Tài liệu Ứng dụng IPSec VPN trong xây dựng hệ thống mạng của Đài tiếng nói Nhân dân Tp Hồ Chí Minh: ... Ebook Ứng dụng IPSec VPN trong xây dựng hệ thống mạng của Đài tiếng nói Nhân dân Tp Hồ Chí Minh
68 trang |
Chia sẻ: huyen82 | Lượt xem: 1313 | Lượt tải: 0
Tóm tắt tài liệu Ứng dụng IPSec VPN trong xây dựng hệ thống mạng của Đài tiếng nói Nhân dân Tp Hồ Chí Minh, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Phaàn I:
ÑAËT VAÁN ÑEÀ
Giôùi thieäu baøi toaùn vaø giaûi phaùp
Ñaøi Tieáng Noùi Nhaân Daân TP.HCM laø cô quan truyeàn thoâng ñaïi chuùng, nhieäm vuï cuûa Ñaøi laø tuyeân truyeàn chuû tröông chính saùch cuûa Ñaûng vaø nhaø nöôùc, noùi leân tieáng noùi cuûa Ñaûng boä vaø nhaân daân TP.HCM. Trong giai ñoaïn môùi hieän nay, vieäc aùp duïng nhöõng thaønh töïu KHKT vaøo phuïc vuï coâng taùc laø vieäc taát yeáu vaø laø yeáu toá mang tính chaát soáng coøn ñoái vôùi hoaït ñoäng cuûa Ñaøi noùi rieâng vaø taát caû caùc nghaønh ngheà noùi chung. Ñaøi TNND TP.HCM ñaõ vaø ñang öùng duïng CNTT vaøo trong hoaït ñoäng cuûa mình. Tuy coøn trong giai ñoaïn xaây döïng vaø hoaøn thieän töøng böôùc, nhöng vieäc öùng duïng CNTT ñaõ mang laïi nhöõng hieäu quaû nhaát ñònh, hoã trôï hieäu quaû cho vieäc thöïc hieän caùc chöông trình phaùt thanh - moät nhieäm vuï mang tính chaát chính trò quan troïng cuûa Ñaøi.
Giôùi thieäu heä thoáng :
Trong giai ñoaïn ñaàu, Ñaøi TNND TP.HCM ñaõ tieán haønh trang bò maùy tính vaø thieát laäp heä thoáng maïng noäi boä ñeå caûi tieán, naâng cao hieäu quaû coâng taùc nghieäp vuï. Hieän traïng heä thoáng ñang hoaït ñoäng bao goàm:
Moät maïng noäi boä kyõ thuaät (LAN 1): taäp hôïp taát caû caùc maùy tính ñöôïc duøng ñeå thöïc hieän caùc chöông trình phaùt thanh, löu tröõ döõ lieäu phuïc vuï cho vieäc xaây döïng chöông trình, truyeàn döõ lieäu cho boä phaän phaùt soùng. Hieän nay ñeå baûo ñaûm an toaøn cho hoaït ñoäng phaùt thanh, khoâng cho pheùp baát kyø keát noái naøo vôùi maïng beân ngoaøi. ( sô ñoà maïng kyõ thuaät- LAN 1 ñaøi TNND TP.HCM).
Moät maïng noäi boä bieân taäp (LAN 2): taäp hôïp taát caû caùc maùy tính duøng ñeå phuïc vuï cho vieäc bieân taäp caùc chöông trình phaùt thanh, cho pheùp truy caäp Internet thoâng qua moät ñöôøng thueâ bao ADSL chung cho caû maïng. ( sô ñoà maïng bieân taäp LAN 2 ñaøi TNND TP.HCM).
Caû hai maïng ñeàu ñöôïc quaûn lyù taäp trung, coù nhöõng qui ñònh roõ raøng veà chính saùch baûo maät. Vieäc trao ñoåi döõ lieäu giöõa hai maïng hieän ñang ñöôïc thöïc hieän moät caùch thuû coâng thoâng qua caùc thieát bò löu tröõ löu ñoäng.
Maïng noäi boä kyõ thuaät (LAN 1):
Ñaây laø phaàn quan troïng nhaát cuûa heä thoáng, phaûi ñaûm baûo hoaït ñoäng lieân tuïc, oån ñònh, an toaøn. Ñaëc ñieåm cuûa maïng:
Heä ñieàu haønh: Window 2000 server, window 98, Window XP.
Söû duïng caùc phaàn meàm xöû lyù, convert, play caùc file aâm thanh theo daïng chuaån mp3 vaø moät soá phaàn meàm chuyeân duïng cho phaùt thanh.
Döõ lieäu löu tröõ vaø trao ñoåi trong maïng laø caùc file aâm thanh ôû daïng chuaån mp3.
Taát caû caùc maùy tính vaø ngöôøi duøng ñeàu ñöôïc quaûn lyù. Moãi caù nhaân coù nhöõng möùc ñoä quyeàn haïn truy caäp maïng khaùc nhau ñöôïc quy ñònh roõ raøng- chæ ñöôïc truy nhaäp maïng treân 1 maùy coá ñònh.
Yeâu caàu quaûn lyù baûo maät cao. Khoâng ñöôïc keát noái tröïc tieáp ra ngoaøi, keå caû keát noái internet.
Sô ñoà moâ taû maïng kyõ thuaät:
Coù 3 nhoùm chính:
Nhoùm server: laøm nhieäm cuûa domain controller, file server. Server 1 vaø server 2 ñöôïc chia thaønh nhieàu thö muïc, moãi thö muïc coù qui ñònh truy xuaát rieâng. Server 3 duøng ñeå löu tröõ tö lieäu chæ cho pheùp caùc maùy thuoäc nhoùm thu pha truy xuaát ñeå taûi döõ lieäu.
Nhoùm maùy truyeàn aâm: laøm nhieäm vuï truyeàn döõ lieäu ñeán boä phaän phaùt soùng. Chæ coù quyeàn truy xuaát ñeán moät soá thö muïc treân caùc server 1 vaø server 2- chæ ñoïc, taûi döõ lieäu veà khoâng cho pheùp thay ñoåi hoaëc taûi döõ lieäu leân server, khoâng coù quyeàn truy xuaát vaøo server 3.
Nhoùm maùy thu pha: thöïc hieän caùc chöông trình phaùt thanh vaø taûi chuùng leân server. Nhoùm naøy coù quyeàn truy xuaát vaøo server 3, ñöôïc toaøn quyeàn treân nhöõng thö muïc rieâng treân server 1 & 2.
Maïng noäi boä bieân taäp (LAN 2):
Ñaëc ñieåm chung:
Heä ñieàu haønh: Window 2000 server, window 98, Window XP.
Söû duïng caùc phaàn meàm xöû lyù, convert, play caùc file aâm thanh theo daïng chuaån mp3 , caùc öùng duïng vaên phoøng vaø moät soá phaàn meàm khaùc.
Döõ lieäu löu tröõ vaø trao ñoåi trong maïng laø caùc file aâm thanh ôû daïng chuaån mp3 vaø file text.
Taát caû caùc maùy tính vaø ngöôøi duøng ñeàu ñöôïc quaûn lyù. Ña soá user ñeàu bò haïn cheá quyeàn truy nhaäp caùc taøi nguyeân chung trong maïng, keå caû file server.
Cung caáp khaû naêng keát noái internet coù kieåm soaùt.
Yeâu caàu baûo maät cao.
Ñòa chæ maïng 192.168.24.0/24.
Ñòa chæ coång ra internet 192.168.24.2.
Caùc maùy tính trong maïng ñöôïc chia laøm 3 nhoùm chính:
Nhoùm server: moät server laøm Domain controller, file server, kieåm soaùt keát noái internet. File server chæ cho pheùp moät soá user ñaëc bieät truy nhaäp.
Nhoùm maùy haønh chaùnh: Taäp hôïp taát caû caùc maùy cuûa caùc phoøng ban haønh chaùnh (Toå chöùc, taøi vuï…). Khoâng ñöôïc pheùp truy caäp vaøo file server. Döõ lieäu trao ñoåi döôùi daïng file text. Moät soá maùy ñöôïc pheùp truy caäp internet.
Nhoùm maùy bieân taäp: Taäp hôïp taát caû caùc maùy cuûa caùc ban bieân taäp. Ñöôïc pheùp truy caäp internet, moät soá user treân caùc maùy naøy coù quyeàn truy xuaát vaøo file server. Döõ lieäu trao ñoåi döôùi dang file aâm thanh vaø file text.
Sô ñoà maïng bieân taäp
Caùc yeâu caàu phaùt trieån:
Böôùc ñaàu heä thoáng ñaõ hoaït ñoäng toát, ñaùp öùng ñöôïc nhöõng yeâu caàu nghieäp vuï cô baûn. Trong giai ñoaïn saép tôùi heä thoáng caàn ñöôïc hoøan thieän theâm vôùi nhöõng yeâu caàu cuï theå nhö sau:
Keát noái coù kieåm soaùt giöõa hai maïng noäi boä hieän coù.
Cho pheùp moät soá caù nhaân truy caäp töø xa ( Remote Access) vaøo maïng bieân taäp (LAN 2) cuûa Ñaøi.
Thieát laäp moät keát noái giöõa heä thoáng maïng cuûa Ñaøi vôùi moät maïng noäi boä ôû xa (site-to-site).
Yeâu caàu chung:
Baûo ñaûm ñoä an toaøn, ñoä tin caäy cao.
Khoâng gaây xaùo troän heä thoáng hieän coù ñeå traùnh aûnh höôûng ñeán hoaït ñoäng cuûa Ñaøi.
Chuù yù xem xeùt ñeán yeáu toá phöùc taïp veà maët kyõ thuaät vaø tính kinh teá cuûa giaûi phaùp.
Keát noái coù kieåm soaùt 2 maïng noäi boä:
Nhaèm taïo thuaän lôïi hôn trong vieäc trao ñoåi döõ lieäu giöõa 2 maïng noäi boä hieän coù, vieäc hôïp nhaát chuùng thaønh moät heä thoáng chung laø caàn thieát. Vaán ñeà ñaët ra ôû ñaây laø phaûi kieåm soaùt ñöôïc söï truy caäp vaøo phaàn maïng kyõ thuaät.
Sô ñoà moâ taû yeâu caàu
Yeâu caàu cuï theå laø chæ coù moät vaøi tính ôû phaàn maïng kyõ thuaät ñöôïc pheùp truy caäp vaøo ServerBT ñeå trao ñoåi döõ lieäu, caám taát caû nhöõng truy caäp qua laïi khaùc giöõa 2 phaàn maïng cuûa heä thoáng.
Cho pheùp ngöôøi duøng di ñoäng truy xuaát vaøo heä thoáng:
Ñeå naâng cao khaû naêng taùc nghieäp cuûa caùc phoùng vieân, caàn xaây döïng moät cô cheá cho pheùp nhöõng ngöôøi duøng rieâng leû coù theå truy caäp vaøo heä thoáng thoâng qua caùc phöông tieän truyeàn thoâng coâng coäng phoå bieán.
Yeâu caàu cuï theå :
Ñaûm baûo an toaøn cuûa heä thoáng.
Khoâng quaù phöùc taïp ñoái vôùi ngöôøi duøng, yeâu caàu veà thieát bò khoâng cao.
Caàn chuù yù ñeán chi phí thieát laäp vaø duy trì heä thoáng.
Sô ñoà moâ taû yeâu caàu
Keát noái 1 maïng noäi boä ôû xa vôùi heä thoáng:
Do nhu caàu cuûa coâng taùc nghieäp vuï, Ñaøi TNND TP.HCM döï ñònh thieát laäp theâm moät soá cô sôû nhö laø caùc chi nhaùnh, moãi chi nhaùnh coù 1 maïng cuïc boä rieân). Caàn thieát laäp 1 keát noái maïng baûo maät giöõa Ñaøi vaø chi nhaùnh- keát noái site-to-site.
Yeâu caàu cuï theå:
Ñaûm baûo an toaøn cho heä thoáng.
Ñaûm baûo an toaøn cho keát noái.
caàn chuù yù ñeán chi phí xaây döïng cuõng nhö duy trì heä thoáng.
Sô ñoà moâ taû yeâu caàu
Giaûi phaùp thöïc hieän:
Döïa treân cô sôû nhöõng cuï theå ñöôïc neâu ôû treân chuùng ta coù theå chia baøi toaùn thaønh 2 phaàn rieâng bieät coù theå thöïc hieän ñoäc laäp vôùi nhau:
Keát noái 2 maïng noäi boä vaø kieåm soaùt truy caäp giöõa chuùng.
Xaây döïng moät heä thoáng cho pheùp keát noái 1 maïng ôû xa (site-to-site) ñoàng thôøi cho pheùp moät soá ngöôøi duøng coù theå truy caäp töø xa (Remote Access).
Coù raát nhieàu giaûi phaùp ñeå giaûi quyeát yeâu caàu cuûa baøi toaùn, vôùi muïch ñích khaûo saùt nhöõng phöông aùn khaû thi coù theå thöïc hieän vôùi haï taàng cô sôû truyeàn thoâng cuûa nöôùc ta hieän nay, chuùng ta seõ giaûi quyeát baøi toaùn nhö sau:
Duøng Access Control List ñeå keát noái vaø kieåm soaùt truy caäp giöõa 2 maïng noäi boä.
Duøng IPSec VPN ñeå xaây döïng heä thoáng keát noái site-to-site vaø cho pheùp truy caäp töø xa.
Trong phaïm vi ñoà aùn naøy, chuùng ta seõ taäp trung tìm hieåu caùch thieát laäp IPSec VPN – tieàn ñeà cho vieäc giaûi quyeát vaán ñeà chính cuûa baøi toaùn.
Sô ñoà moâ taû heä thoáng vôùi giaûi phaùp thöïc hieän
PHAÀN II
KIEÁN THÖÙC CÔ SÔÛ
Chöông 1:
Toång quan Access List
Access list laø kyõ thuaät baûo maät (security technology) thöôøng ñöôïc söû duïng trong traffic filter vaø firewall. Veà baûn chaát Access list laø 1 danh saùch caùc ñieàu kieän duøng ñeå phaân loaïi caùc packets, cho pheùp chuùng ñi qua hoaëc bò chaën laïi taïi caùc router interface. Access list laø cô sôû ñeå router phaân tích moãi packet ñi ngang qua interface theo 1 höôùng ñaõ ñöôïc chæ ñònh vaø thöïc hieän, coù theå ñöôïc aùp duïng cho caû caùc traffic ra vaø vaøo interface. Coù theå duøng access list ñeå:
Caám (restrict) caùc caäp nhaät ñònh tuyeán (routing updates).
Cung caáp khaû naêng kieåm soaùt traffic.
Cung caáp security cho maïng.
Sô ñoà moâ taû khaû naêng cuûa Access List
Veà cô baûn coù 2 loaïi access list :
Standard access list: cung caáp khaû naêng kieåm soaùt caùc truy caäp taøi nguyeân cuûa router, phaân boá ñònh tuyeán (route distribution) vaø kieåm soaùt caùc packets ñi qua router. Standard access list chæ laøm vieäc vôùi caùc IP packets.
Extended access list: cung caáp khaû naêng laøm vieäc vôùi nhieàu protocol khaùc IP.
I. Standard Access list:
Standard Access List ñöôïc duøng ñeå xaây döïng caùc boä policy aùp duïng cho ñòa chæ IP vaø cho caû network number. Vôùi caùc Policy ñöôïc ñònh nghóa baèng Standard Access List, chuùng ta coù theå ngaên caám vieäc truy xuaát tôùi caùc taøi nguyeân cuûa maïng, xaùc ñònh caùc tuyeán (route) ñöôïc phaân boá vaø cho pheùp, thay ñoåi metric ñònh tuyeán ñeå ñieàu chænh traffic maïng.
Nhöõng caâu leänh caáu hình Standard Access List:
access-list access-list-number [deny|permit] source [source-wildcard] [log]
// khai baùo caùc caâu leänh cuûa access list
access-list access-list-number remark text
// theâm doøng text gôïi nhôù veà chöùc naêng cuûa access list
ip access-group {number | name[in | out]}
// aùp duïng access list cho interface
access-class number | Name [in |out]
Caùc caâu leänh kieåm tra caáu hình Standard Access List:
show ip interface [type number]
show access-list [access-list-number | access-list-name]
show ip access-list [ access-list-number | access-list-name]
Standard access list duøng caùc con soá töø 1 ñeán 99 hoaëc töø 1300 ñeán 1999 ñeå laøm access list number
II. Extended Access List:
Do Standrad Access List chæ coù taùc duïng vôùi IP traffic, coøn ñoái vôùi nhöõng protocol ñaëc bieät nhö TCP, UDP ( specific protocols port numbers) hoaëc nhöõng giao thöùc coù quan heä vôùi IP neân taùc duïng cuûa noù coøn nhieàu haïn cheá. Extended Access List ñöôïc söû duïng ñeå khaéc phuïc nhöõng haïn cheá ñoù.
Extended Access List môû roäng theâm khaû naêng Standard Access List ñeå coù theå xöû lyù theâm caùc loaïi protocol khaùc ngoaøi IP, protocol port vaø ñích ñeán theo ñònh höôùng cuï theå. Vôùi nhöõng khaû naêng ñoù, Extended Access List thöôøng ñöôïc söû duïng cho firewall- ñaëc bieät laø höõu duïng trong vieäc loïc caùc goùi vôùi nhöõng möùc ñoä tin caäy khaùc nhau.
Caùc caáu hình Extended access list:
access-list access-list-number [deny|permit] protocol source [source-wildcard] destination [destination-wildcard] [log | log-input]
// khai baùo caùc caâu leänh cuûa access list
access-list access-list-number [deny|permit] tcp source [source-wildcard] [operatior [port]] destination [destination-wildcard] [operatior [port]] [established] [log | log-input]
// 1 daïng leänh access list vôùi caùc thoâng soá cuûa TCP.
access-list access-list-number remark text
// theâm doøng text gôïi nhôù veà chöùc naêng cuûa access list
ip access-group {number | name[in | out]}
// aùp duïng access list cho interface
access-class number | Name [in |out]
Caùc caâu leänh kieåm tra caáu hình Standard Access List:
show ip interface [type number]
show access-list [access-list-number | access-list-name]
show ip access-list [ access-list-number | access-list-name]
Extended access list duøng caùc con soá töø 100 ñeán 199 hoaëc töø 2000 ñeán 2699 ñeå laøm access list number . Ta coù theå kieåm tra taát caû caùc goùi vôùi TCP hoaëc UDP header, coù theå caám hoaëc cho pheùp caùc dòch vuï theo port number baèng thoâng soá : eq [port number].
III. Aùp duïng Access list:
Maëc duø moãi protocol coù nhöõng qui luaät vaø nhieäm vuï ñaëc tröng rieâng caàn phaûi löu yù khi ta söû duïng traffic filter, nhöng noùi chung vieäc caáu hình Access list bao goàm 2 böôùc cô baûn caàn thöïc hieän:
Taïo Access List : taïo ra boä loïc (filter).
Aùp duïng Access list leân caùc interface cuûa Router : söû duïng caùc boä loïc vöøa taïo ra ñeå loïc (filtering).
Taïo Access List:
Ñeå taïo moät Access List, Chuùng ta phaûi thöïc hieän caùc böôùc sau:
Xaùc ñònh roõ protocol naøo muoán loïc (filter).
Aán ñònh moät caùi teân hoaëc moät con soá ñeå phaân bieät cho Access List.
Ñònh nghóa tieâu chuaån cuûa vieäc loïc goùi- moät Access List coù theå coù nhieàu khai baùo tieâu chuaån loïc phöùc taïp.
Moät soá ñieåm caàn löu yù khi taïo Access List:
Vieäc taïo 1 access list thöïc söï gioáng nhö vieäc laäp trình vôùi 1 chuoãi caùc caâu phaùt bieåu If- then, nghóa laø neáu gaëp 1 ñieàu kieän thì 1 haønh ñoäng ñöôïc thöïc thi, ngöôïc laïi ñieàu kieän tieáp theo seõ ñöôïc xem xeùt.
Caùc tieâu chuaån Access list (Access list criteria) coù theå laø ñòa chæ nguoàn cuûa traffic, ñòa chæ ñích cuûa traffic, nhöõng giao thöùc cuûa caùc lôùp treân cuûa moâ hình OSI hoaëc nhöõng thoâng tin khaùc.
Vôùi moät Access list ñôn, chuùng ta coù theå ñònh nghóa moät tieâu chuaån phöùc taïp baèng caâu leänh phöùc hôïp hoaëc baèng nhöõng caâu leänh rieâng reõ- caùc caâu leänh rieâng reõ cuûa moät Access List coù cuøng teân hoaëc soá nhaän daïng cuûa Access List. Soá löôïng caâu leänh khoâng bò haïn cheá veà soá löôïng, chæ phuï thuoäc vaøo dung löôïng boä nhôù cuûa thieát bò. Tuy nhieân caàn löu yù raèng ñoä phöùc taïp seõ taêng theo soá löôïng caâu leänh, seõ khoù naém roõ vaø quaûn lyù hieäu quaû caùc Access list.
Maëc ñònh khi aùp duïng Access List taát caû caùc packet khoâng ñöôïc cho pheùp seõ bò caám maø khoâng caàn khai baùo, tuy vaäy caâu leänh keát thuùc cuûa caùc Access List laø caâu leänh caám taát caû caùc traffic ( deny all traffic). Caàn chuù yù laø ñoái vôùi haàu heát caùc protocol, neáu chuùng ta ñònh nghóa moät Access List cho 1 filter loïc traffic theo höôùng ñi vaøo maïng thì nhaát thieát phaûi söû duïng caâu leänh cho pheùp caäp nhaät caùc thoâng tin ñònh tuyeán neáu khoâng thì taát caû caùc packet ñeàu bò khoaù do ñaëc tính caám maëc ñònh cuûa Access List.
Moät vaán ñeà nöõa caàn chuù yù khi caáu hình moät Access List laø thöù töï cuûa caùc caâu leänh. Trình töï caùc caâu leänh seõ quyeát ñònh caùch laøm vieäc cuûa Access List, caùc caâu leänh ñaët khoâng ñuùng thöù töï seõ voâ hieäu hoùa taát caû nhöõng caâu leänh sau ñoù. Thoâng thöôøng khi coù caùc caâu leänh cho pheùp ñöôïc thöïc hieän thì caùc caâu leänh s veà au ñoù khoâng coù taùc duïng nöõa thay vaøo ñoù laø tính naêng caám maëc ñònh- Deny all traffic.
Chuùng ta khoâng theå theâm caùc caâu leänh vaøo moät Access List coù saün. Khi caàn boå sung Ta phaûi xoaù Access List cuõ vaø nhaäp laïi.
Aùp duïng caùc Access List leân caùc Router Interface:
Sau khi ñöôïc ñònh nghóa, tuøy theo yeâu caàu thöïc teá caùc Access List seõ ñöôïc khai baùo aùp duïng treân nhöõng interface cuï theå cuûa thieát bò. Moät Access list coù theå ñöôïc aùp duïng cho nhieàu interface vaø moät interface coù theå ñöôïc aùp duïng nhieàu Access List cho nhöõng protocol khaùc nhau.
Khi aùp duïng Access list ngoaøi vieäc choïn Interface, chuùng ta coøn caàn phaûi choïn höôùng cuûa traffic caàn kieåm soaùt. Sô ñoà döôùi ñaây moâ taû logic hoaït ñoäng cuûa access list trong Router:
Minh hoïa veà vieäc aùp duïng access list
Theo löu ñoà treân, khi aùp duïng 1 Access list, ta coù theå duøng noù cho khi Packet vaøo (Inbound) hoaëc khi Packet ra khoûi (Outbound) Router.
Ñoái vôùi moät soá protocol, taïi moät interface Ta phaûi duøng 2 Access List, moãi Access List kieån soaùt traffic theo moät höôùng rieâng. Vôùi moät soá protocol chæ caàn duøng 1 Access List cho caû 2 höôùng.
Moät soá ñieåm caàn chuù yù khi söû duïng Access list:
Khi taïo vaø aùp duïng access list trong heä thoáng caàn löu yù:
Coù theå taïo Access list baèng caùc öùng duïng text editor ôû ngoøai Router, sau ñoù cheùp vaøo Router.
Caùc Extended access list neân ñöôïc ñaët caøng gaàn nôi xuaát phaùt cuûa caùc packet caàn kieåm tra thì hieäu quaû caøng cao.
Caùc Standard Access list neân ñöôïc ñaët gaàn ñích ñeán cuûa caùc Packet nhaèm traùnh vieäc ñaùnh rôùt caùc goùi ngoaøi yù muoán.
Neân ñeå nhöõng caâu leänh quan troïng leân phía tröôùc cuûa access list.
Neân voâ hieäu Access list treân interface tröôùc khi thöïc hieän baát cöù thay ñoåi naøo veà noäi dung cuûa Access list.
Khi caàn boå sung theâm cho Acces list hieän coù chuùng ta phaûi khai baùo laïi toøan boä Access list vôùi nhöõng ñieàu kieän môùi theâm vaøo.
Noùi chung Access list laø moät kyõ thuaät töông ñoái ñôn giaûn nhöng hieäu quaû thöôøng söû duïng ñeå hoã trôï cho coâng taùc baûo maät cuûa maïng nhö: kieåm soaùt traffic maïng, kieåm soaùt vieäc truy caäp thieát bò maïng, öùng duïng trong firewall….
Chöông II:
Toång quan veà maïng rieâng aûo VPN
I. Khaùi nieäm veà VPN:
Maïng rieâng aûo VPN- Virtual Private network laø moät coâng ngheä cho pheùp thöïc hieän caùc giao dòch rieâng tö döïa treân caùc heä thoáng coâng coäng, chaúng haïn nhö Internet, moät caùch an toaøn vaø hieäu quaû.
Virtual Private Network laø moät thuaät ngöõ ñeå chæ moät maïng maùy tính coù caùc ñaëc tính:
Aûo (virtual): vì truyeàn thoâng tin döïa treân keát noái logic, trong thöïc teá moät ñöôøng haàm (tunnel) seõ ñöôïc taïo giöõa hai ñaàu truyeàn tin baèng kyõ thuaät ñoùng goùi vaø maõ hoaù rieâng.
Rieâng (Private): vì cho pheùp ngöôøi duøng (user) truyeàn thoâng tin rieâng tö moät caùch an toaøn, baûo maät trong moäi tröôøng coâng coäng.
Coù theå ñònh nghóa VPN 1 caùch ngaén goïn qua coâng thöùc sau:
VPN= ñònh ñöôøng haàm + baûo maät + caùc thoaû thuaän veà QoS
QoS chaát löôïng dòch vuï ñöôïc cung caáp.
Nhöõng lôïi ích do VPN ñem laïi:
Coâng ngheä maïng rieâng aûo VPN coù nhöõng öu ñieåm ñem laïi nhöõng lôïi ích thöïc söï sau:
Giaûm chi phí ñaàu tö.
Giaûm chi phí quaûn lyù vaø duy trì heäthoáng.
Giaûm chi phí thöôøng xuyeân so vôùi nhöõng heä thoáng khaùc.
Cho pheùp truy caäp deã daøng thoâng qua caùc heä thoáng coâng coäng.
Giaûi quyeát ñöôïc vaán ñeà baûo maät trong moâi tröôøng maïng coâng coäng.
Taêng hieäu quaû söû duïng cuûa baêng thoâng
Khaû naêng phaùt trieån cao
Nhöõng haïn cheá coøn toàn taïi cuûa VPN:
Nhöõng khuyeát ñieåm cuûa VPN coøn toàn taïi cuûa VPN goàm:
Phuï thuoäc Internet.
Thieáu söï hoã trôï ñoái vôùi caùc giao thöùc keá thöøa, do ñöôïc xaây döïngchuû yeáu döïa treân kyõ thuaät IP.
Nhöõng vaàn ñeà caàn quan taâm khi thieát laäp VPN:
Khi löïc choïn giaûi phaùp maïng döïa treân coâng ngheä VPN caàn chuù yù ñeán nhöõng vaán ñeà sau:
Security: neân xem xeùt aùp duïng nhöõng cô cheá baûo maät vaø giaûi thuaät maõ hoùa maïnh nhaèm ñaûm baûo tính an toaøn cuûa döõ lieäu.
Khaû naêng laøm vieäc cuûa caùc thieát bò cuûa caùc nhaø saûn xuaát khaùc nhau, caàn phaûi kieåm tra tröôùc tính töông thích cuûa chuùng ñeå ñaûm baûo heä thoáng hoaït ñoäng oån ñònh.
Neân coù söï quaûn lyù taäp trung.
Giaûi phaùp VPN phaûi deã thöïc hieän vaø caáu hình.
Caùc VPN software ñaëc bieät laø VPN client software phaûi ñôn giaûn, deã hieåu, deã söû duïng ñoái vôùi ngöôøi duøng.
Phaûi coù khaû naêng töông thích cao, coù khaû naêng ñaùp öùng ñöôïc nhöõng yeâu caàu phaùt trieån trong töông lai vôùi nhöõng thay ñoåi toái thieåu veà caáu truùc.
Caàn xem xeùt ñeán hieäu suaát cuûa heä thoáng khi thöïc hieän caùc thuaät toaùn vaø cô cheá maõ hoaù.
Baêng thoâng coù aûnh höôûng quan troïng ñeán hieäu suaát, khaû naêng hieäu duïng vaø ñaûm baûo veà QoS.
Vieäc löïa choïn ISP cuõng laø 1 vieäc quan troïng caàn xem xeùt.
Vì VPN seõ keát noái tröïc tieáp vôùi Internet neân vieäc baûo veä heä thoáng khoûi nhöõng traffic khoâng mong muoán hoaëc khoâng ñöôïc pheùp laø cöïc kyø quan troïng caàn chuù yù ñaëc bieät.
Moät soá thuaät ngöõ lieân quan ñeán VPN:
Tính baûo maät: baûo maät laø nhöõng gì laøm cho VPN trôû neân “aûo” vaø “rieâng”. Nhôø ñoù maø heä thoáng söû duïng caùc taøi nguyeân coâng coäng vaãn coù nhöõng ñaëc tính nhö heä thoáng ñöôïc xaây döïng rieâng bieät, tieát kieäm ñaùng keå veà chi phí. Vieäc ñaûm baûo tính baûo maät cho caùc keát noái VPN ñöôïc thöïc hieän baèng caùch keát hôïp caùc saûn phaåm vaø coâng ngheä vôùi nhau.
Ñöôøng haàm (Tunnel) : caùc ñöôøng haàm chính laø ñaëc tính aûo cuûa VPN, noù laøm cho keát noái trôû neân trong suoát (khoâng thaáy ñöôïc) ñoái vôùi caùc ngöôøi duøng khaùc treân Internet, ñoàng thôøi taïo cho VPN khaû naêng duy trì nhöõng yeâu caàu veà baûo maät vaø quyeàn öu tieân nhö ñaõ ñöôïc aùp duïng trong maïng noäi boä. Nhöõng coâng ngheä ñöôøng haàm phoå bieán cho truy caäp VPN goàm: PPTP, L2TP vaø IPSec.
Maõ hoùa : ñaây laø tính naêng tuøy choïn laøm neân tính “rieâng tö” cuûa VPN. Chæ neân maõ hoùa nhöõng döõ lieäu quan troïng ñeå khoâng aûnh höôûng ñeán toác ñoä xöû lyù cuûa CPU.
Töôøng löûa : Firewall ñöôïc duøng ñeå baûo maät maïng noäi boä choáng laïi caùc cuoäc taán coâng töø beân ngoaøi. Firewall toát coù khaû naêng phaân bieät caùc traffic döïa treân cô sôû ngöôøi duøng, trình öùng duïng hay nguoàn goác.
Ñònh danh ngöôøi duøng (User-Identification) : moïi ngöôøi duøng ñeàu phaûi chòu söï kieåm tra xaùc thöïc ñeå heä thoáng coù theå bieát thoâng tin veà hoï (quyeàn truy caäp, maät khaåu..) vaø phaûi chòu söï uûy quyeàn ñeå baùo cho hoï bieát veà nhöõng gì hoï ñöôïc pheùp laøm. Moät heä thoáng toát coøn thöïc hieän vieäc tính toaùn ñeå theo doõi nhöõng vieäc maø ngöôøi duøng ñaõ laøm nhaèm muïch ñích tíng cöôùc vaø baûo maät. Xaùc thöïc( Authentication), trao quyeàn (Authorization) vaø tính cöôùc (Accouting) ñöôïc goïi laø caùc dòch vuï AAA.
Tính öu tieân: Cho pheùp gaùn theû öu tieân cho 1 traffic cuûa 1 öùng duïng nghieäp vuï quan troïng caàn thöïc hieän tröôùc. Khaû naêng gaùn öu tieân seõ phaûi ñoäc laäp vôùi döõ lieäu truyeàn ñeå ñaûm baûo tính hoaøn haûo thöïc söï cuûa dòch vuï.
II. Caùc loaïi maïng VPN:
Coù theå phaân VPN ra laøm 3 loaïi:
Remote access VPN.
Intranet VPN.
Extranet VPN.
Caùc VPN truy caäp töø xa (Remote Access VPN):
Caùc VPN naøy cung caáp truy caäp tin caäy cho caùc ngöôøi duøng ôû xa nhö caùc nhaân vieân di ñoäng, caùc nhaân vieân ôû xa vaø caùc vaên phoøng chi nhaùnh thuoäc maïng löôùi coâng ty. Ngöôøi duøng coù theå truy caäp caùc taøi nguyeân VPN baát cöù khi naøo neáu caàn.
Ñöôøng truyeàn trong Access VPN coù theå laø töông töï, quay soá, ISDN, caùc ñöôøng thueâ bao soá (SDL), IP di ñoäng vaø caùp ñeå noái caùc ngöôøi duøng di chuyeån, maùy tính töø xa hay caùc vaên phoøng laïi vôùi nhau.
Caùc VPN noäi boä (Intranet VPN):
Cho pheùp caùc vaên phoøng chi nhaùnh ñöôïc lieân keát 1 caùch baûo maät ñeán truï sôû chính cuûa coâng ty.
Coù 2 phöông phaùp söû duïng maïng VPN ñeå keát noái caùc maïng cuïc boä LAN taïi caùc ñieåm cuoái ôû xa:
Duøng caùc ñöôøng keânh thueâ rieâng ñeå keát noái.
Duøng ñöôøng daây quay soá ñeå keát noái.
Duøng VPN ñeå keát noái 2 vò trí töø xa
Caùc VPN môû roäng (Extranet VPN):
Cho pheùp caùc khaùch haøng, caùc nhaø cung caáp vaø caùc ñoái taùc coù theå truy caäp 1 caùch baûo maät ñeán maïng Intranet cuûa coâng ty.
Duøng VPN ñeå keát noái 2 maùy tính töø xa trong cuøng 1 maïng LAN
III. Kieán truùc vaø caùc khoái cuûa VPN
Kieán truùc cuûa 1 maïng VPN:
Hai thaønh phaàn cô baûn taïo neân maïng rieâng aûo VPN laø:
Tieán trình ñònh ñöôøng haàm (Tunneling), cho pheùp laøm “aûo” moät VPN.
Nhöõng dòch vuï baûo maät ña daïng nhaèm giöõ cho döõ lieäu cuûa VPN ñöôïc baûo maät.
Ñònh ñöôøng haàm:
Vieäc taïo ñöôøng haàm laø taïo ra moät keát noái ñaëc bieät giöõa 2 ñieåm cuoái. Ñeå taïo ra 1 ñöôøng haàm.
Ñieåm nguoàn phaûi ñoùng goùi (encapsulate) caùc goùi (Packet) cuûa mình trong caùc goùi IP (IP packet) ñeå truyeàn qua maïng Internet- vieäc ñoùng goùi bao goàm maõ hoaù goùi goác vaø theâm 1 tieâu ñeà IP (IP header) môùi cho goùi.
Taïi ñieåm cuoái ñích, coång noái seõ gôõ boû tieâu ñeà IP vaø giaûi maõ cho goùi vaø chuyeån noù ñeán ñích caàn ñeán.
IP
AH
ESP
header
Data
Goùi kieåu ñöôøng haàm
Goùi goác
Vieäc taïo ñöôøng haàm cho pheùp caùc doøng döõ lieäu vaø thoâng tin ngöôøi duøng keát hôïp ñöôïc truyeàn treân maïng coâng coäng trong moät oáng aûo (virtual pipe), oáng aûo seõ laøm cho vieäc ñònh tuyeán treân maïng trôû neân trong suoát ñoái vôùi ngöôøi duøng.
Thoâng thöôøng ñöôøng haàm ñöôïc ñòng nghóa theo 2 loaïi: ñöôøng haàm tónh (Static tunnel) vaø ñöôøng haàm ñoäng (dynamic tunnel).
Ñöôøng haàm tónh hay coøn goïi laø ñöôøng haàm thöôøng tröïc (pernament) thöôøng ít ñöôïc duøng vì chieám baêng thoâng khi khoâng söû duïng.
Ñöôøng haàm ñoäng coøn goïi laø ñöôøng haàm taïm thôøi thöôøng ñöôïc söû duïng. Khi coù yeâu caàu ñöôøng haàm seõ ñöôïc thieát laäp sau ñoù seõ huûy boû khi khoâng duøng ñeán.
Ngoaøi ra khi noùi ñeán ñöôøng haàm, ta coøn caàn phaûi xem xeùt ñeán caùc ñieåm cuoái cuûa ñöôøng haàm (endpoint), coù 2 loaïi ñieåm cuoái:
Maùy tính ñôn, khi keát noái phaûi chaïy 1 phaàn meàm VPN client.
Maïng LAN vôùi coång noái baûo maät coù theå laøboä ñòng tuyeán hay töôøng löûa.
Caùc ñöôøng haàm VPN
Caùc dòch vuï baûo maät trong VPN:
Maïng VPN caàn ñöôïc cung caáp 4 chöùc naêng giôùi haïn ñeå ñaûm baûoñoä baûo maät cho döõ lieäu. Boán chöùc naêng ñoù laø:
Xaùc thöïc (Authentication ): xaùc ñònh nguoàn göûi döõ lieäu.
Ñieàu khieån truy caäp (Access control): haïn cheá nhöõng truy caäp traùi pheùp vaøo maïng.
Tin caäy (Confidentality): ñaûm baûo ngaên nhöõng ngöôøi khoâng ñöôïc pheùp ñoïc döõ lieäu khi truyeàn treân maïng.
Tính toaøn veïn cuûa döõ lieäu (Data integrity) : ñaûm baûo döõ lieäu khoâng bò thay ñoåi trong quaù trình truyeàn treân maïng.
Vieäc xaùc thöïc ngöôøi duøng vaø duy trì tính toaøn veïn cuûa döõ lieäu phuï thuoäc vaøo caùc tieán trình maät maõ (Cruptographic). Nhöõng tieán trình naøy söû duïng caùc bí maät ñöôïc chia seõ goïi laø khoaù (key) , vieäc quaûn lyù vaø phaân phoái caùc khoùa cuõng taêng tính baûo maät cuûa heä thoáng.
Caùc dòch vuï Xaùc thöïc, maõ hoùa vaøtoaøn veïn döõ lieäu ñöôïc cung caáp taïi lôùp Dta-link vaø lôùp Network cuûa moâ hình OSI. Vieäc phaùt trieån caùc dòch vuï baûo maät taïi caùc lôùp thaáp cuûa moâ hình OSI laøm cho caùc dòch vuï naøy trôû neân trong suoát hôn vôùi ngöôøi duøng.
Coù 2 hình thöùc aùp duïng caùc dòch vuï baûo maät:
Moãi hình thöùc keát noái coù nhöõng öu khuyeát ñieåm khaùc nhau: keát noái ñaàu cuoái- ñaàu cuoái baûo maät hôn keát noái nuùt- nuùt nhöng noù laøm taêng söï phöùc taïp cho ngöôùi duøng vaø coù theå gaây khoù khaên hôn cho vieäc quaûn lyù.
Caùc khoái trong maïng VPN:
Maïng Internet VPN cgoàm caùc thaønh phaán chính sau:
Internet.
Coång noái baûo maät.
Maùy chuû chính saùch baûo maät (secutiry policy server).
Maùy chuû caáp quyeàn CA (certificate authority).
Caùc coång noái baûo maät (security gateway) ñöôïc ñaët giöõa caùc maïng coâng coäng vaø maïng rieâng, ngaên chaën caùc xaâm nhaäp traùi pheùp vaøo maïng rieâng. Chuùng theå cung caáp khaû naêng taïo ñöôøng haàm vaø maõ hoùa döõ lieäu tröôùc khi chuyeån ñeán maïng coäng coäng. Coång noái baûo maät cho maïng VPN goàm 1 trong caùc loaïi sau: boä ñònh tuyeán (Router), töôøng löûa (firewall), phaàn meàm tích hôïp VPN vaø phaàn meàm VPN.
Moät thaønh phaàn quan troïng khaùc cuûa maïng VPN laø maùy chuû chính saùch baûo maät (security policy server). Maùy chuû naøy baûo quaûn caùc danh saùch ñieàu khieån truy caäp vaø caùc thoâng tin khaùc lieân quan ñeán ngöôøi duøng, nhöõng thoâng tin naøy ñöôïc coång noái duøng ñeå xaùc caùc traffic naøo ñöôïc pheùp löu thoâng.
Caùc maùy chuû caáp quyeàn CA ñöôïc ñeå xaùc thöïc caùc khoùa duøng chung ñeå caáp quyeàn cho caùc ngöôøi duøng thuoäc heä thoáng.
III. Caùc giao thöùc trong VPN:
Caùc giao thöùc ñöôøng haàm vaø baûo maät:
Vieäc truyeàn döõ lieäu thoâng qua baát kyø moät phöông tieän naøo cuõng phaûi tuaân theo nhöõng giao thöùc nhaát ñònh. Ñoái vôùi VPN, vieäc baûo veä keânh giao tieáp rieâng ñöôïc thöïc hieän baèng kyõ thuaät maõ hoaù ( ví duï nhö DES hoaëc 3DES) thoâng qua caùc giao thöùc baûo maät. Vieäc maõ hoaù coù theå ñöôïc thöïc hieän taïi caùc taàng khaùc nhau trong kieán truùc OSI.
Boä giao thöùc IP Security (IPSec):
Muïch ñích cuûa boä giao thöùc IPSec laø ñaûm baûo tính bí maât, toaøn veïn vaø xaùc thöïc cuûa thoâng tin treân neàn giao thöùc Internet (IP). Boä giao thöùc IPSec söû duïng keát hôïp moät soá giao thöùc maõ hoaù maïnh coù khaû naêng giaûi quyeát caùc vaán ñeà baûo maät trong caùc maïng truyeàn thoâng döïa treân neàn IP bao goàm:
Internet Key Exchange (IKE): cung caáp moät phöông thöùc trao ñoåi khoùa an toaøn giöõa caùc ñoái taùc. Ñeå laøm vieäc ñoù giao thöùc IKE hoã trôï caùc giaûi thuaät maõ hoaù 3DES, giaûi thuaät chia Tiger, giaûi thuaät chöõ kyù ñieän töû RSA, giaûi thuaät xaùc thöïc MD5….
Encapsulating Security Payload (ESP): söû duïng caùc kyõ thuaät maõ hoaù maïnh (RC5, 3DES, Blowfish…) ñeå ñoùng goùi thoâng tin ñeå sau ñoù chæ coù ngöôøi nhaän thoâng tin coù khoùa bí maät môùi ñoïc ñöôïc. Ngoaøi ra ESP coøn cung caáp khaû naêng che giaáu thoâng tin veà ñòa chæ IP cuûa ngöôøi göûi vaø ngöôøi nhaän.
Authentication Header (AH): giao thöùc naøy gaén caùc döõ lieäu trong caùc goùi (packet) vôùi chöõ kyù ñieän töû cho pheùp ngöôøi nhaän kieåm tra danh tính ngöôøi göûi cuõng nhö tính toaøn veïn cuûa thoâng tin.
IPSec hieän ñang trôû thaønh moät phöông tieän baûo maät giao tieáp chuaån cho caùc nhaø cung caáp.
Giao thöùc PPTP vaø giao thöùc L2TP:
Ngoaøi giao thöùc IPSec, ngöôøi duøng coø coù theå söû duïng 2 giao thöùc khaùc laø PPTP (Point-to-Point Tunneling protocol) vaø L2TP (Layer 2 Tunneling Protocol). Caû hai giao thöùc naø._.