Professional Documents
Culture Documents
2
Hình 3.2 : các Intranet VPN
1.3. Các VPN mở rộng ( Extranet VPN ) : cho phép khách hàng ,các nhà cung
cấp và các đối tác có thể truy cập một cách bảo mật đến mạng Intranet
của công ty.
3
2.2. Mã hóa
Mã hóa ( encrytion ) là tính năng tùy chọn nó cũng đóng gói vào đặc
điểm “riêng tư” của VPN. Chỉ nên sử dụng mã hóa cho những dòng dữ liệu
quan trọng đặc biệt ,còn bình thường thì không cần vì việc mã hóa có thể
ảnh hưởng xấu đến tốc độ ,tăng gánh nặng cho bộ xử lý.
2.3. Tường lửa
Chúng ta sử dụng tường lửa ( firewall ) để bảo mật mạng nội bộ của mình
chống lại những cuộc tấn công vào lưu lượng trên mạng và những kẻ phá
hoại ,giải pháp bức tường lửa tốt là công cụ có khả năng phân biệt các lưu
lượng dựa trên cơ sở người dùng ,trình ứng dụng hay nguồn gốc.
2.4. Định danh người dùng(User Identification)
Mọi người dùng đều phải chịu sự kiểm tra xác thực cho mạng biết thông
tin về họ ( quyền truy cập ,mật khẩu …)và phải chịu sự ủy quyền để báo cho
biết về những gì họ được phép làm . Mỗi hệ thống tốt còn thực hiện tính
toán để theo dõi những việc mà người dùng đã làm nhằm mục đích tính cước
và bảo mật. Xác thực ( Authentication) ,trao quyền (Athorization) và tính
cước (Accounting) ,được gọi là các dịch cụ AAA.
2.5. Tính ưu tiên
Ưu tiên là quá trình “gán thẻ” cho dòng lưu lượng của một ứng dụng nào
đó đối với các dịch vụ được xúc tiến thông qua mạng, Ví dụ như lưu thông
các trình ứng dụng nghiệp vụ quan trọng ( chẳng hạn như các ứng dụng cơ
sở dữ liệu danh mục và bán hàng) có thể nhận được ưu tiên hàng đầu để
chuyển nhanh ,phù hợp với xu thế cạnh tranh trên thương trường ,trong khi
các dịch vụ như gửi e- mail hay truyền tập tin thì có tính ưu tiên thấp hơn .
4
5. Kiến trúc của mạng riêng ảo
Hai thành phần cơ bản của Internet tạo nên các mạng riêng ảo VPN đó là :
– Thứ nhất ,là tiến trình được biết đến như định đường hầm (tunneling )
cho phép làm “ảo” một VPN.
– Thứ hai ,đó là những dịch vụ bảo mật đa dạng nhằm giữ cho dữ liệu
của VPN được bảo mật-riêng (private).
5.1. Đường hầm : phần ảo trong VPN
Trong mạng riêng ảo VPN , “ảo” mang ý nghĩa là mạng linh động ,với các
kết nối được thiết lập dựa trên nhu cầu của tổ chức. Không như những kết nối sử
dụng đường thuê riêng trong các mạng VPN truyền thống , VPN không duy trì
những kết nối thường trực giữa các điểm cuối tạo thành mạng công ty. Thay vào
đó, một kết nối được tạo ra giữa hai site khi cần đến. Và khi kết nối này không còn
cần thiết nữa thì nó sẽ bị hủy bỏ , làm cho băng thông và các tài nguyên mạng khác
sẵn sàng cho những kết nối khác sử dụng.
Ảo – “virtual” cũng mang ý nghĩa rằng cấu trúc logic của mạng được hình
thành chỉ có những thiết bị mạng tương ứng của mạng đó,bất chấp cấu trúc vật lý
của mạng cơ sở ( trong trường hợp này là Internet ). Các thiết bị như bộ định tuyến
( router) ,chuyển mạch ( switch ) hay những thành phần mạng của các ISP được
giấu đi khỏi những thiết bị và người dùng của mạng ảo. Do đó ,những kết nối tạo
nên mạng riêng ảo VPN không có cùng tính chất vật lý với những kết nối cố định (
hard – wired) được dùng trong mạng LAN. Việc che giấu cơ sở hạ tầng của ISP và
Internet được thực hiện bởi một khái niệm gọi là định đường hầm ( tunneling).
Những đường hầm được sử dụng cho các dịch vụ khác trên Internet bên
cạnh VPN,như quảng bá IP ( IP multicasting ) và IP di động ( mobile IP ) . Việc
tạo đường hầm tạo nên kết nối đặc biệt giữa hai điểm cuối. Để tạo ra một đường
hầm , điểm cuối phải đóng gói ( encapsulate) các gói (packet ) của mình những gói
IP ( IP packet ) cho việc truyền qua Internet. Đối với mạng riêng ảo - VPN ,việc
đóng gói có thể bao gồm việc mã hóa gói gốc ( original) và thêm tiêu đề IP ( IP
header ) mới cho gói . Tại cuối điểm nhận ,cổng nối ( gateway ) gỡ bỏ tiêu đề IP và
giải mã gói nếu như cần thiết và chuyển gói nguyên thủy đến đích của nó.
5
Việc tạo đường hầm cho phép những dòng dữ liệu và những thông tin người
dùng kết hợp được truyền trên một mạng chia sẻ trong một ống ảo ( virtual pipe).
Ống này làm cho việc định tuyến trên mạng hoàn toàn trở nên trong suốt đối với
người dùng.
Hình 5.1.1 : định dạng gói cho việc tạo đường hầm.
6
Những đường hầm có thể bao gồm hai kiểu điểm cuối ,có thể là một máy
tính cá nhân hay là một mạng LAN với một cổng nối bảo mật mà cổng nối này có
thể là một bộ định tuyến hay là tường lửa. Tuy nhiên chỉ có hai kiểu kết hợp của
những điểm cuối này thường được xem xét trong thiết kế VPN.
Trong trường hợp đầu tiên đường hầm kết nối LAN – LAN,một cổng kết nối
bảo mật tại mỗi điểm cuối phục vụ như bộ giao tiếp giữa đường hầm với mạng
LAN riêng. Trong những trường hợp như vậy ,người dùng trên các LAN có thể
dùng đường hầm một cách trong suốt để thông tin với nhau.
Trong trường hợp thứ hai, đó là những đường hầm kết nối client –
LAN, đây là kiểu thường thiết lập cho người dùng di động ( mobile user ) muốn
kết nối với mạng LAN công ty . Client khởi tạo việc tạo đường hầm trên đầu cuối
của mình để trao đổi lưu lượng với mạng công ty. Để làm được việc này , người
dùng phải chạy một chương trình client đặc biệt trên máy tính của người dùng để
thông tin với cổng nối bảo mật để đến mạng LAN đích.
5.2. Các dịch vụ bảo mật : tính riêng của VPN
Quan trọng ngang với việc sử dụng một mạng riêng ảo – VPN ,là việc đưa ra
tính riêng hay tính bảo mật. Trong hầu hết các sử dụng cơ bản của nó , tính “riêng
tư” trong VPN mang ý nghĩa là một đường hầm giữa 2 người dùng trên một mạng
VPN xuất hiện như một liên kết riêng ( private link ) ,thậm chí nó có thể chạy trên
môi trường dùng chung ( shared media ). Nhưng đối với việc sử dụng của các nhà
kinh doanh , đặc biệt cho kết nối LAN – LAN , “riêng” phải mang ý nghĩa hơn
điều đó ,nó phải có ý nghĩa bảo mật ,đó là thoát khỏi những con mắt tò mò và can
thiệp.
Mạng VPN cần cung cấp bốn chức năng giới hạn để đảm bảo độ bảo mật
cho dữ liệu. Bốn chức năng đó là :
– Xác thực (authentication): đảm bảo dữ liệu đến từ một nguồn gốc yêu
cầu.
– Điều khiển từ xa ( access control ) : hạn chế việc đạt được quyền cho
phép vào mạng của những người dùng bất hợp pháp.
– Tin cậy ( confidentiality ): ngăn không cho một ai đó đọc hay sao
chép khi dữ liệu được truyền qua mạng Internet.
– Tính toàn vẹn dữ liệu ( data integrity) : đảm bảo không một ai làm
thay đổi dữ liệu khi nó truyền trên mạng Internet.
7
5. Các giao thức của một mạng VPN
Bốn giao thức được đề nghị lúc ban đầu như những giải pháp cho mạng
VPN. Trong đó giao thức được thiết kế làm việc ở lớp liên kết dữ liệu gồm có giao
thức chuyển tiếp lớp 2- L2F, giao thức định đường hầm điểm – điểm PPTP và giao
thức định đường hầm lớp 2 L2TP. Giao thức của VPN duy nhất cho lớp 3 là IPsec
được phát triển bởi IETF.
Một số đặc điểm của các giao thức này :
– PPTP là một cơ chế xây dựng đường hầm điểm- điểm được tạo ra
trước tiên để hỗ trợ các gói đường hầm (packet tunneling) trong phần
cứng máy chủ truy cập từ xa .
– Giao thức định đường hầm lớp 2 lai ghép còn được gọi là giao thức
định đường hầm lớp 2 – L2TP được Cisco phát triển từ giao thức L2F
của họ
– IPsec là một tiêu chuẩn được tạo ra để thêm vào tính bảo mật cho
mạng TCP/IP.
5.1. Giao thức IPsec
Các giao thức nguyên thủy TCP/IP không bao gồm các đặc tính bảo mật vốn
có. Để thiết lập tính bảo mật trong IP ở cấp độ gói ,IETF đã đưa ra họ giao thức
IPsec. Họ giao thức này mô tả kiến trúc cơ bản của IPsec bao gồm 2 loại tiêu đề
được sử dụng trong gói IP. Gói IP là đơn vị dữ liệu cơ sở trong mạng IP. IPsec
định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã
hóa : một là xác thực tiêu đề IP – AH ( IP authentication Header) điều khiển việc
xác thực và hai là bọc gói bảo mật tải ESP ( Encapsulating Security Payload) cho
mục đích mã hóa.
8
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm –
điểm PPP (point- to –point protocol). PPTP được xây dựng dựa trên chức năng của
PPP,cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua
Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE
( Generic Routing Encapsulation ) được mô tả lại để đóng và tách gói PPP,giao
thức này cho phép PPTP mềm dẻo xử lý các giao thức khác nhau không phải IP
như IPX , NETBEUI.
Bởi vì PPTP dựa trên PPP nên nó dựa trên cơ chế xác thực của PPP có tên là
PAP và CHAP. PPTP có thể sử dụng PPP để mã hóa dữ liệu nhưng Microsoft đã
đưa một phương thức mã hóa khác mạnh hơn đó là mã hóa điểm – điểm MPPE để
sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kê để hoạt động ở lớp 2 ,trong khi
IPsec chạy ở lớp 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2,PPTP có thể
truyền trong đường hầm bằng các giao thức khác IP , trong khi IPsec chỉ có thể
truyền các gói IP trong đường hầm.
9
nghĩa riêng cách thức các gói được điều khiển trong môi trường khác. Tương tự
như PPTP,L2F tận dụng PPP để xác thực người dùng quay số truy cập. Có hai mức
xác thực người dùng : đầu tiên ở ISP trước khi thiết lập đường hầm ,sau đó là ở
cổng nối của mạng riêng sau khi kết nối được thiết lập.
L2TP mang các đặc tính của PPTP và L2F. Tuy nhiên L2TP định nghĩa riêng một
giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông
qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều
công cụ chủ yếu của L2FT tập trung cho UDP của mạng IP,nhưng nó có thể thiết
lập một hệ thống L2FT mà không cần sử dụng IP làm giao thức đường hầm. Một
mạng ATM hay Frame Relay có thể áp dụng cho đường hầm L2TP. Do L2TP là
giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển
một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng giống
như PPTP, L2TP cũng có cơ chế xác thực PAP,CHAP hay RADIUS.
10
Mục lục
trang
1. Khái niệm về mạng riêng ảo…………………………….. 1
2. Những lợi ích do VPN mang lại………………………… 2
3. Các loại VPN…………………………………………….. 3
4. Cấu trúc của VPN……………………………………….. 4
5. Kiến trúc của mạng riêng ảo……………………………. 5
6. Các giao thức của mạng VPN…………………………... 8
7. Mục lục…………………………………………………... 11
11