Ví dụ nh để kết nối các site của một công ty với nhau mà khoảng cách thì xa nhau, nếu thông qua môi trờng Internet, để đảm bảo trao đổi dữ liệu qua lại đợc giữa các site này thì trớc kia
Trang 1Trờng đại học vinh Khoa cntt
-Đề tài:
TìM HIểU Về VPN Và TRIểN KHAI vpn
CHO doanh nghiệp VừA Và NHỏ
Giáo viên hớng dẫn : Th.s Nguyễn Công Nhật Sinh viên thực hiện : Hồ Sỹ Thắng
Lớp : 45K CNTT – CNTT
Lời cảm ơn
Em xin gửi lời cảm ơn chân thành nhất đến thầy giáo Th.s Nguyễn
Công Nhật, thầy đã tận tình hớng dẫn, giúp đỡ em trong suốt thời gian thực
hiện đồ án này
Con cảm ơn Cha, Mẹ và gia đình, những ngời đã dạy dỗ, khuyến khích,
động viên con trong những lúc khó khăn, tạo mọi điều kiện cho con nghiêncứu học tập
Vinh - 2009
Trang 2Em xin chân thành cảm ơn các thầy, các cô trong khoa Công NghệThông Tin trờng Đại Học Vinh đã dìu dắt, giảng dạy em, giúp em có nhữngkiến thức quý báu trong những năm hoc vừa qua.
Cảm ơn bạn bè trong và ngoài lớp đã tận tình đóng góp ý kiến cho đồ
án của em Mặc dù rất cố gắng nhng đồ án của em không tránh khỏi nhữngsai sót, em mong đợc sự thông cảm và góp ý của thầy cô và các bạn
Em xin chân thành cảm ơn!
Vinh, Ngày 10 tháng 05 năm 2009
Sinh viên: Hồ Sỹ Thắng
Trang 3Lời nói đầu
Những năm qua chúng ta đã và đang sống trong thời kì phát triển nhanh chóng và sôi động của CNTT Chiếc máy tính đa năng, tiện lợi và hiệu quả mà chúng ta đang dùng, giờ đây đã trở nên chật hẹp và bất tiện so với các máy vi tính nối mạng Từ khi xuất hiện mạng máy tính, tính hiệu quả tiện lợi của mạng đã làm thay đổi phơng thức khai thác máy tính cổ điển Phơng án truyền thông nhanh, an toàn và độ tin cậy đang trở thành mối quan tâm của nhiều công ty, tổ chức, đặc biệt là các công ty, tổ chức có các địa
điểm phân tán về địa lí, công ty đa quốc gia.Giải pháp thông thờng đợc áp dụng bởi đa số các công ty là thuê đờng truyền riêng để duy trì một mạng WAN Nhng để bảo trì một mạng WAN, đặc biệt là khi sử dụng một đờng truyền riêng,có thể trở nên quá đắt và làm tăng giá khi công ty muốn mở rộng thêm các văn phòng đại diện Khi phổ biến của Internet gia tăng, các công ty thơng mại đầu t và nó nh một phơng tiện quảng bá công ty của họ
và đồng thời cũng mở rộng các mạng mà họ sở hữu
Với sự phát triển về phơng tiện truyền thông nh ngày nay, việc trao đổi dữ liệu qua lại không còn gói gọn trong một môi trờng nào đó mà nó mang nghĩa rộng hơn, linh hoạt hơn Ví dụ nh để kết nối các site của một công ty với nhau mà khoảng cách thì xa nhau, nếu thông qua môi trờng Internet, để
đảm bảo trao đổi dữ liệu qua lại đợc giữa các site này thì trớc kia ta thờng ứng dụng theo kiểu thuê kênh riêng (Lease line) Nhng điều này trở nên rất tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên phơng diện
đó
Mục đích của VPN là cho phép chúng ta truy cập giữa các site, hay client
đến site thông qua môi trờng Internet, khi đó sẽ kết hợp với tờng lửa thì sẽ
đảm bảo độ tin cậy cũng nh an toàn dữ liệu thông qua một đờng pipe (ống) riêng ảo đợc tạo ra trên môi trờng Internet của công nghệ VPN Việc ứng dụng VPN sẽ mang lại cho chúng ta khá nhiều lợi ích cũng nh tiết kiệm chi phí rất nhiều so với việc thuê kênh riêng
Chơng 1 : Một số khái niệm cơ bản về VPN ……… 6
1 Một số khái niệm cơ bản về VPN ……… 6
1.1 Tìm hiểu về VPN……… 6
1.2 Các giao thức trong VPN……… 9
Trang 41.3 Sự thuận lợi và bất lợi của VPN ……… 10
1.4 Phân loại VPN ……… 11
2 Các thành phần bảo mật của VPN ……… 15
2.1 Các phơng thức nhận dạng ngời dùng …… ……… 17
2.2 Điều khiển quyền truy cập …… ……… 18
2.3 Mã hoá dữ liệu ……… ……… 19
3 Các thiết bị sử dụng trong VPN ……… 20
Chơng 2: Virtual Private Netwok Protocol ……… 23
1 Khái niệm cơ bản về Tunneling Technology ……… 23
1.1 Những điểm thuận lợi của VPN … ……… 23
1.2 Các thành phần của VPN………… ……… 24
1.3 Sự hoạt động của VPN ……… ……… 24
2 Tunneling Protocol ở tầng 2 ……… 26
2.1 Point-to-Point Protocol (PPP)……… ……… 26
2.2 Point-to-Point Tunneling Protocol (PPTP) ……… 27
2.3 Layer Forwarding (L2F)……… ……… .28
3 Giới thiệu về IPSec ……… ……… 29
3.1 Understanding IPSec ……… ……… 29
3.2 IPSec Security Associations ……… ……… 31
3.3 IPSec Security Protocols ……… ……… 32
3.4 Các chế độ IPSec……… ……… 33
3.5 Internet Key Exchange ……… ……… 36
Chơng 3: Bài toán thực tế, mô hình và các bớc triển khai VPN … 37
1 Một số bài toán thực tế cho doanh nghiệp quy mô vừa và nhỏ…… 37
1.1 Bài toán ……… 37
1.2 Giải pháp ……… ……… 37
1.3 Hạch toán chi phí ……… ……… .37
2 Mô hình VPN ……… ……… 38
3 Các bớc triển khai VPN ……… ……… 38
3.1 Config Routing and Remote Access console trên VPN Server … … 38
3.2 Tạo tài khoản ngời dùng (User) và cấp quyền truy cập VPN…… 49
3.3 Thiết lập VPN Client ……… 52
Kết luận ……… ……… .58
Trang 5Tài liệu tham khảo …… ……… .59
Danh từ các mục viết tắt Dạng viết tắt Dạng đầy đủ
VPN Virtual Private Network
ATM Asynchronous Transfer Mode
POP Point Of Presence
PVC Permanent Virtual Circuit
VPDN Virtual Private Dial-up Network
LAN Local Area Network
Logic Logic connection
L2TP Layer 2 Tunneling Protocol
L2F Layer 2 Forwording
PPTP Point-to-Point Tunneling Protocol
PSTNs Public Switched Telephone Network
ISP Internet Service Provider
RAS Remote Access Service
FDDI Fiber Destribute Data Interface
IPX Internetwork Packet Exchange
PPP Point-to-Point Protocol
RFC Request For Comments
DTE Data Terminal Equipment
DCE Data Connection Equipment
GRE Generic Routing Encapsulation
IPSec IP Security Protocol
IETF Internet Engineering Task Force
IKE Internet Key Exchange
SA Security Association
ESP Encapsulating Security Payload
IANA Internet Numbers Authority
DES Data Encryption Standard
AH Authentication Header
HMAC-MD5 Hashing Message Authentication Codes-Message Digest 5DOS Denies Of Service
NAT Network Address Translation
HSSI Hig Link Quality Monitoring h-Speed Serial Interface
LCP Link Control Protocol
NCP Network Control Protocol
LQM Link Quality Monitoring
PAP Password Authentication Protocol
CHAP Challenge Handshake Authentication Protocol
RARS Routing And Remote Server
MPPE Microsoft Point to Point Encryption
Trang 6Chơng I Một số khái niệm về VPN (Virtual
Private Networking).
1 Một số khái niệm cơ bản về VPN.
1.1 Tìm hiểu về VPN.
1.1.1 Virtual Private Network.
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung(thờng là Internet) để kết nối với các site (các mạng riêng lẻ) hay nhiều ngời
sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng nh
đờng truyền riêng (lease line), mỗi VPN sử dụng các kết nối ảo đợc dẫn ờng qua Internet từ mạng riêng các công ty với các site hay các nhân viên từxa
VPN_Virtual Private Network, có thể đợc dịch là mạng ảo nội bộ Bạn
có thể tự hỏi, đã trong mạng nội bộ rồi thì còn dùng ảo làm gi? Ngời dùngkhi đi công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc nhữngchơng trình có thể dùng nh họ đang ngồi văn phòng Đó là lí do cho cái tên
ảo (Virtual)
Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet vàtính phổ cập của nó Tuy nhiên, do Internet là nguồn thông tin công cộngnên có thể truy cập từ bất kì ai, bất kì lúc nào, bất kì nơi đâu, việc trao đổithông tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoạidữ liệu khi trao đổi dữ liệu Công nghệ VPN cung cấp tính bảo mật, tính hiệuquả và độ tin cậy trong mạng, trong khi vẫn đảm bảo cân bằng giá thành chotoàn bộ cho quá trình xây dựng mạng Sử dụng VPN, một ngời làm việc tạinhà qua mạng (telcommuter) có thể truy xuất vào mạng của công ty thôngqua Internet bằng cách xây dựng một đờng hầm bí mật (secure tunnel) giữamáy PC của họ và một VPN router đặt tại bản doanh của công ty
VPN đợc hiểu là phần mở rộng của một mạng Intranet đợc kết nối thôngqua mạng công cộng nhằm đảm bảo an toàn và tăng hiệu quả giá thành kếtnối giữa hai đầu nối Cơ chế và độ giới hạn tính bảo mật tinh vi cũng đợc sửdụng để đảm bảo tính an toàn cho việc trao đổi những dữ liệu dễ bị đánh cắpthông qua một môi trờng không an toàn Cơ chế an toàn bao gồm những kháiniệm sau đây:
Encyption : Mã hoá dữ liệu là một quá trình xử lý thay đổi dữ liệu
theo một chuẩn nhất định và dữ liệu chỉ có thể đợc đọc bởi ngời dùng mong
Trang 7muốn Để đọc đợc dữ liệu ngời nhận buộc phải có chính xác một khoá giảimã dữ liệu Theo phơng pháp truyền thống ngời nhận và gửi dữ liệu sẽ cócùng một khoá để có thể giải mã và mã hoá dữ liệu Lợc đồ public-key sửdụng 2 khoá, một khoá đợc xem nh một public-key (khoá công cộng) mà bất
cứ ai cũng có thể dùng để mã hoá và giải mã dữ liệu
Authentication : Là một quá trình xử lý bảo đảm chắc chắn dữ liệu sẽ
đợc chuyển đến ngời nhận đồng thời củng bảo đảm thông tin nhận đợcnguyên vẹn. ở hình thức cơ bản, Authentication đòi hỏi ít nhất phải nhập vàoUsername và Password để có thể truy nhập vào tài nguyên Trong một sốtình huống phức tạp, sẽ có thêm secret-key hoặc public-key để mã hoá dữliệu
Authorization : Đây là quá trình xử lý cấp quyền truy cập hoặc ngăn
cấm vào tài nguyên trên mạng sau khi đã thực hiện Authentication
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Vănphòng chính), các mạng LAN khác tại văn phòng từ xa, các kết nối (nh 'Vănphòng' tại gia) hoặc ngời sử dụng (Nhân viên di động) truy cập đến từ bênngoài
Trang 8Sơ đồ mạng riêng ảo VPN
1.1.2 Sự Phát Triển Của VPN :
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã
có từ 17 năm trớc và trải qua nhiêù quá trình phát triển, thay đổi cho đến nay
đã tạo ra một dạng mới nhất
VPN đầu tiên đã đợc phát sinh bởi AT&T từ cuối những năm 80
Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 vàmạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network:ISDN) từ đầu những năm 90 Hai công nghệ này cho phép truyền nhữngdòng gói dữ liệu qua các mạng chia sẻ chung
Sau khi thế hệ thứ hai của VPN ra đời, thị trờng VPN tạm thời lắng đọng
và chậm tiến triển, cho tới khi nổi lên của hai công nghệ cell-based FrameRelay (FR) Asynchronous Tranfer Mode (ATM) Thế hệ thứ ba của VPN đãphát triển dựa theo 2 công nghệ này
Tunneling là một kỹ thuật đóng gói các dữ liệu trong tunnelingprotocol, nh IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP),
Trang 9hoặc Layer 2 Tunneling Protocol (L2TP) và cuối cùng là đóng gói những gói
đã đợc tunnel bên trong một gói IP Tổng hợp các gói dữ liệu sau đó route
đến mạng đích bằng cách sử dụng lớp phủ thông tin IP Bởi vì gói dữ liệunguyên bản có thể là bất cứ dạng nào nên tunning có thể hổ trợ đa giao thứcgồm IP, ISDN, FR, ATM
1.2 Các giao thức trong VPN (VPN Tunneling Protocol):
Có 4 dạng giao thức tunneling nổi bật đơc sử dụng trong VPN : IPSec,PPTP, L2TP, IP-IP
1.2.1 IP Security (IPSec).
IPSec cung cấp việc xác thực, toàn bộ và riêng lẻ về IP IPSec cung cấp 2loại tunnel: Encapsulating Security PayLoad (ESP) cho việc xác thực, sựcách biệt và tính toàn vẹn, và Authentication Header (AH) định dạng nó choviệc xác thực và tính toàn vẹn nhng không cách biệt Không giống với những
kỹ thuật mã hoá khác, IPSec thực hiện ở tầng thứ 7 trong mô hinh OSI (OpenSystem Interconnect), vì thế, chúng có thể chạy độc lập so với các ứng dụngchạy trên mạng Và vì thế mạng của bạn sẽ đợc bảo mật hơn mà không cầndùng bất kì chơng trình bảo mật nào
1.2.2 Point-to-Point Tunneling Protocol (PPTP).
Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP làmột sự chọn lựa để thay thế cho IPSec Tuy nhiên IPSec vẫn còn đợc sử dụngnhiều trong một số Tunneling Protocol PPTP thực hiện ở tầng thứ 2 (DataLink Layer)
Trang 10Một gói PPTP đợc biểu diễn nh sau:
Data
Link
Header
IPHeader
PPPHeader
Encrypted PPPpayload(IP Datagram,IPX Datagram,
NetBEUI frame)
Data-Link trailer
1.2.3 Layer 2 Tunneling Protocol (L2TP)
Giao thức L2TP cung cấp một tunnel giữa các domain không có tin cậytrong một mạng tơng tự giao thức PPTP Cả hai giao thức này cung cấp việcbắt đầu đóng gói dữ liệu sử dụng PPP
Giao thức L2TP cấu thành từ PPTP và L2F (Layer 2 Forwarding) Nó
đóng gói các frame PPP, nó có thể đợc gửi trên IP, frame relay, X.25 hoặcATM L2TP có thể đợc sử dụng nh giao thức tunnel trên internet nếu nó sửdụng IP nh là truyền tải của nó
1.2.4 IP-IP
IP-IP hoặc IP trong IP là một phơng thức tunnel đơn Sử dụng phơngthức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không
hổ trợ định tuyến multicast Việc bổ sung IP Header đợc tạo ra trong việc
đóng gói các gói IP do đó phải tạo một mạng ảo Cấu trúc IP-IP cấu thànhbên ngoài IP Header, bên trong IP Header, tunnel Header và IP Payload.Payload này bao gồm UDP, TCP và dữ liệu
1.3 Sự thuận lợi và bất lợi của VPN.
1.3.1 Thuận lợi:
- Mở rộng vùng địa lý có thể kết nối đợc
- Tăng cờng bảo mật cho hệ thống mạng
- Giảm chi phí vận hành so với mạng WAN truyền thống
- Giảm thời gian và chi phí truyền dữ liệu đến ngời dùng ở xa
- Tăng cờng năng suất
- Giảm đơn giản hoá cấu trúc mạng
- Cung cấp thêm một phơng thức mạng toàn cầu
- Cung cấp khả năng hổ trợ thông tin từ xa
Trang 11- Cung cấp khả năng tơng thích cho mạng băng thông rộng.
- Cung cấp khả năng sinh lợi nhuận cao hơn trong mang WAN truyềnthông
- Dịch vụ mạng riêng ảo rất thích hợp cho các cơ quan, doanh nghiệp cónhu cầu kết nối mạng thông tin hiện đại, hoàn hảo tiết kiệm
* Một mạng VPN đợc thiết kế tốt sẽ đáp ứng đợc yêu cầu sau:
- Bảo mật (Security)
- Tin cậy (Reliability)
- Dễ mở rộng nâng cấp (Scalability)
- Quản trị mạng thuận tiện (Network Management)
- Quản trị chính sách mạng tốt (Policy Management)
1.3.2 Bất lợi:
- Phụ thuộc trong môi trờng Internet
- Thiếu sự hổ trợ cho một số giao thức kế thừa
1.4 Phân loại mạng riêng ảo VPN.
VPN nhằm hớng vào 3 yêu cầu cơ bản sau đây:
* Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầmtay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyênmạng
* Nối kết thông tin liên lạc gữa các chi nhánh văn phòng từ xa
* Đợc điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng,nhà cung cấp và những đối tợng quan trọng của công ty nhằm hợp tác kinhdoanh
Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển vàphân chia ra làm 2 loại VPN thông dụng sau:
* Remote Access
* Site to site
Remote Access :
Trang 12Còn đợc gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối ngời dùng
đến LAN, thờng là nhu cầu của một tổ chức có nhiều điểm nhân viên cầnliên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa, bên ngoài công
ty thông qua Internet Ví dụ nh công ty muốn thiết lập một VPN lớn phải cần
đến một nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP này tạo ra một máychủ truy cập mạng Network Access Server (NAS) và cung cấp cho ngời dùng
từ xa một phần mềm máy khách cho máy tính của họ Khi ngời dùng muốntruy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mailserver nội bộ của công ty… ời dùng có thể gọi một số từ 1-800 miễn phíng
để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vàomạng riêng của công ty Loại VPN này cho phép các kết nối an toàn,có mậtmã
Giống nh gợi ý của tên gọi, Remote Access VPN cho phép truy cập bất
cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viêncác chi nhánh kết nối đến tài nguyên mạng của tổ chức Đặc biệt là nhữngngời dùng thờng xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ màkhông có kết nối thờng xuyên đến mạng Intranet hợp tác
Site to site :
Là việc sử dụng mật mã dành cho nhiều ngời để kết nối nhiều điểm cố
định với nhau thông qua mạng công cộng nh Internet, áp dụng cho các tổchức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệuvới nhau Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữacác chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thốngVPN Site to Site kết nối 2 site Việt Nam và Singapore tạo ra một đờng truyềnriêng trên mạng Internet phục vụ quá trình truyền thông an toàn và hiệu quả.Các mạng Site to Site VPN có thể thuộc một trong hai dạng sau:
* Intranet-based : áp dụng trong trờng hợp trong công ty có một hoặc
nhiều địa điểm ở xa, mỗi địa điểm đều có một mạng cục bộ LAN Khi đó họ
có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ trongmột mạng riêng thống nhất
* Extranet-based : Khi một công ty có một mối quan hệ mật thiết với
một công ty khác (ví dụ nh, một đồng nghiệp, nhà hổ trợ khách hàng), họ có
Trang 13thể xây dựng một mạng Extranet VPN để kết nối kiểu mnạg LAN với mạngLAN và cho phép các công ty đó có thể làm việc trong môi trờng chia sẻ tàinguyên.
Không giống nh Intranet và Remote Access-based, Extranet không hoàntoàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tàinguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn nh kháchhàng, nhà cung cấp, đối tác những ngời giữ vai trò quan trọng trong tổ chức
Một số thuận lợi của Extranet :
* Do hoạt động trên môi trờng Internet, bạn có thể lựa chon nhà phân phốikhi lựa chọn và đa ra phơng pháp giải quyết tuỳ theo nhu cầu của tổ chức
* Bởi vì một phần Internet-connectivity đợc bảo trì bởi nhà cung cấp (ISP)nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì
* Dễ dàng triển khai, quản lí và chỉnh sửa thông tin
Một số bất lợi của Extranet :
* Sự đe doạ về tính an toàn, nh bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại
* Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet
* Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao
đổi diễn ra chậm chạp
* Do dựa trên Internet, QoS cũng không đợc bảo đảm thờng xuyên
Ba loại mạng riêng ảo VPN
Trang 14Để triển khai một hệ thống VPN chúng ta cần những thành phần cơ bảnsau đây:
- User Authentication : Cung cấp cơ chế chính thực ngời dùng, chỉ cho phépngời dùng hợp lệ kết nối và truy cập hệ thống VPN
- Address Management : Cung cấp địa chỉ IP hợp lí cho ngời dùng sau khigia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ
- Data Emcryption : Cung cấp giải pháp mã hoá dữ liệu trong quá trìnhtruyền nhằm bảo đảm tính riêng t và toàn vẹn dữ liệu
- Key Managerment : Cung cấp giải pháp quản lí các khoá dùng cho quátrình mã hoá và giải mã dữ liệu
2 Các thành phần bảo mật của VPN.
Internet đơc xem là môi trờng không an toàn,dữ liệu truyền qua dễ bị sựtruy cập bất hợp pháp và nguy hiểm Sự ra đời của VPN dựa trên giao thứcTunneling đã làm giảm một lợng đáng kể số lợng rủi ro không an toàn Vìthế làm thế nào để đảm bảo dữ liệu đợc an toàn qua VPN? Làm thế nào đểnhững dữ liệu dễ h hỏng tránh khỏi sự truy cập không hợp pháp và không antoàn? Sau đây là một vài phơng pháp để duy trì kết nối và giữ an toàn khitruyền dữ liệu:
*Bức tờng lửa : Một bức tờng (fire wall) cung cấp biện pháp ngăn chặn
hiệu quả giữa mạng riêng của bạn với Internet Bạn có thể sử dụng tờng lửangăn chặn các cổng đợc mở, loại gói tin đợc phép truyền qua và giao thức sửdụng Bạn cũng nên có tờng lửa trớc khi bạn sử dụng VPN, nhng tờng lửacũng có thể ngăn chặn các phiên làm viêc của VPN
* Mã hoá : Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính
theo một quy tắc nhất định và máy tính đầu xa có thể giải mã đợc Hầu hếtcác hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
+ Mã hoá sử dụng khoá riêng (Symmetric-Key encryption) + Mã hoá sử dụng khoá công khai (Public-Key encryption) Trong hệ Symmetric-Key encryption, mỗi máy tính có một mã bí mật sửdụng để mã hoá các gói tin trớc khi truyền đi Khoá riêng này cần đợc càitrên mỗi máy tính có trao đổi thông tin sử dụng mã khoá riêng và máy tínhphải biết đợc trình tự giải mã đã đợc quy ớc trớc Mã bí mật thì sử dụng đểgiải mã gói tin Ví dụ: Bạn có tạo ra một bức th mã hoá mà trong nội dung
Trang 15th mỗi ký tự đợc thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự Nhvậy A sẽ đợc thay thế bằng C, và B sẽ đợc thay thế bằng D Bạn đã nói vớingời bạn khoá riêng là dịch đi 2 vị trí ( Shift by 2) Bạn của bạn nhận đợc th
sẻ giải mã sử dụng chìa khoá riêng đó Còn những ngời khác sẽ không đọc
đợc nội dung th
* Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (Symetric
key), sau đó mã hoá chính khoá bí mật (Symetric key) bằng khoá công khaicủa ngời nhận ( public key) Máy tính nhận sử dụng khoá riêng của nó(Symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu
* Hệ public-key encryption sử dụng một tổ hợp khoá riêng và khoá
công khai để thực hiện mã hoá, giải mã Khoá riêng chỉ sử dụng tại máy tính
đó, còn khoá công cộng đợc truyền đi đến các máy tính khác mà nó muốntrao đổi thông tin bảo mật Để giải mã dữ liệu mã hoá, máy tính kia phải sửdụng khoá công cộng nhận đợc và khoá riêng của chính nó Một phần mềm
đã mã hoá công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạnmã hoá đợc hầu hết mọi thứ
* Giao thức IPSec - Internet Protocol Security Protocol cung cấp các
tính năng bảo mật mở rộng bao gồm các thuật toán mã hoá và xác thực tốthơn IPSec có hai chế độ mã hoá : Kênh Tunnel mã hoá cả header và cả nộidung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin.Chỉ có những hệ thống sử dụng IPSec tơng thích mới có khả năng tiến này.Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các t -ờng lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tơng nhau.IPSec cóthể mã hoá dữ liệu truyền giữa rất nhiều thiết bị chẳng hạn nh:
Từ Router đến Router
Từ firewall đến Router
Từ PC đến Router
Từ PC đến Sever
* Máy chủ xác thực, xác nhận và quản lý tài khoản AAA sever
( Authentication, Authorizatinon, Accouting Sever) đợc sử dụng để tăng tínhbảo mật trong truy cập từ xa của VPN, khi một yêu cầu đợc gửi đến để tạonên một phiên làm viêc, yêu cầu này phải đi qua một AAA sever đóng vaitrò proxy AAA sẽ kiểm tra:
Trang 16 Bạn là ai ( xác thực)
Bạn đợc phép làm gì ( xác nhận)
Bạn đang làm gì ( quản lý tài khoản) Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi ngờidùng nhằm mục đích bảo mật, tính hoá đơn, lập báo cáo
2.1 Các phơng thức nhận dạng ngời dùng
Cơ chế xác nhận ngời dùng thờng đợc triển khai tại các điểm truy cập và
đợc dùng để xác nhận cho ngời dùng truy cập vào tài nguyên bên trongmạng Kết quả là chỉ có ngời dùng hợp lệ thì mới có thể truy cập vào bêntrong mạng, điều làm giảm đáng kể sự truy cập bất hợp pháp vào những dữliệu đợc lu trữ trên mạng
Một số cách xác nhận thờng đợc sử dụng riêng biệt hoặc có thể đợc kếthợp với một số cách khác bao gồm những cách sau đây:
Login ID and password : Phơng pháp này sử dụng cơ chế xác nhận ID
và mật khẩu cơ bản của hệ thống để xác nhận quyền truy cập của ngời dùngtại các điểm VPN
S/Key password : Phơng pháp này khởi tạo một S/Key bằng cách lựa
chọn một mật mã bí mật của một con số tự nhiên Số tự nhiên này bao hàmcả số lần của một secure hash function (MD4) sẽ đợc sử dụng vào mật khẩu
bí mật Khi ngời dùng login vào hệ thống, máy chủ sẽ cấp phát một hiệulệnh kiểm soát Chơng trình máy khách sẽ yêu cầu nhập mật khẩu bí mật,gây ra n-1 lần lặp lại hàm băm đến nó và gửi trả lại máy chủ Máy chủ sẽứng dụng hàm băm này vào thông tin đợc gửi lại, nếu cả hai giá trị đều giốngnhau, ngời dùng sẽ đợc xác nhận thành công Máy chủ sẽ lu lại thông tin màngời dùng gửi cho và giảm bộ đếm mật khẩu
Dịch Vụ Quay Số Kết Nối Từ Xa (RADIUS) : RADIUS là một giao
thức bảo mật trên Internet khá mạnh dựa trên mô hình Client/Server, phíaclient sẽ truy xuất vào mạng và RADIUS server là khúc mạng cuối sẽ xácnhận client Thông thờng, RADIUS server xác nhận ngời dùng bằngUsername và Password mà nó lu trữ trong danh sách sẵn có
RADIUS cũng thực hiện vai trò nh một client khi xác nhận những ngờidùng nh là các hệ điều hành nh UNIX, NT và NetWare, thêm nữa RADIUS
Trang 17cũng đóng vai trò nh một client khi RADIUS này kết nối đến RADIUSkhác Để an toàn thông tin hơn trong quá trình trao đổi dữ liệu, dữ liệu thờng
đợc mã hoá theo cơ chế xác nhận, chẳng hạn nh Password AuthenticationProtocol (PAP) và Challenge HandShake Authentication Protocol (CHAP)
Two-Factor Token-Based Technique : Giống nh tên gọi ám chỉ, kế
hoạch này triễn khai phơng pháp xác nhận đôi để xác nhận những tài liệu
đáng tin của ngời dùng Nó kết hợp tiện ích một của token và một củapasword Rrong suốt quá trình xử lý, các thiết bị điện tử phần cứng cơ bảnphục vụ nh token và ID duy nhất, ví dụ nh Personal Identification Number(PIN) đợc sử dụng nh mật khẩu Theo truyền thống, token sẽ la thiết bị phầncứng (có thể là một thẻ card), nhng một số nhà cung cấp lại yêu cầu sử dụngphần mềm để làm token
Chú thích: Ban có thể so sánh tính hữu dụng của phơng pháp xác nhận
Two-Factor Token-Based khi bạn rút tiền từ Automated Teller Machine(ATM) Bạn sẽ làm việc này bằng cách sử dụng một ATM card để truy cậpvào tài khoản của bạn (harardware-based identification) cùng với một mậtkhẩu bí mật hoặc một PIN Chỉ với những nhân tố này kêt hợp với nhau bạnmới có thể truy nhập vào tài khoản của bạn
2.2 Điêu khiển truy cập ( Controlling Access).
Sau khi ngời dùng đã đợc xác nhận, mặc định anh/chị ấy sẽ đợc phéptruy cập vào những tài nguyên, dịch vụ và những ứng dụng đợc đặt trênmạng Điều này chứng tỏ rằng có một mối đe doạ lớn từ phía ngời dùng, cho
dù đã đợc uỷ nhiệm, có thể cố ý hoặc không cố ý làm xáo trộn dữ liệu trênmạng Bằng cách sàng lọc tài nguyên bạn có thể han chế đợc việc này
Controlling Access Rights cũng là một phần tích hợp của controllingaccess Mới đe doạ bảo mật có thể đợc giảm xuống nếu ta giới hạn một sốquyền truy cập đối với ngời dùng Ví dụ nh ngời dùng chỉ đợc phép đọc dữliệu còn ngời quản tri có quyền chỉnh sửa, xoá dữ liệu
Ngày nay, một số kỹ thuj cải tiến đã cho phép độ an toàn cao hơn doviệc kết hợp nhiều yếu tố nh địa chỉ IP nguồn và đích, địa chỉ cổng, vàgroup, ngày, giờ, thời gian và các ứng dụng v.v…
2.3 Mã hoá dữ liệu.
Mã hoá hoặc mật mã hoá dữ liệu là một trong những thành phần cơ bảncủa VPN security Đây là cơ chế chuyển đổi dữ liệu sang một định dạng
Trang 18khác không thể đọc đợc, vi dụ nh ciphertext (văn bản viết thành mật mã), để
có thể ngăn cản những truy cập bất hợp pháp khi dữ liệu trao đổi trong môitrờng mạng không an toàn
Mã hoá dữ liệu ngăn chặn đợc các việc sau :
* Nghe trộm và xem lén dữ liệu
* Chỉnh sữa và đánh cắp lén dữ liệu
* Giả mạo thông tin
* Data non-repudiation
* Sự gián đoạn các dịch vụ mạng
Khi nhận đợc gói tin, ngời nhận sẽ giải mã dữ liệu lại dạng cơ bảnban đầu Cho dù dữ liệu có bị chặn trong suốt quá trình trao đổi dữ liệu Ngời gửi và ngời nhận, phụ thuộc vào quá trình mã hoá, dới hìnhthức là một hệ thống mã hoá Hệ thống mã hoá (Cryptosystems) có 2 loạisau:
* Đối xứng (Symmetric)
* Bất đối xứng (Asymmetric)
Một hệ thống mã hoá đợc phân loại dựa vào con số của khoá mà nódùng Một khoá có thể là con số, số từ, hoặc một cụm từ đợc dùng vào mục
đích mã hoá và giải mã dữ liệu
3 Các thiết bị sử dụng trong VPN
Các kỹ thuật đợc sử dụng phụ thuộc vào một kiểu mô hình VPN mà
muốn xây dựng (truy cập từ xa Remote-Access hay kết nối ngang hàngSite-to-Site), ta cần một số các thành phần cần thiết để hình thành mô hìnhVPN nh sau:
- Một số thiết bị phần cứng riêng nh: Bộ tập trung (Concentrater), Bộ địnhtuyến VPN thông minh (VPN-optimized routers), hay tờng lửa (secure PIXFirewall)
- Các máy chủ VPN sử dụng cho các dịch vụ cần thiết
- Máy chủ NAS (Network Access-Server) dùng cho các ngời dùng ở xa truynhập
- Trung tâm quản lý mạng và chính sách VPN
Trang 19- Phần mềm máy trạm cho mỗi ngời dùng từ xa.
Do hiện nay cha có một tiêu chuẩn rộng rải để triển khai VPN, cho nên đã
có nhiều giải pháp cho việc triển khai tron gói 1 hệ thống mang VPN, ta cóthể đa ra một vài giải pháp (của Cisco) trong viêc triển khai nh sau:
- Bộ tập trung VPN (VPN Concentrater) : Tích hợp các u điểm tiên tiếnnhất của mã hoá và xác nhận Bộ tập trung VPN đợc chế tạo riêng biệt chotính năng truy cập VPN từ xa Chúng cung cấp khả năng sử dụng với hiệuquả cao, dễ nâng cấp mở rộng và cung cấp nhiều thành phần gọi là bộ xử lýmã hoá có khả năng mở rộng, nó cho phép ngời dùng dễ dàng tăng thêmdung lợng và khả năng xử lý Các bộ tập trung rất phù hợp với các doanhnghiệp cỡ vừa với số lợng ngời truy cập đồng thời không cao
Hinh: Bộ tập trung Cisco3000
- Bộ định tuyến VPN thông minh (VPN-optimized routers) cung cấp khảnăng định tuyến, bảo mật và chất lợng dịch vụ mở rộng Dựa trên nền tảngphần mềm hệ điều hành Internat của Cisco IOS (Internet Operating System),
đây là một bộ định tuyến rất phù hợp cho tất cả các trờng hợp từ Văn phòng
đến Gia đình truy cập đến trạm VPN hoặc các doanh nghiệp có quy mô lớn
- Tờng lửa bảo mật Secure PIX Firewall Bộ PIX (Private Internet Exchange)Firewall tích hợp bộ địa chỉ động, máy chủ proxy, bộ lọc gói tin, tờng lửa vàVPN trong một phần cứng duy nhất Thay thế cho việc sử dụng Cisco IOS,thiết bị này có dung lợng cao hơn phù hợp cho khả năng quản lý nhiều giaothức rất tinh vi, đặc biệt là IP
Trang 20H×nh: Bé cisco-PIX-firewall-rearview
Trang 21
Chơng II Virtual Private Network Protocols.
1 Khái niệm cơ bản về Tunnelling Technology.
1.1 Những điểm thuận lợi của VPN
Tunneling đa ra một số đặc điểm thuận lợi có ý nghĩa quan trọng trongcông nghệ truyền thông Sau đây là một số thuận lợi :
* Đơn giản và dễ triển khai Bởi vì ý tởng của tunneling đơn giản nên
việc triển khai công nghệ này cũng đơn giản và dễ dàng Hơn nữa , khôngcần phải điều chỉnh cơ sở hạ tầng mạng đã có sẵn cho phù hợp với công nghệtunneling, điều này tạo ra đợc giải pháp khả thi và có lợi cho những tổ chức
có phạm vi vừa
* Bảo mật Cấu tạo tunnel ngăn chặn sự truy cập của những ngời dùng
không đợc phép Kết quả, dữ liệu lu thông qua tunnel thì tơng đối an toàn,cho dù thực tế dữ liệu đợc thông qua một môi trờng không an toàn và chung,
nh Internet chẳng hạn
* Sự hiệu quả về chi phí Tunneling sử dụng mạng công cộng nh Internet
làm trung gian để truyền dữ liệu đến đích Điều này tạo ra một giải pháp vôcùng hiệu quả về chi phí khi sử dụng tunneling, đặc biệt là khi so sánh nóvới việc triển khai một mạng Intranet riêng khi thuê đờng line trải dài trêntoàn cầu hoặc với khoáng cách xa Thêm vào đó, tổ chức có thể tiết kiệmmột số tiền đáng kể dùng để chi phí cho việc bảo trì và quản lý
* Đồng bộ giao thức Dữ liệu sử dụng các giao thức không định tuyến,
nh Network Basic Input/Output System (NetBIOS), và NetBIOS EnhancedUser Interface (NetBEUI) thì không phù hợp với các giao thức Internet nhTCP và IP Vì lí do đó, những gói dữ liệu không thể định tuyến thông quaInternet Tuy nhiên, tunneling cho phép bạn định tuyến qua những gói dữliệu non-ip để đi đến đích bằng việc bao bọc chúng "enveloping" bên trongcác gói IP
* Tiết kiệm địa chỉ IP Nh đã đề cập ở trên, tunneling cho phép các giao
thức không định tuyến, không địa chỉ IP có thể chèn vào bên trong một gói
sử dụng một địa chỉ IP duy nhất toàn cầu Kết quả, thay vì phải mua và đăng
ký địa chỉ IP này cho mỗi nút trong mạng, hệ thống mạng có thể mua mộtkhối nhỏ các địa chỉ IP toàn cau duy nhất Khi một nút trong mạng riêngthiết lập một kết nối VPN, bất kỳ một địa chỉ IP sẵn có nào trong khối có thể
Trang 22đợc dùng gắn vào gói dữ liệu non-IP Vì thế, mạng riêng có thể giảm sự cầnthiết địa chỉ IP trong một tổ chức.
1.2 Các thành phần của VPN.
Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu cuối,tunneling đa ra 4 thành phần yêu cầu sau :
- Mạng đích (Target network) Là mạng trong đó chứa các dữ liệu tài
nguyên mà ngời dùng từ xa cần truy cập để sử dụng, là những ngời khởi tạo
ra phiên yêu cầu VPN (mạng đích cũng dợc hiểu nh là mạng gia đình (homenetwork) trong một số tài liêu về VPN)
- Nút khởi tạo (Initiator node) Ngời dùng khách hoặc máy chủ khởi
tạo phiên VPN Nút khởi tạo có thể là một phần của mạng cục bộ hoặc cóthể là ngời dùng mobile sử dụng laptop
- HA (Home Agent) Bề mặt chung của chơng trình là thờng c trú tại
các nút mạng (router) trong mạng đích Ngoài ra, một nút đích, nh Dial-upServer có thể làm máy chủ HA HA nhận và xác nhận những yêu cầu gửi đến
để xác thực chúng từ những host đã đợc uỷ quyền Khi xác nhận thành công
bộ máy khởi tạo,HA cho phép thiết lập tunnel
- FA (Foreign Agent) Giao diện chơng trình thờng c trú tại các nutkhởi tạo hoặc ở nút truy cập mạng (router) của hệ thống mạng Các nút khởidùng FA để yêu cầu một phiên VPN từ HA ở mạng đích
* Giai đoạn II Dữ liệu thực sự đợc chuyển qua mạng thông qua tunnel.
Trong giai đoạn I, một kết nối yêu cầu đợc khởi tạo và những tham sốphiên đợc đàm phán (Giai đoạn hiện nay cũng có thể đợc xem nh là giai
đoạn thiết lập tunnel.) nếu yêu cầu đợc chấp nhận và tham số phiên đợc đàm
Trang 23phán thành công, một tunnel đợc thiết lập giữa hai nút thông tin đầu cuối.
Điều này xảy ra qua những việc chính sau :
1 Nút khởi tạo yêu cầu kết nối đến vị trí FA trong mạng
2 FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu
đợc cung cấp bởi ngời dùng (Thông thờng FA sử dụng các dịch vụ của mộtmáy chủ Remote Access Dial-Up Server (RADIUS) để xác nhận sự thốngnhất của các nút khởi tạo.)
3 Nếu tên truy cập và mật khẩu cung cấp bởi ngời dùng không hợp lệ,yêu cầu phiên làm việc VPN bị từ chối Ngợc lại, nếu quá trình xác nhận sựthống nhất của FA thành công, nó sẽ chuyển yêu cầu đến mạng đích HA
4 Nếu yêu cầu đợc HA chấp nhận, FA gửi login ID đã đợc mã hoá vàmật khẩu tơng ứng đến nó
5 HA kiểm chứng thông tin đã đợc cung cấp Nếu quá trình kiểm chứngthành công, HA gửi những Register Reply, phụ thuộc vào một số tunnel đếnFA
6 Một tunnel đợc thiết lập khi FA nhận Register Reply và số tunnel
Ghi chú :
Nếu 2 điểm đầu cuối không sử dụng cùng giao thức tunnel, một số thambiến cấu hình tunnel nh mã hoá, tham số nén, và cơ chế duy trì tunnel cũng
đợc đàm phán
Với việc thiết lập tunnel, giai đoạn I đợc xem nh đã xong và giai đoạn
II, hay giai đoạn chuyển giao dữ liệu,bắt đầu Quá trình giao dịch trong giai
đoạn II này thực hiện qua các bớc sau :
1 Nút khởi tạo bắt đầu chuyển hớng các gói dữ liệu đến FA
2 FA tạo tunnel header và chèn nó vào từng gói dữ liệu Thông tinheader cùng giao thức định tuyến (đợc đàm phán trong giai đoạn I) sau đó đ-
ợc gắn vào gói dữ liệu
3 FA chuyển hớng các gói dữ liệu đã mã hoá đến HA bằng cách sửdụng tunnel number đã đợc cung cấp
4 Trong quá trình nhận thông tin mã hoá, HA cởi bỏ tunnel header vàheader của giao thức định tuyến, đa gói dữ liệu trở về dạng nguyên bản củanó
Trang 245 Dữ liệu nguyên gốc sau đó đợc chuyển đến nút mong muốn cần đếntrong mạng.
2 Tunneling Protocol ở tầng 2.
2.1 Point-to-Point protocol (PPP).
PPP là giao thức đóng gói dữ liệu thuận tiện trong việc vận chuyển luthông mạng thông qua các kết nối nối tiếp point-to-point Thuận lợi lớn nhấtcủa PPP là nó có thể hoạt động đem lại hiệu quả cho bất kỳ Dât TerminalEquipment (DTE) hoặc Dât Connection Equipment (DCE) bao gồmEIA/TIA-232-C và ITU-T V.35 Một điểm yêu thích nữa của PPP là nókhông giới hạn tỷ lệ giao dịch Cuối cùng, chỉ thiết bị PPP có thể cho mộtkết nối kép (2 chiều) có thể đối xứng hoặc không đối xứng và có thể thao táctheo phơng thức chuyển mạch hoặc chuyên dụng
Chú ý : EIA/TIA-232-C trớc đây đợc hiểu là RS-232C.
Ngoài việc đóng gói dữ liệu IP và non-IP và nó vận chuyển qua các kếtnối nối tiếp , PPP cũng đảm nhiệm một số chức năng sau đây :
* Chỉ định và quản lý từ các địa chỉ IP đến các gam dữ liệu non-IP
* Cấu hình và kiểm tra các kết nối đã đợc thiết lập
* Đóng gói không đồng bộ các gam dữ liệu
* Phát hiện lỗi trong suốt quá trình giao dịch
* Tiêu chuẩn cho việc thiết lặp, cấu hình, và kiểm tra kết nối điểm-điểmvới sự giúp đỡ của Link Control Protocol (LCP)
Trang 25* Tiểu chuẩn cho việc thiết lặp và cấu hình một số giao thức tầng mạng vàphát hiện lỗi trong suốt quá trình giao dịch dới hình thức của NetworkControl Protocol (NCP) phù hợp.
2.2 Point-to-Point Tunneling Protocol (PPTP).
PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa remoteclient và enterprise server bằng việc tạo ra một VPN thông qua một IP trêncơ sở mạng trung gian Đợc phát triển bởi PPTP Consortium (MicrosoftCorporation, Ascend Communications, 3COM, US Robotics, và ECITelematics), PPTP đợc đa ra dựa trên yêu cầu VPN thông qua mạng trunggian không an toàn PPTP không những tạo điều kiện dễ dàng cho việc bảomật các giao dịch thông qua TCP/IP trong môi trờng mạng chung, mà cònqua mạng riêng Intranet
Chú ý :
Khi Microsoft sử dụng vai trò khoá trong sự phát triển của PPTP, tất cảcác sản phẩm về mạng của Microsoft, nh Window NT 4.0 (Server vàworkstation editions) và Window 2000 hổ trợ PPTP natively
2.2.1 Công dụng của PSTN (Public Switcheh Telephone Networks)
PPTP cho phép sử dụng PSTN cho việc triển khai VPN Kết quả là, quátrình xử lý sự phát triển của VPN đặc biệt đơn giản và tổng chi phí cho viẹctrrển khai thì khá thấp Đối với những doanh nghiệp có kết nối mạng diệnrộng dựa trên các đờng thuê bao leased line đợc loại bỏ
2.2 2 Hổ trợ giao thc Non-IP.
PPTP cũng hỗ trợ một số giao thức triển khai mạng thông thờng khác nhTCP/IP, IPX, NetBEUI, và NetBIOS
2.3 Layer 2 Forwarding (L2F).
Nh đã đè cập ở phần trớc, dịch vị quay số mạng truyền thống thực hiện
thông qua Internet và do đó đợc dựa trên cơ sở của công nghệ IP Đó là lý dotại sao một số giải pháp tạo đờng hầm, nh PPP và PPTP, tỏ ra thành cônghơn với cơ sở hạ tầng IP hơn so với công nghệ mạng đơng thời hiện nay, nhATM, Frame Relay…
Cisco System, cùng với Nortel, là một trong những nhà cung cấp hàng đầubắt đầu làm việc nhằm các mục đích sau :
Cho phép bảo mật trong giao dịch
Trang 26 Cung cấp khả năng truy cập dựa trên cơ sở hạ tầng của Internet
định nhiều kết nối bên trong một tunnel nơi mà mỗi kết nối đại diện cho mộtdòng PPP đơn Hơn nữa, những dòng này có thể khởi đầu từ một ngời dùng
từ xa hoặc từ nhiều ngời dùng Bởi vì một tunnel có thể hổ trợ đồng thờinhiều kết nối, một ít kết nối đợc yêu cầu từ một remote site đến ISP từ ISP'sPOP đến gateway của mạng riêng Đặc điểm này đặc biệt hữu dụng trongviệc giảm chi phí
3 Giới thiệu về IPSec.
3.1 Understanding IPSec.
Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security.
Nó có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một sốchuẩn khác) đợc phát triển bởi Internet Engineering Task Force (IETF) Mục
đích chính của việc phát triển của việc phát triển IPSec là cung cấp một cơcấu bảo mật ở tầng 3 (Network Layer) của mô hình OSI, nh hình sau:
Application Layer
Presentation Layer
Trang 27Session Layer
Transport Layer
Network LayerIPSec
Data Link Layer
Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng củamô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến
đích Bởi vì IPSec đợc tích hợp chặt chẽ với IP, nên những ứng dụng có thểdùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay
đổi lớn lao nào Cũng giống IP, IPSec trong suốt với ngời dùng cuối, là ngời
mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau môtchuỗi các hoạt động
3.2 IPSec Seccurity Associations.
Security Associations (SAs) là một khái niệm cơ bản của bộ giao thứcIPSec SA là một kết nội luận lý theo một phơng hớng duy nhất giữa hai thựcthẻ sử dụng các dịch vụ IPSec
Các giao thức xác nhận, các khoá, và các thuật toán
Phơng thức và các khoá cho các thuật toán xác nhận đợc dùng bởi cácgiao thức Authentication Header (AH) hay Encapsulation SecurityPayload (ESP) của bộ IPSec
Thuật toán mã hoá và giải mã và các khoá
