BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài: Tìm hiểu giải pháp mã nguồn mở OpenVPN Linux Lời cảm ơn Em xin chân thành cảm ơn thầy cô giáo môn Kỹ thuật hệ thống mạng máy tính,những người dạy dỗ, trang bị cho em kiến thức bổ ích suối năm học tập Em xin bày tỏ lòng cảm ơn sâu sắc với thầy Bùi Thanh Phong, thầy tận tình giúp đỡ,hướng dẫn cho em lời khuyên quý báu trình thực tập Hà nội,ngày 24 tháng năm 2014 Mục lục I Lời cảm ơn II Mục lục III Danh mục từ viết tắt VPN : Virtual private network IV Lời mở đầu V Tổng quan VPN .6 Định nghĩa VPN Tại phải sử dụng VPN Kiến trúc VPN Các giao thức VPN 10 Hệ thống mạng VPN 17 5.1 Remote Access VPNs 17 5.2 Site to Site (Lan to Lan) 19 5.3 Quá trình thiết lập kết nối Client Server 22 VI Giải pháp mã nguồn mở OpenVPN Linux 24 Lịch sử OpenVPN 24 OpenVPN gì? 25 Ưu điểm OpenVPN 26 Cài đặt OpenVPN Linux .27 5.1 Những hiểu biết hệ điều hành Linux CentOS .27 5.1.1 Linux 27 5.1.2 CentOS 29 5.2 7.1 Cài đặt OpenVPN CentOS 6.5 x64 30 Cấu hình VPN 34 Cấu hình OpenVPN server Linux 34 7.2 Cấu hình OpenVPN client MacOS với Tunnelblick 41 7.3 Cấu hình OpenVPN client Windows XP SP3 45 Thử nghiệm sử dụng OpenVPN máy ảo 46 Giám sát xử lý cố 47 9.1 Trên Server .47 9.2 Trên Client .47 VII Kết luận 48 VIII Tài liệu tham khảo 49 IX Ý kiến giảng viên hướng dẫn 50 Danh mục từ viết tắt VPN : Virtual private network ISP : Internet service provider SSL : Secure Sockets Layer NAS : Network-attached storage OSI : Open Systems Interconnection Reference Model IETF : Internet Engineering Task Force GNU : General Public License KDE: Desktop Environment GNOME: GNU Network Object Model Environment HTTPS : Hypertext Transfer Protocol Secure TCP : Transmission Control Protocol UDP : User Datagram Protocol NAT : Network address translation SSH : Secure Shell LDAP : Lightweight Directory Access Protocol IPsec : Internet Protocol Security DNS : Domain Name System Lời mở đầu Hiện nay,Internet phát triển mạnh mẽ mặt mơ hình lẫn tổ chức, đáp ứng đầy đủ nhu cầu người sử dựng Internet thiết kế để kết nối nhiều mạng với cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng.Để làm điều người ta sử dụng hệ thống thiết bị định tuyến để kết nối LAN WAN với nhau.Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ ISP Với Internet, dịch vụ đào tạo từ xa, mua hàng trực tuyến, tư vấn lĩnh vực nhiều điều khác trở thành thực Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu, việc quản lý dịch vụ Các doanh nghiệp có chỗi chi nhánh, cửa hàng ngày trở nên phổ biến.Không vậy, nhiều doanh nghiệp triển khai đội ngũ bán hàng đến tận người dùng.Do đó, để kiểm sốt, quản lý, tận dụng tốt nghuồn tài nguyên, nhiều doanh nghiệp triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên, việc truy xuất sở liệu từ xa ln địi hỏi cao vấn đề an toàn, bảo mật Để giải vấn đề trên, nhiều doanh nghiệp chọn giải pháp mơ hình mạng riêng ảo VPN Với mơ hình này,người ta khơng phải đầu tư thêm nhiều sở hạ tầng mà tính bảo mật dộ tin cậy bảo đảm, đồng thời quản lý riêng hoạt động magj VPN cho phép người sử dụng làm việc nhà riêng , đường văn phịng chi nhánh kết nối an toàn tới máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nhưng thông thường, triển khai phần mềm VPN phần cứng tốn nhiều thời gian chi phí , OpenVPN giải pháp mã nguồn mở VPN hồn tồn miễn phí hiệu cho doanh nghiệp Nội dung báo cáo trình bày theo phần chính: 1.Những tìm hiểu VPN 2.Tìm hiểu OpenVPN triển khai mơ hình máy ảo Tổng quan VPN Định nghĩa VPN Trước cơng ty,tổ chức muốn kết nối văn phịng,chinh nhánh với họ phải thuê riêng kênh đường truyền leased line từ ISP.Ngày với phát triển nhanh chóng phổ biến internet,việc thuê kênh riêng trở nên khơng hiệu quả,ngồi chi phí cho việc thuê kênh riêng cao.Để đáp ứng hai yêu cầu hiệu chi phí VPN đời,đưa đến cho doanh nghiệp giải pháp để kết nối văn phòng chi nhánh.Vậy VPN gì? Có nhiều định nghĩa VPN,em xin đưa vài ví dụ cụ thể : “Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) mạng dành riêng để kết nối máy tính cơng ty,tập đồn hay tổ chức với thông qua mạng Internet công cộng.” nguồn: Wikipedia “Một mạng VPN hiểu thiết lập logic vật lý bảo mật thực phần mềm đặc biệt.Thiết lập riêng tư việc bảo vệ kết nối điểm cuối” nguồn: OpenVPN-Markus Feiler Nhưng có lẽ định nghĩa đơn giản dành cho VPN là: “Bản chất VPN kết nối bảo mật hai nhiều điểm mạng công cộng” nguồn: SSL VPN-Joseph Steinberg & Timothy Speed Hình 1: Mơ Hình mạng riêng ảo (VPN) Tại phải sử dụng VPN VPN đời từ nhu cầu kết nối công ty mẹ với công ty chi nhánh.Chính vậy,cho tới cơng ty,tổ chức đối tượng sử dụng VPN.Đặc biệt cơng ty có nhu cầu cao việc trao đổi thông tin,dữ liệu văn phịng khơng địi hỏi u cầu q cao tính bảo mật,cũng liệu.Vì doanh nghiệp,những lý sau khiến đơn vị,tổ chức,công ty sử dụng VPN: Giảm chi phí thường xuyên Tiết kiệm 60% chi phí thuê đường truyền,cũng chi phí gọi đường dài văn phòng xa.Với nhân viên di động việc đăng nhập vào mạng VPN chung cơng ty thơng qua POP địa điểm Giảm chi phí đầu tư So với việc phải đầu tư từ đầu trước chi phí máy chủ,đường truyền,bộ định tuyến,bộ chuyển mạch … Các cơng ty th chúng từ đơn vị cung cấp dịch vụ.Như vừa giảm chi phí đầu tư trang thiết bị Giảm chi phí trì nơi hệ thống bảo trì Thuận tiện cho việc nâng cấp hay bảo trì trình sử dụng cơng ty cung cấp dịch vụ chịu trách nhiệm bảo trì hệ thống họ cung cấp nâng cấp theo nhu cầu khách hàng Truy cập lúc nơi Mọi nhân viên sử dụng hạ tầng,dịch vụ bên cung cấp điều kiện cho phép để kết nối vào mạng VPN công ty.Điều đặc biệt quan trọng thời kỳ nay,khi mà thông tin khơng cịn đánh giá độ xác mà cịn tính tức thời Kiến trúc VPN Một hệ thống VPN xây dựng lên thành phần (Tunneling) đường hầm kết nối (Secure services) dịch vụ bảo mật cho kết nối đó.Tunneling thành phần “Virtual” Sercure services thành phần “Private” mạng riêng ảo VPN(Virtual Private Network) Đường hầm kết nối (Tunneling) Khác với việc thuê đường truyền riêng kết nối việc sử dụng cách tạo đường hầm không liên tục,mà xác lập có yêu cầu kết nối.Do khơng cịn sử dụng kết nối huỷ,giải phóng băng thơng,tài ngun mạng cho yêu cầu khác.Điều cho thấy ưu điểm lớn VPN so với việc thuê đường truyền riêng linh hoạt Cấu trúc logic mạng thiết lập dành cho thiết bị mạng tương ứng mạng mà khơng cần quan tâm đến hạ tầng mạng có đặc điểm “ảo” khác VPN.Các thiết bị phần cứng mạng trở nên tàng hình với người dùng thiết bị mạng VPN.Chính q trình tạo đường hầm,những kết nối hình thành nên mạng riêng ảo khơng có tính chất vật lý với kết nối cố định mạng Lan thông thường Tạo đường hầm hình thành kết nối đặc biệt hai điểm cuối mạng.Các gói tin IP trước chuyển phải đóng gói,mã hố gói tin gốc thêm IP header mới.Sau gói tin giải mã,tách bỏ phần tiêu đề gateway điểm đến,trước chuyển đến điểm đến đầu cuối Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàn suốt với người sử dụng Có hai loại đường hầm kết nối thường trực tạm thời.Tính hiệu tối ưu đường hầm kết nối thường trực không cao.Do đường hầm tạm thời thường sử dụng tính linh động hữu dụng cho VPN Có hai kiểu kết nối hình thành hai đầu kết nối đường hầm Lan to Lan Client to Lan (i) Lan to Lan Kết nối lan to lan hình thành văn phịng chi nhánh chi nhánh với công ty.Các nhân viên văn phịng chi nhánh sử dụng đường hầm để trao đổi liệu (ii) Client to lan Kiểu kết nối client to lan dành cho kết nối di động nhân viên xa đến công ty hay chi nhánh.Để thực điều này,các máy client phải chạy phần mềm đặc biệt cho phép kết nối với gateway công ty hay chinh nhánh.Khi kết nối thực xác lập đường hầm kết nối công ty nhân viên xa b) Dịch vụ bảo mật (secure services) Nếu thực tạo đường hầm kết nối đến chi nhánh hay nhân viên xa mà khơng có chế bảo vệ cho liệu di chuyển việc ngân hàng chuyển tiền mà khơng có lực lượng bảo vệ vậy.Tất liệu khơng bảo vệ,hồn tồn bị đánh cắp,thay đổi trình vận chuyển cách dễ dàng.Chính chế bảo mật cho VPN xương sống giải pháp Một mạng VPN cần cung cấp chức bảo mật cho liệu: • Xác thực(Authentication): Đảm bảo liệu đến từ nguồn quy định • Điều khiển truy cập (Access control) : hạn chế quyền từ người dùng bất hợp pháp • Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay chép liệu trình vận chuyển mạng • Tính tồn vẹn (Data integrity): đảm bảo liệu không bị thay đổi,được bảo toàn từ đầu gửi đến đầu nhận Các dịch vụ bảo mật cung cấp lớp (Data link) lớp (Network) mơ hình lớp OSI.Các dịch vụ bảo mật triển khai lớp thấp mơ hình OSI làm giảm tác động đến người dùng.Việc bảo mật thực đầu cuối (end to end) nút (node to node) Bảo mật điểm đầu cuối hình thức bảo mật có độ tin cậy cao,ví dụ máy tính đầu cuối.Tuy hình thức bảo mật đầu cuối hay client to client lại có nhược điểm làm tang phức tạp cho người dùng,khó khăn cho việc quản lý 10