Tài liệu Tiểu luận Mạng riêng ảo VPNs: Chương 1: Giới thiệu VPNs
Tổng quan
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau...
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể g...
251 trang |
Chia sẻ: hunglv | Lượt xem: 1405 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Tiểu luận Mạng riêng ảo VPNs, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Chương 1: Giới thiệu VPNs
Tổng quan
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau...
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs). Chính điều này là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay.
Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩ thuật VPN.
I. Giới thiệu VPNs:
1. Một số khái niệm VPNs
Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPNs. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý.
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point.
Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau:
v Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa:
Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó.
Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó.
Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES).
v Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption)
v Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công.
2. Sự phát triển của VPNs
VPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM
3. Giao thức đường hầmVPN:
Có 3 giao thức đường hầm chính được sử dụng trong VPNs:
a. IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng. Không giống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng.
b. Point-to-Point Tunneling Protocol (PPTP). Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nó được đề xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hảnh Windows.
c. Layer 2 Tunneling Protocol (L2TP). Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP. Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM.
Trong 3 phương thức trên thì phương thức IPSec vẫn được sử dụng phổ biến nhất.
4. Ưu điểm và khuyết điểm của VPNs
a. Ưu điểm:
Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP).
Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng.
Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính
Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.
Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
b. Khuyết điểm:
Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs.
Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng.
5. Đánh giá VPNs:
Đánh giá các mạng sử dụng giải pháp VPN, người ta thường sử dụng các tiêu chí sau:
Bảo mật: Do truyền nhạy cảm và quan trọng của công ty được truyền qua mạng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng. Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải. Có cơ chế mã hóa dữ liệu đủ khả năng mã hóa dữ liệu an toàn.
Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh nghiệp của bạn là giải pháp chọn lựa phải phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống vius hay các hệ thống bảo mật khác. Một điểm nữa cần chú ý là toàn thể giải pháp cần được quản lý bởi chỉ một ứng dụng.
Sự thích nghi giữa (interoperablility) các thiết bị từ nhiều nhà cung cấp: Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (Quality of Service - QoS) rất khó đạt được. Do đó thiết bị cần được kiểm tra thích nghi trước khi lắp đặt chúng vào mạng VPN. Các nhà chuyên môn khuyến cáo để đạt chất lượng tốt truyền tin thì các thiết bị nên từ 1 nhà cung cấp. Điều này đảm bảo sự thích nghi các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất.
Quản lý VPN tập trung: Điều này giúp dễ dàng cấu hình, quản lý và khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là phần mềm quản lý luôn ghi lai các hoạt động hệ thống (logs), điều này giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống.
Dễ dàng bổ sung các thành phần khác: Giải pháp VPN có thể dễ dàng bổ sung và cấu hình. Nếu thành phần bổ sung có kích thước lớn thì bạn phải chắc chắn rằng phần mềm quản lý đủ khả năng ghi và theo dõi số lượng lớn tunnel bổ sung của hệ thống.
Sử dụng dễ dàng: Phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp đối để người dùng cuối có thể bổ sung nếu cần thiết. Thêm vào đó qusa trình xác nhận và giao diện phải dễ hiểu và sử dụng.
Khả năng nâng cấp (Scalability) Mạng VPN đang tồn tại phải có khả năng nâng cấp, thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại.
Performance: Mã hóa, mặt rất quan trọng của của VPNs, được thực hiện chủ yếu nhờ CPU. Do đó, điều cần thiết là lựa chọn thiết bị sao cho nó không chỉ đơn thuần là thích nghi với nhau mà nó còn có thể thi hành nhiệm vụ như mã hóa dữ liệu nhanh chóng và hiệu quả. Nếu không thì chất lương thấp một bộ phận có thể làm giảm chất lượng của toàn bộ hệ thống VPN
Quản lý băng thông: Để đảm bảo truyền tin, luôn sẵn sàng và đảm bảo QoS thì việc quản lý băng thông hiệu quả là điều vô cùng quan trọng. Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty.
Chọn nhà cung cấp dịch vụ internet (ISP): ISP được chọn phải đáng tin cậy và có khả năng cung cấp và hỗ trợ cho người sử dụng VPN và quản trị mạng bất cứ khi nào. Điều này thực sự quan trọng nếu ISP của bạn cho phép bạn quản lý dịch vụ. Bạn cũng phải chắc chắn rằng hướng phát triển tươn lai của ISP sẽ cho ra các dịch vụ mà bạn tìm kiếm và quan trọng hơn là nó có thể cung cấp các dịch vụ phi vật thể về phân vùng địa lý(services immaterial to geographic location.)
Bảo vệ mạng khỏi các dữ liệu không mong muốn: Bằng cách kết nối trực tiếp Internet, VPNs có thể bị cản trở bởi các dữ liệu không mong muốn là cản trở truyền tin của mạng. Trong truơng hợp khẩn cấp, dữ liệu này có thể làm tràn ngập mạng intranet dẫn đến sự ngưng kết nối và dịch vụ. Do dó, tunnel VPN cần được cung cấp một cơ chế lọc các thành phần non-VPN. Cơ chế này có thể bao gồm dịch vụ hạn chế băng thông hay chính sách (These mechanisms might include bandwidth reservation services or a policy of not assigning global IP addresses to the nodes located within the network, thus blocking the unauthorized access to these nodes from the public network.)
II. Các dạng của VPNs:
Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:
+ Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời gian nào.
+ Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau
+ Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.
Dựa trên tiêu chí đó có thể phân loại VPNs thành 3 nhóm chính:
Remote Access VPNs
Intranet VPNs
Extranet VPNs
Remote Access VPNs:
Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống. Hệ thống bao gồm các thành phần chính:
Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủy quyền của yêu cầu truy cập từ xa.
Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà khoảng cách xa
Nhân sự: những người có trách nhiệm cấu hình hệ thống, bảo trì và quản lý RAS và hỗ trợ người dùng ở xa.
Để nâng cấp Remote Access VPNs, người dùng xa và các văn phòng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâm thông qua Internet. Mô hình thiết lập Remote Access VPN được mô tả ở hình 1-3
v Ưu khuyết điểm của Remote Access VPNs so với Remote Access truyền thống:
Không có thành phần RAS và các thành phần modem liên quan
Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP
Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương. Do đó chi phí vận hành giảm rất nhiều.
Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa.
VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất.
Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểm còn tồn tại của Remote Access truyền thống:
Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS.
Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự
Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt.
Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền.
2/ Intranet VPNs:
Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô hình được mô tả như hình 1-4:
Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet.
Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống. Giải pháp VPNs được mô tả như hình 1-5:
v Ưu điểm:
Giảm chi phí cho router được sử dụng ở WAN backbone.
Giảm số nhân sự hỗ trợ ở các nơi, các trạm
Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-to-peer mới.
Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh như FR
Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn. Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất nhiều.
v Khuyết điểm:
Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet - mạng chia sẻ công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ (denial-of-service)
Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo.
3/ Extraner VPNs:
Không giống như giải pháp của intranet VPNs và remote access VPNs, extranet VPNs không tách riêng với thế giới ngoài. Extranet VPNs cho phép điều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong hoạt động thương mại của tổ chức
Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở hình1-6
Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài. Do đó sẽ vận hành và quản lý rất phức tạp các mạng khác nhau. Ngoài ra yêu cầu nhân sự để bảo trì và quản lý hệ thống phức tạp này trình độ cao. Ngoài ra, với thiết lập dạng này sẽ không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài khác.
Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extraner VPNs được mô tả như hình 1-7:
v Ưu điểm:
Giảm chi phí rất nhiều so với phương pháp truyền thống
Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn.
Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức
Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống.
v Khuyết điểm:
Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại
Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo.
Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp.
v Tổng kết chương 1:
Trong chương này, bạn đã được giơi thiệu khái quát về kỹ thuật VPN. Bên cạnh những kỹ thuật cơ bản, chúng ta cũng đã biết được các ưu điểm cũng như nhược điểm của VPN. Chương một này cũng đề cập đến các dạng của mạng VPN hiện tại. Đối với người dùng phổ thông thì vai quan trọng nhất của VPN chính là khả năng bảo mật cao và chi phí đầu tư hợp lý.
Chương 2 : Các yêu cầu, các khối
Và kiến trúc của mạng riêng ảo
Các bạn đã biết ở chương trước rằng một mạng riêng ảo là một phương pháp tương đối an toàn và bảo mật bằng việc thiết lập kết nối nội bộ trong mạng công cộng.Mạng riêng ảo không chỉ làm giảm giá thành của việc thực thi một môi trường mạng có độ an toàn rất cao, mà còn làm giảm giá thành quản lý và nhân viên.Thêm nữa, nó cung cấp một cách sử dụng băng thông mạng một các hiệu quả và có độ uyển chuyển, độ sẵn sàng cao.
Cái gì dẫn đến việc đưa ra giải pháp dựa trên mạng riêng ảo ? Các thành phần và các yêu cầu của mạng riêng ảo là gì ? Các khối được xây dựng của mạng riêng ảo là gì? Các kiến trúc mạng riêng ảo có thể có ? Đó là các câu hỏi mà chúng ta sẽ giải quyết trong chương này.
I/ Các yêu cầu của Mạng riêng ảo:
Một mạng riêng ảo là một phiên bản đã được cải tiến và chỉnh sửa của mạng cá nhân, nó cho phép bạn nâng cấp mạng LAN hoặc mạng nội bộ được thiết lập cùng với Internet và các mạng công cộng khác để truyền thông một cách an toàn và kinh tế.Vì thế, hầu hết các yêu cầu của mạng riêng ảo và các yêu cầu của mạng cá nhân truyền thống thì gần như là giống nhau. Tuy nhiên, các yêu cầu sau là các yêu cầu nổi bật trong trường hợp VPNs
Tính an toàn ( bảo mật)
Tính sẵn sàng
Chất lượng dịch vụ
Độ tin cậy
Độ tương thích
Và có thể quản lý được
1. Tính an toàn:
Các mạng cá nhân và các mạng nội bộ cho một môi trường có độ an toàn cao bởi vì các tài nguyên mạng không được cấp phát cho công cộng. Vì thế khả năng của một người không được phép truy cập vào mạng nội bộ và tài nguyên của nó là cực thấp. Tuy nhiên, giả định đó có thể không còn đúng cho VPNs vì mạng riêng ảo sử dụng Internet và các mạng công cộng khác như : mạng điện thoại chuyển mạch công cộng (PSTN). Việc thiết lập mạng riêng ảo sẽ tạo cho các hacker và cracker một cơ hội thuận lợi để truy cập vào mạng cá nhân và dữ liệu chạy tới nó thông qua mạng công cộng.Điều đó dẫn đến kết quả là, độ an toàn và tin cậy là không có. Do đó các phương pháp bảo mật cao cấp và toàn diện phải được thực hiện một cách nghiêm ngặt.
Dữ liệu và tài nguyên trong mạng có thể được bảo mật bằng các cách sau :
Sự hiện thực của ngoại vi phụ thuộc vào các kỹ thuật mà chỉ cho phép luồng giao thông được phép từ các nguồn tin cậy vào mạng và khóa tất cả các luồng giao thông khác.Tường lửa và Sự dịch chuyển địa chỉ mạng là các ví dụ của cơ chế bảo vệ, được hiện thực tại điểm mà tại đó mạng cá nhân hay mạng nội bộ được kết nối vào mạng công cộng. Các bức tường lửa không chỉ xem xét kỹ luồng giao thông đi vào mà còn cả luồng giao thông đi ra, do đó đảm bảo được một mức an toàn cao. Mặt khác NATs không cho thấy địa chỉ IP thực của các nguồn trong mạng. Và kết quả là, hacker và các attacker khác không thể nhắm vào một nguồn xác định nào trong mạng nội bộ bởi vậy cho nên dữ liệu được lưu trữ ở đó.
Việc hiện thực sự xác nhận user và packet để thiết lập định danh của người sử dụng và xác định anh ấy hoặc cô ấy có quyền truy cập vào các tài nguyên của VPN trong mạng. Mô hình AAA ( Authentication Authorization Accounting) là một ví dụ của một hệ thống xác nhận người sử dụng một cách toàn diện. Đầu tiên, nó xác nhận người dùng truy cập vào mạng. Sau khi người dùng được xác nhận thành công, người dùng chỉ có thể truy cập vào các nguồn tài nguyên được cấp phép. Thêm vào đó, một nhật ký hoạt động chi tiết của tất cả các users trong mạng được lưu trữ, điều này sẽ cho phép quản trị mạng biết được các hành vi trái phép.
Việc thực thi kỹ thuật mã hóa dữ liệu để bảo đảm tính xác thực, tính toàn vẹn, và tính tin cậy của dữ liệu trong khi dữ liệu được truyền qua một mạng tương tác không tin cậy. IPSec ( Internet Protocol Security) xuất hiện như một trong những kỹ thuật mã hóa dữ liệu mạnh mẻ. Nó không những mã hóa dữ liệu được truyền, mà còn cho phép xác thực mỗi user và mỗi packet một cách riêng rẽ.
Các phương pháp bảo mật VPN nên được chọn với sự quan tâm đặc biệt. Chúng nên không những dễ thực hiện và quản lý mà còn phải chịu được bất cứ sự vi phạm truy cập từ các người sử dụng trong mạng. Thêm vào đó, quá trình đăng nhập của người dùng phải nên nhanh và dễ dàng để mà người dùng không gặp bất cứ trở ngại nào khi truy cập vào VPN.
2. Sự sẵn sàng và Sự tin cậy
Sự sẵn sàng liên quan đến tổng thời gian thiết lập mạng. Trong các mạng cá nhân và mạng nội bộ uptime thì tương đối cao bởi vì kiến trúc hạ tầng tổng thể thì thuộc quyền sở hữu và kiểm soát hoàn toàn của tồ chức. Tuy nhiên, VPNs sử dụng các mạng nội bộ trung gian dưới dạng Internet và PSTNs. Vì thế, Các thiết lập dựa trên VPNs thì phụ thuộc cao vào mạng internet trung gian. Trong trường hợp này, hệ số sẵn sàng phụ thuộc cao vào ISP ( Internet Service Provider) bạn dùng
Tổng quát, ISPs bảo đảm tính sẵn sàng dưới dạng của một SLA( Service level Agreement). Một SLA là một sự thoả thuận được ký giữa ISP và người sử dụng để bảo đảm uptime của mạng. Mặc dù hơi đắt, một vài ISPs cung cấp uptime mạng cao tới 99 phần trăm.
Nếu tổ chức của bạn mong đợi sự sẵn sàng cao, và tìm kiếm một nhà cung cấp dịch vụ mà cung cấp một cơ sở hạ tầng chuyển mạch xương sống. Điều này bao gồm :
Khả năng định tuyến mạnh mẽ, cho phép định tuyến lại luồng giao thông qua một đường thay thế trong trường hợp đường truyền chính hư hoặc bị nghẽn mạch. Để bảo đảm hiệu suất tối đa, khả năng định tuyến này cũng phải hỗ trợ các chức năng để chỉ rõ các tuyến ưu tiên khi cần
Sự dư thừa các đường truy cập, được sử dụng để cung cấp nhu cầu tăng cao về băng thông của mạng.
Sự tin cậy là một yêu cầu chính khác của VPNs và nó được kết hợp chặt chẽ với hệ số sẵn sàng. Độ tin cậy của các giao dịch của VPNs bảo đảm sự cấp phát dữ liệu 2 đầu trong tất cả các trường hợp. Giống như hầu hết các thiết lập của các mạng khác, độ tin cậy của môi trường dựa trên VPN có thể đạt được bằng các gói chuyển mạch tới các đường khác, nếu một đường kết nối cho trước hay thiết bị trong đường truyền hư hỏng. Toàn bộ quá trình này thì rõ ràng cho người sử dụng cuối cùng và có thể đạt được bằng cách thực thi dư thừa trong các kết nối cũng như phần cứng
3. Chất lượng của dịch vụ:
Chất lượng của dịch vụ là khả năng của một mạng đáp ứng lại các trường hợp tiêu chuẩn bằng cách cấp phát một tỷ lệ băng thông mạng cao hơn và các tài nguyên cho một nhiệm vụ tới hạn và các ứng dụng nhạy với trễ. Các ứng dụng, như là giao dịch tài chính và xử lý đơn đặt hàng, rất quan trọng đối với tiền đồ kinh doanh hơn là các hoạt động của người dùng như là lướt web. Một cách tương tự, các ứng dụng như là hội thảo video cực nhạy với trễ và yêu cầu băng thông đủ rộng để tránh chất lượng xấu của sự truyền và jitters. Nó là đáp ứng của QoS để cấp đủ băng thông đủ cho các ứng dụng không có trễ.
QoS bao gồm 2 tiêu chuẩn latacy và throughput. Latency là sự trễ trong một truyền thông và cực kỳ quan trọng với các ứng dụng âm thanh và video.Throughput liên quan tới sự sẵn sàng của băng thông thích hợp với tất cả các ứng dụng, đặc biệt là các nhiệm vụ tới hạn và các ứng dụng đòi hỏi nhiều băng thông
Giống như tính sẵn sàng, QoS cũng phụ thuộc vào một SLA. Với sự giúp đỡ của một SLA, một nhà cung cấp dịch vụ thoả hiệp một mức độ nào đó của latency và throughput tới người đăng ký.Nếu bất cứ thời gian nào mức độ latency và throughput được cung cấp bởi nhà cung cấp dịch vụ thấp hơn được hứa trong SLA, sự thoả thuận đã bị xâm phạm. Trong cách này, một tổ chức có thể bảo đảm rằng nó nhận được với mức độ mà nhà dịch vụ đã hứa.
Phụ thuộc vào mức độ latency và throughput được hứa bởi nhà cung cấp dịch vụ và có hể được chia thành 3 loại sau :
Best Effort QoS : lớp dịch vụ này, chỉ ra sự không có QoS bởi vì nhà cung cấp dịch vụ không bảo đảm cả về latency cả throughput. Bởi vì điều này, Best Effort QoS là lớp dịch vụ rẻ nhất và không được sử dụng cho các luồng giao thông cần nhiều băng thông hoặc nhạy với trễ.
Relative QoS : Lớp dịch vụ này có khả năng ưu tiên luồng dữ liệu. Vì thế, ít nhất throughput được đảm bảo. Tuy nhiên, việc đảm bảo này thì không tuyệt đối và phụ thuộc vào tải trên mạng và phần trăm của luồng cần được ưu tiên tại một điểm thời gian xác định. Đây là lớp có chi phí vừa phải và là trung gian cho các ứng dụng cần nhiều băng thông.
Absolute QoS : Lớp này đảm bảo cả throughput lẫn latency. Vì thế, nó là lớp dịch vụ mắc nhất và cung cấp cho các ứng dụng cần nhiều băng thông và nhạy với trễ.
Best effort QoS được cung cấp cho các người sử dụng Internet riêng rẽ mà cần kết nối để lướt web. Mặt khác Absolute QoS được dùng cho các giao dịch audio và video thời gian thực. Relative QoS thì thích hợp cho extranet và truy cập từ xa mà không yêu cầu throughput cực cao hoặc tối thiểu. Trong thế giới thực, các tổ chức tổng quát thường sử dụng một sự kết hợp của 3 lớp dịch vụ để thỏa nhu cầu của mạng công ty theo một cách hiệu quả nhất
Trong VPNs, QoS cung cấp hiệu suất đoán được và sự thực thi chính sách với các ứng dụng khác nhau mà chạy trên VPN. Trong cấu trúc VPN, một chính sách được sử dụng để phân loại các ứng dụng, mỗi người dùng riêng rẽ, hoặc các nhóm người sử dụng trên nền tảng quyền ưu tiên được chỉ rõ.
4. Có thể quản lý được :
Việc điều khiển hoàn toàn của các tài nguyên mạng và các hoạt động, cùng với sự quản lý phù hợp, là các vấn đề rất quan trọng cho tất cả các tổ chức với mạng trải rộng ra toàn cầu. Trong tình huống này, hầu hết các tổ chức được kết nồi với nguồn tài nguyên khắp nơi của họ với sự giúp đỡ của các nhà cung cấp dịch vụ.. Và kết quả là, điều khiển 2 đầu cuối của một mạng nội bộ của một tổ chức là không thể bởi vì có sự hiện diện trung gian của mạng nội bộ của ISP. Trong trường hợp này, các tổ chức quản lý nguồn tài nguyên của họ cho tận đến các mạng của công ty, trong khi các nhà cung cấp dịch vụ quản lý các thiết lập mạng riêng của họ.
Với sự sẵn sàng của các thiết bị VPN hiện có và sự thỏa thuận giữa ISP và tổ chức, nó có thể loại bỏ các giới hạn truyền thống của sự quản lý tài nguyên, và quản lý toàn bộ các phần công công và riêng của VPN 2 đầu. Một tổ chức bây giờ có thể quản lý, giám sát, dò ìim lỗi và bảo trì mạng riêng của nó như trong mô hình truyền thống. Tổ chức có sự điều khiển hoàn toàn của sự truy cập mạng và có quyền để giám sát trạng thái thời gian thực, hiệu suất của việc thiết lập VPN, và ngân quỹ được cấp. Thêm vào đó, một tổ chức cũng có thể giám sát phần công cộng của VPN. Trong một cách thông thường, một nhà cung cấp dịch vụ quản lý và điều khiển phần sở hữu của cơ sở hạ tầng của nó. Tuy nhiên, nếu cần thiết, ISP có thể quản lý toàn bộ cơ sở hạ tầng, bao gồm cơ sở hạ tầng VPN của tổ chức đăng ký.
5. Sự tương thích:
Như các bạn đã biết trước đây, VPNs sử dụng mạng công cộng cho các kết nối khoảng cách dài. Các mạng nội bộ trung gian có thể vừa dựa trên IP, như là Internet, và có thể dựa trên các kỹ thuật chuyển mạch khác, như Frame Relay (FR) và Aynchronous Mode (ATM). Vì thế VPNs nên có thể lợi dụng các loại giao thức và kỹ thuật cơ bản.
Trong trường hợp mạng nội bộ trung gian dựa trên IP, VPNs phải có khả năng sử dụng địa chỉ IP và các ứng dụng của IP. Để đảm bảo sự tương thích với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể tích hợp vào VPNs :
Sử dụng IP gateways : IP gateway chuyển các giao thức không IP thành IP và ngược lại. Các thiết bị có thể hoặc là các thiết bị chuyên dụng hoặc có thể là các giải pháp dựa trên phần mềm. Như các thiết bị phần cứng, các IP gateway được hiện thực tại các cạnh của mạng nội bộ của tổ chức.Như các giải pháp dựa trên phần mềm, các IP gateway được cài đặt trên mỗi server và thường chuyển luồng giao thông từ giao thức không IP thành IP và ngược lại. Novell’s IP Gateway của NetWare la một ví dụ. Nó chuyển luồng IPX thành IP và ngược lại.
Use of Tunneling : đường hầm, như đã biết ở chương trước, là một kỹ thuật bao đóng các gói dữ liệu không IP thành các gói IP cho việc truyền xuyên qua cơ hở hạ tầng dựa trên IP. Ở đầu kia, khi nhận các gói này từ đường hầm, xử lý và loại bỏ IP header để chiết xuất lại được thông tin gốc
Use of Virtual IP Routing (VIPR) : như thấy ở hình 2.1, VIPR hoạt động bằng cách phân chia logic một router vật lý đặt ở cuối của nhà cung cấp dịch vụ ( như là một bộ phận của cơ sở hạ tầng của ISP ). Mỗi phần được cấu hình và quản lý như là một router vật lý và có thể hỗ trợ một VPN riêng. Nói một cách đơn giản hơn, mỗi phần logic được xử lý như là một router hoàn chỉnh với đầy đủ các chức năng của một router. Vì thế, các phần router logic này có thể hỗ trợ nhiều giao thức và có khả năng xử lý các địa chỉ IP riêng
Trong trường hợp giao thức và kỹ thuật không IP như Frame Delay và ATM, kỹ thuật Virtual Private Trunking ( VPT) được sử dụng. Kỹ thuật VPT được miêu tả ở hình 2-2. VPT tương thích với một khoảng rông các giao thức và dựa vào kỹ thuật chuyển mạch gói. Vì thế, nó lợi dụng Permanent Virtual Circuits (PVCs) và Switched Virtual Circuits (SVCs) cho việc truyền dữ liệu. Đối với một giao dịch thành công, VPT cần một thiết bị WAN, như là router, cũng là để hỗ trợ khả năng FR và ATM. Để đảm bảo giao dịch hiệu quả vế mặt chi phí, PVCs thường được dùng để kết nối các nơi trong một mạng riêng hoặc một mạng nội bộ SVCs, mặt khác, cũng được sử dụng để kết nối các điểm trong mạng nội bộ mở rộng.
II/ Cấu trúc khối VPN
Như ở hình 2-3, sáu thành phần cơ bản tạo thành một giải pháp dựa trên VPN hoàn chỉnh. Các khối xây dựng VPN được liệt kê dưới đây
Phần cứng VPN bao gồm các sever VPN, khách hàng, và các thiết bị phần cứng khác như VPN routers, gateways và concentrator
Phần mềm VPN bao gồm các phần mềm server và client và các công cụ quản lý VPN
Cơ sở hạ tầng bảo mật của sự tổ chức, bao gồm các giải pháp dựa trên AAA, RADIUS, TACACS, NAT `
Cơ sở hạ tầng được hỗ trợ bởi nhà cung cấp dịch vụ bao gồm xương sống chuyển mạch truy cập mạng của nhà cung cấp dịch vụ và xương sống Internet
Mạng công cộng bao gồm mạng Internet, mạng chuyển mạch điện thoại công cộng và Plain Old Services (POTS)
Đường hầm, có thể được dựa trên PPTP, L2TP hoặc L2F
Trong tất cả các khối được đề cập ở trên, bạn đã được giới thiệu đường hầm và kỹ thuật đường hầm trong chương 1 “ giới thiệu về VPNs”. Kỹ thuật đường hầm sẽ được thảo luận chi tiết ở chương 4 “ Tìm hiểu về kỹ thuật đường hầm”. Vì thế để tránh các khái niệm lập lại không cần thiết, các đường hầm không được thảo luận ở đây
1. Phần cứng VPN:
Như đã đề cập ở trên, phần cứng VPN thì được tạo thành các server VPN, các client VPN và các thiết bị phần cứng khác, như là routers và concentrators.
a. VPN Servers:
Tổng quát, VPN servers là các thiết bị mạng chuyên dụng chạy phần mềm server. Phụ thuộc vào các yêu ầu của tổ chức, có thể có một hay nhiều VPN server. Bởi vì một server VPN phải cung cấp các dịch vụ cho các khách hàng VPN ở xa cũng như ở địa phương, chúng luôn sẵn sàng và sẵn sàng chấp nhận các yêu cầu.
Chức năng chính của các VPN server bao gồm các nhiệm vụ sau :
Lắng nghe các yêu cầu kết nối cho VPN
Dàn xếp các yêu cầu và thông số kết nối, như là kỹ thuật mật mã và kỹ thuật xác nhận
Sự xác nhận và sự cấp phép cho khách hàng VPN
Chấp nhận dữ liệu từ khách hàng hoặc chuyển tiếp dữ liệu yêu cầu bởi khách hàng
Như là điểm cuối của đường hầm và kết nối VPN. Một điểm cuối khác được cung cấp bởi người cuối cùng yêu cầu phiên VPN
VPN Severs có thể hỗ trợ hai hay nhiều card mạng. Một hay nhiều card được sử dụng để kết nối chung vào mạng nội bộ của tổ chức, trong khi các cái khác thường được sử dụng để kết nối chúng vào internet. Trong trường hợp sau cùng, VPN servers giống như VPN gateway hay router.
v Lưu ý Một VPN Server có thể hoạt động như một gateway hay một router chỉ nếu số lượng yêu cầu hoặc số người sử dụng thấp ( cho tới 20). Nếu VPN server phải hỗ trợ một lượng lớn các users và hoạt động như là một router hoặc một gateway, gánh nặng của đường hầm, mã hóa, xác nhận, tường lửa và định tuyến sẽ làm cho server chạy chậm, kéo theo hiệu suất của toàn hệ thống giảm Thêm vào đó, rất khó để bảo vệ thông tin được lưu trữ trên server. Vì thế VPN Sever phải thật chuyên nghiệp để chỉ phục vụ khách VPN và các yêu cầu
b. VPN Clients
VPN Clients là các máy cục bộ hay ở xa khởi tạo một kết nối VPN với VPN Server và vào mạng từ xa sau khi chúng đã được xác nhận tại cuối của mạng từ xa. Chỉ sau khi đăng nhập thành công VPN server và client có thể giao tiếp với nhau. Tổng quát, một VPN Client là một phần mềm. Tuy nhiên nó cũng có thể là phần cứng chuyên dụng. Một router phần cứng VPN với khả năng định tuyến cuộc gọi theo yêu cầu, cái mà quay số tới router phần cứng VPN khác, là một ví dụ của thiết bị phần cứng chuyên dụng
Với sự gia tăng lực lượng lao động của một tổ chức, rất nhiều người dùng (VPN clients) có các dữ liệu không đồng bộ. Các người dùng này có thể sử dụng VPN để trao đổi một cách an toàn tới mạng nội bộ của tổ chức. Các mô tả tiểu biểu của một VPN client bao gồm các phần sau ( hình 2-4)
Các người giao tiếp từ xa sử dụng Internet hoặc mạng công cộng để kết nối nguồn tài nguyên của tổ chức từ nhà
Những người sử dụng laptops, palmyops và notebooks, những người mà sử dụng mạng công cộng để kết nối với mạng nội bộ của tổ chức để truy cập mail và các tài nguyên nội bộ khác.
Các nhà quản trị từ xa, những người sử dụng mạng công cộng trung gian, như là internet, để kết nối với các nơi ở xa để quản lý giám sát, khắc phục sự cố, hoặc cấu hình các dịch vụ và thiết bị
c. VPN Routers, Concentrators và gateways
Trong trường hợp các thiết lập VPN nhỏ, VPN server có thể thực hiện nhiệm vụ định tuyến. Tuy nhiên, kiểu làm này không hiệu quả trong trường hợp các thiết lập VPN lớn bao gồm số lượng khổng lồ các yêu cầu. Trong các trường hợp như vậy, một thiết bị định tuyến VPN riêng được sử dụng. Tổng quát một router là một điểm cuối của mạng cá nhân nếu nó không có tường lửa phía sau. Nhiệm vụ của VPN router là làm cho các phần ở xa trong mạng nội bộ có thể liên lạc được với nhau. Vì thế, các router có nhiệm vụ chính là tìm tất cả các đường đi có thể đến điểm đích trong mạng và chọn đường ngắn nhất trong tập các đường có thể như trong trường hợp của mạng truyền thống.
Mặc dù các routers thông thường có thể được sử dụng trong VPN, các chuyên gia đề nghị nên sử dụng các router tối ưu cho VPN. Các router này, khác với các router thường ở chỗ, cung cấp luôn các giải pháp bảo mật, tính khả chuyển và chất lượng dịch vụ dưới dạng dư thừa các đường đi. Router Cisco 1750 Modular Access là một ví dụ tiêu biểu.
v Lưu ý : Các đặc tính thêm vào router thì khá phổ biến trong VPN. Routers với các đặc tính thêm vào không phải là các router thật sự nhưng là một sự cải tiến các router truyền thống làm cho chúng làm việc trong môi trường VPN. Router add-ons được cài đặt hoặc tại giao diện của LAN hoặc tại giao diện của WAN của một router thông thường và cung cấp các khả năng xác nhận, mã hóa và đường hầm cho router. Sử dụng các đặc tính thêm vào này có thể giảm giá thành của VPN đáng kể bởi vì tổ chức có thể năng cấp các router hiện có của họ. Tuy nhiên, ban đầu có một ít khó khăn và tốn nhiều thời gian để cài đặt, cấu hình và kiểm tra lỗi
Giống như hubs được sử dụng trong các mạng truyền thống, VPN concentrator được sử dụng để thiết lập các truy cập từ xa quy mô nhỏ vào VPN. Bên cạnh việc gia tăng dung lượng và throughput của VPN, các thiết bị này thường cung cấp một hiệu suất sẵn sàng cao, và khả năng mật mã tiên tiến và khả năng xác nhận. Concentrator Cisco Series 3000 và 5000 và VPN Altiga là một vài các concentrator thông dụng
IP gateways, như đã thảo luận ở phần đầu, chuyển các giao thức không IP thành các giao thức IP và ngược lại. Kết quả là các gateways này cho phép các mạng cá nhân hỗ trợ các giao dịch dựa trên IP. Các thiết bị này có thể hoặc là các thiết bị chuyên dụng hoặc là các giải pháp dựa trên phần mềm.Nếu sử dụng các thiết bị phần cứng, IP gateways được thực hiện ở rìa mạng nội bộ của tổ chức. Nếu sử dụng giải pháp dựa trên phần mềm, IP gateways được cài đặt trên mỗi server và được sử dụng để chuyển các luồng lưu thông từ không IP thành IP. IP gateways Novell Border Manager là các ví dụ tiêu biểu.
2. Phần mềm VPN
Giải pháp phần mềm được sử dụng trong VPN có thể được chia thành 3 loại lớn
VPN server sofware Microsoft ‘ Windows 2000, các phiên bản của Windows NT, Novell’s Netware và Linux là các hệ điều hành được cài đặt trên một VPN server. Nói cách khác, tất cả các máy có các hệ điều hành mạng trên thì được sử dụng để phục vụ các yêu cầu của VPN client và được xem như là một VPN server
VPN client software : tất cả các máy trong mạng mà gởi một yêu cầu tới một VPN server thì được xem như là một VPN client. Các hệ điều hành như là Windows 95/98 hoặc các hệ điều hành khác được sử dụng trên một VPN client thì được gọi là VPN client software. Có một lưu ý khá thú vị là các VPN client không sẵn sàng như là các thốêt bị phần cứng như các VPN server. Tuy nhiên trong trường hợp định tuyến cuộc gọi theo yêu cầu, phần cứng VPN có thể có một VPN client gắn liền
Các công cụ và ứng dụng quản lý VPN : chúng là các ứng dụng và công cụ được sử dụng để quản lý các thiết lập dựa trên VPN. các ứng dụng này đường sử dụng để quản lý, kiểm tra giám sát, và khắc phục lỗi. Novell’Border Management và Cisco Policy manager là các ví dụ tiểu biểu cho các công cụ quản lý VPN. Microsoft ‘s Window 2000 cũng cung cấp một số công cụ khác nhau như RRAS snapin cho MMC cho mục đích quản lý VPN
v Lưu ý :Theo thời gian, các giải pháp VPN dựa trên phần mềm trở nên rẻ hơn và dễ dàng cấu hình hoặc tinh chỉnh. Tuy nhiên chúng rất khó để thiết lập và quản lý lúc ban đầu. Ngày nay các giải pháp dựa trên phần cứng cũng đã có sẵn. “ Các hộp giải pháp” cung cấp tấc cả các chức năng trong một vì thế rất đắt. Tuy nhiên, chúng lại dễ dàng để cài đặt và cung cấp một hiệu suất cao.Nortell’s Contivity là một ví dụ điển hình của hộp giải pháp dựa trên phần cứng
3. Cơ sở hạ tầng an ninh của tổ chức
Cở sở hạ tầng an ninh của tổ chức là một thành phần quan trọng của tổng thể thiết kế VPN. Một cơ sở hạ tầng an ninh được thiết kế tốt và được lập kế hoạch tốt có thể bảo vệ mạng nội bộ của tổ chức từ các thảm hoạ trong tương lai. Cơ sở hạ tầng an ninh VPN thường là một sự kết hợp các kỹ thuật bảo mật sau :
Tường lửa
Sự dịch chuyển địa chỉ mạng
Sự xác thực của cơ sở dữ liệu và server
Kiến trúc AAA
Giao thức IPSec
a. Tường lửa
Một bức tường lửa, như đã đề cập ở trên, hoạt động như là một lớp phủ bảo mật và phục vụ như là những bức tường rào hiệu quả để ngăn chặn tất cả các nỗ lực không hợp pháp truy cập vào tài nguyên trong mạng nội bộ của tổ chức. Thêm vào chức năng chính là bảo mật một mạng nội bộ hoặc một mạng cá nhân từ các đe dọa bên ngoài, các bức tường lửa cũng có nhiệm vụ ngăn chặn tất cả các tác động xảy ra sau một sự tấn công nghiêm trọng ảnh hưởng đến toàn bộ mạng nội bộ. Các bức tường lửa có thể hoạt động trên nền tảng của các địa chỉ IP xác định, các ports được sử dụng, các loại gói, các loại ứng dụng, và thậm chí nội dung của dữ liệu.
Hình 2-5 miêu tả vị trí của các bức tường lửa trong toàn bộ hệ thống
Sự dịch chuyển địa chỉ mạng
Các thiết bị dựa trên NAT cho phép bạn kết nối tới các mạng và các tài nguyên ở xa mà không cần cho thấy địa chỉ IP của các máy chủ nội bộ trong một mạng cá nhân hoặc mạng nội bộ. Như thấy trên hình 2-6, NATs cũng được hiện thực tại ngoại vi của một mạng nội bộ và sự liên lạc được định tuyến qua chúng. Thêm vào việc cung cấp các cách bảo mật cơ bản, NATs cũng cho phép bạn tiết kiệm các địa chỉ IP
Sự xác thực của server và cơ sở dữ liệu
Dịch vụ quay số truy cập từ xa (RADIUS) và hệ thống điều khiển các truy cập ở đầu cuối ( TACACS), như trên hình 2-7, là một số cách hiện thực thường thấy của server và database xác thực.Chúng cung cấp một cơ chế xác thực và cấp quyền mạnh mẽ. Các thiết bị này hiệu quả nhất khi chúng được đặt trong nhà của một mạng nội bộ của tổ chức và nhận mỗi yêu cầu xác thực từ đầu nhà cung cấp dịch vụ
TACACS thuộc quyền sở hữu của Cisco, nhưng cũng có giao thức AAA cung cấp một sự tương thích với RADIUS. Giao thức này được gọi là Diameter
Khi một server dựa trên kỹ thuật RADIUS hoặc TACACS nhận một yêu cầu xác thực nó chỉ được xác nhận chỉ nếu thông tin liên quan được lưu trữ cục bộ.Mặt khác, truy vấn được chuyển đến một cơ sở dữ liệu trung tâm, được thiết kế chuyên dụng để lưu trữ thông tin liên quan của các người dùng ở xa. Nhờ vào nhận được sự trả lời, các server dựa trên RADIUS hay TACACS liên lạc tương tự với Network Access Server (NAS) tại đầu ISP để thiết lập một kết nối VPN hoặc không chấp nhận yêu cầu kết nối. Trong cách thực hiện này, một tổ chức có thể sử dụng toàn quyền đối với các cố gắng truy cập từ xa mặc dù sự hiện diện của mạng nội bộ của nhà cung cấp dịch vụ trung gian
b. Kiến trúc AAA
Authentication Authorization Accounting là một cơ chế xác thực được thực hiện phổ biến và được thực thi trong hầu hết các truy cập từ xa cũng như các truy cập địa phương. Cơ chế bảo mật này có thể được thực hiện như là một kỹ thuật bổ phụ cho RADIUS/TACACS, do đó thêm vào một lớp khác của việc xác thực
AAA cung cấp các gỉai pháp cho hầu hết các vần đề cơ bản liên quan đến truy cập từ xa. Chúng bao gồm
Ai đang truy cập vào mạng ?
Các dịch vụ và tài nguyên nào người sử dụng được phép truy cập ?
Các hoạt động của người dùng là gì và hiệu suất của chúng như thế nào ?
Khi một NAS đặt tại ISP và nhận một yêu cầu kết nối từ xa, nó ủy nhiệm yầu cầu tới server AAA tại đầu của tổ chức. Server này xác thực khách hàng và khi xác thực thành công thì quyết định các tài nguyên và dịch vụ nào mà người sử dụng được phép truy cập. Nếu người sử dụng cố gắng truy cập vào dịch vụ hay tài nguyên mà bị cấm, cơ chế AAA ngăn chặn truy cập và thông báo cho người sử dụng. AAA cũng theo dõi các nỗ lực của người dùng truy cập vào các nguồn tài nguyên khác nhau
c. Giao thức IPSec
IPSec là kỹ thuật bảo mật mới nhất trong lĩnh vực VPN. không giống như các kỹ thuật đã thảo luận ở trên, IPSec không nên là một giải pháp tuỳ chọn. Nó phải là một phần tích hợp của VPN bởi vì nó cung cấp một cơ chế bảo mật có độ an toàn cao và tiên tiến, cung cấp các kỹ thuật mật mã có độ đàn hồi cao và sự xác thực các gói dữ liệu riêng rẽ. Tuy nhiên, các hệ thống tại hai đầu của quá trình liên lạc phải tuân theo IPSecs để hỗ trợ các kỹ thuật xác thực và mật mã.Thêm vào đó, nêú các thiết lập VPN dùng các bức tường lửa như là một kỹ thuật bảo mật bổ phụ, các hoạt động an ninh được thiết lập trên tường lửa phải giống như IPSec Security Associations (Sas)
IPSecs cung cấp sự mật mã dữ liệu và sự xác thực giữa các thành phần sau của một thiết lập VPN
Client tới server
Client tới router
Firewall tới router
Router tới router
4. Cơ sở hạ tầng hổ trợ bởi nhà cung cấp dịch vụ
Một khối quan trọng khác trong các thiết kế VPN là cơ sở hạ tầng của nhà cung cấp dịch vụ bởi vì cơ sở hạ tầng của nhà cung cấp dịch vụ là điểm truy cập giữa mạng nội bộ của tổ chức và mạng công cộng không an toàn. Nếu cơ sở hạ tầng tại đầu của nhà cung cấp dịch vụ không có tính đàn hồi, có hiệu suất cao và an toàn, nó có thể gây ra các nút cổ chai quan trọng. Nếu các phương pháp bảo mật không nghiêm ngặt tại đầu của nhà cung cấp dịch vụ, người đăng ký mạng nội bộ của tổ chức có thể dễ bị tấn công với tất cả các loại đe dọa về an ninh, như là sự giả mạo hay sự từ chối dịch vụ. Bởi vì điều này, cơ sở hạ tầng của nhà cung cấp dịch vụ không những có hiệu suất và độ sẵn sàng cao mà còn phải cực kỳ an toàn
Độ tin cậy của cơ sở hạ tầng của nhà cung cấp dịch vụ phụ thuộc vào hai thành phần xương sống chuyển mạch truy cập mạng và xương sống Internet của ISP
Các đặc tính mà bạn nên tìm kiếm trong một xương sống chuyển mạch của nhà cung cấp dịch vụ, cái dựa trên lõi của Pint Of Presence (POP) của nhà cung cấp dịch vụ :
Nó nên có khả năng hỗ trợ một tầm rộng các kỹ thuật như Frame Relay, ATM,IP, IP multicast, Voice oiver IP (VoIP),v.v…Để phục vụ mục đích này, xương sống chuyển mạch của nhà cung cấp dịch vụ phải hỗ trợ cả Virtual IP Routing (VIPR) và Virtual Private Trunking (VPT)
Nó nên có khả năng hỗ trợ tất cả các tùy chọn phổ biến của đường hầm như là PPTP,L2TP và L2F
Nó nên uyển chuyển và thích nghi với mạng chuyển mạch nhanh.Thêm vào đó, nó nên hỗ trợ các tiêu chuẩn an toàn và sự xuất hiện của đường hầm
Nó nên cung cấp chất lượng dịch vụ cao với giá cả hợp lý. Để cực đại mức QoS, xương sống chuyển mạch truy cập mạng của nhà cung cấp dịch vụ phải cung cấp khả năng quản lý băng thông linh hoạt, gắn liền với sự nén để tăng tổng throughput và độ đàn hồi cao để chống lại các thảm hoạ ưới dạng các kết nối, nguồn cung cấp, và các thiết bị dự phòng.
Nó nên đảm bảo các phương pháp bảo mật ở mức độ cao như IPSec, RADIUS và sự chứng nhận của vật mang địa phương
Các đặc tính cần tìm ở thành phần thứ hai của cơ sở hạ tầng của nhà cung cấp dịch vụ, xương sống WAN (hay Internet), bao gồm các yếu tố sau :
Nó nên cung cấp một tầm rộng các tùy chọn truy cập WAN như đường dây IDSL,X.25, dây thuê bao, và dây T1.E1
Nó nên có khả năng xử lý các router truyền thống và các thiết bị chuyển mạch thêm vào VPN routers, switches, gateways, concentrators, và các thiết bị phần cứng VPN khác
Nó nên có khả năng xử lý một lượng lớn các cổng LAN và WAN
Nó nên cung cấp throughput cao, trễ thấp và uptime cao
Nó nên có khả năng hỗ trợ sự phát triển tiên đoán cũa VPN cũng như Internet
Nó nên phụ thuộc vào tất cả các tiêu chuẩn định tuyến công nghiệp như Routing Information Protocol(RIP), Open Shortest Path First(OSPF), Exterior Gateway Protocol(EGP) và Border Gateway Protocol(BGP)
5. Các mạng công cộng
Một ý kiến thông dụng cho là Internet là một mạng công công. Khái niệm này không đúng bởi vì con rất nhiều loại mạng công cộng đa dạng tồn tại hôm nay. Có thể phân thành các loại chính sau :
POST ( Plain Old Telephone Service) : POTS liên quan đến các dịch vụ điện thoại chuẩn bạn sử dụng ở nhà và ờ công ty.Sự khác biệt chính giữa các dịch vụ POTS và không POTS là dựa trên tốc độ của truyền thông tin POST hỗ trợ tốc độ lên tới 56kpbs. Chú ý rằng các dịch vụ điện thọai tốc độ cao như Frame Relay, ATM, FDDI v.v.. không thuộc vào loại POTS
PSTN (Public Switched Telephone Network). PSTN liên quan tới mạng dịch vụ điện thoại công cộng hướng tới âm thanh có kết nối với nhau, cái mà có thể được sử dụng cho mục đích thương mại hoặc thuộc về chính phủ.Mặc dù họ bắt đầu như là một hệ thống âm tần dựa trên dây đồng để mang tín hiệu analog, chúng đã được phát triển thành kỹ thuật số tốc độ cao như ADSL,DSL,ISDN,FDDI, Frame Delay, ATM, dựa trên kỹ thuật chuyển mạch điện và kỹ thuật chuyển mạch gói. PSTN cung cấp cơ sở chính của sự kết nối với Internet
Internet có lẻ là mạng công cộng nổi tiếng nhất ngày nay. Nó liên quan tới sự kết nối toàn cầu của mạng máy tính và các máy tính cá nhân ban đầu là một sự kết nối của 4 máy. Ngày nay Internet là một hiện tượng tự duy trì ầa không được khống chế bởi bất cứ ai – thương mại hoặc chính phủ - và có thể được truy cập bởi tất cả mọi người ở khắp mọi nơi trên thế giới. Intrenet dựa trên những cái có sẵn của POTS và PSTN, nhưng hơi khác so với 2 cái trên vì nó sử dụng cả 2 protocol TCP/IP để điều khiển và quản lý sự liên lạc
Các mạng công cộng sử dụng các kỹ thuật đa dạng cho các giao dịch thành công và nhanh. Kỹ thuật chính bao gồm :
Asymetric Digital Subscriber Line (ADSL). ADSL cho phép sự truyền số tốc độ cao trong khi sử dụng cơ sở hạ tầng của PSTN có sẵn. ADSL cung cấp các đường dây thuê bao giống các kết nối có thể thích hợp với tín hiệu tương tự và số đồng thời. ADSL cung cấp tốc độ dữ liệu khoảng 64Kbps, 128Kbps, 512Kbps, và 6Mbps
Fiber Distributed Data Interface (FDDI) : FDDI là một kỹ thuật LAN sử dụng cho truyền tín hiệu số qua cáp quang. FDDI là một kỹ thuật token-passing, nơi mà một token frame đặc biệt được sử dụng để truyền dữ liệu. Nó có thể là vòng đơn như là Token ring cũng như vòng đôi. Một mạng dựa trên vòng đơn FDDI tiêu biểu hỗ trợ tốc độ dữ liệu lên tới 100Mbps, truyền xa tới 124 dặm và có thể hỗ trợ vài ngàn người dùng. Một cơ sở hạ tầng vòng kép thì ổn định hơn và có thể truyền xa tới 62 dặm. Bởi vì các lý do này, FDDI thường được sử dụng cho xương sống truy cập WAN.Phiên bản mới nhất của FDDI gọi là FDDI -2 có thể hỗ trợ dữ liệu cũng như tín hiệu audio và video trên cùng cơ sở hạ tầng. Một phiên bản khác của FDDI, gọi là FDDI Full Duplex Technology (FFDT), có thể hỗ trợ tốc độ dữ liệu lên tới 200Mbps
Các dịch vụ tích hợp mạng số (ISDN) ISDN là kỹ thuật truyền cho phép truyền tín hiệu voice, video và dữ liệu qua cáp đồng và cáp quang. Sự thực hiện dựa trên ISDN sử dụng một ISDN adapter ( gọi là CSU/DSU) tại cả hai đầu thay vì modem truyền thống. ISDN sử dụng hai loại dịch vụ - Basic Rate Interface ( BRI) và Primary Rate Interface(PRI). BRI được sử dụng cho các người sử dụng làm việc tại nhà, trong khi PRI được sử dụng cho các tổ chức và xí nghiệp. Một giải pháp dựa trên ISDN hoàn chỉnh bao gồm cả hai loại kênh truyền : các kênh truyền B và các kênh truyền D. Các kênh truyền B dùng để mang dữ liệu voice và các tín hiệu khác. Các kênh truyền D mang thông tin tín hiệu và thông tin điều khiển. Phiên bản gốc của ISDN là baseband, cho phép một tín hiệu đơn truyền qua kênh B. Ngày nay, một phiên bản mở rộng của ISDN gọi là B-ISDN cho phép rất nhiều tín hiệu được trộn trên cùng một kênh truyền và hỗ trợ tốc độ dữ liệu lên đến 1.5Mbps.
Frame Relay : Dựa trên kỹ thuật chuyển mạch gói X25, Frame Delay là một kỹ thuật có giá cạnh tranh, chuyển dữ liệu từ LAN tới WAN. Trong Frame Delay, các frame được sử dụng cho việc giao dịch dữ liệu có kích thước khác nhau. Thêm vào đó, mọi cơ chế kiểm soát lỗi là trách nhiệm của chỉ người gửi và người nhận, dẫn đến kết quả là sự truyển dữ liệu tốc độ cao. Frame Dealy sử dụng 2 loại mạch để truyền dữ liệu : Permanent Virtual Circuits (PVCs) và Switched Virtual Circuits (SVCx). PVCs, thường được sử dụng phổ biến cho phép người sử dụng cuối sử dụng các kết nối chuyên biệt mà không cần phải đầu tư các tùy chọn đắt tiền như đường dây thuê bao. Ở Mỹ,,mạng Frame Delay hoạt động ở T1 (1.544Mbps) và T3(45Mbps). Các nhà cung cấp dịch vụ như là AT&T cung cấp các dịch vụ Frame Delay. Tuy nhiên một số công ty điện thoại cũng cung cấp tốc độ thấp cỡ 56Kbps Ở Châu Âu, tốc độ truyền Frame Delay từ 64Kbps đến 2 Mbps
Asynchronous Transfer Mode (ATM) ATM là một kỹ thuật chuyển mạch số dựa trên PVC có thể hỗ trợ tín hiệu audio, video và dữ liệu qua môi trường truyền số với tốc độ 155.5Mbps,622Mbps và lên tới 10Gbps. ATM sử dụng các frame hoặc các gói có kích thước cố định cho mục đích này. Các gói này được biết đến như là các cell, có chiều dài là 53 byte. Bởi vì các cell có kích thước nhỏ và sự thật là mỗi loại tín hiệu được đóng khung trong một cell có kích thước cố định, không có tín hiệu audio, video hay dữ liệu nào có thể làm nghẽn đường truyền., Thêm nữa, tất cả các cell đều được sắp hàng trước khi truyền và xử lý không đồng bộ bất chấp các cell khác có liên quan, điều này làm cho ATM nhanh hơn các kỹ thuật chuyển mạch khác. ATM cung cấp 3 loại dịch vụ : Constant Bit Rate(CBR), Available Bit Rate ( ABR), Variable Bit Rate ( VBR) và Unspecified Bit Rate (UBR). CBR cung cấp tốc độ bit cố định và tương tự với các đường dây thuê bao.ABR cung cấp một khả năng tối thiểu đảm bảo kể cả trong trường hợp nghẽn mạch.VBR đảm bảo các throughput xác định và thường được sử dụng cho các buổi hội thảo video. UBR không đảm bảo throughput và được sử dụng để truyền dữ liệu thông thường.
v Lưu ý : Dịch vụ BRI ISDN hỗ trợ 2 kênh truyền B 64Kbps, và một kênh truyền D – 16 Kbps. Vì thế, Trong dịch v5 tổng hợp Basic Rate cho phép dịch vụ tới 128Kbps. Primary Rate, mặt khác, bao gồm 23 kênh B và một kênh D 64Kbps ở Mỹ. Ở Châu Âu, dịch vụ Primary Rate bao gồm 30 kênh B và 1 kênh D.
Phần cứng, phần mềm, đương hầm, cơ sở hạ tầng an ninh VPN của tổ chức đăng ký, cơ sở hạ tầng của nhà cung cấp dịch vụ, và mạng công công trung gian,tất cả đều là các phần rất quan trọng trong thiết kế VPN. Bạn có thể kiểm soát được tất cả các thành phần ngoại trừ mạng công cộng trung gian và Internet. Vì thế, bạn phải rất cẩn thận khi chọn các khối VPN. Bạn cũng phải thiết lập một sự cân bằng giữa hai vấn đề rất nhạy cảm của bất kỳ sự thực hiện mạng nào – giá thành của sự triển khai và độ an toàn. Vì lý do này, bạn nên phân tích cẩn thận và thấu đáo các yêu cầu của tổ chức và ràng buộc tài chính mà bạn gặp phải. Giải pháp tốt nhất là trộn lẫn và hoà hợp các kỹ thuật có sẵn. Điều này sẽ giúp bạn giảm chi phí tổng cộng của việc triển khai VPN, đặc biệt nếu tài chính của bạn ít. Bạn cũng phải rất cẩn thận khi chọn nhà cung cấp dịch vụ và phân tích SLA kỹ lưỡng trước khi bạn chấp nhận hợp đồng
Bây giờ bạn đã biết các khối xây dựng sẵn của VPN, bạn có thể bây giờ nghĩ về các cách khác nhau và các kiến trúc để triển khai VPN sử dụng các thành phần này
III/ Các cấu trúc VPN
VPNs có thể thực hiện bằng nhiều cách.Ví dụ, phụ thuộc vào đầu cuối nào ( nhà cung cấp dịch vụ hay tổ chức đăng ký ) thực hiện các yêu cầu VPN cơ bản (bảo mật, tính sẵn sàng, chất lượng dịch vụ, v.v), VPNs có thể tổ chức thành các loại khác nhau. Một cách tương tự, phụ thuộc vào các yêu cầu bảo mật của việc thiết lập, VPNs có thể được chia thành 4 loại. Một lần nữa, phụ thuộc vào các lớp của mô hình OSI mà cơ sở hạ tầng tổng thể của VPN hoạt động, VPNs có thể được chia thành 2 nhóm chính. Cuối cùng, phụ thuộc vào sự sắp xếp và độ phức tạp của thiết lập VPN, VPNs có thể được phân loại thành 5 lớp. Những cái tiếp theo sau là sự xem xét các loại cấu trúc VPN riêng biệt
1. Các cấu trúc VPN phụ thuộc vào sự thực thi
Phụ thuộc vào đầu cuối giao tiếp nào chịu trách nhiệm thực thi VPN, và quan tâm đến các yêu cầu an toàn, VPNs có thể được phân loại theo 3 loại sau:
VPNs phụ thuộc
VPNs độc lập
VPNs hỗn hợp
a. VPNs phụ thuộc
Trong trường hợp VPNs phụ thuộc, nhà cung cấp dịch vụ chịu trách nhiệm về việc cung cấp giải pháp VPN hoàn chỉnh. Vì thế nó là trách nhiệm của nhà cung cấp dịch vụ để thi hành cơ sở hạ tầng đường hầm và cung cấp tính an toàn và hiệu suất trong khi bảo đảm tính quản lý được của thiết lập. Như vậy thì tổ chức đăng ký có vai trò nhỏ nhất trong loại thực thi VPN này. Bởi vì điều này, tổ chức không cần phải thay đổi cơ sở hạ tầng hiện có của nó. Hình 2-8 miêu tả cấu trúc của VPN phụ thuộc
Bởi vì sự hiện thực và quản lý VPN hoàn chỉnh được thực hiện bởi nhà cung cấp dịch vụ, phương pháp đường hầm là rõ ràng với người sử dụng. Khi một người dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS được đặt tại ISP’s POP xác nhận người dùng. Nếu NAS lưu trữ thông tin liên quan đến thông tin thành viên, đặc quyền, và các thông số đường hầm. Nó có thể tự xác nhận các người sử dụng. Tuy nhiên NAS có thể truy vấn một server RADIUS, AAA, hoặc TACACS về các thông tin liên quan. Sau khi được xác nhận, người sử dụng cuối cùng ( người đã khởi tạo một phiên VPN) gởi và nhận các gói dữ liệu không đường hầm. Các gói này được tạo đường hầm hoặc được lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp dịch vụ
Rõ ràng như trong miêu tả, một cấu trúc phụ thuộc thì không an toàn từ góc nhìn của tổ chức. Vì thế các phương pháp phức tạp phải được thực hiện bởi tổ chức để bảo đảm độ an toàn của nguồn tại nguyên nội bộ. Như thế thì RADIUS, AAA, và TACACS không phải là tuỳ chọn trong ngữ cảnh này. Rất cần thiết để thực hiện các phương pháp an toàn này và tốt nhất là thực hiện nó tại mạng nội bộ của tổ chức, cho dù độ tin cậy của nhà cung cấp dịch vụ đến đâu đi nữa. Việc thực thi các bức tường lửa ở đây cũng rất quan trọng, vì chúng có chức năng ngăn chặn các truy cập không được phép từ mạng nội bộ của tổ chức
b. VPNs độc lập
VPNs độc lập thì ngược với VPNs phụ thuộc. Ở đây, toàn bộ chức năng của việc thành lập VPN được xử lý bởi tổ chức đăng ký. Vai trò của nhà cung cấp dịch vụ trong trường hợp này là có thể bỏ qua và được giao cho nhiệm vụ xử lý lưu thông trên internet. Kỹ thuật tạo đường hầm, giải đường hầm và mật mã dữ liệu, giải mã dữ liệu xảy ra ở mạng nội bộ của tổ chức. Hình 2-9 miêu tả cấu trúc của VPN độc lập
VPNs độc lập, như trên hình, cung cấp một mức độ an toàn cao và cho phép tổ chức có thể duy trì sự điều khiển hoàn toàn đối với các giao dịch dựa trên VPN. Hầu hết các nhà quản trị xem cách tiếp cận này như là một cách tiếp cận lý tưởng về vấn đề độ an toàn bởi vì tồ chức không phải giao sự chịu trách nhiệm của cấu trúc VPN cho một thực thể bên ngoài. Thêm vào đó, giá thành tổng cộng của VPNs trong nhà không lớn hơn nhiều so với VPNs phụ thuộc. Tuy nhiên các tiếp cận này thêm vào một nhiệm vụ và ở ngoài tầm kiểm soát của nhà quản lý mạng
c. VPNs hỗn hợp
Cấu trúc VPN hỗn hợp cung cấp một sự kết hợp các cách tiếp cận VPN độc lập và phụ thuộc. Cách tiếp cận này được sử dụng khi tổ chức không giao giải pháp VPN hoàn chỉnh cho nhà cung cấp dịch vụ. Thay vào đó, một vài phần của giải pháp VPN được thực hiện và điều khiển bởi tổ chức trong khi phần còn lại được thực hiện và quản lý bởi nhà cung cấp dịch vụ, như hình vẽ 2-10
Một cách tiếp cận khác tới VPNs hỗn hợp như trên hình 2-11, tổ chức giao giải pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấp dịch vụ kiểm soát toàn bộ thiết lập như trong cấu trúc phụ thuộc. Như vậy thì, không có nhà cung cấp dịch vụ nào có thể kiểm soát hoàn toàn cấu trúc hoàn chỉnh và theo cách này, tổ chức có thể thực hiện một VPN phụ thuộc mà không cần thêm nhiệm vụ quản lý VPN. Mặc dù cách tiếp cận này về mặt quản lý thì hơi phức tạp, nó cho phép tổ chức loại bỏ được sự độc quyền của một nhà cung cấp dịch vụ. Lợi điểm lớn nhất của tách tiếp cận này là nó tạo nên sự sẵn sàng, nếu một kết nối ISP bị trục trặc, bạn vẫn còn những kết nối khác.
2. Các cấu trúc VPN dựa trên độ an toàn
Mặc dù VPNs là các giải pháp an toàn, sự phân loại VPN sau cung cấp cho một mạng nội bộ của tổ chức độ an toàn cao hơn
VPNs router tới router
VPN tường lửa tới tường lửa
VPNs được khởi tạo bởi khách hàng
VPNs trực tiếp
a. VPNs router tới router
VPNs router tới router cho phép một kết nối an toàn giữa các điểm tổ chức qua Internet. VPNs router tới router cho phép các sự hiện thực sau :
VPN dựa trên yêu cầu các yêu cầu đường hầm : trong cách hiện thực này của VPNs, một kênh truyền an toàn được thiết lập giữa các router được gắn với các kết nối bên khách hàng và bên server như hình 2-12. Các loại đường hầm này có thể hỗ trợ nhiều loại kết nối đồng thời và duy trì cho tới khi kết nối cuối cùng đã xong. Để thực hiện thành công đường hầm router tới router dựa theo yêu cầu, các routers tại cả hai đầu phải hỗ trợ các khả năng VPN, như là một giải thuật mật mã và chuyển khóa.Một bất lợi lớn của cách tiếp cận này là các đường hầm router tới router này thì chuyên dụng cho mạng nội bộ của nhà cung cấp dịch vụ đã chọn hoặc giao thức đường hầm
Các đường hầm đa giao thức dựa trên yêu cầu. Các thực hiện này là một sự mở rộng logic của các đường hầm VPNs dựa theo yêu cầu vì nó hỗ trợ nhiều giao thức đường hầm giữa 2 nơi qua internet. Khi một khách hàng không IP đặt ra một yêu cầu cho một phiên VPN, một đường hầm “trong suốt”, cái mà không đặc biệt cho bất cứ giao thức đường hầm nào, được thiết lập giữa các routers tại 2 đầu cuối như hình2-13, dữ liệu không IP được tạo đường hầm xuyên qua Internet hoặc bất kỳ mạng công cộng nào đến tới router đích
Các phiên mã hóa dựa trên yêu cầu. Trong cách thực hiện này, một đường hầm riêng biệt cho mỗi yêu cầu được thiết lập giữa các router và giữa hai đầu, mặc dù sự thật rằng nhiều yêu cầu kết nối được được phát ra ở cùng một nơi. Hình 2-14 miêu tả các phiên được mật mã dựa trên yêu cầu giữa 2 router. Như thế sự hiện diện của nhiều kênh đào riêng rẽ đồng thời giữa 2 nơi, mỗi phiên được mã hóa riêng lẻ. Bất lợi chính của cấu trúc VPN này là nó tạo ra chi phí lớn
b. VPNs tường lửa tới tường lửa
Không giống cấu trúc VPN router tới router, VPNs tường lửa tới tường lửa được thiết lập giữa 2 bức tường lửa. VPNs tường lửa tới tường lửa có thể được thực hiện theo 2 cách sau :
Các đường hầm dựa theo yêu cầu. Như hình vẽ 2-15, cách thực hiện tường lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêu cầu router tới router ngoại trừ rằng việc các bức tường lửa được sử dụng ở 2 đầu, nó cung cấp một độ an toàn cao hơn. Thêm vào đó các nhà quản trị mạng khi cần có thể tác động các ràng buộc nghiêm ngặt hơn. Với sự giúp đỡ của các bức tường lửa, các luồng lưu thông có thể được kiểm tra ngặt nghèo hơn
Các đường hầm đa giao thức dựa trên yêu cầu. Cách thực hiện tường lửa tới tường lửa chỉ ra các vần đề liên quan tới sự khác nhau giữa các bức tường lửa được sử dụng ở 2 đầu giao tiếp ; các bức tường lửa khác nhau không thể truyền thông thành công trong môi trường VPN. Các bức tường lửa ở cả 2 đầu phải hỗ trợ các giao thức giống nhau để lọc luồng lưu thông thuộc về các giao thức khác nhau. Tổng quát, IPSec được sử dụng cho mục đích này vì nó hỗ trợ các đường hầm đa giao thức cũng như các bức tường lửa. Tuy nhiên, yêu cầu trong trường hợp này là đầu còn lại cũng phải dựa trên IPSec. Hình 2-16 mô tả các đường hầm tương lửa tới tường lửa đa giao thức dựa trên yêu cầu
c. VPNs được khởi tạo bởi khách hàng :
Trong VPNs được khởi tạo bởi khách hàng, không giống như 2 loại VPNs trước, kỹ thuật quản lý đường hầm và mã hóa được cài đặt khách hàng VPN. Như vậy, các khách hàng VPNs đóng vai trò quan trọng trong việc thiết lập các đường hầm, do đó được gọi là VPNs được khởi tạo bởi khách hàng. Các VPNs này có thể được phân nhỏ ra thành 2 loại sau :
VPNs khách hàng tới tường lửa hoặc router. Trong cách thực hiện này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên hình 2-17. Bức tường lửa trong trường hợp này phải hỗ trợ việc xử lý các yêu cầu được khởi tạo bởi khách hàng cho một phiên VPN. Cách tiếp cận này tạo ra một gánh nặng xử lý khổng lồ lên khách hàng vì sự phân phối chính, sự quản lý và độ an toàn đưa đến việc xử lý có độ phức tạp cao. Thêm nữa, khách hàng phải đối mặt với nhiệm vụ được cộng thêm để có thể truyền thông với một sự đa dạng các hệ điều hành
VPNs khách hàng tới server. Trong cách thực hiện tường lửa tới tường lửa, một phiên VPN từ đầu này đến đầu kia được thiết lập giữa người đặt ra yêu cầu và bộ xử lý yêu cầu như trên hình 2-18. Một lần nữa, cách tiếp cận này một nhiệm vụ xử lý khổng lồ cho khách hàng. Tuy nhiên nó có độ an toàn hơn nhiều so với VPN khách hàng tới tường lửa vì nhà cung cấp dịch vụ trung gian, mà các dịch vụ được khách hàng lợi dụng để kết nối đến các server ở xa, hoàn toàn không hề biết về đường hầm. Điều này giảm nguy cơ của sự tấn công đường hầm
d. VPNs trực tiếp
Không giống các loại cấu trúc VPNs khác, VPNs trực tiếp không lợi dụng các đường hầm 2 hướng cho việc truyền thông an toàn. Thay vào đó một đường hầm một hướng truyền duy nhất được thiết lập giữa 2 đầu cuối truyền thông như hình 2-19. VPNs trực tiếp thì khác so với các cấu trúc VPNs khác. Dữ liệu được mã hóa trong VPNs trực tiếp tại lớp thứ 5 của mô hình OSI - tức lớp phiên. Giao thức hầu như được dùng chung cho mục đích này là SOCKS v5
Khi so sánh với đường hầm 2 chiều, cấu trúc VPN trực tiếp cung cấp độ an toàn cao hơn theo các cách sau :
Trong mối quan hệ tin cậy 2 chiều, khi một hacker thành công trong việc truy cập vào một mạng, tất cả các mạng nối kết đều bị ảnh hưởng bởi vì hacker có thể truy cập vào các mạng nối kết này với sự giúp đỡ của đường hầm 2 chiều. Điều này không thể thực hiện trong trường hợp VPNs trực tiếp. Dựa vào sự thật là dòng lưu thông chỉ có một hướng trong VPN trực tiếp, sự tin cậy 2 chiều là không có thật. Như vậy thì, thậm chí khi một hacket đã có thể truy cập vào một bên của truyền thông, xác suất của sự đe dọa độ an toàn chỉ còn một nửa do việc sử dụng các đường hầm một chiều
Sự điều khiển truy cập trong cách tiếp cận bằng đường hầm 2 chiều, được dựa trên địa chì nguồn và địa chỉ đích. Trái lại, sự điều khiển truy cập trong VPNs trực tiếp có thể dựa vào không những địa chỉ nguồn và địa chỉ đích mà còn dựa vào các thông số cơ bản khác như ID người sử dụng, thời gian và ứng dụng. VPNs trực tiếp có thể dựa trên nội dung của các gói dữ liệu để điều khiển truy cập
Sự xác nhận người sử dụng thì nghiêm ngặt hơn trong trường hợp VPNs trực tiếp bởi vì có sự thêm vào của các server RADIUS, các router, các gateways và các bức tường lửa mà xác nhận người dùng ở xa, VPN server cũng như khách hàng VPN cũng có khả năng xác nhận tại đầu kia. Tuy nhiên điều này là không có trong trường hợp các cấu trúc VPN khác. Trong các trường hợp khác, các yêu cầu VPN được cho qua đường hầm qua một chuỗi các thiết bị trung gian như NASs, chuỗi các router, bức tường lửa, v.v..- cái mà sự xác nhận của chúng dựa trên địa chỉ IP nguồn và đích. cách tiếp cận 2 chiều này được sử dụng trong các cấu trúc khác tlàm cho các hacker rất dễ dàng nhái một địc chỉ IP.
Mã hóa trong VPNs trực tiếp được dựa trên lớp phiên, lớp mà có thể hỗ trợ các kỹ thuật mã hóa đa dạng khác nhau, như vậy, mã hoá trong VPNs trực tiếp thì tinh vi hơn so với các cấu trúc VPN khác
3. Các cấu trúc VPN dựa theo lớp (Layer-based)
Phụ thuộc vào các lớp của mô hình OSI mà các thiết lập VPN hoạt động, VPNs có thể được xếp vào một trong hai loại lớn sau
VPNs lớp liên kết
VPNs lớp mạng
a. VPNs lớp liên kết
Như tên của nó, VPNs lớp liên kết sử dụng kết nối ở lớp liên kết. Các giao dịch VPNs lớp liên kết bị giới hạn ở mạng cục bộ vì chúng sử dụng địa chỉ MAC ; vì thế, VPNs lớp liên kết có chức năng tương tự như mạng cá nhân
Dựa trên kỹ thuật lớp liên kết, VPNs lớp liên kết có 4 loại sau :
Các kết nối Frame Relay ảo : các kết nối ảo dựa trên Frame Delay sử dụng cơ sở hạ tầng chuyển mạch của các mạng cá nhân, mà chúng kết nối. Sự khác biệt chính giữa các kết nối ảo và các kết nối chuyên dụng là trong các kết nối ảo, hai đầu cuối sử dụng định thời thích nghi dữ liệu trong suốt quá trình giao dịch. Như vậy thì, tốc độ giao dịch được chỉnh phù hợp với ứng dụng và yêu cầu tín hiệu. Thuận lợi chính của VPN loại này là nó không đắt và đảm bảo được CIR ( Committed Information Rate)
Các kết nối ảo VPN. Các kết nối ảo VPN thì tương tự như các kết nối ảo dựa trên Frame Delay. Tuy nhiên các kết nối này sử dụng cơ sở hạ tầng ATM của mạng cá nhân. Các kết nối ảo này cũng thiếu một sự đồng bộ clock dữ liệu. Các kết nối ảo ATM thì tương đối nhanh hơn và cho hiệu suất tốt hơn. Vì thế, Các kết nối ATM ảo, thì mắc hơn các kết nối ảo Frame Delay
Đa giao thức trên ATM (MPOA). Các kết nối VPN dựa trên MPOA hoàn toàn dựa trên cơ sở hạ tầng của ATM. Tuy nhiên chúng có thể hỗ trợ đa giao thức bởi vì chúng phụ thuộc vào các router đặt tại cạnh của mạng cá nhân để xác định đường truyền thuận trong mạng ATM. Cách tiếp cận này thì không được phổ biến vì dựa trên cơ sở hạ tầng ATM, cái mà không thể chấp nhận một mạng nội bộ hỗn hợp sử dụng nhiều kỹ thuật mạng khác nhau
Chuyển mạch đa giao thức (MPLS). MPLS cung cấp một phương pháp hiệu quả để triển khai VPNs dựa trên IP qua ATM dựa trên backbone WAN. Trong MPLS, router MPLS VPN tạo nên các bảng định tuyến chuyên biệt VPN sử dụng các giao thức định tuyến VPN bao gồm BGP, v.v... Mỗi router được cấp phát một nhãn. Thông tin định tuyến nhãn được chuyển tới router gắn vào. Trong suốt quá trình truyền, thiết bị MPLS đều tiên nhận các gói IP này bao đóng các gói IP sử dụng nhãn MPLS. Rồi thì sau đó, nhãn MPLS, chứ ko phải là header IP, được sử dụng để định tuyến các gói qua cơ sở hạ tầng ATM. Trên khía cạnh cạnh của mạng nội bộ, khi các gói sắp truy cập vào cơ sở hạ tầng dựa trên IP ( như internet) thì nhãn MPLS được bỏ đi. Hình 2-20 mô tả các hạot động của MPLS
b. VPNs lớp mạng
VPNs lớp mạng, còn được gọi là VPNs lớp 3, sử dụng chức năng của lớp mạng và có thể được tổ chức theo 2 loại sau :
Mô hình peer VPN. Trong mô hình peer VPN đường truyền thuận của lớp mạng được tính trên cơ sở các bước nhảy. Một cách đơn giản hơn, đường truyền được xem xét tại mỗi router trên đường tới mạng đích. Vì thế tất cả các routers trong đường truyền dữ liệu được xem như ngang hàng, như trong hình 2-21. VPNs trong mạng định tuyến truyền thống là một ví dụ của mô hình VPN peer, vì mỗi router trong đường truyền thì ngang hàng với tất cả routers được gắn trực tiếp tới nó
Mô hình VPN che phủ. Không giống mô hình VPN ngang hàng, các mô hình VPN che phủ không tính đường truyền mạng tới mạng đích dựa trên bước nhảy. Thay vào đó cơ sở hạ tầng mạng trung gian được sử dụng như là “cut-through” tới router tới trên đường truyền dữ liệu. VPNs dựa trên ATM, VPNs Frame Delay và kỹ thuật VPNs sử dụng đường hầm là các ví dụ của mô hình VPN che phủ
Mạng VPN lớp 3 rất phổ biến và được xem như là mạng quay số riêng ảo (VPDNs). VPNs lớp 3 thường sử dụng 2 kỹ thuật lớp 2 – PPTP và L2TP cho đường hầm. Bạn sẽ bíêt thêm về các kỹ thuật đường hầm lớp 2 ở chương 5. VPDNs cũng sử dụng IPSecs, cái mà đã được thiết lập như là tiêu chẩn VPN trong thực tế vì nó cung cấp khả năng mã hóa và xác nhận toàn diện.
4. Cấu trúc VPN dựa trên lớp (Class-based)
Phụ thuộc vào một sự phân loại được đề nghị bởi VPNet Technologies Inc., VPNs có thể được chia thành năm lớp - lớp 0 đến lớp 4 - phụ thuộc vào mục đích, kích cỡ, phạm vi và độ phức tạp của thiết lập VPN
a. VPNs lớp 0
VPNs thuộc về lớp 0 có ý nghĩa cho các tổ chức nhỏ với một mạng nội bộ bị giới hạn ở một chỗ duy nhất. Và số lượng người sử dụng truy cập vào mạng của tổ chức bị giới hạn khoảng 50 người hay ít hơn. Như vậy thì VPNs lớp 0 là cách thực hiện dễ nhất và ít tốn kém nhất
Những yêu cầu tối thiểu của một VPN lớp 0 bao gồm :
Một VPN server với ít nhất là Windows 2000
Một VPN client với tệ nhất là Windows 95/98
Một giao thức đường hầm như là PPTP
Các khả năng lọc gói được cung cấp bởi router,gateway hoặc firewall
Một tùy chọn truy cập, như DSL hoặc T1.
Bất lợi chính của cách tiếp cận này là VPNs thuộc về lớp này chỉ có ý nghĩa cho các đường hầm cục bộ và không thể hỗ trợ kết nối VPN từ nơi này đến nơi khác. Thêm nữa, VPNs lớp 0 mất thời gian nhiều hơn để định vị và sửa sai một vấn đề hơn các lớp khác.
b. VPNs lớp 1
VPNs lớp 1 thích hợp nhất cho các yêu cầu của các tổ chức có kích thước từ nhỏ tới trung bình với một mạng nội bộ bao gồm từ hai đến hai mươi mạng chi nhánh ở xa. Thêm nữa, trung bình ít nhất khoảng 250 người sử dụng ở xa có thể truy cập vào mạng. Các VPNs này thì an toàn hơn VPNs lớp 0 và cung cấp IPSec security cho dữ liệu trong đường hầm cũng như một cơ chế xác nhận người sử dụng ở xa hiệu quả.
Các yêu cầu tối thiểu của VPNs lớp 1 bao gồm :
Mã hóa dữ liệu dựa vào DES
Quản lý khóa dựa vào IKE
Cơ chế xác nhận người sử dụng
Ít nhất một gateway VPN
Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa
Một tùy chọn truy cập nhanh, như là T1 hoặc T3
VPNs lớp này rất dễ dàng thiết lập và có giá vừa phải. Chúng cũng cung cấp một sự an toàn cao hơn cho dữ liệu trong quá trình truyền. Một thuận lợi thêm vào của lớp tiếp cận này là có thể truy cập từ xa và có thể truy cập ở nhiều nơi. Tuy nhiên, bởi vì VPNs lớp 1 phụ thuộc mạnh mẽ vào IPSec, các kết nối của mạng nội bộ mở rộng có thể là một vấn đề bởi vì các mạng nội bộ mở rộng không hỗ trợ IPSec.
c. VPNs lớp 2
VPNs lớp 2 phù hợp nhất cho các tổ chức có quy mô trung bình với một mạng nội bộ trải rộng từ 10 đến 100 điểm truy cập từ xa. VPNs lớp này có thể hỗ trợ lên đến 500 người sử dụng ở xa. Thêm nữa, lớp này cung cấp sự an toàn mạnh mẽ hơn lớp 1 và vẫn được xem như một giải pháp hiệu quả về chi phí. Cũng giống VPNs lớp 1, VPNs lớp 2 cũng ủng hộ các kết nối xa và các kết nối từ nơi này đến nơi khác
Các yêu cầu chính của VPNs lớp 2 bao gồm :
Mã hóa dữ liệu dựa vào IPSec và 3DES
Quản lý khóa dựa vào IKE
Một cơ chế xác nhận người dùng địa phương như các tokens mềm
Ít nhất là từ 2 tới 5 gateways VPN, hoặc một gateway có thể hỗ trợ được tới 500 phiên đồng thời
Các cơ chế an toàn thêm vào như AAA, RADIUS, TACACS, NAT và hoặc tường lửa
Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa
Các tuỳ chọn truy cập tốc độ cao như T1hoặc T3
Mặc dù lớp này cho ta một sự kết nối và một độ an toàn cao hơn, nhưng bất lợi chính của nó là sự thiếu khả năng hỗ trợ mạng nội bộ mở rộng, vì chúng phải tương thích với IPSec. Thêm nữa, Cơ sở hạ tầng không hỗ trợ các ứng dụng thời gian thực như audio và video. Việc sử dụng các phương pháp bảo mật thêm như AAA, RADIUS và NAT làm cho mạng nội bộ thêm an toàn,tuy nhiên, nó đưa đến một nhiệm vụ quản lý thêm vào cho người quản trị mạng
d. VPNs lớp 3
VPNs lớp 3 phù hợp nhất cho các tổ chức có quy mô từ trung bình đến lớn với một mạng nội bộ trải rộng đến vài trăm nơi ở xa. VPNs thuộc vào lớp này có khả năng hỗ trợ tới vài ngàn người truy cập từ xa. Sự bảo mật cung cấp bởi lớp này thì có thể so sánh được so với lớp 2. VPNs lớp 3 cũng hỗ trợ mạng nội bộ mở rộng thêm vào các kết nối từ xa và từ nơi này đến nơi khác.Lợi ích quan trọng nhất cung cấp bởi lớp này là luồng giao thông có độ nhạy với trễ cao và có sứ mệnh then chốt và các ứng dụng như hội thảo bằng video..VPNs lớp này thì đắt
Các yêu cầu tối thiểu của VPNs lớp 3 bao gồm
Một kết nối ISP với một SLA định nghĩa rõ ràng
Dịch vụ thư mục tập trung như X 500 hay LDAP
Mã hóa dữ liệu dựa vào IPSec và 3DES
Quản lý khóa dựa vào IKE
Một cơ chế xác nhận người sử dụng địa phương như các tokens mềm và các cards thông minh
Các cơ chế bảo mật thêm vào, như là AAA, RADIUS, TACACS, NAT và hoặc các bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn
Các dịch vụ trong nhà
Một chính sách truy cập từ xa được định nghĩa rõ ràng
Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa
Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3
Bất lợi chính của lớp này là VPNs lớp này thì rất khó để quản lý, kiểm tra, cấu hình và thực thi bởi vì nguồn tài nguyên của tổ chức được phân bố toàn cầu. Thêm nữa, rất quan trọng để có một thiết kế có kế hoạch rõ ràng và thấu đáo, mặt khác giải pháp chi phí cao này có thể không đi theo cùng với những kỳ vọng
e. VPNs lớp 4
VPNs lớp 4 phù hợp cho các tổ chức có quy mô rất lớn với một mạng nội bộ có thể trải rộng ra hàng ngàn chi nhánh ở xa. VPNs lớp này có thể hỗ trợ vài chục ngàn người sử dụng ở xa. Sự bảo mật cung cấp bởi lớp này là lớn nhất . Thêm nữa, lớp này có khả năng uyển chuyển và khả chuyển đối với sự phát triển trong tương lai. Như vậy thì, VPNs lớp này rất đắt. VPNs lớp 4 hỗ trợ mạng nội bộ mở rộng và sự kết nối từ xa từ nơi này đến nơi khác. Bởi vì các tùy chọn truy cập nhanh được sử dụng ở VPNs lớp 4, chúng có thể hỗ trợ các giao dịch thương mại điện tử cũng như các giao dịch audio và video thời gian thực
Các yêu cầu tối thiểu của lớp 4 bao gồm :
Kết nối ISP với 1 SLA được định nghĩa rõ ràng
Dịch vụ thư mục tập trung, như LDAP
Mã hóa dữ liệu dựa trên IPSec và 3DES
Quản lý khóa dựa trên IKE
Một cơ chế xác nhận người dùng gốc như các tokens mềm, và các cards thông minh
Ít nhất từ 10 đến 20 VPN gateways, hoặc một gateway có thể hỗ trợ 5000 giao dịch đồng thời
Khả năng quản lý dư thừa cao và băng thông rộng
Một chính sách truy cập từ xa được định nghĩa rõ ràng
Các cơ chế bảo mật thêm vào, như là AAA, RADIUS, TACACS, NAT và hoặc các bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn
Các dịch vụ trong nhà
Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa
Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và OC3
v Tổng kết chương 2
Bất lợi chính của lớp này la rất phức tạp và hầu như rất khó để quản lý. Chỉ có những chuyên gia đã được rèn luyện cao có thể xử lý các yêu cầu quản lý. Và luồng lưu thông lớn ở trên và một vấn đề quan trọng khác liên quan đến VPNs lớp này, mặc dù các phương pháp để kiểm soát và quản lý nó
Trong chương này, bạn đã biết về các yêu cầu, các thành phần và các cấu trúc khác nhau của VPNs ngày nay. Bạn đã bắt đầu với các yêu cầu cơ bản của VPNs, bao gồm : độ an toàn, tính sẵn sàng, chất lượng dịch vụ, độ tin cậy, tính tương thích và tính có thể quản lý được.
Kế đến, bạn đã biết về 6 khối xây dựng sẵn trong thiết kế VPN. Chúng bao gồm : phần cứng VPN, phần mềm VPN, một cơ sở hạ tầng an toàn của tổ chức, cơ sở hạ tầng hỗ trợ bởi nhà cung cấp dịch vụ, các mạng công cộng, và các đường hầm. Bạn đã được triển khai các thành phần này một cách chi tiết và vai trò của nó trong VPNs
Cuối cùng, bạn đã biết về các cấu trúc đa dạng của VPNs, mà một giải pháp dựa trên VPN tiêu biểu có thể được thự thi. Ví dụ, phụ thuộc vào loại đầu cuối ( nhà cung cấp dịch vụ hoặc tổ chức đăng ký ) thực thi các yêu cầu VPN cơ bản, như độ bảo mật, tính sẵn sàng, chất lượng dịch vụ, v.v…; VPNs có thể được phân loại thành 3 loại : phụ thuộc, không phụ thuộc và hỗn hợp. Một cách tương tự, phụ thuộc vào các yêu cầu bảo mật của việc thiết lập, VPNs có thể được chia thành 4 loại. Chúng bao gồm : VPNs router tới router, VPNs tường lửa tới tường lửa, VPNs khởi tạo bởi khách hàng, và VPNs trực tiếp. Phụ thuộc vào lớp nào của mô hình OSI mà toàn bộ cơ sở hạ tầng VPN hoạt động, VPNs có thể được chia thành 2 nhóm chính : VPNs lớp liên kết và VPNs lớp mạng. Cuối cùng, phụ thuộc vào quy mô và độ phức tạp của thiết lập VPN, VPNs cũng có thể được phân loại thành 5 lớp, từ lớp 0 đến lớp 4.
Trong chương tới, bạn sẽ được biết về các thành phần bảo mật của một VPN. Chúng bao gồm: sự xác nhận người dùng, và mô hính kiểm soát truy cập. Chương sau cũng sẽ tập trung vào các kỹ thuật bảo mật dữ liệu, như là mật mã đối xứng và mật mã bất đối xứng. Chương sau cũng thảo luận về PKI cơ bản và cách thực thi của nó trong VPNs.
Chapter 3: Bảo mật trong VPN
Mạng intermet luôn bị xem là môi trường truyền tải thông tin có tính bảo mật kém, dữ liệu tải đi trên đường truyền có nguy cơ xâm hại, truy xuất trái phép rất lớn. Sự phát triển của kỹ thuật VPN, dựa trên cơ sở cơ chế tunnel có thể tăng tính bảo mật của đường truyền. Nhưng cái gì đảm bảo thông tin truyền đi an toàn trong đường hầm VPN? Và làm thế nào để những thông tin nhạy cảm và quan trọng có thể có thể chống lại sự truy xuất trái phép? Trong chương này chúng ta sẽ trả lời những câu hỏi này.
Trong chương này, chúng ta sẽ nghiên cứu 2 thành phần bảo mật cơ bản của thiết lập bảo mật VPN: quản lý truy cập và mã hóa. Và được giới thiệu cơ sở của Public Key Infrastructure (PKI)
I. Xác nhận người dùng và quản lý truy cập
Dữ liệu được lưu trữ trên tài nguyên mạng khác nhau có thể bị nhiều kiểu tấn công. Có thể phân loại các dạng tấn công dữ liệu theo sau:
Ngắt dịch vụ mạng: Thỉnh thoảng, do bị tấn công từ bên ngoài hay bên trong mạng, một số tài nguyên mạng không thể truy cập trong khoảng thời gian dài. Trong trường hợp tấn công server, có thể toàn bộ mạng sẽ bị ngắt và các user không thể truy cập được.
Ngăn chặn dữ liệu: Khi truyền tải, dữ liệu có thể bị ngăn chặn trái phép bởi cá nhân nào đó. Kết quả là những thông thi quan trọng có thể bị mất. Trong trường hợp này, các tổ chức cơ quan sẽ thiệt hại rất lớn (các hợp đồng thương mại và tiền bạc) nếu các thông tin nhạy cảm này rơi vào tay kẻ xấu.
Thay đổi dữ liệu: Sự ngăn chặn dữ liệu có thể nhằm mục đích thay đổi. Trong trường hợp tấn công này, người nhận thông tin có thể nhận dữ liệu đã bị thay đổi, bóp méo. Nó có thể gây thiệt hại lớn cho tổ chức, đặc biệt nếu dữ liệu này rất quan trọng thì thiệt hại sẽ rất lớn.
Dữ liệu giả: Trong trường hợp tấn công này, người sử dụng trái phép có thể gửi thông tin đến các người sử dụng khác của mạng. Sau khi giành được quyền truy xuất mạng, cá nhân này có thể gửi các thông tin giả mạo và nguy hiểm đến người sử dụng khác trong mạng. Điều này có thể dẫn đến sự kết thúc của một phần hay toàn bộ mạng, hay ngưng dịch vụ.
Xác nhận người sử dụng và quản lý truy cập là 2 bước cơ bản nhất để bạn có thể ngăn các nguy cơ bảo mật này và các dữ liệu quan trọng và nhạy cảm có thể được lưu giữ an toàn trên mạng. Quá trình kiểm tra xác nhận người sử dụng được gọi là “user authentication”. Sự cho phép truy cập các tài nguyên mạng hay từ chối truy cập gọi là “access control”. Kết hợp 2 cơ chế này có thể giảm thiểu được các nguy cơ về vấn đề bảo mật.
Hình 3-1: Các thành phần chung của xác nhận user
và quản lý truy cập trong VPN
1. Xác nhận người dùng
Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn truy xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm thiểu sự truy xuất trái phép các tài nguyên mạng.
Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết hợp với nhau:
Đăng nhập ID và password: Người sử dụng dùng ID và password để xác nhận truy cập từ các nút VPN.
S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm mã hóa ( hiện tại là MD4) được áp dụng đối với password. Kết quả được lưu lại trên server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên kết quả vừa nhận được. Nếu kết quả nó đưa ra trùng lặp với giá trị được lưu trước đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm password counter.
Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu. RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP).
Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu (token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng (có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên phần mềm
2. Quản lý truy cập
Sau khi người sử dụng xác nhận thành công thì mặc định người đó có thể truy cập đến tất cả các tài nguyên, dịch vụ và các ứng dụng trong nội bộ mạng. Nó có thể tăng các nguy cơ bảo mật cho người sử dụng bởi vì người sử dụng có thể cố ý hay không cố ý xáo trộn dữ liệu trên các thiết bị khác nhau. Bằng cách phân loại các loại dữ liệu quan trọng và các dữ liệu không quan trọng mà người sử dụng làm việc hằng ngày, bạn có thể ngăn chặn hiệu quả điều đó. Kết quả là sự truy cập có thể bị ngăn cấm đến thiết bị lưu trữ những thông tin quan trọng này
Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập. Nguy cơ bảo mật này có thể được giảm bằng cách giới hạn quyền truy cập của người sử dụng. Ví dụ, dữ liệu có thể được bảo vệ bằng cách cho phép các người sử dụng bình thường chỉ được phép đọc dữ liệu. Và một số người sử dụng đặc biệt mới có khả năng thay đổi hay xóa dữ liệu đó.
Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID). Tuy nhiên một số thông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm có thể đóng vai trò quan trọng trong phương pháp quản lý truy cập truyền thống. Cơ chế quản lý truy cập hiện đại cũng dựa trên các thông số như thời gian, ngày, phần mềm ứng dụng, dịch vụ hay phương pháp xác nhận URL và cơ chế mã hóa
II. Mã hóa dữ liệu
Mã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật VPN và đóng vai trò quan trọng khi truyền dữ liệu quan trọng. Đó là cơ chế chuyển đổi dữ liệu sang định dạng khác mà không có khả năng đọc được gọi là ciphertex, do đó các truy xuất trái phép vào dữ liệu có thể ngăn được khi dữ liệu truyền qua môi trường trung gian không an toàn.
Mã hóa dữ liệu có thể ngăn được cá nguy cơ sau:
Xem dữ liệu trái phép
Thay đổi dữ liệu
Dữ liệu giả
Ngắt dịch vụ mạng
Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu. Trong trường hợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ liệu đó cũng không thể biết phương pháp để chuyển đổi nó về dạng ban đầu, do đó nó cũng trở nên vô dụng với người đó. Hình 3-2 mô phỏng mô hình phương pháp mã hóa truyền thống:
Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã hóa(cryptosystem). Cryptosystem thuộc một trong 2 dạng sau:
Đồng bộ
Không đồng bộ
Cryptosystem được phân loại dựa theo số khóa (key) được sử dụng. Khóa có thể là số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã
1. Hệ thống mã hóa đồng bộ
Hệ thống mã hóa đồng bộ dựa trên một khóa duy nhất, đó là một chuỗi bit cố định độ dài. Nên cơ chế mã hóa này cũng được gọi là mã hóa khóa duy nhất. Khóa là cá nhân (bi mật) và được sử dụng cho mã hóa cũng như giải mã.
Symmetric cryptosystems are based on a single key, which is a bit string of fixed length. Therefore, this encryption mechanism is also referred to as single-key encryption. The key is private (or secret) and is used for encryption as well as decryption.
Trước khi truyền tải thông tin giữa 2 thành phần, khóa phải được chia sẻ với nhau. Người mã hóa thông tin gốc sử dụng khóa cá nhân và gửi đến cho người nhận. Khi nhận được dữ liệu đã được mã hóa, người nhận sử dụng cùng khóa đó để giải mã.
Quá trình mã hóa đồng bộ được mô tả như hình 3-3
Như đã đề cập ơ trên, người nhận và nguời gửi cần phải chia sẻ cùng một khóa. Một phương pháp chia sẻ khóa là người nhận cung cấp khóa bí mật hóa đối với người nhận bằng cách gặp trực tiếp. Tuy nhiên điều này làm lãng phí thời gian và cũng mất đi ý nghĩa của truyền thông tin bằng mạng. Một phương pháp khác để chuyển khóa cho người nhận là bằng cách điện thoại. Nhưng phương pháp này có thể bị nghe trộm. Một cách khác nữa là gửi bằng thư hay email. Và cũng như các phương pháp trước, nguy cơ bị lấy mất thông tin là rất lớn.
Bởi vì các phương pháp gửi khóa đều không an toàn, một giải pháp khả thi cho vấn đề này là làm cho độ dài khóa đủ lớn. Bất cứ người nào cũng cần phải “phá vỡ” hay giải mã khóa trước nếu muốn xem thông tinh gốc. Tuy nhiên với khóa có độ dài lớn thì việc giải mã khóa sẽ rất khó khăn. Phụ thuộc vào độ dài khóa, nhiều thuật toán mã hóa đồng bộ đã được phát triển qua nhiều năm, một số thuật toán phổ biến sử dụng mã hóa đồng bộ trong VPN là:
Data Encryption Standard (DES). DES đề xuất độ dài khóa đến 128bit. Tuy nhiên kích thước khóa đã giảm xuống còn 56bits bởi chính phủ Mĩ nhằm tăng tốc độ thuật toán. Tuy nhiên với độ dài khóa được rút ngắn như vây thì thuật toán mã hóa này bảo mật không tốt, có thể bi tấn công ví dụ như tấn công Brute Force. Tong tấn công Brute Force thì khóa sẽ được tạo ra ngẫu nhiên và được ghép vào file text cho đến khi khóa đúng được xác định. Với độ dài khóa nhỏ hơn có thể dễ dàng tạo ra khóa đúng và hệ thống mã hóa mất tác dụng
Triple Data Encryption Standard (3DES). Giống như hệ thống DES, 3DES cũng sử dụng khóa 56bit. Tuy nhiên, nó bảo mật tốt hơn do sử dụng 3 khóa khác nhau để mã hóa dữ liệu. Tiến trình thực hiện: Sử dụng khóa thứ nhất để mã hóa dữ liệu, sử dụng khóa thứ 2 để giải mã dữ liệu mã hóa bước 1 và cuối cùng sử dụng khóa 3 để mã hóa lần 2. Do đó nó tăng tính bảo mật nhưng cũng đồng thời do tính phức tạp của thuật toán nên chậm hơn gấp 3 lần so với DES.
Ron's Code 4 (RC4). Phát triển bởi Ron Rivest, sử dụng khóa có độ dài thay đổi đến 256bit. Vì độ dài của khóa nên RC4 được xếp vào một trong các cơ chế mã hóa tốt nhất, nhưng cũng hoạt động nhanh. RC4 tạo một chuỗi byte ngẫu nhiên và XOR chúng với file văn vản gốc. Vì byte được tạo ngẫu nhiên nên RC4 yêu cầu khóa mới cho mỗi lần gửi đi thông tin.
Hệ thống mã hóa xuất hiện 2 vấn đề chính. Đầu tiên là chỉ sử dụng một khóa cho mã hóa và giải mã. Nếu một người ngoài mà biết được khóa này thì tất cả thông tin truyền đạt sử dụng khóa này đều gặp nguy hiểm, nguy cơ mất mát cao. Di đó khóa cần được thay đổi theo chu kì. Vấn đề thứ 2 là số lượng thông tin lớn, quản lý khóa trở nên nhiệm vụ phức tạp. Thêm vào đó tổng chi phí cho thiết lập khóa ban đầu, phân phối hay thay thế các khóa chu kì là rất đắt và lãng phí thời gian.
Hệ thống mã hóa không đồng bộ có thể giải quyết các vấn đề của hệ thống mã hóa đồng bộ.
2. Hệ thống mã không đồng bộ
Thay thế cho khóa duy nhất của hệ thống mã hóa đồng bộ, hệ thống mã hóa không đồng bộ sử dụng một cặp khóa liên quan toán học với nhau. Một khóa là cá nhân và chỉ được biết bởi chủ của cặp khóa này. Khóa thứ 2 là khóa chung và được phân phối tự do. Khóa chung được sử dụng cho mã hóa còn mã cá nhân được sử dụng cho giải mã thông tin.
Trong giải pháp VPN, 2 hệ thống mã hóa không đồng bộ được sử dụng phổ biến nhất là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA) algorithm.
a. Thuật toán Diffie-Hellman
Trong thuật toán Diffie-Hellman, mỗi thực thể giao tiếp cần 2 khóa, một để phân phối cho các thực thể khác và một khóa cá nhân. Thuật toán Diffie-Hellman thực hiện theo các bước:
Người gửi nhận mã chung của nơi cần gửi đến, cái này được phân phối cho tất cả những ai càn giao tiếp.
Người gửi phải thực hiện tính toán dựa trên khóa riêng của mình và khóa chung của nơi đến. Phép tính cho ra kết quả khóa chia sẻ bí mật (shared secret key)
Thông tin được mã hóa bằng khóa chia sẻ bí mật này
Thông tin được mã hóa sẽ gửi đến người nhận
Bên nhận sẽ tái tạo khóa chia sẻ bí mật bằng phép tính tương tự sử dụng khóa riêng của mình và khóa chung của người gửi
Nếu có bất cứ ai có thể lấy được thông tin mã hóa thì cũng không thể khôi phục lại thông tin ban đầu bởi vì họ không có khóa riêng của người nhận. Mô hình truyền dữ liệu sử dụng thuật toán Diffie-Hellman như hình 3-4
Dữ liệu chuyển đổi dựa trên thuật toán Diffie-Hellman được đánh giá là an toàn bởi vì chỉ có một khả năng rất nhỏ là dữ liệu có thể bị xem trộm hay thay đổi trong suốt quá trình truyền tải. Thêm vào đó, vì không có khóa bí mật (private) truyền tải nên xác suất có một người khác biết được khóa riêng là rất thấp. Và việc quản lý khóa sẽ không tốn nhiều thời gian như hệ thống mã hóa đồng bộ trong trường hợp lượng thông tin giao tiếp lớn.
Thuật toán Diffie-Hellman không cung cấp tính bảo mật hơn hệ thống mã hóa đồng bộ, có một vấn đề cũ liên quan đến nó là việc bảo đảm khoa chung được truyền đạt phải thật chính xác. Vi dụ, nếu 2 người giao tiếp truyền khóa chung qua môi trường trung gian không an toàn như internet. Khả năng có người thứ 3 chặn được yêu cầu khóa chung của 2 bên và gửi khóa chung của mình cho cả 2 đầu giao tiếp. Trong trường hợp này, người thứ 3 này sẽ dễ dàng ghi lại giao tiếp của 2 người này vì thông tin 2 đầu gửi đi được mã hóa bởi khóa chung người thư 3 này. Đây là kiểu tấn công Man-in-the-Middle.
b. Thuật toán The Rivest Shamir Adleman (RSA)
RSA là cơ chế mã hóa mạnh, là chuẩn trong hệ thống mã hóa không đồng bộ. Không giống như Diffie-Hellman, thông tin gốc được mã hóa sử dụng khóa chung của người nhận, Người nhận sẽ khôi phục lại thông tin ban đầu bằng khóa chung của người gửi. Các bước thực hiện thuật toán sử dụng tín hiệu số như sau:
Khóa chung được trao đổi với nhau giữa 2 người giao tiếp
Người gửi sử dụng hàm băm (hash function) để giảm kích thước dữ liệu gốc. Dữ liệu thu được gọi là message digest (MD).
Người gửi mã hóa message digest với khóa riêng tạo thành tín hiệu số duy nhất.
Dữ liệu và tín hiệu số kết hợp với nhau và gửi đến người nhận
Khi nhận được dữ liệu đã được mã hóa, người nhận sẽ khôi phục message digest bằng cách sử dụng hàm băm như bên người gửi.
Người nhận sẽ giải mã tín hiệu số bằng cách sử dụng khóa chung của người gửi
Người nhận sẽ so sánh 2 dữ liệu là message digest (bước 5) và message digest khôi phục từ tín hiệu số (bước 6). Nếu 2 dữ liệu này giống nhau thì thong tin không bị ngăn chặn, thay đổi trên suốt quá trình truyền tải, nếu không giống thì dữ liệu sẽ bị loại bỏ.
Dữ liệu được gửi dựa trên cơ sở thuât toán RSA mô ta như hình sau:
RSA bảo vệ an toàn dữ liệu bởi vì người người nhận sẽ kiểm tra tính xác thực của dữ liệu 3 lần (các bước 5, 6, 7). RSA cũng đơn giản trong việc quản lý khóa. Tong mã hóa đồng bộ, n2 yêu cầu nếu có n thực thể liên quan. So sánh với mã hóa không đồng bộ chỉ yêu cầu 2*n key.
III. Cơ sở hạ tầng khóa chung (Public Key Infrastructure - PKI)
PKI là một bộ khung của các chính sách d0ể quản lý các khóa và thiết lập mộ phương pháp bảo mật cho việc trao đổi dữ liệu. Các sự trao đổi dữ liệu sử dụng PKI có thể xảy ra trong một tổ chức, một quốc gia, một khu công nghiệp hay một vùng. Để nâng cao sự quản lý khóa và bảo đảm các giao dịch dữ liệu có độ an toàn cao, một khung dựa trên PKI bao gồm các chính sách và thủ tục được hỗ trợ bởi các tài nguyên phần cứng và phần mềm. Chức năng chính của PKI như sau :
Tạo ra các cặp khóa cá nhân và công cộng cho khách hàng PKI
Tạo và xác nhận chữ ký số
Đăng ký và xác nhận người sử dụng mới
Cấp phát các sự chứng nhận cho người sử dụng
Bám theo các khóa đã được cấp phát và lưu trữ lịch sử của mỗi khóa ( dùng để tham khảo trong tương lai)
Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn
Xác nhận người sử dụng PKI
Trước khi cố tìm hiểu công việc của PKI, chúng ta hãy tìm hiểu các thành phần tạo thành khung PKI
1. Các thành phần PKI
Các thành phần chính tạo thành khung PKI là
Khách hàng PKI
Người cấp giấy chứng nhận (CA)
Người cấp giấy đăng ký (RA)
Các giấy chứng nhận số
Hệ thống phân phối các giấy chứng nhận (CDS)
a. Khách hàng PKI
Một khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc RA. Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình. Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận
b. Certification Authority (CA)
CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách hàng PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính xác thực của khách hàng PKI
CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát các giấy chứng nhận số. NHư bạn kỳ vọng, quá trình cấp giấy chứng nhận thay đổi phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài thông tin, như bằng lái xe, notarization hoặc dấu vân tay.
Một ví dụ của một CA nổi tiếng là Verisign,Inc
c. Registration Authority ( RA)
Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận và kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho RA. RA
Các file đính kèm theo tài liệu này:
- Virtual Private Network.doc