Tài liệu Mạng riêng ảo và bảo mật trong mạng riêng ảo

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH QUỲNH MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG MẠNG RIÊNG ẢO LUẬN VĂN THẠC SĨ Hà Nội – 2011 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH QUỲNH MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG MẠNG RIÊNG ẢO Ngµnh : C«ng nghÖ §iÖn tö – ViÔn th«ng Chuyªn ngµnh: Kü thuËt §iÖn tö M· sè: 60 52 70 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Vương Đạo Vy Hà Nội – 2011 Mục lục BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT .......................................................... 1 MỞ ĐẦU ........................................................................................................... 5 CHƢƠNG 1 – GIAO THỨC TCP/IP VÀ MẠNG RIÊNG ẢO .......................... 6 1.1 Internet .................................................................................................... 6 1.2 Giao thƣ́c TCP/IP ...................................................................................... 6 1.2.1 Lớp Truy nhâ ̣p ma ̣ng ........................................................................... 9 1.2.2 Lớp Liên ma ̣ng .................................................................................... 9 1.2.3 Lớp Giao vâ ̣n....................................................................................... 9 1.2.4 Lớp Ƣ́ng du ̣ng ................................................................................... 10 1.2.5 Nhận xét ............................................................................................ 11 1.3 Tổ ng quan về Ma ̣ng Riêng Ảo ................................................................. 11 1.3.1 Khái niệm .......................................................................................... 11 1.3.2 Tính năng và ƣu điể m c ủa mạng riêng ảo .......................................... 11 1.3.2.1 Các tính năng của mạng riêng ảo ............................................... 11 1.3.2.2 Ƣu điể m của mạng riêng ảo ....................................................... 12 1.3.3 Mô ̣t số loa ̣i ma ̣ng riêng ảo ................................................................. 12 1.3.3.1 Mạng riêng ảo truy nhâ ̣p tƣ̀ xa ................................................... 13 1.3.3.2 Mạng riêng ảo nội bô ................................................................. 14 ̣ 1.3.3.3 Mạng riêng ảo mở rô ̣ng .............................................................. 15 1.4 Kết luận ................................................................................................... 16 CHƢƠNG 2 - BẢO MẬT TRONG MẠNG RIÊNG ẢO ................................. 17 2.1 Khái niệm bảo mật .................................................................................. 17 2.2 Giao thƣ́c PPTP ....................................................................................... 18 2.2.1 Khái niệm .......................................................................................... 18 2.2.2 Các cơ chế làm việc của PPTP .......................................................... 18 2.2.3 Hoạt động của PPTP.......................................................................... 25 2.2.4 Nhận xét ............................................................................................ 26 2.3 Giao thƣ́c L2TP ....................................................................................... 27 2.3.1 Khái niệm .......................................................................................... 27 2.3.2 Các cơ chế làm việc của L2TP .......................................................... 27 2.3.3 Hoạt động của giao thức L2TP .......................................................... 32 2.3.4 Nhận xét ............................................................................................ 33 2.4 Giao thƣ́c IPSec ....................................................................................... 34 2.4.1 Khái niệm .......................................................................................... 34 2.4.2 Chế độ đóng gói dữ liệu IP của IPSec ................................................ 36 2.4.2.1 Các chế độ đóng gói .................................................................. 36 2.4.2.2 Giao thƣ́c tiêu đề xác thƣ̣c AH ................................................... 38 2.4.2.3 Giao thƣ́c đóng gói an toàn tải tin ESP ...................................... 42 2.4.3 Các cơ chế làm việc của IPSec .......................................................... 46 2.4.4 Giao thƣ́c bảo mâ ̣t IPSec ................................................................... 54 2.4.4.1 Mâ ̣t mã dƣ̃ liê ̣u ........................................................................... 54 2.4.4.2 Toàn vẹn dữ liệu ........................................................................ 55 2.4.4.3 Nhâ ̣n thƣ̣c .................................................................................. 57 2.4.4.3 Quản lý khóa ............................................................................. 58 2.5 Kết luận ................................................................................................... 59 CHƢƠNG 3 – MÔ PHỎNG ĐƢỜNG HẦM IPSec VPN QUA INTERNET ... 60 3.1 Mô ̣t số loa ̣i Router hỗ trơ ̣ kế t nố i IPSec VPN .......................................... 60 3.2 Mô phỏng mô hin ̀ h IP -VPN Site-to-Site .................................................. 60 3.2.1 Giới thiê ̣u phầ n mề m mô phỏng GNS 3/Graphical Network Senulator60 3.2.2 Mô hình mô ph ỏng ............................................................................ 60 3.2.3 Các bƣớc cấ u hin ̀ h thiế t bi ̣ ................................................................. 62 3.2.3.1 Cấ u hin ̀ h SiteA .......................................................................... 62 3.2.3.2 Cấ u hình SiteB ........................................................................... 63 3.2.3.3 Cấ u hình ISP .............................................................................. 65 3.2.4 Thƣ̣c hiê ̣n Ping giƣ̃a 2 Site và phân tích gói tin ................................. 66 3.2.4.1 Thực hiện ping ........................................................................... 66 3.2.4.2 Thực hiện phân tích gói tin ........................................................ 67 3.2.4.3 So sánh với một bản tin không đƣợc mã hóa bất kỳ ................... 68 3.3 Kết luận ................................................................................................... 70 3.4 Lơ ̣i ích phầ n mề m mang la ̣i ..................................................................... 70 3.5 Một số mô hình VPN thực tế tại các cơ quan, tổ chức ............................ 71 3.5.1 Triển khai VPN thực tế tại Cty TNHH Máy tính NÉT – NETCOM .. 71 3.5.2 Triển khai thực tế tại Bộ Công Thƣơng ............................................. 73 KẾT LUẬN ...................................................................................................... 75 TÀI LIỆU THAM KHẢO ................................................................................ 77 1 BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT Viết tắt 3DES AA AAA Chú giải tiếng Anh Triple DES Acccess Accept Authentication, Authorization and Accounting AC Access Control ACK Acknowledge ACL Acess Control List ADSL Asymmetric Digital Subscriber Line AH Authentication Header ARP Address Resolution Protocol ARPA Advanced Research Project Agency ARPANET Advanced Research Project Agency ATM Asynchronous Transfer Mode BGP Border Gateway Protocol B-ISDN Broadband-Intergrated Service Digital Network BOOTP Boot Protocol CA Certificate Authority CBC Cipher Block Chaining CHAP Challenge - Handshake Authentication Protocol CR Cell Relay CSU Channel Service Unit DCE Data communication Equipment DES Data Encryption Standard DH Diffie-Hellman Chú giải tiếng Việt Thuật toán mã 3DES Chấp nhận truy nhập Nhận thực, trao quyền và thanh toán Điều khiển truy nhập Chấp nhận Danh sách điều khiển truy nhập Công nghệ truy nhập đƣờng dây thuê bao số không đối xứng Giao thức tiêu đề xác thực Giao thức phân giải địa chỉ Cục nghiên cứu các dự án tiên tiến của Mỹ Mạng viễn thông của cục nghiên cứu dự án tiên tiến Mỹ Phƣơng thức truyền tải không đồng bộ Giao thức định tuyến cổng miền Mạng số tích hợp đa dịch vụ băng rộng Giao thức khởi đầu Thẩm quyền chứng nhận Chế độ chuỗi khối mật mã Giao thức nhận thực đòi hỏi bắt tay Công nghệ chuyển tiếp tế bào Đơn vị dịch vụ kênh Thiết bị truyền thông dữ liệu Thuật toán mã DES Giao thức trao đổi khóa Diffie- 2 DLCI DNS DSL DSLAM DTE EAP ECB ESP FCS FDDI FPST FR FTP GRE HMAC IBM ICMP ICV IETF IKE IKMP IN IP IPSec Data Link Connection Identifier Domain Name System Digital Subscriber Line DSL Access Multiplex Data Terminal Equipment Extensible Authentication Protocol Electronic Code Book Mode Encapsulating Sercurity Payload Frame Check Sequence Fiber Distributed Data Interface Fast Packet Switched Technology Frame Relay File Transfer Protocol Generic Routing Encapsulation Hashed-keyed Message Authenticaiton Code International Bussiness Machine Internet Control Message Protocol Intergrity Check Value Internet Engineering Task Force Internet Key Exchange Internet Key Management Protocol Intelligent Network Internet Protocol IP Security Protocol Hellman Nhận dạng kết nối lớp liên kết dữ liệu Hệ thông tên miền Công nghệ đƣờng dây thuê bao số Bộ ghép kênh DSL Thiết bị đầu cuối số liệu Giao thức xác thực mở rộng Chế độ sách mã điện tử Giao thức đóng gói an toàn tải tin Chuỗi kiểm tra khung Giao diện dữ liệu cáp quang phân tán Kỹ thuật chuyển mạch gói nhanh Công nghệ chuyển tiếp khung Giao thức truyền file Đóng gói định tuyến chung Mã nhận thực bản tin băm Công ty IBM Giao thức bản tin điều khiển Internet Giá trị kiểm tra tính toàn vẹn Cơ quan tiêu chuẩn kỹ thuật cho Internet Giao thức trao đổi khóa Giao thức quản lí khóa qua Internet Công nghệ mạng thông minh Giao thức lớp Internet Giao thức an ninh Internet 3 ISAKMP Internet Security Association Giao thức kết hợp an ninh và quản and Key Management lí khóa qua Internet Protocol ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ ISO International Standard Organization Tổ chức chuẩn quốc tế ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initial Vector Véc tơ khởi tạo L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức đƣờng ngầm lớp 2 LAN Local Area Network Mạng cục bộ LCP Link Control Protocol Giao thức điều khiển đƣờng truyền MAC Message Authentication Code Mã nhận thực bản tin MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5 MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất NAS Network Access Server Máy chủ truy nhập mạng NGN Next Generation Network Mạng thế hệ kế tiếp NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ OSI Open System Interconnnection Kết nối hệ thống mở OSPF Open Shortest Path First Giao thức định tuyến OSPF PAP Password Authentication Protocol Giao thức nhận thực khẩu lệnh PDU Protocol Data Unit Đơn vị dữ liệu giao thức PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng POP Point - Of - Presence Điểm hiển diễn PPP Point-to-Point Protocol Giao thức điểm tới điểm PPTP Point-to-Point Tunneling Protocol Giao thức đƣờng ngầm điểm tới điểm PSTN Public Switched Telephone Mạng chuyển mạch thoại công 4 Network cộng RADIUS Remote Authentication Dial- Dịch vụ nhận thực ngƣời dùng in User Service quay số từ xa RARP Reverse Address Resolution Protocol Giao thức phân giải địa chỉ ngƣợc RAS Remote Access Service Dịch vụ truy nhập từ xa RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF đƣa ra RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa công cộng SA Security Association Liên kết an ninh SAD SA Database Cơ sở dữ liệu SA SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1 SMTP Simple Mail Transfer Protocol Giao thức truyền thƣ đơn giản SN Sequence Number Số thứ tự SPI Security Parameter Index Chỉ số thông số an ninh SS7 Signalling System No7 Hệ thống báo hiệu số 7 TCP Transmission Control Protocol Giao thức điều khiển truyền tải TFTP Trivial File Transfer Protocol Giao thức truyền file bình thƣờng TLS Transport Level Security An ninh mức truyền tải UDP User Data Protocol Giao thức dữ liệu ngƣời sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng 5 MỞ ĐẦU Hiện nay, mạng Internet đã trở nên phổ biến trên toàn thế giới. Internet không chỉ phục vụ cho Giáo dục, Khoa học , Kinh doanh, Viễn thông ...mà nó còn thể hiện rõ nét một vấn đề đó là: một đất nước có thực sự phát triển và hiện đại hay không là nhờ vào sự phát triển hạ tầng cũng như ứng dụng CNTT vào thực tế. Vì thế vai trò của nó là quá lớn, nhưng để tìm hiểu nó ứng dụng thế nào vào thực tế mà các Doanh nghiệp hiện nay đang ứng dụng thì có lẽ chúng ta phải bỏ ra công sức không nhỏ và cũng không phải dễ dàng . Vậy trong đề tài này tôi xin phép được giới thiệu một Công nghệ mà nhiều Doanh nghiệp , đặc biê ̣t là những doanh nghiê ̣p có nhiề u chi nhánh đang ứng dụng . Và đó là Công nghê ̣ M ạng riêng ảo chạy trên nền tảng Internet. Mục đích của luận văn “Mạng Riêng Ảo và Bảo mật trong Mạng Riêng Ảo” là tìm hiểu những vấn đề cơ bản về bộ giao thức TCP/IP, tổng quan về mạng riêng ảo – VPN, các giao thức bảo mật được ứng dụng trong mạng VPN và đặc biệt nhấn mạnh kết quả mô phỏng mô hình đường hầm VPN IPSec site-to-site, nội dung khoá luận như sau: Chương 1, giới thiệu tổng quan về Internet, bộ giao thức TCP/IP. Trong đó nêu rõ chức năng của từng phân lớp của TCP/IP. Đi vào giới thiệu lịch sử phát triển của mạng VPN, các chức năng và ưu điểm của mạng VPN. Đặc biệt, nhấn mạnh về một số loại mạng VPN thường vẫn được ứng dụng và triển khai hiện nay như: Mạng VPN truy cập từ xa, mạng VPN site-to-site. Chương 2, đề cập tới các giao thức bảo mật được sử dụng trong mạng VPN như giao thức đường hầm điểm – điểm PPTP, giao thức đường hầm lớp 2 L2TP. Đặc biệt, chương này đã đi sâu vào giao thức IPSec, là giao thức được sử dụng cho mạng IP-VPN. Và IP-VPN cũng là mạng mà luận văn này đề cập tới. Các thuật toán mã hoá, toàn vẹn dữ liệu, nhận thực và quản lý khoá được trình bày khá chi tiết trong chương này. Chương 3, thực hiện mô phỏng đường hầm IP-VPN site-to-site sử dụng giao thức bảo mật IPSec. Dùng lệnh ping để kiểm tra đường đi của gói tin đồng thời thực hiện bắt gói tin trên đường đi và phân tích offline gói tin bắt được. Qua đó đưa ra một số kết luận và tham vấn cho các khách hàng có nhu cầu sử dụng kết nối mạng VPN đồng thời khẳng định được về độ tin cậy của IPSec VPN. 6 CHƢƠNG 1 – GIAO THỨC TCP/IP VÀ MẠNG RIÊNG ẢO 1.1 Internet Internet là mô ̣t hê ̣ thố ng toàn cầ u của các ma ̣ng máy tính đƣợc kết nối . Các máy tính và các mạng máy tính trao đ ổi thông tin sƣ̉ du ̣ng giao thƣ́c TCP /IP – Transmission Control Protocol /Internet Protocol để liên la ̣c với nhau . Các máy tính đƣợc kết nối nhờ mạng viễn thông và Internet có thể đƣợc sử dụng để gửi nhâ ̣n thƣ điê ̣n tƣ̉ (email), truyề n nhâ ̣n các tâ ̣p tin và truy câ ̣p thông tin trên ma ̣ng toàn cầu. 1.2 Giao thƣ́c TCP/IP Giao thức TCP/IP trở thành giao thức mạng phổ biến nhất nhờ sự phát triển không ngừng của mạng Internet. Các mạng máy tính của các cơ quan, tổ chức, công ty hầu hết đều sử dụng TCP/IP làm giao thức mạng nhờ tính dễ mở rộng và qui hoạch của nó. Đồng thời, do sự phát triển của mạng Internet nên nhu cầu kết nối ra Internet và sử dụng TCP/IP đã trở nên thiết yếu cho mọi đối tƣợng. Sự ra đời của họ giao thức TCP/IP gắn liền với sự ra đời của Internet mà tiền thân là mạng ARPAnet (Advanced Research Projects Agency) do Bộ Quốc phòng Mỹ tạo ra. Đây là bộ giao thức đƣợc dùng rộng rãi nhất vì tính mở của nó. Điều đó có nghĩa là bất cứ máy nào dùng bộ giao thức TCP/IP đều có thể nối đƣợc vào Internet. Hai giao thức đƣợc dùng chủ yếu ở đây là TCP (Transmission Control Protocol) và IP (Internet Protocol). Chúng đã nhanh chóng đƣợc đón nhận và phát triển bởi nhiều nhà nghiên cứu và các hãng công nghiệp máy tính với mục đích xây dựng và phát triển một mạng truyền thông mở rộng khắp thế giới mà ngày nay chúng ta gọi là Internet. Phạm vi phục vụ của Internet không còn dành cho quân sự nhƣ ARPAnet nữa mà nó đã mở rộng lĩnh vực cho mọi loại đối tƣợng sử dụng, trong đó tỷ lệ quan trọng nhất vẫn thuộc về giới nghiên cứu khoa học và giáo dục. Khái niệm giao thức (protocol) là một khái niệm cơ bản của mạng thông tin máy tính. Có thể hiểu một cách khái quát rằng đó chính là tập hợp tất cả các qui tắc cần thiết (các thủ tục, các khuôn dạng dữ liệu, các cơ chế phụ trợ...) cho phép các thao tác trao đổi thông tin trên mạng đƣợc thực hiện một cách chính xác và an toàn. Có rất nhiều họ giao thức đang đƣợc thực hiện trên mạng thông tin máy tính hiện nay nhƣ IEEE 802.X dùng trong mạng cục bộ, CCITT X25 dùng cho mạng diện rộng và đặc biệt là họ giao thức chuẩn của ISO (tổ chức tiêu chuẩn 7 hóa quốc tế) dựa trên mô hình tham chiếu bảy tầng cho việc nối kết các hệ thống mở. Gần đây, do sự xâm nhập của Internet vào Việt nam, chúng ta đƣợc làm quen với họ giao thức mới là TCP/IP mặc dù chúng đã xuất hiện từ hơn 20 năm trƣớc đây. TCP/IP - Transmission Control Protocol/ Internet Protocol là một họ giao thức cùng làm việc với nhau để cung cấp phƣơng tiện truyền thông liên mạng đƣợc hình thành từ những năm 70. Đến năm 1981, TCP/IP phiên bản 4 mới hoàn tất và đƣợc phổ biến rộng rãi cho toàn bộ những máy tính sử dụng hệ điều hành UNIX. Sau này Microsoft cũng đã đƣa TCP/IP trở thành một trong những giao thức căn bản của hệ điều hành Windows 9x mà hiện nay đang sử dụng. Đến năm 1994, một bản thảo của phiên bản IPv6 đƣợc hình thành với sự cộng tác của nhiều nhà khoa học thuộc các tổ chức Internet trên thế giới để cải tiến những hạn chế của IPv4. Khác với mô hình ISO/OSI tầng liên mạng sử dụng giao thức kết nối mạng "không liên kết" (connectionless) IP, tạo thành hạt nhân hoạt động của Internet. Cùng với các thuật toán định tuyến RIP, OSPF, BGP, tầng liên mạng IP cho phép kết nối một cách mềm dẻo và linh hoạt các loại mạng "vật lý" khác nhau nhƣ: Ethernet, Token Ring , X.25... Giao thức trao đổi dữ liệu "có liên kết" (connection - oriented) TCP đƣợc sử dụng ở tầng vận chuyển để đảm bảo tính chính xác và tin cậy việc trao đổi dữ liệu dựa trên kiến trúc kết nối "không liên kết" ở tầng liên mạng IP. Các giao thức hỗ trợ ứng dụng phổ biến nhƣ truy nhập từ xa (telnet), chuyển tệp (FTP), dịch vụ World Wide Web (HTTP), thƣ điện tử (SMTP), dịch vụ tên miền (DNS) ngày càng đƣợc cài đặt phổ biến nhƣ những bộ phận cấu thành của các hệ điều hành thông dụng nhƣ UNIX (và các hệ điều hành chuyên dụng cùng họ của các nhà cung cấp thiết bị tính toán nhƣ AIX của IBM, SINIX của Siemens, Digital UNIX của DEC), Windows9x/NT, Novell Netware,... 8 Hình 1.1 Mô hình OSI và mô hình kiế n trúc TCP/IP Nhƣ vậy, TCP tƣơng ứng với lớp 4 cộng thêm một số chức năng của lớp 5 trong họ giao thức chuẩn ISO/OSI. Còn IP tƣơng ứng với lớp 3 của mô hình OSI. Trong cấu trúc bốn lớp của TCP/IP, khi dữ liệu truyền từ lớp ứng dụng cho đến lớp vật lý, mỗi lớp đều cộng thêm vào phần điều khiển của mình để đảm bảo cho việc truyền dữ liệu đƣợc chính xác. Mỗi thông tin điều khiển này đƣợc gọi là một header và đƣợc đặt ở trƣớc phần dữ liệu đƣợc truyền. Mỗi lớp xem tất cả các thông tin mà nó nhận đƣợc từ lớp trên là dữ liệu, và đặt phần thông tin điều khiển header của nó vào trƣớc phần thông tin này. Việc cộng thêm vào các header ở mỗi lớp trong quá trình truyền tin đƣợc gọi là encapsulation. Quá trình nhận dữ liệu diễn ra theo chiều ngƣợc lại: mỗi lớp sẽ tách ra phần header trƣớc khi truyền dữ liệu lên lớp trên. Mỗi lớp có một cấu trúc dữ liệu riêng, độc lập với cấu trúc dữ liệu đƣợc dùng ở lớp trên hay lớp dƣới của nó. Sau đây là giải thích một số khái niệm thƣờng gặp. Stream là luồ ng s ố liệu đƣợc truyền trên cơ sở đơn vị là Byte. Số liệu đƣợc trao đổi giữa các ứng dụng dùng TCP đƣợc gọi là stream, trong khi dùng UDP, chúng đƣợc gọi là message. Mỗi gói số liệu TCP đƣợc gọi là segment còn UDP định nghĩa cấu trúc dữ liệu của nó là packet. Lớp Internet xem tất cả các dữ liệu nhƣ là các khối và gọi là datagram. Bộ giao thức TCP/IP có thể dùng nhiều kiểu khác nhau của lớp mạng dƣới cùng, mỗi loại có thể có một thuật ngữ khác nhau để truyền dữ liệu. 9 Phần lớn các mạng kết cấu phần dữ liệu truyền đi dƣới dạng các packets hay là các frames. Application Stream Transport Segment/datagram Internet Datagram Network Access Frame Hình 1.2. Cấu trúc dữ liệu tại các lớp của TCP/IP 1.2.1 Lớp Truy nhâ ̣p ma ̣ng Lớp Truy nhập mạng/Network Access Layer là lớp thấp nhất trong cấu trúc phân bậc của TCP/IP. Những giao thức ở lớp này cung cấp cho hệ thống phƣơng thức để truyền dữ liệu trên các tầng vật lý khác nhau của mạng. Nó định nghĩa cách thức truyền các khối dữ liệu (datagram) IP. Các giao thức ở lớp này phải biết chi tiết các phần cấu trúc vật lý mạng ở dƣới nó (bao gồm cấu trúc gói số liệu, cấu trúc địa chỉ...) để định dạng đƣợc chính xác các gói dữ liệu sẽ đƣợc truyền trong từng loại mạng cụ thể. So sánh với cấu trúc OSI/OSI, lớp này của TCP/IP tƣơng đƣơng với hai lớp Datalink, và Physical. Chức năng định dạng dữ liệu sẽ đƣợc truyền ở lớp này bao gồm việc nhúng các gói dữ liệu IP vào các frame sẽ đƣợc truyền trên mạng và việc ánh xạ các địa chỉ IP vào địa chỉ vật lý đƣợc dùng cho mạng. 1.2.2 Lớp Liên mạng Lớp Liên mạng/Internet Layer là lớp ở ngay trên lớp Network Access trong cấu trúc phân lớp của TCP/IP. Internet Protocol là giao thức trung tâm của TCP/IP và là phần quan trọng nhất của lớp Internet. IP cung cấp các gói lƣu chuyển cơ bản mà thông qua đó các mạng dùng TCP/IP đƣợc xây dựng. 1.2.3 Lớp Giao vâ ̣n Trách nhiệm của tầng giao vận là kết hợp các khả năng truyền thông điệp trực tiếp (end-to-end) không phụ thuộc vào mạng bên dƣới, kèm theo kiểm soát lỗi (error control), phân mảnh (fragmentation) và điều khiển lƣu lƣợng. Việc truyền thông điệp trực tiếp hay kết nối các ứng dụng tại tầng giao vận có thể đƣợc phân loại nhƣ sau:   Định hƣớng kết nối (connection-oriented), ví dụ TCP Phi kết nối (connectionless), ví dụ UDP 10 Tầng giao vận có thể đƣợc xem nhƣ một cơ chế vận chuyển thông thƣờng, nghĩa là trách nhiệm của một phƣơng tiện vận tải là đảm bảo rằng hàng hóa/hành khách của nó đến đích an toàn và đầy đủ. Tầng giao vận cung cấp dịch vụ kết nối các ứng dụng với nhau thông qua việc sử dụng các cổng TCP và UDP. Do IP chỉ cung cấp dịch vụ phát chuyển nỗ lực tối đa (best effort delivery), tầng giao vận là tầng đâu tiên giải quyết vấn đề độ tin cậy. Ví dụ, TCP là một giao thức định hƣớng kết nối. Nó giải quyết nhiều vấn đề độ tin cậy để cung cấp một dòng byte đáng tin cậy (reliable byte stream):      Dữ liệu đến đích đúng thứ tự Sửa lỗi dữ liệu ở mức độ tối thiểu Dữ liệu trùng lặp bị loại bỏ Các gói tin bị thất lạc/loại bỏ đƣợc gửi lại Có kiểm soát tắc nghẽn giao thông dữ liệu 1.2.4 Lớp Ƣ́ng du ̣ng Tầng ứng dụng là nơi các chƣơng trình mạng thƣờng dùng nhất làm việc nhằm liên lạc giữa các nút trong một mạng. Giao tiếp xảy ra trong tầng này là tùy theo các ứng dụng cụ thể và dữ liệu đƣợc truyền từ chƣơng trình, trong định dạng đƣợc sử dụng nội bộ bởi ứng dụng này, và đƣợc đóng gói theo một giao thức tầng giao vận. Do bộ giao thức TCP/IP không có tầng nào nằm giữa ứng dụng và các tầng giao vận, tầng ứng dụng trong bộ TCP/IP phải bao gồm các giao thức hoạt động nhƣ các giao thức tại tầng trình diễn và tầng phiên của mô hình OSI. Việc này thƣờng đƣợc thực hiện qua các thƣ viện lập trình. Dữ liệu thực để gửi qua mạng đƣợc truyền cho tầng ứng dụng, nơi nó đƣợc đóng gói theo giao thức tầng ứng dụng. Từ đó, dữ liệu đƣợc truyền xuống giao thức tầng thấp tại tầng giao vận. Hai giao thức tầng thấp thông dụng nhất là TCP và UDP. Mỗi ứng dụng sử dụng dịch vụ của một trong hai giao thức trên đều cần có cổng. Hầu hết các ứng dụng thông dụng có các cổng đặc biệt đƣợc cấp sẵn cho các chƣơng trình phục vụ (server)(HTTP - Giao thức truyền siêu văn bản dùng cổng 80; FTP - Giao thức truyền tệp dùng cổng 21, v.v..) trong khi các trình khách (client) sử dụng các cổng tạm thời (ephemeral port). 11 1.2.5 Nhận xét Khi mạng Internet xuất hiện cũng đồng nghĩa với rất nhiều các ứng dụng đa phƣơng tiện khác phát triển theo. Trong các ứng dụng chạy trên nền tảng bộ giao thức TCP/IP nhƣ Video Conferencing, FTP hay Webmail...Thì bên cạnh đó một ứng dụng đã ngày càng đƣợc biết đến, đƣợc ứng dụng rộng rãi đó là mạng riêng ảo/VPN-Virtual Private Network. VPN đã mang lại nhiều lợi ích cho nhiều doanh nghiệp, nhiều tổ chức thông qua sự tiện lợi, dễ dùng, rất bảo mật và đặc biệt là rất tiết kiệm chi phí của nó. Chúng ta có thể tìm hiểu chi tiết hơn về mạng riêng ảo tại mục 1.3 dƣới đây. 1.3 Tổ ng quan về Ma ̣ng Riêng Ảo Thuật ngữ Mạng Riêng Ảo/Virtual Private Network hay VPN là một công nghệ đã đƣợc ứng dụng rất phổ biến hiện nay. Nhiều doanh nghiệp đã tận dụng đƣợc cơ sở hạ tầng mạng Internet sẵn có để triển khai mạng VPN và phát triển nhiều ứng dụng khác nhau trên nền tảng VPN này. 1.3.1 Khái niệm Mạng Riêng Ảo đƣợc định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng (nhƣ mạng Internet) với các chính sách quản lý và bảo mật giống nhƣ mạng cục bộ. Hình 1.3 Mô hình mạng riêng ảo 1.3.2 Tính năng và ƣu điể m của mạng riêng ảo 1.3.2.1 Các tính năng của mạng riêng ảo Mạng riêng ảo hỗ trợ các tính năng sau: tính xác thực, tính toàn vẹn và tính bảo mật. 12 Tính xác thực: Để thiết lập một kết nối VPN thì trƣớc hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngƣời mình mong muốn chứ không phải là một ngƣời khác. Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền và trao đổ i dƣ̃ liê ̣u . Tính bảo mật: Ngƣời gửi có thể mã hoá các gói dữ liệu trƣớc khi truyền qua mạng công cộng và dữ liệu sẽ đƣợc giải mã ở phía thu. Vì nhƣ vậy không ai có thể đọc đƣợc thông tin khi cố tình xâm nhập và bắt gói tin. 1.3.2.2 Ƣu điể m của mạng riêng ảo Mạng riêng ảo mang lại lợi ích thực sự cho các doanh nghiệp. Mạng riêng ảo không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ngƣời dùng di động, mở rộng đến từng văn phòng, chi nhánh, mà còn có thể triển khai mạng riêng ảo Extranet đến tận khách hàng và các đối tác quan trọng. Những lợi lợi thực sự mà mạng riêng ảo mang lại nhƣ: Tính tiết kiệm chi phí, tính mềm dẻo, khả năng mở rộng cùng nhiều ƣu điểm khác. Tính tiết kiệm chi phí: VPN có thể giúp các doanh nghiệp tiết kiệm từ 50% 70% chi phí đầu tƣ vào các kết nối leased line và remote access truyền thống, giảm đáng kể các chi phí đầu tƣ cho hạ tầng truyền thông và chi phí hàng tháng đối với các kết nối site to site Tính linh hoạt: Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử dụng kết hợp với các công nghệ sẵn có và cơ sở hạ tầng mạng của doanh nghiệp trƣớc đó. Khả năng mở rộng: Mạng VPN đƣợc xây dựng dựa trên cơ sở hạ tầng mạng công cộng. Vì thế với bất kỳ doanh nghiệp nào có nhiều chi nhánh ở xa nhau mà muốn kết nối với nhau sử dụng công nghệ mạng riêng ảo thì điều cần và đủ là các chi nhánh đƣợc kết nối tới mạng Internet. Tính bảo mật: Mạng riêng ảo cung cấp chế độ bảo mật cao nhất nhờ các cơ chế mã hóa trên nền tảng mạng riêng ảo (mã hóa, xác nhận truy cập và bảo mật hệ thống). Quản lý các kết nối dễ dạng thông qua tên và mật khẩu truy cập vào hệ thống mạng riêng ảo trong mạng nội bộ. 1.3.3 Mô ̣t số loa ̣i ma ̣ng riêng ảo Dựa vào cộng nghệ hoặc dựa vào mô hình, cấu trúc của từng tổ chức mà có thể phân loại mạng riêng ảo thành các loại khác nhau. Và nếu dựa vào kiến trúc của doanh nghiệp chúng ta có thể phân loại mạng riêng ảo thành ba loại sau: 13 - Mạng riêng ảo truy nhập từ xa (Remote Access VPN) - Mạng riêng ảo cục bộ (Intranet VPN) - Mạng riêng ảo mở rộng (Extranet VPN) 1.3.3.1 Mạng riêng ảo truy nhâ ̣p tƣ̀ xa Các mạng riêng ảo truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty. Vì thế khi nhân viên đi công tác xa tại bất cứ đâu đều có thể truy nhập vào mạng của công ty bất cứ lúc nào, có thể nói đây là một sự tiện lợi rất riêng của mạng riêng ảo truy nhập từ xa. Mạng riêng ảo truy nhập từ xa hay cũng đƣợc gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau. Khi VPN đƣợc triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thƣơng mại. Các Truy Cập từ xa VPN đảm bảo các kết nối đƣợc bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party). Với Truy cập từ xa VPN, các nhân viên di động và nhân viên làm việc ở nhà chỉ phải trả chi phí cho cuộc gọi nội bộ để kết nối tới ISP và kết nối tới mạng riêng của công ty, tổ chức. Các thiết bị phía máy chủ VPN có thể là Cisco Routers, PIX Firewalls hoặc VPN Concentrators, phía client là các phần mềm VPN hoặc Cisco Routers. Hình 1.4 Mô hình truy nhập từ xa – nhân viên di động 14 1.3.3.2 Mạng riêng ảo nội bô ̣ Các mạng riêng ảo nội bộ đƣợc sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một doanh nghiệp. Mạng riêng ảo liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng mạng công cộng Internet sẵn có và các kết nối đƣợc mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn vào các nguồn dữ liệu tại trụ sở chính. Hình 1.5 Mô hình mạng VPN site to site Ƣu điểm:  Giảm thiểu đáng kể số lƣợng hổ trợ yêu cầu ngƣời dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau.  Bởi vì Internet hoạt động nhƣ một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng.  Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet. Nhƣợc điểm:  Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộng-Internet-và những nguy cơ tấn công, nhƣ tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin.  Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao. 15  Trong một số trƣờng hợp, nhất là khi dữ liệu là loại high-end, nhƣ các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do đƣợc truyền thông qua Internet.  Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thƣờng xuyên, và QoS cũng không đƣợc đảm bảo. 1.3.3.3 Mạng riêng ảo mở rô ̣ng Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ nhƣ: một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trƣờng có chia sẻ tài nguyên. Hình 1.6 Mô hình mạng VPN mở rộng Ƣu điểm:  Do hoạt động trên môi trƣờng Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đƣa ra phƣơng pháp giải quyết tuỳ theo nhu cầu của tổ chức.- Bởi vì một phần Internet-connectivity đƣợc bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.