VPN (Virtual Private Networks) là giải pháp truy nhập từ xa (Remote Access) dựa trên nền tảng mạng Internet công cộng. Công ty ITTI xin giới thiệu giải pháp VPN. Đây là một giải pháp kinh tế, có tính bảo mật cao, một giải pháp của tương lai.

 

1. Sự cần thiết, mục đích và lợi ích của công nghệ VPN

 

1.1 Giới thiệu về VPN

-       Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng riêng ảo, cho phép bạn mở rộng phạm vi mạng nội bộ (LAN) bằng cách sử dụng lợi thế của mạng Internet.  Kỹ thuật VPN cho phép bạn kết nối với một máy chủ nằm xa hàng ngàn dặm với mạng nội bộ của công ty (LAN  - Local Area Network) của bạn và làm cho nó trở thành một điểm truy cập (Node) hay một PC nữa trong mạng LAN và trở thành 1 mạng diện rộng (WAN).  Một đặc điểm nữa của VPN là sự kết nối giữa máy trạm và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.

-       Các hệ điều hành Windows 2000 Server, Windows 2003 Server cho phép bạn thiết lập VPN server bằng cách sử dụng lợi thế có sẵn trong dịch vụ cho phép truy cập từ xa RRAS (Remote Routing Access Service).  Sau khi thiết lập một máy chủ (Server) thành một máy chủ đón nhận kết nối từ xa (VPN Server) thì các máy trạm (Clients) có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ (mạng LAN) như là đang kết nối trực tiếp với mạng đó.

-       Dịch vụ kết nối từ xa thông qua dịch vụ VPN Client tới máy chủ sẽ đảm bảo truy cập tới thông tin trong mạng nội bộ một cách an toàn bởi giao thức mã hóa và đào đường hầm trên nền tảng mạng Internet, nhằm mục đích tạo một mạng riêng ảo trên nền mạng Internet để có thể trao đổi dữ liệu, khai thác các dịch vụ CSDL trên mạng

1.2 Mục đích

-     Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng.

-       Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN

Site-to-Site kết nối hai văn phòng  tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.

-       Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

-       Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa

-       Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …

-       Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.

1.3 Lợi ích của công nghệ VPN

-       Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet.

-       Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường (giảm từ 60%- 80% chi phí cho các máy trạm truy cập từ xa).

-       Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet mà bạn xử dụng (Hiện nay đường truyền ADSL tại Việt nam đã đủ cung cấp băng thông cho khái thác dịch vụ như CSDL Kế toán, công văn, công việc, bán hàng, mua hàng, quản lý thông tin trong doanh nghiệp thông qua hệ thống làm việc từ xa – VPN)

-       Số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn, không hạn chế số lượng, tùy thuộc vào nhu cầu khai thác dữ liệu sẽ có các mô hình VPN cụ thể phù hợp với loại hình kinh doanh của doanh nghiệp (VPN Client hoặc Site to site / truy cập từ các máy trạm vào văn phòng công ty hoặc truy cập từ hệ thống mạng văn phòng này sang hệ thống mạng văn phòng khác tạo thành 1 hệ thống mạng thống nhất)

-       Đảm bảo khả năng bảo mật cao với các cơ chế mã hoá trên nền tảng mạng riêng ảo (mã hóa, xác thực truy cập, xác nhận truy cập và bảo mật hệ thống)

-       Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập và hệ thống mạng riêng ảo trong mạng nội bộ (Cung cấp thông tin các Acccont để xác thực truy cập).

2. Tính năng của giải pháp VPN

2.1 Mô hình chung

-          Mô hình chung: Mô hình mạng riêng ảo sử dụng đường kết nối Internet để tạo ra một đường hầm ảo trao đổi thông tin từ mạng từ xa kết nối thành 1 mạng thống nhất.

-           Mô hình kết   nối VPN đơn:  Mô hình VPN kết nối từ các máy trạm ở xa vào mạng LAN của doanh nghiệp:

-           Mô hình site to site: VPN kết nối giữa 02 mạng nội bộ từ xa với nhau (LAN – LAN):

2.2 Yêu cầu giải pháp

a. Phần cứng

-       Một modem ADSL hỗ trợ dịch vụ Virtual Server (Dịch vụ máy chủ ảo)

-       Cần có một đường truyền ADSL tốc độ cao (dịch vụ ADSL với địa chỉ IP tĩnh là tốt nhất) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.

-       01 máy chủ cài đặt Firewall cung cấp các kết nối VPN làm máy chủ VPN (VPN Server) , có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL để kết nối với bên ngoài (Internet).

-       Máy chủ cung cấp dịch vụ tốt nhất chạy ứng dụng trên nền tảng Domain Controler của hãng Microsoft để đảm bảo an toàn, dễ quản trị khi chia sẻ dữ liệu và chia sẻ các dịch

vụ trong mạng LAN (Dịch vụ File, Email nội bộ, Email Internet, Phần mềm Nghiệp vụ: Kế toán, quản lý công văn công việc, nhân sự tiền lương, chăm sóc khách hàng, …)

b. Phần mềm

-       Firewall Software: Firewall mềm chạy trên nền tảng applicant. Là Firewall bảo vệ hện thống mạng bên trong, chứng thực các kết nối từ bên ngoài vào, mã hóa dữ liệu khi truyền ra ngoài theo kênh VPN. Có một quy tắc được áp đặt trên hệ thống bảo mật (Firewall) cho phép thông tin được truyền qua hệ thống bảo mật (Firewall), sau đó những thông tin này sẽ được chuyển (Pass) qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị hệ thống bảo mật (Firewall) chặn lại.

2.3 Bảo mật, an toàn thông tin

-       Xác thực truy cập (User Authentication): Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ và được phép Kết nối và truy cập hệ thống truy cập từ xa (VPN Server).

-       Quản lý phân cấp địa chỉ (Address Management): Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi đăng nhập vào hệ thống VPN và khai thác các tài nguyên trong mạng nội bộ (LAN) tạo thành mạng diện rộng (WAN).

-       Mã hóa dữ liệu (Data Encryption): Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

-       Quản lý cung cấp khóa (Key Management): Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

-       Hệ thống bảo mật (Firewall):  sẽ đáp ứng đựoc các cơ chế bảo mật đề ra:   IPSec, 3Des, Client Policy,  RADIUS, LDAP theo các tiêu chuẩn bảo mật và mã hóa của thế giới. Tại phía người truy cập sẽ được đảm bảo an ninh với các cơ chế đóng gói và mã hoá của ứng dụng VPN (VPN Client Sofware).

-       Chống thất thoát dữ liệu do người dùng truyền ra ngoài thông qua các cơ chế chia sẻ file ngang hàng (P2P), chat (Yahoo, Sky, MSM…) cũng như các phương thức truyền file khác qua mạng Internet.

3. Dự trù giải pháp

-       Đường truyền dự phòng cho hệ thống Firewall, VPN: được cung cấp bởi một ISP khác, có IP tĩnh. Khi có sự cố sẽ chuyển qua đường dự phòng chạy. Trong trường hợp

bình thướng thì đường dự phòng đóng vai trò là đường Internet để tăng băng thông cho đường truyền chính.

-      Hệ thống phần cứng chi Firewall cần nâng cấp mạnh hơn sau một thời gian sữ dụng để đáp ứng nhu cầu ngày càng cao của Doanh Nghiệp.

4. Kết luận

-       Với công nghệ thông tin phát triển như hiện nay áp dụng  các giảp pháp công nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh nghiệp, giúp quản lý các văn phòng một cách có hiệu qủa.

-       Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn về mạng Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như mạng Internet đang ngày càng phát triển  mạnh ở nước ta như  hiện nay.

-       Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong quá trình khai thác đó, nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai thác thông tin nhanh chóng trong thời đại CNTT bùng nổ và hạ tầng CNTT tại Việt nam ngày càng mạnh. Nó sẽ là nền tảng để cho các dịch vụ lớp trên khai thác triệt để không giới hạn về không gian địa lý, thời gian và tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh trong doanh nghiệp mình.

Mạng riêng ảo (Vitual Private Network - VPN) dựa trên công nghệ MPLS mới xuất hiện ở Việt Nam là giải pháp hứa hẹn nhiều lợi ích cho DN ứng dụng.

Mạng riêng ảo (Vitual Private Network - VPN) dựa trên công nghệ MPLS mới xuất hiện ở Việt Nam là giải pháp hứa hẹn nhiều lợi ích cho DN ứng dụng.

Lợi ích của MPLS với DN/TC

Để một công ty đạt được các mục tiêu kinh doanh, hạ tầng mạng riêng phải được tỏa rộng theo mọi hướng. Xét về khả năng hỗ trợ VPN, các hạ tầng mạng riêng ảo truyền thống dựa trên các công nghệ cũ như lease line, X25, ATM không thể đáp ứng yêu cầu của các khách hàng. Sự xuất hiện của MPLS sẽ giúp xây dựng được một mạng mềm dẻo và đa

dịch vụ, có khả năng tích hợp các dịch vụ của Intranet, Extranet, Internet và hỗ trợ mô hình VPN đa dịch vụ. Với mạng sử dụng MPLS, rất nhiều dịch vụ chất lượng cao được cung cấp như: 

1. Tải tin cho các mạng số liệu, Internet và thoại. Lưu lượng thoại được chuyển dần sang mạng trục MPLS quốc gia. Mạng này sẽ thay thế dần mạng trục truyền thống đang hoạt động.

2. Cung cấp dịch vụ truy nhập Internet tốc độ cao tại một số địa phương trọng điểm trên toàn quốc. Bước đầu hình thành mạng trục quốc gia trên cơ sở công nghệ gói.

3. Cung cấp dịch vụ truyền số liệu tốc độ cao cho các doanh nghiệp/ tổ chức (DN/TC) như ngân hàng, các hãng thông tấn báo chí.

4. Cung cấp dịch vụ VPN cho các công ty xuyên quốc gia và các DN/TC lớn. Đây đang được coi như dịch vụ quan trọng nhất tác động đến việc thay đổi cơ cấu kinh doanh và tăng khả năng cạnh tranh của các nhà khai thác. 

5. Cung cấp dịch vụ Video.

                                                           Hình 1: Mạng MPLS cho dịch vụ tài chính

Mô hình thực tế ứng dụng MPLS trong mạng riêng

Dưới đây là hai ví dụ triển khai VPN dựa trên MPLS. Ví dụ thứ nhất, một tổ chức tài chính vận hành mạng riêng kết nối với một số đơn vị trực thuộc. Những đơn vị này đều yêu cầu kết nối riêng về trung tâm, nhưng thỉnh thoảng mới kết nối. Họ lại có nhu cầu kết nối rất khác nhau, có đơn vị chỉ yêu cầu dịch vụ email, trong khi đơn vị khác lại cần truy cập các ứng dụng tương tác thời gian thực... (như các cuộc gọi VoIP). Giải pháp cho loại này là một mạng MPLS dùng công nghệ VPN/MPLS lớp 3 như trong hình 1.

Ví dụ thứ hai, DN sở hữu và vận hành một mạng riêng để phục vụ cho các khối phòng ban hay văn phòng ở xa kết nối tới một số ứng dụng quan trọng. DN này muốn nâng cấp sự hỗ trợ dần lên theo cách sau: 

• Phân tách logic lưu lượng phòng ban - thông qua mạng nội bộ ảo VLANs chia tách lưu lượng này trên hạ tầng mạng LAN và duy trì sự chia tách này trên mạng WAN với tính bảo mật cao. 

• Triển khai VoIP tới tất cả phòng ban và chi nhánh.

• Truy nhập vào các ứng dụng tương tác thời gian thực. 

Giải pháp đưa ra là triển khai mô hình MPLS theo công nghệ VPN/MPLS lớp 3 (hình 2). Các lưu lượng thoại và dữ liệu trong mạng LAN ảo sẽ được dẫn tới các VRF (bộ định tuyến chuyển tiếp) tại các bộ định tuyến văn phòng chi nhánh và khi ấy chuyển tải thông qua mạng WAN đến các vị trí ở xa khác.

 

 Mạng riêng ảo (VPN) - Virtual Private Network

 

 

VPN là một mạng riêng của khách hàng dựa trên cơ sở hạ tầng mạng công cộng (Internet). VPN bùng nổ vào năm 1997 và ngày càng có nhiều nhà cung cấp đưa ra những giải pháp riêng về VPN cho khách hàng của họ. VPN cho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của DN và đối tác sử dụng chung một mạng công cộng. Các loại VPN:• VPN truy cập từ xa ( Remote Access VPN):cung cấp truy cập tin cậy cho những người dùng từ xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới của DN.• VPN nội bộ (Intranet VPN): cho phép các văn phòng chi nhánh được liên kết một cách bảo mật đến trụ sở chính của DN• VPN mở rộng (Extranet VPN): cho phép các khách hàng và các đối tác có thể truy cập một cách bảo mật đến Intranet của DN.

 

Hình 2: Các kết nối phòng ban ở xa và phòng ban bộ phận

MPLS VPN tại Việt Nam

MPLS hiện đang được xúc tiến xây dựng trong mạng truyền tải của Tổng Công Ty Bưu Chính Viễn Thông (VNPT). Với dự án VoIP đang triển khai, VNPT đã thiết lập mạng trục MPLS với 3 LSR lõi. Các LSR biên sẽ được tiếp tục đầu tư và mở rộng tại các địa điểm có nhu cầu lớn như Hải Phòng, Quảng Ninh (phía Bắc), Đà Nẵng, Khánh Hòa (miền Trung) và Bình Dương, Đồng Nai, Bà Rịa - Vũng Tàu (miền Nam). Bên cạnh đó, FPT Telecom, Viễn Thông Quân Đội, Điện Lực cũng đã vào cuộc tạo ra môi trường cạnh tranh với chất lượng dịch vụ cao, giá rẻ. 

Hiện tại, không kể các DN và VP đại diện nước ngoài, có rất nhiều DN trong nước ở lĩnh vực tài chính, bảo hiểm, ngân hàng sử dụng dịch vụ này (tổng công ty Bảo Hiểm Bảo Việt; ngân hàng Đông Á...). Bên cạnh đó các tổ chức nhà nước như Bộ Tài Chính, Hải Quan, Kho Bạc, Thuế đã liên kết với nhau bằng VPN/MPLS. Mạng của tổ chức Đảng, các văn phòng tỉnh ủy cũng đang thử nghiệm công nghệ này.

 Cơ bản về MPLS    

 

MPLS là thuật ngữ viết tắt của Multi-Protocol Label Switching (chuyển mạch nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch ATM (Asynchronous Transfer Mode) thành các LSR (label-switching router-Bộ định tuyến chuyển mạch nhãn). LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Công nghệ MPLS là một dạng phiên bản của công nghệ IPoA (IP over ATM) truyền thống, nên MPLS có cả ưu điểm của ATM (tốc độ cao, QoS và điều khiển luồng) và của IP (độ mềm dẻo và khả năng mở rộng). Giải quyết được nhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được cho là công nghệ mạng trục IP lý tưởng.

   

Kết luận

Như vậy, với VPN dựa trên MPLS, các DN/TC hoàn toàn có thể đạt được các mục tiêu của mình như: điều khiển nhiều hơn trên hạ tầng mạng, cung cấp đa lớp dịch vụ tới người sử dụng, đảm bảo hiệu năng đáp ứng theo yêu cầu của ứng dụng, hỗ trợ hội tụ đa công nghệ với nhiều kiểu lưu lượng trên cùng một mạng đơn. Tuy nhiên, khi chọn lựa nhà cung cấp phần cứng và nhà triển khai dịch vụ, DN/TC cần căn cứ trên nhiều góc độ và tiêu chí đánh giá khác nhau. Ví dụ có thể căn cứ các tài liệu đánh giá hiệu năng sản phẩm của các đơn vị truyền thông, bức tranh phát triển của nhà cung cấp đó về chiều rộng và chiều sâu... Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN theo công nghệ mới, khắc phục được nhiều vấn đề mà các công nghệ ra đời trước nó chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong triển khai hạ tầng thông tin DN.

 MINH HỌA SỰ ĐA DẠNG CỦA YÊU CẦU VÀ CHẤT LƯỢNG THEO 3 NHÓM ĐỐI TƯỢNG

 

 

Tổ chức kinh doanh lớn, với các văn phòng ở cách xa nhau như các công ty đa quốc gia:• Bảo mật thông tin cao và có các chính sách về truyền thông. • Truy nhập từ xa.• Đảm bảo cao về chất lượng truyền dữ liệu• Mạng Extranet cho các đối tác

   

Giữa các cửa hàng bán lẻ, có đặc thù là sự phân tán rộng:

• Yêu cầu bảo mật thông tin truyền giữa các bên.• Không yêu cầu cao về cam kết chất lượng dịch vụ.• Có thể vươn tới toàn cầu.

   

Các công ty quy mô vừa và nhỏ, có các đơn vị thành viên gần nhau về địa lý:• Yêu cầu bảo mật trong truyền thông.• Không yêu cầu cao về cam kết chất lượng dịch vụ.• Không yêu cầu khả năng vươn tới toàn cầu.

VPN là gì?

Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa. Bài viết này trình bày giải pháp truy cập từ xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo an toàn thông tin.

VPN

VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.

Các tình huống thông dụng của VPN:

- Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty.

- Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.

- Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. 

Để triển khai một hệ thống VPN chúng ta cần có những thành phần cơ bản sau đây:

- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

IPSEC (IP SECURITY PROTOCOL)

Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP. 

Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật. Có nhiều giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu quả và tiết kiệm chi phí trong quá trình triển khai.

Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau:

- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin chính không được bảo vệ

- ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, ngăn chặn các trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền. Phương thức này rất hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải kết hợp cả 2 giao thức AH và ESP.

IPSec/VPN trên Windows Server 2003

Chúng ta tham khảo tình huống thực tế của công ty Green Lizard Books, một công ty chuyên xuất bản và phân phối văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu. 

Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.

Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1 card mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài (Internet).

Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).

Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa trên IPSec ESP.

Ở đây tôi chỉ trình bày những buớc chính trong quá trình triển khai, chi tiết cài đặt và cấu hình các bạn có thể tham khảo các tập tin video (.avi) tải về ở website www.pcworld.com.vn.

Bước 1: Tạo domain controler 

(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)

Bước 2: Đưa SRV-1 (VPN Server) vào domain

(join_srv-1_server_to_domain.avi)

Bước 3: cài đặt VPN Server trên SRV-1

(install_vpn_server_on_srv-1.avi)

Bước 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server

(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)

Bước 5: Kết nối VPN Client Client-1 vào domain

(join-vpn-client-1-to-greenlizardbooks_domain.avi)

Bước 6: Yêu cầu cấp phát chứng chỉ điện tử (certificate) cho VPN Server và Client dùng để chứng thực và mã hóa.

(request_certificate_for_vpn_server_and_client.avi)

Bước 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC 

(establish_L2TP_VPN_connection.avi)

KẾT LUẬN

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Giải pháp VPN

"mềm" giới thiệu trong bài viết này thích hợp cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, có thể phải cần đến giải pháp VPN phần cứng. 

  TUNNELING  

  Tunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng Internet) để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền sau khi được chia nhỏ thành những frame hay packet (gói tin) theo các giao thức truyền thông sẽ được bọc thêm 1 lớp header chứa những thông tin định tuyến giúp các packet có thể truyền qua các hệ thống mạng trung gian theo những đường riêng (tunnel). Khi packet được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối tunnel, máy client và server phải sử dụng chung một giao thức (tunnel protocol).

- PPTP (Point-to-Point Tunneling Protocol): PPTP có thể sử dụng cho Remote Access hay Site-to-Site VPN. Những thuận lợi khi áp dụng PPTP cho VPN là không yêu cầu certificate cho quá trình chứng thực và client có thể đặt phía sau NAT Router.

- L2TP ( Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2 Forwading (L2F, giao thức được phát triển bởi Cisco System). So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn. 

Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload (ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho phép chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router. Trong trường hợp này chúng ta cần phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T.