Báo cáo VPN và Remote Access

Trang 1

Đề tài :

VPN and Remote Access

Nhóm : Tạ Văn Thùy

Vũ Văn Tường Trương Quốc Cường

Trang 2

Nội dung báo cáo

MẠNG RIÊNG ẢO – KHÁI NIỆM

DEMO VPN WINDOWN SERVER

TRIỂN KHAI MẠNG RIÊNG ẢO

SỬ DỤNG PHẦN MỀM CHECK POINT

Trang 3

KHÁI NIỆM MẠNG RIÊNG ẢO

•Tính cần thiết và mục đích của mạng riêng ảo

oTính cần thiết

oMục đích

•Khái niệm mạng riêng ảo

oCác khái niệm

oCác thiết bị VPN

oPhân loại

oCác thành phần cơ bản

oCác yêu cầu cơ bản

oƯu và nhược điểm của VPN

Trang 4

Khái niệm:

•Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng

(Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm

cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một

mạng riêng và kiểm soát được truy cập

•Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một

doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng

•VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng Dữ liệu riêng được bảo mật thông qua

sử dụng giao thức tạo đường hầm và các phương thức an toàn

Trang 5

- Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để

có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó

có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng

Trang 6

Các thành phần cơ bản của VPN:

Trang 7

LỢI ÍCH CỦA VPN

1 Chi phí thấp hơn những mạng riêng:

2 Tính linh hoạt cho khả năng kinh tế trên Internet:

3 Đơn giản hóa những gánh nặng

4 Tăng tính bảo mật:

5 Hỗ trợ các giao thức mạng thông dụng nhất hiện

nay như TCP/IP

6 Bảo mật địa chỉ IP:

Trang 8

CHỨC NĂNG CHÍNH CỦA VPN

1 Sự tin cậy (Confidentiality): Người gửi có thể mã

hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng

2 Tính toàn vẹn dữ liệu : Người nhận có thể kiểm

tra rằng dữ liệu đã được truyền qua mạng Internet

mà không có sự thay đổi nào

3 Xác thực nguồn gốc : Người nhận có thể xác thực

nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

Trang 9

CÁC DẠNG KẾT NỐI VPN

•Remote Access VPN

•Site to Site VPN: Intranet based, Extranet based

Trang 10

REMOTE ACCES VPN

- Remote Access VPNs cho phép truy cập bất cứ

lúc nào bằng Remote,mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức

- Remote Access VPN mô tả công việc các người

dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server)

- Một hướng phát triển khá mới trong remote

access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây

Trang 11

MỘT SỐ THÀNH PHẦN CHÍNH :

Remote Access Server (RAS): được đặt tại trung tâm

có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới

Trang 12

REMOTE ACCES VPN

Để thực hiện được VPN Remote Access cần:

- Có 1 VPN Getway(có 1 IP Public) Đây là điểm tập

trung xử ly khi VPN Client quay số truy cập vao hệ thống VPN nội bộ

- Các VPN Client kết nối vao mạng Internet

Trang 13

MỘT SỐ THÀNH PHẦN CHÍNH :

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch

vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet

Trang 14

Thuận lợi của Remote Access VPNs:

- Sự cần thiết của RAS và việc kết hợp với được loại trừ

- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP

- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

- Giảm giá thành chi phí kết nối với khoảng cách xa

- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó

hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng

Trang 15

Bất lợi của Remote Access VPNs:

- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trính xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các

dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh

sẽ rất chậm

Trang 16

Site – To – Site VPN

Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN

Trang 17

bộ trong cong ty truy cập vao hệ thống mạng nội bộ của công ty.

2 Extranet VPN :

Kết nối bộ phận khach hang của cong ty, bộ phận tư

vấn, hoặc cac đối tac của cong ty thanh một hệ thống mạng dựa tren hạ tầng được chia sẻ Extranet VPN khac với Intranet VPN ở chỗ cho phep cac user ngoai cong ty truy cập vao hệ thống

Trang 18

SITE – TO – SITE

•Để thực hiện được VPN Site - to Site cần :

- Có 2 VPN Getway(Mỗi VPN Getway có 01 IP Public)

Đây là điểm tập trung xử ly khi VPN Getway phía bên kia quay số truy cập vào

- Các Client kết nối vào hệ thống mạng nội bộ

Trang 19

ƯU VÀ NHƯỢC ĐIỂM CỦA VPN

• Ưu điểm

o Khả năng mở rộng và linh hoạt cao

o Giá thành rẻ: Chỉ mất chi phí cho việc truy cập Internet thông thường

o Giảm chi phí thực hiện (thuê kênh riêng đường dài) và chi phí quản trị (duy trì hoạt động và quản trị mạng WAN)

o Băng thông không bị hạn chế (Chỉ phụ thuộc vào tốc độ đường truyền Internet) và sử dụng hiệu quả băng thông

o Nâng cao khả năng kết nối: Không hạn chế số lượng kết nối

o Đảm bảo khả năng bảo mật giao dịch nhờ công nghệ đường hầm (mã hoá, xác thực truy cập, cấp quyền)

o Quản lý các kết nối dễ dàng thông qua account

Trang 20

ƯU VÀ NHƯỢC ĐIỂM CỦA VPN

o Mọi giao thông qua VPN đều được mã hoá bất chấp nhu cầu có cần mã hoá hay không => Hiện tượng tắc nghẽn cổ chai

o Không cung cấp sự bảo vệ bên trong mạng

Trang 21

GIẢI PHÁP VPN CỦA CHECK POINT

TRIỂN KHAI MẠNG RIÊNG ẢO

SỬ DỤNG PHẦN MỀM CHECK POINT

Trang 22

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

•Kỹ thuật đường hầm (tunneling)

•Các giao thức xây dựng mạng riêng ảo:

oGiao thức VPN tại tầng 2:

 PPTP

 L2F

 L2TP

oGiao thức VPN tại tầng 3 (IPSec) và IKE

oCác giao thức quản trị:

Trang 23

Kỹ thuật Tunneling:

•Tunneling là quá trình xử lý và đặt toàn bộ các gói tin trong một gói tin khác và gửi đi trên mạng

•Kênh thông tin yêu cầu 3 giao thức:

oGiao thức sóng mang (Carrier Protocol): truyền thông

tin về trạng thái đường truyền

oGiao thức đóng gói (Encapsulating Protocol): Che giấu

nội dung truyền (GRE, IPSec, L2F, PPTP, L2TP)

oGiao thức gói (Passenger Protocol): IPX, NetBeui, IP

Trang 24

Kỹ thuật Tunneling:

- Về bản chất,đây là quá trình đặt toan bộ goi tin vao trong một lớp header (tieu đề) chứa thong tin định tuyến co thể truyền qua hệ thống mạng trung gian theo những "đường ống" rieng (tunnel)

- Khi goi tin được truyền đến đich, chung được tach lớp header va chuyển đến cac may trạm cuối cung cần nhận

dữ liệu Để thiết lập kết nối Tunnel, may khach va may chủ phải sử dụng chung một giao thức (tunnel protocol)

- Giao thức của goi tin bọc ngoai được cả mạng va hai điểm đầu cuối nhận biết Hai điểm đầu cuối nay được gọi

la giao diện Tunnel (tunnel interface), nơi goi tin đi vao va

đi ra trong mạng

Trang 25

Chiếc xe ô tô giống giao thức truyền tải, cái hộp giống giao thức đóng gói và chiếc máy tính là giao thức gói.

Trang 26

Trang 27

CÁC GIAO THỨC VPN TẠI TẦNG 2

PPTP (Point to Point Tunneling Protocol)

•Phát triển bởi Microsoft, 3COM và Ascend Communications

•Đề xuất thay thế cho IPSec

•PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và máy chủ truy cập mạng (NAS).

Trang 28

oCó thể hỗ trợ các giao thức non-IP

oĐược hỗ trợ trên nhiều nền khác nhau: Unix, Linux, Apple’s Macintosh

Trang 29

o Phụ thuộc nền

o Phải cấu hình bộ định tuyến và máy chủ truy cập từ xa trong trường hợp sử dụng giải pháp định tuyến bằng đường quay số oYêu cầu máy chủ và máy khách phải được cấu hình mạnh

Trang 30

L2F (Layer 2 Forwarding)

•Được phát triển theo hướng:

oCó khả năng bảo mật cao cho các giao dịch

oHỗ trợ nhiều công nghệ: ATM, Frame Relay, NetBEUIoHỗ trợ nhiều phiên đồng thời trong cùng một đường hầm bằng cách định nghĩa nhiều kết nối trong 1 đường hầm, mỗi kết nối mô tả một dòng PPP đơn

oCho phép truy cập qua cơ sở hạ tầng của Internet và các mạng trung gian

Trang 31

•Các tiến trình trong L2F:

L2F được thiết kế cho

phep tạo đường hầm

giữa NAS va một thiết bị

VPN Getway trong đường

hầm được tạo ra.

Trang 32

•Quá trình truyền dữ liệu trên đường hầm L2F:

Trang 33

L2TP (Layer 2 Tunneling Protocol)

•Phát triển bởi Cisco nhằm thay thế IPSec, tiền thân của nó là L2F

•Thường được sử dụng để mã hoá các khung PPP để gửi trên các mạng X.25, ATM và FR

•Là sự phối hợp của L2F và PPTP, có khả năng mã hoá dữ liệu tốt hơn L2F và có khả năng giao tiếp với Windows

•Có thể tạo ra một đường hầm giữa:

oMáy khách – Router

oNAS – Router

oRouter - Router

Trang 34

L2TP (Layer 2 Tunneling Protocol)

Đường hầm L2TP

Trang 35

L2TP (Layer 2 Tunneling Protocol): Quá trình tạo kết nối L2TP

Trang 37

oKhông yêu cầu bổ sung cấu hình của user từ xa và ISP

oCho phép kiểm soát chứng thực người dùng, hỗ trợ kiểm soát luồng và gói DL bị loại bỏ khi quá tải trên đường hầm => Giao tác nhanh hơn trên L2F

oCho phép người dùng với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa thông qua mạng công cộng

oTăng cường bảo mật bằng cách mã hoá DL dựa trên IPSec trong suốt đường hầm và khả năng chứng thực gói của IPSec

Trang 39

Bảng

so

sánh:

Trang 40

được chuẩn hoá)

Trang 41

•Sử dụng ISAKMP như một framework (cơ cấu), kết hợp Oakley

và SKEME làm giao thức trao đổi khoá

•2 pha:

oPha 1 thiết lập các liên kết an toàn ISAKMP

oPha 2 Thoả thuận các SA thay mặt cho các dịch vụ

Trang 42

CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO

MPLS VPN

•Ko sử dụng hoạt động đóng gói và mã hoá gói tin để đạt mức độ bảo mật cao, mà sử dụng bảng chuyển tiếp và các nhãn “tag”

•Sử dụng các tuyến mạng xác định để phân phối các dịch vụ, các

cơ chế xử lý thông minh nằm hoàn toàn trong phần lõi của mạng

•Mỗi VPN được kết hợp với 1 bảng định tuyến và chuyển tiếp

oĐộ trễ thấp, vì ko yêu cầu mã hoá dữ liệu.

Trang 43

Trang 44

SSL VPN:

•Được xây dựng trên nền tảng giao thức SSL (Secure Socket Layer)

•Yêu cầu cơ bản: 1 trình duyệt + 1 gateway

•Gateway SSL VPN thường được đặt ở vùng DMZ phía sau tường lửa của doanh nghiệp, can thiệp vào các traffic đã

được mã hoá đi qua cổng 443.

•Gateway giải mã dữ liệu và cung cấp menu các ứng dụng được phép hoặc một kết nối mô phỏng môi trường làm việc tại văn phòng của người dùng từ xa

•Ưu điểm:

oYêu cầu đơn giản -> Phổ biếnKhả năng thiết lập an ninh trong môi trường phi Client

Trang 45

dụng Multicast và các ứng dụng yêu cầu QoS

oSSL Server yêu cầu bộ xử lý và bộ nhớ cao

Trang 46

So sánh IPSec VPN và SSL VPN:

Trang 47

Trang 48

•Sử dụng file video

•Sử dụng bộ máy ảo đã cài đặt

Trang 49

Trang 50

KẾT LUẬN

•Kết quả đạt được:

•Tìm hiểu về các khái niệm Mạng riêng ảo

•Nghiên cứu về các giao thức và các công nghệ VPN:

oGiao thức sử dụng trong việc định đường hầm VPN: PPTP, L2F, L2TP

oIPSec (Giao thức tại lớp 3 – Network layer) và IKE.

oPhân tích và so sánh 3 công nghệ VPN: MPLS, IPSec và SSL VPN

•Tìm hiểu về giải pháp công nghệ của CheckPoint cho VPN:

VPN-1 Power NGX R65.

•Xây dựng mô hình: Site to Site VPN, Remote Access VPN

•Thực hành cài đặt, triển khai VPN theo 2 mô hình đã xây dựng

•Test các kết nối VPN

oPing

oSử dụng công cụ SmartView Monitor

oSử dụng dịch vụ: File Server, Mail, Web, FTP

Trang 51

KẾT LUẬN

Nguyện vọng, hướng phát triển:

•Triển khai trên môi trường thực tế

Định dạng
Số trang	52
Dung lượng	2,41 MB