Tải bản đầy đủ (.pdf) (6 trang)

Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 4 pps

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (232.63 KB, 6 trang )

Không giống như Intranet VPN và Remote Access VPN. Extranet VPN
không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép
kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại
mở rộng như: đối tác, khách hàng, nhà cung cấp
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1-
10

Hình 1.10 Mạng Extranet truyền thống
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải
hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong
việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm
như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các
mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà
thực thi và quản trị mạng.
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ
dàng và giảm chi phí đáng kể.

Hình 1.11 Mạng Extranet dựa trên VPN
Ưu điểm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống.
+ Dễ thực thi, duy trì và dễ thay đổi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn
+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên
hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các
ứng dụng Multimedia.
+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm
Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp


VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”
1.6. Các công nghệ và các chính sách an toàn Mạng riêng ảo
1.6.1. Sự cần thiết của chính sách an toàn Mạng
Chính sách an toàn mạng có vai trò quan trọng trong việc bảo mật của một tổ
chức và từng bước được vận dụng để thực thi bảo mật mạng. Không có một sản
phẩm hay một giải pháp chuẩn chung cho một chính sách an toàn mạng. Nó
thường được tạo ra và thực thi theo yêu cầu cụ thể của từng tổ chức.
Một chính sách an toàn mạng thể hiện tầm nhìn của Công ty về cách thức sử
dụng máy tính và cơ sở hạ tầng mạng để cung cấp các dịch vụ tốt nhất và nâng cao
hiệu suất. Nó cũng phác thảo các thủ tục cần dùng để đối phó với các nguy cơ bảo
mật, các vi phạm bảo mật.
Một chính sách an toàn làm cho khả năng đối phó với các rủi ro, các nguy cơ
bảo mật trong một Công ty sẽ tốt hơn. Hơn nữa, không thể thực thi bảo mật nếu ta
không xác định được cần bảo vệ cái gì.
Vì vậy cần có một chính sách bảo mật. Đó là một danh sách những gì sẽ được
phép và không được phép, dựa vào đó để quyết định về bảo mật. Ta cũng có thể
hình dung nó như là một tập các luật để quản lý người dùng truy cập tài nguyên
của công ty, một thoả thuận chung để mọi người chấp nhận và tuân theo các luật
đó.
Một chính sách an toàn mạng toàn diện của Công ty phải được xác định theo
sự phân tích các yêu cầu thương mại và phân tích bảo mật. Các vấn đề sau đây sẽ
cung cấp cho ta một số nguyên tắc chung:
+ Những người nào mà chúng ta muốn ngăn chặn?
+ Người dùng từ xa cần truy cập đến hệ thống và mạng của chúng ta hay
không?
+ Hệ thống có chứa thông tin mật hoặc nhạy cảm không?
+ Phân loại các thông tin mật hoặc nhạy cảm như thế nào?
+ Mật khẩu hoặc mã hoá có đủ bảo vệ không?
+ Chúng ta có cần truy cập Internet hay không?
+ Bao nhiêu truy cập tới hệ thống của ta từ Internet hoặc những người dùng

bên ngoài mạng(như: các đối tác thương mại, nhà cung câp,…) mà ta muốn cho
phép?
+ Hành động nào ta sẽ thực hiện nếu phát hiện sự vi phạm bảo mật?
+ Những ai trong Công ty của ta sẽ phải tuân thủ và giám sát chính sách này?
Đó là những nguyên tắc mang tính định hướng chung cho việc thiết lập và
thực hiện một chính sách an toàn mạng.
1.6.2. Chính sách an toàn mạng
Nếu hệ thống của ta có kết nối Internet thì rất có thể phải đương đầu với nhiều
nguy cơ tấn công tiềm ẩn. Gateway hoặc Firewal là những hệ thống bảo vệ tốt, tuy
nhiên cần phải lưu ý rằng:
+ Gateway không nên chạy nhiều ứng dụng hơn mức cần thiết vì các ứng
dụng có những khiếm khuyết có thể bị khai thác.
+ Gateway nên hạn chế tối đa các loại và số lượng giao thức được cho phép đi
qua nó hoặc các kết nối Terminate tại gateway từ bên ngoài, vì các giao thức cũng
có thể tiềm ẩn nhiều lỗ hổng bảo mật.
+ Bất kỳ một hệ thống nào có chứa thông tin mật hoặc nhạy cảm đều không
nên cho phép truy cập trực tiếp từ bên ngoài.
+ Tất cả các dịch vụ trong một Intranet thuộc Công ty nên tối thiểu việc yêu
cầu xác thực mật khẩu và kiểm soát truy cập thích hợp.
+ Truy cập trực tiếp từ bên ngoài luôn phải được xác thực và kiểm toán
Chính sách an toàn mạng xác định các dịch vụ sẽ được cho phép hoặc bị từ
chối, cách thức các dịch vụ này sẽ được sử dụng và là ngoại lệ với các luật này.
Mỗi luật trong chính sách an toàn mạng nên được thực thi trên một firewall hoặc
RAS. Và chính sách an toàn mạng của một công ty phải trả lời được các câu hỏi
sau:
+ Những ai được truy cập vào mạng của Công ty? Những Client, đối tác,
khách hàng nào được cung cấp truy cập tới mạng của Công ty?
+ Những ai có thể kết nối tới mạng mở rộng, như của Client hay các đối tác.
+ Những ai có thể truy cập Internet từ mạng của Công ty?
+ Lúc nào thì tài khoản của một người dùng sẽ bị xoá?

+ Phải bảo mật các máy tính như thế nào trước khi chúng ở trong mạng có
truy cập Internet không được bảo vệ.
+ Người dùng có thể tuỳ tiện tải các chương trình từ Internet hay không?
+ Kiểu mật khẩu nhân viên phải dùng là gì? Và có thường phải thay đổi hay
không?
+ Các máy tính của người dùng từ xa, người dùng di động được bảo mật như
thế nào? Họ phải làm gì để có thể truy cập an toàn tới mạng của công ty.
+ Những thông tin mật nào cần được bảo vệ? Có quy tắc lưu trữ các loại
thông này hay không?
1.6.3. Chính sách an toàn Mạng riêng ảo
Trong khi một chính sách an toàn mạng truyền thống xác định luồng thông tin
nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảo mật
VPN mô tả các đặc tính của việc bảo vệ hiện trạng luồng thông tin. Theo một
nghĩa nào đó, nó là một tập con của chính sách an toàn mạng , vì nó chỉ cô đọng
hơn và phụ thuộc vào vấn đề cho phép luồng thông tin giữa các đích nào đó trước
khi nó có thể được bảo vệ.
Một chính sách an toàn VPN mô tả hiện trạng luồng thông tin riêng được bảo
vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực, mã
hoá, độ dài khoá, quản lý khoá…). Chính sách an toàn VPN có thể được định nghĩa
trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung để cung cấp
sự quản lý và mở rộng tốt hơn. Về cơ bản, các thiết bị cần phải có các chính sách
phù hợp với việc mô tả dòng lưu lượng trước khi nó được phép đi vào các thiết bị.
Trong khi thực hiện VPN cần lưu ý:
+ Chỉ có một kết nối mạng được cho phép.
+ VPN phải được thiết lập và quản trị bởi các nhóm quản trị của Công ty
+ Tất cả các máy kết nối tới mạng trong của công ty qua VPN phải dùng phần
mềm Virus và cập nhật thường xuyên để quét
+ Người dùng VPN sẽ bị tự động ngắt kết nối nếu không có hoạt động gì sau
một khoảng thời gian nhất định(chẳng hạn: sau 30 phút).
Câu hỏi ôn tập

1. Mạng riêng ảo là gì? Nêu một số ví dụ về Mạng riêng ảo?
2. Ba loại mô hình VPN là: __________, __________, và __________.
a. Intranet
b. Internet
c. Extranet
d. Remote Access

×