Giải pháp VPN an toàn cho mạng sử dụng FW ChecK Point

nh 3.12: Từ xa tới gateway        90 Hình 4.1: Mô hình triển khai Site to Site VPN        96 Hình 4.2: Mô hình triển khai Client to Site VPN (Remote Access)        98 Hình 4.3: Mô hình triển khai phần mềm CheckPoint VPN-1        98 Hình 4.4: Đăng nhập vào SmartCenter thông qua SmartDashboard        100 Hình 4.5: Giao diện SmartDashboard        100 Hình 4.6: Định nghĩa mạng LAN_S1        101 Hình 4.7: Định nghĩa mạng DMZ_HN        101 Hình 4.8: Định nghĩa node cho Web Server        102 Hình 4.9: Định nghĩa node mạng cho File Server        102 Hình 4.10: Định nghĩa node mạng cho Mail Server        102 Hình 4.11: VPN phải được chọn trong thuộc tính của tường lửa fw-head        103 Hình 4.12: Xác định VPN Domain        104 Hình 4.13: Chọn một cộng đồng VPN        104 Hình 4.14: Định nghĩa đối tượng mạng của đối tác (LAN_HCM)        105 Hình 4.15: Tạo đối tượng tường lửa của đối tác        106 Hình 4.16: Thuộc tính của tường lửa đối tác        106 Hình 4.17: Xác định VPN Domain cho tường lửa đối tác        107 Hình 4.18: Đưa fw-hcm vào cộng đồng VPN        107 Hình 4.19: Cấu hình cộng đồng VPN Site to Site        108 Hình 4.20: Sử dụng Shared Secret để xác thực        108 Hình 4.21: Tập luật VPN Site to Site hoàn chỉnh tại fw-head        109 Hình 4.22: Xác định kết nối VPN cho luật IKE VPN Rule        109 Hình 4.23: Cài đặt chính sách cho tường lửa fw-head        110 Hình 4.24: Cài đặt chính sách thành công        110 Hình 4.25: Tập luật VPN Site to Site cài đặt trên fw-hcm        111 Hình 4.26: Tạo User kết nối từ xa        111 Hình 4.27: Login Name        112 Hình 4.28: Authentication Scheme        112 Hình 4.29: Tạo nhóm người dùng VPN-User        113 Hình 4.30: Thêm fw- head vào cộng đồng RemoteAccess        114 Hình 4.31: Add nhóm người dùng VPN-User vào cộng đồng VPN        114 Hình 4.32: Visitor Mode Configuration        115 Hình 4.33: Clientless VPN        115 Hình 4.34: SSL Clients        116 Hình 4.35: Định nghĩa dải mạng cho client khi truy cập vào        116 Hình 2.36: Set domain for Remote Access Community        117 Hình 4.37: Chọn LAN_S1        117 Hình 4.38: Xác nhận domain LAN_S1 cho Remote Access Community        118 Hình 4.39: Remote Access Rule        118 Hình 4.40: Add Community to rule        119 Hình 4.41a: Cài đặt chính sách an toàn        119 Hình 4.41b: Cài đặt chính sách thành công        120 Hình 4.42: Kiểm tra các kết nối thông qua SmartView Monitor        120 Hình 4.43: Ping từ host 2 đến host 1        121 Hình 4.44: Tạo các nhóm người dùng trên File Server        121 Hình 4.45: Các thư mục chia sẻ trên File Server        122 Hình 4.46: Từ host 2 truy cập vào File Server với tài khoản TPKeToan        122 Hình 4.47: Tài nguyên chia sẻ trên File Server        123 Hình 4.48: TPKeToan sửa đổi file trên thư mục Ke Toan        123 Hình 4.49: TPKeToan không thể sửa đổi file trên thư mục Nhan Su        124 Hình 4.50: Thử kết nối thông qua trình duyệt web        125 Hình 4.51: Đăng nhập bằng tài khoản Client1        125 Hình 4.52: Xác thực kết nối        126 Hình 4.53: User kết nối thành công        126 Hình 4.54: Kiểm tra địa chỉ được cấp phát thuộc dải mạng VPN-Client        127 Hình 4.55: Client1 truy cập vào File Server với tài khoản TPNhanSu        127 Hình PL1.1: Danh sách driver        130 Hình PL1.2: Loại hệ thống cài đặt        131 Hình PL1.3: Chọn Networking Device        132 Hình PL1.4: Cấu hình giao diện mạng        132 Hình PL1.5: Cấu hình cổng console https        133 Hình PL2.1: Truy cập vào FW_S1 qua giao diện Web        135 Hình PL2.2: Cấu hình Domain        136 Hình PL2.3: Cấu hình các kết nối mạng        136 Hình PL2.4: Cấu hình định tuyến cho tường lửa FW_S1        137 Hình PL2.5: Cấu hình thời gian        137 Hình PL2.6: Cấu hình người quản trị        138 Hình PL2.7: Cấu hình GUI Client        138 Hình PL2.8: Cài đặt các sản phẩm VPN-1 Power và SmartCenter        139 Hình PL2.9: Khởi động lại máy FW_S1        139 Hình PL3.1: Màn hình bắt đầu quá trình cài đặt Console client        140 Hình PL3.2: Chấp nhận bản quyền        141 Hình PL3.3: Loại sản phẩm cài đặt        141 Hình PL3.4: Cài đặt mới        142 Hình PL3.5: Chọn SmartConsole        142 Hình PL3.6: Thông báo sản phẩm được chọn        143 Hình PL3.7: Chọn thư mục cài đặt        143 Hình PL3.8: Chọn các thành phần client sẽ cài đặt        144 Hình PL3.9: Hoàn tất cài đặt SmartConsole NGX R65        144 DANH MỤC CÁC TỪ VIẾT TẮT AAA Authentication – Athorization – Accounting AH Authentication Header ATM Asynchronous Transfer Mode CE Customer Edge devices CEF Cisco Express Forwarding CHAP Challenge Handshake Authentication Protocol CID Call Identification DMVPN Dynamic Multipoint VPN DMZ Demilitarized Zone EAP Extensible Authentication Protocol ESP Encapsulating Security Payload FR Frame Relay FTP File Transfer Protocol GRE Generic Route Encapsulation HTTP HyperText Transfer Protocol ICA Internal Certificate Authority ICMP Internet Control Message Protocol IETF Internet Engineering Task Force IKE Internet Key Exchange IPSec Internet Protocol Security ISAKMP/Oakley Internet Security Association and Key Management Protocol/Oakley ISDN Integrated Services Digital Network ISP Internet Service Provider L2F Layer 2 Forwarding L2TP Layer 2 Tunneling Protocol LAC L2TP Access Concentrator LAN Local Area Network LCP L2TP Control Protocol LNS L2TP Network Server MPLS Multi Protocol Label Switching NAS Network Access Server NAT Network Address Translation NFS Network File System NFS Network File System OSI Open Systems Interconnection PAP Password Authentication Protocol PDA Personal Digital Assistants PE Provider Edge devices POP Post Office Protocol PPP Point to Point Protocol PPTP Point to Point Tunneling Protocol PSTN Public Switched Telephone Network QoS Quality of Service RADIUS Remote Authentication Dial-In User Service RFC Requests for Comments SA Security Association SMLI Stateful Multi-Layer Inspection SMLI Stateful Multi-Layer Inspection SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SPAP  Shiva Password Authentication Protocol SPI Security Parameter Index SSL Secure Sockets Layer TCP Transmission Control Protocol UDP User Datagram Protocol VoIP Voice over IP VPN Virtual Private Network VPNC VPN Consortium VRF Virtual Routing and Forwarding WAN Wide Area Network LỜI NÓI ĐẦU Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó. Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tôi xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng. Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”. Bố cục bài báo cáo này gồm 4 chương như sau: - Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng. - Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN. - Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN. - Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động. Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tôi thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. Tôi rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc. Tôi xin cảm ơn tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tôi trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tôi thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin cảm ơn bố mẹ, gia đình và bạn bè tôi đã cổ vũ, động viên rất nhiều để tôi có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình. Đặc biệt, tôi xin chân thành cảm ơn thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tôi hoàn thành Đồ án Tốt nghiệp này. Tôi xin chân thành cảm ơn!! Hà Nội, ngày 30/05/2009 CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO 1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO 1.1.1 Tính cần thiết của mạng riêng ảo Với sự lớn mạnh bùng nổ của mạng máy tính và người dùng mạng, các nhà quản lý Công nghệ thông tin (CNTT) phải đối mặt với nhiệm vụ củng cố hợp nhất những mạng đang có, các site ở xa, và những người dùng từ xa thành một cấu trúc đơn nhất an toàn. Các cơ quan chi nhánh đòi hỏi kết nối với các chi nhánh khác và với trụ sở chính. Người dùng từ xa yêu cầu nâng cao đặc điểm kết nối để đối phó với những môi trường mạng thay đổi hiện nay. Những thoả thuận với các đối tác yêu cầu kết nối doanh nghiệp với doanh nghiệp bằng các mạng bên ngoài (External Networks). Đặc biệt, sự hợp nhất xảy ra cần sử dụng cơ sở hạ tầng sẵn có. Điều đó có nghĩa là kết nối được khởi tạo thông qua mạng Internet giống như sử dụng các mạng Leased lines chuyên dụng. Các site và người dùng từ xa phải được hợp nhất trong khi phải duy trì ở cùng một mức độ an ninh cao. Một lần kết nối được thiết lập, các kết nối phải được đảm bảo an toàn như cũ, cung cấp mức độ cao về tính riêng tư, xác thực, và toàn vẹn trong khi giữ được giá thành thấp. Thêm nữa, chỉ những luồng dữ liệu hợp pháp mới được phép vào mạng bên trong. Những luồng dữ liệu có hại có thể nhận biết được phải được kiểm tra về nội dung. Trong mạng bên trong (Internal network) những mức khác nhau về truy cập cũng phải được cài đặt để những dữ liệu nhạy cảm chỉ được sẵn sàng với những người dùng hợp pháp, đúng quyền. Công nghệ mạng riêng ảo (Virtual Private Network - VPN) sử dụng cơ sở hạ tầng sẵn có (Internet) như một cách để xây dựng và nâng cao các kết nối sẵn có bằng một cách an toàn nào đó. Dựa vào những giao thức an toàn Internet chuẩn, sự thực thi VPN đảm bảo các liên kết an toàn giữa các kiểu đặc biệt của các nốt mạng: Như module VPN-1 Power của CheckPoint. Site to Site VPN đảm bảo các liên kết an toàn giữa các gateway. Remote Access VPN đảm bảo liên kết an toàn giữa các gateway và các client truy cập từ xa. Việc truyền thông giữa các bên cần một nền móng kết nối không chỉ nhanh, có khả năng mở rộng và phục hồi nhưng cũng cung cấp: Tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính xác thực (Authentication). - Tính bí mật: Chỉ các bên tham gia truyền thông mới có thể đọc được thông tin riêng tư trao đổi giữa chúng. - Tính xác thực: Các bên truyền thông phải chắc chắn rằng họ đang kết nối với bên mong muốn. - Tính toàn vẹn: Dữ liệu nhạy cảm truyền qua giữa các bên truyền thông không bị thay đổi, và điều đó có thể được chứng thực với một phép kiểm tra tính toàn vẹn. 1.1.2 Mục đích của mạng riêng ảo - Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng. - Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả. - Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. - Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa - Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, … - Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu. 1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kỹ thuật. Với sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng thành viên lớn với kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau. Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu sản phẩm và dịch vụ bằng các Website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng Internet. Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hoá, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng Internet, từ đó có thể thăng lợi nhuận của tổ chức. Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua mạng trung gian công cộng không an toàn như mạng Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động cơ cho sự phát triển mạnh mẽ của VPN như ngày nay. 1.2.1 Sự phát triển của các loại VPN VPN không phải là kĩ thuật mới. Mô hình VPN đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay. Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WAN, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích  thông qua hệ thống chuyển mạch chia sẻ công cộng. Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật  Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn. Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa  trên cơ sở kĩ  thuật ATM và FR. Hai kĩ  thuật này dựa  trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN. Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên  90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM. 1.2.2 Khái niệm mạng riêng ảo - Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy cập. - Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng. Nói một cách khác, VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức tạo đường hầm và các phương thức an toàn. VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng và các đối tác sử dụng chung một mạng công cộng. Một mạng riêng ảo còn cho phép chia sẻ các nguồn dữ liệu chung được bảo vệ, nó sử dụng việc mã hoá dữ liệu để ngăn ngừa người dùng không được phép truy cập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi. Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Xét về ngữ cảnh, VPN định đường hầm che dấu giao thức lớp mạng nguyên thuỷ bằng cách mã hoá gói dữ liệu và chứa gói đã mã hoá vào trong một vỏ bọc IP. Vỏ bọc IP này thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo mật thông qua mạng công cộng. Tại bên nhận, sau khi nhận gói này sẽ phân phối đến thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến. VPN còn cung cấp các thoả thuận về chất lượng dịch vụ (QoS). Thoả thuận này được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng. Ngoài ra, các thoả thuận có thể kèm theo một sự chỉ định cho giới hạn của băng thông hiệu dụng cho mỗi người dùng. Qua đó có thể định nghĩa VPN một cách ngắn gọn thông qua công thức sau: VPN = Định đường hầm + Bảo mật + Các thoả thuận về QoS. Tóm lại, ta có thể nói để dễ hình dung, giao dịch trên mạng VPN giống như hệ thống chuyển thư tín của bưu điện. Thư tín cũng đi trên đường quốc lộ, đường hàng không như mọi hàng hóa khác, nhưng nằm trong các hộp có cung cách đóng gói theo đúng quy định của ngành bưu điện và đi đúng từ bưu cục gửi tới bưu cục đích. Tại bưu cục đích, chúng sẽ được dỡ khỏi hộp, và nếu cần, sẽ được đóng vào hộp khác để chuyển tiếp. Người ngoài nhìn các hộp thì nhiều lắm chỉ biết nó gửi từ đâu tới đâu, không thể biết trong đó nó có thông tin gì. 1.2.3 Các thiết bị VPN Nói tới VPN là cơ chế tạo mạng riêng trong/trên nền hệ thống mạng chung. Để tạo ra VPN đó, người ta sử dụng các thiết bị VPN. Tuy vậy, trong hệ thống thiết bị VPN đó có nhiều thiết bị không có chút liên quan nào tới cơ chế VPN cả. Ở phần hoàn toàn riêng tư (Customer site - Phía khách hàng) - có hai loại thiết bị: C (Customer devices): là các thiết bị routers, switches bên trong mạng - không cần biết gì hoặc làm gì với bản thân VPN mà chỉ đảm bảo các gói tin mạng chuyển qua CE (Customer Edge devices), CE nằm ở biên của Customer site, kết nối với mạng của nhà cung cấp dịch vụ (Service Provider) Ở phần chung (Provider site - Phía nhà cung cấp), cũng có hai loại thiết bị: P (Provider devices) là các thiết bị routers, switches bên trong mạng - không cần biết gì hoặc làm gì với VPN mà chỉ đảm bảo các gói tin đi và đến PE (Provider Edge devices), PE là thiết bị nằm ở biên mạng của nhà cung cấp dịch vụ, kết nối trực tiếp với mạng của khách hàng VPN có thể xây dựng dựa trên CE hoặc PE. Tùy thuộc vào điều này, thiết bị CE hoặc PE phải có tính năng hỗ trợ VPN. Lấy lại ví dụ ở trên, các thiết bị P có thể coi là tàu hỏa, máy bay, các phương tiện vận tải. Các thiết bị PE có thể coi là các hòm thư để người gửi bỏ thư vào tại trước cửa bưu cục. Các thiết bị C có thể coi như giấy, viết, (và bì thư, keo dán - bảo vệ) để tạo thành bức thư. Các thiết bị CE nếu là dạng VPN dựa trên CE thì có thể là hòm thư trước cửa nhà để nhân viên bưu điện tới lấy và bỏ thư. Vai trò của P, C, PE và CE được biểu diễn trong hình minh hoạ sau: Hình 1.1: Các thiết bị VPN 1.2.4 Phân loại VPN VPN thường được phân thành 2 loại: Site-to-Site và Remote Access. a) Remote Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party) b) Site-to-Site VPN: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau: Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất. Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng LAN với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên. Hình 1.2: Hai loại mạng riêng ảo thường dùng 1.2.5 Các yêu cầu cơ bản đối với mạng riêng ảo Yêu cầu cơ bản đối với mạng riêng ảo là: Bảo mật, chất lượng dịch vụ (QoS), tính sẵn sàng và tin cậy, khả năng tương thích, khả năng quản trị. a) Bảo mật Mạng riêng ảo phải đảm bảo tính bảo mật cao và toàn diện. Dữ liệu và tài nguyên trong mạng được bảo vệ theo các cách: - Thực thi kỹ thuật phòng thủ vòng ngoài (Firewall, NAT): Chỉ cho phép các luồng lưu lượng đã được cấp quyền từ các nguồn tin cậy vào mạng. - Mã hoá: Thực thi các cơ chế mã hoá dữ liệu để đảm bảo tính bí mật, xác thực và toàn vẹn cho dữ liệu khi truyền qua mạng không an toàn. IPSec nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất. Ở đây, không chỉ mã hoá dữ liệu được truyền mà còn xác thực mỗi người dùng và từng gói dữ liệu riêng biệt. - Xác thực người dùng và các gói dữ liệu: Thiết lập định danh người dùng, quyết định người dùng có được phép truy cấp các tài nguyên trong mạng hay không. Mô hình AAA là một ví dụ điển hình về hệ thống xác thực người dùng toàn diện. - Quản lý khoá: Để mã hoá dữ liệu, VPN cần phải cung cấp khoá mật mã để tạo ra các đường hầm phiên. Do đó, cần phải tạo ra các khoá, phân phối, cập nhật và làm tươi chúng. b) Chất lượng dịch vụ (QoS) - Đảm bảo việc truyền dữ liệu trong suốt, không bị trễ, hạn chế lỗi ở mức thấp nhất. c) Tính sẵn sàng và tin cậy - Thời gian người dùng có thể truy cập được vào mạng thường phụ thuộc vào ISP và được đảm bảo bằng hợp đồng cung cấp dịch vụ. - Dữ liệu được phân phối đến người dùng trong mọi hoàn cảnh. d) Khả năng quản trị: - Phải quản trị được toàn bộ các hoạt động và tài nguyên trong mạng - Giám sát trạng thái thời gian thực, sự thực thi của VPN - ISP phải quản trị và kiểm soát được những phần cơ sở hạ tầng của họ. e) Khả