Tìm hiểu mạng riêng ảo VPN (Phần 1)
Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì
địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên
tiết kiệm được được chi phí và thời gian.
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn
phòng chính), các mạng LAN khác tại những văn phòng từ xa, các
điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân
viên di động) truy cập đến từ bên ngoài.
Khái niệm
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm
hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường
dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm
hoặc người sử dụng ở xa.
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là
nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ
như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra
một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy
tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy
khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc nhân viên di động là loại VPN
truy cập từ xa).
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua
một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một
công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN
nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty
khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN
với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn
phòng chính với Đối tác kinh doanh là VPN Extranet.
Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn
chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700
của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS
thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã
được. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới
máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài
mã lên đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn
nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải
mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó
nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như
bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa
tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn
Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này.
Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập
bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với
router, PC với router, PC với máy chủ.
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting
(kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi
tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là
hết sức cần thiết để theo dõi vì mục đích an toàn.
Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để
thiết lập mạng riêng ảo. Đó có thể là:
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa.
- Mạng VPN và trung tâm quản lý.
Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng.
Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế
chuyên biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng
dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ
nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).
Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco. ( Ảnh:
quadrantcommunications)
Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco
phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh
nghiệp quy mô lớn.
Tường lửa PIX của Cisco
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy
chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp.
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt
động rất mạnh bằng cách tập trung vào IP.
Tìm hiểu mạng riêng ảo VPN (Phần 2)
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây
là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ
thống mạng trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ
liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là
giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc
quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một
gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên
trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói"
giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin
về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế
Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng
VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng
chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE
diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol). Là một phần của
TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ
xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP
hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát triển. Giao thức này hỗ trợ mã hóa 40 bit
và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF. Kết
hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức
Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa. Trên thực tế, L2TP có thể tạo ra một tunnel giữa
máy khách và router, NAS và router, router và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.
Tìm hiểu mạng riêng ảo VPN (Phần 3)
Phần này sẽ giới thiệu cách cài đặt mạng VPN loại truy cập từ xa theo giao thức Tunneling điểm-nối-điểm (PPTP). Mô
hình thực nghiệm này dùng hệ điều hành Windows XP cho máy truy cập từ xa và Windows Server 2003 cho các máy
chủ.
Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính.
(Ảnh: Microsoft)
VPN ở đây được đơn giản hóa với 5 máy tính cần thiết đóng các vai trò khác nhau trong một mạng riêng ảo.
- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là DC1, hoạt động như một trung tâm
điều khiển domain (domain controller), một máy chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic
Host Configuration Protocol) và một trung tâm chứng thực CA (certification authority).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động như một máy chủ VPN.
VPN1 được lắp đặt 2 adapter mạng.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động như một máy chủ quản lý
người sử dụng truy cập từ xa RADIUS (Remote Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động như một máy chủ về web và
file.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một máy khách truy cập từ xa.
Ở đây có các phân đoạn mạng Intranet dành cho mạng LAN của công ty và phân đoạn mạng Internet. Tất cả các máy
tính ở Intranet được kết nối với một HUB (máy chủ truy cập) hoặc switch Layer 2. Tất cả các máy tính trên mạng
Internet được kết nối với một HUB hoặc switch Layer 2. Ta sử dụng các địa chỉ 172.16.0.0/24 cho Intranet; địa chỉ
10.0.0.0/24 cho Internet. IIS1 chứa cấu hình địa chỉ IP, sử dụng giao thức DHCP. CLIENT1 cũng dùng giao thức
DHCP cho cấu hình địa chỉ IP nhưng cũng được xác định bằng một cấu hình IP khác để có thể đặt trên mạng Intranet
hoặc Internet.
Dưới đây là cách cài đặt cho riêng từng máy.
Kỳ 1: Cách lắp đặt cho DC1
Để định cấu hình DC1 cho các dịch vụ mà nó kiêm nhiệm, bạn làm theo các bước sau đây:
1. Cài đặt Windows Server 2003, bản Enterprise Edition, để làm một server riêng.
2. Xác định giao thức TCP/IP với địa chỉ IP là 172.16.0.1 và địa chỉ cho mạng cấp dưới là 255.255.255.0.
3. Chạy Active Directory Installation Wizard (tập tin dcpromo.exe) cho một domain mới example.com. Cài đặt dịch
vụ DNS khi được yêu cầu.
4. Sử dụng trình quản lý Active Directory Users and Computers, nhấn chuột phải vào domain example.com rồi nhấn
vào Raise Domain Functional Level.
5. Kích chuột vào dòng Windows Server 2003 và chọn Raise.
6. Cài đặt giao thức DHCP để làm một thành phần của Networking Services bằng cách dùng Control Panel => Add
or Remove Programs.
7. Mở trình quản lý DHCP từ thư mục Administrative Tools.
8. Nhấn vào mục Action => Authorize để cho phép sử dụng dịch vụ DHCP.
9. Trong cây thư mục, nhấn chuột phải vào dc1.example.com rồi nhấn New Scope.
10. Trên trang Welcome của New Scope Wizard, nhấn Next.
11. Ở trang Scope Name, nhập một cái tên như Mang Cong ty.
12. Nhấn vào Next. Trên trang địa chỉ IP, nhập 172.16.0.10 ở ô Start IP address, 172.16.0.100 ở ô End IP address và
24 ở mục Length.
Khai báo địa chỉ IP.
13. Nhấn Next. Trên trang Add Exclusions, nhấn Next.
14. Trên trang Lease Duration, nhấn Next.
15. Trên trang Configure DHCP Options, nhấn Yes, I want to configure DHCP options now.
16. Nhấn Next. Trên trang Router (Default Gateway), nhấn Next.
17. Trên trang Domain Name and DNS Servers, nhập vào dòng example.com trong mục Parent domain. Nhập
172.16.0.1 trong ô địa chỉ IP rồi nhấn Add.
18. Nhấn Next. Trên trang WINS Servers, nhấn Next.
19. Trên trang Activate Scope, nhấn Yes, I want to activate the scope now.
20. Nhấn Next. Trên trang Completing the New Scope Wizard, nhấn Finish.
21. Cài đặt Certificate Services làm một CA gốc với tên Example CA bằng cách dùng Control Panel => Add or
Remove Programs.
22. Mở Active Directory Users and Computers.
23. Trong cây thư mục, chọn example.com.
24. Nhấn chuột phải vào Users, chọn Computer.
25. Trong hộp thoại New Object Computer, nhập IAS1 trong mục Computer name.
26. Nhấn Next. Trong hộp thoại Managed, nhấn Next. Trong hộp thoại New Object Computer, nhấn Finish.
27. Dùng các bước từ 24 đến 26 để tạo thêm tài khoản máy tính với các tên IIS1, VPN1 và CLIENT1.