Bạn cần điều gì để biết về công nghệ VPN

Chúng làm việc như thế nào, chúng có thể làm gì cho bạn và các vấn đề cần chú ý.

Virtual Private Network (VPN) - Mạng riêng ảo đã mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào. Các hãng thương mại có thể dùng VPNs để cung cấp quyền truy cập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty.

VPNs có thể sử dụng một hoặc cả hai kỹ thuật: dùng các kênh thuê bao riêng của các nhà cung cấp dịch vụ (cái này gọi là một Trusted VPN) hoặc gửi các dữ liệu đã được mã hóa lên mạng Internet (cái này gọi là Secure VPN). Dùng một Secure VPN qua một Trusted VPN thì gọi là Hybrid VPN. Kết hợp cả hai loại của Secure VPN trong một cổng vào, chẳng hạn như IPsec và SSL cũng gọi là Hybrid VPN.

Trusted VPN

Qua nhiều năm, các Trusted VPN đã có sự thay đổi từ các thuê bao riêng từ các đại lý viễn thông đến các thuê bao IP riêng từ các nhà cung cấp dịch vụ Internet. Công nghệ chủ yếu của sự vận hành của Trusted VPN với mạng địa chỉ IP là các kênh ATM, mạch tiếp sóng khung, và MPLS.

ATM và bộ tiếp sóng khung hoạt động tại tầng liên kết dữ liệu, là tầng 2 trong mô hình OSI (tầng 1 là tầng vật lý, tầng 3 là tầng mạng). MPLS mô phỏng một số thuộc tính của mạng chuyển mạch và mạng chuyển gói. Nó hoạt động cùng một tầng, thường được coi là tầng “2,5” vì nó nằm ngay giữa tầng liên kết và tầng mạng. MPLS bắt đầu thay thế ATM và bộ tiếp sóng khung để thực thi Trusted VPN với lượng lớn các doanh nghiệp và nhà cung cấp dịch vụ.

Secure VPN

Secure VPN có thể dùng IPsec trong việc mã hoá. IPsec nằm trong giao thức L2TP (Layer 2 Tunneling Protocol), trong thành phần SSL (Secure Sockets Layer) 3.0 hay trong TLS (Transport Layer Security) với bộ mã hoá, L2F (Layer Two Forwarding) hay PPTP (Point-to-Point Tunneling Protocol). Chúng ta hãy xem qua các thành phần chính này.

IPsec hay IP security – là tiêu chuẩn cho sự mã hoá cũng như cho thẩm định các gói IP tại tầng mạng. IPsec có một tập hợp các giao thức mật mã với 2 mục đích: an ninh gói mạng và thay đổi các khoá mật mã. Mộ số chuyên gia an ninh như Bruce Schneier của Counterpane Internet Security, đã xem IPsec như là một giao thức cho VPNs từ cuối những năm 1990. IPsec được hỗ trợ trong Windows XP, 2000, 2003 và Vista; trong Linux 2.6 và các phiên bản sau; trong Mac OS X, Net BDS, FreeBDS và OpenBDS, trong Solari, AIX, và HP-UX, trong VxWorks. Nhiều đã cung cấp dịch vụ IPsec VPN server và IPsec VPN client.

Microsoft đã triển khai PPTP client trong tất cả các phiên bản của Windows kể từ Windows 95 OSR2 và PPTP server trong tất cả các sản phẩm máy chủ từ Windows NT 4.0. PPTP client cũng nằm trong Linux, Mac OS X, các thiết bị Palm PDA và các thiết bị Windows Mobile 2003.

PPTP rất phổ biến, nhất là trên các hệ thống của Windows. Bởi vì nó có thể dùng rộng rãi, miễn phí và dễ cài đặt. Tuy nhiên khi được triển khai bởi Microsoft, nó không phải là thành phần an toàn nhất của Secure VPN.

Schneier với “Mudge” của L0pht Heavy Industries đã tìm thấy và công bố các thiếu sót trong Microsoft PPTP vào năm 1998. Microsoft đã nhanh chóng sửa chữa các vấn đề này với MS-CHAPv2 và MPPE. Sau đó Scheier với Mudge đã công bố một bản phân tích kiểm chứng các cải tiến vào năm 1999, nhưng chỉ ra rằng an toàn của Microsoft PPTP vẫn phụ thuộc vào an toàn mật khẩu mỗi người dùng. Microsoft đã địa chỉ hoá nguồn cung cấp này bằng cách ép quy ước độ mạnh của mật khẩu vào trong hệ điều hành. Nhưng Shneier và Mudge vẫn cho rằng nên để IPsec là kẻ thừa kế Secure VPN hơn là PPTP.

L2F là giao thức được phát triển muộn hơn bởi hãng Cissco. L2TP là sự kết hợp ý tưởng của L2F và PPTP để tạo ra một giao thức tầng liên kết dữ liệu. Giao thức này cung cấp một tunnel (đường dẫn ảo), nhưng không an toàn và có sự kiểm định. L2TP có thể mang các session PPP trong tunnel. Cissco đã triển khai L2TP trong các router của nó. Có một vài bổ sung mã nguồn mở của L2TP trong Linux.

L2TP/IPsec kết hợp đường dẫn ảo của L2TP với kênh an toàn của IPsec. Nó cho phép thay đổi Internet Key Exchange dễ dàng hơn so với thuần IPsec . Microsoft đã cung cấp một bản VPN client L2TP/IPsec miễn phí cho Windows 98, ME, và NT từ năm 2002, và gắn một VPN client L2TP/IPsec cho Windows XP, 2000, 2003 và Vista. Windows server 2003 và Windows 2000 server có L2TP/IPsec server.

SSL và TLS là các giao thức cho luồng dữ liệu an toàn tại tầng 4 của mô hình OSI.. SSL 3.0 và TLS 1.0 là các bản thừa kế được dùng phổ biến với HTTP nhằm cho phép bảo vệ các đường dẫn Web an toàn, gọi là HTTPS. Tuy nhiên SSL/TLS cũng được dùng để tạo ra một đường dẫn ảo tunnel VPN. Ví dụ: OpenVPN là một gói VPN nguồn mở cho Linux, xBSD, Mac OS X, Pocket PCs và Windows 2000, XP, 2003, và Vista. Nó dùng SSL để cung cấp mã hoá cho cả dữ liệu và kênh điều khiển. Một vài hãng đã cung cấp SSL VPN server và client.

Lợi nhuận và sự rủi ro an ninh của VPNs

Một mạng riêng ảo có thể xoá bỏ các hàng rào địa lí trong kinh doanh, cho phép các nhân viên làm việc một cách hiệu quả tại nhà và cho phép một doanh nghiệp kết nối một cách an toàn tới các đại lý của họ cùng các hãng hợp tác. Một mạng riêng ảo thường rẻ hơn và có hiệu quả hơn các đường riêng ảo.

Nhưng mặt khác, cách dùng của một VPN có thể phô bày các rủi ro an ninh tiềm ẩn. Trong khi hầu hết các mạng riêng ảo đang được dùng khá an toàn thì một mạng riêng ảo cũng có thể làm cho chính nó khó phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp. Phận sự của người quản trị mạng là áp dụng các tiêu chuẩn an ninh giống nhau trong việc kết nỗi các máy tính tới mạng thông qua VPN khi các máy tính kết nối trực tiếp vào mạng LAN.

Kết hợp đồng thời cách dùng của cả hai kiểu VPNs có thể thấy được tiềm năng mạng của công ty này với công ty khác. Thêm vào đó, sử dụng phần mềm điều khiển từ xa như PC Anywhere, GoToMyPC hay VNC kết hợp với một VPN có thể khai thác được khả năng mạng của công ty tới các malware trong một mắy trạm xa không kết nối VPN.

Sự tin cậy, sự co giãn và sự thực thi của VPNs

Bởi Secure VPN sử dụng mã hoá, và vì một số hàm mật mã được dùng khá là đắt tiền nên một VPN được dùng khá nặng có thể tải xuống server của nó. Đặc thù của người quản trị là quản lí việc tải server bằng cách giới hạn số kết nối đồng thời để biết server nào có thể điều khiển.

Khi số người cố gắng kết nối tới VPN đột nhiên tăng vọt đến đỉnh điểm, phá vỡ hết quá trình truyền tin, các nhân viên cũng thấy chính họ không thể kết nối được.Vì tất cả các cổng của VPN đều bận. Điểu đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng dụng làm việc mà không đòi hỏi VPN. Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy cập e-mail từ nhà hay trên đường.

Quyết định giữa IPsec hay SSL/TLS để có viễn cảnh như thế nào có thể rất rắc rối. Một điều cần cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên NAT. IPsec thì không. Nhưng cả hai giao thức làm việc qua tường lửa thì sẽ không dịch được địa chỉ.

IPsec mã hoá tất cả các lưu lượng IP truyền tải giữa hai máy tính. SSL/TLS thì đặc tả một ứng dụng. SSL/TLS dùng các hàm mã hoá không đối xứng để thiết lập kết nối. Nó bảo vệ hiệu quả hơn là dùng các hàm mã hoá đối xứng.

Trong các ứng dụng từ xa ở thế giới thực, người quản trị có thể quyết định kết hợp và ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn. Ví dụ, các client có thể kết nối tới một Web-based thông qua tương lửa dùng đường dẫn an toàn của SSL/TLS. Web server có thể kết nối tới một dịch vụ ứng dụng dùng IPsec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu ngang qua các tường lửa khác cũng dùng SSL.

Sự co giãn của VPNs đôi khi có thể được chứng minh bởi cách dùng dành cho các dịch vụ phần cứng. Tuy nhiên để làm được điều đó chúng ta phải vượt qua được các mục đích cạnh tranh của các hãng VPN. Có lẽ đó sẽ là chủ đề cho một ngày khác.

Nguồn VPN

Mạng riêng ảo duy trì một danh sách thành viên của nó, một bảng các thành phần của IPsec, và một bảng các thành phần của SSL VPN với sự đóng góp của mỗi hãng kinh doanh. VPNC cũng cung cấp các CA với các chứng chỉ cơ bản , miễn phí, nguồn mở thẩm định qua gói cho người quản trị.

Thứ Ba, 15/08/2006 10:20
31 👨 5.012
0 Bình luận
Sắp xếp theo