A. TỔNG QUAN VỀ VPN I. GIỚI THIỆU: Bạn làm việc tại một công ty lớn với nhiều chi nhánh cách xa trụ sở chính? Làm sao để nhân viên ở chi nhánh có thể cập nhật thông tin nhanh chóng và truyền tải dữ liệu với nhau một cách kịp thời? Có thể bạn đang liên tưởng đến một mạng nội bộ cho công ty, nhưng vấn đề về chi phí, vận hành, bảo dưỡng … gặp nhiều khó khăn. Từ đó mạng riêng ảo VPN (Virtual Private Network) ra đời. Giải pháp Mạng riêng ảo VPN (Virtual Private Network) cho phép kết nối nhiều chi nhánh tạo thành một mạng cục bộ thông qua đường truyền Internet. Việc chia sẻ dữ liệu, truyền nhận thông tin giữa các chi nhánh bây giờ đã không còn phụ thuộc vào khoảng cách địa lý. Hiện nay có rất nhiều các thiết bị đầu cuối của nhiều hang nổi tiếng và đáng tin cậy để bạn dễ dàng chọn lựa và thiết lập một mạng riêng ảo (VPN) cho công ty mình, một số thiết bị điển hình như: Cisco, Netgear, NexG… Có hai giải pháp để cung cấp kết nối an toàn giữa các mạng riêng và cho phép người dùng truy cập từ xa. 1. Kết nối quay số hoặc kết nối kênh thuê riêng: Kết nối quay số hoặc kết nối kênh thuê riêng tạo một kết nối mạng vật lý đến một cổng trên máy chủ kết nối từ xa trong một mạng riêng. Tuy nhiên, sử dụng kết nối quay số hoặc kết nối kênh thuê riêng để cung cấp kết nối mạng tốn kém hơn so với chi phí sử dụng để cung cấp một kết nối VPN. 2. Kết nối VPN: Kết nối VPN vừa dùng Giao thức Đường hầm Điểm-Điểm (PPTP) lẫn Giao thức Đường hầm hai lớp / Bảo mật Giao thức Internet (L2TP/IPSec) thông qua qua một mạng trung gian như là Internet. Bằng cách sử dụng Internet như là một kết nối tầm trung, VPN tiết kiệm chi phí cho dịch vụ thoại đường dài và chi phí hạ tầng liên quan hơn là khi sử dụng kết nối quay số hoặc kết nối kênh thuê riêng. Một giải pháp VPN bao gồm các công nghệ bảo mật như là mã hóa dữ liệu, chứng thực, ủy quyền và Điều khiển Duy trì Kết nối Mạng. II. TỔNG QUAN VPN: VPN là phần mở rộng của mạng riêng (Private Intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic riêng (Private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa hai điểm đầu cuối như là giao thức thông tin điểm-điểm (point-to-point). Máy chủ truy cập từ xa trả lời cuộc gọi, xác thực người gọi và truyền tải dữ liệu giữa máy khách VPN và mạng riêng của công ty. Trang 1 Có hai loại kết nối VPN: • VPN truy cập từ xa còn được gọi là mạng Quay số riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. Kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc Nhân viên di động là loại VPN truy cập từ xa). Trang 2 • VPN điểm-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN Intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. VPN kết nối hai máy khách thông qua Internet I. TÍNH CHẤT KẾT NỐI CỦA VPN: Tính chất của kết nối nền PPTP VPN và nền 2TP/IPSec VPN mô tả như sau: 1. Đóng gói: Công nghệ VPN cung cấp một cách thức đóng gói dữ liệu với một nhãn cho phép dữ liệu được truyền qua mạng. 2. Xác thực: Có ba loại xác thực cho kết nối VPN: a. Xác thực người dùng: Dành cho kết nối VPN đã được xác thực. Máy chủ VPN xác thực các máy khách thực hiện nối vào mà kiểm tra các máy khách đã được cấp phép chưa. Và ngược lại, máy khách VPN cũng xác thực máy chủ VPN, cung cấp sự bảo vệ chống lại máy chủ VPN giả dạng. b. Xác thực máy tính với L2TP/IPSec: Bằng việc kiểm tra xác thực mức độ máy tính với IPSec, kết nối L2TP/IPSec cũng kiểm tra máy khách kết nối từ xa có đáng tin không. c. Xác thực dữ liệu và tính toàn vẹn: Để kiểm tra dữ liệu được gửi trên kết nối VPN L2TP/IPSec bắt đầu tại điểm kết thúc của kết nối và không được hiệu chỉnh. Trang 3 3. Mã hóa dữ liệu: Dữ liệu có thể được mã hóa cho việc bảo mật giữa các điểm cuối của kết nối VPN. Mã hóa dữ liệu nên dùng cho các kết nối VPN khi các dữ liệu riêng được truyền qua một mạng công cộng như Internet. Dữ liệu không mã hóa có thể bị tấn công bởi những can thiệp trái phép. Trong kết nối VPN, định tuyến và truy cập từ xa dùng mã hóa Microsoft Điểm – Điểm (MPPE) với PTPP và mã hóa IPSec với L2TP. 4. Định địa chỉ và tên vị trí server: Khi một server VPN được cấu hình, nó tạo ra một giao diện ảo - giao diện này sẽ giới thiệu tất cả các kết nối VPN đã được thiết lập. Mỗi một máy khách VPN kết nối tới server sẽ tạo một giao diện ảo trên máy khách mô tả kết nối này. Kết nối giữa giao diện ảo của máy khách và máy chủ gọi là kết nối VPN Điểm – Điểm (Point-to- Point). Giao diện ảo trên máy khách và máy chủ phải được định địa chỉ. Việc phân bố địa chỉ sẽ do máy chủ VPN thực hiện. Ở chế độ mặc định, địa chỉ IP sẽ được cấp bởi DHCP ( Dynamic Host Configuration Protocol). Nếu không ta phải cấu hình thủ công địa chỉ IP tĩnh. Ngoài ra việc định DNS (Domian Name System) và WINS (Windows Internet Name Service) cũng xảy ra đồng thời trong quá trình thiết lập kết nối VPN. II. TÍNH CHẤT ĐƯỜNG HẦM (TUNNELING): 1. Đường hầm: Đường hầm là một phương thức sử dụng hạ tầng mạng để truyền dữ liệu cho một mạng thông qua một mạng mạng khác. Dữ liệu được truyền có thể là các khung (hoặc gói) của các giao thức khác. Thay vì gửi một khung được điều chế bởi một nút gốc, thì giao thức đường hầm sẽ đóng gói và dán nhãn cho nó. Nhãn này cho biết thông tin định tuyến giúp khung đã đóng gói có thể truyền đi trên một mạng trung gian. Các dữ liệu đóng gói được định tuyến đến đích cuối đường hầm trong mạng. Gói dữ liệu sau khi đến cuối đường hầm sẽ được bung ra (loại bỏ nhãn) và dữ liệu sẽ được chuyển đến nơi nhận. Như vậy, giao thức đường hầm gồm 3 tiến trình: Đóng gói – Vận chuyển – Bung gói. Trang 4 2. Giao thức đường hầm: Đường hầm cho phép đóng gói dữ liệu theo một dạng giao thức khác của gói dữ liệu. Ví dụ, VPN dùng PPTP để đóng gói IP qua 1 mạng công cộng như Internet. Giải pháp VPN dựa trên PPTP và cả L2TP đều có thể được cấu hình. PPTP và L2TP phụ thuộc nhiều vào những đặc điểm cơ bản của PPP. PPP được thiết kế để truyền dữ liệu qua kết nối quay số hoặc kết nối Điểm – Điểm chuyên dụng. Đối với IP, PPP đóng gói IP vào khung PPP rồi truyền qua liên kết Điểm – Điểm. PPP được định nghĩa như một giao thức để sử dụng giữa máy khách quay số và một máy chủ truy nhập mạng (NAS – Network Access Server). 3. PPTP: PPTP cho phép lưu thông đa giao thức được mã hóa và sau đó đóng gói trong 1 nhãn IP để gửi thông qua một mạng IP của công ty hoặc mạng IP công cộng như Internet. PPTP đóng gói khung PPP trong khung dữ liệu IP (datagram) để truyền qua mạng. PPTP được sử dụng để truy nhập từ xa và kết nối VPN Trạm – Trạm. PPTP dùng kết nối TCP để quản lý đường hầm và một phiên bản chỉnh sửa của Generic Routing Encapsulation (GRE) để đóng gói khung PPP để truyền dữ liệu đường hầm. Dữ liệu của khung PPP đã đóng gói được mã hóa, nén lại, hoặc cả hai. Sơ đồ sau cho thấy cấu trúc của một gói PPTP chứa đựng một gói dữ liệu IP: Cấu trúc của một gói PPTP chứa IP datagram Khi sử dụng Internet như một mạng công cộng cho VPN, máy chủ PPTP là một máy chủ VPN được kích hoạt sẵn PPTP với một giao diện trên Internet và một giao diện thứ hai trên Intranet. 4. L2TP: L2TP cho phép lưu thông đa giao thức được mã hóa và gửi qua bất kỳ trung gian nào hỗ trợ vận chuyển dữ liệu Điểm – Điểm, như là IP, X.25, Chuyển tiếp khung, chế độ truyền tải bất đồng bộ (ATM). L2TP là một sự phối hợp của PPTP và L2F, là một công nghệ được phát triển bởi công ty Cisco Systems. L2TP đại diện cho tính năng tốt nhất của PPTP và L2F. L2TP đóng gói khung PPP gửi qua IP, X.25, Chuyển tiếp khung hoặc mạng ATM. Khi cấu hình L2TP dùng IP như một cách truyền tải dữ liệu, nó được dùng như một giao thức đường hầm thông qua Internet. L2TP qua mạng IP sử dụng giao thức dữ liệu người dùng (UDP) và một loạt các thông điệp L2TP cho việc quản lý đường hầm. L2TP cũng sử dụng UDP để gửi khung PPP đã được L2TP đóng gói giống như dữ liệu liệu đường hầm. Dữ liệu của khung PPTP được đóng gói có thể được mã hóa, nén lại hoặc cả hai. Mặc dù việc thực thi Microsoft của L2TP không dùng MPPE để mã hóa dữ liệu PPP. Trang 5 Hình sau giới thiệu kiến trúc của 1 gói L2TP trong một gói dữ liệu IP: Kiến trúc của một gói L2TP chứa gói dữ liệu IP 5. L2TP với IPSec (L2TP/Sec): Trong việc thực thi Microsoft của L2TP, IPSec Encapsulation Security Payload (ESP) trong chế độ truyền tải được dung để mã hóa tuyến L2TP. Sự phối hợp L2TP (giao thức đường hầm) và IPSec (phương thức mã hóa) gọi là L2TP/IPSec. Kết quả sau khi ứng dụng ESP vào gói IP chứa thông điệp L2TP được mô tả trong sơ đồ sau: Mã hóa tuyến L2TP với IPSec ESP III. ĐỊNH TUYẾN CHO VPN: 1. Định tuyến cho truy cập kết nối VPN từ xa: Định tuyến thông thường giữa router thông qua cả công nghệ truy cập chia sẻ trên nền LAN (như Ethernet hoặc Token Ring) hay công nghệ Điểm – Điểm trên nền WAN (như T1 hoặc frame relay). 2. Định tuyến mặc định: Phương pháp được ưa chuộng để định hướng gói dữ liệu tới mạng từ xa là tạo một tuyến mặc định trên một máy khách truy nhập từ xa, tuyến này hướng gói dữ liệu đến mạng từ xa (cấu hình mặc định cho máy khách truy nhập từ xaVPN). Gói nào không dành cho phân khúc mạng LAN lân cận thì được gửi tới mạng từ xa. Khi một kết nối được thiết lập, theo mặc định máy khách truy nhập từ xa thêm một tuyến mặc định vào bảng định tuyến của nó và tăng số lượng của tuyến mặc định hiện có, để đảm bảo tuyến mặc định mới nhất được dùng. Tuyến mặc định mới nhất trỏ đến một kết nối mới để bất kỳ gói nào không được hướng tới một phân khúc LAN cục bộ thì gửi đến mạng từ xa. Theo cấu hình này, khi một máy khách VPN kết nối và tạo một tuyến mặc định mới thì không thể truy cập Internet được nữa (trừ khi truy cập Internet được cho phép thông qua mạng cục bộ của công ty - Intranet). Điều này không gây ra bất cứ vấn đề gì cho máy khách VPN từ xa chỉ cần truy nhập tới mạng của công ty. Tuy nhiên, nó Trang 6 không cho phép các máy khách từ xa truy cập Internet khi đang kết nối với mạng công ty. 3. Chia đường hầm: Chia đường hầm là một tính năng của Truy cập từ xa cho phép máy khách VPN một mặt có thể truy cập mạng Internal ở mức độ khác nhau, nghĩa là toàn bộ mạng Internal hoặc chỉ một vài Phân đoạn mạng được quy định trước (dữ liệu truy cập mạng Internal sẽ được mã hóa bằng IPSec và định tuyến trong đường hầm VPN) mặt khác họ vẫn truy cập Internet và truy cập tài nguyên tại nơi mà họ đang ở ví dụ như máy in, file server, máy scan,v.v (dữ liệu này sẽ không bị mã hóa). Tuy nhiên, việc sử dụng chia đường hầm gặp phải một số vấn đề về bảo mật. Nếu một máy khách truy nhập từ xa kết nối với cả Internet và mạng công ty thì mạng công ty có thể bị đột nhập từ Internet thông qua máy khách này. Những công ty cần bảo mật dữ liệu có thể chọn dùng mô hình định tuyến mặc định để đảm bảo rằng giao tiếp giữa các máy khách được bảo vệ bởi Tường lửa của công ty. 4. Định tuyến kết nối VPN trạm-trạm: Với công nghệ WAN, gói IP được chuyển tiếp giữa 2 bộ định tuyến qua 1 kết nối Điểm – Điểm vật lý hoặc logic. Kết nối này thiết lập cho người dùng thông qua một mạng riêng cung cấp bởi nhà cung cấp dịch vụ WAN. Với sự tiên tiến của Internet, các gói dữ liệu được định tuyến giữa những router được kết nối với Internet thông qua một mạng ảo mà nó giả lập các thuộc tính của một kết nối Điểm - Điểm riêng. Loại kết nối này được gọi là kết nối VPN Trạm – Trạm. Kết nối VPN Trạm – Trạm có thể được dùng để thay thế các liên kết WAN tầm xa mắc tiền bằng liên kết WAN tầm gần tới nhà cung cấp dịch vụ địa phương (ISP). Một kết nối Trạm – Trạm kết nối hai đoạn của một mạng riêng. Máy chủ VPN cung cấp một kết nối định tuyến tới mạng mà đã lắp đặt một máy chủ VPN. Trong một kết nối VPN Trạm – Trạm, gói dữ liệu được gửi từ bất kì bộ định tuyến nào thông qua kết nối VPN. Để dễ dàng định tuyến giữa các trạm, mỗi máy chủ VPN và cơ sở hạ tầng của trạm kết nối phải có một bộ các tuyến đại diện cho không gian địa chỉ của các trạm khác. Những tuyến này có thể được thêm vào một cách thủ công, hoặc có thể tự thêm vào bằng cách sử dụng giao thức định tuyến. 5. Giao thức định tuyến trạm-trạm: Có 2 giao thức định tuyến được dùng trong triển khai VPN Trạm – Trạm: a. Giao thức thông tin định tuyến (RIP) RIP được thiết kế cho việc chuyển đổi thông tin định tuyến trong một mạng có quy mô vừa và nhỏ. Những router RIP chủ động trao đổi các cửa vào bảng định tuyến. b. Giao thức Open Shortest Path First (OSPF) OSPF được thiết kế để trao đổi thông tin định tuyến giữa các mạng lớn hoặc rất lớn. Thay vì thay đổi các cửa vào định tuyến như router RIP, thì router OSPF duy trì một sơ đồ mạng được cập nhật sau mỗi lần thay đổi cấu trúc liên kết mạng. Sơ đồ này được gọi là các trạng thái liên kết cơ sở dữ liệu được đồng bộ hóa giữa tất cả các router OSPF và được sử dụng để tính toán tuyến đường trong bảng định tuyến. Các router OSPF lân cận hình thành một liên kết, đây là một mối quan hệ logic giữa các router để đồng bộ hóa các trạng thái liên kết cơ sở dữ liệu. Trang 7 IV. TỔNG QUAN VỀ TƯỜNG LỬA TRONG VPN: Dịch vụ định tuyến hỗ trợ một loạt các tính năng lọc gói dữ liệu vào và ra, tính năng này chặn một vài dạng lưu thông nhất định. Các tùy chọn lọc bao gồm: TCP port, UDP port, IP Protocol ID, Internet Control Message Protocol (ICMP), mã ICMP, địa chỉ nguồn, và địa chỉ đích. Máy chủ VPN có thể được đặt sau hoặc trước tường lửa. Hai phương pháp này được mô tả như sau: 1. Máy chủ VPN đặt sau tường lửa: Trong cấu hình phổ biến nhất, tường lửa được kết nối với Internet, máy chủ VPN được nối tiếp sau đó cùng với mạng cục bộ. Máy chủ VPN có giao diện ở cả mạng diện rộng và mạng cục bộ. Trong tiến trình này, tường lửa phải được cấu hình với bộ lọc ra vào trong giao diện Internet cho phép duy trì lưu lượng qua đường hầm và truyền dữ liệu tới máy chủ VPN. Các bộ lọc phụ cho phép truyền dữ liệu tới web, FTP, và những loại máy chủ khác trong mạng diện rộng. Để tăng cường một lớp bảo mật phụ, máy chủ VPN cũng nên được cấu hình với bộ lọc gói dữ liệu PPTP hoặc L2TP/IPSec trên giao diện mạng diện rộng. 2. Máy chủ VPN đặt trước tường lửa: Khi một máy chủ được đặt trước tường lửa và kết nối tới Internet, bộ lọc gói phải được thêm vào giao diện Internet của máy chủ VPN để chỉ cho phép lưu lượng VPN vào và ra địa chỉ IP của giao diện này. Đối với lưu lượng vào, khi dữ liệu đường hầm được giải mã bởi máy chủ VPN thì nó được chuyển đến tường lửa. Thông qua việc sử dụng bộ lọc, tường lửa cho phép lưu lượng được chuyển đến mạng cục bộ Intranet. Bởi vì chí có những lưu lượng từ máy khách đã được xác thực mới có thể qua máy chủ VPN, trong quá trình này bộ lọc của tường lửa có thể dùng để ngăn chặn người dùng VPN khỏi việc truy cập vào tài nguyên mạng cục bộ. Bởi vì lưu lượng Internet được cho phép trong mạng cục bộ phải thông qua máy chủ VPN nên sự tiếp cận này cũng ngăn chặn được việc chia sẻ tài nguyên FTP hoặc Web nội bộ ra bên ngoài. V. NHỮNG CÔNG NGHỆ LIÊN QUAN VỚI VPN: Việc tích hợp VPN với các thành phần cơ sở hạ tầng của những mạng khác là một phần quan trọng của thiết kế và thi công VPN. VPN phải tích hợp với các danh mục, xác thực và dịch vụ bảo mật, cũng như với dịch vụ cấp phát địa chỉ IP và tên máy chủ. Nếu không có thiết kế phù hợp, máy khách VPN không thể nhận được đúng địa chỉ IP và phân giải tên mạng nội bộ, các gói dữ liệu sẽ không được truyền giữa máy khách và tài nguyên mạng cục bộ. Những công nghệ liên quan đến VPN: - Quản lý kết nối - DHCP - EAP-RADIUS - IAS - Name Server Assignment (DNS và WINS) - NAT Trang 8 1. Quản lý kết nối: Quản lý kết nối là một dịch vụ được sử dụng để cung cấp một kết nối từ xa hiệu chỉnh được đến một mạng thông qua một kết nối VPN. Các tính năng nâng cao của quản lý kết nối là một tập hợp các mạng quay số cơ bản. Quản lý kết nối cung cấp sự hỗ trợ cho kết nối từ xa và tại chỗ bằng cách sử dụng một mạng lưới POP (points of presence), như là những thứ có sẵn trên toàn thế giới thông qua ISP. 2. DHCP: Trong cả kết nối PPTP và L2TP, dữ liệu truyền trong đường hầm là một khung PPP. Một kết nối PPP phải được thiết lập trước khi dữ liệu được gửi. Máy chủ VPN phải có điạ chỉ IP để phân chia chúng đến các giao diện ảo của máy chủ VPN và máy khách VPN trong khi giao thức điều khiển IP (IPCP) cho thấy nó là một phần của quá trình thiết lập kết nối PPP. Địa chỉ IP cung cấp cho máy khách VPN cũng đc cung cấp cho giao diện ảo của máy khách VPN. 3. EAP-RADIUS: EAP-RADIUS là việc thông qua thông điệp EAP của bất cứ loại EAP nào bởi một chứng thực đến máy chủ Dịch vụ Người dùng Quay số Xác thực Từ xa RADIUS (Remote Authentication Dial-In User Service) cho việc xác thực. Ví dụ, với một máy chủ truy nhập từ xa được cấu hình cho xác thực RADIUS, thông điệp EAP gửi đến máy khách truy nhập từ xa và máy chủ truy nhập từ xa được đóng gói và định dạng dưới dạng một thông điệp RADIUS giữa máy chủ truy nhập từ xa (nơi xác thực) với máy chủ RADIUS (nơi xác thực). EAP-RADIUS được dùng trong một môi trường nơi RADIUS là nơi cung cấp xác thực. Một ưu điểm của việc sử dụng EAP-RADIUS là chỉ cần cài đặt tất cả các loại EAP tại máy chủ RADIUS, không cần phải cài đặt tại mỗi điểm truy nhập từ xa. Đối với máy chủ IAS, chỉ cần cài đặt các loại EAP. Trong đặc trưng của việc dùng EAP-RADIUS, một máy chủ chạy Routing and Remote Access (định tuyến và truy nhập từ xa) được cấu hình cho việc dùng EAP và một máy chủ IAS cho xác thực. Khi một kết nối được thiết lập, máy khách truy nhập từ xa thương lượng việc sử dụng EAP với máy chủ truy nhập từ xa. Khi máy khách gửi một thông điệp EAP đến máy chủ truy nhập từ xa, máy chủ này đóng gói thông điệp EAP dưới dạng một thông điệp RADIUS và gửi đến máy chủ IAS đã được cấu hình của nó. Máy chủ IAS xử lý thông điệp EAP và gửi thông điệp RADIUS (thông điệp EAP đã được đóng gói) về máy chủ truy nhập từ xa. Máy chủ này đưa thông điệp đó đến máy khách. Trong cấu hình này, máy chủ truy nhập từ xa chỉ là một phương tiện trung chuyển. Tất cả quá trình xử lý thông điệp EAP chỉ xảy ra ở máy khách và máy chủ IAS. Routing and Remote Access có thể được cấu hình cho xác thực cục bộ hoặc cho máy chủ RADIUS. Nếu Routing and Remote Access được cấu hình cho xác thực cục bộ, tất cả các cách thức EAP sẽ được xác thực cục bộ. Nếu Routing and Remote Access được cấu hình để xác thực một máy chủ RADIUS, tất cả các thông điệp EAP sẽ được đưa qua máy chủ RADIUS với EAP-RADIUS. Trang 9 4. IAS: Máy chủ VPN được cấu hình để dùng cả Windows và RADIUS như một bộ cung cấp xác thực. Nếu Windows được chọn, những chứng thực người dùng được xác thực qua bộ xác thực Windows, và những kết nối thực nghiệm được cho phép dùng bởi chính sách kết nối từ xa cục bộ. Nếu RADIUS được chọn và cấu hình cho việc cung cấp chứng thực trong máy chủ VPN, chứng thực người dùng và thông số của yêu cầu kết nối được gửi qua một thông điệp yêu cầu RADIUS tới máy chủ RADIUS. Máy chủ RADIUS nhận yêu cầu kết nối người dùng từ máy chủ VPN và xác thực, cho phép cố gắng kết nối. Ngoài việc phản hồi có hoặc không đối với một yêu cầu xác thực, RADIUS có thể thông báo cho máy chủ VPN của những thông số kết nối thích hợp cho người dùng. Phản hồi của RADIUS dựa trên cơ sở dữ liệu tài khoản người dùng của nó, hoặc có thể là một lối vào máy chủ cơ sở dữ liệu khác, như là máy chủ SQL (Structured Query Language) hoặc Windows DC (Domain Controller). DC có thể được xác định trên cùng một máy tính như một máy chủ RADIUS 5. Phân chia tên máy chủ (DNS và WINS): Phân chia tên máy chủ là phân chia DNS (Domain Name System) và WINS (Windows Internet Name Service) xảy ra trong quá trình thiết lập kết nối VPN. Máy khách VPN nhận được địa chỉ IP của máy chủ DNS và WINS từ máy chủ VPN cho mạng cục bộ mà máy chủ VPN được cài đặt. Máy chủ VPN phải được cấu hình với địa chỉ máy chủ DNS và WINS để phân chia tới máy khách VPN trong quá trình dàn xếp IPCP. Đối với bộ phân giải tên NetBIOS ta không cần dung WINS và có thể kích hoạt NetBIOS thông qua proxy TCP/IP (NetBT) trên máy chủ VPN. 6. NAT: Bộ phận phiên dịch địa chỉ mạng (NAT) phiên dịch địa chỉ IP và số cổng các gói TCP/UDP chuyển giữa mạng riêng và Internet. NAT cũng có thể cung cấp thông tin cấu hình địa chỉ IP tới máy tính khác trong mạng riêng. Máy khách VPN trên nền PPTP được xác định phía sau NAT nếu NAT bao gồm một bộ biên tập có thể dịch gói PPTP. Máy chủ VPN nền PPTP được xác định nếu NAT được cấu hình với định hướng tĩnh cho lưu lượng PPTP. Nếu máy khách hoặc máy chủ VPN trên nền L2TP/IPSec đặt sau NAT, cả 2 phải hỗ trợ NAT-T . [...]... CÁCH HOẠT ĐỘNG CỦA MẠNG VPN I KIẾN TRÚC VPN: Khi sử dụng VPN, một tổ chức có thể bảo mật lưu lượng mạng riêng đi qua một mạng không an toàn như Internet VPN cung cấp một cơ chế bảo mật cho việc mã hóa và đóng gói các dữ liệu trong mạng riêng và vận chuyển nó qua một mạng trung gian Dữ liệu được mã hóa cho việc bảo mật, và các gói dữ liệu được phân ra trong mạng chia sẻ hoặc mạng công cộng không thể... tuyến, kết nối VPN hoạt động như một bộ liên kết lớp data-link VPN kết nối hai trạm từ xa qua Internet Trang 11 4 Kết nối VPN nền mạng riêng Intranet: Kết nối VPN nền mạng riêng Intranet dựa trên kết nối IP trong mạng LAN công ty a Kết nối VPN truy nhập từ xa qua Intranet Trong một số mạng nội bộ Intranet của công ty, dữ liệu của các phòng như phòng nhân sự thì rất nhạy cảm nên phân đoạn mạng của phòng... phòng này được kết nối với mạng nội bộ chung với những máy tính đóng vai trò là những máy khách hoặc máy chủ VPN Khi kết nối VPN được thiết lập, người dùng trong cả 2 mạng có thể trao đổi những dữ liệu nhạy cảm thông qua mạng nội bộ công ty Trang 12 Hình dưới đây mô tả kết nối 2 mạng thông qua mạng nội bộ VPN kết nối 2 mạng qua Intranet II ĐƯỜNG HẦM VPN: Đường hầm là một công nghệ mạng cho phép đóng gói... vào Các gói dữ liệu được gửi thông qua kết nối VPN bắt nguồn từ máy khách VPN Máy khách và máy chủ VPN xác thực qua lại lẫn nhau 2 Trạm - Trạm VPN: Một kết nối VPN Trạm – Trạm kết nối hai phần của mạng riêng hoặc hai mạng riêng Ví dụ, nó cho phép một công ty kết nối với nhiều văn phòng riêng lẻ hoặc với những công ty khác thông qua Internet Những kết nối VPN đã định tuyến sẵn thông qua Internet hoạt... tuyến trực tiếp giữa mạng nội bộ công ty và phân đoạn mạng đã tách Người dùng trong mạng nội bộ công ty với sự cho phép riêng có thể thiết lập một kết nối VPN từ xa với máy chủ VPN và truy cập được vào các tài nguyên được bảo vệ Ngoài ra, các thông tin liên lạc thông qua kết nối VPN được mã hóa để bỏa mật dữ liệu Đối với người dùng không đủ quyền để thiết lập kết nối VPN, các phân đọan mạng này bị ẩn đi... trên mạng chuyển tiếp khung 8 Mô hình Multiple – adapter: Với một mô hình multiple-adapter, mỗi mạch ảo chuyển tiếp khung là một liên kết Điểm – Điểm với một ID mạng riêng của nó, và điểm đích được định địa chỉ IP từ ID mạng có IP được chỉ định Bởi vì mỗi mạng ảo là kết nối Điểm – Điểm riêng của nó, quản trị mạng có thể cấu hình giao diện cho các loại mạng Điểm – Điểm Trang 32 9 Liên kết ảo: Một mạng. .. một máy chủ VPN: Một tường lửa chặn giữa máy chủ VPN và Internet Trong cách cấu hình này, máy chủ VPN được đặt sau tường lửa Máy chủ VPN được kết nối tới Internet và tường lửa được đặt giữa máy chủ VPN và mạng riêng Trong cấu hình này, máy chủ VPN đặt trước tường lửa 1 Máy chủ VPN đặt sau tường lửa: Trong cấu hình này, một tường lửa được kết nối vào Internet và máy chủ VPN là một mạng riêng Intranet... nhiều cách để sử dụng VPN Phương pháp thường thấy nhất là người dùng từ xa truy nhập vào mạng riêng thông qua Internet sử dụng kết nối VPN truy nhập từ xa Nói cách khác, một văn phòng từ xa kết nối thường trực hoặc kết nối VPN Trạm – Trạm theo yêu cầu đến mạng công ty (còn gọi là kết nối VPN router – router) Mỗi phương pháp VPN có thể được triển khai để cung cấp kết nối thông qua mạng công cộng như Internet,... khách với tuyến cần thiết đến mạng riêng 2 Cân nhắc vấn đề bảo mật cho việc chia đường hầm: Khi một máy khách VPN kết nối tới cả hai mạng Internet và Intranet và có 1 tuyến kết nối tới cả 2 mạng này, có thể tồn lại một mối nguy hiểm từ người sử dụng Internet sử dụng máy khách VPN kết nối tới mạng riêng Intranet thông qua kết nối VPN xác thực Điều này là có thể nếu máy khách VPN có định tuyến IP được kích... của mạng nội bộ Trong khi điều này bảo vệ các dữ liệu của phòng nhân sự, nó tạo ra các khó khăn khi truy xuất dữ liệu cho người dùng được ủy quyền nhưng không kết nối vật lý tới phân đoạn mạng này Kết nối VPN giúp cung cấp bảo mật cần thiết cho phép phân đoạn mạng của phòng nhân sự được kết nối vật lý vào mạng nội bộ Trong cấu hình này, máy chủ VPN có thể dùng để tách các phân đoạn mạng Máy chủ VPN . đến một mạng nội bộ cho công ty, nhưng vấn đề về chi phí, vận hành, bảo dưỡng … gặp nhiều khó khăn. Từ đó mạng riêng ảo VPN (Virtual Private Network) ra đời. Giải pháp Mạng riêng ảo VPN (Virtual. thuê riêng. Một giải pháp VPN bao gồm các công nghệ bảo mật như là mã hóa dữ liệu, chứng thực, ủy quyền và Điều khiển Duy trì Kết nối Mạng. II. TỔNG QUAN VPN: VPN là phần mở rộng của mạng riêng. tải dữ liệu giữa máy khách VPN và mạng riêng của công ty. Trang 1 Có hai loại kết nối VPN: • VPN truy cập từ xa còn được gọi là mạng Quay số riêng ảo (VPDN), là một kết nối