Tải bản đầy đủ (.pdf) (31 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

nghiên cứu và triển khai mạng riêng ảo vpn

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.19 MB, 31 trang )

BÁO CÁO NGHIÊN CỨU KHOA HỌC
NGHIÊN CỨU VÀ TRIỂN KHAI
MẠNG RIÊNG ẢO VPN

Sinh viên thực hiện:
• Bạch Quốc Huy


Mạng riêng ảo VPN
1

Khái
Khái quát
quát về
về VPN
VPN
2 VPN
VPN và
và các
các vấn
vấn đề
đề an
an toàn
toàn bảo
bảo mật
mật trên
trên
internet
internet

VPN



3 Đường
Đường hầm
hầm và
và mã
mã hóa
hóa
4
5

Các
Các dạng
dạng kết
kết nối
nối VPN
VPN

Các
Các giao
giao thức
thức kết
kết nối
nối VPN
VPN


1. Khái niệm VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường
là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một
mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp

như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua
Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử
dụng ở xa.


1.1. Ưu điểm của VPN
Giảm chi phí vận hành quản lý

Giảm chi phí thiết lập

Nâng cấp dễ dàng

Hiệu suất băng thông

VPN

Nâng cao kết nối

Bảo mật


1.2. Nhược điểm của VPN
• Phụ thuộc nhiều vào chất lượng mạng Internet : sự quá tải hay
nghẽn mạng có thể làm ảnh hưởng xấu chất lượng truyền tin
của các máy trong mạng.
• Thiếu các giao thức kế thừa hỗ trợ


1.3. Chức năng của VPN
VPN cung cấp 4 chức năng chính:

• Sự tin cậy và bảo mật (confidentiality): Người gửi có thể mã
hoá các gói dữ liệu trước khi truyền chúng ngang qua
mạng. Bằng cách này, không một ai có thể truy nhập thông
tin mà không được phép, mà nếu như có lấy được thông tin
thì cũng không thể đọc được vì thông tin đã được mã hoá.
• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể
kiểm tra rằng dữ liệu được truyền qua mạng Internet mà
không có sự thay đổi nào.
• Xác thực nguồn gốc (Origin Authentication): Người nhận có
thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công
nhận nguồn thông tin.
• Điều khiển truy nhập (Access Control): VPN có thể phân


Mạng riêng ảo VPN và ứng dụng hạ tầng
Public Key
1

VPN

Khái
Khái quát về
về VPN
VPN
2 VPN và các vấn đề an toàn bảo mật
trên internet


2. VPN và các vấn đề an toàn bảo mật
Công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo

ra một đường hầm (tunnel), mã hoá và chứng thực dữ liệu giữa hai
đầu kết nối. Các thông tin dữ liệu sẽ được mã hoá và chứng thực
trước khi được lưu chuyển trong một đường hầm riêng biệt, qua đó
sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin.


2.1. Các kiểu an toàn
Sự an toàn của hệ thống mạng phụ thuộc vào tất cả những thành phần
của nó. Có ba kiểu khác nhau của sự an toàn: An toàn phần cứng, An
toàn thông tin và An toàn quản trị.
An toàn phần cứng: Sự an toàn về mặt vật lý, bảo vệ phần cứng của
hệ thống khỏi những mối đe doạ vật lý bên ngoài.
An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe
doạ mà con người làm tổn hại đến một hệ thống mạng. Những mối đe
doạ này có thể xuất phát cả từ bên ngoài lẫn bên trong của một tổ
chức, doanh nghiệp.
An toàn thông tin: An toàn thông tin nghĩa là thông tin được bảo vệ,
các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ,
các lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ
an toàn của hệ thống là nhỏ nhất.
Hệ thống có một trong các đặc điểm sau là không an toàn:
 Các thông tin dữ liệu trong hệ thống bị người không được quyền
truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ).


Mạng riêng ảo VPN và ứng dụng hạ tầng
Public Key
1 Khái
Khái quát về
về VPN

VPN

VPN

2 VPN và các vấn đề an toàn bảo mật
mật trên
internet
3 Đường
Đường hầm
hầm và mã hóa
hóa


3.1. Đường hầm và phân loại đường
hầm

Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một
lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ
thống mạng trung gian theo những "đường ống" riêng (tunnel).
Việc phân loại Tunnel dựa trên nguồn gốc bắt đầu các kết nối. Và
qua đó, có 2 loại chính, đó là Compulsory và Voluntary Tunnel:
•Compulsory Tunneling thường được khởi tạo bởi Network
Access Server mà không yêu cầu thông tin từ phía người sử dụng.
Bên cạnh đó, các client VPN không được phép truy xuất thông tin
trên server VPN, kể từ khi chúng không phải chịu trách nhiệm
chính trong việc kiểm soát các kết nối mới được khởi tạo.
•Voluntary Tunneling thì khác, được khởi tạo, giám sát và quản
lý bởi người dùng. Không giống như Compulsory Tunneling –
thường được quản lý bởi các nhà cung cấp dịch vụ, mô hình này
yêu cầu người dùng trực tiếp khởi tạo kết nối với đơn vị ISP bằng

cách chạy ứng dụng client VPN


3.2. Các giao thức yêu cầu của kỹ thuật
Tunneling
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng
bởi mạng có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức
(như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc
được truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được
hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó
an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ
IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP
chung (định tuyến) để mở rộng một mạng riêng trên Internet.


3.3. Mã hóa và giải mã
Mã hóa là quá trình biến đổi nội dung thông tin nguyên bản ở
dạng đọc được (clear text hay plain text) thành một dạng văn
bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó
không có khả năng đọc được hay khả năng sử dụng bởi những
người dùng không được phép. Giải mã là quá trình ngược lại của
mã hoá, tức là biến đổi văn bản đã mã hoá thành dạng đọc được
bởi những người dùng được phép.


Mạng riêng ảo VPN và ứng dụng hạ tầng

Public Key
1

Khái
Khái quát
quát về
về VPN
VPN
2 VPN
VPN và
và các
các vấn
vấn đề
đề an
an toàn
toàn bảo
bảo mật
mật trên
trên
internet
internet

VPN

3 Đường
Đường hầm
hầm và
và mã
mã hóa
hóa


4 Các
Các dạng
dạng kết
kết nối
nối VPN
VPN


4. Các dạng kết nối VPN
• VPN truy cập từ xa (Remote acccess VPN)
• VPN điểm nối điểm (Site – to – site VPN)


4.1. VPN truy cập từ xa (Remote access
VPN)
Remote Access VPN cho phép các người dùng ở xa sử dụng
VPN client để truy cập vào mạng Intranet của Công ty thông
qua Gateway hoặc VPN concentrator (bản chất là một server).
Vì vậy, giải pháp này thường được gọi là client/server. Trong giải
pháp này, người dùng thường sử dụng các công nghệ WAN
truyền thống để tạo ra các tunnel về mạng trung tâm của họ.


Ưu và nhược điểm của Remote Access VPN
• Ưu điểm Remote Access VPN:
VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng
bởi các kết nối từ xa do các nhà cung cấp dịch vụ Internet đảm
nhiệm.
Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối

của VPN truy nhập từ xa chính là các kết nối Internet.
VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó
hỗ trợ dịch vụ truy cập ở mức độ tối thiểu.
• Nhược điểm của Remote Access VPN:
Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ
(QoS).
Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của
gói dữ liệu có thể bị thất thoát.
Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá
trình xác nhận.


4.2. Site-to-Site VPN (LAN-to-LAN)
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic
Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin
(Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier
Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa
và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec
trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là
giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN
truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở
cả hai giao diện Tunnel.


4.2.1. Intranet VPN
Intranet VPN được sữ dụng để kết nối đến các chi nhánh văn
phòng của tổ chức đến Corperate Intranet (backbone router) sử
dụng campus router (Hình a). Theo mô hình này sẽ rất tốn chi phí
do phải sử dụng 2 router để thiết lập được mạng. Ðể giải quyết
vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các

kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí
đáng kể của việc triển khai mạng Intranet (Hình b).

Hình
a

Hình
b


4.2.1. Intranet VPN (TT)
• Những ưu điểm chính của giải pháp này bao gồm:
Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay
nhiều nhà cung cấp dịch vụ Internet.

Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở
xa.
Do kết nối trung gian được thực hiện thông qua Internet nên nó có
thể dễ dàng thiết lập thêm một liên kết ngang hàng mới.
Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet
kết hợp với các công nghệ chuyển mạch tốc độ cao.
• Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định
như:
Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên
vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ
(QoS).

Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao.
Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương



4.2.2. Extranet VPN (VPN mở rộng)
Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những
nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh. Sự
khác nhau giữa VPN nội bộ và VPN mở rộng là sự truy nhập mạng được công
nhận ở một trong hai đầu cuối của VPN.


4.2.2. Extranet VPN (VPN mở rộng) (TT)
• Một số ưu điểm của Extranet:
• Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà
phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo
nhu cầu của tổ chức.
• Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung
cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
• Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.
• Những điểm bất lợi của Extranet:
• Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ
vẫn còn tồn tại.
• Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
• Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì
việc trao đổi diễn ra chậm chạp.
• Do dựa trên Internet, QoS cũng không được bảo đảm thường


Mạng riêng ảo VPN và ứng dụng hạ tầng
Public Key
1

Khái

Khái quát
quát về
về VPN
VPN
2 VPN
VPN và
và các
các vấn
vấn đề
đề an
an toàn
toàn bảo
bảo mật
mật trên
trên
internet
internet

VPN

3 Đường
Đường hầm
hầm và
và mã
mã hóa
hóa
4

Các
Các dạng

dạng kết
kết nối
nối VPN
VPN

5 Các
Các giao thức
thức kết
kết nối
nối VPN
VPN


5.Các giao thức kết nối VPN
Các giao thức đường hầm là nền tảng của công nghệ VPN, có
nhiều giao thức đường hầm khác nhau, việc sử dụng giao thức
nào liên quan đến các phương pháp xác thực và mã hóa đi kèm.
Như đã giới thiệu ở trên, các giao thức đường hầm phổ biến
hiện nay là:
 PPTP - Point-to-Point Tunneling Protocol
 L2TP - Layer 2 Tunneling Protocol
 SSTP – Secure Socket Tunneling Protocol


5.1. Giao thức PPTP (Point-to-Point
Tunneling Protocol)
PPTP (Point-to-Point Tunneling Protocol) VPN là công
nghệ VPN đơn giản nhất, sử dụng kết nối Internet được cung cấp
bởi ISP để tạo tunnel bảo mật giữa client và server hoặc client và
client. PPTP là ứng dụng dựa trên hệ thống VPN, có thể các bạn

cũng biết rằng Windows đã tích hợp sẵn chức năng PPTP bên trong,
và tất cả những gì cần thiết để kết nối tới hệ thống VPN chỉ là 1
phần mềm hỗ trợ VPN client. Mặc dù PPTP không có một số cơ chế
bảo mật để đảm bảo luồng thông tin, dữ liệu (Point to Point
Protocol đảm nhận việc này với PPTP), thì Windows, về mặt cơ
bản đã tiến hành xác nhận và mã hóa với PPTP để mã hóa các
package trước đó. 


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×