Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 31 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
31
Dung lượng
1,22 MB
Nội dung
CHƯƠNG I
GIỚI THIỆU
1. Lịch sử hình thành và phát triển Internet
Năm 1969, Bộ Quốc phòng Mĩ đã xây dựng dự án ARPANET để nghiên cứu lĩnh
vực mạng, theo đó các máy tính được liên kết với nhau và có khả năng tự định đường
truyền .
Vào khoảng năm 1974, thế giới lần đầu biết đến thuật ngữ “Internet”. Lúc đó, mạng
vẫn được gọi là ARPANET.
Thời kỳ bùng nổ thứ nhất của Internet được xác lập vào giữa thập niên 1980 khi tổ
chức khoa học quốc gia Mỹ NSF thành lập mạng liên kết các trung tâm máy tính lớn với
nhau gọi là NSFNET. Nhiều doanh nghiệp đã chuyển từ ARPANET sang NSFNET.
Thời kỳ bùng nổ thứ hai với sự xuất hiện của WWW (World Wide Web)
2. Yêu cầu thực tế
Bắt nguồn từ một nhu thực tế khi mà một khách hang hay một tổ chức mong muốn
có thể kết nối một cách có hiệu quả tới trụ sở văn phòng chính thông qua mạng diện rộng
WAN.
Việc xây dựng một mạng riêng trên một khu vực nội bộ của một tòa nhà văn phòng
thì có thể tương đối đơn giả, bởi vì các công ty thường có kiến trúc vật lý riêng do đó ta
có thể sử dụng cách kết nối mạng LAN để thực hiện.
Nhưng việc xây dựng một mạng chung bao gồm những văn phòng khác nhau hay
các kiến trúc cách rất xa nhau tại Thành phố hay tại các Nước. Việc đó một lựa chọn sử
dụng một kênh thuê riêng(internet leased line) thuê từ một nhà cung cấp dịch vụ mạng
nhu FTP chẳng hạn hay dung những phương tiện khoảng cách xa để kết nối những máy
tính lại với nhau.
Trang 1
Hình 1: Mô hình hệthốngVPN
Những cách kết nối đó có các nhược điểm như: cứng nhắc về bản chất, ít mềm dẻo
và chi phí cao.
Vậy một vấn đề được đặt ra ở đây là làm thế nào để kết nối các tòa nhà ở xa lại với
nhau mà vẫn đảm bảo được tính an toàn dữ liệu mà chi phí lại thấp, dể quản lý, dễ bảo
chì?
Xin giới thiệu mạng riêng ảo (VPN)
Trang 2
3. VPN là gì?
VPN không phải là công nghệ mới. Khái niệm đầu tiên về VPN được AT&T (tên 1
công ty viễn thông ở Mỹ) đưa ra vào khoảng cuối thập niên 80. VPN được biết đến như
là “mạng được định nghĩa bởi phần mềm” (Software Defined Network – SDN). SDN là
mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa
vào cơ sở dữ liệu truy nhập để phân loại truy nhập vào mạng ở gần hoặc từ xa. Dựa vào
thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch
công cộng. Thế hệ thứ 2 của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và
ISDN vào đầu thập kỷ 90. Trong một thời gian, giao thức X25 qua mạng ISDN được thiết
lập như là 1 giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt
quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong một thời
gian ngắn. Sau thế hệ thứ 2, thị trường VPN bị chậm lại cho đến khi công nghệ Frame
Relay và công nghệ ATM ra đời - thế hệ thứ 3 của VPN dựa trên 2 công nghệ này. Những
công nghệ này dựa trên khái niệm chuyển mạch kênh ảo.
Trong thời gian gần đây, thương mại điện tử đã trở thành 1 phương thức thương
mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người
dùng mong muốn 1 giải pháp mà có thể dễ dàng được thực hiện, thay dổi, quản trị, có
khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu
cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ 4) của VPN là IP-VPN. IP-VPN đã đáp
ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm.
Trang 3
Hình 2: Mô hình VPN truy cập từ xa
VPN là một mạng riêng sử dụng hệthống mạng công cộng (Internet) để kết nối
các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì
dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo
được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử
dụng ở xa.
Một mạng riêng ảo dựa trên Internet dùng cơ sở hạ tầng mở và phân tán của
Internet cho việc truyền dữ liệu giữa các site. Về bản chất những công ty sử dụng Internet
VPN thiết lập các kết nối đến các điểm kết nối cục bộ của nhà cung cấp dịch vụ Internet
ISP(internet Service Provider), gọi là POP (Poit of Presence) và để cho ISP bảo đảm rằng
dữ liệu được truyền đến đích thông qua Internet.
Trang 4
Hình 3: VPNthông qua dịch vụ Internet ISP
Vì Internet là một mạng công cộng với việc truyền hầu hết dữ liệu mở. VPN bao
gồm cung cấp cơ chế mã hóa dữ liệu truyền giữa các site VPN, nhằm bảo mật dữ liệu
chống lại các cuộc tấn công ăn cấp dữ liệu từ những người truy cập bất hợp pháp.
Trang 5
CHƯƠNG II
NỘI DUNG
1. Các loại mạng VPN:
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN
điểm-nối-điểm (site-to-site)
a. VPN truy cập từ xa(Access VPN):
VPN truy cập từ xa(Access VPN): còn được gọi là mạng Dial-up riêng ảo (VPDN),
là một kết nối người dùng-đến-LAN. Ví dụ như công ty muốn thiết lập một VPN lớn phải
cần đến một nhà cung cấp dịch vụ Internet(ISP). ISP này tạo ra một máy chủ truy cập
mạng và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy
tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với máy chủ
truy cập mạng và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công
ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
b. VPN điểm-nối-điểm(site to site):
Trang 6
Là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo
mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LAN-
to-LAN là kết nối hai mạng lại với nhau,thông qua việc thỏa hiệp tích hợp, chứng thực,
sự cẩn mật của dữ liệu. có hai loại kết nối
-Intranet VPN:Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một
mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với
LAN
-Extranet VPN: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví
dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở
rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi
trường chung.
Hình 3: Mô hình VPN site to site
2. Yêu cầu của một mạng VPN
Tính tương thích
Tính khả dụng
An toàn và bảo mật dữ liệu
Trang 7
Hình 4: VPN Client to site và VPN site to site
a. Tính tương thích
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây
dựng các hệthống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và
không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệthống
mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để
có thể sử dụng được IP VPN tất cả các hệthống mạng riêng đều phải được chuyển sang
một hệthống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng
về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi
các thủ tục khác nhau sang chuẩn IP. 77% số lượng khách hàng được hỏi yêu cầu khi
chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ.
b. Tính khả dụng
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính
bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. Tiêu
chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng
Trang 8
đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng
đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề
trên.
c. An toàn dữ liệu
Mạng VPN cần cung cấp 4 chức năng giới hạn để đảm bảo độ bảo mật cho giữ liệu:
+ Xác thực (Authentication): đảm bảo giữ liệu đến từ 1 nguồn yêu cầu
+ Điều khiển truy cập (Access control): han chế việc đạt được quyền cho phép vào
mạng của những người dùng bất hợp pháp
+ Tin cậy (Confidentiality): ngăn không cho một a đó đọc hay sao chép dữ liệu khi
dữ liệu được truyền đi qua mạng Internet
+ Tính toàn vẹn của dữ liệu (Data integrity): đảm bảo không cho ai làm thay đổi
dữ liệu khi nó truyền đi trên mạng Internet
3. Các phương pháp bảo mật
a. Tường lửa (firewall):
là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để
hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua.
b. Hệthống xác thực:
- Mật mã truy cập: là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác
thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
+ Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật
để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải
Trang 9
biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của
người nhận có thể giải mã được.
+Mật mã chung (Public-Key Encryption): kết hợp mã riêng và một mã công cộng.
Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho
bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy
tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của
nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP),
cho phép bạn mã hóa hầu như bất cứ thứ gì.
- Dựa vào các phương pháp xác thực mật khẩu như: mật khẩu truyền thống, mật khẩu
một lần (S/Key) hay các hệthống mật khẩu khác (PAP, CHAP, TACACS, RADIUS).
- Một khóa hay một card token:Các card giống như thẻ ATM hay thẻ tín dụng
- Đặc tính nhận dạng: Giọng nói, quét võng mạc, dấu vân tay …
Tất cả các phương pháp bảo mật đó đều được thông qua các giao thức đường hầm
bảo mật của mạng VPN:
- Giao thức chuyển tiếp lớp 2 L2F(Layer 2 Forwarding)
- Giao thức định đường hầm điểm-điểm PPTP(Point-to-Point Tunneling Protocol)
- Giao thức định đường hầm lớp 2 L2TP(Layer 2 Tunneling Protocol)
- Giao thức mạng VPN bảo mật IPSec
Đường hầm trong mạng VPN:
-IP,HA,ESP: là các phương pháp mã hóa dữ liệu
-Tiêu đề: gắn địa chỉ IP của máy gửi và máy nhận
- IP AH ESP Tiêu đề Dữ liệu
Hình 5: Gói tin trong đường hầm VPN
Trang 10
[...]... trên môi trường Windows 2003 Yêu cầu: -Cấu hình VPN trên máy VPN Server 1 -Cấu hình máy VPN sever 2 -Kết nối VPN server 1 và VPN server 2 với nhau - Tạo một thư mục để chia sẻ trên File Server để từ Site này lấy tài liệu từ Site kia ( hoặc ngược lại ) 2.1.Cấu hình VPN trên máy VPN Server 1 - Vào Administrator Tools -> Routing and Remote chuột phải lên PC VPN Server 1 (PC09) chọn Configuring and Enable... tích hợp nhiều công nghệ mới vào mạng 2 Nhược điểm -Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN +Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin... lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới • Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP... HÌNH ẢNH THỰC HÀNH VPN SITE-TO-SITE I Mô tả bài toán Trang 13 VPN Site to Site đây là giải pháp cho việc kết nối mạng từ xa, hiểu khái quát như là mở rộng mạng nội bộ Người dùng có thể thông qua Internet để truy cập vào mạng nội bộ của công ty để lấy dữ liệu từ công ty chính về văn phòng chi nhánh để làm việc và ngược lại Đề Bài : Đây là mô hình lớp học dùng để mô tả cách thiết lập VPN Site to Site trên...CHƯƠNG III ƯU ĐIỂM, NHƯỢC ĐIỂM 1 Ưu điểm - Giảm thiểu các yêu cầu về thiết bị .VPN mang lại lợi ích thực sự và tức thời cho công ty Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng... sổ Configuration đánh dấu chọn vào ô Custom configuration -> Next Trang 15 -Trong cửa sổ Custom Configuration -> Đánh dấu chọn vào những ô sau: +VPN access +Demain-dial connections + NAT and basic firewall +LAN routing ->Next -> Finish Note: Chọn Yes khi hệ thống yêu cầu restart service Trang 16 -Trong cửa sổ Routing and Remote Access -> Click chuột phải lên Network Interfaces chọn New Demand-dial Interface…... Trang 18 -Trong cửa sổ Connection Type-> Đánh dấu chọn Connect using vitual private networking (VPN) -> Next Trang 19 -Trong cửa sổ VPN Type -> Ở đây ta chọn giao thức PPTP ->Chọn ô Point to Point Tunneling Protocol (PPTP) -> Next Trang 20 -Trong cửa sổ Destination Address -> Nhập địa chỉ IP card LAN của máy VPN Server 2(PC10) vào ô Host name or IP address Trang 21 -Trong Protocols and Security -> chọn... Click chuột phải lên PC VPN Server 1(PC09) -> Properties -> Chọn tab IP -> Chọn Static address pool -> Add -> Trong New Address Range -> Nhập vào dãy số IP sau: Start IP address: 10.0.0.10 End IP address: 10.0.0.20 ->OK -> Trong PC09 Properties chọn OK Trang 26 -Trong Routing and Remote Access -> Click phải chuột lên PC VPN Server 1(PC09) -> All Tasks -> Restart 2.2 Cấu hình trên VPN Server 2 -Lặp lại... cho mày VPN Server 2(PC10), thay đổi các thông tin sau: Quote: +Interface Name: “vungtau” +Destination Address: 192.168.1.9 +Static Routes: Destination: 10.0.0.0 Network mask: 255.255.255.0 Metric: 1 Trang 27 + Dial Out Credentials Username: hcm Domain: Password: 123 + Tại các bước tạo Static address pool: Start IP address: 172.16.1.10 End IP address: 172.16.1.20 2.3.Kết nối VPN Server 1 và VPN Server... trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng • Giảm chi phí thường xuyên : VPN cho phép tiết kiệm chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối . Sau thế hệ thứ 2, thị trường VPN bị chậm lại cho đến khi công nghệ Frame
Relay và công nghệ ATM ra đời - thế hệ thứ 3 của VPN dựa trên 2 công nghệ này đến đầu cuối. Thế hệ gần đây (thế hệ thứ 4) của VPN là IP -VPN. IP -VPN đã đáp
ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm.
Trang