Nghiên cứu và triển khai mạng riêng ảo

Nghiên cứu và triển khai mạng riêng ảo

NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG

ẢO VPN

Sinh viên thực hiện:

BÁO CÁO NGHIÊN CỨU KHOA HỌC

M ng riêng o VPN ạng riêng ảo VPN ảo VPN

Đường hầm và mã hóa

Các giao thức kết nối VPN Các dạng kết nối VPN

1 Khái ni m VPN ệm VPN

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

1.1 u đi m c a VPN Ưu điểm của VPN ểm của VPN ủa VPN

Hiệu suất băng thông

1.2 Nh ược điểm của VPN c đi m c a VPN ểm của VPN ủa VPN

• Phụ thuộc nhiều vào chất lượng mạng Internet : sự quá tải hay nghẽn mạng

có thể làm ảnh hưởng xấu chất lượng truyền tin của các máy trong mạng

• Thiếu các giao thức kế thừa hỗ trợ

VPN cung cấp 4 chức năng chính:

• Sự tin cậy và bảo mật (confidentiality): Người gửi có thể mã hoá các gói

dữ liệu trước khi truyền chúng ngang qua mạng Bằng cách này, không

một ai có thể truy nhập thông tin mà không được phép, mà nếu như có lấy được thông tin thì cũng không thể đọc được vì thông tin đã được mã hoá.

• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ

liệu được truyền qua mạng Internet mà không có sự thay đổi nào.

• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực

nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.

• Điều khiển truy nhập (Access Control): VPN có thể phân biệt giữa những

người dùng hợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sự chứng thực

1.3 Ch c năng c a VPN ức năng của VPN ủa VPN

M ng riêng o VPN và ng d ng h t ng Public Key ạng riêng ảo VPN ảo VPN ức năng của VPN ụng hạ tầng Public Key ạng riêng ảo VPN ầng Public Key

Công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra một đường hầm (tunnel), mã hoá và chứng thực dữ liệu giữa hai đầu kết nối Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin.

2 VPN và các v n đ an toàn b o m t ấn đề an toàn bảo mật ề an toàn bảo mật ảo VPN ật

Sự an toàn của hệ thống mạng phụ thuộc vào tất cả những thành phần của nó Có ba kiểu khác nhau của sự an toàn: An toàn phần cứng, An toàn thông tin và An toàn quản trị.

An toàn phần cứng: Sự an toàn về mặt vật lý, bảo vệ phần cứng của hệ thống khỏi

những mối đe doạ vật lý bên ngoài.

An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người

làm tổn hại đến một hệ thống mạng Những mối đe doạ này có thể xuất phát cả từ bên ngoài lẫn bên trong của một tổ chức, doanh nghiệp.

An toàn thông tin: An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và

những dịch vụ có khả năng chống lại những tai hoạ, các lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất.

 Hệ thống có một trong các đặc điểm sau là không an toàn:

 Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ).

 Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin

bị xáo trộn hoặc mất mát).

2.1 Các ki u an toàn ểm của VPN

M ng riêng o VPN và ng d ng h t ng Public Key ạng riêng ảo VPN ảo VPN ức năng của VPN ụng hạ tầng Public Key ạng riêng ảo VPN ầng Public Key

VPN

1 2

3

Khái quát về VPN VPN và các vấn đề an toàn bảo mật trên internet

Đường hầm và mã hóa

3.1 Đ ường hầm và phân loại đường hầm ng h m và phân lo i đ ầng Public Key ạng riêng ảo VPN ường hầm và phân loại đường hầm ng h m ầng Public Key

Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel)

Việc phân loại Tunnel dựa trên nguồn gốc bắt đầu các kết nối Và qua đó, có 2 loại chính, đó là Compulsory và Voluntary Tunnel:

•Compulsory Tunneling thường được khởi tạo bởi Network Access Server mà

không yêu cầu thông tin từ phía người sử dụng Bên cạnh đó, các client VPN không được phép truy xuất thông tin trên server VPN, kể từ khi chúng không phải chịu

trách nhiệm chính trong việc kiểm soát các kết nối mới được khởi tạo

•Voluntary Tunneling thì khác, được khởi tạo, giám sát và quản lý bởi người

dùng Không giống như Compulsory Tunneling – thường được quản lý bởi các nhà

cung cấp dịch vụ, mô hình này yêu cầu người dùng trực tiếp khởi tạo kết nối với đơn

vị ISP bằng cách chạy ứng dụng client VPN

3.2 Các giao th c yêu c u c a kỹ thu t Tunneling ức năng của VPN ầng Public Key ủa VPN ật

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,

IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được

truyền đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet

Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet

Mã hóa là quá trình biến đổi nội dung thông tin nguyên bản ở dạng đọc

được (clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép

3.3 Mã hóa và gi i mã ảo VPN

M ng riêng o VPN và ng d ng h t ng Public Key ạng riêng ảo VPN ảo VPN ức năng của VPN ụng hạ tầng Public Key ạng riêng ảo VPN ầng Public Key

VPN

1 2

3

4

Khái quát về VPN VPN và các vấn đề an toàn bảo mật trên internet

Đường hầm và mã hóa

Các dạng kết nối VPN

• VPN truy cập từ xa (Remote acccess VPN)

• VPN điểm nối điểm (Site – to – site VPN)

4 Các d ng k t n i VPN ạng riêng ảo VPN ết nối VPN ối VPN

Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để truy cập vào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất là một server) Vì vậy, giải pháp này thường được gọi là client/server Trong giải pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel về mạng trung tâm của họ.

4.1 VPN truy c p t xa (Remote access VPN) ật ừ xa (Remote access VPN)

u và nh c đi m c a Remote Access VPN

Ưu điểm của VPN ược điểm của VPN ểm của VPN ủa VPN

• Ưu điểm Remote Access VPN:

VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết nối từ

xa do các nhà cung cấp dịch vụ Internet đảm nhiệm

Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPN truy nhập

từ xa chính là các kết nối Internet

VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu

• Nhược điểm của Remote Access VPN:

Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ (QoS)

Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể

bị thất thoát

Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trình xác nhận

4.2 Site-to-Site VPN (LAN-to-LAN)

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel

4.2.1 Intranet VPN

Intranet VPN được sữ dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corperate Intranet (backbone router) sử dụng campus router (Hình a) Theo mô hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet (Hình b)

4.2.1 Intranet VPN (TT)

• Những ưu điểm chính của giải pháp này bao gồm:

 Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay nhiều nhà cung cấp dịch vụ Internet.

 Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở xa.

 Do kết nối trung gian được thực hiện thông qua Internet nên nó có thể dễ dàng thiết lập thêm một liên kết ngang hàng mới.

 Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao.

• Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định như:

 Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).

 Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao.

 Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầu tốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môi trường

Internet.

4.2.2 Extranet VPN (VPN m r ng) (TT) ở rộng) ộng)

• Một số ưu điểm của Extranet:

• Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa

chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức

• Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng

giảm chi phí bảo trì khi thuê nhân viên bảo trì

• Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.

• Những điểm bất lợi của Extranet:

• Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.

• Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.

• Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn

ra chậm chạp

• Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.

M ng riêng o VPN và ng d ng h t ng Public Key ạng riêng ảo VPN ảo VPN ức năng của VPN ụng hạ tầng Public Key ạng riêng ảo VPN ầng Public Key

VPN

1 2

3 4

5

Khái quát về VPN VPN và các vấn đề an toàn bảo mật trên internet

Đường hầm và mã hóa

Các giao thức kết nối VPN

Các dạng kết nối VPN

5.Các giao th c k t n i VPN ức năng của VPN ết nối VPN ối VPN

Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều giao thức đường hầm khác nhau, việc sử dụng giao thức nào liên quan đến các phương pháp xác thực và mã hóa đi kèm Như đã giới thiệu ở trên, các giao thức đường hầm phổ biến hiện nay là:

 PPTP - Point-to-Point Tunneling Protocol

 L2TP - Layer 2 Tunneling Protocol

 SSTP – Secure Socket Tunneling Protocol

5.1 Giao th c PPTP (Point-to-Point Tunneling Protocol) ức năng của VPN

PPTP (Point-to-Point Tunneling Protocol) VPN là công nghệ VPN đơn giản nhất,

sử dụng kết nối Internet được cung cấp bởi ISP để tạo tunnel bảo mật giữa client và

server hoặc client và client PPTP là ứng dụng dựa trên hệ thống VPN, có thể các bạn

cũng biết rằng Windows đã tích hợp sẵn chức năng PPTP bên trong, và tất cả những

gì cần thiết để kết nối tới hệ thống VPN chỉ là 1 phần mềm hỗ trợ VPN client Mặc dù

PPTP không có một số cơ chế bảo mật để đảm bảo luồng thông tin, dữ liệu (Point to Point Protocol đảm nhận việc này với PPTP), thì Windows, về mặt cơ bản đã tiến hành xác nhận và mã hóa với PPTP để mã hóa các package trước đó

Data link Trailer TCP

Data link

Header

PPTP Control Message

IP

S đ đóng gói d li u PPTP ơ đồ đóng gói dữ liệu PPTP ồ đóng gói dữ liệu PPTP ữ liệu PPTP ệm VPN

5.2 Giao th c L2TP - Layer 2 Tunneling Protocol ức năng của VPN

Là chuẩn giao thức do IETF (IETF-The Internet Engineering Task Force) đề xuất, L2TP tích hợp cả hai điểm mạnh là truy nhập từ xa của L2F(Layer 2 Forwarding của Cisco System) và tính kết nối nhanh Point - to Point của Microsoft (Point to Point Tunnling Protocol của Microsoft) Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm cho các frame và sử

5.3 Giao th c SSTP – Secure Socket Tunneling Protocol ức năng của VPN

SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong Windows Vista và Windows Server 2008 SSTP sử dụng các kết nối HTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway SSTP là một giao thức rất an toàn vì các thông tin quan trọng của người dùng không được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN

gateway SSTP cũng được biết đến với tư cách là PPP ( Point-to-point Protocol)

trên SSL, chính vì thế nó cũng có nghĩa là bạn có thể sử dụng các cơ chế chứng thực PPP và EAP để bảo đảm cho các kết nối SSTP được an toàn hơn

K t Lu n ết Luận ận

• VPN đang trên đà phát triển ở việt nam nói riêng và thế giới nói chung kéo

theo đó rất nhiều giải pháp để tạo một kết nối VPN được đưa ra cả về phần cứng và phần mềm từ các nhà sản xuất Hi vọng trong tương lai các nhà sản xuất sẽ ngày càng đưa ra nhiều giải pháp để tạo ra các mạng riêng ảo với chi phí thấp đơn giản cho việc vận hành vào bảo trì khi đó một người không

chuyên về IT cũng hoàn toàn có thể tạo ra một mạng riêng ảo để phục vụ nhu cầu kết nối cá nhân

TÀI LI U THAM KH O ỆU THAM KHẢO ẢO

CNBCVT 11/2000

© 2003 Cisco Systems, Inc

Winterthur.

XIN CHÂN THÀNH C M N S CHÚ Ý ẢO ƠN SỰ CHÚ Ý Ự CHÚ Ý