ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG

Đề tài:

Công nghệ mạng riêng ảo VPN: Các giao thức
đường hầm và bảo mật
CHƯƠNG 3
XÂY DỰNG MẠNG VPN
Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet
được sung cấp bởi ISP và phần mềm cũng như phần cứng để bảo mật dữ liệu bằng
cách mã hoá trước khi truyền ra mạng Internet. Các chức năng của VPN được thực
hiện bởi các bộ định tuyến, tường lửa và các phần cứng, phần mềm.
Trong chương này, ta sẽ xem xét tới các thành phần của mạng VPN và một số
vấn đề liên quan đến việc xây dựng mạng VPN như việc kết nối đến ISP, các bộ
định tuyến, tường lửa, và các thiết bị phần cứng khác, các sản phẩm phần mềm cần
thiết cho mạng VPN.
3.1 Thành phần cơ bản của một VPN
Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers),
máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định
tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung
(Concentrator).
3.1.1 Máy chủ VPN
Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm
máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng
VPN có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp
dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ,
đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ
các máy khách.
Những chức năng chính của máy chủ VPN bao gồm:
- Tiếp nhận những yêu cầu kết nối vào mạng VPN
- Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ

chế của các quá trình bảo mật hay các quá trình xác lập
- Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy
khách VPN
- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về
máy khách
- Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm
kết nối trong VPN. Điểm cuối còn lại được xác lập bởi người dùng
cuối cùng.
Máy chủ VPN phải được hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng.
Một hoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nối chúng tới mạng mở
rộng (Intranet) của công ty, trong khi Card còn lại kết nối chúng tới mạng Internet.
Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối (Gateway)
hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc số người
dùng trong mạng nhỏ (Nhỏ hơn 20). Trong trường hợp máy chủ VPN phải hỗ trợ
nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kết nối hoặc một bộ
định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề
bảo mật thông tin cũng như bảo mật dữ liệu lưu trữ trong máy chủ.
3.1.2 Máy khách VPN
Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy
chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới điểm
cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách VPN và
máy chủ VPN mới có thể truyền thông được với nhau. Nhìn chung, một máy khách
VPN có thể được dựa trên phần mềm. Tuy nhiên, nó cũng có thể là một thiết bị
phần cứng dành riêng.
Với nhu cầu ngày càng tăng về số lượng nhân viên làm việc di động trong
một công ty thì những người dùng này (những máy khách VPN) bắt buộc phải có
hồ sơ cập nhật vị trí. Những người dùng này có thể sử dụng VPN để kết nối đến
mạng cục bộ của công ty.
Đặc trưng của máy khách VPN gồm:
- Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công

cộng để kết nối đến tài nguyên của công ty từ nhà.
- Những người dùng di động sử dụng máy tính xách tay để kết nối
vào mạng cục bộ của công ty thông qua mạng công cộng, để có thể
truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng
mở rộng.
- Những người quản trị mạng từ xa, họ dùng mạng công cộng trung
gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý,
giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị.


Hình 3.1: Đặc trưng của máy khách VPN
3.1.3 Bộ định tuyến VPN
Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm
nhiệm luôn vai trò của bộ định tuyến. Tuy nhiên, trong thực tế thì cách thiết lập đó
không hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng một số lượng
lớn các yêu cầu. Trong trường hợp này, sử dụng bộ định tuyến VPN riêng là cần
thiết. Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được
đặt sau “bức tường lửa” (Firewall). Vai trò của bộ định tuyến VPN là tạo kết nối từ
xa có thể đạt được trong mạng cục bộ. Do vậy, bộ định tuyến là thiết bị chịu trách
nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến trong
mạng, và chọn ra đường đi ngắn nhất có thể, cũng giống như trong mạng truyền
thống.
Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trong
mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến
VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm
các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên đường
truyền. Ví dụ như bộ định tuyến truy nhập modun 1750 của Cisco được sử dụng rất
phổ biến.
3.1.4 Bộ tập trung VPN (VPN Concentrators)
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập

trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập
từ xa có kích thước nhỏ. Ngoài việc làm tăng công suất và số lượng của VPN, thiết
bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng
lực xác thực cao. Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập
trung VPN của Altiga là các bộ tập trung được sử dụng khá phổ biến.
3.1.5 Cổng kết nối VPN
Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức
IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho phép một
mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị này có thể là
những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần
mềm. Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập ở biên của
mạng cục bộ của công ty. Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP
được cài đặt trên mỗi máy chủ và được sử dụng để chuyển đổi các lưu lượng từ
giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Ví dụ như
phần mềm Novell’s Border Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được
đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào
mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và
mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng.
3.2 Các vấn đề cần chú ý khi thiết kế VPN
Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số của mạng
và những yêu cầu đối với VPN sắp được thiết kế, chẳng hạn:
- Số lượng site? số lượng người dùng ở mỗi site?
- Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày.
- Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu?
- Loại kết nối đến Internet? Là kết nối thường trực hay kết nối theo yêucầu?
Nếu là kết nói thường trực thì bao lâu kết nối được lưu dự phòng một lần.
Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy
cần thiết phải có?
3.2.1 Các vấn đề về mạng và ISP

Do sự phát triển qua nhanh của mạng nên một vấn đề đặt ra về mạng đó là
vấn đề định tuyến và bảo mật. Vấn đề này có thể giải quyết bằng cách:
- Thêm phần cứng hoặc phần mềm vào bộ định tuyến để nó
đóng vai trò là một cổng mối bảo mật trong VPN.
- Nâng cấp bộ định tuyến hoặc tường lửa để hỗ trợ các chức
năng của VPN.
- Thay thế bộ định tuyến hay tường lửa bằng thiết bị thuộc thế
hệ mới có nhiều chức năng hơn, tương thích hơn với mạng mới.
Hiện nay, để đảm bảo chất lượng dịch vụ người ta cố gắng chuyển việc quản
lý, hỗ trợ được yêu cầu từ mạng riêng sang ISP. Rất nhiều các chức năng đã được
ISP hỗ trợ và khi xây dựng một VPN thì có thể sử dụng nhiều ISP. Một lý do để sử
dụng nhiều ISP là phạm vi địa lý có thể của VPN.
Mặc dù hiện nay IPv6 đang phát triển chậm nhưng nó chắc chắn sẽ phát triển.
Do vậy, một vấn đề cần chú ý khi xây dựng VPN là khả năng nâng cấp mạng lên
IPv6 trong tương lai.
3.2.2 Các vấn đề về bảo mật
VPN có thể cho phép người dùng phân quyền truy cập tới những mạng con,
thiết bị hoặc những cơ sơ dữ liệu quan trọng. Do đó, quyền truy cập là vấn đề cần
quan tâm khi xem xét tới việc bảo mật cho VPN.
Một giải pháp phổ biến cho công ty khi muốn chia sẻ một phần thông tin từ
VPN của mình cho người dùng Internet, khách hàng hay nhân viên của họ trong
khi vẫn bảo mật được những tài nguyên riêng nếu cần, đó là sử dụng vùng giới
tuyến DMZ (Demilitarized Zone). DMZ bao gồm có hai tường lửa: Một đặt giữa
Internet và tài nguyên muốn chia sẻ, Một đặt giữa tài nguyên muốn chia sẻ và
mạng nội bộ bên trong. Máy chủ trong DMZ đóng vai trò là nơi lưu giữ thông tin
phụ sao cho nếu như nó bị hư hỏng thì giảm thiểu thiệt hại xảy ra. Ví dụ, máy chủ
Web trong DMZ lưu nhưng bản sao trang Web còn bản chính thì nằm trên máy chủ
ở trong mạng nội bộ.
Để bảo mật người ta sử dụng mã hoá, trao đổi giao khoá và chứng thực số.
Mã hoá là một tiến trình đòi hỏi tính toán và nó thay đổi tuỳ theo giải thuật.

Với các giải thuật khác nhau cho ta các mức độ bảo mật khác nhau, ta có thể sử
dụng các phương thức mã hoá khác nhau để phân quyền truy cập.
Khi thiết kế VPN cần quyết định bao lâu thì khoá được chuyển đổi giữa các
cổng nối bảo mật. Nếu một VPN chỉ có một số lượng nhỏ cổng bảo mật thì chuyển
khoá bang tay vẫn là một giải pháp có thể chấp nhận được. Tuy nhiên, giải pháp
trên không thích hợp khi VPN trải rộng trên một quốc gia hay kgắp toàn cầu.
Trong trường hợp này thì sử dụng e-mail bảo mật là một giải pháp.
Để dữ liệu được bảo mật cao nhất thì tốt hơn hết là sử dụng hệ thống chuyển
khoá tự động. Những khoá sử dụng cho mã hoá và xác thực có thể thay đổi theo
quy luật: sau một số gói được truyền đi; sau một khoảng thời gian;mỗi khi bắt đầu
một phiên làm việc mới hoặc là tổ hợp nhưng quy luật trên. Tự đông thay đổi khoá
làm tăng khả năng chống lại tấn công, xâm phập trái phép.
Khi sử dụng hệ thống quản lý khoá thì cần kèm theo một số cơ chế hồi khoá.
Điều này đặc biệt hưu ích khi muốn khôi phục lại dữ liệu cũ cùng với khoá cũ
trước đó.
Chứng thực số hay còn gọi là xác thực tính hợp lệ. Trong tiến trìng mã hoá
khoá chung có sử dụng một cặp khoá chung để xác thực tính hợp lệ của khoá.
Những chứng thực này nhằm rằng buộc khoá chung với một số thực thể mạng tên,
có thể là nguời dùng hay máy tính. nhiều trình duyệt Web sử dụng chứng thực điện
tử để đảm bảo truyền hông bảo mật với máy chủ, sử dụng Secure Sockets Layer
cho các mục đích thương mại điện tử. Một số hệ thống e-mail đưa ra khả năng mã
hoá dựa trên chứng thực điện tử và những công nghệ để phân phối chúng: Chứng
thực điện tử CA và cơ sở hạ tầng khóa công cộng (Public Key Infrastructures).
3.3 Quá trình xây dựng
Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN.
Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy
nhập vào trang web của công ty bao gồm 4 bước:
Bước 1: Người sử dụng ở xa thực hiện kết nối vào nhà cung cấp dịch vụ
Internet của họ như bình thường.


Hình 3.2: bước 1
Bước 2: Khi kết nối tới mạng công ty được yêu cầu, người sử dụng khởi đầu
một tunnel tới máy chủ bảo mật đích của mạng công ty. Máy chủ bảo mật xác thực
người sử dụng và tạo kết cuối khác của đường hầm tunnel.

Hình 3.3: Bước 2
Bước 3: Sau dó, người sử dụng gửi dữ liệu đã được mã hoá bởi phần mềm
VPN xuyên qua đường hầm tunnel được gửi thông qua kết nối của nhà cung cấp
dịch vụ Internet ISP.

Hình 3.4: Bước 3
Bước 4: Máy chủ bảo mật đích thu dữ liệu đã mã hoá và thực hiện giải mã.
Sau đó, máy chủ bảo mật hướng những gói dữ liệu được giải mã tới mạng công ty.
Bất cứ thông tin nào được gửi trở lại tới người sử dụng ở xa cũng được mã hoá
trước khi được gửi thông qua Internet.

Hình 3.5: Bước 4

Hình vẽ dưới đây minh hoạ rằng phần mềm VPN có thể được sử dụng ở bất
kỳ vị trí nào có mạng Internet.


Hình 3.6: VPN có thể cung cấp nhiều kết nối
Như vậy, một VPN bao gồm hai thành phần chính: tuyến kết nối từ người
dùng, các mạng riêng đến Internet do nhà cung cấp dịch vụ Internet ISP cung cấp
và phần cứng cũng như phần mềm để bảo mật dữ liệu băng cách mã hoá trước khi
truyền qua Internet.
Do vậy, trong phần này ta sẽ đề cập đến những vấn đề liệu quan đến việc xây
dựng một VPN như việc kết nối đến ISP, việc sử dụng bộ định tuyến và tường lửa,
các thiết bị phần cứng, và các sản phẩm phần mềm.

3.3.1 Kết nối với ISP
Tuyến kết nối từ người dùng, mạng riêng tới mạng Internet do ISP cung cấp
đóng vai trò quan trọng trong việc xây dựng nên một VPN bởi vì ISP đóng vai trò
là người chịu trách nhiệm về đường truyền dữ liệu, duy trì kết nối. Kiến trúc mạng
như hình vẽ:
LAN LAN
LAN
Intranet
Các mạng đường trục
tốc độ cao
Mạng đường trục
Các điểm
truy xuất mạng
(NAP)
Các mạng miền
(Regional nets)
Các ISP
nội hạt
Các mạng
người dùng
(mạng riêng)
NAPNAPNAP
User
ISPISPISPISP ISP
`
User User
User
Mạng miền Mạng miềnMạng miền Mạng miền

Hình 3.7: Kiến trúc mạng của các ISP

a) Khả năng của ISP
Các nhà cung cấp mạng ISP được phân chia theo cấp độ, khả năng, phạm vi
phục vụ của mạng. Ta có thể chia ISP làm các nhóm:
Nhóm 1: Nhóm các nhà cung cấp mạng chính, các mạng riêng ảo đóng vai trò
là mạng đường trục (do mạng có tốc độ cao và tin cậy…) cho Internet. Các ISP
thuộc nhóm này là mạng của các quốc gia phát triển có mạng lưới thông tin phát
triển hoặc là mạng của các công ty đa quốc gia có thể kể đến như: AT&T, IBM,
PSInet…Các mạng này độc lập và kết nối với nhau thông qua nhưng điểm truy cập
mạng NAP. Không có NAP nào cung cấp các kết nối đến Internet từ một nhà cung
cấp trong nhóm đến một mạng công ty hay tới các doanh nghiêp. Các NAP chỉ là
những điểm đấu nối, chuyển giao lưu lượng giữa các mạng. Về tốc độ, các kết nối
đến NAP Internet phải được tạo ra với tốc độ tối thiểu là DS-3 (45Mbit/s).
Nhóm 2: Các công ty mua những kết nối đến Internet từ các nhà cung cấp
nhóm 1, rồi sau đó họ lại cung cấp lại cho khách hàng dưới dạng đường dành riêng
, cho khách hàng thuê các địa chỉ trang Web, hay bán lại băng thông.
Nhóm 3: nhóm các ISP hoạt động bên dưới các ISP nhóm 2, đây là những ISP
độc lập, có thể ở quy mô nhỏ như chỉ có từ 2 hay 3 khách hàng sử dụng bằng cách
quay số, xDSL,… vào các điểm kết nối địa phương POP (point of presence) cho
đến hàng trăm khách hàng. Những nhà cung cấp này không nắm quyền điều khiển
mạng đường trục hay mạng quốc gia của họ.
Đa số các ISP thường cung cấp đầy đủ các tuỳ chọn kết nối với các sản phẩm
hhỗ trợ băng thông từ 56kbit/s đến tốc độ T3 (44.736 Mbit/s) thâm chí là hơn nữa.
Một số ISP yêu cầu khách hàng phải mua các thiết bị như bộ định tuyến cà các
CSU/DSU, trong khi môt số ISP khác sẽ hỗ trợ và quản lý cho chúng ta.
Thông thường cácISP sẽ hỗ trợ khách hàng trong việc cấu hình, lắp đặt, giám
sát, chuẩn doán các lỗi thông qua trung tâm điều hành mạng NOC (Network
Operation Center) hoạt động thường xuyên 24/24, 7 ngày trong tuần, luôn sẵn sàng
phục vụ khách hàng. Đa số các ISP đưa ra 3 loại cước cho khách hàng lựa chọn đó
là: Cước cài đặt, cước trọn gói, hay cước truy cập mỗi khi chúng ta truy cập đến
điểm truy cập.

b) Các hợp đồng dịch vụ SLA
Hợp đồng dịch vụ SLA (Service level agreement) là thoả thuận về lớp dịch vụ
mà khách hàng đăng ký với ISP. SLA giúp cho thông tin của khách hàng, doanh
nghiệp luôn hoạt động, đảm bảo chất lượng với sự cam kết cung cấp của ISP. SLA
cũng giúp ISP phán đoán, dự báo lưu lượng mạng để từ đó đưa ra các phương án
điều khiển, phân luồng lưu lượng chính xác.
Khi xem xét đánh giá SLA người ta thường xem xét các thông số: Độ sẵn
sàng, thông lượng thật sự (thông lượng hiệu dụng), độ trễ.
Độ sẵn sàng của mạng được hiểu là thời gian mạng sẵn sàng phục vụ khách
hàng. Ta có thể xác định độ sẵn sàng của mạng theo công thức:



3.3.2 Tường lửa và Bộ định tuyến
Sau khi kết nối đến Internet được thiết lập, cần đến một số thiết bị quan trọng
khác để thiết lập đường truyền dữ liệu, truyền dữ liệu tới đích, điều khiển truy cập
đến mạng riêng cần được bảo vệ của mình, chống lại những xâm nhập bất hợp
pháp. Các chức năng này đều được thực hiện nhờ bộ định tuyến và tường lửa.

Hình 3.8: Vị trí của các thành phẩn trong VPN
Tại đầu tuyến đến từ POP của ISP chúng ta có thiết bị CSU/DSU, sau đó là
một bộ định tuyến, một tường lửa và một mạng riêng. Các thiết bị có thể dặt tại
những nơi khác nhau trong tuyến kết nối từ LAN đến ISP. Các thiết bị hỗ trợ cho
VPN có thể được dặt giữa CSU/DSU và bộ định tuyến hoặc giữa bộ định tuyến với
tường lửa.
a) Tường lửa
Thuật ngữ “Tường lửa” đã được sử dụng trong mạng WAN cho việc bảo mật,
chống lại những tấn công của những kẻ phá hoại (attacker/hacker). Tường lửa là
một phần tích hợp trong chính sách bảo mật của, nó xác định lưu lượng chuyển qua
giữa mạng Intranet với mạng Internet. Tưòng lửa có thể dùng để bảo mật những

vùng giới hạn với các vùng còn lại trong mạng.
* Các loại tường lửa
Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gói (Packet
Filters), các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (Application
Proxies), kiểm tra trạng thái.
Các bộ lọc gói: là loại tường lửa xuất hiện sớm nhất. Các bộ lọc gói sẽ dò địa chỉ
nguồn và địa chỉ đích của tất cả các gói IP đến để đưa ra quyết định cấm hay cho
phép chuyển các gói này qua tường lửa dựa trên những quyền mà người quản trị
mạng đã thiết lập.
Tường lửa lọc gói có một số ưu điểm đó là: Tường lửa lọc gói dễ thực hiện
hơn các loại tường lửa khác và nó hoạt động mang tính trong suốt đối với các
người dùng đầu cuối.
Tuy nhiên, tường lửa lọc gói cũng có những nhược điểm là: Trong quá trình
cấu hình tường lửa rất phức tạp, gặp nhiều khó khăn, đặc biệt là khi cần nhiều
quyền để điều khiển một lượng lớn cho nhiều ứng dụng và nhiều người dùng khác
nhau. Nhược điểm thứ hai của tường lửa lọc gói có thể coi là một thiếu sót đó là
việc lọc gói hoạt động dựa trên những địa chit IP chứ không dựa trên quyền truy
nhập của người dùng. việc lọc gói chỉ cung cấp một số tính năng bảo mật đối với
những hoạt động “tấn công chính giữa” và không có tính năng bảo mật đối với các
địa chỉ IP giả mạo. Ngoìa ra, việc lọc gói còn phụ thuộc vào một số cổng của gói
IP và thường chỉ báo không chính xácvề ứng dụng đang sử dụng, những giao thức
như NFS (Network File System) sử dụng nhiều cổng khác nhau gây khó khăn
trong việc tao quyền để điều khiển lưu lượng của chúng.
Những bộ lọc gói có thể sử dụng như một thành phần trong VPN để giới hạn
lưu lượng chuyển qua một kênh. Tuy vây, việc lọc gói thường không yêu cầu phải
sử dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết
các bộ định tuyến có hỗ trợ TCP/IP.
Các Proxy kênh và Proxy ứng dụng
Những tường lửa này cho phép nhiều người dùng cùng sử dụng một proxy để
liên lạc với hệ thống bảo mật, che giấu những dữ liệu có giá trị bảo mật và bảo mật

máy chủ tránh sự tấn công của nhưng kẻ phá hoại.
So với các bộ lọc gói thì các proxy kênh có tính bảo mật cao hơn. Bởi vì, một
proxy kênh sẽ được cài tự động giữa bộ định tuyến mạng với Internet và proxy này
đóng vai trò là đại diện cho cả mạng khi có nhu cầu lien lạc ra mạng ngoài. Do đó,
các máy tính bên ngoài không thể lấy được thông tin địa chỉ cũng như số cổng bên
trong mạng.
Proxy có ưu điểm là có tính bảo mật cao hơn nhưng lại chạy chậm hơn so với
các bộ lọc gói là do các proxy kênh phải tái tạo lại các tiêu đề IP cho mỗi gói để
dảm bảo các gói tin đến đúng đích. Một hạn chế nữa của tường lửa proxy là nó
thường được thiết kế để sử dụng những proxy agent khác nhau, mà mỗi agent chỉ
điều khiển một dạng chỉ định mào đó như lưu lượng của FTP hay TCP.
Chúng ta muốn chuyển nhiều dạng lưu lượng thông qua proxy thì máy chủ
proxy phải nạp và chạy nhiều proxy agent một lúc.
Các proxy ứng dụng thực hiện việc kiểm tra dữ liệu hiện thời trong một gói IP
chuẩn bị được truyền đi nên ngăn cản bất cứ kẻ phá hoại nào sử dụng địa chỉ IP giả
mạo để lấy quyền truy cập trái phép. Do chức năng của một proxy ứng dụng thuộc
lớp ứng dụng trong mô hình OSI nên các proxy ứng dụng có thể dung cho việc xác
thực các khóa bảo mật khác, kể cả mật khẩu người dùng và những yêu cầu dịch vụ.
Do các proxy ứng dụng dùng cho những ứng dụng chỉ định nên phải cài một
proxy agent cho mỗi dịch vụ IP (như HTTP, FTP, SMTP…) và cần điều khiển việc
truy cập đến chúng. điều này dẫn đến hai điểm bất lợi của các proxy ứng dụng:
+ Luôn tồn tại một đọ trì hoãn giữa việc gia nhập của các dịch vụ IP mới
với các agent sẵn có trên mạng.
+ Proxy ứng dụng đòi hỏi phải xử lý nhiều trên các gói gây ra hậu quả là
hiệu suất mạng sẽ bị giảm sút.
Hơn nữa, nhiều loại Proxy ứng dụng yêu cầu phải hiệu chỉnh phần mềm
client. Một đặc điểm quan trọng của các proxy ứng dụng là dung lượng của nó
dành cho các người dùng và các trình ứng dụng chỉ định. Điều này làm tăng thêm
tính bảo mật cho việc xác thực cho người dùng.
Kiểm tra trạng thái

Một tường lửa lý tưởng là một tường lửa cung cấp cơ chế bảo mật tốt nhất và
hiêu suất cao nhất. Người ta đã phát triển một kỹ thuật gọi là kiểm tra đa lớp trạng
thái SMLI (Stateful Multi-Layer Inspection) để việc bảo mật có tính chặt chẽ hơn
trong khi vẫn đảm bảo tính dễ sử dụng và chi phí thấp, và hiệu suất không bị giảm
sút.
SMLI cũng tương tự như một proxy ứng dụng. Trong trường hợp xét đến tất
cả lớp trong mô hình OSI, thay vì dùng một proxy để đọc và xử ký cho mỗi gói
thông qua các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu
lượng (traffic screen algorithm) để tối ưu việc phân tích dữ liệu có thông lượng
cao. Với SMLI, mỗi gói được xem xét và so sánh với các trạng thái đã biết của
những gói thường gặp. SMLI là nguyên tắc cơ sở cho những sản phẩm tường lửa
thế hệ mới có thể thích ứng với nhiều loại giao thức và có chức năng được nâng
cao hơn, dễ sử dụng hơn.
Ưu điểm của SMLI ở chỗ: tường lửa sẽ đóng tất cả các cổng TCP, sau đó sẽ
mở lại các cổng một cách linh động khí các kết nối có yêu cầu đến các cổng này
(ví dụ HTTP sử dụng cổng mặc định là 80). Đặc điểm này cho phép việc quản lý
các dịch vụ sử dụng đến các số cổng lớn hơn 1023 như HTTP có thể yêu cầu phải
thay đổi trong việc cấu hình cho các tường lửa. Các tường lửa kiểm ra trạng thái
cũng cung cấp những đặc điểm như ngẫu nhiên hóa số tuần tự các cổng TCP và
thục hiện việc lọc gói UDP.
* Tường lửa sử dụng trong VPN
Các tường lửa được đề cập như là một phần trong giải pháp bảo mật cho
mạng công ty, nhưng chỉ với các tường lửa này thì không đủ để xây dựng nên
VPN. Đó là vì tường lửa không thể giám sát hay ngăn cản việc thay đổi dữ liệu
(tính toàn vẹn dữ liệu) có thể xảy ra khi một gói được truyển qua mạng Internet
hay đóng vai trò là một tường lửa kèm theo chức năng mã hóa.
- Những yêu cầu đối với tường lửa
VPN của chúng ta cho dù sử dụng giao thức nào thì cần phải xem xét xem
tường lửa có tương thích với các phần còn lại trong cơ chế bảo mật, quản trị mạng?
tránh trường hợp xảy ra xung đột hay trùng lặp.

Nếu muốn cài đặt nhiều tường lửa tại nhiều vị trí, ta phải duy trì một chính
sách bảo mật chặt chẽ hơn nếu như tường lửa được lựa chọn hỗ trợ việc quản trị
đồng bộ cho nhiều vị trí. Nếu một sản phẩm có kèm theo khả năng quản lý từ xa, ta
phải đảm bảo tính bảo mật cho việc truy cập từ xa đến tường lửa.
b) Bộ định tuyến
Nếu các tường lửa đóng vai trò như một vị trí logic đối với việc cài đặt những
chức năng cho VPN thì bộ định tuyến thực hiện nhiều chức năng hơn. Các bộ định
tuyến phải kiểm tra và xử lý từng gói khi chúng ra/vào mạng LAN.
Hiện nay, người ta thường sử dụng các bộ định tuyến có chức năng bảo mật
mạng LAN khỏi sự tấn công của những kẻ phá hoại. Người ta có thể sử dụng bộ
định tuyến kèm chức năng lọc gói. Tuy nhiên, lọc gói không đủ để bảo mật đối với
nhiều dạng tấn công có thể xảy ra trên mạng, đây là một trong những lý do để phát
triển thêm nhiều loại tường lửa khác nhau. Trong phạm vi của VPN, bộ định tuyến
hiện đang được ưa chuông nhất là các bộ định tuyến mã hóa (encryption router).
* Những yêu cầu đối với bộ định tuyến
- Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với
những kết nối mạng riêng biệt.
- Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC,
HMAC-MD5, HMAC-SHA-1…
- Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng.
- Hạn chế việc truy cập đến các khóa.
- Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗikhi có
một kết nối mới.
- Hỗ trợ cơ chế khử phát lại (anti-replay).
- Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với
những việc lặp đi lặp lại những hoạt động không được phép.
- Hỗ trợ cả hai chế độ transport và tunnel của IPSec.
Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gói tại
lớp mạng trong mô hình OSI, không dùng để xác thực người dùng. Do đó, cần phải
có thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN có

tính bảo mật.
3.3.3 Phần mềm cho VPN
Trong phần này chúng ta sẽ giới thiệu những đặc điểm, yêu cầu chung mà các
phần mềm dùng cho VNP cung cấp. Các phần mềm này được dùng để định dạng
và quản lý các kênh bảo mật, ngoài ra có thể sử dụng cho các kênh giữa các host
mà không cần đến cổng nối bảo mật.
Ta biết rằng, sử dụng phần cứng thay cho phần mềm sẽ đạt được hiệu suất cao
hơn vì việc mã hoá bằng phần cứng có tốc độ nhanh hơn nhiều so với mã hoá bằng
phần mềm. Tuy nhiên, hiện nay người ta vẫn sử dụng phần mềm và xu hướng sử
dụng phần mềm ngày càng tăng, bởi vì:
- Việc sử dụng phần mềm thay vì dùng phần cứng sẽ có giá thấp hơn nhiều, do
một số phần mềm có giá tương đối rẻ thậm chí có phần mềm còn miễn phí.
- Các sản phẩm phần mềm VPN được cài trên một hệ điều hành hay hệ điều hành
mạng nào đó nên việc quản lý VPN sẽ dễ dàng và thuận lợi hơn.
- Dễ dàng nâng cấp các chức năng của mạng VPN vì khi đó ta chỉ cần nâng cấp
phần mềm, điều này rất đơn giản.
- Nếu ta muốn xây dựng một VPN có quy mô nhỏ, lưu lượng thấp thì không cần
đến hiệu suất tối ưu mà phần cứng VPN cung cấp. Khi lựa chọn sử dụng phần
mềm VPN ta có thể bỏ chi phí xây dựng, thiết kế vừa với nhu cầu sử dụng.
a) Các sản phẩm phần mềm VPN khác nhau
Trong mạng VPN, có hai lớp phần mềm: Các phần mềm lớp 1 được dùng để
cung cấp các dịch vụ cho mạng LAN; các phần mềm lớp 2 bao gồm những phần
mềm dùng cho việc định đường hầm giữa các host mà không cần dùng đến các
cổng nối bảo mật.
Các sản phẩm phần mềm cung cấp dịch vụ VPN cho mạng LAN thực hiện
toàn bộ việc định đường hầm và các kế hoạch của VPN, một số sản phẩm này hỗ
trợ cả giao thức PPTP, L2TP. Một số khác sử dụng kế hoạch thích hợp để định
đường hầm và quản lý khoá.
- Phần mềm định hướng đường hầm: Về thực chất thì việc định đường hầm không
có gì khác biệt với việc bọc gói. Với phần mềm VPN, việc đóng gói để định dạng

kênh có thể được thực hiện theo những phương pháp khác nhau, nhưng mỗi
phương pháp đều không tương thích với các phương pháp còn lại. Do thị trường
phần mềm có sự cạnh tranh mạnh, người dùng có quyền được tự do chọn lựa nên
các nhà sản xuất phải thường xuyên thay đổi, nâng cấp các sản phẩm của mình để
đưa ra những sản phẩm có khả năng cạnh tranh mạnh, do đó người dùng mua
những sản phẩm tốt nhất, phù hợp nhất từ các nhà cung cấp để xây dưng mạng
VPN của mình.
- Phần mềm dựa trên hệ điều hành mạng: Nói chung, có hai cách để xây dựng một
hệ điều hành mạng đó là:
Cách 1: Xây dựng một hệ điều hành mạng như tập hợp các tiện ích chạy trên
một hệ điều hành sẵn có, ví dụ như Netware của hãng Novell.
Cách 2: Xây dựng một hệ điều hành mạng độc lập, tự thực hiện tất cả các công
việc của một hệ điều hành thông thường kèm theo những chức năng hỗ trợ
mạng, ví dụ như Windows, Unix Linux.
Ngày nay, các chức năng xác thực và mã hoá đã được gộp vào như một thành
phần của hệ điều hành mạng, nhưng chúng ta vẫn phải tập trung vào viêc sử dụng
các cổng nối bảo mật hoặc các phần mềm client đầu xa khi muốn tạo ra các VPN.
Các công ty Microsoft hay Novell cung cấp những hệ điều hành mạng có hỗ trợ
VPN và cung cấp những tính năng cổng nối bảo mật trong các phần mềm hệ điều
hành mạng của họ.
Microsoft là hãng đầu tiên cung cấp máy chủ định đường hầm cho PPTP
trong máy chủ truy cập từ xa, phần mềm định tuyến RRAS (Routing and Remote
Access Server). Sản phẩm borderguard của hãng Novell là một tập các modun
phần mềm có thể sử dụng một cách độc lập hay dùng chung như một đơn vị.
b) Các yêu cầu của sản phẩm
Khi lựa chọn phần mềm VPN cho một LAN, thì phần mềm này phảiđảm bảo
hỗ trợ tốt các yêu cầu của VPN để đảm bảo mạng hoạt động tố và hiệu suất cao.
Các yêu cầu chính như:
- Giao thức được hỗ trợ: Ta kiểm tra xem sản phẩm này hỗ trợ giao thức nào
trong việc truyền thông qua mạng VPN của công ty: nó chỉ hỗ trợ IP hay hỗ

trợ IPX và NetBEUI?
- Khả năng tích hợp với các hệ thống hiện có: ta cần xem xét sản phẩm ta
chọn tích hợp như thế nào đối với hệ thống quản lý mạng và hệ thống bảo
mật đang có trên mạng.
- Giải thuật mật mã được hỗ trợ: Ta kiểm tra xem sản phẩm hỗ trợ giải thuật
mật mã nào? giải thuật IPSec, DES dùng cho việc mã hoá, giải thuật
HMAC-MD5 hay HMAC-SHA-1 cho việc xác thực người dùng.
- Duy trì nhiều vị trí: Khi chuẩn bị cài đặt các sản phẩm phần mềm tại nhiều
vị trí trong VPN thì có thể ta phải duy trì một cơ chế có tính hoà hợp cao
hơn nếu sản phẩm ta chọn có hỗ trợ việc quản trị đồng bộ nhiều vị trí. Điều
này có thể liên quan đến việc trao đổi các tệp hay việc quản lý từ xa. Nếu
sản phẩm có khả năng quản lý từ xa, ta phải đảm bảo việc truy cập từ xa đến
các sản phẩm phải có tính bảo mật.
- Cấp phát chứng nhận điện tử: Nếu ta sử dụng một hệ thống xác thực dựa
trên các chứng nhận điện tử thì phải chú ý đến việc các chứng nhận điện tử
này được phân phối và kiển tra như thế nào? Khi nào một chứng nhận được
bảo dưỡng trong nội bộ mạng hay ở bên ngoài và các chứng nhận sẽ liên kết
với các dịch vụ khiác như thế nào?
- Nhật ký ghi xung đột: Mỗi cổng nối bảo mật đều có chức năng ghi nhận lại
các biến cố bảo mật, cảnh báo khi xuất hiện sự cố hay tường thuật lại khi
cần.
Tóm lại, trước kia các sản phẩm phần mềm dùng cho việc tạo nên VPN
thường độc quyền, không có sự thống nhất hay tuân theo tiêu chuẩn nào đã làm
hạn chế khả năng liên kết giữa các mạng. Nhưng kể từ năm 1998, nhiều sản phẩm
của các hãng được thiết kế để có thể sử dụng chung, tương thích với nhau làm tăng
thêm tính liên điều khiển giữa chúng.
Phần mềm RRAS chạy trên nền Windows của hãng Microsoft có tính năng tốt
và được cung cấp miễn phí khi mua hệ điều hành Windows. Sản phẩm
Borđerguard của hãng Novell rất thích hợp cho mạng đang hoạt động với giao thức
IPX cũng như giao thức IP.