Tổng quan về IpSec VPN

- IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp một khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng. Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đ

MỤC LỤC TRANG

1 Mục Lục Trang 1

2 Tổng quan 2

3 Chương 1 ipsec 1 IPSec là gì 2

2 Vai trò của IPSec 4

3 Những tính năng của IPSec 4

4 Cấu trúc bảo mật 5

5 Làm việc như thế nào 6

6 Giao thức sử dụng 7

7 Các chế độ 13

8 IKE 15

9 Chính sách bảo mật IPSec 21

10.Mối quan hệ giữa chứng chỉ và IPSec 21

4 Chương 2 VPN 1 Giới thiệu và các dạng của VPN 22

2 Các yêu cầu của Mạng riêng ảo 33

3 Bảo mật trong VPN 39

4 Khái niệm về kỉ thuật đường hầm 55

5 Cấu hình 60

5 Tài liệu tham khảo 62

Tổng quan

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật Và sự phát triển đó không có dấu hiệu sẽ dừng lại Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau

Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet

Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các dữ liệu qua mạng bằng việc sử dụng IPSec

Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu qua mạng trung gian công công không an toàn như Internet Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo VPNs kết hợp với giao thức bảo mật IPSEC Chính điều này

là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay

-Thuật ngữ Internet Protocol Security (IPSec) Nó có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF) Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI, như hình vẽ:

người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động.

2 Vai trò của IPSec

+ Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu

+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng

+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảo mật

+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh dấu dữ liệu.+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào

3 Những Tính Năng của IPSec (IPSec Security Protocol)

-Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity) IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ

-Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng

kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén

- Quản lý khóa (Key management) IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu

- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và

confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP)

- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp

nhận bởi nó là một dịch vụ quản lý khóa mạnh Giao thức này là IKE.

- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độ Transport và chế

độ Tunnel được mô tả ở hình 6-7 Cả AH và ESP có thể làm việc với một trong hai chế độ này

4 Cấu trúc bảo mật

-IPsec được triển khai sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, phương thức xác thực và thiết lập các thông số mã hoá

-Xây dựng IPSec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP

-Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các

cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liệu Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.

5.IPSec làm việc như thế nào:

1 IPSec Định nghĩa ra loại lưu lượng cần được bảo vệ và định nghĩa ra các loại tùy chọn IPSec

-Các chính sách này sẽ được cấu hình trên các chính sách bảo mật cục bộ hoặc thông qua các chính sách nhóm trên ID

2 -Quá trình thỏa thuận sự liên kết bảo mật trong modul khóa trao đổi với internet: IKE sẽ thỏa thuận với liên kết bảo mật

-Môdul khóa internet là sự kết hợp của 2 giao thức: Giao thức kết hợp bảo mật internet

và giao thức quản lí khóa IPSec sử dụng 2 giao thức này để thỏa thuận một cách tích cực

về các yêu cầu bảo mật cho cả 2 phía giữa các máy tính với nhau Các máy tính này không đòi hỏi phải có chính sách giống hệt nhau mà chúng chỉ cần các chính sách cấu hình các tùy chọn thỏa thuận để cấu hình ra một yêu cầu chung

3 Quá trình mã hóa gói IP:

Sau khi liên kết bảo mật được thiết lập, IPSec sẽ giám sát tất cả các lượng IP, so sánh lưu lượng với các điều kiện đã được định nghĩa trên bộ lọc

4 Mã hóa hoặc kí trên các lưu lượng đó:

6.Giao Thức sử dụng trong IPSec

- IPSec Bảo mật kết nối mạng bằng viêc sử dụng 2 giao thức và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6:

-IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác

sliding windows và discarding older packets AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP dưới đây là mô hình của AH header

Độ lớn của gói tin AH

Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực

AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin bao gồm

cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong các gói tin

AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể được đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi AH sẽ sử dụng thuật toán Key

AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói dữ liệu

Do giao thức AH không có chức năng mã hóa dữ liệu nên AH ít được dùng trong IPSec vì nó không đảm bảo tính an ninh.

6.2 Encapsulating Security Payload (ESP)

-Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication ESP sử dụng IP protocol number là 50 (ESP được đóng gói bởi giao thức IP và trường Protocol trong IP là 50)

Bao gồm dữ liệu để xác thực cho gói tin.

Các thuật toán mã hóa bao gồm DES , 3DES , AES

Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1

ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó

ESP trong trạng thái vận chuyển sẽ không đánh toàn bộ gói tin mà chỉ đóng gói phần thân IP ESP có thể sử dụng độc lập hay kết hợp với AH

Dưới đây là một mô hình của quá trình thực thi ESP trên user data để bảo vệ giữa 2 IPSec peers

Bảng so sánh giữa 2 giao thức ESP và AH:

7.Các chế độ IPSec

- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ Được mô tải ở hình dưới đó

là chế độ Transport và chế độ Tunnel Cả AH và ESP có thể làm việc với một trong hai chế độ này:

7.1 Transport Mode

-Transport mode bảo vệ giao thức tầng trên và các ứng dụng Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới

AH Transport mode

ESP Transport mode.

-Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn Tuy nhiên,

nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã hóa phần đầu IP

7.2 Tunnel Mode

-Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộ gói

dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP

-Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và phần header nguyên bản, như hình bên dưới

ESP Tunnel mode

8.Internet Key Exchange ( IKE )

-Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắt của Internet Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai

Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc

-IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch hoàn thành

Thuận lợi chính của IKE include bao gồm:

+ IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo mật nào

·+Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít

Như vậy nếu không có giao thức này thì người quản trị phải cấu hình thủ công Và những chính sách an ninh trên những thiết bị này được gọi là SA (Security Associate)

Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có

Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với đối tác nhất

Những key được trao đổi trong quá trình IKE cũng được mã hóa và những key này sẽ thay đổi theo thời gian (generate key) để tránh tình trạng bruteforce của Attacker

8.1.1 Giai đoạn I của IKE

-Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa

-Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được phát sinh Theo sau là những thông tin được dùng để phát sinh khóa bí mật :

+Giá trị Diffie-Hellman

+SPI của ISAKMP SA ở dạng cookies

+ Số ngẫu nhiên known as nonces (used for signing purposes)

-Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng cần trao đổi IDs Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng

8.1.2 Giai đoạn II của IKE

- Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết bằng việc thiết lập SAs cho IPSec Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA

- Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút Sự thay đổi thường xuyên các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu

- Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làm việc đơn của giai đoạn I Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hỗ trợ bởi một trường hợp đơn ở giai đoạn I Điều này làm quá trình giao dịch chậm chạp của IKE

tỏ ra tương đối nhanh hơn

- Oakley là một trong số các giao thức của IKE Oakley is one of the protocols on which IKE is based Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE

8.2 IKE Modes

4 chế độ IKE phổ biến thường được triển khai :

+Chế độ chính (Main mode)

+ Chế độ linh hoạt (Aggressive mode)

+Chế độ nhanh (Quick mode)

+Chế độ nhóm mới (New Group mode)

8.2.1 Main Mode

- Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trình giao dịch Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:

+ 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi

·+2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces Những khóa sau này thực hiện một vai trò quan trọng trong cơ chế mã hóa

- Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận

-Aggressive mode về bản chất giống Main mode Chỉ khác nhau thay vì main mode có 6 thông điệp thì chế độ này chỉ có 3 thông điệp được trao đổi Do đó, Aggressive mode nhanh hơn mai mode Các thông điệp đó bao gồm :

+ Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính, và trao đổi nonces cho việc ký và xác minh tiếp theo

+Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa

+ Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc)

Cả Main mode và Aggressive mode đều thuộc giai đoạn I

8.2.3 Quick Mode

- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II Nó dùng để thỏa thuận SA cho các dịch vụ bảo mật IPSec Ngoài ra, Quick mode cũng có thể phát sinh khóa chính mới Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo Mặt khác, khóa mới được phát sinh bằng các giá trị băm

8.2.4 New Group Mode

- New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện trao đổi Diffie-Hellman key được dễ dàng Hình 6-18 mô tả New Group mode Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II

Informational mode được dùng để thông báo cho các bên khác biết.

9 Chính Sách bảo mật IPSec (IPSec Security Policy)

- Mỗi chính sách bao gồm một vài nguyên tắc hay một danh sách các bộ lọc Ta chỉ có thể gán một chính sách tới một máy tính

9.1 Một nguyên tắc bao gồm các thành phần sau (Rules are composed of:):

+Bộ lọc filter (A filter)

+ A Filter action

+ An Authentication Method (Phương pháp xác thực): Mỗi nguyên tắc có thể chỉ

ra nhiều phương pháp xác thực khác nhau

9.2 Chính sách mặc định của IPSec (Default policies):

+Client (Respond Only)

+ Server (Request Security)

+Secure server (Require Security)

10.Mối Quan Hệ Giữa chứng chỉ và IPSec

- Chứng chỉ X.509 còn được gọi là một chứng chỉ số, là một dạng giấy hình dạng điện

tử được trao đổi rộng dãi trong việc xác thực và trao đổi thông tin trên các mạng mở như internet, Extranet (Mạng liên nghành), Intranet (Mạng cục bộ)

- Các chứng chỉ được sử dụng như là một phương pháp xác thực của IPSec Lợi ích của việc sử dụng chứng chỉ với IPSec là:

+ Như là một phương pháp xác thực giữa 2 host sử dụng IPSec cho phép chúng ta có thể kết nối tin cậy đến một doanh nghiệp này với các tổ chức khác với cùng một CA.+ Sử dụng chứng chỉ cho phép dịch vụ Routing Remote Access có thể truyền Dữ liệu qua mạng bảo mật giống như mạng Internet với 1 Router có hỗ trợ IPSec

+ Sử dụng chứng chỉ khi sử dụng mô hình VPN Client và Mô hình VPN Site – to - site Sử dụng giao thức đường hầm L2TP/IPSec

- Để sử dụng chứng chỉ trong quá trình xác thực IPSec thì cả 2 máy tính đều phải cung cấp một chứng chỉ hợp lệ dùng cho mục đích truyền thông của IPSec.Khi một máy tính

cấu hình chứng chỉ thì ta phải sử dung chính sách IPSec dể hỗ trợ chứng chỉ sử dụng như

Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là

sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng

Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels") Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point

Kĩ thuật đường hầm là lõi cơ bản của VPNs Bên cạnh đó do vấn đề bảo mật của mốt

số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau:

 Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key) Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải

mã Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa:

 Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này

có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó

 Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng

để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải

mã dữ liệu nhận được này Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó

Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES)

 Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ Một dạng đơn giản của

nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption)

 Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công.

2 Sự phát triển của VPNs

VPNs không thực sự là kĩ thuật mới Trái với suy nghĩ của nhiều người, mô hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiện nay

Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến

với tên Software Defined Networks (SDNs) SDNs là mạng WANs, các kết nối dựa trên cơ

sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia

sẻ công cộng

Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services

Digital Network (ISDN) trong đầu những năm 90 Hai kĩ thuật này cho phép truyền dữ

liệu gói qua mạng công cộng phổ biến với tốc độ nhanh Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn

Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame

Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM) Thế hệ thứ 3 của VPN dựa

trên cơ sở kĩ thuật ATM và FR này Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching) Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN

Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn Thế hệ VPNs hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology) Kĩ thuật này

dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP

Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling

a IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng Không giống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System Interconnect) Do đó nó có thể thực thi độc lập với ứng dụng mạng

b Point-to-Point Tunneling Protocol (PPTP) Được phát triển bởi Microsoft, 3COM và Ascend Communications Nó được đề xuất để thay thế cho IPSec PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hảnh Windows

c Layer 2 Tunneling Protocol (L2TP) Được phát triển bởi hệ thống Cisco nhằm thay

thế IPSec Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông

tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown L2TP là sự phối hợp của L2F) và

PPTP Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi

trên các mạng X.25, FR, và ATM

Trong 3 phương thức trên thì phương thức IPSec vẫn được sử dụng phổ biến nhất

4 Ưu điểm và khuyết điểm của VPNs

a Ưu điểm:

 Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải pháp

truyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền

tải như ISP, hay ISP's Point of Presence (POP).

 Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa,

VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng

 Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối

nội bộ giữa các phần xa nhau của intranet Do Internet có thể được truy cập toàn cầu, do

đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính

 Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng

công cộng cho nên tính bảo mật cũng được cải thiện Thêm vào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền Do đó VPNs được đánh giá cao bảo mật trong truyền tin

 Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào

được kích hoạt Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet Do đó hạn chế rất nhiều sự lãng phí băng thông

 Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho phép

các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu Điều này làm mạng

intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng

b Khuyết điểm:

 Phụ thuộc nhiều vào chất lượng mạng Internet Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs

 Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩ thuật

IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms” Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng

5 Đánh giá VPNs:

Đánh giá các mạng sử dụng giải pháp VPN, người ta thường sử dụng các tiêu chí sau:

 Bảo mật: Do truyền nhạy cảm và quan trọng của công ty được truyền qua mạng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải Có cơ chế mã hóa dữ liệu đủ khả năng mã hóa

dữ liệu an toàn

Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh nghiệp của bạn là giải pháp chọn lựa phải phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống vius hay các hệ thống bảo mật khác Một điểm nữa cần chú ý là toàn thể giải pháp cần được quản lý bởi chỉ một ứng dụng

 Sự thích nghi giữa (interoperablility) các thiết bị từ nhiều nhà cung cấp: Nếu không

có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (Quality

of Service - QoS) rất khó đạt được Do đó thiết bị cần được kiểm tra thích nghi trước khi

lắp đặt chúng vào mạng VPN Các nhà chuyên môn khuyến cáo để đạt chất lượng tốt truyền tin thì các thiết bị nên từ 1 nhà cung cấp Điều này đảm bảo sự thích nghi các thiết

bi và đảm bảo chất lượng dịch vụ tốt nhất

 Quản lý VPN tập trung: Điều này giúp dễ dàng cấu hình, quản lý và khắc phục sự

cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng Một điều quan trọng là phần mềm quản lý luôn ghi lai các hoạt động hệ thống (logs), điều này giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống

 Performance: Mã hóa, mặt rất quan trọng của của VPNs, được thực hiện chủ yếu nhờ CPU Do đó, điều cần thiết là lựa chọn thiết bị sao cho nó không chỉ đơn thuần là thích nghi với nhau mà nó còn có thể thi hành nhiệm vụ như mã hóa dữ liệu nhanh chóng

và hiệu quả Nếu không thì chất lương thấp một bộ phận có thể làm giảm chất lượng của toàn bộ hệ thống VPN

 Quản lý băng thông: Để đảm bảo truyền tin, luôn sẵn sàng và đảm bảo QoS thì việc quản lý băng thông hiệu quả là điều vô cùng quan trọng Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và

có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty

 Chọn nhà cung cấp dịch vụ internet (ISP): ISP được chọn phải đáng tin cậy và có khả năng cung cấp và hỗ trợ cho người sử dụng VPN và quản trị mạng bất cứ khi nào Điều này thực sự quan trọng nếu ISP của bạn cho phép bạn quản lý dịch vụ Bạn cũng phải chắc chắn rằng hướng phát triển tươn lai của ISP sẽ cho ra các dịch vụ mà bạn tìm kiếm và quan trọng hơn là nó có thể cung cấp các dịch vụ phi vật thể về phân vùng địa lý(services immaterial to geographic location.)

 Bảo vệ mạng khỏi các dữ liệu không mong muốn: Bằng cách kết nối trực tiếp Internet, VPNs có thể bị cản trở bởi các dữ liệu không mong muốn là cản trở truyền tin của mạng Trong truơng hợp khẩn cấp, dữ liệu này có thể làm tràn ngập mạng intranet dẫn đến sự ngưng kết nối và dịch vụ Do dó, tunnel VPN cần được cung cấp một cơ chế lọc các thành phần non-VPN Cơ chế này có thể bao gồm dịch vụ hạn chế băng thông hay chính sách (These mechanisms might include bandwidth reservation services or a policy

of not assigning global IP addresses to the nodes located within the network, thus blocking the unauthorized access to these nodes from the public network.)

I.1 Các dạng của VPNs:

Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:

+ Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời gian nào

+ Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

+ Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan

Dựa trên tiêu chí đó có thể phân loại VPNs thành 3 nhóm chính:

Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống Hệ thống bao gồm các thành phần chính:

 Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủy quyền

của yêu cầu truy cập từ xa

 Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà khoảng

 Ưu khuyết điểm của Remote Access VPNs so với Remote Access truyền thống:

 Không có thành phần RAS và các thành phần modem liên quan

 Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP

 Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương

Do đó chi phí vận hành giảm rất nhiều

 Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa

 VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao Khi

số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất

Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểm còn tồn tại của Remote Access truyền thống:

 Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS

 Khả năng mất dữ liệu là rất cao Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự

 Do tính phức tạp của thuật toán mã hóa, giao thức từ mã sẽ tăng lên khá nhiều Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn Thêm vào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt

 Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền

2/ Intranet VPNs:

Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm Trong hệ thống intranet không sử dụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router Mô hình được mô tả như hình 1-4:

Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống Giải pháp VPNs được mô tả như hình 1-5: