Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint

Mục lục Chương 1: Công nghệ mạng riêng ảo. 1.1. Tính cần thiết của mạng riêng ảo……………………………………... 1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng….. 1.2.1. Khái niệm về mạng riêng ảo. ………………………………………….. 1.2.2. Các mô hình mạng riêng ảo thông dụng………………………………….8 1.2.2.1. VPN Remote Access……………………………………………………8 1.2.2.2. VPN site – to – site………………………………………………………9 1.3. Các yêu cầu đối với VPN, ưu điểm, nhược điểm của VPN………14 1.3.1. Các yêu cầ đối với VPN ………………………………………………….14 1.3.2. Ưu nhược điểm của VPN………………………………………………15 1.4. Các giao thức sử dụng trong VPN…………………………………17 1.4.1. Giao thức đường hầm điểm điểm - PPTP……………………………18 1.4.2. Giao thức chuyển tiếp tầng 2 - L2F……………………………………32 1.4.3. Giao thức đường hầm tầng 2 – L2TP. ………………………………36 1.4.4. Giao thức IPSec. …………………………………………………………46 1.4.5. Giao thức SSL. …………………………………………………………58 1.4.6. Giao thức MPLS………………………………………………………59 Chương 2: Giải pháp mạng riêng ảo của Check Point. 2.1. Giới thiệu về tường lửa Check Point………………………………64 2.1.1. Kiến trúc tường lửa Check Point…………………………………64 2.1.2. Các mô hình triển khai…………………………………………….68 2.2. Chức năng VPN của tường lửa Check Point……………………….70 2.2.1. Cơ bản về chức năng VPN. ……………………………………….70 2.2.1.1. Các thành phần VPN…………………………………………….70 2.2.1.2. Các thuật ngữ, khái niệm đặc trưng… ........................................71 2.2.1.3. Site to site VPN…………………………………………………73 2.2.1.4. VPN Communities( cộng đồng VPN )………………………….73 2.2.1.5. Remote Access VPN……………………………………………74 2.2.2. Giao thức trao đổi khóa Internet – IKE(Internet Key Exchange)..74 2.2.2.1. IKE Phase1………………………………………………………75 2.2.2.2.IKE Phase 2………………………………………………………79 2.2.2.3. Các phương pháp mã hóa và đảm bảo tính toàn vẹn………….80 2.2.2.4. Các chế độ trong Phase 1………………………………………..81 2.2.2.5. Bảo vệ lại tấn công DoS IKE…………………………………….82 2.2.3. Cơ sở hạ tầng khóa công khai PKI……………………………….85 Chương 3: Triển khai VPN trên Check Point. 3.1 Mô hình VPN Remote Access……………………………………….86 3.1.1. Mô hình……………………………………………………………………86 Các bước cấu hình…………………………………………………………... 3.1.2.1Cấu hình VPN Remote Access sử dụng xác thực Pre-share key..88 3.1.2.2. Cấu hình xác thực sử dụng certificate………………………………106 3.1.2.3 Cấu hình sử dụng tài khoản domain (ldap user ) để thực hiện kết với VPN tới gateway…………………....................................................................111 3.2. Mô hình VPN Site- to- Site……………………………………………….116 3.2.1. Mô hình ………………………………………………………………….116 3.2.2. Các bước cấu hình………………………………………………...117 Chương 4: Một số vấn đề an toàn của Check Point 4.1.Xung đột địa chỉ IP trong cấu hình VPN-Tunnel…….………………….129 4.1.1. Mô hình…………………………………………………………………..129 4.1.2. Các bước thực hiện tấn công DoS như sau………………………….... 131 4.1.3. Giải pháp. ……………………………………………………………….131 Danh mục hình vẽ Hình 1. Thiết lập truy cập từ xa không có VPN Hình 2. Thiết lập VPN truy cập từ xa Hình 3. Thiết lập Intranet sử dụng WAN Hình 4. Thiết lập Intranet dựa trên VPN Hình 5. Mạng Extranet truyền thống Hình 6. Mạng Extranet dựa trên VPN Hình 7. Vị trí của L2F, PPTP, L2TP trong mô hình OSI Hình 8. Vị trí IPSec trong mô hình OSI Hình 9. Thiết lập liên kết PPP và trao đổi dữ liệu Hình 10. Định dạng của một Frame PPP điển hình Hình 11. Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP Hình 12. Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP Hình 13. Truyền các gói PPTP đến Node đích Hình 14. Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP Hình 15. Kiểm soát PPTP trong gói dữ liệu TCP Hình 16. Mô tả tiến trình xử lý dữ liệu PPTP đường hầm Hình 17. Các gói tin trong kết nối PPTP Hình 18. Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng Hình 19. Thiết lập một đường hầm L2F giữa người dùng từ xa và Server Hình 20 Quá trình định đường hầm dữ liệu dựa trên L2F Hình 21. Đường hầm L2TP Hình 22. Mô tả quá trình thiết lập đường hầm L2TP Hình 23. Quá trình xử lý định đường hầm dữ liệu L2TP Hình 23. Đường hầm L2TP bắt buộc Hình 24. Thiết lâp một đường hầm L2TP bắt buộc Hình 25 Đường hầm L2TP tự nguyện Hình 26 Quá trình thiết lập đường hầm L2TP tự nguyện Hình 27 Định dạng thông điệp kiểm soát L2TP Hình 28 Vị trí của IPSec trong mô hình OSI Hình 29. Kiến trúc bộ giao thức IPSec Hình 30 Mô tả ba trường của một IPSec SA Hình 31.Khuôn dạng gói tin AH Hình 32. Gói tin IP trước và sau khi xử lý AH trong chế độ Transport Hình 33. Khuôn dạng gói tin AH trong chế độ Tunnel. Hình 34. Khuôn dạng ESP Hình 35. Gói ESP trong chế độ Transport Hình 36. Gói ESP trong chế độ Tunnel Hình 37. Mô hình mạng MPLS Hình 38: Kiến trúc tường lửa Check Point Hình 39: Smart DashBoard Hình 40: SmartView Tracker Hình 41: SmartView Monitor Hình 42: SmartUpdate Hình 43: Mô hình triển khai Stand-alone Hình 44. Mô hình triển khai Distributed Hình 45 Hai kiểu cộng đồng VPN Hình 46. Client từ xa tới host đằng sau gateway. Hình 47. IKE Phase1 Hình 48. Gói tin đề xuất các thuật toán Hình 49. Gói tin lựa chọn thuật toán Hình 50. IKE Phase2a Hình 51 Đường hầm VPN Hình 52. Các thuật toán mã hóa, toàn vẹn của IKE Hình 53. Cấu hình các tùy chọn chống IKE DoS Attack Hình 54. Mô hình VPN Remote Access Hình 55. Các bước cấu hình VPN Remote Access Hình 56: Bật chức năng VPN trên tường lửa Check Point Hình 57. Dải địa chỉ tự do hệ thống sinh ra khi bật chức năng VPN Hình 58. Cấu hình Office Mode Hình 59. Tạo User trên gateway Hình 60. Định nghĩa VPN Community và Participants Hình 61. Tạo luật kết nối VPN client- to –site Hình 62. Bảng luật cho remote Access Hình 63. Địa chỉ IP của Remote User Hình 64. Cài đặt SecureClient Hình 65. Tạo Site trên máy Remote User Hình 66: Thực hiện kết nối từ máy client Hình 67. Test kết quả sau khi kết nối VPN remote access Hình 68. Khởi tạo chứng chỉ cho user Hình 69. Kết nối VPN Remote Access sử dụng chứng chỉ Hình 70. Tạo tài khoản ldap trên gateway Hình 71. Kết nối bằng tài khoản của ldap server Hình 72. Cấu hình SSL clients Hình 73. Kết nối SSL VPN Hình 74. Mô hình VPN Site-to-Site Hình 75. Thiết lập VPN domain Hình 76. Đưa tường lửa vào VPN Community Hình 77. Tạo mạng đối tác Hình 78. Tạo tường lửa đối tác Hình 79. Cấu hình cộng đồng VPN MyIntranet Hình 80. Cấu hình Presharekey giữa 2 gateway Hình 81. Tạo luật cho VPN site-to-site Hình 82. Kiểm tra tunnle được tạo bằng SmartViewMonitor Hình 83. Test kết quả VPN site-to-site Hình 84. Mô hình tấn công DoS. Danh mục các từ viết tắt Giới thiệu Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường truyền. Vì thế VPN - Virtural Private Network được sử dụng như một giải pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp tương đối toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên Internet. Đặc biệt phần mềm Check Point – VPN – 1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó. Trong khuôn khổ báo cáo Đề tài nghiên cứu khoa học này, nhóm em xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng. Tên đề tài: “ Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Check Point” Bài báo cáo nhóm em gồm 4 chương. - Chương 1: Nhóm em tìm hiểu về “Công nghệ Mạng riêng ảo”. Trong chương này chúng em trình bày về tính cần thiết của mạng riêng ảo, các khái niệm mạng riêng ảo, các mô hình mạng riêng ảo thông dụng, các giao thức sử dụng trong mạng riêng ảo. - Chương 2: Nhóm em tìm hiểu về “ Giải pháp mạng riêng ảo của CheckPoint”. Trong chương này chúng em tìm hiểu về tường lửa CheckPoint, các mô hình triển khai, chức năng VPN của Check Point, - Chương 3: “ Triển khai VPN trên Check Point ”. Trong chương này chúng em xây dựng 2 mô hình VPN Remote Access và VPN site-to-site. - Chương 4: “Một số vấn đề an toàn của Check Point” . Trong chương này chúng em trình bày cách thử nghiệm tấn công DoS giữa các kết nối VPN. Trong quá trình thực hiện đề tài này ngoài những cố gắng của bản thân chúng em đã nhận được sự giúp đỡ, động viên rất lớn từ các thầy cô và các bạn trong khoa, đặc biệt là thầy Hoàng Sỹ Tương. Cảm ơn thầy đã giúp đỡ tận tình để chúng em hoàn thành đề tài này.Em xin gửi lời cảm ơn đến các thầy,các cô trong Phòng Nghiên Cứu Khoa Học HV KT Mật Mã đã tạo điều kiện cho em được tìm hiểu, nghiên cứu nhằm nâng cao kiến thức về đề tài được giao. Do thời gian nghiên cứu đề tài chưa nhiều, kiến thức còn hạn chế , nên không thể tránh khỏi những sai sót, kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô trong Phòng Nghiên Cứu Khoa Học, các thầy cô trong các Khoa. Nhóm em xin chân thành cảm ơn ! Nhóm nghiên cứu khoa học Chương 1: Công nghệ mạng riêng ảo. 1.1. Tính cần thiết của mạng riêng ảo. “ Tại sao chúng ta sử dụng VPN ? ” . Ngày nay Internet phát triển mạnh mẽ từ mô hình đến công nghệ để giải quyết nhu cầu trao đổi thông tin của con người trên toàn thế giới. Tuy nhiên nhu cầu con người không chỉ dừng ở mức độ đó. Đối với nhân viên của một cơ quan, họ muốn đi đâu cũng có thể làm việc như ngồi tại công ty mình, có thể truy nhập vào tài nguyên nội bộ của công ty. Đối với các nhà quản trị muốn quản trị mạng của công ty mọi lúc mọi nơi…-> đây là nhu cầu rất thiết thực, cần phải có giải pháp để đáp ứng nhu cầu đó. Một công ty có nhiều chi nhánh ở nhiều nơi, và có nhiều đối tác -> họ muốn kết nối chi các chi nhánh, kết nối với đối tác bằng một đường kết nối riêng. Nếu đi thuê riêng các đường lease line thì chi phí rất đắt. Hơn nữa là vấn đề bảo mật dữ liệu truyền qua mạng, tiềm ẩn các nguy cơ: bị lộ thông tin quan trọng, bị thay đổi thông tin, bị giả mạo thông tin… Cần có một giải pháp, để giải quyết các yêu cầu trên? Công nghệ mạng riêng ảo (VPN- Virtual Private Network ) sử dụng cơ sở hạ tầng có sẵn Internet sinh ra đã giải quyết được các vấn đề trên. VPN đã giải quyết nhu cầu của người dùng di động, các nhà quản trị từ xa với mô hình Remote Access. Giải quyết yêu cầu kết nối giữa các chi nhánh, với đối tác của công ty mà không phải thuê đường lease line mà lại an toàn. Đặc biệt quan trọng là nó giải quyết được đòi hỏi về bảo mật 1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng. 1.2.1. Khái niệm về mạng riêng ảo. Mạng riêng ảo - Virtual Private Network, viết tắt là VPN. Có nhiều định nghĩa khác nhau về Mạng riêng ảo. Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet. Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng. Nói một cách khác VPN là mạng dữ liệu mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức đường hầm và các phương thức an toàn. VPN cho phép thiết lập các kết nối riêng với người dùng ở xa, các nhánh văn phòng và các đối tác sử dụng chung một mạng công cộng. Một mạng riêng ảo còn cho phép chia sẻ các nguồn dữ liệu chung được bảo vệ, nó sử dụng việc mã hóa dữ liệu để ngăn ngừa người dùng không được phép truy nhập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức và trong một giao thức khác. Xét về ngữ cảnh , VPN định đường hầm che dấu giao thức lớp mạng nguyên thủy bằng cách mã hóa dữ liệu và chứa gói đã mã hóa vào trong một một gói IP khác , sau đó sẽ được chuyển đi một cách bảo mật qua mạng công cộng. Tại bên nhận, sau khi nhận gói này sẽ được phân phối đến thiết bị truy cập thích hợp, chẳng hạn một bộ định tuyến nào đó. VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ( QoS). Thỏa thuận này được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng. Ngoài ra, các thỏa thuận có thể kèm theo một sự chỉ định cho giới hạn của băng thông hiệu dụng cho mỗi người dùng. Qua đó có thể định nghĩa VPN một cách ngắn gọn theo công thức sau VPN= Định đường hầm + Bảo mật + Các thỏa thuận QoS 1.2.2. Các mô hình mạng riêng ảo thông dụng 1.2.2.1. VPN Remote Access VPN truy cập từ xa cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó. VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty. Theo mô hình mạng truyền thống(khi chưa thực hiện giải pháp VPN remote access ) để người dùng có thể truy cập từ xa yêu cầu: + Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa. + Kết nối Dialup tới mạng trung tâm + Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa Hình 1. Thiết lập truy cập từ xa không có VPN Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet. Hình 2. Thiết lập VPN truy cập từ xa 1.2.2.2. VPN site – to – site a. VPN cục bộ( Intranet VPN ). Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống. Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó. Theo mô hình mạng truyền thống (không sử dụng công nghệ VPN), mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian. Hình 3. Thiết lập Intranet sử dụng WAN Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn thì chi phí càng cao. Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet. Hình 4. Thiết lập Intranet dựa trên VPN Ưu điểm của việc thiếp lập dựa trên VPN là: - Loại trừ được các Router từ đường WAN xương sống. - Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới. - Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet. Tuy nhiên cũng có một số nhược điểm: - Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng. - Khả năng mất các gói dữ liệu khi truyền vẫn còn cao. - Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet. - Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo b. Mạng riêng ảo mở rộng (Extranet VPN) Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống. Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp Theo cách thức truyền thống Hình 5. Mạng Extranet truyền thống Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng. Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể. Hình 6. Mạng Extranet dựa trên VPN Ưu điểm chính của Extranet VPN là: + Chi phí rất nhỏ so với cách thức truyền thống. + Dễ thực thi, duy trì và dễ thay đổi + Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn + Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống. Tuy nhiên cũng có một số nhược điểm: + Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại + Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức + Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia. + Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật” 1.3. Các yêu cầu đối với VPN, ưu điểm, nhược điểm của VPN 1.3.1. Các yêu cầu đối với VPN Yêu cầu cơ bản đối với mạng riêng ảo là: Bảo mật, chất lượng dịch vụ,( QoS), tính sẵn sàng và tin cậy, khả năng tương thích, khả năng quản trị a. Bảo mật. Mạng riêng ảo phải đảm bảo tính bảo mật cao và toàn diện. Dữ liệu và tài nguyên trong mạng được bảo vệ theo các cách: - Thực thi kỹ thuật phòng thủ vòng ngoài( Firewall, NAT): chỉ cho phép các luồng lưu lượng đã được cấp quyền từ các nguồn tin cậy vào mạng. - Mã hóa: thực thi các cơ chế mã hóa dữ liệu để đảm bảo tính bí mật, xác thực và toàn vẹn cho dữ liệu khi truyền qua mạng không an toàn. IPSec nổi bật lên như một cơ chế mã hóa dữ liệu mạnh nhất. Ở đây, không chỉ mã hóa dữ liệu được truyền mà còn xác thực mỗi người dùng và từng gói dữ liệu riêng biệt. - Xác thực người dùng và gói dữ liệu: thiết lập định danh người dùng, quyết định người dùng có được phép truy cập vào các tài nguyên trong mạng hay không. Mô hình AAA là một ví dụ điển hình về hệ thống xác thực người dùng toàn diện. - Quản lý khóa: để mã hóa dữ liệu, VPN cần phải cung cấp khóa mật mã để tạo ra các đường hầm phiên. Do đó, cần phải tạo ra các khóa, phân phối, cập nhật và làm tươi chúng. b. Chất lượng dịch vụ ( QoS). Đảm bảo việc truyền dữ liệu trong suốt, không bị trễ, hạn chế lỗi ở mức thấp nhất. c. Tính sẵn sàng và tin cậy - Thời gian người dùng có thể truy cập vào mạng thường phụ thuộc và Isp và được đảm bảo bằng hợp đồng cung cấp dịch vụ. - Dữ liệu được phân phối đến người dùng trong mọi hoàn cảnh. d. Khả năng quản trị - Phải đảm bảo được toàn bộ các hoạt động và tài nguyên trong mạng. - Giám sát trạng thái thời gian thực, sự thực thi của VPN - ISP phải quản trị và kiểm soát những phần cơ sở hạ tầng của họ. e. Khả năng tương thích. - VPN phải tương thích với cả cơ sở hạ tầng mạng dựa trên IP và không dựa trên IP. - Với mạng trung gian dựa trên IP, VPN sử dụng Gateway IP để truyền các giao thức không IP thành IP ( chuyển đổi luồng lưu lượng), và đường hầm để đóng gói dữ liệu không IP thành gói dữ liệu IP. Đường hầm lúc này trở thành một thiết bị truyền tải. - Với trường hợp không sử dụng IP như Frame Relay, ATM thì công nghệ VPT được sử dụng. 1.3.2. Ưu nhược điểm của VPN a. Ưu điểm. Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet. Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường( giảm 60%-80% chi phí cho các máy trạm truy cập từ xa). Giảm chi phí thực hiện ( giảm chi phí cho các kênh thuê riêng đường dài – như các đường leased lines), và chi phí quản trị ( giảm được chi phí duy trì hoạt động và quản trị mạng WAN). Băng thông không hạn chế, chỉ phục thuộc vào tốc độ đường truyền Internet mà bạn sử dụng Nâng cao khả năng kết nối: số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn, không hạn chế về số lượng, tùy thuộc vào nhu cầu khai thác dữ liệu sẽ có mô hình VPN cụ thể phù hợp với loại hình kinh doanh của doanh nghiệp. Đảm bảo khả năng bảo mật các giao dịch nhờ công nghệ đường hầm, dữ liệu được bảo mật ở mức độ nhất định. Công nghệ đường hầm sử dụng các biện pháp bảo mật như: mã hóa, xác thực truy cập, và cấp quyền( xác thực truy cập và bảo mật hệ thống) nhằm đảm bảo tính an toàn, tin cậy, tính xác thực của dữ liệu được truyền – nhận. Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập vào hệ thống mạng riêng ảo trong nội bộ. Nâng cao khả năng mở rộng: vì dựa trên Internet, nên cho phép Internet của một công ty có thể dễ dàng mở rộng và phát triển. Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng và dễ dàng tương thích với sự phát triển trong tương lai. Sử dụng hiệu quả băng thông: trong kết nối Internet bằng đường leased – line, băng thông vẫn bị chiếm dụng khi không có kết nối nào hoạt động. VPN chỉ tạo đường hầm logic để truyền dữ liệu, chỉ sử dụng băng thông khi cần truyền dữ liệu. Do đó, giảm được nguy cơ lãng phí băng thông. b. Nhược điểm. Phụ thuộc quá nhiều và mạng trung gian: sự thực thi của một mạng VPN phụ thuộc vào sự thực thi của mạng Internet. Yêu cầu về chuẩn: cả hai đầu đường hầm đều phải dùng cùng một thiết bị để đảm bảo khả năng vận hành ( interoperability). Khó thiết lập và quản trị: những máy client từ xa cần được cấu hình với những tham số bảo mật đúng. Thêm vào đó, những đường hầm bảo mật giữa phải được tích hợp với firewall ( firewall hỗ trợ NAT). VPN không dễ dàng vận hành cùng với thiết bị NAT Mọi giao thông qua VPN đều được mã hóa bất chấp nhu cầu cần mã hóa hay không-> dễ dẫn đến hiện tượng nghẽn cổ chai. Không cung cấp bảo vệ bên trong mạng: VPN kết thúc ở đầu mạng. Một khi nhân viên đã vào bên trong mạng, dữ liệu không còn được mã hóa nữa. Hơn nữa, các VPN không thể giới hạn nhân viên khỏi sự truy cập thoải mái bất kỳ server nào trên mạng nội bộ 1.4. Các giao thức sử dụng trong VPN Các giao thức sử dụng trong VPN bao gồm các giao thức đường hầm tại tầng 2 và IPSec tại tầng 3. Các giao thức đường hầm tầng 2 là cơ sở để xây dựng VPN và bảo mật các giao dịch qua VPN. Một số sao giao thức đường hầm được thực hiện tại tầng 2- tầng liên kết dữ liệu của mô hình OSI bao gồm: giao thức hầm điểm – điểm( PPTP), giao thức chuyển tiếp lớp ( L2F), giao thức đường hầm lớp 2 ( L2TP).