Tải bản đầy đủ (.pdf) (83 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Khoa học tự nhiên

công nghệ mạng riêng ảo vpn dựa trên ssl

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.75 MB, 83 trang )


Công nghệ mạng riêng ảo VPN dựa trên SSL
- 1 -



















ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN






Vũ Quang Thịnh










CÔNG NGHỆ MẠNG RIÊNG ẢO VPN
DỰA TRÊN SSL

Chuyên ngành: Bảo đảm toán học cho máy tính và hệ thống tính toán
Mã số : 60.46.35




LUẬN VĂN THẠC SĨ KHOA HỌC


NGƢỜI HƢỚNG DẪN KHOA HỌC
PGS. TS. Nguyễn Văn Tam









Hà Nội – 2012



Công nghệ mạng riêng ảo VPN dựa trên SSL
- 2 -
MỤC LỤC
MỤC LỤC 2
DANH MỤC HÌNH 5
DANH MỤC BẢNG 7
DANH MỤC CÁC TỪ VIẾT TẮT 8
LỜI MỞ ĐẦU 10
CHƢƠNG 1 - TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO 12
1.1. Giới thiệu chung về mạng riêng ảo 12
1.1.1. Khái niệm cơ bản về mạng riêng ảo 12
1.1.2. Mô hình mạng riêng ảo 12
1.1.3. Những lợi ích cơ bản của mạng riêng ảo 13
1.2. Những yêu cầu cơ bản đối với mạng riêng ảo 14
1.2.1. Bảo mật 14
1.2.2. Tính sẵn sàng và tin cậy 15
1.2.3. Chất lượng dịch vụ 17
1.2.4. Khả năng quản trị 17
1.2.5. Khả năng tương thích 18
1.3. Các mô hình kết nối VPN thông dụng 20
1.3.1. VPN Truy cập từ xa (Remote Access VPN) 20
1.3.2. VPN Cục bộ (Intranet VPN) 22
1.3.3. Mạng riêng ảo mở rộng (Extranet VPN) 25
1.4. Các thành phần của mạng riêng ảo 28
1.4.1. Máy chủ phục vụ truy cập mạng (Network Access Server -NAS) 28
1.4.2. Bộ định tuyến (Router) 28

1.4.3. Máy nguồn và máy đích đường hầm. 29
1.4.4. Máy chủ phục vụ xác thực (Authentication Server) 29
1.4.5. Tường lửa - Firewall 30
1.4.6. Máy phục vụ chính sách (Policy Server) 31
1.4.7. VPN Gateway 31

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 3 -
1.5. Kết luận chƣơng 31
CHƢƠNG 2 - NGHIÊN CỨU CÔNG NGHỆ SSL VPN 33
2.1. Giới thiệu về SSL 33
2.1.1. Lịch sử phát triển của giao thức SSL 33
2.1.2. Cấu trúc của giao thức SSL 34
2.2. Các khái niệm an ninh đƣợc sử dụng trong SSL 36
2.2.1. Mã hóa 36
2.2.2. Hàm băm và bản tóm lược thông điệp 37
2.2.3. Mã xác thực thông điệp - MAC 38
2.2.4. Mã hoá khoá công khai và chữ ký số 38
2.2.5. Chứng chỉ số và cơ quan cung cấp chứng chỉ số 39
2.3. Bộ các giao thức trong SSL 41
2.3.1. Giao thức bắt tay SSL 41
2.3.2. Giao thức bản ghi SSL 57
2.3.3. Giao thức cảnh báo SSL 61
2.3.4. Giao thức ChangeCipher Spec 61
2.4. Thiết lập đƣờng hầm trong SSL VPN 62
2.5. Kết luận chƣơng 63
CHƢƠNG 3- XÂY DỰNG HỆ THỐNG BẢO MẬT TRUY CẬP NỘI BỘ
TỪ XA QUA OPENVPN DỰA TRÊN SSL 65
3.1. Phát biểu bài toán 65
3.2. Mô hình hệ thống OpenVPN 65

3.2.1. Các thành phần hệ thống OpenVPN 65
3.2.2. Các mô hình hệ thống OpenVPN 65
3.2.3. Xác thực và quản lý người dùng 67
3.2.4. Vùng mạng VPN 68
3.3. Quá trình hoạt động của OpenVPN 68
3.4. Mô hình triển khai hệ thống 70
3.5. Triển khai hệ thống 72
3.5.1. Cài đặt Ubuntu 72
3.5.2. Cài đặt OpenVPN 73

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 4 -
3.5.3. Cài đặt AD Server và kết nối với OpenVPN 73
3.5.4. Cài đặt máy chủ dịch vụ mail 73
3.5.5. Cài đặt máy chủ dịch vụ web 73
3.5.6. Tạo và phân quyền người sử dụng 73
3.5.7. Cài đặt Router kết nối Internet để cho phép người dùng từ ngoài truy
cập OpenVPN 75
3.5.8. Kiểm tra kết nối VPN thành công 75
3.5.8. Kiểm tra thông tin nhật ký 80
3.5.9. Kiểm tra quá trình truyền dữ liệu qua SSL VPN 81
KẾT LUẬN 82
TÀI LIỆU THAM KHẢO 83


Công nghệ mạng riêng ảo VPN dựa trên SSL
- 5 -
DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình mạng riêng ảo – VPN 13
Hình 1.2: Mô tả chung của VIPR 19

Hình 1.3: Mô tả chung của công nghệ đường điện thoại riêng ảo 20
Hình 1.4: Thiết lập truy cập từ xa không có VPN 21
Hình 1.5: Thiết lập VPN truy cập từ xa 22
Hình 1.6: Thiết lập Intranet sử dụng WAN 23
Hình 1.7: Thiết lập VPN dựa trên VPN 24
Hình 1.8: Mạng Extranet truyền thống 26
Hình 1.9: Mạng Extranet dựa trên VPN 27
Hình 2.1: Sơ đồ mối quan hệ giữa SSL và mô hình OSI 35
Hình 2.2: Sơ đồ quan hệ giữa SSL và các giao thức khác 36
Hình 2.3: Sơ đồ hệ thống mã hóa khóa đối xứng 37
Hình 2.4: Sơ đồ hệ thống mã hóa khóa bất đối xứng 37
Hình 2.5: Sơ đồ xác thực dữ liệu dùng chữ ký số 39
Hình 2.6: Sơ đồ quá trình bắt tay trong SSL không xác thực máy khách 43
Hình 2.7: Sơ đồ quá trình bắt tay, có xác thực máy khách trong giao thức SSL 45
Hình 2.8: Sơ đồ quá trình cập nhật trạng thái tại máy khách 50
Hình 2.9: Sơ đồ quá trình cập nhật trạng thái tại máy chủ 51
Hình 2.10: Sơ đồ quá trình tạo Master Secret trong SSL 55
Hình 2.11: Sơ đồ quá trình tạo Key Material 56
Hình 2.12: Sơ đồ sinh khóa từ Key Material 57
Hình 2.13: Các bước xử lý dữ liệu trong giao thức bản ghi 57
Hình 2.14: Khuôn dạng thông điệp bản ghi SSL 58
Hình 2.15: Bảo vệ thông điệp với thuật toán MD5………………………………56
Hình 2.16: Bảo vệ thông điệp với thuật toán SHA 59
Hình 2.17: Sơ đồ tính toán MAC trong SSL 60

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 6 -
Hình 2.18: Mã hóa thông điệp với thuật toán mã hóadòng……………………… 58
Hình 2.19: Mã hóa thông điệp thuật toán mã hóa khối 61
Hình 2.20: Khuôn dạng thông điệp Alert 61

Hình 3.1: Mô hình OpenVPN một card mạng 66
Hình 3.2: Mô hình OpenVPN một card mạng 67
Hình 3.3: Mô hình OpenVPN một card mạng dùng địa chỉ IP public 67
Hình 3.4: Mô hình xác thực và quản lý người dùng 68
Hình 3.5: Mô hình quá trình hoạt động của OpenVPN 69
Hình 3.6: Mô hình mã hóa và đóng gói dữ liệu qua OpenVPN 69
Hình 3.7: Mô hình truy cập các dịch vụ qua OpenVPN 70
Hình 3.8: Mô hình hệ thống bảo mật truy cập nôi bộ qua OpenVPN 70
Hình 3.9: Giao diện đăng nhập OpenVPN 73
Hình 3.10: Phân quyền chuyenvien chỉ được kết nối tới máy chủ web 74
Hình 3.11: Phân quyền lanhdao được kết nối tới toàn bộ máy chủ dịch vụ 75
Hình 3.12: Chuyenvien đăng nhập thành công 75
Hình 3.13: Lanhdao đăng nhập thành công 77
Hình 3.14: Kiểm tra thông tin nhật ký 80
Hình 3.15: Kiểm tra quá trình truyền dữ liệu qua SSL VPN 81


Công nghệ mạng riêng ảo VPN dựa trên SSL
- 7 -
DANH MỤC BẢNG
Bảng 2.1: Các bước thực hiện trong bắt tay SSL không xác thực máy khách 42
Bảng 2.2: Các bước thực hiện quá trình bắt tay SSL có xác thực máy khách 43
Bảng 2.3: Các thành phần trong thông điệp ClientHello 45
Bảng 2.4: Các thành phần trong thông điệp ServerHello 47
Bảng 2.6: Các thành phần trong thông điệp CertificateVerify 49
Bảng 2.7: Các trường trong thông điệp bản ghi SSL 58
Bảng 2.8: Các kiểu nội dung tầng bản ghi 59


Công nghệ mạng riêng ảo VPN dựa trên SSL

- 8 -
DANH MỤC CÁC TỪ VIẾT TẮT

AAA
Authentication Authorization Accounting
AES
Advanced Encryption Standard
AS
Autonomous System
ATM
Asynchronous Transfer Mode
CA
Certificate Authority
DES
Data Encryption Standard
DoS
Denial of Services
FR
Frame Relay
FTP
File Transfer Protocol
FTPs
File Transfer Protocol secure
HTTP
Hyper Text Transfer Protocol
HTTPs
Hyper Text Transfer Protocol secure
ICMP
Internet Control Message Protocol
IETF

Internet Engineering Task Force
IMAP
Internet Message Access Protocol
ISDN
Integrated Services Digital Network
ISP
Internet Service Provider
L2TP
Layer 2 Tunneling Protocol
LAN
Local Area Network
LDAP
Lightweight Directory Access Protocol
MAC
Message Authentication Code
MD5
Message Digest 5 Hash Algorithm
NAS
Network Access Server
NAT
Network Address Translation

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 9 -
OSI
Open Systems Interconnection
PKC
Public Key Cryptography
PoP
Point of Presence

POP3
Post Office Protocol 3
POP3s
Post Office Protocol 3 secure
PPTP
Point to Point Tunneling Protocol
QoS
Quality of Service
RADIUS
Remote Authentication Dial In User Server
RAS
Remote Access Server
RSA
Ron Rivest, Adi Shamir, Leonard Adleman
SHA
Secure Hash Standard
SKC
Symmetric Key Cryptography
SLA
Service Level Agreement
SMTP
Simple Mail Transfer Protocol
SMTPs
Simple Mail Transfer Protocol secure
SP
Service Provider
SSL
Secure Socket Layer
TACACS
Terminal Access Control System

TCP/IP
Transfer Control Protocol/Internet Protocol
TLS
Transport Layer Security
UDP
User Datagram protocol
VIPR
Virtual IP Routing
VoIP
Voice over Internet Protocol
VPN
Virtual Private Network
WAN
Wide Area Network


Công nghệ mạng riêng ảo VPN dựa trên SSL
- 10 -
LỜI MỞ ĐẦU
Ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công
nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết
nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng
một cách thuận tiện. Để làm được điều này người ta sử dụng một máy tính đặc
biệt gọi là Router để kết nối các LAN và WAN với nhau. Các máy tính kết nối
vào Internet thông qua nhà cung cấp dịch vụ (Internet Service Provider - VPN),
cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải
quyết là năng lực truyền thông của các mạng viễn thông công cộng. Với
Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế,
và rất nhiều điều khác đã trở thành hiện thực.
Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính

phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu
cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình
hoạt động mạng mới về ứng dụng và công nghệ nhằm thoả mãn những yêu cầu
trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó
chính là mô hình mạng riêng ảo (VPN - Virtual Private Network). Với mô hình
mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính
năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được
sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà,
trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ
của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó
có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác
kinh doanh với nhau trong môi trường truyền thông rộng lớn. Nhưng nổi bật
hơn cả là VPN có thể dùng mạng công cộng như Internet mà đảm bảo tính
riêng tư và tiết kiệm được chi phí hơn rất nhiều.

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 11 -
Một trong các giải pháp VPN là sử dụng Secure Sockets Layer (SSL):
Giao thức SSL thiết lập kết nối điểm - điểm (point-to-point), đảm bảo tính
riêng tư trong môi trường Internet công cộng, đang nổi lên như một giải pháp
VPN hiệu quả và khả năng ứng dụng rộng rãi.
Đứng trước xu thế phát triển đó, luận văn này được thực hiện với đề tài:
“Công nghệ mạng riêng ảo VPN dựa trên SSL”.
Với giới hạn những vấn đề tìm hiểu và nghiên cứu như trên, luận văn bao gồm
3 chương:
Chƣơng 1: Tổng quan về công nghệ mạng riêng ảo.
Chƣơng 2: Nghiên cứu công nghệ SSL VPN.
Chƣơng 3: Xây dựng hệ thống bảo mật truy cập nội bộ từ xa qua
OpenVPN dựa trên SSL.

















Công nghệ mạng riêng ảo VPN dựa trên SSL
- 12 -
CHƢƠNG 1. TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO
1.1. Giới thiệu chung về mạng riêng ảo
1.1.1. Khái niệm cơ bản về mạng riêng ảo
Mạng riêng ảo (Virtual Private Network – VPN) là mạng sử dụng mạng
công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm
cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và
kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của
tổ chức được triển khai trên một hạ tầng công cộng với các chính sách như là
trong một mạng riêng.
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo
đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên
đường truyền tạo ra một đường hầm bảo mật giữa nơi nhận và nơi gửi giống
như một kết nối điểm tiếp điểm trên mạng riêng. Để có thể tạo ra một đường

hầm bảo mật đó, dữ liệu phải được mã hoá hay che giấu đi chỉ cung cấp phần
đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích
thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hoá một
cách cẩn thận do đó nếu Hacker có truy cập lấy cắp các gói tin trên đường
truyền thì cũng không đọc được nội dung. Liên kết với dữ liệu được mã hoá và
đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường gọi là
đường hầm (VPN Tunnel)
1.1.2. Mô hình mạng riêng ảo
Một mạng VPN điển hình thông thường bao gồm mạng LAN chính tại
trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa,
những đối tác kinh doanh, các điểm kết nối (như “Văn phòng” tại gia) hoặc
người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.


Công nghệ mạng riêng ảo VPN dựa trên SSL
- 13 -

Hình 1.1: Mô hình mạng riêng ảo – VPN
1.1.3. Những lợi ích cơ bản của mạng riêng ảo
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các
giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay
ISDN. Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường
dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện
của ISP.
- Giảm đƣợc chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng
dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ
chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì
lúc này, thực tế là tổ chức không cần thuê nhiều nhân viên mạng cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa

các phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu,
nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều
có thể dễ dàng kết nối tới Intranet của công ty mình.
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền
dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật
ở một mức độ nhất định, thêm vào đó, công nghệ đường hầm sử dụng các biện

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 14 -
pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin
cậy, tính xác thực của dữ liệu được truyền, kết quả là VPN mang lại mức độ
bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường
Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối
Internet không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề truyền dữ
liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một
kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng
thông mạng.
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh
cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị.
Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng
tương thích với sự phát triển trong tương lai [3].
1.2. Những yêu cầu cơ bản đối với mạng riêng ảo
1.2.1. Bảo mật
Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài
nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy
cập trái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận
định này rất có thể không đúng với VPN có sử dụng Internet và các mạng công
cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched

Telephone Network - PSTN) cho truyền thông. Thiết lập VPN mang lại cho
các Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ
liệu của nó qua các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện
cần phải được thực thi một cách chặt chẽ.
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo
các cách như sau:

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 15 -
+ Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu
lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu
lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng (NAT) là các ví dụ
về kỹ thuật phòng thủ. Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả
với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển địa
chỉ là một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ
trong mạng. Và như vậy, kẻ tấn công không biết được đích của các tài nguyên
đó trong mạng Intranet.
+ Xác thực (Authentication): Xác thực người dùng và các gói dữ liệu để
thiết lập định danh của người dùng và quyết định anh ta có được phép truy cập
tới các tài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền, kiểm
soán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên
hệ thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi người dùng đã
được xác thực thành công, họ chỉ có thể truy cập đến các tài nguyên đã được
cấp quyền. Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả các người
dùng mạng cũng được duy trì, cho phép người quản trị mạng ghi lại những hoạt
động trái phép, bất thường.
+ Mã hoá dữ liệu (Data Encryption): Thực thi các cơ chế mã hoá dữ liệu
để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được
truyền qua mạng không tin cậy. Bảo mật giao thức Internet (IPSec) nổi bật lên
như một cơ chế mã hoá dữ liệu mạnh nhất. Nó không chỉ mã hoá dữ liệu đang

được truyền mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu
riêng biệt.
+ Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung
cấp khoá mật mã để tạo ra các đường hầm phiên (Session Tunnell). Vì vậy, cần
phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng.
1.2.2. Tính sẵn sàng và tin cậy

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 16 -
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng
(Uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối
cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát
đầy đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian
như Internet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào
mạng trung gian. Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào
nhà cung cấp dịch vụ (ISP).
Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức
dịch vụ” (SLA). SLA là bản hợp đồng được ký kết giữa ISP và người dùng
(một tổ chức hoặc một công ty) để cam kết về thời gian truy cập mạng. Một số
ISP đề xuất uptime rất cao, khoảng 99%. Nếu một tổ chức muốn đảm bảo tính
sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển mạch xương sống có
khả năng phục hồi cao. Đó là:
+ Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường
thay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo
hiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên
định tuyến khi được yêu cầu.
+ Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu
tăng giải thông mạng.
+ Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này
không chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ

thống làm lạnh
Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên
quan mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch trong VPN
đảm bảo rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn
cảnh. Cũng như hầu hết các thiết lập mạng khác, tính tin cậy trong môi trường
dựa trên VPN có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 17 -
đường dẫn khác nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ
quá trình này là hoàn toàn trong suốt với người dùng cuối.
1.2.3. Chất lượng dịch vụ
Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều
có mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được
truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác.
Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không?
là rất khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được
đảm bảo.
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn
bằng cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông
mạng và các tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài
chính, quá trình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với
băng thông. Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi
băng thông lớn để tránh hiện tượng chất lượng kém của giao dịch.
1.2.4. Khả năng quản trị
Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng
với việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng
kết nối phạm vi toàn cầu. Hầu hết các đơn vị được kết nối với các nguồn tài
nguyên của thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là
không thể kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải

qua mạng Intranet trung gian của nhà cung cấp dịch vụ. Trong hoàn cảnh này,
một đơn vị phải quản trị được tài nguyên cho đến cả mạng kinh doanh của họ,
trong khi nhà cung cấp dịch vụ quản trị các thiết lập mạng của họ. Với sự sẵn
có các thiết bị VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức
với nhà cung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việc
quản trị tài nguyên và quản trị toàn bộ phần riêng và phần công cộng của các

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 18 -
phần cuối VPN. Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng
của họ như trong mô hình truyền thống, có thể kiểm soát toàn bộ truy cập mạng
và có quyền giám sát trạng thái thời gian thực, sự thực thi của VPN. Hơn nữa
Công ty cũng có thể giám sát phần công cộng của VPN. Tương tự, các ISP
quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ. Tuy
nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn bộ cơ
sở hạ tầng, bao gồm cả cơ sở hạ tầng VPN của người dùng.
1.2.5. Khả năng tương thích
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối
đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng
có thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous
Transfer Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công
nghệ và giao thức cơ sở.
Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có
khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một
cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN.
Sử dụng Getway IP: Getway IP chuyển (hoặc dịch) các giao thức không
dựa trên IP thành IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng
hoặc cũng có thể là các giải pháp dựa trên phần mềm. Getway IP được cài đặt
trên mọi Server và thường được dùng để chuyển đổi dòng lưu lượng.
Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng

gói các gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầng
dựa trên IP. Các thiết bị cuối khác, khi nhận được các gói dữ liệu đã đóng gói
này sẽ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. “Đường hầm” bây
giờ được xem như là một thiết bị tryền tải.
Sử dụng định tuyến IP ảo (Virtual IP Routing - VIPR): như trong hình vẽ
1.2, VIPR làm việc bằng cách phân vùng lôgic một Router vật lý tại vị trí nhà

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 19 -
cung cấp dịch vụ sau cùng (như là một phần cơ sở hạ tầng của ISP). Mỗi một
phân vùng được cấu hình và quản trị như một Router vật lý và có thể hỗ trợ
một VPN. Theo cách gọi đơn giản, mỗi một phân vùng lôgic được xem như
một Router với đầy đủ các chức năng của nó. Kết quả là, phân vùng Router
lôgic có thể hỗ trợ nhiều giao thức và có khả năng chứa địa chỉ IP riêng.


Hình 1.2: Mô tả chung của VIPR
Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công
nghệ đường điện thoại riêng ảo được sử dụng. Công nghệ đường điện thoại
riêng ảo được mô tả như trong hình 1.3.

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 20 -

Hình 1.3: Mô tả chung của công nghệ đƣờng điện thoại riêng ảo
1.3. Các mô hình kết nối VPN thông dụng
Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:
- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của
một công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào
- Có khả năng kết nối từ xa giữa các nhánh văn phòng.

- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác
quan trọng đối với giao dịch thương mại của công ty.
Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân
thành 2 loại như sau: VPN truy cập từ xa (Remote Access VPN), VPN Site – to
– Site (Bao gồm 2 mô hình: VPN Cục bộ (Intranet VPN), VPN mở rộng
(Extranet VPN))
1.3.1. VPN Truy cập từ xa (Remote Access VPN)

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 21 -
Cung cấp các dịch vụ truy cập VPN từ xa (remote access hay dial-up
VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng
mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng
của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.
Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa,
người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng
của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi
người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một
kết nối cố định tới Intranet của tổng công ty.
Như trong hình 1.4, chuyển mạch truy cập từ xa thiết lập khi chưa có sự
mở rộng của VPN bao gồm các thành phần chính như sau:
+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác
thực và cấp quyền cho các yêu cầu truy cập từ xa.
+ Kết nối Dialup tới mạng trung tâm
+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ
trợ người dùng từ xa

Hình 1.4: Thiết lập truy cập từ xa không có VPN

Công nghệ mạng riêng ảo VPN dựa trên SSL

- 22 -
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua
đó để kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa
tương ứng được mô tả như trong hình 1.5.

Hình 1.5: Thiết lập VPN truy cập từ xa
1.3.2. VPN Cục bộ (Intranet VPN)
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa,
đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng
chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được
thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng
dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của
Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây
thuê riêng theo các cách kết nối WAN truyền thống.
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa
của một tổ chức với Intranet trung tâm của tổ chức đó, nên còn được gọi là

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 23 -
mạng riêng ảo chi nhánh. Trong cách thiết lập Intranet không sử dụng công
nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các
Router trung gian. Thiết lập này được mô tả như trong hình 1.6.

Hình 1.6: Thiết lập Intranet sử dụng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một
Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì
và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn,
chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi
Intranet càng lớn thì chi phí càng cao.

Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế
bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc
thực thi toàn bộ Intranet. Một giải pháp Intranet VPN điển hình được mô tả như
trong hình 1.7.

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 24 -

Hình 1.7: Thiết lập VPN dựa trên VPN
Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.7 là:
+ Loại trừ được các Router từ đường WAN xương sống.
+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp
các liên kết ngang hàng mới.
+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn.
Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi
phí của hoạt động Intranet.
Tuy nhiên cũng có một số nhược điểm:
+ Vì dữ liệu được định đường hầm qua một mạng chia sẻ công cộng nên
các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh
mạng.
+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.

Công nghệ mạng riêng ảo VPN dựa trên SSL
- 25 -
+ Đường truyền dữ liệu đầu trên như multimedia, độ trễ truyền tin vẫn rất
cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của
Internet.
+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và
QoS có thể không được đảm bảo
1.3.3. Mạng riêng ảo mở rộng (Extranet VPN)

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng
vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng
các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như
trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định.
Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy
nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác
Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không
rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách
hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp
dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng
như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ
WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và
thêm vào các lớp bảo mật để xác thực và giới hạn truy cập trên hệ thống.
Không giống như Intranet VPN và Remote Access VPN. Extranet VPN
không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho
phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch
thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp. Vì vậy còn được
gọi là mạng riêng ảo đối tác
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong
hình 1-8

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×