CÔNG NGHỆ MẠNG RIÊNG ẢO

IP Security IPSec: Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng qua mạng công cộng..  Bằng việc tr

- GIÁO VIÊN: NGUYỄN HIẾU MINH

1) Một Số Khái Niệm Cơ Bản Về VPN

Mục đích: Đảm bảo trao đổi thông tin an

toàn giữa các mạng nội bộ cũng như những máy tính riêng lẻ qua mạng công cộng

 Mục đích chính: Cung cấp tính an toàn,

tính hiệu quả trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng

Mã hoá bảo mật dữ liệu (Encryption): Là

quá trình xử lý dữ liệu theo một thuật toán mật mã nào đó và dữ liệu chỉ có thể đọc được bởi người dùng hợp lệ

Xác thực (Authentication): Là quá trình

xác thực sự hợp lệ của người dùng (hoặc

thiết bị)

Cấp quyền (Authorization): Là quá trình

xử lý cấp quyền truy cập hoặc ngăn cấm vào tài nguyên trên mạng sau khi đã thực hiện xác thực

VPNs đầu tiên đã được đưa ra bởi AT&T từ cuối những năm 80 và được biết như Software Defined Networks (SDNs)

Thế hệ thứ hai của VPNs ra đời từ sự xuất hiện của mạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network - ISDN)

từ đầu những năm 90

Sau khi thế hệ thứ hai của VPNs ra đời, thị trường VPNs tạm thời lắng động và chậm tiến triển, cho tới khi có sự nổi lên của hai công nghệ Frame Relay (FR) và Asynchronous Tranfer Mode (ATM) Thế hệ thứ ba của VPNs đã phát triển dựa theo 2 công nghệ này

Hai công nghệ này phát triển dựa trên khái niệm về Virtual Circuit Switching, theo đó, các gói dữ liệu sẽ không chứa địa chỉ nguồn

và đích Thay vào đó, chúng sẽ mang những con trỏ, trỏ đến các virtual circuit nơi mà

dữ liệu nguồn và đích sẽ được truyền

Công nghệ Virtual Circuit switching có tốc

độ truyền dữ liệu cao (160 Mbs hoặc cao hơn) hơn so với thế hệ trước - X.25, ISDN

Tuy nhiên việc đóng gói IP lưu thông bên trong gói Frame Relay và ATM cells chậm

Ngoài ra, mạng FR-based và ATM-based cũng không cung cấp phương pháp xác nhận packet-level end-to-end và mã hóa cho những ứng dụng high-end chẳng hạn như multimedia

IP Security (IPSec): Ðược phát triển bởi

IETF, IPSec là một chuẩn mở đảm bảo quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng qua mạng công cộng

Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ở tầng thứ 3 trong

mô hình OSI Vì thế, chúng có thể chạy độc lập so với các ứng dụng chạy trên mạng

Point-to-point Tunneling Protocol (PPTP): Phát triển bởi Microsoft, 3COM,

và Ascend Communications, PPTP là một

sự chọn lựa để thay thế cho IPSec Tuy nhiên IPSec vẫn còn được sử dụng nhiều trong một số Tunneling Protocol

PPTP thực hiện ở tầng thứ 2 (Data Link

Layer)

 Layer 2 Tunneling Protocol (L2TP): Ðược phát

triển bởi Cisco System L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng

để đóng gói các frame sử dụng giao thức to-point để gửi qua các mạng như X.25, FR, ATM

Point- Giảm thiểu chi phí triển khai

 Giảm chi phí quản lý

 Cải thiện kết nối

 An toàn trong giao dịch

 Hiệu quả về băng thông

 Khả năng mở rộng

Phụ thuộc môi trường Internet

Thiếu sự hỗ trợ cho một số giao thức kế thừa

 VPNs nhằm hướng vào 3 yêu cầu cơ bản sau:

 Có thể truy cập từ xa bất cứ lúc nào, giữa các nhân viên của một tổ chức tới các tài nguyên mạng

 Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa

 Truy nhập tài nguyên mạng khi cần của khách hàng, nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh doanh

Remote Access VPNs

 Remote Access VPNs: Cho phép truy cập bất

cứ lúc nào bằng thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức

 Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới

 Quay số kết nối đến trung tâm, điều này sẽ làm tăng chi phí cho một số yêu cầu ở khá xa

so với trung tâm

 Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP

và kết nối đến tài nguyên thông qua Internet

 Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

 Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP

 Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách

xa sẽ được thay thế bởi các kết nối cục bộ Giảm giá thành chi phí cho các kết nối với khoảng cách xa

Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng

Khó bảo đảm được chất lượng phục vụ

Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể bị thất thoát

Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra chậm chạp

Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

Intranet VPNs được sử dụng để kết nối các chi nhánh văn phòng của tổ chức đến Corporate Intranet (backbone router) sử dụng campus router

Theo mô hình trên sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì

và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet

Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone

Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn mạng

Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng

Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet

 Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộng và những nguy

cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe dọa

an toàn thông tin

 Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao

Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet

Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo

 Không giống như Intranet và Remote based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức

Access-Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet Ðiều này làm cho khó triển khai và quản lý

do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị

Mạng Extranet sẽ dễ mở rộng do điều này

sẽ làm rối mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽ

có những vấn đề gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet

Triển khai và thiết kế một mạng Extranet

có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng

Do hoạt động trên môi trường Internet, có thể lựa chọn nhà phân phối khi lựa chọn

và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức

Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì

Dễ dàng triển khai, quản lý và chỉnh sửa thông tin

Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

Tăng thêm nguy hiểm sự xâm nhập đối với

tổ chức trên Extranet

Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp

Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên

 Internet được xem là một môi trường không

an toàn, dữ liệu truyền qua dễ bị sự truy cập bất hợp pháp và nguy hiểm

 Sự ra đời của VPN, dựa trên giao thức Tunneling đã làm giảm một lượng đáng kể số lượng rủi ro không an toàn Vì thế, làm thế nào để bảo đảm dữ liệu được an toàn qua VPN?

 Các mối tấn công từ bên ngoài cũng có mức

độ nguy hiểm tương đương với bị tấn công

từ bên trong, một số tài nguyên và dịch vụ mạng có thể bị làm cho không sử dụng được trong một thời gian dài

 Trong trường hợp này, toàn bộ tài nguyên mạng sẽ không thể được truy cập bởi người dùng

Khi trao đổi dữ liệu trên mạng, dữ liệu có thể bị ngăn chặn bởi những hành động không được phép Kết quả là những thông tin có thể bị mất

Trong trường hợp này, dữ liệu của tổ chức đã bị chặn lại

 Thông tin bị chặn có thể bị sửa đổi và người nhận thông tin có thể sẽ nhận được những thông tin sai lệch hoặc bị xáo trộn

 Điều này khiến cho tổ chức có thể phải mất tiền, hoặc những dữ liệu quan trọng

Theo kiểu này, những người dùng không hợp pháp cũng được xem như những người dùng hợp pháp

Sau khi truy cập vào hệ thống mạng, những cá nhân này sẽ phổ biến những thông tin giả mạo và có hại đến những người dùng khác trong mạng

Login ID and password

RADIUS server

 MAC

 DAC

 RBAC

Đối xứng (Symmetric)

Bất đối xứng (Asymmetric)

Nghe trộm và xem lén dữ liệu

Chỉnh sửa và đánh cắp lén dữ liệu

Giả mạo thông tin

Chống chối từ

 Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu cuối, tunneling đưa ra 4 thành phần yêu cầu sau :

 Mạng đích (Target network) Là mạng trong đó chứa

các dữ liệu tài nguyên mà người dùng từ xa cần truy cập để sử dụng, là những người khởi tạo ra phiên yêu cầu VPN

 Nút khởi tạo (Initiator node) Người dùng khách

hoặc máy chủ khởi tạo phiên VPN Nút khởi tạo có thể là một phần của mạng cục bộ hoặc có thể là người dùng

 HA (Home Agent) Chương trình thường trú tại

các nút mạng (router) trong mạng đích HA nhận

và xác nhận những yêu cầu gửi đến để xác thực chúng từ những host đã được ủy quyền Khi xác nhận thành công nút khởi tạo, HA cho phép thiết lập tunnel

 FA (Foreign Agent) Chương trình thường trú tại

các nút khởi tạo hoặc ở nút truy cập (router) của mạng khởi tạo Các nút khởi tạo dùng FA để yêu cầu một phiên VPN từ HA ở mạng đích

 The process of transferring data across a tunnel

Giai đoạn I Nút khởi tạo (hoặc người

dùng từ xa) yêu cầu một phiên làm việc VPN và được xác nhận bởi HA tương ứng

Giai đoạn II Dữ liệu thực sự được

chuyển qua mạng thông qua tunnel

 Một kết nối yêu cầu được khởi tạo và những tham số phiên được đàm phán Nếu yêu cầu được chấp nhận và tham số phiên được đàm phán thành công, một tunnel được thiết lập giữa hai nút thông tin đầu cuối

1.Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng

2.FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu được cung cấp bởi người dùng

3.Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ, yêu cầu phiên làm việc VPN bị từ chối Ngược lại, nếu quá trình xác nhận sự thống nhất của FA thành công, nó sẽ chuyển yêu cầu đến mạng đích HA

4.Nếu yêu cầu được HA chấp nhận, FA gửi login ID

đã được mã hóa và mật khẩu tương ứng đến nó

5.HA kiểm chứng thông tin đã được cung cấp Nếu quá trình kiểm chứng thành công, HA gửi những Register Reply, phụ thuộc vào một

số tunnel đến FA

6.Một tunnel được thiết lập khi FA nhận Register Reply và số tunnel

1.Nút khởi tạo bắt đầu chuyển các gói dữ liệu đến FA

2.FA tạo tunnel header và chèn nó vào từng gói dữ liệu Thông tin header của giao thức định tuyến (được đàm phán trong giai đoạn I) sau đó được gắn vào gói dữ liệu

3.FA chuyển các gói dữ liệu đã mã hóa đến

HA bằng cách sử dụng tunnel number đã được cung cấp

4.Trong quá trình nhận thông tin mã hóa,

HA gỏ̃ bỏ tunnel header và header của giao thức định tuyến, đưa gói dữ liệu trở

về dạng nguyên bản của nó

5.Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần đến trong mạng

 Trước khi gói dữ liệu nguyên gốc được phân phát đến mạng đích thông qua tunnel, nó đã được mã hóa bởi FA Gói dữ liệu mã hóa này được đề cập như một tunneled packet Định dạng của một tunneled packet được mô tả theo hình bên dưới

 Header of the routable protocol Phần đầu

chứa địa chỉ nguồn (FA) và đích (HA)

 Bởi vì quá trình giao dịch thông qua Internet

là dựa trên cơ sở IP, phần đầu này là phần IP header chuẩn phổ biến và chứa địa chỉ IP của FA, HA tham gia trong qua trình giao dịch

Tunnel packet header Phần đầu này

chứa 5 phần sau:

o Protocol type Trường này chỉ ra loại giao

thức của gói dữ liệu nguyên gốc (hoặc pay-load)

o Kiểm tra tổng (Checksum) Phần này

chứa thông tin kiểm tra tổng quát liệu gói

dữ liệu có bị mất mát trong suốt qua trình giao dịch Thông tin này tùy chọn

 Khóa (Key) Thông tin này được dùng để nhận

dạng hoặc xác nhận nguồn thực của dữ liệu (bộ khởi tạo)

 Số tuần tự (Sequence number) Trường này

chứa đựng 1 con số mà chỉ ra số tuần tự của gói

dữ liệu trong một loạt các gói dữ liệu đãvà đang trao đổi

 Source routing Trường này chứa đựng thêm

thông tin định tuyến, phần này tuỳ chọn

 Payload Gói dữ liệu nguyên gốc được gửi

đến FA bởi bộ khởi tạo Nó cũng chứa đựng phần đầu nguyên gốc

Voluntary tunnels (end-to-end tunnels),

được tạo ra từ yêu cầu của người dùng máy khách Kết quả là, các nút khởi tạo hoạt động như điểm cuối tunnel

Do đó, một tunnel riêng rẽ được tạo ra cho mỗi cặp thông tin

Sau khi mối giao thông giữa 2 điểm cuối kết thúc, tunnel sẽ ngắt

 Trong trường hợp người dùng từ xa sử dụng kết nối dial-up, đầu tiên máy khách cần thiết lặp kết nối đến mạng trung gian Đây là bước

mở đầu cho việc thiết lặp những tunnel và chưa hoàn thành bởi các giao thức tunneling

 Chỉ sau khi một kết nối quay số được thiết lặp có thể bộ khởi tạo thiết lặp tunnel đến nút mong muốn đến