MỤC LỤC 1
DANH MỤC HÌNH VẼ 3
DANH MỤC CÁC TỪ VIẾT TẮT 7
LỜI NÓI ĐẦU 9
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO 11
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO 11
1.1.1 Tính cần thiết của mạng riêng ảo 11
1.1.2 Mục đích của mạng riêng ảo 12
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO 13
1.2.1 Sự phát triển của các loại VPN 13
1.2.2 Khái niệm mạng riêng ảo 14
1.2.3 Các thiết bị VPN 15
1.2.4 Phân loại VPN 16
1.2.5 Các yêu cầu cơ bản đối với mạng riêng ảo 17
1.2.6 Các thành phần cơ bản của VPN 19
1.2.7 Ưu và nhược điểm của VPN 26
CHƯƠNG 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO 28
2.1. KỸ THUẬT TUNNELING 28
2.2. CÁC GIAO THỨC XÂY DỰNG MẠNG RIÊNG ẢO 30
2.2.1 Giao thức VPN tại tầng 2: PPTP, L2F, L2TP 30
2.2.2 Giao thức VPN tại tầng 3 (IPSec) và IKE 42
2.2.3 Các giao thức quản trị 51
2.3. CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO 52
2.3.1 Giới thiệu công nghệ VPN 52
2.3.2 MPLS VPN 57
2.3.3 IPSec VPN 58
2.3.4 SSL VPN 59
2.4. SO SÁNH CÁC CÔNG NGHỆ VPN 61
2.4.1 So sánh IPSec VPN và SSL VPN 61
2.4.2 So sánh MPLS, SSL và IPSec VPN 65
CHƯƠNG 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT 73
3.1. VPN-1 POWER CỦA CHECKPOINT 73
3.1.1 Các thành phần của VPN-1 Power 74
3.1.2 Các thuật ngữ và khái niệm 74
3.1.3 Site to Site VPN 75
3.1.4 Remote Access VPN 77
3.2. GIẢI PHÁP CỦA CHECK POINT CHO VPN 77
3.2.1 Site to Site VPN 78
3.2.2 Remote Access VPN 88
CHƯƠNG IV: GIẢI PHÁP MẠNG RIÊNG ẢO 96
SỬ DỤNG PHẦN MỀM CHECK POINT 96
4.1. MÔ HÌNH TRIỂN KHAI VPN 96
4.1.1 Mô hình Site to Site VPN 96
4.1.2 Mô hình Client to Site VPN (Remote Access VPN) 97
4.2. CÁC BƯỚC TIẾN HÀNH TRIỂN KHAI VPN TRÊN PHẦN MỀM CHECK POINT 98
4.2.1 Cài đặt CheckPoint VPN-1 NGX R65 98
4.2.2 Triển khai VPN với CheckPoint VPN-1 99
4.3. TEST CÁC KẾT NỐI VPN ĐÃ THIẾT LẬP 120
4.3.1 Site to Site VPN 120
4.3.2 Remote Access VPN 124
KẾT LUẬN 128
PHỤ LỤC 130
PHỤ LỤC 1. CÀI ĐẶT HỆ ĐIỀU HÀNH SECUREPLATFORM 130
Cài đặt hệ điều hành SecurePlatform 130
PHỤ LỤC 2. CÀI ĐẶT GÓI PHẦN MỀM NGX R65 TRÊN SECUREPLATFORM 134
PHỤ LỤC 3. CÀI ĐẶT SMARTCONSOLE CLIENT 140
TÀI LIỆU THAM KHẢO 145
17 trang |
Chia sẻ: lethao | Lượt xem: 4752 | Lượt tải: 2
Bạn đang xem nội dung tài liệu Giải pháp VPN an toàn cho mạng sử dụng FW ChecK Point, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
nh 3.12: Từ xa tới gateway 90
Hình 4.1: Mô hình triển khai Site to Site VPN 96
Hình 4.2: Mô hình triển khai Client to Site VPN (Remote Access) 98
Hình 4.3: Mô hình triển khai phần mềm CheckPoint VPN-1 98
Hình 4.4: Đăng nhập vào SmartCenter thông qua SmartDashboard 100
Hình 4.5: Giao diện SmartDashboard 100
Hình 4.6: Định nghĩa mạng LAN_S1 101
Hình 4.7: Định nghĩa mạng DMZ_HN 101
Hình 4.8: Định nghĩa node cho Web Server 102
Hình 4.9: Định nghĩa node mạng cho File Server 102
Hình 4.10: Định nghĩa node mạng cho Mail Server 102
Hình 4.11: VPN phải được chọn trong thuộc tính của tường lửa fw-head 103
Hình 4.12: Xác định VPN Domain 104
Hình 4.13: Chọn một cộng đồng VPN 104
Hình 4.14: Định nghĩa đối tượng mạng của đối tác (LAN_HCM) 105
Hình 4.15: Tạo đối tượng tường lửa của đối tác 106
Hình 4.16: Thuộc tính của tường lửa đối tác 106
Hình 4.17: Xác định VPN Domain cho tường lửa đối tác 107
Hình 4.18: Đưa fw-hcm vào cộng đồng VPN 107
Hình 4.19: Cấu hình cộng đồng VPN Site to Site 108
Hình 4.20: Sử dụng Shared Secret để xác thực 108
Hình 4.21: Tập luật VPN Site to Site hoàn chỉnh tại fw-head 109
Hình 4.22: Xác định kết nối VPN cho luật IKE VPN Rule 109
Hình 4.23: Cài đặt chính sách cho tường lửa fw-head 110
Hình 4.24: Cài đặt chính sách thành công 110
Hình 4.25: Tập luật VPN Site to Site cài đặt trên fw-hcm 111
Hình 4.26: Tạo User kết nối từ xa 111
Hình 4.27: Login Name 112
Hình 4.28: Authentication Scheme 112
Hình 4.29: Tạo nhóm người dùng VPN-User 113
Hình 4.30: Thêm fw- head vào cộng đồng RemoteAccess 114
Hình 4.31: Add nhóm người dùng VPN-User vào cộng đồng VPN 114
Hình 4.32: Visitor Mode Configuration 115
Hình 4.33: Clientless VPN 115
Hình 4.34: SSL Clients 116
Hình 4.35: Định nghĩa dải mạng cho client khi truy cập vào 116
Hình 2.36: Set domain for Remote Access Community 117
Hình 4.37: Chọn LAN_S1 117
Hình 4.38: Xác nhận domain LAN_S1 cho Remote Access Community 118
Hình 4.39: Remote Access Rule 118
Hình 4.40: Add Community to rule 119
Hình 4.41a: Cài đặt chính sách an toàn 119
Hình 4.41b: Cài đặt chính sách thành công 120
Hình 4.42: Kiểm tra các kết nối thông qua SmartView Monitor 120
Hình 4.43: Ping từ host 2 đến host 1 121
Hình 4.44: Tạo các nhóm người dùng trên File Server 121
Hình 4.45: Các thư mục chia sẻ trên File Server 122
Hình 4.46: Từ host 2 truy cập vào File Server với tài khoản TPKeToan 122
Hình 4.47: Tài nguyên chia sẻ trên File Server 123
Hình 4.48: TPKeToan sửa đổi file trên thư mục Ke Toan 123
Hình 4.49: TPKeToan không thể sửa đổi file trên thư mục Nhan Su 124
Hình 4.50: Thử kết nối thông qua trình duyệt web 125
Hình 4.51: Đăng nhập bằng tài khoản Client1 125
Hình 4.52: Xác thực kết nối 126
Hình 4.53: User kết nối thành công 126
Hình 4.54: Kiểm tra địa chỉ được cấp phát thuộc dải mạng VPN-Client 127
Hình 4.55: Client1 truy cập vào File Server với tài khoản TPNhanSu 127
Hình PL1.1: Danh sách driver 130
Hình PL1.2: Loại hệ thống cài đặt 131
Hình PL1.3: Chọn Networking Device 132
Hình PL1.4: Cấu hình giao diện mạng 132
Hình PL1.5: Cấu hình cổng console https 133
Hình PL2.1: Truy cập vào FW_S1 qua giao diện Web 135
Hình PL2.2: Cấu hình Domain 136
Hình PL2.3: Cấu hình các kết nối mạng 136
Hình PL2.4: Cấu hình định tuyến cho tường lửa FW_S1 137
Hình PL2.5: Cấu hình thời gian 137
Hình PL2.6: Cấu hình người quản trị 138
Hình PL2.7: Cấu hình GUI Client 138
Hình PL2.8: Cài đặt các sản phẩm VPN-1 Power và SmartCenter 139
Hình PL2.9: Khởi động lại máy FW_S1 139
Hình PL3.1: Màn hình bắt đầu quá trình cài đặt Console client 140
Hình PL3.2: Chấp nhận bản quyền 141
Hình PL3.3: Loại sản phẩm cài đặt 141
Hình PL3.4: Cài đặt mới 142
Hình PL3.5: Chọn SmartConsole 142
Hình PL3.6: Thông báo sản phẩm được chọn 143
Hình PL3.7: Chọn thư mục cài đặt 143
Hình PL3.8: Chọn các thành phần client sẽ cài đặt 144
Hình PL3.9: Hoàn tất cài đặt SmartConsole NGX R65 144
DANH MỤC CÁC TỪ VIẾT TẮT
AAA
Authentication – Athorization – Accounting
AH
Authentication Header
ATM
Asynchronous Transfer Mode
CE
Customer Edge devices
CEF
Cisco Express Forwarding
CHAP
Challenge Handshake Authentication Protocol
CID
Call Identification
DMVPN
Dynamic Multipoint VPN
DMZ
Demilitarized Zone
EAP
Extensible Authentication Protocol
ESP
Encapsulating Security Payload
FR
Frame Relay
FTP
File Transfer Protocol
GRE
Generic Route Encapsulation
HTTP
HyperText Transfer Protocol
ICA
Internal Certificate Authority
ICMP
Internet Control Message Protocol
IETF
Internet Engineering Task Force
IKE
Internet Key Exchange
IPSec
Internet Protocol Security
ISAKMP/Oakley
Internet Security Association and Key Management
Protocol/Oakley
ISDN
Integrated Services Digital Network
ISP
Internet Service Provider
L2F
Layer 2 Forwarding
L2TP
Layer 2 Tunneling Protocol
LAC
L2TP Access Concentrator
LAN
Local Area Network
LCP
L2TP Control Protocol
LNS
L2TP Network Server
MPLS
Multi Protocol Label Switching
NAS
Network Access Server
NAT
Network Address Translation
NFS
Network File System
NFS
Network File System
OSI
Open Systems Interconnection
PAP
Password Authentication Protocol
PDA
Personal Digital Assistants
PE
Provider Edge devices
POP
Post Office Protocol
PPP
Point to Point Protocol
PPTP
Point to Point Tunneling Protocol
PSTN
Public Switched Telephone Network
QoS
Quality of Service
RADIUS
Remote Authentication Dial-In User Service
RFC
Requests for Comments
SA
Security Association
SMLI
Stateful Multi-Layer Inspection
SMLI
Stateful Multi-Layer Inspection
SMTP
Simple Mail Transfer Protocol
SNMP
Simple Network Management Protocol
SPAP
Shiva Password Authentication Protocol
SPI
Security Parameter Index
SSL
Secure Sockets Layer
TCP
Transmission Control Protocol
UDP
User Datagram Protocol
VoIP
Voice over IP
VPN
Virtual Private Network
VPNC
VPN Consortium
VRF
Virtual Routing and Forwarding
WAN
Wide Area Network
LỜI NÓI ĐẦU
Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.
Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tôi xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”.
Bố cục bài báo cáo này gồm 4 chương như sau:
- Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng.
- Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN.
- Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN.
- Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động.
Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tôi thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. Tôi rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc.
Tôi xin cảm ơn tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tôi trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tôi thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin cảm ơn bố mẹ, gia đình và bạn bè tôi đã cổ vũ, động viên rất nhiều để tôi có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình.
Đặc biệt, tôi xin chân thành cảm ơn thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tôi hoàn thành Đồ án Tốt nghiệp này.
Tôi xin chân thành cảm ơn!!
Hà Nội, ngày 30/05/2009
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO
1.1.1 Tính cần thiết của mạng riêng ảo
Với sự lớn mạnh bùng nổ của mạng máy tính và người dùng mạng, các nhà quản lý Công nghệ thông tin (CNTT) phải đối mặt với nhiệm vụ củng cố hợp nhất những mạng đang có, các site ở xa, và những người dùng từ xa thành một cấu trúc đơn nhất an toàn.
Các cơ quan chi nhánh đòi hỏi kết nối với các chi nhánh khác và với trụ sở chính. Người dùng từ xa yêu cầu nâng cao đặc điểm kết nối để đối phó với những môi trường mạng thay đổi hiện nay. Những thoả thuận với các đối tác yêu cầu kết nối doanh nghiệp với doanh nghiệp bằng các mạng bên ngoài (External Networks).
Đặc biệt, sự hợp nhất xảy ra cần sử dụng cơ sở hạ tầng sẵn có. Điều đó có nghĩa là kết nối được khởi tạo thông qua mạng Internet giống như sử dụng các mạng Leased lines chuyên dụng. Các site và người dùng từ xa phải được hợp nhất trong khi phải duy trì ở cùng một mức độ an ninh cao. Một lần kết nối được thiết lập, các kết nối phải được đảm bảo an toàn như cũ, cung cấp mức độ cao về tính riêng tư, xác thực, và toàn vẹn trong khi giữ được giá thành thấp.
Thêm nữa, chỉ những luồng dữ liệu hợp pháp mới được phép vào mạng bên trong. Những luồng dữ liệu có hại có thể nhận biết được phải được kiểm tra về nội dung. Trong mạng bên trong (Internal network) những mức khác nhau về truy cập cũng phải được cài đặt để những dữ liệu nhạy cảm chỉ được sẵn sàng với những người dùng hợp pháp, đúng quyền.
Công nghệ mạng riêng ảo (Virtual Private Network - VPN) sử dụng cơ sở hạ tầng sẵn có (Internet) như một cách để xây dựng và nâng cao các kết nối sẵn có bằng một cách an toàn nào đó. Dựa vào những giao thức an toàn Internet chuẩn, sự thực thi VPN đảm bảo các liên kết an toàn giữa các kiểu đặc biệt của các nốt mạng: Như module VPN-1 Power của CheckPoint. Site to Site VPN đảm bảo các liên kết an toàn giữa các gateway. Remote Access VPN đảm bảo liên kết an toàn giữa các gateway và các client truy cập từ xa.
Việc truyền thông giữa các bên cần một nền móng kết nối không chỉ nhanh, có khả năng mở rộng và phục hồi nhưng cũng cung cấp: Tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính xác thực (Authentication).
- Tính bí mật: Chỉ các bên tham gia truyền thông mới có thể đọc được thông tin riêng tư trao đổi giữa chúng.
- Tính xác thực: Các bên truyền thông phải chắc chắn rằng họ đang kết nối với bên mong muốn.
- Tính toàn vẹn: Dữ liệu nhạy cảm truyền qua giữa các bên truyền thông không bị thay đổi, và điều đó có thể được chứng thực với một phép kiểm tra tính toàn vẹn.
1.1.2 Mục đích của mạng riêng ảo
- Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng.
- Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.
- Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.
- Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa
- Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …
- Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kỹ thuật. Với sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng thành viên lớn với kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau.
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu sản phẩm và dịch vụ bằng các Website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng Internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hoá, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng Internet, từ đó có thể thăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua mạng trung gian công cộng không an toàn như mạng Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động cơ cho sự phát triển mạnh mẽ của VPN như ngày nay.
1.2.1 Sự phát triển của các loại VPN
VPN không phải là kĩ thuật mới. Mô hình VPN đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WAN, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM.
1.2.2 Khái niệm mạng riêng ảo
- Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy cập.
- Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng.
Nói một cách khác, VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức tạo đường hầm và các phương thức an toàn.
VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng và các đối tác sử dụng chung một mạng công cộng. Một mạng riêng ảo còn cho phép chia sẻ các nguồn dữ liệu chung được bảo vệ, nó sử dụng việc mã hoá dữ liệu để ngăn ngừa người dùng không được phép truy cập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi.
Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Xét về ngữ cảnh, VPN định đường hầm che dấu giao thức lớp mạng nguyên thuỷ bằng cách mã hoá gói dữ liệu và chứa gói đã mã hoá vào trong một vỏ bọc IP. Vỏ bọc IP này thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo mật thông qua mạng công cộng. Tại bên nhận, sau khi nhận gói này sẽ phân phối đến thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.
VPN còn cung cấp các thoả thuận về chất lượng dịch vụ (QoS). Thoả thuận này được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng. Ngoài ra, các thoả thuận có thể kèm theo một sự chỉ định cho giới hạn của băng thông hiệu dụng cho mỗi người dùng.
Qua đó có thể định nghĩa VPN một cách ngắn gọn thông qua công thức sau:
VPN = Định đường hầm + Bảo mật + Các thoả thuận về QoS.
Tóm lại, ta có thể nói để dễ hình dung, giao dịch trên mạng VPN giống như hệ thống chuyển thư tín của bưu điện. Thư tín cũng đi trên đường quốc lộ, đường hàng không như mọi hàng hóa khác, nhưng nằm trong các hộp có cung cách đóng gói theo đúng quy định của ngành bưu điện và đi đúng từ bưu cục gửi tới bưu cục đích. Tại bưu cục đích, chúng sẽ được dỡ khỏi hộp, và nếu cần, sẽ được đóng vào hộp khác để chuyển tiếp. Người ngoài nhìn các hộp thì nhiều lắm chỉ biết nó gửi từ đâu tới đâu, không thể biết trong đó nó có thông tin gì.
1.2.3 Các thiết bị VPN
Nói tới VPN là cơ chế tạo mạng riêng trong/trên nền hệ thống mạng chung. Để tạo ra VPN đó, người ta sử dụng các thiết bị VPN. Tuy vậy, trong hệ thống thiết bị VPN đó có nhiều thiết bị không có chút liên quan nào tới cơ chế VPN cả.
Ở phần hoàn toàn riêng tư (Customer site - Phía khách hàng) - có hai loại thiết bị: C (Customer devices): là các thiết bị routers, switches bên trong mạng - không cần biết gì hoặc làm gì với bản thân VPN mà chỉ đảm bảo các gói tin mạng chuyển qua CE (Customer Edge devices), CE nằm ở biên của Customer site, kết nối với mạng của nhà cung cấp dịch vụ (Service Provider)
Ở phần chung (Provider site - Phía nhà cung cấp), cũng có hai loại thiết bị: P (Provider devices) là các thiết bị routers, switches bên trong mạng - không cần biết gì hoặc làm gì với VPN mà chỉ đảm bảo các gói tin đi và đến PE (Provider Edge devices), PE là thiết bị nằm ở biên mạng của nhà cung cấp dịch vụ, kết nối trực tiếp với mạng của khách hàng VPN có thể xây dựng dựa trên CE hoặc PE. Tùy thuộc vào điều này, thiết bị CE hoặc PE phải có tính năng hỗ trợ VPN.
Lấy lại ví dụ ở trên, các thiết bị P có thể coi là tàu hỏa, máy bay, các phương tiện vận tải. Các thiết bị PE có thể coi là các hòm thư để người gửi bỏ thư vào tại trước cửa bưu cục. Các thiết bị C có thể coi như giấy, viết, (và bì thư, keo dán - bảo vệ) để tạo thành bức thư. Các thiết bị CE nếu là dạng VPN dựa trên CE thì có thể là hòm thư trước cửa nhà để nhân viên bưu điện tới lấy và bỏ thư.
Vai trò của P, C, PE và CE được biểu diễn trong hình minh hoạ sau:
Hình 1.1: Các thiết bị VPN
1.2.4 Phân loại VPN
VPN thường được phân thành 2 loại: Site-to-Site và Remote Access.
a) Remote Access:
Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
b) Site-to-Site VPN:
Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau:
Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất.
Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng LAN với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.
Hình 1.2: Hai loại mạng riêng ảo thường dùng
1.2.5 Các yêu cầu cơ bản đối với mạng riêng ảo
Yêu cầu cơ bản đối với mạng riêng ảo là: Bảo mật, chất lượng dịch vụ (QoS), tính sẵn sàng và tin cậy, khả năng tương thích, khả năng quản trị.
a) Bảo mật
Mạng riêng ảo phải đảm bảo tính bảo mật cao và toàn diện. Dữ liệu và tài nguyên trong mạng được bảo vệ theo các cách:
- Thực thi kỹ thuật phòng thủ vòng ngoài (Firewall, NAT): Chỉ cho phép các luồng lưu lượng đã được cấp quyền từ các nguồn tin cậy vào mạng.
- Mã hoá: Thực thi các cơ chế mã hoá dữ liệu để đảm bảo tính bí mật, xác thực và toàn vẹn cho dữ liệu khi truyền qua mạng không an toàn. IPSec nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất. Ở đây, không chỉ mã hoá dữ liệu được truyền mà còn xác thực mỗi người dùng và từng gói dữ liệu riêng biệt.
- Xác thực người dùng và các gói dữ liệu: Thiết lập định danh người dùng, quyết định người dùng có được phép truy cấp các tài nguyên trong mạng hay không. Mô hình AAA là một ví dụ điển hình về hệ thống xác thực người dùng toàn diện.
- Quản lý khoá: Để mã hoá dữ liệu, VPN cần phải cung cấp khoá mật mã để tạo ra các đường hầm phiên. Do đó, cần phải tạo ra các khoá, phân phối, cập nhật và làm tươi chúng.
b) Chất lượng dịch vụ (QoS)
- Đảm bảo việc truyền dữ liệu trong suốt, không bị trễ, hạn chế lỗi ở mức thấp nhất.
c) Tính sẵn sàng và tin cậy
- Thời gian người dùng có thể truy cập được vào mạng thường phụ thuộc vào ISP và được đảm bảo bằng hợp đồng cung cấp dịch vụ.
- Dữ liệu được phân phối đến người dùng trong mọi hoàn cảnh.
d) Khả năng quản trị:
- Phải quản trị được toàn bộ các hoạt động và tài nguyên trong mạng
- Giám sát trạng thái thời gian thực, sự thực thi của VPN
- ISP phải quản trị và kiểm soát được những phần cơ sở hạ tầng của họ.
e) Khả
Các file đính kèm theo tài liệu này:
- Giải pháp VPN an toàn cho mạng sử dụng FW ChecK Point.docx