TÌM HIỂU VPN VÀ CÀI ĐẶT VPN VỚI WINDOWS SERVER 2008. Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCPIP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn thông công cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thể quản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual Private Network ). Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.
MỤC LỤC I Giới thiệu VPN II Các thành phần tạo nên VPN VPN client .2 VPN Server 3 IAS Server .3 Firewall Authentication Protocol III Ưu điểm, nhược điểm VPN .4 Ưu điểm Nhược điểm IV Các kiểu truy cập VPN Mạng VPN truy nhập từ xa (Remote Access VPN) Mạng VPN cục ( Intranet VPN) .7 Mạng VPN mở rộng (Extranet) .8 V Các giao thức thường dùng VPN Bộ giao thức IPSec 1.1 Dịch vụ IPsec 1.2 Các giao thức IPSec 11 Giao thức PPTP SSTP 12 2.1 Giao thức PPTP (Point-to-Point Tunneling Protocol) 12 2.2 Secure Socket Tunneling Protocol (VPN-SSTP) 15 I Giới thiệu VPN - Cùng với phát triển mạnh mẽ công nghiệp, nhu cầu trao đổi thông tin, liệu tổ chức, công ty, tập thể cá nhân trở nên thiết Internet bùng nổ Mọi người sử dụng máy tính kết nối Internet thơng qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng giao thức chung TCP/IP - Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… trở nên dễ dàng Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chức hay phủ quản lý, việc đảm bảo an toàn bảo mật liệu hay quản lý dịch vụ vấn đề lớn cần phải giải Từ nhà khoa học nghiên cứu đưa mơ hình mạng mới, nhằm đáp ứng nhu cầu mà tận dụng sở hạ tầng có Internet, mơ hình mạng riêng ảo (VPN – Virtual Private Network ) - Như đặc tính quan trọng VPN sử dụng mạng công cộng Internet, mà đảm báo tính bảo mật tiết kiệm chi phí Hình 1: Mơ Hình Kết Nối VPN II Các thành phần tạo nên VPN VPN client - Một khách hàng VPN máy tính định tuyến Loại VPN khách hàng sử dụng cho mạng công ty thực phụ thuộc vào nhu cầu cá nhân công ty - Mặt khác, cơng ty có vài nhân viên người du lịch thường xuyên cần phải truy cập vào mạng công ty đường đi, bạn hưởng lợi từ việc thiết lập máy tính xách tay nhân viên VPN khách hàng 2 VPN Server - Các máy chủ VPN hoạt động điểm kết nối cho khách hàng VPN Về mặt kỹ thuật, sử dụng Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003 hay Window Server 2008 máy chủ VPN - VPN Server đơn giản Nó máy chủ cứng Windows Server 2008 chạy Routing Remote Access (RRAS) Khi kết nối VPN chứng thực, máy chủ VPN đơn giản hoạt động định tuyến cung cấp cho khách hàng VPN truy cập đến mạng riêng IAS Server - Một yêu cầu bổ sung cho máy chủ VPN cần có máy chủ RADIUS (Remote Authentication Dial In User Service) RADIUS server sử dụng quay số xác thực từ xa RADIUS chế mà nhà cung cấp dịch cụ Internet thường sử dụng để xác thực thuê bao để thiết lập kết nối Internet Firewall - Các thành phần khác theo yêu cầu VPN tường lửa tốt Máy chủ VPN chấp nhận kết nối từ giới bên ngồi, điều khơng có nghĩa giới bên ngồi cần phải có quyền truy cập đầy đủ đến máy chủ VPN Chúng ta phải sử dụng tường lửa để chặn cổng không sử dụng Authentication Protocol - Trong trình thiết lập VPN, phải chọn giao thức xác thực Hầu hết người chọn MS-CHAP v2 MS-CHAP tương đối an tồn, làm việc với khách hàng VPN sử dụng hệ điều hành Windows Lựa chọn tốt MS-CHAP III Ưu điểm, nhược điểm VPN Ưu điểm - Việc sử dụng mạng riêng ảo nhu cầu xu cơng nghệ truyền thơng có số ưu điểm như: Giảm thiểu chi phí triển khai trì hệ thống Cải thiện kết nối An toàn giao dịch Khả điều khiển từ xa Khả mở rộng hệ thống tốt Nhược điểm - VPN đòi hỏi hiểu biết chi tiết vấn đề an ninh mạng, việc cấu hình cài đặt phải cẩn thận, xác đảm bảo tính an tồn hệ thống mạng Internet công cộng - Độ tin cậy hiệu suất VPN sử dụng nhà cung cấp dịch vụ (ISP) tốt chất lượng - Việc sử dụng sản phầm VPN giải pháp nhà cung cấp khác lúc tương thích vấn đề tiêu chuẩn công nghệ VPN - Vấn đề bảo mật cá nhân IV Các kiểu truy cập VPN - Mục tiêu đặt công nghệ mạng VPN thoả mãn ba yêu cầu sau: Tại thời điểm, nhân viên cơng ty truy nhập từ xa di động vào mạng nội công ty Nối liền chi nhánh, văn phòng di động Khả điều khiển quyền truy nhập khách hàng, nhà cung cấp dịch vụ đối tượng bên khác - Dựa vào yêu cầu trên, mạng riêng ảo VPN chia làm ba kiểu truy cập: Mạng VPN truy nhập từ xa (Remote Access VPN) Mạng VPN cục (Intranet VPN) Mạng VPN mở rộng (Extranet VPN) Mạng VPN truy nhập từ xa (Remote Access VPN) - Các VPN truy nhập từ xa cung cấp khả truy nhập từ xa Tại thời điểm, nhân viên, chi nhánh văn phòng di động có khả trao đổi, truy nhập vào mạng công ty Kiểu VPN truy nhập từ xa kiểu VPN điển hình Bởi vì, VPN thiết lập thời điểm nào, từ nơi có mạng Internet Hình 2: Mơ hình mạng VPN truy nhập từ xa Mạng VPN cục ( Intranet VPN) - Các VPN cục sử dụng để bảo mật kết nối địa điểm khác công ty Mạng VPN liên kết trụ sở chính, văn phòng, chi nhánh sở hạ tầng chung sử dụng kết nối ln mã hố bảo mật Điều cho phép tất địa điểm truy nhập an tồn nguồn liệu phép tồn mạng cơng ty Central site Remote site POP or Interne Router PIX Firewall Văn phịng từ xa Văn phịng trung tâm Hình 3: Mơ hình mạng VPN cục Mạng VPN mở rộng (Extranet) - Thực tế mạng VPN mở rộng cung cấp khả điều khiển truy nhập tới nguồn tài nguyên mạng cần thiết để mở rộng đối tượng kinh doanh đối tác, khách hàng, nhà cung cấp… - Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp đối tác qua sở hạ tầng công cộng Kiểu VPN sử dụng kết nối luôn bảo mật cấu VPN Site–to–Site Sự khác VPN cục VPN mở rộng truy cập mạng cơng nhận hai đầu cuối VPN Hình 4: Mơ hình VPN Site-to-Site (Extranet-Based VPN) V Các giao thức thường dùng VPN Bộ giao thức IPSec - Là họ giao thức tầng mạng cung cấp dịch vụ bảo mật, xác thực, toàn vẹn liệu điều khiển truy nhập tập hợp tiêu chuẩn mở làm việc với nhau, giới thiệu lần đầu vào năm 1995 - Công nghệ VPN triển khai chủ yếu Ipsec để bảo mật cho đường VPN internet Ipsec hoạt động tầng network, cung cấp bảo mật xác thực cho gói tin IP - Nó kiến trúc khung cho chuẩn mở gồm giao thức thuật toán đọc lập với kết hợp, sử dụng chung với - Nó cung cấp mã hóa dl, tồn vẹ dk xác thực gói tin gửi 1.1 Dịch vụ IPsec 1.1.1 Confidentiality - mã hóa liệu - Là có gói tin muốn gửi cho người khác trước gửi 1.1.2 Data integrity - toàn vẹn liệu - Là truyền DL mạng inter net mà liệu không bị thay đổi Thì ta dùng thuật tốn hàm băm : HMAC – MD5 HMAC-SHA1 - Khi ta chuyển gói liệu thì ham băm dùng để băm gói liệu theo thuật tốn Sau gói liệu chuyển sang bên hàm băm băm lại theo thuật tốn trước xem có trùng khớp hay khơng Nếu thấy giống đoạn liệu khơng bị thay đổi, thấy khác hàm liệu bị thay đổi khơng nhận gói tin Và đảm bảo gói liệu qua internet 1.1.3 Authentication xác thực liệu - Có nhiều thuật tốn mã hóa sau em liệt kê thuật toán xác thực tiêu biểu : DES, 3DES, AES => thuật toán thuật toán giải ma đối xứng ( dùng key mã hóa giải hóa) RSE => thuật tốn giải mã bất đối xứng dùng key nhg giải mã key - Xác thực liệu đảm bảo người trao đổi với người mà ta cần trao đổi Có phương pháp xác thực PSKs RSA singatures PSKs đầu cấu hình trước khóa tĩnh (là hai bên cấu hình key giống trao đổi liệu) RSA sử dụng key số để cấu hình Thuật tốn trao đổi khóa: Khi bên chuyển mã hóa bên nhận giải mã trước bên phải thống khóa Nhưng trao đổi khóa? Và cách giải bên trao đổi khóa qua kênh khơng an tồn (có thể truyền qua internet mà muốn đảm bảo khóa khơng bị lộ) Có thuật tốn giúp xử lý việc : DH1, DH2 DH5 10 1.2Các giao thức IPSec - Gồm giao thức Authentication Header (AH), Encapsulating Security Payload (ESP): AH cung cấp xác thực toàn vẹn liệu cho liệu qua, nội dung liệu phơi dạng văn ESP cung cấp mã hóa, xác thực tồn vẹn liệu Hình5: Mơ hình Ipsec 11 Giao thức PPTP SSTP 2.1Giao thức PPTP (Point-to-Point Tunneling Protocol) - PPTP phương thức mạng riêng ảo, phát triển Microsoft kết hợp với số công ty khác, sử dụng kênh điều khiển qua giao thức TCP đường hầm GRE để đóng gói gói liệu PPP (Point-to-Point) PPTP phần tiêu chuẩn Internet Point-to-Point (PPP), PPTP sử dụng loại xác thực PPP (PAP, SPAP, CHAP, MS-CHAP, EAP) 2.1.1 Nguyên tắc hoạt động PPTP - PPP giao thức truy nhập vào Internet mạng IP phổ biến Nó làm việc lớp liên kết liệu mơ hình OSI, PPP bao gồm phương thức đóng gói, tách gói IP, truyền chỗ kết nối điểm tới điểm từ máy sang máy khác - Một số chế xác thực sử dụng là: Giao thức xác thực mở rộng EAP Giao thức xác thực có thử thách bắt tay CHAP Giao thức xác định mật PAP - Giao thức PAP hoạt động nguyên tắc mật gửi qua kết nối dạng văn đơn giản khơng có bảo mật CHAP giao thức có cách thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, chống lại công quay lại cách sử dụng giá trị bí mật khơng thể đoán giải PPTP nhà phát triển công nghệ đưa vào việc mật mã nén phần tải tin PPP Để mật mã phần tải tin PPP sử dụng phương thức mã hoá điểm tới điểm MPPE 12 2.1.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP - Kết nối điều khiển PPTP kết nối địa IP máy khách PPTP địa máy chủ Kết nối điều khiển PPTP mang theo gói tin điều khiển quản lý sử dụng để trì đường hầm PPTP 2.1.3 Ngun lý đóng gói liệu đường hầm PPTP - Đóng gói khung PPP gói định tuyến chung GRE Phần tải khung PPP ban đầu mã hố đóng gói với tiêu đề PPP để tạo khung PPP Khung PPP sau đóng gói với phần tiêu đề phiên giao thức GRE sửa đổi GRE giao thức đóng gói chung, cung cấp chế đóng gói liệu để định tuyến qua mạng IP 2.1.4 Nguyên tắc thực gói tin liệu đầu cuối đường hầm PPTP - Khi nhận liệu đường hầm PPTP, máy trạm máy chủ PPTP, thực bước sau Xử lý loại bỏ gói phần tiêu đề lớp liên kết liệu hay gói tin Xử lý loại bỏ tiêu đề IP Xử lý loại bỏ tiêu đề GRE PPP Giải mã nén phần tải tin PPP - Xử lý phần tải tin để nhận chuyển tiếp 13 2.1.5 Tính hạn chế PPTP - Tính : PPTP tạo nhiều kết nối khách hàng mà không yêu cầu dịch vụ đặc biệt ISP PPTP phù hợp nhiều hệ điều hành thông dụng (Microsoft, Nortel Network, TeteSystems…) PPTP hỗ trợ dịch vụ IP, mã hóa gói tin RC4 (56 bit 128 bit), sử dụng port 1723 giao thức GRE - Hạn chế: Khó khăn lớn gắn kèm với PPTP chế yếu bảo mật 14 2.2 Secure Socket Tunneling Protocol (VPN-SSTP) - Hiện nay, chế PPTP L2TP Windows Server 2008 Windows Vista Service Pack hỗ trợ thêm chế kết nối là: Secure Socket Tunneling Protocol (SSTP) 2.2.1 Giới thiệu - SSTP (Secure Socket Tunneling Protocol) dạng kết nối VPN Windows Vista Windows Server 2008 SSTP sử dụng kết nối HTTP mã hóa SSL để thiết lập kết nối VPN đến VPN gateway SSTP giao thức an tồn thơng tin quan trọng người dùng không gửi có “đường hầm” SSL an tồn thiết lập với VPN gateway 2.2.2 Lý sử dụng PPTP VPN - Mạng riêng ảo VPN cung cấp cách kết nối từ xa đến hệ thống mạng thông qua Internet 2.2.3 SSTP họat động nào? - SSTP họat động HTTPs tức HTTP sử dụng SSL cho bảo mật thông tin liệu SSL cung cấp chế xác thưc điểm cuối đuợc yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client dựa vào PPP chạy để xác thực client với server Nghĩa Client xác thực server certificate Server xác thực Client thơng qua giao thức có hỗ trợ PPP - Khi Client kết nối với Remote Access Server cách sử dụng SSTP làm giao tác tạo lập đường hầm, SSTP thiết lập session HTTPs với server từ xa port 443 địa URL riêng biệt Các xác lập proxy HTTP cấu hình thơng qua IE sử dụng để thiết lập kết nối 15 - Với session HTTPs, client đòi hỏi server cung cấp certificate để xác thực.Khi thiết lập quan hệ SSL hòan tất, session HTTP thíet lập Sau đó, SSTP sử dụng để thương lượng tham số Client Server - Khi lớp SSTP thiết lập, việc thương lượng SSTP bắt đầu nhằm cung cấp chế xác thực client với server tạo đường hầm cho liệu 16 ... mặt kỹ thuật, sử dụng Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003 hay Window Server 2008 máy chủ VPN - VPN Server đơn giản Nó máy chủ cứng Windows Server 2008 chạy Routing Remote... kiểu truy cập: Mạng VPN truy nhập từ xa (Remote Access VPN) Mạng VPN cục (Intranet VPN) Mạng VPN mở rộng (Extranet VPN) Mạng VPN truy nhập từ xa (Remote Access VPN) - Các VPN truy nhập từ xa... thực server với client dựa vào PPP chạy để xác thực client với server Nghĩa Client xác thực server certificate Server xác thực Client thông qua giao thức có hỗ trợ PPP - Khi Client kết nối với