BÁO CÁO NGHIÊN CỨU KHOA HỌC NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN Sinh viên thực hiện: • Bạch Quốc Huy Mạng riêng ảo VPN Khái Khái quát quát về VPN VPN VPN VPN và các vấn vấn đề đề an an toàn toàn bảo bảo mật mật trên internet internet VPN Đường Đường hầm hầm và mã mã hóa hóa Các Các dạng dạng kết kết nối nối VPN VPN Các Các giao giao thức thức kết kết nối nối VPN VPN Khái niệm VPN VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa 1.1 Ưu điểm VPN Giảm chi phí vận hành quản lý Giảm chi phí thiết lập Nâng cấp dễ dàng Hiệu suất băng thông VPN Nâng cao kết nối Bảo mật 1.2 Nhược điểm VPN • Phụ thuộc nhiều vào chất lượng mạng Internet : tải hay nghẽn mạng làm ảnh hưởng xấu chất lượng truyền tin máy mạng • Thiếu giao thức kế thừa hỗ trợ 1.3 Chức VPN VPN cung cấp chức chính: • Sự tin cậy bảo mật (confidentiality): Người gửi mã hoá gói liệu trước truyền chúng ngang qua mạng Bằng cách này, không truy nhập thông tin mà không phép, mà có lấy thông tin đọc thông tin mã hoá • Tính toàn vẹn liệu (Data Integrity): Người nhận kiểm tra liệu truyền qua mạng Internet mà thay đổi • Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin • Điều khiển truy nhập (Access Control): VPN phân Mạng riêng ảo VPN ứng dụng hạ tầng Public Key VPN Khái Khái quát về VPN VPN VPN vấn đề an toàn bảo mật internet VPN vấn đề an toàn bảo mật Công nghệ sử dụng mạng riêng ảo VPN tạo đường hầm (tunnel), mã hoá chứng thực liệu hai đầu kết nối Các thông tin liệu mã hoá chứng thực trước lưu chuyển đường hầm riêng biệt, qua tránh cặp mắt tò mò muốn đánh cắp thông tin 2.1 Các kiểu an toàn Sự an toàn hệ thống mạng phụ thuộc vào tất thành phần Có ba kiểu khác an toàn: An toàn phần cứng, An toàn thông tin An toàn quản trị An toàn phần cứng: Sự an toàn mặt vật lý, bảo vệ phần cứng hệ thống khỏi mối đe doạ vật lý bên An toàn quản trị: An toàn quản trị liên quan đến tất mối đe doạ mà người làm tổn hại đến hệ thống mạng Những mối đe doạ xuất phát từ bên lẫn bên tổ chức, doanh nghiệp An toàn thông tin: An toàn thông tin nghĩa thông tin bảo vệ, hệ thống dịch vụ có khả chống lại tai hoạ, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ Hệ thống có đặc điểm sau không an toàn:  Các thông tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thông tin bị rò rỉ) Mạng riêng ảo VPN ứng dụng hạ tầng Public Key Khái Khái quát về VPN VPN VPN VPN vấn đề an toàn bảo mật mật internet Đường Đường hầm hầm mã hóa hóa Ưu nhược điểm Remote Access VPN • Ưu điểm Remote Access VPN: VPN truy nhập từ xa không cần đến hỗ trợ quản trị mạng kết nối từ xa nhà cung cấp dịch vụ Internet đảm nhiệm Giảm giá thành chi phí kết nối với khoảng cách xa kết nối VPN truy nhập từ xa kết nối Internet VPN cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu • Nhược điểm Remote Access VPN: Remote Access VPN không đảm bảo chất lượng dịch vụ (QoS) Khả liệu cao, thêm phân đoạn gói liệu bị thất thoát Do độ phức tạp thuật toán mã hoá nên gây khó khăn cho trình xác nhận 4.2 Site-to-Site VPN (LAN-to-LAN) Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin loại gói tin mà bạn mã hóa thông tin kết nối máy chủ với máy khách Nhưng IPSec chế Tunnel, thay dùng GRE, lại đóng vai trò giao thức mã hóa IPSec hoạt động tốt hai loại mạng VPN truy cập từ xa điểm- nối-điểm Tất nhiên, phải hỗ trợ hai giao diện Tunnel 4.2.1 Intranet VPN Intranet VPN sữ dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corperate Intranet (backbone router) sử dụng campus router (Hình a) Theo mô hình tốn chi phí phải sử dụng router để thiết lập mạng Ðể giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp, điều lượng chi phí đáng kể việc triển khai mạng Intranet (Hình b) Hình a Hình b 4.2.1 Intranet VPN (TT) • Những ưu điểm giải pháp bao gồm: Các mạng cục diện rộng thiết lập thông qua hay nhiều nhà cung cấp dịch vụ Internet Giảm nhân lực hỗ trợ kỹ thuật mạng chi nhánh xa Do kết nối trung gian thực thông qua Internet nên dễ dàng thiết lập thêm liên kết ngang hàng Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao • Tuy nhiên, giải pháp Intranet VPN có nhược điểm định như: Do liệu truyền qua mạng công cộng (mặc dù mã hóa) nên mối đe dọa mức độ bảo mật liệu chất lượng dịch vụ (QoS) Khả gói liệu bị thất thoát truyền cao Trong trường hợp cần truyền khối lượng lớn liệu đa phương 4.2.2 Extranet VPN (VPN mở rộng) Giải pháp VPN mở rộng cung cấp khả điều khiển truy nhập tới nguồn tài nguyên mạng cần thiết để mở rộng tới đối tượng kinh doanh Sự khác VPN nội VPN mở rộng truy nhập mạng công nhận hai đầu cuối VPN 4.2.2 Extranet VPN (VPN mở rộng) (TT) • Một số ưu điểm Extranet: • Do hoạt động môi trường Internet, bạn lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tuỳ theo nhu cầu tổ chức • Bởi phần Internet-connectivity bảo trì nhà cung cấp (ISP) nên giảm chi phí bảo trì thuê nhân viên bảo trì • Dễ dàng triển khai, quản lý chỉnh sữa thông tin • Những điểm bất lợi Extranet: • Sự đe dọa tính an toàn, bị công từ chối dịch vụ tồn • Tăng thêm nguy hiểm xâm nhập tổ chức Extranet • Do dựa Internet nên liệu loại high-end data việc trao đổi diễn chậm chạp • Do dựa Internet, QoS không bảo đảm thường Mạng riêng ảo VPN ứng dụng hạ tầng Public Key Khái Khái quát quát về VPN VPN VPN VPN và các vấn vấn đề đề an an toàn toàn bảo bảo mật mật trên internet internet VPN Đường Đường hầm hầm và mã mã hóa hóa Các Các dạng dạng kết kết nối nối VPN VPN Các Các giao thức thức kết kết nối nối VPN VPN 5.Các giao thức kết nối VPN Các giao thức đường hầm tảng công nghệ VPN, có nhiều giao thức đường hầm khác nhau, việc sử dụng giao thức liên quan đến phương pháp xác thực mã hóa kèm Như giới thiệu trên, giao thức đường hầm phổ biến là:  PPTP - Point-to-Point Tunneling Protocol  L2TP - Layer Tunneling Protocol  SSTP – Secure Socket Tunneling Protocol 5.1 Giao thức PPTP (Point-to-Point Tunneling Protocol) PPTP (Point-to-Point Tunneling Protocol) VPN là công nghệ VPN đơn giản nhất, sử dụng kết nối Internet cung cấp ISP để tạo tunnel bảo mật client server client client. PPTP là ứng dụng dựa hệ thống VPN, bạn biết Windows tích hợp sẵn chức PPTP bên trong, tất cần thiết để kết nối tới hệ thống VPN phần mềm hỗ trợ VPN client Mặc dù PPTP số chế bảo mật để đảm bảo luồng thông tin, liệu (Point to Point Protocol đảm nhận việc với PPTP), Windows, mặt tiến hành xác nhận mã hóa với PPTP để mã hóa package trước đó.  Sơ đồ đóng gói liệu PPTP 5.2 Giao thức L2TP - Layer Tunneling Protocol Là chuẩn giao thức IETF (IETF-The Internet Engineering Task Force) đề xuất, L2TP tích hợp hai điểm mạnh truy nhập từ xa L2F(Layer Forwarding Cisco System) tính kết nối nhanh Point - to Point Microsoft (Point to Point Tunnling Protocol Microsoft) Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm cho frame sử dụng giao thức PPP truyền liệu đường hầm 5.3 Giao thức SSTP – Secure Socket Tunneling Protocol SSTP (Secure Socket Tunneling Protocol) dạng kết nối VPN Windows Vista Windows Server 2008 SSTP sử dụng kết nối HTTP mã hóa SSL để thiết lập kết nối VPN đến VPN gateway SSTP giao thức an toàn thông tin quan trọng người dùng không gửi có “đường hầm” SSL an toàn thiết lập với VPN gateway SSTP biết đến với tư cách PPP ( Point-topoint Protocol) SSL, có nghĩa bạn sử dụng chế  chứng thực PPP EAP để bảo đảm cho kết nối SSTP an toàn Kết Luận • VPN đà phát triển việt nam nói riêng giới nói chung kéo theo nhiều giải pháp để tạo kết nối VPN đưa phần cứng phần mềm từ nhà sản xuất Hi vọng tương lai nhà sản xuất ngày đưa nhiều giải pháp để tạo mạng riêng ảo với chi phí thấp đơn giản cho việc vận hành vào bảo trì người không chuyên IT hoàn toàn tạo mạng riêng ảo để phục vụ nhu cầu kết nối cá nhân TÀI LIỆU THAM KHẢO • [1] TCP/IP protocol suite Behrouz A Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill • [2] Cải tiến giao thức Internet phiên (IPv6) Tạp chí Bưu Chính Viễn Thông- kỳ tháng 12/2003 • [3] Công nghệ chuyển mạch IP Chủ biên:TS.Lê Hữu Lập, Biên soạn: KS Hoàng Trọng Minh Học viện CNBCVT 11/2000 • [4] Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc • [5] Understanding Virtual Private Networking Copyrignt © 2001, ADTRAN, Inc • [6] VPN Technologies: Sefinitions and Requirements Copỷignt © 2002, VPN Consortium • [7] CCSP Cisco Secure VPN Exam Certification Guide John F Roland and Mark J Newcomb Copyright © 2003 Cisco Systems, Inc • [8] IPSec Copyright © 1998, Cisco Systems, Inc • [9] Security Protocols Overview Copyright © 1999, RSA Data Security, Inc • [10] Public Key Infranstructure Copyright © 2001, SecGo Solution Oy • [11] Secure Network Communication (part I, II, III, IV) Copyright © 2002, Zurcher Hochschule Winterthur XIN CHÂN THÀNH CẢM ƠN SỰ CHÚ Ý THEO DÕI CỦA QUÝ THẦY/ CÔ [...]... được phép Mạng riêng ảo VPN và ứng dụng hạ tầng Public Key 1 Khái Khái quát quát về về VPN VPN 2 VPN VPN và và các các vấn vấn đề đề an an toàn toàn bảo bảo mật mật trên trên internet internet VPN 3 Đường Đường hầm hầm và và mã mã hóa hóa 4 Các Các dạng dạng kết kết nối nối VPN VPN 4 Các dạng kết nối VPN • VPN truy cập từ xa (Remote acccess VPN) • VPN điểm nối điểm (Site – to – site VPN) 4.1 VPN truy... riêng ảo VPN và ứng dụng hạ tầng Public Key 1 Khái Khái quát quát về về VPN VPN 2 VPN VPN và và các các vấn vấn đề đề an an toàn toàn bảo bảo mật mật trên trên internet internet VPN 3 Đường Đường hầm hầm và và mã mã hóa hóa 4 Các Các dạng dạng kết kết nối nối VPN VPN 5 Các Các giao thức thức kết kết nối nối VPN VPN 5.Các giao thức kết nối VPN Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều... mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS) Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương 4.2.2 Extranet VPN (VPN mở rộng) Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khác nhau giữa VPN nội bộ và VPN mở... access VPN) Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để truy cập vào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất là một server) Vì vậy, giải pháp này thường được gọi là client/server Trong giải pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel về mạng trung tâm của họ Ưu và nhược điểm của Remote Access VPN. .. Internet được cung cấp bởi ISP để tạo tunnel bảo mật giữa client và server hoặc client và client. PPTP là ứng dụng dựa trên hệ thống VPN, có thể các bạn cũng biết rằng Windows đã tích hợp sẵn chức năng PPTP bên trong, và tất cả những gì cần thiết để kết nối tới hệ thống VPN chỉ là 1 phần mềm hỗ trợ VPN client Mặc dù PPTP không có một số cơ chế bảo mật để đảm bảo luồng thông tin, dữ liệu (Point to Point... với VPN gateway SSTP cũng được biết đến với tư cách là PPP ( Point-topoint Protocol) trên SSL, chính vì thế nó cũng có nghĩa là bạn có thể sử dụng các cơ chế  chứng thực PPP và EAP để bảo đảm cho các kết nối SSTP được an toàn hơn Kết Luận • VPN đang trên đà phát triển ở việt nam nói riêng và thế giới nói chung kéo theo đó rất nhiều giải pháp để tạo một kết nối VPN được đưa ra cả về phần cứng và phần... sản xuất Hi vọng trong tương lai các nhà sản xuất sẽ ngày càng đưa ra nhiều giải pháp để tạo ra các mạng riêng ảo với chi phí thấp đơn giản cho việc vận hành vào bảo trì khi đó một người không chuyên về IT cũng hoàn toàn có thể tạo ra một mạng riêng ảo để phục vụ nhu cầu kết nối cá nhân TÀI LIỆU THAM KHẢO • [1] TCP/IP protocol suite Behrouz A Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill • [2]... nhập mạng được công nhận ở một trong hai đầu cuối của VPN 4.2.2 Extranet VPN (VPN mở rộng) (TT) • Một số ưu điểm của Extranet: • Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức • Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo... dàng triển khai, quản lý và chỉnh sữa thông tin • Những điểm bất lợi của Extranet: • Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại • Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet • Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp • Do dựa trên Internet, QoS cũng không được bảo đảm thường Mạng riêng ảo VPN. .. tốn chi phí do phải sử dụng 2 router để thiết lập được mạng Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet (Hình b) Hình a Hình b 4.2.1 Intranet VPN (TT) • Những ưu điểm chính của giải pháp này bao gồm: Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông