Lịch sử hình thành và phát triển:Sự xuất hiện mạng chuyên dụng ảo, còn gọi là mạng riêng ảo VPN, bắt nguồn từ yêu cầu của khách hàng client, mong muốn có thể kết nối một cách có hiệu quả
Trang 1TRƯỜNG KHOA HỌC MÁY TÍNHKHOA KỸ THUẬT MMT & TRUYỀN THÔNG
ĐỒ ÁN CÁ NHÂN / NHÓM Đề Tài: TÌM HIỂU VỀ VPNMôn Học: HỆ ĐIỀU HÀNH LINUX-UNIX
GIẢNG VIÊN : ThS HOÀNG PHI CƯỜNG
Trang 33.2:CÁC BƯỚC ĐỂ CÀI ĐẶT OPENVPN TRÊN LINUX: 21
PHẦN 1:TỔNG QUAN VỀ LINUX VÀ DỊCH VỤ VPN 1.1 TỔNG QUAN VỀ LINUX:
1.1.1 Lịch sử ra đời Unix & Linux:✔ Khái niệm
Hình 1.1:Linh vật của hệ điều hành Linux
Linux là một HĐH dạng UNIX (Unix-like Operating System) chạy trên máy PC với bộ điều khiển trung tâm (CPU) Intel 80386 trở lên, hay các bộ vi xử lý trung tâm tương thích AMD, Cyrix.
Linux ngày nay còn có thể chạy trên các máy Macintosh hoặc SUN Sparc Một đặc điểm nổi bật của Linux là một hệ điều hành miễn phí và mã nguồn mở.
✔ Lịch sử ra đời
Giữa năm 1960, AT&T Bell Laboratories và một số trung tâm khác tham gia tạo ra một HĐH mới được đặt tên là Multics (Multiplexed Information and Computing Service)Đến năm 1969, chương trình Multics bị bãi bỏ vì đó là một dự án quá nhiều tham vọng.Ken Thompson, Dennis Ritchie và một số đồng nghiệp của Bell Labs đã 2
Trang 4không bỏ cuộc Thay vì xây dựng một HĐH làm nhiều việc một lúc, họ phát triển một HĐH đơn giản -chỉ làm tốt một việc là chạy chương trình Peter Neumann đặt tên cho HĐH đơn giản này là Unix
Năm 1973, sử dụng ngôn ngữ C của Ritchie, Thompson đã viết lại toàn bộ hệ điều hành Unix và đây là một thay đổi quan trọng của Unix.Nhờ đó Unix từ chỗ là hệ điều hành cho một máy PDP-xx trở thành hệ điều hành có thể chạy trên nhiều loại máy tính khác nhau Khoảng 1977 bản quyền của UNIX được giải phóng và hệ điều hành UNIX trở thành một thương phẩm.
Năm 1991, Linus Torvalds , sinh viên của đại học tổng hợp Helsinki, Phần Lan, bắt đầu xem xét Minix với mục đích nghiên cứu cách tạo ra một HĐH Unix chạy trên máy PC với bộ vi xử lý Intel 80386 Ngày 25/8/1991, Linus cho ra version 0.01 và thông báo trên comp.os.minix của Internet về dự án của mình Ngày 1/1992, Linus cho ra version 0.12 với shell và C compiler Linus đặt tên HĐH của mình là Linux.
Năm 1994, phiên bản chính thức 1.0 được phát hành
Linux được viết lại toàn bộ từ con số không, tức là không sử dụng một dòng lệnh nào của Unix, để tránh vấn đề bản quyền của Unix Tuy nhiên hoạt động của Linux hoàn toàn dựa trên nguyên tắc của hệ điều hành Unix Vì vậy nếu một người nắm được Linux, thì sẽ nắm được UNIX Quá trình phát triển của Linux được tăng tốc bởi sự hỗ trợ của chương trình GNU (GNU’s Not Unix).
Linux có một linh vật chính thức –Linux penguin, gọi là Tux.
1.1.2 Các đặc trưng của Unix & Linux:
Linux là miễn phí (free) và Mã nguồn mở (Open Source):Bao gồm cả kernel,
drivers, các công cụ phát triển,…
Tính ổn định: Linux có tính ổn định cao, ít bị lỗi khi sử dụng so với các HĐH
khác Linux có thể chạy nhiều năm, không cần reboot.
Tính bảo mật: Linux cung cấp các mức bảo mật khác nhau cho người sử dụng.
Mỗi người dùng chỉ làm việc trên một không gian dành riêng.
Multi-Tasking Multi-Threading, : Là khả năng mà HĐH gán cho từng tiến trình hoặc chiếm quyền sử dụng CPU trong một khoảng thời gian nhất định.
3
Trang 5Multi-User: Là khả năng cho phép nhiều người dùng đồng thời truy cập vào
cùng một máy.
Multi-flatform: Chạy trên nhiều nền tảng phần cứng khác nhau.
Multi-Standard Compliant: Tương thích với hầu hết các hệ POSIX, System V,
và BSD.
Hỗ trợ nhiều hệ thống tập tin: Minix-1, MS-DOS, VFAT, FAT32, ISO 9660
(CD-ROMS), … Hệ thống tập tin chính của Linux là ext2, ext3, & ext4.
Multiple Networking Protocols: Các giao thức nền tảng được hỗ trợ bởi Kernel
như TCP, IPv4, IPv6, X.25, IPX, Appletalk, Netrom, …
1.1.3 Các thành phần trong một bản Linux:
● Hệ lõi (kernel-nhân): Xác lập nhiều chương trình cấp thấp và tương tác trực tiếp với CPU, điều khiển thiết bị phần cứng và điều khiển việc thực hiện chương trình
● Cấu trúc hệ thống tập tin: Là hệ thống lưu trữ các thông tin trên thiết bị lưu trữ
● Hệ vỏ (shell): Là cách người dùng tương tác gián tiếp với phần cứng thông qua kernel Hệ vỏ ngầm định là bash Các hệ vỏ khác như tcsh , ksh, zsh ● Các tiện ích: Có chức năng chính là thực hiện các công việc dịch vụ của hệ
điều hành.
1.1.4.Nhân Linux:
Phần nhân (kernel) của Linux có thể hiểu đơn giản là một tập hợp các chương trình thường trú trong bộ nhớ
Kernel là phần chính của hệ điều hành, phụ trách hầu hết các chức năng chính của hệ điều hành như quản lý bộ nhớ, thực thi nhiệm vụ và truy nhập phần cứng
1.1.5 Các ứng dụng trên Linux:
Các ứng dụng cho văn phòng: OpenOffice, KOffice, StarOffice,…
4
Trang 6Các ứng dụng mạng và Internet:
● WebServer, FTP Server, Mail Server, …
● WebBrowser, Instant Messenger: Firefox, GIMP,…
5
Trang 71.2.TỔNG QUAN VỀ DỊCH VỤ VPN:1.2.1 Lịch sử hình thành và phát triển:
Sự xuất hiện mạng chuyên dụng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với các tổng đài thuê bao (PBX) liên với nhau thông qua mạng diện rộng (WAN).
Trước kia, hệ thống điện thoại nhóm hoặc mạng cục bộ (LAN) trước kia sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, France Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây chuyên dùng cho các khách hàng lớn Colisee có thể cung cấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom - Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số khách hàng lớn chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
- Năm 1989, AT&T đưa ra dịch vụ quốc tế I VPN là GSDN.
- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của Ô-xtrây-li-a đưa ra dịch vụ VPN rộng nước đầu tiên ở khu vực châu Á - Thái Bình Dương.
- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN.
- Năm 1993, AT&T, KDD và viễn thông Singapore tuyên bố thành lập Liên minh toàn cầu World Partners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.
6
Trang 8- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)
- Năm 1995, ITU-T đưa ra khuyến nghị F16 về dịch vụ VPN toàn cầu (GPS) - Năm 1996, Sprint và viễn thông Đức (Deutsch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One.
- Năm 1997 có thể coi là một năm quan trọng đối với công nghệ VPN, công nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiều văn phòng, chi nhánh ở xa Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
1.2.2 Khái niệm:
Hình 1.2:Tổng quan về VPN
VPN (Virtual Private Network - Mạng riêng ảo) là công nghệ cung cấp cho người dùng khả năng truy cập vào một mạng riêng (LAN) của các máy tính cá nhân và 7
Trang 9máy chủ trong mạng riêng đó từ một điểm bên ngoài của mạng đó, và không làm ảnh hưởng đến an ninh bảo mật của mạng đó.
Trong thực tế, VPN là 1 mạng dành riêng để kết nối các máy tính với nhau thông qua (thường là) đường truyền Internet, là 1 dịch vụ mạng ảo được triển khai trên Cơ sở hạ tầng của hệ thống mạng công cộng (Internet) VPN được dùng để kết nối các văn phòng, chi nhánh, người dùng làm việc ở xa trụ sở chính Máy tính thông qua mạng riêng ảo (VPN) sẽ nhìn thấy nhau như 1 mạng LAN.
VPN có thể được sử dụng để gửi bất kì loại dữ liệu nào như voice, video, data VPN sử dụng kỹ thuật Tunneling Protocols - Đây là kỹ thuật đóng gói một gói tin dữ liệu bên trong một gói tin khác để tạo ra một kênh truyền an toàn Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hóa và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.
1.2.3 Phân loại:
VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp Công nghệ VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN.
Site-to-Site VPN: là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác
nhau tạo thành một hệ thống mạng thống nhất Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site.
Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway Gateway có thể là các Router hay Firewall router hỗ trợ VPN.
Remote Access VPN: Loại này thường áp dụng cho nhân viên làm việc lưu động
hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server.
8
Trang 10VPN là giải pháp thiết kế mạng khá hay, VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
9
Trang 111.2.3 Lợi ích:
- Chi phí thấp: chi phí thiết lập mạng VPN thấp hơn so với các mạng WAN truyền thống như Frame Relay, ATM, Leased Line.
- Tăng cường tính bảo mật cho hệ thống: sử dụng các giao thức đóng gói, các thuật toán mã hóa và các phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền.
- Tính mở rộng và linh động: VPN đã xóa bỏ rào cản về mặt địa lý cho hệ thống mạng, sẵn sàng kết nối các mạng riêng lại với nhau một cách dễ dàng thông qua môi trường Internet.
10
Trang 12PHẦN 2:CHI TIẾT VỀ DỊCH VỤ VPN 2.1.CẤU TRÚC:
2.1.1 Cấu trúc:
Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính là (Tunneling) đường hầm kết nối và (Secure services) các dịch vụ bảo mật cho kết nối đó.Tunneling chính là thành phần “Virtual” và Sercure services là thành phần “Private” của một mạng riêng ảo VPN(Virtual Private Network).
Đường hầm kết nối (Tunneling)
Khác với việc thuê một đường truyền riêng các kết nối bằng việc sử dụng cách tạo đường hầm không liên tục mà chỉ được xác lập khi có yêu cầu kết nối Do vậy khi không còn được sử dụng các kết nối này sẽ được hủy giải phóng băng thông tài nguyên mạng cho các yêu cầu khác Điều này cho thấy một ưu điểm rất lớn của VPN so với việc thuê đường truyền riêng đó là sự linh hoạt.
Cấu trúc logic của mạng được thiết lập dành cho thiết bị mạng tưởng ứng của mạng đỏ mà không cần quan tâm đến hạ tầng mạng hiện có là một đặc điểm "áo" khác của VPN Các thiết bị phần cứng của mạng đều trở nền tảng hình với người dùng và thiết bị của mạng VPN Chính vì thế trong quá trình tạo ra đường hầm những kết nối hình thành nên mạng riêng áo không có cùng tỉnh chất vật lý với những kết nối cố định trong mạng Lan thông thường
Tạo đường hàm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuối trên mạng Các gói tin IP trước khi chuyển đi phải được đóng gói mã hoa gói tin gốc và thêm IP header mới Sau đó các gói tin sẽ được giải mã tách bỏ phần tiêu để tại gateway của điểm đến trước khi được chuyển đến điểm đến đầu cuối
Đường hãm kết nối khiến việc định tuyến trở nên dễ dàng hơn hoàn toàn trong suốt với người sử dụng.
Có hai loại đường hầm kết nối thường trực và tạm thời Tính hiệu quả và tối ưu của một đường hầm kết nối thưởng trực là không cao Do đó đường hầm tạm thời thường được sử dụng hơn vì tính linh động và hữu dụng hơn cho VPN.
Có hai kiểu kết nối hình thành giữa hai đầu kết nối của mỗi đường hầm là Lan to Lan và Client to Lan
(i) Lan to Lan
Kết nối lan to lan được hình thành giữa 2 văn phòng chi nhánh hoặc chỉ nhánh với công ty Các nhân viên tại những văn phòng và chi nhánh đều có thể sử dụng đường hầm để trao đổi dữ liệu.
11
Trang 13(ii) Client to lan
Kiểu kết nối client to lan dành cho các kết nối di động của các nhân viên ở xa đến công ty hay chỉ nhánh Để thực hiện được điều này các máy client phải chạy một phần mềm đặc biệt cho phép kết nối với gateway của công ty hay chỉnh nhánh Khi kết nối này được thực hiện thì đã xác lập một đường hầm kết nối giữa công ty và nhân viên ở xa.
Dịch vụ bảo mật (secure services)
Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhân viên ở xa mà không hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thì cũng như việc các ngân hàng chuyển tiền mà không có lực lượng bảo vệ, hoàn toàn có thể bị đánh cắp, thay đổi trên quá trình vận chuyển một cách dễ dàng Chính vì vậy các cơ chế bảo mật cho VPN chình là xương sống của giải pháp này.
Một mạng VPN cần cung cấp 4 chức năng bảo mật cho dữ liệu:
o Xác thực(Authentication): Đảm bảo dữ liệu đến từ một nguồn quy định o Điều khiển truy cập (Access control) : hạn chế quyền từ những người
dùng bất hợp pháp.
o Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữ liệu trong quá trình vận chuyển trên mạng.
o Tính toàn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi, được bảo toàn từ đầu gửi đến đầu nhận.
Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data nk) và lớp 3 (Network) trong mô hình 7 lớp OSI.Các dịch vụ bảo mật đều được triển khai tại các lớp thấp của mô hình OSI làm giảm sự tác động đến người dùng Việc bảo mật có thể thực hiện tại các đầu cuối (end to end) hoặc giữa các nút (node to node).
Bảo mật tại các điểm đầu cuối là hình thức bảo mật có được độ tin cậy cao ,ví dụ như tại 2 máy tính đầu cuối Tuy vậy nhưng hình thức bảo mật đầu cuối hay client to client lại có nhược điểm làm tang sự phức tạp cho người dùng khó khăn cho việc quản lý.
12
Trang 142.1.2 Chứng thực
Có 2 loại chứng thực: chứng thực thiết bị và chứng thực người dùng
Chứng thực thiết bị:
Cho phép hạn chế các truy cập vào hệ thống mạng dựa vào các thông tin cung cấp bởi các thiết bị VPN đầu xa.
Có 2 dạng chứng thực kiểu này: Pre-shared key, Digital signature hoặc certificate o Pre-shared key được sử dụng trong các môi trường VPN nhỏ Một hay nhiều
khóa được cấu hình và dùng để chứng thực để nhận dạng một thiết bị o Digital signature (digital certificate) được sử dụng để chứng thực thiết bị
trong các môi trường triển khai VPN lớn.
Chứng thực người dùng:
Chứng thực người dùng trong hệ thống VPN là gì, tức là chỉ cho phép người dùng hợp lệ kết nối và truy cập vào hệ thống Người dùng phải cung cấp username và password.
2.1.3 Các loại VPN
Có 2 loại VPN thông dụng: ● Site-to-site VPN
13
Trang 15
● Remote Access VPN
Một số giao thức được sử đụng trong VPN: PPTP, L2TP, IPsec, …
2.1.4 Ưu điểm & Nhược điểm OpenVPN
Khả năng bảo mật tốt OpenVPN giúp các thông tin dữ liệu được truyền dẫn một cách an toàn Mọi dữ liệu cũng được truyền tải đầy đủ
Tốc độ chậm khá chậm trong quá trình truyền tải
Khả năng mã hóa rất tốt Trước mọi mục tiêu tấn công thì dữ liệu sẽ được vô
Tương thích với mọi hệ điều hành Giúp các đơn vị sử dụng giao thức sử dụng
Trang 162.2.CHỨC NĂNG:
2.2.1 Công dụng của OpenVPN
1 Bảo mật dữ liệu: OpenVPN sử dụng mã hóa mạnh mẽ để bảo vệ dữ liệu truyền
qua mạng, ngăn chặn người khác theo dõi hoạt động trực tuyến của bạn.
2 Truy cập từ xa an toàn: OpenVPN cho phép bạn kết nối mạng riêng ảo từ xa,
giúp bạn truy cập tài nguyên mạng trong một môi trường an toàn, như văn phòng từ xa hoặc qua Internet.
3 Bypass kiểm duyệt và hạn chế địa lý: Bằng cách kết nối vào máy chủ VPN
đặt ở các quốc gia khác nhau, bạn có thể tránh kiểm duyệt Internet và các hạn chế địa lý, cho phép truy cập nội dung trên toàn thế giới.
4 Mạng riêng ảo cho doanh nghiệp: OpenVPN thường được sử dụng bởi các tổ
chức và doanh nghiệp để tạo ra mạng riêng ảo bảo mật cho nhân viên, giúp họ truy cập tài nguyên nội bộ từ xa một cách an toàn.
5 Tích hợp với ứng dụng và dịch vụ khác: OpenVPN có thể tích hợp dễ dàng
với nhiều ứng dụng và dịch vụ khác nhau như firewalls, quản lý danh sách truy cập, và nhiều giải pháp bảo mật khác.
6 Tùy chỉnh linh hoạt: OpenVPN cho phép bạn tùy chỉnh cấu hình mạng VPN
của mình theo cách phù hợp với nhu cầu cụ thể của bạn.
7 Hỗ trợ đa nền tảng: OpenVPN có sẵn cho nhiều hệ điều hành khác nhau, bao
gồm Windows, Linux, macOS, Android và iOS.
8 Theo dõi và quản lý: OpenVPN cung cấp công cụ giám sát và quản lý để theo
dõi hoạt động mạng VPN và quản lý người dùng.
9 Chế độ cầu nối (Bridge Mode): OpenVPN cũng hỗ trợ chế độ cầu nối, cho
phép bạn kết nối hai mạng LAN với nhau qua mạng công cộng hoặc Internet.
2.2.2 Nhiệm vụ/Vai trò của OpenVPN
Cho phép các bên xác thực lẫn nhau thông qua pre-shared key Cho phép xác nhận tên người dùng/mật khẩu đăng nhập,
Cho phép server phát hành chứng thư xác thực cho mỗi client trong cấu hình Multi Client-server.
Sử dụng thư viện mã hóa Openssl hoặc Tls
15
