1. Trang chủ
  2. » Luận Văn - Báo Cáo

Công nghệ mạng riêng ảo

40 4 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Công Nghệ Mạng Riêng Ảo
Tác giả Đặng Văn Trường
Người hướng dẫn ThS. Đặng Hồng Lĩnh
Trường học Trường Đại Học Vinh
Chuyên ngành Công Nghệ Thông Tin
Thể loại Đồ Án Tốt Nghiệp
Năm xuất bản 2012
Thành phố Nghệ An
Định dạng
Số trang 40
Dung lượng 1,1 MB

Cấu trúc

  • CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN (4)
    • 1.1 Định nghĩa (4)
    • 1.2 Chức năng và ưu điểm của VPN (5)
      • 1.2.1 Chức năng (5)
      • 1.2.2 Ưu điểm (5)
    • 1.3 Phân loại mạng VPN (6)
      • 1.3.1 Mạng VPN truy cập từ xa (0)
      • 1.3.2 Mạng VPN cục bộ (7)
      • 1.3.3 Mạng VPN mở rộng (9)
  • CHƯƠNG 2: XÂY DỰNG MẠNG VPN (11)
    • 2.1 Thành phần cơ bản của một VPN (11)
      • 2.1.1 Máy chủ VPN (11)
      • 2.1.2 Máy khách VPN (12)
      • 2.1.3 Bộ định tuyến VPN (13)
      • 2.1.4 Bộ tập trung VPN (14)
      • 2.1.5 Cổng kết nối VPN (14)
    • 2.2 Các vấn đề cần chú ý khi thiết kế VPN (14)
      • 2.2.1 Các vấn đề về mạng và ISP (15)
      • 2.2.2 Các vấn đề về bảo mật (15)
    • 2.3 Quá trình xây dựng (16)
      • 2.3.1 Kết nối với ISP (20)
      • 2.3.2 Tường lửa và bộ định tuyến (22)
      • 2.3.3 Phần mềm cho VPN (27)
  • CHƯƠNG 3: CẤU HÌNH VPN (30)
    • 3.1 Tạo VPN server (30)
    • 3.2 Tạo VPN client (34)
  • KẾT LUẬN (40)

Nội dung

TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN

Định nghĩa

Mạng riêng ảo (VPN) là một kết nối mạng được xây dựng trên hạ tầng mạng công cộng, như Internet, nhưng áp dụng các chính sách quản lý và bảo mật tương tự như mạng cục bộ Công nghệ này tạo ra một đường hầm an toàn cho dữ liệu, giúp bảo vệ thông tin cá nhân và tăng cường sự riêng tư trực tuyến.

Mô hình VPN Các thuật ngữ dùng trong VPN như sau:

Kết nối ảo là một dạng kết nối linh hoạt, không cố định, mà tồn tại khi có lưu lượng mạng truyền qua Nó có khả năng thay đổi và thích ứng với nhiều môi trường khác nhau, đồng thời cũng chịu đựng được những khuyết điểm của mạng Internet.

Private có nghĩa là dữ liệu luôn được giữ bí mật và chỉ có thể được truy cập bởi những người dùng được cấp quyền Điều này rất quan trọng vì giao thức Internet TCP/IP ban đầu không được thiết kế với các mức độ bảo mật Vì vậy, để đảm bảo an toàn, cần phải bổ sung phần mềm hoặc phần cứng VPN.

Mạng là một hệ thống hạ tầng kết nối giữa các người dùng cuối, các trạm hoặc node để truyền tải dữ liệu Nó có thể sử dụng các phương thức như riêng tư, công cộng, dây dẫn, vô tuyến, Internet hoặc các tài nguyên mạng chuyên dụng khác để xây dựng nền tảng mạng.

Chức năng và ưu điểm của VPN

VPN cung cấp ba chức năng chính: tính xác thực, tính toàn vẹn và tính bảo mật Tính xác thực đảm bảo rằng cả hai bên trong kết nối VPN đều xác minh danh tính của nhau, ngăn chặn việc trao đổi thông tin với người không mong muốn Tính toàn vẹn đảm bảo rằng dữ liệu không bị thay đổi hoặc xáo trộn trong quá trình truyền dẫn Cuối cùng, tính bảo mật cho phép người gửi mã hóa các gói dữ liệu trước khi truyền qua mạng công cộng, đảm bảo rằng thông tin chỉ có thể được giải mã bởi bên nhận, ngăn chặn truy cập trái phép và bảo vệ nội dung dữ liệu.

1.2.2 Ưu điểm a) Tiết kiệm chi phí

Sử dụng VPN giúp các công ty tiết kiệm chi phí đầu tư và bảo trì, với tổng chi phí sở hữu mạng VPN giảm đáng kể Do chỉ cần chi trả ít hơn cho băng thông, thiết bị mạng và duy trì hệ thống, chi phí kết nối LAN-to-LAN giảm từ 20 đến 30% so với đường thuê riêng truyền thống, trong khi chi phí truy cập từ xa giảm từ 60 đến 80% Tính linh hoạt của VPN cũng là một lợi ích quan trọng.

VPN cung cấp giải pháp kết nối nhanh chóng và đơn giản cho văn phòng hoặc người dùng, mà không cần thay đổi lớn về cơ sở hạ tầng và thiết bị.

Số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn không bị giới hạn, cho phép linh hoạt tùy theo nhu cầu khai thác dữ liệu Mô hình VPN sẽ được áp dụng phù hợp để đảm bảo tính bảo mật cho các kết nối này.

VPN cung cấp mức độ bảo mật tối ưu thông qua các cơ chế mã hóa mạnh mẽ trên nền tảng mạng riêng ảo, bao gồm mã hóa dữ liệu, xác thực truy cập, xác nhận quyền truy cập và bảo vệ hệ thống.

- Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập vào hệ thống mạng riêng ảo trong mạng nội bộ.

Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

1.3.1 Mạng VPN truy nhập từ xa

VPN truy nhập từ xa cho phép nhân viên và các chi nhánh văn phòng di động truy cập vào mạng công ty từ bất kỳ đâu có kết nối Internet Đây là loại VPN phổ biến nhất, vì chúng có thể được thiết lập dễ dàng và nhanh chóng, mang lại sự linh hoạt trong việc làm việc từ xa.

VPN truy cập từ xa cho phép người dùng kết nối với mạng công ty qua hạ tầng chung, đồng thời duy trì các chính sách mạng Chúng cung cấp truy cập an toàn cho thiết bị di động, nhân viên làm việc từ xa, chi nhánh và đối tác của công ty Các loại VPN này sử dụng công nghệ như ISDN, quay số, IP di động, DSL và cáp, thường yêu cầu cài đặt phần mềm client trên máy tính của người dùng.

Extranet khách hàng tới công ty

Mô hình mạng VPN truy cập từ xa mang lại nhiều ưu điểm vượt trội so với các phương pháp truy cập từ xa truyền thống Với khả năng bảo mật cao, VPN giúp người dùng kết nối an toàn vào mạng nội bộ từ xa, bảo vệ dữ liệu khỏi các mối đe dọa tiềm ẩn Hơn nữa, VPN cho phép truy cập vào các tài nguyên mạng một cách dễ dàng và linh hoạt, giúp cải thiện hiệu suất làm việc và tiết kiệm thời gian cho người dùng.

Mạng VPN truy nhập từ xa hoạt động mà không cần sự can thiệp của nhân viên mạng, vì quá trình kết nối được thực hiện bởi các nhà cung cấp dịch vụ Internet (ISP).

Việc sử dụng mạng Internet giúp giảm chi phí kết nối từ khoảng cách xa, khi mà các kết nối xa được thay thế bằng các kết nối cục bộ.

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng dịch vụ

- Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể

VPN cục bộ giúp bảo mật kết nối giữa các địa điểm trong hạ tầng chung bằng cách sử dụng mã hóa an toàn Nhờ đó, tất cả các địa điểm có thể truy cập an toàn vào các nguồn dữ liệu được phép trong toàn bộ mạng công ty.

Các VPN này cung cấp các đặc tính của mạng WAN như khả năng mở rộng, độ tin cậy và hỗ trợ nhiều giao thức với chi phí thấp, đồng thời vẫn đảm bảo tính linh hoạt Thông thường, loại VPN này được cấu hình dưới dạng VPN Site-to-Site cho các văn phòng ở xa.

Remote site Central site or

Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

Sử dụng đường ngầm VPN qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao giúp tiết kiệm chi phí nhờ vào các lợi ích mà nó mang lại Tuy nhiên, mạng cục bộ dựa trên giải pháp VPN cũng tồn tại một số nhược điểm cần lưu ý.

Dữ liệu được truyền qua mạng công cộng như Internet có thể gặp phải những rủi ro về bảo mật và chất lượng dịch vụ.

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

Truyền tải khối lượng lớn dữ liệu đa phương tiện với yêu cầu tốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môi trường Internet.

Mạng VPN mở rộng khác với mạng VPN cục bộ và VPN truy nhập từ xa ở chỗ nó không bị cô lập với “thế giới bên ngoài” Thực tế, mạng VPN mở rộng cho phép kiểm soát truy cập đến các nguồn tài nguyên mạng cần thiết, nhằm hỗ trợ mở rộng các đối tượng kinh doanh như đối tác, khách hàng và nhà cung cấp.

Remote site Central site or

Mô hình VPN mở rộng cung cấp một đường hầm bảo mật giữa khách hàng, nhà cung cấp và đối tác thông qua hạ tầng công cộng Kiểu VPN này sử dụng các kết nối được bảo mật liên tục và được cấu hình như một VPN Site-to-Site Điểm khác biệt giữa VPN cục bộ và VPN mở rộng là quyền truy cập mạng được công nhận ở một trong hai đầu cuối của VPN.

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

Mạng VPN mở rộng, được xây dựng trên nền tảng Internet, mang lại nhiều cơ hội cho việc cung cấp dịch vụ và lựa chọn giải pháp phù hợp với nhu cầu của từng công ty.

Do các kết nối Internet được duy trì bởi nhà cung cấp dịch vụ, số lượng nhân viên kỹ thuật hỗ trợ mạng được giảm thiểu, từ đó giúp giảm chi phí vận hành.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

Truyền dẫn khối lượng lớn dữ liệu đa phương tiện với tốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môi trường Internet.

Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.

XÂY DỰNG MẠNG VPN

Thành phần cơ bản của một VPN

Cấu trúc phần cứng chính của VPN bao gồm máy chủ VPN, máy khách VPN và các thiết bị phần cứng khác như bộ định tuyến VPN, cổng kết nối VPN và bộ tập trung.

Máy chủ VPN là thiết bị mạng chuyên dụng để chạy phần mềm máy chủ, có thể có một hoặc nhiều máy chủ tùy thuộc vào nhu cầu của công ty Mỗi máy chủ VPN cần cung cấp dịch vụ cho cả máy khách ở xa và máy khách cục bộ, đồng thời luôn sẵn sàng đáp ứng các yêu cầu truy cập từ các máy khách.

Những chức năng chính của máy chủ VPN bao gồm:

- Tiếp nhận những yêu cầu kết nối vào mạng VPN

- Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của các quá trình bảo mật hay các quá trình xác lập

- Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN

- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách

- Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối trong VPN Điểm cuối còn lại được xác lập bởi người dùng cuối cùng

Máy chủ VPN cần có ít nhất hai card mạng, trong đó một card kết nối với mạng nội bộ (Intranet) của công ty, và card còn lại kết nối với Internet.

Máy chủ VPN có thể hoạt động như cổng kết nối hoặc bộ định tuyến cho mạng nhỏ dưới 20 người dùng Tuy nhiên, khi số lượng người dùng tăng lên, hiệu suất của máy chủ VPN sẽ giảm, dẫn đến tốc độ chậm hơn và gặp khó khăn trong việc bảo mật thông tin cũng như dữ liệu lưu trữ.

Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ

VPN cho phép đăng nhập vào mạng từ xa bằng cách kết nối tới điểm cuối xa trên mạng Sau khi đăng nhập thành công, máy khách VPN và máy chủ VPN mới có thể giao tiếp với nhau Thông thường, máy khách VPN có thể được triển khai dưới dạng phần mềm, nhưng cũng có thể là thiết bị phần cứng chuyên dụng.

Với sự gia tăng nhu cầu về nhân viên làm việc di động, việc cập nhật vị trí cho người dùng máy khách VPN trở nên cần thiết Những người dùng này có thể sử dụng VPN để kết nối với mạng cục bộ của công ty, đảm bảo an toàn và bảo mật thông tin Máy khách VPN có những đặc trưng nổi bật, giúp tối ưu hóa trải nghiệm làm việc từ xa.

- Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng để kết nối đến tài nguyên của công ty từ nhà

Người dùng di động thường sử dụng máy tính xách tay để kết nối vào mạng cục bộ của công ty qua mạng công cộng, nhằm truy cập hòm thư điện tử và các tài nguyên trong mạng mở rộng.

Những người quản trị mạng từ xa sử dụng mạng Internet làm trung gian để kết nối với các trang web ở xa, nhằm quản lý, giám sát, sửa chữa hoặc cài đặt dịch vụ và thiết bị.

Bộ tập trung truy cập của ISP

Mạng riêng được bảo vệ Mạng riêng được bảo vệ

Máy khách tại nhà Đặc trưng của máy khách VPN

Khi thiết lập một mạng VPN nhỏ, máy chủ VPN có thể đóng vai trò của bộ định tuyến Tuy nhiên, với mạng VPN lớn cần xử lý nhiều yêu cầu, việc sử dụng bộ định tuyến VPN riêng là cần thiết Bộ định tuyến đóng vai trò là điểm cuối của mạng riêng, trừ khi được đặt sau tường lửa Chức năng chính của bộ định tuyến VPN là tạo kết nối từ xa trong mạng cục bộ, đồng thời tìm kiếm và chọn đường đi ngắn nhất đến đích trong mạng, tương tự như trong mạng truyền thống.

Mặc dù bộ định tuyến thông thường có thể hoạt động trong mạng VPN, nhưng chuyên gia khuyên nên sử dụng bộ định tuyến VPN để đảm bảo hiệu suất và bảo mật tối ưu Bộ định tuyến VPN không chỉ thực hiện chức năng định tuyến mà còn cung cấp các tính năng bảo mật và đảm bảo chất lượng dịch vụ (QoS) trên đường truyền Một ví dụ điển hình là bộ định tuyến truy cập modun 1750 của Cisco, được sử dụng rộng rãi trong các mạng VPN.

2.1.4 Bộ tập trung VPN (VPN Concentrators)

Bộ tập trung VPN (VPN concentrators) giống như Hub trong mạng truyền thống, được sử dụng để thiết lập mạng VPN truy cập từ xa nhỏ gọn Thiết bị này không chỉ tăng cường công suất và số lượng kết nối VPN mà còn cung cấp hiệu suất cao, khả năng bảo mật mạnh mẽ và năng lực xác thực đáng tin cậy.

Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập trung được sử dụng khá phổ biến

Cổng kết nối IP là thiết bị chuyển đổi các giao thức không phải IP sang giao thức IP và ngược lại, cho phép mạng riêng thực hiện chuyển tiếp dựa trên giao thức IP Các thiết bị này có thể là phần cứng chuyên dụng hoặc giải pháp phần mềm Trong trường hợp phần cứng, cổng kết nối IP thường được thiết lập ở biên mạng cục bộ của công ty, trong khi giải pháp phần mềm được cài đặt trên máy chủ để chuyển đổi lưu lượng từ các giao thức không phải IP.

IP sang giao thức IP và ngược lại Ví dụ như phần mềm Novell’s Border Manager

Cổng kết nối VPN là điểm bảo mật giữa mạng công cộng và mạng riêng, giúp ngăn chặn xâm nhập trái phép Chúng cung cấp khả năng tạo đường hầm và mã hóa dữ liệu trước khi truyền tải qua mạng công cộng.

Các vấn đề cần chú ý khi thiết kế VPN

Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số của mạng và những yêu cầu đối với VPN sắp được thiết kế, chẳng hạn:

- Số lượng site? số lượng người dùng ở mỗi site?

- Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày

- Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu?

Khi lựa chọn loại kết nối Internet, cần xác định xem đó là kết nối thường trực hay kết nối theo yêu cầu Đối với kết nối thường trực, cần lưu ý thời gian lưu trữ dự phòng kết nối, nhằm đảm bảo hiệu suất và độ ổn định trong quá trình sử dụng.

Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy

2.2.1 Các vấn đề về mạng và ISP

Sự phát triển nhanh chóng của mạng đã đặt ra thách thức lớn về định tuyến và bảo mật Để giải quyết vấn đề này, cần áp dụng các biện pháp hiệu quả nhằm nâng cao khả năng định tuyến và đảm bảo an toàn thông tin.

- Thêm phần cứng hoặc phần mềm vào bộ định tuyến để nó đóng vai trò là một cổng mối bảo mật trong VPN

- Nâng cấp bộ định tuyến hoặc tường lửa để hỗ trợ các chức năng của VPN

- Thay thế bộ định tuyến hay tường lửa bằng thiết bị thuộc thế hệ mới có nhiều chức năng hơn, tương thích hơn với mạng mới

Hiện nay, để nâng cao chất lượng dịch vụ, nhiều doanh nghiệp chuyển việc quản lý và hỗ trợ từ mạng riêng sang các nhà cung cấp dịch vụ Internet (ISP) Các ISP đã hỗ trợ nhiều chức năng, cho phép xây dựng VPN với sự kết hợp của nhiều ISP Việc sử dụng nhiều ISP giúp mở rộng phạm vi địa lý của VPN, mang lại lợi ích cho người dùng.

Mặc dù sự phát triển của IPv6 hiện nay diễn ra chậm, nhưng nó chắc chắn sẽ tiến triển trong tương lai Do đó, khi xây dựng VPN, cần chú ý đến khả năng nâng cấp mạng lên IPv6 để đảm bảo tính linh hoạt và đáp ứng nhu cầu mở rộng.

2.2.2 Các vấn đề về bảo mật

VPN giúp người dùng quản lý quyền truy cập vào các mạng con, thiết bị và cơ sở dữ liệu quan trọng, do đó, việc kiểm soát quyền truy cập là yếu tố quan trọng trong việc đảm bảo an toàn cho VPN.

Một giải pháp hiệu quả cho các công ty muốn chia sẻ thông tin từ VPN với người dùng Internet, khách hàng hoặc nhân viên là sử dụng vùng giới tuyến DMZ (Demilitarized Zone) DMZ bao gồm hai tường lửa: một tường giữa Internet và tài nguyên chia sẻ, và một tường giữa tài nguyên đó với mạng nội bộ Máy chủ trong DMZ giữ vai trò lưu trữ thông tin phụ, giúp giảm thiểu thiệt hại nếu xảy ra sự cố Ví dụ, máy chủ Web trong DMZ lưu bản sao trang Web, trong khi bản chính được lưu trữ trong mạng nội bộ Để đảm bảo an toàn, các biện pháp bảo mật như mã hóa, trao đổi khóa và chứng thực số được áp dụng.

Mã hoá là một quá trình tính toán phức tạp, biến đổi dựa trên từng giải thuật cụ thể Mỗi giải thuật cung cấp mức độ bảo mật khác nhau, cho phép người dùng áp dụng các phương thức mã hoá đa dạng để quản lý quyền truy cập hiệu quả.

Khi thiết kế VPN, việc quyết định tần suất chuyển đổi khóa giữa các cổng bảo mật là rất quan trọng Nếu VPN chỉ sử dụng một số lượng nhỏ cổng bảo mật, việc chuyển khóa bằng tay có thể chấp nhận được Tuy nhiên, trong trường hợp VPN mở rộng trên quy mô quốc gia hoặc toàn cầu, giải pháp này không còn phù hợp và việc sử dụng email bảo mật trở thành một lựa chọn khả thi Để đảm bảo dữ liệu được bảo mật tối đa, tốt nhất là sử dụng hệ thống chuyển khóa tự động Các khóa dùng cho mã hóa và xác thực có thể được thay đổi theo các quy luật như sau: sau một số gói dữ liệu được truyền, sau một khoảng thời gian nhất định, hoặc mỗi khi bắt đầu một phiên làm việc mới Việc tự động thay đổi khóa giúp nâng cao khả năng chống lại các cuộc tấn công và xâm nhập trái phép.

Khi triển khai hệ thống quản lý khoá, việc tích hợp các cơ chế hồi khoá là rất quan trọng Điều này giúp người dùng dễ dàng khôi phục dữ liệu cũ và khoá cũ một cách hiệu quả.

Chứng thực số, hay xác thực tính hợp lệ, là quá trình sử dụng một cặp khóa chung trong mã hóa để xác minh tính hợp lệ của khóa Những chứng thực này liên kết khóa chung với các thực thể mạng như người dùng hoặc máy tính Nhiều trình duyệt web áp dụng chứng thực điện tử để đảm bảo truyền thông an toàn với máy chủ, thường sử dụng giao thức Secure Sockets Layer cho thương mại điện tử Ngoài ra, một số hệ thống email cũng cung cấp khả năng mã hóa dựa trên chứng thực điện tử, cùng với các công nghệ phân phối như chứng thực điện tử CA và cơ sở hạ tầng khóa công cộng (Public Key Infrastructures).

Quá trình xây dựng

Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN.

Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy nhập vào trang web của công ty bao gồm 4 bước:

Bước 1: Người sử dụng ở xa thực hiện kết nối vào nhà cung cấp dịch vụ Internet của họ như bình thường

Khi kết nối vào mạng công ty, người dùng sẽ khởi tạo một đường hầm tới máy chủ bảo mật của mạng Máy chủ này sẽ xác thực người dùng và thiết lập một kết thúc khác cho đường hầm.

Người sử dụng gửi dữ liệu đã được mã hoá qua phần mềm VPN thông qua đường hầm tunnel, kết nối với nhà cung cấp dịch vụ Internet (ISP).

Máy chủ bảo mật đích thu thập và giải mã dữ liệu đã được mã hóa, sau đó chuyển tiếp các gói dữ liệu đã giải mã tới mạng công ty Tất cả thông tin gửi trở lại người sử dụng từ xa đều được mã hóa trước khi truyền qua Internet.

Hình vẽ dưới đây minh hoạ rằng phần mềm VPN có thể được sử dụng ở bất kỳ vị trí nào có mạng Internet

Một VPN bao gồm hai thành phần chính: kết nối từ người dùng đến Internet qua nhà cung cấp dịch vụ Internet (ISP) và phần cứng, phần mềm để bảo vệ dữ liệu bằng cách mã hóa trước khi truyền qua Internet.

Trong phần này, chúng ta sẽ thảo luận về các yếu tố quan trọng liên quan đến việc xây dựng một VPN, bao gồm cách kết nối đến nhà cung cấp dịch vụ Internet (ISP), việc sử dụng bộ định tuyến và tường lửa, cũng như các thiết bị phần cứng và sản phẩm phần mềm cần thiết.

Tuyến kết nối từ người dùng đến mạng Internet qua ISP là yếu tố then chốt trong việc thiết lập một VPN, vì ISP đảm bảo đường truyền dữ liệu và duy trì kết nối ổn định.

Các mạng đường trục tốc độ cao Mạng đường trục

Các điểm truy xuất mạng

`UserMạng miền Mạng miền Mạng miền Mạng miền a) Khả năng của ISP

Các nhà cung cấp mạng ISP được phân chia theo cấp độ, khả năng, phạm vi phục vụ của mạng Ta có thể chia ISP làm các nhóm:

Nhóm 1: Nhóm các nhà cung cấp mạng chính, các mạng riêng ảo đóng vai trò là mạng đường trục (do mạng có tốc độ cao và tin cậy…) cho Internet Các ISP thuộc nhóm này là mạng của các quốc gia phát triển có mạng lưới thông tin phát triển hoặc là mạng của các công ty đa quốc gia có thể kể đến như: AT&T, IBM, PSInet…Các mạng này độc lập và kết nối với nhau thông qua nhưng điểm truy cập mạng NAP Không có NAP nào cung cấp các kết nối đến Internet từ một nhà cung cấp trong nhóm đến một mạng công ty hay tới các doanh nghiêp Các NAP chỉ là những điểm đấu nối, chuyển giao lưu lượng giữa các mạng Về tốc độ, các kết nối đến NAP Internet phải được tạo ra với tốc độ tối thiểu là DS-3 (45Mbit/s)

Nhóm 2: Các công ty mua những kết nối đến Internet từ các nhà cung cấp nhóm 1, rồi sau đó họ lại cung cấp lại cho khách hàng dưới dạng đường dành riêng , cho khách hàng thuê các địa chỉ trang Web, hay bán lại băng thông

Nhóm 3: nhóm các ISP hoạt động bên dưới các ISP nhóm 2, đây là những ISP độc lập, có thể ở quy mô nhỏ như chỉ có từ 2 hay 3 khách hàng sử dụng bằng cách quay số, xDSL,… vào các điểm kết nối địa phương POP (point of presence) cho đến hàng trăm khách hàng Những nhà cung cấp này không nắm quyền điều khiển mạng đường trục hay mạng quốc gia của họ Đa số các ISP thường cung cấp đầy đủ các tuỳ chọn kết nối với các sản phẩm hỗ trợ băng thông từ 56kbit/s đến tốc độ T3 (44.736 Mbit/s) thậm chí là hơn nữa Một số ISP yêu cầu khách hàng phải mua các thiết bị như bộ định tuyến cà các CSU/DSU, trong khi môt số ISP khác sẽ hỗ trợ và quản lý cho chúng ta

Các nhà cung cấp dịch vụ Internet (ISP) thường hỗ trợ khách hàng trong việc cấu hình, lắp đặt, giám sát và chẩn đoán lỗi thông qua trung tâm điều hành mạng (NOC) hoạt động 24/7 Họ cung cấp cho khách hàng ba loại cước phí để lựa chọn: cước cài đặt, cước trọn gói và cước truy cập theo từng lần sử dụng Bên cạnh đó, các hợp đồng dịch vụ SLA cũng là một phần quan trọng trong việc đảm bảo chất lượng dịch vụ cho khách hàng.

Hợp đồng dịch vụ SLA (Service Level Agreement) là thỏa thuận giữa khách hàng và nhà cung cấp dịch vụ Internet (ISP) về mức độ dịch vụ mà khách hàng sẽ nhận được SLA đảm bảo rằng thông tin của khách hàng và doanh nghiệp luôn được duy trì hoạt động ổn định, đồng thời cam kết chất lượng dịch vụ từ phía ISP.

ISP phán đoán, dự báo lưu lượng mạng để từ đó đưa ra các phương án điều khiển, phân luồng lưu lượng chính xác

Khi đánh giá SLA, các thông số quan trọng cần xem xét bao gồm độ sẵn sàng, thông lượng thực tế và độ trễ Độ sẵn sàng của mạng được định nghĩa là khoảng thời gian mà mạng có khả năng phục vụ khách hàng một cách liên tục.

Ta có thể xác định độ sẵn sàng của mạng theo công thức:

24 giờ x Số ngày của tháng - thời gian mạng ngừng hoạt động

24 giờ x Số ngày của tháng Độ sẵn sàng =

2.3.2 Tường lửa và Bộ định tuyến

Sau khi kết nối Internet được thiết lập, cần có các thiết bị quan trọng như bộ định tuyến và tường lửa để thiết lập đường truyền dữ liệu, truyền dữ liệu đến đích và kiểm soát truy cập vào mạng riêng Những thiết bị này giúp bảo vệ mạng khỏi các xâm nhập bất hợp pháp.

Internet CSU/DSU Bộ định tuyến

Vị trí của các thành phần trong VPN trên tuyến kết nối từ LAN đến ISP rất quan trọng Các thiết bị hỗ trợ VPN có thể được lắp đặt giữa CSU/DSU và bộ định tuyến, hoặc giữa bộ định tuyến và tường lửa Tường lửa đóng vai trò bảo vệ và kiểm soát lưu lượng mạng, đảm bảo an toàn cho dữ liệu trong quá trình truyền tải qua VPN.

Tường lửa là một công cụ quan trọng trong mạng WAN, giúp bảo mật và chống lại các cuộc tấn công từ kẻ xấu Nó đóng vai trò tích hợp trong chính sách bảo mật, xác định lưu lượng giữa mạng Intranet và Internet Ngoài ra, tường lửa còn có khả năng bảo vệ các khu vực giới hạn trong mạng khỏi những mối đe dọa bên ngoài.

CẤU HÌNH VPN

Tạo VPN server

Bước 1 : Vào Start / Settings / Network Connections

Bước 2 : Chọn Create a new connection sau đó chọn Next

Bước 3 : Chọn Set up an Advanced Connection rồi Next

Bước 4 : Chọn Accept Incoming connection rồi Next

Bước 5 : Tiếp tục chọn Next

Bước 6 : Chọn Allow virtual private Connections rồi Next

Step 7: Create a username and password for client authentication when accessing Windows You can either select an existing username or click the "Add" button to create a new one Each connecting client will require a unique username and password After setting this up, click "Next."

Bước 8: Bạn chọn Internet Protocol ( TCP/IP ) rồi nhấn properties hoặc click đúp chuột

Bước 9: Chọn dãy địa chỉ IP cho mạng mới hoặc cấp dãy địa chỉ IP từ mạng hiện có cho Client Bạn cũng có thể cho phép Client tự chỉ định địa chỉ IP Sau đó, tiếp tục nhấn Next.

Bước 10 : Bạn thực hiện NAT trên router của bạn cho qua port 1723 cho cả TCP và

Tạo VPN client

Client thì không cần cấu hình NAT nhưng cũng phải tạo kết nối đến server

Bước 1 : Vào Start / Settings / Network Connections Chọn Create a new connection

Bước 3 : Chọn Connect to my network place rồi Next

Bước 4: Chọn Virtual Private Connection rồi Next

Bước 5: Bạn nhập tên Server ,tên này là tùy ý bạn rồi Next

Bước 6 : Bạn nhập địa chỉ IP public của Server

Sau khi hoàn thành bước này, bạn có thể nhập tên người dùng và mật khẩu do máy chủ cung cấp để kết nối với máy chủ Tuy nhiên, một vấn đề phát sinh là máy khách không thể truy cập Internet vì Default Gateway của máy khách đã được cấu hình thành máy chủ từ xa Nếu bạn chỉ cần kết nối đến máy chủ, bạn không cần thực hiện các bước tiếp theo.

Bước 8 : Khi hộp thoai login hiện ra bạn chọn Properties

Bước 9 : Bạn chọn tab Network rồi chọn Internet protocal ( TCP/IP ) trong list và chọn properties

Bước 11 : Bạn bỏ chọn dấu check tại Use default gateway on remote server nhé Sau đó nhấn Ok

Rồi quay lại khung login nhập username và password , và như thế là client và server đã kết nối với nhau như là một LAN rồi

Ngày đăng: 16/09/2021, 16:12

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w