Đề tài Thiết kế đảm bảo an toàn cho dịch vụ mạng riêng ảo (VPN)

người dùng thực hiện các hoạt động cần thiết liên quan đến công việc của họ, ta có thể giảm hậu quả của sự xâm nhập trong đó kẻ tấn công nhằm vào các máy của người dùng cuối. Cũng có thể dùng firewal để hạn chế các truy cập nói trên. Các xem xét liên quan đến trao đổi khoá: Trao đổi khoá giữa các bên liên quan là một khía cạnh khác của bảo mật mà khi bị tổn hại có thể dẫn đến tổn hại rất lớn trong mạng. Vì thế, điều cốt yếu là khả năng phân phối các khoá một cách an toàn, đặc biệt trong trường hợp sử dụng mật mã đối xứng, như ta đã biết, trong mật mã đối xứng thường sử dụng một khoá mật cho cả lập mã và giải mã. Vì thế, nếu khoá này rơi vào tay một kẻ xâm nhập, nó sẽ mang lại cho kẻ xâm nhập khả năng truy cập tới các giao dịch đang tiếp diễn. Sẽ là hợp lý khi sử dụng IPSec, bảo mật SSH và các ứng dụng dựa trên SSL/TSL, nó tránh được việc trao đổi khoá dưới dạng rõ. Mật mã phi đối xứng không giống như mật mã đối xứng, không dựa vào một khoá cho việc giải mã và lập mã. Trái ngược với các mật mã đối xứng, mật mã phi đối xứng trao đổi các khoá công khai giữa các bên liên quan và sử dụng các khoá mật tương ứng với chúng cho chức năng giải mã. Tuy nhiên, các cơ chế này không phải tuyệt đối an toàn và rất dễ bị tổn thương với các tấn công kiểu Man-in-the-Middle. Trong kiểu tấn công này, kẻ xâm nhập có thể thay thế khoá công khai của anh ta, và như vậy hoàn toàn truy cập được vào liên lạc giữa hai người dùng cuối hợp lệ. Vì vấn đề này, ta cần phải xác nhận lại khoá công khai với những người liên lạc khác sau khi pha trao đổi khoá hoàn tất, nhưng phải trước khi pha trao đổi dữ liệu bắt đầu. Mặc dù để thực hiện như vậy mọi lúc là không thể, một sự kiểm tra chéo ngẫu nhiên của các khoá công khai nhận được rất nên được thực hiện. Một điểm mà ta phải luôn lưu ý, bất kể mật mã đối xứng hay phi đối xứng thì các khoá không bao giờ lưu trữ trên một điểm cuối VPN, nơi chúng dễ dàng bị truy cập bởi kẻ xâm nhập. Một giải pháp khả thi cho vấn đề này là lưu trữ các khoá trong một vị trí tập trung, được bảo vệ tốt thay vì lưu trữ tất cả các khóa trên một Server VPN riêng. Mặc dùng quá trình truy cập khoá có thể bị kéo dài, nhưng trong thực tế, nó không chỉ giảm gánh nặng lưu trữ trên Server VPN mà còn nâng cao việc bảo đảm an toàn cho các khoá. 1.2. Đánh địa chỉ và định tuyến Một vấn đề quan trọng khác trong việc lập kế hoạch và thiết kế mạng riêng ảo là việc đảm bảo rằng các địa chỉ IP cần được gán cho các thiết bị mạng riêng ảo phải có kế hoạch và hợp lý. Hơn nữa, cũng cần phải đảm bảo rằng lược đồ định tuyến không chỉ có khả năng điều khiển kết nối mạng công cộng dựa trên địa chỉ IP toàn cục, mà còn sẽ có khả năng thích ứng với bất kỳ lược đồ đánh địa chỉ IP nào của ta trong tương lai. Ngoài ra, giới hạn hợp lý phải được giữ để đảm bảo rằng các đối tác thương mại bên ngoài và các Client từ xa cũng có thể kết nối tới mạng riêng ảo của chúng ta mà không gặp phải vấn đề trục trặc. 1.2.1. Vấn đề đánh địa chỉ Trong một mạng riêng, một công ty A không cần mua các địa chỉ IP duy nhất (được biết như là các địa chỉ IP toàn cầu) từ một cơ quan có thẩm quyền, như InterNIC, IANA hoặc từ ISP. Công ty A có thể sử dụng các địa chỉ IP riêng hoặc bất kỳ một địa chỉ IP nào mà họ muốn, bởi vì truyền thông trong một mạng riêng không phải định tuyến ra ngoài phạm vi công ty. Kết quả là, các host và các thực thể đặt trong một mạng riêng không thể liên lạc với các mạng qua Internet hay các mạng công cộng khác và vì vậy nó biệt lập với thế giới bên ngoài. Chú ý: Các địa chỉ IP trong phạm vi 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 và 192.168.0.0 – 192.168.255.255 được dùng như các địa chỉ IP riêng và có thể được dùng trong một mạng riêng hoặc Intranet không sử dụng một mạng công cộng để kết nối tới các nhánh ở xa và người dùng từ xa Lược đồ địa chỉ riêng không hoàn toàn đúng cho các mạng riêng ảo vì chúng còn dựa trên một mạng đường trục công công để truyền thông. Điều này ngụ ý rằng chỉ VPN Client và Server liên quan trong một giao dịch là cần một địa chỉ IP công cộng. Liên lạc thực sự trên giao diện VPN ảo sẽ làm việc với các địa chỉ IP riêng. Kết quả là, công ty A sẽ đòi hỏi ít nhất một khối địa chỉ IP duy nhất toàn cầu từ ISP. Ta sẽ xem xét các nhân tố sau lúc đánh địa chỉ các thiết bị mạng riêng ảo. - Nếu công ty A sử dụng đường Leased Line để kết nối tới ISP, các thiết bị mạng riêng ảo sẽ được cấp phát các địa chỉ IP tĩnh. Các trường hợp khác, nếu sử dụng các kết nối quay số để kết nối tới POP của ISP, các Client VPN được dùng bởi những người dùng di động phải được cấp phát các địa chỉ IP động, mặc dù VPN Server sẽ vẫn đòi hỏi một địa chỉ IP tĩnh để có khả năng truy cập. Tuy nhiên, có một sự kế thừa vấn đề gắn với các Client VPN sử dụng địa chỉ IP động. Ta không thể giới hạn truy cập tới VPN Server trên cơ sở các địa chỉ IP mà ISP có thể cấp phát cho các VPN Client mỗi lần khác nhau. Trong hoàn cảnh này, các VPN Server rất dễ bị tấn công bởi các nguy cơ bảo mật mà một kẻ tấn công có thể hành động như một người dùng tin cậy. - Sẽ không gặp vấn đề gì nếu sử dụng một VPN Server đơn hoặc nhiều VPN Server, tất cả phải được cấp phát một địa chỉ IP tĩnh. Nếu các VPN Server sử dụng các địa chỉ IP động, VPN Client không thể định vị được Server mong muốn. - Nếu địa chỉ IP xung đột có thể cắt bỏ nếu cần hợp nhất hai mạng riêng, như trong trường hợp sát nhập hai tổ chức. Trong kịch bản này, nếu các mạng được hợp nhất sử dụng địa chỉ IP riêng thì rất có thể một số địa chỉ IP có thể xung đột. Việc thay đổi các địa chỉ IP xung đột là dễ dàng nếu chỉ với số lượng nhỏ các IP bị xung đột. Tuy nhiên, với một số lượng lớn thì có thể ta phải thay đổi lược đồ địa chỉ IP của ít nhất một mạng hoặc xấu nhất là toàn bộ mạng sau khi hợp nhất. Việc thay đổi lược đồ địa chỉ là rất mất nhiều thời gian. Có thể sử dụng khả năng cấu hình địa chỉ IP tự động, như sử dụng DHCP. Giao thức này cho phép một thiết bị mạng nhận được thông tin cấu hình, bao gồm cả một địa chỉ IP động khi thiết bị đó khởi động. - Nếu không có đủ địa chỉ IP duy nhất toàn cầu, cách thích hợp nhất là sử dụng địa chỉ IP riêng trong mạng của công ty và một NAT tại vành đai mạng để kết nối với thế giới bên ngoài. NAT sẽ cấp phát một địa chỉ IP duy nhất bất cứ lúc nào một host bên trong cần kết nối tới Internet hoặc thiết lập một phiên mạng riêng ảo. Cách này sẽ giúp ta đảm bảo rằng không có xung đột IP khi thiết lập kết nối Internet hoặc một phiên mạng riêng ảo. Một điểm quan trọng ở đây là NAT và VPN có thể xung đột vì việc ghi đè tiêu đề. Chúng ta giả thiết rằng công ty A trước đây có một mạng truyền thống, trong đó các mạng Intranet khác nhau của công ty được kết nối với nhau qua các phương tiện thiết bị riêng, như đường Leased-Line hoặc Frame Relay. Chúng ta cũng giả thiết rằng công ty A đã xây dựng một lược đồ địa chỉ cho mạng của họ. Vì mạng là độc lập và đường trục sử dụng chỉ các phương tiện thiết bị riêng, công ty A có thể sử dụng hoặc các địa chỉ IP nhập nhằng toàn cục (hay còn gọi là địa chỉ riêng) hoặc các địa chỉ duy nhất toàn cục (còn gọi là địa chỉ công cộng) từ trung tâm thông tin mạng (Network Information Center - NIC). Bởi vì việc gán địa chỉ IP công cộng được thực hiện bởi tổ chức có thẩm quyền trên phạm vi toàn cầu, chúng được xác định rõ ràng. Các địa chỉ công cộng có khả năng định tuyến tới bất kỳ đâu. Tuy nhiên, vì việc gán địa chỉ riêng rất dễ dàng thực hiện mà không cần đến một tổ chức có thẩm quyền trên phạm vi toàn cầu, chúng có thể dẫn đến sự nhập nhằng khi sử dụng trong Internet công cộng và chỉ có thể có khả năng định tuyến được trong một mạng riêng của chính công ty đó. Tóm lại: 1. Nếu công ty A sử dụng các địa chỉ công cộng trong mạng của mình, các địa chỉ có thể tiếp tục được sử dụng mà không cần phải thay đổi trong môi trường mạng riêng ảo. Nếu có mong muốn che dấu chúng trong khi gói dữ liệu được truyền qua Internet, một đường hầm ESP có thể được sử dụng giữa các Firewall. 2. Nếu một công ty A sử dụng các địa chỉ IP riêng trong mạng của mình, các địa chỉ cũng có thể tiếp tục được dùng trên tất cả các mạng con không có kết nối vật lý tới mạng Internet công cộng. Nếu không có các mạng con đó mà kết nối tới Internet công cộng, đặc biệt tồn tại các liên kết tại vành đai của mạng Intranet, một địa chỉ IP công cộng phải được sử dụng. Chế độ đường hầm ESP hoặc AH và ESP kết hợp trong chế độ đường hầm giữa các Firewall giữ cho cả hai làm việc. Tiêu đề IP mới của đường hầm sẽ sử dụng các địa chỉ toàn cục của hai Firewall, cho phép các gói dữ liệu được định tuyến quan Internet giữa hai Firewall (hoặc các Router). Tiêu đề của gói IP gốc sẽ sử dụng các địa chỉ IP được gán cho người dùng trên Intranet, vì vậy các địa chỉ này sẽ được che dấu khỏi sự dò xét bởi các giao thức mã hoá của ESP 1.2.2. Vấn đề định tuyến Như trong các mạng truyền thống, việc định tuyến trong mạng riêng ảo liên quan tới việc xử lý định tuyến tới một địa chỉ đích xác định. Trong định tuyến truyền thống, làm việc trên bất kỳ tuyến đường hiện tại có thể dùng được để tới bộ định tuyến đích. Tuy nhiên, trong các mạng riêng ảo, các thiết bị định tuyến chỉ đảm bảo tính sẵn sàng cho các đường định tuyến qua các kết nối và đường hầm mạng riêng ảo an toàn thay vì qua các mạmg công cộng trung gian. Cần lưu ý các vấn đề sau đây khi quyết định lược đồ định tuyến cho mạng riêng ảo: - Server mạng riêng ảo mà các Client từ xa kết nối tới, chỉ định một tuyến đường mặc định tới các Client VPN từ xa này. Bất kỳ tương tác khác giữa hai đầu cuối trong một phiên mạng riêng ảo đã cho được định tuyến qua tuyến đường đã được định nghĩa trước này. Tương tự, trong trường hợp của một Client quay số, nơi đường hầm được thiết lập giữa nhánh mạng của ISP và mạng đích, Client VPN sử dụng tuyến đường tới Intranet của ISP như tuyến đường mặc định. - Nếu Server VPN được đặt sau một Firewall, tất cả các tuyến đường mặc định nên trỏ vào các Firewall đó. - Nếu gán rõ ràng một đường định tuyến (hoặc một tập các đường định tuyến) tới mỗi Client cho một phiên mạng riêng ảo, ta có thể phải kiểm soát đầy đủ qua các đường dẫn giao dịch. Tuy nhiên, làm như vậy đòi hỏi phải cấu hình các đường định tuyến trên mỗi Client một cách thủ công. Đây có thể là một công việc cực kỳ mệt mỏi nếu số lượng Client VPN lớn. Hơn nữa, khả năng tắc nghẽn mạng rất cao nếu số đường định tuyến được gán rõ ràng có giới hạn. - Có thể ta muốn sử dụng các đường định tuyến tĩnh lúc thiết lập một giải pháp mạng riêng ảo lần đầu tiên. Các đường định tuyến này được định nghĩa và cấu hình trước trên cả Server VPN cũng như Client VPN. Kết quả là các đường định tuyến tĩnh này có thể giữ một vai trò quan trọng trong việc kiểm thử một thiết lập mạng riêng ảo mới. Tương tự, các đường định tuyễn tĩnh này cũng có thể giúp ta gỡ rối các vấn đề liên quan đến định tuyến. - Ngoại trừ việc kiểm thử các thiết lập mạng riêng ảo mới và trợ giúp khi gặp vấn đề, ta nên sử dụng các đường định tuyến tĩnh một cách hạn chế vì chúng có thể là nguyên nhân dẫn đến nhiều sự quản lý và nhiều Overhead khi cấu hình lại, đặc biệt nếu có một thay đổi trong lược đồ đánh địa chỉ hoặc sự sắp xếp lại các thiết bị mạng riêng ảo. - Thông thường, trong một phiên mạng riêng ảo có sử dụng các đường hầm tự nguyện và mở rộng qua Internet, ta có thể hoặc truy cập các Host trên Internet hoặc các Host trên Intranet, miễn là một Gateway mặc định được sử dụng cho mạng riêng ảo, không đồng thời xẩy ra cùng một lúc cả hai. Vì vậy, ta sẽ cần cấu hình một đường định tuyến mặc định giữa Client VPN và NAS của ISP. Điều này sẽ cho phép Client VPN truy cập đồng thời các Host dựa trên Intranet cũng như dựa trên Internet. Chú ý:  Phương pháp dễ nhất và an toàn nhất của việc gán các đường định tuyến cho các phiên mạng riêng ảo là cấu hình firewal, bộ định tuyến mạng riêng ảo mặc định, hoặc các cổng nối mạng riêng ảo mặc định với tất cả các đường định tuyến có thể liên quan đến mạng riêng ảo. Thực tế này sẽ tiết kiệm cho ta nhiều thời gian và công sức vì sau đó ta chỉ cần cấu hình một đường định tuyến mặc định trên tất cả các máy phía Client. Hơn nữa, như vậy có thể làm đơn giản hoá nếu Gateway, Router VPN hoặc firewall có thể chia sẻ thông tin định tuyến này với các thiết bị định tuyến khác. Kết quả là, ta sẽ không cần phải cấu hình mỗi một thiết bị một cách riêng lẻ. Lý do:  Các Client VPN được cấp phát hai địa chỉ IP, thứ nhất là lúc thiết lập một kết nối PPP với nhánh mạng của ISP và thứ hai là trong khi thiết lập phiên mạng riêng ảo. Vì thế, ta phải rất cẩn thận trong khi gán các đường định tuyến cho các phiên mạng riêng ảo, vì nếu thêm một đường định tuyến PPP thay cho đường định tuyến mạng riêng ảo, tất cả các lưu lượng sẽ được định tuyến qua đường định tuyến PPP không an toàn dưới dạng không được mã hoá. Hơn nữa, nếu các gói có địa chỉ IP riêng chúng sẽ bị loại bỏ tại thiết bị định tuyến của ISP. Các mạng riêng ảo cũng yêu cầu rằng phải lựa chọn giao thức định tuyến đúng. Ta cần chọn giao thức định tuyến theo các điều kiện và yêu cầu của tổ chức. Một số nhân tố có thể giúp ta trong việc quyết định giao thức bao gồm: - Giải thông được sử dụng bởi giao thức: Ví dụ, ta có thể muốn sử dụng BGP (Boder Gateway Protocol – Giao thức cổng biên) khi thực tế nó sử dụng một giải thông nhỏ. - Overhead được phát sinh: Một số giao thức định tuyến phát sinh overhead truyền thông rất cao so với các giao thức khác. RIP là một ví dụ. Mặc dù IPSec không phải là một giao thức định tuyến, nhưng nó cũng phát sinh overhead cao. - Chiều hướng liên lạc: Một số giao thức định tuyến, như RIP, chỉ hỗ trợ các địa chỉ Unicast, các giao thức khác như RIPv2 và OSPF hỗ trợ các địa chỉ broadcast và multicast. - Tính năng bảo mật được cung cấp: Một số giao thức định tuyến mang lại khả năng bảo mật cao 1.3. Các vấn đề về DNS Hệ thống tên miền (DNS) là một thư mục phân tán toàn cục được sử dụng cho việc chuyển đổi các địa chỉ dựa vào tên, Chẳng hạn như www.yahoo.com tương ứng với một địa chỉ IP là 64.58.76.223. Ta sẽ cần DNS trong mạng riêng ảo cho chức năng tương tự là - ánh xạ các địa chỉ dựa vào tên của host để tương ứng chúng với các địa chỉ IP. Trong mạng riêng ảo Intranet, chỉ cho phép truy cập tới các tài nguyên đặt trong mạng Intranet của tổ chức, ta sẽ cần tạo một Domain riêng biệt cho mạng chính và nhiều Domain riêng lẻ cho mỗi nhánh mạng từ xa. Ví dụ, ta có thể tạo một Domain là “MyIntranet.com” và tạo các Domain trong như là “RemoteBranch1.MyIntranet.com”, “RemoteBranch2.MyIntranet.com” v.v. Dễ dàng cấu hình máy chủ DSN để hỗ trợ kiến trúc Domain này. Hơn nữa, cũng sẽ cần thiết lập ít nhất một máy chủ Domain trong như là một máy chủ Domain thứ cấp cho mỗi Domain trong mà ta tạo ra. Điều này sẽ mang lại thuận lợi trong việc chia sẻ các các cập nhật và thông tin liên quan đến DNS khác giữa nhiều Domain trong. Cấu hình trước đây quan tâm đến việc truy cập mạng riêng ảo dựa trên Intranet, các host bên trong sẽ không còn khả năng truy cập Intrernet. Nếu muốn các host bên trong có khả năng truy cập Internet hoặc các tài nguyên trong mạng Internet, ta cần thiết lập bổ sung một máy chủ DNS bên ngoài, nó sẽ nhận tất cả truy vấn tới các host bên ngoài từ các DNS bên trong và anh xạ các địa chỉ theo tên bên ngoài tương ứng với các địa chỉ dạng số. Trong trường hợp những người dùng di động sử dụng một mạng riêng ảo để truy cập Intrnanet, có một vấn đề cố hữu với các thiết lập DNS. Nếu những người dùng từ xa này phụ thuộc vào một kết nối đường quay số, các Client VPN kết nối tới Intranet sử dụng một địa chỉ IP mới mỗi lần. Và như vậy, ta không thể mã cứng DSN của ta để cung cấp cho các Client này. Để giải quyết vấn đề này, ta sẽ cần thiết lập các máy Client cá nhân để sử dụng các máy chủ DNS bên trong. Nếu những người dùng từ xa yêu cầu một kết nối Internet đồng thời, ta phải cấu hình những đầu cuối từ xa này để tìm kiếm các máy chủ DNS bên ngoài thêm vào các máy chủ bên trong Chú ý: Khi kết nối tới Internet, ta có thể đối mặt với độ trễ rất lớn, hoặc thậm chí ngừng ứng dụng trong khi phân giải tên/địa chỉ nếu ta thiết lập các host VPN trước hết tìm kiếm một máy chủ DNS bên trong và sau đó tìm kiếm một máy chủ DNS bên ngoài (trong cả hai kịch bản intranet và remote access). Điều này là bởi vì các host sẽ tìm một máy chủ DNS bên ngoài sau khi đã tình kiếm qua tất cả các máy chủ DNS bên trong mà chúng được đăng ký. Và như vậy, host VPN nên tìm kiếm một máy chủ DSN bên trong có khả năng chuyển tiếp yêu cầu tới DNS của ISP. Kết quả là nhanh hơn nhiều vì nó cho phép lưu cache các tên được tìm kiếm. Hơn nữa, để xem xét những điều mới được đề cập, ta cũng cần cảnh giác với các tính chất dễ bị tổn thương máy chủ DSN sau đây: - Nếu xẩy ra lỗi bảo mật các máy chủ DNS, một kẻ xâm nhập có thể chiếm quyền điều khiển Server của ta và giành được toàn quyền kiểm soát qua các Domain đã đăng ký với chúng. Kiểu tấn công này được xem như là cướp Domain. - Một kẻ xâm nhập có thể sử dụng các tấn công từ chối dịch vụ trên các máy chủ DNS của ta. Trong trường hợp này, các Domain bị tấn công sẽ không có khả đăng định vị các Host trong các Domain khác và Internet. Vì tất cả các máy chủ DNS dựa trên Internet liên lạc với mỗi máy chủ khác, kiểu tấn công này có thể dẫn đến sự chậm trễ toàn cục lan rộng trong tiến trình xử lý ánh xạ tên/địa chỉ IP. - Nếu một kẻ xâm nhập giành được quyền truy cập vào máy chủ DNS của ta và sửa đổi các thông tin được lưu trong máy chủ để chuyển hướng bất kỳ lưu lượng nào giành cho các địa chỉ hợp pháp tới một vị trí giả mạo, các Domain bị tấn công sẽ không nhận được bất kỳ lưu lượng dữ liệu nào giành cho chúng. Để tránh các vấn đề này, cần phải bảo mật cho các máy chủ DNS trong cũng như ngoài. 1.4. Các vấn đề về Firewall, Router, NAT Như ta đã biết, các Router (hay Gateway), Firewall và các thiết bị NAT là các thiết bị ngoại biên. Ta cần xem xét một số vấn đề về sự an toàn và sự tích hợp của chúng trong một môi trường mạng riêng ảo. 1.4.1. Các xem xét liên quan đến Router Router (và các Gateway) giữ một vai trò đáng kể trong việc định tuyến luồng lưu lượng qua một mạng dựa trên IP. Vì có các thiết bị ngoại biên này, mối quan tâm chính liên quan đến chúng là về tính an toàn của chúng. Nếu Router của ta được bảo mật kém, chúng có thể dễ dàng bị nhắm tới bởi những kẻ xâm nhập, là những kẻ phát sinh luồng lưu lượng giả tạo gây ra các tấn công từ chối dịch vụ. Chúng cũng có thể được dùng bởi những kẻ xâm nhập để tấn công các Router khác. Các xem xét khác liên quan đến Router và Gateway trong thiết lập mạng riêng ảo bao gồm: - Các Router và Gateway trong môi trường mạng Internet thường được cấu hình để cho truyền qua lưu lượng được định tuyến tới các Router kế tiếp nhằm hướng tới mạng đích. Điều này hàm ý rằng chúng có thể “chuyển” một khối lượng lớn dữ liệu sang nơi khác. Tuy nhiên, hầu hết các Router không có khả năng lưu trữ một khối lượng lớn dữ liệu khi dữ liệu chuyển đến chúng. Kết quả là, hầu hết các Router rất dễ bị ảnh hưởng với các tấn công từ chối dịch vụ. Bằng việc giành được toàn bộ quyền kiểm soát Router, một kẻ xâm nhập có thể dễ dàng giành được quyền truy cập vào mạng gắn với nó và dẫn đến thiệt hại lớn với mạng Intranet. - Các Router chia sẻ thông tin định tuyến với các Router ngang hàng để có khả năng định danh không làm gián đoạn thêm luồng lưu lượng chúng nhận được. Kết quả là, các Router phải chia sẻ một quan hệ tin cậy với các Router ngang hàng. Đặc điểm này của các Router thường bị khai thác bởi những kẻ xâm nhập, những kẻ này sau khi thay đổi hoặc xoá các đường định tuyến đã tồn tại hoặc đưa các đường định tuyến giả tạo vào bảng định tuyến được duy trì bởi một hoặc nhiều Router. Kết quả của việc thay đổi thông tin này là các Router mà các bảng định tuyến của chúng đã được cảnh giác có thể bắt đầu hoạt động như các Router giả tạo và chuyển tiếp luồng lưu lượng tới các Route “không đáng tin cậy” - Nếu đang lập kết hoạch thực thi nhiều Router và Gateway trong mạng Intranet, cần đảm bảo rằng tất cả hỗ trợ cùng mức bảo mật. Điều này sẽ ngăn chặn kẻ xâm nhập khai thác một điểm yếu bảo mật đơn lẻ để giành quyền truy cập tới mạng. Bởi các vấn đề đã xác định trên, ta nên cẩn thận khi chọn lựa các Router cho thiết lập mạng riêng ảo. Ngoài hiệu suất tốt, cũng nên tìm kiếm các Router có khả năng mã hoá và xác thực mạnh. Những khả năng này không chỉ bảo vệ các Router của ta, mà còn ngăn chặn việc quét và đọc trái phép các thông tin đang được chuyển qua bởi chúng 1.4.2. Các xem xét liên quan đến Firewall Mặc dù các Firewall có thể trợ giúp như các kỹ thuật bảo vệ chống lại các cuộc tấn công và xâm nhập từ bên ngoài, ta cần xem xét một số vấn đề sau trước khi thực thi một thiết lập mạng riêng ảo dựa trên firewall. Một số vấn đề này như sau: - Nếu đang lập kế hoạch thực thi các firewall hoạt động trên cơ sở các địa chỉ IP nguồn và đích, cổng nguồn và đích, giao thức được sử dụng nhưng không dựa trên nội dung của các gói dữ liệu, một kẻ xâm nhập có thể che dấu dữ liệu “độc hại” trong các gói dữ liệu được tải. Kết quả là, những dữ liệu độc hại này sẽ không bị phát hiện bởi Firewall. Vấn đề khác gắn với các Firewall này, cũng như với các Firewal lọc gói, đó là chúng không xử lý các giao dịch dựa trên nhiều kết nối động, chẳng hạn như các giao dịch FTP. Vì vậy, sẽ cần thiết lập các bộ lọc gói một cách rõ ràng để cho phép các luồng lưu lượng liên quan các giao dịch này. - Các Firewal khác, như các Firewal Proxy ứng dụng và các Firewal kiểm duyệt trạng thái gói, các hoạt động của chúng phần lớn dựa trên nội dung của gói dữ liệu thêm vào các địa chỉ IP, địa chỉ cổng và các giao thưc được dùng. Tuy nhiên, phải nhớ rằng các Firewall Proxy ứng dụng không xử lý luồng lưu lượng dựa trên HTTPS và SSH-. Kết quả là, đặc trưng này có thể bị khai thác bởi những người bên ngoài để xâm nhập Firewall. Chức năng của Firewall kiểm duyệt trạng thái gói dữ liệu rất giống với Firewal Proxy ứng dụng. Tuy nhiên, hiệu suất của chúng tốt hơn nhiều. Vì vậy, dù có thể phải đầu tư nhiều hơn cho Firewall kiểm soát trạng thái gói dữ liệu, nhưng nó sẽ tăng đáng kể hiệu suất của toàn bộ thiết lập mạng riêng ảo. - Để vượt qua hầu hết các vấn đề liên quan đến Firewall, ta phải định nghĩa một chính sách bảo mật, chính sách bảo mật lần lượt định nghĩa cách thức một Firewall tương tác với thiết lập mạng riêng ảo. Trong chính sách bảo mật, ta cũng sẽ phải quyết định loại luồng lưu lượng nào nên được cho phép đi qua Firewall. Một cách để xử lý tất các luồng lưu lượng một cách đầy đủ lúc cấu hình hệ điều hành Firewall là không cho phép tất cả lưu lượng và dịch vụ, sau đó xử lý để cho phép các lưu lượng và dịch vụ được yêu cầu cho đến khi xây dựng xong toàn bộ các luật. - Nếu đang lập kế hoạch để tạo một vùng DMZ (vùng mạng bảo vệ vành đai), đầu tiên ta sẽ cần quyết định những Server nào sẽ là một phần của vùng này. Một qui tắc để xác định là các Server chỉ đưa ra các dịch vụ mạng riêng ảo cần thiết nên là một phần của vùng này. - Mặc dù một cách hiệu qủa và không mất chi phí lớn của việc bảo mật Intranet và thiết lập mạng riêng ảo là xây dựng một kiến trúc bảo mật phân cấp dựa trên firewall sử dụng các kiểu Firewall khác nhau, như minh hoạ trong hình 2. Ví dụ, Firewall giữa Internet và DMZ có thể là một loại và Firewall giữa DMZ và Intranet có thể là một loại khác. Điều này sẽ giảm khả năng khai thác các điểm yếu giống nhau trong hệ thống Firewall ngoại vi để giành được quyền truy cập các tài nguyên mạng Intranet Hình 2 – Hệ thống Firewall phân cấp Bằng việc cấu hình các Firewall để ghi nhật ký mọi yêu cầu kết nối và hoạt động xẩy ra qua các Firewall, và bằng cách phân tích đều đặn các dữ liệu này, ta có thể xác định các điểm yếu trong hệ thống Firewall và đưa ra các bước phù hợp 1.4.3. Các xem xét liên quan đến NAT Luôn có hai vấn đề chính cần xem xét lúc thực thi giải pháp dựa trên NAT trong một môi trường mạng riêng ảo. Đó là: - Mặc dù NAT có thể hoạt động tự do trên PPTP, xem xét các NAT quan trọng nhất do bởi trong trường hợp các giao dịch dựa trên IPSec. Với công nghệ, các địa chỉ IP tầng 3 phải được thay đổi. Ngược lại. IPSec mã hoá và/hoặc đóng gói các địa chỉ IP tầng 3 của một gói với các địa chỉ mạng khác. Kết quả là, số hiệu cổng UDP được mã hoá và giá trị của nó được bảo vệ với một FCS mật mã. Điều này làm cho luồng lưu lượng IPSec không được dịch chuyển bởi các NAT và NAT không có khả năng làm việc trên gói sau khi dữ liệu sau khi gói dữ liệu đi qua các xử lý định đường hầm mạng riêng ảo L2TP dựa trên IPSec hoặc IPSec. Hơn thế nữa, trong trường hợp xác thực IPSec đầu cuối tới đầu cuối, một gói có địa chỉ bị thay đổi sẽ luôn xẩy ra lỗi kiểm tra tính toàn vẹn. Cho nên, NAT có thể phá vỡ một đường hầm dựa trên IPSec, vì Server VPN sẽ luôn loại bỏ các gói dữ liệu. Vì vậy, nên tránh sử dụng NAT nếu đang có kế hoạch thực thi mã hoá và xác thực IPSec. - NAT không xử lý dịch chuyển các địa chỉ IP tương ứng với các giao thức tầng ứng dụng. Vì vậy, không thể thực thi một giải pháp dựa trên NAT chuẩn. Ta sẽ phải tìm một NAT cao cấp để sử lý tình huống này 1.4.4. Các xem xét liên quan đến Client và Server mạng riêng ảo Các Client và Server mạng riêng ảo là các điểm cuối của một thiết lập mạng riêng ảo đầy đủ. Trong khi Server mạng riêng ảo cung cấp các dịch vụ liên quan đến mạng riêng ảo, thì các Client sử dụng các dịch vụ này. Kết quả là, một số lượng đáng kể rơi vào lựa chọn của các Client và Server mạng riêng ảo. Các xem xét chính liên quan tới các Server mạng riêng ảo bao gồm: - Server mạng riêng ảo phải có hiệu suất cao - Server chỉ chạy các dịch vụ cần thiết - Server phải có khả năng kết nối tới được và có khả năng xử lý để xác thực các Client mạng riêng ảo. Ta phải sử dụng các địa chỉ IP tĩnh cho chức năng đó. Nếu Server được cấp phát một địa chỉ riêng, bộ dịch chuyển địa chỉ mạng được yêu cầu và như vậy Server có thể truy cập được bởi các Host ở bên ngoài, đặc biệt nếu mạng Intranet cũng hỗ trợ Extranet. - Nếu NAT đang được sử dụng, nó phải được thực thi tại Server VPN để tránh các xung đột giữa NAT và VPN - Nếu Server VPN được kết nối trực tiếp với Internet và Firewall được đặt sau Server VPN (giữa Server VPN và Intranet), ta phải cấu hình Server chỉ chấp nhận luồng lưu lượng VPN và loại bỏ các gói dữ liệu không VPN. Tuy nhiên, nếu Server VPN nằm sau Firewall, cả Server cũng nhưu Firewall phải được cấu hình để chỉ chấp nhận các gói dữ liệu liên quan đến VPN. Còn khi lựa chọn và thực thi các Client VPN, ta phải xem xét các vấn đề sau: - Nên chọn lựa việc cấu hình thủ công các Client VPN chỉ nếu số lượng Client là giới hạn. Nếu thiết lập mạng riêng ảo hỗ trợ một số lượng lớn các Client, ta sẽ phải tìm kiếm các công cụ có thể giúp cấu hình các máy Client này. Ví dụ, nếu số lượng Client lớn, ta có thể xem xét sử dụng trình quản lý kết nối Microsoft trong môi trường mạng riêng ảo dựa trên Microsoft. - Nên chọn các Client VPN sau khi phân tích và hiểu rõ các yêu cầu của tổ chức. Điều này là quan trọng bởi vì, mặc dù ta có thể có một thiết lập đầy đủ và hiệu suất cao, một Client hiệu suất thấp có thể trở thành chỗ dễ bị tắc nghẽn khi nó không có khả năng duy trì với tốc độ nhanh của các giao dịch. 1.5. Hiệu suất thực thi Hiệu suất của một mạng riêng ảo phần lớn phụ thuộc vào các Server VPN và hạ tầng mạng. Với ý nghĩ này, điều quan trọng là phải biết một số qui định trách nhiệm mà việc tối ưu hiệu suất đòi hỏi: - Nên xem trước hiệu suất của các Server VPN một cách đều đặn, điều này sẽ giúp chúng ta định danh bất kỳ sự giảm sút nào về hiệu suất của các Server - Duy trì nhật ký hệ thống một cách chi tiết của mỗi và mọi hoạt động liên quan đến mạng riêng ảo là điều hợp lý, ta nên chuyển định kỳ các file nhật ký này tới một máy riêng và như vậy lúc một kẻ xâm nhập chiến được quyền truy cập tới bất kỳ Server VPN nào, anh ta không thể sửa đổi file nhật ký để tránh bị phát hiện sớm. - Nên giám sát toàn bộ hiệu suất mạng trên cơ sở quy tắc. Điều này giúp ta định danh các tắc nghẽn có thể xẩy ra và sẽ giúp ta xác định thiết lập mạng riêng ảo của ta có thể hỗ trợ bao nhiêu người dùng trước khi những người dùng này bắt đầu cảm thấy hiệu suất bị giảm sút. - Các thuật toán mật mã, các lược đồ xác thực có thể phát sinh overhead đáng kể, và như vậy làm chậm hoạt động thông thường cùng với các hoạt động mạng riêng ảo. Ta có thể tăng hiệu suất của toàn mạng bằng cách phân tích kỹ lưỡng những ưu và nhược điểm của các thuật toán có thể thực thi, cân bằng giữa hiệu suất và bảo mật - Các Client VPN là khía cạnh khác của hiệu suất mạng riêng ảo. Cần kiểm soát các Client VPN được đặt trong Intranet và báo cho các Client di động từ xa trên đó phần mềm Client và hệ điều hành dùng để các giao dịch giữa người dùng cuối và các Server VPN không bị cản trở bởi hiệu suất thấp của các Client VPN 1.6. Khả năng mở rộng Giống như bất kỳ thiết lập mạng nào, một mạng riêng ảo phải có khả năng thích ứng với bất kỳ sự thay đổi nào trong tương lai do các yêu cầu và sự phát triển của một tổ chức. Điều này đặc biệt đúng trong trường hợp các mạng riêng ảo thương mại gồm nhiều nhánh mạng. Bản thiết kế của ta sẽ xác định phạm vi của sự phát triển tương lai cũng như số lượng kết nối có thể được hỗ trợ bởi mạng riêng ảo hiện thời và tổng chi phí thực thi. Và như vậy, ta nên lựa chọn bản thiết kế mạng riêng ảo cẩn thận trước khi đi đến pha thực thi Trong hầu hết các trường hợp, thiết lập thương mại được bao gồm một sự cấu hình tập trung hoá, nơi mạng chính của tổ chức hoạt động như một “Hub” của tất các các nhánh từ xa. Trong cấu hình này, mỗi nhánh mạng từ xa được kết nối với nhánh mạng chính qua một kết nối mạng riêng ảo, như trong hình 5.3 Hình 3 – Nhánh mạng từ xa kết nối tới mạng trung tâm qua VPN Cấu hình được mô tả như trong hình 5.3 có khả năng mở rộng rất cao và dễ dàng thích ứng với các kết nối mạng riêng ảo từ bất kỳ nhánh mạng từ xa mới nào mà không gặp phải nhiều vấn đề và ảnh hưởng đến các nhánh khác. Chỉ cần sửa đổi tại mạng trung tâm. Vấn đề lớn gắn liền với mô hình này là nếu mạng trung tâm bị sập, thì tất cả các kết nối cũng bị sập. Ngoài ra, tất cả truyền thông được định tuyến qua mạng trung tâm, làm tăng overhead cho lưu lượng tại vị trí trung tâm. Thêm vào đó, một sự giảm hiệu suất của mạng trung tâm có thể ảnh hưởng xấu tới hiệu suất của tất cả các nhánh mạng khác, làm giảm hiệu suất của toàn mạng. Cấu hình có thể khác là một cấu hình tương tự dạng vòng, trong đó mỗi nhánh mạng từ xa được kết nối tới trực tiếp với nhánh mạng kế cận nó. Cấu hình này được mô tả như trong hình 5.4. Đầy là cấu hình chỉ có khả năng mở rộng ở một mức độ nhất định nếu số lượng nhánh mạng trong vòng quá lớn, hiệu suất của toàn mạng Intranet bị giảm sút một cách đáng kể. Hình 4 - Nhánh mạng kết nối tới nhánh Intranet kế cận qua VPN Một sự lựa chọn khác với cấu hình mạng riêng ảo tập trung là cấu hình tương tự mạng lưới, trong đó mỗi nhánh mạng được kết nối tới tất các các mạng từ xa khác. Hình 5.5 mô tả mô hình cấu hình này. Thiết lập này, dù chi phí cao và khó để cài đặt và duy trì, nhưng tránh vấn đề “điểm đơn bị lỗi” và đảm bảo rằng một mạng không thể ảnh hưởng đến hiệu suất của các mạng được kết nối khác. Hơn nữa, mặc dù khả năng mởi rộng rất cao, thực tế việc thực thi mở rộng là khác khó khăn và tốn nhiều thời gian Hình 5 – Nhánh từ xa được kết nối với tất cả nhánh qua VPN Khả năng liên tác là một vấn đề quan trọng khác cần lưu ý lúc lựa chọn các phần từ của mạng riêng ảo, đặc biệt việc xem xét rằng những người quản trị hướng tới các sản phẩm thích hợp và tích hợp được đề xuất bởi những nhà cung cấp khác nhau để giảm tổng chi phí thực thi. Những sản phẩm được đề xuất bởi các nhà cung cấp khác có thể không liên tác bằng, vì vậy ta nên kiểm tra tính tương thích và liên tác của tất cả các sản phẩm mạng riêng ảo trước khi thực thi chúng trong mạng riêng ảo của chúng ta. Một điểm khác là ta nên nhớ với việc quan tâm đến tính liên tác đó là sản phẩm VPN mà ta chọn phải làm việc suôn sẻ với nhiều nền khác nhau. Dù điều này có thể có vẻ như một sự lãng phí tiền bạc tại thời điểm này, đặc biệt nếu mạng Intranet của ta sử dụng chỉ với một số Platform, nhưng chiến lược này sẽ có ích cho ta lúc mở rộng và phát triển mạng riêng ảo. Ta phải có một ý tưởng tổng quát trong việc xem xét khi thiết kế một giải pháp mạng riêng ảo, có thể xem xét ba môi trường thực thi mạng riêng ảo thông dụng nhất và các đặc tính của chúng Chương 2. Môi trường mạng riêng ảo Tùy thuộc vào chiến lược truy cập, mạng riêng ảo có thể được phân thành các loại như: Mạng riêng ảo truy cập từ xa, Mạng riêng ảo cục bộ, và Mạng riêng ảo mở rộng. Xem xét mỗi môi trường truy cập mạng riêng ảo này là điều kiện tốt để hiểu rõ các vấn đề mà ta phải đối mặt với mỗi môi trường. 2.1. Mạng riêng ảo truy cập từ xa Môi trường mạng riêng ảo truy cập từ xa cho phép các Client từ xa, như các Client hay người dùng di động có thể truy cập tới mạng Intranet của công ty một cách an toàn qua mạng Internet mà không phải dựa trên các kế nối quay số đầu cuối - đến - đầu cuối, như minh hoạ trong hình 5.6 Hình 6 – Mạng riêng ảo truy cập từ xa Các vấn đề có thể nảy sinh với môi trường này như sau: - Bảo mật: Tốt nhất là cài đặt bộ định tuyến “sau” Firewall và cấu hình các Router chuyển tất cả dữ liệu đường hầm tới Firewall - Lược đồ đánh địa chỉ: ISP cấp phát động các địa chỉ IP tới các Client từ xa này vì chúng sử dụng một kết nối quay số tới POP của ISP (không phải đến Intranet). Kết quả là, máy chủ mạng riêng ảo đặt trong mạng Intranet phải hỗ trợ khả năng định danh các Client này. Hơn nữa việc thiết lập máy chủ DNS như đã thảo luận trong phần trước “Các xem xét liên quan đến DNS”, ta có thể giải quyết vấn đề này bằng các sử dụng IPSec. IKE là một giao thức bên thứ ba được hỗ trợ bởi IPSec, hỗ trợ khả năng định danh các Client từ xa qua các địa chỉ IP dưới dạng tên của chúng hơn là các địa chỉ IP dưới dạng số. - Phân phối khoá: Phân phối khoá không nên thực hiện ở dạng bản rõ. Một cơ chế phân phối khoá tự điều chỉnh, như IKE nên được sử dụng nếu số lượng Client từ xa lớn. Trong trường hợp số lượng Client từ xa giới hạn, quản lý khoá một cách thủ công cũng có thể thực hiện được. Tuy nhiên, thực tế việc quản lý khoá một cách thủ công không được khuyến cáo vì xác suất xẩy ra việc mất khoá là khá cao. - Mã hoá và xác thực dữ liệu: Đây là điều rất quan trọng, dữ liệu được trao đổi giữa Server và Client được mã hoã cũng như được xác thực. Thêm vào đó, ta nên thiết lập các bộ lọc gói và chính sách bảo mật nghiêm ngặt để đảm bảo rằng các thiết bị ngoại vi như Router, Gateway hoặc Firewall sẽ từ chối dữ liệu không được xác thực hoặc không được mã hoá. Thậm chí, thông tin định tuyến giữa các Router và Gatewal cũng nên được mã hoá và xác thực - Đường hầm: Thiết lập trực tiếp các đường hầm giữa các Host từ xa và máy chủ mạng riêng ảo là thích hợp. Dù điều này làm tăng tính an toàn, đặc biệt nếu mức độ tin cậy trong mạng Intranet không cao, nhưng nó thường phát sinh các Overhead lớn và tương đối khó quản lý. Ta sẽ phải phân tích mức độ trinh cậy trong môi trường Intranet và sau đớ quyết định giữa 2 tuỳ chọn (Các đường hầm giữa người dùng cuối với thiết bị ngoại vi, hoặc đường hầm giữa người dùng cuối với máy chủ mạng riêng ảo) để duy trì một mức an toàn cao - Các giao thức đường hầm: Nếu các Client sử dụng các giao thức đường hầm không IP, các thiết bị mạng riêng ảo ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp 2.2. Mạng riêng ảo chi nhánh Môi trường mạng riêng ảo chi nhánh cho phép các nhánh mạng từ xa truy cập các phần khác trong mạng Intranet của tổ chức một cách an toàn qua mạng Internet mà không dựa trên các kênh thuê riêng và các kết nối quay số đầu cuối - tới - đầu cuối. như trong hình 5.7 Hình 7 – Thiết lập mạng riêng ảo chi nhánh Những vấn đề nên được xem xét trong khi thiết kế một giải pháp mạng riêng ảo cho môi trường mạng riêng ảo cục bộ bao gồm: - Bảo mật: Mặc dù các giao thức không bảo mật cần được thực thì trên các Router và Gateway bên trong, các thiết bị ngoại vi nên hỗ trợ một cơ chế bảo mật, chẳng hạn như IPSec. Hơn nữa, tốt nhất là, các thiết bị ngoại này nên được che dấu “sau” Firewall với các chính sách bảo mật được định nghĩa rõ ràng. - Lược đồ đánh địa chỉ: Vì thực tế là toàn bộ Intranet thuộc một tổ chức, đánh địa chỉ, việc đánh địa chỉ không phải là vấn đề vì các nhánh mạng từ xa kèm theo lược đồ đánh địa chỉ phong phú được sử dụng trong các phần khác của Intranet. Và như vậy, lược đồ đánh địa chỉ được dùng trong phần còn lại của Intranet có thể được sử dụng, miễn là tất các các địa chỉ trong Intranet là duy nhất. Do vậy, vấn đề đánh địa chỉ ít khi gặp trục trặc trong môi trường này. - Phân phối khoá: Vì một mạng Intranet được tin cậy rộng rãi, phân phối khoá host – to – host không phải là một nhu cầu chính. Tuy nhiên, các khoá sẽ được trao đổi giữa các điểm dễ bị tấn công trong mô hình thiết lập này, cụ thể là các thiết bị ngoại vi như Router, Gateway. Với mục đích này, một cơ chế quản lý và trao đổi khoá một cách tự động và an toàn, chẳng hạn như IKE được khuyến cáo sử dụng - Mã hoá và xác thực dữ liệu: Bất kỳ dữ liệu nào được trao đổi giữa Server và Client phải được mã hoá cũng như được xác thực. Mặc dù thực tế là chúng thuộc cùng mạng Intranet – nhưng vì dữ liệu được định tuyến qua Internet hoặc các mạng công cộng khác dễ bị tổn thương với các nguy cơ bảo mật và sự sai lệch. Khá giống với các chính sách bảo mật được dùng trong môi trường truy cập từ xa, nên thiết lập bộ lọc gói và ban hành các tiêu chuẩn nghiêm ngặt để đảm bảo rằng dữ liệu không được mã hoá hoặc xác thức sẽ bị loại bỏ tại vành đai mạng bởi các thiết bị ngoại vi. Thậm chí thông tin định tuyến trao đổi giữa các Router cũng nên được mã hoá và xác thực - Đường hầm: Thiết lập các đường hầm trực tiếp giữa các thiết bị ngoại vi đặt tại mỗi nhánh mạng là điều thích hợp. Mặc dù thực tế là chúng nâng cao tính bảo mật, đặc biệt nếu mức độ tin cậy trong môi trường Intranet không cao, nhưng nó phát sinh một khối Overhead lớn và tương đối khó khăn trong việc quản lý. Nên phân tích mức độ tin cậy trong Intranet và sau đó quyết định giữa 2 tuỳ chọn như trong trường hợp của môi trường mạng riêng ảo truy cập từ xa để duy trì một mức độ an toàn cao - Các giao thức đường hầm: Nếu các Client Clien sử dụng giao thức đường hầm không IP, các thiết bị VPN ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp 2.3. Mạng riêng ảo đối tác Môi trường mạng riêng ảo đối tác cho phép các thực thể mở rộng, như đối tác thương mại, nhà cung cấp có thể truy cập tới mạng Intranet của tổ chức một cách an toàn sử dụng Internet mà không phải dựa trên các kênh thuê riêng và các kết nối quay số, như minh hoạ trong hình 5.8 Hình 8 – Thiết lập mạng riêng ảo đối tác Các xem xét thiết kế mà ta phải lưu ý khi thiết kế một giải pháp mạng riêng ảo cho môi trường này là: - Bảo mật: Các phương tiện và giao thức bảo mật nghiêm ngặt cần được thực thi tại các Router, Gateway và Firewall ngoại vi. Hơn nữa, các thiết bị ngoại vi này nên được ẩn dấu sau firewall với các chính sách bảo mật được định nghĩa rõ ràng - Lược đồ đánh địa chỉ và định tuyến: Trong môi trường này, ta không thể mong đợi các mạng mở không bị trục trặc. Nếu hai mạng sử dụng một lược đồ địa chỉ riêng, khả năng xung đột địa chỉ xẩy ra là rất cao. Điều này có thể dẫn đến vấn đề định tuyến khi Router và Gateway sẽ không có khả năng giải quyết các địa chỉ nhập nhằng này. Kết quả là, ta cần phải đảm bảo rằng - Phân phối khoá: Vì một thiết lập mở rộng khá phức tạp và bao gồm cả đến các thực thể mở rộng không tin cậy, thêm vào đó một số lượng lớn các Client và liên lạc, một cơ chế quản lý và phân phối khoá an toàn và tự động như IKE hoặc ISAKMP/Oakley là bắt buộc với tất các các nhóm – Server, Client, Router, Gateway, Firewall - Mã hoá và xác thực dữ liệu: Bất kỳ dữ liệu nào được trao đổi giữa Server và Client phải được mã hoá đầu cuối - tới - đầu cuối cũng như xác thực một cách triệt để. Điều này là cần thiết vì dữ liệu có thể từ một môi trường không tin cậy và đã được định tuyến qua Internet hay các mạng công cộng khác, cho nên rất dễ gặp phải các nguy cơ bảo mật và sự sai lệch. Giống như chính sách bảo mật được dùng trong môi trường truy cập từ xa và môi trường cục bộ, ta nên thiết lập các bộ lọc gói và thông qua các phương tiện nghiêm ngặt để đảm bảo rằng dữ liệu không được xác thực cũng như không được mã hoá sẽ bị loại bỏ tại vành đai mạng bởi các thiết bị ngoại vi. Thậm chí thông tin định tuyến giữa các Router cũng nen được mã hoá và xác thực. - Đường hầm: Thiết lập các đường hầm trực tiếp giữa các thiết bị ngoại vi đặt tại mỗi mạng cuối là điều thích hợp. Mặc dù thực tế điều này nâng cao tính an toàn, đặc biệt nếu mức độ tin cậy trong mạng Intranet là không cao, nhưng nó phát sinh các Overhead lớn và tương đối khó quản lý. Ta sẽ phải phân tích mức độ tin cậy trong môi trường Intranet và sau đó quyết định giữa 2 tuỳ chọn (Các đường hầm giữa người dùng cuối với thiết bị ngoại vi, hoặc đường hầm giữa người dùng cuối với máy chủ mạng riêng ảo) để duy trì một mức an toàn cao. - Các giao thức đường hầm: Nếu các Client từ xa sử dụng các giao thức đường hầm không IP, các thiết bị mạng riêng ảo ngoại vi, như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp, các giao thức đường hầm với các cơ chế bảo mật mạnh thêm vào Trong phần sau, ta sẽ xem xét các bước thông thường để thực thi mạng riêng ảo Chương 3. Các bước xây dựng mạng riêng ảo Khi ta đã chú ý về bất kỳ công nghệ nào, một khi ta đã thực thi và bắt đầu sử dụng nó, thì nó trở thành một phần công việc của ta. Điều này cũng đúng với các mạng riêng ảo. Một khi đã thực thi, thậm chí trước khi ta thực hiện, mạng riêng ảo trở thành một phần không thể thiếu của hoạt động giao dịch hằng ngày. Và như vậy, nếu có bất kỳ sai sót nào trong pha thực thi hay lập kế hoạch không chặt chẽ, những người dùng và tổ chức của ta sẽ chịu hậu quả, dẫn đến nhiều công việc phức tạp và mất nhiều thời gian. Điều này lý giải tại sao ta phải thực sự hiểu các yêu cầu và các kế hoạch tương lai của tổ chức trước khi bắt đầu lập kế hoạch. Chỉ sau khi kế hoạch và tiếp đó là bản thiết kế phù hợp, nên chia thành các pha thực thi Việc thực thi đầy đủ một giải pháp dựa trên mạng riêng ảo có thể khái quá thành năm bước sau: - Chuẩn bị cơ sở - Lựa chọn các sản phẩm và một nhà cung cấp dịch vụ - Kiểm thử kết quả - Thiết kế và thực thi giải pháp - Quản trị và giám sát Sau đây ta sẽ thảo luận chi tiết các bước này 3.1. Chuẩn bị cơ sở Thực thi một giải pháp dựa trên mạng riêng ảo có thể làm giảm không đáng kể hiệu suất của mạng Intranet. Và như vậy, điều quan trọng là ta phải nghiên cứu đầy đủ các khả năng để chọn lựa các dịch vụ và sản phẩm tối ưu. Hơn nữa, phần cơ sở được làm càng tỉ mĩ, sự hoàn vốn đầu tư càng tối ưu. Ta cần xác định các thông tin sau như một phần của pha nghiên cứu và phân tích này: - Ước lượng sơ bộ về số lượng người dùng: Cần có một ước lượng sơ bộ về số lượng người dùng mong muốn để xác định phạm vi của giải pháp mạng riêng ảo và các dịch vụ. Số lượng này cũng sẽ giúp ta quyết định số lượng các cổng mạng riêng ảo tối ưu mà ta nên có. - Phân loại người dùng tuỳ theo yêu cầu của họ: Ta sẽ cần phải nghiên cứu hồ sơ của người dùng một cách thấu đáo để xác định các yêu cầu của họ và phân loại vào các nhóm khác nhau bao gồm nhóm người dùng thuộc chi nhánh văn phòng, nhóm người dùng di động, nhóm nhân viên làm việc tại nhà. Những người dùng thuộc nhóm chi nhánh văn phòng thường không di động và yêu cầu truy cập không bị giới hạn tới mạng của văn phòng trung tâm và các nhánh mạng khác trong Intranet. Nhóm người dùng di động là một tập người dùng với các hồ sơ luôn di chuyển, họ thường sử dụng một máy xách tay để truy cập Intranet của tổ chức. Điển hình là họ sử dụng kết nối mạng riêng ảo để truy cập email và một số các tài nguyên cần thiết khác. Nhóm nhân viên làm việc tại nhà truy cập Intranet của tổ chức với thời gian ngắn và các tài nguyên giới hạn - Các yêu cầu truy cập và kết nối: Bước tiếp theo là xác định các yêu cầu kết nối và truy cập mạng của mỗi loại người dùng VPN. Ta cần xác định kiểu kết nối mạng WAN có thể được cung cấp theo ngân quỹ của ta và các ràng buộc hiệu suất của nó. Ta cũng cần xác định tốc độ dữ liệu trung bình được yêu cầu cho những loại kết nối và những người dùng khác nhau - Các yêu cầu an toàn: An toàn trong một thiết lập dựa trên màng riêng ảo đòi hỏi tính bí mật, toàn vẹn và xác thực. Để đảm bảo tất cả những yếu tố này trong các giao dịch mạng riêng ảo của ta, cần phải thực thi các phương tiện an toàn khác nhau, chẳng hạn như các cơ chế mã hoá, các cơ chế xác thực và cả các giải pháp an toàn dựa trên phần cứng như RADIUS, AAA, TACACS, Firewall, NAT, Ta không thể chọn tuỳ tiện bất kỳ một phương tiện nào trong số trên, mà cần phân tích các yêu cầu của tổ chức để hiểu giải pháp nào nên được thực thi. Sự lựa chọn giải pháp bảo mật thích hợp cũng tuỳ thuộc vào mức bảo mật và toàn vẹn được yêu cầu bởi luồng lưu lượng mạng. Ví dụ, nếu tổ chức đề cập đến dữ liệu nhạy cảm trong giao dịch thương mại điện tử, ta sẽ cần thực thi một hoặc nhiều giải pháp an toàn để đảm bảo tính bí mật, toàn vẹn và xác thực thích hợp của dữ liệu 3.2. Lựa chọn các sản phẩm và nhà cung cấp dịch vụ Sau khi ta đã phân tích và hiểu rõ các yêu cầu của tổ chức và những mong muốn của người dùng, lúc này ta tiến hành chọn lựa các sản phẩm để thực thi mạng riêng ảo. Việc này không phải dễ dàng đưa ra quyết định vì có nhiều sản phẩm phần cứng và phần mềm mạng riêng ảo hiện có. Xem xét các ràng buộc về ngân sách, phương pháp tốt nhất để chọn các sản phẩm là đáp ứng các yêu cẩu của ta và khả năng tài chính. Một số tham số sẽ giúp ta chọn lựa các sản phẩm phần cứng cũng như phần mềm thích hợp cho mạng riêng ảo là: - Các tham số liên quan đến hiệu suất, như thông lượng được duy trì liên tục mức cao nhất và thời gian phản hồi thấp nhất - Các tham số liên quan đến an toàn, như các cơ chế mã hoá và xác thực được hỗ trợ - Các tham số liên quan đến phiên làm việc, như tốc độ tuyền dữ liệu cao nhất - Số lượng kết nối đồng thời được hỗ trợ Chú ý:  Ta phải cẩn thận trong khi lựa chọn các cơ chế mã hoá và xác thực. Mặc dù chúng nâng cao tính an toàn, nhưng chúng cần nhiều CPU để tính toán và như vậy có thể làm giảm hiệu suất toàn phần của mạng. Kết quả là, nên dung hoà giữa tính an toàn và hiệu suất. Vì ta vẫn còn chưa xong pha thực thi, đây là điểm mà trong đó ta có thể quyết định giải pháp tận dụng dựa trên các phân tích sản phẩm và cơ sở của ta. Nhà cung cấp dịch vụ sẽ có yêu cầu về khả năng kỹ thuật và kinh nghiệm được yêu để thiết kế và thực thi một giải pháp mạng riêng ảo thích ứng với các yêu cầu của tổ chức. Hơn nữa, giải pháp tận dụng cũng sẽ dẫn đến gánh nặng trong việc quản lý và giám sát lên vai chúng ta. Tuy nhiên, hạn chế ở đây là việc xử lý an toàn của tổ chức qua một tổ chức bên ngoài (người ngoài cuộc). Điều này không thể chấp nhận được với các tổ chức và người quản trị. Vì vậy, ta nên phân tích chi tiết SLA mà nhà cung cấp dịch vụ đem lại cho ta. Một sự hiểu biết sâu sắc mỗi điểm trong SLA cũng sẽ giúp ta xác minh rằng nhà cung cấp dịch vụ đang cung cấp mức dịch vụ đúng như trong SLA 3.3. Kiểm thử kết quả Nếu quyết định được áp dụng thực thi trong một nhóm của thiết lập mạng riêng ảo, ta sẽ cần kiểm tra và đánh giá mỗi sản phẩm mạng riêng ảo mà ta đã chọn. Điều này sẽ giúp ta đảm bảo tính đúng đắn trước khi bắt đầu lựa chọn các sản phẩm phần cứng và phần mềm tương thích với mỗi sản phẩm khác. Thông thường, việc kiểm thử được thực hiện với một phạm vi nhỏ thí điểm có kết hợp nhiều nhóm người dùng khác nhau. Mỗi phía của mạng riêng ảo nên được kiểm thử và ta nên xem cách thức hoạt động của mỗi sản phẩm trong môi trường thực. Thí nghiệm này cũng đảm bảo rằng các sản phẩm được cấu hình đúng và được thự thi trên các đặc tính kỹ thuật. Nếu ta đã quyết định sử dụng các dịch vụ của nhà cung cấp, một thí nghiệm nhỏ để kiểm thử và xác minh giải pháp đưa ra bởi nhà cung cấp dịch vụ trong môi trường thực được khuyến cáo. Nếu thí nghiệm xẩy ra lỗi, cần thay thế các sản phẩm không đáp ứng đầy đủ các yêu cầu hoặc cấu hình lại chúng. 3.4. Thiết kế và thực thi giải pháp Ta hoàn tất để sang pha thiết kế và thực thi chỉ sau khi pha kiểm thử thành công. Trong pha thiết kế và thực thi, ta sẽ thực thi giải pháp mạng riêng ảo mềm dẻo theo kế hoạch của tổ chức Sau khi giải pháp đã được thực thi thành công, ta cần kiểm thử lại toàn bộ thiết lập. Sau khi kiểm thử thành công, ta cũng có thể cần tinh chỉnh giải pháp để tối ưu hoá tính an toàn và hiệu suất của nó 3.5. Giám sát và quản trị Việc quản lý và duy trì mạng là một quá trình liên tục. Để giám sát một thiết lập mạng riêng ảo phạm vi lớn là rất phức tạp. Vì vậy cần vạch ra một chiến lược để quản lý và giám sát mạng của ta Những thói quen sau sẽ giúp ta đảm bảo rằng mạng riêng ảo luôn tối ưu - Thu thập cách sử dụng và thống kê hiệu suất đều đặn - Duy trì file nhật ký chi tiết mỗi hành động liên quan đến mạng riêng ảo, kể cả các hành động thành công. Một sự am hiểu sâu sắc về cách mà nhà cung cấp dịch vụ thực thi giải pháp mạng riêng ảo cung giữ một vai trò quan trọng trong việc giám sát và đánh giá hiệu suất, hiệu quả và tính đầy đủ của giải pháp được cung cấp. Công nghệ mạng đang phát triển rất nhanh chónh, công nghệ mạng riêng ảo cũng vậy. Vì thế, thỉnh thoảng ta phải cần cập nhật cho thiết lập mạng riêng ảo của ta, ta cũng cần di trú tới các nền và các môi trường khác nhau để thích ứng với sự phát triển trong tương lại của tổ chức cũng như các yêu cầu của tổ chức Hầu hết những người thiết kế và quản trị mạng sẽ chỉ cho ta, công việc của ta không kết thúc với sự thực thi một giải pháp. Ta cần phải quản lý và giám sát giải pháp, và như vậy nó cung cấp hiệu suất đúng như hợp đồng. Thi thoảng, ta cũng cần định danh, hỗ trợ và giải quyết bất kỳ vấn đề nào có thể nảy sinh. TÀI LIỆU THAM KHẢO Andrew G.Mason (2003), “Cisco Secure Virtual Private Netwoks”, CCIE Cisco Systems, Cisco Access VPN solutions Using Tunneling Techlnology Martin W. Murhammer et als (1998), “A Comprehensive Guide to Virtual Private Networks”, Volume I, IBM. Martin W. Murhammer et als (1999), “A Comprehensive Guide to Virtual Private Networks”, Volume II, IBM. Martin W. Murhammer et als (1999), “A Comprehensive Guide to Virtual Private Networks”, Volume III, IBM.