Đồ án tốt nghiệp Đại học Chương 5. Quản lý mạng
VPN
CHƯƠNG 5
QUẢN LÝ MẠNG VPN
Đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạng lớn là
vấn đề đóng vai trò quan trọng. Người quản trị mạng phải nắm bắt được đầy đử
và thường xuyên các thông tin về cấu hình, sự cố và tất cả số liệu liên quan đến
việc sử dụng mạng.
Việc quản lý mạng VPN bao gồm: quản lý bảo mật, quản lý địa chỉ IP và
quản lý chất lượng mạng.
5.1 Quản lý bảo mật (mật mã và xác thực)
Quản lý bảo mật không chỉ bao hàm việc xác thực những người dùng từ
những vị trí khác nhau, điều khiển quyền truy cập mà còn có quản lý khoá, liên
kết với các thiết bị VPN. Trong phần này ta sẽ thảo luận các vấn đề về bảo mật
các máy tính, các mạng và dữ liệu.
Trước tiên là một số vấn đề tổng quát về chính sách bảo mật thống nhất,
những vấn đề liên quan đến bảo mật xung quanh việc quản lý VPN. Sau đó,
chúng ta sẽ tập trung vào chọn lọc một số giải thuật mã hoá và các chiều dài
khoá, phân phối các khoá và liên kết thông tin trong tập liên kết bảo mật IPSec,
cũng như xác thực người dùng và điều khiển truy cập. IPSec đưa ra các chính
sách bảo mật dữ liệu với bất kỳ giao thức nào và có nhiều lựa chọn nên việc
quản lý bảo mật cho VPN sẽ tập trung trên nền IPSec, có bao hàm PPTP và
L2TP ở những vị trí thích hợp.
5.1.1 Các chính sách bảo mật thống nhất
Một khung làm việc bảo mật cho một tổ chức bao gồm các yếu tố: xác
thực, tính bảo mật, tính nguyên vẹn, cấp quyền, tính sẵn sàng, quản lý và độ tin
cậy. Một cơ chế bảo mật thống nhất cần thực hiện:
- Xem xét những gì ta đang bảo mật.
- Xem xét những gì ta cần bảo mật từ đâu.
- Xác định các nguy cơ có thể.
- Tiến hành đánh giá những việc bảo mật trong phương pháp xác thực giá.

tin cậy được cung cấp bảo mật ?
- Cần bổ sung những gì (mã hoá, xác thực..) để có thể hỗ trợ?
- Ngân sách để thực hiện việc bảo mật?
Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng các biến cố, sự
cố phức tạp xảy ra.
5.1.2 Các phương thức mã hoá
Khi xây dựng một mạng VPN thì tuỳ theo mức độ yêu cầu mà ta có thể thiết
lập các mức độ bảo mật dữ liệu khác nhau.
Đoàn Thanh Binh, D01VT
96
Đồ án tốt nghiệp Đại học Chương 5. Quản lý mạng
VPN
a) Các giao thức và giải thuật cho VPN
Các giao thức IPSec, PPTP và L2TP đưa ra các giải thuật cho phép để mã
hoá dữ liệu.
Giao thức PPTP có thể sử dụng PPP, DES, 3DES để mã hoá dữ liệu.
Microsoft đưa ra một phương thức mã hoá gọi là mã hoá điểm-điểm MPPE
(Microsoft Point-to-Point Encryption) để sử dụng với đường hầm PPTP. MPPE
sử dụng giải thuật RC4 với các khoá 40 bit hoặc 128 bit.
Giao thức L2TP có thể sử dụng PPP để mã hoá dữ liệu, tuy nhiên trong
L2TP, thường sử dụng IPSec để mã hoá dữ liệu.
Trong IPSec, giải thuật mã hoá được mặc định để sử dụng trong ESP là
DES và 3DES.
b) Chiều dài khoá
Cần phải xác định độ nhạy của dữ liệu để có thể tính toán nó nhạy bao lâu
và nó sẽ được bảo mật trong bao lâu. Khi tính được, ta có thể chọn một giải
thuật mã hoá và chiều dài khoá để đảm bảo thời gian phá lâu hơn nhiều thời gian
nhạy của dữ liệu.
Bảng: là thông tin tóm lược của Brude Schnier (Thực hành mã hoá_Applied
Cryptography) đưa ra thời gian và phí tổn cần thiết để phá khoá.

10
16
năm
10
15
năm
10
13
năm
Bảng 3: Đối chiếu thồi gian và phí tổn để phá các khoá
5.1.3 Quản lý khoá cho các cổng nối
Một số khoá thường được yêu cầu đẩm bảo liên lạc giữa các cổng nối bao gồm:
- Có một cặp khoá để nhận dạng 2 cổng nối khác nhau, các khoá này phải
được kết nối cứng, thay đổi nhân công hoặc truyền qua các chứng nhận
điện tử.
Đoàn Thanh Binh, D01VT
97
Đồ án tốt nghiệp Đại học Chương 5. Quản lý mạng
VPN
- Các khoá phiên yêu cầu xác thực và mã hoá các gói được truyền giữa các
cổng nối, cụ thể, sử dụng các tiêu đề AH, ESP của IPSec.
Các khoá khác nhau được yêu cầu cho mỗi tiêu đề IPSec và được xem xét
qua các liên kết bảo mật. Ví dụ, nếu cả AH và ESP được sử dụng để xử lý các
gói thì khi đó hai SA được xem xét giữa các cổng nối hoặc các host.
a) Nhận dạng các cổng nối
Một đường hầm bảo mật có thể được thiết lập giữa hai cổng nối bảo mật
hoặc giữa một host từ xa và một cổng nối bảo mật, các thiết bị này đã được xác
thực bởi một thiết bị khác và được chấp thuận trên một khoá. Xác thực ở đây
không đồng thời với xác thực các gói sử dụng tiêu đề AH, mà là các thiết bị tự
xác thực.

Quản lý khóa đối với người dùng từ xa, với số lượng người dùng từ xa có
thể lên tới hàng ngàn, cần phải xắp xếp và thực hiện tự động khi có thể. Để hỗ
trợ số lượng lớn người đang truy cập từ xa với một cổng nối bảo mật thì cần
phải thực liện liên kết bảo mật client một cách tập trung.
Người dùng VPN từ xa thường sử dụng máy tính xách tay để truy cập, máy
tính sách tay lại dễ bị lấy cắp nên các khoá lưu trữ trên máy tính xách tay rất dễ
bị mất. Có 3 công nghệ chính để bảo mật các khoá:
- Lưu trữ các khoá trên một thiết bị di dời được như đĩa, card thông minh.
- Mã hoá khoá với một mật khẩu và yêu cầu client xác nhận mật khẩu trước
khi truy cập.
- Mã hoá các khoá với một mật khẩu và ngăn cản truy cập nếu sử dụng sai
mật khẩu. Giới hạn số lần sai mật khẩu, ví dụ: nếu sai 3 lần liên tiếp thì
không cho phép client có khoá đó truy cập tiếp.
5.1.5 Các dịch vụ xác thực
Có nhiều cách khác nhau để xác thực người dùng vào mạng: sử dụng mật
khẩu, các hệ thống lệnh/đáp ứng sử dụng RADIUS, sử dụng các thẻ bài, các
chứng nhận điện tử… Nếu thiết bị của mạng đã hỗ trợ truy cập từ xa qua modem
và máy chủ truy cập từ xa, khi đó cần liên kết nó tới cổng nối bảo mật để điều
khiển xác thực và quyền truy cập của các người dùng VPN.
Dữ liệu
Máy chủ
xác thực
Máy chủ
truy cập từ xa
Internet
RADIUS
Người dùng
ở xa
ISP
Mạng riêng

Tài nguyên trong công ty được phân thành các mức khác nhau, tuy theo
công việc và mức độ quan trọng mà có thể được truy cập vào các tài nguyên
khác nhau. Ví dụ, nhân viên bán hàng không được phép truy cập tới tài nguyên
của nhóm nghiên cứu, nhóm dự án hay quản lý.
Tóm lại, Quản lý bảo mật cho VPN là một phần trong chính sách bảo mật,
quản lý VPN. Vấn đề xác thực người dùng và điều khiển truy cập tới các tài
nguyên của mạng đóng vai trò hết sức quan trọng. Phân phối khoá để xác thực
các cổng nối bảo mật và các host từ xa là phần quan trọng trong việc quản lý
VPN. Các quyền đăng nhập chứng nhận hay máy chủ chứng nhận nội bộ riêng
có thể được sử dụng để cấp phát và điều khiển các chứng nhận điện tử.
Đoàn Thanh Binh, D01VT
100