Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1- 10 Hình 1.10 Mạng Extranet truyền thống Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng. Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể. Hình 1.11 Mạng Extranet dựa trên VPN Ưu điểm chính của Extranet VPN là: + Chi phí rất nhỏ so với cách thức truyền thống. + Dễ thực thi, duy trì và dễ thay đổi + Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn + Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống. Tuy nhiên cũng có một số nhược điểm: + Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại + Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức + Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia. + Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật” 1.6. Các công nghệ và các chính sách an toàn Mạng riêng ảo 1.6.1. Sự cần thiết của chính sách an toàn Mạng Chính sách an toàn mạng có vai trò quan trọng trong việc bảo mật của một tổ chức và từng bước được vận dụng để thực thi bảo mật mạng. Không có một sản phẩm hay một giải pháp chuẩn chung cho một chính sách an toàn mạng. Nó thường được tạo ra và thực thi theo yêu cầu cụ thể của từng tổ chức. Một chính sách an toàn mạng thể hiện tầm nhìn của Công ty về cách thức sử dụng máy tính và cơ sở hạ tầng mạng để cung cấp các dịch vụ tốt nhất và nâng cao hiệu suất. Nó cũng phác thảo các thủ tục cần dùng để đối phó với các nguy cơ bảo mật, các vi phạm bảo mật. Một chính sách an toàn làm cho khả năng đối phó với các rủi ro, các nguy cơ bảo mật trong một Công ty sẽ tốt hơn. Hơn nữa, không thể thực thi bảo mật nếu ta không xác định được cần bảo vệ cái gì. Vì vậy cần có một chính sách bảo mật. Đó là một danh sách những gì sẽ được phép và không được phép, dựa vào đó để quyết định về bảo mật. Ta cũng có thể hình dung nó như là một tập các luật để quản lý người dùng truy cập tài nguyên của công ty, một thoả thuận chung để mọi người chấp nhận và tuân theo các luật đó. Một chính sách an toàn mạng toàn diện của Công ty phải được xác định theo sự phân tích các yêu cầu thương mại và phân tích bảo mật. Các vấn đề sau đây sẽ cung cấp cho ta một số nguyên tắc chung: + Những người nào mà chúng ta muốn ngăn chặn? + Người dùng từ xa cần truy cập đến hệ thống và mạng của chúng ta hay không? + Hệ thống có chứa thông tin mật hoặc nhạy cảm không? + Phân loại các thông tin mật hoặc nhạy cảm như thế nào? + Mật khẩu hoặc mã hoá có đủ bảo vệ không? + Chúng ta có cần truy cập Internet hay không? + Bao nhiêu truy cập tới hệ thống của ta từ Internet hoặc những người dùng bên ngoài mạng(như: các đối tác thương mại, nhà cung câp,…) mà ta muốn cho phép? + Hành động nào ta sẽ thực hiện nếu phát hiện sự vi phạm bảo mật? + Những ai trong Công ty của ta sẽ phải tuân thủ và giám sát chính sách này? Đó là những nguyên tắc mang tính định hướng chung cho việc thiết lập và thực hiện một chính sách an toàn mạng. 1.6.2. Chính sách an toàn mạng Nếu hệ thống của ta có kết nối Internet thì rất có thể phải đương đầu với nhiều nguy cơ tấn công tiềm ẩn. Gateway hoặc Firewal là những hệ thống bảo vệ tốt, tuy nhiên cần phải lưu ý rằng: + Gateway không nên chạy nhiều ứng dụng hơn mức cần thiết vì các ứng dụng có những khiếm khuyết có thể bị khai thác. + Gateway nên hạn chế tối đa các loại và số lượng giao thức được cho phép đi qua nó hoặc các kết nối Terminate tại gateway từ bên ngoài, vì các giao thức cũng có thể tiềm ẩn nhiều lỗ hổng bảo mật. + Bất kỳ một hệ thống nào có chứa thông tin mật hoặc nhạy cảm đều không nên cho phép truy cập trực tiếp từ bên ngoài. + Tất cả các dịch vụ trong một Intranet thuộc Công ty nên tối thiểu việc yêu cầu xác thực mật khẩu và kiểm soát truy cập thích hợp. + Truy cập trực tiếp từ bên ngoài luôn phải được xác thực và kiểm toán Chính sách an toàn mạng xác định các dịch vụ sẽ được cho phép hoặc bị từ chối, cách thức các dịch vụ này sẽ được sử dụng và là ngoại lệ với các luật này. Mỗi luật trong chính sách an toàn mạng nên được thực thi trên một firewall hoặc RAS. Và chính sách an toàn mạng của một công ty phải trả lời được các câu hỏi sau: + Những ai được truy cập vào mạng của Công ty? Những Client, đối tác, khách hàng nào được cung cấp truy cập tới mạng của Công ty? + Những ai có thể kết nối tới mạng mở rộng, như của Client hay các đối tác. + Những ai có thể truy cập Internet từ mạng của Công ty? + Lúc nào thì tài khoản của một người dùng sẽ bị xoá? + Phải bảo mật các máy tính như thế nào trước khi chúng ở trong mạng có truy cập Internet không được bảo vệ. + Người dùng có thể tuỳ tiện tải các chương trình từ Internet hay không? + Kiểu mật khẩu nhân viên phải dùng là gì? Và có thường phải thay đổi hay không? + Các máy tính của người dùng từ xa, người dùng di động được bảo mật như thế nào? Họ phải làm gì để có thể truy cập an toàn tới mạng của công ty. + Những thông tin mật nào cần được bảo vệ? Có quy tắc lưu trữ các loại thông này hay không? 1.6.3. Chính sách an toàn Mạng riêng ảo Trong khi một chính sách an toàn mạng truyền thống xác định luồng thông tin nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảo mật VPN mô tả các đặc tính của việc bảo vệ hiện trạng luồng thông tin. Theo một nghĩa nào đó, nó là một tập con của chính sách an toàn mạng , vì nó chỉ cô đọng hơn và phụ thuộc vào vấn đề cho phép luồng thông tin giữa các đích nào đó trước khi nó có thể được bảo vệ. Một chính sách an toàn VPN mô tả hiện trạng luồng thông tin riêng được bảo vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực, mã hoá, độ dài khoá, quản lý khoá…). Chính sách an toàn VPN có thể được định nghĩa trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung để cung cấp sự quản lý và mở rộng tốt hơn. Về cơ bản, các thiết bị cần phải có các chính sách phù hợp với việc mô tả dòng lưu lượng trước khi nó được phép đi vào các thiết bị. Trong khi thực hiện VPN cần lưu ý: + Chỉ có một kết nối mạng được cho phép. + VPN phải được thiết lập và quản trị bởi các nhóm quản trị của Công ty + Tất cả các máy kết nối tới mạng trong của công ty qua VPN phải dùng phần mềm Virus và cập nhật thường xuyên để quét + Người dùng VPN sẽ bị tự động ngắt kết nối nếu không có hoạt động gì sau một khoảng thời gian nhất định(chẳng hạn: sau 30 phút). Câu hỏi ôn tập 1. Mạng riêng ảo là gì? Nêu một số ví dụ về Mạng riêng ảo? 2. Ba loại mô hình VPN là: __________, __________, và __________. a. Intranet b. Internet c. Extranet d. Remote Access . không được bảo đảm Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật” 1.6. Các công nghệ và các. toàn Mạng riêng ảo 1.6.1. Sự cần thiết của chính sách an toàn Mạng Chính sách an toàn mạng có vai trò quan trọng trong việc bảo mật của một tổ chức và từng bước được vận dụng để thực thi bảo. toàn mạng của một công ty phải trả lời được các câu hỏi sau: + Những ai được truy cập vào mạng của Công ty? Những Client, đối tác, khách hàng nào được cung cấp truy cập tới mạng của Công ty?