Đăng ký Đăng nhập

Tài liệu Nghiên cứu vpn

.PDF
118
490
67

Mô tả:

Đại học Công nghệ Khoá luận tốt nghiệp Mục lục Lời mở đầu Chương 1: Tổng quan về VPN Tổng Quan ...................................................................................................... 5 1.1 Định nghĩa VPN ................................................................................... 5 1.2 Lợi ích của VPN .................................................................................. 6 1.3 Chức năng của VPN ............................................................................. 7 2 Định nghĩa “đường hầm” và “mã hoá” ......................................................... 7 2.1 Định nghĩa đường hầm: ........................................................................ 7 2.2 Cấu trúc một gói tin IP trong đường hầm: ............................................ 8 2.3 Mã hoá và giải mã (Encryption/Deccryption): ...................................... 8 2.4 Một số thuật ngữ sử dụng trong VPN: .................................................. 8 2.5 Các thuật toán được sử dụng trong mã hoá thông tin ............................ 9 3 Các dạng kêt nối mạng riêng ảo VPN ......................................................... 10 3.1 Truy cập VPN (Remote Access VPNs) .............................................. 10 3.1.1 Một số thành phần chính ............................................................. 11 3.1.2 Thuận lợi chính của Remote Access VPNs: ................................ 12 3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như: .................................................................................................... 12 3.2 Site – To – Site VPN ......................................................................... 13 3.2.1 Intranet........................................................................................ 14 3.2.2 Extranet VPNs (VPN mở rộng) ................................................... 16 4. VPN và các vấn đề an toàn bảo mật trên Internet. ..................................... 18 4.1 An toàn và tin cậy. ............................................................................. 19 4.2 Hình thức an toàn ............................................................................... 20 1. Chương 2: Giao thức trong VPN Bộ giao thức IPSec (IP Security Protocol): ................................................ 22 1.1 Cấu trúc bảo mật ..................................................................................... 22 1.1.1 Hiện trạng......................................................................................... 23 2 Chế độ làm việc của IPSec .......................................................................... 23 2.1 Chế độ chuyển vận (Transport mode) ................................................. 23 2.2 Chế độ đường hầm ( Tunnel Mode ):.................................................. 24 3 Giao thức PPTP và L2TP ............................................................................. 31 3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling Protocol) ....................................................................................................... 31 3.1.1 Quan hệ giữa PPTP và PPP ......................................................... 32 3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) .................... 34 3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol)............... 35 3.3.1 Quan hệ giữa L2TP với PPP ............................................................ 36 3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview). .......... 38 3.5 Ứng dụng L2TP trong VPN................................................................. 42 3.6 So sánh giữa PPTP và L2TP ............................................................... 42 1 Lê Anh Hưng K49DB 1 Đại học Công nghệ Khoá luận tốt nghiệp 3.6.1 Ưu điểm của L2TP. ........................................................................ 43 3.6.2 Ưu điểm của PPTP ...................................................................... 43 Chương 3: Mã hoá và chứng thực trong VPN 1. Mã hoá trong VPN. ...................................................................................... 45 1.1 Thuật toán mã hoá DES...................................................................... 45 1.1.1 Mô tả DES .................................................................................. 46 1.1.2 Ưu và nhược điểm của DES ....................................................... 47 1.1.3 Ứng dụng của thuật toán DES trong thực tế. ............................... 47 1.2 Thuật toán mã hoá 3DES. ................................................................... 48 1.2.1 Mô tả 3DES. ............................................................................... 48 1.2.2 Ưu và nhược điểm của 3DES ...................................................... 49 1.3 Giải thuật hàm băm (Secure Hash Algorithm). ................................... 49 1.4 Giải thuật RSA ................................................................................... 49 2 Chứng thực trong VPN ................................................................................ 50 2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng mật khẩu. ...................................................................................................... 51 2.2 Challenge Handshare Authentication Protocol (CHAP). ..................... 52 3 Firewall ........................................................................................................ 52 3.1 Khái niệm về Firewall. ....................................................................... 52 3.2 Các thành phần của Firewall. ............................................................. 53 3.2.1 Bộ lọc gói (Packet Filtering Router). ........................................... 53 3.2.2 Cổng ứng dụng (Application-level gateway) ............................... 55 3.2.3 Cổng vòng (Circuit-level Gateway) .................................................. 57 3.3 Những hạn chế từ Firewall ................................................................. 58 3.4 Thiết lập chính sách cho Firewall ....................................................... 58 3.5 Một số loại Firewall ........................................................................... 59 3.5.1 Screened Host Firewall. .................................................................... 60 3.5.2 Screened-Subnet Firewall ................................................................. 61 3.6 Mô hình kết hợp Firewall với VPN. ........................................................ 62 Chương 4: Cấu hình VPN trên thiết bị Cisco 1. Mô hình Site –to – Site VPN và Extranet VPN ....................................... 64 1.1 Kịch bản Site – to – site VPN ............................................................. 64 1.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình site – to –site VPN .................................................................................................... 64 1.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Site – to – Site VPN............ 65 2.1 Kịch bản Extranet............................................................................... 65 2.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình Extranet VPN .................................................................................................... 66 2.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Extranet VPN ............... 66 2 Cấu hình đường hầm (tunnel) ...................................................................... 67 2.1 Sự định cấu hình một GRE Tunnel ..................................................... 68 2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích ..................... 68 Lê Anh Hưng K49DB 2 Đại học Công nghệ Khoá luận tốt nghiệp 2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích.......................... 70 2.2 Cấu hình một IPSec Tunnel: ............................................................... 70 3 Cấu hình NAT (Network Address Translation). ........................................ 71 3.1 Cấu hình Static Inside Source Address Translation............................ 73 3.2 Kiểm tra Static Inside Source Address Translation. ........................... 73 4 Cấu hình sự mã hoá và IPSec. ..................................................................... 74 4.1. Cấu hình những chính sách IKE: ........................................................ 75 4.1.1 Tạo ra những chính sách IKE. ..................................................... 76 4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE: ....... 77 4.1.3 Cấu hình Những khoá dùng chung .............................................. 78 4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số. ........................ 80 4.2.1 Kiểm tra IKE Policies ................................................................. 81 4.2.2 Cấu hình khoá dùng chung khác ................................................. 81 4.3 Cấu hình IPSec và chế độ IPSec tunnel. ............................................. 82 4.3.1 Tạo ra những danh sách truy nhập mật mã. ................................. 83 4.3.2 Kiểm tra những danh sách mật mã. ............................................. 83 4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel .. 83 4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel............. 85 4.5 Cấu hình Crypto Maps. ...................................................................... 85 4.5.1 Tạo ra những mục Crypto Map. .................................................. 85 4.5.2 Kiểm tra những mục Crypto map ................................................ 88 4.5.3 Áp dụng Crypto map vào Interface.............................................. 88 4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface............................ 89 5. Cấu hình những tính năng Cisco IOS Firewall .......................................... 89 5.1 Tạo ra Access list mở rộng và sử dụng số Access list ......................... 90 5.2 Kiểm tra Access list mở rộng ............................................................. 90 5.3 Áp dụng Access-list tới Interface ....................................................... 90 5.4 Kiểm tra Access-list được áp dụng chính xác ........................................ 91 Chương 5: Cấu hình VPN trên Widows Server 2003 1. Giới thiệu chung ........................................................................................... 92 2. Cài đặt VPN Server ............................................................................................. 92 3. Cấu hình VPN Server .......................................................................................... 99 3.1. Route and Remote Access Properties ..................................................... 99 3.2. Ports Properties .................................................................................... 102 3.3. Remote Access Policies ....................................................................... 103 4. Tạo User trên Windows cho phép sử dụng VPN ............................................. 104 5. VPN Client trên Windows XP .......................................................................... 106 6. Quản lý kết nối trên VPN Server............................................................... 113 Kết luận .................................................................................................................. 115 Tài liệu tham khảo ................................................................................................. 116 CÁC THUẬT NGỮ VIẾT TĂT .............................................................................. 117 Lê Anh Hưng K49DB 3 Đại học Công nghệ Khoá luận tốt nghiệp Lời mở đầu Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sử dụng một kết nối quay số. Các kết nối RAS dial-up làm việc trên các đường điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS, tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty … và các doanh nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng Internet. VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu). Là một sinh viên công nghệ, phần nào em cũng hiểu được sự băn khoăn và lo lắng về sự mất an toàn bảo mật khi trao đổi thông tin của các tổ chức, cá nhân. Với sự hướng dẫn, và giúp đỡ của thầy cô và bạn bè, em chọn đề tài mạng riêng ảo (VPN) để nghiên cứu và các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo. Nghiên cứu các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng. Lê Anh Hưng K49DB 4 Đại học Công nghệ Khoá luận tốt nghiệp Chương 1 TỔNG QUAN VỀ VPN 1. Tổng Quan Trong thời đại ngày nay. Internet đã phát triển mạnh mẽ về mặt mô hình cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang sử dụng. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hang trực tuyến, tư vấn y tế,và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoã mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riên ảo (Virtual Private Network – VPN ). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều 1.1 Định nghĩa VPN VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay Lê Anh Hưng K49DB 5 Đại học Công nghệ Khoá luận tốt nghiệp các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã. Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel) Hình 1: Mô hình mạng VPN 1.2 Lợi ích của VPN VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line. Những lợi ích đầu tiên bao gồm:  Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80%  Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, băng cách nào đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối từ xa của những văn phòng, những vị trí ngoài quốc tế, những người truyền Lê Anh Hưng K49DB 6 Đại học Công nghệ Khoá luận tốt nghiệp    thông, những người dùng điện thoại di động, những người hoạt động kinh doanh bên ngoài như những yêu cầu kinh doanh đã đòi hỏi Đơn giản hóa những gánh nặng Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những giao thức như là Frame Relay và ATM Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP   Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet 1.3 Chức năng của VPN VPN cung cấp 4 chức năng chính  Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép, mà nếu lấy được thông tin thì cũng không đọc được vì thông tin đã được mã hoá  Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào  Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin 2 Định nghĩa “đường hầm” và “mã hoá” Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật thông tin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel) 2.1 Định nghĩa đường hầm: Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã hoá bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem trộm thông tin, đường hầm chính là đặc tính ảo của VPN. Các giao thức định đường hầm được sử dụng trong VPN như sau: Lê Anh Hưng K49DB 7 Đại học Công nghệ Khoá luận tốt nghiệp  L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp 2  PPTP (Point-to-Point Tunneling Protocol)  L2F (Layer 2 Forwarding) Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:  IP Sec (IP security)  GRE (Genenic Routing Encapsulation) 2.2 Cấu trúc một gói tin IP trong đường hầm: Tunnel mode packet IP AH ESP Header Data Original packet 2.3 Hình 2: Cấu trúc một gói tin IP trong đường hầm Mã hoá và giải mã (Encryption/Deccryption): Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép. Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép 2.4 Một số thuật ngữ sử dụng trong VPN: Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay giải mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá, một hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầu cho một vài loại traffic người dùng cụ thể. Hàm băm (hashing): là một kỹ thuật toàn vẹn dữ liệu mà sử dụng một công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố đinh. Bản tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích. Ở nơi nhận việc tính toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trong khi truyền trên mạng. Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng. Xác thực chắc chắn rằng cá nhân hay một tiến trình là hoàn toàn xác định Lê Anh Hưng K49DB 8 Đại học Công nghệ Khoá luận tốt nghiệp Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được phép thực hiện những quyền hạn cụ thể nào Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy ngẫu nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã. Quản lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ. Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc các người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng, cho mục đích mã hoá. Một CA đảm bảo cho sự lien kết giữa các thành phần bảo mật trong chứng nhận. 2.5 Các thuật toán được sử dụng trong mã hoá thông tin:  DES (Data Encryption Security)  3DES (Triple Data Encryption Security)  SHA (Secure Hash Algorithm) AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ liệu, bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của gói tin). AH được nhúng vào trong dữ liệu để bảo vệ. ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữ liệu, các dịch vụ “anti-replay”. ESP đóng gói dữ liệu để bảo vệ. Oakley và Skeme mỗi cái định nghĩa một phương thức để thiết lập một sự trao đổi khoá xác thực, cái đó bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự mà các khoá được sử lý và các khoá được sử dụng như thế nào. ISAKMP (Internet Security Association and Key Management): IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là một khung giao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai một giao thức trao đổi khoá và sự trao đổi của một SA (Security Association) SA (Security Association): Là một tập các chính sách và các khoá được sử dụng để bảo vệ thông tin. ISAKMP SA là các chính sách chung và các khoá được sử dụng bởi các đối tượng ngang hang đàm phán trong giao thức này để bảo vệ thông tin của chúng Lê Anh Hưng K49DB 9 Đại học Công nghệ Khoá luận tốt nghiệp AAA (Authentication, Authorization và Accouting): là các dịch vụ bảo mật mạng mà cung cấp các khung chính qua đó điều khiển truy cập được đặt trên Router hay các Server truy cập. Hai sự lựa chọn chính cho AAA là TACACS+ và RADIUS TACACS+ (Terminal Access Controller Access Control System Plus): Là một ứng dụng bảo mật mà cung cấp sự xác thực tập trung của các người dùng cố gắng truy nhập tới Router hay mạng truy cập Server. RADIUS (Remote Authentication Dial-In User Service): Là một hệ thống phân tán client/server mà bảo mật các truy cập không được phép tới mạng. 3 Các dạng kêt nối mạng riêng ảo VPN 3.1 Truy cập VPN (Remote Access VPNs) Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức Remote Access VPN mô tả công việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (Wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+] …). Lê Anh Hưng K49DB 10 Đại học Công nghệ Khoá luận tốt nghiệp 3.1.1 Một số thành phần chính Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm. Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng. Hình 3 Thiết lập một non-VPN remote access Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau: Lê Anh Hưng K49DB 11 Đại học Công nghệ Khoá luận tốt nghiệp Hình 4 Thiêt lập một VPN remote access 3.1.2 Thuận lợi chính của Remote Access VPNs: - Sự cần thiết của RAS và việc kết hợp với modem được loại trừ. - Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP. - Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ. - Giảm giá thành chi phí kết nối với khoảng cách xa. - Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa. - VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng. 3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như: - Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ - Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát. Lê Anh Hưng K49DB 12 Đại học Công nghệ Khoá luận tốt nghiệp - Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trính xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ. - Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm. 3.2 Site – To – Site VPN Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có một kết nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vài trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác. Các Router và Firewall tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này. Hình 5 Site – to – site VPN Site – to –Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN. Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem như là một intranet VPN, ngược lại chúng được xem như một extranet VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiể bởi cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng. Giải pháp Site – To – Site VPN không phải là một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó. Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận. Ví dụ như là các thiết bị VPN dựa trên phần cứng mới (Router Cisco Lê Anh Hưng K49DB 13 Đại học Công nghệ Khoá luận tốt nghiệp 3002 chẳng hạn) ở đây để phân loại được, chúng ta phải áp dụng cả hai cách, bởi vì harware-based client có thể xuất hiện nếu một thiết bị đang truy cập vào mạng. Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành. Một ví dụ khác như là một chế độ mở rộng của giải pháp Ez VPN bằng cách dùng Router 806 và 17xx Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không có đường nối lại với nhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu, bạn có thể thiết lập một Site – to –Site VPN thông qua sự kết hợp của các thiết bị VPN concentrators, Router, và Firewalls. Kết nối Site –to –Site VPN được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nối này luân chuyển thông qua Internet hoặc một mạng không được tin cậy. Bạn phải đảm bảo vấn đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên tấ cả các gói dữ liệu đang luân chuyển giữa các mạng đó. 3.2.1 Intranet Hình 6 Thiết lập Intranet sử dụng WAN backbone Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ sở chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng chung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chức Lê Anh Hưng K49DB 14 Đại học Công nghệ Khoá luận tốt nghiệp gồm nhiều công ty và văn phòng làm việc mà các kết nối này luôn luôn được mã hoá thông tin Intranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router (Hình 7) Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet. Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet (Hình 1-5) Hình 7 Thiếp lập Intranet dựa trên VPN Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 7. - Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone. Lê Anh Hưng K49DB 15 Đại học Công nghệ Khoá luận tốt nghiệp - Giảm thiểu số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau. - Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hang. - Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet. Những bất lợi chính kết hợp với cách giải quyết: - Bởi vì dữ liệu vẫn còn tunnel trong quá trình chia sẻ trên mạng công cộng-Internet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of service), vẫn còn là một mối đe doạ an toàn thông tin. - Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao - Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet. - Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được bảo đảm. 3.2.2 Extranet VPNs (VPN mở rộng) Hình 8 Extranet VPN Lê Anh Hưng K49DB 16 Đại học Công nghệ Khoá luận tốt nghiệp Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, những nhà cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet qua cơ sở hạ tầng dùng chung chia sẽ những kết nối. Không giốn như intranet và Remote Access –based, Extranet không an toàn cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn như khách hang, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổ chức. Hình 9 Thiết lập mạng Extranet theo truyền thống Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên intranet kết hợp lại với nhau để tạo ra một Extranet. Điều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng. Lê Anh Hưng K49DB 17 Đại học Công nghệ Khoá luận tốt nghiệp Hình 10: Thiết lập Extranet Một số thuận lợi của Extranet: Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức. Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp ISP nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì. Dễ dàng triển khai, quản lý và chỉnh sữa thông tin. Một số bất lợi: - Sự đe doạ về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại - Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet. - Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp. - Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên. 4. VPN và các vấn đề an toàn bảo mật trên Internet. Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng công cộng như Internet. Hàng năm sự rò rỉ và mất cắp thông tin dữ liêu đã gây thiệt hại rất lớn về kinh tế trên toàn thế giới. Các tội Lê Anh Hưng K49DB 18 Đại học Công nghệ Khoá luận tốt nghiệp phạm tin tặc “ hacker” luôn tìm mọi cách để nghe trộm, đánh cắp thông tin dữ liệu nhạy cảm như: thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế nhạy cảm... của các tổ chức hay cá nhân. Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mật thông tin trên Internet như thế nào ? Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN. Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra một đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối. Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin 4.1 An toàn và tin cậy. Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì một hệ thống đáng tin cậy được. Thuộc tính này của một hệ thống đựơc viện dẫn như sự đáng tin cậy được. Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:  Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trong khoản thời gian. Tính sẵn sang thường đựơc thực hiện qua những hệ thống phần cứng dự phòng.  Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các chức năng của nó trong một chu kỳ thời gian. Sự tin cậy khác với tính sẵn sang , nó được đo trong cả một chu kỳ của thời gian. Nó tương ứng tới tính liên tục của một dịch vụ.  Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại nào xuất hiện.  Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả các tài nguyên hệ thống Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an toàn ở bất kỳ thời gian nào. Nó đảm bảo không một sự và chạm nào mà không cảnh báo thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:  Tính bí mật.  Tính toàn vẹn Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổi trong một ứng xử không hợp pháp trong thời gian tồn tại của nó. Tính Lê Anh Hưng K49DB 19 Đại học Công nghệ Khoá luận tốt nghiệp sẵn sang, sự an toàn và anh ninh là những thành phần phụ thuộc lẫn nhau. Sự an ninh bảo vệ hệ thống khỏi những mối đe doạ và sự tấn công. Nó đảm bảo một hệ thống an toàn luôn sẵn sang và đáng tin cậy. 4.2 Hình thức an toàn Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó Có 3 kiểu khác nhau của sự an toàn:  Sự an toàn phần cứng  Sự an toàn thông tin  Sự an toàn quản trị An toàn phần cứng: Những mối đe doạ và tấn công có liên quan tới phần cứng của hệ thống. Nó có thể được phân ra vào 2 phạm trù:  Sự an toàn vật lý  An toàn bắt nguồn Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe doạ vật lý bên ngoài như sự can thiệp, mất cắp thông tin, động đất và nước làm ngập lụt. Tất cả những thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cần sự bảo vệ chống lại tất cả những sự bảo vệ này. An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và sự kết hợp của phần cứng và phần mềm. Nó có thể được chia vào sự an toàn và truyền thông máy tính. Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng chống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế điều khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế phần cứng, kỹ thuật mã hoá… Sự an toàn truyền thông bảo vệ đối tượng truyền. An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người lợi dụng tới một hệ thống máy tính. Những mối đe doạ này có thể là hoạt động nhân sự. Sự an toàn nhân sự bao bao trùm việc bảo vệ của những đối tượng chống lại sự tấn công từ những người dùng uỷ quyền. Mỗi người dùng của hệ thống có những đặc quyền để truy nhập những tài nguyên nhất định. Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại những người dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm Lê Anh Hưng K49DB 20
- Xem thêm -

Tài liệu liên quan