Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đ
Trang 1Mạng máy tính và truyền số liệu nâng cao
MỤC LỤC
Trang 2CHƯƠNG I TỔNG QUAN VỀ VPN 1.1 Giới thiệu chung
1.1.1 Lịch sử hình thành
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách
tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng Để làm được điều này, người ta sử dụng router để kết nối các LAN và WAN với nhau Các máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet Service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuật còn phải tiếp tục giải quyết chính là năng lực truyền thông của các mạng viễn thông công cộng Với Internet, những dịch vụ như: giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế,… đã trở thành hiện thực Tuy nhiên, do Internet có phạm vi toàn cầu mà không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như việc quản lý các dịch vụ Từ đó người ta đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo – VPN (Virtual Private Network)
1.1.2 Khái niệm
Mạng riêng ảo - VPN (Virtual Private Network) là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật chung gọi là tunneling để tạo ra một mạng riêng trên nền Internet
Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header chứa thông tin định tuyến có thể truyền qua mạng trung gian VPN được hiểu đơn giản như
là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ
xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo thông qua Internet từ mạng riêng của các công ty, tổ chức tới các site hay người sử dụng từ xa
Trang 3Mạng máy tính và truyền số liệu nâng cao Chương I Tổng quan về VPN
Hình 1.1 Mô hình VPN
1.2 Phân loại
Dựa trên những nhu cầu cơ bản trên, VPN đã phát triển và phân làm 2 loại chính sau:
1.2.1 VPN truy cập từ xa (Remote Access)
Remote Access hay còn được gọi là virtual private dial-up network (VPDN) Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ
xa đến mạng cục bộ công ty bằng dial-up Khi công ty muốn thiết lập Remote Access trên quy mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ công ty ĐƯờng truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL)
Hình 1.2 Mô hình VPN truy cập từ xa
Trang 41.2.2 VPN điểm nối điểm (Site to Site)
Đây là cách kết nối nhiều văn phòng trị sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hóa ở quy mô lớn hoạt động trên nền Internet
Hình 1.3 Mô hình VPN Điểm nối điểm
Site to Site gồm 2 loại:
- Các VPN nội bộ (Intranet VPN): kiểu kết nối Site to Site VPN Các chi nhánh
có riêng một Server VPN và kết nối lại với nhau thông qua Internet Các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN
- Các VPN mở rộng (Extranet VPN): Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một Extranet VPN nhằm kết nối LAN to LAN và cho phép các công
ty này cùng làm việc trao đổi trong một môi trường chia sẻ riêng biệt trên nền Internet
1.3 Ưu điểm và nhược điểm
1.3.1 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPN để đơn giản hóa việc truy cập đối với các nhân viên làm việc và người lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt Điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng
- Giảm chi phí thường xuyên: VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở
xa Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động
Trang 5Mạng máy tính và truyền số liệu nâng cao Chương I Tổng quan về VPN
và các nhân viên làm việc ở xa nhà vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung
- Giảm chi phí đầu tư: không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ
- Truy cập mọi lúc, mọi nơi: các Client của VPN cũng có thể truy cập tất cả các dịch vụ như: email, FTP,… cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến phần phức tạp bên dưới
- Khả năng mở rộng: do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng
di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP
1.3.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp Tuy nhiên, VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn đề khá lớn của VPN
Vì sao bảo mật lại là vấn đề lớn với VPN? Một lý do là VPN đưa các thông tin
có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật kém (thường là Internet) Lý do bị tấn công của VPN: sự tranh đua giữa các công ty, sự tham lam muốn chiếm hữu nguồn thông tin, sự trả thù,…
QoS cho VPN cũng là một vấn đề lớn Hai thông số về QoS cho mạng là độ trễ
và thông lượng VPN chạy trên mạng chung Internet mà đặc thù của Internet là mạng
có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán Chính vì vậy, việc quản lý chất lượng cho từng dịch vụ là rất khó khăn
Khả năng quản lý cũng là vấn đề khó khăn của VPN Bởi VPN chạy trên mạng Internet nên khả nnawg quản lý kết nối End to end từ một phía nhà cung cấp đơn lẻ là điểu không thể thực hiện được Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức
Trang 6CHƯƠNG II THÀNH PHẦN VÀ PHƯƠNG THỨC HOẠT ĐỘNG 2.1 Thành phần cơ bản
Cấu trúc phần cứng chính của VPN bao gồm:
- Máy khách VPN (VPN Client)
- Một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN Router), cổng kết nối VPN (VPN Gateway) và bộ tập trung (Concentrator)
2.1.1 Máy chủ VPN
Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers) Dựa vào những yêu cầu của công ty, mà một mạng VPN có thể
có một hay nhiều máy chủ Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ, đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ các máy khách
Những chức năng chính của máy chủ VPN bao gồm:
- Tiếp nhận những yêu cầu kết nối vào mạng VPN
- Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của các quá trình bảo mật hay các quá trình xác lập
- Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN
- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách
- Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối trong VPN Điểm cuối còn lại được xác lập bởi người dùng cuối cùng
Máy chủ VPN phải được hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng
Một hoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nối chúng tới mạng mở rộng (Intranet) của công ty, trong khi Card còn lại kết nối chúng tới mạng Internet
Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối (Gateway) hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc số người dùng trong mạng nhỏ (Nhỏ hơn 20) Trong trường hợp máy chủ VPN phải hỗ trợ nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kết nối hoặc một bộ định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật thông tin cũng như bảo mật dữ liệu lưu trữ trong máy chủ
2.1.2 Máy khách VPN
Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới điểm cuối
ở xa trên mạng Chỉ sau khi đăng nhập thành công thì máy khách VPN và máy chủ VPN mới có thể truyền thông được với nhau Nhìn chung, một máy khách VPN có thể được dựa trên phần mềm Tuy nhiên, nó cũng có thể là một thiết bị phần cứng dành riêng
Với nhu cầu ngày càng tăng về số lượng nhân viên làm việc di động trong một công ty thì những người dùng này (những máy khách VPN) bắt buộc phải có hồ
sơ cập nhật vị trí Những người dùng này có thể sử dụng VPN để kết nối đến mạng cục
bộ của công ty
Trang 7Mạng máy tính và truyền số liệu nâng cao Chương II Thành phần và phương thức hoạt động
Đặc trưng của máy khách VPN gồm:
- Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng để kết nối đến tài nguyên của công ty từ nhà
- Những người dùng di động sử dụng máy tính xách tay để kết nối vào mạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng
- Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị
Hình 2.1 Đặc trưng của máy khách VPN
2.1.3 Bộ định tuyến VPN
Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến Tuy nhiên, trong thực tế thì cách thiết lập đó không hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng một số lượng lớn các yêu cầu Trong trường hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được đặt sau
“bức tường lửa” (Firewall) Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt được trong mạng cục bộ Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến trong mạng, và chọn
ra đường đi ngắn nhất có thể, cũng giống như trong mạng truyền thống
Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trong mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến VPN là khả quan hơn Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên đường truyền Ví
dụ như bộ định tuyến truy nhập modun 1750 của Cisco được sử dụng rất phổ biến
Trang 82.1.4 Bộ tập trung VPN (VPN Concentrator)
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ Ngoài việc làm tăng công suất và số lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao
Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga
là các bộ tập trung được sử dụng khá phổ biến
2.1.5 Cổng kết nối VPN
Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IP sang giao thức IP và ngược lại Như vậy, những cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP Những thiết bị này có thể là những thiết
bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần mềm Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của công
ty Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được cài đặt trên mỗi máy chủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức không phải là giao thức
IP sang giao thức IP và ngược lại Ví dụ như phần mềm Novell’s Border Manager
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và mã hoá
dữ liệu riêng trước khi được chuyển đến mạng công cộng
2.2 Phương thức hoạt động của VPN
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những Tunnel riêng
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyến đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol)
Giao thức của gói tien bọc ngoài được cả mạng và hai điểm đầ cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức như GRE, IPSec, L2F, PPTP, L2TP được bọc quanh gói dữ liệu gốc
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền
đi như IPX, NetBeui, IP
Trang 9Mạng máy tính và truyền số liệu nâng cao Chương II Thành phần và phương thức hoạt động
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói tin IP và gửi nó an toàn qua Internet Hoặc
họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói tin khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet
Kỹ thuật Tunneling trong mạng VPN điểm nối điểm
Trong VPN loại này, giao thức mã háo định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu “đóng gói” giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carrier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trển cả hai loại mạng VPN truy cập từ xa và điểm nối điểm Tất nhiên, nó phải được hỗ trợ ở cả haigiao diện Tunnel
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel
để tới máy tính của văn phòng từ xa
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm nối điểm PPP (Point
to Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại,
kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa
- L2F (Layer 2 Forwarding) được Cisco phát triển L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
- PPTP (Point to Point Tunneling Protocol) được tập đoàn PPTP Forum phát triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
- L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm nối điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router
và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn
Trang 102.3 Các giao thức
2.3.1 IP Security (IPSec)
Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trường Internet (môi trường bên ngoài VPN) Đây là điểm mấu chốt, lượng traffic qua IPSec được dùng chủ yếu bởi các Transport mode, hoặc các Tunnel (hay gọi là hầm -khái niệm này hay dùng trong Proxy, SOCKS) để mã hóa dữ liệu trong VPN
Hình 2.2 Chế độ Tunnel và Transport
Sự khác biệt giữa các mode này là: Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data package - hoặc còn biết dưới từ payload) Trong khi các Tunnel mã hóa toàn bộ các data package đó Do đó, IPSec thường được coi là Security Overlay, bởi vì IPSec dùng các lớp bảo mật so với các Protocol khác
2.3.2 Secure Sockets Layer (SSL) và Transport Layer Security (TLS)
Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để đảm bảo an toàn giữa các kết nối trong môi trường Internet
Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake - có liên quan đến quá trình xác thực tài khoản giữa client và server Để 1 kết nối được coi là thành công, quá trình xác thực này sẽ dùng đến các Certificate - chính là các khóa xác thực tài khoản được lưu trữ trên cả server và client