Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Network Infrastructure > Windows Server 2008
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #1  
Old 25-05-2011, 15:21
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
Cần các pro giúp đỡ về đề tài VPN trên 2k8

Em mới nhận đề tài này, mong các anh chị giúp đỡ, nhận xét giùm cách làm, trình bày.....
Sau đây là dàn ý mà em đã soạn:

Phần 1: Lý luận tổng quan về VPN 2008
1.1 Các khái niệm
1.1.1 Định nghĩa VPN.
1.1.2 Các giao thức trên nền mạng VPN 2008
1.1.2.1 IP Security (IPSec):
1.1.2.2 Point-to-Point Tunneling Protocol (PPTP).
1.1.2.3 Layer 2 Tunneling Protocol (L2TP).
1.1.2.4 Secure Secure Socket Tunneling Protocol (SSTP)
1.2 Các loại mạng VPN trong thực tiễn
1.2.1 Remote Access VPNs
1.2.2 VPN Site - to -Site
1.2.2.1 Intranet VPNs:
1.2.2.2 Extraner VPNs:
1.3 Các đòi hỏi của mạng VPN
1.3.1 Các đòi hỏi về công nghệ mạng .
1.3.1.1 Phần mềm VPN
1.3.1.2 Cơ sở hạ tầng an ninh của tổ chức
a. Tường lửa
b.Sự dịch chuyển địa chỉ mạng
c.Sự xác thực của server và cơ sở dữ liệu
d. Kiến trúc AAA
e. Giao thức IPSec
1.3.1.3 Cơ sở hạ tầng hổ trợ bởi nhà cung cấp dịch vụ
1.3.1.4 Các mạng công cộng
1.3.2 Các đòi hỏi của VPN về trang thiết bị
a. VPN Servers:
b. VPN Clients
c. VPN Routers, Concentrators và gateways
1.3.3. Nguyên tắc bảo mật và an toàn mạng thông tin.
1.3.3.1. Xác nhận người dùng và quản lý truy cập
a. Xác nhận người dùng
b. Quản lý truy cập
1.3.3.2. Mã hóa dữ liệu
a.Hệ thống mã hóa đồng bộ
b.Hệ thống mã không đồng bộ
1.3.3.3.Cơ sở hạ tầng khóa chung (Public Key Infrastructure - PKI)
1. Các thành phần PKI
a. Khách hàng PKI
b. Certification Authority (CA)
c. Registration Authority ( RA)
d. Các giấy chứng nhận số
e. Hệ thông phân phối giấy chứng nhận
2. Các giao dịch dựa trên PKI
3. Hiện thực PKI
a. Cấu trúc CA đơn
b. Cấu trúc danh sách tin cậy
c. Cấu trúc có thứ bậc
d. Cấu trúc mắt lưới
e. Cấu trúc PKI hỗn hợp
1.4 Các bước phát triển mạng VPN .
1.Phân lớp các công việc cơ bản:
2. Chọn các thiết bị và nhà cung cấp dịch vụ
3.Kiểm tra kết quả
4.Thiết kế và thiết lập giải pháp
5.Quản lý và giám sát
1.5. Lợi ích của mạng VPN
1.6 Những hạn chế và mặt trái của mạng VPN .
Phần 2: thực hiện mô hình VPN trên window 2008 server
2.1 Mô hình Remote Access VPNs
2.2 Mô hình VPN Site - to -Site

Phần 3: Phụ lục
3.1 Upgrade window 2003 server to window 2008 server
3.2 Các thuật ngữ viết tắt trong đề tài

thay đổi nội dung bởi: thienlong481990, 27-05-2011 lúc 13:00
Trả Lời Với Trích Dẫn
Đã có 2 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
  #2  
Old 25-05-2011, 15:38
kunngoc kunngoc vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Jan 2011
Tuổi: 32
Bài gởi: 825
Thanks: 125
Thanked 256 Times in 228 Posts
- phần 1.3.1.1: phần mềm VPN (cài này mình không hiểu ý bạn thế nào, VPN làm gì có phần mềm?)
- phần 2:
2.1: bạn định show ra tất cả mô hình VPN hay chỉ 1 mô hình thôi? có demo hay không? (nếu làm đề tài bảo vệ theo mình nên làm demo)
2.2: câu hỏi giống câu 2.1
-phần 3: Upgrade window 2003 server to window 2008 server
từ đầu bạn đã không nói gì về Win 2k3, tự dưng phụ lục có cài này mình thấy không hợp lý lắm
Trả Lời Với Trích Dẫn
  #3  
Old 26-05-2011, 13:02
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
Trích:
Nguyên văn bởi kunngoc View Post
- phần 1.3.1.1: phần mềm VPN (cài này mình không hiểu ý bạn thế nào, VPN làm gì có phần mềm?)
- phần 2:
2.1: bạn định show ra tất cả mô hình VPN hay chỉ 1 mô hình thôi? có demo hay không? (nếu làm đề tài bảo vệ theo mình nên làm demo)
2.2: câu hỏi giống câu 2.1
-phần 3: Upgrade window 2003 server to window 2008 server
từ đầu bạn đã không nói gì về Win 2k3, tự dưng phụ lục có cài này mình thấy không hợp lý lắm
thanks bạn đã nhận xét
về phần 1.3.1.1 VPN chia làm 2 loại software và hardware.
(bạn có thể search "VPN software" tại google thì sẽ thấy)
Về phần 2 Mình dự định làm như sau:
2.1 mô hình Client to Site
2.2 mô hình Site to Site
Mình sẽ trình bày trong phần báo cáo và sẽ quay lại clip thực hiện
Về phần 3 Lúc đầu mình ko dự định đưa phần upgrade 2k3 lên 2k8 nhưng theo như tình hình hiện nay, đa số các doanh nghiệp vẫn còn sử dụng 2k3 server. Nhưng trong 1 thời gian nữa, xu hướng tất yếu là phải nâng cấp lên 2k8. Nếu cài mới thì sẽ mất hết dữ liệu, vậy phương pháp upgrade là hợp lý. Đề tài của mình là VPN trên 2k8 server. Nếu chưa upgrade lên 2k8 làm sao có thể sử dụng VPN của 2k8 server
Trả Lời Với Trích Dẫn
  #4  
Old 27-05-2011, 12:59
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
Định nghĩa này ổn chưa nhỉ
1.1.1 Định nghĩa VPN.
Mạng riêng ảo hay còn gọi là từ viết tắt VPN (Virtual Private Network), đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm. Một cuộc điện thoại giữa hai cá nhân là một ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công cộng. Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý.
Hai đặc điểm quan trọng của công nghệ VPN là “riêng” và “ảo” tương ứng với hai thuật ngữ “ Virtual” và “Private”. Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point.

VPN Reconnect: Điểm mới của VPN trên Window 2008 Server R2:


Trong khi DirectAccess là công nghệ có thể thay thế cho VPN thì VPN Reconnect, một công nghệ VPN mới có trong Windows Server 2008 R2 lại tương tự như các giao thức VPN khác, chẳng hạn như PPTP và L2TP/IPsec. Nó sử dụng cùng một VPN connectoID vẫn được sử dụng bởi các giao thức VPN này. Mặc dù vậy, khác biệt lớn giữa các giao thức VPN và VPN Reconnect là: với VPN Reconnect, kết nối tự động được thiết lập lại khi bị mất kết nối. Trong khi đó, nếu kết nối VPN bị mất, người dùng sẽ không nhận được thông báo rằng kết nối bị mất và yêu cầu có muốn kết nối lại hay không. Thay vì đó phần mềm sẽ kết nối lại cho họ.
Cách thức này tỏ ra rất thuận tiện cho người dùng di động. Cho ví dụ, giả định bạn đang sử dụng kết nối Wireless WAN thông qua một tài khoản nào đó. Lúc này bạn đang ở trên tàu và kiểm tra email hay làm việc với các tài liệu gì đó… Mọi thứ hiện đang diễn ra như mong đợi thì đó đoàn tàu đi qua đoạn đường hầm. Trong đường hầm kết nối Internet bị đứt vì không có sóng vô tuyến. Mặc dù đang làm việc với các email trong Outlook cùng thời điểm đó thì bạn vẫn không nhận ra rằng kết nối của mình bị rớt (đó là kết nối VPN Reconnect). Khi đoàn tàu đi ra khỏi đường hầm, Internet được kết nối trở lại và kết nối VPN Reconnect tự động được thiết lập lại. Tất cả những điều này xảy ra ở chế độ background do đó người dùng không hề hay biết rằng kết nối Internet của mình bị rớt trong thời gian tàu đi qua đường hầm.
VPN Reconnect sử dụng IKEv2, áp dụng các tính năng mới qua khả năng di động IKEv2 và kỹ thuật multihoming (kỹ thuật tăng độ tin cậy) được mô tả trong RFC4555. Bạn cần phải có Windows Server 2008 R2 và các máy khách Windows 7 để sử dụng VPN Reconnect. Các phiên bản Windows trước đây không có tính năng này.

thay đổi nội dung bởi: thienlong481990, 01-06-2011 lúc 13:03
Trả Lời Với Trích Dẫn
Đã có 2 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
  #5  
Old 30-05-2011, 15:29
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
1.1.2 Các giao thức trên nền mạng VPN
Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là L2TP, Cisco GRE và Ipsec.
1.1.2.1 IP Security (IPSec):

a) Giới thiệu

IPSec không phải là một giao thức. Nó là một khung của các tập giao thức chuẩn mở được thiết kế để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu.

IPSec chạy ở lớp 3 và sử dụng IKE để thiết lập SA giữa các đối tượng ngang hàng. Dưới đây là các đối tượng cần được thiết lập như là một phần của sự thiết lập SA.
 Thuật toán mã hoá.
 Thuật toán băm (Hash).
 Phương thức xác thực.
 Nhóm Diffie-Hellman.
Chức năng của IPSec là để thiết lập sự bảo mật tương ứng giữa hai đối tượng ngang hàng. Sự bảo mật này xác định khoá, các giao thức, và các thuật toán được sử dụng giữa các đối tượng ngang hàng. Các SA IPSec có thể chỉ được thiết lập như là vô hướng.
Sau khi gói tin được chuyển tới tầng mạng thì gói tin IP không gắn liền với bảo mật. Bởi vậy, không cam đoan rằng IP datagram nhận được là:
- Từ người gửi yêu cầu.
- Dữ liệu gốc từ người gửi.
- Không bị kiểm tra bởi bên thứ 3 trong khi gói tin đang được gửi từ nguồn tới đích.
IPSec là một phương pháp để bảo vệ IP datagram. IPSec bảo vệ IP datagram bằng cách định nghĩa một phương pháp định rõ lưu lượng để bảo vệ, cách lưu lượng đó được bảo vệ và lưu lượng đó được gửi tới ai. IPSec có thể bảo vệ gói tin giữa các host, giữa cổng an ninh mạng, hoặc giữa các host và cổng an ninh. IPSec cũng thực hiện đóng gói dữ liệu và xử lý các thông tin để thiết lập, duy trì, và hủy bỏ đường hầm khi không dùng đến nữa. Các gói tin truyền trong đường hầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như các ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý.
Nó là tập hợp các giao thức được phát triển bởi IETF để hỗ trợ sự thay đổi bảo mật của gói tin ở tầng IP qua mạng vật lý. IPSec được phát triển rộng rãi để thực hiện VPN. IPSec hỗ trợ hai chế độ mã hóa: transport và tunnel
Chế độ transport chỉ mã hóa phần payload của mỗi gói tin, nhưng bỏ đi phần header không sờ đến. Ở bên nhận, thiết bị IPSec_compliant sẽ giải mã từng gói tin.
Mode transport bảo vệ phần tải tin của gói dữ liệu, các giao thức ở lớp cao hơn, nhưng vận chuyển địa chỉ IP nguồn ở dạng “clear”. Địa chỉ IP nguồn được sử dụng để định tuyến các gói dữ liệu qua mạng Internet. Mode transport ESP được sử dụng giữa hai máy, khi địa chỉ đích cuối cùng là địa chỉ máy của chính bản thân nó. Mode transport cung cấp tính bảo mật chỉ cho các giao thức lớp cao hơn.
Nhược điểm của chế độ này là nó cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (như phân tích lưu lượng) dựa trên các thông tin của tiêu đề IP. Tuy nhiên, nếu dữ liệu được mã hóa bởi ESP thì sẽ không biết được thông tin cụ thể bên trong gói tin IP là gì. Theo IETF thì chế độ truyền tải chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện IPSec.
Chế độ tunnel mã hóa cả phần header và payload để cung cấp sự thay đổi bảo mật nhiều hơn của gói tin. Ở bên nhận, thiết bị IPSec_compliant sẽ giải mã từng gói tin. Một trong nhiều giao thức phổ biến được sử dụng để xây dựng VPN là chế độ đường hầm IPSec.
Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPSec thay cho các trạm cuối (host). Khi sử dụng chế độ đường hầm, các đầu cuối của IPSec-VPN không cần phải thay đổi ứng dụng hay hệ điều hành.

IPSec được phát triển cho lí do bảo mật bao gồm tính toàn vẹn không kết nối, xác thực dữ liệu gốc, anti_replay, và mã hóa. IETF định nghĩa theo chức năng của IPSec.
 Tính xác thực: Mọi người đều biết là dữ liệu nhận được giống với dữ liệu được gửi và người gửi yêu cầu là người gửi hiện tại.
 Tính toàn vẹn: Đảm bảo rằng dữ liệu được truyền từ nguồn tới đích mà không bị thay đổi hay có bất kỳ sự xáo trộn nào.
 Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu lấy được cũng không đọc được.
 Mã hóa: Một cơ cấu cơ bản được sử dụng để cung cấp tính bảo mật.
 Phân tích lưu lượng: Phân tích luồng lưu lượng mạng cho mục đích khấu trừ thông tin hữu ích cho kẻ thù. Ví dụ như thông tin thường xuyên được truyền, định danh của các bên đối thoại, kích cỡ gói tin, định danh luồng sử dụng, vv..
 SPI: Viết tắt của chỉ số tham số an toàn (security parameter index), nó là chỉ số không có kết cấu rõ ràng, được sử dụng trong liên kết với địa chỉ đích để định danh liên kết an toàn tham gia.
Phương pháp bảo vệ IP datagram bằng cách sử dụng một trong các giao thức IPSec, Encapsulate Security Payload (ESP) hoặc Authentication Header (AH). AH cung cấp chứng cứ gốc của gói tin nhận, toàn vẹn dữ liệu, và bảo vệ anti_replay. ESP cung cấp cái mà AH cung cấp cộng với tính bảo mật dữ liệu tùy ý. Nền tảng bảo mật được cung cấp bởi AH hoặc ESP phụ thuộc vào thuật toán mã hóa áp dụng trên chúng.
Dịch vụ bảo mật mà IPSec cung cấp yêu cầu khóa chia sẻ để thực hiện tính xác thực và bảo mật. Giao thức khóa chia sẻ là Internet Key Exchange (IKE), là một phương pháp chuẩn của xác thực IPSec, dịch vụ thương lượng bảo mật, và phát sinh khóa chia sẻ.
b) Liên kết an toàn

Một liên kết an toàn SA là một liên kết đơn hình, mà các dịch vụ bảo mật cho phép truyền tải nó. Một SA chính là một sự thỏa thuận giữa hai đầu kết nối cùng cấp chẳng hạn như giao thức IPSec. Hai giao thức AH và ESP đều sử dụng SA, và nó là chức năng chính của giao thức trao đổi khóa IKE. Vì SA là liên kết đơn hình (có nghĩa là chúng chỉ liên kết theo một hướng duy nhất) cho nên các SA tách biệt được yêu cầu cho các lưu lượng gửi và nhận. Các gói SA được sử dụng để mô tả một tập hợp các SA mà được áp dụng cho các gói dữ liệu gốc được đưa ra bởi các host. Các SA được thỏa thuận giữa các kết nối cùng cấp thông qua giao thức quản lý khóa chẳng hạn như IKE. Khi thỏa thuận của một SA hoàn thành, cả hai mạng cùng cấp đó lưu các tham số SA trong cơ sở dữ liệu liên kết an toàn (SAD) của chúng. Một trong các tham số của SA là khoảng thời gian sống (life time) của nó. Khi khoảng thời gian tồn tại của một SA hết hạn, thì SA này sẽ được thay thế bởi một SA mới hoặc bị hủy bỏ. Khi một SA bị hủy bỏ, chỉ mục của nó sẽ được xóa bỏ khỏi SAD. Các SA được nhận dạng duy nhất bởi một bộ ba chứa chỉ số của tham số liên kết an toàn SPI, một địa chỉ IP đích, và một giao thức cụ thể (AH hoặc ESP). SPI được sử dụng kết hợp với địa chỉ IP đích và số giao thức để tra cứu trong cơ sở dữ liệu để biết được thuật toán và các thông số liên quan.
Chính sách
Chính sách IPSec được duy trì trong SPD. Mỗi cổng vào của SPD định nghĩa lưu lượng được bảo vệ, cách để bảo vệ nó và sự bảo vệ được chia sẻ với ai. Với mỗi gói tin đi vào và rời khỏi hàng đợi IP, SPD phải được tra cứu.
Một cổng vào SPD phải định nghĩa một trong ba hoạt động:
 Discard: không để gói tin này vào hoặc ra.
 Bypass: không áp dụng dịch vụ bảo mật cho gói tin đi ra và không đòi hỏi bảo mật trên gói tin đi vào.
 Protect: áo dụng dịch vụ bảo mật trên gói tin đi ra và yêu cầu gói tin đi vào có áp dụng dịch vụ bảo mật.

Lưu lượng IP được tạo ra thành chính sách IPSec bởi người chọn lựa. Người lựa chọn IPSec là: địa chỉ IP đích, địa chỉ IP nguồn, tên hệ thống, giao thức tầng trên, cổng nguồn và cổng đích và độ nhạy của dữ liệu.
SPD ghi vào định nghĩa hoạt động “bảo vệ” sẽ được chỉ rõ trên SA mà định danh trạng thái sử dụng để bảo vệ gói tin. Nếu một cổng vào SPD không được chỉ định rõ trong bất kỳ SA nào trong cơ sở dữ liệu SA (SAD), SA này sẽ phải được tạo trước khi bất kỳ lưu lượng nào có thể đi qua. Nếu luật được áp dụng tới lưu lượng đi vào và SA không tồn tại trong SAD, gói tin sẽ bị bỏ đi. Nếu nó được áp dụng cho lưu lượng đi ra, SA có thể được tạo khi sử dụng IKE.
Kiến trúc IPSec định nghĩa sự tương tác của SAD và SPD với chức năng xử lý IPSec như đóng gói và dỡ gói, mã hóa và giải mã, bảo vệ tính toàn vẹn và xác minh tính toàn vẹn. Nó cũng định nghĩa cách thực thi IPSec khác nhau có thể tồn tại.
Khi nhận được gói tin vào máy tính thì đầu tiên máy tính đó tham khảo cơ sở dữ liệu về chính sách. Trong trường hợp cần xử lý thì xử lý header, tham khảo cơ sở dữ liệu, tìm đến SA tương ứng.


Khi gói tin ra từ một máy thì cũng phải tham khảo cơ sở dữ liệu chính sách. Có thể xảy ra 3 trường hợp:
- Cấm hoàn toàn, gói tin không được phép truyền qua.
- Được truyền qua nhưng không có mã hóa và xác thực.
- Có SA tương ứng
c) Giao thức xác thực tiêu đề AH


Authentication Header (AH) là một giao thức khóa trong kiến trúc IPSec. Nó cung cấp tính xác thực và tính toàn vẹn cho IP datagram.
Nó có thể hoàn thành việc này bằng cách áp dụng “Hàm băm khóa một chiều” cho datagram để tạo tin nhắn giản lược. Khi người nhận thực hiện giống chức năng băm một chiều trên datagram và thực hiện so sánh với giá trị của bản tin giản lược mà người gửi đã cung cấp, anh ấy sẽ phát hiện ra một phần của datagram bị thay đổi trong suốt quá trình quá độ nếu bất kỳ trường gốc nào bị thay đổi. Theo cách này, tính xác thực và toàn vẹn của tin nhắn có thể được đảm bảo khi sử dụng một mã bí mật giữa hai hệ thống bởi hàm băm một chiều.
AH cũng có thể ép buộc bảo vệ anti_replay (chống phát lại) bằng cách yêu cầu host nhận đặt bit replay trong header để chỉ ra rằng gói tin đã được nhìn thấy. Mặc dù không có bảo vệ này, kẻ tấn công có thể gửi lại gói tin tương tự nhiều hơn một lần.
Chức năng AH được áp dụng cho toàn bộ datagram trừ bất kỳ trường IP header nào thay đổi từ trạng thái này sang trạng thái khác. AH không cung cấp mã hóa và bởi vậy không cung cấp tính bảo mật và tính riêng tư.

Các bước hoạt động của AH:
Bước
Bước 1 Toàn bộ gói tin IP (bao gồm header và data payload) được thực hiện qua một hàm băm một chiều.
Bước2 Mã băm (tin nhắn giản lược) được sử dụng để xây dựng AH header mới, tiêu đề này được gắn thêm vào gói tin gốc.
Bước 3 Gói tin mới được truyền tới IPSec router ở đích.
Bước 4 Router khác ở đích thực hiện băm IP header và data payload, kết quả thu được một mã băm. Sau đó, nó so sánh với mã băm được truyền từ AH header. Hai hàm băm phải giống nhau. Nếu chúng khác nhau, bên thu lập tức phát hiện tính không toàn vẹn của dữ liệu.
Việc xử lý AH phụ thuộc vào chế độ hoạt động của IPSec và phiên bản sử dụng của giao thức IP.

Cấu trúc gói tin AH
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của gói IP, ở giữa phần tiêu đề IP và tiêu đề lớp 4. Bởi AH được liên kết với IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được bảo vệ và lưu lượng nào không cần phải sử dụng giải pháp an toàn giữa các bên. Ví dụ như có thể chọn để xử lý an toàn lưu lượng email nhưng không cần đối với các dịch vụ web.
Ý nghĩa của các trường trong tiêu đề AH như sau:
 Next Header ( tiêu đề tiếp theo). Có độ dài 8 bit để nhận dạng loại dữ liệu của phần tải tin theo sau AH.
 Payload Length ( độ dài tải tin). Có độ dài 8 bit và chứa độ dài của tiêu đề AH được biểu diễn trong các từ 32 bit, trừ đi 2. Ví dụ, trong trường hợp của thuật toán toàn vẹn mang lại một giá trị xác minh 96 bit (3 x 32 bit), cộng với 3 từ 32 bit cố định thì trường độ dài này có giá trị là 4. Với Ipv6, tổng độ dài của tiêu đề phải là bội của các khối 8 bit.
 Reserved ( dự trữ). Trường 16 bit này dự trữ cho ứng dụng trong tương lai. Giá trị của trường này có thể đặt bằng 0 và có tham gia trong việc tính dữ liệu xác thực.
 Security Parameters Index ( SPI-chỉ số thông số an ninh). Trường này có độ dài 32 bit, cùng với địa chỉ IP đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu. Các giá trị SPI từ 1 đến 255 được dành riêng để sử dụng trong tương lai. SPI là trường bắt buộc và thường được lựa chọn bởi phía thu khi thiết lập SA. Giá trị SPI bằng 0 được sử dụng cục bộ và có thể dùng để chỉ ra rằng chưa có SA nào tồn tại.
 Sequence Number (số thứ tự). Đây là trường 32 bit không dấu chứa một giá trị mà khi mỗi gói được gửi đi thì tăng một đơn vị. Trường này là bắt buộc và luôn được đưa vào bởi bên gửi ngay cả khi bên nhận không sử dụng dịch vụ chống phát lại. Bộ đếm bên gửi và bên nhận được khởi tạo ban đầu là 0, gói đầu tiên có số thứ tự là 1. Nếu dịch vụ chống phát lại được sử dụng thì chỉ số này không thể lặp lại. Khi đó, đẻ tránh trường hợp bộ đếm bị tràn và lặp lại các số thứ tự, sẽ có yêu cầu kết thúc phiên truyền thông và một SA mới được thiết lập trước khi truyền gói thứ 2 của SA hiện hành.
 Authentication Data ( dữ liệu xác thực). Còn được gọi là giá trị kiểm tra tính toàn vẹn ICV (Integrity Check Value), có độ dài thay đổi và bằng số nguyên lần của 32 bit đối với IPv4 hay 64 bit đối với IPv6. Nó có thể chứa đệm để lấp đầy cho đủ là bội số của các khối bit như trên. ICV được tính toán sử dụng thuật toán xác thực, bao gồm mã xác thực bản tin (MAC-Message Authentication Code). MAC đơn giản có thể là thuật toán mã hóa MD5 hoặc SHA-1. Các khóa dùng cho mã hóa AH là khóa xác thực bí mật được chia sẻ giữa các đối tượng tryền thông, có thể là một số ngẫu nhiên, không thể đoán trước được. Tính toán ICV được thực hiện đối với gói tin mới đưa vào. Bất kì trường nào có thể biến đổi của tiêu đề IP đều được cài đặt bằng 0, dữ liệu lớp trên được giả sử là không biến đổi. Mỗi bên đầu cuối VPN sẽ tính toán giá trị ICV này một cách độc lập. Nếu ICV tính toán được ở phía thu và ICV do phía phát truyền đến so sánh với nhau mà không phù hợp thì gói tin bị loại bỏ. Bằng cách như vậy sẽ bảo đảm rằng gói tin không bị giả mạo.
d) Giao thức đóng gói tải tin an toàn ESP.

Encapsulation Security Payload (ESP) là một giao thức khóa trong IPSec, nó cung cấp tính toàn vẹn và bảo mật (mã hóa) cho IP datagram. ESP cũng có thể được sử dụng để mã hóa toàn bộ IP datagram hoặc phân đoạn tầng vận chuyển (ví dụ TCP, UDP, ICMP, IGMP). Có hai chế độ mà ESP có thể thực hiện: chế độ tunnel và chế độ transport.
Trong chế độ tunnel ESP, IP datagram gốc được đưa vào phần mã hóa của ESP và toàn bộ khung ESP được đặt vào trong một datagram có tiêu đề IP chưa mã hóa. Phần chưa mã hóa của datagram cuối cùng có chứa thông tin định tuyến cho đường hầm IP. Chế độ tunnel là cơ bản nhất được sử dụng giữa hai gateway hoặc từ trạm cuối tới một gateway.
Chế độ transport ESP mã hóa giao thức tầng vận chuyển và chèn vào một tiêu đề ESP ngay trước tiêu đề giao thức mã hóa. IP datagram mới không được phát sinh và chế độ này giữ gìn băng thông. Chế độ transport được sử dụng giữa hai trạm cuối hoặc giữa trạm cuối và một cổng an ninh nếu cổng an ninh được coi như một host (ví dụ như telnet từ một máy tính tới một cổng an ninh).
Việc xử lý ESP phụ thuộc vào chế độ hoạt động của IPSec và phiên bản sử dụng của giao thức IP.

Cấu trúc gói tin ESP
Các trường trong gói tin ESP có thể là bắt buộc hay tùy chọn. Những trường bắt buộc luôn có mặt trong tất cả các gói ESP. Việc lựa chọn một trường tùy chọn được định nghĩa trong quá trình thiết lập liên kết an ninh. Như vậy, khuôn dạng ESP đối với một SA là cố định trong khoảng thời gian tồn tại của SA đó.
Sau đây là ý nghĩa của các trường trong cấu trúc gói tin ESP.
 SPI (chỉ số thông số an ninh). Là một số bất kỳ 32 bit, cùng với địa chỉ IP đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu. Các giá trị SPI từ 0 đến 255 được dành riêng để sử dụng trong tương lai. SPI là trường bắt buộc và thường được lựa chọn bởi phía thu khi thiết lập SA.
 Sequence Number ( số thứ tự). Tương tự như trường số thứ tự của AH.
 Payload Data ( dữ liệu tải tin). Đây là trương bắt buộc, bao gồm một số lượng biến đổi các byte dữ liệu gố hoặc một phần dữ liệu yêu cầu bảo mật đã được mô tả trong trường Next Header. Trường này được mã hóa cùng với thuật toán mã hóa đã lựa chọn trong suốt quá trình thiết lập SA. Nếu thuật toán yêu cầu các vectơ khởi tạo thì nó cũng được bao gồm ở đây. Thuật toán thường được dùng để mã hóa ESP là DES-CBC. Đôi khi các thuật toán khác cũng được hỗ trợ như 3DES hay CDMF.
 Padding (đệm). Có nhiều nguyên nhân dẫn đến sự có mặt của trường đệm như:
 Nếu thuật toán mật mã sử dụng yêu cầu bản rõ (Clear-text) phải là số nguyên lần các khối byte ( ví dụ trường mã khối) thì trường đệm được sử dụng để điền đầy vào phần bản rõ này ( bao gồm Payload Data, Pad Length, Next Header và Padding) sao cho đạt tới kích thước theo yêu cầu.
 Trường đệm cũng cần thiết để đảm bảo phần dữ liệu mật mã ( Cipher-text) sẽ kết thúc ở biên giới số nguyên lần của 4 byte nhằm phân biệt rỗ ràng với trường dữ liệu xác thực (Authentication Data).
 Ngoài ra, trường đệm còn có thể sử dụng để che dấu độ dài thực của tải tin, tuy nhiên mục đích này cần phải được cân nhắc vì nó ảnh hưởng tới băng thông truyền dẫn.
 Pad length (độ dài đệm). Trường này xác định số byte đệm được thêm vào. Pad length là trường bắt buộc với các giá trị phù hợp nằm trong khoảng từ 0 đến 255 byte.
 Next Header ( tiêu đề tiếp theo). Next Header là trường bắt buộc và có độ dài 8 bit. Nó xác định kiểu dữ liệu chứa trong phần tải tin, ví dụ một tiêu đề mở rộng ( Extension Header) trong Ipv6 hoặc nhận dạng của một giao thức lớp trên khác. Giá trị của trường này được lựa chọn từ tập các giá trị IP Protocol Nember định nghĩa bởi IANA.
 Authentication Data ( dữ liệu xác thực) . Trường này có độ dài biến đổi, chứa một giá trị kiểm tra tính toàn vẹn ICV tính trên dữ liệu của toàn bộ gói ESP trừ trường Authentication Data. Độ dài của trường này phụ thuộc vào thuật toán xác thực được sử dụng. Trường này là tùy chọn và chỉ được thêm vào nếu dịch vụ xác thực được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài ICV, các bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính toàn vẹn của gói tin.
e) Giao thức trao đổi khóa

Tất cả giao thức trao đổi khóa IPSec đều dựa trên Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP tạo và quản lý liên kết an toàn. Qúa trình này đầu tiên yêu cầu hệ thống IPSec tự xác thực với nhau và thiết lập ISAKMP khóa chia sẻ.
Oakley Key Exchange Protocol sử dụng thuật toán trao đổi khóa Diffie_Hellman để thuận tiện trao đổi mã hóa bí mật.
Internet Key Exchange (IKE) là sự kết hợp của ISAKMP và giao thức trao đổi khóa Oakley.
IKE sử dụng hai “pha” của thương lượng. Pha một bắt đầu xác thực liên kết an toàn giữa hai server ISAKMP, được gọi là Liên kết an toàn IKE. Trong pha một có hai chế độ hoạt động: Main Mode (chế độ chính) và Aggressive Mode (chế độ linh hoạt). Điều này bảo đảm tính hợp pháp và riêng tư của việc thương lượng liên kết an toàn. Mỗi khi liên kết được thiết lập giữa các server ISAKMP, cộng thêm liên kết an toàn được tạo và phân bổ theo cách nào đó. Sự thỏa thuận khóa Diffie-Hellman luôn được sử dụng trong pha này.
IKE Main Mode bao gồm 6 tin nhắn được trao đổi giữa người khởi đầu và người nhận cốt để thiết lập một liên kết an toàn IKE. Giao thức IKE sử dụng UDP cổng 500.
1. Người khởi đầu gửi lời đề nghị IKE SA lập danh sách tất cả phương pháp hỗ trợ xác thực, nhóm Diffie-Hellman, lựa chọn mã hóa, và thuật toán băm, và muốn trong suốt thời gian SA tồn tại.
2. Người nhận trả lời với câu trả lời IKE SA chỉ ra phương pháp xác thực ưu tiên hơn, nhóm Diffie-Hellman, mã hóa và thuật toán băm, chấp nhận thời gian SA tồn tại.
Nếu hai bên có thể thương lượng thành công tập hợp các phương pháp cơ bản, giao thức được tiếp tục bằng cách thiết lập kênh truyền thông được mã hóa khi sử dụng thuật toán trao đổi khóa Diffie-Hellman.
3. Người khởi đầu gửi phần mã bí mật Diffie-Hellman của anh ấy cộng thêm một giá trị ngẫu nhiên.
4. Người đáp lại làm tương tự bằng việc gửi phần mã bí mật Diffie-Hellman của anh ấy cộng với một giá trị ngẫu nhiên.
Trao đổi khóa Diffie-Hellman có thể được hoàn thành ngay bởi cả hai bên đang định hình bí mật chia sẻ cơ bản. Bí mật chia sẻ này thường phát sinh ra khóa phiên đối xứng với cái mà những tin nhắn còn lại của giao thức IKE sẽ được mã hóa.
5. Tiếp theo Người khởi đầu gửi định danh của anh ấy một cách tùy ý là một chứng chỉ liên kết định danh tới một khóa công khai. Có được điều này là bởi một hàm băm qua tất cả trường tin nhắn ra dấu bởi bí mật được chia sẻ trước hoặc khóa RSA riêng.
6. Giống như bước 5, nhưng được gửi bởi người nhận.
Nếu định danh của hai bên được xác thực thành công thì IKE SA sẽ được thiết lập.
Trong pha hai, IKE thương lượng liên kết an toàn IPSec và phát sinh nguyên liệu khóa được yêu cầu cho IPSec. Trong pha hai có hai chế độ hoạt động: Quick Mode và New Group Mode. Người gửi đưa ra một hoặc nhiều tập hợp biến đổi được sử dụng để chỉ rõ sự kết hợp cho phép của biến đổi với cài đặt tương ứng của chúng. Người gửi cũng chỉ ra luồng dữ liệu mà tập hợp biến đổi được áp dụng. Sau đó, người nhận gửi lại tập hợp từng biến đổi, chỉ ra sự đồng ý biến đổi lẫn nhau và thuật toán cho việc tham gia phiên IPSec này. Sự đồng ý Diffie-Hellman mới có thể hoàn thành trong pha hai hoặc khóa có thể được lấy từ bí mật chia sẻ của pha một.

Ta thấy quá trình trao đổi dữ liệu giữa Bob và Alice diễn ra như sau:
1. Gói tin được truyền từ Alice đến Bob, lúc này chưa có SA nào.
2. IKE của Alice bắt đầu thương lượng với IKE của Bob.
3. Thương lượng hoàn thành. Alice và Bob bây giờ đã có IKE SA và IPSec SA.
4. Gói tin được gửi từ Alice tới Bob và được bảo vệ bởi IPSec SA.
Quá trình hoạt động của IPSec
IPSec đòi hỏi nhiều thành phần công nghệ và phương pháp mã hóa. Hoạt động của IPSec có thể được chia thành 5 bước chính:

Mục đích chính của IPSec là để bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiết. Quá trình hoạt động của IPSec được chia thành năm bước:

Bước [INDENT]
1
Lưu lượng
truyền bắt đầu quá trình IPSec Lưu lượng được cho rằng đang truyền khi chính sách bảo mật IPSec đã cấu hình trong các bên IPSec bắt đầu quá trình IKE.
2
IKE pha một
IKE xác thực các bên IPSec và thương lượng các IKE SA trong suốt pha này, thiết lập kênh an toàn cho việc thương lượng các IPSec SA trong pha hai.
3
IKE pha hai
IKE thương lượng tham số IPSec SA và cài đặt IPSec SA trong các bên.
4
Truyền dữ liệu
Dữ liệu được truyền giữa các bên IPSec dựa trên tham số IPSec và những khóa được lưu trong CSDL của SA.
5
Kết thúc đường hầm IPSec
IPSec SA kết thúc qua việc xóa hoặc hết thời gian thực hiện.
f) Những hạn chế của IPSec

Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an toàn thông qua mạng Internet, nó vẫn còn ở trong giai đoạn phát triển để hướng tới hoàn thiện. Sau đây là một số vấn đề đặt ra mà IPSec cần phải giải quyết để hỗ trợ tốt hơn cho việc thực hiện VPN:
 Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
 IKE vẫn là công nghệ chưa thực sự khẳng định được khả năng của mình. Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
 IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.
 Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.
 Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.



1.1.2.2 Point-to-Point Tunneling Protocol (PPTP).
Giao thức này được nghiên cứu và phát triển bởi công ty chuyên về thiết bị công nghệ viễn thông. Trên cơ sở của giao thức này là tách các chức năng chung và riêng của việc truy nhập từ xa, dự trên cơ sở hạ tầng Internet có sẵn để tạo kết nối đường hầm giữa người dùng và mạng riêng ảo. Người dùng ở xa có thể dùng phương pháp quay số tới các nhà cung cấp dịch vụ Internet để có thể tạo đường hầm riêng để kết nối tới truy nhập tới mạng riêng ảo của người dùng đó. Giao thức PPTP được xây dựng dựa trên nền tảng của PPP, nó có thể cung cấp khả năng truy nhập tạo đường hầm thông qua Internet đến các site đích. PPTP sử dụng giao thức đóng gói tin định tuyến chung GRE được mô tả để đóng lại và tách gói PPP. Giao thức này cho phép PPTP linh hoạt trong xử lý các giao thức khác.
a) Nguyên tắc hoạt động của PPTP

PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói, tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác.
PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thức đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung PPP. Phần tải của khung PPP có thể được mã hoá và nén lại.
PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thức kết nối vật lý, xác định người dùng, và tạo các gói dữ liệu PPP.
PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng. PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối IP. Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận. Đó là giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi ISP. Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Một số cơ chế xác thực được sử dụng là:
• Giao thức xác thực mở rộng EAP.
• Giao thức xác thực có thử thách bắt tay CHAP.
• Giao thức xác định mật khẩu PAP.
Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật. CHAP là giao thức các thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được. PPTP cũng được các nhà phát triển công nghệ đua vào việc mật mã và nén phần tải tin của PPP. Để mật mã phần tải tin PPP có thể sử dụng phương thức mã hoá điểm tới điểm MPPE. MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên đường truyền không cung cấp mật mã tại các thiết bị đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể dùng giao thức IPSec để bảo mật lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP được thiết lập.
Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm. Để có thể dự trên những ưu điểm của kết nối tạo bởi PPP, PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP tách các kênh điều khiển và kênh dữ liệu thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng để truyền thông báo điều khiển.
Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển được đua vào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa ứng máy khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máy khách và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức PPTP với một giao diện được nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP.
b) Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ máy chủ. Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sử dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP yêu cầu phản hồi và PPTP đáp lại phải hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ PPTP. Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP và bản tin điều khiển PPTP và tiêu đề, phần cuối của lớp liên kết dữ liệu.

c) Nguyên lý đóng gói dữ liệu đường hầm PPTP

Đóng gói khung PPP và gói định tuyến chung GRE
Phần tải của khung PPP ban đầu được mã hoá và đóng gói với tiêu đề PPP để tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi.
GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm đó là. Một trường xác nhận dài 32 bits được thêm vào. Một bits xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32 bits. trường Key được thay thế bằng trường độ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits. Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm.
Đóng gói IP
Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ PPTP.
Đóng gói lớp liên kết dữ liệu
Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ đựơc đóng gói với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Như trong mạng LAN thì nếu gói tin IP đựơc gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu đề và đuôi Ethernet. Nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP.
• Các gói tin IP, IPX, hoặc khung NetBEUI được đưa tới giao diện ảo đại diện cho kết nối VPN bằng các giao thức tương ứng sử dụng đặc tả giao diện thiết bị mạng NDIS.
• NDIS đưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén dữ liệu, cũng như cung cấp tiêu đề PPP phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP không có trường Flags và trường chuổi kiểm tra khung (FCS). Giả định trường địa chỉ và điều khiển được thoả thuận ở giao thức điều khiển đường truyền (LCP) trong quá trình kết nối PPP.
• NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xác định đường hầm.
• Giao thức PPTP sau đó sẽ gửi gói tin vừa tạo ra tới TCP/IP.
• TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS.
• NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP.
• NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số.
d) Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP

Khi nhận được được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiện các bước sau.
• Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin.
• Xử lý và loại bỏ tiêu đề IP.
• Xử lý và loại bỏ tiêu đề GRE và PPP.
• Giải mã hoặc nén phần tải tin PPP.
• Xử lý phần tải tin để nhận hoặc chuyển tiếp.
e) Một số ưu nhược điểm và khả năng ứng dụng của PPTP

Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 trong khi IPSec chạy ở lớp 3 của mô hình OSI. Việc hỗ trợ truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói tin IP trong đường hầm.
PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp dịch vụ đều có kế hoạch thay đổi PPTP bằng L2TP khi giao thức này đã được mã hoá. PPTP thích hợp cho việc quay số truy nhập với số lượng người dùng giới hạn hơn là VPN kết nối LAN-LAN. Một vấn đề của PPTP là xử lý xác thực người thông qua hệ điều hành. Máy chủ PPTP cũng quá tải với một số lượng người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu truyền qua, điều này là một yêu cầu của kết nối LAN-LAN. Khi sử dụng VPN dựa trên PPTP mà có hỗ trợ thiết bị ISP một số quyền quản lý phải chia sẽ cho ISP. Tính bảo mật của PPTP không mạng bằng IPSec. Nhưng quản lý bảo mật trong PPTP lại đơn giản hơn.
Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều này càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận. Giao thức tạo đường hầm kế tiếp (L2F) được phát triển nhằm cải thiện bảo mật với mục đích này.

thay đổi nội dung bởi: thienlong481990, 31-05-2011 lúc 16:01
Trả Lời Với Trích Dẫn
Đã có 3 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
  #6  
Old 31-05-2011, 15:43
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
1.1.2.3 Layer 2 Tunneling Protocol (L2TP).

a) Giới thiệu

IETF đã kết hợp hai giao thức PPTP và L2F và phát triển thành L2TP. Nó kết hợp những đặc điểm tốt nhất của PPTP và L2F. Vì vậy, L2TP cung cấp tính linh động, có thể thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối điểm điểm nhanh của PPTP.
Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:
 L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP.
 L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần triển khai thêm các phần mềm chuyên biệt.
 L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư).
Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ. Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa. Hơn nữa, mạng riêng intranet có thể định nghĩa những chính sách truy cập riêng cho chính bản thân. Điều này làm qui trình xử lý của việc thiết lập đường hầm nhanh hơn so với giao thức tạo hầm trước đây.
Điểm chính của L2TP tunnels là L2TP thiếp lập đường hầm PPP không giống như PPTP, không kết thúc ở gần vùng của ISP. Thay vào đó, những đường hầm mở rộng đến cổng của mạng máy chủ (hoặc đích), những yêu cầu của đường hầm L2TP có thể khởi tạo bởi người dùng từ xa hoặc bởi cổng của ISP.
Khi PPP frames được gửi thông qua L2TP đường hầm, chúng được đóng gói như những thông điệp User Datagram Protocol (UDP). L2TP dùng những thông điệp UDP này cho việc tạo hầm dữ liệu cũng như duy trì đường hầm. Ngoài ra, đường hầm dữ liệu và đường hầm duy trì gói tin, không giống những giao thức tạo hầm trước, cả hai có cùng cấu trúc gói dữ liệu.
b) Các thành phần của L2TP
Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network Server (LNS).
Network Access Server (NAS)
L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internet đến người dùng từ xa, là những người quay số (thông qua PSTN hoặc ISDN) sử dụng kết nối PPP. NASs phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NASs, L2TP NASs được đặt tại ISP site và hành động như client trong qui trình thiết lập L2TP tunnel. NASs có thể hồi đáp và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ một phạm vi rộng các client
Bộ tập kết truy cập L2TP
Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một đường hầm thông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) đến LNS ở tại điểm cuối mạng chủ. LACs phục vụ như điểm kết thúc của môi trường vật lý giữa client và LNS của mạng chủ.
L2TP Network Server
LNSs được đặt tại cuối mạng chủ. Do đó, chúng dùng để kết thúc kết nối L2TP ở cuối mạng chủ theo cùng cách kết thúc đường hầm từ client của LACs. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập đường hầm và xác nhận người dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo.
c) Qui trình xử lý L2TP
Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau đây:
(1) Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của nó, và bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối.
(2) NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối. NAS dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này.
(3) Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng đích.
(4) Kế tiếp, LAC thiết lập một đường hầm LAC-LNS thông qua mạng trung gian giữa hai đầu cuối. Đường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP.
(5) Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một Call ID (CID) đến kết nối và gửi một thông điệp thông báo đến LNS. Thông báo xác định này chứa thông tin có thể được dùng để xác nhận người dùng. Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người dùng và LAC.
(6) LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác nhận người dùng cuối. Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầu đường hầm, một giao diện PPP ảo (L2TP tunnel) được thiết lập cùng với sự giúp đỡ của LCP options nhận được trong thông điệp thông báo.
(7) Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường hầm.
L2TP, giống PPTP và L2F, hỗ trợ hai chế độ hoạt động L2TP, bao gồm:
Chế độ gọi đến. Trong chế độ này, yêu cầu kết nối được khởi tạo bởi người dùng từ xa.
Chế độ gọi đi. Trong chế độ này, yêu cầu kết nối được khởi tạo bởi LNS. Do đó, LNS chỉ dẫn LAC lập một cuộc gọi đến người dùng từ xa. Sau khi LAC thiết lập cuộc gọi, người dùng từ xa và LNS có thể trao đổi những gói dữ liệu đã qua đường hầm.
d) Dữ liệu đường hầm L2TP

Tương tự PPTP tunneled packets, L2TP đóng gói dữ liệu trải qua nhiều tầng đóng gói. Sau đây là một số giai đoạn đóng gói của L2TP data tunneling:
PPP đóng gói dữ liệu không giống phương thức đóng gói của PPTP, dữ liệu không được mã hóa trước khi đóng gói. Chỉ PPP header được thêm vào dữ liệu payload gốc.
L2TP đóng gói khung của PPP. Sau khi original payload được đóng gói bên trong một PPP packet, một L2TP header được thêm vào nó.
UDP Encapsulation of L2TP frames. Kế tiếp, gói dữ liệu đóng gói L2TP được đóng gói thêm nữa bên trong một UDP frame. Hay nói cách khác, một UDP header được thêm vào L2TP frame đã đóng gói. Cổng nguồn và đích bên trong UDP header được thiết lập đến 1710 theo chỉ định.
IPSec Encapsulation of UDP datagrams. Sau khi L2TP frame trở thành UDP đã được đóng gói, UDP frame này được mã hoá và một phần đầu IPSec ESP được thêm vào nó. Một phần đuôi IPSec AH cũng được chèn vào gói dữ liệu đã được mã hóa và đóng gói.
IP Encapsulation of IPSec-encapsulated datagrams. Kế tiếp, phần đầu IP cuối cùng được thêm vào gói dữ liệu IPSec đã được đóng gói. Phần đầu IP chứa đựng địa chỉ IP của L2TP server (LNS) và người dùng từ xa.
Đóng gói tầng Data Link. Phần đầu và phần cuối tầng Data Link cuối cùng được thêm vào gói dữ liệu IP xuất phát từ quá trình đóng gói IP cuối cùng. Phần đầu và phần cuối của tầng Data Link giúp gói dữ liệu đi đến nút đích. Nếu nút đích là nội bộ, phần đầu và phần cuối tầng Data Link được dựa trên công nghệ LAN (ví dụ, chúng có thể là mạng Ethernet). Ở một khía cạnh khác, nếu gói dữ liệu là phương tiện cho một vị trí từ xa, phần đầu và phần cuối PPP được thêm vào gói dữ liệu L2TP đã đóng gói.
Qui trình xử lý de-tunneling những gói dữ liệu L2TP đã tunnel thì ngược lại với qui trình đường hầm. Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận được L2TP tunneled packet, trước tiên nó xử lý gói dữ liệu bằng cách gỡ bỏ Data Link layer header and trailer. Kế tiếp, gói dữ liệu được xử lý sâu hơn và phần IP header được gỡ bỏ. Gói dữ liệu sau đó được xác nhận bằng việc sử dụng thông tin mang theo bên trong phần IPSec ESP header và AH trailer. Phần IPSec ESP header cũng được dùng để giải mã và mã hóa thông tin. Kế tiếp, phần UDP header được xử lý rồi loại ra. Phần Tunnel ID và phần Call ID trong phần L2TP header dùng để nhận dạng phần L2TP tunnel và phiên làm việc. Cuối cùng, phần PPP header được xử lý và được gỡ bỏ và phần PPP payload được chuyển hướng đến protocol driver thích hợp cho qui trình xử lý.

e) Chế độ đường hầm L2TP

L2TP hỗ trợ 2 chế độ - chế độ đường hầm bắt buộc và chế độ đường hầm tự nguyện. Những đường hầm này giữ một vai trò quan trọng trong bảo mật giao dịch dữ liệu từ điểm cuối đến điểm khác.
Trong chế độ đường hầm bắt buộc, khung PPP từ PC ở xa được tạo đường hầm trong suốt tới mạng LAN. Điều này có nghĩa là Client ở xa không điều khiển đường hầm và nó sẽ xuất hiện như nó được kết nối chính xác tới mạng công ty thông qua một kết nối PPP. Phần mềm L2TP sẽ thêm L2TP header vào mỗi khung PPP cái mà được tạo đường hầm. Header này được sử dụng ở một điểm cuối khác của đường hầm, nơi mà gói tin L2TP có nhiều thành phần.
Các bước thiết lập L2TP đường hầm bắt buộc được mô tả theo các bước sau:
(1) Người dùng từ xa yêu cầu một kết nối PPP từ NAS được đặt tại ISP site.
(2) NAS xác nhận người dùng. Qui trình xác nhận này cũng giúp NAS biết được cách thức người dùng yêu cầu kết nối.
(3) Nếu NAS tự do chấp nhận yêu cầu kết nối, một kết nối PPP được thiết lập giữa ISP và người dùng từ xa.
(4) LAC khởi tạo một L2TP tunnel đến một LNS ở mạng chủ cuối.
(5) Nếu kết nối được chấp nhận bởi LNS, PPP frames trải qua quá trình L2TP tunneling. Những L2TP-tunneled frames này sau đó được chuyển đến LNS thông qua L2TP tunnel.
(6) LNS chấp nhận những frame này và phục hồi lại PPP frame gốc.
(7) Cuối cùng, LNS xác nhận người dùng và nhận các gói dữ liệu. Nếu người dùng được xác nhận hợp lệ, một địa chỉ IP thích hợp được ánh xạ đến frame
(8) Sau đó frame này được chuyển đến nút đích trong mạng intranet.

Chế độ đường hầm tự nguyện có Client ở xa khi gắn liên chức năng LAC và nó có thể điều khiển đường hầm. Từ khi giao thức L2TP hoạt động theo một cách y hệt như khi sử dụng đường hầm bắt buộc, LNS sẽ không thấy sự khác biệt giữa hai chế độ.

Thuận lợi lớn nhất của đường hầm tự nguyện L2TP là cho phép người dùng từ xa kết nối vào internet và thiết lập nhiều phiên làm việc VPN đồng thời. Tuy nhiên, để ứng dụng hiệu quả này, người dùng từ xa phải được gán nhiều địa chỉ IP. Một trong những địa chỉ IP được dùng cho kết nối PPP đến ISP và một được dùng để hỗ trợ cho mỗi L2TP tunnel riêng biệt. Nhưng lợi ích này cũng là một bất lợi cho người dùng từ xa và do đó, mạng chủ có thể bị tổn hại bởi các cuộc tấn công.
Việc thiết lập một voluntary L2TP tunnel thì đơn giản hơn việc thiết lập một đường hầm bắt buộc bởi vì người dùng từ xa đảm nhiệm việc thiết lập lại kết nối PPP đến điểm ISP cuối. Các bước thiết lập đường hầm tự nguyện L2TP gồm :
(1) LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu cho một đường hầm tự nguyện L2TP đến LNS.
(2) Nếu yêu cầu đường hầm được LNS chấp nhận, LAC tạo hầm các PPP frame cho mỗi sự chỉ rõ L2TP và chuyển hướng những frame này thông qua đường hầm.
(3) LNS chấp nhận những khung đường hầm, lưu chuyển thông tin tạo hầm, và xử lý các khung.
(4) Cuối cùng, LNS xác nhận người dùng và nếu người dùng được xác nhận thành công, chuyển hướng các frame đến nút cuối trong mạng Intranet.
f) Những thuận lợi và bất lợi của L2TP

Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:
• L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập. Nó cũng hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ giao dịch qua kết nối WAN non-IP mà không cần một IP.
• L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa. Do đó, không đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP.
• L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải làm điều này.
• L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuống tùy ý nếu đường hầm quá tải. Điều này làm cho qua trình giao dịch bằng L2TP nhanh hơn so với quá trình giao dịch bằng L2F.
• L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ IP truy cập vào mạng từ xa thông qua một mạng công cộng.
• L2TP nâng cao tính bảo mật do sử dụng IPSec-based payload encryption trong suốt qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu.
Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau:
 L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ liệu nhận được.
 Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một Routing and Remote Access Server (RRAS) cần có những cấu hình mở rộng



1.1.2.4 Secure Socket Tunneling Protocol (VPN-SSTP)

hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và Windows Vista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là: Secure Socket Tunneling Protocol (SSTP).

a): Giới thiệu


SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối HTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là một giao thức rất an toàn vì các thông tin quan trọng của người dùng không được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN gateway. SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vì thế nó cũng có nghĩa là bạn có thể sử dụng các cơ chế
chứng thực PPP và EAP để bảo đảm cho các kết nối SSTP được an toàn hơn.

b) Lý do sử dụng SSTP trong VPN


· Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng thông qua Internet. Windows Server 2003 hỗ trợ các đường hầm VPN dựa vào PPTP và L2TP/IPSec.Nếu người dùng truy cập từ xa ở đằng sau một Firewall,những đường hầm này đòi hỏi các port riêng biệt được mở bên trong các firewall như các port TCP 1723 và giao thức IP GRE để cho phép kết nối PPTP.

· Có những tình huống như nhân viên ghé thăm khách hàng,địa điểm đối tác hoặc khách sạn mà hệ thống chỉ cho truy cập web (HTTP,HTTPs),còn tất cả các port khác bị ngăn chặn.Kết quả,những user từ xa này gặp phải vấn đề khi thực hiện kết nối VPN do đó làm tăng cuộc gọi nhờ trợ giúp và giảm năng suất của nhân viên. Secure Socket Tunneling Protocol(SSTP) là một đường hầm VPN mới được giới thiệu trong Windows Server 2008 nhằm giải quyết vấn đề kết nối VPN này.

· SSTP thực hiện điều này bằng cách sử dụng HTTPs làm lớp vận chuyển sao cho các kết nối VPN có thể đi qua các firewall,NAT và server web proxy thường được cấu hình.Bởi vì kết nối HTTPs (TCP 443) thường được sử dụng để truy cập các site Internet được bảo vệ như các web site thương mại,do đó HTTPs thường được mở trong các firewall và có thể đi qua các Proxy web,router NAT.

· VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng nghe các kết nối SSTP tùu VPN client.SSTP server phải có một Computer Certificate được cài đặt thuộc tính Server Authentication.Computer Certificate này được sử dụng để xác thực server SSTP với client SSTP trong quá trình thiết lập session SSL.Client hiệu lực hóa certificate của server SSTP.Để thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phải được cài đặt trên client SSTP.

· Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peer-L2TP và dựa vào PPTP.Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao đó gửi các lưu lượng cho cho kết nối HTTPs.Như vậy,tất cả các tính năng khác của VPN như kiểm tra sức khỏe dựa vào NAT,tải lưu lượng IPV6 trên VPN,các thuật toán xác thực như username và smartcard...và client VPN dựa vào trình quản lý kết nối vẫn không thay đổi đối với SSTP,PPTP và L2TP.Nó giup cho Admin một đường dẫn di trú tốt để di chuyển từ L2TP/PPTP đến SSTP.

c) SSTP họat động như thế nào?


SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thông tin và dữ liệu.SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên để xác thực client với server.Nghĩa là Client xác thực server bằng certificate và Server xác thực Client thông qua giao thức hiện có được hỗ trợ bởi PPP.

· Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giao tác tạo lập đường hầm,SSTP thiết lập session HTTPs với server từ xa tại port 443 ở một địa chỉ URL riêng biệt.Các xác lập proxy HTTP được cấu hình thông qua IE sẽ được sử dụng để thiết lập kết nối này.

· Với session HTTPs,client đòi hỏi server cung cấp certificate để xác thực.Khi thíết lập quan hệ SSL hòan tất,các session HTTP được thíet lập trên đó.Sau đó,SSTP được sử dụng để thương lượng các tham số giữa Client và Server.Khi lớp SSTP được thíêt lập,việc thương lượng SSTP được bắt đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầm cho dữ liệu.

thay đổi nội dung bởi: thienlong481990, 31-05-2011 lúc 16:03
Trả Lời Với Trích Dẫn
Đã có 5 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
  #7  
Old 31-05-2011, 16:03
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
1.2.1 Remote Access VPNs
Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác.
Các truy cập VPN thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng. Kiểu VPN này thường được gọi là VPN truy cập từ xa.
Một số thành phần chính :
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng.
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
Thuận lợi chính của Remote Access VPNs :
 Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
 Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP
 Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
 Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
 Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.
 VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :
 Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.
 Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát.
 Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
 Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.

1.2.2 VPN Site - to -Site
1.2.2.1 Intranet VPNs:

Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corporate Intranet (backbone router) sử dụng campus router. Theo mô hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet.
Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể giảm một lượng chi phí đáng kể của việc triển khai mạng Intranet.
Intranet VPNs là một VPN nội bộ đươc sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Điều này cho phép tất cả các địa điểm có thể truy cập các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Các VPN nội bộ liên kết trụ sở chính, các văn phòng, và các văn phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối mà luôn luôn được mã hoá. Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site.
Những thuận lợi chính của Intranet setup dựa trên VPN:
 Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone
 Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau.
 Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng.
 Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet.
Những bất lợi chính kết hợp với cách giải quyết :
 Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộng-Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin.
 Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
 Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.
 Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo.
1.2.2.2 Extraner VPNs:

Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức.
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet sẽ khó mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng.

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp, và các đối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối mà luôn luôn được bảo mật. Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site. Sự khác nhau giữa một VPN nội bộ và một VPN mở rộng đó là sự truy cập mạng mà được công nhận ở một trong hai đầu cuối của VPN. Hình dưới đây minh hoạ một VPN mở rộng.
Một số thuận lợi của Extranet :
 Do hoạt động trên môi trường Internet, chúng ta có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
 Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
 Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.

Một số bất lợi của Extranet :
 Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
 Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
 Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp.
 Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.
Trả Lời Với Trích Dẫn
Đã có 2 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
  #8  
Old 01-06-2011, 13:54
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
1.3 Các đòi hỏi của mạng VPN
1.3.1 Các đòi hỏi về công nghệ mạng .
1.3.1.1 Phần mềm VPN:

Giải pháp phần mềm được sử dụng trong VPN có thể được chia thành 3 loại lớn

 VPN server sofware Microsoft ‘ Windows 2000, các phiên bản của Windows NT, Novell’s Netware và Linux là các hệ điều hành được cài đặt trên một VPN server. Nói cách khác, tất cả các máy có các hệ điều hành mạng trên thì được sử dụng để phục vụ các yêu cầu của VPN client và được xem như là một VPN server

 VPN client software : tất cả các máy trong mạng mà gởi một yêu cầu tới một VPN server thì được xem như là một VPN client. Các hệ điều hành như là Windows 95/98 hoặc các hệ điều hành khác được sử dụng trên một VPN client thì được gọi là VPN client software. Có một lưu ý khá thú vị là các VPN client không sẵn sàng như là các thốêt bị phần cứng như các VPN server. Tuy nhiên trong trường hợp định tuyến cuộc gọi theo yêu cầu, phần cứng VPN có thể có một VPN client gắn liền

 Các công cụ và ứng dụng quản lý VPN : chúng là các ứng dụng và công cụ được sử dụng để quản lý các thiết lập dựa trên VPN. các ứng dụng này đường sử dụng để quản lý, kiểm tra giám sát, và khắc phục lỗi. Novell’Border Management và Cisco Policy manager là các ví dụ tiểu biểu cho các công cụ quản lý VPN. Microsoft ‘s Window 2000 cũng cung cấp một số công cụ khác nhau như RRAS snapin cho MMC cho mục đích quản lý VPN

 Lưu ý :Theo thời gian, các giải pháp VPN dựa trên phần mềm trở nên rẻ hơn và dễ dàng cấu hình hoặc tinh chỉnh. Tuy nhiên chúng rất khó để thiết lập và quản lý lúc ban đầu. Ngày nay các giải pháp dựa trên phần cứng cũng đã có sẵn. “ Các hộp giải pháp” cung cấp tấc cả các chức năng trong một vì thế rất đắt. Tuy nhiên, chúng lại dễ dàng để cài đặt và cung cấp một hiệu suất cao.Nortell’s Contivity là một ví dụ điển hình của hộp giải pháp dựa trên phần cứng
1.3.1.2 Cơ sở hạ tầng an ninh của tổ chức

Cở sở hạ tầng an ninh của tổ chức là một thành phần quan trọng của tổng thể thiết kế VPN. Một cơ sở hạ tầng an ninh được thiết kế tốt và được lập kế hoạch tốt có thể bảo vệ mạng nội bộ của tổ chức từ các thảm hoạ trong tương lai. Cơ sở hạ tầng an ninh VPN thường là một sự kết hợp các kỹ thuật bảo mật sau :
 Tường lửa
 Sự dịch chuyển địa chỉ mạng
 Sự xác thực của cơ sở dữ liệu và server
 Kiến trúc AAA
 Giao thức IPSec
a. Tường lửa

Một bức tường lửa, như đã đề cập ở trên, hoạt động như là một lớp phủ bảo mật và phục vụ như là những bức tường rào hiệu quả để ngăn chặn tất cả các nỗ lực không hợp pháp truy cập vào tài nguyên trong mạng nội bộ của tổ chức. Thêm vào chức năng chính là bảo mật một mạng nội bộ hoặc một mạng cá nhân từ các đe dọa bên ngoài, các bức tường lửa cũng có nhiệm vụ ngăn chặn tất cả các tác động xảy ra sau một sự tấn công nghiêm trọng ảnh hưởng đến toàn bộ mạng nội bộ. Các bức tường lửa có thể hoạt động trên nền tảng của các địa chỉ IP xác định, các ports được sử dụng, các loại gói, các loại ứng dụng, và thậm chí nội dung của dữ liệu.
Hình 2-5 miêu tả vị trí của các bức tường lửa trong toàn bộ hệ thống

b.Sự dịch chuyển địa chỉ mạng

Các thiết bị dựa trên NAT cho phép chúng ta kết nối tới các mạng và các tài nguyên ở xa mà không cần cho thấy địa chỉ IP của các máy chủ nội bộ trong một mạng cá nhân hoặc mạng nội bộ. Như thấy trên hình 2-6, NATs cũng được hiện thực tại ngoại vi của một mạng nội bộ và sự liên lạc được định tuyến qua chúng. Thêm vào việc cung cấp các cách bảo mật cơ bản, NATs cũng cho phép chúng ta tiết kiệm các địa chỉ IP

c.Sự xác thực của server và cơ sở dữ liệu

 Dịch vụ quay số truy cập từ xa (RADIUS) và hệ thống điều khiển các truy cập ở đầu cuối ( TACACS), như trên hình 2-7, là một số cách hiện thực thường thấy của server và database xác thực.Chúng cung cấp một cơ chế xác thực và cấp quyền mạnh mẽ. Các thiết bị này hiệu quả nhất khi chúng được đặt trong nhà của một mạng nội bộ của tổ chức và nhận mỗi yêu cầu xác thực từ đầu nhà cung cấp dịch vụ

 TACACS thuộc quyền sở hữu của Cisco, nhưng cũng có giao thức AAA cung cấp một sự tương thích với RADIUS. Giao thức này được gọi là Diameter

 Khi một server dựa trên kỹ thuật RADIUS hoặc TACACS nhận một yêu cầu xác thực nó chỉ được xác nhận chỉ nếu thông tin liên quan được lưu trữ cục bộ.Mặt khác, truy vấn được chuyển đến một cơ sở dữ liệu trung tâm, được thiết kế chuyên dụng để lưu trữ thông tin liên quan của các người dùng ở xa. Nhờ vào nhận được sự trả lời, các server dựa trên RADIUS hay TACACS liên lạc tương tự với Network Access Server (NAS) tại đầu ISP để thiết lập một kết nối VPN hoặc không chấp nhận yêu cầu kết nối. Trong cách thực hiện này, một tổ chức có thể sử dụng toàn quyền đối với các cố gắng truy cập từ xa mặc dù sự hiện diện của mạng nội bộ của nhà cung cấp dịch vụ trung gian
d. Kiến trúc AAA

Authentication Authorization Accounting là một cơ chế xác thực được thực hiện phổ biến và được thực thi trong hầu hết các truy cập từ xa cũng như các truy cập địa phương. Cơ chế bảo mật này có thể được thực hiện như là một kỹ thuật bổ phụ cho RADIUS/TACACS, do đó thêm vào một lớp khác của việc xác thực
AAA cung cấp các gỉai pháp cho hầu hết các vần đề cơ bản liên quan đến truy cập từ xa. Chúng bao gồm
 Ai đang truy cập vào mạng ?
 Các dịch vụ và tài nguyên nào người sử dụng được phép truy cập ?
 Các hoạt động của người dùng là gì và hiệu suất của chúng như thế nào ?
Khi một NAS đặt tại ISP và nhận một yêu cầu kết nối từ xa, nó ủy nhiệm yầu cầu tới server AAA tại đầu của tổ chức. Server này xác thực khách hàng và khi xác thực thành công thì quyết định các tài nguyên và dịch vụ nào mà người sử dụng được phép truy cập. Nếu người sử dụng cố gắng truy cập vào dịch vụ hay tài nguyên mà bị cấm, cơ chế AAA ngăn chặn truy cập và thông báo cho người sử dụng. AAA cũng theo dõi các nỗ lực của người dùng truy cập vào các nguồn tài nguyên khác nhau
e. Giao thức IPSec

IPSec là kỹ thuật bảo mật mới nhất trong lĩnh vực VPN. không giống như các kỹ thuật đã thảo luận ở trên, IPSec không nên là một giải pháp tuỳ chọn. Nó phải là một phần tích hợp của VPN bởi vì nó cung cấp một cơ chế bảo mật có độ an toàn cao và tiên tiến, cung cấp các kỹ thuật mật mã có độ đàn hồi cao và sự xác thực các gói dữ liệu riêng rẽ. Tuy nhiên, các hệ thống tại hai đầu của quá trình liên lạc phải tuân theo IPSecs để hỗ trợ các kỹ thuật xác thực và mật mã.Thêm vào đó, nêú các thiết lập VPN dùng các bức tường lửa như là một kỹ thuật bảo mật bổ phụ, các hoạt động an ninh được thiết lập trên tường lửa phải giống như IPSec Security Associations (Sas)
IPSecs cung cấp sự mật mã dữ liệu và sự xác thực giữa các thành phần sau của một thiết lập VPN
 Client tới server
 Client tới router
 Firewall tới router
 Router tới router
1.3.1.3 Cơ sở hạ tầng hổ trợ bởi nhà cung cấp dịch vụ

Một khối quan trọng khác trong các thiết kế VPN là cơ sở hạ tầng của nhà cung cấp dịch vụ bởi vì cơ sở hạ tầng của nhà cung cấp dịch vụ là điểm truy cập giữa mạng nội bộ của tổ chức và mạng công cộng không an toàn. Nếu cơ sở hạ tầng tại đầu của nhà cung cấp dịch vụ không có tính đàn hồi, có hiệu suất cao và an toàn, nó có thể gây ra các nút cổ chai quan trọng. Nếu các phương pháp bảo mật không nghiêm ngặt tại đầu của nhà cung cấp dịch vụ, người đăng ký mạng nội bộ của tổ chức có thể dễ bị tấn công với tất cả các loại đe dọa về an ninh, như là sự giả mạo hay sự từ chối dịch vụ. Bởi vì điều này, cơ sở hạ tầng của nhà cung cấp dịch vụ không những có hiệu suất và độ sẵn sàng cao mà còn phải cực kỳ an toàn

 Độ tin cậy của cơ sở hạ tầng của nhà cung cấp dịch vụ phụ thuộc vào hai thành phần xương sống chuyển mạch truy cập mạng và xương sống Internet của ISP
 Các đặc tính mà chúng ta nên tìm kiếm trong một xương sống chuyển mạch của nhà cung cấp dịch vụ, cái dựa trên lõi của Pint Of Presence (POP) của nhà cung cấp dịch vụ :
 Nó nên có khả năng hỗ trợ một tầm rộng các kỹ thuật như Frame Relay, ATM,IP, IP multicast, Voice oiver IP (VoIP),v.v…Để phục vụ mục đích này, xương sống chuyển mạch của nhà cung cấp dịch vụ phải hỗ trợ cả Virtual IP Routing (VIPR) và Virtual Private Trunking (VPT)
 Nó nên có khả năng hỗ trợ tất cả các tùy chọn phổ biến của đường hầm như là PPTP,L2TP và L2F
 Nó nên uyển chuyển và thích nghi với mạng chuyển mạch nhanh.Thêm vào đó, nó nên hỗ trợ các tiêu chuẩn an toàn và sự xuất hiện của đường hầm
 Nó nên cung cấp chất lượng dịch vụ cao với giá cả hợp lý. Để cực đại mức QoS, xương sống chuyển mạch truy cập mạng của nhà cung cấp dịch vụ phải cung cấp khả năng quản lý băng thông linh hoạt, gắn liền với sự nén để tăng tổng throughput và độ đàn hồi cao để chống lại các thảm hoạ ưới dạng các kết nối, nguồn cung cấp, và các thiết bị dự phòng.
 Nó nên đảm bảo các phương pháp bảo mật ở mức độ cao như IPSec, RADIUS và sự chứng nhận của vật mang địa phương

Các đặc tính cần tìm ở thành phần thứ hai của cơ sở hạ tầng của nhà cung cấp dịch vụ, xương sống WAN (hay Internet), bao gồm các yếu tố sau :

 Nó nên cung cấp một tầm rộng các tùy chọn truy cập WAN như đường dây IDSL,X.25, dây thuê bao, và dây T1.E1
 Nó nên có khả năng xử lý các router truyền thống và các thiết bị chuyển mạch thêm vào VPN routers, switches, gateways, concentrators, và các thiết bị phần cứng VPN khác
 Nó nên có khả năng xử lý một lượng lớn các cổng LAN và WAN
 Nó nên cung cấp throughput cao, trễ thấp và uptime cao
 Nó nên có khả năng hỗ trợ sự phát triển tiên đoán cũa VPN cũng như Internet .
 Nó nên phụ thuộc vào tất cả các tiêu chuẩn định tuyến công nghiệp như Routing Information Protocol(RIP), Open Shortest Path First(OSPF), Exterior Gateway Protocol(EGP) và Border Gateway Protocol(BGP)
1.3.1.4 Các mạng công cộng

Một ý kiến thông dụng cho là Internet là một mạng công công. Khái niệm này không đúng bởi vì con rất nhiều loại mạng công cộng đa dạng tồn tại hôm nay. Có thể phân thành các loại chính sau :
 POST ( Plain Old Telephone Service) : POTS liên quan đến các dịch vụ điện thoại chuẩn chúng ta sử dụng ở nhà và ờ công ty.Sự khác biệt chính giữa các dịch vụ POTS và không POTS là dựa trên tốc độ của truyền thông tin POST hỗ trợ tốc độ lên tới 56kpbs. Chú ý rằng các dịch vụ điện thọai tốc độ cao như Frame Relay, ATM, FDDI v.v.. không thuộc vào loại POTS
 PSTN (Public Switched Telephone Network). PSTN liên quan tới mạng dịch vụ điện thoại công cộng hướng tới âm thanh có kết nối với nhau, cái mà có thể được sử dụng cho mục đích thương mại hoặc thuộc về chính phủ.Mặc dù họ bắt đầu như là một hệ thống âm tần dựa trên dây đồng để mang tín hiệu analog, chúng đã được phát triển thành kỹ thuật số tốc độ cao như ADSL,DSL,ISDN,FDDI, Frame Delay, ATM, dựa trên kỹ thuật chuyển mạch điện và kỹ thuật chuyển mạch gói. PSTN cung cấp cơ sở chính của sự kết nối với Internet
 Internet có lẻ là mạng công cộng nổi tiếng nhất ngày nay. Nó liên quan tới sự kết nối toàn cầu của mạng máy tính và các máy tính cá nhân ban đầu là một sự kết nối của 4 máy. Ngày nay Internet là một hiện tượng tự duy trì ầa không được khống chế bởi bất cứ ai – thương mại hoặc chính phủ - và có thể được truy cập bởi tất cả mọi người ở khắp mọi nơi trên thế giới. Intrenet dựa trên những cái có sẵn của POTS và PSTN, nhưng hơi khác so với 2 cái trên vì nó sử dụng cả 2 protocol TCP/IP để điều khiển và quản lý sự liên lạc
Các mạng công cộng sử dụng các kỹ thuật đa dạng cho các giao dịch thành công và nhanh. Kỹ thuật chính bao gồm :
 Asymetric Digital Subscriber Line (ADSL). ADSL cho phép sự truyền số tốc độ cao trong khi sử dụng cơ sở hạ tầng của PSTN có sẵn. ADSL cung cấp các đường dây thuê bao giống các kết nối có thể thích hợp với tín hiệu tương tự và số đồng thời. ADSL cung cấp tốc độ dữ liệu khoảng 64Kbps, 128Kbps, 512Kbps, và 6Mbps
 Fiber Distributed Data Interface (FDDI) : FDDI là một kỹ thuật LAN sử dụng cho truyền tín hiệu số qua cáp quang. FDDI là một kỹ thuật token-passing, nơi mà một token frame đặc biệt được sử dụng để truyền dữ liệu. Nó có thể là vòng đơn như là Token ring cũng như vòng đôi. Một mạng dựa trên vòng đơn FDDI tiêu biểu hỗ trợ tốc độ dữ liệu lên tới 100Mbps, truyền xa tới 124 dặm và có thể hỗ trợ vài ngàn người dùng. Một cơ sở hạ tầng vòng kép thì ổn định hơn và có thể truyền xa tới 62 dặm. Bởi vì các lý do này, FDDI thường được sử dụng cho xương sống truy cập WAN.Phiên bản mới nhất của FDDI gọi là FDDI -2 có thể hỗ trợ dữ liệu cũng như tín hiệu audio và video trên cùng cơ sở hạ tầng. Một phiên bản khác của FDDI, gọi là FDDI Full Duplex Technology (FFDT), có thể hỗ trợ tốc độ dữ liệu lên tới 200Mbps
 Các dịch vụ tích hợp mạng số (ISDN) ISDN là kỹ thuật truyền cho phép truyền tín hiệu voice, video và dữ liệu qua cáp đồng và cáp quang. Sự thực hiện dựa trên ISDN sử dụng một ISDN adapter ( gọi là CSU/DSU) tại cả hai đầu thay vì modem truyền thống. ISDN sử dụng hai loại dịch vụ - Basic Rate Interface ( BRI) và Primary Rate Interface(PRI). BRI được sử dụng cho các người sử dụng làm việc tại nhà, trong khi PRI được sử dụng cho các tổ chức và xí nghiệp. Một giải pháp dựa trên ISDN hoàn chỉnh bao gồm cả hai loại kênh truyền : các kênh truyền B và các kênh truyền D. Các kênh truyền B dùng để mang dữ liệu voice và các tín hiệu khác. Các kênh truyền D mang thông tin tín hiệu và thông tin điều khiển. Phiên bản gốc của ISDN là baseband, cho phép một tín hiệu đơn truyền qua kênh B. Ngày nay, một phiên bản mở rộng của ISDN gọi là B-ISDN cho phép rất nhiều tín hiệu được trộn trên cùng một kênh truyền và hỗ trợ tốc độ dữ liệu lên đến 1.5Mbps.
 Frame Relay : Dựa trên kỹ thuật chuyển mạch gói X25, Frame Delay là một kỹ thuật có giá cạnh tranh, chuyển dữ liệu từ LAN tới WAN. Trong Frame Delay, các frame được sử dụng cho việc giao dịch dữ liệu có kích thước khác nhau. Thêm vào đó, mọi cơ chế kiểm soát lỗi là trách nhiệm của chỉ người gửi và người nhận, dẫn đến kết quả là sự truyển dữ liệu tốc độ cao. Frame Dealy sử dụng 2 loại mạch để truyền dữ liệu : Permanent Virtual Circuits (PVCs) và Switched Virtual Circuits (SVCx). PVCs, thường được sử dụng phổ biến cho phép người sử dụng cuối sử dụng các kết nối chuyên biệt mà không cần phải đầu tư các tùy chọn đắt tiền như đường dây thuê bao. Ở Mỹ,,mạng Frame Delay hoạt động ở T1 (1.544Mbps) và T3(45Mbps). Các nhà cung cấp dịch vụ như là AT&T cung cấp các dịch vụ Frame Delay. Tuy nhiên một số công ty điện thoại cũng cung cấp tốc độ thấp cỡ 56Kbps Ở Châu Âu, tốc độ truyền Frame Delay từ 64Kbps đến 2 Mbps
 Asynchronous Transfer Mode (ATM) ATM là một kỹ thuật chuyển mạch số dựa trên PVC có thể hỗ trợ tín hiệu audio, video và dữ liệu qua môi trường truyền số với tốc độ 155.5Mbps,622Mbps và lên tới 10Gbps. ATM sử dụng các frame hoặc các gói có kích thước cố định cho mục đích này. Các gói này được biết đến như là các cell, có chiều dài là 53 byte. Bởi vì các cell có kích thước nhỏ và sự thật là mỗi loại tín hiệu được đóng khung trong một cell có kích thước cố định, không có tín hiệu audio, video hay dữ liệu nào có thể làm nghẽn đường truyền., Thêm nữa, tất cả các cell đều được sắp hàng trước khi truyền và xử lý không đồng bộ bất chấp các cell khác có liên quan, điều này làm cho ATM nhanh hơn các kỹ thuật chuyển mạch khác. ATM cung cấp 3 loại dịch vụ : Constant Bit Rate(CBR), Available Bit Rate ( ABR), Variable Bit Rate ( VBR) và Unspecified Bit Rate (UBR). CBR cung cấp tốc độ bit cố định và tương tự với các đường dây thuê bao.ABR cung cấp một khả năng tối thiểu đảm bảo kể cả trong trường hợp nghẽn mạch.VBR đảm bảo các throughput xác định và thường được sử dụng cho các buổi hội thảo video. UBR không đảm bảo throughput và được sử dụng để truyền dữ liệu thông thường.
 Lưu ý : Dịch vụ BRI ISDN hỗ trợ 2 kênh truyền B 64Kbps, và một kênh truyền D – 16 Kbps. Vì thế, Trong dịch v5 tổng hợp Basic Rate cho phép dịch vụ tới 128Kbps. Primary Rate, mặt khác, bao gồm 23 kênh B và một kênh D 64Kbps ở Mỹ. Ở Châu Âu, dịch vụ Primary Rate bao gồm 30 kênh B và 1 kênh D.
Phần cứng, phần mềm, đương hầm, cơ sở hạ tầng an ninh VPN của tổ chức đăng ký, cơ sở hạ tầng của nhà cung cấp dịch vụ, và mạng công công trung gian,tất cả đều là các phần rất quan trọng trong thiết kế VPN. Chúng ta có thể kiểm soát được tất cả các thành phần ngoại trừ mạng công cộng trung gian và Internet. Vì thế, chúng ta phải rất cẩn thận khi chọn các khối VPN. Chúng ta cũng phải thiết lập một sự cân bằng giữa hai vấn đề rất nhạy cảm của bất kỳ sự thực hiện mạng nào – giá thành của sự triển khai và độ an toàn. Vì lý do này, chúng ta nên phân tích cẩn thận và thấu đáo các yêu cầu của tổ chức và ràng buộc tài chính mà chúng ta gặp phải. Giải pháp tốt nhất là trộn lẫn và hoà hợp các kỹ thuật có sẵn. Điều này sẽ giúp chúng ta giảm chi phí tổng cộng của việc triển khai VPN, đặc biệt nếu tài chính của chúng ta ít. Chúng ta cũng phải rất cẩn thận khi chọn nhà cung cấp dịch vụ và phân tích SLA kỹ lưỡng trước khi chúng ta chấp nhận hợp đồng
Trả Lời Với Trích Dẫn
Đã có 2 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
  #9  
Old 03-06-2011, 12:41
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
1.3.2 Các đòi hỏi về trang thiết bị .
Các trang thiết bị VPN thì được tạo thành các server VPN, các client VPN và các thiết bị phần cứng khác, như là routers và concentrators.
a. VPN Servers:

Tổng quát, VPN servers là các thiết bị mạng chuyên dụng chạy phần mềm server. Phụ thuộc vào các yêu ầu của tổ chức, có thể có một hay nhiều VPN server. Bởi vì một server VPN phải cung cấp các dịch vụ cho các khách hàng VPN ở xa cũng như ở địa phương, chúng luôn sẵn sàng và sẵn sàng chấp nhận các yêu cầu.
Chức năng chính của các VPN server bao gồm các nhiệm vụ sau :
 Lắng nghe các yêu cầu kết nối cho VPN
 Dàn xếp các yêu cầu và thông số kết nối, như là kỹ thuật mật mã và kỹ thuật xác nhận
 Sự xác nhận và sự cấp phép cho khách hàng VPN
 Chấp nhận dữ liệu từ khách hàng hoặc chuyển tiếp dữ liệu yêu cầu bởi khách hàng
 Như là điểm cuối của đường hầm và kết nối VPN. Một điểm cuối khác được cung cấp bởi người cuối cùng yêu cầu phiên VPN
VPN Severs có thể hỗ trợ hai hay nhiều card mạng. Một hay nhiều card được sử dụng để kết nối chung vào mạng nội bộ của tổ chức, trong khi các cái khác thường được sử dụng để kết nối chúng vào internet. Trong trường hợp sau cùng, VPN servers giống như VPN gateway hay router.
 Lưu ý Một VPN Server có thể hoạt động như một gateway hay một router chỉ nếu số lượng yêu cầu hoặc số người sử dụng thấp ( cho tới 20). Nếu VPN server phải hỗ trợ một lượng lớn các users và hoạt động như là một router hoặc một gateway, gánh nặng của đường hầm, mã hóa, xác nhận, tường lửa và định tuyến sẽ làm cho server chạy chậm, kéo theo hiệu suất của toàn hệ thống giảm Thêm vào đó, rất khó để bảo vệ thông tin được lưu trữ trên server. Vì thế VPN Sever phải thật chuyên nghiệp để chỉ phục vụ khách VPN và các yêu cầu
b. VPN Clients

VPN Clients là các máy cục bộ hay ở xa khởi tạo một kết nối VPN với VPN Server và vào mạng từ xa sau khi chúng đã được xác nhận tại cuối của mạng từ xa. Chỉ sau khi đăng nhập thành công VPN server và client có thể giao tiếp với nhau. Tổng quát, một VPN Client là một phần mềm. Tuy nhiên nó cũng có thể là phần cứng chuyên dụng. Một router phần cứng VPN với khả năng định tuyến cuộc gọi theo yêu cầu, cái mà quay số tới router phần cứng VPN khác, là một ví dụ của thiết bị phần cứng chuyên dụng
Với sự gia tăng lực lượng lao động của một tổ chức, rất nhiều người dùng (VPN clients) có các dữ liệu không đồng bộ. Các người dùng này có thể sử dụng VPN để trao đổi một cách an toàn tới mạng nội bộ của tổ chức. Các mô tả tiểu biểu của một VPN client bao gồm các phần sau ( hình 2-4)
 Các người giao tiếp từ xa sử dụng Internet hoặc mạng công cộng để kết nối nguồn tài nguyên của tổ chức từ nhà
 Những người sử dụng laptops, palmyops và notebooks, những người mà sử dụng mạng công cộng để kết nối với mạng nội bộ của tổ chức để truy cập mail và các tài nguyên nội bộ khác.
 Các nhà quản trị từ xa, những người sử dụng mạng công cộng trung gian, như là internet, để kết nối với các nơi ở xa để quản lý giám sát, khắc phục sự cố, hoặc cấu hình các dịch vụ và thiết bị

c. VPN Routers, Concentrators và gateways

Trong trường hợp các thiết lập VPN nhỏ, VPN server có thể thực hiện nhiệm vụ định tuyến. Tuy nhiên, kiểu làm này không hiệu quả trong trường hợp các thiết lập VPN lớn bao gồm số lượng khổng lồ các yêu cầu. Trong các trường hợp như vậy, một thiết bị định tuyến VPN riêng được sử dụng. Tổng quát một router là một điểm cuối của mạng cá nhân nếu nó không có tường lửa phía sau. Nhiệm vụ của VPN router là làm cho các phần ở xa trong mạng nội bộ có thể liên lạc được với nhau. Vì thế, các router có nhiệm vụ chính là tìm tất cả các đường đi có thể đến điểm đích trong mạng và chọn đường ngắn nhất trong tập các đường có thể như trong trường hợp của mạng truyền thống.
Mặc dù các routers thông thường có thể được sử dụng trong VPN, các chuyên gia đề nghị nên sử dụng các router tối ưu cho VPN. Các router này, khác với các router thường ở chỗ, cung cấp luôn các giải pháp bảo mật, tính khả chuyển và chất lượng dịch vụ dưới dạng dư thừa các đường đi. Router Cisco 1750 Modular Access là một ví dụ tiêu biểu.
 Lưu ý : Các đặc tính thêm vào router thì khá phổ biến trong VPN. Routers với các đặc tính thêm vào không phải là các router thật sự nhưng là một sự cải tiến các router truyền thống làm cho chúng làm việc trong môi trường VPN. Router add-ons được cài đặt hoặc tại giao diện của LAN hoặc tại giao diện của WAN của một router thông thường và cung cấp các khả năng xác nhận, mã hóa và đường hầm cho router. Sử dụng các đặc tính thêm vào này có thể giảm giá thành của VPN đáng kể bởi vì tổ chức có thể năng cấp các router hiện có của họ. Tuy nhiên, ban đầu có một ít khó khăn và tốn nhiều thời gian để cài đặt, cấu hình và kiểm tra lỗi
Giống như hubs được sử dụng trong các mạng truyền thống, VPN concentrator được sử dụng để thiết lập các truy cập từ xa quy mô nhỏ vào VPN. Bên cạnh việc gia tăng dung lượng và throughput của VPN, các thiết bị này thường cung cấp một hiệu suất sẵn sàng cao, và khả năng mật mã tiên tiến và khả năng xác nhận. Concentrator Cisco Series 3000 và 5000 và VPN Altiga là một vài các concentrator thông dụng
IP gateways, như đã thảo luận ở phần đầu, chuyển các giao thức không IP thành các giao thức IP và ngược lại. Kết quả là các gateways này cho phép các mạng cá nhân hỗ trợ các giao dịch dựa trên IP. Các thiết bị này có thể hoặc là các thiết bị chuyên dụng hoặc là các giải pháp dựa trên phần mềm.Nếu sử dụng các thiết bị phần cứng, IP gateways được thực hiện ở rìa mạng nội bộ của tổ chức. Nếu sử dụng giải pháp dựa trên phần mềm, IP gateways được cài đặt trên mỗi server và được sử dụng để chuyển các luồng lưu thông từ không IP thành IP. IP gateways Novell Border Manager là các ví dụ tiêu biểu.
1.3.3. Nguyên tắc bảo mật và an toàn mạng thông tin.
Mạng intermet luôn bị xem là môi trường truyền tải thông tin có tính bảo mật kém, dữ liệu tải đi trên đường truyền có nguy cơ xâm hại, truy xuất trái phép rất lớn. Sự phát triển của kỹ thuật VPN, dựa trên cơ sở cơ chế tunnel có thể tăng tính bảo mật của đường truyền.
1.3.3.1. Xác nhận người dùng và quản lý truy cập

Dữ liệu được lưu trữ trên tài nguyên mạng khác nhau có thể bị nhiều kiểu tấn công. Có thể phân loại các dạng tấn công dữ liệu theo sau:
 Ngắt dịch vụ mạng: Thỉnh thoảng, do bị tấn công từ bên ngoài hay bên trong mạng, một số tài nguyên mạng không thể truy cập trong khoảng thời gian dài. Trong trường hợp tấn công server, có thể toàn bộ mạng sẽ bị ngắt và các user không thể truy cập được.
 Ngăn chặn dữ liệu: Khi truyền tải, dữ liệu có thể bị ngăn chặn trái phép bởi cá nhân nào đó. Kết quả là những thông thi quan trọng có thể bị mất. Trong trường hợp này, các tổ chức cơ quan sẽ thiệt hại rất lớn (các hợp đồng thương mại và tiền bạc) nếu các thông tin nhạy cảm này rơi vào tay kẻ xấu.
 Thay đổi dữ liệu: Sự ngăn chặn dữ liệu có thể nhằm mục đích thay đổi. Trong trường hợp tấn công này, người nhận thông tin có thể nhận dữ liệu đã bị thay đổi, bóp méo. Nó có thể gây thiệt hại lớn cho tổ chức, đặc biệt nếu dữ liệu này rất quan trọng thì thiệt hại sẽ rất lớn.
 Dữ liệu giả: Trong trường hợp tấn công này, người sử dụng trái phép có thể gửi thông tin đến các người sử dụng khác của mạng. Sau khi giành được quyền truy xuất mạng, cá nhân này có thể gửi các thông tin giả mạo và nguy hiểm đến người sử dụng khác trong mạng. Điều này có thể dẫn đến sự kết thúc của một phần hay toàn bộ mạng, hay ngưng dịch vụ.
Xác nhận người sử dụng và quản lý truy cập là 2 bước cơ bản nhất để chúng ta có thể ngăn các nguy cơ bảo mật này và các dữ liệu quan trọng và nhạy cảm có thể được lưu giữ an toàn trên mạng. Quá trình kiểm tra xác nhận người sử dụng được gọi là “user authentication”. Sự cho phép truy cập các tài nguyên mạng hay từ chối truy cập gọi là “access control”. Kết hợp 2 cơ chế này có thể giảm thiểu được các nguy cơ về vấn đề bảo mật.

a. Xác nhận người dùng

Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn truy xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm thiểu sự truy xuất trái phép các tài nguyên mạng.
Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết hợp với nhau:
 Đăng nhập ID và password: Người sử dụng dùng ID và password để xác nhận truy cập từ các nút VPN.
 S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm mã hóa ( hiện tại là MD4) được áp dụng đối với password. Kết quả được lưu lại trên server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên kết quả vừa nhận được. Nếu kết quả nó đưa ra trùng lặp với giá trị được lưu trước đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm password counter.
 Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu. RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP).
 Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu (token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng (có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên phần mềm
b. Quản lý truy cập

Sau khi người sử dụng xác nhận thành công thì mặc định người đó có thể truy cập đến tất cả các tài nguyên, dịch vụ và các ứng dụng trong nội bộ mạng. Nó có thể tăng các nguy cơ bảo mật cho người sử dụng bởi vì người sử dụng có thể cố ý hay không cố ý xáo trộn dữ liệu trên các thiết bị khác nhau. Bằng cách phân loại các loại dữ liệu quan trọng và các dữ liệu không quan trọng mà người sử dụng làm việc hằng ngày, chúng ta có thể ngăn chặn hiệu quả điều đó. Kết quả là sự truy cập có thể bị ngăn cấm đến thiết bị lưu trữ những thông tin quan trọng này
Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập. Nguy cơ bảo mật này có thể được giảm bằng cách giới hạn quyền truy cập của người sử dụng. Ví dụ, dữ liệu có thể được bảo vệ bằng cách cho phép các người sử dụng bình thường chỉ được phép đọc dữ liệu. Và một số người sử dụng đặc biệt mới có khả năng thay đổi hay xóa dữ liệu đó.
Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID). Tuy nhiên một số thông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm có thể đóng vai trò quan trọng trong phương pháp quản lý truy cập truyền thống. Cơ chế quản lý truy cập hiện đại cũng dựa trên các thông số như thời gian, ngày, phần mềm ứng dụng, dịch vụ hay phương pháp xác nhận URL và cơ chế mã hóa
1.3.3.2. Mã hóa dữ liệu

Mã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật VPN và đóng vai trò quan trọng khi truyền dữ liệu quan trọng. Đó là cơ chế chuyển đổi dữ liệu sang định dạng khác mà không có khả năng đọc được gọi là ciphertex, do đó các truy xuất trái phép vào dữ liệu có thể ngăn được khi dữ liệu truyền qua môi trường trung gian không an toàn.
Mã hóa dữ liệu có thể ngăn được các nguy cơ sau:
 Xem dữ liệu trái phép
 Thay đổi dữ liệu
 Dữ liệu giả
 Ngắt dịch vụ mạng
Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu. Trong trường hợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ liệu đó cũng không thể biết phương pháp để chuyển đổi nó về dạng ban đầu, do đó nó cũng trở nên vô dụng với người đó. Hình 3-2 mô phỏng mô hình phương pháp mã hóa truyền thống:

Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã hóa(cryptosystem). Cryptosystem thuộc một trong 2 dạng sau:
 Đồng bộ
 Không đồng bộ
Cryptosystem được phân loại dựa theo số khóa (key) được sử dụng. Khóa có thể là số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã
a.Hệ thống mã hóa đồng bộ

Hệ thống mã hóa đồng bộ dựa trên một khóa duy nhất, đó là một chuỗi bit cố định độ dài. Nên cơ chế mã hóa này cũng được gọi là mã hóa khóa duy nhất. Khóa là cá nhân (bi mật) và được sử dụng cho mã hóa cũng như giải mã.
Symmetric cryptosystems are based on a single key, which is a bit string of fixed length. Therefore, this encryption mechanism is also referred to as single-key encryption. The key is private (or secret) and is used for encryption as well as decryption.
Trước khi truyền tải thông tin giữa 2 thành phần, khóa phải được chia sẻ với nhau. Người mã hóa thông tin gốc sử dụng khóa cá nhân và gửi đến cho người nhận. Khi nhận được dữ liệu đã được mã hóa, người nhận sử dụng cùng khóa đó để giải mã.

Như đã đề cập ơ trên, người nhận và nguời gửi cần phải chia sẻ cùng một khóa. Một phương pháp chia sẻ khóa là người nhận cung cấp khóa bí mật hóa đối với người nhận bằng cách gặp trực tiếp. Tuy nhiên điều này làm lãng phí thời gian và cũng mất đi ý nghĩa của truyền thông tin bằng mạng. Một phương pháp khác để chuyển khóa cho người nhận là bằng cách điện thoại. Nhưng phương pháp này có thể bị nghe trộm. Một cách khác nữa là gửi bằng thư hay email. Và cũng như các phương pháp trước, nguy cơ bị lấy mất thông tin là rất lớn.
Bởi vì các phương pháp gửi khóa đều không an toàn, một giải pháp khả thi cho vấn đề này là làm cho độ dài khóa đủ lớn. Bất cứ người nào cũng cần phải “phá vỡ” hay giải mã khóa trước nếu muốn xem thông tinh gốc. Tuy nhiên với khóa có độ dài lớn thì việc giải mã khóa sẽ rất khó khăn. Phụ thuộc vào độ dài khóa, nhiều thuật toán mã hóa đồng bộ đã được phát triển qua nhiều năm, một số thuật toán phổ biến sử dụng mã hóa đồng bộ trong VPN là:
 Data Encryption Standard (DES). DES đề xuất độ dài khóa đến 128bit. Tuy nhiên kích thước khóa đã giảm xuống còn 56bits bởi chính phủ Mĩ nhằm tăng tốc độ thuật toán. Tuy nhiên với độ dài khóa được rút ngắn như vây thì thuật toán mã hóa này bảo mật không tốt, có thể bi tấn công ví dụ như tấn công Brute Force. Tong tấn công Brute Force thì khóa sẽ được tạo ra ngẫu nhiên và được ghép vào file text cho đến khi khóa đúng được xác định. Với độ dài khóa nhỏ hơn có thể dễ dàng tạo ra khóa đúng và hệ thống mã hóa mất tác dụng
 Triple Data Encryption Standard (3DES). Giống như hệ thống DES, 3DES cũng sử dụng khóa 56bit. Tuy nhiên, nó bảo mật tốt hơn do sử dụng 3 khóa khác nhau để mã hóa dữ liệu. Tiến trình thực hiện: Sử dụng khóa thứ nhất để mã hóa dữ liệu, sử dụng khóa thứ 2 để giải mã dữ liệu mã hóa bước 1 và cuối cùng sử dụng khóa 3 để mã hóa lần 2. Do đó nó tăng tính bảo mật nhưng cũng đồng thời do tính phức tạp của thuật toán nên chậm hơn gấp 3 lần so với DES.
 Ron's Code 4 (RC4). Phát triển bởi Ron Rivest, sử dụng khóa có độ dài thay đổi đến 256bit. Vì độ dài của khóa nên RC4 được xếp vào một trong các cơ chế mã hóa tốt nhất, nhưng cũng hoạt động nhanh. RC4 tạo một chuỗi byte ngẫu nhiên và XOR chúng với file văn vản gốc. Vì byte được tạo ngẫu nhiên nên RC4 yêu cầu khóa mới cho mỗi lần gửi đi thông tin.
Hệ thống mã hóa xuất hiện 2 vấn đề chính. Đầu tiên là chỉ sử dụng một khóa cho mã hóa và giải mã. Nếu một người ngoài mà biết được khóa này thì tất cả thông tin truyền đạt sử dụng khóa này đều gặp nguy hiểm, nguy cơ mất mát cao. Di đó khóa cần được thay đổi theo chu kì. Vấn đề thứ 2 là số lượng thông tin lớn, quản lý khóa trở nên nhiệm vụ phức tạp. Thêm vào đó tổng chi phí cho thiết lập khóa ban đầu, phân phối hay thay thế các khóa chu kì là rất đắt và lãng phí thời gian.
Hệ thống mã hóa không đồng bộ có thể giải quyết các vấn đề của hệ thống mã hóa đồng bộ.
b.Hệ thống mã không đồng bộ

Thay thế cho khóa duy nhất của hệ thống mã hóa đồng bộ, hệ thống mã hóa không đồng bộ sử dụng một cặp khóa liên quan toán học với nhau. Một khóa là cá nhân và chỉ được biết bởi chủ của cặp khóa này. Khóa thứ 2 là khóa chung và được phân phối tự do. Khóa chung được sử dụng cho mã hóa còn mã cá nhân được sử dụng cho giải mã thông tin.
Trong giải pháp VPN, 2 hệ thống mã hóa không đồng bộ được sử dụng phổ biến nhất là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA) algorithm.
Thuật toán Diffie-Hellman
Trong thuật toán Diffie-Hellman, mỗi thực thể giao tiếp cần 2 khóa, một để phân phối cho các thực thể khác và một khóa cá nhân. Thuật toán Diffie-Hellman thực hiện theo các bước:
1. Người gửi nhận mã chung của nơi cần gửi đến, cái này được phân phối cho tất cả những ai càn giao tiếp.
2. Người gửi phải thực hiện tính toán dựa trên khóa riêng của mình và khóa chung của nơi đến. Phép tính cho ra kết quả khóa chia sẻ bí mật (shared secret key)
3. Thông tin được mã hóa bằng khóa chia sẻ bí mật này
4. Thông tin được mã hóa sẽ gửi đến người nhận
5. Bên nhận sẽ tái tạo khóa chia sẻ bí mật bằng phép tính tương tự sử dụng khóa riêng của mình và khóa chung của người gửi
Nếu có bất cứ ai có thể lấy được thông tin mã hóa thì cũng không thể khôi phục lại thông tin ban đầu bởi vì họ không có khóa riêng của người nhận. Mô hình truyền dữ liệu sử dụng thuật toán Diffie-Hellman như hình 3-4

Dữ liệu chuyển đổi dựa trên thuật toán Diffie-Hellman được đánh giá là an toàn bởi vì chỉ có một khả năng rất nhỏ là dữ liệu có thể bị xem trộm hay thay đổi trong suốt quá trình truyền tải. Thêm vào đó, vì không có khóa bí mật (private) truyền tải nên xác suất có một người khác biết được khóa riêng là rất thấp. Và việc quản lý khóa sẽ không tốn nhiều thời gian như hệ thống mã hóa đồng bộ trong trường hợp lượng thông tin giao tiếp lớn.
Thuật toán Diffie-Hellman không cung cấp tính bảo mật hơn hệ thống mã hóa đồng bộ, có một vấn đề cũ liên quan đến nó là việc bảo đảm khoa chung được truyền đạt phải thật chính xác. Vi dụ, nếu 2 người giao tiếp truyền khóa chung qua môi trường trung gian không an toàn như internet. Khả năng có người thứ 3 chặn được yêu cầu khóa chung của 2 bên và gửi khóa chung của mình cho cả 2 đầu giao tiếp. Trong trường hợp này, người thứ 3 này sẽ dễ dàng ghi lại giao tiếp của 2 người này vì thông tin 2 đầu gửi đi được mã hóa bởi khóa chung người thư 3 này. Đây là kiểu tấn công Man-in-the-Middle.
Thuật toán The Rivest Shamir Adleman (RSA)
RSA là cơ chế mã hóa mạnh, là chuẩn trong hệ thống mã hóa không đồng bộ. Không giống như Diffie-Hellman, thông tin gốc được mã hóa sử dụng khóa chung của người nhận, Người nhận sẽ khôi phục lại thông tin ban đầu bằng khóa chung của người gửi. Các bước thực hiện thuật toán sử dụng tín hiệu số như sau:
1. Khóa chung được trao đổi với nhau giữa 2 người giao tiếp
2. Người gửi sử dụng hàm băm (hash function) để giảm kích thước dữ liệu gốc. Dữ liệu thu được gọi là message digest (MD).
3. Người gửi mã hóa message digest với khóa riêng tạo thành tín hiệu số duy nhất.
4. Dữ liệu và tín hiệu số kết hợp với nhau và gửi đến người nhận
5. Khi nhận được dữ liệu đã được mã hóa, người nhận sẽ khôi phục message digest bằng cách sử dụng hàm băm như bên người gửi.
6. Người nhận sẽ giải mã tín hiệu số bằng cách sử dụng khóa chung của người gửi
7. Người nhận sẽ so sánh 2 dữ liệu là message digest (bước 5) và message digest khôi phục từ tín hiệu số (bước 6). Nếu 2 dữ liệu này giống nhau thì thong tin không bị ngăn chặn, thay đổi trên suốt quá trình truyền tải, nếu không giống thì dữ liệu sẽ bị loại bỏ. Dữ liệu được gửi dựa trên cơ sở thuât toán RSA mô ta như hình sau:

RSA bảo vệ an toàn dữ liệu bởi vì người người nhận sẽ kiểm tra tính xác thực của dữ liệu 3 lần (các bước 5, 6, 7). RSA cũng đơn giản trong việc quản lý khóa. Tong mã hóa đồng bộ, n2 yêu cầu nếu có n thực thể liên quan. So sánh với mã hóa không đồng bộ chỉ yêu cầu 2*n key.
1.3.3.3.Cơ sở hạ tầng khóa chung (Public Key Infrastructure - PKI)

PKI là một bộ khung của các chính sách d0ể quản lý các khóa và thiết lập mộ phương pháp bảo mật cho việc trao đổi dữ liệu. Các sự trao đổi dữ liệu sử dụng PKI có thể xảy ra trong một tổ chức, một quốc gia, một khu công nghiệp hay một vùng. Để nâng cao sự quản lý khóa và bảo đảm các giao dịch dữ liệu có độ an toàn cao, một khung dựa trên PKI bao gồm các chính sách và thủ tục được hỗ trợ bởi các tài nguyên phần cứng và phần mềm. Chức năng chính của PKI như sau :
 Tạo ra các cặp khóa cá nhân và công cộng cho khách hàng PKI
 Tạo và xác nhận chữ ký số
 Đăng ký và xác nhận người sử dụng mới
 Cấp phát các sự chứng nhận cho người sử dụng
 Bám theo các khóa đã được cấp phát và lưu trữ lịch sử của mỗi khóa ( dùng để tham khảo trong tương lai)
 Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn
 Xác nhận người sử dụng PKI
Trước khi cố tìm hiểu công việc của PKI, chúng ta hãy tìm hiểu các thành phần tạo thành khung PKI
1. Các thành phần PKI

Các thành phần chính tạo thành khung PKI là
 Khách hàng PKI
 Người cấp giấy chứng nhận (CA)
 Người cấp giấy đăng ký (RA)
 Các giấy chứng nhận số
 Hệ thống phân phối các giấy chứng nhận (CDS)
a. Khách hàng PKI

Một khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc RA. Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình. Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận
b. Certification Authority (CA)

CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách hàng PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính xác thực của khách hàng PKI
CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát các giấy chứng nhận số. Như chúng ta kỳ vọng, quá trình cấp giấy chứng nhận thay đổi phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài thông tin, như bằng lái xe, notarization hoặc dấu vân tay.
Một ví dụ của một CA nổi tiếng là Verisign,Inc
c. Registration Authority ( RA)

Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận và kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho RA. RA nhận tất cả các yêu cầu cấp giấy chứng nhận và kiểm tra chúng

Sau khi một RA kiểm tra một yêu cầu thành công, nó chuyển yêu cầu tới CA. CA phát giấy chứng nhận yêu cầu và chuyển nó tới cho RA. Ra sau đ1o chuyển giấy chứng nhận tới khách hàng yêu cầu. Trong cách thực hiện này, RA đóng vai trò như một gnười trung gian giữa các khách hàng PKI và CA.

d. Các giấy chứng nhận số

Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác nhận và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu, các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin không xác nhận
Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của người gửi và bao gồm các thông tin sau :
 Dãy số của giấy chứng nhận
 Hạn sử dụng của giấy chứng nhận
 Chữ ký số của CA
 Khóa công cộng của khách hàng PKI
Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng khóa công cộng của người gửi để giải mã thông tin thực sự
e. Hệ thông phân phối giấy chứng nhận

Hệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận được cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa công cộng tới các server dịch vụ thư mục
2. Các giao dịch dựa trên PKI

Như đã đề cập phía trên, PKI cung cấp bốn chức năng bo mật chính : sự cẩn mật, sự toàn vẹn, sự xác nhận và không có sự từ chối. Mỗi bước trong một giao dịch VPN được lặp lại một hay nhiều trong số các tính năng bảo mật này. Các bước trong một giao dịch dựa trên PKI là :
 Sự sinh ra cặp khóa. Trườc khi người gởi chuyển dữ liệu đến người nhận mong muốn, nó báo cho người nhận biết mục đích của nó về việc trao đổi dữ liệu. Như vậy thì, cà hai đầu sinh ra một cặp khóa tạo bởi khóa riw6ng và khóa công cộng. Đầu tiên, khóa cá nhân được tạo ra. Sau đó, khóa công cộng tương ứng được tạo bằng cách áp dụng một hàm băm một chiều đối với khóa riêng.
 Sự tạo ra chữ ký số. Sau khi cặp khóa được tạo ra, một chữ ký số duy nhất được tạo ra. Chữ ký số này dùng để định danh người gửi dữ liệu. Để tạo ra chữ ký số, đầu tiên thông tin gốc bị băm. Nói một cách khác, một hàm băm được áp dụng vào tín hiệu gốc. Quá trình băm cho kết quả là một tập thông tin, cái mà sau đó được mã hóa với khóa các nhân của người gửi. Kết quả được gọi là chữ ký số
 Áp dụng mã hóa dữ liệu và chữ ký số.Sau khi một chữ ký số được tạo ra, thông tin gốc được mã hóa với khóa công cộng của người gửi. Kế tiếp, chữ ký số được tạo ợ trân được gắn vào thông tin đã mã hóa.
 Thông tin đã mã hóa và khóa công cộng của người gửi được chuyển tới người nhận. Thông tin được mã hóa sau ứo được truyền đến người nhận cùng với khóa công cộng của người gửi. Thay vì chuyển khóa công cộng dưới dạng văn bản rõ nghĩa thì khóa công cộng đầu tiên được mã hóa bởi khóa công cộng của người nhận. Để giải mã khó công cộng được mã hóa này, người sử dụng phải sử dụng khóa riêng của mình. Bởi vì khóa riêng của người nhận chỉ có người nhận biết, cơ hội để cho các người xâm phạm phá khóa công cộng là rất thấp. Khóa công cộng của người gửi còn được xem như là khóa phiên
 Nhận thông tin và xác nhận định danh người gửi. Trong lúc nhận thông tin mã hóa và khóa công cộng, người nhận có thể yêu cấu CA kiểm tra danh tính người gửi. CA làm được điều đó bằng cách kiểm tra chữ ký số được gắn với thông tin và báo kết quả cho người nhận biết. Nếu chữ ký số được kiểm tra thành công, người nhận tiếp tục qua 1trình giải mã thông tin. Nếu không người nhận sẽ từ chối và giao dịch sẽ kết thúc
 Sự giải mã thông tin. Sau khi định danh người gửi được xác nhận thành công, người nhận mã hóa thông tin. Để làm được như vậy người nhận đầu tiên phải giải mã khóa công cộng của người gửi bằng cách sử dụng khóa riêng của nó. Khi khóa công cộng của người gửi được ciết xuất thành công thì người nhận sẽ dùng nó để giải mã thông tin
 Sự xác nhận nội dung thông tin Cuối cùng, người nhận xác nhận kiểm tra nội dung của thông tin nhận được. Đầu tiên, chữ ký số được giải mã sử dụng khóa công cộng của người gửi và thông tin được chiết xuất ra. Thông tin mã hóa sẽ được băm qua một hàm băm và một tập thông tin mới được rút ra. tập thông tin nhận được va tập thông tin mới sinh ra được so sánh với nhau.nếu chúng phù hợp, dữ liệu không bị chặn đứng hoặc can thiệp vào trong quá trình truyền


Ở phần kế, chúng ta sẽ được biết về các cách thực hiện PKI đa dạng được sử dụng phần lớn bởi các tổ chức trên thế giới
3. Hiện thực PKI

Như chúng ta đã biết, CAs giúp thiết lập định danh đúng của các thực thể giao tiếp. Tuy nhiên, CAs không những chứng thực các khách hàng PKI, mà còn các CAs khác bằng cách phát giấy chứng nhận số tới chúng. Cas được kiểm tra, xoay vòng, kiểm tra các CAs khác và chuỗi tiếp tục cho tới khi mỗi thực thể các thể tin tưởng các thực thể khác liên quan đến một giao dịch. Chuỗi chứng nhận này được biết đến như là đường đi của sự chứng nhận, và sự sắp xếp của CAs trong đường đi chứng nhận này được xem như cấu trúc của PKI
Các loại chính của cấu trúc PKI bao gồm
 Cấu trúc CA đơn
 Cấu trúc danh sách tin cậy
 Cấu trúc có thứ bậc
 Cấu trúc mắt lưới
 Cấu trúc hỗn hợp
a. Cấu trúc CA đơn

Cấu trúc CA đơn là cấu trúc PKI đơn giản nhất. Như tên gọi của nó, cấu trúc này được dựa trên CA đơn, cái mà cấp phát các giấy chứng nhận, và khi cần thiết truy hồi các giấy chứng nhận. Tất cả các thực thể bên dưới có một mối quan hệ tin cậy đối với CA này. Bởi vì sự vắng mặt của các CA khác trong mô hình, cấu trúc này không hỗ trợ mối quan hệ tin cậy CA
Hình 3-7 miêu tả cấu trúc của một CA đơn

Cấu trúc CA đơn phù hợp với các tổ chức nhỏ bởi vì số lượng khách hàng PKI tương đối thấp và sự quản lý các khách hàng này không phải là một nhiệm vụ tiêu thụ thời gian
b. Cấu trúc danh sách tin cậy

Vì số lượng khách hàng PKI trong một tổ chức tăng, sự quản lý xác nhận và kiểm tra định danh trở nên phức tạp và tiêu tốn nhiều thời gian đối với một CA đơn. Tình huống này có thể được đơn giản bằng cách dùng nhiều CAs trong một cấu trúc.
Với nhiều Cas, một khách hàng PKI đơn có thể yêu cầu các gấiy chứng nhận từ nhiều hơn một CA. Kết quả là, mỗi khách hàng phải lưu trữ một danh sách các mối liên hệ tin cậy với tất cả các CAs trong một cấu trúc – do đó có tên là cấu trúc danh sách tin cậy

c. Cấu trúc có thứ bậc

Cấu trúc có thứ bậc là cấu trúc PKI được hiện thực phổ biến nhất và được sử dụng trong các tổ chức có quy mô lớn. Không giống các cấu trúc ở trên, mô hình này dựa trên các mối quan hệ tin cậy giữa các Cas khác nhau trong mô hình.
Như tên gọi của nó, Cas được sắp xếp một cách có thứ bậc và chia xe một loại “cấp trên - cấp dưới ” của mối quan hệ tin cậy. CA cao nhất được xem như đỉnh CA và được xem như điểm bắt đầu của mô hình. Nó cấp phát giấy chứng nhận và kiểm tra định danh của các CAs cấp dưới của nó. Các CAs cấp dưới, xoay vòng, có thể cấp giấy chứng nhận tới các cấp dưới của chúng và khách hàng PKI. Tuy nhiên chúng không thể c6áp giấy chứng nhận cho cấp trên

d. Cấu trúc mắt lưới

Không giống như cấu trúc thứ bậc, trong một cấu trúc mắt lứơi các Cas chia sẻ một mối qun hệ tin cậy ngang hàng với các Cas khác. Kết quả là, chúng có thể cấp phát các giầy chứng nhận số lẫn nhau, điều này có nghĩa là, mối quan hệ tin cậy giữa các Cas là hai chiều. Các Cas cũng cấp phát giấy chứng nhận tới khách hàng PKi của chúng

e. Cấu trúc PKI hỗn hợp

Các cấu trúc trên phục vụ cho các yêu cầu của một tổ chức đơn. Tuy nhiên, viễn cảnh và sự hiện thực của cơ sở hạ tầng PKI trở nên phức tạp khi một tổ chức phải tác động tới các tổ chức khác, như là trương hợp với hầu hết các tổ chức ngày nay. vấn đề nằm ở khả năng của sự khác nhau trong mỗi cấu trúc PKI của mỗi tổ chức. Ví dụ, một tổ chức có thể sử dụng cấu trúc mắt lưới trong khi các tổ chức khác sử dụng cấu trúc CA đơn. Trong tình huống như vậy, một cấu trúc hỗn hợp chứng mính sự hữu ích vì nó cho phép sự tương tác thành công giữa hai tổ chức
 Có ba loại cấu trúc hỗn hợp. Bao gồm
 Cấu trúc danh sách tin cậy mở rộng. Trong cấu trúc này, tất cả các khách hàng PKI giữ một danh sách mở rộng tất cả các điểm tin cậy trong cấu trúc của tổ chức khác thêm vào các điểm tin cậy trong tổ chức của chúng. Một điểm tin cậy trong cấu trúc của các hệ thông khác có thề hoặc là một CA đơn, nhiều hơn một CA, hợac tất cả các Cas của tổ chức khác.

 Cấu trúc xác nhận chéo. Trong cấu trúc hỗn hợp này, gốc CA của một cơ sở hạ tầng của một tổ chức lưu trữ một mối quan hệ ngang hàng với các Cas gốc của các tổ chức khác.
Trả Lời Với Trích Dẫn
Đã có 3 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
  #10  
Old 03-06-2011, 18:21
thienlong481990 thienlong481990 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2010
Tuổi: 29
Bài gởi: 9
Thanks: 0
Thanked 23 Times in 8 Posts
1.4 Các bước phát triển mạng VPN .
Các bước thiết lập giải pháp VPN có thể chia ra thành 5 bước sau:
 Phân lớp các công việc cơ bản
 Chọn các thiết bị và nhà cung cấp dịch vụ
 Kiểm tra kết quả
 Thiết kế và thiết lập giải pháp
 Quản lý và giám sát
Theo các bước trên, ta sẽ nghiên cứu chi tiết từng bước một:
1. Phân lớp các công việc cơ bản:

Thiết lập một giải pháp VPN có thể làm giảm một ít hiệu suất làm việc của mạng intranet. Do đó, điều quan trọng là ta phải nghiên cứu để lựa chọn được các sản phẩm và dịch vụ tối ưu. Do đó, nếu các công việc cơ bản của chúng ta càng chi tiết, thì sự đầu tư của chúng ta vào hệ thống sẽ được tối ưu hơn (ROI)
 Ta cần xác định các thành phần thông tin sau trong các pha phân tích:
 Ước lượng số lượng người dùng: Chúng ta cần có số lượng người sử dụng mong chờ để xác định giải pháp và dịch vụ VPNs. Con số này sẽ giúp chúng ta xác định số lượng tối ưu các cổng VPN mà hệ thống của chúng ta cần phải có.
 Phân loại người dùng dựa theo yêu cầu của họ: Chúng ta cần phải xem sơ lược các khía cạnh, yêu cầu của người sử dụng để xếp họ vào các nhóm khác nhau bao gồm các nhánh như nhóm người sử dụng, nhóm người sử dụng di động, nhóm thông tin xa, hay nhóm làm việc tại nhà. Người sử dụng ở các chi nhánh hay ở một vị trí cố định có thể yêu cầu truy cập không giới hạn vào mạng trung tâm của tổ chức và các địa chỉ chi nhánh trong mạng intranet. Nhóm người sử dụng di động là những người mà có sự chuyển vùng hoạt động, là những người sử dụng laptop hay notebook để truy cập mạng intranet trung tâm. Họ sử dụng kết nối VPN để truy xuất email và nếu cần thiết sẽ truy suất một số tài nguyên mạng hữu hạn. Nhóm thông tin xa và nhóm làm việc tại nhà thì yêu cầu truy cập một số tài nguyên mạng hữu hạn và dịch vụ.
 Yêu cầu kết nối và truy cập: Bước tiếp theo là xác định mạng truy cập và yêu cầu kết nối của các nhóm người dùng. Chúng ta cần xác định các dạng kết nối WAN, yêu cầu tốc độ truyền dữ liệu của các người dùng khác nhau và dạng kết nối.
 Yêu cầu bảo mật: Bảo mật trong hệ thống VPN theo thứ tự là xác thực, tính nhất quán và tính bảo mật. Để đảm bảo rằng tất cả các yêu cầu này trong các giao dich VPN, chúng ta cần thiết lập các cơ chế mã hóa, cơ chế xác thực và giải pháp bảo mật dựa trên phần cứng như RADIUS, AAA, TACACS, tường lửa, NAT… Chúng ta không thể chọn lựa bất kỳ các thiết lập bảo mật này một cách tùy ý. Chúng ta cần phân tích các yêu cầu của tổ chức để có thể đề suất giải pháp hợp lý. Sự chọn lựa giải pháp bảo mật cũng phụ thuộc cấp độ bảo mật và yêu cầu nhất quán của lưu lượng truyền tin. Ví dụ, nếu tổ chức của chúng ta muốn giao dịch các dữ liệu quan trọng, chúng ta cần thiết lập một hay nhiều giải pháp bảo mật để đảm bảo rằng tính chất xác thực, nhất quán và bảo mật của thông tin
2. Chọn các thiết bị và nhà cung cấp dịch vụ

Bước tiếp theo là chọn lựa các sản phẩm để thiết lập mạng VPN. Không dễ dàng để quyết định bởi vì có rất nhiều sản phẩm phần cứng và phần mềm VPN hiện tại. Mục đích là chọn lựa được các sản phẩm thỏa mãn các yêu cầu với chi phí hợp lý.
Một số thông số sẽ giúp chúng ta chọn lựa sản phẩm phần cứng cũng như phần mềm phù hợp cho VPN của chúng ta:
 Các thông số liên quan hiệu suất làm việc như lưu lượng qua cao nhất có thể chịu được và thời gian đáp ứng ngắn nhất
 Các thông số liên quan bảo mật như các cơ chế xác thực và mã hóa hỗ trợ.
 Các thông số liên quan phiên làm việc như tốc độ truyền tin cao nhất
 Số kết nối có thể thực hiện được tại một thời điểm
Nhà cung cấp dich vụ sẽ có yêu cầu giám định và kỹ thuật để thiết kế và thiết lập giải pháp bộ kết nối VPN (tailored) cho các yêu cầu của tổ chức. Điều này giúp giải quyết trách nhiệm giám sát và quản lý của chúng ta. Tuy nhiên, nguy cơ ở đây là vấn đề bảo mật của chúng ta với bên ngoài. Đó là điều không thể chấp nhận với nhiều quản trị viên và tổ chức. Do đó, chúng ta cần phân tích rõ ràng chi tiết SLA mà nhà cung cấp đưa ra cho chúng ta. Điều này sẽ giúp chúng ta kiểm tra nhà cung cấp dịch vụ cung cấp cho chúng ta mức độ nào trong các dịch vụ ký kết trong SLA
3. Kiểm tra kết quả:

Nếu chúng ta quyết định bổ sung cá thành phần trong hệ thống VPN, chúng ta cần kiểm tra và đánh giá các sản phẩm VPN mà chúng ta lựa chọn. Điều này sẽ giúp chúng ta chắc chắn rằng các sản phẩm phần cứng và phần mềm sẽ phù hợp và thích nghi các sản phẩm khác.
Tổng quát, quá trình kiểm tra giúp các nhóm có thể hoạt động thống nhất. Mọi mặtVPN cũng cần kiểm tra và chúng ta nên hiểu các sản phẩm hoạt động như thế nào trong môi trường thực. Đảm bảo rằng các sản phẩm là được cấu hình đúng để thiết lập vào các trường hợp riêng biệt.
Nếu chúng ta quyết định sử dụng các dich vụ của nhà cung cấp dịch vụ, việc chúng ta kiểm tra giải pháp được đưa ra bởi nhà cung cấp dịch vụ theo thời gian thực là được khuyến khích.
4. Thiết kế và thiết lập giải pháp

Trong các quá trình thiết kế và thiết lập hệ thống, chúng ta sẽ thiết lập giải pháp vào tổ chức của chúng ta. Sau khi giải pháp được thiết lập thành công, chúng ta cần kiểm tra lại toàn bộ hệ thống. Sau khi kiểm tra thành côngm chúng ta cũng cân tinh chỉnh lại các thông số của hệ thống để tối ưu hiệu suất làm việc và bảo mật.
5. Quản lý và giám sát

Duy trì sát và quản lý bất cứ hệ thốn mạng nào cũng là quá trình liên tục. Nếu quymô mạng VPN càng lớn thì sẽ càng phúc tạp để giám sát nó. Do vậy, chúng ta cần có một chiến lược để thường xuyên quản lý và giám sát mạng của chúng ta.
Các công việc sau giúp chúng ta đảm bảo rằng mạng VPN của chúng ta luôn được tối ưu:
 Tổng hợp các số liệu thông kê về hiệu suất làm việc theo chu kỳ
 Giám sát chi tiết các log ghi lại các hoạt động liên quan đến VPN, bất chấp các hoạt động thành công hay không
Sự hiểu biết về cách mà nhà cung cấp dịch vụ thiết lập giải pháp VPN cho chúng ta cũng đóng vai trò qua trọng để chúng ta có thể giám sát và đánh giá hiệu suất làm việc, hiệu năng và tính nhất quán trong giải pháp đưa ra.
Chúng ta cần nâng cấp các hệ thống VPN tồn tại có sẵn theo thời gian để đáp ứng tốt hiệu suất làm việc. Chúng ta cũng có thể cần thay đổi nền cơ sở khác (platforms) và môi trường để thích nghi với sự phát triển của tổ chức trong tương lai cùng với các yêu cầu của chúng.
Hầu hết các nhà thiết kế và quản trị mạng sẽ bảo chúng ta rằng, công việc của chúng ta (ví dụ như quản trị mạng tổ chức hay quản lý IS) không phải là kết thúc thiết lập giải pháp. Chúng ta cần quản lý và giám sát giải pháp qua hiệu suất làm việc được mong chờ. Chúng ta phải luôn cần làm các công việc như trouleshoot và giải quyết sự cố có thể xảy ra.
1.5. Lợi ích của mạng VPN
 Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP).
 Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng.
 Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính
 Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.
 Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
 Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
1.6 Những hạn chế và mặt trái của mạng VPN .
 Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs.
 Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng.
Trả Lời Với Trích Dẫn
Đã có 4 người gửi lời cảm ơn thienlong481990 vì bài viết hữu ích này:
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
Giải pháp VPN: IPSEC VPN và SSL VPN little planet Network Infrastructure 15 20-03-2011 21:17
[Discuss] Microsoft ra mắt trình duyệt Internet Explorer 9 trên toàn cầu tuntunni1988 Network Infrastructure 0 14-03-2011 16:43
Tìm hiểu các số Sequence và số ACK, Destination Port và Source Port trong TCP Header vuivemai KHO LAB NHẤT NGHỆ 5 04-11-2010 06:48



Múi giờ GMT +7. Hiện tại là 18:15
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger