Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 118 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
118
Dung lượng
3,54 MB
Nội dung
Đại học Cơng nghệ Khố luận tốt nghiệp Mục lục Lời mở đầu Chương 1: Tổng quan VPN Tổng Quan 1.1 Định nghĩa VPN 1.2 Lợi ích VPN 1.3 Chức VPN Định nghĩa “đường hầm” “mã hoá” 2.1 Định nghĩa đường hầm: 2.2 Cấu trúc gói tin IP đường hầm: 2.3 Mã hoá giải mã (Encryption/Deccryption): 2.4 Một số thuật ngữ sử dụng VPN: 2.5 Các thuật toán sử dụng mã hoá thông tin Các dạng kêt nối mạng riêng ảo VPN 10 3.1 Truy cập VPN (Remote Access VPNs) 10 3.1.1 Một số thành phần 11 3.1.2 Thuận lợi Remote Access VPNs: 12 3.1.3 Ngoài thuận lợi trên, VPNs tồn số bất lợi khác như: 12 3.2 Site – To – Site VPN 13 3.2.1 Intranet 14 3.2.2 Extranet VPNs (VPN mở rộng) 16 VPN vấn đề an toàn bảo mật Internet 18 4.1 An toàn tin cậy 19 4.2 Hình thức an toàn 20 Chương 2: Giao thức VPN Bộ giao thức IPSec (IP Security Protocol): 22 1.1 Cấu trúc bảo mật 22 1.1.1 Hiện trạng 23 Chế độ làm việc IPSec 23 2.1 Chế độ chuyển vận (Transport mode) 23 2.2 Chế độ đường hầm ( Tunnel Mode ): 24 Giao thức PPTP L2TP 31 3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling Protocol) 31 3.1.1 Quan hệ PPTP PPP 32 3.2 Giao thức chuyển tiếp lớp (Layer Forwarding Protocol) 34 3.3 Giao thức định đường hầm lớp (Layer Tunneling Protocol) 35 3.3.1 Quan hệ L2TP với PPP 36 3.4 Tổng quan giao thức đinh đường hầm lớp ( L2TP Overview) 38 3.5 Ứng dụng L2TP VPN 42 3.6 So sánh PPTP L2TP 42 Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp 3.6.1 Ưu điểm L2TP 43 3.6.2 Ưu điểm PPTP 43 Chương 3: Mã hoá chứng thực VPN Mã hoá VPN 45 1.1 Thuật toán mã hoá DES 45 1.1.1 Mô tả DES 46 1.1.2 Ưu nhược điểm DES 47 1.1.3 Ứng dụng thuật toán DES thực tế 47 1.2 Thuật toán mã hoá 3DES 48 1.2.1 Mô tả 3DES 48 1.2.2 Ưu nhược điểm 3DES 49 1.3 Giải thuật hàm băm (Secure Hash Algorithm) 49 1.4 Giải thuật RSA 49 Chứng thực VPN 50 2.1 Password Authentication Protocol (PAP): Giao thức chứng thực mật 51 2.2 Challenge Handshare Authentication Protocol (CHAP) 52 Firewall 52 3.1 Khái niệm Firewall 52 3.2 Các thành phần Firewall 53 3.2.1 Bộ lọc gói (Packet Filtering Router) 53 3.2.2 Cổng ứng dụng (Application-level gateway) 55 3.2.3 Cổng vòng (Circuit-level Gateway) 57 3.3 Những hạn chế từ Firewall 58 3.4 Thiết lập sách cho Firewall 58 3.5 Một số loại Firewall 59 3.5.1 Screened Host Firewall 60 3.5.2 Screened-Subnet Firewall 61 3.6 Mơ hình kết hợp Firewall với VPN 62 Chương 4: Cấu hình VPN thiết bị Cisco Mơ hình Site –to – Site VPN Extranet VPN 64 1.1 Kịch Site – to – site VPN 64 1.1.1 Phân chia thành phần địa vật lý mơ hình site – to –site VPN 64 1.1.2 Bảng địa chi tiết cho mơ hình mạng Site – to – Site VPN 65 2.1 Kịch Extranet 65 2.1.1 Phân chia thành phần địa vật lý mơ hình Extranet VPN 66 2.1.2 Bảng địa chi tiết cho mơ hình mạng Extranet VPN 66 Cấu hình đường hầm (tunnel) 67 2.1 Sự định cấu hình GRE Tunnel 68 2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, Đích 68 Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp 2.1.2 Kiểm tra giao diện đường hầm, Nguồn, Đích 70 2.2 Cấu hình IPSec Tunnel: 70 Cấu hình NAT (Network Address Translation) 71 3.1 Cấu hình Static Inside Source Address Translation 73 3.2 Kiểm tra Static Inside Source Address Translation 73 Cấu hình mã hoá IPSec 74 4.1 Cấu hình sách IKE: 75 4.1.1 Tạo sách IKE 76 4.1.2 Cấu hình bổ xung thêm yêu cầu cho sách IKE: 77 4.1.3 Cấu hình Những khố dùng chung 78 4.2 Cấu hình cổng vào cho thao tác chứng số 80 4.2.1 Kiểm tra IKE Policies 81 4.2.2 Cấu hình khố dùng chung khác 81 4.3 Cấu hình IPSec chế độ IPSec tunnel 82 4.3.1 Tạo danh sách truy nhập mật mã 83 4.3.2 Kiểm tra danh sách mật mã 83 4.4 Định nghĩa tập hợp biến đổi cấu hình chế độ IPSec tunnel 83 4.4.1 Kiểm tra tập hợp biến đổi chế độ IPSec tunnel 85 4.5 Cấu hình Crypto Maps 85 4.5.1 Tạo mục Crypto Map 85 4.5.2 Kiểm tra mục Crypto map 88 4.5.3 Áp dụng Crypto map vào Interface 88 4.5.4 Kiểm tra kết hợp Crypto Map interface 89 Cấu hình tính Cisco IOS Firewall 89 5.1 Tạo Access list mở rộng sử dụng số Access list 90 5.2 Kiểm tra Access list mở rộng 90 5.3 Áp dụng Access-list tới Interface 90 5.4 Kiểm tra Access-list áp dụng xác 91 Chương 5: Cấu hình VPN Widows Server 2003 Giới thiệu chung 92 Cài đặt VPN Server 92 Cấu hình VPN Server 99 3.1 Route and Remote Access Properties 99 3.2 Ports Properties 102 3.3 Remote Access Policies 103 Tạo User Windows cho phép sử dụng VPN 104 VPN Client Windows XP 106 Quản lý kết nối VPN Server 113 Kết luận 115 Tài liệu tham khảo 116 CÁC THUẬT NGỮ VIẾT TĂT 117 Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Lời mở đầu Trước kia, cách truy cập thông tin từ xa máy tính thực sử dụng kết nối quay số Các kết nối RAS dial-up làm việc đường điện thoại POTS (Plain Old Telephone Service) thông thường có tốc độ đạt vào khoảng 56kbps Tốc độ vấn đề lớn kết nối dial-up RAS, nhiên vấn đề lớn chi phí cho kết nối khoảng cách dài cần có cho việc truy cập Ngày với phát triển bùng nổ, mạng Internet ngày mở rộng, khó kiểm sốt kèm theo an tồn việc trao đổi thơng tin mạng, thông tin liệu trao đổi mạng bị rị rỉ bị đánh cắp khiến cho tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty … doanh nhân lo ngại vấn đề an tồn bảo mật thơng tin liệu mạng cục (LAN) trao đổi thông tin qua mạng công cộng Internet VPN ( Virtual Private Network) giải pháp đưa để cung cấp giải pháp an toàn cho các: Tổ chức, doanh nghiệp … doanh nhân trao đổi thông tin từ mạng cục xun qua mạng Internet cách an tồn bảo mật Hơn cịn giúp cho doanh nghiệp giảm thiểu chi phí cho liên kết từ xa địa bàn rộng (trên tồn quốc hay tồn cầu) Là sinh viên cơng nghệ, phần em hiểu băn khoăn lo lắng an toàn bảo mật trao đổi thông tin tổ chức, cá nhân Với hướng dẫn, giúp đỡ thầy cô bạn bè, em chọn đề tài mạng riêng ảo (VPN) để nghiên cứu giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo Nghiên cứu mơ hình truy cập, phương pháp xác thực ứng dụng triển khai cài đặt hệ thống mạng Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Chương TỔNG QUAN VỀ VPN Tổng Quan Trong thời đại ngày Internet phát triển mạnh mẽ mặt mơ hình cho cơng nghiệp, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà khơng xem xét đến máy mạng mà người sử dụng sử dụng Để làm điều người ta sử dụng máy tính đặc biệt gọi Router để kết nối LAN WAN với Các máy tính kết nối vào Internet thơng qua nhà cung cấp dịch vụ (ISP –Internet service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ giáo dục từ xa, mua hang trực tuyến, tư vấn y tế,và nhiều điều khác trở thành thực Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mơ hình mạng nhằm thỗ mãn u cầu mà tận dụng lại sở hạ tầng có Internet, mơ hình mạng riên ảo (Virtual Private Network – VPN ) Với mơ hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường hay văn phòng chi nhánh kết nối an tồn đến máy chủ tổ chức sở hạ tầng cung cấp mạng cơng cộng Nó đảm bảo an tồn thơng tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN giống WAN (Wire Area Network), nhiên đặc tính định VPN chúng dùng mạng công cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều 1.1 Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng ( Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng đường leased-line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tồn bảo mật VPN cung cấp chế mã hoá liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hố hay chế giấu đi, cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Dữ liệu mã hố cách cẩn thận packet bị bắt lại đường truyền công cộng khơng thể đọc nội dùng khơng có khố để giải mã Liên kết với liệu mã hố đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1: Mơ hình mạng VPN 1.2 Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền thông mạng leased-line Những lợi ích bao gồm: Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, băng cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối từ xa văn phịng, vị trí quốc tế, người truyền Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp thông, người dùng điện thoại di động, người hoạt động kinh doanh bên yêu cầu kinh doanh địi hỏi Đơn giản hóa gánh nặng Những cấu trúc mạng ống, giảm việc quản lý gánh nặng: Sử dụng giao thức Internet backbone loại trừ PVC tĩnh hợp với kết nối hướng giao thức Frame Relay ATM Tăng tính bảo mật: Các liệu quan trọng che giấu người khơng có quyền truy cập cho phép truy cập người dùng có quyền truy cập Hỗ trợ giao thức mạng thông dụng TCP/IP Bảo mật địa IP: Bởi thơng tin gửi VPN mã hoá địa bên mạng riêng che giấu sử dụng địa bên Internet 1.3 Chức VPN VPN cung cấp chức Sự tin cậy (Confidentiality): Người gửi mã hố gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, khơng truy nhập thơng tin mà không phép, mà lấy thông tin khơng đọc thơng tin mã hố Tính tồn vẹn liệu (Data Integrity): Người nhận kiểm tra liệu truyền qua mạng Internet mà khơng có thay đổi Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin Định nghĩa “đường hầm” “mã hố” Chức mạng riêng ảo VPN cung cấp bảo mật thơng tin cách mã hố chứng thực qua đường hầm (tunnel) 2.1 Định nghĩa đường hầm: Cung cấp kết nối logic, điểm tới điểm vận chuyển gói liệu mã hố đường hầm riêng biệt qua mạng IP, điều làm tăng tính bảo mật thơng tin liệu sau mã hoá lưu chuyển đường hầm thiết lập người gửi người nhận tránh cắp, xem trộm thông tin, đường hầm đặc tính ảo VPN Các giao thức định đường hầm sử dụng VPN sau: Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Công nghệ Khoá luận tốt nghiệp L2TP (layer Tunneling Protocol): Giao thức định đường hầm lớp PPTP (Point-to-Point Tunneling Protocol) L2F (Layer Forwarding) Các VPN nội VPN mở rộng sử dụng công nghệ: IP Sec (IP security) GRE (Genenic Routing Encapsulation) 2.2 Cấu trúc gói tin IP đường hầm: Tunnel mode packet IP AH ESP Header Data Original packet 2.3 Hình 2: Cấu trúc gói tin IP đường hầm Mã hoá giải mã (Encryption/Deccryption): Biến đổi nội dùng thông tin nguyên dạng đọc (clear text hay plain text) thành dạng văn mật mã vô nghĩa không đọc (cyphertex), khơng có khả đọc hay khả sử dụng người dùng không phép Giải mã trình ngược lại mã hoá, tức biến đổi văn mã hoá thành dạng đọc người dùng phép 2.4 Một số thuật ngữ sử dụng VPN: Hệ thống mã hoá (Crysystem): hệ thống để thực mã hoá hay giải mã, xác thực người dùng, băm (hashing), q trình trao đổi khố, hệ thống mã hố sử dụng hay nhiều phương thức khác tuỳ thuộc vào yêu cầu cho vài loại traffic người dùng cụ thể Hàm băm (hashing): kỹ thuật toàn vẹn liệu mà sử dụng cơng thức thuật tốn để biến đổi tin có chiều dài thay đổi khố mật mã cơng cộng vào chuỗi đơn số liệu có chiều dài cố đinh Bản tin hay khoá hash di chuyển mạng từ nguồn tới đích Ở nơi nhận việc tính toán lại hash sử dụng để kiểm tra tin khố khơng bị thay đổi truyền mạng Xác thực (Authentication): Là trình việc nhận biết người sử dụng hay trình truy cập hệ thống máy tính kết nối mạng Xác thực chắn cá nhân hay tiến trình hồn tồn xác định Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Cho phép (Authorization): Là hoạt động kiểm tra thực thể có phép thực quyền hạn cụ thể Quản lý khố (Key management): Một khố thơng tin, thường dãy ngẫu nhiên trông giống số nhị phân ngẫu nhiên, sử dụng ban đầu để thiết lập thay đổi cách định kỳ hoạt động hệ thống mật mã Quản lý khố giám sát điều khiển tiến trình nhờ khoá tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà tin tưởng để giúp bảo mật trình truyền tin thực thể mạng người dùng cách tạo gán chứng nhận số chứng nhận khố cơng cộng, cho mục đích mã hố Một CA đảm bảo cho lien kết thành phần bảo mật chứng nhận 2.5 Các thuật toán sử dụng mã hoá thông tin: DES (Data Encryption Security) 3DES (Triple Data Encryption Security) SHA (Secure Hash Algorithm) AH ( Authentication Header): La giao thức bảo mật giúp xác thực liệu, bảo đảm tính tồn vẹn liệu dịch vụ “anti-replay” (dịch vụ bảo đảm tính gói tin) AH nhúng vào liệu để bảo vệ ESP (Encapsulation Security Payload): Là giao thức bảo mật cung cấp tin cậy liệu, bảo đảm tính tồn vẹn liệu, xác thực nguồn gốc liệu, dịch vụ “anti-replay” ESP đóng gói liệu để bảo vệ Oakley Skeme định nghĩa phương thức để thiết lập trao đổi khố xác thực, bao gồm cấu trúc tải tin, thông tin mà tải tin mang, thứ tự mà khoá sử lý khoá sử dụng ISAKMP (Internet Security Association and Key Management): IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa Oakley trao đổi khoá Skeme bên khung ISAKMP (Protocol): Là khung giao thức mà định nghĩa định dạng tải tin, giao thức triển khai giao thức trao đổi khoá trao đổi SA (Security Association) SA (Security Association): Là tập sách khố sử dụng để bảo vệ thơng tin ISAKMP SA sách chung khoá sử dụng đối tượng ngang hang đàm phán giao thức để bảo vệ thông tin chúng Lê Anh Hưng K49DB LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp AAA (Authentication, Authorization Accouting): dịch vụ bảo mật mạng mà cung cấp khung qua điều khiển truy cập đặt Router hay Server truy cập Hai lựa chọn cho AAA TACACS+ RADIUS TACACS+ (Terminal Access Controller Access Control System Plus): Là ứng dụng bảo mật mà cung cấp xác thực tập trung người dùng cố gắng truy nhập tới Router hay mạng truy cập Server RADIUS (Remote Authentication Dial-In User Service): Là hệ thống phân tán client/server mà bảo mật truy cập không phép tới mạng Các dạng kêt nối mạng riêng ảo VPN 3.1 Truy cập VPN (Remote Access VPNs) Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Remote Access VPN mô tả công việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thông qua gateway VPN concentrator (bản chất server) Vì lý này, giải pháp thường gọi client/server Trong giải pháp này, người dùng thường thường sử dụng công nghệ WAN truyền thống để tạo lại tunnel mạng HO họ Một hướng phát triển remote access VPN dùng wireless VPN, nhân viên truy cập mạng họ thông qua kết nối không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm wireless (Wireless terminal) sau mạng cơng ty Trong hai trường hợp, phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi tunnel Một phần quan trọng thiết kế việc thiết kế trình xác thực ban đầu nhằm để đảm bảo yêu cầu xuất phát từ nguồn tin cậy Thường giai đoạn ban đầu dựa sách bảo mật cơng ty Chính sách bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+] …) Lê Anh Hưng K49DB 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Trong Hình 81, chọn Remote Access Policies Remote Access Policies có lựa chọn Connections to Microsoft Routing and Remote Access Server Connections to other access server Chuột phải vào Connections to Microsoft Routing and Remote Access Server, menu chuột phải chọn Properties Hình 82: Connections to Microsoft Routing and Remote Access Server Properties Trong Hình 82, lựa chọn Grant remote access permission, sau nhắp OK để xác nhận.Thực công việc tương tự lựa chọn Connections to other access server Sau bước việc tạo account Windows cho phép sử dụng kết nối VPN Tạo User Windows cho phép sử dụng VPN Như biết, việc tạo user Windows sử dụng Computer Manager Để chạy Computer Manager, click Start->Programs->Administrative Tools>Computer Manager Giao diện Computer Manager Hình 83 Lê Anh Hưng K49DB 104 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Hình 83: Computer Manager – Local User and Groups Trên Hình 83, Chọn System Tools->Local Users and Groups->Users Sau chuột phải vào user muốn cho phép dùng VPN, ví dụ user centos4 Trên menu chuột phải, nhắp Properties Hình 84: User Properties Lê Anh Hưng K49DB 105 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Công nghệ Khố luận tốt nghiệp Trên Hình 84, chọn Tab Dial-in Trong tab này, chọn Allow access Nếu muốn xác địa IP cấp cho VPN Client user trên, chọn Assign a Static IP Address Sau gõ địa IP vào ô tương ứng Địa nằm ngồi dải IP mà ta chọn Hình 78 Tuy nhiên nên nằm lớp với dải IP Sau bước này, user centos4 kết nối VPN đến VPN Server VPN Client Windows XP Trên Windows 2000, Windows XP, tạo kết nối VPN đến VPN Server mà ta cài đặt cấu hình bước Dưới hướng dẫn cách tạo kết nối VPN đến VPN Server Windows XP Chuột phải vào biểu tượng My Network Places desktop, menu chuột phải click Properties Xuất hộp thoại Network Connections (xem Hình 85) Hình 85: Network Connections (VPN Client) Trên Hình 85 nhắp vào Create a new connection Xuất hộp thoại New Connection Wizard với bước cấu hình Lê Anh Hưng K49DB 106 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Hình 86: New Connection Wizard – Step (VPN Client) Trong Hình 86, click Next để tiếp tục Hình 87: New Connection Wizard – Step 2(VPN Client) Hình 87 cho phép lựa chọn kiểu connect Bước chọn Connect to the network at my workplace, sau nhắp Next để tiếp tục Lê Anh Hưng K49DB 107 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Công nghệ Khố luận tốt nghiệp Hình 88: New Connection Wizard – Step 3(VPN Client) Hình 88, lựa chọn Virtual Private Network connection, sau click Next để tiếp tục Hình 89: New Connection Wizard – Step 4(VPN Client) Hình 89 cho phép tạo tên cho kết nối vpn, ví dụ này, gõ free4vn.org, sau click Next để tiếp tục Lê Anh Hưng K49DB 108 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Hình 90: New Connection Wizard – Step (VPN Client) Hình 90 cho phép gõ địa IP Server cài đặt dịch vụ VPN Server Có thể dùng địa IP tĩnh gán cho Modem ADSL domain name tương ứng Hình 91: New Connection Wizard – Finish (VPN Client) Hình 91, kết thúc New Connection Wizard, click Finish để kết thúc Sau bước này, Nework Connection Hình 85 có thêm connect có tên Lê Anh Hưng K49DB 109 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Công nghệ Khoá luận tốt nghiệp free4vn.org Để kết nối đến VPN Server, nhắp đúp vào kết nối Hộp thoại Connect Hình 92 Hình 92: Connect to free4vn.org (VPN Client) Trên Hình 92, để kết nối đến VPN Server cần gõ User name, Password mà ta khai báo mục Tạo User Windows cho phép sử dụng VPN Sau nhắp Connect để kết nối đến VPN Server Có thể click Properties để thêm lựa chọn cho kết nối Hình 93: free4vn.org Properties – tab Options (VPN Client) Trong Hình 93, tab Options, sử dụng tính Redial if line dropped để VPN Client tự động kết nối lại VPN Server sau kết nối VPN bị ngắt đoạn (có thể kết nối Internet lỗi) Lựa chọn cho phép người quản trị VPN Server reset kết nối VPN Client VPN Server Lê Anh Hưng K49DB 110 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Khi kết nối đến VPN Server, theo cấu hình ngầm định máy client dùng Gateway VPN Server Như không dùng Internet máy client Để thay đổi điều này, lựa chọn tab Networking Hình 94: free4vn.org Properties – tab Networking (VPN Client) Trong Hình 94, click vào Internet Protocol (TCP/IP), sau nhắp nút Properties Hình 95: Internet Protocol (TCP/IP)Properties (VPN Client) Trong Hình 95, nhắp vào Advanced Lê Anh Hưng K49DB 111 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Hình 96: Advanced TCP/IP Settings – tab Genera (VPN Client)l Trong Hình 96, bỏ chọn Use default gateway on remote network Sau Connect đến VPN Server, VPN Client xuất thông báo xác nhận kết nối thành cơng Hình 97: Kết nối VPN thành cơng (VPN Client) Một kết nối VPN kết nối mạng thông thường Để xem trạng thái kết nối đó, chuột phải vào kết nối, menu chuột phải chọn Status (xem Hình 98) Hình 98: Menu chuột phải Kết nối VPN (VPN Client) Lê Anh Hưng K49DB 112 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Hình 99: Status kết nối VPN (VPN Client) Trong hộp thoại Status kết nối VPN, chọn tab Details, ý địa IP mà Client cấp kết nối VPN Địa cấp cố định với user theo dõi VPN Server Quản lý kết nối VPN Server Trên VPN Server theo dõi kết nối VPN Khi VPN Client cung cấp địa theo dải địa mà ta set Hình 18 từ user Hình 24 Để theo dõi kết nối VPN Server, chạy Manage Your Server, sau click vào Manage this remote access/VPN server (Hoặc click Start->Programs->Administrative Tools->Routing and Remote Access) Hình 100: Remote Access Client Lê Anh Hưng K49DB 113 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Trên Hình100, click vào Remote Access Client, cửa sổ bên phải hiển thị user kết nối vào VPN Server Chuột phải vào user, menu chuột phải, click Status Hình 101: Status kết nối VPN Server Trên Hình 101 Status kết nối VPN user centos4 Chú ý đến phần địa IP cấp cho kết nối Và ý đến nút Disconnect để ngắt kết nối VPN Lê Anh Hưng K49DB 114 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Kết luận VPN công nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguyên nội công ty từ bên ngồi thơng qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng Giải pháp VPN "mềm" giới thiệu viết thích hợp cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, phải cần đến giải pháp VPN phần cứng Trong này, em giới thiệu giải pháp công nghệ cho việc xây dựng mạng riêng ảo Triển khai từ lý thuyết đến thực tiễn vấn đề giải mạng riêng ảo nói chung, mơ hình truy cập, phương pháp xác thực ứng dụng triển khai cài đặt hệ thống mạng Sau em giới thiệu đến giao thức VPN chủ yếu hỗ trợ Windows Server client, giới thiệu số vấn đề bảo mật giao thức VPN trước Mặc dù cố gắng hết sức, song chắn không chánh khởi thiếu sót Em mong nhận thơng cảm bảo tận tình q thầy cơ, anh chị bạn Lê Anh Hưng K49DB 115 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Tài liệu tham khảo Mạng máy tính hệ thống mở - Nguyễn Thúc Hải, NXB Giáo dục 1997 Cisco System “ Cisco Networking Academy CCNA semester v3.0 ” Cisco System “ Cisco Networking Academy CCNA semester v4.0 ” Cisco IOS Enterprise VPN Configuration Guide MCSA/MCSE “ Implementing and Administering Security in a Microsoft Windows 2003 Network” The Complete Cisco VPN Configuration Guide By Richard Deal Webside http:\\ Quantrimang.com Webside http:\\VnExpress.net Lê Anh Hưng K49DB 116 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp CÁC THUẬT NGỮ VIẾT TĂT Acknowledgment Tin báo nhận ACK Active Directory Thư mục hành AD Asymmetrical Digital Đường thuê bao số bất đối xứng ADSL Subscriber Line Advanced Encryption Standard Chuẩn mã hoá cấp cao AES Authentication Header Xác thực tiêu đề AH American National Standard Viện tiêu chuẩn quốc gia Hoa Kỳ ANSI Institute Asynchronous Transfer Mode Chế độ truyền tải bất đồng ATM Certificate Authority Dịch vụ cấp quyền chứng nhận CA Cipher Block Chaining Ràng buộc khối mã hoá CBC Domain Controller Máy điều khiển miền DC Data Encryption Standard Chuẩn mã hoá liệu DES Domain Name System Hệ thống tên miền DNS Department of Social Security Bộ an ninh xã hội DSS Digital Service Unit Đơn vị dịch vụ liệu DSU Encapsulating Security Payload Đóng gói tải cần bảo mật ESP File Transfer Protocol Giao thức truyền tập tin FTP Generic Routing Encapsulation Gói định tuyến chung GRE Internet Control Message Giao thức thông điệp điều khiển ICMP Protocol Internet ID Chỉ danh ID Internet Key Exchange Chuyển khoá Internet IKE Internet Protocol Giao thức Internet IP Internet Packet Exchange Giao thức chuyển đổi gói Internet IPX Microsoft Internet Seccurity an Phần mềm bảo mật Internet ISA Acceleration Server Microsoft Server Hệ thống bảo mật Internet giao ISAKMP Internet Security Association and Key Management Protocol thức quản lý khoá Integrate Services Digital Mạng tích hợp số đa dịch vụ ISDN Network International Standards Tổ chức tiêu chuẩn quốc tế ISO Organization Intitialization Vector Vectơ khởi tạo IV Layer Forwarding Giao thức hướng lớp L2F Layer Tunneling Protocol Giao thức tạo đường hầm lớp L2TP Local Area Network Mạng cục LAN Lighweight Directory Access Dịch vụ thư mục IETF LDAP Protocol Medium Access Control Kiểm soát truy nhập môi trường MAC Lê Anh Hưng K49DB 117 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Microsoft Point to Point Encryption Network Access Server NAS NetBEIU NetBIOS Enhanced User Interface Network File System NFS Open Systems Interconnection OSI Personal Computer PC Point of Presence POP Post Office Protocol POP Point to Point Protocol PPP Point to Point Transfer Protocol PPTP MPPE PSTN QoS RADIUS RSA SA SDL SHA SMTP SNMP SPD SPI TCP UDP UTP VPN WAN Public – Switched Telephone Network Quality of Service Remote Authentication Dial-In User Service Rivest, Shamir, Adleman Security Association Synchronous Data Link Secure Hash Algorithm Simple Mail Transfer Protocol Simple Network Management Protocol Security Policy Database Security Parameters Index Transmission Control Protocol User Datagram Protocol Unshielded Twisted – Pair Virtual Private Network Wide Area Network Lê Anh Hưng K49DB truyền thơng Mã hố điểm - điểm Microsoft Máy chủ truy cập mạng Giao thức- giao diện người dùng mở rộng NetBIOS Hệ thống file mạng Mơ hình liên kết hệ thống mở Máy tính cá nhân Điểm diện Giao thức bưu điện Giao thức điểm - điểm Giao thức chuyển giao điểm điểm Mạng điện thoại chuyển mạch công cộng Chất lượng dịch vụ Dịch vụ truy nhập điện thoại xác nhận từ xa Hệ mật mã khố cơng khai Tổ hợp an ninh Liên kết liệu đồng Thuật toán phân tách bảo mật Giao thức truyền mail đơn giản Giao thức quản trị mạng đơn giản Chính sách bảo mật sở liệu Danh mục tham số bảo mật Giao thức điều khiển truyền thơng Giao thức gói liệu người dùng Cáp xoắn không bọc kim Mạng riêng ảo Mạng diện rộng 118 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... LUONG download : add luanvanchat@agmail.com Đại học Cơng nghệ Khố luận tốt nghiệp Chương TỔNG QUAN VỀ VPN Tổng Quan Trong thời đại ngày Internet phát triển mạnh mẽ mặt mơ hình cho cơng nghiệp, đáp... Liên kết với liệu mã hố đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1: Mơ hình mạng VPN 1.2 Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền... chức Hình Site – to – site VPN Site – to –Site VPN xem Intranet VPN Extranet VPN Nếu xem xét chúng góc độ chứng thực xem intranet VPN, ngược lại chúng xem extranet VPN Tính chặt chẽ việc truy