Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường truyền. Vì thế VPN - Virtural Private Network được sử dụng như một giải pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp tương đối toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên Internet. Đặc biệt phần mềm Check Point – VPN – 1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.
Trong khuôn khổ báo cáo Đề tài nghiên cứu khoa học này, nhóm em xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “ Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Check Point”
Bài báo cáo nhóm em gồm 4 chương.
- Chương 1: Nhóm em tìm hiểu về “Công nghệ Mạng riêng ảo”. Trong chương này chúng em trình bày về tính cần thiết của mạng riêng ảo, các khái niệm mạng riêng ảo, các mô hình mạng riêng ảo thông dụng, các giao thức sử dụng trong mạng riêng ảo.
- Chương 2: Nhóm em tìm hiểu về “ Giải pháp mạng riêng ảo của CheckPoint”. Trong chương này chúng em tìm hiểu về tường lửa CheckPoint, các mô hình triển khai, chức năng VPN của Check Point,
- Chương 3: “ Triển khai VPN trên Check Point ”. Trong chương này chúng em xây dựng 2 mô hình VPN Remote Access và VPN site-to-site.
- Chương 4: “Một số vấn đề an toàn của Check Point” . Trong chương này chúng em trình bày cách thử nghiệm tấn công DoS giữa các kết nối VPN.
135 trang |
Chia sẻ: tuandn | Lượt xem: 3732 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Check Point, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Mục lục
Chương 1: Công nghệ mạng riêng ảo.
1.1. Tính cần thiết của mạng riêng ảo……………………………………...
1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng…..
1.2.1. Khái niệm về mạng riêng ảo. …………………………………………..
1.2.2. Các mô hình mạng riêng ảo thông dụng………………………………….8
1.2.2.1. VPN Remote Access……………………………………………………8
1.2.2.2. VPN site – to – site………………………………………………………9
1.3. Các yêu cầu đối với VPN, ưu điểm, nhược điểm của VPN………14
1.3.1. Các yêu cầ đối với VPN ………………………………………………….14
1.3.2. Ưu nhược điểm của VPN………………………………………………15
1.4. Các giao thức sử dụng trong VPN…………………………………17
1.4.1. Giao thức đường hầm điểm điểm - PPTP……………………………18
1.4.2. Giao thức chuyển tiếp tầng 2 - L2F……………………………………32
1.4.3. Giao thức đường hầm tầng 2 – L2TP. ………………………………36
1.4.4. Giao thức IPSec. …………………………………………………………46
1.4.5. Giao thức SSL. …………………………………………………………58
1.4.6. Giao thức MPLS………………………………………………………59
Chương 2: Giải pháp mạng riêng ảo của Check Point.
2.1. Giới thiệu về tường lửa Check Point………………………………64
2.1.1. Kiến trúc tường lửa Check Point…………………………………64
2.1.2. Các mô hình triển khai…………………………………………….68
2.2. Chức năng VPN của tường lửa Check Point……………………….70
2.2.1. Cơ bản về chức năng VPN. ……………………………………….70
2.2.1.1. Các thành phần VPN…………………………………………….70
2.2.1.2. Các thuật ngữ, khái niệm đặc trưng… ........................................71
2.2.1.3. Site to site VPN…………………………………………………73
2.2.1.4. VPN Communities( cộng đồng VPN )………………………….73
2.2.1.5. Remote Access VPN……………………………………………74
2.2.2. Giao thức trao đổi khóa Internet – IKE(Internet Key Exchange)..74
2.2.2.1. IKE Phase1………………………………………………………75
2.2.2.2.IKE Phase 2………………………………………………………79
2.2.2.3. Các phương pháp mã hóa và đảm bảo tính toàn vẹn………….80
2.2.2.4. Các chế độ trong Phase 1………………………………………..81
2.2.2.5. Bảo vệ lại tấn công DoS IKE…………………………………….82
2.2.3. Cơ sở hạ tầng khóa công khai PKI……………………………….85
Chương 3: Triển khai VPN trên Check Point.
3.1 Mô hình VPN Remote Access……………………………………….86
3.1.1. Mô hình……………………………………………………………………86
Các bước cấu hình…………………………………………………………...
3.1.2.1Cấu hình VPN Remote Access sử dụng xác thực Pre-share key..88
3.1.2.2. Cấu hình xác thực sử dụng certificate………………………………106
3.1.2.3 Cấu hình sử dụng tài khoản domain (ldap user ) để thực hiện kết với VPN tới gateway…………………....................................................................111
3.2. Mô hình VPN Site- to- Site……………………………………………….116
3.2.1. Mô hình ………………………………………………………………….116
3.2.2. Các bước cấu hình………………………………………………...117
Chương 4: Một số vấn đề an toàn của Check Point
4.1.Xung đột địa chỉ IP trong cấu hình VPN-Tunnel…….………………….129
4.1.1. Mô hình…………………………………………………………………..129
4.1.2. Các bước thực hiện tấn công DoS như sau………………………….... 131
4.1.3. Giải pháp. ……………………………………………………………….131
Danh mục hình vẽ
Hình 1. Thiết lập truy cập từ xa không có VPN
Hình 2. Thiết lập VPN truy cập từ xa
Hình 3. Thiết lập Intranet sử dụng WAN
Hình 4. Thiết lập Intranet dựa trên VPN
Hình 5. Mạng Extranet truyền thống
Hình 6. Mạng Extranet dựa trên VPN
Hình 7. Vị trí của L2F, PPTP, L2TP trong mô hình OSI
Hình 8. Vị trí IPSec trong mô hình OSI
Hình 9. Thiết lập liên kết PPP và trao đổi dữ liệu
Hình 10. Định dạng của một Frame PPP điển hình
Hình 11. Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP
Hình 12. Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP
Hình 13. Truyền các gói PPTP đến Node đích
Hình 14. Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP
Hình 15. Kiểm soát PPTP trong gói dữ liệu TCP
Hình 16. Mô tả tiến trình xử lý dữ liệu PPTP đường hầm
Hình 17. Các gói tin trong kết nối PPTP
Hình 18. Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng
Hình 19. Thiết lập một đường hầm L2F giữa người dùng từ xa và Server
Hình 20 Quá trình định đường hầm dữ liệu dựa trên L2F
Hình 21. Đường hầm L2TP
Hình 22. Mô tả quá trình thiết lập đường hầm L2TP
Hình 23. Quá trình xử lý định đường hầm dữ liệu L2TP
Hình 23. Đường hầm L2TP bắt buộc
Hình 24. Thiết lâp một đường hầm L2TP bắt buộc
Hình 25 Đường hầm L2TP tự nguyện
Hình 26 Quá trình thiết lập đường hầm L2TP tự nguyện
Hình 27 Định dạng thông điệp kiểm soát L2TP
Hình 28 Vị trí của IPSec trong mô hình OSI
Hình 29. Kiến trúc bộ giao thức IPSec
Hình 30 Mô tả ba trường của một IPSec SA
Hình 31.Khuôn dạng gói tin AH
Hình 32. Gói tin IP trước và sau khi xử lý AH trong chế độ Transport
Hình 33. Khuôn dạng gói tin AH trong chế độ Tunnel.
Hình 34. Khuôn dạng ESP
Hình 35. Gói ESP trong chế độ Transport
Hình 36. Gói ESP trong chế độ Tunnel
Hình 37. Mô hình mạng MPLS
Hình 38: Kiến trúc tường lửa Check Point
Hình 39: Smart DashBoard
Hình 40: SmartView Tracker
Hình 41: SmartView Monitor
Hình 42: SmartUpdate
Hình 43: Mô hình triển khai Stand-alone
Hình 44. Mô hình triển khai Distributed
Hình 45 Hai kiểu cộng đồng VPN
Hình 46. Client từ xa tới host đằng sau gateway.
Hình 47. IKE Phase1
Hình 48. Gói tin đề xuất các thuật toán
Hình 49. Gói tin lựa chọn thuật toán
Hình 50. IKE Phase2a
Hình 51 Đường hầm VPN
Hình 52. Các thuật toán mã hóa, toàn vẹn của IKE
Hình 53. Cấu hình các tùy chọn chống IKE DoS Attack
Hình 54. Mô hình VPN Remote Access
Hình 55. Các bước cấu hình VPN Remote Access
Hình 56: Bật chức năng VPN trên tường lửa Check Point
Hình 57. Dải địa chỉ tự do hệ thống sinh ra khi bật chức năng VPN
Hình 58. Cấu hình Office Mode
Hình 59. Tạo User trên gateway
Hình 60. Định nghĩa VPN Community và Participants
Hình 61. Tạo luật kết nối VPN client- to –site
Hình 62. Bảng luật cho remote Access
Hình 63. Địa chỉ IP của Remote User
Hình 64. Cài đặt SecureClient
Hình 65. Tạo Site trên máy Remote User
Hình 66: Thực hiện kết nối từ máy client
Hình 67. Test kết quả sau khi kết nối VPN remote access
Hình 68. Khởi tạo chứng chỉ cho user
Hình 69. Kết nối VPN Remote Access sử dụng chứng chỉ
Hình 70. Tạo tài khoản ldap trên gateway
Hình 71. Kết nối bằng tài khoản của ldap server
Hình 72. Cấu hình SSL clients
Hình 73. Kết nối SSL VPN
Hình 74. Mô hình VPN Site-to-Site
Hình 75. Thiết lập VPN domain
Hình 76. Đưa tường lửa vào VPN Community
Hình 77. Tạo mạng đối tác
Hình 78. Tạo tường lửa đối tác
Hình 79. Cấu hình cộng đồng VPN MyIntranet
Hình 80. Cấu hình Presharekey giữa 2 gateway
Hình 81. Tạo luật cho VPN site-to-site
Hình 82. Kiểm tra tunnle được tạo bằng SmartViewMonitor
Hình 83. Test kết quả VPN site-to-site
Hình 84. Mô hình tấn công DoS.
Danh mục các từ viết tắt
Giới thiệu
Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường truyền. Vì thế VPN - Virtural Private Network được sử dụng như một giải pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp tương đối toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên Internet. Đặc biệt phần mềm Check Point – VPN – 1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.
Trong khuôn khổ báo cáo Đề tài nghiên cứu khoa học này, nhóm em xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “ Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Check Point”
Bài báo cáo nhóm em gồm 4 chương.
- Chương 1: Nhóm em tìm hiểu về “Công nghệ Mạng riêng ảo”. Trong chương này chúng em trình bày về tính cần thiết của mạng riêng ảo, các khái niệm mạng riêng ảo, các mô hình mạng riêng ảo thông dụng, các giao thức sử dụng trong mạng riêng ảo.
- Chương 2: Nhóm em tìm hiểu về “ Giải pháp mạng riêng ảo của CheckPoint”. Trong chương này chúng em tìm hiểu về tường lửa CheckPoint, các mô hình triển khai, chức năng VPN của Check Point,
- Chương 3: “ Triển khai VPN trên Check Point ”. Trong chương này chúng em xây dựng 2 mô hình VPN Remote Access và VPN site-to-site.
- Chương 4: “Một số vấn đề an toàn của Check Point” . Trong chương này chúng em trình bày cách thử nghiệm tấn công DoS giữa các kết nối VPN.
Trong quá trình thực hiện đề tài này ngoài những cố gắng của bản thân chúng em đã nhận được sự giúp đỡ, động viên rất lớn từ các thầy cô và các bạn trong khoa, đặc biệt là thầy Hoàng Sỹ Tương. Cảm ơn thầy đã giúp đỡ tận tình để chúng em hoàn thành đề tài này.Em xin gửi lời cảm ơn đến các thầy,các cô trong Phòng Nghiên Cứu Khoa Học HV KT Mật Mã đã tạo điều kiện cho em được tìm hiểu, nghiên cứu nhằm nâng cao kiến thức về đề tài được giao. Do thời gian nghiên cứu đề tài chưa nhiều, kiến thức còn hạn chế , nên không thể tránh khỏi những sai sót, kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô trong Phòng Nghiên Cứu Khoa Học, các thầy cô trong các Khoa. Nhóm em xin chân thành cảm ơn !
Nhóm nghiên cứu khoa học
Chương 1: Công nghệ mạng riêng ảo.
1.1. Tính cần thiết của mạng riêng ảo.
“ Tại sao chúng ta sử dụng VPN ? ” .
Ngày nay Internet phát triển mạnh mẽ từ mô hình đến công nghệ để giải quyết nhu cầu trao đổi thông tin của con người trên toàn thế giới. Tuy nhiên nhu cầu con người không chỉ dừng ở mức độ đó. Đối với nhân viên của một cơ quan, họ muốn đi đâu cũng có thể làm việc như ngồi tại công ty mình, có thể truy nhập vào tài nguyên nội bộ của công ty. Đối với các nhà quản trị muốn quản trị mạng của công ty mọi lúc mọi nơi…-> đây là nhu cầu rất thiết thực, cần phải có giải pháp để đáp ứng nhu cầu đó.
Một công ty có nhiều chi nhánh ở nhiều nơi, và có nhiều đối tác -> họ muốn kết nối chi các chi nhánh, kết nối với đối tác bằng một đường kết nối riêng. Nếu đi thuê riêng các đường lease line thì chi phí rất đắt.
Hơn nữa là vấn đề bảo mật dữ liệu truyền qua mạng, tiềm ẩn các nguy cơ: bị lộ thông tin quan trọng, bị thay đổi thông tin, bị giả mạo thông tin…
Cần có một giải pháp, để giải quyết các yêu cầu trên? Công nghệ mạng riêng ảo (VPN- Virtual Private Network ) sử dụng cơ sở hạ tầng có sẵn Internet sinh ra đã giải quyết được các vấn đề trên. VPN đã giải quyết nhu cầu của người dùng di động, các nhà quản trị từ xa với mô hình Remote Access. Giải quyết yêu cầu kết nối giữa các chi nhánh, với đối tác của công ty mà không phải thuê đường lease line mà lại an toàn. Đặc biệt quan trọng là nó giải quyết được đòi hỏi về bảo mật
1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng.
1.2.1. Khái niệm về mạng riêng ảo.
Mạng riêng ảo - Virtual Private Network, viết tắt là VPN. Có nhiều định nghĩa khác nhau về Mạng riêng ảo.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet.
Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng.
Nói một cách khác VPN là mạng dữ liệu mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức đường hầm và các phương thức an toàn.
VPN cho phép thiết lập các kết nối riêng với người dùng ở xa, các nhánh văn phòng và các đối tác sử dụng chung một mạng công cộng. Một mạng riêng ảo còn cho phép chia sẻ các nguồn dữ liệu chung được bảo vệ, nó sử dụng việc mã hóa dữ liệu để ngăn ngừa người dùng không được phép truy nhập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi
Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức và trong một giao thức khác. Xét về ngữ cảnh , VPN định đường hầm che dấu giao thức lớp mạng nguyên thủy bằng cách mã hóa dữ liệu và chứa gói đã mã hóa vào trong một một gói IP khác , sau đó sẽ được chuyển đi một cách bảo mật qua mạng công cộng. Tại bên nhận, sau khi nhận gói này sẽ được phân phối đến thiết bị truy cập thích hợp, chẳng hạn một bộ định tuyến nào đó.
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ( QoS). Thỏa thuận này được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng. Ngoài ra, các thỏa thuận có thể kèm theo một sự chỉ định cho giới hạn của băng thông hiệu dụng cho mỗi người dùng.
Qua đó có thể định nghĩa VPN một cách ngắn gọn theo công thức sau
VPN= Định đường hầm + Bảo mật + Các thỏa thuận QoS
1.2.2. Các mô hình mạng riêng ảo thông dụng
1.2.2.1. VPN Remote Access
VPN truy cập từ xa cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.
VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty.
Theo mô hình mạng truyền thống(khi chưa thực hiện giải pháp VPN remote access ) để người dùng có thể truy cập từ xa yêu cầu:
+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa.
+ Kết nối Dialup tới mạng trung tâm
+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa
Hình 1. Thiết lập truy cập từ xa không có VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet.
Hình 2. Thiết lập VPN truy cập từ xa
1.2.2.2. VPN site – to – site
a. VPN cục bộ( Intranet VPN ).
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống.
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó.
Theo mô hình mạng truyền thống (không sử dụng công nghệ VPN), mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian.
Hình 3. Thiết lập Intranet sử dụng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn thì chi phí càng cao.
Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet.
Hình 4. Thiết lập Intranet dựa trên VPN
Ưu điểm của việc thiếp lập dựa trên VPN là:
- Loại trừ được các Router từ đường WAN xương sống.
- Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới.
- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet.
Tuy nhiên cũng có một số nhược điểm:
- Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng.
- Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.
- Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.
- Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo
b. Mạng riêng ảo mở rộng (Extranet VPN)
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống.
Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp
Theo cách thức truyền thống
Hình 5. Mạng Extranet truyền thống
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng.
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể.
Hình 6. Mạng Extranet dựa trên VPN
Ưu điểm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống.
+ Dễ thực thi, duy trì và dễ thay đổi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn
+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia.
+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm
Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”
1.3. Các yêu cầu đối với VPN, ưu điểm, nhược điểm của VPN
1.3.1. Các yêu cầu đối với VPN
Yêu cầu cơ bản đối với mạng riêng ảo là: Bảo mật, chất lượng dịch vụ,( QoS), tính sẵn sàng và tin cậy, khả năng tương thích, khả năng quản trị
a. Bảo mật.
Mạng riêng ảo phải đảm bảo tính bảo mật cao và toàn diện. Dữ liệu và tài