảo mật. Nếu VPN chỉ có một số lượng nhỏ cổng nối bảo mật thì chuyển khố bằng tay vẫn là một giải pháp có thể chấp nhận được. Tuy nhiên nó sẽ khơng khả thi khi VPN trải rộng trên cả một quốc gia hay khắp toàn cầu. Trong trường hợp như vậy phải sử dụng đến e-mail bảo mật hoặc gửi bưu phẩm bảo đảm.
Để đảm bảo bảo mật cho dữ liệu cao nhấ thì tốt hơn hết là sử dụng hệ thống chuyển khoá tự động. Những khố sử dụng cho mã hố và xác thực có
thể tự động thay đổi theo những quy luật sau: sau một số lượng gói được truyền đi, sau một khoảng thời gian, mỗi khi bắt đầu một phiên làm việc mới hoặc là tổ hợp của những quy luật trên. Tự động thay đổi khoá làm tăng khả năng chống lại các vụ tấn cơng.
Khi chọn một hệ thống quản lý khố thì kèm theo một số cơ chế phục hồi. Điều này đặc biệt hữu ích khi muốn khơi phục lại dữ liệu cũ cùng với khóa cũ trước đó.
Trong tiến trình mã hố khố chung có sử dụng một cặp khóa chung để xác thực tính hợp lệ của khóa. Việc xác thực tính hợp lệ này gọi là chứng nhận số. Những chứng nhận này nhằm ràng buộc khoá chung với một thực thể được mang tên, có thể là người dùng hay máy tính. nhiều tình duyệt web sử dụng chứng nhận điện tử để bảo đảm truyền thông bảo mật với máy chủ sử dụng secure sockets layer cho các mục đích thương mại điện tử. Một số hệ thống e- mail đưa ra khả năng mã hoá dựa trên chứng nhận điện tử và công nghệ được sử dụng để phân phối chúng: chứng nhận điện tử CA và cơ sở hạ tầng khố cơng cộng PKI (Public Key Infrastructures).
4.3 Các vấn đề về ISP
ISP có liên quan đến VPN theo nhiều hướng. Sử dụng đường hầm PPTP và L2TP cho phép ISP đưa ra nhiều dịch vụ gia tăng gía trị như bộ khởi tạo đường hầm và proxy hỗ trợ cho xác thực của VPN. Mặt khác, ISP cũng cung cấp đầy đủ nguồn xuất VPN.
Cần lưu ý là ISP đang cung cấp không phải là nhà cung cấp VPN duy nhất. Có thể sử dụng nhiều ISP cho VPN. Một lý do để sử dụng nhiều ISP là phạm vi địa lý rộng lớn của mạng VPN.
Nếu như có kế hoạch sử dụng PPTP hay L2TP để xây dựng VPN thì cần xem xét đến khả năng của thiết bị của ISP và họ xử lý vấn đề bảo mật như thế
nào. Nếu một ISP dùng máy chủ proxy RADIUS thì cần đảm bảo việc bảo mật chống lại truy cập của những khách hàng của ISP đó hoặc ngay cả các nhân viên đang làm việc tại ISP.
Giải pháp tối ưu là sử dụng một máy chủ RADIUS ngay tại VPN cho việc xác thực người dùng và cho phép máy chủ proxy của ISP làm việc dựa trên những dữ liệu do máy chủ đó cung cấp.
Chương 5: GIẢI PHÁP NÂNG CAO TÍNH BẢO MẬT CHO
HỆ THỐNG MẠNG CỤC TẦN SỐ VƠ TUYẾN ĐIỆN
Như chương 3 đã phân tích về những vấn đề và kỹ thuật cơ bản của mạng riêng ảo: các giao thức đường hầm, các thuật toán mã hoá và xác thực, kỹ thuật bảo mật v.v... Trong chương này, tôi xin đề xuất giải pháp nâng cấp hệ thống mạng tại Cục tần số vô tuyến điện trên cơ sở mạng riêng ảo nhằm mục đích đảm bảo tính bảo mật của tồn hệ thống, song vẫn đảm bảo hiệu quả đầu tư.
5.1 Khảo sát hiện trạng
Hiện nay, tại trung tâm của Cục tần số vô tuyến điện kết nối đến Internet bằng 1 đường Lease line 2Mbps và 1 đường 128Kbps. Thiết bị định tuyến ở vùng biên là Router 2811 của Cisco. Tại trung tâm của Cục tần số ở Hà nội và 08 trung tâm tại các tỉnh, thành sẽ cần đầu tư thuê các kênh riêng dung lượng từ 128kbps đến 256kbps và trang bị mới các thiết bị định tuyến (router) phục vụ cho các kết nối leased line để liên kết với trung tâm tại Hà Nội và với các trung tâm khác.
Dịch vụ Leased line được dựa trên nền tảng của chuyển mạch kênh sử dụng công nghệ SDH (Synchronous Digital Hierarchy) để phân ghép các kênh trên các khe thời gian. Chính vì vậy leased line có thơng lượng cao và độ trễ trong mạng rất thấp. Thực chất công nghệ này tạo ra các kênh trong suốt (transparency channel) giữa các điểm đầu cuối nên leased line là một đường truyền cố định về tốc độ, luôn đạt được tốc độ đã thuê của nhà cung cấp với độ an toàn dữ liệu rất cao.
Tuy nhiên, với giải pháp sử dụng đường truyền leased line thì chi phí đầu tư ban đầu lớn, cộng với phí sử dụng hàng tháng. Nhưng ngân sách đầu tư hiện nay của Cục tần số vô tuyến điện hạn chế. Nên giải pháp sử dụng đường truyền leased line là không khả thi.
Hệ thống bảo mật hiện nay của Cục tần số vô tuyến điện là hệ thống firewall 2 lớp. Lớp bên ngoài sử dụng Firewall PIX 515E của Cisco và Firewall cho mạng bên trong là ISA Server.
Ngoài ra, hệ thống mạng cịn có 1 thiết bị Switch 2950 của Cisco được cấu hình để chia làm 3 VLAN:
VLAN1: bao gồm cổng Ethernet của Router 2811 và cồng Outside của PIX 515E
VLAN2: bao gồm cổng DMZ của PIX 515E và Web/Mail Server VLAN3: bao gồm cổng Inside của PIX 515E và ISA Server.
Hệ thống mạng LAN bên trong là 1 hệ thống domain có khoảng 100 người sử dụng với 1 PDC (Primary Domain Controller) và 2 BDC (Backup Domain Controller).
Cục tần số vô tuyến điện có 8 chi nhánh và trung tâm nằm ở các tỉnh khác nhau. Trong đó có 2 trung tâm ở TP Hồ Chí Minh và Đà Nẵng là lớn nhất, ở mỗi trung tâm có khoảng 30 nhân viên và có thể sẽ gia tăng số lượng nhân viên trong thời gian tới. Các trung tâm cịn lại có số lượng nhân viên ít hơn.
Hiện nay các trung tâm đều kết nối Internet bằng đường ADSL có IP động. Các trung tâm kết nối đến Internet thông qua modem ADSL mà khơng có 1 hệ thống bảo mật nào bảo vệ cho mạng LAN bên trong.
Vấn đề đặt ra với cục tần số vơ tuyến điệncó hiện nay là:
- Đảm bảo kết nối liên tục và bảo mật từ tất cả các trung tâm về Trung tâm tại Hà Nội
- Giải pháp bảo mật tổng thể cho toàn bộ hệ thống mạng của Cục tần số.
5.2 Đánh giá hiện trạng
5.2.1 Trung tâm
Hiện nay, trung tâm tại Hà Nội đã có 100 nhân viên, cộng với các kết nối từ các trung tâm trên khắp cả nước về trung tâm tại Hà Nội. Nên lưu lượng truy cập từ các nơi về trung tâm rất lớn, địi hỏi phải có 1 thiết bị Firewall có