1. Trang chủ
  2. » Giáo án - Bài giảng

mạng riêng ảo

39 159 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 39
Dung lượng 1,66 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Thay vì dùng kết nối thật khá phức tạp như đườngdây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạngriêng của một tổ chức với địa điểm hoặc người sử dụng ở xa..

Trang 2

http://truongnguyentrai.net/diendan/showthread.php?1013-Hý?ng-d?n-thi?t-l?p-MẠNG RIÊNG ẢO

I TỔNG QUAN

1 Khái niệm mạng riêng ảo

VPN (Virtual Private Networks) hay gọi theo tiếng Việt là Mạng riêng ảo, làmột mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kếtnối các địa điểm hoặc người sử dụng từ xa với một mạng LAN (Local AreaNetwork) ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đườngdây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạngriêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

Trang 3

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ

sở (Văn phòng chính), các mạng LAN khác tại những vănphòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặcngười sử dụng (Nhân viên di động) truy cập đến từ bên ngoài

2 Chức năng

Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin vớingười mình mong muốn chứ không phải là một người khác

Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo

trộn nào trong quá trình truyền dẫn

Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền

qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làmnhư vậy, không một ai có thể truy nhập thông tin mà không được phép.Thậm chí nếu có lấy được thì cũng không đọc được

Trang 4

3 Mục đích.

• Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấptrong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuấtkinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trongvăn phòng

• Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòngcần trao đổi dữ liệu với nhau Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻthông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một

hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêngtrên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả

• Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảođảm tính riêng tư, không cho phép những bộ phận khác truy cập Hệ thốngIntranet VPN có thể đáp ứng tình huống này

• Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa

• Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nềntảng Internet, Voice chat, …

• Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinhdoanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng(Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họtrong văn phòng khi cần thiết Ngoài ra, đối với các dữ liệu mật, nhạy cảm nhưbáo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặtchẽ để nâng cao độ an toàn của dữ liệu

4 Ưu điểm và nhược điểm của VPN

4.1 Ưu điểm

Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty Nó không chỉgiúp đơn giản hoá việc trao đổi thông tin giữa các nhân viên làm việc ở xa, ngườidùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triểnkhai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn cho phép giảmchi phí rất nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.Những lợi ích trực tiếp và gián tiếp mà VPN mang lại bao gồm: tiết kiệm chi phí,tính linh hoạt, khả năng

mở rộng, v.v

a) Tiết kiệm chi phí

Trang 5

Việc sử dụng VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thườngxuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉphải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đườngtrục và duy trì hoạt động của hệ thống Nhiều số liệu cho thấy, giá thành cho việckết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêngtruyền thống, còn đối với việc truy nhập từ xa giảm từ 60 tới 80%.

b) Tính linh hoạt

Tính linh hoạt ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà

nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử dụngnhiều kiểu kết nối khác nhau để kết nối các văn phòng nhỏ hay các đối tượng diđộng Nhà cung cấp dịch vụ VPN có thể cho phép nhiều sự lựa chọn kết nối chokhách hàng: modem 56 kbit/s, ISDN 128 kbit/s, xDSL, E1, …

c) Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơinào có mạng công cộng (như Internet) đều có thể triển khai VPN Ngày nay mạngInternet có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng Mộtvăn phòng ở xa có thể kết nối một cách khá đơn giản đến mạng của công ty bằngcách sử dụng đường dây điện thoại hay đường dây thuê bao số DSL

Khả năng mở rộng còn thể hiện ở chỗ, khi một văn phòng hay chi nhánh yêu cầubăng thông lớn hơn thì nó có thể được nâng cấp dễ dàng Ngoài ra, cũng có thể dễdàng gỡ bỏ VPN khi không có nhu cầu

d) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của ISP vàviệc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗ trợ

kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảmnhiệm việc hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người

sử dụng ngày càng giảm

e) Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp truy nhập cho các doanh nghiệp qua đườngInternet, VPN yêu cầu về thiết bị ít hơn và đơn giản hơn nhiều so với việc bảo trìcác modem riêng biệt, các card tương thích cho thiết bị đầu cuối và các máy chủtruy nhập từ xa Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho mộtmôi trường, chẳng hạn như T1 hay E1, phần còn lại của kết nối được thực hiện bởiISP

f) Đáp ứng các nhu cầu thương mại

Đối với các thiết bị và công nghệ viễn thông mới thì những vấn đề cần quan tâm làchuẩn hoá, các khả năng quản trị, mở rộng và tích hợp mạng, tính kế thừa, độ tincậy và hiệu suốt hoạt động, đặc biệt là khả năng thương mại của sản phẩm

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảokhả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm củanhiều nhà cung cấp khác nhau có thể làm việc với nhau

Trang 6

4.2 Nhược điểm và cách khắc phục

a) Sự rủi ro an ninh

Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng kênh thuêriêng Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ninh khó lường trước Mặc dùhầu hết các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo antoàn, sự an toàn đó không bao giờ là tuyệt đối Cũng có thể làm cho mạng riêng ảokhó phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp, songđiều này lại ảnh hưởng đến giá thành của dịch vụ

b) Độ tin cậy thực thi

VPN sử dng phương pháp mã hoá để bảo mật dữ liệu, và các hàm mật mã phức tạp

có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng Nhiệm vụ của ngườiquản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời

để biết máy chủ nào có thể điều khiển Tuy nhiên, khi số người cố gắng kết nối tớiVPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viênquản trị này cũng không thể kết nối được vì tất cả các cổng của VPN đều bận Điều

đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng dụng làm việc màkhông đòi hỏiVPN Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ InternetMessage Access Protocol để cho phép nhân viên truy nhập e-mail từ nhà hay trênđường

c) Vấn đề lựa chọn giao thức

Việc lựa chọn giữa IPSec( IP Security Protocol - Giao thức an ninh Internet) haySSL/TLS(Secure Socket Layer/Transport Level Security) là một vấn đề khó quyếtđịnh, cũng như viễn cảnh sử dụng chúng như thế nào cũng khó có thể nói trước.Một điều cần cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựatrên bảng biên dịch địa chỉ NAT (Network Address Translation), còn IPSec thìkhông Nhưng nếu cả hai giao thức làm việc qua tường lửa thì sẽ không dịch đượcđịa chỉ

IPSec mã hoá tất cả các lưu lượng IP truyền tải giữa hai máy tính, còn SSL/TLS thìđặc tả một ứng dụng SSL/TLS dùng các hàm mã hoá không đối xứng để thiết lậpkết nối và nó bảo vệ hiệu quả hơn so với dùng các hàm mã hoá đối xứng

Trong các ứng dụng trên thực tế, người quản trị có thể quyết định kết hợp và ghépcác giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn củamạng Ví dụ, các client có thể kết nối tới một Web server thông qua tường lửadùng đường dẫn an toàn của SSL/TLS, Web server có thể kết nối tới một dịch vụứng dụng dùng IPSec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệuthông qua các tường lửa khác cùng dùng SSL

5 Lợi ích của công nghệ VPN

• Mở rộng vùng địa lý có thể kết nối được

Trang 7

• Tăng cường bảo mật cho hệ thống mạng

• Giảm chi phí vận hành so với mạng WAN truyền thống

• Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa

• Tăng cường năng suất

• Giảm đơn giản hoá cấu trúc mạng

• Cung cấp thêm một phương thức mạng toàn cầu

• Cung cấp khả năng hỗ trợ thông tin từ xa

• Cung cấp khả năng tương thích cho mạng băng thông rộng

• Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống

6 Các loại mạng riêng ảo

a) VPN truy cập từ xa( Remote Access VPN) còn được gọi là mạng Dial-up

riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là nhu cầucủa một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từrất nhiều địa điểm ở xa Các VPN truy nhập từ xa cung cấp khả năng truynhập từ xa cho người sử dụng Tại mọi thời điểm, các nhân viên hay vănphòng di động có thể sử dụng các phần mềm VPN để truy cập vào mạng củacông ty thông qua gateway hoặc bộ tập trung VPN Giải pháp này vì thế cònđược gọi là giải pháp client/server VPN truy nhập từ xa diển hình nhất bởi

vì chúng có thể thiết lập vào bất kể thời điểm nào va bất cứ nơi nào có mạngInternet

Ưu điểm của VPN truy nhập từ xa so với các phương pháp truy nhập truyền thống:

Trang 8

- Không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa đượccác ISP(Internet Service Provider – Nhà cung cấp dịch vụ Internet) thực hiện.

- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nốikhoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Do kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ caohơn so với cách truy nhập ở khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vìchúng hỗ trợ mức thấp nhất cảu dịch vụ kết nối

Mặc dù vậy chúng vẫn có những nhược điểm :

- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc

bị mất

- Do thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể

b) VPN điểm-nối-điểm( Site to Site VPN hay LAN to LAN) là việc sử dụng mật

mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông quamột mạng công cộng như Internet Loại này có thể dựa trên Intranet hoặcExtranet VPN điểm tới điểm là giải pháp kết nối các hệ thống mạng ởnhững nơi khác nhau với mạng trung tâm thông qua VPN

Có 2 loại VPN điểm tới điểm: VPN cục bộ và VPN mở rộng

VPN cục bộ: là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được

sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công

ty Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầngchung sử dụng các kết nối luôn được mã hoá bảo mật Nó cho phép tất cảcác địa điểm có thể truy nhập an toàn các nguồ dữ liệu được phép trong toàn

bộ mạng của công ty

Trang 9

Mô hình VPN cục bộ

VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng,tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưngvẫn đảm bảo tính mềm dẻo Những ưư điểm của giải pháp VPN cục bộ baogồm:

- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một haynhiều nhà cung cấp dịch vụ

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có thể dễdàng thiết lập thêm mọt liên kết ngang hàng mới

- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kếthợp với các công nghệ chuyển mạch tốc độ cao

Tuy nhiên giải pháp này cũng có nhưng nhược điểm:

- Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫncòn những mối đe doạ về mức dộ bảo mật dữ liệu và chất lượng dịch vụ

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn là vẫn còn khá cao

- Trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêucầu tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trườngInternet

Trang 10

VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường

hầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ

sở hạ tầng mạng công cộng Kiểu VPN này sử dụng các kết nối luôn đượcbảo mật và nó không bị cô lập với thế giới bên ngoài nhưc các trường hợpVPN cục bộ hay truy nhập từ xa

Mô hình VPN mở rộng

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồntài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khácnhau VNP cục bộ và VPN mở rộng là sự truy nhập mạng đựợc công nhận là mộttrong hai đầu cuối của VNP

Những ưu điểm chính của mạng VNP mở rộng bao gồm:

- Chi phí cho VNP mở rộng thấp hơn nhiều so với các giải pháp kết nối khác

để cùng đạt được một mục đích như vậy

- Dễ dàng thiết lập,bảo trì và thay đổi với mạng đang hoạt động;

- Do VNP mở rộng được xây dựng dựa trên mạng Intẻnet nên có nhiều cơ hộitrong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầucủa từng công ty;

- Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thểgiảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm đượcchi phí vận hành toàn mạng

Bên cạnh những ưu điểm trên,giải pháp VNP mở rộng cũng còn những nhượcđiểm đi cùng như:

Trang 11

- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng nhưvậy và điều này làm tăng nguy cơ rủi rođới với mạng cục bộ của công ty;

- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại;

- Việc truyền khới lượng lớn dữ lượng với yêu cầu tốc độ cao và thời gianvẫncòn là một thách thức lớn cần giải quyết

II ỨNG DỤNG CỦA VPN

Cả VPN truy nhập từ xa và VPN điểm tới điểm cần cung cấp giải pháp để xâydựng mạng riêng ảo cho doanh nghiệp Các công ty có thể mở rộng mạng ra nhữngnơi mà trước đây không thể mở rộng Trong nhiều ứng dụng,VPN cho phép tiếtkiệm chi phí một cách đáng kể thay vì cần nhiều kết nối đến cùng trụ sở chính, giảipháp VPN tích hợp lưu lượng vào một kết nối duy nhất, tạo ra cơ hội để giảm chiphí cả bên trong và bên ngoài doanh nghiệp

Mạng Internet hiện nay là một hạ tầng tốt, cho phép doanh nghiệp thay đổi mạngcủa họ theo nhiều chiều hướng Đối với các công ty lớn có thể dễ dàng nhận thấyrằng kết nới WAN qua kênh thuê riêng là rất tồn kém và đang dần được thay thếbởi kết nồi VPN Đối với dịch vụ truy nhập từ xa, thay vì các đường kết nối tốc đọchậm hoặc các dịch vụ kênh thuê riêng đắt tiền, người sử dụng bây giờ có thể đượccung cấp các dịch vụ truy nhập tốc đọ cao với giá thành rẻ Ngoài ra những ngườidùng cơ động cũng có thể tận dụng được các kết nối tốc đọ cao Ethernet trong cáckhách sạn, sân bay hay nơi công cộng để phục vụ cho công việc của mình một cáchhiệu quả Chỉ riêng yếu tố cắt giảm chi phí cuộc gọi đường dài trong trường hợpnày cũng đã là một lý do rất thuyết phục để sử dụng VPN

Một trong những lợi ích khác của VPN là giúp các công ty có thể triển khai nhiềuứng dụng mới trên nề thương mại điện tử (e-Commerce) một cách nhanh chóng.Tuy nhiên trong trường hợp này một vài yếu tố cũng cần fải được xem xét mộtcách cẩn thận Các trở ngại chính của Internet là bảo mật,chất lượng dịch vụ,độ tincậy và khả năng quản lý

III BẢO MẬT TRONG VPN

1 Tường lửa

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có

thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giaothức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700 củaCisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ

Trang 12

điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốttrước khi thiết lập VPN.

2 Mã truy nhập

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính

khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật

mã chung

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bímật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêucầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mãlên đó, để máy tính của người nhận có thể giải mã được

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng

Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạncấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mãmột message, máy tính phải dùng mã chung được máy tính nguồn cung cấp,đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại này được dùngrất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứthứ gì

3 Giao thức bảo mật giao thức Internet

Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh

cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăngnhập toàn diện hơn

IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước.Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này.Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửatrên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể mãhóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall vớirouter, PC với router, PC với máy chủ

4 Máy chủ AAA

AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng

để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới

từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về

Trang 13

những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích

an toàn

IV SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN

1 Phần mềm máy trạm cho mỗi người dùng xa

2 Các thiết bị phần cứng riêng biệt: bộ tập trung VPN (VPN Concentrator), tườnglửa bảo mật ( Secure PIX Firewall)

3 Các máy chủ VPN sử dụng cho dịch vụ quay số

4 Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùngVPN ở xa truy nhập

5 Trung tâm quản lý mạng và chính sách VPN

Bộ xử lý trung tâm VPN

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm củaCisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mã hóa và thẩmđịnh quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kếchuyên biệt cho loại mạng này Chúng chứa các module xử lý mã hóa SEP, chophép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải.Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏđến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc)

Bộ xử lý trung tâm VPN số hiệu 3000 củahãng Cisco

Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệ điều hànhInternet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi

Trang 14

trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanhnghiệp quy mô lớn.

Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chếdịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN

và chặn truy cập bất hợp pháp

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay

sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP

V KỸ THUẬT TUNNELING TRONG MẠNG VPN

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạngriêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vàotrong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệthống mạng trung gian theo những "đường ống" riêng (tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đếncác máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máykhách và máy chủ phải sử dụng chung một giao thức (tunnel protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi góitin đi vào và đi ra trong mạng

 Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng cóthông tin đang đi qua

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc đượctruyền đi (như IPX, NetBeui, IP)

1 Đối với VPN truy cập từ xa

Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP(Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải

Trang 15

cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập

từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộcvào PPP

Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùngtrong mạng VPN truy cập từ xa

L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế thẩm

định quyền truy cập nào được PPP hỗ trợ

PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát

triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩmđịnh quyền truy cập nào được PPP hỗ trợ

L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành

viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cả PPTP và L2F,L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thứcTunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Trên thực tế,L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router

và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn

2 Đối với VPN điểm tới điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (PassengerProtocol) để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồmthông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máychủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôikhi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loạimạng VPN truy cập từ xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở

cả hai giao diện Tunnel

Trang 16

Trong mô hình này, gói tin được chuyển từ một máy tính ở vănphòng chính qua máy chủ truy cập, tới router (tại đây giao thức mãhóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa

VI CÁC CÁCH BẢO VỆ MẠNG RIÊNG ẢO CLIENT

1 Sử dụng phương thức thẩm định quyền truy cập VPN mạnh nhất

Chính xác là phương thức nào thì còn phụ thuộc vào từng cơ sở hạ tầng mạng.Bạn nên kiểm tra tài liệu hướng dẫn trong VPN hay hệ điều hành để xác địnhphương thức phù hợp nhất

Nếu như mạng sử dụng server Microsoft thì phương thức thẩm định an toànnhất là Extensible Authentication Protocol (Giao thức thẩm định mở rộng) vàTransport Level Security (Bảo mật mức truyền vận), còn gọi là EAP-TLS.Chúng được sử dụng với các thẻ thông minh (smart card) Phương thức này đòihỏi phải có một cơ sở hạ tầng khóa phổ biến (PKI), có thể mã hoá và phân phốitoàn bộ thẻ thông minh một cách an toàn Các giao thức Microsoft ChallengeHandshake Authentication Protocol Version 2 (MS-CHAP v2) và ExtensibleAuthentication Protocol (EAP) là sự lựa chọn tốt nhất cho các phương thứcthẩm định bảo mật tiếp theo

Các bạn không nên lựa chọn giao thức Password Authentication Protocol (PAP)

- giao thức thẩm định mật khẩu, giao thức Shiva Password Authentication

Trang 17

Protocol (SPAP) - giao thức thẩm định mật khẩu Shiva và giao thức thẩm địnhHandshake Challenge (CHAP), chúng quá yếu, không đảm bảo an toàn chomạng của bạn

2 Sử dụng phương thức mã hoá quyền truy cập VPN mạnh nhất

Với mạng sử dụng server Microsoft, bạn nên dùng phương thức Layer TwoTunneling Protocol (L2TP) thực hiện với Internet Protocol security (IPsec -bảomật giao thức Internet) Giao thức Point-to-Point Tunneling (PPTP) quá yếu,trừ phi mật khẩu client của bạn bảo đảm đủ mạnh (xem mẹo 6) OpenVPN, mộtmạng riêng ảo tầng sockert đơn (Single Socket Layer - SSL) có thể chạy với bộthẩm định phiên cơ sở TLS, chương trình mã hoá Blowfish hay AES-256 và bộthẩm định SHA1 của dữ liệu đường hầm

3 Giới hạn quyền truy cập VPN với lý do thương mại hợp lý và chỉ khi cần thiết.

Kết nối mạng VPN là cánh cửa cho mạng LAN, chỉ nên mở khi cần thiết Bạnnên giới hạn các nhân viên từ xa kết nối VPN cả ngày để check e-mail (xemmẹo 5) Với cả các nhà đấu thầu cũng nên ngăn việc kết nối tới VPN đểdownload các file cần thiết thông thường (xem mẹo 4)

4 Cung cấp quyền truy cập các file được chọn qua mạng Intranet hay Extranet thay vì VPN.

Một website bảo mật HTTP Secure (HTTPS) với bộ thẩm định mật khẩu antoàn chỉ đưa các file được chọn lên một server đơn chứ không phải lên toàn bộmạng, và có độ co giãn tốt hơn VPN

5 Cho phép truy cập e-mail mà không cần truy cập vào VPN

Trên server Microsoft Exchange, bạn nên cài proxy server Exchange để chophép Outlook truy cập Exchange qua giao thức gọi thủ tục từ xa (RPC) ởHTTP Thành phần này được bảo vệ bằng giao thức mã hoá SSL

Với các dịch vụ e-mail khác, bạn có thể sử dụng giao thức Post Office Protocol(POP3) cùng giao thức nhận mail Internet Message Access Protocol (IMAP)hoặc giao thức gửi mail Simple Mail Transfer Protocol (SMTP) Bạn cũng nên

sử dụng bộ thẩm định an toàn mật khẩu (SPA) và chương trình mã hoá SSL đểchứng minh tính bảo mật cho các hệ thống mail này Secure Web mail là một

Trang 18

lựa chọn khác cho các nhân viên từ xa, nhất là khi họ đang đi du lịch hay sửdụng máy tính của người khác

6 Thực thi và ép buộc nhân viên thực hiện chính sách mật khẩu an toàn

Nếu vắng mặt chương trình thẩm định hai yếu tố (thẻ thông minh vàbiometrics), mạng của bạn sẽ chỉ an toàn tương ứng với mức mật khẩu yếunhất

Bạn không nên giữ quá lâu một mật khẩu mà nên thường xuyên thay đổi chúng,

ít nhất 3 tháng 1 lần Đừng sử dụng một từ tìm thấy trong từ điển hay một sốliên quan đến điện thoại, mã số bảo mật xã hội, tên người thân trong gia đình,tên con vật nuôi để làm mật khẩu

Mật khẩu nên thật khó hiểu, khó đoán ngay cả với các thành viên trong giađình Nó cũng không nên ngắn quá

Tạo được yếu tố an toàn trong mật khẩu là một bước rất quan trọng

7 Cung cấp chương trình diệt virus, chống spam, tường lửa cá nhân cho người dùng từ xa và yêu cầu họ sử dụng chúng

Mỗi máy tính kết nối đầy đủ với VPN (xem mẹo 8) đều có thể phát tán chươngtrình độc hại qua mạng, tiềm ẩn nhiều nguy cơ ngắt giao dịch thương mại củacông ty Vì vậy bạn nên cung cấp các chương trình antivirus, antispam, firewall

cá nhân cho nhân viên và yêu cầu họ phải sử dụng chúng

8 Cách ly người dùng để kiểm chứng mức an toàn trong máy tính của họ trước khi cho phép kết nối vào mạng VPN

Khi một máy tính khách hàng bắt đầu phiên làm việc VPN, nó sẽ không đượcquyền truy cập đầy đủ vào mạng tới khi nào được kiểm tra xong độ an toàn.Phần kiểm tra có thể là xác định dấu vết antivirus, antispam hiện tại; kiểm trabản vá lỗi hệ điều hành đầy đủ, sửa chữa các lỗi bảo mật nghiêm trọng; phầnmềm điều khiển từ xa không hoạt động; các keylogger hay Trojan

Mặt hạn chế ở phương thức này là người dùng sẽ bị trễ mất vài phút khi muốnlàm một số việc nào đó Bạn có thể khắc phục bằng cách ghi nhớ lịch quét trongmáy tính và giảm tần số quét xuống một vài ngày so với lần quét trước

Trang 19

9 Cấm sử dụng mạng riêng ảo hay phần mềm điều khiển từ xa khác khi đang kết nối tới mạng của bạn

Điều cuối cùng cần cho mạng của bạn là phân biệt nó với các mạng khác Hầuhết phần mềm VPN thiết lập phần định hướng cho khách hàng sử dụng cổngvào mặc định, sau khi kết nối mặc định Nhưng thường điều đó là tuỳ ý, khôngbắt buộc

Khi tất cả lưu lượng của trình duyệt Internet liên quan đến công việc đểu đượcđịnh tuyến qua mạng, tốc độ truyền tải trở nên chậm chạp đến mức thật khóchịu đựng Thường khi đó các nhân viên từ xa chỉ muốn tắt tuỳ chọn này.Nhưng như thế cũng có nghĩa là thủ tiêu luôn chương trình bảo vệ trước cácwebsite độc hại mà đã thiết lập ở proxy hay gateway

Một tường lửa cá nhân và một client proxy firewall cho phép các nhân viên cóchế độ truy cập mạng từ xa an toàn mà không làm giảm tốc độ kết nối Internetcủa họ Bạn cũng có thể thiết lập một chính sách rõ ràng về cách dùng Internetkhi kết nối với VPN như thế nào cho an toàn

VII CÀI ĐẶT VPN

Sử dụng 2 máy ảo cài Windows Server 2003: một máy đặt tên là may1 có vai trò là

máy server, may2 là máy khách

1 Các bước cài đặt cho máy server:

1.1 Cài đặt Domain Controller bằng dịch vụ Active Directory

1.2 Cài đặt dịch vụ DHCP

1.3 Cài VPN Server 2 Cài đặt VPN Server

Ngày đăng: 26/04/2015, 04:00

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 4: Configure Your Server Wizard – Preliminary Steps Trong Hình 4, click Next để tiếp tục. - mạng riêng ảo
Hình 4 Configure Your Server Wizard – Preliminary Steps Trong Hình 4, click Next để tiếp tục (Trang 22)
Hình 3: Manage Server - mạng riêng ảo
Hình 3 Manage Server (Trang 22)
Hình 6: Configure Your Server Wizard – Summary of Selections - mạng riêng ảo
Hình 6 Configure Your Server Wizard – Summary of Selections (Trang 23)
Hình 8: Routing and Remote Access Server Setup Wizard – Step 2 - mạng riêng ảo
Hình 8 Routing and Remote Access Server Setup Wizard – Step 2 (Trang 24)
Hình 10: Routing and Remote Access Server Setup Wizard – Step 4 - mạng riêng ảo
Hình 10 Routing and Remote Access Server Setup Wizard – Step 4 (Trang 25)
Hình 14: Routing and Remote Access - mạng riêng ảo
Hình 14 Routing and Remote Access (Trang 27)
Hình 15 là Properties của FREE4VN-HOME. Cần chú ý đến 3 tab là General, Security và IP. - mạng riêng ảo
Hình 15 là Properties của FREE4VN-HOME. Cần chú ý đến 3 tab là General, Security và IP (Trang 28)
Hình 16: FREE4VN-HOME Properties – Tab Security - mạng riêng ảo
Hình 16 FREE4VN-HOME Properties – Tab Security (Trang 28)
Hình 22: Connections to Microsoft Routing and Remote Access Server Properties - mạng riêng ảo
Hình 22 Connections to Microsoft Routing and Remote Access Server Properties (Trang 31)
Hình 28: New Connection Wizard – Step 4(VPN Client) - mạng riêng ảo
Hình 28 New Connection Wizard – Step 4(VPN Client) (Trang 36)
Hình 30: New Connection Wizard – Finish (VPN Client) - mạng riêng ảo
Hình 30 New Connection Wizard – Finish (VPN Client) (Trang 37)
Hình 31: Connect yahoo.com.vn(VPN Client) - mạng riêng ảo
Hình 31 Connect yahoo.com.vn(VPN Client) (Trang 37)
Hình 32: yahoo.com.vn Properties – tab Options (VPN Client) - mạng riêng ảo
Hình 32 yahoo.com.vn Properties – tab Options (VPN Client) (Trang 38)
Hình 33: free4vn.org Properties – tab Networking (VPN Client) - mạng riêng ảo
Hình 33 free4vn.org Properties – tab Networking (VPN Client) (Trang 38)
Hình 34: Internet Protocol (TCP/IP)Properties (VPN Client) - mạng riêng ảo
Hình 34 Internet Protocol (TCP/IP)Properties (VPN Client) (Trang 39)

TRÍCH ĐOẠN

Remote Access Policies

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w