Tải bản đầy đủ (.pdf) (87 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu xây dựng giải pháp bảo mật và xác thực mạng ảo VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.47 MB, 87 trang )























BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI 2






NGÔ QUANG HƯNG






NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT
VÀ XÁC THỰC MẠNG RIÊNG ẢO VPN





LUẬN VĂN THẠC SĨ MÁY TÍNH







HÀ NỘI, 2014


NGÔ QUANG HƯNG KHOA H

C MÁY TÍNH 2012
-
2014

























BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI 2








NGÔ QUANG HƯNG





NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP BẢO MẬT
VÀ XÁC THỰC MẠNG RIÊNG ẢO VPN

Chuyên ngành: Khoa học máy tính
Mã số: 60 48 01 01


LUẬN VĂN THẠC SĨ MÁY TÍNH


Người hướng dẫn khoa học: TS. Hồ Văn Hương




HÀ NỘI, 2014



LỜI CẢM ƠN

Tôi xin gửi lời cảm ơn sâu sắc tới thầy giáo hướng dẫn TS. Hồ Văn
Hương, đã tạo mọi điệu kiện, hướng dẫn tận tình để tôi hoàn thành luận văn.
Tôi xin cám ơn Khoa Công nghệ Thông tin, Phòng Sau đại học, Trường

Đại học Sư phạm Hà Nội 2 cùng toàn thể các thầy cô đã giảng dạy, hướng dẫn
tôi trong khoá học 2012-1014 lớp K16-KHMT để tôi có thể hoàn thành luận văn.
Xin gửi lời cảm ơn tới bạn bè và gia đình đã luôn khuyến khích động viên tôi
trong quá trình học tập và làm luận văn.
Tôi xin chân thành cảm ơn!
Hà Nội, ngày 15 tháng 12 năm 2014
TÁC GIẢ LUẬN VĂN



Ngô Quang Hưng



Lời cam đoan

Tôi xin cam đoan rằng số liệu và kết quả nghiên cứu trong luận văn này
là trung thực và không trùng lặp với các đề tài khác. Tôi cũng xin cam đoan
rằng mọi sự giúp đ cho việc thực hiện luận văn này đã được cảm ơn và các
thông tin trích dẫn trong luận văn đã được chỉ rõ nguồn gốc.


TÁC GIẢ LUẬN VĂN



Ngô Quang Hưng

1


MỤC LỤC
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT 3
DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ 4
MỞ ĐẦU 6
CHƯƠNG 1. NGHIÊN CỨU TỔNG QUAN VỀ AN NINH BẢO MẬT
THÔNG TIN, MẠNG RIÊNG ẢO VPN VÀ TÌM HIỂU CÔNG NGHỆ
MÃ NGUỒN MỞ. 8
1.1. Tổng quan về an toàn bảo mật thông tin 8
1.1.1. Giới thiệu về bảo mật thông tin 8
1.1.2. Một số giải pháp an toàn thông tin 9
1.2. Tổng quan về mạng riêng ảo VPN 12
1.2.1. Khái niệm 12
1.2.2. Những lợi ích cơ bản của Mạng riêng ảo 12
1.2.3. Các mô hình kết nối VPN 13
1.2.4. Giao thức mạng riêng ảo 19
1.3. Công nghệ mã nguồn mở 26
1.3.1. Định nghĩa phần mềm mã nguồn mở 26
1.3.2. Những ưu điểm của PMNM 26
1.3.3. Những hạn chế của PMNM 28
1.3. Tổng kết 29
CHƯƠNG 2. NGHIÊN CỨU, ĐÁNH GIÁ VỀ BẢO MẬT MẠNG
RIÊNG ẢO VÀ CÁC CÔNG NGHỆ BẢO MẬT MẠNG RIÊNG ẢO 30
2.1. Bảo mật trong mạng riêng ảo 30
2.1.1. Tấn công các thành phần mạng riêng ảo 30
2.1.2. Tấn công giao thức mạng riêng ảo 32
2.1.3. Tấn công mật mã 34
2.1.4. Tấn công từ chối dịch vụ 37
2.2. Công nghệ bảo mật mạng riêng ảo 42
2.2.1. Tính xác thực 42
2.2.2. Tính toàn vẹn 46

2

2.2.3. Tính bảo mật 51
2.2.4. Hạ tầng PKI 53
2.2.5 Giao thức SSL/TLS 56
2.2.6 Tường lửa 58
2.3 Tổng kết 59
CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN
VÀ TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ 60
3.1. Khảo sát hiện trạng 60
3.2. Đề xuất giải pháp 63
3.2.1. Phân tích yêu cầu thực tế và giới thiệu giải pháp OpenVPN 63
3.2.2. Bảo mật trong OpenVPN 64
3.2.3. Ưu, nhược điểm và cách khắc phục khi triển khai 65
3.2.4. Tích hợp PKI dùng usb eToken 67
3.3. Triển khai ứng dụng 68
3.3.1. Mô hình remote access 68
3.3.2. Mô hình site to site 80
3.4. Tổng kết 81
KẾT LUẬN 82
TÀI LIỆU THAM KHẢO 83


3

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT

Ký hiệu
Từ hoặc cụm từ
AH

Authentication Header
CA
Certificate Authority
CHAP
Challenge-Handshake Authentication Protocol
DH
Diffie-Hellman
ESP
Encapsulation Security Payload
HMAC
Hashed-keyed Message Authentication Code
IKE
Internet Key Exchange
IPSec
Internet Protocol Security
L2F
Layer 2 Forwarding
L2TP
Layer 2 Tunneling Protocol
MAC
Message Authentication Code
OSI
Open Systems Interconnection
PAP
Password Authentication Protocol
PKI
Public Key Infrastructure
PPTP
Point To Point Tunneling Protocol
QoS

Quanlity of Service
SSL
Sercure Socket Layer
TLS
Transport Layer Sercurity
VPN
Virtual Private Network





4

DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ

Số hình
Tên hình
Trang
Hình 1.1
Mạng VPN điển hình gồm mạng LAN trụ sở chính,
các văn phòng từ xa và người truy cập từ bên ngoài
14
Hình 1.2
Thiết lập VPN truy cập từ xa
15
Hình 1.3
Thiết lập Intranet sử dụng WAN
15
Hình 1.4

Thiết lập Intranet dựa trên VPN
16
Hình 1.5
Mạng Extranet dựa trên VPN
18
Hình 1.6
Đường hầm L2TP
21
Hình 1.7
SSL – so sánh chuẩn giữa chuẩn và phiên SSL
24
Hình 2.1
Các thành phần của mạng riêng ảo
30
Hình 2.2
Tấn công từ chối dịch vụ
38
Hình 2.3
Tấn công SYN
39
Hình 2.4
Tấn công Smurf sử dụng gói ICMP làm ngập các giao
tiếp khác
40
Hình 2.5
SHA-1 xử lý các khối dữ liệu 512 bit
50
Hình 2.6
Các bước của một phiên giao dịch dựa trên PKI
56

Hình 3.1
Hệ thống mạng của trường
61
Hình 3.2
Thiết bị usb eToken SecureToken ST3
68
Hình 3.3
Mô hình VPN remote access
68
Hình 3.4
Nội dung file vars
70
Hình 3.5
Quá trình tạo CA
71
Hình 3.6
Tạo chứng thư số và khóa cho Server
71
Hình 3.7
Tạo chứng thư số và khóa cho máy khách
72
Hình 3.8
Tạo tham số DH
72
Hình 3.9
Tạo khóa dạng pkcs12
73
5

Hình 3.10

Các file trong thư mục keys
73
Hình 3.11
Nội dung file sysctl.conf
74
Hình 3.12
Nội dung file server.conf
74
Hình 3.13
Quá trình khởi động dịch vụ VPN
75
Hình 3.14
Hiển thị card mạng trên máy chủ
75
Hình 3.15
Giao diện cầu hình etoken
76
Hình 3.16
Lưu khóa vào thiết bị etoken
76
Hình 3.17
Hiển thị ID của etoken
77
Hình 3.18
Yêu cầu nhập mã PIN của thiết bị
79
Hình 3.19
Thông tin thuật toán mã hóa, hàm băm
79
Hình 3.20

Sử dụng Wireshark bắt gói tin và gói tin đã được mã hóa
80
Hình 3.21
Mô hình VPN site to site
81
Bảng 2.1
Phân loại thuật toán SHA
48
Bảng 2.2
Kích thước của các thuật toán SHA
48


6

MỞ ĐẦU
1. Lý do chọn đề tài
Hiện nay, cùng với sự phát triển của công nghệ thông tin, công nghệ
mạng máy tính và đặc biệt là mạng Internet đã phát triển mạnh mẽ cả về mặt
mô hình lẫn tổ chức, đáp ứng đầy đủ các nhu cầu của người sử dụng. Internet
đã được thiết kế để kết nối nhiều mạng với nhau và cho phép thông tin chuyển
đến người sử dụng một cách tự do và nhanh chóng. Các thông tin trao đổi trên
Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông
tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó. Tuy nhiên
Internet lại là một hệ thống mạng công cộng, không hề có bất kỳ cơ chế bảo
mật nào và dữ liệu lưu chuyển trên Internet một cách tự do và hỗ loạn. Làm thế
nào để người dùng di động có thể truy cập được vào mạng nơi họ làm việc ở
bất kỳ đâu, bất kỳ lúc nào thông qua mạng Internet công cộng. Làm thế nào để
các chi nhánh trong cùng một cơ quan có thể truyền thông dễ dàng với nhau và
với mạng của khách hàng mà không sợ dữ liệu có thể bị mất, bị giả mạo hay bị

đánh cắp. Hay nói cách khác làm thế nào để tạo ra một kênh truyền đáng tin
cậy trên một hệ thống không tin cậy và còn phải đảm bảo tính kinh tế nhất.
Cùng với sự phát triển chung của toàn xã hội, sự đầu tư áp dụng công
nghệ thông tin trong giáo dục và đào tạo từ xa ở nước ta đang ngày càng trở
nên sâu rộng hơn. Nhiều trường đại học, cao đẳng đã và đang triển khai các hệ
thống mạng hiện đại phục vụ cho nhu cầu học tập của sinh viên. Bên cạnh đó,
các hệ thống mạng này cũng phục vụ đắc lực cho việc hợp tác, nghiên cứu và
quản lý của nhà trường.
Để giải quyết tất cả những vấn đề trên, công nghệ mạng riêng ảo VPN đã
ra đời. Chính sự đơn giản nhưng hiệu quả đã làm cho VPN phát triển mạnh mẽ
và trở thành một trong những công nghệ được sử dụng phổ biến và đem lại lợi
ích cao. Đó cũng là lý do khiến cho VPN trở thành một đề tài rất đáng quan tâm.
7

Xuất phát từ thực tế đó, đề tài nghiên cứu xây dựng giải pháp bảo mật và
xác thực mạng riêng ảo VPN.
2. Mục đích nghiên cứu
Tìm hiểu bảo mật, xác thực trong mạng riêng ảo và các công nghệ bảo
mật mạng riêng ảo. Đánh giá được các điểm yếu an toàn của công nghệ mạng
riêng ảo VPN. Xây dựng và tích hợp các giải pháp bảo mật, xác thực mạng riêng
ảo VPN dựa trên công nghệ mã nguồn mở OpenVPN.
3. Nhiệm vụ nghiên cứu
Nghiên cứu các điểm yếu an toàn thông tin của công nghệ VPN hiện nay.
Trên cơ sở đó đánh giá, xây dựng giải pháp bảo mật và xác thực VPN dựa trên
công nghệ mở OpenVPN, thực hiện tích hợp các giải pháp bảo mật, xác thực
như: tích hợp PKI, tích hợp thiết bị phần cứng eToken cho việc lưu khóa.
4. Đối tượng và phạm vi nghiên cứu
Đối tượng và phạm vi nghiên cứu là công nghệ mạng riêng ảo VPN được
cài đặt trên nền hệ điều hành Linux bản phân phối Debian 7.6. Sử dụng mã
nguồn mở OpenVPN 2.3.4 để triển khai. Tích hợp hạ tầng khóa công khai PKI,

sử dụng thiết bị phần cứng SecureToken ST3 để lưu khóa.
5. Phương pháp nghiên cứu
Phương pháp tìm hiểu, đánh giá để từ đó xây dựng giải pháp bảo mật và
xác thực VPN dựa trên công nghệ mở.
6. Giả thuyết khoa học
Phát triển từ mã nguồn mở OpenVPN.
8

CHƯƠNG 1. NGHIÊN CỨU TỔNG QUAN VỀ AN NINH BẢO MẬT
THÔNG TIN, MẠNG RIÊNG ẢO VPN VÀ TÌM HIỂU CÔNG NGHỆ
MÃ NGUỒN MỞ.
1.1. Tổng quan về an toàn bảo mật thông tin
1.1.1. Giới thiệu về bảo mật thông tin
Với sự phát triển mạnh mẽ của công nghệ thông tin, đặt biệt là sự phát
triển của mạng Internet, ngày càng có nhiều thông tin được lưu giữ trên máy
tính và gửi đi trên mạng Internet. Do đó xuất hiện nhu cầu về an toàn và bảo
mật thông tin trên máy tính. Bảo vệ an toàn thông tin dữ liệu là một chủ đề
rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương
pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương pháp bảo
vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
- Bảo vệ an toàn thông tin bằng các biện pháp hành chính
- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)
- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi
trường khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ
xâm nhập nhất đó là môi trường mạng và truyền tin. Biện pháp hiệu quả nhất
và kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp
thuật toán.
An toàn thông tin gồm các nội dung sau:
- Tính bí mật: Tính kín đáo riêng tư của thông tin

- Tính xác thực của thông tin, bao gồm xác thực đối tác, xác thực thông
tin trao đổi.
- Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác
trách nhiệm về thông tin mà mình đã gửi.
9

1.1.2. Một số giải pháp an toàn thông tin
Các chiến lược an toàn hệ thống:
Giới hạn quyền hạn tối thiểu: Đây là chiến lược cơ bản nhất theo nguyên
tắc này bất kỳ một đối tượng nào cũng chỉ có nững quyền hạn nhất định đối với
tài nguyên mạng, khi thâm nhập vào mạng đối tượng đó chỉ được sử dụng một
số tài nguyên nhất định …
Bảo vệ theo chiều sâu: Nguyên tắc này nhắc nhở chúng ta không nên dựa
vào một chế độ an toàn nào dù cho chúng rất mạnh, mà nên tạo nhiều cơ chế
an toàn để tương hỗ lẫn nhau.
Nút thắt: Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông tin đi vào hệ
thống của mình bằng con đường duy nhất chính là “cửa khẩu” này, phải tổ chức
một cơ cấu kiểm soát và điều khiển thôn gtin đi qua cửa này.
Điểm nối yếu nhất: Kẻ phá hoại thường tìm chỗ yếu nhất của hệ thống
để tấn công, do đó ta cần phải gia cố các yếu điểm của hệ thống. Thông thường
chũng ta chỉ quan tâm đến kẻ tấn công trên mngj hơn là kẻ tiếp cận hệ thống do
đó an toàn vật lý được coi là yếu điểm nhất trong hệ thống của chúng ta.
Tính toàn cục: Các hệ thống an toàn đòi hỏi phải có tính toàn cục của các
hệ thống cục bộ. Nếu có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì
chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó và sau đó
tấn công hệ thống từ nội bộ bên trong.
Tính đa dạng bảo vệ: cần phải sử dụng nhiều biện pháp bảo vệ khác nhau
cho hệ thống khác nhau, nếu không có kẻ tấn công vào được một hệ thống thì
chúng cũng dễ dàng tấn công vào hệ thống khác
Các mức bảo vệ trên mạng:

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắc
đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là
10

bảo vệ thông tin cất giứ trong máy tính, đặc biệt là các máy chủ trên mạng. Bởi
thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền
mọi có gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong
cho các hệ thống kết nối vào mạng. Thông thường bao gồm các mức bảo vệ
sau:
Quyền truy cập: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm
soát các tài nguyên của mạng và quyền hạn trên tài nguyên đó. Dĩ nhiên là kiểm
soát được các cấu trúc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát
thường ở mức tệp.
Đăng ký tên / mật khẩu: Thực ra đây cũng là kiểm soát quyền truy nhập,
nhưng không phải truy nhập ở mức thông tin mà ở mức hệ thống. Đây là
phương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu
quả. Mỗi người sử dụng muốn được tham gia vào mạng để sử dụng tài nguyên
đều phải có đăng ký tên và mật khẩu trước. Người quản trị mạng có trách nhiệm
quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của
những người sử dụng khác theo thời gian và không gian.
Mã hóa dữ liệu: Để bảo mật thông tin trên đường truyền người ta sử dụng
các phương pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức được sang dạng
không nhận thức được theo một thuật toán nào đó và sẽ được biến đồi ngược
lại ở trậm nhận (giải mã). Đây là lớp bảo vệ thông tin rất quan trọng.
Bảo vệ vật lý: Ngăn cản các truy nhập vật lý vào hệ thống. Thường dùng
các biện pháp truyền thống như ngăn cấm tuyệt đối người không phận sự vào
phòng đặt máy mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có
ổ mềm.
Tường lửa: Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không

muốn gửi hoặc nhận vì các lý do nào đó để bảo vệ một máy tính hoặc cả mạng
nội bộ.
11

Quản trị mạng: Trong thời đại phát triển của công nghệ thông tin, mạng
máy tính quyết định toàn bộ hoạt động của một tổ chức. Vì vậy việc bảo đảm
cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố
là một công việc cấp thiết hàng đầu.
An toàn thông tin bằng mật mã:
Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp
truyền tin bí mật. Mật mã bao gồm: lập mã và phá mã. Lập mã bao gồm hai
quán trình: mã hóa và giải mã.
Để bảo vệ thông tin trên đường truyền người ta thường biến đổi nó từ
dạng nhận thức được sang dạng không nhận thức được trước khi truyền đi trên
mạng, quá trình này được gọi là mã hóa thông tin (encrytion), ở trạm nhận phải
thực hiện quá trình ngược lại, tức là biến đổi thông tin từ dạng không nhận thức
được (dữ liệu đã được mã hóa) về dạng nhận thức được (dạng gốc), quá trình
này được gọi là giải mã. Đây là một lớp bảo vệ thông tin rất quan trọng và được
sử dụng rộng rãi trong môi trường mạng.
Để bảo vệ thông tin bằng mật mã người ta thường tiếp cận theo hai
hướng:
- Theo đường truyền (Link-Oriented-Security)
- Từ nút đến nút ( End_to_End)
Theo cách thứ nhất thông tin được mã hóa để bảo vệ trên đường truyền
giữa hai nút mà không quan tâm đến nguồn và đích của thông tin đó. Ở đây ta
lưu ý rằng thông tin chỉ được bảo vệ trên đường truyền, tức là ở mỗi nút đều có
quá trình giải mã sau đó mã hóa để truyền đi tiếp, do đó các nút cần phải được
bảo vệ tốt.
Ngược lại theo cách thứ hai thông tin trên mạng được bảo vệ trên toàn
đường truyền từ nguồn tới đích. Thông tin sẽ được mã hóa ngay sau khi mới

tạo ra và chỉ được giải mã khi về đến đích. Cách này mắc phải nhược điểm là
12

chỉ có dữ liệu của người dùng thì mới có thể mã hóa được còn dữ liệu điều
khiển thì giữ nguyên để có thể xử lý tại các nút.
1.2. Tổng quan về mạng riêng ảo VPN
1.2.1. Khái niệm
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là
VPN. Sau đây ta thường gọi ngắn gọn theo tên viết tắt.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như
Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng
để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được
truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng
được triển khai trên một hạ tầng công cộng với các chính sách như là trong một
mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay
Internet.
1.2.2. Những lợi ích cơ bản của Mạng riêng ảo
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đường Lease-Line. Bởi vì VPN loại trừ được những
yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các kết
nối cục bộ tới ISP hoặc điểm đại diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng
dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ
chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì
lúc này, thực tế là Tổ chức không cần thuê nhiều nhân viên mạng cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên
13


hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể
dễ dàng kết nối tới Intranet của Công ty mình.
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền
dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật
ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng các biện
pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin
cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN mang lại mức độ
bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường
Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối
Internet không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề truyền dữ
liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một
kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng
thông mạng.
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh
cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị.
Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng
tương thích với sự phát triển trong tương lai.
Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên
bên cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào
Internet. Một sự quá tải lưu lượng và tắc nghẽn mạng có thể ảnh hưởng và từ
chối hoạt động của toàn bộ mạng dựa trên VPN.
1.2.3. Các mô hình kết nối VPN
VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây:
- Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại
và liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng.
14


- Có khả năng kết nối từ xa giữa các nhánh văn phòng.
- Được điều khiển truy nhập tài nguyên mạng khi cần thiết của khách
hàng, nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác
kinh doanh.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân
chia thành 3 mô hình chính: VPN Truy cập từ xa (Remote Access VPN), VPN
Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN)


Hình 1.1 Mạng VPN điển hình gồm mạng LAN trụ sở chính, các văn phòng
từ xa và người truy cập từ bên ngoài

1.2.3.1. VPN Truy cập từ xa (Remote Access VPN)
VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của
một tổ chức có thể truy cập tới các tài nguyên mạng của tổ chức hay công ty.
Đặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn
phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác.
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng
và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông
qua đó để kết nối tới mạng của công ty qua Internet.
15


Hình 1.2 Thiết lập VPN truy cập từ xa
1.2.3.2. VPN Cục bộ (Intranet VPN)
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa
của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập
Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới
Intranet của tổ chức qua các Router trung gian.


Hình 1.3 Thiết lập Intranet sử dụng WAN
16

Thiết lập Intranet sử dụng WAN mất chi phí rất cao vì cần ít nhất 2
Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn
nữa việc thực thi, duy trì và quản trị Intranet xương sống sẽ rất tốn kém. Với
việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết
nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi
toàn bộ Intranet.

Hình 1.4 Thiết lập Intranet dựa trên VPN
Ưu điểm của việc thiếp lập dựa trên VPN:
+ Loại trừ được các Router từ đường WAN xương sống.
+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung
cấp các liên kết ngang hàng mới.
17

+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn.
Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi
phí của hoạt động Intranet.
Tuy nhiên cũng có một số nhược điểm:
+ Vì dữ liệu được định đường hầm qua một mạng chia sẻ công cộng nên các
tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng.
+ Khả năng mất các gói dữ liệu khi truyền.
+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn
rất cao và thông lượng có thể bị giảm xuống thấp dưới sự hiện diện của Internet.
+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và
QoS có thể không được đảm bảo.
1.2.3.3. Mạng riêng ảo mở rộng (Extranet VPN)
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng

vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng
các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như
trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định.
Extranet VPN cũng có kiến trúc tương tự như Intranet VPN, tuy nhiên điểm
khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet
VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng
nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay
các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về
các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các
lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN
truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào
các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống.
18


Hình 1.5 Mạng Extranet dựa trên VPN
Ưu điểm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống.
+ Dễ thực thi, duy trì và dễ thay đổi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn
+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân
viên hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với
các ứng dụng Multimedia.
+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm.
19


1.2.4. Giao thức mạng riêng ảo
Tính bảo mật trong VPN đạt được thông qua “đường hầm” (tunneling)
bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông
tin sẽ được giải mã tại đích đến bằng cách loại bỏ gói tin IP để lấy ra thông tin
ban đầu.
Có 5 giao thức đường hầm (tunneling protocols) phổ biến thường được
sử dụng trong VPN, mỗi giao thức có ưu điểm và nhược điểm riêng. Chúng ta
sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.
- Point – to – Point Tunneling Protocol (PPTP)
- L2F
- Layer2 Tunneling Protocol (L2TP)
- Secure Socket Layer (SSL)
- Internet Protocol Security (IPSec)
1.2.4.1. PPTP (Point to Point Tunneling)
Giao thức này được nghiên cứu và phát triển bởi công ty chuyên về thiết
bị công nghệ viễn thông. Trên cơ sở của giao thức này là tách các chức năng
chung và riêng của việc truy nhập từ xa, dựa trên cơ sở hạ tầng Internet có sẵn
để tạo kết nối đường hầm giữa người dùng và mạng riêng ảo. Người dùng ở xa
có thể dùng phương pháp quay số tới các nhà cung cấp dịch vụ Internet để có
thể tạo đường hầm riêng để kết nối tới truy nhập tới mạng riêng ảo của người
dùng đó. Giao thức PPTP được xây dựng dựa trên nền tàng của PP, nó có thể
cung cấp khả năng truy nhập tạo đường hầm thông qua Internet đến các site
đích, PPTP sử dụng giao thức đóng gói tin định tuyến chung GRE được mô tả
để đóng lại và tách gói PPP. Giao thức này cho phép PPTP linh hoạt trong xử
lý các giao thức khác.
Một số ưu nhược điểm của PPTP
20

Ưu điểm: Được thiết kế để hoạt động ở lớp 2 trong khi IPSec chạy ở lớp
3 của mô hình OSI. Việc hỗ trợ truyền dữ liệu ở lớp 2, PPTP có thể lan truyền

trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền
các gói tin IP trong đường hầm
Nhược điểm: Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém
về bảo mật do nó dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó
sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều
này càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn
trong quá trình xác nhận. Giao thức tạo đường hầm kết tiếp (L2F) được phát
triển nhằm cải thiện bảo mật với mục đích này.
12.4.2. Giao thức chuyển tiếp lớp hai (L2F)
Giao thức L2F đương nghiên cứu và phát triển sớm nhất và là một trong
những phương pháp truyền thống để cho người sử dụng truy nhập từ xa vào
mạng các doanh nghiệp thông qua thiết bị. L2F cung cấp các giải pháp cho dịch
vụ quay số ảo bằng thiết bị một đường hầm bảo mật thông qua cơ sở hạ tầng
công cộng như Internet. Nó cho phép đóng gói các gói tin PPP trong khuân
dạng L2F và định đường hầm ở lớp liên kết dữ liệu.
Ưu điểm:
- Nâng cao bảo mật cho quá trình giao dịch
- Có nền tảng độc lập
- Không cần những sự lắp đặt đặc biệt với ISP
- Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như ATM, IPX,
NetBEUI và Frame Relay.
Nhược điểm:
- L2F yêu cầu cấu hình và hỗ trợ lớn
- Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không
thể triển khai L2F được.
21

1.2.4.3. Giao thức đường hầm lớp 2 (L2TP)
Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco,
Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN

trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP
và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa
chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP.

Hình 1.6 Đường hầm L2TP
Những ưu điểm của L2TP:
- L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với
Platform, nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao
dịch qua liên kết WAN Non-IP mà không cần một IP.
- Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng
từ xa. Vì vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng.
- L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP.
- L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị
loại bỏ một cách tuỳ ý nếu đường hầm bị đầy. Điều này làm cho các giao dịch
L2TP nhanh hơn các giao dịch dựa trên L2F.
- L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới
một mạng từ xa qua một mạng công cộng.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×