Mạng riêng ảo VPN

1.2. Các công nghệ mới xây dựng trên nền IP

1.2.2. Mạng riêng ảo VPN

Công nghệ thiết lập mạng riêng ảo-VPN là công nghệ tiên tiến, −u việt và hiệu quả nhất đang đ−ợc ứng dụng hiện nay. Với công nghệ VPN, ng−ời dùng sẽ thiết lập đ−ợc mạng riêng ảo trên mạng internet công cộng và toàn bộ dữ liệu sẽ

được mã hoá trước khi truyền đến người nhận. VPN là sự lựa chọn tối ưu đối với các mạng truyền số liệu có yêu cầu bảo mật dữ liệu cao nh−: kế toán, dữ liệu c−ớc, số liệu thuê bao, số liệu an ninh quốc phòng,...và đang đ−ợc triển khai rộng rãi trong các mạng truyền số liệu trên mọi lĩnh vực.

Hình 1.15: Mô hình mạng VPN

Ma?ng công cô?ng

PC

Trung tâm

PC

FW/VPN Gateway

Server

Remote users

Dialup PC

Chi nha´nh

PC

FW/VPN Gateway

Server

Leased lin e/Cable/ISDN

Leased line/Dialup

Ðô´i ta´c

Mạng VPN đ−ợc xây dựng trên quan điểm bảo mật toàn diện:

- Mã hoá: đảm bảo sự riêng t−, công nghệ mã hoá hiện đang sử dụng phổ biến là 3-DES.

- Xác thực: đảm bảo sự toàn vẹn thông tin với các tiêu chuẩn MD5, SHA-1.

- Trao đổi khoá: bảo vệ khoá trao đổi.

- Chứng thực (CA): chống mạo danh.

1.2.2.1. Khái niệm

Mạng riêng ảo (VPN) là một khái niệm rộng, thực hiện việc kết nối bảo mật, tạm thời trên mạng công cộng mà điển hình là mạng Internet. VPN đ−a ra một ph−ơng pháp kết nối mạng tính linh hoạt cao, kinh tế và quản trị dễ dàng so với các ph−ơng pháp kết nối mạng truyền thống nh− leased-line hoặc remote access.

Mỗi một giải pháp VPN lại liên quan đến các vấn đề bảo mật, năng lực, độ hiệu dụng. VPN ngày càng đáp ứng yêu cẩu về bảo mật, hiệu quả và độ hiệu dụng.

Có ba điểm chính trong việc xây dựng mạng VPN là mã hoá, xác thực và điều khiển truy nhập. Trong đó mã hoá và xác thực là hai vấn đề quan trọng nhất của VPN.

Có thể phân ra 3 dạng VPN nh− sau:

Intranet VPN: kết nối này đ−ợc xem nh− kết nối WAN bán cố định trên mạng công cộng đến các chi nhánh. Có thể nói Intranet VPN là bảo mật nhất vì mạng trung tâm xem các chi nhánh nh− là mạng mở rộng. Trong tr−ờng hợp này, trụ sở chính sẽ điều khiển cả hai cơ sở dữ liệu nguồn và

đích.

Remote access VPN: cho phép người làm việc di động hoặc ở nhà kết nối bảo mật đến trụ sở làm việc. Trong thực tế, các mạng trung tâm hỗ trợ cho ng−ời dùng từ xa qua dịch vụ quay số truy nhập. Với −u điểm của VPN, người dùng di động có thể thực hiện 1 kết nối nội hạt đến ISP để truy nhập đến nơi làm việc qua mạng Internet bất cứ nơi đâu họ muốn.

Đây là một cuộc cách mạng của mạng quay số. Remote access VPN có thể hỗ trợ cho các văn phòng nhỏ, người làm việc di động, khách hàng.

Extranet VPN: không giống nh− Intranet VPN, Extranet VPN cần thiết cho các đối tác, khách hàng và nhà cung cấp cũng như người làm công từ xa. Mạng Extranet cần mức phân cấp bảo mật rõ ràng. Việc truy nhập

đến các dữ liệu nhạy cảm là bí mật, dưới quyền điều khiển truy nhập hẹp nhất. Nó sẽ bảo mật tất cả các ứng dụng, bao gồm TCP, UDP, Real audio, FTP, Java, Active X, Visual Basic,...

1.2.2.2. Các giao thức VPN [6]

SOCKS v5

SOCKS v5 đ−ợc phát triển bởi IETF và là ph−ơng án thích hợp cho VPN mức

độ yêu cầu bảo mật cao nhất. SOCKS v5 là giao thức VPN có thể tương hỗ với các giao thức VPN khác, nh− PPTP, IPSec và L2TP.

SOCKS v5 điều khiển lớp phiên t−ơng ứng với lớp 5 trong mô hình OSI. Do

đặc tính lớp 5, SOCKS v5 cung cấp điều khiển truy nhập một cách chi tiết hơn các giao thức vận hành ở lớp thấp, vì vậy nó cho phép từ chối các gói tin dựa trên địa chỉ nguồn hoặc đích. SOCKS v5 thiết lập kênh ảo giữa client và host trên cơ sở session- by-session, cung cấp cơ chế giám sát và điều khiển truy nhập mạnh nhất với xác thực ng−ời dùng không cần cấu hình lại mỗi ứng dụng mới. Khi sử dụng phối hợp với tường lửa Firewall, các gói dữ liệu được đi qua 1 cổng đơn trong Firewall (mặc

định là cổng 1080) đến Proxy server. Sau đó, bộ lọc sẽ gửi những gì đến máy tính

đích. Việc này ngăn chặn quản trị tạo ra nhiều lỗ hổng trên Firewall cho nhiều ứng dụng khác nhau. Để tăng cường bảo mật, VPN proxy server che dấu cấu trúc địa chỉ của mạng, làm cho việc phá hỏng dữ liệu sẽ khó khăn hơn. Ưu điểm thiết kế khác của SOCKS v5 là không thâm nhập client (client non-intrusive). Chạy trong suốt trên desktop của ng−ời dùng và không xuyên nhiễu với các thành phần giao vận mạng. SOCKS v5 dễ dàng làm việc trên nhiều nền tảng và công nghệ bảo mật, đ−a ra cấu trúc module hỗ trợ nhiều ph−ơng pháp xác thực, mã hoá, quản lý key, cung cấp cho ng−ời quản trị IS cân nhắc lựa chọn các công nghệ tốt nhất cần thiết.

Giao thức PPTP/L2TP

Một giải pháp VPN thông dụng nhất được biết đến là giao thức đường hầm

điểm-điểm (PPTP) của Microsoft. Đ−ợc nhúng trong hệ điều hành WIN NT4.0 và

đ−ợc sử dụng với dịch vụ định tuyến và truy nhập từ xa của Microsoft. Hoạt động tại lớp liên kết số liệu (Layer 2). PPTP gói gọn PPP với gói tin IP và sử dụng bộ lọc gói tin đơn giản và điều khiển mạng nhằm cung cấp điều khiển truy nhập. PPTP và giao thức kế tiếp L2TP đ−ợc xem nh− công cụ mở rộng hạ tầng quay số PPP hiện tại

đ−ợc hỗ trợ bởi Microsoft, hầu hết các ISP và các nhà cung cấp phần cứng truy nhập từ xa. Giao thức giao vận lớp 2 (L2TP) đ−ợc phát triển từ việc phối hợp giao thức PPTP của Microsoft và L2F của Cisco Systems. Giao thức này hỗ trợ nhiều đ−ờng

hầm đồng thời cho 1 client và hướng tới thị trường Telco và các ISP. Với L2TP người dùng đầu cuối quay số đến ISP tại POP nội hạt không cần mã hóa và ISP hoạt

động như một đại lý cho người dùng, tạo ra đường hầm mã hóa đến đích được bảo mËt.

Giao thức IPSec (IP Security)

Bảo mật giao thức liên mạng (IPSec) đ−ợc chú ý nhiều trong thời gian gần

đây. Đ−ợc tổ chức mạng quan tâm và chuẩn hoá. IPSec sẽ là giải pháp mở cho bảo mật VPN. IPSec có thể cấu hình ở hai dạng phân biệt, dạng đ−ờng hầm và dạng giao vËn.

- Dạng đ−ờng hầm (Tunnel mode): IPSec gói gọn gói tin IPv4 trong các khung bảo mật để bảo mật thông tin giữa các Firewall/VPN gateway.

- Dạng giao vận (Transport mode): thông tin đ−ợc gói gọn nh− 1 đ−ờng có thể bảo mật từ điểm đầu cuối đến đầu cuối.

IPsec là cơ sở hạ tầng bảo mật cao cho việc truyền thông tin trên mạng Internet công cộng. Nó cung cấp sự riêng t− cho dữ liệu nhờ sự linh hoạt, mềm dẻo của các cơ chế mã hoá và đ−ờng hầm mà bảo vệ phần tải của gói khi chúng truyền trên mạng. Do nó có thể triển khai trên bất cứ mạng IP nào, nên tạo ra sự hấp dẫn

đối với các ISPs.

Các chức năng IPsec tại tầng mạng hay tầng xử lý gói. Nó hữu ích nhất cho offnet hoặc tại biên mạng của nhà cung cấp dịch vụ nơi mà độ "phơi bày" sự riêng t−

của dữ liệu là rất lớn. Các mạng công cộng không tin cậy là các ứng viên đi đầu trong việc cần ứng dụng "đ−ờng hầm" và kĩ thuật mã hoá của IPsec. Điều này làm cho IPsec trở thành một giải pháp rất tốt cho việc điều khiển truy nhập từ xa hoặc tạo ra các offnet VPNs.

Giao thức VPN/MPLS

Có thể thấy, các công nghệ mới xuất hiện nh− MPLS, hứa hẹn cung cấp các công cụ cải thiện kỹ thuật lưu lượng mạng IP cho phép nhà cung cấp dịch vụ dễ dàng đo đạc, giám sát và đáp ứng các mức dịch vụ khác nhau. MPLS đem đến nhiều

−u điểm, tận dụng sự thông minh của bộ định tuyến và tốc độ chuyển mạnh, cung cấp ph−ơng thức ánh xạ gói tin IP vào kết nối có h−ớng nh− ATM hoặc FR. Nó cũng cung cấp định nghĩa QoS trong tiêu đề MPLS. MPLS sử dụng lớp thông tin định tuyến lớp 3 để thiết lập bảng định tuyến và định rõ tài nguyên. Nó sử dụng lớp 2 (FR, ATM và các giao thức lớp 2) để chuyển mạch hoặc định hướng thông tin trên

đ−ờng dẫn t−ơng ứng.

Không giống nh− IPsec, các chức năng phù hợp với vùng biên ngoài mạng thì

MPLS lại triển khai rất tốt trong vùng mạng lõi của các nhà cung cấp dịch vụ. QoS, kĩ thuật lưu lượng (traffic engineering), và sử dụng băng thông có thể hoàn toàn

đ−ợc điều khiển trong vùng mạng MPLS. Việc xây dựng VPN dựa trên MPLS tạo ra khả năng mở rộng, cho phép các nhà cung cấp mạng dựa trên IP, các dịch vụ giá trị gia tăng với các thoả thuận cam kết mức dịch vụ phức tạp SLA (Service Level Agreement).

Nh− IPsec, MPLS cũng cung cấp bảo mật từ đầu cuối đến đầu cuối cho yêu cầu của khách hàng. Do hầu hết mạng triển khai ngày nay dựa trên tầng liên kết là ATM và FR nên MPLS có xu hướng là sự lựa chọn để xây dựng các mạng VPN trên nền tảng đó.