Tìm hiểu về vpn và triển khai vpn cho doanh nghiệp vừa và nhỏ

Ví dụ nh- để kết nối các site của một công ty với nhau mà khoảng cách thì xa nhau, nếu thông qua môi tr-ờng Internet, để đảm bảo trao đổi dữ liệu qua lại đ-ợc giữa các site này thì tr-ớc

Tr-ờng đại học vinh

Khoa cntt



-Đề tài:

TìM HIểU Về VPN Và TRIểN KHAI vpn

CHO doanh nghiệp VừA Và NHỏ

Sinh viên thực hiện : Hồ Sỹ Thắng

Lớp : 45K – CNTT

Lời cảm ơn

Em xin gửi lời cảm ơn chân thành nhất đến thầy giáo Th.s Nguyễn Công Nhật, thầy đã tận tình h-ớng dẫn, giúp đỡ em trong suốt thời gian

thực hiện đồ án này

Con cảm ơn Cha, Mẹ và gia đình, những ng-ời đã dạy dỗ, khuyến khích,

động viên con trong những lúc khó khăn, tạo mọi điều kiện cho con nghiên cứu học tập

Em xin chân thành cảm ơn các thầy, các cô trong khoa Công Nghệ Thông Tin tr-ờng Đại Học Vinh đã dìu dắt, giảng dạy em, giúp em có những kiến thức quý báu trong những năm hoc vừa qua

Cảm ơn bạn bè trong và ngoài lớp đã tận tình đóng góp ý kiến cho đồ

án của em Mặc dù rất cố gắng nh-ng đồ án của em không tránh khỏi những sai sót, em mong đ-ợc sự thông cảm và góp ý của thầy cô và các bạn

Em xin chân thành cảm ơn!

Vinh, Ngày 10 tháng 05 năm 2009

Sinh viên: Hồ Sỹ Thắng

Lời nói đầu

Những năm qua chúng ta đã và đang sống trong thời kì phát triển

nhanh chóng và sôi động của CNTT Chiếc máy tính đa năng, tiện lợi và hiệu

quả mà chúng ta đang dùng, giờ đây đã trở nên chật hẹp và bất tiện so với

các máy vi tính nối mạng Từ khi xuất hiện mạng máy tính, tính hiệu quả

tiện lợi của mạng đã làm thay đổi ph-ơng thức khai thác máy tính cổ điển

Ph-ơng án truyền thông nhanh, an toàn và độ tin cậy đang trở thành mối

quan tâm của nhiều công ty, tổ chức, đặc biệt là các công ty, tổ chức có các

địa điểm phân tán về địa lí, công ty đa quốc gia.Giải pháp thông th-ờng đ-ợc

áp dụng bởi đa số các công ty là thuê đ-ờng truyền riêng để duy trì một

mạng WAN Nh-ng để bảo trì một mạng WAN, đặc biệt là khi sử dụng một

đ-ờng truyền riêng,có thể trở nên quá đắt và làm tăng giá khi công ty muốn

mở rộng thêm các văn phòng đại diện Khi phổ biến của Internet gia tăng,

các công ty th-ơng mại đầu t- và nó nh- một ph-ơng tiện quảng bá công ty

của họ và đồng thời cũng mở rộng các mạng mà họ sở hữu

Với sự phát triển về ph-ơng tiện truyền thông nh- ngày nay, việc trao đổi

dữ liệu qua lại không còn gói gọn trong một môi tr-ờng nào đó mà nó mang

nghĩa rộng hơn, linh hoạt hơn Ví dụ nh- để kết nối các site của một công ty

với nhau mà khoảng cách thì xa nhau, nếu thông qua môi tr-ờng Internet, để

đảm bảo trao đổi dữ liệu qua lại đ-ợc giữa các site này thì tr-ớc kia ta

th-ờng ứng dụng theo kiểu thuê kênh riêng (Lease line) Nh-ng điều này trở

nên rất tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên

ph-ơng diện đó

Mục đích của VPN là cho phép chúng ta truy cập giữa các site, hay client

đến site thông qua môi tr-ờng Internet, khi đó sẽ kết hợp với t-ờng lửa thì sẽ

đảm bảo độ tin cậy cũng nh- an toàn dữ liệu thông qua một đ-ờng pipe

(ống) riêng ảo đ-ợc tạo ra trên môi tr-ờng Internet của công nghệ VPN Việc ứng dụng VPN sẽ mang lại cho chúng ta khá nhiều lợi ích cũng nh- tiết

kiệm chi phí rất nhiều so với việc thuê kênh riêng

Mục Lục Trang

Ch-ơng 1 : Một số khái niệm cơ bản về VPN ……… 6

1 Một số khái niệm cơ bản về VPN……… 6

1.1 Tìm hiểu về VPN……… 6

1.2 Các giao thức trong VPN……… 9

1.3 Sự thuận lợi và bất lợi của VPN ……… 10

1.4 Phân loại VPN ……… 11

2 Các thành phần bảo mật của VPN ……… 15

2.1 Các phương thức nhận dạng người dùng …… ……… 17

2.2 Điều khiển quyền truy cập …… ……… 18

2.3 Mã hoá dữ liệu ……… ……… 19

3 Các thiết bị sử dụng trong VPN ……… 20

Ch-ơng 2: Virtual Private Netwok Protocol ……… 23

1 Khái niệm cơ bản về Tunneling Technology……… 23

1.1 Những điểm thuận lợi của VPN … ……… 23

1.2 Các thành phần của VPN………… ……… 24

1.3 Sự hoạt động của VPN ……… ……… 24

2 Tunneling Protocol ở tầng 2 ……… 26

2.1 Point-to-Point Protocol (PPP)……… ……… 26

2.2 Point-to-Point Tunneling Protocol (PPTP) ……… 27

2.3 Layer Forwarding (L2F)……… ……… 28

3 Giới thiệu về IPSec ……….……….29

3.1 Understanding IPSec ……… ……… 29

3.2 IPSec Security Associations- ……… ………31

3.3 IPSec Security Protocols ……….………32

3.4 Các chế độ IPSec……….………33

3.5 Internet Key Exchange ……….……… 36

Ch-ơng 3: Bài toán thực tế, mô hình và các b-ớc triển khai VPN …37

1 Một số bài toán thực tế cho doanh nghiệp quy mô vừa và nhỏ…… 37

1.1 Bài toán ……… 37

1.2 Giải pháp ……….……… 37

1.3 Hạch toán chi phí ……….……… 37

2 Mô hình VPN ……….……… 38

3 Các b-ớc triển khai VPN ……… ……….38

3.1 Config Routing and Remote Access console trên VPN Server … ….38

3.2 Tạo tài khoản ng-ời dùng (User) và cấp quyền truy cập VPN…… 49

3.3 Thiết lập VPN Client ……… 52

Kết luận ……….……… 58

Tài liệu tham khảo …… ……… 59

Danh từ các mục viết tắt Dạng viết tắt Dạng đầy đủ

VPN Virtual Private Network

ATM Asynchronous Transfer Mode

POP Point Of Presence

PVC Permanent Virtual Circuit

VPDN Virtual Private Dial-up Network

LAN Local Area Network

WAM Wide Area Network

Logic Logic connection

L2TP Layer 2 Tunneling Protocol

L2F Layer 2 Forwording

PPTP Point-to-Point Tunneling Protocol

PSTNs Public Switched Telephone Network

ISP Internet Service Provider

RAS Remote Access Service

FDDI Fiber Destribute Data Interface

IPX Internetwork Packet Exchange

PPP Point-to-Point Protocol

RFC Request For Comments

DTE Data Terminal Equipment

DCE Data Connection Equipment

GRE Generic Routing Encapsulation

IPSec IP Security Protocol

IETF Internet Engineering Task Force

IKE Internet Key Exchange

SA Security Association

ESP Encapsulating Security Payload

IANA Internet Numbers Authority

DES Data Encryption Standard

AH Authentication Header

HMAC-MD5 Hashing Message Authentication Codes-Message Digest 5 DOS Denies Of Service

NAT Network Address Translation

HSSI Hig Link Quality Monitoring h-Speed Serial Interface LCP Link Control Protocol

NCP Network Control Protocol

LQM Link Quality Monitoring

PAP Password Authentication Protocol

CHAP Challenge Handshake Authentication Protocol

RARS Routing And Remote Server

MPPE Microsoft Point to Point Encryption

Ch-ơng I Một số khái niệm về VPN (Virtual

Private Networking)

1 Một số khái niệm cơ bản về VPN

1.1 Tìm hiểu về VPN

1.1.1 Virtual Private Network

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (th-ờng là Internet) để kết nối với các site (các mạng riêng lẻ) hay nhiều ng-ời sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng nh- đ-ờng truyền riêng (lease line), mỗi VPN sử dụng các kết nối ảo

đ-ợc dẫn đ-ờng qua Internet từ mạng riêng các công ty với các site hay các nhân viên từ xa

VPN_Virtual Private Network, có thể đ-ợc dịch là mạng ảo nội bộ Bạn

có thể tự hỏi, đã trong mạng nội bộ rồi thì còn dùng ảo làm gi? Ng-ời dùng khi đi công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc những ch-ơng trình có thể dùng nh- họ đang ngồi văn phòng Đó là lí do cho cái tên ảo (Virtual)

Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổ cập của nó Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể truy cập từ bất kì ai, bất kì lúc nào, bất kì nơi đâu, việc trao đổi thông tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu Công nghệ VPN cung cấp tính bảo mật, tính hiệu quả và độ tin cậy trong mạng, trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ cho quá trình xây dựng mạng Sử dụng VPN, một ng-ời làm việc tại nhà qua mạng (telcommuter) có thể truy xuất vào mạng của công ty thông qua Internet bằng cách xây dựng một đ-ờng hầm bí mật (secure tunnel) giữa máy PC của họ và một VPN router đặt tại bản doanh của công ty

VPN đ-ợc hiểu là phần mở rộng của một mạng Intranet đ-ợc kết nối thông qua mạng công cộng nhằm đảm bảo an toàn và tăng hiệu quả giá

thành kết nối giữa hai đầu nối Cơ chế và độ giới hạn tính bảo mật tinh vi cũng đ-ợc sử dụng để đảm bảo tính an toàn cho việc trao đổi những dữ liệu

dễ bị đánh cắp thông qua một môi tr-ờng không an toàn Cơ chế an toàn bao gồm những khái niệm sau đây:

Encyption : Mã hoá dữ liệu là một quá trình xử lý thay đổi dữ liệu

theo một chuẩn nhất định và dữ liệu chỉ có thể đ-ợc đọc bởi ng-ời dùng mong muốn Để đọc đ-ợc dữ liệu ng-ời nhận buộc phải có chính xác một khoá giải mã dữ liệu Theo ph-ơng pháp truyền thống ng-ời nhận và gửi dữ liệu sẽ có cùng một khoá để có thể giải mã và mã hoá dữ liệu L-ợc đồ public-key sử dụng 2 khoá, một khoá đ-ợc xem nh- một public-key (khoá công cộng) mà bất cứ ai cũng có thể dùng để mã hoá và giải mã dữ liệu

Authentication : Là một quá trình xử lý bảo đảm chắc chắn dữ liệu sẽ

đ-ợc chuyển đến ng-ời nhận đồng thời củng bảo đảm thông tin nhận đ-ợc nguyên vẹn. ở hình thức cơ bản, Authentication đòi hỏi ít nhất phải nhập vào Username và Password để có thể truy nhập vào tài nguyên Trong một số tình huống phức tạp, sẽ có thêm secret-key hoặc public-key để mã hoá dữ liệu

Authorization : Đây là quá trình xử lý cấp quyền truy cập hoặc ngăn

cấm vào tài nguyên trên mạng sau khi đã thực hiện Authentication

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại văn phòng từ xa, các kết nối (nh- 'Văn phòng' tại gia) hoặc ng-ời sử dụng (Nhân viên di động) truy cập đến từ bên ngoài

Sơ đồ mạng riêng ảo VPN

1.1.2 Sự Phát Triển Của VPN :

VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã

có từ 17 năm tr-ớc và trải qua nhiêù quá trình phát triển, thay đổi cho đến nay đã tạo ra một dạng mới nhất

VPN đầu tiên đã đ-ợc phát sinh bởi AT&T từ cuối những năm 80

Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network: ISDN) từ đầu những năm 90 Hai công nghệ này cho phép truyền những dòng gói dữ liệu qua các mạng chia sẻ chung

Sau khi thế hệ thứ hai của VPN ra đời, thị tr-ờng VPN tạm thời lắng

đọng và chậm tiến triển, cho tới khi nổi lên của hai công nghệ cell-based

Frame Relay (FR) Asynchronous Tranfer Mode (ATM) Thế hệ thứ ba của VPN đã phát triển dựa theo 2 công nghệ này

Tunneling là một kỹ thuật đóng gói các dữ liệu trong tunneling protocol, nh- IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hoặc Layer 2 Tunneling Protocol (L2TP) và cuối cùng là đóng gói những gói

đã đ-ợc tunnel bên trong một gói IP Tổng hợp các gói dữ liệu sau đó route

đến mạng đích bằng cách sử dụng lớp phủ thông tin IP Bởi vì gói dữ liệu nguyên bản có thể là bất cứ dạng nào nên tunning có thể hổ trợ đa giao thức gồm IP, ISDN, FR, ATM

1.2 Các giao thức trong VPN (VPN Tunneling Protocol):

Có 4 dạng giao thức tunneling nổi bật đ-ơc sử dụng trong VPN : IPSec, PPTP, L2TP, IP-IP

1.2.1 IP Security (IPSec)

IPSec cung cấp việc xác thực, toàn bộ và riêng lẻ về IP IPSec cung cấp 2 loại tunnel: Encapsulating Security PayLoad (ESP) cho việc xác thực, sự cách biệt và tính toàn vẹn, và Authentication Header (AH) định dạng nó cho việc xác thực và tính toàn vẹn nh-ng không cách biệt Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ở tầng thứ 7 trong mô hinh OSI (Open System Interconnect), vì thế, chúng có thể chạy độc lập so với các ứng dụng chạy trên mạng Và vì thế mạng của bạn sẽ đ-ợc bảo mật hơn mà không cần dùng bất kì ch-ơng trình bảo mật nào

1.2.2 Point-to-Point Tunneling Protocol (PPTP)

Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec Tuy nhiên IPSec vẫn còn đ-ợc sử dụng nhiều trong một số Tunneling Protocol PPTP thực hiện ở tầng thứ 2 (Data Link Layer)

Một gói PPTP đ-ợc biểu diễn nh- sau:

Data

Link

Header

IP Header

PPP Header

Encrypted PPP payload(IP Datagram, IPX Datagram,

NetBEUI frame)

Data-Link trailer

1.2.3 Layer 2 Tunneling Protocol (L2TP)

Giao thức L2TP cung cấp một tunnel giữa các domain không có tin cậy trong một mạng t-ơng tự giao thức PPTP Cả hai giao thức này cung cấp việc bắt đầu đóng gói dữ liệu sử dụng PPP

Giao thức L2TP cấu thành từ PPTP và L2F (Layer 2 Forwarding) Nó

đóng gói các frame PPP, nó có thể đ-ợc gửi trên IP, frame relay, X.25 hoặc ATM L2TP có thể đ-ợc sử dụng nh- giao thức tunnel trên internet nếu nó

sử dụng IP nh- là truyền tải của nó

1.2.4 IP-IP

IP-IP hoặc IP trong IP là một ph-ơng thức tunnel đơn Sử dụng ph-ơng thức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không

hổ trợ định tuyến multicast Việc bổ sung IP Header đ-ợc tạo ra trong việc

đóng gói các gói IP do đó phải tạo một mạng ảo Cấu trúc IP-IP cấu thành bên ngoài IP Header, bên trong IP Header, tunnel Header và IP Payload Payload này bao gồm UDP, TCP và dữ liệu

1.3 Sự thuận lợi và bất lợi của VPN

1.3.1 Thuận lợi:

- Mở rộng vùng địa lý có thể kết nối đ-ợc

- Tăng c-ờng bảo mật cho hệ thống mạng

- Giảm chi phí vận hành so với mạng WAN truyền thống

- Giảm thời gian và chi phí truyền dữ liệu đến ng-ời dùng ở xa

- Tăng c-ờng năng suất

- Giảm đơn giản hoá cấu trúc mạng

- Cung cấp thêm một ph-ơng thức mạng toàn cầu

- Cung cấp khả năng hổ trợ thông tin từ xa

- Cung cấp khả năng t-ơng thích cho mạng băng thông rộng

- Cung cấp khả năng sinh lợi nhuận cao hơn trong mang WAN truyền thông

- Dịch vụ mạng riêng ảo rất thích hợp cho các cơ quan, doanh nghiệp có nhu cầu kết nối mạng thông tin hiện đại, hoàn hảo tiết kiệm

* Một mạng VPN đ-ợc thiết kế tốt sẽ đáp ứng đ-ợc yêu cầu sau:

- Bảo mật (Security)

- Tin cậy (Reliability)

- Dễ mở rộng nâng cấp (Scalability)

- Quản trị mạng thuận tiện (Network Management)

- Quản trị chính sách mạng tốt (Policy Management)

1.3.2 Bất lợi:

- Phụ thuộc trong môi tr-ờng Internet

- Thiếu sự hổ trợ cho một số giao thức kế thừa

1.4 Phân loại mạng riêng ảo VPN

VPN nhằm h-ớng vào 3 yêu cầu cơ bản sau đây:

* Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầm tay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng

* Nối kết thông tin liên lạc gữa các chi nhánh văn phòng từ xa

* Đ-ợc điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng, nhà cung cấp và những đối t-ợng quan trọng của công ty nhằm hợp tác kinh doanh

Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra làm 2 loại VPN thông dụng sau:

Giống nh- gợi ý của tên gọi, Remote Access VPN cho phép truy cập bất

cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức Đặc biệt là những ng-ời dùng th-ờng xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối th-ờng xuyên đến mạng Intranet hợp tác

Site to site :

Là việc sử dụng mật mã dành cho nhiều ng-ời để kết nối nhiều điểm cố

định với nhau thông qua mạng công cộng nh- Internet, áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site to Site kết nối 2 site Việt Nam và Singapore tạo ra một đ-ờng truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn và hiệu quả Các mạng Site to Site VPN có thể thuộc một trong hai dạng sau:

* Intranet-based : áp dụng trong tr-ờng hợp trong công ty có một hoặc

nhiều địa điểm ở xa, mỗi địa điểm đều có một mạng cục bộ LAN Khi đó họ

có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ trong một mạng riêng thống nhất

* Extranet-based : Khi một công ty có một mối quan hệ mật thiết với

một công ty khác (ví dụ nh-, một đồng nghiệp, nhà hổ trợ khách hàng), họ

có thể xây dựng một mạng Extranet VPN để kết nối kiểu mnạg LAN với mạng LAN và cho phép các công ty đó có thể làm việc trong môi tr-ờng chia sẻ tài nguyên

Không giống nh- Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn nh- khách hàng, nhà cung cấp, đối tác những ng-ời giữ vai trò quan trọng trong tổ chức

Một số thuận lợi của Extranet :

* Do hoạt động trên môi tr-ờng Internet, bạn có thể lựa chon nhà phân phối khi lựa chọn và đ-a ra ph-ơng pháp giải quyết tuỳ theo nhu cầu của tổ chức

* Bởi vì một phần Internet-connectivity đ-ợc bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì

* Dễ dàng triển khai, quản lí và chỉnh sửa thông tin

Một số bất lợi của Extranet :

* Sự đe doạ về tính an toàn, nh- bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

* Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

* Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao

đổi diễn ra chậm chạp

* Do dựa trên Internet, QoS cũng không đ-ợc bảo đảm th-ờng xuyên

Ba loại mạng riêng ảo VPN Để triển khai một hệ thống VPN chúng ta cần những thành phần cơ bản sau đây:

- User Authentication : Cung cấp cơ chế chính thực ng-ời dùng, chỉ cho phép ng-ời dùng hợp lệ kết nối và truy cập hệ thống VPN

- Address Management : Cung cấp địa chỉ IP hợp lí cho ng-ời dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ

- Data Emcryption : Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng t- và toàn vẹn dữ liệu

- Key Managerment : Cung cấp giải pháp quản lí các khoá dùng cho quá trình mã hoá và giải mã dữ liệu

2 Các thành phần bảo mật của VPN

Internet đ-ơc xem là môi tr-ờng không an toàn,dữ liệu truyền qua dễ bị

sự truy cập bất hợp pháp và nguy hiểm Sự ra đời của VPN dựa trên giao thức Tunneling đã làm giảm một l-ợng đáng kể số l-ợng rủi ro không an toàn Vì thế làm thế nào để đảm bảo dữ liệu đ-ợc an toàn qua VPN? Làm thế nào để những dữ liệu dễ h- hỏng tránh khỏi sự truy cập không hợp pháp và không

an toàn? Sau đây là một vài ph-ơng pháp để duy trì kết nối và giữ an toàn khi truyền dữ liệu:

*Bức t-ờng lửa : Một bức t-ờng (fire wall) cung cấp biện pháp ngăn

chặn hiệu quả giữa mạng riêng của bạn với Internet Bạn có thể sử dụng t-ờng lửa ngăn chặn các cổng đ-ợc mở, loại gói tin đ-ợc phép truyền qua và giao thức sử dụng Bạn cũng nên có t-ờng lửa tr-ớc khi bạn sử dụng VPN, nh-ng t-ờng lửa cũng có thể ngăn chặn các phiên làm viêc của VPN

* Mã hoá : Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính

theo một quy tắc nhất định và máy tính đầu xa có thể giải mã đ-ợc Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:

+ Mã hoá sử dụng khoá riêng (Symmetric-Key encryption) + Mã hoá sử dụng khoá công khai (Public-Key encryption) Trong hệ Symmetric-Key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin tr-ớc khi truyền đi Khoá riêng này cần đ-ợc cài trên mỗi máy tính có trao đổi thông tin sử dụng mã khoá riêng và máy tính phải biết đ-ợc trình tự giải mã đã đ-ợc quy -ớc tr-ớc Mã bí mật thì sử dụng

để giải mã gói tin Ví dụ: Bạn có tạo ra một bức th- mã hoá mà trong nội dung th- mỗi ký tự đ-ợc thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký

tự Nh- vậy A sẽ đ-ợc thay thế bằng C, và B sẽ đ-ợc thay thế bằng D Bạn

đã nói với ng-ời bạn khoá riêng là dịch đi 2 vị trí ( Shift by 2) Bạn của bạn nhận đ-ợc th- sẻ giải mã sử dụng chìa khoá riêng đó Còn những ng-ời khác

sẽ không đọc đ-ợc nội dung th-

* Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (Symetric

key), sau đó mã hoá chính khoá bí mật (Symetric key) bằng khoá công khai của ng-ời nhận ( public key) Máy tính nhận sử dụng khoá riêng của nó (Symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu

* Hệ public-key encryption sử dụng một tổ hợp khoá riêng và khoá

công khai để thực hiện mã hoá, giải mã Khoá riêng chỉ sử dụng tại máy tính

đó, còn khoá công cộng đ-ợc truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận đ-ợc và khoá riêng của chính nó Một phần mềm

đã mã hoá công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn mã hoá đ-ợc hầu hết mọi thứ

* Giao thức IPSec - Internet Protocol Security Protocol cung cấp các

tính năng bảo mật mở rộng bao gồm các thuật toán mã hoá và xác thực tốt hơn IPSec có hai chế độ mã hoá : Kênh Tunnel mã hoá cả header và cả nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin Chỉ có những hệ thống sử dụng IPSec t-ơng thích mới có khả năng tiến này Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các t-ờng lửa ở mỗi mạng phải có chính sách cấu hình bảo mật t-ơng nhau.IPSec

có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị chẳng hạn nh-:

 Từ Router đến Router

 Từ firewall đến Router

 Từ PC đến Router

 Từ PC đến Sever

* Máy chủ xác thực, xác nhận và quản lý tài khoản AAA sever

( Authentication, Authorizatinon, Accouting Sever) đ-ợc sử dụng để tăng tính bảo mật trong truy cập từ xa của VPN, khi một yêu cầu đ-ợc gửi đến để tạo nên một phiên làm viêc, yêu cầu này phải đi qua một AAA sever đóng vai trò proxy AAA sẽ kiểm tra:

 Bạn là ai ( xác thực)

 Bạn đ-ợc phép làm gì ( xác nhận)

 Bạn đang làm gì ( quản lý tài khoản) Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi ng-ời dùng nhằm mục đích bảo mật, tính hoá đơn, lập báo cáo

2.1 Các ph-ơng thức nhận dạng ng-ời dùng

Cơ chế xác nhận ng-ời dùng th-ờng đ-ợc triển khai tại các điểm truy cập và đ-ợc dùng để xác nhận cho ng-ời dùng truy cập vào tài nguyên bên trong mạng Kết quả là chỉ có ng-ời dùng hợp lệ thì mới có thể truy cập vào bên trong mạng, điều làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ liệu đ-ợc l-u trữ trên mạng

Một số cách xác nhận th-ờng đ-ợc sử dụng riêng biệt hoặc có thể đ-ợc kết hợp với một số cách khác bao gồm những cách sau đây:

Login ID and password : Ph-ơng pháp này sử dụng cơ chế xác nhận ID

và mật khẩu cơ bản của hệ thống để xác nhận quyền truy cập của ng-ời dùng tại các điểm VPN

S/Key password : Ph-ơng pháp này khởi tạo một S/Key bằng cách lựa

chọn một mật mã bí mật của một con số tự nhiên Số tự nhiên này bao hàm cả số lần của một secure hash function (MD4) sẽ đ-ợc sử dụng vào mật khẩu

bí mật Khi ng-ời dùng login vào hệ thống, máy chủ sẽ cấp phát một hiệu lệnh kiểm soát Ch-ơng trình máy khách sẽ yêu cầu nhập mật khẩu bí mật, gây ra n-1 lần lặp lại hàm băm đến nó và gửi trả lại máy chủ Máy chủ sẽ ứng dụng hàm băm này vào thông tin đ-ợc gửi lại, nếu cả hai giá trị đều giống nhau, ng-ời dùng sẽ đ-ợc xác nhận thành công Máy chủ sẽ l-u lại thông tin mà ng-ời dùng gửi cho và giảm bộ đếm mật khẩu

Dịch Vụ Quay Số Kết Nối Từ Xa (RADIUS) : RADIUS là một giao

thức bảo mật trên Internet khá mạnh dựa trên mô hình Client/Server, phía client sẽ truy xuất vào mạng và RADIUS server là khúc mạng cuối sẽ xác nhận client Thông th-ờng, RADIUS server xác nhận ng-ời dùng bằng Username và Password mà nó l-u trữ trong danh sách sẵn có

RADIUS cũng thực hiện vai trò nh- một client khi xác nhận những ng-ời dùng nh- là các hệ điều hành nh- UNIX, NT và NetWare, thêm nữa RADIUS cũng đóng vai trò nh- một client khi RADIUS này kết nối đến RADIUS khác Để an toàn thông tin hơn trong quá trình trao đổi dữ liệu, dữ liệu th-ờng đ-ợc mã hoá theo cơ chế xác nhận, chẳng hạn nh- Password Authentication Protocol (PAP) và Challenge HandShake Authentication Protocol (CHAP)

Two-Factor Token-Based Technique : Giống nh- tên gọi ám chỉ, kế

hoạch này triễn khai ph-ơng pháp xác nhận đôi để xác nhận những tài liệu

đáng tin của ng-ời dùng Nó kết hợp tiện ích một của token và một của pasword Rrong suốt quá trình xử lý, các thiết bị điện tử phần cứng cơ bản phục vụ nh- token và ID duy nhất, ví dụ nh- Personal Identification Number (PIN) đ-ợc sử dụng nh- mật khẩu Theo truyền thống, token sẽ la thiết bị phần cứng (có thể là một thẻ card), nh-ng một số nhà cung cấp lại yêu cầu

sử dụng phần mềm để làm token

Chú thích: Ban có thể so sánh tính hữu dụng của ph-ơng pháp xác

nhận Two-Factor Token-Based khi bạn rút tiền từ Automated Teller Machine (ATM) Bạn sẽ làm việc này bằng cách sử dụng một ATM card để truy cập vào tài khoản của bạn (harardware-based identification) cùng với một mật khẩu bí mật hoặc một PIN Chỉ với những nhân tố này kêt hợp với nhau bạn mới có thể truy nhập vào tài khoản của bạn

2.2 Điêu khiển truy cập ( Controlling Access)

Sau khi ng-ời dùng đã đ-ợc xác nhận, mặc định anh/chị ấy sẽ đ-ợc phép truy cập vào những tài nguyên, dịch vụ và những ứng dụng đ-ợc đặt trên

mạng Điều này chứng tỏ rằng có một mối đe doạ lớn từ phía ng-ời dùng, cho dù đã đ-ợc uỷ nhiệm, có thể cố ý hoặc không cố ý làm xáo trộn dữ liệu trên mạng Bằng cách sàng lọc tài nguyên bạn có thể han chế đ-ợc việc này Controlling Access Rights cũng là một phần tích hợp của controlling access Mới đe doạ bảo mật có thể đ-ợc giảm xuống nếu ta giới hạn một số quyền truy cập đối với ng-ời dùng Ví dụ nh- ng-ời dùng chỉ đ-ợc phép đọc dữ liệu còn ng-ời quản tri có quyền chỉnh sửa, xoá dữ liệu

Ngày nay, một số kỹ thuj cải tiến đã cho phép độ an toàn cao hơn do việc kết hợp nhiều yếu tố nh- địa chỉ IP nguồn và đích, địa chỉ cổng, và group, ngày, giờ, thời gian và các ứng dụng v.v…

2.3 Mã hoá dữ liệu

Mã hoá hoặc mật mã hoá dữ liệu là một trong những thành phần cơ bản của VPN security Đây là cơ chế chuyển đổi dữ liệu sang một định dạng khác không thể đọc đ-ợc, vi dụ nh- ciphertext (văn bản viết thành mật mã),

để có thể ngăn cản những truy cập bất hợp pháp khi dữ liệu trao đổi trong môi tr-ờng mạng không an toàn

Mã hoá dữ liệu ngăn chặn đ-ợc các việc sau :

* Nghe trộm và xem lén dữ liệu

* Chỉnh sữa và đánh cắp lén dữ liệu

* Giả mạo thông tin

* Data non-repudiation

* Sự gián đoạn các dịch vụ mạng

Khi nhận đ-ợc gói tin, ng-ời nhận sẽ giải mã dữ liệu lại dạng cơ bản ban đầu Cho dù dữ liệu có bị chặn trong suốt quá trình trao đổi dữ liệu Ng-ời gửi và ng-ời nhận, phụ thuộc vào quá trình mã hoá, d-ới hình thức là một hệ thống mã hoá Hệ thống mã hoá (Cryptosystems) có 2 loại sau:

* Đối xứng (Symmetric)

* Bất đối xứng (Asymmetric)

Một hệ thống mã hoá đ-ợc phân loại dựa vào con số của khoá mà nó dùng Một khoá có thể là con số, số từ, hoặc một cụm từ đ-ợc dùng vào mục

đích mã hoá và giải mã dữ liệu

3 Các thiết bị sử dụng trong VPN

Các kỹ thuật đ-ợc sử dụng phụ thuộc vào một kiểu mô hình VPN mà

muốn xây dựng (truy cập từ xa Remote-Access hay kết nối ngang hàng Site-to-Site), ta cần một số các thành phần cần thiết để hình thành mô hình VPN nh- sau:

- Một số thiết bị phần cứng riêng nh-: Bộ tập trung (Concentrater), Bộ định tuyến VPN thông minh (VPN-optimized routers), hay t-ờng lửa (secure PIX Firewall)

- Các máy chủ VPN sử dụng cho các dịch vụ cần thiết

- Máy chủ NAS (Network Access-Server) dùng cho các ng-ời dùng ở xa truy nhập

- Trung tâm quản lý mạng và chính sách VPN

- Phần mềm máy trạm cho mỗi ng-ời dùng từ xa

Do hiện nay ch-a có một tiêu chuẩn rộng rải để triển khai VPN, cho nên

đã có nhiều giải pháp cho việc triển khai tron gói 1 hệ thống mang VPN, ta

có thể đ-a ra một vài giải pháp (của Cisco) trong viêc triển khai nh- sau:

- Bộ tập trung VPN (VPN Concentrater) : Tích hợp các -u điểm tiên tiến nhất của mã hoá và xác nhận Bộ tập trung VPN đ-ợc chế tạo riêng biệt cho tính năng truy cập VPN từ xa Chúng cung cấp khả năng sử dụng với hiệu quả cao, dễ nâng cấp mở rộng và cung cấp nhiều thành phần gọi là bộ xử lý mã hoá có khả năng mở rộng, nó cho phép ng-ời dùng dễ dàng tăng thêm

dung l-ợng và khả năng xử lý Các bộ tập trung rất phù hợp với các doanh nghiệp cỡ vừa với số l-ợng ng-ời truy cập đồng thời không cao

Hinh: Bộ tập trung Cisco3000

- Bộ định tuyến VPN thông minh (VPN-optimized routers) cung cấp khả năng định tuyến, bảo mật và chất l-ợng dịch vụ mở rộng Dựa trên nền tảng phần mềm hệ điều hành Internat của Cisco IOS (Internet Operating System),

đây là một bộ định tuyến rất phù hợp cho tất cả các tr-ờng hợp từ Văn phòng

đến Gia đình truy cập đến trạm VPN hoặc các doanh nghiệp có quy mô lớn

- T-ờng lửa bảo mật Secure PIX Firewall Bộ PIX (Private Internet Exchange) Firewall tích hợp bộ địa chỉ động, máy chủ proxy, bộ lọc gói tin, t-ờng lửa và VPN trong một phần cứng duy nhất Thay thế cho việc sử dụng Cisco IOS, thiết bị này có dung l-ợng cao hơn phù hợp cho khả năng quản lý nhiều giao thức rất tinh vi, đặc biệt là IP

H×nh: Bé cisco-PIX-firewall-rearview

Ch-ơng II Virtual Private Network Protocols

1 Khái niệm cơ bản về Tunnelling Technology

1.1 Những điểm thuận lợi của VPN

Tunneling đ-a ra một số đặc điểm thuận lợi có ý nghĩa quan trọng trong công nghệ truyền thông Sau đây là một số thuận lợi :

* Đơn giản và dễ triển khai Bởi vì ý t-ởng của tunneling đơn giản nên

việc triển khai công nghệ này cũng đơn giản và dễ dàng Hơn nữa , không cần phải điều chỉnh cơ sở hạ tầng mạng đã có sẵn cho phù hợp với công nghệ tunneling, điều này tạo ra đ-ợc giải pháp khả thi và có lợi cho những tổ chức

có phạm vi vừa

* Bảo mật Cấu tạo tunnel ngăn chặn sự truy cập của những ng-ời dùng

không đ-ợc phép Kết quả, dữ liệu l-u thông qua tunnel thì t-ơng đối an toàn, cho dù thực tế dữ liệu đ-ợc thông qua một môi tr-ờng không an toàn

và chung, nh- Internet chẳng hạn

* Sự hiệu quả về chi phí Tunneling sử dụng mạng công cộng nh-

Internet làm trung gian để truyền dữ liệu đến đích Điều này tạo ra một giải pháp vô cùng hiệu quả về chi phí khi sử dụng tunneling, đặc biệt là khi so sánh nó với việc triển khai một mạng Intranet riêng khi thuê đ-ờng line trải dài trên toàn cầu hoặc với khoáng cách xa Thêm vào đó, tổ chức có thể tiết kiệm một số tiền đáng kể dùng để chi phí cho việc bảo trì và quản lý

* Đồng bộ giao thức Dữ liệu sử dụng các giao thức không định tuyến,

nh- Network Basic Input/Output System (NetBIOS), và NetBIOS Enhanced User Interface (NetBEUI) thì không phù hợp với các giao thức Internet nh- TCP và IP Vì lí do đó, những gói dữ liệu không thể định tuyến thông qua Internet Tuy nhiên, tunneling cho phép bạn định tuyến qua những gói dữ liệu non-ip để đi đến đích bằng việc bao bọc chúng "enveloping" bên trong các gói IP

* Tiết kiệm địa chỉ IP Nh- đã đề cập ở trên, tunneling cho phép các

giao thức không định tuyến, không địa chỉ IP có thể chèn vào bên trong một gói sử dụng một địa chỉ IP duy nhất toàn cầu Kết quả, thay vì phải mua và

đăng ký địa chỉ IP này cho mỗi nút trong mạng, hệ thống mạng có thể mua một khối nhỏ các địa chỉ IP toàn cau duy nhất Khi một nút trong mạng riêng thiết lập một kết nối VPN, bất kỳ một địa chỉ IP sẵn có nào trong khối có thể

đ-ợc dùng gắn vào gói dữ liệu non-IP Vì thế, mạng riêng có thể giảm sự cần thiết địa chỉ IP trong một tổ chức

1.2 Các thành phần của VPN

Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu cuối, tunneling đ-a ra 4 thành phần yêu cầu sau :

- Mạng đích (Target network) Là mạng trong đó chứa các dữ liệu tài

nguyên mà ng-ời dùng từ xa cần truy cập để sử dụng, là những ng-ời khởi tạo ra phiên yêu cầu VPN (mạng đích cũng d-ợc hiểu nh- là mạng gia đình (home network) trong một số tài liêu về VPN)

- Nút khởi tạo (Initiator node) Ng-ời dùng khách hoặc máy chủ khởi

tạo phiên VPN Nút khởi tạo có thể là một phần của mạng cục bộ hoặc có thể là ng-ời dùng mobile sử dụng laptop

- HA (Home Agent) Bề mặt chung của ch-ơng trình là th-ờng c- trú

tại các nút mạng (router) trong mạng đích Ngoài ra, một nút đích, nh-

Dial-up Server có thể làm máy chủ HA HA nhận và xác nhận những yêu cầu gửi

đến để xác thực chúng từ những host đã đ-ợc uỷ quyền Khi xác nhận thành công bộ máy khởi tạo,HA cho phép thiết lập tunnel

- FA (Foreign Agent) Giao diện ch-ơng trình th-ờng c- trú tại các nut khởi tạo hoặc ở nút truy cập mạng (router) của hệ thống mạng Các nút khởi dùng FA để yêu cầu một phiên VPN từ HA ở mạng đích

đoạn thiết lập tunnel.) nếu yêu cầu đ-ợc chấp nhận và tham số phiên đ-ợc

đàm phán thành công, một tunnel đ-ợc thiết lập giữa hai nút thông tin đầu cuối Điều này xảy ra qua những việc chính sau :

1 Nút khởi tạo yêu cầu kết nối đến vị trí FA trong mạng

2 FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu

đ-ợc cung cấp bởi ng-ời dùng (Thông th-ờng FA sử dụng các dịch vụ của một máy chủ Remote Access Dial-Up Server (RADIUS) để xác nhận sự thống nhất của các nút khởi tạo.)

3 Nếu tên truy cập và mật khẩu cung cấp bởi ng-ời dùng không hợp lệ, yêu cầu phiên làm việc VPN bị từ chối Ng-ợc lại, nếu quá trình xác nhận sự thống nhất của FA thành công, nó sẽ chuyển yêu cầu đến mạng đích HA

4 Nếu yêu cầu đ-ợc HA chấp nhận, FA gửi login ID đã đ-ợc mã hoá và mật khẩu t-ơng ứng đến nó

5 HA kiểm chứng thông tin đã đ-ợc cung cấp Nếu quá trình kiểm chứng thành công, HA gửi những Register Reply, phụ thuộc vào một số tunnel đến FA

6 Một tunnel đ-ợc thiết lập khi FA nhận Register Reply và số tunnel

Ghi chú :

Nếu 2 điểm đầu cuối không sử dụng cùng giao thức tunnel, một số tham biến cấu hình tunnel nh- mã hoá, tham số nén, và cơ chế duy trì tunnel cũng

đ-ợc đàm phán

Với việc thiết lập tunnel, giai đoạn I đ-ợc xem nh- đã xong và giai

đoạn II, hay giai đoạn chuyển giao dữ liệu,bắt đầu Quá trình giao dịch trong giai đoạn II này thực hiện qua các b-ớc sau :

1 Nút khởi tạo bắt đầu chuyển h-ớng các gói dữ liệu đến FA

2 FA tạo tunnel header và chèn nó vào từng gói dữ liệu Thông tin header cùng giao thức định tuyến (đ-ợc đàm phán trong giai đoạn I) sau đó

đ-ợc gắn vào gói dữ liệu

3 FA chuyển h-ớng các gói dữ liệu đã mã hoá đến HA bằng cách sử dụng tunnel number đã đ-ợc cung cấp

4 Trong quá trình nhận thông tin mã hoá, HA cởi bỏ tunnel header và header của giao thức định tuyến, đ-a gói dữ liệu trở về dạng nguyên bản của

Chú ý : EIA/TIA-232-C tr-ớc đây đ-ợc hiểu là RS-232C

Ngoài việc đóng gói dữ liệu IP và non-IP và nó vận chuyển qua các kết nối nối tiếp , PPP cũng đảm nhiệm một số chức năng sau đây :

* Chỉ định và quản lý từ các địa chỉ IP đến các gam dữ liệu non-IP

* Cấu hình và kiểm tra các kết nối đã đ-ợc thiết lập

* Đóng gói không đồng bộ các gam dữ liệu

* Phát hiện lỗi trong suốt quá trình giao dịch

* Trộn các da giao thức ở tầng 2

* Đàm phán các tham số cấu hình tuỳ chọn, nh- nén và đánh địa chỉ dữ liệu

PPP thực hiện chức năng này bằng 3 tiêu chuẩn :

* Tiêu chuẩn cho việc đóng gói những gói dữ liệu qua các kết nối

điểm-điểm

Chú ý : Tiêu chuẩn cho việc đóng gói các gói dữ liệu thông qua các kết nối điểm-điểm là ph-ơng thức lỏng lẻo trong giao thức Hight-Level Data Link Control (HDLC) Ngoài ra, cũng có sự khác nhau giữa hai chuẩn

Ví dụ : HDLC phân chia gói dữ liệu ra thành frame, PPP thì không

* Tiêu chuẩn cho việc thiết lặp, cấu hình, và kiểm tra kết nối điểm-điểm với sự giúp đỡ của Link Control Protocol (LCP)

* Tiểu chuẩn cho việc thiết lặp và cấu hình một số giao thức tầng mạng và phát hiện lỗi trong suốt quá trình giao dịch d-ới hình thức của Network Control Protocol (NCP) phù hợp

2.2 Point-to-Point Tunneling Protocol (PPTP)

PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa remote client và enterprise server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung gian Đ-ợc phát triển bởi PPTP Consortium (Microsoft

Corporation, Ascend Communications, 3COM, US Robotics, và ECI Telematics), PPTP đ-ợc đ-a ra dựa trên yêu cầu VPN thông qua mạng trung gian không an toàn PPTP không những tạo điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi tr-ờng mạng chung, mà còn qua mạng riêng Intranet

Chú ý :

Khi Microsoft sử dụng vai trò khoá trong sự phát triển của PPTP, tất cả các sản phẩm về mạng của Microsoft, nh- Window NT 4.0 (Server và workstation editions) và Window 2000 hổ trợ PPTP natively

2.2.1 Công dụng của PSTN (Public Switcheh Telephone Networks)

PPTP cho phép sử dụng PSTN cho việc triển khai VPN Kết quả là, quá trình xử lý sự phát triển của VPN đặc biệt đơn giản và tổng chi phí cho viẹc trrển khai thì khá thấp Đối với những doanh nghiệp có kết nối mạng diện rộng dựa trên các đ-ờng thuê bao leased line đ-ợc loại bỏ

2.2 2 Hổ trợ giao th-c Non-IP

PPTP cũng hỗ trợ một số giao thức triển khai mạng thông th-ờng khác nh- TCP/IP, IPX, NetBEUI, và NetBIOS

2.3 Layer 2 Forwarding (L2F)

Nh- đã đè cập ở phần tr-ớc, dịch vị quay số mạng truyền thống thực hiện

thông qua Internet và do đó đ-ợc dựa trên cơ sở của công nghệ IP Đó là lý

do tại sao một số giải pháp tạo đ-ờng hầm, nh- PPP và PPTP, tỏ ra thành công hơn với cơ sở hạ tầng IP hơn so với công nghệ mạng đ-ơng thời hiện nay, nh- ATM, Frame Relay…

Cisco System, cùng với Nortel, là một trong những nhà cung cấp hàng đầu bắt đầu làm việc nhằm các mục đích sau :

 Cho phép bảo mật trong giao dịch

 Cung cấp khả năng truy cập dựa trên cơ sở hạ tầng của Internet

định nhiều kết nối bên trong một tunnel nơi mà mỗi kết nối đại diện cho một dòng PPP đơn Hơn nữa, những dòng này có thể khởi đầu từ một ng-ời dùng

từ xa hoặc từ nhiều ng-ời dùng Bởi vì một tunnel có thể hổ trợ đồng thời nhiều kết nối, một ít kết nối đ-ợc yêu cầu từ một remote site đến ISP từ ISP's POP đến gateway của mạng riêng Đặc điểm này đặc biệt hữu dụng trong việc giảm chi phí

3 Giới thiệu về IPSec

3.1 Understanding IPSec

Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security

Nó có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) đ-ợc phát triển bởi Internet Engineering Task Force (IETF) Mục đích chính của việc phát triển của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network Layer) của mô hình OSI, nh- hình sau: