Chương 1 Khái quát về VPN Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau. Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình.
Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet. Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo - VPN. Chính điều này là động lực cho sự phát triển mạnh mẽ của VPN như ngày nay.1 Sự phát triển của các loại VPN VPN không phải là kĩ thuật mới. Mô hình VPNs đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng. Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90.
Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn. Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM).
Thế hệ thứ 3 của GVHD: Th.s Võ Trường Sơn Trang 2 Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP.
Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM 1.2 Khái niệm mạng riêng ảo. Mạng riêng ảo (VPN- Virtual Private Network) là mạng kết nối hai hay nhiều mạng riêng thông qua mạng công cộng (Internet) bằng cách sử dụng các đường hầm (tunneling) để đảm bảo sự riêng tư và toàn vẹn dữ liệu. Thay vì dùng kết nối thực phức tạp, đắt tiền như các kênh thuê riêng (leased line), VPN tạo ra các liên kết ảo thông qua mạng công cộng để kết nối các mạng riêng với nhau mà vẫn đảm bảo các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí thấp. Ðối tác Người dùng kinh doanh di động Văn phòng trung tâm POP device 3 device 2 1 device 1 Văn phòng chi nhánh Internet POP Người dùng ` ở xa device 3 device 2 1 device1 Hình 1-1 : Mô hình VPN GVHD: Th.s Võ Trường Sơn Trang 3 Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo 1.3 Các thành phần cơ bản của VPN Người dùng truy cập từ xa Mạng Internet CSU/DSU Văn phòng trung tâm CSU/DSU Bộ định Văn phòng từ xa tuyến Bộ định User Tường tuyến lửa User Tường lửa Máy chủ Máy chủ điều khiển truy VPN nhập và chứng thực Máy chủ Máy chủ điều khiển truy VPN nhập và chứng thực Hình 1-2 : Các thành phần cơ bản của VPN 1.
Máy chủ VPN (VPN server) là thiết bị mạng dùng để chạy phần mềm máy chủ, máy chủ có thể là máy tính tốc độ xử lý cao, dung lượng lớn và được cài đặt phần mềm máy chủ. Nhiệm vụ của máy chủ là cung cấp dịch vụ cho máy khách và thực hiện quá trình bảo mật cho mạng, máy chủ phải có tính sẵn sàng và độ tin cậy cao, có khả năng phục vụ các yêu cầu kết nối tại mọi thời điểm. Chức năng của máy chủ: - Phát hiện các yêu cầu kết nối vào mạng, thực hiện dàn xếp thứ tự kết nối khi có nhiều yêu cầu kết nối đồng thời từ các máy khách. - Thực hiện quá trình điều khiển truy nhập và chứng thực người dùng để cho phép người dùng hợp pháp truy cập vào mạng và cấm truy cập đối với người dùng bất hợp pháp.s Võ Trường Sơn Trang 4 Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo - Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của đường hầm là máy khách, máy chủ có thể thực hiện việc khởi tạo đường hầm nếu sử dụng đường hầm bắt buộc.
- Mật mã hoá dữ liệu truyền đi nhằm bảo mật thông tin khi truyền trên mạng công cộng. - Lựa chọn các thông số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người dùng. - Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách. - Máy chủ VPN có thể kiêm nhiệm luôn chức năng của một router hay một gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách).
Còn khi mạng lớn, vì máy chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng của router hay gateway thì máy chủ sẽ chạy chậm hơn.2 Máy khách VPN. Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các máy tính nằm trong cùng một mạng cục bộ của một văn phòng công ty) hoặc thiết bị ở xa (người dùng di động), nó khởi tạo kết nối đến máy chủ VPN, sau khi được xác nhận và cấp phép máy chủ sẽ được phép truy nhập vào máy chủ, khi đó máy chủ và máy khách mới truyền thông với nhau. Máy khách có thể là một máy hoạt động dựa trên phần mềm hoặc là một thiết bị phần cứng chuyên dụng. Đặc trưng của một VPN client: - Những người làm việc ở xa văn phòng trung tâm của công ty có thể thông qua mạng công cộng để truy nhập vào mạng công ty, rất thuận tiện khi nhân viên làm việc tại nhà.
- Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của công ty và trong mạng mở rộng. - Các nhà quản trị mạng có thể thông qua mạng công cộng để kết nối với những nút mạng ở xa nhằm quản lý, giám sát hoạt động, cấu hình dịch vụ và thiết bị, sữa chữa khắc phục sự cố cho các người dùng ở xa.3 Bộ định tuyến VPN. Bộ định tuyến (router) có vai trò tạo ra kết nối với các nút ở đầu xa. Chức năng chính của bộ định tuyến là định đường đi cho gói dữ liệu qua mạng, vì trong mạng chuyển mạch gói để đi tới một nút có rất nhiều đường nên nhiệm vụ của bộ định tuyến là tìm đường cho dữ liệu đến đích một cách nhanh nhất.
Chức năng chính của bộ định tuyến VPN cũng như bộ định tuyến thông thường, ngoài ra nó còn cung cấp thêm các GVHD: Th.s Võ Trường Sơn Trang 5 Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo chức năng bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ (QoS) trên đường truyền. Do đó bộ định tuyến thông thường cũng có thể dùng làm bộ định tuyến VPN nhưng để tăng tính bảo mật cho hệ thống và đảm bảo chất lượng dịch vụ, khi xây dựng mạng riêng ảo nên sử dụng bộ định tuyến chuyên dụng dùng cho VPN. Hiện nay người ta có thể nâng cấp các router thông thường thành router VPN bằng cách thêm vào các chức năng của VPN, ban đầu khi sử dụng sẽ mất thêm một ít thời gian để cấu hình, cài đăt và kiểm ta lỗi. Điều này giúp tận dụng được các router cũ, từ đó góp phần giảm chi phí khi xây dựng VPN.
Thông thường nếu không sử dụng tường lửa (firewall) thì bộ định tuyến là điểm cuối của đường hầm VPN. Máy chủ VPN cũng có khả năng đảm nhiệm vai trò của router VPN. Tuy nhiên trong những mạng nhỏ, người ta mới dùng máy chủ để định tuyến, còn những mạng lớn vì máy chủ phải thực hiện nhiều công việc, mạng phải đáp ứng số lượng lớn các yêu cầu nên cần phải sử dụng bộ định tuyến VPN riêng. Người ta có thể sử dụng bộ định tuyến kèm chức năng lọc gói.
Tuy nhiên, lọc gói không đủ để bảo mật đối với nhiều dạng tấn công có thể xảy ra trên mạng, đây là một trong những lý do để phát triển thêm nhiều loại tường lửa khác nhau.