Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
FA ( Foreign Agent ). Giao diện trương trình thường cư trú tại các nút
khởi tạo hoặc ở nút truy cập mạng (router) của hệ thống mạng. Các nút khởi tạo
dùng FA để yêu cầu một phiên VPN từ HA ở mạng đích.
Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu
cuối, tunneling đưa ra 4 thành phần yêu cầu sau :
Mạng đích (Target network): Là mạng trong đó chứa các dữ liệu tài
nguyên mà người dùng từ xa cần truy cập để sử dụng, là những người khởi tạo
ra phiên yêu cầu VPN (mạng đích cũng được hiểu như là mạng gia đình (home
network) trong một số tài liệu về VPN).
Nút khởi tạo (Initiator node): Người dùng khách hoặc máy chủ khởi tạo
phiên VPN. Nút khởi tạo có thể là một phần của mạng cục bộ hoặc có thể là
người dùng mobile sử dụng laptop.
I.6.Cấu trúc của VPN.
Tính tương thích :
- Hỗ trợ nhiều chuẩn giao thức.
Tính bảo mật:
- Password cho người dùng trong mạng.
- Mã hoá dữ liệu khi truyền.
- Đơn giản trong quản lý sử dụng.
Tính khả dụng:
- Tốc độ kêt nối.
- Chât lượng dịch vụ.
Khả năng hoạt động tương tác:
- Đồng bộ với thiết bị sử dụng.
Nhằm mục đích dễ hiểu hơn quá trình hoạt động của công nghệ
tunneling được chia làm 2 giai đoạn:
Giai đoạn 1 : Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên
làm việc VPN và được xác nhận HA tương ứng.
Giai đoạn 2: dữ liệu được thực sự chuyển qua mạng thông qua tunnel.
Trong giai đoạn I, một kết nối yêu cầu được khởi tạo và những tham số
phiên được đàm phán. (Giai đoạn này cũng có thể được xem như là giai đoạn
thiết lập tunnel). Nếu yêu cầu được chấp nhận và tham số phiên được đàm phán
thành công, một tunnel được thiết lập giữa hai nút thông tin đầu cuối.
Điều này xảy ra qua những việc chính sau :
1. Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng.
2. FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu
được cung cấp bởi người dùng.
3. Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ,
yêu cầu phiên làm việc VPN bị từ chối. Ngược lại, nếu quá trình xác nhận sự
thống nhất của FA thành công, nó sẽ chuyễn yêu cầu đến mạng đích HA.
. Trong quá trình nhận thông tin mã hóa, HA cởi bỏ tunnel header và
header của giao thức định tuyến, đưa gói dữ liệu trở về dạng nguyên bản của nó.
5
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
. Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần
đến trong mạng.
Figure 4-3: The process of transferring data across a tunnel.
Ghi chú :
Nếu 2 điểm đầu cuối không sử dụng cùng giao thức tunneling, một
số tham biến cấu hình tunnel như mã hóa, tham số nén, và cơ chế duy trì tunnel
cũng được đàm phán.
Với việc thiết lập tunnel, giai đoạn I được xem như đã xong và giai đoạn
II, hay giai đoạn chuyển giao dữ liệu, bắt đầu. Quá trình giao dịch trong giai
đoạn II này thực hiện qua các bước sau:
1. Nút khởi tạo bắt đầu chuyển hướng các gói dữ liệu đến FA.
2. FA tạo tunnel header và chèn nó vào từng gói dữ liệu. Thông tin header
của giao thức định tuyến (được đàm phán trong giai đoạn I) sau đó được gắn vào
gói dữ liệu.
3. FA chuyển hướng các gói dữ liệu đã mã hóa đến HA bằng cách sử
dụng tunnel number đã được cung cấp.
4. Nếu yêu cầu được HA chấp nhận, FA gửi login ID đã được mã hóa và
mật khẩu tương ứng đến nó.
5. HA kiểm chứng thông tin đã được cung cấp. Nếu quá trình kiểm
chứng thành công, HA gửi những Register Reply, phụ thuộc vào một số tunnel
đến FA.
6. Một tunnel được thiết lập khi FA nhận Register Reply và số tunnel.
* Định dạng gói dữ liệu VPN.
Như đã được mô tả ở phần trước, trước khi gói dữ liệu nguyên gốc được
phân phát đến mạng đích thông qua tunnel, nó đã được mã hóa bởi FA. Gói dữ
liệu mã hóa này được đề cập như một tunneled packet. Định dạng của một
tunneled packet được mô tả theo hình bên dưới.
Figure 4-4: The format of a tunneled packet
6
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Như đã thấy ở hình 4-4, một tunneled packet bao gồm 3 phần, bao gồm :
Header of the routable protocol . Phần đầu chứa địa chỉ nguồn (FA)
và đích (HA). Bởi vì quá trình giao dịch thông qua Internet chủ yếu là dựa trên
cơ sở IP, phần đầu này là phần IP header chuẩn phổ biến và chứa địa chỉ IP của
FA, HA tham gia trong quá trình giao dịch. Tunnel packet header. Phần đầu này
chứa 5 phần:
- Protocol type. Trường này chỉ ra loại giao thức của gói dữ liệu
nguyên gốc (hoặc pay-load).
- Kiểm tra tổng (Checksum). Phần này chứa thông tin kiểm tra tổng
quát liệu gói dữ liệu có bị mất mát trong suốt qua trình giao dịch. Thông tin này
tùy chọn.
- Khóa (Key). Thông tin này được dùng để nhận dạng hoặc xác nhận
nguồn thực của dữ liệu (bộ khởi tạo).
- Số tuần tự (Sequence number): Trường này chứa đựng 1 con số chỉ
ra số tuần tự của gói dữ liệu trong một loạt các gói dữ liệu đã và đang trao đổi.
- Source routing: Trường này chứa đựng thêm thông tin định tuyến,
phần này tuỳ chọn.
Payload. Gói dữ liệu nguyên gốc được gửi đến FA bởi bộ khởi tạo.
Nó cũng chứa đựng phần đầu nguyên gốc.
II. VPN VÀ BẢO MẬT INTERNET VPN.
II.1.1. Kiến trúc mạng VPN.
Đường hầm:phần ảo trong VPN.
Các kết nối được thiết lập trên nhu cầu tổ chức.
Một nối chỉ được tạo ra giữa 2 site khi cần thiết.
Việc tạo đường hầm tạo ra kết nối đặc biệt giữa 2 điểm cuối.
Việc tạo đường hầm tạo ra một kết nối đặc biệt giữa dòng dữ liệu và
thông tin người dùng.
Các dịch vụ bảo mật- phần riêng trong VPN.
Các dịch vụ bảo mật trong VPN bao gồm:
Xác thực.
Điều khiển truy cập.
Tin cậy.
Tính toàn vẹn dữ liệu.
Việc xác thực người dùng và tính tòan vẹn dữ liệu phụ thuộc vào các
tiến trình mã hóa.
7
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
II.1.2. Bảo mật trong VPN.
Tường lửa.
Mật mã truy cập:bao gồm mật mã riêng và mật mã chung.
Giao thức bảo mật Internet.
Máy chủ AAA (Authentication Authorization Accounting)- kiểm soát
việc cho phép thẩm định quyền truy cập.
Tường lửa.
Tường lửa (firewall): là rào chắn vững chắc giữa mạng riêng và Internet.
Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và
giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700
của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy
hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt
trước khi thiết lập VPN.
Mã truy cập.
Mật mã truy cập: là khi một máy tính mã hóa dữ liệu và gửi nó tới một
máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng
và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một
mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã
riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể
cài mã lên đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption): kết hợp mã riêng và một mã
công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do
máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó.
Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn
cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này
được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu
như bất cứ thứ gì.
II.1.3. Giao thức bảo mật giao thức Internet (IPSec).
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng
an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền
đăng nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu
đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước.
Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này.
Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa
trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa
dữ liệu giữa nhiều thiết bị khác nhau như router với router…
Máy chủ AAA.
AAA : là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng
để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới
từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những
8
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an
toàn.
II.2. Một số giao thức cho VPN.
- Bảo mật IP: là 1 chuẩn mở đảm bảo cho quá trình trao đổi dữ liệu được
an toàn.
- Giao thức đường hầm điểm-điểm: là sự lựa chọn thay thế cho giao thức
bảo mật IP.
- Giao thức đường hầm lớp 2: là giao thức đảm bảo cho vận chuyển dữ
liệu trên Internet được an tòan.
IP Security (IPSec).
IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở
đảm bảo chắc chắn quá trình trao đổi dữ liệu được an toàn và phương thức xác
nhận người dùng qua mạng công cộng. Không giống với những kỹ thuật mã hoá
khác, IPSec thực hiện ở tầng thứ 7 trong mô hình OSI (Open System
Interconnect). Vì thế, chúng có thể chạy độc lập so với các ứng dụng chạy trên
mạng. Và vì thế mạng của bạn sẽ được bảo mật hơn mà không cần dùng bất kỳ
chương trình bảo mật nào.
Point-to-point Tunneling Protocol.
(PPTP) : Phát triển bởi Microsoft, 3COM, và Ascend Communications,
PPTP là một sự chọn lựa để thay thế cho IPSec. Tuy nhiên IPSec vẫn còn được
sử dụng nhiều trong một số Tunneling Protocol. PPTP thực hiện ở tầng thứ 2
(Data Link Layer).
Layer 2 Tunneling Protocol (L2TP)
Ðược phát triển bởi Cisco System , L2TP được dự định sẽ thay thế cho
IPSec. Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên Internet. L2TP
là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng để đóng
gói các frame sữ dụng giao thức Point-to-point để gởi qua các loại mạng như
X.25, FR, ATM.
Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco
System để đảm bảo việc vận chuyễn dữ liệu trên mạng Internet được an toàn.
II.3. Kiến trúc VPN của Cisco.
Khối truy cập VPN.
Khối truy cập làm nền cho các ứng dụng thương mại được thiết kế tuân
theo các yêu cầu và quy định giống như mạng riêng của công ty.
Khối bảo mật.
Kiến trúc xác thực.
Trong môi trường truy cập VPN, khía cạnh bảo mật quan trọng nhất liên
quan đến việc nhận ra một người dùng của công ty và thiết lập đến một đường
hầm đến cổng nối của công ty. Cổng nối này phải có khả năng xác thực được
ngưới dùng, các quyền truy cập và tính cước.
Xác thực đơn phương.
9
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Để xác thực người dùng đầu tiên Client sẽ thiết lập kết nối mạng cung
cấp dịch vụ thông qua một POP, sau đó kết nối thiết lập thứ hai với mạng khách
hàng.
Các điểm cuôí trong truy cập đường hầm của VPN xác thực với nhau.
Kế tiếp người dùng kết nối với các thiết bị đầu cuối khách hàng (CPE). Các
cổng nối người dùng sử dụng giao thức phân tích chất lượng thành viên và giao
thức Internet nối tiếp SLIP (Serial Line Internet Protocol) và được xác thực
thông qua các một giao thức xác định tên mật khẩu như: PAP (Password
Authentication Protocol), giao thức xác định yêu cầu bắt tay CHAP (Chanllenge
Handshak Protocol) hay một hệ thống điều khiển truy nhập cứng.
Đây là kiến trúc điển hình của VPN.
VPN Logical.
10
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Khách hàng tiềm năng cuả VPN.
Mô hình mạng cơ bản lớp 3 của VPN.
11
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Tunelling.
II.4. Mô hình xác thực
a.Xác thực đơn phương
b. Mô hình xác thực song phương.
Đầu tiên, người dùng sẽ quay số đến điểm truy cập POP của ISP, sau đó
ISP sẽ nhận diện người gọi thông qua một số nhận diện chung. Máy chủ truy cập
mạng NAS (Network access Server) sẽ biết được số nhận diện này thuộc mạng
khách hàng nào. Kế tiếp, NAS sẽ thiếp lập một đường hầm với cổng nối phiá
12
Internet VPN
Mobile
Customer
Telecommuser
POP
Nhµ cung cÊp dÞch vô
Internet
Cæng nèi c«ng ty
Central Site cña c«ng ty
X¸c thùc C
X¸c thùc C
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
khách hàng. Cuối cùng, người dùng được xác thực lần thứ hai bởi cổng nối phía
mạng công ty
Mô hình xác thực song phương.
II.5. Firewall.
C Cisco IPX Firewall cho phép 64000 kết nối hoạt động cùng một lúc,
hoạt đ ộng dựa trên thuật toán bảo mật tương thích ASA (Adaptive security
Aloritm), thu ật toán này bảo mật đến các mạng máy nội bộ.
Các đặc điểm chính:
-Điều khiển truy cập dựa ngữ cảnh CBAC (Context-based access
control):
Cung cấp bảo mật, lọc các ứng dụng cho lưu lượng IP, cung cấp các
giao thức mới nhất.
- Java bloking-bảo mật chống lại Java applet nguy hiểm chỉ cho phép
các apple từ các nguồn đáng tin cậy.
- Phát hiện và ngăn ngừa từ chối các dịch vụ (Denial-of-service
detection and prevention) để bảo mật các tài nguyên bộ định tuyến chống lại các
tấn công thông thường.
- Cảnh báo thời gian thực (real-time alert) cảnh báo trong trường hợp
của các tấn công từ chối các dịch vụ và các tình trạng đặc biệt khác.
- Theo dõi và kiểm tra (audit trail): do tìm người truy cập bằng thời gian,
địa chỉ, nguồn và đích, cộng tổng số byte được chuyển đi.
Mô hình bức tường lửa (1).
13
Internet VPN
Mobile
Customer
Telecommuser
POP
Nhµ cung cÊp dÞch vô
Internet
Cæng nèi c«ng ty
X¸c thùc C
X¸c thùc I
Central Site cña c«ng ty
X¸c thùc C
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
VPN nằm phía trước firewall.
Mô hình bức tường lửa (2).
VPN server năm phía sau Firewall.
III. Thiết kế phần cứng VPN.
Phần cứng VPN.
Một số kết nối VPN.
Giải pháp VPN của Cissco
III.1. Phần cứng VPN.
VPN hoạt động dựa trên nguyên lý lợi dụng cơ sở hạ tầng của mạng
công cộng đã có để xây dựng mạng riêng.
Một trong những điểm khác nhau giữa sản phẩm thông dụng hiện nay
là ở các thiết bị đường hầm. Một cổng nối bảo mật có thể tạo ra một đường hầm
để liên kết với Lan đến một cổng nối khác hoặc chỉ một host đầu xa có thể tạo ra
một đường hầm để kết nối một cổng nối và Lan mà không có số.
Khi khách hàng không đủ tài nguyên thì một sản phẩm duy nhất được
tích hợp các chức năng khác nhau có sức lôi quấn đặc biệt. Việc cài đặt một
đường hầm có thể khiến cho việc thiết lập một VPN trở lên dễ dàng hơn.
Một trong những vấn đề lớn nhất đối với các thiết bị là hỗ trợ việc
đồng bộ hoá.
Yêu cầu thiết kế VPN.
14
Không có nhận xét nào:
Đăng nhận xét