Đang tải... (xem toàn văn)
Mạng riêng ảo VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí và thời gian.Vậy mạng riêng ảo VPN là gì? Kỹ thuật và cách xây dựng nó như thế nào? Bài báo cáo về Mạng riêng ảo dưới đây sẽ giúp các bạn hiểu hơn về Mạng riêng ảo – VPN.
N06_Mạng riêng ảo VPN MẠNG RIÊNG ẢO – VPN Đặng Thị Dịu Sinh viên Viện Đại Học Mở Hà Nội Định Công,Hoàng Mai, Hà Nội dangdiu.fithou@gmail .com Nguyễn Thị Hằng Sinh viên Viện Đại Học Mở Hà Nội Định Công,Hoàng Mai, Hà Nội nguyenthihang266@g mail.com Trịnh Thị Mến Sinh viên Viện Đại Học Mở Hà Nội Định Công,Hoàng Mai, Hà Nội trinhmen1108@gmail. com Trần Anh Tuấn Sinh viên Viện Đại Học Mở Hà Nội Định Công,Hoàng Mai, Hà Nội tuan2900@gmail.com 1 Tóm tắt: Mạng riêng ảo VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí và thời gian.Vậy mạng riêng ảo VPN là gì? Kỹ thuật và cách xây dựng nó như thế nào? Bài báo cáo về Mạng riêng ảo dưới đây sẽ giúp các bạn hiểu hơn về Mạng riêng ảo – VPN. I. TỔNG QUAN VỀ MẠNG RIÊNG ẢO – VPN 1.1 Định nghĩa Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Nhưng về bản chất, mạng riêng ảo VPN là công nghệ cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật gọi là tunnelling để tạo ra một mạng riêng trên nền Internet. Nó là quá trình đặt toàn bộ gói tin vào trong một lớp header chứ thông tin định tuyến có thể truyền qua mạng trung gian. Hình 1.1: Mô hình VPN 1.2 Lịch sử phát triển Khái niệm đầu tiên về VPN được AT&T đưa ra khoảng cuối thập niên 80, lúc này VPN được biết đến như là “ mạng được định nghĩa bởi phần mềm” (Software Defined Network – SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại truy nhập vào mạng ở gần hoặc ở xa. Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ 2 của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ 90. Trong một thời gian, giao thức X25 qua mạng ISDN được thiết lập như là một giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong 1 thời gian ngắn. Sau thế hệ thứ 2, thị trường VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM ra đời - thế hệ thứ 3 của VPN dựa trên hai công nghệ này. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo. Trong thời gian gần đây, thương mại điện tử đã trở thành một phương thức thương mại hữu hiệu, những yêu cầu của người dùng mạng VPN cũng rõ ràng hơn. Người dùng mong muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu đến cuối. Thế hệ gần đây (thế hệ thứ 4) của VPN là IP-VPN, IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm. .3. Chức năng, ưu điểm, nhược điểm 1.3.1 Chức năng VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality). - Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình muốn chứ không phải là một người khác. - Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn. - Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được. 1.3.2 Ưu điểm VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. - Giảm chi phí thường xuyên: VPN cho phép tiết kiệm 60% chi phí so với thuê bao đường truyền và giảm đáng kể tiền cước gọi đến các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP(Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung - Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp. - Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như: www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới. - Khả năng mở rộng: Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP. 1.3.3 Nhược điểm Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới, tăng tính năng bảo mật nhưng dường như đó vẫn là một vấn đề khá lớn của VPN. Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin có tính riêng tư và quan trong qua một mạng chung có độ bảo mật rất kém (thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau: sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh. Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kêt nối “end to end” từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết với nhau các bản thỏa thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%. 1.4 Phân loại mạng VPN Mục tiêu đặt ra đối với công nghệ mạng VPN là thỏa mãn ba yêu cầu cơ bản sau: - Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vào mạng nội bộ của công ty - Nối liền các chi nhánh, văn phòng di động. - Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác. Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được chia làm 2 loại. Thứ nhất là các mạng có thể kết nối hai mạng với nhau, nó được biết đến như một mạng kết nối LAN to LAN VPN, hay mạng kết nối site to site VPN. Thứ hai, một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng. 1.4.1 Mạng VPN truy nhập từ xa (Remote Access) Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet. VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng di động, những chi nhánh và bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sơ hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL, công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên mạng máy tính của người sử dụng. Hình 1.2: Mô hình VPN truy nhập từ xa Theo mô hình trên có thể thấy được các ưu điểm của Remote Access VPN: - Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện. - Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet. - Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa. - Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa. - VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thu nhập thấp nhất của dịch vụ kết nối. Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như: - Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS. - Nguy cơ mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói. - Bởi vì thuật toán mã hóa phức tạp nên tiêu đề giao thức tăng một cách đáng kể. - Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm. 1.4.2 Mạng VPN điểm nối điểm (Site to Site) Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hóa ở qui mô lớn hoạt động trên nền Internet. Site to Site VPN gồm 2 loại: a. Mạng VPN cục bộ (Intranet VPN) Đây là kiểu kết nối Site to Site VPN. Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối mạng LAN to LAN. Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN : - Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập ( với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ). - Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa. - Bởi vì những kết nối trung gian được thông qua mạng Internet nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới. - Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường hầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao.Ví dụ như công nghệ Frame Relay, ATM Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như : - Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS) - Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao - Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet. b. Mạng VPN mở rộng (Extranet VPN) Khi một công ty có quan hệ mật thiết với công ty khác ( ví dụ như : một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối LAN to LAN và cho phép các công ty này cùng làm việc, trao đổi trong một môi trường chia sẻ riêng biệt ( tất nhiên vẫn trên nền Internet). Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site – to – Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN. Mạng VPN mở rộng có những ưu điểm như sau: - Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống. - Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động. - Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và lựa chọn giải pháp phù hợp với các nhu cầu của mỗi công ty hơn. - Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng. Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như : - Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại. - Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet. - Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty. 1.5 Phương thức hoạt động của VPN Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Tennelling là kỹ thuật sử dụng một hệ thống mạng trung gian( thường là mạng Internet) để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền sau khi được chia nhỏ thành những frame hay packet (gói tin) theo các giao thức truyền thông sẽ được bọc thêm 1 lớp header chứa những thông tin định tuyến giúp các packet có thể truyền qua các hệ thống mạng trung gian theo những đường riêng (tunnel). Khi packet được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối tunnel, máy client và server phải sử dụng chung một giao thức (tunnel protocol). Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau: - Giao thức truyền tải ( Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua. - Giao thức mã hóa dữ liệu (Encapsulating Protocol ) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc. - Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi ( như IPX, NetBeui, IP). Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet. II. KỸ THUẬT TUNNELING TRONG VPN II.1 Kỹ thuật tunneling trong VPN điểm – nối – điểm Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu “ đóng gói” giao thức gói tin (Passenger Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm – nối – điểm. Tất nhiên, nó phải được hỗ trợ cả hai giao diện Tunnel. Hình 1.3: Kỹ thuật Tunnelling trong VPN điểm - nối - điểm Trong mô hình trên, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa. II.2 Kỹ thuật tunneling trong VPN truy cập từ xa Với loại VPN này, Tunneling thường dùng giao thức điểm - nối – điểm PPP (Point – to – Point Protocol). Là một phần của TCP/IP. PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP. Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa. 2.2.1 Giao thức chuyển tiếp lớp 2 – L2F Giao thức lớp 2 - L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP (Point – to – Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa. L2F cho phép đóng gói các PPP trong khuôn dạng L2F và định đường hầm ở lớp liên kết dữ liệu. a. Nguyên tắc hoạt động của L2F Giao thức chuyển tiếp L2F đóng gói những gói tin lớp 2, sau đó truyền chúng đi qua mạng. Hệ thống sử dụng L2F gồm các thành phần sau: - Máy trạm truy nhập mạng NAS: hướng lưu lượng đến và đi giữa các máy khách ở xa và Home Gateway. Một hệ thống ERX có thể hoạt động như NAS. - Đường hầm: định hướng đường đi giữa NAS và Home Gateway. Một đường hầm gồm một sô kết nối. - Kết nối: là một kết nối PPP trong đường hầm. Trong LCP, một kết nối L2F được xem như một phiên. - Điểm đích: là điểm kết thúc ở đầu xa của đường hầm. Trong trường hợp này thì Home Gateway là đích. Quá trình hoạt động của giao thức đường hầm chuyển tiếp là một quá trình tương đối phức tạp. Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP. Với hệ thống NAS và máy trạm có thể trao đổi các gói giao thức điều khiển liên kết. NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới điểm tên miền để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F. Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của Gateway đích. Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới Gateway đích để chống lại sự tấn công bởi kẻ thứ ba. Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP mới được tạo ra từ người sử dụng ở xa tới Home Gateway. Kết nối này được lập theo một quy trình như sau: - Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP như thỏa thuận bởi đầu – cuối người sử dụng và NAS. - Home Gateway chấp nhận kết nối hay thỏa thuận lại LCP và xác thực lại người sử dụng. - Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vào trong các khung L2F và hướng chúng vào trong đường hầm. - Tại Home Gateway khung được tách bỏ và dữ liệu đóng gòi được hướng tới mạng một doanh nghiệp hay người dùng. Khi hệ thống đã thiết lập điểm đích đường hầm và những phiên kết nối, ta phải điều khiển và quản lý lưu lượng L2F bằng cách: - Ngăn cảm tạo những đích đến, đường hầm và các phiên mới. - Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên, có khả năng kiểm tra tông UDP. - Thiết lập thời gian rỗi cho hệ thống và lưi giữ cơ sở dữ liệu vào các đường hầm kết nối. b. Những ưu điểm và nhược điểm của L2F Mặc dù L2F yêu cầu mở rộng xử lý với các LCP và phương pháp tùy chọn khác nhau, nó được dùng rộng rãi hơn so với PPTP bởi vì nó là một giải pháp chuyển hướng khung ở cấp thấp. Nó cũng cung cấp một nền tảng giải pháp VPN tốt hơn PPTP đối với mạng doanh nghiệp. Những thuận lợi của việc triển khai giải pháp L2F như sau: - Nâng cao bảo mật cho quá trình giao dịch - Có nền tảng độc lập - Không cần những sự lắp đặt đặc biết với ISP. - Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như ATM, IPX, NetBeui và Frame Relay Những khó khăn của việc triển khai L2F bao gồm: - L2F yêu cầu cấu hình và hỗ trợ hơn - Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không thể triển khai L2F được. 2.2.2 Giao thức đường hầm điểm nối điểm – PPTP Giao thức này được nghiên cứu và phát triển bởi công ty chuyên về thiết bị công nghệ viễn thông. Trên cơ sở của giao thức này là tách các chức năng chung và riêng của việc truy nhập từ xa, dựa trên cơ sở hạ tầng Internet có sẵn để tạo kết nối đường hầm giữa người dùng và mạng riêng ảo. Người dùng ở xa có thể dùng phương pháp quay số tới các nhà cung cấp dịch vụ Internet để có thể tạo đường hầm riêng để kết nối việc truy nhập tới mạng riêng ảo của người dùng đó. Giao thức PPTP được xây dựng dựa trên nền tảng của PPP, nó có thể cung cấp khả năng truy nhập tạo đường hầm thông qua Internet đến các site đích. PPTP sử dụng giao thức đóng gói tin định tuyến chung GRE được mô tả để đóng lại và tách gói PPP. Giao thức này cho phép PPTP linh hoạt trong xử lý các giao thức khác. a. Nguyên tắc hoạt động của PPTP PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói, tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác. PPTP đóng gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP. PPTP dung kết nối TCP để khởi tạo và duy trì, kết thúc đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung PPP. Phần tải của khung PPP có thể được mã hóa và nén lại. PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kêt thúc kết nối vật lý, xác định người dùng và tạo các gói dữ liệu PPP. PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng. PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy cập mạng NAS để thiết lập kết nối IP. Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận. Đó là giai đoạn tùy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp nởi ISP. Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Một số cơ chế xác thực được sử dụng là: - Giao thức xác thực mở rộng EAP - Giao thức xác thực có thử thách bắt tay CHAP - Giao thức xác định mật khẩu PAP Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật. CHAP là giao thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất, không thể đoán và giải được. PPTP cũng được các nhà phát triển công nghệ dựa vào việc mật mã và nén phần tải tin của PPP. Để mật mã phần tải tin PPP có thể sử dụng phương thức mã hóa điểm tới điểm MPPE. MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên đường truyền không cung cấp mật mã tại các thiết bị đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể dùng giao thức IPSec để bảo mật lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP được thiết lập. Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm. Để có thể dựa trên những ưu điểm của kết nối tạo bởi PPP, PPTP định nghĩa hai loại gói là điều khiển và dữ liệu, sau đó gắn chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP tách các kênh điều khiển và kênh dữ liệu thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng để truyền thông báo điều khiển. Các gói dữ liệu thông thường của người dùng. Các gói điều khiển được đưa vào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa máy khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm. Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máy khách và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức PPTP với một giao diện được nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP. b. Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ máy chủ. Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sử dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP yêu cầu phản hồi và PPTP đáp lại phản hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ PPTP. Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, trạm và máy chủ PPTP. Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP bản tin điều khiển PPTP và tiêu đề, phần cuối của lớp liên kết dữ liệu. Tiêu đề liên kêt dữ liệu Tiêu đề IP Tiêu đề TCP Bản tin điều khiển PPTP Phần cuối của liên kết dữ liệu Hình 2.1: Gói dữ liệu kết nối điều khiển PPTP c. Nguyên lý đóng gói dữ liệu đường hầm PPTP Đóng gói khung PPP và gói định tuyến chung GRE Dữ liệu đường hầm PPTP được đóng gói thông qua các mức được mô tả theo mô hình: Tiêu đề liên kêt dữ liệu Tiê u đề IP Tiêu đề GRE Tiê u đề PPP Tiêu đề PPP được mã hóa Phần đuôi liên kết dữ liệu Hình 2.2: Mô hình đóng gói dữ liệu đường hầm PPTP Phần tải của khung PPP ban đầu được mã hóa và đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi. GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm đó là: - Một trường xác nhận dài 32 bit được thêm vào. - Một bit xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32 bit. - Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong qua trính khởi tạo đường hầm. Đóng gói IP Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ PPTP. Đóng gói lớp liên kết dữ liệu Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng được đóng gói với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Như trong mạng LAN thì nếu gói tin IP được gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu đề và đuôi Ethernet. Nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP. Sơ đồ đóng gói trong giao thức PPTP Quá trình đóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem được mô phỏng theo hình dưới đây: Hình 2.3: Sơ đồ đóng gói PPTP - Các gói tin IP, IPX, hoặc khung NetBEUI được đưa tới giao diện ảo đại diện cho kết nối VPN bằng các giao thức tương ứng sử dụng đặc tả giao diện thiết bị mạng NDIS. - NDIS đưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hóa và nèn dữ liệu, cũng như cung cấp tiêu đề PPP, phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP không có trường Flags và trường chuỗi kiêm rtra khung (FCS). Giả định trường địa chỉ và điều khiển được thỏa thuận ở mức điều khiển đường truyền (LCP) trong qua trình kết nối PPP. - NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xác định đường hầm. - Giao thức PPTP sau đó sẽ gửi gói tin vừa tạo ra tới TCP/IP - TCP/IP đóng gói dữ liệu đường hầm PPTP với tiêu đề IP sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS - NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP - NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số. d. Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP Khi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiện các bước sau: - Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin. - Xử lý và loại bỏ tiêu đề IP. - Xử lý và loại bỏ tiêu đề GRE và PPP. - Giải mã và nén phần tải tin PPP. - Xử lý phần tải tin để nhận hoặc chuyển tiếp. e. Triển khai VPN dựa trên PPTP Khi triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống toosithieeru phải có các thành phần thiết bị như sau: - Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật VPN. - Một máy chủ PPTP. - Máy trạm PPTP với phầm mềm client cần thiết. Hình 2.4: Các thành phần hệ thống cung cấp VPN dựa trên PPTP Máy chủ PPTP Máy chủ PPTP có hai chức năng chính, đóng vai trò là điểm kết nối của đường hầm PPTP và chuyển các gói tin đến từng đường hầm mạng LAN riêng. Máy chủ PPTP chuyền các gói tin đến máy đích bằng cách sử lý gói tin PPTP để có thể được địa chỉ mạng của máy đích. Máy chủ PPTP cũng có khả năng lọc gói, bằng cách sử dụng cơ chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ có thể cho phép truy nhập vào Internet, mạng riêng hay truy nhập cả hai. Thiết lập máy chủ PPTP tại site mạng có thể hạn chế nếu như máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng TCP 1723 được sử dụng để chuyển dữ liệu đi. Nhược điểm của cấu hình cổng này có thể làm cho bức tường lửa dễ bị tấn công. Nếu như bức tường được cấu hình để lọc gói tin thì cần phải thiết lập nó cho phép GRE đi qua. Phần mền Client PPTP Các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mền bỏ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. nếu như các thiết bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng Client vẫn có thể tạo liên kết nối bảo mật bằng các đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thoogn qua cổng PPTP ảo được thiết lập ở máy trạm. Máy chủ truy nhập mạng Máy chủ truy nhập mạng Network Access (NAS) còn có tên gọi là máy chủ truyy nhập từ xa hay bộ tập trung truy nhập. NAS cung cấp khả năng truy nhập đường dây dựa trên phân mền, có khả năng tính cước và có khả năng chịu đường lỗi tại ISP, POP. NAS của ISP được thiết kế cho phép một số lượng lớn người dùng có thể truy nhập vào cũng một lúc. Nếu một ISP cung cấp dịch vụ PPTP thì cấn phải cài một NAS cho phép PPTP để hỗ trợ các client chạy trên các hệ điều hành khác nhau. Trong trường hợp này máy chủ ISP trở thành một điểm cuối của đường hầm, điểm cuối còn lại máy chủ tại đầu mạng riêng. f. Một số ưu nhược điểm và khả năng ứng dụng của PPTP Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 trong khi IPSec chạy ở lớp 3 của mô hình Ói. Việc hỗ trợ truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong đường hầm bằng các giao thức khác IP trognn khi IPSec chỉ có thể truyền các gói tin IP trong đường hầm. PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp dịch vụ đều có kế hoạch thay đổi PPTP bằng L2TP khi giao thức này đã được mã hóa. PPTP thích hợp cho việc quay số truy nhập với số lượng người dùng giới hạn hơn là VPN kết nối LAN-LAN. Một vấn đề của PPTP là xử lý xác thực người thông qua hệ điều hành. Máy chủ PPTP cũng quá tải với một số lượng người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu truyền qua, điều này là một [...]... của một VPN Cấu trúc phần cứng chính của VPN gồm: - Máy chủ VPN (VPN servers) - Máy khách VPN (VPN clients) - Bộ định tuyến VPN (VPN routers) - Cổng kết nối VPN (VPN Gateways) Bộ tập trung (Concentrator) III.1.1 Máy chủ VPN Nhìn chung, máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ (software servers) Những chức năng chính của VPN gồm: - Tiếp nhận những yêu cầu kết nối vào mạng VPN -... trong mạng truyền thống, bộ tập trung VPN được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ.Chức năng của bộ tập trung VPN: - Tăng công suất và số lượng của VPN - Cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao III.1.5 Cống kết nối VPN Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng. .. vào mạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng - Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian, như là mạng Internet, để kết nối tới site ở xa để quản lý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị III.1.3 Bộ định tuyến VPN và Tường lửa Bộ định tuyến là điểm cuối của một mạng riêng. .. giá trị khác kèm theo - Tăng hiệu quả sử dụng mạng Internet hiện tại - Kéo theo khẳ năng tư vấn thiết kế mạng cho khách hàng - Đầu tư không lớn hiệu quả đem lại cao - Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ KẾT LUẬN Công nghệ mạng riêng ảo VPN (VirtuaL Private Network) là công nghệ tương đối mới, việc nghiên cứu và triển khai các loại mạng VPn đòi hỏi nhiều thời gian và công sức Trong... chủ VPN phải được hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng III.1.2 Máy khách VPN Máy khách là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới điểm cuối ở xa trên mạng Các đặc trưng của máy khách: - Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng để kết nối đến tài nguyên của công ty từ nhà... với các nút khác Nhưng khi chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý cẩn thận sao cho nhận dạng được nhau III XÂY DỰNG MẠNG VPN Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet được cung cấp bởi ISP và phần mềm cũng như phần cứng để bảo mật dữ liệu bằng cách mã hóa trước khi truyền ra mạng Internet Các chức năng của VPN được thực hiện bởi các bộ định tuyến,... của IPSec là bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiết Các bước hoạt động: - Xác định luồng traffic cần quan tâm: Luồng traffic được xem là cần quan tâm khi đó các thiết bị VPN công nhaank rằng luồng traffic bạn muốn gửi cần bảo vệ - Bước 1 IKE: Giữa các đối tượng ngang hàng (peer), một tập các dịch vụ bảo mật được thỏa thuận và công nhận Tạp dịch vụ bảo mật này bảo về tất cả... cộng và mạng riêng nhằm ngăn chặn sự xâm nhập trái phép vào mạng riêng Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và mã hóa dữ liệu riêng trước khi được chuyển đến mạng công cộng III.2 Quá trình xây dựng Ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN: Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy nhập vào trang web của công ty bao gồm 4... thông số kết nối vào mạng như là: cơ chế của các quá trình bảo mật hay quá trình xác lập - Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN - Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách - Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối trong VPN Điểm cuối còn lại được xác lập bười người dùng cuối cùng Máy chủ VPN phải được hỗ... trong mạng cục bộ Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến trong mạng và chọn ra đường đi ngắn nhất có thể, cũng giống như trong mạng truyền thống Sau khi kết nối đến internet được thiết lập, cần đến một số thiết bị quan trọng khác để thiết lập đường truyền dữ liệu, truyền dữ liệu tới đích, điều khiển truy cập đến mạng riêng