Đề tài Xây dựng hệ thống thông tin mạng

g nghệ và thông thường các chuẩn này không nhất thiết phải hỗ trợ PKI. Để hiện thực hoá kịch bản như mô tả ở trên, ta cần phải có các quy tắc và tiêu chuẩn hỗ trợ việc các chứng thực được phát hành bởi các chủ thể có thẩm quyền khác nhau có thể trao đổi và giao dịch giữa các tổ chức khác nhau. Thứ ba, các tiêu chuẩn phải định nghĩa rõ được các thuật toán có thể và phải bao gồm. Cuối cùng, các tiêu chuẩn phải chỉ ra được cách thức duy trì các hạ tầng cấu trúc truyền thông. Bên cạnh đó, chúng cũng phải xây dựng được danh sách người dùng được cấp chứng thực và danh sách những chứng thực bị huỷ bỏ. Hãy quyết định cách thức các thẩm quyền cấp chứng thực khác nhau sẽ được truyền thông với nhau và phương pháp tái lập lại một chứng thực trong trường hợp xảy ra mất mát. Cấu trúc PKI trong các hạ tầng HTTT được sử dụng trong các ứng dụng mạng. Như khi có website sử dụng SSL/TLS, như khi kết nối và làm việc trong mạng nội bộ sử dụng chuẩn VPN và Point To Point Tunneling Protocol (PPTP), hoặc như khi đang dùng các tính năng mã hoá của IPSec. PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sản trí tuệ của tổ chức doanh nghiệp, cả trong và ngoài phạm vi tổ chức. Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhất định đối với khả năng ứng dụng. Những vấn đề phức tạp có thể được hiểu như sau: Đa phần các giao dịch truyền thông của doanh nghiệp với khách hàng, chính quyền và các đối tác khác đều được diễn ra một cách điện tử. Khi ta nhận thức được tất cả các kênh khác nhau trong các giao dịch đó, ta sẽ là một trong số ít các chuyên gia IT giỏi nhất. Một khi ta mở cánh cửa đối với email, phải thừa nhận rằng mọi thứ có thể gửi đi sẽ được gửi đi, không kể đó là giữa các đối tác, trong nội bộ công ty hay thậm chí vượt qua “ranh giới” công ty. Một ví dụ trong số đó là một người nhận "bên ngoài" có tên trong dòng Cc có thể nhận được một tài liệu mật và gửi nó trên các kênh không an toàn khác. Khi có ý định giải quyết vấn đề này hoặc các vấn đề khác tương tự, một công việc quan trọng là cần phải quyết định về mức độ mở rộng của “biên giới" bảo mật, những tài sản " bạn phải bảo vệ, và mức độ bất hợp lý bạn sẽ phải áp dụng đối với những người dùng”. Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy. Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa trở nên đơn giản hơn. Nhiều hãng khác cũng cung cấp các giải pháp PKI, song nếu doanh nghiệp đã từng được đầu tư cho các công nghệ của Microsoft, thì có thể sẽ tận dụng được những lợi thế mà tập đoàn này hỗ trợ. Với những cải tiến lớn với PKI trong Windows XP Professional (dành cho máy trạm) và Windows Server (dành cho máy chủ) Microsoft đưa ra giải pháp có thể giải quyết được các vấn đề chính liên quan tới một chính sách bảo mật PKI. Những tính năng này, cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và các ứng dụng có liên quan. PKI cho phép tạo ra một quan hệ tin cậy giữa các chứng thực của các tổ chức khác nhau và giải pháp PKI của Windows Server 2003 cũng bao gồm tính năng này. Nó giúp các doanh nghiệp bắt đầu với một phạm vi quan hệ tin cậy không lớn và cho phép mở rộng phạm vi này trong tương lai. 3.2.2. Dùng RSA Khái niệm RSA: RSA là một hệ thống bảo mật khoá công cộng cho cả hai cơ chế mã hoá và xác thực; nó được phát minh vào năm 1977 bởi Ron Rivest, Adi Shamir, và Leonard Adleman. RSA được ứng dụng trong cả hai lĩnh vực an ninh thông tin là Mã hoá RSA privacy và Xác thực RSA. Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một bản tin m, A tạo một văn bản dạng mã hoá c tạo bởi (c=me mod n), e và n là khoá công cộng của người B. Người A gửi c cho người B. Để giải mã, người B thực hiện m=cd mod n; Mối liên hệ giữa e và d đảm bảo rằng người B khôi phục đúng n. Vì chỉ người B biết d, do vậy chỉ người B có thể giải mã. Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái cách mà người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A. người A tạo một dạng chữ ký số hoá s bởi công thức: s=md mod n, d và n là khoá riêng của người A. Người A gửi m và s cho người B. Để xác minh lại chữ ký số, người B dùng công thức m=se mod n dựa trên bản tin m nhận được, e và n là khóa công cộng của người A. Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻ khoá riêng, mỗi người chỉ dùng khoá công cộng của người khác và khoá riêng của chính mình. Bất kỳ người nào có thể gửi một bản tin đã mã hoá hoặc xác minh lại bản tin đã được xác nhận chữ ký số, bằng cách chỉ dùng khoá chung, nhưng chỉ người nào đó có được khoá riêng đúng thì có thể giải mã hoặc xác thực bản tin. Ứng dụng RSA: Các sản phẩm RSA ngày nay đã trở nên phổ biến trong tất cả các lĩnh vực quan tâm đến giải pháp an ninh thông tin như: RSA securID authentication, Smart Card & USB tokens, Digital Certificate, Quản lý truy nhập Web, RSA Mobile … Công nghệ RSA Mobile: Công nghệ RSA Mobile là một giải pháp xác thực tiên tiến mà bảo vệ truy cập tới các tài nguyên thông tin trên web bằng cách cung cấp giải pháp xác thực hai yếu tố (Two-factor user authentication) thông qua việc sử dụng các thiết bị mobile phones và PDA. Được thiết kế để bảo vệ các ứng dụng B2C và B2B, phần mềm RSA Mobile yêu cầu người dùng định danh chính họ với hai yếu tố riêng biệt của từng người – cái mà họ biết (số PIN – Personal Identification Number) và cái mà họ có (mã truy cập sử dụng một lần được gửi tới mobile phone hoặc PDA của họ) - trước khi họ được cấp quyền tới một trang web được bảo vệ. Với phần mềm RSA Mobile, các doanh nghiệp có thể nhận dạng một cách chắc chắn người dùng và cung cấp các dịch vụ quan trọng một cách riêng tư (confidently), thuận tiện và an toàn cho người dùng ở bất cứ địa điểm nào, tại bất kỳ thời gian nào. Lợi ích của người dùng là từ việc đăng nhập hệ thống đơn giản, loại trừ việc phải ghi nhớ quá nhiều mật khẩu hoặc phải sử dụng nhiều loại card khác nhau. Hình 3.2 : Mô phỏng an ninh mạng dùng công nghệ RSA Mobile Bảo vệ truy cập tới các ứng dụng web: Công nghệ RSA Mobile cung cấp một cách thuận lợi để bảo vệ các tài nguyên web (web resources) bằng giải pháp xác thực hai yếu tố. Thông qua trình duyệt web (browser), người dùng yêu cầu truy cập tới một tài nguyên web mà được bảo vệ bởi phần mềm RSA Moblie Agent bằng cách gửi tên và số PIN riêng của người dùng, phần mềm RSA Mobile Agent sẽ tạo ra một mã truy cập sử dụng một lần riêng cho mỗi người dùng và gửi nó tới mobile phone hoặc PDA của họ dưới dạng SMS hoặc tin nhắn. Người dùng nhập mã truy cập này vào trình duyệt để hoàn tất quá trình xác thực. Server RSA Mobile Authentication quản lý quá trình xác thực. Khi người dùng gửi thông tin xác thực tới, server này xác định thông tin có hợp lệ hay không. Giải pháp bảo mật được công nhận: Công nghệ RSA Mobile được xây dựng trên kỹ thuật đồng bộ thời gian (time-synchronous) và thuật toán (algorithms) đã được công nhận và đã được sử dụng thành công trong nhiều năm bởi hàng triệu người dùng. Mã truy cập RSA Mobile được gửi tới mobile phone hoặc PDA của người dùng bằng cách sử dụng các thuật toán mã hoá như với mã hoá đường thoại. Phần mềm RSA Mobile còn tiến hành thêm một bước là yêu cầu người dùng nhập mã truy cập của họ vào đúng trình duyệt web mà họ đã dùng để đưa ra yêu cầu truy cập, điều này ngăn chặn một ai đó đánh cắp được mã truy cập có thể sử dụng nó để truy cập bất hợp pháp trên một máy tính khác. Hỗ trợ nhiều phương thức xác thực : Công nghệ RSA Mobile cung cấp cho người quản trị khả năng chuyển đổi phương thức xác thực cho các tài nguyên khác nhau. Ví dụ, một vài tài nguyên có thể sử dụng các phương thức xác thực như sử dụng RSA token hoặc mật khẩu. Khả năng hỗ trợ nhiều phương thức xác thực cho phép người quản trị có thể xác định một cách linh hoạt phương thức xác thực thích hợp trong các hoàn cảnh khác nhau. Các hàm xác thực API được cung cấp với phần mềm RSA Mobile trao cho người quản trị khả năng tích hợp một cách dễ dàng các giao diện xác thực đã có vào sản phẩm RSA Mobile. 3.2.3. Dùng Firewall. Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một doanh nghiệp, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: Bộ lọc packet (packet-filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch (circuite level gateway) Bộ lọc paket (Paket filtering router) Nguyên lý thực hiện của firewall như sau: Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: Địa chỉ IP nơi xuất phát ( IP Source address). Địa chỉ IP nơi nhận (IP Destination address). Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel). Cổng TCP/UDP nơi xuất phát (TCP/UDP source port). Cổng TCP/UDP nơi nhận (TCP/UDP destination port) . Dạng thông báo ICMP ( ICMP message type) . Giao diện packet đến ( incomming interface of packet). Giao diện packet đi ( outcomming interface of packet). Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm: Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế: Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Nhận xét firewall: Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. 3.2.4. Dùng IDS (Intrusion Detection Systems ). IDS cho phép các tổ chức doanh nghiệp bảo vệ mạng chống lại những sự đe doạ công mạng bao gồm: Những điểm yếu của mạng, những nguy cơ tiềm tàng, và những lỗ hổng mạng hiện tại. Sự đe doạ tấn công một mạng thường bị xảy ra bởi giao tiếp mạng với Internet, hoặc mạng ứng dụng các công nghệ mới. Những điểm dễ bị xâm nhập là những điểm yếu của các ứng dụng và HĐH, những điểm yếu sẽ là những nguy cơ để có thể bị xâm nhập tấn công mạng qua đó. Những điểm yếu thường được phát hiện bởi những công cụ kiểm tra, quét mạng. Mọi công nghệ, sản phẩm, những hệ thống mới sẽ sinh ra nhiều lỗi “bugs” và những điểm yếu cho mạng. Nguy cơ tác động tấn công vào những điểm yếu trên mạng thường xảy ra thường xuyên, Sự xâm nhập tấn công mạng có thể gây ra dừng hệ thống, dừng dịch vụ, sai khác dữ liệu, mất mát dữ liệu, và là sự thiệt hại không lường trước cho doanh nghiệp IDS có thể tăng cường sự bảo vệ cho một tổ chức chống lại nguy cơ xâm nhập bằng cách mở rộng sự tuỳ chọn sẵn có để quản lý những rủi ro từ những đe doạ và những điểm yếu. Tương tự với cách sử dụng tuần tra bảo vệ cho một khu nhà, IDS liên tục kiểm tra mạng bên trong, kiểm tra tất cả các lưu thông trong mạng ngăn chặn những hoạt động không mong muốn. IDS được dùng để phát hiện xâm nhập, xác định và huỷ bỏ những phiên truyền thông bất hợp pháp, hỗ trợ kiểm tra và phát hiện những nguy cơ tiềm tàng, bảo vệ điểm yếu chống lại sự xâm nhập trong tương lai. Có ba loại cơ bản của IDS- Dựa vào mạng (quản lý gói), dựa vào host (kiểm tra system log phát hiện những biểu hiện xâm nhập hay nhứng hoạt động của ứng dụng không mong muốn trong thời gian thực), và hệ thống kết hợp. Hệ thống phát hiện xâm nhập dựa vào mạng: Một phần mềm quản lý mạng luôn kiểm tra các gói tin hoạt động trên mạng và tìm kiếm những dấu vết tấn công mạng, dùng sai chính sách mạng, sự bất thường của dữ liệu…Khi một IDS quan sát, nghi ngờ một sự kiện thì một tác động được kích hoạt như bật chức năng gửi bản tin, khi đó sự kiện sẽ bị dừng lại, và những chi tiết được ghi lại dùng để phân tích cho sau này. Loại IDS này dùng để triển khai trên các hệ thống đứng độc lập, phía trước firewall. Host Based Intrusion Detection Systems: Một phần mềm quản lý kiểm tra system logs để phát hiện các dấu vết, các ứng dụng không mong muốn thời gian thực. Nó cũng quản lý các file hệ thống để phát hiện nguy cơ xâm nhập 3.3. Mạng VPN và Bảo mật trong VPN (Virtual Private network). 3.3.1. Khái niệm VPN. Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều tổ chức doanh nghiệp, đặc biệt là các tổ chức có các triển khai mạng phân tán về mặt địa lý, công ty đa quốc gia. Giải pháp thông thường được áp dụng là thuê các đường truyền riêng (leased lines) để duy trì một mạng WAN (Wide Area Network). Các đường truyền này, được giới hạn từ ISDN (Integrated Services Digital Network, 128 Kbps) đến đường cáp quang OC3 (Optical Carrier-3, 155 Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng như Internet trong độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở lên quá đắt và làm tăng giá khi công ty muốn mở rộng các văn phòng đại diện. Do bởi gia tăng các dịch vụ ứng dụng trên Internet, các doanh nghiệp mở rộng mạng (intranet) thông qua môi trường Internet, mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty. Hiện tại, có rất nhiều doanh nghiệp sử dụng VPN để kết nối văn phòng chính với các văn phòng đại diện trên các quốc gia . Hình 3.5: Kiến trúc VPN của mạng doanh nghiệp Mỗi VPN có thể có một mạng LAN chung tại toà nhà trung tâm của một công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên làm việc tại nhà,... kết nối tới Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Trong bài viết này, chúng ta sẽ xét tới một số các khái niệm cơ bản của VPN và tìm hiểu về các thành phần cơ bản của VPN, các công nghệ, bảo mật VPN và đường truyền dẫn. Có 3 loại VPN thông dụng: Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớnvới hàng trăm nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party) Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau: Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất. Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên. Hình 3.6: Kiến trúc mạng sử dụng 3 loại VPN Lợi ích của VPN: Mở rộng vùng địa lý có thể kết nối được Tăng cường bảo mật cho hệ thống mạng Giảm chi phí vận hành so với mạng WAN truyền thống Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa  Tăng cường năng suất  Giảm đơn giản hoá cấu trúc mạng Cung cấp thêm một phương thức mạng toàn cầu Cung cấp khả năng hỗ trợ thông tin từ xa Cung cấp khả năng tương thích cho mạng băng thông rộng Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:  Bảo mật (Security) Tin cậy (Reliability) Dễ mở rộng, nâng cấp (Scalability) Quản trị mạng thuận tiện (Network management) Quản trị chính sách mạng tốt (Policy management) 3.3.2. Tính bảo mật của VPN: Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ an toàn khi truyền dữ liệu: Bức tường lửa: Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như router 1700 của Cisco, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router. Bạn cũng nên có tường lửa trước khi bạn sử dụng VPN, nhưng tường lửa cũng có thể ngăn chặn các phiên làm việc của VPN. Mã hoá: Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: Mã hoá sử dụng khoá riêng (Symmetric-key encryption) Mã hoá sử dụng khoá công khai (Public-key encryption) Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã gói tin. Ví dụ; Khi tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy  A sẽ được thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư. Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người nhận (public key).  Máy tính nhận sử dụng khoá riêng của nó (private key) tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu Hệ  Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép mã hoá đựợc hầu hết mọi thứ. Bạn có thể xem thêm thông tin tại trang chủ PGP. ( Hình 3.7: Một hệ thông truy cập xa dựa trên VPN sử dụng IPSec Ứng dụng Giao thức bảo mật IPSec: Internet Protocol Security Protocol cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như: Từ router đến router Từ firewall đến router Từ PC đến router Từ PC đến server Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server  AAA: (Authentication, Authorization, Accounting Server) được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via trò proxy. AAA sẽ kiểm tra: Bạn là ai (xác thực) Bạn được phép làm gì (xác nhận) Bạn đang làm gì (quản lý tài khoản) Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo. 3.3.3. Các kỹ thuật sử dụng trong VPN Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang hàng Site-to-Site), bạn sẽ cần một số thành phần nhất định để hình thành VPN, bao gồm: Phần mềm máy trạm cho mỗi người dùng xa Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall) Các máy chủ VPN sử dụng cho dịch vụ quay số Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập Trung tâm quản lý mạng và chính sách VPN Hiện nay do chưa có tiêu chuẩn rộng rãi để triển khai VPN, rất nhiều công ty đã tự phát triển các giải pháp trọn gói cho ri