Nếu hệ thống mạng theo mô hình Private với mức chi phí khá cao và đường truyền riêng biệt để thực hiện kết nối tới các node thì công nghệ VPN đã giúpngười sử dụng cắt giảm rất nhiều lượn
Trang 1MÔN HỌC THỰC TẬP MẠNG MÁY TÍNH
ĐỀ TÀI TÌM HIỂU VIRTUAL PRIVATE NETWORK
Trang 3MỤC LỤC
Phần 2: NỘI DUNG ĐỀ TÀI 3
I VPN là gì? 3
II Chức năng 5
III Phân loại VPN 5
1 VPN truy nhập từ xa (Remote Access VPN) 5
2 VPN điểm tới điểm (Site-to-Site VPN) 7
a VPN cục bộ 8
b VPN mở rộng 9
IV Các thành phần của VPN 10
1 VPN Tunneling 10
2 Protocol 11
a PPTP (Point-to-Point Tunneling Protocol) 12
b L2TP (Layer 2 Tunneling Protocol) 13
c IPSec (Internet Protocol Security) 14
d SSL/TLS (Secure Sockets Layer/Transport Layer Security) 15
3 Mã hóa 16
4 Firewall 17
5 OpenVPN 18
6 Một số thành phần khác 20
a Máy chủ AAA 20
b Bộ xử lý trung tâm VPN 20
c Router dùng cho VPN 20
d Tường lửa PIX của Cisco 21
V Ưu, nhược điểm của VPN 21
VI Ứng dụng của VPN 22
VII Tài liệu tham khảo 23
Phần 2: NỘI DUNG ĐỀ TÀI
Trang 4Nếu hệ thống mạng theo mô hình Private với mức chi phí khá cao và đường truyền riêng biệt để thực hiện kết nối tới các node thì công nghệ VPN đã giúp
người sử dụng cắt giảm rất nhiều lượng chi phí ban đầu cũng như phát sinh so với
hệ thống Public và Private Network, đồng thời cho phép doanh nghiệp, tổ chức
sử dụng giao tiếp WAN để kết nối tới hệ thống public và private tương ứng.
Lý do tại sao lại gọi là hệ thống ảo – Virtual bởi vì mô hình này không yêu cầu thiết bị vật lý để bảo mật dữ liệu truyền tải Công nghệ VPN sử dụng nhiều
chế độ mã hóa thông tin khác nhau nhằm chống lại việc xâm nhập trái phép từphía hacker, các chương trình có chứa mã độc hoặc những phương pháp tấn công
hệ thống phổ biến, cụ thể VPN sử dụng kỹ thuật tunneling để đảm bảo mức độ an
ninh của dữ liệu, dễ dàng tương thích với nhiều hệ thống kỹ thuật khác
Hiện nay, VPN đang dần trở nên phổ biến hơn vì người dùng thường làmviệc ở nhiều nơi khác nhau chứ không hoàn toàn cố định như trước
Cơ chế hoạt động của VPN:
Hình 1 Mô hình VPN (Nguồn ảnh: )
Trang 5 Cách thức làm việc của VPN cũng khá đơn giản, không khác biệtnhiều so với các mô hình server – client thông thường
Server sẽ chịu trách nhiệm chính trong việc lưu trữ và chia sẻ dữ liệusau khi mã hóa, giám sát và cung cấp hệ thống gateway để giao tiếp
và xác nhận các tài khoản client trong khâu kết nối
Client VPN, cũng tương tự như client của hệ thống LAN, sẽ tiến hànhgửi yêu cầu – request tới server để nhận thông tin về dữ liệu chia sẻ,khởi tạo kết nối tới các client khác trong cùng hệ thống VPN và xử lýquá trình bảo mật dữ liệu qua ứng dụng được cung cấp
II Chức năng
VPN cung cấp 3 chức năng chính đó là:
Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả 2 phía cần phải
xác thực lẫn nhau để đảm bảo rằng mình đang trao đổi thông tin
đúng với người mà mình mong muốn chứ không phải là bất kỳ ai
khác
Tính toàn vẹn
Đảm bảo dữ liệu không có bất kỳ sự xáo trộn hay thay đổi
nào trong quá trình truyền dẫn
Tính bảo mật
Phía gửi có thể tiến hành mã hóa thông tin của mình trước
khi gửi vào đường truyền và sau đó sẽ được giải mã tại phía
nhận Điều này giúp đảm bảo thông tin không bị lộ, hoặc đánh
cắp, và thậm chí nếu có bị đánh cắp thì cũng không thể nào đọc
được vì không thể giải mã
III Phân loại VPN
Mạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau Yêu cầu
cơ bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, cácnhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác Dựa vào hình thứcứng dụng và những khả năng mà mạng riêng ảo mang lại, có thể phân chúngthành hai loại như sau:
- VPN truy nhập từ xa (Remote Access VPN)
- VPN điểm tới điểm (Site-to-Site VPN)
Trong đó mạng VPN điểm tới điểm lại được chia thành hai loại là:
- VPN cục bộ (Intranet VPN)
- VPN mở rộng (Extranet VPN)
1 VPN truy nhập từ xa (Remote Access VPN)
Trang 6Đúng như tên gọi thì loại này cung cấp khả năng truy cập từ xa cho người sửdụng Thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốnkết nối vào mạng công ty một cách an toàn, văn phòng nhỏ ở xa kết nối vào vănphòng trung tâm của công ty thông qua gateway hoặc bộ tập trung VPN (bản chất
là server) giải pháp client/server
Remote Access VPN còn được xem như là dạng User-to-LAN, cho phépngười dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server.VPN là giải pháp thiết kế mạng khá hay, hoạt động nhờ vào sự kết hợp với cácgiao thức đóng gói, MPLS, SSL, TLS,…
VPN truy nhập từ xa là kiểu điển hình nhất bởi vì chúng có thể được thiếtlập vào bất cứ thời điểm nào và tại bất kỳ đâu miễn là có mạng internet
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thôngqua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫnduy trì Chúng có thể dùng để cung cấp truy nhập an toàn cho những nhân viênthường xuyên phải đi lại, những chi nhánh hay đối tác, khách hàng của công ty
Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng
bằng cách sử dụng công nghệ ISDN (Integrated Services Digital Network-Mạng
số tích hợp đa dịch vụ), quay số, IP di động, DSL (Digital Subscriber Line) hay
công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máytính của người sử dụng: SoftEther VPN client, Avaya VPN Client,…
Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPNkhông dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họthông qua kết nối không dây Trong thiết kế này, các kết nối không dây cần phảikết nối về một trạm không dây (Wireless Terminal) và sau đó về mạng của công
Hình 2 Mô hình VPN truy nhập từ xa
Trang 7Trong cả hai trường hợp (có dây và không dây), phần mềm client trên máy
PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là đường hầm
Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảmbảo yêu cầu được xuất phát từ một nguồn tin cậy Thường thì giai đoạn ban đầunày dựa trên cùng một chính sách về bảo mật của công ty Chính sách này baogồm một số qui trình kỹ thuật và các ứng dụng chủ, ví dụ như RemoteAuthentication Dial-In User Service (RADIUS), Terminal Access ControllerAccess Control System Plus (TACACS+),…
Ưu điểm && nhược điểm
m - VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng
bởi vì quá trình kết nối từ xa được các ISP thực hiện;
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các
- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS;
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn củagói dữ liệu có thể đi ra ngoài và bị thất thoát
2 VPN điểm tới điểm (Site-to-Site VPN)
VPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các
hệ thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN.Trong tình huống này, quá trình xác thực ban đầu cho người sử dụng sẽ là quátrình xác thực giữa các thiết bị Các thiết bị này hoạt động như Cổng an ninh(Security Gateway), truyền lưu lượng một cách an toàn từ Site này đến Site kia.Các thiết bị định tuyến hay tường lửa với hỗ trợ VPN đều có khả năng thực hiệnkết nối này Sự khác nhau giữa VPN truy nhập từ xa và VPN điểm tới điểm chỉmang tính tượng trưng Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cáchnày
VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét
từ quan điểm quản lý chính sách Nếu hạ tầng mạng có chung một nguồn quản lý,
nó có thể được xem như VPN cục bộ Ngược lại, nó có thể được coi là mở rộng.Vấn đề truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bịtương ứng
a VPN cục bộ
Trang 8VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm,được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của mộtcông ty (hình 1.3) Nó liên kết trụ sở chính, các văn phòng, chi nhánh trênmột cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật
VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chiphí thấp nhưng vẫn đảm bảo tính mềm dẻo
Ưu điểm && nhược điểm
m - Các mạng cục bộ hay diện rộng có thể được thiết lập
thông qua một hay nhiều nhà cung cấp dịch vụ;
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối
b VPN mở rộng
VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấpđường hầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác thôngqua một cơ sở hạ tầng mạng công cộng Kiểu VPN này sử dụng các kết nốiluôn được bảo mật và nó không bị cô lập với thế giới bên ngoài như cáctrường hợp VPN cục bộ hay truy nhập từ xa
Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tớinhững nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng
Hình 3 Mô hình VPN cục bộ
Hình 4 Mô hình mạng mở rộng
Trang 9kinh doanh Sự khác nhau giữa VPN cục bộ và VPN mở rộng là sự truynhập mạng được công nhận ở một trong hai đầu cuối của VPN.
Ưu điểm && nhược điểm
m - Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải
pháp kết nối khác để cùng đạt được một mục đích nhưvậy;
IV Các thành phần của VPN
1 VPN Tunneling
Đây chính là điểm khác biệt cơ bản nhất của VPN so với mạng LANthông thường Các bạn có thể hình dung đây là 1 dạng đường hầm trong đámmây Internet mà qua đó, các yêu cầu gửi và nhận dữ liệu hoạt động
Khái niệm Tunnel giúp ta hiểu hơn về mô hình hoạt động của hệ thốngmạng VPN: khi người dùng khởi tạo kết nối hoặc gửi dữ liệu qua VPN, giaothức Tunneling sẽ được sử dụng bởi mạng VPN (ví dụ như PPTP, L2TP,IPSec ) sẽ “gói” toàn bộ lượng thông tin này vào 1 package khác, sau đó mãhóa chúng và tiến hành gửi qua tunnel Ở những điểm cuối cùng của địa chỉnhận, các giao thức hoạt động tương ứng của tunneling sẽ giải mã nhữngpackage này, say đó lọc nội dung nguyên bản, kiểm tra nguồn gốc của gói tincũng như các thông tin, dữ liệu đã được phân loại khác
Việc phân loại Tunneling dựa trên nguồn gốc bắt đầu các kết nối Và qua
đó, có 2 loại chính, đó là Compulsory và Voluntary Tunneling
Compulsory Tunneling
o Thường được khởi tạo bởi Network Access Server màkhông yêu cầu thông tin từ phía người sử dụng, nghĩa làđược quản lý bởi các nhà cung cấp dịch vụ
o Các client VPN không được phép truy xuất thông tintrên server VPN, kể từ khi chúng không phải chịu tráchnhiệm chính trong việc kiểm soát các kết nối mới đượckhởi tạo
o Compulsory Tunneling sẽ hoạt động ngay lập tức giữaserver và client VPN, đảm nhận chức năng chính trongviệc xác nhận tính hợp pháp của tài khoản client với serverVPN
Voluntary Tunneling
Trang 10o Được khởi tạo, giám sát và quản lý bởi người dùng Môhình này yêu cầu người dùng trực tiếp khởi tạo kết nối vớiđơn vị ISP bằng cách chạy ứng dụng client VPN
o Chúng ta có thể sử dụng nhiều phần mềm client VPN khácnhau để tạo các tunnel có tính bảo mật cao đối với từngserver VPN riêng
o Khi chương trình client VPN định thiết lập kết nối, nó sẽtiến hành xác định server VPN hoặc do người dùng chỉđịnh
o Voluntary Tunneling không yêu cầu quá nhiều, ngoại trừviệc cài đặt thêm giao thức tunneling trên hệ thống củangười dùng
2 Protocol
Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạngnội bộ bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻhoặc mạng công cộng như Internet
Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling)bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet Thôngtin sẽ được giải mã tại đích đến bằng cách loại bỏ gói IP để lấy ra thông tin
ban đầu
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụngbởi mạng có thông tin đang đi qua
Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức(GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc
Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệugốc được truyền đi (IPX, NetBeui, IP)
Có bốn giao thức đường hầm (tunneling protocols) phổ biến thườngđược sử dụng trong VPN, mỗi một trong chúng có ưu điểm và nhược điểmriêng Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng
a PPTP (Point-to-Point Tunneling Protocol)
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP
Forum phát triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùngbất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
Trang 11Là một trong số nhiều kỹ thuật được sử dụng để thiết lập đườnghầm cho những kết nối từ xa và được hỗ trợ rộng rãi nhất giữa các máytrạm chạy Windows PPTP thiết lập đường hầm (tunnel) nhưng không
mã hóa PPTP không yêu cầu hạ tầng mã khóa công cộng (Public KeyInfrastructure)
Là sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP).PPTP sử dụng PPP để thực hiện các chức năng:
b L2TP (Layer 2 Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữacác thành viên PPTP Forum, Cisco và IETF, có thể được sử dụng làm giaothức đường hầm cho mạng VPN (cả 2 loại)
Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách vàrouter, NAS và router, router và router So với PPTP thì L2TP có nhiềuđặc tính mạnh và an toàn hơn vì yêu cầu sử dụng chứng chỉ số (digital
Hình 1 Sơ đồ đóng gói PPTP
Trang 12certificates) và xác thực người dùng được thực hiện thông qua cùng cơ chếxác thực PPP.
Giao thức Layer 2 Tunneling Protocol (L2TP) kết hợp các đặc điểmcủa cả PPTP và giao thức Layer 2 Forwarding (L2F) Một trong các ưuviệt của L2TP so với PPTP là có có thể sử dụng trên các mạng ATM,frame relay và X.25 Giống như PPTP, L2TP hoạt động tại lớp liên kết dữliệu (Data Link Layer) của mô hình mạng OSI
L2TP có một vài ưu điểm:
Khả năng bảo mật dữ liệu: với các cơ chế xác thực, chứng chỉ
c IPSec (Internet Protocol Security)
IPsec được tích hợp trong rất nhiều giải pháp VPN "tiêu chuẩn", đặcbiệt trong các giải pháp VPN gateway-to-gateway (site-to-site) để nối 2mạng LAN với nhau IPsec hoạt động tại network layer (Layer 3) trong môhình OSI
IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóatiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóakích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụngđược giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa
Hình 7 Mô hình sử dụng L2TP (Nguồn: )
Hình 8 Mô hình VPN sử dụng IPSec (Nguồn: )
Trang 13chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mậtgiống nhau.
IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa haigateway hoặc giữa máy tính trạm và gateway Như tên của nó, IPsec chỉhoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-basednetwork) Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạmVPN phải được cài đặt sẵn phần mềm VPN client
Việc xác thực được thực hiện thông qua giao thức Internet KeyExchange (IKE) hoặc với chứng chỉ số (digital certificates) đây là phươngthức bảo mật hơn hoặc thông qua khóa mã chia sẻ (preshared key) IPSecVPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thôngdụng bao gồm Denial of Service (DoS), replay, và "man-in-the-middle"
Rất nhiều nhà cung cấp đã tích hợp đặc tính "quản lý máy khách"trong các phần mềm máy khách VPN của họ, cho phép thiết lập các chínhsách truy cập liên quan ví dụ như yêu cầu máy khách phải được cài đặtphần mềm chống virus hoặc cài đặt phần mềm tường lửa cá nhân như làđiều kiện để cho phép truy cập vào VPN gateway
d SSL/TLS (Secure Sockets Layer/Transport Layer Security)
Một công nghệ VPN đang phát triển nhanh chóng và trở nên phổ biến
là Secure Sockets Layer (SSL) VPN SSL VPN còn được gọi là giải pháp
"clientless" Điều này cũng có nghĩa là các giao thức có thể được xử lý bởiSSL VPN sẽ bị hạn chế nhiều hơn mang lại một lợi thế về bảo mật
Hình 9 Mô hình VPN sử dụng SSL/TSL (Nguồn: )
