2.3.1.3 Bộ định tuyến VPN
Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm ln vai trị của bộ định tuyến. Tuy nhiên, trong thực tế thì cách
thiết lập đó khơng hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng một số lượng lớn các yêu cầu. Trong trường hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết. Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được đặt sau “bức tường lửa” (Firewall). Vai trị của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt được trong mạng cục bộ. Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến trong mạng, và chọn ra đường đi ngắn nhất có thể, cũng giống như trong mạng truyền thống.
Mặc dù những bộ định tuyến thơng thường cũng có thể sử dụng được trong mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên đường truyền. Ví dụ như bộ định tuyến truy nhập modun 1750 của Cisco được sử dụng rất phổ biến.
2.3.1.4 Bộ tập trung VPN (VPN Concentrators)
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ. Ngồi việc làm tăng cơng suất và số lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao.
2.3.2 Phần mềm
Các phần mềm này được dùng để định dạng và quản lý các kênh bảo mật, ngồi ra có thể sử dụng cho các kênh giữa các host mà không cần đến cổng nối bảo mật.
Ta biết rằng, sử dụng phần cứng thay cho phần mềm sẽ đạt được hiệu suất cao hơn vì việc mã hố bằng phần cứng có tốc độ nhanh hơn nhiều so với
mã hoá bằng phần mềm. Tuy nhiên, hiện nay người ta vẫn sử dụng phần mềm và xu hướng sử dụng phần mềm ngày càng tăng.
Trong mạng VPN, có hai lớp phần mềm: Các phần mềm lớp 1 được dùng để cung cấp các dịch vụ cho mạng LAN; các phần mềm lớp 2 bao gồm những phần mềm dùng cho việc định đường hầm giữa các host mà không cần dùng đến các cổng nối bảo mật.
Các sản phẩm phần mềm cung cấp dịch vụ VPN cho mạng LAN thực hiện toàn bộ việc định đường hầm và các kế hoạch của VPN, một số sản phẩm này hỗ trợ cả giao thức PPTP, L2TP. Một số khác sử dụng kế hoạch thích hợp để định đường hầm và quản lý khố.
Ngày nay, các chức năng xác thực và mã hoá đã được gộp vào như một thành phần của hệ điều hành mạng, nhưng chúng ta vẫn phải tập trung vào viêc sử dụng các cổng nối bảo mật hoặc các phần mềm client đầu xa khi muốn tạo ra các VPN. Các công ty cung cấp những hệ điều hành mạng có hỗ trợ VPN và cung cấp những tính năng cổng nối bảo mật trong các phần mềm hệ điều hành mạng của họ.
Microsoft là hãng đầu tiên cung cấp máy chủ định đường hầm cho PPTP trong máy chủ truy cập từ xa, phần mềm định tuyến RRAS (Routing and Remote Access Server). Sản phẩm borderguard của hãng Novell là một tập các module phần mềm có thể sử dụng một cách độc lập hay dùng chung như một đơn vị.
Khi lựa chọn phần mềm VPN cho một LAN, thì phần mềm này phải đảm bảo hỗ trợ tốt các yêu cầu của VPN để đảm bảo mạng hoạt động tốt và hiệu suất cao. Các yêu cầu chính như:
- Giao thức được hỗ trợ
- Khả năng tích hợp với các hệ thống hiện có - Giải thuật mật mã được hỗ
- Duy trì nhiều vị trí trong VPN - Cấp phát chứng nhận điện - Nhật ký ghi xung đột
Trước kia các sản phẩm phần mềm dùng cho việc tạo nên VPN thường độc quyền, khơng có sự thống nhất hay tn theo tiêu chuẩn nào đã làm hạn chế khả năng liên kết giữa các mạng. Nhưng kể từ năm 1998, nhiều sản phẩm của các hãng được thiết kế để có thể sử dụng chung, tương thích với nhau làm tăng thêm tính liên điều khiển giữa chúng.
2.3.3 Cổng kết nối VPN
Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị này có thể là những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần mềm. Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của công ty. Giải pháp dựa trên phần mềm thì cổng kết nối IP được cài đặt trên mỗi máy chủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Ví dụ như phần mềm Novell’s Border Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng.
2.4 Các khối chức năng cơ bản của mạng VPN
Các khối chức năng cơ bản của mạng VPN bao gồm: - Điều khiển truy nhập
- Nhận thực - An ninh
- Truyền Tunnel
- Các thoả thuận mức dịch vụ
2.4.1 Điều khiển truy nhập
Điều khiển truy nhập (AC: Access Control) trong kết nối mạng số liệu được định nghĩa là tập các chính sách và các kỹ thuật điều khiển truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền. Các cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực.
Mục đích chính của VPN là cho phép truy nhập có đảm bảo an ninh và có chọn lựa đến các tài nguyên nối mạng từ xa. Nếu chỉ có an ninh và nhận thực mà khơng có AC, VPN chỉ bảo vệ tính tồn vẹn, tính bí mật của lưu lượng được truyền và ngăn cản các người sử dụng vô danh sử dụng mạng, nhưng khơng quản lí truy nhập các tài ngun nối mạng. AC thường phụ thuộc vào thông tin mà thực thể yêu cầu kết nối ở dạng nhận dạng hay chứng chỉ cũng như các quy tắc định nghĩa AC. Chẳng hạn một số VPN có thể được điều hành bởi một server tập trung hay thiết bị điều khiển VPN khác đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay có thể cổng VPN quản lí địa phương trong các mạng liên quan đến thông tin VPN.
Tập các quy tắc và các quy luật quy định các quyền truy nhập đến các tài nguyên mạng được gọi là chính sách điều khiển truy nhập. Chính sách truy
cập đảm bảo mục đích kinh doanh, chẳng hạn, chính sách “Cho phép truy nhập cho các thuê bao chưa vượt quá 60 giờ sử dụng” có thể thực hiện bằng cách sử dụng nhận thực dựa trên RADIUS (Remote Authentication Dial-in
User Service: Dịch vụ nhận thực người dùng quay số từ xa) và sử dụng một bộ đếm thời gian mỗi khi người sử dụng truy nhập. Về mặt lí thuyết có thể sử dụng bản tin RADIUS DISCONNECT (tháo gỡ kết nối radius) để ngắt phiên của người sử dụng khi đã vượt quá 60 giờ, tuy nhiên đơi khi chính sách này chỉ được áp dụng tại thời gian đăng nhập, khi tin tưởng người sử dụng không thường xuyên ở trình trạng đăng nhập, hay bằng cách đặt ra một giới hạn phiên như bên trên của mức độ sử dụng khi vượt quá thời gian cho phép cực đại. Có thể thực hiện các chính sách tương tự bằng cách thay giới hạn thời gian bằng một giới hạn tính chỉ có thể liên quan đến tài khoản trả trước.
2.4.2 Nhận thực
Một trong các chức năng quan trọng nhất được IP-VPN hỗ trợ là nhận thực. Trong nối mạng riêng ảo, mọi thực thể liên quan đến thơng tin phải có thể tự nhận dạng mình với các đối tác liên quan khác và ngược lại. Nhận thực là một q trình cho phép các thực thể thơng tin kiểm tra các nhận dạng như vậy. Một trong các phương pháp nhận thực phổ biến được sử dụng rộng rãi hiện nay là PKI (Public Key Infrasrtucture: cơ sở hạn tầng khóa cơng cộng). Phương pháp này được gọi là nhận thực dựa trên chứng nhận, và các bên tham dự thông tin nhận thực lẫn nhau bằng cách trao đổi các chứng nhận của chúng. Các chứng nhận này được đảm bảo bởi quan hệ tin tưởng với một bộ phận thẩm quyền chứng nhận.
Q trình nhận thực có thể liên quan đến việc cung cấp thông tin nhận thực dựa trên bí mật chia sẻ (Shared Secret) như: mật khẩu hay cặp khẩu lệnh/ trả lời của CHAP cho người nhận thực, hay như NAS (Network Access Server) để nó tra cứu một file địa phương, hay yêu cầu server RADIUS. Về mặt này, hoạt động của VPN gồm hai kiểu nhận thực: nhận thực kiểu client - cổng và cổng - cổng. Trong trường hợp nhận thực kiểu client - cổng, chỉ khi
nào người dùng truy nhập thành cơng với VPN cổng thì mới được phép vào IPSec Tunnel nối đến IPSec của mạng khách hàng. Trường hợp thứ hai, nó thường gặp khi kết nối site - site được thiết lập hay khi các mạng quay số ảo được sử dụng và nhận thực thiết lập Tunnel L2TP được yêu cầu giữa LAC (L2TP Access Concentrator) và LNS (L2TP Network Server).
2.4.3 An ninh
Theo định nghĩa thì VPN được xây dựng trên các phương tiện công cộng dùng chung khơng an tồn, vì thế tính tồn vẹn và mật mã hố là yều cầu nhất thiết. Có thể đảm bảo an ninh cho VPN bằng cách triển khai một trong các phương pháp mật mã hố đã có hay cơ chế mật mã hoá kết hợp với các hệ thống phân bố khóa an ninh. Tuy nhiên cần nhắc lại rằng an ninh không chỉ là mật mã hố lưu lượng VPN. Nó cũng liên quan đến các thủ tục phức tạp của nhà khai thác và các hạng cung cấp nó. Và khi VPN dựa trên mạng, cần thiết lập quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hành VPN yêu cầu thỏa thuận và triển khai cơ chế an ninh tương ứng. Chẳng hạn, có thể truy nhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS thông qua IPSec khi chúng truyền trên cơ sở hạ tầng mạng chung. Ngoài AAA server có thể trực thuộc một mạng khơng ở trong VPN để cách ly lưu lượng AAA với lưu lượng người sử dụng.
2.4.4 Truyền Tunnel nền tảng VPN
Truyền Tunnel là công nghệ quan trọng duy nhất để xây dựng VPN. Truyền Tunnel bao gồm đóng bao (Encapsulation) một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của Tunnel. Kết quả là nội dung được đóng bao trong Tunnel khơng thể nhìn thấy đối với mạng cơng cộng khơng an ninh nơi các gói được truyền. Các vấn đề cụ thể về công nghệ Tunnel được trình bày trong các phần sau.
Khái niệm truyền Tunnel được áp dụng cho nối mạng riêng ảo được