công nghệ VPN

[111985]

Bạn cần điều gì để biết về công nghệ VPN - 15/8/2006 10h:20

Chúng làm việc như thế nào, chúng có thể làm gì cho bạn và các vấn đề cần chú ý.

Virtual Private Network (VPN) - Mạng riêng ảo đã mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào. Các hãng thương mại có thể dùng VPNs để cung cấp quyền truy cập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty.

VPNs có thể sử dụng một hoặc cả hai kỹ thuật: dùng các kênh thuê bao riêng của các nhà cung cấp dịch vụ (cái này gọi là một Trusted VPN) hoặc gửi các dữ liệu đã được mã hóa lên mạng Internet (cái này gọi là Secure VPN). Dùng một Secure VPN qua một Trusted VPN thì gọi là Hybrid VPN. Kết hợp cả hai loại của Secure VPN trong một cổng vào, chẳng hạn như IPsec và SSL cũng gọi là Hybrid VPN.




Trusted VPN

Qua nhiều năm, các Trusted VPN đã có sự thay đổi từ các thuê bao riêng từ các đại lý viễn thông đến các thuê bao IP riêng từ các nhà cung cấp dịch vụ Internet. Công nghệ chủ yếu của sự vận hành của Trusted VPN với mạng địa chỉ IP là các kênh ATM, mạch tiếp sóng khung, và MPLS.

ATM và bộ tiếp sóng khung hoạt động tại tầng liên kết dữ liệu, là tầng 2 trong mô hình OSI (tầng 1 là tầng vật lý, tầng 3 là tầng mạng). MPLS mô phỏng một số thuộc tính của mạng chuyển mạch và mạng chuyển gói. Nó hoạt động cùng một tầng, thường được coi là tầng “2,5” vì nó nằm ngay giữa tầng liên kết và tầng mạng. MPLS bắt đầu thay thế ATM và bộ tiếp sóng khung để thực thi Trusted VPN với lượng lớn các doanh nghiệp và nhà cung cấp dịch vụ.

Secure VPN

Secure VPN có thể dùng IPsec trong việc mã hoá. IPsec nằm trong giao thức L2TP (Layer 2 Tunneling Protocol), trong thành phần SSL (Secure Sockets Layer) 3.0 hay trong TLS (Transport Layer Security) với bộ mã hoá, L2F (Layer Two Forwarding) hay PPTP (Point-to-Point Tunneling Protocol). Chúng ta hãy xem qua các thành phần chính này.

IPsec hay IP security – là tiêu chuẩn cho sự mã hoá cũng như cho thẩm định các gói IP tại tầng mạng. IPsec có một tập hợp các giao thức mật mã với 2 mục đích: an ninh gói mạng và thay đổi các khoá mật mã. Mộ số chuyên gia an ninh như Bruce Schneier của Counterpane Internet Security, đã xem IPsec như là một giao thức cho VPNs từ cuối những năm 1990. IPsec được hỗ trợ trong Windows XP, 2000, 2003 và Vista; trong Linux 2.6 và các phiên bản sau; trong Mac OS X, Net BDS, FreeBDS và OpenBDS, trong Solari, AIX, và HP-UX, trong VxWorks. Nhiều đã cung cấp dịch vụ IPsec VPN server và IPsec VPN client.

Microsoft đã triển khai PPTP client trong tất cả các phiên bản của Windows kể từ Windows 95 OSR2 và PPTP server trong tất cả các sản phẩm máy chủ từ Windows NT 4.0. PPTP client cũng nằm trong Linux, Mac OS X, các thiết bị Palm PDA và các thiết bị Windows Mobile 2003.

PPTP rất phổ biến, nhất là trên các hệ thống của Windows. Bởi vì nó có thể dùng rộng rãi, miễn phí và dễ cài đặt. Tuy nhiên khi được triển khai bởi Microsoft, nó không phải là thành phần an toàn nhất của Secure VPN.

Schneier với “Mudge” của L0pht Heavy Industries đã tìm thấy và công bố các thiếu sót trong Microsoft PPTP vào năm 1998. Microsoft đã nhanh chóng sửa chữa các vấn đề này với MS-CHAPv2 và MPPE. Sau đó Scheier với Mudge đã công bố một bản phân tích kiểm chứng các cải tiến vào năm 1999, nhưng chỉ ra rằng an toàn của Microsoft PPTP vẫn phụ thuộc vào an toàn mật khẩu mỗi người dùng. Microsoft đã địa chỉ hoá nguồn cung cấp này bằng cách ép quy ước độ mạnh của mật khẩu vào trong hệ điều hành. Nhưng Shneier và Mudge vẫn cho rằng nên để IPsec là kẻ thừa kế Secure VPN hơn là PPTP.

L2F là giao thức được phát triển muộn hơn bởi hãng Cissco. L2TP là sự kết hợp ý tưởng của L2F và PPTP để tạo ra một giao thức tầng liên kết dữ liệu. Giao thức này cung cấp một tunnel (đường dẫn ảo), nhưng không an toàn và có sự kiểm định. L2TP có thể mang các session PPP trong tunnel. Cissco đã triển khai L2TP trong các router của nó. Có một vài bổ sung mã nguồn mở của L2TP trong Linux.

L2TP/IPsec kết hợp đường dẫn ảo của L2TP với kênh an toàn của IPsec. Nó cho phép thay đổi Internet Key Exchange dễ dàng hơn so với thuần IPsec . Microsoft đã cung cấp một bản VPN client L2TP/IPsec miễn phí cho Windows 98, ME, và NT từ năm 2002, và gắn một VPN client L2TP/IPsec cho Windows XP, 2000, 2003 và Vista. Windows server 2003 và Windows 2000 server có L2TP/IPsec server.

SSL và TLS là các giao thức cho luồng dữ liệu an toàn tại tầng 4 của mô hình OSI.. SSL 3.0 và TLS 1.0 là các bản thừa kế được dùng phổ biến với HTTP nhằm cho phép bảo vệ các đường dẫn Web an toàn, gọi là HTTPS. Tuy nhiên SSL/TLS cũng được dùng để tạo ra một đường dẫn ảo tunnel VPN. Ví dụ: OpenVPN là một gói VPN nguồn mở cho Linux, xBSD, Mac OS X, Pocket PCs và Windows 2000, XP, 2003, và Vista. Nó dùng SSL để cung cấp mã hoá cho cả dữ liệu và kênh điều khiển. Một vài hãng đã cung cấp SSL VPN server và client.

Lợi nhuận và sự rủi ro an ninh của VPNs