Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (818.14 KB, 55 trang )
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Trờng đại học vinh
Khoa cntt
------- -------
Đề tài:
TìM HIểU Về VPN Và TRIểN KHAI vpn
CHO doanh nghiệp VừA Và NHỏ
Giáo viên hớng dẫn
Sinh viên thực hiện
Lớp
:
:
:
Th.s Nguyễn Công Nhật
Hồ Sỹ Thắng
45K CNTT CNTT
Lời cảm ơn
Em xin gửi lời cảm ơn chân
thành
nhất đến thầy giáo Th.s Nguyễn
Vinh
- 2009
Công Nhật, thầy đà tận tình hớng dẫn, giúp đỡ em trong suốt thời gian thực
hiện đồ án này.
Con cảm ơn Cha, Mẹ và gia đình, những ngời đà dạy dỗ, khuyến khích,
động viên con trong những lúc khó khăn, tạo mọi điều kiện cho con nghiên
cứu học tập.
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
1
GVHD:Th.s Nguyễn Công NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Em xin chân thành cảm ơn các thầy, các cô trong khoa Công Nghệ
Thông Tin trờng Đại Học Vinh đà dìu dắt, giảng dạy em, giúp em có những
kiến thức quý báu trong những năm hoc vừa qua.
Cảm ơn bạn bè trong và ngoài lớp đà tận tình đóng góp ý kiến cho đồ
án của em. Mặc dù rất cố gắng nhng đồ án của em không tránh khỏi những
sai sót, em mong đợc sự thông cảm và góp ý của thầy cô và các bạn.
Em xin chân thành cảm ơn!
Vinh, Ngày 10 tháng 05 năm 2009
Sinh viên: Hồ Sỹ Thắng
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
2
GVHD:Th.s Ngun C«ng NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Lời nói đầu
Những năm qua chúng ta đà và đang sống trong thời kì phát triển
nhanh chóng và sôi động của CNTT. Chiếc máy tính đa năng, tiện lợi và
hiệu quả mà chúng ta đang dùng, giờ đây đà trở nên chật hẹp và bất tiện so
với các máy vi tính nối mạng. Từ khi xuất hiện mạng máy tính, tính hiệu quả
tiện lợi của mạng đà làm thay đổi phơng thức khai thác máy tính cổ điển.
Phơng án truyền thông nhanh, an toàn và độ tin cậy đang trở thành mối quan
tâm của nhiều công ty, tổ chức, đặc biệt là các công ty, tổ chức có các địa
điểm phân tán về địa lí, công ty đa quốc gia.Giải pháp thông thờng đợc áp
dụng bởi đa số các công ty là thuê đờng truyền riêng để duy trì một mạng
WAN. Nhng để bảo trì một mạng WAN, đặc biệt là khi sử dụng một đờng
truyền riêng,có thể trở nên quá đắt và làm tăng giá khi công ty muốn mở
rộng thêm các văn phòng đại diện. Khi phổ biến của Internet gia tăng, các
công ty thơng mại đầu t và nó nh một phơng tiện quảng bá công ty của họ
và đồng thời cũng mở rộng các mạng mà họ sở hữu.
Với sự phát triển về phơng tiện truyền thông nh ngày nay, việc trao đổi
dữ liệu qua lại không còn gói gọn trong một môi trờng nào đó mà nó mang
nghĩa rộng hơn, linh hoạt hơn. Ví dụ nh để kết nối các site của một công ty
với nhau mà khoảng cách thì xa nhau, nếu thông qua môi trờng Internet, để
đảm bảo trao đổi dữ liệu qua lại đợc giữa các site này thì tríc kia ta thêng
øng dơng theo kiĨu thuª kªnh riªng (Lease line). Nhng điều này trở nên rất
tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên phơng diện
đó.
Mục đích của VPN là cho phép chúng ta truy cập giữa các site, hay client
đến site thông qua môi trờng Internet, khi đó sẽ kết hợp với tờng lửa thì sẽ
đảm bảo độ tin cậy cũng nh an toàn dữ liệu thông qua một đờng pipe (ống)
riêng ảo đợc tạo ra trên môi trờng Internet của công nghƯ VPN.
ViƯc
øng dơng VPN sÏ mang l¹i cho chóng ta khá nhiều lợi ích cũng nh tiết kiệm
chi phí rất nhiều so với việc thuê kênh riêng.
Mục Lục
Trang
Chơng 1 : Một số khái niệm cơ bản về VPN .......... 6
1. Một số khái niệm cơ bản về VPN 6
1.1 Tìm hiểu về VPN..6
1.2 Các giao thức trong VPN..........9
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
3
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
1.3 Sự thuận lợi và bất lợi của VPN ..............10
1.4 Phân loại VPN ........ 11
2. Các thành phần bảo mật của VPN . 15
2.1 Các phơng thức nhận dạng ngời dùng .... 17
2.2 Điều khiển quyền truy cập ..... 18
2.3 MÃ hoá dữ liệu ... 19
3. Các thiết bị sử dụng trong VPN . 20
Chơng 2: Virtual Private Netwok Protocol . 23
1. Khái niệm cơ bản về Tunneling Technology 23
1.1 Những điểm thuận lợi của VPN .... 23
1.2 Các thành phần của VPN... 24
1.3 Sự hoạt động cđa VPN ……………..……………………………… 24
2. Tunneling Protocol ë tÇng 2 ……………………………………… 26
2.1 Point-to-Point Protocol (PPP)………..……………………………. . 26
2.2 Point-to-Point Tunneling Protocol (PPTP)..………………………... 27
2.3 Layer Forwarding (L2F)…………………...……………………….. .28
3. Giíi thiƯu vỊ IPSec ……………………….………………………….29
3.1 Understanding IPSec ………………………..……………………... 29
3.2 IPSec Security Associations ………………..………………………31
3.3 IPSec Security Protocols .32
3.4 Các chế độ IPSec.33
3.5 Internet Key Exchange .. 36
Chơng 3: Bài toán thực tế, mô hình và các bớc triển khai VPN ..37
1. Một số bài toán thực tế cho doanh nghiệp quy mô vừa và nhỏ....37
1.1 Bài toán .. 37
1.2 Giải pháp .... 37
1.3 Hạch toán chi phí ....37
2. Mô hình VPN ... 38
3. Các bớc triển khai VPN ………………………..…………………….38
3.1 Config Routing and Remote Access console trªn VPN Server ...38
3.2 Tạo tài khoản ngời dùng (User) và cÊp quyÒn truy cËp VPN…….....49
3.3 ThiÕt lËp VPN Client ………………………………………………..52
KÕt luận ........58
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
4
GVHD:Th.s Ngun C«ng NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Tài liệu tham khảo .........59
Danh từ các mục viết tắt
Dạng viết tắt
VPN
ATM
POP
PVC
VPDN
LAN
WAM
Logic
L2TP
L2F
PPTP
PSTNs
ISP
RAS
FDDI
IPX
PPP
RFC
DTE
DCE
GRE
IPSec
IETF
IKE
SA
DH
ESP
IANA
DES
AH
HMAC-MD5
DOS
NAT
HSSI
LCP
NCP
LQM
PAP
CHAP
RARS
MPPE
Dạng đầy đủ
Virtual Private Network
Asynchronous Transfer Mode
Point Of Presence
Permanent Virtual Circuit
Virtual Private Dial-up Network
Local Area Network
Wide Area Network
Logic connection
Layer 2 Tunneling Protocol
Layer 2 Forwording
Point-to-Point Tunneling Protocol
Public Switched Telephone Network
Internet Service Provider
Remote Access Service
Fiber Destribute Data Interface
Internetwork Packet Exchange
Point-to-Point Protocol
Request For Comments
Data Terminal Equipment
Data Connection Equipment
Generic Routing Encapsulation
IP Security Protocol
Internet Engineering Task Force
Internet Key Exchange
Security Association
Diffic-Hellman
Encapsulating Security Payload
Internet Numbers Authority
Data Encryption Standard
Authentication Header
Hashing Message Authentication Codes-Message Digest 5
Denies Of Service
Network Address Translation
Hig Link Quality Monitoring h-Speed Serial Interface
Link Control Protocol
Network Control Protocol
Link Quality Monitoring
Password Authentication Protocol
Challenge Handshake Authentication Protocol
Routing And Remote Server
Microsoft Point to Point Encryption
Sinh viªn thực hiện: Hồ Sỹ Thắng 45K CNTT
5
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Chơng I. Một số khái niệm về VPN (Virtual
Private Networking).
1. Một số khái niệm cơ bản về VPN.
1.1 Tìm hiểu về VPN.
1.1.1 Virtual Private Network.
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung
(thờng là Internet) để kết nối với các site (các mạng riêng lẻ) hay nhiều ngời
sử dụng từ xa. Thay cho viƯc sư dơng bëi mét kÕt nèi thùc, chuyên dụng nh
đờng truyền riêng (lease line), mỗi VPN sử dụng các kết nối ảo đợc dẫn đờng qua Internet từ mạng riêng các công ty với các site hay các nhân viên từ
xa.
VPN_Virtual Private Network, có thể đợc dịch là mạng ảo nội bộ. Bạn
có thể tự hỏi, đà trong mạng nội bộ rồi thì còn dùng ảo làm gi? Ngời dùng
khi đi công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc những
chơng trình có thể dùng nh họ đang ngồi văn phòng. Đó là lí do cho cái tên
ảo (Virtual).
Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và
tính phổ cập của nó. Tuy nhiên, do Internet là nguồn thông tin công cộng
nên có thể truy cập từ bất kì ai, bất kì lúc nào, bất kì nơi đâu, việc trao đổi
thông tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại
dữ liệu khi trao đổi dữ liệu. Công nghệ VPN cung cấp tính bảo mật, tính hiệu
quả và độ tin cậy trong mạng, trong khi vẫn đảm bảo cân bằng giá thành cho
toàn bộ cho quá trình xây dựng mạng. Sử dụng VPN, một ngời làm việc tại
nhà qua mạng (telcommuter) có thể truy xuất vào mạng của công ty thông
qua Internet bằng cách xây dựng một đờng hầm bí mật (secure tunnel) giữa
máy PC của họ và một VPN router đặt tại bản doanh của công ty.
VPN đợc hiểu là phần mở rộng của một mạng Intranet đợc kết nối thông
qua mạng công cộng nhằm đảm bảo an toàn và tăng hiệu quả giá thành kết
nối giữa hai đầu nối. Cơ chế và độ giới hạn tính bảo mật tinh vi cũng đợc sử
dụng để đảm bảo tính an toàn cho việc trao đổi những dữ liệu dễ bị đánh cắp
thông qua một môi trờng không an toàn. Cơ chế an toàn bao gồm những khái
niệm sau đây:
Encyption : MÃ hoá dữ liệu là một quá trình xử lý thay đổi dữ liệu
theo một chuẩn nhất định và dữ liệu chỉ có thể đợc đọc bởi ngời dùng mong
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
6
GVHD:Th.s Nguyễn Công NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
muốn. Để đọc đợc dữ liệu ngời nhận buộc phải có chính xác một khoá giải
mà dữ liệu. Theo phơng pháp truyền thống ngời nhận và gửi dữ liệu sẽ có
cùng một khoá để có thể giải mà và mà hoá dữ liệu. Lợc đồ public-key sử
dụng 2 khoá, một khoá đợc xem nh một public-key (khoá công cộng) mà bất
cứ ai cũng có thể dùng để mà hoá và giải mà dữ liệu.
Authentication : Là một quá trình xử lý bảo đảm chắc chắn dữ liệu sẽ
đợc chuyển đến ngời nhận đồng thời củng bảo đảm thông tin nhận đợc
nguyên vẹn. ở hình thức cơ bản, Authentication đòi hỏi ít nhất phải nhập vào
Username và Password để có thể truy nhập vào tài nguyên. Trong một số
tình huống phức tạp, sẽ có thêm secret-key hoặc public-key để mà hoá dữ
liệu.
Authorization : Đây là quá trình xử lý cấp quyền truy cập hoặc ngăn
cấm vào tài nguyên trên mạng sau khi đà thực hiện Authentication.
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn
phòng chính), các mạng LAN khác tại văn phòng từ xa, các kết nối (nh 'Văn
phòng' tại gia) hoặc ngời sử dụng (Nhân viên di động) truy cập đến từ bên
ngoài.
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
7
GVHD:Th.s Nguyễn C«ng NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Sơ đồ mạng riêng ảo VPN
1.1.2 Sự Phát Triển Của VPN :
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đÃ
có từ 17 năm trớc và trải qua nhiêù quá trình phát triển, thay đổi cho đến nay
đà tạo ra một dạng mới nhất.
VPN đầu tiên đà đợc phát sinh bởi AT&T từ cuối những năm 80.
Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và
mạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network:
ISDN) từ đầu những năm 90. Hai công nghệ này cho phép truyền những
dòng gói dữ liệu qua các mạng chia sẻ chung.
Sau khi thế hệ thứ hai của VPN ra đời, thị trờng VPN tạm thời lắng đọng
và chËm tiÕn triĨn, cho tíi khi nỉi lªn cđa hai c«ng nghƯ cell-based Frame
Relay (FR) Asynchronous Tranfer Mode (ATM). ThÕ hệ thứ ba của VPN đÃ
phát triển dựa theo 2 công nghệ này.
Tunneling là một kỹ thuật đóng gói các d÷ liƯu trong tunneling
protocol, nh IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP),
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
8
GVHD:Th.s Ngun C«ng NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
hoặc Layer 2 Tunneling Protocol (L2TP) và cuối cùng là đóng gói những gói
đà đợc tunnel bên trong một gói IP. Tổng hợp các gói dữ liệu sau đó route
đến mạng đích bằng cách sử dụng lớp phủ thông tin IP. Bởi vì gói dữ liệu
nguyên bản có thể là bất cứ dạng nào nên tunning có thể hổ trợ đa giao thức
gồm IP, ISDN, FR, ATM.
1.2 Các giao thức trong VPN (VPN Tunneling Protocol):
Có 4 dạng giao thức tunneling nổi bật đơc sử dụng trong VPN : IPSec,
PPTP, L2TP, IP-IP.
1.2.1 IP Security (IPSec).
IPSec cung cÊp viÖc xác thực, toàn bộ và riêng lẻ về IP. IPSec cung cÊp 2
lo¹i tunnel: Encapsulating Security PayLoad (ESP) cho viƯc xác thực, sự
cách biệt và tính toàn vẹn, và Authentication Header (AH) định dạng nó cho
việc xác thực và tính toàn vẹn nhng không cách biệt. Không giống với những
kỹ thuật mà hoá khác, IPSec thực hiện ở tầng thứ 7 trong mô hinh OSI (Open
System Interconnect), vì thế, chúng có thể chạy độc lập so với các ứng dụng
chạy trên mạng. Và vì thế mạng của bạn sẽ đợc bảo mật hơn mà không cần
dùng bất kì chơng trình bảo mật nào.
1.2.2 Point-to-Point Tunneling Protocol (PPTP).
Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP là
một sự chọn lựa để thay thế cho IPSec. Tuy nhiên IPSec vẫn còn đợc sư dơng
nhiỊu trong mét sè Tunneling Protocol. PPTP thùc hiƯn ở tầng thứ 2 (Data
Link Layer).
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
9
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Một gói PPTP đợc biểu diễn nh sau:
Data
Link
Encrypted PPP
IP
PPP
payload(IP Datagram,
Header
Header
IPX Datagram,
Header
Data-Link
trailer
NetBEUI frame)
1.2.3 Layer 2 Tunneling Protocol (L2TP).
Giao thức L2TP cung cấp một tunnel giữa các domain không có tin cậy
trong một mạng tơng tự giao thức PPTP. Cả hai giao thức này cung cấp việc
bắt đầu đóng gói dữ liệu sử dụng PPP.
Giao thức L2TP cấu thành từ PPTP và L2F (Layer 2 Forwarding). Nó
đóng gói các frame PPP, nó có thể đợc gửi trên IP, frame relay, X.25 hoặc
ATM. L2TP có thể đợc sử dụng nh giao thøc tunnel trªn internet nÕu nã sư
dơng IP nh là truyền tải của nó.
1.2.4 IP-IP
IP-IP hoặc IP trong IP là một phơng thức tunnel đơn. Sử dụng phơng
thức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không
hổ trợ định tuyến multicast. Việc bổ sung IP Header đợc tạo ra trong việc
đóng gói các gói IP do đó phải tạo một mạng ảo. Cấu trúc IP-IP cấu thành
bên ngoài IP Header, bên trong IP Header, tunnel Header vµ IP Payload.
Payload nµy bao gåm UDP, TCP vµ dữ liệu.
1.3 Sự thuận lợi và bất lợi của VPN.
1.3.1 Thuận lợi:
- Mở rộng vùng địa lý có thể kết nối đợc.
- Tăng cờng bảo mật cho hệ thống mạng.
- Giảm chi phí vận hành so với mạng WAN truyền thống.
- Giảm thời gian và chi phí truyền dữ liệu đến ngời dùng ở xa.
- Tăng cờng năng suất.
- Giảm đơn giản hoá cấu trúc mạng.
- Cung cấp thêm một phơng thức mạng toàn cầu.
- Cung cấp khả năng hổ trợ thông tin từ xa.
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
10
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
- Cung cấp khả năng tơng thích cho mạng băng thông rộng.
- Cung cấp khả năng sinh lợi nhuận cao hơn trong mang WAN truyền
thông.
- Dịch vụ mạng riêng ảo rất thích hợp cho các cơ quan, doanh nghiệp có
nhu cầu kết nối mạng thông tin hiện đại, hoàn hảo tiết kiệm.
* Một mạng VPN đợc thiết kế tốt sẽ đáp ứng đợc yêu cầu sau:
- Bảo mËt (Security).
- Tin cËy (Reliability).
- DƠ më réng n©ng cÊp (Scalability).
- Quản trị mạng thuận tiện (Network Management).
- Quản trị chính sách mạng tốt (Policy Management).
1.3.2 Bất lợi:
- Phụ thuộc trong môi trờng Internet.
- Thiếu sự hổ trợ cho một số giao thức kế thừa.
1.4 Phân loại mạng riêng ảo VPN.
VPN nhằm hớng vào 3 yêu cầu cơ bản sau đây:
* Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầm
tay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên
mạng.
* Nối kết thông tin liên lạc gữa các chi nhánh văn phòng từ xa.
* Đợc điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng,
nhà cung cấp và những đối tợng quan trọng của công ty nhằm hợp tác kinh
doanh.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đà phát triển và
phân chia ra làm 2 loại VPN thông dụng sau:
* Remote Access.
* Site to site.
Remote Access :
Sinh viªn thùc hiƯn: Hồ Sỹ Thắng 45K CNTT
11
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Còn đợc gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối ngời dùng
đến LAN, thờng là nhu cầu của một tổ chức có nhiều điểm nhân viên cần
liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa, bên ngoài công
ty thông qua Internet. VÝ dơ nh c«ng ty mn thiÕt lËp một VPN lớn phải cần
đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy
chủ truy cập mạng Network Access Server (NAS) và cung cấp cho ngời dùng
từ xa một phần mềm máy khách cho máy tính của họ. Khi ngời dùng muốn
truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail
server nội bộ của công tyngời dùng có thể gọi một số từ 1-800 miễn phí
để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào
mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn,có mật
mÃ.
Giống nh gợi ý của tên gọi, Remote Access VPN cho phép truy cập bất
cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên
các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Đặc biệt là những
ngời dùng thờng xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà
không có kết nối thờng xuyên đến mạng Intranet hợp tác.
Site to site :
Là việc sử dụng mật mà dành cho nhiều ngời để kết nối nhiều điểm cố
định với nhau thông qua mạng công cộng nh Internet, áp dụng cho các tổ
chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu
với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa
các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dùng mét hÖ thèng
VPN Site to Site kÕt nèi 2 site Việt Nam và Singapore tạo ra một đờng truyền
riêng trên mạng Internet phục vụ quá trình truyền thông an toàn và hiệu quả.
Các mạng Site to Site VPN có thể thuộc một trong hai dạng sau:
* Intranet-based : áp dụng trong trờng hợp trong công ty có một hoặc
nhiều địa điểm ở xa, mỗi địa điểm đều có một mạng cục bộ LAN. Khi đó họ
có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ trong
một mạng riêng thống nhất.
* Extranet-based : Khi mét c«ng ty cã mét mèi quan hƯ mËt thiÕt với
một công ty khác (ví dụ nh, một đồng nghiệp, nhà hổ trợ khách hàng), họ có
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
12
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
thể xây dựng một mạng Extranet VPN để kết nối kiểu mnạg LAN với mạng
LAN và cho phép các công ty đó có thể làm việc trong môi trờng chia sẻ tài
nguyên.
Không giống nh Intranet và Remote Access-based, Extranet không hoàn
toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài
nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn nh khách
hàng, nhà cung cấp, đối tác những ngời giữ vai trò quan träng trong tỉ chøc.
Mét sè thn lỵi cđa Extranet :
* Do hoạt động trên môi trờng Internet, bạn có thể lựa chon nhà phân phối
khi lựa chọn và đa ra phơng pháp giải quyết tuỳ theo nhu cầu của tổ chức.
* Bởi vì một phần Internet-connectivity đợc bảo trì bởi nhà cung cấp (ISP)
nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
* Dễ dàng triển khai, quản lí và chỉnh sửa thông tin.
Một số bất lợi của Extranet :
* Sự đe doạ về tính an toàn, nh bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
* Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
* Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao
đổi diễn ra chậm chạp.
* Do dựa trên Internet, QoS cũng không đợc bảo đảm thờng xuyên.
Ba loại mạng riêng ảo VPN
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
13
GVHD:Th.s Ngun C«ng NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Để triển khai một hệ thống VPN chúng ta cần những thành phần cơ bản
sau đây:
- User Authentication : Cung cÊp c¬ chÕ chÝnh thùc ngêi dïng, chỉ cho phép
ngời dùng hợp lệ kết nối và truy cập hệ thống VPN.
- Address Management : Cung cấp địa chØ IP hỵp lÝ cho ngêi dïng sau khi
gia nhËp hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
- Data Emcryption : Cung cấp giải pháp mà hoá dữ liệu trong quá trình
truyền nhằm bảo đảm tính riêng t và toàn vẹn dữ liệu.
- Key Managerment : Cung cấp giải pháp quản lí các khoá dùng cho quá
trình mà hoá và giải mà dữ liệu.
2. Các thành phần bảo mật của VPN.
Internet đơc xem là môi trờng không an toàn,dữ liệu truyền qua dễ bị sự
truy cập bất hợp pháp và nguy hiểm. Sự ra đời của VPN dựa trên giao thức
Tunneling đà làm giảm một lợng đáng kể số lợng rủi ro không an toàn. Vì
thế làm thế nào để đảm bảo dữ liệu đợc an toàn qua VPN?. Làm thế nào để
những dữ liệu dễ h hỏng tránh khỏi sự truy cập không hợp pháp và không an
toàn?. Sau đây là một vài phơng pháp để duy trì kết nối và giữ an toàn khi
truyền dữ liệu:
*Bức tờng lửa : Một bức tờng (fire wall) cung cấp biện pháp ngăn chặn
hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tờng lửa
ngăn chặn các cổng đợc mở, loại gói tin đợc phép truyền qua và giao thức sử
dụng. Bạn cũng nên có tờng lửa trớc khi bạn sử dụng VPN, nhng tờng lửa
cũng có thể ngăn chặn các phiên làm viêc của VPN.
* Mà hoá : Đây là quá trình mật mà dữ liệu khi truyền đi khỏi máy tính
theo một quy tắc nhất định và máy tính đầu xa có thể giải mà đợc. Hầu hết
các hệ thống mà hoá máy tính thuộc về 1 trong 2 loại sau:
+ MÃ hoá sử dụng khoá riêng (Symmetric-Key encryption)
+ MÃ hoá sử dụng khoá công khai (Public-Key encryption)
Trong hệ Symmetric-Key encryption, mỗi máy tính có một mà bí mật sử
dụng ®Ĩ m· ho¸ c¸c gãi tin tríc khi trun ®i. Khoá riêng này cần đợc cài
trên mỗi máy tính có trao đổi thông tin sử dụng mà khoá riêng và máy tính
phải biết đợc trình tự giải mà đà đợc quy ớc trớc. Mà bí mật thì sử dụng để
giải m· gãi tin. VÝ dơ: B¹n cã t¹o ra mét bức th mà hoá mà trong nội dung
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
14
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
th mỗi ký tự đợc thay thế b»ng ký tù ë sau nã 2 vÞ trÝ trong bảng ký tự. Nh
vậy A sẽ đợc thay thế bằng C, và B sẽ đợc thay thế bằng D. Bạn đà nói với
ngời bạn khoá riêng là dịch đi 2 vị trí ( Shift by 2). Bạn của bạn nhận đợc th
sẻ giải mà sử dụng chìa khoá riêng đó. Còn những ngời khác sẽ không đọc
đợc nội dung th.
* Máy tính gửi mà hoá dữ liệu cần gửi bằng khoá bí mật (Symetric
key), sau đó mà hoá chính khoá bí mật (Symetric key) bằng khoá công khai
của ngời nhận ( public key). Máy tính nhận sử dụng khoá riêng của nó
(Symetric key), sau đó sử dụng khoá bí mật này để giải mà dữ liệu.
* Hệ public-key encryption sử dụng một tổ hợp khoá riêng và khoá
công khai để thực hiện mà hoá, giải mÃ. Khoá riêng chỉ sử dụng tại máy tính
đó, còn khoá công cộng đợc truyền đi đến các máy tính khác mà nó muốn
trao đổi thông tin bảo mật. Để giải mà dữ liệu mà hoá, máy tính kia phải sử
dụng khoá công cộng nhận đợc và khoá riêng của chính nó. Một phần mềm
đà mà hoá công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn
mà hoá đợc hầu hết mọi thứ.
* Giao thøc IPSec - Internet Protocol Security Protocol cung cÊp các
tính năng bảo mật mở rộng bao gồm các thuật toán mà hoá và xác thực tốt
hơn. IPSec có hai chế độ mà hoá : Kênh Tunnel mà hoá cả header và cả nội
dung mỗi gói tin trong khi mà hoá lớp truyền tải chỉ mà hoá nội dung gói tin.
Chỉ có những hệ thống sử dụng IPSec tơng thích mới có khả năng tiến này.
Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tờng lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tơng nhau.IPSec có
thể mà hoá dữ liệu truyền giữa rất nhiều thiết bị chẳng hạn nh:
Tõ Router ®Õn Router
Tõ firewall ®Õn Router
Tõ PC đến Router
Từ PC đến Sever
* Máy chủ xác thực, xác nhận và quản lý tài khoản AAA sever
( Authentication, Authorizatinon, Accouting Sever) đợc sử dụng để tăng tính
bảo mËt trong truy cËp tõ xa cña VPN, khi mét yêu cầu đợc gửi đến để tạo
nên một phiên làm viêc, yêu cầu này phải đi qua một AAA sever đóng vai
trò proxy. AAA sẽ kiểm tra:
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
15
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Bạn là ai ( xác thực)
Bạn đợc phép làm gì ( xác nhận)
Bạn đang làm gì ( quản lý tài khoản)
Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi ngời
dùng nhằm mục đích bảo mật, tính hoá đơn, lập báo cáo.
2.1 Các phơng thức nhận dạng ngời dùng
Cơ chế xác nhận ngời dùng thờng đợc triển khai tại các điểm truy cập và
đợc dùng để xác nhận cho ngời dùng truy cập vào tài nguyên bên trong
mạng. Kết quả là chỉ có ngời dùng hợp lệ thì mới có thể truy cập vào bên
trong mạng, điều làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ
liệu đợc lu trữ trên mạng.
Một số cách xác nhận thờng đợc sử dụng riêng biệt hoặc có thể đợc kết
hợp với một số cách khác bao gồm những cách sau đây:
Login ID and password : Phơng pháp này sử dụng cơ chế xác nhận ID
và mật khẩu cơ bản của hệ thống để xác nhận quyền truy cập của ngời dùng
tại các điểm VPN.
S/Key password : Phơng pháp này khởi tạo một S/Key bằng cách lựa
chọn một mật mà bÝ mËt cđa mét con sè tù nhiªn. Sè tù nhiên này bao hàm
cả số lần của một secure hash function (MD4) sẽ đợc sử dụng vào mật khẩu
bí mật . Khi ngời dùng login vào hệ thống, máy chủ sẽ cấp phát một hiệu
lệnh kiểm soát. Chơng trình máy khách sẽ yêu cầu nhập mật khẩu bí mật,
gây ra n-1 lần lặp lại hàm băm đến nó và gửi trả lại máy chủ. Máy chủ sẽ
ứng dụng hàm băm này vào thông tin đợc gửi lại, nếu cả hai giá trị đều giống
nhau, ngời dùng sẽ đợc xác nhận thành công. Máy chủ sẽ lu lại thông tin mà
ngời dùng gửi cho và giảm bộ đếm mật khẩu.
Dịch Vụ Quay Sè KÕt Nèi Tõ Xa (RADIUS) : RADIUS lµ một giao
thức bảo mật trên Internet khá mạnh dựa trên mô hình Client/Server, phía
client sẽ truy xuất vào mạng và RADIUS server là khúc mạng cuối sẽ xác
nhận client. Thông thờng, RADIUS server xác nhận ngời dùng bằng
Username và Password mà nó lu trữ trong danh sách sẵn có.
RADIUS cũng thực hiện vai trò nh một client khi xác nhận những ngời
dùng nh là các hệ điều hành nh UNIX, NT và NetWare, thêm nữa RADIUS
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
16
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
cũng đóng vai trò nh một client khi RADIUS này kết nối đến RADIUS
khác. Để an toàn thông tin hơn trong quá trình trao đổi dữ liệu, dữ liệu thờng
đợc mà hoá theo cơ chế xác nhận, chẳng hạn nh Password Authentication
Protocol (PAP) và Challenge HandShake Authentication Protocol (CHAP).
Two-Factor Token-Based Technique : Giống nh tên gọi ám chỉ, kế
hoạch này triễn khai phơng pháp xác nhận đôi để xác nhận những tài liệu
đáng tin của ngời dùng. Nó kết hợp tiện ích một của token và một của
pasword. Rrong suốt quá trình xử lý, các thiết bị điện tử phần cứng cơ bản
phục vụ nh token và ID duy nhất, ví dụ nh Personal Identification Number
(PIN) đợc sư dơng nh mËt khÈu. Theo trun thèng, token sÏ la thiết bị phần
cứng (có thể là một thẻ card), nhng một số nhà cung cấp lại yêu cầu sử dụng
phần mềm để làm token.
Chú thích: Ban có thể so sánh tính hữu dụng của phơng pháp xác nhận
Two-Factor Token-Based khi b¹n rót tiỊn tõ Automated Teller Machine
(ATM). B¹n sÏ làm việc này bằng cách sử dụng một ATM card để truy cập
vào tài khoản của bạn (harardware-based identification) cùng víi mét mËt
khÈu bÝ mËt hc mét PIN. ChØ víi những nhân tố này kêt hợp với nhau bạn
mới có thể truy nhập vào tài khoản của bạn.
2.2 Điêu khiển truy cập ( Controlling Access).
Sau khi ngời dùng đà đợc xác nhận, mặc định anh/chị ấy sẽ đợc phép
truy cập vào những tài nguyên, dịch vụ và những ứng dụng đợc đặt trên
mạng. Điều này chứng tỏ rằng có một mối đe doạ lớn từ phía ngời dùng, cho
dù đà đợc uỷ nhiệm, có thể cố ý hoặc không cố ý làm xáo trộn dữ liệu trên
mạng. Bằng cách sàng lọc tài nguyên bạn có thể han chế đợc việc này.
Controlling Access Rights cũng là một phần tích hợp của controlling
access. Mới đe doạ bảo mật có thể đợc giảm xuống nếu ta giới hạn một số
quyền truy cập đối với ngời dùng. Ví dụ nh ngời dùng chỉ đợc phép đọc dữ
liệu còn ngời quản tri có quyền chỉnh sửa, xoá dữ liệu.
Ngày nay, một số kỹ thuj cải tiến đà cho phép độ an toàn cao hơn do
việc kết hợp nhiều yếu tố nh địa chỉ IP nguồn và đích, địa chỉ cổng, và
group, ngày, giờ, thời gian và các ứng dụng v.v
2.3 MÃ hoá dữ liệu.
Mà hoá hoặc mật mà hoá dữ liệu là một trong những thành phần cơ bản
của VPN security. Đây là cơ chế chuyển đổi dữ liệu sang một định dạng
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
17
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
khác không thể đọc đợc, vi dụ nh ciphertext (văn bản viết thành mật mÃ), để
có thể ngăn cản những truy cập bất hợp pháp khi dữ liệu trao đổi trong môi
trờng mạng không an toàn.
MÃ hoá dữ liệu ngăn chặn đợc các việc sau :
* Nghe trộm và xem lén dữ liệu.
* Chỉnh sữa và đánh cắp lén dữ liệu.
* Giả mạo thông tin.
* Data non-repudiation.
* Sự gián đoạn các dịch vụ mạng.
Khi nhận đợc gói tin, ngời nhận sẽ giải mà dữ liệu lại dạng cơ bản
ban đầu. Cho dù dữ liệu có bị chặn trong suốt quá trình trao đổi dữ liệu.
Ngời gửi và ngời nhận, phụ thuộc vào quá trình mà hoá, dới hình
thức là một hệ thống mà hoá. Hệ thống mà hoá (Cryptosystems) có 2 loại
sau:
* Đối xứng (Symmetric)
* Bất đối xứng (Asymmetric)
Một hệ thống mà hoá đợc phân loại dựa vào con số của khoá mà nó
dùng. Một khoá có thể là con số, số từ, hoặc một cụm từ đợc dùng vào mục
đích mà hoá và giải mà dữ liệu.
3. Các thiết bị sử dụng trong VPN
Các kỹ thuật đợc sử dụng phụ thuộc vào một kiểu mô hình VPN mà
muốn xây dựng (truy cập từ xa Remote-Access hay kết nối ngang hàng
Site-to-Site), ta cần một số các thành phần cần thiết để hình thành mô hình
VPN nh sau:
- Một số thiết bị phần cứng riêng nh: Bộ tập trung (Concentrater), Bộ định
tuyến VPN thông minh (VPN-optimized routers), hay têng lưa (secure PIX
Firewall).
- C¸c m¸y chđ VPN sư dơng cho các dịch vụ cần thiết.
- Máy chủ NAS (Network Access-Server) dïng cho c¸c ngêi dïng ë xa truy
nhËp.
- Trung tâm quản lý mạng và chính sách VPN.
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
18
GVHD:Th.s Nguyễn Công Nhật
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
- Phần mềm máy trạm cho mỗi ngêi dïng tõ xa.
Do hiƯn nay cha cã mét tiªu chuẩn rộng rải để triển khai VPN, cho nên đÃ
có nhiều giải pháp cho việc triển khai tron gói 1 hệ thống mang VPN, ta có
thể đa ra một vài giải pháp (của Cisco) trong viêc triển khai nh sau:
- Bộ tập trung VPN (VPN Concentrater) : Tích hợp các u điểm tiên tiến
nhất của mà hoá và xác nhận. Bộ tập trung VPN đợc chế tạo riêng biệt cho
tính năng truy cập VPN từ xa. Chúng cung cấp khả năng sử dụng với hiệu
quả cao, dễ nâng cấp mở rộng và cung cấp nhiều thành phần gọi là bộ xử lý
mà hoá có khả năng mở rộng, nó cho phép ngời dùng dễ dàng tăng thêm
dung lợng và khả năng xử lý. Các bộ tập trung rất phù hợp với các doanh
nghiệp cỡ vừa với số lợng ngời truy cập đồng thời không cao.
Hinh: Bộ tập trung Cisco3000
- Bộ định tuyến VPN thông minh (VPN-optimized routers) cung cấp khả
năng định tuyến, bảo mật và chất lợng dịch vụ mở rộng. Dựa trên nền tảng
phần mềm hệ điều hành Internat của Cisco IOS (Internet Operating System),
đây là một bộ định tuyến rất phù hợp cho tất cả các trờng hợp từ Văn phòng
đến Gia đình truy cập đến trạm VPN hoặc các doanh nghiệp có quy mô lớn.
- Tờng lửa b¶o mËt Secure PIX Firewall Bé PIX (Private Internet Exchange)
Firewall tích hợp bộ địa chỉ động, máy chủ proxy, bộ lọc gói tin, tờng lửa và
VPN trong một phần cứng duy nhÊt. Thay thÕ cho viƯc sư dơng Cisco IOS,
thiÕt bị này có dung lợng cao hơn phù hợp cho khả năng quản lý nhiều giao
thức rất tinh vi, đặc biệt là IP.
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
19
GVHD:Th.s Ngun C«ng NhËt
Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ
Hình: Bộ cisco-PIX-firewall-rearview
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT
20
GVHD:Th.s Nguyễn Công Nhật
