III. Mạng riêng ảo (VPN – Virtual Private Network)
2. Giải pháp bảo mật trong VPN
Trong khi một chính sách an toàn mạng truyền thống xác định luồng thông tin nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảo mật VPN mô tả các đặc tính của việc bảo vệ hiện trạng luồng thông tin. Theo một nghĩa nào đó, nó là một tập con của chính sách an toàn mạng , vì nó chỉ cô đọng hơn và phụ thuộc vào vấn đề cho phép luồng thông tin giữa các đích nào đó trước khi nó có thể được bảo vệ.
Một chính sách an toàn VPN mô tả hiện trạng luồng thông tin riêng được bảo vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực, mã hoá, độ dài khoá, quản lý khoá…). Chính sách an toàn VPN có thể được định nghĩa trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung để cung cấp sự quản lý và mở rộng tốt hơn. Về cơ bản, các thiết bị cần phải có các chính sách phù hợp với việc mô tả dòng lưu lượng trước khi nó được phép đi vào các thiết bị.
Một số giải pháp đảm bảo an toàn cho mạng VPN:
Sử dụng tường lửa (Firewall): là rào chắn vững chắc giữa mạng riêng và Internet. Có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Sử dụng mật mã truy cập: Có hai loại là mật mã riêng và mật mã chung
- Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được.
- Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép mã hóa hầu như bất cứ thứ gì.
Sử dụng các giao thức bảo mật:
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc cả ngoài được mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng.
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).
Sử dụng máy chủ AAA:
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.