HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Trần Thị Thúy Nga
NGHIÊN CỨU GIẢI PHÁP MẠNG RIÊNG ẢO
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH
Chuyên ngành: KHOA HỌC MÁY TÍNH
Mã số:60.48.01
TÓM TẮT LUẬN VĂN THẠC SỸ
HÀ NỘI – 2013
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TS Lê Hữu Lập
Phản biện 1: ……………………………………………………………………….……………
Phản biện 2: …………………………………………………………………………………….
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính
Viễn thông
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
MỞ ĐẦU
\
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công
nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá
trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ.
Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng
thời phải đảm bả
o độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng
như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn
thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
- Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để kết nối tất
cả các mạng con của công ty l
ại với nhau. Phương pháp này rất tốn kém cho việc xây
dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.
- Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp
này lại không đáp ứng được tính bảo mật cao.
Mạng riêng ảo VPN (Virtual Private Network) ra đời đã dung hoà hai loại hình
dịch vụ trên, nó là một mạng riêng được xây dựng trên cở sở hạ tầng đã có sẵn của m
ạng
internet. Mạng riêng ảo có nhiều ưu điểm như kết nối trực tiếp giữa các điểm bất kỳ, mức
độ bảo mật cao, dễ sử dụng và giảm chi phí vận hành, nó phù hợp với các đơn vị hoạt
như ngân hàng, bảo hiểm, dịch vụ viễn thông hay các doanh nghiệp… Mạng riêng ảo cho
phép người dùng có thể truy cập mạng tại nhà hoặc truy cập từ xa thay vì phải xây dựng
cơ sở hạ tầng cho một mạng riêng. Các công ty có thể thuê dịch vụ này từ nhà cung cấp
dịch vụ và sử dụng các ứng dụng riêng trên nền mạng này như một khách hàng Internet
bình thường.
Với những ưu điểm và xu hướng phát triển của mạng riêng ảo, cùng với việc triển
khai đề án mạng riêng ảo của trường Đại Học Công Nghiệp TP Hồ Chí Minh học viên
lựa chọ
n đề tài: “Nghiên cứu giải pháp mạng riêng ảo Trường Đại Học Công Nghiệp
Thành Phố Hồ Chí Minh”để cókiến thức sâu hơn trong việc ứng dụng, quản lý mạng
vào thực tế.
Toàn bộ luận văn được trình bày trong 3 chương.
Chương 1: Giới thiệu tổng quan về Mạng riêng ảo, các khái niệm cơ bản, các
thành phần, kiến trúc của mạng riêng ảo, bảo mật trong Mạng riêng ảo.
Chương 2: Nghiên cứu chi tiết mô hình Mạng riêng ảo dựa trên các giao thức
IPSec, MPLS, SSL.
Chương 3: Trình bày mô hình quản lý Cán bộ, công nhân viên và học sinh, sinh
viên tại Trường Đại học Công nghiệp Thành phố Hồ Chí Minh, triển khai thiết kế Mạng
riêng ảo áp dụng tại cơ sở
Thái Bình của trường phục vụ công tác quản lý.
MỤC LỤC
MỞ ĐẦU 1
Chương 1 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1
1.1. Các khái niệm cơ bản về mạng riêng ảo 1
1.1.1 Định nghĩa về Mạng riêng ảo 1
1.1.2 Lợi ích của mạng riêng ảo 1
1.1.2.1 Bảo mật 1
1.1.2.2 Tiết kiệm chi phí 1
1.1.2.3 Tính khả mở 1
1.1.2.4 Tính linh hoạt 1
1.1.2.5 Tăng hiệu suất 2
1.1.3 Những yêu cầu đối với mạng riêng ảo 2
1.1.3.1 An ninh 2
1.1.3.2 Tắc nghẽn cổ chai 2
1.1.3.3 Quản lý địa chỉ IP 2
1.1.3.4 Tính sẵn sàng và tin cậy 2
1.1.3.5 Khả năng tương thích 2
1.2 Cấu trúc mạng riêng ảo 2
1.2.1 Tính an ninh 2
1.2.2 Đường hầm 3
1.2.3 Các thành phần trong mạng riêng ảo 3
1.2.3.1 Máy chủ chính sách an ninh 3
1.2.3.2 Cổng truy nhập 3
1.2.3.3 Internet 3
1.2.3.4 Dịch vụ chứng thực 3
1.2.4 Phân loại mạng riêng ảo 4
1.2.4.1 Truy cập từ xa 4
1.2.4.2 Kết nối các mạng riêng 4
1.2.4.3 Kết nối mở rộng 4
1.3 Các giao thức dùng trong mạng riêng ảo 4
1.3.1 Layer 2 Forwarding 4
1.3.2 Point-To-Point Tunneling Protocol 4
1.3.3 Layer 2 Tunneling Protocol 5
1.3.4 IP Security 5
1.3.5 Multiprotocol Label Switching 5
1.4 Bảo mật trong mạng riêng ảo 5
1.4.1 Hệ thống xác thực 5
1.4.1.1 Mật khẩu truyền thống 6
1.4.1.2 Hệ thống mật khẩu một lần 6
1.4.1.3 Giao thức xác thực mật khẩu 6
1.4.1.4 Giao thức xác thực yêu cầu bắt tay 6
1.4.1.5 Hệ thống điều khiển truy cập bộ điều khiển truy cập đầu cuối 6
1.4.1.6 Dịch vụ xác thực người dùng quay số từ xa 6
1.4.1.7 Các hệ thống phần cứng cơ bản 6
1.4.1.8 Hệ hống sinh trắc học 7
1.4.1.9 Xác thực tính toàn vẹn dữ liệu 7
1.4.2 Mật mã 7
1.4.2.1 Thuật toán mã hoá khoá bí mật 7
1.4.2.2 Thuật toán mã hoá khoá công cộng 7
1.5 Kết luận 7
Chương 2 8
MỘT SỐ KIẾN TRÚC MẠNG RIÊNG ẢO 8
2.1 Mạng riêng ảo dựa trên IPSec 8
2.1.1 Các thành phần của IPSec 8
2.1.1.1 Liên kết bảo mật 8
2.1.1.2 Giao thức xác thực 8
2.1.1.3 Giao thức mã hóa 8
2.1.2 Hoạt động của IPSec 8
2.1.2.1 Phương thức vận chuyển 8
2.1.2.2 Phương thức đường hầm 9
2.1.2.3 Kết hợp hai phương thức Trainsport Mode và Tunner Mode 9
2.1.3 Quản lý và trao đổi khóa 9
2.1.3.1 Main Mode 9
2.1.3.3 Quick Mode 10
2.1.3.4 Thỏa thuận SA 10
2.1.4 Sử dụng IPSec trong mạng riêng ảo 10
2.1.4.1 Cổng truy nhập 10
2.1.4.2 Máy truy nhập từ xa 10
2.1.5 Các vấn đề còn tồn đọng trong IPSec 10
2.2 Mạng riêng ảo dựa trên MPLS 11
2.2.1 Thành phần của MPLS 11
2.2.1.1 Bộ định tuyến chuyển mạch nhãn 11
2.2.1.2 Lớp chuyển tiếp tương đương 11
2.2.1.3 Nhãn 12
2.2.2 Các giao thức chính trong MPLS 12
2.2.2.1 Giao thức phân phối nhãn 12
2.2.2.2 Giao thức phân phối nhãn dựa trên ràng buộc 12
2.2.2.3 Giao thức dành trước tài nguyên 12
2.2.2.5 Giao thức BGP 13
2.2.3 Hoạt động của MPLS 13
2.2.3.1 Chế độ hoạt động khung 13
2.2.3.2 Chế độ hoạt động tế bào 13
2.2.4 Công nghệ BGP/MPLS VPN 13
2.2.5 Tóm tắt ưu nhược điểm của MPLS VPN. 14
2.3 Mạng riêng ảo dựa trên SSL 14
2.3.1 Cấu trúc SSL 14
2.3.2 Hoạt động của SSL VPN 15
2.3.2.1 Đường hầm bảo mật sử dụng SSL 15
2.3.2.2 Công nghệ Reverse proxy 15
2.3.2.3 Truy nhập từ xa SSL 15
2.3.2.4 Ví dụ phiên làm việc SSL VPN 15
2.3.3 Ưu nhược điểm của SSL VPN 16
2.4 Kết luận 16
Chương 3 17
GIẢI PHÁP MẠNG RIÊNG ẢO TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ
MINH 17
3.1 Mô hình quản lý trường ĐHCN Tp Hồ Chí Minh 17
3.2 Giải pháp kiến trúc mạng riêng ảo 17
3.2.1 Xây dựng mạng WAN 17
3.2.2 Xây dựng mạng LAN 17
3.2.3 Nhà cung cấp dịch vụ 18
3.2.4 Thiết kế Mạng VPN 18
3.3 Quản lý bảo mật 19
3.3.1 Hệ thống xác thực 19
3.3.2 Hệ thống mã hóa 19
3.4 Triển khai thử nghiệm tại Cơ sở Trường ĐHCN TP Hồ Chí Minh tại Thái Bình 20
3.5 Đánh giá 23
3.5.1 Bảo mật: 23
3.5.2 Tính linh hoạt 24
3.5.3 Tiết kiệm chi phí: 24
3.5.4 Tỉnh khả mở 24
3.5.5 Tăng hiệu suất 24
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 25
1
Chương 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1. Các khái niệm cơ bản về mạng riêng ảo[1],[6],[7],[8],[9]
1.1.1 Định nghĩa về Mạng riêng ảo
Có nhiều định nghĩa khác nhau về Mạng riêng ảo.
Theo VPN Consortium, Mạng riêng ảo là mạng sử dụng mạng công cộng (như
internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền
thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách
khác, VPN được định nghĩa là liên kết của khách hành được triển khai trên một hạ t
ầng
công cộng với các chính sách như trong một mạng riêng. Hạ tầng công cộng này có thể là
mạng IP, Frame Relay, ATM hay internet.
Theo tổ chức IETF (Internet Enginneering Task Force), Mạng riêng ảo được định
nghĩa là: Một mạng diện rộng dùng riêng sử dụng các thiết bị và các phương tiện truyền
dẫn của một mạng công cộng.
1.1.2 Lợi ích của mạng riêng ảo
1.1.2.1 Bảo mật
Mạng riêng ảo cung cấp mức độ an ninh cao nhất sử dụng các giao thức an ninh
tiên tiến, cũng như các phương pháp xác thực người dùng.
1.1.2.2 Tiết kiệm chi phí
VPN đã tận dụng giao thông trên mạng để kết nối các văn phòng và người dùng từ
xa đến trụ sở chính của công ty, điều này đã giảm chi phí về thiết bị do mạng internet là
có sẵn và vì vậy cũng giảm sự hỗ trợ của nhân viên.
1.1.2.3 Tính khả mở
VPN tận dụng được hạ tầng internet của các nhà cung cấp dịch vụ vì vậy các công
ty có thể mở rộng năng lực và phạm vi sử dụng mà không phải đầu tư thêm nhiều thiết bị
và hạ tầng viễn thông.
1.1.2.4 Tính linh hoạt
VPN tận dụng Internet để kết nối giữa các phần tử ở xa của một Intranetnên hầu
hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể kết nối tới
Intranet của công ty mình.
2
1.1.2.5 Tăng hiệu suất
Mạng riêng ảo cung cấp kết nối nhanh hơn, đáng tin cậy giữa các vị trí từ xa hay
các đối tác từ mạng bên ngoài, và các mạng công ty.
1.1.3 Những yêu cầu đối với mạng riêng ảo
1.1.3.1 An ninh
Mạng riêng ảo chỉ là một phần trong kế hoạch an ninh của công ty. Bên cạch việc
thiết lập một đường hầm giữa hai đầu kênh truyền dữ liệu, các chính sách bảo mật khác
cũng cần phải được áp dụng như quyền truy nhập, mã hóa, xác thực…
1.1.3.2 Tắc nghẽn cổ chai
Việc mã hóa và giải mã có thể chiếm mất nhiều năng lực tính toán dẫn đến làm
giảm tốc độ truyền dữ liệu ở các Security Gateway. Đối với các kết nối băng thông rộng,
tốc độ cao, giải pháp để khắc phục là mã hóa bằng phần cứng hoặc phần mềm mã hóa
chạy chung trên các thiết bị chia sẻ như tường lửa hoặc Remote Access.
1.1.3.3 Quản lý địa chỉ IP
Mỗi phần của VPN được coi như là một mạng riêng, với số đường hầm và liên kết giữa
các Router. Điều này khó để xác định một bảng định tuyến duy nhất và DNS cũng có thể
bị phân mảnh, làm khó khăn cho việc quản lý VPN.
1.1.3.4 Tính sẵn sàng và tin cậy
Tính sẵn sàng chỉ thời gian người dùng truy cập mạng và nó liên quan mật thiết
với tính tin cậy của hệ thống. Tính tin cậy đảm bảo rằng người dùng cuối được phân phối
dữ liệu trong mọi hoàn cảnh.
1.1.3.5 Khả năng tương thích
Trường hợp mạng tương tác dựa trên IP, VPN phải có khả năng dùng địa chỉ IP và
các ứng dụng trên IP, các phương pháp sau có thể được tích hợp vào VPN như: Sử dụng
Getway IP, sử dụng đường hầm, sử dụng định tuyến IP ảo.
1.2 Cấu trúc mạng riêng ảo [1],[3],[9],[10]
1.2.1 Tính an ninh
Tính an ninh trong VPN có nghĩa là một đường hầm được thiết lập giữa hai điểm
cuổi để tạo nên một liên kết riêng, thông qua mạng công cộng. Tính an ninh cần cung cấp
các vấn đề như: Xác thực, quyền truy nhập, sự bí mật, toàn vẹn dữ liệu.
3
1.2.2 Đường hầm
Đường hầm tạo ra kết nối giữa hai điểm cuối bằng cách đóng gói thêm vào phần
tiêu đề mở rộng của gói tin và chuyển nó qua Internet. Việc đóng gói dữ liệu qua VPN
bao gồm cả việc mã hóa dữ liệu gốc, và khi gói tin đươc chuyển, ở đầu nhận Getway sẽ
gỡ bỏ phần tiêu đề mở rộng và giải mã gói tin nếu cần thiết, sau đó chuyển gói tin tới
đích.Đường hầm có thể bao gồm hai loại đầu cuối: Một máy tính truy cập từ xa, hoặc một
LAN với Security Gateway (có thể là Router hoặc tường lửa)
1.2.3 Các thành phần trong mạng riêng ảo
1.2.3.1 Máy chủ chính sách an ninh
Máy chủ chính sách an ninh duy trì một danh sách kiểm soát truy nhập và thông
tin người sử dụng cần thiết cho Security Gateway thực hiện nhiệm vụ xác thực. Ví dụ, hệ
thống dùng PPTP, quyền truy nhập có thể được điều khiển thông qua RADIUS, hệ thống
sử dụng IPSec, máy chủ chính sách an ninh chịu trách nhiệm quản lý khóa chia sẻ cho
mỗi phiên kết nối.
1.2.3.2 Cổng truy nhập
Security Gateway được cài đặt ở giữa mạng công cộng và mạng riêng nhằm ngăn
cản các hình thức tấn công trái phép vào mạng riêng. Nó cũng cung cấp khả năng tạo
đường hầm và mã hóa dữ liệu trước khi truyền vào mạng công cộng.
Một Security Gateway có thể bao gồm các loại sau: Router, Firewall, các phần
cứng và phần mềm tích hợp VPN.
1.2.3.3 Internet
Nhà cung cấp dịch vụ Internet (ISP) có nhiều cấp khác nhau, nhà cung cấp ISP cấp
1 sở hữu và vận hành các mạng quốc gia riêng cùng với việc mở rộng các mạng xương
sống quốc gia. Nhà cung cấp ISP cấp 2 là công ty mua kết nối Internet từ những nhà cung
cấp ISP cấp 1 nhằm cung cấp truy cập quay số ở nhà riêng hoặc đưa lên trang web.
1.2.3.4 Dịch vụ chứng thực
Mỗi công ty, tổ chức sẽ quản lý cơ sở dữ liệu chứng chỉ số của riêng họ nhằm sử
dụng cho máy chủ xác thực. Việc kiểm tra các khóa chia sẻ này có thể được kiểm soát
bởi một bên thứ ba gọi là
(Certificate Authority-CA), bên thứ ba có trách nhiệm duy trì
các liên kết chứng chỉ số với khóa chia sẻ. Nếu các VPN kết nối với nhau tạo thành một
Extranet VPN thì việc sử dụng CA để xác thực người dùng là cần thiết.
4
1.2.4 Phân loại mạng riêng ảo
1.2.4.1 Truy cập từ xa
VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm, các
nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của
công ty. VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì, những VPN này có thể
thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.
1.2.4.2 Kết nối các mạng riêng
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác
nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên
một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho
phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn
bộ mạng c
ủa công ty.
1.2.4.3 Kết nối mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các
kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site-To-Site.
1.3 Các giao thức dùng trong mạng riêng ảo[1],[8],[9]
1.3.1 Layer 2 Forwarding
Giao thức định hướng lớp 2-L2F do Cisco phát triển độc lập và được phát triển
dựa trên giao thức PPP. L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết
lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. L2F là giao
thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử
dụng ở xa truy cập vào một m
ạng công ty thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ
liệu. L2F Cho phép thiết lập đường hầm đa giao thức, và được cung cấp bởi nhiều nhà
cung cấp. Tuy nhiên nó không có mã hoá, yếu trong việc xác thực người dùng và không
có điều khiển luồng cho đường hầm.
1.3.2 Point-To-Point Tunneling Protocol
Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập
từ xa, lợi d
ụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa
và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa
phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ.
5
Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng
quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử
dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) để đóng
gói và tách gói PPP.
1.3.3 Layer 2 Tunneling Protocol
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói
riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2TP và PPTP là
L2TP không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý
khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2TP định nghĩa riêng
cách thức các gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ
TACACS+ và RADIUS cho việc xác thực.
1.3.4 IP Security
Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói dữ liệu IP,
gói IP là đơn vị dữ liệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các gói
IP để điều khiển quá trình xác thực và mã hoá: Một là xác thực tiêu đề IP – AH (IP
Authentication Header) và hai là đóng gói tải tin an toàn ESP (Encapsulation Security
Payload) cho mục đích mã hoá.
IPSec là một khung của các tập giao thức chuẩn mở cho phép những nhà quản trị
mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực để cung cấp sự xác thực
dữ liệu, tính toàn vẹn dữ liệu, sự tin cậy dữ liệu. IPSec là sự lựa chọn cho bảo mật tổng
thể các VPN, là ph
ương án tối ưu cho mạng của công ty.
1.3.5 Multiprotocol Label Switching
Mục đích của MPLS là chuẩn hóa các giao thức sử dụng các kỹ thuật hoán chuyển
nhãn (Label Swapping). Việc sử dụng hoán chuyển nhãn có nhiều ưu điểm to lớn, nó
cách ly được các vấn đề của định tuyến với các vấn đề về vận chuyển dữ liệu. Định tuyến
là một vấn đề mạng toàn cục và cần có sự hợ
p tác của tất cả các Router tham gia vào,
trong khi vận chuyển chỉ là một vấn đề cục bộ.
1.4 Bảo mật trong mạng riêng ảo[1],[3],[4],[5],[6],[7]
1.4.1 Hệ thống xác thực
Xác thực chứng minh rằng 1 người sử dụng hoặc 1 hệ thống thực sự là người mà họ
nói tới,hệ thống xác thực dựa trên 3 yết tố:Cái mà họ biết, cái mà họ có; hay cái gì đó
thuộcvề riêng bạn.
6
1.4.1.1 Mật khẩu truyền thống
Các loại xác thực đơn giảnnhư số nhận dạng ID, mật khẩu không đủ mạnh cho
việc bảo mật mạng. Mật khẩu có thể bị đón bắt trong quá trình truyền dữ liệu của mạng.
1.4.1.2 Hệ thống mật khẩu một lần
Với hệ thống này thì mỗi khi người dùng đăng nhập vào hệ thống luôn phải chọn
một mật khẩu mới cho mỗi phiên làm việc kế tiếp.
1.4.1.3 Giao thức xác thực mật khẩu
PAP(Passwork Authentication Protocol) được thiết kế cho một máy tính tự xác thực
đến một máy tính khác khi giao thức điểm-điểm PPP được sử dụng làm giao thức truyền
thông. PAP là một giao thức bắt tay hai chiều, đó là, máy tính chủ tạo kết nối gửi nhận
dạng người dùng và mật khẩu kép đến hệ thống đích mà nó cố gắng thiết lập một kết nối
và sau đó hệ thống đích xác thực rằng máy tính đó được xác thực đúng và được chấp
nhận cho việc truyền thông.
1.4.1.4 Giao thức xác thực yêu cầu bắt tay
CHAP (Challenge Handshake Authentication Protocol) là một giao thức bắt tay ba
chiều bởi vì nó bao gồm ba bước để thực hiện kiểm tra một kết nối, sau khi kết nối được
khởi tạo đầu tiên hay tại bất kỳ thời điểm nào sau khi kết nối được thiết lập. Thay vì dùng
một mật khẩu hay tiến trình chấp nhận giống như trong PAP, CHAP sử dụng một hàm
băm một chiều.
1.4.1.5 Hệ thống điều khiển truy cập bộ điều khiển truy cập đầu cuối
TACACS (Terminal Access Controler Access Control System) là hệ thống được
phát triển đểcung cấp cơ chế xác thực và thực hiện chức năng: Cho phép (authorization)
và tính cước (accouting). TACACS được thiế kế như một hệ thống client/server mềm dẻo
hơn và đặc biệt trong việc quản lý bảo mật mạng.
1.4.1.6 Dịch vụ xác thực người dùng quay số từ xa
RADIUS (Remote Authentication Dial-In Use Service) cũng sử dụng kiểu
client/server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các
người dùng với các phiên làm việc. RADIUS giúp cho việc điều khiển truy cập dễ quản
lý hơn và nó có thể hỗ trợ các kiểu xác thực người dùng khác nhau bao gồm PAP, CHAP.
1.4.1.7 Các hệ thống phần cứng cơ bản
+ Smart card:Có thể lưu giữ một khoá riêng của người dùng cùng với một số ứng
7
dụng nhằm đơn giản hoá tiến trình xác thực. Một số Smart Card hiện nay gồm một bộ
đồng xử lý mã hoá và giải mã làm cho việc mã hoá dữ liệu dễ dàng hơn và nhanh hơn.
+ Các thiết bị thẻ bài (Token Devices): Được dựa trên các phần cứng riêng biệt
dùng để hiển thị các mã nhận dạng (passcode) thay đổi mà người dùng sau đó phải nhập
vào máy tính để thực hiện việc xác thực.
1.4.1.8 Hệ hống sinh trắc học
Hệ thống sinh trắc học dựa vào một số dấu vết cá nhân duy nhất để xác thực người
dùng như: Vân tay, giọng nói, võng mạc…
1.4.1.9 Xác thực tính toàn vẹn dữ liệu
Xác thực tính toàn vẹn dữ liệu (Data integrity) bao gồm hai vấn đề:
- Phát hiện các bản tin bị lỗi (corrupted message): Phát hiện các lỗi bit đồng thời
xác định nguyên nhân lỗi là do phương tiện truyền dẫn hoặc do thiết bị xử lý, lưu trữ.
- Bảo vệ chống sửa đổi bất hợp pháp bản tin (unauthorized modification): Phát
hiện ra những bản tin đã bị sửa đổi một cách bất hợp pháp trong quá trình truyền dẫn.
1.4.2 Mậ
t mã
1.4.2.1 Thuật toán mã hoá khoá bí mật
Thuật toán đối xứng dùng thuật toán khoá chia sẻ sử dụng để mã hoá và giải mã
một bản tin. Các thuật toán mã hoá đối xứng sử dụng chung một khoá để mã hoá và giải
mã bản tin, điều đó có nghĩa là cả bên gửi và bên nhận đã thỏa thuận, đồng ý sử dụng
cùng một khoá bí mật để mã hoá và giải mã.
1.4.2.2 Thuật toán mã hoá khoá công cộng
Thuật toán mã hoá khoá công cộng sử dụng một cặp khoá để mã hoá và giải mã
bảo mật một bản tin. Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá
khác để giải mã nhưng hai khoá này có liên quan với nhau tạo thành một cặp khoá duy
nhất của một bản tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau.
1.5 Kết luận
Chương này đã giới thiệu về tổng quan VPN bao gồm khái niệm về VPN, lợi ích
của VPN mang lại, kiến trúc một mạng VPN, phân loại VPN, tìm hiểu một số giao thức
quan trọng trong VPN như L2F, PPP, PPTP, L2TP, IPSec, MPLS và các vấn đề nhận
thức, mã hóa trong an toàn bảo mật mạng VPN. Chương hai chúng ta sẽ nghiên cứu cụ
thể các giao thức IPSec, MPLS và SSl VPN, qua đó tìm ra được các nguy cơ về an toàn
bảo mật cho từng loại dịch vụ VPN hiện nay.
8
Chương 2
MỘT SỐ KIẾN TRÚC MẠNG RIÊNG ẢO
2.1 Mạng riêng ảo dựa trên IPSec[1],[9],[10]
2.1.1 Các thành phần của IPSec
2.1.1.1 Liên kết bảo mật
Khi một tập dữ liệu chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN
sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán xác
thức, mật mã, địa chỉ của đối tác, chế độ truyền dẫn, thời gian sống của khoá .v.v. Những
thông tin này được biết đến như là một liên kết bảo mật SA. Một SA là một kết nố
i logic
một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua kết nối. Bởi vì hầu hết lưu
lượng là hai chiều nên phải cần hai SA, một cho đầu vào và một cho đầu ra.
2.1.1.2 Giao thức xác thực
AH cung cấp hầu hết các dịch vụ xác thực cho gói tin IP. Trong AH có chứa một
giá trị kiểm tra (checksum) của gói tin dùng để xác thực gói tin, AH được chèn vào giữa
phần IP Header và phần tải của IP.
Các phương thức mặc định mới để tính toán giá trị trong checksum là thuật toán
HMAC (Hash-based Message Authentication Code) kết hợp với hàm băm MD5 hoặc
SHA-1.
2.1.1.3 Giao thức mã hóa
Giống như AH, tuy nhiên Esp mã hóa dữ liệu nên tải sẽ bị thay đổi.ESP có thể hỗ
trợ nhiều giao thức mã hóa và cho phép người dùng lựa chọn giao thức.
ESP cũng có thể được sử dụng để xác thực. Trường authentication là tùy chọn
trong ESP Herder, bao gồm một mã checksum được tính toán trên tải của ESP. Mã
checksum này thay đổi tùy thuộc vào thuật toán xác thực được sử dụng, nó cũng có thể
được bỏ qua nếu dịch vụ xác thực không được lự
a chọn trong ESP, nếu lựa chọn thì việc
xác thực được thực hiện sau khi đã mã hóa hoàn tất.
2.1.2 Hoạt động của IPSec
2.1.2.1 Phương thức vận chuyển
Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, còn phần IP header
được giữ nguyên. Phương thức này có lợi thế là chỉ phải thêm một số byte vào mỗi gói
9
tin, tuy nhiên nhược điểm của nó là có thể bị kẻ tấn công thực hiện một số phân tích IP
header vì nó ở dạng văn bản rõ ràng.
2.1.2.2 Phương thức đường hầm
Tunnel mode mã hóa toàn bộ gói tin IP gốc khiến nó trở thành tải trong gói IP
mới. Phương thức này cho phép thiết bị mạng, ví dụ như Router hoạt động như một
IPSec proxy, khi đó Router nguồn mã hóa các gói tin và gửi chúng theo IPSec Tunner.
Router đích giải mã để nhận được gói IP gốc và gửi nó về hệ thống đích.
2.1.2.3 Kết hợp hai phương thức Trainsport Mode và Tunner Mode
IPSec hỗ trợ hai phương thức vận chuyển và đường hầm. Phương thức đường hầm
được sử dụng để xác thực hoặc mã hóa gói tin cùng với Header gốc. Sau đó áp dụng AH
hoặc ESP hoặc cả hai vào phương thức vận chuyển tiếp cùng với Header mới
Trong IPSec giao thức AH và ESP không được sử dụng đồng thời trong đường
hầm, và đây cũng là nguyên nhân để ESP có thêm tùy chọn xác thực.
2.1.3 Quản lý và trao đổi khóa
Trong quá trình truy
ền thông, các khóa phải được bảo mật. Có hai cách để điều
khiển việc trao đổi và quản lý khóa: Thực hiện bằng tay hoặc tự động bằng một giao thức
quản lý khóa.
Tổ chức IETF đã lựa chọn IKE (Internet Key Exchange) làm giao thức chuẩn để
thực hiện SA. IKE dựa trên triển khai ISAKMP (Internet Security Asociasion and Key
Management Protocol) của Cisco và cơ chế trao đổi khóa Oakley, do vậy nó còn gọi là
ISAKMP/Oakley.
IKE hoạt động ở 2 pha:Pha 1 được dùng khi 2 phía thiết lập một kênh bảo mật để
thực hiện ISAKMP (được gọi là ISAKMP SA); Pha 2 để tạo ra các vật liệu khóa, các
tham số thương lượng và thiết lập SA.
Oakley đưa ra 3 chế độ để trao đổi thông tin khóa và thiết lập các SA:
2.1.3.1 Main Mode
Main Mode cung cấp một cơ chế để thiết lập pha thứ nhất cho ISAKMP SA, xảy
ra trong 3 lần trao đổi hai chiều giữa bên gửi SA và bên nhận.
- Lần trao đổi thứ nhất có hai thỏa thuận cơ bản về thuật toán và hàm băm.
- Lần trao đổi thứ 2, hai bên trao đổi khóa công cộng Diffie-Hellman và chuyển
cho nhau một số ngẫu nhiên để bên kia ký nhận, trả lại để xác nhận định dạng của nhau.
10
- Lần trao đổi thứ 3 hai bên kiểm tra định danh của nhau và hoàn thành quá trình
trao đổi.
2.1.3.2 Aggressive Mode
Aggressive Mode chỉ thực hiện 2 lần trao đổi với 2 gói tin.Đầu tiên Aggressive
Mode bên khởi xướng tạo ra một cặp khóa Diffie-Hellman với đề xuất SA. Chuyển khóa
công cộng Diffie-Hellman, gửi Nonce cho bên kia ký nhận và gửi một ID của gói tin làm
số nhận dạng.Sau đó bên nhận gửi trả lại tất cả những gì cần phải xác nhận để hoàn tất
quá trình trao đổi.Cuối cùng bên khởi xướng chỉ cần xác nhận sự trao đổi đã thực hiện.
2.1.3.3 Quick Mode
Quick Mode làm nhiệm vụ thương lượng các dịch vụ bảo mật và tạo ra vật liệu
khóa mới. Việc thực hiện Pha 2 đơn giản hơn Pha 1 vì lúc này nó đã ở trong một đường
hầm bảo mật.
2.1.3.4 Thỏa thuận SA
Sử dụng Quick Mode, bên khởi tạo đã báo cho bên nhận biết SPI nào được sử
dụng để truyền đi, và tiếp theo bên nhận chọn tiếp SPI của nó.Mỗi SPI, trong sự phối hợp
với IP đích là nhận dạng duy nhất cho một SA. Tuy nhiên trong thực tế các SA này luôn
tạo thành một cặp, cặp SA này có chung các tham số, khóa, thuật toán xác thực và mã
hóa, hàm băm, ngoại trừ bản thân nó.
2.1.4 Sử dụng IPSec trong mạng riêng ảo
2.1.4.1 Cổng truy nhập
Security Gateway là một thiết bị mạng như là Router hoặc Firewall làm nhiệm vụ
ngăn cách mạng nội bộ với bên ngoài, thực hiện các thủ tục xác thực và mã hóa. Sử dụng
IPSec trên Security Gateway nghĩa là giao thông mạng phải tập trung qua một cổng an
ninh, trước khi đi ra ngoài.
2.1.4.2 Máy truy nhập từ xa
Một máy tính muốn quay số để truy nhập vào VPN thì cần phải cài phần mềm
IPSec vào máy tính, điều này nghĩa là chồng giao thức TCP/IP của máy tính phải hỗ trợ
IPSec.
2.1.5 Các vấn đề còn tồn đọng trong IPSec
- Các gói được xử lý theo IPSec sẽ làm tăng kích thước gói tin, làm cho thông
lượng của mạng giảm xuống. Điều này có thể được giải quyết bằng cách nén dữ liệu
trước khi mã hóa, nhưng điều này chưa đượ
c chuẩn hóa.
11
- IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá bằng
tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- IPSec được thiết kế chỉ để điều khiển lưu lượng IP.
- Việc tính toán cho nhiều giải thuật trong IPSec vẫn cồn là một vấn đề đối với các
trạm làm việc và máy PC cũ.
- Việc phân phối các phần cứng và phần mề
m mật mã vẫn còn bị hạn chế.
2.2 Mạng riêng ảo dựa trên MPLS [2],[8],[9],[10]
Công nghệ chuyển mạch nhãn Multiple Protocol Lable Switching (MPLS) là một
công nghệ chuyển mạch không dựa vào IP mà dựa vào một khái niệm mới gọi là nhãn (label).
Nhãn được thêm vào gói IP và được quảng bá đi giữa các router để hình thành nên các ánh xạ
giữa nhãn và địa chỉ IP. Việc chuyển mạch các gói tin sẽ không cần thực hiện việc tra cứu vào
bảng định tuyến IP tức dựa trên địa chỉ đích nữa mà hoàn toàn dựa vào bảng ánh xạ nhãn.
MPLS là một giải pháp linh hoạt để giải quyết vấn đề của các công nghệ mạng hiện nay
như: Tốc độ, khả năng mở rộng, quản lý chất lượng dịch vụ (QoS) và điều khiển luồng (traffic
Engineering-TE).
2.2.1 Thành phần của MPLS
Mạng MPLS truyền dữ liệu thông qua các đường dẫn chuyển mạch nhãn (Label-
Switched Path-LSP). LSP là một chuỗi các nhãn tại mọi nút dọc theo đường dẫn từ nguồn
đến đích, tất cả các gói tin có cùng giá trị nhãn sẽ đi trên cùng một LSP. Mỗi gói tin được
đóng gói và gắn nhãn trong suốt hành trình của nó từ nguồn tới đích.
2.2.1.1 Bộ định tuyến chuyển mạch nhãn
- Bộ định tuyến trong mạng lõi (Label Switching Router-LSR): LSR là một thiết
bị định tuyến tốc độ cao trong mạng lõi có hỗ trợ tính năng MPLS. Nó tham gia vào quá
trình thiết lập LSP sử dụng các giao thức báo hiệu nhãn thích hợp, và chuyển mạch dữ
liệu tốc độ cao trên các LSP đã thiết lập.
- Bộ định tuyến ở biên mạng (Label Edge Router-LER): LER là thiết bị hoạt động
ở biên mạng, nó hỗ trợ đa cổng kết nố
i tới nhiều mạng khác nhau như Frame Relay,
ATM, Ethernet… và chuyển tiếp dữ liệu vào mạng MPLS sau khi thiết lập LSP.
2.2.1.2 Lớp chuyển tiếp tương đương
FEC là một nhóm các gói tin ở lớp mạng được gán nhãn giống nhau và gửi đi
theo một đường cụ thể. FEC cho một gói tin có thể được xác định bởi một hoặc nhiều
tham số như: Địa chỉ IP nguồn hoặc đích, cổng nguồn hoặc đích…
12
2.2.1.3 Nhãn
Nhãn là một định dạng liên tục có độ dài cố định và ngắn được dùng để nhận diện
đường dẫn. Nhãn được chuyên chở hay đóng gói trong Header lớp 2 cùng với gói tin. Các
Router trong mạng lõi sẽ sử dụng nhãn để quyết định chặng tiếp theo. Các nhãn chỉ có ý
nghĩa cục bộ, nghĩa là chúng chỉ liên quan tới các chặng giữa các LSR.
2.2.1.4 Đường đi chuyển mạch nhãn (Label Switching Path-LSP)
Một tập hợp các thiết bị chuyển mạch nhãn có kết nối với nhau tạo thành một
miền chuyển mạch nhãn (MPLS Domain). Trong miền MPLS, đường đi thiết lập cho các
gói tin dựa trên FEC, và LSP này thiết lập trước khi truyền.
MPLS cung cấp 2 lựa chọn sau để thiết lập một LSP:
- Hop by Hop Routing (Xác định đường đi khả thi nhất): Với Hop by Hop routing,
mỗi LSP độc lập nhau chọn nút tiếp theo cho mỗi FEC.
- Explicit Routing (Xác định các tuyến đường
đi bắt nguồn từ nút gốc): Explicit
routing hay còn gọi ER-LSP. Trong đó, LEN vào sẽ xác định danh sách các node dọc
theo LSP trước khi truyền. ER-LSP có đầy đủ các ưu điểm của MPLS như khả năng định
tuyến linh hoạt, xác định nhiều đường đi đến đích, cung cấp khả năng tốt nhất cho việc
quản lý lưu lượng và hỗ trợ QoS.
2.2.2 Các giao thức chính trong MPLS
2.2.2.1 Giao thức phân phối nhãn
LDP được dùng để thiết lập LSP khi không cần thiết phải quản lý lưu lượng. Nó
thiết lập các LSR best-effort theo các tuyến IP có sẵn, thích hợp cho việc thiết lập các
LSP liên kết đầy đủ giữa tất cả các Router trong mạng (Chi tiết trong RFC3036).
2.2.2.2 Giao thức phân phối nhãn dựa trên ràng buộc
CR-LDP được sử dụng để điều khiển cưỡng bức LDP.Giao thức này là phần mở
rộng của LDP cho quá trình định tuyến cưỡng bức các LSR đồng cấp để gửi các bản tin
phân phối nhãn.Nhiệm vụ của CR-LDP là phải tính toán xác định đường kết nối sao cho
thỏa mãm điều kiện đã đặt ra. Các ràng buộc này có thể là số nút ít nhất, đường đi ngắn
nhất, thời gian thực hi
ện… Ngoài ra nó còn có các điều kiện khác đối với kênh và quản
trị.Ví dụ như người quản trị muốn ngăn một kênh không cho lưu lượng đi qua.
2.2.2.3 Giao thức dành trước tài nguyên
Giao thức dành trước tài nguyên (RSVP) RSVP cung cấp khả năng vận hành được
bảo vệ bằng việc đặt trước tài nguyên cần thiết tại mỗi máy tham gia vào hỗ trợ luồng lưu
13
lượng,nó yêu cầu các máy nhận về chất lượng dịch vụ cho luồng dữ liệu. Máy người
nhận giải quyết các thuộc tính QoS sẽ được truyền tới RSVP. Sau khi phân tích các yêu
cầu này (gồm địa chỉ IP máy gửi, máy nhận, số cổng UDP, chỉ tiêu kỹ thuật của luồng
lưu lượng, kích thước cụm và các yêu cầu QoS…), RSVP được sử dụng để gửi các bản
tin tới tất cả các nút nằm trên tuy
ến đường của gói tin.
2.2.2.4 Đường hầm và xếp chồng nhãn
Trong MPLS có thể chèn nhiều nhãn vào một gói tin, mang đến khả năng hỗ trợ
định tuyến có cấu trúc. Tại mỗi LSR, các nhãn đều có thể được thêm vào hoặc gỡ bỏ khỏi
chồng nhãn. Điều này cho phép kết hợp nhiều LSP thành một LSP duy nhất. Các gói tin
đã được gắn nhãn khi đi vào một đường hầm ở mức cao hơn sẽ được gắn thêm một nhãn
ngoài, nhãn trong vẫn được giữ lại để phân biệt khi chúng tách khỏi đường hầm mức cao.
2.2.2.5 Giao thức BGP
BGP được sử dụng để định tuyến một tuyến đường nào đó, nó cũng có thể được
sử dụng phân bổ một nhãn được ràng buộc với tuyến đó. Thông tin ràng buộc nhãn của
một tuyến đường có thể là một bản tin update giúp BGP đảm bảo cho quá trình phân phối
nhãn và các thông tin định tuyến ổn định và giảm bớt tiêu đề của bản tin điều khiển xử lý.
2.2.3 Hoạt động c
ủa MPLS
Hoạt động của MPLS được chia làm hai kiểu: Chế độ hoạt động khung (Frame-
mode) và chế độ hoạt động tế bào (Cell-mode)
2.2.3.1 Chế độ hoạt động khung
Chế độ hoạt động khung sử dụng MPLS trong môi trường thiết bị định tuyến điều
khiển các gói tin điểm-điểm.Các gói tin được chuyển tiếp trên cơ sở lớp khung 2.
2.2.3.2 Chế độ hoạt động tế bào
Triển khai MPLS qua mạng ATM cần giải quyết một số vấn đề. Đó là không có cơ
chế nào cho việc trao đổi trực tiếp các gói IP giữa các nút MPLS lân cận qua ATM, các
tổng đài ATM chỉ kiểm tra các địa chỉ thuần IP chứ không thể thực hiện việc kiểm tra
nhãn.
Giải quyết vấn đề này người ta chuyển đổi VC đầu vào ATM sang VC đầu ra của
giao diện ra. Điều này cho phép môt kênh ảo được thiết lậ
p giữa hai nút lân cận để trao
đổi thông tin điều khiển.
2.2.4 Công nghệ BGP/MPLS VPN
Các mục đích chính BGP/MPLS VPN là:
14
- Cung cấp thêm khả năng thực hiện dịch vụtrên cơ sở hạ tầng mạng
- Làm cho dịch vụ thật đơn giản để khách hàng sử dụng.
- Làm cho dịch vụ dễ mở rộng và mềm dẻo thuận tiện cho việc triển khai rộng.
- Thiết lập các danh sách VPN được triển khai bởi ISP, hoặc phối hợp cùng với
khách hàng.
Có 2 luồng dữ liệu căn bản hình thành trong một BGP/MPLS VPN: Mộ
t là luồng
dữ liệu điều khiển được sử dụng cho việc phân phối các tuyến VPN và đường đi chuyển
mạch nhãn, hai là luồng dữ liệu được dùng để chuyển dữ liệu của khách hàng.
2.2.5 Tóm tắt ưu nhược điểm của MPLS VPN.
Mạng riêng ảo BGP/ MPLS có rất nhiều lợi ích như sau:Cung cấp chất lượng dịch
vụ (QoS) mềm dẻo và khả mở cho khách hàng thông qua việ
c sử dụng các kỹ thuật điều
khiển luồng, không có sự ràng buộc trong kế hoạch đánh địa chỉ cho mỗi khách hàng…
Bên cạnh đó MPLS VPN còn tồn tại một số nhược điểm như:Nhà cung cấp cần
phải nâng cấp các giao thức và phần mềm trong mạng trục. Việc kết nối giữa các nhà
cung cấp khác nhau sẽ phức tạp, đòi hỏi phải có sự hỗ trợ và thỏa thuận về các chính sách
và giao thức được sử dụng.
2.3 Mạng riêng ảo dựa trên SSL [3],[5]
Giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên World Wide
Web trong việc xác thực và mã hoá thông tin giữa client và server. Tổ chức IETF đã
chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi
về tên nhưng TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương
với phiên bản SSL 3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.
2.3.1 Cấu trúc SSL
SSL nằm giữa lớp vận chuyển (Transport Layer) và lớp ứng dụng (Application
Layer). SSL được xếp lớp lên trên một dịch vụ vận chuyển định hướng kết nối đáng tin
cậy, chẳng hạn như được cung cấp bởi TCP. Về khả năng, nó có thể cung cấp các dịch vụ
bảo mật cho các giao thức ứng dụng tùy ý dựa vào TCP chứ không chỉ HTTP. Ngoài ra,
SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp th
ứ ba (CA)
thông qua giấy chứng thực điển tử (digital certificate) dựa trên mật mã công khai (ví dụ
RSA). SSL cũng cung cấp sự bảo mật truyền thông cơ bản:
- Client và Server có thể xác thực lẫn nhau bằng cách sử dụng mật mã khóa chung.
15
- Sự bí mật của dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi thiết
lập quan hệ ban đầu và sự thương lượng khóa session đã xảy ra.
- Tính xác thực và tính toàn vẹn của dữ liệu được bảo vệ vì các thông báo được
xác thực và được kiểm tra bằng cách sử dụng MAC.
2.3.2 Hoạt động của SSL VPN
2.3.2.1 Đường hầm bảo mật sử dụng SSL
SSL VPN tạo ra đường hầm bảo mật bằng cách thực hiện hai chức năng:
Thứ nhất,bắt buộc người dùng phải nhận thực trước khi cho phép truy nhập và chỉ
những nhóm nhận thực mới thiết lập đường hầm.
Thứ hai,mã hóa tất cả lưu lượng truyền qua và tới người dùng bằng cách thực hiện
đường hầm thực sự SSL.
Một trong những ưu đi
ểm chính của SSL VPN là khả năng truy nhập tài nguyên từ
bất kỳ máy tính nào hoặc thiết bị cầm tay nào, ở bất cứ nơi đâu.
2.3.2.2 Công nghệ Reverse proxy
Reverse proxy là chức năng cơ bản nhất của SSL VPN, là khả năng nhận các yêu
cầu người dùng và truyền chúng qua các máy chủ nội bộ. Reverse proxy là một máy tính
nằm giữa máy chủ Web nội bộ và Internet, là một phần của kế hoạch cân bằng lưu lượng,
bảo mật hệ thống và làm ẩn đi các máy chủ thực sự từ người dùng bên ngoài.
2.3.2.3 Truy nhập từ xa SSL
Nhiều máy chủ SSL VPN tận dụng công nghệ tương tự như reverse proxy để cho
phép người dùng web yêu cầu và truyền các tài nguyên nội bộ. Để thực hiện chức năng
truy nhập từ xa hiệu quả hơn SSL VPN đã có nhiều sự cải tiến quan trọng như:
- Khả năng cho phép các ứng dụng web và non-web tậ đụng đường hầm SSL.
- Khả năng cho phép truy nhập từ xa tới file, máy in, và các tài nguyên khác.
- Khả năng chuyển các ứ
ng dụng nội bộ thành có thể truy nhập internet.
- Khả năng cho phép người dùng sử dụng chương trình hướng đối tượng.
- Khả năng kết nối một thiết bị từ xa.
2.3.2.4 Ví dụ phiên làm việc SSL VPN
Sau đây mô tả các thành phần SSL VPN hoạt động như thế nào trong một phiên
làm việc của người dùng:
1. Người dùng nhập URL của hệ thống truy nhập từ xa SSL VPN vào trình duyệt.
Ví dụ: htth://remote.packtput.com.
16
2. Nếu người dùng truy nhập tới một cổng không mã hóa (Ví dụ: HTTP cổng 80),
SSL VPN sẽ chuyển tiếp nó tới cổng 443 và bắt đầu sử dụng mã hóa SSL cho tất cả giao
tiếp với người dùng. Địa chỉ chuyển tiếp là htth://remote.packtput.com. SSL VPN sẽ gửi
tới người dùng một trang đăng nhập.
3. Người dùng đăng nhập chứng thực của họ tới SSL VPN.
4. Nếu chứng thực được chấp thuận, SSL VPN g
ửi trang chủ và tải về các mã
ActiveX hoặc Java cần thiết để thiết lập đường hầm lưu lượng non-web qua SSL hoặc
thiết lập kết nối mạng qua SSL.
5. Người dùng chọn một ứng dụng nền web sử dụng trang chủ và SSL VPN sẽ đưa
người dùng vào hệ thống. SSL VPN dịch tất cả các giao tiếp từ hệ thống nội bộ trước khi
chuyển tiếp chúng đến người dùng.
6. Khi người dùng bấm vào một liên kết trong ứng dụng, SSL VPN chuyển đổi
liên kết từ định dạng bên ngoài thành dạng nội bộ và chuyển tiếp yêu cầu tới máy chủ
tương ứng.
7. Khi cần phải có lưu lượng non-web từ máy trạm, phần mềm SSL VPN trên máy
chủ người dùng đóng gói dữ liệu bằng cách sử dụng một trong các kỹ thuật đã mô tả ở
trên và gửi nó qua kết nối SSL tớ
i SSL VPN, ở đó nó sẽ khôi phục trở thành định dạng
ban đầu và gửi nó tới mạng nội bộ.
2.3.3 Ưu nhược điểm của SSL VPN
SSL VPN có rất nhiều ưu điểm như: Bảo mật dữ liệu cho các lớp giao thức xếp
trên nó, khóa riêng chứng chỉ số cho nhận thực. Mặc dù vậy, SSL VPN cũng có những
hạn chế như:SSLVPN chỉ yêu cầu một giao thức vậ
n chuyển là TCP, không hỗ trợ dịch
vụ bảo mật như non-repudiation…
2.4 Kết luận
Chương này đã trình bày chi tiết một số công nghệ chính trong mạng Mạng riêng ảo như
IPSec VPN, MPLS,BGP/MPLS VPN, SSL VPN. Tìm hiểu thành phần, các giao thức và
hoạt động của các giao thức, từ đó đưa ra các nhận xét về ưu nhược điểm mỗi công nghệ
các vấn đề còn tồn tại của các công nghệ này.
17
Chương 3
GIẢI PHÁP MẠNG RIÊNG ẢO TRƯỜNG ĐẠI HỌC CÔNG
NGHIỆP THÀNH PHỐ HỒ CHÍ MINH
3.1 Mô hình quản lý trường ĐHCN Tp Hồ Chí Minh
Bài toán quản lý tại Trường ĐHCN TP Hồ chí Minh: Quản lý theo cấp cơ sở,
không tập trung được dữ liệu, gây bất cập cho cán bộ nhân viên và học sinh, sinh viên vì
phải chờ việc chuyển yêu cầu vào cơ sở chính qua báo cáo Fax và Email.
Đề tài đưa ra: “Giải pháp Mạng riêng ảo Trường ĐHCN TP Hồ Chí Minh” nhằm
giúp việc quản lý nhân viên cũng như học sinh, sinh viên được hiệu quả.
3.2 Giải pháp kiến trúc mạng riêng ảo
3.2.1 Xây dựng mạng WAN
Để xây dựng một hệ thống mạng quản lý toàn bộ cán bộ, công nhân viên và học
sinh, sinh viên của trường ĐHCN TP Hồ Chí Minh tức là phải quản lý được các nhân
viên, học sinh, sinh viên các cơ sở. Đầu tiên ta xây dựng mạng WAN. WAN là mạng
diện rộng, được thiết lập để liên kết các máy tính của hai hay nhiều khu vực khác nhau
trong nội bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục, vì vậy nó phù
hợp cho mục tiêu quả
n lý từ xa giữa các cơ sở đào tạo của nhà trường.
Trường ĐHCN TP Hồ Chí Minh có 5 cơ sở, như vậy chúng ta sẽ xây dựng mạng
WAN cho 5 cơ sở. Việc này cần đăng ký dịch vụ Internet với các nhà cung cấp dịch vụ
VNPT (Tập đoàn Bưu chính Viễn thông) tại mỗi địa bàn có cơ sở của Trường.
3.2.2 Xây dựng mạng LAN
Để quản lý thông tin cho mỗi cơ sở ta thiết k
ế mạng LAN. Tại mỗi cơ sở của
Trường ĐHCN thiết kế mạng LAN nối các phòng, khoa, trung tâm của cơ sở. Trong các
phòng ban như Phòng giáo vụ, Phòng Tổng hợp, Khoa Kế toán, Khoa Công Nghệ, Trung
tâm Khảo thí, Trung tâm thư viện… sẽ có các máy riêng của nhân viên phòng, ban đó.
Như vậy tại mỗi cơ sở ta sẽ thiết kế ít nhất hai máy server, một server để lưu dữ
liệu, một server để kết nối với c
ơ sở chính của Trường. Tại các phòng, khoa các máy
client ta ủy quyền cho một Client làm Domain Group, máy Domain Group này do cán bộ
quản lý phòng, khoa đó sử dụng, ngoài ra còn các thiết bị mạng như Router, Switch
18
mạng. Các máy server bổ sung tại mỗi cơ sở có thể dùng làm máy chủ RADIUS, hoặc
chứng thực CA.
3.2.3 Nhà cung cấp dịch vụ
Để thiết kế mạng riêng ảo, bảo mật cho thông tin của Trường ta đăng ký dịch vụ
VPN của nhà cung cấp VNPT. Để kết nối được VPN cơ sở chính với cơ sở Thái Bình ta
cần các dịch vụ VNPT TP Hồ Chí Minh, VNPT Hà Nội VNPT Quận Gò Vấp nơi trụ sở
chính củ
a Trường, VNPT tỉnh Thái Bình. VNPT cấp trung ương như TP Hồ Chí Minh,
VNPT Hà Nội cung cấp dải địa chỉ cho truy nhập giữa hai vùng, VNPT cấp địa phương
như VNPT Thái Bình, VNPT Gò Vấp cấp dải địa chỉ cho các nhân viên thuộc cơ sở tại
địa bàn đó sử dụng.
3.2.4 Thiết kế Mạng VPN
Trường ĐHCN TP Hồ Chí Minh với nhiều cơ sở, để kết nối các cơ sở học viên
dùng kiểu kế
t nối VPN Site-to-Site. Để kết nối từ xa cho nhân viên ở bất cứ đâu cũng có
thể truy nhập hệ thống của trường, học viên dùng kết nối VPN Client-to-Site.
Học viên lựa chọn công nghệ IPSec cho kết nối VPN vì IPSec cung cấp nhiều kiểu
mã hóa dữ liệu, đảm bảo tính bí mật, an toàn cho thông tin trên đường truyền. Trong cài
đặt VPN học viên sử dụng giao thức L2TP vì L2TP mang đặc tính của cả PPTP và L2F,
L2TP cho phép truyền thông qua nhiều môi trường gói khác nhau như Frame Relay,
ATM
Hình 3.1: Mô hình thử nghiệm