| Welcome to Huynh's Collections. We hope you enjoy your visit. You're currently viewing our forum as a guest. This means you are limited to certain areas of the board and there are some features you can't use. If you join our community, you'll be able to access member-only sections, and use many member-only features such as customizing your profile, sending personal messages, and voting in polls. Registration is simple, fast, and completely free. Join our community! If you're already a member please log in to your account to access all of our features: |
| công nghệ VPN | |
|---|---|
| Tweet Topic Started: Aug 16 2006, 03:57 PM (377 Views) | |
| Huynhnb8x | Aug 16 2006, 03:57 PM Post #1 |
|
Th1nk
![]() ![]() ![]() ![]() ![]()
|
Virtual Private Network (VPN) - Mạng riêng ảo đă mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất ḱ đường dây riêng nào. Các hăng thương mại có thể dùng VPNs để cung cấp quyền truy cập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thành một mạng duy nhất và cho phép sử dụng từ xa các tŕnh ứng dụng dựa trên các dịch vụ trong công ty. VPNs có thể sử dụng một hoặc cả hai kỹ thuật: dùng các kênh thuê bao riêng của các nhà cung cấp dịch vụ (cái này gọi là một Trusted VPN) hoặc gửi các dữ liệu đă được mă hóa lên mạng Internet (cái này gọi là Secure VPN). Dùng một Secure VPN qua một Trusted VPN th́ gọi là Hybrid VPN. Kết hợp cả hai loại của Secure VPN trong một cổng vào, chẳng hạn như IPsec và SSL cũng gọi là Hybrid VPN. Trusted VPN Qua nhiều năm, các Trusted VPN đă có sự thay đổi từ các thuê bao riêng từ các đại lư viễn thông đến các thuê bao IP riêng từ các nhà cung cấp dịch vụ Internet. Công nghệ chủ yếu của sự vận hành của Trusted VPN với mạng địa chỉ IP là các kênh ATM, mạch tiếp sóng khung, và MPLS. ATM và bộ tiếp sóng khung hoạt động tại tầng liên kết dữ liệu, là tầng 2 trong mô h́nh OSI (tầng 1 là tầng vật lư, tầng 3 là tầng mạng). MPLS mô phỏng một số thuộc tính của mạng chuyển mạch và mạng chuyển gói. Nó hoạt động cùng một tầng, thường được coi là tầng “2,5” v́ nó nằm ngay giữa tầng liên kết và tầng mạng. MPLS bắt đầu thay thế ATM và bộ tiếp sóng khung để thực thi Trusted VPN với lượng lớn các doanh nghiệp và nhà cung cấp dịch vụ. Secure VPN Secure VPN có thể dùng IPsec trong việc mă hoá. IPsec nằm trong giao thức L2TP (Layer 2 Tunneling Protocol), trong thành phần SSL (Secure Sockets Layer) 3.0 hay trong TLS (Transport Layer Security) với bộ mă hoá, L2F (Layer Two Forwarding) hay PPTP (Point-to-Point Tunneling Protocol). Chúng ta hăy xem qua các thành phần chính này. IPsec hay IP security – là tiêu chuẩn cho sự mă hoá cũng như cho thẩm định các gói IP tại tầng mạng. IPsec có một tập hợp các giao thức mật mă với 2 mục đích: an ninh gói mạng và thay đổi các khoá mật mă. Mộ số chuyên gia an ninh như Bruce Schneier của Counterpane Internet Security, đă xem IPsec như là một giao thức cho VPNs từ cuối những năm 1990. IPsec được hỗ trợ trong Windows XP, 2000, 2003 và Vista; trong Linux 2.6 và các phiên bản sau; trong Mac OS X, Net BDS, FreeBDS và OpenBDS, trong Solari, AIX, và HP-UX, trong VxWorks. Nhiều đă cung cấp dịch vụ IPsec VPN server và IPsec VPN client. Microsoft đă triển khai PPTP client trong tất cả các phiên bản của Windows kể từ Windows 95 OSR2 và PPTP server trong tất cả các sản phẩm máy chủ từ Windows NT 4.0. PPTP client cũng nằm trong Linux, Mac OS X, các thiết bị Palm PDA và các thiết bị Windows Mobile 2003. PPTP rất phổ biến, nhất là trên các hệ thống của Windows. Bởi v́ nó có thể dùng rộng răi, miễn phí và dễ cài đặt. Tuy nhiên khi được triển khai bởi Microsoft, nó không phải là thành phần an toàn nhất của Secure VPN. Schneier với “Mudge” của L0pht Heavy Industries đă t́m thấy và công bố các thiếu sót trong Microsoft PPTP vào năm 1998. Microsoft đă nhanh chóng sửa chữa các vấn đề này với MS-CHAPv2 và MPPE. Sau đó Scheier với Mudge đă công bố một bản phân tích kiểm chứng các cải tiến vào năm 1999, nhưng chỉ ra rằng an toàn của Microsoft PPTP vẫn phụ thuộc vào an toàn mật khẩu mỗi người dùng. Microsoft đă địa chỉ hoá nguồn cung cấp này bằng cách ép quy ước độ mạnh của mật khẩu vào trong hệ điều hành. Nhưng Shneier và Mudge vẫn cho rằng nên để IPsec là kẻ thừa kế Secure VPN hơn là PPTP. L2F là giao thức được phát triển muộn hơn bởi hăng Cissco. L2TP là sự kết hợp ư tưởng của L2F và PPTP để tạo ra một giao thức tầng liên kết dữ liệu. Giao thức này cung cấp một tunnel (đường dẫn ảo), nhưng không an toàn và có sự kiểm định. L2TP có thể mang các session PPP trong tunnel. Cissco đă triển khai L2TP trong các router của nó. Có một vài bổ sung mă nguồn mở của L2TP trong Linux. L2TP/IPsec kết hợp đường dẫn ảo của L2TP với kênh an toàn của IPsec. Nó cho phép thay đổi Internet Key Exchange dễ dàng hơn so với thuần IPsec . Microsoft đă cung cấp một bản VPN client L2TP/IPsec miễn phí cho Windows 98, ME, và NT từ năm 2002, và gắn một VPN client L2TP/IPsec cho Windows XP, 2000, 2003 và Vista. Windows server 2003 và Windows 2000 server có L2TP/IPsec server. SSL và TLS là các giao thức cho luồng dữ liệu an toàn tại tầng 4 của mô h́nh OSI.. SSL 3.0 và TLS 1.0 là các bản thừa kế được dùng phổ biến với HTTP nhằm cho phép bảo vệ các đường dẫn Web an toàn, gọi là HTTPS. Tuy nhiên SSL/TLS cũng được dùng để tạo ra một đường dẫn ảo tunnel VPN. Ví dụ: OpenVPN là một gói VPN nguồn mở cho Linux, xBSD, Mac OS X, Pocket PCs và Windows 2000, XP, 2003, và Vista. Nó dùng SSL để cung cấp mă hoá cho cả dữ liệu và kênh điều khiển. Một vài hăng đă cung cấp SSL VPN server và client. Lợi nhuận và sự rủi ro an ninh của VPNs Một mạng riêng ảo có thể xoá bỏ các hàng rào địa lí trong kinh doanh, cho phép các nhân viên làm việc một cách hiệu quả tại nhà và cho phép một doanh nghiệp kết nối một cách an toàn tới các đại lư của họ cùng các hăng hợp tác. Một mạng riêng ảo thường rẻ hơn và có hiệu quả hơn các đường riêng ảo. Nhưng mặt khác, cách dùng của một VPN có thể phô bày các rủi ro an ninh tiềm ẩn. Trong khi hầu hết các mạng riêng ảo đang được dùng khá an toàn th́ một mạng riêng ảo cũng có thể làm cho chính nó khó phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp. Phận sự của người quản trị mạng là áp dụng các tiêu chuẩn an ninh giống nhau trong việc kết nỗi các máy tính tới mạng thông qua VPN khi các máy tính kết nối trực tiếp vào mạng LAN. Kết hợp đồng thời cách dùng của cả hai kiểu VPNs có thể thấy được tiềm năng mạng của công ty này với công ty khác. Thêm vào đó, sử dụng phần mềm điều khiển từ xa như PC Anywhere, GoToMyPC hay VNC kết hợp với một VPN có thể khai thác được khả năng mạng của công ty tới các malware trong một mắy trạm xa không kết nối VPN. Sự tin cậy, sự co giăn và sự thực thi của VPNs Bởi Secure VPN sử dụng mă hoá, và v́ một số hàm mật mă được dùng khá là đắt tiền nên một VPN được dùng khá nặng có thể tải xuống server của nó. Đặc thù của người quản trị là quản lí việc tải server bằng cách giới hạn số kết nối đồng thời để biết server nào có thể điều khiển. Khi số người cố gắng kết nối tới VPN đột nhiên tăng vọt đến đỉnh điểm, phá vỡ hết quá tŕnh truyền tin, các nhân viên cũng thấy chính họ không thể kết nối được.V́ tất cả các cổng của VPN đều bận. Điểu đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng dụng làm việc mà không đ̣i hỏi VPN. Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy cập e-mail từ nhà hay trên đường. Quyết định giữa IPsec hay SSL/TLS để có viễn cảnh như thế nào có thể rất rắc rối. Một điều cần cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên NAT. IPsec th́ không. Nhưng cả hai giao thức làm việc qua tường lửa th́ sẽ không dịch được địa chỉ. IPsec mă hoá tất cả các lưu lượng IP truyền tải giữa hai máy tính. SSL/TLS th́ đặc tả một ứng dụng. SSL/TLS dùng các hàm mă hoá không đối xứng để thiết lập kết nối. Nó bảo vệ hiệu quả hơn là dùng các hàm mă hoá đối xứng. Trong các ứng dụng từ xa ở thế giới thực, người quản trị có thể quyết định kết hợp và ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn. Ví dụ, các client có thể kết nối tới một Web-based thông qua tương lửa dùng đường dẫn an toàn của SSL/TLS. Web server có thể kết nối tới một dịch vụ ứng dụng dùng IPsec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu ngang qua các tường lửa khác cũng dùng SSL. Sự co giăn của VPNs đôi khi có thể được chứng minh bởi cách dùng dành cho các dịch vụ phần cứng. Tuy nhiên để làm được điều đó chúng ta phải vượt qua được các mục đích cạnh tranh của các hăng VPN. Có lẽ đó sẽ là chủ đề cho một ngày khác. Nguồn VPN Mạng riêng ảo duy tŕ một danh sách thành viên của nó, một bảng các thành phần của IPsec, và một bảng các thành phần của SSL VPN với sự đóng góp của mỗi hăng kinh doanh. VPNC cũng cung cấp các CA với các chứng chỉ cơ bản , miễn phí, nguồn mở thẩm định qua gói cho người quản trị. |
| Knowledge crawling | |
![]() |
|
| « Previous Topic · Tài liệu sưu tầm · Next Topic » |
| Track Topic · E-mail Topic |
9:00 AM Jul 11
|
Theme by James... of the ZBTZ and themeszetaboards.com





![]](http://z5.ifrm.com/static/1/pip_r.png)




9:00 AM Jul 11