Cơ bản về VPN

Cơ bản, VPN

I Giới Thiệu Về Mạng Riêng Ảo (VPN)

Trước khi xuất hiện mạng riêng ảo (Virtual Private Network – VPN), khi những nhân viên làm việc

ở xa muốn truy cập vào mạng công ty thì hoặc là văn phòng ở xa có thể dùng đường dây thuê bao, hoặc là những người làm việc ở xa hầu như phải sử dụng việc kết nối quay số Cả hai cách này đều tốn kém về chi phí và không bảo mật về thông tin

Sự xuất hiện của mạng riêng ảo không những đã giúp cho những người làm việc ở xa có thể truy cập tài nguyên của công ty như thể họ đang ngồi trước màn hình máy tính ở bàn làm việc tại công ty họ, mà còn tiết kiệm hơn về chi phí Mạng riêng ảo sử dụng Internet như một bộ máy vận chuyển của nó trong khi vẫn duy trì tính bảo mật dữ liệu

Mạng riêng ảo đang trở nên một phần thiết yếu của mạng dữ liệu hiện nay Phần trình bày dưới đây sẽ giới thiệu về mạng riêng ảo, thường được gọi là VPN, và cách thiết lập nó

1 Mạng riêng ảo là gì ?

Mạng riêng ảo – Virtual Private Network, gọi tắt là VPN

VPN là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ở đầu này đến hệ thống ở đầu kia qua mạng chung như là mạng Internet mà không để giao thông nhận biết có những hộp trung gian giữa hai đầu, hoặc không để cho những hộp trung gian nhận biết chúng đang chuyển những gói tin mạng đã được mã hóa đi qua đường hầm

Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạng giúp cho những văn phòng chi nhánh hoặc văn phòng ở xa hoặc những người làm việc từ xa có thể dùng

Internet truy cập tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng công ty

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP

Phần “ảo” (virtual) của VPN bắt nguồn từ yếu tố ta đang tạo một liên kết riêng qua mạng chung (như là mạng Internet) VPN cho phép ta giả vờ như ta đang dùng đường dây thuê bao hoặc quay số điện thoại trực tiếp để truyền thông tin giữa hai đầu VPN là “riêng” (private) vì sự mã hóa được dùng để đạt sự bảo mật một trao đổi mạng riêng mặc dù trao đổi này xảy ra trên mạng chung VPN cũng dùng “mạng” (network) IP để trao đổi

VPN cho phép những máy tính kết nối trực tiếp tới những máy khác thông qua sự kết nối địa lý,

mà không cần phải thuê đường đường truyền hoặc PVC Điều này làm đơn giản hóa những tùy chọn cấu trúc mạng và làm tăng sự phát triển mạng mà không phải thiết kế lại mạng LANs hoặc gián đọan sự kết nối

Hơn nữa, VPN hỗ trợ những sự kết nối khác nhau, bao gồm thuê đường truyền, điều chỉnh sự tiếp nối, ADSL, Ethernet và PSTN Những giải pháp mạng có thể được đưa ra dễ dàng để thích hợp cho những đòi hỏi của những máy client riêng lẽ, bao gồm tăng những tùy chọn cho những lọai kết nối mở rộng Dữ liệu, phone và những ứng dụng video cũng có thể chạy trên những mạng riêng lẽ này, mà không cần cho những kênh riêng lẽ và phần cứng đặc biệt

Tương tự VDC, dịch vụ cung cấp những giải pháp phù hợp nhất cho các ngân hàng, các công ty bảo hiểm, họat động công nghiệp, lĩnh vực xuất khẩu, và phần mềm

VPN-Virtual Private Network là một nhánh của kỹ thuật liên lạc riêng lẽ, được đưa lên từ mạng chung chẳng hạn như Internet Người sử dụng có thể truy xuất tới mạng dù ở nhà hay ở xa xa, thong qua sự kết nối cục bộ tới ISP VPN thiết lập mộ sự kết nối bảo mật giữa người sử dụng và mạng trung tâm Dịch vụ này cũng có thể thiết lập sự kết nối trực tiếp giữa những khu vực khác nhau thông qua ISP, qua ISP giá thành giảm trong kết nối qua quay số và những dịch vụ thuê đường truyền Dữ liệu chuyền đi thì được bảo đảm với kỹ thuật bảo mật cao

2 Các kiểu mạng VPN: Gồm có ba khả năng thiết lập mạng VPN

1) NETWORK to NETWORK (Mạng nối Mạng)

Hai mạng con được nối bằng đường hầm VPN Mỗi mạng con có một gateway hoặc router và một máy chủ Gateway của mỗi mạng con có hai giao diện:

• Một giao diện cho thế giới bên ngoài

• Một giao diện cho mạng nội bộ của gateway

Kiểu setup này cho phép hai mạng khả năng truyền thông tin lẫn nhau theo cách mã hóa và xác thực qua mạng Internet

Một khả năng setup cho kiểu này là nối một văn phòng chi nhánh vào công ty chính qua mạng Internet Mọi sự truyền thông tin IP giữa hai gateway được mã hóa

NET < > VPN-Gateway < > Internet < > VPN-Gateway < > NET

< được mã hóa ->

2) HOST to NETWORK (Máy nối Mạng)

Kiểu mạng này có thể được diễn dịch như là một trường hợp giảm cấp của mô hình Network to Network Kiểu thiết lập này cho phép một máy tính khả năng truy nhập một mạng được mã hóa

và được xác thực

Kiểu này là kiểu setup phổ biến nhất và thường dùng đối với những người làm việc từ xa hoặc làm việc tại nhà, hoặc khi nhân viên muốn nối vào mạng công ty một cách an toàn trong quá trình di chuyển

Ví dụ: Một đại diện bán hàng quay số vào Internet và thiết lập một kết nối VPN vào firewall công

ty và nhờ đó đạt được truy nhập mã hóa và xác thực vào server mạng LAN hoặc DMZ hoặc Email của công ty

HOST < -> Router < -> Internet < -> Router < -> VPN-Gateway < -> NET

< - được mã hóa ->

3) HOST to HOST (Máy nối Máy)

Hai máy kết nối VPN với nhau và thực hiện sự truyền thông tin được mã hóa

Một kiểu setup thuộc mô hình này là sự giảm cấp mô hình Host – Network sao cho nó chỉ còn một cặp máy chủ muốn nối với nhau Điều này có nghĩa là sự truyền thông tin giữa hai máy chủ thuộc hai mạng khác nhau được mã hóa

Mô hình này khác với hai mô hình trên vì chỉ có hai máy chủ có thể gởi giao thông được bảo mật cho nhau Nếu như có nhiều máy muốn trao đổi bảo mật, thiết lập theo kiểu Host - Network hay Network - Network sẽ phù hợp hơn

HOST < > Router < > Internet < > Router < > HOST

< - được mã hóa ->

Trong thực tế, cấu hình phổ biến của mạng VPN là có một mạng nội bộ chính với những điểm ở

xa dùng VPN truy cập vào mạng trung tâm Những điểm truy cập từ xa này thường là những văn

phòng hoặc nhân viên làm việc tại nhà Cũng có thể dùng VPN nối hai mạng vật lý ở hai nơi khác nhau nhưng thuộc cùng một công ty thành một mạng logic

II Bảo Mật Trong VPN

1 Bảo mật trong VPN là gì ?

Mô hình bức tường lửa trong VPN

VPN sử dụng mạng Internet cho những trao đổi riêng Như ta biết có hai cách giữ cho hội thoại điện tử được bảo mật: Đường dây bảo mật và dữ liệu bảo mật Trước đây, các công ty đã dùng phương tiện vận chuyển riêng - đường dây thuê bao - để duy trì tính bảo mật Tuy nhiên, đường dây thuê bao rất tốn kém VPN chọn cách thứ hai: Dùng sự mã hóa dữ liệu để duy trì tính bảo mật

Từ Private trong “Virtual Private Networks” nghĩa là riêng Trong nền thị trường ngày nay dữ liệu thông tin mật về các tổ chức thường dễ bị xem lén hay là bị mất là do bởi các hackers, hoặc tệ hơn là từ chính các đối thủ May mắn thay, VPN được xem như là giải pháp bảo mật an toàn có ảnh hưởng nhất bất kể dù chúng có sử dụng trên mạng chung (public networks)

Để mà chứng minh, xác nhận một người sử dụng, một bức tường lửa sẽ là sự cần thiết Trong quá khứ, những bức tường lửa đã trở nên những nguồn vấn đề lớn cho những người quản lý hệ thống mạng, việc tạo thành những bức tường lửa và quản lý chúng không đơn giản Ngày nay, chế độ bảo mật đã được thực hiện đầy đủ Nhiều thiết bị bảo mật chẳng hạn như hộp đen (black box) cũng bao gồm phần nào hệ thống mã hóa, cho dù có một số VPNS thì không

Những thiết bị tường lửa của VPNS, chẳng hạn như NetScreen, Watchguard hoặc NetFortress thì thường tương đối là đương giản, những giải pháp plug-and-play cho bảo mật mạng cũng được kết nối tới nhiều mạng LANs Tuy nhiên những giải pháp này có thể đạt đến giá cả cao, và sự chọn lựa đúng sẽ dựa trên mạng lưới mạng và bảo mật cần của công ty, hoặc các công ty sử dụng mạng duy nhất Nói chung là, nếu bạn đã có cho mình những thiết bị riêng và kết nối Internet, thì những giải pháp như out-of-the-box không còn cần thiết nữa

Các VPNS yêu cầu sự cầu hình của một thiết bị truy xuất, hoặc là dựa trên phần cứng và phần

mềm, để cài đặt một kênh bảo mật Một người sử dụng ngẫu nhiên không thể đơn giản log in tới VPNS, như một vài thông tin cần để cho phép một người từ xa truy xuất tới hệ thống, hoặc thậm chí “bắt tay” VPNS Khi được sử dụng với sự xác nhận là đúng, VPNS vẫn cản trở những người xâm nhập cho dù đã được xác nhận thành công tới mạng lưới, thậm chí nếu chúng có thể bằng cách này hay cách khác chiếm lấy một session VPN

Hầu hết VPNS đều sử dụng kỹ thuật IPSec, sự tạo ra khung của giao thức, giao thức này đã trở thành một chuẩn thương mại IPSec rất được sử dụng bởi vì nó tương thích với hầu hết các phần cứng và phần mềm VPN khác nhau và được phổ biến nhất cho hệ thống mạng với các máy clients truy xuất từ xa

IPSec đòi hỏi một vài sự nhận biết cho những clients, bởi vì sự xác nhận là đúng thì không dựa trên người sử dụng, điều này nghĩa là một dấu hiệu chẳng hạn như Secure ID hoặc Crypto Card không được sử dụng Thay vì, bảo mật được nói đến ở đây qua địa chỉ IP hoặc sự xác nhận từ

nó, sự thiết lập xác nhận của người sử dụng và đảm bảo tính toàn vẹn của hệ thống

Một IP Tunnel cơ bản họat động như là một lớp mạng bảo đảm cho tất cả các gói dữ liệu được truyền đi, bất kể ứng dụng gì

Dựa trên giải pháp được sử dụng, nó có thể kiểm tra các kiểu vận chuyển gởi qua giải pháp VPN Nhiều thiết bị cho phép các nhà quản trị xác nhận ra những nhóm tín hiệu, mà những nhóm tín hiệu này kiểm tra địa chỉ IP và các dịch vụ protocol hoặc port cho phép qua Tunnel

2 Bảo mật trong VPN (qua giao thức SSH và PPP)

1) Mã khoá công cộng (PKI) trong mạng riêng ảo (VPN)

Ða số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mã khoá công khai (PKI) Các điểm kết cuối của các mạng VPN này (các cổng bảo mật hoặc các máy khách) nhận thực lẫn nhau thông qua thiết lập các "đường hầm" IP Một cách đơn giản nhất, điều đó có thể thực hiện được thông qua việc thiết đặt cấu hình tại cả hai đầu của đường ngầm VPN cùng chia sẻ một bí mật chung - một cặp mật khẩu (password) Phương pháp giải quyết "thô sơ" này có thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nên kồng kềnh, khó điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lên tới hàng trăm, thậm chí hàng ngàn điểm

Hãy so sánh với một câu lạc bộ nhỏ mà ở đó mọi người đều biết nhau vì số lượng người ít và hầu như họ đã quen biết nhau từ trước Không có gì khó khăn trong việc ghi nhớ tên và nhận dạng của các thành viên trong một nhóm nhỏ Nhưng với một câu lạc bộ có hàng trăm thành viên thì chắc chắn cần phải có thẻ hội viên Các thành viên mới có thể chứng minh họ là ai khi họ xuất trình thẻ hội viên Với "hạ tầng" như vậy, hai người hoàn toàn không quen biết có thể nhận dạng

và tin cậy nhau đơn giản là vì họ tin vào thẻ hội viên của nhau

Tương tự như vậy, hai đầu cuối VPN có thể nhận thực nhau thông qua giấy chứng nhận điện tử - Một loại "thẻ hội viên điện tử" không thể thiếu trong các mạng VPN lớn Vậy tại sao hiện nay không phải mạng VPN lớn nào cũng sử dụng chứng nhận điện tử? Bởi vì việc triển khai mạng lớn không chỉ đòi hỏi chứng nhận điện tử mà yêu cầu xây dựng một hạ tầng hoàn thiện bao gồm khối cung cấp chứng nhận điện tử, phương cách bảo đảm để khởi tạo và phân phối chúng, cách thức truy xuất dễ dàng để xác nhận tính hợp lệ Nói một cách ngắn gọn, đó chính là cơ sở hạ tầng mã khoá công cộng - PKI

2) Khoá công cộng là gì và tác dụng

Ðể hiểu được yêu cầu và các đòi hỏi của PKI, chúng ta cần biết một số kiến thức sơ lược về khoá mật mã công cộng Hệ thống này xây dựng trên cơ sở một cặp khoá mã có liên hệ toán học với nhau trong đó một khoá sử dụng để mã hoá thông điệp và chỉ có khoá kia mới giải mã được thông điệp và ngược lại Khi đó chúng ta có thể công khai hoá một khoá trong cặp khoá này Nếu ai cần gửi cho chúng ta các thông điệp bảo đảm, họ sẽ có thể sử dụng khoá đã được cung cấp công khai này để mã hoá thông điệp trước khi gửi đi và bởi vì chúng ta đã giữ bí mật khoá

mã còn lại nên chỉ chúng ta mới có thể giải mã được thông điệp bảo đảm đó

Cặp khoá này còn dùng để xác nhận thông điệp Người gửi sẽ tạo một đoạn mã băm (hash) của thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ như

MD5, SHA-1 ) Người gửi sẽ mã hoá đoạn mã băm bằng khoá riêng của mình và người nhận sẽ dùng khoá công cộng của người gửi để giai đoạn mã băm của người gửi, sau đó so sánh với đoạn mã băm của thông điệp nhận được (được tạo bằng cùng một thuật toán) Nếu trùng nhau thì người nhận có thể tin rằng thông điệp nhận được không bị thay đổi trong quá trình truyền tải trên mạng và xuất phát từ người gửi xác định Cách thực hiện này được gọi là chữ ký điện tử Nhưng cần nhắc lại là chung ta yêu cầu không chỉ chữ ký - chúng ta cần một thẻ hội viên điện

tử Chính vì thế mà xuất hiện khái niệm giấy chứng nhận điện tử Một chứng nhận điện tử gắn tên của hội viên hay thiết bị với một cặp khoá, tương tự như thẻ hội viên gắn tên của hội viên với chữ ký và ảnh của họ Ðể đảm bảo giấy chứng nhận là hợp lệ, chúng ta thường yêu cầu giấy chứng nhận phải được cấp do một tổ chức tin cậy Ðối với giấy chứng nhận điện tử, tổ chức này được gọi là hệ thống cung cấp chứng nhận (Ca-Certification Autbority)

3) Các mạng VPN sử dụng chứng nhận điện tử như thế nào ?

Khi đường ngầm IP đã được khởi tạo, các điểm kết cuối sẽ nhận thực lẫn nhau thông qua chứng nhận điện tử Ví dụ, cổng bảo mật X sẽ tự chứng nhận và ký (điện tử) thông điệp bằng khoá mã riêng của nó Cổng bảo mật Y sẽ nhận chứng nhận điện tử của X và sử dụng khoá công khai của

X để kiểm tra chữ ký điện tử Nếu đúng thì cổng bảo mật X được xác nhận vì chữ ký điện tử chỉ

có thể được tạo ra bằng khoá mã riêng được gắn liền với chứng nhận điện tử của X

Tại sao giấy chứng nhận điện tử lại có tính mở rộng hơn kiểu chia sẻ khoá bảo mật chung? Rõ ràng chúng ta không còn cần phải cung cấp những cặp mã khoá chia sẻ cho mỗi cặp thiết bị VPN Mỗi thiết bị VPN chỉ cần một giấy chứng nhận điện tử Và chúng ta cũng không cần phải thiết lập lại cấu hình của tất cả các điểm đã có của VPN mỗi khi chúng ta mở thêm một điểm mới Thay vào đó, chúng ta có thể chứng nhận cho mỗi thiết bị thông qua hệ thống thư mục công cộng - ví dụ như qua LDAP Cao hơn nữa, chúng ta có thể kết hợp hai mạng VPN sẵn có thông qua việc cộng tác giữa hai CA trong trao đổi cơ sở dữ liệu và trong việc phát hành giấy chứng nhận Ðiều đó cũng tương tự như việc công nhận hộ chiếu của một nước khác như là một giấy chứng minh hợp lệ vậy

Cũng như hộ chiếu, mỗi giấy chứng nhận điện tử cũng phải có thời hạn hợp lệ và có thể bị nơi phát hành thu hồi khi cần thiết Xuất trình chữ ký điện tử liên quan đến một giấy chứng nhận điện tử không hợp lệ, không tồn tại hay đã bị thu hồi sẽ dẫn đến việc truy nhập không thành công Vấn đề này có thể trở nên phức tạp nếu người kiểm tra (nơi nhận) không thường xuyên kiểm tra tình trạng hợp lệ của giấy chứng nhận tại nơi phát hành giấy chứng nhận (CA) Thậm chí, nếu việc kiểm tra được thực hiện thì có thể danh sách các giấy chứng nhận điện tử bị thu hồi cũng đã lạc hậu Vậy thì cần phải kiểm tra các danh sách này hàng tháng, hàng tuần hay hàng ngày, hàng giờ ? Ðó là vấn đề của thực tế khi áp dụng các chính sách bảo mật của mỗi nhà quản trị mạng cụ thể

4) Các thành phần của PKI

VPN không phải là dịch vụ bảo mật duy nhất ứng dụng PKI Có rất nhiều yêu cầu bảo mật khác

có thể được thoả mãn khi sử dụng PKI như thư bảo mật (e-mail-secured with S/MINE), các giao dịch bảo mật của Web (Web transaction secured with SSL) Các yêu cầu đó có thể khác nhau

do tính chất của mỗi dịch vụ hay ứng dụng, tất cả đều dựa trên một "Cơ sở hạ tầng mã khoá công cộng - PKI" bao gồm nhiều thành phần cơ bản

Nền tảng của PKI là CA CA phát hành các giấy chứng nhận điện tử Nó có thể thuộc riêng về một doanh nghiệp hoặc thuộc một tổ chức thuộc bên ngoài các doanh nghiệp (chuyên cung cấp dịch vụ trong lĩnh vực này) Các CA có thể uỷ nhiệm sự tin cậy cho nhau thông qua kiến trúc phân cấp CA gốc (root CA) là CA cung cấp trực tiếp các giấy chứng nhận điện tử cho doanh nghiệp, CA phụ thuộc (subordinate CA) là CA được công nhận gián tiếp thông qua mối liên hệ với

CA gốc CA gốc có thể mặc nhiên được công nhận (đối với nội bộ doanh nghiệp) Các CA phụ thuộc được công nhận thông qua chứng nhận của CA gốc và tạo nên chuỗi các CA uỷ thác Mỗi khi tạo ra một giấy chứng nhận điện tử mới, một cặp khoá mã được phát ra cho mỗi thực thể - thiết bị VPN, máy chủ Web, người sử dụng thư điện tử Những thực thể sẽ giữ các khoá riêng (private key) dùng để tạo ra chữ ký điện tử Còn khoá công khai (public key), tên của thực

thể, tên của CA phát hành, tất cả sẽ được tập hợp trong giấy chứng nhận điện tử, và tất cả sẽ được xác nhận thông qua chữ ký điện tử của chính CA

Với mục đích tránh sự không công nhận của mỗi thực thể, chỉ có chính bản thân họ mới được sử dụng đến khoá bảo mật riêng Với cách làm như vậy, các thực thể không thể phủ nhận được việc

đã "ký" tên vào thông điệp vì không ai khác có thể "ký" như vậy được Cũng chính vì nguyên nhân như vậy mã khoá riêng này cần được lưu giữ an toàn Khi mã khoá này bị lộ vì một nguyên nhân nào đó, giấy chứng nhận điện tử cần phải được thu hồi

Ðể thuận tiện trong việc phân phát, các giấy chứng nhận thường được công bố qua hệ thống uỷ nhiệm Ðể tăng khả năng truy xuất, tìm kiếm và độ an toàn của hệ thống, các giấy chứng nhận trong các hệ thống uỷ nhiệm thường được công bố trong các "thư mục che phủ nhiều tầng" (Multiple shadow directories) Do yêu cầu thiết kế và nhu cầu thực tế, cả CA đều cần phải được bảo mật tốt nên hai thành phần này thường được phân cách không những theo logic mà còn phải được phân cách cả vị trí vật lý

Chức năng quản lý được giao cho RA - Thành phần cấp quyền đăng nhập (Registration

Authorities) RA có nhiệm vụ quản trị việc đăng ký tên, khởi tạo hoặc lưu trữ các cặp khoá mã, xác nhận các thực thể trong giai đoạn đăng ký, yêu cầu CA cấp chứng nhận, chuyển các khoá

mã đến các thực thể, khởi tạo hoặc thu hồi các giấy chứng nhận điện tử RA là một cơ chế hỗ trợ

CA rất hiệu quả, và cũng như trường hợp trên, do yêu cầu bảo mật, RA và CA thường cũng được phân cách nhau cả về mặt vật lý và do các nhóm quản trị mạng khác nhau chịu trách nhiệm

Ðó là các thành phần căn bản của một hệ thống PKI Ngoài ra, trong thực tế có thể có một số thành phần và dịch vụ phụ trợ khác trong PKI hoặc có liên quan đến hoạt động của PKI cũng như không phải một hệ PKI nào cũng có đủ các thành phần cơ bản như trên

Chúng ta cũng có hai cách lựa chọn triển khai PKI: Sử dụng dịch vụ từ nhà cung cấp hoặc tự xây dựng nên hệ thống của mình

USERTrust, Inc.: www.usertrust.com/

VerSign OnSite: www.versign.com/

Cần nhắc lại là nếu bạn muốn xây dựng một mạng VPN sử dụng công nghệ nhận thực bằng giấy chứng nhận điện tử thì tất cả các thực thể trong mạng của bạn đều cần được chứng nhận và nếu mạng quá lớn, chi phí mua giấy chứng nhận từ nhà cung cấp sẽ là không nhỏ Sau đó cần xây dựng các chính sách về quản trị, điều hành và bảo mật thực hợp Một điểm cần chú ý khác là bạn nên chọn nhà cung cấp VPN có hỗ trợ cho thiết bị VPN của bạn

6) Xây dựng hạ tầng mã khoá công khai của riêng bạn

Các sản phẩm khác nhau sẽ có các đặc trưng riêng khác nhau, và điều quan trọng nhất cần phải hiểu là việc mua một sản phẩm phần mềm hỗ trợ PKL chỉ là một phần nhỏ trong toàn bộ chi phí

để xây dựng một hệ PKI Nên chọn một nhóm chuyên gia tư vấn để xây dựng chính sách bảo mật và kiến trúc của PKI sao cho phù hợp với thực tế và nhu cầu phát triển trong tương lai Hầu hết các công ty cung cấp kể trên đều có thể giúp đỡ bạn trong công việc hoạch định đó

Bảo mật rất quan trọng đối với VPN Hãy cùng tìm hiểu xem bảo mật được xây dựng ra sao ở cơ chế hoạt động VPN qua giao thức SSH và PPP như trên

• Tiến trình daemon

Dừng tất cả trừ SSHD và Roxen Web server Dùng web server để download một vài file nhằm thiết lập những máy mới để truy cập VPN

• Không cho phép dùng password

• Disable password hoàn toàn

Mọi xác thực trên máy này nên được thực hiện qua hệ thống xác thực khóa chung của SSH Bằng

cách này, chỉ những người có khóa mới có thể vào mạng, và không thể nhớ một khóa nhị phân

có chiều dài 530 ký tự

Để làm được như vậy, ta cần sửa lại file /etc/passwd Cột thứ 2 chứa password hash, hoặc chứa

‘x’ thông báo cho hệ thống xác nhận tìm trong tập tin /etc/shadow Việc ta cần làm là thay những giá trị trên ở cột này bằng “*” Điều này thông báo cho hệ thống xác nhận rằng không có password, và không một password nào được cho phép

Việc này đã được thực hiện ở bước Thêm những người dùng khi cấu hình VPN Server

• Truy cập người dùng

Truy cập người dùng được thực hiện qua hệ thống xác thực của SSH Như đã đề cập ở phần trên, đây là cách người dùng truy nhập vào hệ thống, trong khi vẫn duy trì mức độ bảo mật cao (SSH đang dùng là SSH1)

• Cấu hình SSHD

Disable password authentication và rhosts authentication trong tập tin /etc/SSHD_config như sau:

• Giới hạn người dùng

Chỉ cho người dùng chạy PPPD sudo hay không sudo PPPD cần chạy dưới quyền root Tuy nhiên,

ta chạy mọi thứ trên VPN Server bằng quyền người dùng vpn-users Để các vpn-users chạy PPPD, ta dùng tiện ích sudo

Sudo cấp quyền superuser cho các người dùng thường nhưng chỉ gồm một tập lệnh rất giới hạn được quy định bởi người quản trị hệ thống Trong trường hợp này, ta chỉ muốn cho người dùng VPN chạy PPPD bằng đặc quyền superuser Phương pháp này được sử dụng khi muốn cho phép người dùng truy nhập shell

Nếu không muốn cho phép người dùng truy nhập shell, thì cách tốt nhất là làm cho shell của họ PPPD như đã thực hiện trong tập tin / etc/ passwd cho 3 người dùng ở 3 hàng cuối ở bước Thêm những người dùng thuộc phần cấu hình VPN Server

3 Bảo mật cho Client và Gateway trong giải pháp SSL VPNs

Trong giải pháp SSL VPNs, SSL VPNS có thể đơn giản hóa việc truy cập từ xa thì đồng thời nó cũng phức tạp hóa quá trình bảo mật thông tin vì người sử dụng lại thường truy cập vào các ứng dụng từ các máy tính kém tin cậy nhiều hơn Để khắc phục vấn đề này, các nhà cung cấp đã phải nỗ lực rất nhiều trong việc đưa tính năng kiểm tra độ tin cậy của máy client vào trong giải pháp của mình Quá trình kiểm tra này có thể chia thành ba loại chính: quét host, dọn dẹp cache

và tạo một sandbox bảo mật trên một thiết bị client

Một vài nhà cung cấp khác đang từng bước bổ sung các tính năng cho gateway để nó có thể tự bảo đảm an toàn cho mình Quá trình quét gateway sẽ tóm gọn các phần mềm có hại (malware)

bị bỏ qua bởi quá trình kiểm tra host, trong khi các tường lửa tầng ứng dụng thì nhận nhiệm vụ nhận dạng các cuộc tấn công theo kiểu SQL injection hoặc tràn bộ đệm bắt nguồn từ các máy núp danh người dùng cuối tin cậy

Hãng Whale trang bị cho gateway SSL VPN của mình một tường lửa tầng ứng dụng Tường lửa chỉ cho phép các thông lượng thỏa mãn yêu cầu đặt ra của ứng dụng, mọi lưu lượng còn lại đều

bị drop Giải pháp Connectra SSL VPN của CheckPoint có thể chạy cùng một cơ chế chặn tấn công trên tầng ứng dụng và Web như trên FireWall-1 (một sản phẩm tường lửa nổi tiếng của hãng) Giải pháp FirePass SSL VPN của F5 thì lại bao gồm nhiều phần cùng hoạt động như: phần phát hiện và diệt virus, phần ngăn chặn SQL injection đơn giản, phần chặn các script liên site và các tấn công trên nền Web khác

Một tùy chọn khác là truyền các traffic SSL VPN qua một thiết bị bảo mật bổ sung ngay sau khi traffic được giải mã ở gateway Checkpoint, Juniper, và F5 đều giới thiệu đến khách hàng giải pháp bảo mật trên tầng ứng dụng trong loạt sản phẩm truyền thống của họ Aventail vừa mới đây cũng đã công bố liên kết với NetContinuum, một công ty chuyên về xây dựng các tường lửa ứng dụng Web

Các chuyên viên mạng sẽ phải cân nhắc lựa chọn giữa hai công nghệ truy cập từ xa này Việc để traffic mạng đi qua nhiều thiết bị hỗ trợ bảo mật đồng nghĩa với việc tăng độ trễ cho kết nối cũng như tăng xác suất sai hỏng dữ liệu Tuy nhiên, mặt khác thực hiện quá nhiều thao tác kiểm tra bảo mật tại gateway SSL VPN chắc chắn sẽ ảnh hưởng đến hiện năng họat động chung của

1) Kết nối truy xuất từ xa VPN

Một client truy xuất từ xa thực hiện một sự kết nối VPN theo một mạng riêng (theo quan hệ một).VPN truy nhập từ xa hay mạng riêng ảo quay số ( Virtual private dial-up network VPDN) đuợc triển khai, thiết kế cho nhừng khách hàng riêng lẻ ở xa như những khách hàng đi đường hay những khách hàng truy cập vô tuyến Trước đây, các tổ chức, tập đoàn hỗ trợ cho những khách hàng từ xa theo những hệ thống quay số Đây không phải là một giải pháp kinh tế, đặc biệt khi một người goi lại theo đường truyền quốc tế Với sự ra đời của VPN truy cập từ xa, một khách hàng di động gọi điện nội hạt cho nhà cung cấp dịch vụ Internet (ISP) để truy nhập vào mạng tập đoàn của họ chỉ với một máy tính cá nhân được kết nối Internet cho dù họ đang ở bất

một-kỳ đâu VPN truy cập từ xa là sự mở rộng những mạng quay số truyền thống Trong hệ thống này, phần mềm PC cung cấp một kết nối an toàn - như một đường hầm, cho tổ chức Bởi vì những người sử dụng chỉ thực hiện các cuộc gọi nội hạt nên chi phí giảm

2) Kết nối Site-to Site VPN

Một router thực hiện sự kết nối site-to-site VPN, sự kết nối này nối 2 phần của mạng riêng VPN site - to - site được triền khai cho các kết nối giữa các vùng khác nhau của một tập đoàn hay tổ chức Nói cách khác mạng ở một đia điểm, vi trí được nối kết với mạng ở một vị trí khác

sử dụng một VPN Truớc đăy, một kết nối giữa các vi trí này là kênh thuê nêng hay frame relay Tuy nhiên, ngày nay hầu hết các tổ chức, đoàn thể, tập đoàn đều sử dụng Intemet, với việc sử dụng truy nhặp Intemet, VPN site-to-site có thế thay thế kênh thuê riêng truyền thống và frame relay VPN site-to site là sự mở rộng và kế thừa có chọn lọc mạng WAN Hai ví dụ sử dụng VPN site - to - site là VPN Intranet và VPN Extranet VNP Intranet có thế xem là những kết nối giữa các vị trí trong cùng một tổ chức, người dùng truy cập các vị trí này ít bị hạn chế hơn so vớiVPN Extranet VPN Extranet có thề xem như những kết nối giữa một tổ chức và đối tác kinh doanh của nó, người dùng truy cập giữa các vi trí này được các bên quản lý chặt chẽ tại các vi trí của mình

Hiện nay có một vài giải pháp VPN cho Linux:

IPSec - IP Security Tunnel Mode

• PPTP - Point to Point Tunneling Protocol

• L2TP - Layer 2 Tunneling Protocol

• SSH+PPPD - PPP over SSH tunnel

• CIPE

Là một giao thức mạng, giao thức mạng này cho phép bảo mật sự chuyển đổi dữ liệu từ một client từ xa tới một tổ chức server riêng bằng việc tạo một mạng riêng ảo qua mạng dữ liệu cơ

sở TCP/ IP PPTP hỗ trợ các nhu cầu, nhiều giao thức, mạng riêng ảo qua những mạng chung chẳng hạn như Internet PPTP cho phép IP qua nó được mã hóa, và sau đó đóng gói IP để được gởi qua một tổ chức mạng IP hoặc một mạng IP chung chẳng hạn như Internet

Là một giao thức đường hầm Internet chuẩn công nghiệp, giao thức này cung cấp sự đóng gói cho việc gởi cơ cấu Point-to-Point (PPTP) qua môi trường hướng đóng gói L2TP cho phép sự chuyển đổi IP được mã hóa, và sau đó gởi qua bất kỳ phương tiện nào, những phương tiện này

hỗ trợ đọc cấu trúc point-to-point, chẳng hạn IP Sự thực thi của giao thức L2TP sử dụng sự mã hóa Internet Protocol security (IPSec) để bảo mật dữ liệu từ VPN client tới VPN server Phương thức IPSec cho phép những gói được mã hóa, và sau đó được đóng gói trong một header IP để gởi qua một tổ chức mạng IP hoặc một mạng IP chung chẳng hạn như Internet Sự kết nối PPTP yêu cầu chỉ sư xác nhận người sử dụng qua một sư xác nhận dựa trên giao thức PPP L2TP/ IPSec yêu cầu trên sư xác nhận cấp độ người sử dụng như nhau và, thêm nữa, sự xác nhận ở mức độ máy tính sử dụng sự chứng nhận máy

Đường hầm là toàn bộ tiến trình xử lý đóng gói, routing, và mở gói Đường hầm bao bọc, hoặc đóng gói, gói chính ở trong một gói mới Gói này có lẽ có một địa chỉ mới và thông tin lộ trình,

mà cái này cho phép nó để đi qua một mạng Khi đường hầm được kết hợp với dữ liệu cẩn mật, gói dữ liệu chính thì không bộc lộ ra tới sự lắng nghe này để di chuyển trên mạng Sau khi những gói được đóng gói tìm kiếm điểm đến của chúng, sự đóng gói thì được removed, và gói chính

được sử dụng để tìm tới điểm đến cuối cùng

Đường hầm là đường dẫn chuyển dữ liệu qua chính nó, qua nó dữ liệu được đóng gói Để điểm bắt đầu và điểm đến ngang hàng, đường hầm thường trong suốt và xuất hiện như là sự kết nối point-to-point trong đường dẫn mạng khác Sự ngang hàng thì không biết của bất kỳ router nào, switches, proxy servers, hoặc cổng bảo mật khác giữa những điểm bắt đầu của đường hầm và điểm kết thúc của đường hầm Khi đường hầm được kết hợp với dữ liệu cẩn mật, nó có thể được cung cấp một mạng riêng ảo (VPN)

Những gói được đóng gói đi qua mạng trong đường hầm Trong ví dụ này, mạng là Internet Cổng ở đây là cổng bên lề, cổng này đứng giữa bên ngoài Internet và mạng riêng ảo Cổng bên ngoài ở đây có thể là một router, tường lửa, proxy server, hoặc cổng bảo mật khác Vì vậy, 2 cổng này có thể được sử dụng bên trong mạng riêng để đảm bảo cho việc di chuyển qua những phần mạng không được ủy thác

Khi IPSec được sử dụng trong phương thức đường hầm, IPSec chỉ cung cấp sự đóng gói cho sự

di chuyển IP Lý do chính cho việc sử dụng phương thức trên là tính liên vận với những routers, các cổng, hoặc những hệ thống cuối mà những cái đó không hỗ trợ L2TP qua đường hầm IPSec hoặc PPTP VPN

Hệ thống thiết lập VPN dưới đây sử dụng SSH (secure shell) và PPP (point-to-point protocol): dùng SSH để tạo kết nối đường hầm, sau đó dùng PPPD để chạy TCP hoặc IP qua đó Ta sẽ tìm hiểu cơ chế hoạt động của loại hình VPN này

4 Giới thiệu về SSH và PPPD

SSH là một giao thức cung cấp những trao đổi từ xa được mã hóa an toàn qua kênh không an toàn ví dụ như là Internet Về thực chất, SSH là bộ thực thi lệnh và bộ mã hóa Một cách cụ thể, SSH là chương trình login vào một máy ở xa và thực thi những lệnh trên máy này, sau đó chuyển

về cho máy nội tại output chuẩn có được do nó bảo SSHD chạy trên máy ở xa

SSHD là một tiến trình daemon, được ghép vào làm việc cùng SSH theo mô hình server-client Cặp chương trình: SSH và SSHD có chức năng mã hóa và giải mã tất cả giao thông giữa chúng PPP là giao thức chuẩn trao đổi những gói tin qua kết nối nối tiếp (thường là modem) Bằng việc

sử dụng PPP, có thể nối máy Linux PC vào server PPP và truy cập tài nguyên mạng mà server đó được nối vào như thể máy Linux PC được nối trực tiếp vào mạng đó

PPPD là một tiến trình daemon có khả năng thiết lập những tham số kết nối với máy từ xa bằng cách trao đổi địa chỉ IP, sau đó thiết lập những giá trị trao đổi Khi đó, PPPD sắp đặt tầng mạng trên kernel Linux sử dụng liên kết PPP bằng cách đặt giao diện là hoặcdevhoặcPPP0 (nếu đó là liên kết PPP kích hoạt đầu tiên trên máy) Cuối cùng, PPPD thiết lập bảng chỉ đường để hướng đến máy ở đầu cuối của liên kết PPP

khóa như sau:

• Tập tin identity.pub chứa khóa chung, thích hợp cho việc gởi cho người khác

• Tập tin identity chứa khóa riêng, nên được giữ kín

Một tập tin liên quan đến khóa nữa có trong thư mục home của người sử dụng SSH là

authorized_keys

Khi client muốn login vào server, client gởi đến server khóa chung của client bằng cách gởi một bản copy của identity.pub dưới dạng tập tin, hay nhúng nội dung của nó vào một thông điệp e-mail (do khóa này chỉ chứa toàn là mã ASCII nên độ bảo mật trong quá trình chuyển khóa không quan trọng) server sẽ đặt khóa chung của Client vào tập tin authorized_keys của server

Sự xác thực người dùng hoạt động như sự tác động qua lại giữa những tập tin khóa của người dùng Khi client sử dụng SSH login vào server, sự xác thực được thực hiện bởi SSHD trên server: SSHD dùng khóa chung của client mã hóa một thứ gì đó và gởi cho client client sẽ phải chứng minh bản thân bằng cách giải mã và gởi lại cho server dữ liệu khớp với bản gốc mà Server đã dùng mã hóa Lúc này, việc xác thực hoàn tất SSHD sẽ ghi vào tập tin log trên server rằng việc xác thực người dùng từ xa được chấp nhận Kế đến, server phân phát terminal giả và bắt đầu một shell tương tác hay chương trình người dùng SSH chuyển về cho máy client output chuẩn có được do nó bảo SSHD chạy trên máy server Như vậy, người dùng chỉ việc ngồi ở máy mình, login vào và thao tác như người dùng của máy tính ở xa Tất cả những lệnh hay kết quả đều được chuyển từ máy ở xa về máy nội tại Điều này giống như khi ta telnet nhưng khác telnet ở chỗ mọi thứ được mã hóa

Phương pháp xác thực không liên quan đến password Nó chỉ quan tâm đến việc người dùng có thể đưa ra khóa chung được trông đợi và thể hiện quyền sở hữu một khóa riêng tương hợp với

nó hay không

2) Mã hóa

Khi đã được xác thực, Client có thể vận hành máy ở xa như chính người dùng của máy đó vậy Tại đó, SSHD chạy lệnh hay shell được Client yêu cầu và gởi mọi output chuẩn về cho màn hình của Client sau khi đã mã hóa chúng Hội thoại trực tiếp giữa các máy là tất cả giữa SSH và SSHD SSH trên Client biết phải làm gì với dòng dữ liệu vào (giải mã nó) và làm như thế nào để giải mã (sử dụng khóa đã được thỏa thuận) Chuyện tương tự xảy ra với giao thông theo chiều ngược lại: SSH mã hóa và SSHD giải mã

Khóa mã hóa được dùng trên mỗi máy cho dữ liệu truyền ngoài không phải là khóa chung của Client mà là một khóa bí mật khác do SSH và SSHD thỏa thuận trong giai đoạn đàm phán đầu tiên giữa chúng Trong khi khóa chunghoặcriêng của SSH-keygen đóng vai trò chính trong quá trình xác thực, vai trò của chúng trong mã hóa chỉ là mã hóa một cách không thể xâm nhập sự trao đổi về khóa bí mật này Khóa mật này được gọi là “khóa tác vụ” (session key), được dùng

để mã hóa những thông điệp tiếp theo trong giao tiếp giữa client và server Cả hai cùng dùng khóa tác vụ để mã hóa giao tiếp Thuật toán khóa mật nhanh hơn những thuật toán khóa chung hoặc riêng

Những máy tương tác không biết rằng hội thoại giữa chúng được mã hóa trên đường đi Chúng chỉ việc xác định địa chỉ IP và gởi những gói tin cho nhau, còn lại thì để cho bảng tìm đường định đoạt Khi đến VPN server, bảng tìm đường ở đó sẽ chỉ những gói tin này đến giao diện PPPD vận hành bởi SSH

3) Đường hầm

Để sử dụng môi trường truyền dẫn chung trên Internet người ta phải sử dụng một kỹ thuật mới, một phần mềm mới gọi là " tạo đường hầm " (Tunnelling) mà ý nghĩa vật lý tương tự như đường tàu điện ngầm riêng chạy dưới mạng lưới giao thông công cộng của một thành phố

Tuy nhiên để bảo vệ được các thông tin nội bộ trong mọi trường hợp cần phải có bức tường lửa, phương thức làm việc theo kiểu khách hoặc chủ (client hoặc server) và các biện pháp mã hoá để kiểm soát các đối tượng truy nhập với cách làm việc như sau: Khi một trạm đầu cuối

(Workstation) tại một chi nhánh sử dụng phần mềm tạo đường hầm khách (client tunnelling software) gửi yêu cầu truy nhập tới máy chủ (server) có phần mềm tạo đường hầm chủ

(tunnelling server software) ở trung tâm hay ở phía đầu xa qua mạng Internet

Trong máy chủ này đã có danh sách các trạm đầu cuối được phép truy nhập, nếu kiểm tra đúng danh sách, máy chủ cho phép kiến tạo một đường hầm và sử dụng các biện pháp mã hoá để kiểm soát, máy chủ gửi lại cho trạm đầu cuối kia một địa chỉ Internet nội bộ (IP address) để làm

cơ sở kết nối, địa chỉ này chỉ sử dụng trong mạng máy chủ Khi cuộc nối (hay đường hầm qua Internet) thiết lập đã được xác nhận là đúng, khách hàng ở trạm đầu cuối có thể truy nhập vào mạng máy chủ để trao đổi thông tin.Máy chủ kiểm tra tất cả các cuộc truy nhập vào, xác nhận đúng trước khi cho phép kiến tạo đường hầm Ngoài ra, gói dữ liệu IP (Internet Protocol

datagram) sử dụng trong mạng máy chủ cũng đã được mã hoá bằng nhiều biện pháp khác nhau

và sau đó mới lồng vào bên trong gói dữ liệu TCPhoặcIP khác để truyền đi trên Internet, do vậy

dữ liệu truyền cho nhau qua Internet được bảo vệ an toàn

PPPD là vật tải giao thông cho những chương trình khác, có nghĩa là mọi thứ trao đổi giữa Client

và Server thông qua giao diện PPPD (khởi tạo dưới sự điều khiển SSH) sẽ tự động đi qua đường hầm

Khái niệm tạo đường hầm là chỉ một tiến trình đặt gói tin vào một bao đóng khác rồi gởi nó qua mạng Giao thức của gói tin bên ngoài này được hiểu bởi mạng và hệ thống hai đầu – nơi gói tin vào và ra khỏi mạng – và được gọi là giao diện đường hầm

Kết nối gì đang được trao đổi trên mạng Sau khi những gói tin dữ liệu thật được giải mã và xác thực bởi hai máy ở hai đầu kết nối, dữ liệu thật được chuyển đến những đường hầm là một kết nối mạng giữa hai đầu và chuyển những gói tin đã được mã hóa từ đầu này đến đầu kia thông qua mạng Internet Các gói tin đã được mã hóa nên những kẻ nghe trộm không thể hiểu được thông tin máy trong mạng nội bộ

Lấy ví dụ ở mô hình VPN Network-Network, VPN có hai máy chủ điều khiển sự mã hóa hoặc giải

mã giao thông VPN: Client và Server, thuộc hai mạng mà ta muốn nối và cũng là điểm bắt đầu

và kết thúc của VPN Client ở một đầu chạy tập lệnh để gọi Server ở đầu kia, chúng phục vụ như điểm tiếp xúc hay ống dẫn dữ liệu giữa hai mạng và cũng là đại diện cho bất cứ cặp máy tính nào thuộc hai mạng muốn hội thoại với nhau

Tập lệnh mà Client gọi cho Server phải thực thi 4 lệnh, trong đó hai lệnh được thực thi trên VPN Server:

• PPPD trên server

• PPPD trên client, nơi tập lệnh chạy

• route trên client

• route trên server

Những lệnh PPPD thiết lập kết nối hoạt động - dây nối chỉ có giữa hai đầu client và server mà

không mở rộng kết nối đến bất kỳ cặp máy tính nào khác trên mạng mà hai client và server nối vào Việc mở rộng kết nối được thực hiện bằng lệnh route Như vậy, một khi bốn lệnh trên được thực thi, các máy của hai mạng hòa thành một nhóm máy tính duy nhất và chúng thấy được lẫn nhau qua địa chỉ Internet

6 Truy xuất từ xa trong giải pháp SSL VPNS

SSL VPN được xây dựng trên nền tảng giao thức Secure Sockets Layer (bây giờ được biết đến với tên gọi Transport Layer Security hay TLS được khuyến nghị bởi IETF) Về cơ bản SSL VPNS yêu cầu 2 thành phần: Một trình duyệt Web và một Gateway Khi trình duyệt Web thiết lập một kết nối với gateway, chứng nhận điện tử của gateway sẽ được xác nhận và traffic của phiên làm việc

sẽ được mã hóa, cho khả năng an toàn thông tin cao hơn Gateway SSL VPN thường được đặt ở vùng DMZ phía sau tường lửa của doanh nghiệp, tại đó, nó sẽ can thiệp vào các traffic đã được

mã hóa đi qua port 443 Sau đó Gateway sẽ giải mã dữ liệu thu được và phụ thuộc vào phương thức truy cập được thiết lập mà nó cấp cho người dụng một portal bao gồm một menu của một ứng dụng được phép truy cập hoặc một kết nối mô phỏng môi trường làm việc tại văn phòng của người sử dụng truy cập từ xa

Thao tác truy cập bằng SSL VPN chỉ yêu cầu người dùng có một trình duyệt Web cho việc truy xuất đơn giản Sự đơn giản này chính là một yếu tố quan trọng khiến cho SSL VPN ngày càng trở nên phổ biến hơn

Tuy nhiên, thường chỉ các doanh nghiệp lớn mới đủ khả năng triển khai mạng riêng ảo bảo mật

vì chi phí đầu tư cho các máy chủ và thiết bị chuyên dụng SSL VPN lớn, đòi hỏi đội ngũ chuyên gia có trình độ bảo mật cao để vận hành và bảo trì hệ thống

Ba lớp của truy cập trong SSL VPNS:

Sự phổ biến của công nghệ SSL VPN đã thúc đẩy các nhà cung cấp mở rộng công nghệ truy cập

từ xa theo hướng bao gồm cả các ứng dụng không có định dạng Web Kết quả là sự ra đời của

mô hình truy cập 3 lớp, mỗi lớp có đặt ra những yêu cầu riêng Ba lớp ở đây chính là các

clientless, Browser-Plus và Network Access

• Đối với những kết nối SSL clientless, người sử dụng chỉ có thể chạy các ứng dụng trên nền Web trong một trình duyệt Web

• Các kết nối SSL Browser-Plus download về một điều khiển Active nhỏ hoặc một Java applet cho phép trình duyệt có thể truyền dữ liệu với ứng dụng Phương thức này rất phù hợp cho các dịch

vụ terminal và các ứng dụng client server

• Network Access được xây dựng trên truy cập Browser-Plus bằng cách cung cấp một kết nối mạng hoàn chỉnh tương tự như IPSec Kết nối này bao gồm việc truy cập đến các hệ thống chia

sẻ file, các ứng dụng, máy in và các dịch vụ khác trên mạng Các ứng dụng trên nền TCP sử dụng port động và các ứng dụng UDP như VoIP đồng thời cũng được kích họat Tuy nhiên, các ứng dụng truyền dữ liệu theo luồng (streaming-based) vẫn có thể gây ra một vài vấn đề cho SSL VPNS, đặt biệt là trong trường hợp nếu một thực thể khác thực hiện một phiên truyền dữ liệu theo kiểu streaming với một user sử dụng SSL VPN

Mặc dù các nhà cung cấp giải pháp Network Access đòi hỏi phải có các phần mềm client (cho dù

là một applet hay là một ứng dụng Windows) có một sự khác biệt khá rõ rệt giữa chúng Ví dụ: Các nhà cung cấp như Juniper và F5 Networks yêu cầu gateway phải duy trì một pool địa chỉ IP, đồng thời với việc gắn một địa chỉ cho các client ở xa trong suôt phiên làm kết nối Và như đã đề cập ở trên, luồng traffic này được đi qua một firewall dưới dạng mã hóa toàn bộ

Về lý thuyết là như vậy, còn trên thực tế, yêu cầu tối thiểu để thực thi Network Access là các client phải download về một số Java applet hoặc ActiveX đồng thời trong một số trường hợp client phải cài thêm một số phần mềm đặc biêt, chuyên dụng trong Windows Vấn đề nằm ở chỗ các applet có thể bị block bởi các thiết bị đầu cuối công cộng hoặc được đánh dấu là không được truy cập từ các máy tính “phi Windows”

Giải pháp Network Access còn không thành công trong việc ngăn chặn các cuộc tấn công trên tầng ứng dụng và lọc bỏ các phần mềm độc hại khác trong khi tính năng này ngày càng trở nên thiết yếu khi doanh nghiệp mở rộng thêm số phiên truyền dữ liệu mã hóa không giám sát đi qua tường lửa

Giải pháp sử dụng địa chỉ IP như trên cho phép user hưởng lợi từ một truy cập mạng hoàn chỉnh tuy nhiên đối với các nhà quản trị việc bảo mật cho mạng lại gặp thêm nhiều khó khăn mới User

có thể trở thành phương tiện cho việc vượt qua hạ tầng bảo mật trên nền hệ thống gateway doanh nghiệp, cho phép các phần mềm có hại như các trojan hoặc worms dễ dàng xâm nhập vào hệ thống, vấn đề này được gọi là split-tunneling

Các nhà quản trị cũng buộc phải hi sinh một số khả năng điều khiển truy cập Thay vì sử dụng cơ chế lọc trên ứng dụng thực tế thì họ chỉ có thể lọc dựa trên địa chỉ IP, port hoặc subnet Nếu có nhiều ứng dụng trên một subnet cụ thể nào đó, user sẽ dành được quyền truy cập trên tất cả các ứng dụng đó Một số nhà cung cấp, như Aventail và Whale Communications, cho phép thực hiện việc truy cập vào mạng mà không cần cấp địa chỉ IP cho client Công cụ gateway SSL của Avantail thì chặn các phiên SSL của các client và chuyển các traffic của ứng dụng đến và đi từ mạng LAN trên danh nghĩa của người sử dụng Các traffic đến được kiểm tra dựa trên các chính sách truy cập ứng dụng được định nghĩa trước đó bới các nhà thiết kế mạng Nếu traffic thỏa mãn policies, gateway sẽ forward traffic đến thành phần server của ứng dụng, sau đó thành phần này sẽ trả lời cho gateway và chuyển hướng các hồi đáp thích hợp về cho user

Whale thêm các module phần mềm vào các gateway SSL VPN của mình Các module này cho phép user truy cập vào các ứng dụng mà không cần khởi tạo một kết nối mạng Mức ứng dụng này đôi khi yêu cầu phải download về một vài ActiveX control vào máy client để hộ trợ việc forward qua các cổng Whale thêm vào đến gần 100 modules cho sản phẩm chủ lực của mình

IV Ứng Dụng Của VPN

1 Ứng dụng với mạng WAN và LAN

Ứng dụng dễ nhận biết nhất là tăng tốc độ kết nối mạng dù sự kết nối có xa tới đâu, bởi vì sự kết nối được thông qua các nhà cung cấp dịch vụ kết nối địa phương và sự kết nối xảy ra trên một đường riêng

Áp dụng cho phương thức đào tạo từ xa, quá trình đào tạo từ xa dữ liệu được đảm bảo

Dành cho các tổ chức, các cơ sở áp dụng dịch vụ VPN cho việc tổ chức các cuộc hội thảo qua mạng

Ứng dụng vào hội thoại, voice chẳng hạn như dự đoán bằng tin nhắn hoặc bằng điện thoại để dự đoán trúng thưởng

Trao đổi dữ liệu từ nhân viên đến công ty hoặc tổ chức, gởi mail, chat, dữ liệu được trao đổi qua việc truy xuất từ xa, và dữ liệu được trao đổi được bảo mật

2 Ứng dụng VPN vào thiết bị di động (nokia)

Một sự phát triển chức năng bảo mật trên Nokia, chức năng này giúp khách hàng được bảo vệ khi truy cập mạng riêng ảo (VPN) của công ty dựa trên kỹ thuật SSL (mã hóa dữ liệu giữa máy chủ và khách)

Sau khi nâng cấp, khách hàng sẽ được bảo vệ khi lấy e-mail, dữ liệu thông tin cá nhân (PIM) từ các mạng intranet hay từ các dịch vụ Internet bằng các thiết bị khác nhau như máy tính để bàn, máy tính xách tay, hay thiết bị không dây

Theo Nokia, phiên bản 2.1 được giới thiệu là bảo mật mọi nơi (Secure Workspace), có một tính năng mới là tạo môi trường làm việc riêng biệt căn cứ thiết bị đầu cuối ở các điểm dịch vụ công cộng hay các thiết bị truy cập từ xa khác để bảo vệ dữ liệu trong thời điểm truy cập

Phần mềm này được thiết kế để ngăn chặn những người sử dụng do tình cờ chia sẻ thông tin nhạy cảm bằng cách làm vô hiệu hóa việc sao chép là dán từ môi trường được bảo vệ vào bất cứ ứng dụng nào không được bảo vệ nào Tuy nhiên, những người sử dụng được phép sao chép từ môi trường không bảo vệ và dán vào trong Secure Workspace

Hệ thống truy xuất an ninh Nokia xóa tạm thời các file lưu trình duyệt, cookies, lược sử, và các bookmark khi người sử dụng rời mạng Nó cũng sẽ ghi đè lên tất cả các file di chuyển nhiều lần

để đảm bảo dữ liệu không thể khôi phục lại được

Phiên bản hai, một chỉ sao chép các file mới kết hợp cùng với phiên an ninh, trong khi không chú

ý đến các file khác, các file không có liên quan lưu trên hệ thống Tính năng này giúp người dùng

có thời gian tạo lại sự sắp đặt trình duyệt của họ sau một phiên an ninh, và tăng tốc độ duyệt

Web thông thường bằng cách bỏ mặc các file không có liên quan lưu trên thiết bị

Những tính năng mới khác gồm có chế độ sẵn sàng cao (High Availability), ở chế độ này nếu máy chính không hoạt động thiết bị thứ hai tự động tiếp quản công việc của máy chính; Tính năng tái tạo cấu hình (Configuration Replication), tính năng này cho phép các nhà quản trị xác định nhóm quản lý các cổng vào ra và tự động đồng bộ bất cứ cấu hình nào hoặc thực thi sự thay đổi sở thích người sử dụng trên một cổng vào ra đến tất cả cổng vào ra khác trong nhóm

Và cuối cùng là tính năng quét tình trạng nguyên vẹn của máy khách, tính năng này thực thi khả năng tùy chọn kiểm tra tình trạng không được bảo vệ trên các thiết bị của khách để thiết lập mức độ an toàn và thực thi việc nhận dạng của người sử dụng, và sau đó quyết định đặc quyền truy cập phù hợp với nhận dạng của người sử dụng

Nokia Secure Access System 2.1 được cung cấp miễn phí khi mua bất kỳ thiết bị Nokia Secure Access System nào Các khách hàng hiện hữu có phần mềm thuê bao hay các khách hàng khác yêu cầu hỗ trợ có thể tải phiên bản 2.1 miễn phí

V Các Giải Pháp Về Hệ Thống VPN

1 Juniper cung cấp giải pháp VoIP cao cấp qua VPN

Sản phẩm thoại qua IP (VoIP) với các tính năng mới, cho phép xây dựng những mạng thoại mạnh mẽ chuyên dành cho nhà cung cấp dịch vụ truyền dẫn

Những tính năng mới của J-Voice bao gồm khả năng phát hiện và khôi phục liên kết IP nhanh, kiểm soát cuộc gọi, cải tiến định tuyến IP cho đường truyền thoại và mở rộng cổng ứng dụng (Application Level Gateway - ALG), hỗ trợ cho giao thức theo phiên làm việc (Session Initiation Protocol - SIP) Với việc triển khai giải pháp J-Voice, các nhà cung cấp dịch vụ viễn thông có thể thay thế những dịch vụ thoại truyền thống bằng hệ thống mạng IP có chi phí hiệu quả, khả năng linh hoạt trong việc cung cấp những dịch vụ VoIP riêng biệt theo nhu cầu của khách hàng

2 NTT East triển khai giải pháp Ephelio – VPN

Hãng Nippon Telegraph and Telephone East (Nhật Bản) đã lựa chọn những thiết bị truy cập NetScreen dòng SA và RA của Juniper Networks cho một trong những dịch vụ Ephelio-VPN SSL Kit và giải pháp mạng riêng ảo dựa trên công nghệ lớp bảo mật gói

Ephelio-VPN được giới thiệu lần đầu tiên vào năm 2000 với tên gọi Ephelio-VPN Easy Kit, là một giải pháp gói VPN dựa trên nền IPSec

Sử dụng thiết bị bảo mật PS Card Pro, dịch vụ mới VPN trên nền SSL có những cải tiến về khả năng sử dụng dễ dàng và độ ổn định cao Ephelio-VPN Easy Kit trên nền IPSec trước đây sử dụng sản phẩm bảo mật của Juniper Networks như một bộ phận cấu thành Còn dịch vụ mới Ephelio-VPN SSL Kit triển khai ở góc độ khách hàng qua các dòng thiết bị truy cập bảo mật hoặc truy cập từ xa NetScreen khác cũng của Juniper Networks

Với PS Card Pro, để tách những thông tin cần thiết cho việc chứng thực từ hệ thống phần cứng khách, một chip được nhúng (embedding) trong thẻ ID của khách (PS Card Pro) cho truy cập SSL-VPN Nhờ nhúng phần mềm chứng thực, trình điểu khiển, các thông số cũng như phần mềm khác cần thiết cho các tác vụ truyền thông VPN nằm trong bộ nhớ di động, việc thiết lập VPN trở thành một quy trình đơn giản với người dùng cuối PS Card Pro cũng được tích hợp những tính năng bảo mật khác như tường lửa cá nhân, kiểm soát khởi động hệ thống khách và những tính năng bảo mật khác

Dòng sản phẩm truy cập bảo mật và truy cập từ xa NetScreen của Juniper Networks với công nghệ SSL-VPN là dòng sản phẩm IVE chuyên dụng tiên tiến nhất của ngành công nghiệp mạng

Nó có thể được quản trị thông qua các lựa chọn truy cập Java hay Active-X và hoàn toàn tương thích với mọi kiểu ứng dụng kết nối mạng khác

3 Hệ thống IP-VPN với giải pháp của Nortel

Contivity Secure IP Gateway là dòng sản phẩm chuyên dụng cho giải pháp VPN của Nortel Network, đứng đầu trên thế giới trong việc cung cấp các thiết bị chuyên dụng cho IP-VPN, tiếp theo sau là Cisco, Lucent, Check Point, Nokia Cho phép xây dựng hệ thống IP-VPN với chi phí hợp lý cho mọi mô hình doanh nghiệp từ nhỏ, trung bình đến lớn và rất lớn Từ mô hình các

doanh nghiệp lẫn mô hình cho các nhà cung cấp dịch vụ (ISP), các mô hình site-to-site VPN, Extranet VPN

Contivity Secure IP Gateway là một sản phẩm duy nhất tích hợp đầy đủ các chức năng: VPN + IP Routing + Security Giúp cho hệ thống mạng của bạn có cấu trúc đơn giản hơn, dễ quản trị hơn

• Chức năng định tuyến của Router: Với khả năng định tuyến động, với các giao thức OSPF, RIP

• Firewall: State full Firewall có khả năng lọc gói hiệu quả với hệ thống tập lệnh phong phú Đảm bảo băng thông của mạng không bị tắc nghẽn với tốc độ xử lý của Firewall lên tới 400Mpps

• Các giao thức thiết lập kênh ảo: IPSec, P2PPP, L2TP, L2F

• Khả năng nhận thực: InternalhoặcExternal LDAP, RADIUS, Hard or soft Tokens, X.509

Certificates

• Đảm bảo QoS với các giao thức: Diffserv, RSVP, RED (Random early Detect)

4 Bài toán về chi phí khi sử dụng VPN

Công ty A, có hệ thống mạng, máy chủ Hà Nội, với 100 máy trạm, mail server, file server lưu dữ liệu Chi nhánh ở Hồ Chí Minh với khoảng 20 máy Yêu cầu đặt ra là giải pháp để các thành viên

ở Hồ Chí Minh có thể truy cập được Dữ liệu trên Server tại Hà Nội, một số nhân viên thường xuyên đi công tác có thể kết nối từ xa về hệ thống dữ liệu của công ty Hệ thống mạng tại Hà Nội kết nối Internet với yêu cầu bảo mật cao (có firewall), cấu trúc mạng đơn giản, dễ quản trị, giá thành thấp

• Giải pháp: Sử dụng giải pháp VPN với sản phẩm của Nortel

Nhận xét: Do hệ thống yêu cầu: VPN + Firewall + Routing, như vậy nếu dùng theo mô hình truyền thống, ta sẽ phải sử dụng 2 tới 3 thiết bị, nhưng với Nortel bạn chỉ phải dùng duy nhất một sản phẩm, cấu trúc mạng rất đơn giản, dễ quản lý, giá thành thấp Tại Hà nội dùng Contivity

600, có phần mềm Statefull firewal, hỗ trợ các giao thức định tuyến động, hỗ trợ IP-VPN với 30 kết nối đồng thời

Các nhân viên tại HCM và các nhân viên thường xuyên đi công tác sẽ được cài phần mềm VPN client, mỗi khi kết nối vào Internet chỉ cần kích hoạt phần mềm VPN thì họ có thể truy cập về hệ thống máy chủ tại Hà Nội

Với giải pháp này chỉ cần chi phí ban đầu cho trung tâm tại Hà Nội (thuê đường truyền internet + Contivity 600) Chi nhánh tại HCM thì chỉ cần thuê đường truyền ADSL thông thường để kết nối Internet Các nhân viên lưu động có truy cập từ xa về mạng mình ở bất cứ điểm truy cập

Internet nào (trong nước, quốc tế)

• Khả năng đáp ứng của hệ thống

Với Contivity 600, với tốc độ 15Mbps 3DES, 160 Mbps firewall đảm bảo cho 100 máy trạm kết nối Internet, đảm bảo Security Với 30 Tunnel truy cập đồng thời đảm bảo cho các user tại HCM và các user lưu động truy cập về trung tâm

Đảm bảo Security với: Ipsec, 3Des, Client policy, RADIUS, LDAP Statefull firewall với tập lệnh phong phú, khả năng lọc gói hiệu quả Tại phía người truy cập sẽ được đảm bảo an ninh với các

cơ chế đóng gói và mã hoá của VPN client soffware

• Cấu hình chi tiết