nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

Mạng riêng ảo VPN- Virtual Private Network là mạng kết nối hai hay nhiều mạng riêng thông qua mạng công cộng Internet bằng cách sử dụng các đường hầm tunneling để đảm bảo sự riêng tư và

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI - CƠ SỞ II

KHOA ĐIỆN- ĐIỆN TỬ

mạng riêng ảo”

Giáo viên hướng dẫn : Th.s Võ Trường Sơn

Nhóm sinh viên thực hiện : Nguyễn Hoàng Minh Thắng

Võ Ngọc Hân Vũ Văn Trực Bùi Thọ Trường

Lớp : Kỹ Thuật Viễn thông-khóa 44

Thành phố Hồ Chí Minh Tháng 5/2008

MỤC LỤC

MỤC LỤC i

LỜI MỞ ĐẦU 1

Chương 1 Khái quát về VPN 2

1.1 Sự phát triển của các loại VPN 2

1.2 Khái niệm mạng riêng ảo .3

1.3 Các thành phần cơ bản của VPN 4

1.3.1 Máy chủ VPN .4

1.3.2 Máy khách VPN .5

1.3.3 Bộ định tuyến VPN .5

1.3.4 Bộ tập trung VPN .7

1.3.5 Cổng nối VPN .7

1.3.6 Tường lửa 7

1.4 Các giao thức xây dựng IP-VPN 10

1.4.1 IP Security 10

1.4.2 Giao thức đường hầm điểm-điểm PPTP 13

1.4.3 Giao thức đường hầm lớp 2 L2TP 16

Chương 2 Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo 23

2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN 23

2.2 Ưu điểm và khuyết điểm của VPN 24

2.2.1 Ưu điểm: 24

2.2.2 Khuyết điểm: 25

Chương 3 Đánh giá hiệu quả sử dụng các loại VPN 26

3.1 Đánh giá các loại VPN phân theo chức năng kết nối 26

3.1.1 VPN truy cập từ xa: 26

3.1.2 Intranet VPN: 28

3.1.3 Extraner VPN: 30

3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi 32

3.2.1 VPN phụ thuộc 32

3.2.2 VPN độc lập 33

3.2.3 VPN hỗn hợp 33

3.3 Đánh giá các loại VPN dựa trên độ an toàn 35

3.3.1 VPN router tới router 35

3.3.2 VPN tường lửa tới tường lửa 37

3.3.3 VPN được khởi tạo bởi khách hàng : 39

3.3.4 VPN trực tiếp 40

3.4 Đánh giá VPN dựa theo lớp 41

3.4.1 VPN lớp liên kết 41

3.4.2 VPN lớp mạng 43

3.5 Đánh giá các loại VPN dựa trên qui mô mạng 44

3.5.1 VPN có quy mô nhỏ 44

3.5.2 VPN có quy mô nhỏ tới trung bình 44

3.5.3 VPN có quy mô trung bình 45

3.5.4 VPN có quy mô trung bình đến lớn 46

3.6 Đánh giá hiệu quả của VPN - MPLS 47

3.6.1 Tổng quan về VPN - MPLS 47

3.6.2 Nhược điểm của VPN truyền thống 48

3.6.3 Ưu điểm của MPLS VPN 51

3.6.4 Đánh giá hiệu quả của VPN MPLS 53

3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số nhà cung cấp dịch vụ tại Việt Nam 55

3.7.1 Leased lines 55

3.7.2 Frame Relay 56

3.7.3 VPN 56

3.7.4 Dịch vụ MegaWAN 58

3.7.5 Đánh giá chung 61

KẾT LUẬN 62

THUẬT NGỮ VIẾT TẮT 63

TÀI LIỆU THAM KHẢO 65

Mục lục hình: Hình 1-1 : Mô hình VPN 3

Hình 1-2 : Các thành phần cơ bản của VPN 4

Hình 1-3: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH 11

Hình 1-4 : Khuôn dạng gói tin Ipv6 trước và sau khi xử lí AH 12

Hình 1-5: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP 12

Hình 1-6: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP 13

Hình 1-7 : Kiến trúc của PPTP 14

Hình 1-8 : Đóng gói PPTP/GRE 14

Hình 1-9 : Cấu trúc gói dữ liệu trong đường hầm PPTP 15

Hình 1-10 : Đường hầm L2TP 17

Hình 1-11 : Quá trình tạo đường hầm L2TP 19

Hình 1-12 : Quá trình đóng gói dữ liệu trong đường hầm L2TP 20

Hình 1-13 : Quá trình mở gói dữ liệu trong đường hầm L2TP 21

Hình 3-1: Phương thức truy cập từ xa truyền thống 26

Hình 3-2: VPN truy nhập từ xa 27

Hình 3-3 : Mô hình Intranet sử dụng mạng trục WAN 28

Hình 3-4 : Mô hình Intranet xây dựng dựa trên VPN 29

Hình 3-5 : Mô hình mạng Extranet truyền thống 30

Hình 3-6 : Mô hình Extranet xây dựng dựa trên VPN 31

Hình 3-7 : Cấu trúc VPN phụ thuộc 32

Hình 3-8 : Cấu trúc VPN độc lập 33

Hình 3-9 : VPN hỗn hợp, có sự tham gia điều khiển của người dùng và nhà cung cấp dịch vụ 34

Hình 3-10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp 34

Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router 35

Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router 36

Hình 3-15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa 38

Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router 39

Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ 40

Hình 3-18 : Kiến trúc VPN trực tiếp 40

Hình 3-19: Kiến trúc MPLS VPN lớp liên kết 43

Hình 3-20 : Kiến trúc VPN ngang hàng 43

Hình 3-21 : Mô hình mạng MPLS VPN đơn giản 48

Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN 49

Hình 3-23 : Mạng hình sao 50

Hình 3-24 : mạng mắt lưới 50

Hình 3-25 : Mô hình mạng MPLS 52

LỜI MỞ ĐẦU

Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một tỉnh, một nước mà còn mở rộng ra toàn thế giới Một công ty có thể có chi nhánh, có các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin với nhau Để bảo đảm bí mật các thông tin được trao đổi thì theo cách truyền thống người ta dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tài nguyên khi dữ liêu trao đổi không nhiều và không thường xuyên Vì thế người ta đã nghiên cứu ra những công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thông tin như thế nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo

Ngày nay, giải pháp mạng riêng ảo được ứng dụng ngày càng nhiều với công nghệ luôn được cải tiến để an toàn hơn Vì thế, chúng em đã chọn đề tài “nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo” Nội dung đề tài gồm hai phần chính là nghiên cứu khái quát về mạng riêng ảo và hiệu quả ứng dụng của nó

Với khả năng và kiến thức còn hạn chế, đề tài không tránh khỏi thiếu sót, chúng

em mong nhận được sự góp ý sửa chữa của thầy cô và các bạn

Chúng em xin chân thành cảm ơn thầy Võ Trường Sơn cùng các thầy bộ môn Điện tử - Viễn Thông đã giúp đỡ chúng em hoàn thành đề tài này

Nhóm sinh viên thực hiện đề tài

Chương 1 Khái quát về VPN

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật Và sự phát triển đó không có dấu hiệu sẽ dừng lại Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào

hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau

Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet

Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức

Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan mạng trung gian công công không an toàn như Internet Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo - VPN Chính điều này là động lực cho sự phát triển mạnh mẽ của VPN như ngày nay

1.1 Sự phát triển của các loại VPN

VPN không phải là kĩ thuật mới Mô hình VPNs đã phát triển được khoảng trên

20 năm và trải qua một số thế hệ để trở thành như hiện nay

Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs) SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng

Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90 Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh Và giao thức X.25

và ISDN được xem là nguồn gốc của giao thức VPN Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn

Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based

VPN dựa trên cơ sở kĩ thuật ATM và FR Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching) Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn

và điểm đến được xác định Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN

Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology) Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP) Tuyến đường đi xác định bởi thông tin IP Vì

dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM

1.2 Khái niệm mạng riêng ảo

Mạng riêng ảo (VPN- Virtual Private Network) là mạng kết nối hai hay nhiều mạng riêng thông qua mạng công cộng (Internet) bằng cách sử dụng các đường hầm (tunneling) để đảm bảo sự riêng tư và toàn vẹn dữ liệu Thay vì dùng kết nối thực phức tạp, đắt tiền như các kênh thuê riêng (leased line), VPN tạo ra các liên kết ảo thông qua mạng công cộng để kết nối các mạng riêng với nhau mà vẫn đảm bảo các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí thấp

Hình 1-1 : Mô hình VPN

1.3 Các thành phần cơ bản của VPN

User

CSU/DSU

Bộ định tuyến Tường lửa

Máy chủ VPN

Máy chủ điều khiển truy nhập và chứng thực

Mạng Internet

Người dùng truy cập từ xa

Ø Chức năng của máy chủ:

- Phát hiện các yêu cầu kết nối vào mạng, thực hiện dàn xếp thứ tự kết nối khi

có nhiều yêu cầu kết nối đồng thời từ các máy khách

- Thực hiện quá trình điều khiển truy nhập và chứng thực người dùng để cho phép người dùng hợp pháp truy cập vào mạng và cấm truy cập đối với người dùng bất hợp pháp

- Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của đường hầm là máy khách, máy chủ có thể thực hiện việc khởi tạo đường hầm nếu sử dụng đường hầm bắt buộc

- Mật mã hoá dữ liệu truyền đi nhằm bảo mật thông tin khi truyền trên mạng công cộng

- Lựa chọn các thông số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người dùng

- Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách

- Máy chủ VPN có thể kiêm nhiệm luôn chức năng của một router hay một gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách) Còn khi mạng lớn, vì máy chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng của router hay gateway thì máy chủ sẽ chạy chậm hơn

1.3.2 Máy khách VPN

Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các máy tính nằm trong cùng một mạng cục bộ của một văn phòng công ty) hoặc thiết bị ở

xa (người dùng di động), nó khởi tạo kết nối đến máy chủ VPN, sau khi được xác nhận

và cấp phép máy chủ sẽ được phép truy nhập vào máy chủ, khi đó máy chủ và máy khách mới truyền thông với nhau Máy khách có thể là một máy hoạt động dựa trên phần mềm hoặc là một thiết bị phần cứng chuyên dụng

Đặc trưng của một VPN client:

- Những người làm việc ở xa văn phòng trung tâm của công ty có thể thông qua mạng công cộng để truy nhập vào mạng công ty, rất thuận tiện khi nhân viên làm việc tại nhà

- Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của công ty và trong mạng mở rộng

- Các nhà quản trị mạng có thể thông qua mạng công cộng để kết nối với những nút mạng ở xa nhằm quản lý, giám sát hoạt động, cấu hình dịch vụ và thiết bị, sữa chữa khắc phục sự cố cho các người dùng ở xa

1.3.3 Bộ định tuyến VPN

Bộ định tuyến (router) có vai trò tạo ra kết nối với các nút ở đầu xa Chức năng chính của bộ định tuyến là định đường đi cho gói dữ liệu qua mạng, vì trong mạng chuyển mạch gói để đi tới một nút có rất nhiều đường nên nhiệm vụ của bộ định tuyến

là tìm đường cho dữ liệu đến đích một cách nhanh nhất Chức năng chính của bộ định

chức năng bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ (QoS) trên đường truyền Do đó bộ định tuyến thông thường cũng có thể dùng làm bộ định tuyến VPN nhưng để tăng tính bảo mật cho hệ thống và đảm bảo chất lượng dịch vụ, khi xây dựng mạng riêng ảo nên sử dụng bộ định tuyến chuyên dụng dùng cho VPN

Hiện nay người ta có thể nâng cấp các router thông thường thành router VPN bằng cách thêm vào các chức năng của VPN, ban đầu khi sử dụng sẽ mất thêm một ít thời gian để cấu hình, cài đăt và kiểm ta lỗi Điều này giúp tận dụng được các router

cũ, từ đó góp phần giảm chi phí khi xây dựng VPN

Thông thường nếu không sử dụng tường lửa (firewall) thì bộ định tuyến là điểm cuối của đường hầm VPN Máy chủ VPN cũng có khả năng đảm nhiệm vai trò của router VPN Tuy nhiên trong những mạng nhỏ, người ta mới dùng máy chủ để định tuyến, còn những mạng lớn vì máy chủ phải thực hiện nhiều công việc, mạng phải đáp ứng số lượng lớn các yêu cầu nên cần phải sử dụng bộ định tuyến VPN riêng

Người ta có thể sử dụng bộ định tuyến kèm chức năng lọc gói Tuy nhiên, lọc gói không đủ để bảo mật đối với nhiều dạng tấn công có thể xảy ra trên mạng, đây là một trong những lý do để phát triển thêm nhiều loại tường lửa khác nhau Trong phạm

vi của VPN, bộ định tuyến hiện đang được ưa chuông nhất là các bộ định tuyến mã hóa (encryption router)

Ø Những yêu cầu đối với bộ định tuyến:

- Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với những kết nối mạng riêng biệt

- Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC, MD5, HMAC-SHA-1…

HMAC Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng

- Hạn chế việc truy cập đến các khóa

- Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗi khi có một kết nối mới

- Hỗ trợ cơ chế khử phát lại (anti-replay)

- Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với những việc lặp đi lặp lại những hoạt động không được phép

- Hỗ trợ cả hai chế độ transport và tunnel của IPSec

Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gói tại lớp mạng trong mô hình OSI, không dùng để xác thực người dùng Do đó, cần phải có

thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN có tính bảo mật

1.3.4 Bộ tập trung VPN

Bộ tập trung VPN (VPN concentrator) có chức năng giống như hub (máy chủ truy nhập) trong LAN truyền thống, nó dùng để thiết lập một VPN truy nhập từ xa có kích thước nhỏ

Nó giúp tăng dung lượng và công suất của hệ thống, đồng thời cũng cung cấp khả năng xác thực và bảo mật cao

1.3.5 Cổng nối VPN

Cổng nối IP (IP gateway) là thiết bị chuyển các giao thức không phải là giao thức IP sang giao thức IP và ngược lại Nhờ đó mạng cục bộ có khả năng kết nối với mạng Internet và thực hiện các giao dịch dưa tên nền IP VPN gateway có thể là thiết

bị phần cứng chuyên dụng hoặc là giải pháp dựa trên phần mềm Nếu là thiết bị phần cứng nó sẽ được đặt ở giữa mạng cục bộ với mạng bên ngoài, còn nếu là giải pháp phần mềm nó được cài trên máy chủ

Cổng nối VPN là các cổng nối bảo mật (Security gateway) được dặt giữa mạng riêng và mạng công cộng nhằm ngăn chặn sự xâm nhập bất hợp pháp từ ngoài vào mạng riêng Ngoài ra cổng nối VPN còn có khả năng thiết lập đường hầm VPN và mã hoá dữ liệu trước khi truyền đi qua mạng công cộng

1.3.6 Tường lửa

Tường lửa là một tấm chắn ngăn chặn sự xâm nhập bất hợp pháp từ bên ngoài vào mạng nội bộ Tường lửa có nhiều loại, mỗi loại có cơ chế hoạt động riêng

Ø Các loại tường lửa :

Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gói (Packet Filters), các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (Application Proxies), kiểm tra trạng thái

Ø Các bộ lọc gói:

Bộ lọc gói là loại tường lửa xuất hiện sớm nhất Nó lọc gói dựa trên địa chỉ nguồn và địa chỉ đích của tất cả các gói IP đến để đưa ra quyết định cấm hay cho phép chuyển các gói này qua tường lửa dựa trên những quyền mà người quản trị mạng đã thiết lập Ngoài ra nó còn lọc gói dựa trên loại giao thức (ví dụ UDP hoặc TCP), dựa trên cổng TCP hoặc UDP, dựa trên số hiệu phân mảnh

Tường lửa lọc gói có một số ưu điểm đó là: cơ chế đơn giản, xử lý gói rất nhanh, có thể tích hợp ngay trên phần mềm của bộ định tuyến và nó hoạt động mang tính trong suốt đối với các người dùng đầu cuối

Tuy nhiên, tường lửa lọc gói cũng có những nhược điểm là: quá trình cấu hình tường lửa rất phức tạp, gặp nhiều khó khăn, đặc biệt là khi cần nhiều quyền để điều khiển một lượng lớn cho nhiều ứng dụng và nhiều người dùng khác nhau Nhược điểm thứ hai của tường lửa lọc gói có thể coi là một thiếu sót đó là việc lọc gói hoạt động dựa trên những địa chỉ IP chứ không dựa trên quyền truy nhập của người dùng Thứ ba

là việc lọc gói chỉ cung cấp một số tính năng bảo mật đối với những hoạt động “tấn công chính giữa” và không có tính năng bảo mật đối với các địa chỉ IP giả mạo Ngoài

ra, việc lọc gói còn phụ thuộc vào một số cổng của gói IP và thường chỉ báo không chính xác về ứng dụng đang sử dụng, những giao thức như NFS (Network File System) sử dụng nhiều cổng khác nhau gây khó khăn trong việc tao quyền để điều khiển lưu lượng của chúng

Những bộ lọc gói có thể sử dụng như một thành phần trong VPN để giới hạn lưu lượng chuyển qua một kênh Tuy vây, việc lọc gói thường không yêu cầu phải sử dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết các bộ định tuyến có hỗ trợ TCP/IP

Ø Các Proxy kênh và Proxy ứng dụng

Những tường lửa này cho phép nhiều người dùng cùng sử dụng một proxy để liên lạc với hệ thống bảo mật, che giấu những dữ liệu có giá trị bảo mật và bảo mật máy chủ tránh sự tấn công của nhưng kẻ phá hoại

So với các bộ lọc gói thì các proxy kênh có tính bảo mật cao hơn Bởi vì, một proxy kênh sẽ được cài tự động giữa bộ định tuyến mạng với Internet và proxy này đóng vai trò là đại diện cho cả mạng khi có nhu cầu liên lạc ra mạng ngoài Do đó, các máy tính bên ngoài không thể lấy được thông tin địa chỉ cũng như số cổng bên trong mạng

Proxy có ưu điểm là có tính bảo mật cao hơn nhưng lại chạy chậm hơn so với các bộ lọc gói là do các proxy kênh phải tái tạo lại các tiêu đề IP cho mỗi gói để dảm bảo các gói tin đến đúng đích Một hạn chế nữa của tường lửa proxy là nó thường được thiết kế để sử dụng những proxy agent khác nhau, mà mỗi agent chỉ điều khiển một dạng chỉ định mào đầu như lưu lượng của FTP hay TCP

Chúng ta muốn chuyển nhiều dạng lưu lượng thông qua proxy thì máy chủ proxy phải nạp và chạy nhiều proxy agent một lúc

Các proxy ứng dụng thực hiện việc kiểm tra dữ liệu hiện thời trong một gói IP

mạo để lấy quyền truy cập trái phép Do chức năng của một proxy ứng dụng thuộc lớp ứng dụng trong mô hình OSI nên các proxy ứng dụng có thể dùng cho việc xác thực các khóa bảo mật khác, kể cả mật khẩu người dùng và những yêu cầu dịch vụ

Do các proxy ứng dụng dùng cho những ứng dụng chỉ định nên phải cài một proxy agent cho mỗi dịch vụ IP (như HTTP, FTP, SMTP…) và cần điều khiển việc truy cập đến chúng điều này dẫn đến hai điểm bất lợi của các proxy ứng dụng:

+ Luôn tồn tại một đọ trì hoãn giữa việc gia nhập của các dịch vụ IP mới với các agent sẵn có trên mạng

+ Proxy ứng dụng đòi hỏi phải xử lý nhiều trên các gói gây ra hậu quả là hiệu suất mạng sẽ bị giảm sút

Hơn nữa, nhiều loại Proxy ứng dụng yêu cầu phải hiệu chỉnh phần mềm client Một đặc điểm quan trọng của các proxy ứng dụng là dung lượng của nó dành cho các người dùng và các trình ứng dụng chỉ định Điều này làm tăng thêm tính bảo mật cho việc xác thực cho người dùng

Ø Kiểm tra trạng thái

Một tường lửa lý tưởng là một tường lửa cung cấp cơ chế bảo mật tốt nhất và hiêu suất cao nhất Người ta đã phát triển một kỹ thuật gọi là kiểm tra đa lớp trạng thái SMLI (Stateful Multi-Layer Inspection) để việc bảo mật có tính chặt chẽ hơn trong khi vẫn đảm bảo tính dễ sử dụng và chi phí thấp, và hiệu suất không bị giảm sút

SMLI cũng tương tự như một proxy ứng dụng Trong trường hợp xét đến tất cả lớp trong mô hình OSI, thay vì dùng một proxy để đọc và xử ký cho mỗi gói thông qua các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu lượng (traffic screen algorithm) để tối ưu việc phân tích dữ liệu có thông lượng cao Với SMLI, mỗi gói được xem xét và so sánh với các trạng thái đã biết của những gói thường gặp SMLI là nguyên tắc cơ sở cho những sản phẩm tường lửa thế hệ mới có thể thích ứng với nhiều loại giao thức và có chức năng được nâng cao hơn, dễ sử dụng hơn

Ưu điểm của SMLI ở chỗ: tường lửa sẽ đóng tất cả các cổng TCP, sau đó sẽ mở lại các cổng một cách linh động khí các kết nối có yêu cầu đến các cổng này (ví dụ HTTP sử dụng cổng mặc định là 80) Đặc điểm này cho phép việc quản lý các dịch vụ

sử dụng đến các số cổng lớn hơn 1023 như HTTP có thể yêu cầu phải thay đổi trong việc cấu hình cho các tường lửa Các tường lửa kiểm ra trạng thái cũng cung cấp những đặc điểm như ngẫu nhiên hóa số tuần tự các cổng TCP và thục hiện việc lọc gói UDP

Ø Tường lửa sử dụng trong VPN

Các tường lửa được đề cập như là một phần trong giải pháp bảo mật cho mạng công ty, nhưng chỉ với các tường lửa này thì không đủ để xây dựng nên VPN Đó là vì tường lửa không thể giám sát hay ngăn cản việc thay đổi dữ liệu (tính toàn vẹn dữ liệu)

có thể xảy ra khi một gói được truyển qua mạng Internet hay đóng vai trò là một tường lửa kèm theo chức năng mã hóa

Ø Những yêu cầu đối với tường lửa

VPN của chúng ta cho dù sử dụng giao thức nào thì cần phải xem xét xem tường lửa có tương thích với các phần còn lại trong cơ chế bảo mật, quản trị mạng, tránh trường hợp xảy ra xung đột hay trùng lặp

Nếu muốn cài đặt nhiều tường lửa tại nhiều vị trí, ta phải duy trì một chính sách bảo mật chặt chẽ hơn nếu như tường lửa được lựa chọn hỗ trợ việc quản trị đồng bộ cho nhiều vị trí Nếu một sản phẩm có kèm theo khả năng quản lý từ xa, ta phải đảm bảo tính bảo mật cho việc truy cập từ xa đến tường lửa

1.4 Các giao thức xây dựng IP-VPN

1.4.1 IP Security

Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng Đây là giao thức hoạt động ở lớp mạng, cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị

IPSec cho phép thiết lập một đường ngầm bảo mật giữa hai mạng riêng và nhận thực hai đầu của đường ngầm này Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật Đường ngầm đóng vai trò như một kênh truyền bảo mật và các gói dữ có thể truyền một cách an toàn thông qua đường hầm Các gói tin truyền trong đường ngầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai

và quản lý

Mặc dù IPSec cung cấp các đặc tính cần thiết cho việc bảo mật VPN thông qua mạng internet nhưng nó vẫn chưa phải là một giao thức hoàn thiện Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa

- Liên kết bảo mật SA (Security Association)

- Xác thực tiêu đề AH(Authentication Header)

- Bọc gói bảo mật tải ESP (Encapsulating Security Payload)

- Chế độ làm việc

a) Liên kết bảo mật SA (Security Association)

Để hai bên có thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phải cùng thống thuật toán mã hóa, phương thức trao đổi khóa, sau bao lâu thì cả hai bên sẽ cùng thay đổi khóa Tất cả những thỏa thuận trên đều do SA đảm trách Việc truyền thông giữa bên gửi và bên nhận đòi hỏi phải có ít nhất một SA và có thể đòi hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA cho nó

Hình 1-4 : Khuôn dạng gói tin Ipv6 trước và sau khi xử lí AH c) Bọc gói bảo mật tải ESP

Bọc gói dữ liệu tải được sử dụng để cung cấp tính an toàn cho các gói tin được truyền đi với các chức năng như mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu ESP đảm bảo tính bí mật của thông tin thông qua việc mật

mã gói tin IP Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu

Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của gói Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu nên nội dung của gói sẽ

bị thay đổi

Hình 1-5: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

Hình 1-6: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

d) Chế độ làm việc

Có hai chế độ làm việc trong IPSec:

+ Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói được

xử lý

+ Chế độ đường hầm (Tunnel mode): toàn bộ gói sẽ được ử lí cho mã hóa xác thực

1.4.2 Giao thức đường hầm điểm-điểm PPTP

Được phát triển bởi Microsoft, 3COM và Ascend Communications Nó được đề xuất để thay thế cho IPSec PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows

Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đường hầm bảo mật thông qua Internet đến site đích

PPTP sử dụng phiên bản giao thức GRE để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm

Hình 1-7 : Kiến trúc của PPTP PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và máy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dùng

- Tạo các gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm

Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm

PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào? Ethernet, Frame Relay hay kết nối PPP

PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền

đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

Hình 1-8 : Đóng gói PPTP/GRE

Ä Cấu trúc gói của PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Hình 1-9 : Cấu trúc gói dữ liệu trong đường hầm PPTP

Ø Đóng gói khung PPP:

Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE

Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường nhận dạng cuộc gọi 16 bit Trường nhận dạng cuộc goi Call ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP

Ø Đóng gói các gói GRE

Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server

Ø Đóng gói lớp liên kết dữ liệu

Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần kết thúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram được gửi qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP

Ä Ưu điểm và khuyết điểm của PPTP

Ø Ưu điểm của PPTP:

+ PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft( các sản phẩm được sử dụng rất rộng rãi)

+ PPTP có thể hỗ trợ các giao thức non-IP

+ PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh Các nền không hỗ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP

Ø Nhược điểm của PPTP:

+ PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec

+ PPTP phụ thuộc nền

+ PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh

+ Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như máy chủ truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa dụng các giải pháp định tuyến bằng đưòng quay số

+ Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với khóa mã phát sinh từ password của user Điều này càng nguy hiểm hơn khi password được gửi trong môi trường không an toàn để chứng thực Giao thức đưòng hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo mật

1.4.3 Giao thức đường hầm lớp 2 L2TP

Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown L2TP là sự phối hợp của L2F) và PPTP Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM

L2TP có thể được sử dụng làm giao thức đường hầm cho mạng VPN điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một đường hầm giữa máy khách và router, NAS và router, router và router

điểm-nối-Vì L2TP là sự kết hợp của L2F và PPTP do đó L2TP có các ưu điểm sau:

- L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP Do đó

nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập

- L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet

và các mạng công cộng khác

- L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển hay phần mềm hỗ trợ Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều không cần phải thực thi phần mềm chuyện dụng

- L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của riêng truy cập mạng từ xa thông qua mạng công cộng

Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ Do đó ISP không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của user từ xa Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó và

có các cơ chế bảo mật riêng Điều này làm cho quy trình thiết lập đường hầm của L2TP nhanh hơn so với các nghi thức đường hầm trước nó

Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích) của mạng Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ user từ

xa và gateway của ISP

Hình 1-10 : Đường hầm L2TP Khi khung PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng gói dưới dạng gói dữ liệu user: thông điệp UDP(Uer Datagram Protocol) L2TP sử dụng thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm Vì vậy gói dữ liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc

a) Các thành phần cơ bản của L2TP

Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cập mạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS)

Ø Máy chủ truy cập mạng - NAS

Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cung cấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thông qua đường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm NAS có nhiệm vụ định quyền người dùng từ xa và quyết định quay số yêu cầu kết nối mạng Cũng như máy chủ truy nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng được đặt tại ISP và hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP

Ø Bộ tập trung truy cập L2TP - LAC

Vai trò của LAC: thiết lập đường hầm thông qua mạng công cộng (PSTN, ISDN và Internet) tới LNS của máy chủ mạng đầu cuối LAC có thể coi là điểm kết thúc kết nối vật lý giữa máy khách và LNS của máy chủ mạng

LAC được đặt tại ISP Tuy nhiên user từ bên ngoài cũng có thể hoạt động như LAC trong trường hợp tạo đường hầm L2TP tự nguyện

Ø Máy chủ mạng L2TP - LNS

LNS được đặt trên mạng máy chủ Vì vậy nó được sử dụng để kết thúc kết nối L2TP khi LACs kết thúc đường hầm L2TP từ máy khách Khi LNS nhận được yêu cầu kết nối mạng ảo từ LAC, nó sẽ thiết lập đường hầm và chứng thực người dùng khởi tạo yêu cầu kết nối đó Nếu LNS chấp thuận yêu cầu kết nối thì nó sẽ tạo ra giao diện

ảo

b) Quá trình tạo kết nối L2TP

Khi người dùng từ xa cần thiết lập đường hầm L2TP thông qua Internet hoặc các mạng công cộng tương tự, thì quá trình kết nối sẽ diễn ra theo các bước sau:

Ø Người dùng từ xa gửi yêu cầu kết nối tới NAS của ISP gần nhất để khởi tạo

kết nối PPP tới đầu ISP

Ø NAS chấp nhận yêu cầu kết nối sau khi chứng thực user NAS sẽ sử dụng các phương pháp chứng thực của PPP như PAP, CHAP, SPAP, và EAP để thực hiện nhiệm vụ này

Ø Sau đó NAS kích hoạt LAC, LAC thu nhận thông tin với LNS của mạng đích

Ø Sau đó, LAC tạo đường hầm LAC-LNS trên mạng tương tác trung gian giữa hai đầu Đường hầm có thể là ATM, Frame Relay, hoặc IP/UDP

Ø Sau khi đường hầm đã được thiết lập thành công, LAC đưa Call ID (CID) tới kết nối và gửi thông điệp thông báo đến LNS Thông điệp thông báo chứa các thông tin để chứng thực user Thông điệp cũng mang các thông số tùy chọn của giao thức điều khiển L2TP(LCP) được người dùng và LAC thỏa thuận từ trước

Ø LNS sử dụng các thông tin nhận được trong thông điệp thông báo để chứng thực user Nếu user được chứng thực thành công và LNS chấp thuận yêu cầu tạo đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựa trên các tùy chọn LCP nhận được trong thông điệp thông báo

Ø Người dùng từ xa và LNS trao đổi dữ liệu thông qua đường hầm L2TP

Hình 1-11 : Quá trình tạo đường hầm L2TP c) Tạo đường hầm dữ liệu L2TP

Cũng giống gói dữ liệu trong đường hầm PPTP, gói dữ liệu L2TP cũng được đóng gói tại nhiều mức khác nhau:

Ø Đóng gói dữ liệu PPP Dữ liệu không được mã hóa trước khi đóng gói Ở mức này, chỉ cộng thêm header PPP vào gói dữ liệu gốc

Ø Đóng gói khung L2TP Sau khi dữ liệu gốc được đóng gói trong gói PPP, nó

sẽ được cộng thêm header L2TP

Ø Đóng gói khung UDP Sau đó gói L2TP đã được đóng gói sẽ được đóng gói thêm trong frame UDP Nói cách khác header UDP sẽ được thêm vào frame L2TP đã đóng gói Cổng nguồn và đích trong UDP header được thiết lập là 1701 để đặc tả cho L2TP

Ø Đóng gói bảo mật dữ liệu UDP Sau khi khung L2TP được đóng gói trong UDP, khung UDP được mã hóa và một IPSec ESP sẽ được thêm vào nó IPSec Header và trailer xác nhận IPSec cũng được nối thêm vào và để đóng gói dữ liệu

Ø Đóng gói IP Cộng thêm IP header vào gói dữ liệu IP header chứa địa chỉ của máy chủ (LNS) L2TP và người dùng từ xa

Ø Đóng gói lớp Data Link Header và trailer của lớp Data Link được thêm vào

tới nút đích Trong trường hợp nút đích là nút cục bộ thì header và trailer của lớp Data Link dựa trên kỹ thuật mạng cục bộ (ví dụ Ethernet) Trong trường hợp gói dữ liệu được gửi đến nút ở xa thì header và trailer của PPP sẽ được thêm vào gói dữ liệu đường hầm L2TP

Hình 1-12 : Quá trình đóng gói dữ liệu trong đường hầm L2TP

Ở phía thu quá trình xử lý dữ liệu sẽ diễn ra ngược lại

Hình 1-13 : Quá trình mở gói dữ liệu trong đường hầm L2TP d) Ưu điểm và khuyết điểm của L2TP

- L2TP cho phép tổ chức kiểm soát chứng thực users

- L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải do đó giao tác trên L2TP nhanh hơn giao tác trên L2F

- L2TP cho phép người dùng với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa thông qua mạng công cộng

- L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chứng thực gói của IPSec

Chương 2 Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo

2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN

Tiêu chí đầu tiên để đánh giá hiệu quả sử dụng VPN là bảo mật Do dữ liệu quan trọng của công ty được truyền qua một mạng công cộng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng

Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải cần phải có cơ chế mã hóa dữ liệu phù hợp, có đủ khả năng đảm bảo an toàn dữ liệu

Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh nghiệp là giải pháp được lựa chọn phải phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống virus hay các hệ thống bảo mật khác

Tiêu chí tiếp theo là sự thích nghi giữa các thiết bị từ nhiều nhà cung cấp Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (QoS) rất khó đạt được Do đó, khi xây dựng một mạng VPN cần phải lựa chọn các thiết bị của các hãng có khả năng thích nghi với nhau trước khi lắp đặt chúng vào mạng VPN Và theo các nhà chuyên môn khuyến cáo thì để đạt chất lượng tốt thì các thiết bị nên từ mua từ một nhà cung cấp Điều này đảm bảo sự thích nghi hoàn toàn giữa các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất

Và một vấn đề khác nữa là khả năng quản lý tập trung của một mạng VPN Điều này giúp cho người quản trị mạng dễ cấu hình, dễ quản lý và dễ khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng Một điều quan trọng là cần phải có một phần mềm quản lý luôn ghi lại các hoạt động hệ thống (logs), điều này

sẽ giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống

Tiêu chí tiếp theo là giải pháp VPN có dễ dàng bổ sung, cấu hình các thành phần khác hay không Nếu thành phần bổ sung có kích thước lớn thì hệ thống quản lý

có đủ khả năng ghi và theo dõi số lượng lớn các đường hầm bổ sung vào hệ thống hay không

Tính tiện dụng cũng là một tiêu chí không kém phần quan trọng Các phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp đối để người dùng có thể sử dụng một cách dễ dàng Thêm vào đó quá trình xác nhận

và giao diện phải dễ hiểu và dễ sử dụng

Và yêu cầu về khả năng nâng cấp các mạng VPN đang tồn tại luôn được đặt ra, việc thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại luôn

là một vấn đề đau đầu của nhiều nhà quản trị mạng

Vấn đề về việc quản lý băng thông luôn có một sự quan tâm đặc biệt để đảm bảo truyền dữ liệu sẵn sàng và ổn định với chất lượng dịch vụ (QoS) đảm bảo Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty

2.2 Ưu điểm và khuyết điểm của VPN

2.2.1 Ưu điểm:

- Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN Khi sử dụng công nghệ VPN ta có thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất

- Giảm chi phí vận hành quản lý: bằng cách giảm chi phí viễn thông khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể Ngoài ra các

tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPN được quản lý bởi ISP Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng

- Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối

dễ dàng với mạng intranet chính

- Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện Thêm vào đó, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền

Do đó VPN được đánh giá cao bảo mật trong truyền tin

- Hiệu suất băng thông: sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi

có yêu cầu truyền tải thông tin Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet Do đó hạn chế rất nhiều sự lãng phí băng thông

- Có thể nâng cấp dễ dàng: bởi vì VPN dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai

mà không cần đầu tư lại nhiều cho cơ sở hạ tầng

2.2.2 Khuyết điểm:

Phụ thuộc nhiều vào chất lượng mạng Internet Sự quá tải hay tắt nghẽn mạng

có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN

Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPN không phù hợp được với các thiết bị và giao thức này Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms” Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng

Chương 3 Đánh giá hiệu quả sử dụng các loại VPN

3.1 Đánh giá các loại VPN phân theo chức năng kết nối

3.1.1 VPN truy cập từ xa:

VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động

có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ đâu có mạng Internet

VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng

Trước khi đánh giá về hệ thống VPN truy nhập từ xa, chúng ta hay xem xét sơ lược về hệ thống truy nhập từ xa truyền thống Hệ thống này bao gồm các thành phần chính: Máy chủ truy nhập từ xa (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận

và chứng nhận các yêu cầu truy cập từ xa, máy chủ dữ liệu và trung tâm dữ liệu Khi người dùng muốn truy cập từ xa thì họ sẽ quay số kết nối đến trung tâm Với cách làm này thì độ bảo mật không cao, tốc độ chậm và nếu người dùng ở rất xa trung tâm thì họ buộc phải trả cước phí gọi đường dài

Hình 3-1: Phương thức truy cập từ xa truyền thống Bằng việc triển khai VPN truy nhập từ xa, những người dùng từ xa hoặc các chi

ISP’s POP và kết nối đến tài nguyên thông qua Internet, điều này sẽ giảm cước phí gọi đường dài một các đáng kể

Để thiết lập một kết nối VPN truy nhập từ xa, người dùng từ xa và các văn phòng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP

và kết nối với mạng trung tâm thông qua Internet

Hình 3-2: VPN truy nhập từ xa

v Ưu khuyết điểm của VPN truy cập từ xa so với truy cập từ xa truyền thống:

- Không có thành phần RAS và các thành phần modem liên quan

- Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP

- Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương Do đó chi phí vận hành giảm rất nhiều

- Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa

-VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất

Bên cạnh những ưu điểm của VPN thì vẫn tồn tại một số khuyết điểm còn tồn tại của Remote Access truyền thống:

- VPN truy nhập từ xa không đảm bảo chất lượng của dịch vụ QoS

- Khả năng mất dữ liệu là rất cao Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự

- Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá nhiều Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn Thêm vào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng không tốt

- Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” VPN truy nhập từ xa có thể gây chậm đường truyền

3.1.2 Intranet VPN:

Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm Trong hệ thống intranet không sử dụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router Mô hình được mô tả như Hình 3-3

Hình 3-3 : Mô hình Intranet sử dụng mạng trục WAN

Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của

Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet

sẽ giảm xuống Giải pháp VPN được mô tả như Hình 3-4

Văn phòng chi nhánh

Văn phòng

chi nhánh

Văn phòng Trung tâm

Văn phòng chi nhánh

Internet

Đư ờng hầm

VPN Gateway

VPN Gateway

VPN Gateway

Hình 3-4 : Mô hình Intranet xây dựng dựa trên VPN

v Ưu điểm:

- Giảm chi phí cho router được sử dụng ở WAN backbone

- Giảm số nhân sự hỗ trợ ở các nơi, các trạm

- Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối to-peer mới

peer Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh như FR

- Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn

Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet

v Khuyết điểm:

- Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên một mạng công cộng -Internet- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ (denial-of-service)

- Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao

- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm

hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet

- Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo

Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở Hình 3-5

Hình 3-5 : Mô hình mạng Extranet truyền thống Như ta thấy mô hình mạng Extranet truyền thống có rất nhiều đoạn kết nối với nhau, do đó chi phí xây dựng mạng rất tốn kém, ngoài ra việc vận hành và quản lý mạng rất phức tạp và tốn kém, đòi hỏi nhà quản trị phải có trình độ cao Mặt khác việc

mở rộng mạng rất khó khăn vì khi thêm hay bớt một nút mạng đòi hỏi phải cài đặt lại