LUẬN VĂN TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hêt các lĩnh vực trong đời sống xã hội. Các thông tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tê, tính chính xác và tin cậy của nó. Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản trị là hêt sức quan trọng và cần thiêt. Giải pháp bảo mật trên VPN là giải pháp khả thi nhất vì vừa đảm bảo được những yêu tố bảo mật vừa bỏ ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất rộng rãi. Công nghệ này ngày càng phát triển. Đó là lí do tôi chọn đề tài “Tìm Hiểu Giải Pháp Bảo Mật Ứng Dụng Trên VPN”. Đề tài đem lại những lợi ích đáp ứng nhu cầu thiêt thực của xã hội. Việc đầu tiên nghĩ đên là thiêt kê mô hình mạng và áp dụng vào thưc tê, đảm bảo được tính bảo mật là điều mà đề tài quan tâm nhất. Từ đó đưa ra các giải pháp hợp lý với chi phí lắp đặt và sự phát triển của công nghệ ngày nay

Trang 1

ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN

Tel (84-5113) 736 949, Fax (84-5113) 842 771Website: itf.ud.edu.vn, E-mail: cntt@edu.ud.vn

LUẬN VĂN TỐT NGHIỆP KỸ SƯ

NGÀNH CÔNG NGHỆ THÔNG TIN

MÃ NGÀNH : 05115

ĐỀ TÀI : TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN

Mã số : 06T3 - 004 Ngày bảo vệ : 15,16/6/2011

ĐÀ NẴNG, 06/2011

Trang 2

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Trang 3

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

Trang 4

LỜI CẢM ƠN

Trước tiên em xin gửi lời cám ơn chân thành sâu sắc tới các thầy cô giáo trong trường Đại học Bách Khoa Đà Nẵng nói chung và các thầy cô giáo trong khoa Công Nghệ Thông Tin nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua.

Đặc biệt em xin gửi lời cảm ơn đến thầy Nguyễn Thế Xuân Ly, thầy đã tận tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm đồ án tốt nghiệp Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả, đây là những điều rất cần thiết cho em trong quá trình học tập và công tác sau này.

Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên, đóng góp ý kiến và giúp đỡ trong quá trình học tập, nghiên cứu và hoàn thành đồ án tốt nghiệp này.

Trang 5

LỜI CAM ĐOAN

Tôi xin cam đoan :

Những nội dung trong luận văn này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của thầy Nguyễn Thế Xuân Ly.

Mọi tham khảo dùng trong luận văn đều được trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố.

Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm.

Trang 6

MỤC LỤC

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 2

1.1 Giớ thiệu về bảo mật trên mạng Internet 2

1.1.1 Nguy cơ làm mất an toàn thông tin mạng 2

1.1.2 Yêu cầu của bảo mật 2

1.1.3 Các giải pháp về bảo mật 3

1.2 Giới thiệu công nghệ VPN 4

1.2.1 Lịch sử hình thành và phát triển của mạng VPN 4

1.2.2 Định ngĩa VPN 5

1.2.3 Nguyên tắc hoạt động của VPN 5

1.2.4 Các chức năng, ưu và nhược điểm của VPN 6

1.2.5 Các kiểu VPN trên Router Cisco, Fix, ASA 7

CHƯƠNG 2: BẢO MẬT TRÊN VPN 12

2.1 Các kiểu xác thực trên VPN 12

2.1.1 Xác thực nguồn gốc dữ liệu 12

2.1.2 Xác thực tính toàn vẹn dữ liệu 15

2.2 Mã hóa 19

2.2.1 Thuật toán mã hóa bí mật(đối xứng) 20

2.2.2 Thuật toán mã hóa công cộng 27

2.3 Public Key Infrastructure 30

2.3.1 Tổng quan về PKI 30

2.3.2 PKI 31

2.3.3 Cơ sở hạ tầng của PKI 33

2.4 Các giao thức trên VPN 36

2.4.1 Kỹ thuật Tunneling 36

2.4.2 Các giao thức 39

Trang 7

2.4.3 IPSec 41

CHƯƠNG 3: THIẾT KẾ MẠNG DMVPN CHO DOANH NGHIỆP TRÊN CÔNG NGHỆ CISCO 50

3.1 Tìm hiểu các yêu cầu thực tê 50

3.1.1 Yêu cầu của đối tượng doanh nghiệp 50

3.1.2 Yêu cầu của người quảng trị mạng 50

3.2 Phân tích yêu cầu 50

3.2.1 Phần sơ đồ mạng VPN 50

3.2.2 Phần chức năng của mạng VPN 50

3.3 Tìm hiểu và phân tích hệ thống 51

3.3.1 Thiêt kê sơ đồ vật lý 53

3.3.2 Thiêt kê sơ đồ IP 55

3.4 Triển khai 57

3.4.1 Triển khai 57

3.4.2 Cấu hình DMVPN kêt nối trụ sở chính với các chi nhánh 58

3.4.3 Kiểm thử bảo mật trong mô hình 59

3.4.4 Giải pháp phát triển trong lai 61

Trang 8

DANH MỤC HÌNH

Hình 1: Mô hình VPN thông thường 5

Hình 2: Hệ thống đáp ứng thách đố người dùng 13

Hình 3: Hàm băm thông dụng MD5, SHA-1 16

Hình 4: Cấu trúc cơ bản của MD5/SHA 17

Hình 5: Xác thực tính toàn vẹn dữ liệu dựa trên xác thực bản tin MAC 18

Hình 6: Chữ ký số 19

Hình 7: Thuật toán mã hóa bí mật 21

Hình 8: Sơ đồ thuật toán DES 22

Hình 9: Mạng Fiestel 23

Hình 10: Phân phối khóa trong hệ thống mật mã khóa đối xứng 24

Hình 11: Quá trình tạo ra khóa con trong DES 25

Hình 12: Quá trình mã hóa qua 3 key của 3DES 26

Hình 13: Thuật toán mã hoá khóa công cộng 27

Hình 14: Dữ liệu được trao đổi dựa trên thuật toán Rivest Shamir Adleman 29

Hình 15: Quá trình thiêt lập tunnel 36

Hình 16: Thiêt lập đường hầm thông tin 38

Hình 17: Truyền dữ liệu qua đường hầm 38

Hình 18: Định dạng gói tin VPN 38

Hình 19: IPSec phases 43

Hình 20: IP Packet được bảo vệ bởi ESP trong Transport Mode 46

Hình 21: IP Packet được bảo vệ bởi ESP trong Tunnel Mode 46

Hình 22: IP Packet được bảo vệ bởi AH 47

Hình 23: IP Packet được bảo vệ bởi AH trong Transport Mode 47

Hình 24: IP Packet được bảo vệ bởi AH trong Tunnel Mode 47

Hình 25: Transport và Tunnel mode trong IPSec so với gói tin thông thường 49

Hình 26: Sơ đồ hệ thống mạng DMVPN cho doanh nghiệp 51

Trang 9

Hình 27: Sơ đồ vật lý của hệ thống mạng 53

Hình 28: Sơ đồ IP của hệ thống mạng 55

Hình 29: Sơ đồ mạng DMVPN cho doanh nghiệp 57

Hình 30: Thực hiện ping từ R đên địa chỉ IP Đà Nẵng 59

Hình 31: Thực hiện ping user từ Đà Nẵng đên router DTNN 60

Hình 32: Ping từ user Đà nẵng đên Server 60

Hình 33: Lệnh show ip route 60

Hình 34: Bắt được gói tin Hello đã mã hóa của giao thức EIGRP 61

Trang 10

DANH MỤC BẢNG

Bảng 1: Bảng kêt nối vật lý của Router Hà Nội 54

Bảng 2: Bảng kêt nối vật lý của Router TP Hồ Chí Minh 54

Bảng 3: Bảng kêt nối vật lý của Router Đà Nẵng 54

Bảng 4: Bảng kêt nối vật lý của Router đối tác nước ngoài 55

Bảng 5: Bảng cấu hình địa chỉ IP cho router R-HANOI 56

Bảng 6: Bảng cấu hình địa chỉ IP cho router R-HCM 56

Bảng 7: Bảng cấu hình địa chỉ IP cho router R-DANANG 56

Bảng 8: Bảng cấu hình địa chỉ IP cho router R-World 56

Bảng 9: Tham số máy ảo Window XP 1 58

Bảng 10: Tham số máy ảo Window server 2003 58

Bảng 11: Bảng cấu hình địa chỉ IP của các router 59

Trang 11

DANH MỤC VIẾT TẮT

ACL: Acess Control List

AES: Advanced Encryption Standard

AH: Authentication Header

ARP: Address Resolution Protocol

ATM: Asynchronous Tranfer Mode

CHAP: Challenge Handshake Authentication Protocol

CIE: Client Information Entry

CPU: Central Processing Unit

DES: Data Encryption Standard

DH: Diffie-Hellman

DMVPN: Dynamic Multipoint Virtual Private Network

DNS: Domain Name System

DPD: Dead thiêt bị ngang hàng (peer) detection

EIGRP: Enhanced Interior Gateway Routing Protocol

ESP: Encapsulating Security Payload

FA: Foreign Agent

FIB: Vận chuyểning Information Base

FR: Frame Relay

GRE: Generic Routing Encapsulating

HA: Home Agent

HMAC: Hash-based Message Authentication Code)

HTTPS: Hypertext Transfer Protocol over Secure Socket LayerID: Identification

IDB: Interface Descriptor Block

IETF: Internet Engineering Task Force

Trang 12

IKE: Internet Key Exchange

IOS: Internetwork Operating System

IP: Internet Protocol

IPSec: Internet Protocol Security

IPv4: Internet Protocol version 4

ISAKMP: The Internet Security Association and Key Management ProtocolISDN: Integrated Services Digital Network

ISP: Internet Service Provider

IV: initialization Vector

L2F: Layer 2 Vận chuyển Protocol

L2TP: Layer 2 Tunneling Protocol

MAC: Message Authentication Code

MD: Message Digest

MD5: Message Digest #5

mGRE: multipoint Generic Routing Encapsulation

MPLS: Multiprotocol Label Switching

MPPE: Microsoft Point-to-Point Encryption

MSS: Maximum Segment Size

MTU: Maximum Transfer Unit

NAS: Network Attached Storage

NAT: Network Address Translation

NBMA: Nonbroadcast Multiaccess

NHC: Next Hop Client

NHRP: Next Hop Resolution Protocol

NHS: Next Hop Server

NIST: US National Institute of Standards and Technology

NSA: National Security Agency

OSPF: Open Shortest Path First

Trang 13

PAP: Passwork Authentication Protocol

PAT: Port Address Translation

PFS: perfect vận chuyển secrecy

PKI: Public Key Infrastructure

PPP: Point-to-Point

PPTP: Point-to-Point Tunneling Protocol

RADIUS: Remote Authentication Dial-In Use Service

RFC: Request For Comment

RIP: Routing Information Protocol

RSA: Rivest, Shamir, and Adelman

S/KEY: Secure key

SA: Security Association

SDN: Software Defined Networks

SHA: Security Hash Algorithm

SHA-1: Secure Hash Algorithm – 1

SSL: Secure Sockets Layer

SVC: Switched Virtual Circuit

TACACS: Terminal Access Controler Access Control SystemTCP/IP: Transmission Control Protocol/Internet ProtocolTLS: Transport Layer Security

UDP: User Datagram Protocol

VPN: Virtual Private Network

Xauth : Extended Authentication

Trang 14

MỞ ĐẦU

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặcbiệt là mạng Internet ngày càng phát triển đa dạng và phong phú Các dịch vụ trênmạng Internet đã xâm nhập vào hầu hêt các lĩnh vực trong đời sống xã hội Các thôngtin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rấtnhiều thông tin cần bảo mật cao bởi tính kinh tê, tính chính xác và tin cậy của nó.Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính

ổn định và an toàn cao Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vivà phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quảntrị là hêt sức quan trọng và cần thiêt

Giải pháp bảo mật trên VPN là giải pháp khả thi nhất vì vừa đảm bảo được nhữngyêu tố bảo mật vừa bỏ ra chi phí vừa phải Hiện nay VPN đang được sử dụng rất rộng

rãi Công nghệ này ngày càng phát triển Đó là lí do tôi chọn đề tài “Tìm Hiểu Giải

Pháp Bảo Mật Ứng Dụng Trên VPN” Đề tài đem lại những lợi ích đáp ứng nhu cầu

thiêt thực của xã hội

Việc đầu tiên nghĩ đên là thiêt kê mô hình mạng và áp dụng vào thưc tê, đảm bảođược tính bảo mật là điều mà đề tài quan tâm nhất Từ đó đưa ra các giải pháp hợp lývới chi phí lắp đặt và sự phát triển của công nghệ ngày nay

Trang 15

TÓM TẮT NỘI DUNG BÁO CÁO

Chương 1 : Cơ sở lý thuyết

 Giới thiệu các công nghệ và giải pháp bảo mật trên VPN

 Định nghĩa về VPN

 Nguyên tắc hoạt động của VPN

 Các kiểu VPN trên Router Cisco, PIX, ASA

Chương 2: Bảo mật trong VPN

 Các kiểu xác thực

 Các thuật toán mã hóa trên VPN: DES, 3DES, AES

 Public Key Infrastructure

 Các giao thức trên VPN

Chương 3: Thiết kế mạng DMVPN cho doanh nghiệp trên công nghệ CISCO

 Tìm hiểu các yêu cầu thực tê

 Phân tích và đặt tả yêu cầu

 Thiêt kê mô hình mạng VPN

 Hướng phát triển

Trang 16

Báo cáo đồ án tốt nghiệp GVHD: KS.GVC Nguyễn Thế Xuân Ly

1.1 Giớ thiệu về bảo mật trên mạng Internet

1.1.1 Nguy cơ làm mất an toàn thông tin mạng

Theo các chuyên gia về an ninh mạng, hiện nay có khá nhiều nguy cơ khiên chodữ liệu trong máy tính bị thất thoát Tuy nhiên, có thể cụ thể hóa thành 4 nguy cơ:

 Unstructure Threats: nguy cơ từ những người không có kiên thức nhiều vềmạng và hệ thống, họ tìm kiêm các công cụ được xây dựng sẵn và thử khaithác thông tin từ người khác

 Structure Threats: nguy cơ từ những người có hiểu biêt về mạng và hệthống Họ tự xây dựng chương trình và các công cụ riêng, sử dụng các công

cụ này và đi khai thác thông tin của những người khác

 Internal Threats: nguy cơ từ những người bên trong mạng nội bộ công ty để

rò rỉ thông tin ra ngoài

 External Threats: nguy từ mạng Internet, hacker xâm nhập vào trong mạngnội bộ của doanh nghiệp và lấy cắp thông tin

Bảo mật luôn là ưu tiên hàng đầu của mọi lĩnh vực trong xã hội Ngày nay với sựphát triển không ngừng của công nghệ thông tin, các vấn đề an ninh mạng được đặt ravới nhiều giải pháp

Bảo mật là một giải pháp với mục đích đảm bảo được an toàn của thông tin dữliệu đồng thời cho phép mức độ thể hiện (performance) hoạt động ở mức chấp nhậnđược Việc bảo mật thường tìm kiêm một vị trí thăng bằng giữa nhu cầu bảo mật-tốcđộ-nhu cầu doanh nghiệp

1.1.2 Yêu cầu của bảo mật

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toànthông tin có thể đên từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sáchvà phương pháp đề phòng cần thiêt Mục đích cuối cùng của an toàn bảo mật là bảo vệcác thông tin và tài nguyên theo các yêu cầu sau:

 Đảm bảo tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập tráiphép bởi những người không có thẩm quyền

 Đảm bảo tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làmgiả bởi những người không có thẩm quyền

Trang 17

Tìm hiểu giải pháp bảo mật ứng dụng trên VPN

 Đảm bảo tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sửdụng cho người có thẩm quyền

 Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam kêtvề mặt pháp luật của người cung cấp

1.1.3 Các giải pháp về bảo mật

Nghiên cứu về bảo mật trên mạng là vấn đề rất rộng, nhiều giải pháp đặt ra Cácgiải pháp bảo mật chung nhất cho mạng internet Dưới đây là một số giải pháp:

 Tường lửa(Firewall): dựa trên khả năng kiểm tra mạnh và tích hợp côngnghệ ngăn chặn xâm nhập vào firewall để bảo vệ mạng biên trước nhữngcuộc tấn công ở cấp độ ứng dụng Loại tường lửa này cung cấp các tính năngkiểm soát truy cập mạng và cô lập tấn công, cho phép khách hàng bảo vệ cơ

 SSL VPN: Công nghệ này cho phép mở rộng truy cập an toàn với chi phíthấp tới các nhân viên lưu động, đối tác và khách hàng bằng cách cung cấpcác kiểm soát truy cập theo nhóm và người dùng chính, ở cả mức ứngdụng lẫn toàn bộ tài nguyên mạng

 Thuê kênh riêng (Leased Line):

 Kêt nối Internet 24h/24h bằng các đường kêt nối trực tiêp

 An toàn, tin cậy(bảo mật cao)

 Tốc độ cao được dự phòng tốt trên nền mạng trục Internet quốc gia

 Chi phí lắp đặt cao vì phải thuê riêng đường truyền

 Ứng dụng nhiều trong các tổ chức, doanh nghiệp

Phải nói thêm rằng sẽ không có một giải pháp dùng chung cho mọi qui mô mạngcủa doanh nghiệp Lựa chọn tốt nhất cho doanh nghiệp phải dựa trên việc cân nhắccác yêu tố: hệ điều hành triển khai trên máy chủ và máy trạm, tài nguyên mạng cần

Trang 18

Báo cáo đồ án tốt nghiệp GVHD : KSGV.Nguyễn Thế Xuân Ly

thiêt cho việc truy cập, mức độ bảo mật yêu cầu, các vấn đề về hiệu suất, khả năngquản trị…

Từ những giải pháp trên, tôi nhận thấy giải pháp bảo mật trên VPN vừa đáp ứngđược tính bảo mật dữ liệu, nhu cầu của các doanh nghiệp và vấn đề chi phí lắp đặt.Phần tiêp theo sẽ hướng chúng ta vào công nghệ VPN trên Router CISCO Một ứngdụng đang được áp dụng rộng rãi trong các doanh nghiệp và nhà trường

Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật dữliệu của họ Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép không chỉ làmột vấn đề trên các mạng Việc truyền dữ liệu giữa các máy tính hay giữa các mạngLAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập hơn là khi dữliệu vẫn còn trên một máy tính đơn

Bảo mật không phải là vấn đề riêng của VPN mà thực tê là mối quan tâm và tháchthức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng Internet để trao đổithông tin Để thực hiện bảo mật cho dữ liệu trong mạng VPN người ta thực hiện haiquá trình đó là xác thực (Authentication) và mật mã (Encryption)

1.2 Giới thiệu công nghệ VPN

1.2.1 Lịch sử hình thành và phát triển của mạng VPN

VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã có từnhiều năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đên nay đã tạo ramột dạng mới nhất

VPN đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biêtnhư Software Defined Networks (SDN)

Thê hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch

vụ tích hợp kỹ thuật số ISDN (Integrated Services Digital Network) từ đầu những năm

90 Hai công nghệ này cho phép truyền những gói dữ liệu qua các mạng chia sẽchung

Sau khi thê hệ thứ hai của VPN ra đời, thị trường VPN tạm thời lắng động vàchậm tiên triển, cho tới khi có sự nổi lên của hai công nghệ FR (Frame Relay) và ATM(Asynchronous Tranfer Mode) Thê hệ thứ ba của VPN đã phát triển dựa theo 2 côngnghệ này Hai công nghệ này phát triển dựa trên khái niệm về chuyển mạch kênh ảo,theo đó các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích Thay vào đó, chúng sẽmang những con trỏ, trỏ đên các mạch ảo nơi mà dữ liệu nguồn và đích sẽ được giảiquyêt

Trang 19

1.2.2 Định ngĩa VPN

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) đểkêt nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm.Thay vì dùng kêt nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra cácliên kêt ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểmhoặc người sử dụng ở xa

Một mạng riêng ảo (VPN – Virtual Private Network) là một công nghệ cung cấpsự bảo mật và riêng tư trong quá trình trao đổi dữ liệu trong môi trường mạng không

an toàn VPN đảm bảo dữ liệu được truyền bằng cách đóng gói dữ liệu và mã hóa dữliệu

Hình 1: Mô hình VPN thông thường

1.2.3 Nguyên tắc hoạt động của VPN

Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ bằngcách kêt hợp thêm với các kêt nối thông qua các mạng chia sẻ hoặc mạng công cộngnhư Internet Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trênmạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên kêtđiểm tới điểm (point-to-point) Các gói tin được gửi qua VPN nêu bị chặn trên mạngchia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa Đó làmột mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư bằngcách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo mật

Trang 20

(security procedures) VPN có thể sử dụng để kêt nối giữa một máy tính tới một mạngriêng hoặc hai mạng riêng với nhau

Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cáchđóng gói thông tin trong một gói IP khi truyền qua Internet Thông tin sẽ được giải mãtại đích đên bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu

Có bốn giao thức đường hầm (tunneling protocols) phổ biên thường được sử dụngtrong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng Chúng ta sẽ xemxét và so sánh chúng dựa trên mục đích sử dụng

 Internet Protocol Security (IPSec)

 Point-to-Point Tunneling Protocol (PPTP)

 Layer2 Tunneling Protocol (L2TP)

 Secure Socket Layer (SSL)

Các giao thức này chúng ta sẽ nghiên cứu vào phần sau của bài

1.2.4 Các chức năng, ưu và nhược điểm của VPN

1.2.4.1 Các chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toànvẹn (Integrity) và tính bảo mật (Confidentiality)

 Tính xác thực : Để thiêt lập một kêt nối VPN thì trước hêt cả hai phía phảixác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngườimình mong muốn chứ không phải là một người khác

 Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không cóbất kỳ sự xáo trộn nào trong quá trình truyền dẫn

 Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền quamạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm nhưvậy, không một ai có thể truy nhập thông tin mà không được phép Thậm chínêu có lấy được thì cũng không đọc được

1.2.4.2 Ưu và nhược điểm của VPN

Ưu điểm

 Giảm thiểu chi phí triển khai

 Giảm chi phí quản lý

Trang 21

 Cải thiện kêt nối

 An toàn trong giao dịch

 Hiệu quả về băng thông

 Dễ mở rộng, nâng cấp

Với những ưu điểm trên cho thấy sự vượt trội của VPN về mặt chi phítriển khaivà đáp ứng được tính bảo mật so với dịch vụ thuê kênh riêng Leased Line chi phí thuêkênh riêng rất tốn kém nên không sử dụng phổ biên như VPN

Nhược điểm

 Phụ thuộc trong môi trường Internet

 Thiêu sự hổ trợ cho một số giao thức kê thừa

1.2.5 Các kiểu VPN trên Router Cisco, Fix, ASA

VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây:

 Có thể truy cập bất cứ lúc nào bằng máy tính để bàn, bằng máy tính xáchtay… nhằm phục vụ việc liên lạc giữa các nhân viên của một tổ chức tới cáctài nguyên mạng

 Nối kêt thông tin liên lạc giữa các chi nhánh văn phòng từ xa

 Ðược điều khiển truy cập tài nguyên mạng khi cần thiêt của khách hàng, nhàcung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinhdoanh

Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ralàm 2 phân loại chính sau:

 VPN truy cập từ xa (Remote-Access)

 VPN điểm-nối-điểm (Site-to-Site)

1.2.5.1 VPN truy cập từ xa

Giống như gợi ý của tên gọi, VPN truy cập từ xa là một kêt nối người LAN, cho phép truy cập bất cứ lúc nào bằng máy tính để bàn, máy tính xách tay hoặccác thiêt bị truyền thông của nhân viên các chi nhánh kêt nối đên tài nguyên mạng của

dùng-đên-tổ chức Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánhvăn phòng nhỏ mà không có kêt nối thường xuyên đên mạng Intranet hợp tác

Trang 22

Trong hình minh hoạ 1 ở trên cho thấy kêt nối giữa văn phòng chính và văn phòngtại nhà hoặc nhân viên di động là loại VPN truy cập từ xa

Thuận lợi chính của VPN truy cập từ xa:

 Sự cần thiêt của RAS và việc kêt hợp với modem được loại trừ

 Sự cần thiêt hổ trợ cho người dùng cá nhân được loại trừ bởi vì kêt nối từ xađã được tạo điều kiện thuận lợi bởi ISP

 Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kêtnối với khoảng cách xa sẽ được thay thê bởi các kêt nối cục bộ

 Giảm giá thành chi phí cho các kêt nối với khoảng cách xa

 Do đây là một kêt nối mang tính cục bộ, do vậy tốc độ nối kêt sẽ cao hơn sovới kêt nối trực tiêp đên những khoảng cách xa

 VPN cung cấp khả năng truy cập đên trung tâm tốt hơn bởi vì nó hổ trợ dịch

vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kêtnối đồng thời đên mạng

1.2.5.2 VPN điểm nối điểm

VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kêt nốinhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này cóthể dựa trên Intranet hoặc Extranet

VPN Intranet

Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểmđều đã có một mạng LAN Khi đó họ có thể xây dựng một mạng riêng ảo để kêt nốicác mạng cục bộ vào một mạng riêng thống nhất

Trong hình minh họa 1.1 ở trên, kêt nối giữa Văn phòng chính và Văn phòng từ xalà loại VPN Intranet

Thuận lợi của Intranet VPN:

 Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàncầu, các trạm ở một số remote site khác nhau

 Bởi vì Internet hoạt động như một kêt nối trung gian, nó dễ dàng cung cấpnhững kêt nối mới ngang hàng

Định dạng
Số trang	45
Dung lượng	1,31 MB