Đang tải... (xem toàn văn)
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC-Đồ án an ninh mạng-Bảo mật mạng-hệ thông VPn- ipsecMạng riêng ảo VPN
TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG VÀ TRUYỀN THÔNG BÁO CÁO BÀI TẬP LỚN CUỐI KÌ ĐỀ TÀI: BẢO VỆ HỆ THỐNG MẠNG BẰNG VPN\IPSEC SVTH : NGÔ VĂN TỰ CƯƠNG TRẦN QUỐC NHẬT TRUNG LỚP : 12TLT.CNTT GVHD : Ts NGUYỄN TẤN KHÔI Đà Nẵng, 5/2014 Mục Lục Danh mục hình LỜI MỞ ĐẦU Trong thập kỷ qua, Internet phát triển bùng nổ với tốc độ chóng mặt toàn giới số lượng kĩ thuật Và phát triển khơng có dấu hiệu dừng lại Sự phát triển không đơn giản số lượng lớn thành viên kết nối vào hệ thống Internet mà xâm nhập vào khía cạnh sống đại, vào hoạt động thương mại với quy mô lớn nhỏ khác nhau… Ban đầu, tổ chức quan sử dụng Internet để giới thiệu sản phẩm dịch vụ website Cùng với thời gian, phát triển thành thương mại điện tử, hoạt động kinh doanh, giao dịch thực qua mạng internet Bài toán đặt làm để bảo vệ chống lại cơng q trình truyền qua mạng? Sau tìm hiểu bảo mật liệu qua mạng việc sử dụng IPSec Vấn đề phát sinh tính bảo mật hiệu kinh tế việc truyền tải liệu qua mạng trung gian cơng cộng khơng an tồn Internet Để giải vấn đề này, giải pháp đưa mạng riêng ảo VPN kết hợp với giao thức bảo mật IPSEC Chính điều động lực cho phát triển mạnh mẽ VPN ngày Mục tiêu đề tài I - Tìm hiểu mạng riêng ảo VPN, công nghệ IPSec, chế mã hóa liệu IPSec Tìm hiểu kiến trúc IPSec, ứng dụng thực tiễn II III Triển khai hệ thống VPN có IPSec u cầu Hồn thành bải báo cáo đầy đủ tiến độ Nắm kiến thức đề Kết cấu đề tài Ngoài phần mở đầu kết luận báo cáo gồm có chương sau: Chương I Tổng quan VPN Chương II Tìm hiểu giao thức IPSEC Chương III Triển khai hệ thống VPN có IPSec Chương Tổng Quan Về VPN 1.1 Tổng Quan Cùng với phát triển mạnh mẽ công nghiệp, nhu cầu trao đổi thông tin, liệu tổ chức, công ty, tập thể cá nhân trở nên thiết Internet bùng nổ Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… trở nên dễ dàng Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chức hay phủ quản lý, việc đảm bảo an toàn bảo mật liệu hay quản lý dịch vụ vấn đề lớn cần phải giải Từ nhà khoa học nghiên cứu đưa mơ hình mạng mới, nhằm đáp ứng nhu cầu mà tận dụng sở hạ tầng có Internet, mơ hình mạng riêng ảo (VPN – Virtual Private Network ) Với mơ hình này, khơng phải đầu tư thêm nhiều trang thiết bị, sở hạ tầng mà đảm bảo tính bảo mật, độ tin cậy đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường hay văn phịng chi nhánh kết nối an toàn đến máy chủ tổ chức sở hạ tầng cung cấp mạng cơng cộng Nó đảm bảo an tồn thơng tin tổ chức, công ty chi nhánh, văn phòng, người cung cấp hay đối tác kinh doanh môi trường truyền thông rộng lớn Như đặc tính quan trọng VPN sử dụng mạng công cộng Internet, mà đảm báo tính bảo mật tiết kiệm chi phí 1.2 Lịch sử phát triển VPN Sự xuất mạng chuyên dùng ảo, gọi mạng riêng ảo (VPN), bắt nguồn từ yêu cầu khách hàng (client), mong muốn kết nối cách có hiệu với tổng đài thuê bao (PBX) lại với thông qua mạng diện rộng (WAN) Trước kia, hệ thống điện thoại nhóm mạng cục (LAN) trước sử dụng đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực việc thông tin với Các mốc đánh dấu phát triển VPN: - Năm 1975, Franch Telecom đưa dịch vụ Colisee, cung cấp dịch vụ dây chuyên dùng cho khách hàng lớn Colisee cung cấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ vào lượng dịch vụ mà đưa cước phí nhiều tính quản lý khác - Năm 1985, Sprint đưa VPN, AT&T đưa dịch vụ VPN có tên riêng mạng định nghĩa phần mềm SDN - Năm 1986, Sprint đưa Vnet, Telefonica Tây Ban Nha đưa Ibercom - Năm 1988, nổ đại chiến cước phí dịch vụ VPN Mỹ, làm cho số xí nghiệp vừa nhỏ chịu cước phí sử dụng VPN tiết kiệm gần 30% chi phí, kích thích phát triển nhanh chóng dịch vụ Mỹ - Năm 1989, AT&T đưa dịch vụ quốc tế IVPN GSDN - Năm 1990, MCI Sprint đưa dịch vụ VPN quốc tế VPN; Telstra Ôxtrây-li-a đưa dich vụ VPN rong nước khu vục châu Á – Thái Bình Dương - Năm 1992, Viễn thông Hà Lan Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN - Năm 1993, AT&T, KDD viễn thơng Singapo tun bố thành lập Liên minh tồn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, có dịch vụ VPN - Năm 1994, BT MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)… Năm 1995, ITU-T đưa khuyến nghị F-16 dịch vụ VPN toàn cầu (GVPNS) - Năm 1996, Sprint viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One - Năm 1997 coi năm rực rỡ cơng nghệ VPN, cơng nghệ có mặt khắp tạp chí khoa học cơng nghệ, hội thảo… Các mạng VPN xây dựng sở hạ tầng mạng Internet công cộng mang lại khả mới, nhìn cho VPN Cơng nghệ VPN giải pháp thông tin tối ưu cho cơng ty, tổ chức có nhiều văn phịng, chi nhánh lựa chọn Ngày nay, với phát triển công nghệ, sở hạ tầng mạng IP (Internet) ngày hoàn thiện làm cho khả VPN ngày hồn thiện Hiện nay, VPN khơng dùng cho dịch vụ thoại mà dùng cho dịch vụ liệu, hình ảnh dịch vụ đa phương tiện 1.3 Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng (Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng đường leased-line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà đảm bảo tính an tồn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi gọi Tunnel Tunnel giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa theo chế giấu đi, cung cấp phần đầu gói tin (header) thơng tin đường cho phép tới đích thơng qua mạng cơng cộng cách nhanh chóng, liệu mã hóa cách cẩn thận packet bị bắt đường truyền công cộng khơng thể đọc nội dung khơng có khóa đề giải mã, liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1.3.1.1.1 Mơ Hình Kết Nối VPN 1.4 Các thành phần tạo nên VPN Để triển khai hệ thống VPN bạn cần có số thành phần sau, việc tạo hệ thống VPN người có lựa chọn thành phần khác để phù hợp với công ty hay mục đích người 1.4.1 VPN client Một khách hàng VPN máy tính định tuyến Loại VPN khách hàng sử dụng cho mạng công ty thực phụ thuộc vào nhu cầu cá nhân công ty Mặt khác, cơng ty có vài nhân viên người du lịch thường xuyên cần phải truy cập vào mạng công ty đường đi, bạn hưởng lợi từ việc thiết lập máy tính xách tay nhân viên VPN khách hàng Về mặt kỹ thuật, hệ điều hành hoạt động VPN khách hàng miễn hỗ trợ PPTP, L2TP, giao thức IPSec Trong hệ điều hành Microsoft, bạn sử dụng 2000, XP chí Window Mặc dù tất hệ điều hành mặt kỹ thuật làm việc khách hàng, tốt Windows XP khả hỗ trợ L2TP IPSec thông dụng 1.4.2 VPN Server Các máy chủ VPN hoạt động điểm kết nối cho khách hàng VPN Về mặt kỹ thuật, sử dụng Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003 hay Window Server 2008 máy chủ VPN VPN Server đơn giản Nó máy chủ cứng Windows Server 2008 chạy Routing Remote Access (RRAS) Khi kết nối VPN chứng thực, máy chủ VPN đơn giản hoạt động định tuyến cung cấp cho khách hàng VPN truy cập đến mạng riêng 1.4.3 IAS Server Một yêu cầu bổ sung cho máy chủ VPN cần có máy chủ RADIUS (Remote Authentication Dial In User Service) RADIUS server sử dụng quay số xác thực từ xa RADIUS chế mà nhà cung cấp dịch cụ Internet thường sử dụng để xác thực thuê bao để thiết lập kết nối Internet Microsoft có phiên riêng RADIUS gọi Dịch vụ xác thực Internet IAS (International Accounting Standards) Các dịch vụ IAS có Windows Server 2008 1.4.4 Firewall Các thành phần khác theo yêu cầu VPN tường lửa tốt Máy chủ VPN chấp nhận kết nối từ giới bên ngồi, điều khơng có nghĩa giới bên ngồi cần phải có quyền truy cập đầy đủ đến máy chủ VPN Chúng ta phải sử dụng tường lửa để chặn cổng không sử dụng Yêu cầu cho việc thiết lập kết nối VPN địa IP máy chủ VPN có thơng qua tường lửa bạn để tiếp cận với máy chủ VPN Nếu bạn nghiêm túc an ninh (và có ngân sách), đặt máy chủ ISA chu vi tường lửa máy chủ VPN Ý tưởng cấu hình tường lửa để đạo tất lưu lượng truy cập VPN có liên quan đến ISA Server máy chủ VPN ISA Server sau hoạt động proxy VPN Cả hai khách hàng VPN VPN Server giao tiếp với máy chủ ISA Họ không giao tiếp trực tiếp với Điều có nghĩa ISA Server che chắn máy chủ VPN từ khách hàng truy cập trực tiếp, cho máy chủ VPN thêm lớp bảo vệ 1.4.5 Chọn Giao thức Tunneling Khi VPN khách hàng truy cập vào máy chủ VPN, họ làm qua đường hầm ảo Một đường hầm khơng có lối an tồn qua mơi trường khơng an tồn (thường Internet) Tuy nhiên, đường hầm khơng tự nhiên mà có Nó địi hỏi việc sử dụng giao thức đường hầm Có số giao thức để lựa chọn để tạo đường hầm như: IPSec, L2TP , PPTP, GRE Nhưng lựa chọn giao thức đường hầm cho công ty, hay nhu cầu người định quan trọng lập kế hoạch thiết kế VPN Lợi lớn mà L2TP PPTP dựa IPSec IPSec mã hóa liệu, cung cấp xác thực liệu, liệu người gửi mã hóa đảm bảo không bị thay đổi nội dung truyền Hơn nữa, IPSec thiết kế để ngăn chặn cơng replay Mặc dù L2TP có lợi so với PPTP, PPTP có lợi riêng khả tương thích PPTP hoạt động tốt với hệ điều hành Windows L2TP 1.4.6 Authentication Protocol Trong trình thiết lập VPN, phải chọn giao thức xác thực Hầu hết người chọn MS-CHAP v2 MS-CHAP tương đối an tồn, làm việc với khách hàng VPN sử dụng hệ điều hành Windows Lựa chọn tốt MS-CHAP 1.5 Lợi ích hạn chế việc sử dụng VPN 1.5.1 Lợi ích Việc sử dụng mạng riêng ảo nhu cầu xu cơng nghệ truyền thơng có số ưu điểm như: Giảm thiểu chi phí triển khai trì hệ thống - Với VPN việc triển khai hệ thống đáp ứng đầy đủ nhu cầu truyền tải hay tính bảo mật an tồn liệu chi phí rẻ VPN giảm thiểu tối đa phí th đường truyền dài thay vào tận dụng lại hệ thống mạng Internet có sẵn - Phí trì hệ thống vấn đề đáng quan tâm, với VPN phí trì rẻ, việc thuê hạ tầng có sẵn cơng ty dịch vụ Internet chi phí trì khơng cịn đáng lo ngại Cải thiện kết nối - Vượt qua lọc chặn truy cập Web: VPN lựa chọn tốt để vượt qua lọc Internet, lý VPN sử dụng nhiều số nước có kiểm duyệt Internet khắt khe - Việc thay đổi địa IP: Nếu muốn thay đổi IP khác VPN giúp chúng làm điều việc giúp ta che dấu địa tránh xâm hại hay ý đồ xấu hacker (kẻ cơng, tin tặc) bên ngồi mạng An tồn giao dịch - Việc trao đổi thông tin công việc nhiều liên tục, vấn đề bảo mật thơng tin quan trọng, với VPN lo lắng nhiều việc đó, VPN sử dụng chế giấu đi, liệu mã hóa thơng tin liệu bảo bọc gói tin Header (phần đầu gói tin ghi địa đầu - cuối gói tin) truyền nhanh chóng dựa vào Internet - VPN đáp ứng tốt việc chia gói tin liệu thời gian dài Khả điều khiển từ xa - Thời đại nay, người làm việc muốn tiết kiệm thời gian giảm chi phí, việc người làm việc nhà mà giải tốt cơng việc họ thật tuyệt vời Với VPN người dùng truy cập vào hệ thống mạng từ đâu nhà chí quán coffe cần nơi có Internet (ở hệ thống VPN sử dụng Internet), có lợi đối cho việc thực cơng việc từ xa Khả mở rộng hệ thống tốt - Chi phí để xây dựng hệ thống mạng lưới chuyên dụng (sử dụng cáp mạng) cho công ty lúc đầu hợp lý, nhiên cơng ty ngày phát triển nhu cầu mở rộng hệ thống mạng cần thiết VPN lựa chọn hợp lý VPN khơng phụ thuộc nhiều vào vấn đề “hệ thống”, nói cách đơn giản muốn mở rộng cần tạo thêm đường ống (tunnel) kết nối dựa hạ tầng Internet có sẵn 1.5.2 Hạn chế Mặc dù phổ biến mạng riêng ảo (VPN) khơng hồn hảo hạn chế ln ln tồn trọng hệ thống mạng Một số hạn chế cần lưu ý triển khai hệ thống VPN: - - - VPN đòi hỏi hiểu biết chi tiết vấn đề an ninh mạng, việc cấu hình cài đặt phải cẩn thận, xác đảm bảo tính an tồn hệ thống mạng Internet cơng cộng Độ tin cậy hiệu suất VPN dựa Internet khơng phải kiểm sốt trực tiếp cơng ty, giải pháp thay sử dụng nhà cung cấp dịch vụ (ISP) tốt chất lượng Việc sử dụng sản phầm VPN giải pháp nhà cung cấp khác khơng phải lúc tương thích vấn đề tiêu chuẩn công nghệ VPN Khi sử dụng pha trộn kết hợp thiết bị gây vấn đề kỹ thuật sử dụng khơng cách lãng phí nhiều chi phí triển khai hệ thống Một hạn chế hay nhược điểm khó tránh khỏi VPN vấn đề bảo mật cá nhân, việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phịng máy tính xách tay, máy tính riêng, máy tính họ thực hàng loạt ứng dụng khác, ngồi việc kết nối tới văn phịng làm việc hacker (kẻ cơng, tin tặc) lợi dụng yếu điểm từ máy tính cá nhân họ cơng vào hệ thống cơng ty Vì việc bảo mật cá nhân chuyên gia khuyến cáo phải đảm bảo an toàn 1.6 Đặc điểm VPN Một số đặc điểm VPN: - - Độ tin cậy (Confidentiality): Người gửi mã hóa gói liệu trước truyền chúng ngang qua mạng Bằng cách đó, khơng truy nhập thông tin mà không cho phép, lấy thơng tin khơng đọc thơng tin mã hóa Tính tồn vẹn liệu (Data Integrity): Người nhận kiểm tra liệu nhận sau truyền qua Internet có bị thay đổi hay không Xác thực nguồn gốc (Origin Authentication): Khi nhận liệu điều phải làm xác thực ngồn gốc liệu, VPN cho phép người dùng xác thực thông tin, nguồn gốc liệu 1.7 Phân loại mạng VPN Mục tiêu đặt công nghệ mạng VPN thoả mãn ba yêu cầu sau: - Tại thời điểm, nhân viên cơng ty truy nhập từ xa di động vào mạng nội công ty Nối liền chi nhánh, văn phòng di động Khả điều khiển quyền truy nhập khách hàng, nhà cung cấp dịch vụ đối tượng bên khác Dựa vào yêu cầu trên, mạng riêng ảo VPN phân làm ba loại: - Mạng VPN truy nhập từ xa (Remote Access VPN) - Chọn Local Computer -> Finish − Nhấn phải vào Certificate > Chọn All Task > Import − Nhấn Next − Nhấn Browse > Chọn file cần Import − Các hộp thoại kết tiếp để mặc định − Kết Trust Root CA 3.2.8 VPN Client cài đặt Certificate - Trên máy VPN Server mở Web Browser nhập localhost/certsrv -> chọn View the status of a pending certificate request - Chọn IPSec Certificate - Chọn Install this certificate - Cửa sổ cảnh báo chọn YES - Quan sát cài đặt Certificate thành công - Kiểm tra xem Certificate có hợp lệ hay chưa: Chọn Start->Run->MMC Màn hình MMC click menu File -> Add/Remove Snap-in click Add Chọn Certificate -> click Add - Chọn Computer account Chọn Local Computer -> Finish - Sau bung Certificates -> Personal -> Certificates nhấp đúp lên Certificate CuongPC quan sát thấy hợp lệ 3.2.9 VPN Client tạo connection − Trên VPN Client: Chuột phải My Network Places -> Properties Click Create a new Connection − Màn hình Welcome -> Next, hình Network Connection Type -> chọn − Connect to the network at my workplace − Màn hình Network connection -> chọn Virtual Private Network connection − Màn hình Connection name -> nhập Company name − Màn hình VPN Server Selection nhập địa VPN Server -> Next − Click Finish − Nhập User name, password; Check ô Save this User name and password for the following users > click Properties - Click Connect Quan sát kết nối thành công 3.2.10 - Kiểm tra VPN Client truy cập máy DC thành công TÀI LIỆU THAM KHẢO Microsoft Windows Server 2008: A Beginner’s Guide (Network Professional’s Library) By Marty Matthews, 592 page Kỹ thuật mạng riêng ảo – VPN, Tác giả : TS.Trần Cơng Hùng , Học Viện Bưu Chính Viễn Thông , Năm 2002 Và số tài liệu khác Internet trang http://en.wikipedia.org/ http://www.technet.microsoft.com/ http://www.nhatnghe.com/forum/ ... vào hệ thống mạng từ đâu nhà chí quán coffe cần nơi có Internet (ở hệ thống VPN sử dụng Internet), có lợi đối cho việc thực công việc từ xa Khả mở rộng hệ thống tốt - Chi phí để xây dựng hệ thống. .. ưu điểm mạng VPN mở rộng: Chi phí cho mạng VPN mở rộng thấp nhiều so với mạng truyền thống Dễ dàng thiết lập, bảo trì dễ dàng thay đổi mạng hoạt động Vì mạng VPN mở rộng xây dựng dựa mạng Internet... trọng hệ thống mạng Một số hạn chế cần lưu ý triển khai hệ thống VPN: - - - VPN đòi hỏi hiểu biết chi tiết vấn đề an ninh mạng, việc cấu hình cài đặt phải cẩn thận, xác đảm bảo tính an tồn hệ thống