Tiểu luận mạng máy tính

Các tập đoàn lớn, các cơ sở giao dục và cơ quan chính phủ sử dụng công nghệ VPN đề cho phép người dùng từ xa kết nối an toàn đên mạng riêng của cơ quan mình.. Các nguồn lực trong mạng nộ

TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN

ĐúI HỌC ĐIỆT LỰC

ELECTRIC POWER UNIVERSITY

TIEU LUAN MANG MAY TINH

Sinh viên thực hiện : NGUYÊN ĐĂNG PHÚ

Giảng viên hướng dẫn : DOẤN THANH BÌNH

ĐIỆN TỬ

Ha Noi, thang 1 nam 2022

HAN I: TIM HIEU VE CONG NGHE MANG VPN

VPN là mạng riêng ảo, Virtual Prrvate Network, là một công nghệ mạng ø1úp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, các cơ sở giao dục và

cơ quan chính phủ sử dụng công nghệ VPN đề cho phép người dùng từ xa kết nối

an toàn đên mạng riêng của cơ quan mình

1 hệ thông VPN có thê kết nối được nhiều site khác nhau, dựa trên khu vực, điện tích địa lý tượng tự như chudn Wide Area Network (WAN) Bên cạnh đó, VPN còn được dùng để "khuếch tán", mở rộng các mô hình Intranet nhằm truyền tải thông tin, đữ liệu tốt hơn Ví dụ, các trường học vẫn phải dùng VPN để nối giữa các khuôn viên của trường (hoặc g1ữa các chị nhánh với trụ sở chính) lại với nhau Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác thực (phải có Username và Password) Những thông tin xác thực tài khoản này được dùng đề cấp quyền truy cập thông qua 1 dit liéu - Personal Identification Number (PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định (30s hoặc 1 phút)

Khi kết nối máy tính hoặc một thiết bị khác chắng hạn như điện thoại, máy tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên củng mạng nội bộ với VPN Tất cả traffc trên mạng được gửi qua kết nối an toàn đến VPN Nhờ đó, ta

có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rất xa

Ta cũng có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này mang lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn, giới hạn địa lý

Khi duyệt web với VPN, máy tinh sẽ liên hệ với trane web thông qua kết nối VPN được mã hóa Mọi yêu cầu, thông tin, đữ liệu trao đổi giữa người dùng va website

sẽ được truyền đi trong một kết nối an toàn Nếu sử dụng VPN tại Hoa Kỳ dé truy cap vao Netflix, Netflix sé thấy kết nối của ta đến từ Hoa Kỳ

Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rất

nhiều thứ:

những người kinh doanh đề truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tai nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch, Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tính bảo mật

truy cập khi không ở nhà Thao tác này sẽ cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi pame trên máy tính qua Internet giống như đang ở trong cùng mạng LAN

những trang web không phải https, thì tính an toản của dữ liệu trao đổi trong mạng sẽ dễ bị lộ Nếu muốn ấn hoạt động duyệt web của mình đề dữ liệu được bảo mật hơn thì ta nên kết nỗi VPN Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa

° Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiếm duyệt Internet, vượt tường lửa,

cũng có ích với các trafic mà ISP của bạn có thể gây trở ngại

2 Các giao thức thường dùng trong VPN

Các sản pham VPN thường co sự tiện lợi, tính hiệu quả và bảo mật rất đa dạng Nếu bảo mật là một mối quan tâm hàng đầu, thì một tô chức cần phải chú ý đến các giao thirc ma dich vy VPN hỗ trợ Một số giao thirc duoc su dung rộng rãi có những điểm yêu đáng quan ngại, tron khi những giao thức khác lại cung cấp khả năng bảo mật tiên tiến nhất Những giao thức tốt nhất hiện nay là OpenVPN va IKEv2

# Tìm hiểu về cac giao thirc VPN:

VS mi VS

——

Bản chất của giao thức VPN là một tập hợp các giao thức Có một số chức năng

mà mọi VPN phải giải quyết được:

- Tunnelling (kỹ thuật truyền dữ liệu qua nhiều mạng có giao thức khác nhau) - Chức năng cơ bản của VPN là phân phối các gói (packet) từ điểm này đến điểm khác mà không để lộ chúng cho bắt kỳ ai trên đường truyền Đề làm điều này, VPN

đóng gói tất cả dữ liệu theo định dạng mà cả máy khách và máy chủ đều hiểu được Bên sửi dữ liệu đặt nó vào dinh dang tunnelling va bén nhận trích xuất đề có được thông tin

- Mã hóa: Tunnelling không cung cấp tính năng bảo vệ Bất cứ ai cũng có thê trích xuất đữ liệu Dữ liệu cũng cần phải được mã hóa trên đường truyền Bên nhận sẽ biết cách giải mã dữ liệu từ một người gui nhất định

- Xác thực Đề bảo mật, VPN phải xác nhận danh tính của bắt kỳ client nào cỗ gắng

H

Ad

- Quan lý phiên: Một khi người dùng được xác thực, VPN cần duy trì phiên để

H

Ad

Nói chung các giao thức VPN coi việc tạo tunnel, xác thực và quản lý phiên như một gói Điểm yếu trong bất kỳ chức năng nào đều là những lỗ hồng bảo mật tiềm

ân trong giao thức Mã hóa là một chuyên ngành, nó cũng rất khó, nên thay vì cố găng tạo ra cái mới, các VPN thường sử dụng kết hợp nhiều giao thức mã hóa đáng tin cậy Dưới đây là những giao thức VPN phô biến và độ mạnh yếu của chúng

*Những giao thức yếu:

Point-To-Point Tunneling Protocol (PPTP)

Giao thức cũ nhất vẫn đang được sử dụng là PPTP (Point-to-Point Tunneling

Protocol) PPTP lần đầu tiên được sử dụng vào năm 1995 PPTP không chỉ định

giao thức mã hóa nhưng có thể sử dụng một số giao thức như MPPE-128 mạnh mẽ Việc thiếu sự tiêu chuân hóa về giao thức mạnh là một rủi ro, vì nó chỉ có thê sử dụng tiêu chuân mã hóa mạnh nhất mà cả 2 phía cùng hỗ trợ Nếu một phía chỉ hỗ trợ tiêu chuân yếu hơn thì kết nối phải sử dụng mã hóa yếu hơn người dùng mong đợi

—— Home Public: 192.168.90.1/24 ° 172.464.4082 OMe Public: at

Local: 10.1.202.1/24 [aa ocal: 10.1.101.1/24

—

Workstation 3 Laptop Wesletatton mang 10.1.401.4/24 10.1.202.2/24 10.1.101.2/24

Workstation 2 10.1.101.3/24

Tuy nhiên, vấn đề thực sự với PPTP là quá trình xác thực PPTP sử dụng giao thức MS-CHAP, c6 thé dé dang bị crack trong giai đoạn hiện nay Kẻ tấn công có thể đăng nhập và mạo danh người dùng được ủy quyên

IP security (IPSec)

trường Internet (môi trường bên ngoài VPN) Đây là điểm mắấu chốt, lượng traflc qua IPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là

ham - khái niệm nay hay ding trong Proxy, SOCKS) dé MA HOA di liệu trong VPN

Sự khác biệt piữa các mode nay la:

package - hoặc còn biết dưới từ payload) Trong khi các Tunnel mã hóa toàn bộ các data package đó

SOHO VPN

(smalloffice/home office) NẠI @ —

Remote access (SW client)

Do vậy, IPSec thường được coI là Security Overlay, bởi vì IPSec dùng các lớp bảo mật so với các Protocol khác

L2TP

Giao thức L2TP thường hoạt động với thuật toán mã hóa IPSec Nó mạnh hơn đáng kê so với PPTP nhưng vẫn khiến người dùng lo ngại Lỗ hồng chính trong L2TP/IPSec là phương thức trao đổi khóa công khai (public key) Trao đổi khóa

công khai Diffie-Hellman là cách đề hai bên thỏa thuận về khóa mã hóa tiếp theo và

không ai được biết về khóa này Có một phương pháp có thê “bé khóa” quá trình này, đòi hỏi sức mạnh điện toán khá lớn, nhưng sau đó nó cho phép truy cập vào tất

ca các g1a0 tiép trên một VPN nhất định

Secure Sockets Layer (SSL) va Transport Layer Security (TLS)

Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khâu đề đảm bảo

an toàn giữa các kết nối trong môi trường Internet

*Những giao thức có bảo mật tốt hơn:

IKEv2 (Internet Key Exchange)

IKEv2 (Internet Key Exchanpe) được xếp hạng bảo mật cao trong số các giao thức hién tai IKEv2 su dung IPSec tunnelling và có nhiều lựa chọn giao thức mã hóa IKEv2 được sử dụng với mã hóa AES-256 nên rất khó bị bẻ khóa IKEv2 sử dụng tính năng xác thực dựa trên chứng chỉ mạnh mẽ và có thê sử dụng thuật toán HMAC đề xác minh tính toàn vẹn của dữ liệu được truyền IKEv2 hỗ trợ giao tiếp nhanh và đặc biệt mạnh mẽ trong việc duy trì phiên, ngay cả khi kết nối Internet bị gian doan Windows, MacOS, iOS va Android đều hỗ trợ IKEv2 Một số triển khai mmã nguôn mở cũng có săn

Phiên bản I của piao thức được giới thiệu vào năm 1998 và phiên bản 2 vào năm

2005 IKEv2 không phải là một trong những giao thức mới nhất, nhưng được duy trì rất tốt

SSTP (Secure Socket Tunneling Protocol)

SSTP (Secure Socket Tunneling Protocol) là một sản phẩm của Microsoft, được hỗ trợ chủ yếu trên Windows Khi được sử dụng với mã hóa AES va SSL, SSTP cung cấp tính năng bảo mật tốt, xét về mặt lý thuyết Hiện tại chưa tìm thấy lỗ hồng nào của SSTP nhưng rất có thể một điểm yếu nao đó vẫn tôn tại

Một vẫn đề thực tế với SSTP là sự hỗ trợ hạn chế trên các hệ thông không phải

Không có bất kỳ sự hỗ trợ nào cho OpenVPN ở cấp hệ điều hành, nhưng nhiều 201 bao gồm các OpenVPN client của riêng chúng

Việc có được sự bảo mật nhất với một giao thức đòi hỏi các quản trị viên phải xử

lý một cách chính xác Cộng đồng OpenVPN cung cấp các khuyến nghị để tăng cuong bao mat cho OpenVPN

SoftEther (Software Ethernet)

SoftEther (Software Ethernet) 1a m6t cai tén moi, lan dau tién ra mat vao năm

2014 Giống như OpenVPN, SoftEther cting cé ma nguén mé SoftEther hé tro các giao thức mã hóa mạnh nhất, bao gồm AES-256 va RSA 4096-bit SoftEther cung cấp tốc độ giao tiếp lớn hơn so với hầu hết các giao thức, bao gồm OpenVPN, ở một tốc độ đữ liệu nhất định Nó không hỗ trợ hệ điều hành riêng nhưng có thé được cài đặt trên nhiều hệ điều hành, bao gồm Windows, Mac, Android, 10S, Linux

va Unix

La m6t giao thirc méi, SoftEther khéng duoc hỗ trợ nhiều như một số giao thức khác SoftEther không tồn tại đủ lâu như OpenVPN, vì vậy người dùng chưa có nhiều thời gian đề kiểm tra những điểm yếu có thé xuất hiện trên giao thức này Tuy nhiên, SofEther là một ứng cử viên nặng ký cho bất kỳ ai cần chất lượng bảo mật hang dau

*Vay nên chọn ø1ao thức nào?

Câu hỏi “Giao thức nào an toàn nhất?” rất khó để đưa ra câu trả lời IKEv2, OpenVPN và SoÑEther đều là những ứng cử viên mạnh OpenVPN và SoftEther có lợi thê là mã nguôn mở IKEv2 có các triên khai mã nguôn mở nhưng cũng có các

triên khai độc quyền Ưu điêm bảo mật chính của IKEv2 là đễ cài đặt, giảm nguy cơ lỗi cấu hình SoftEther cung cấp bảo mật rất tốt, nhưng người dùng chưa có nhiều thời gian trải nghiệm với SofÑEther như với hai giao thức còn lại, nên rất có thê SoftEther còn tồn tại những vấn đề mà người dùng chưa phát hiện ra

Code của OpenVPN đã xuất hiện trong nhiều năm đề các chuyên gia bảo mật kiếm tra OpenVPN được sử dụng rộng rãi và hỗ trợ các giao thức mã hóa mạnh nhất Việc đưa ra quyết định cuối cùng còn cần xem xét những yếu tố khác, chẳng hạn như sự thuận tiện và tốc độ, hay vấn đề bảo mật có phải là điều quan tâm lớn nhất hay không

3 Ưu điểm, nhược điểm của VPN

Đề xây dựng 1 hệ thống mạng riêng, mạng cá nhân ao thi dung VPN la 1 giải pháp không hề tốn kém Chúng ta có thể tưởng tượng thế này, môi trường Internet là cầu nối, giao tiếp chính để truyền tai đữ liệu, xét về mặt chỉ phí thì nó hoản toàn hợp lý

so với việc trả tiền đề thiết lập 1 đường kết nối riêng với giá thành cao Bên cạnh

đó, việc phải sử dụng hệ thống phần mềm và phần cứng nhằm hỗ trợ cho quá trình xác thực tài khoản cũng không phải là rẻ Việc so sánh sự tiện lợi mà VPN mang lại cùng với chỉ phí bỏ ra để bạn tự thiết lập 1 hệ thống như ý muốn, rõ ràng VPN chiếm ưu thế hơn hắn

Nhưng bên cạnh đó, có nhược điểm rất đễ nhận thây như:

VPN không có khả năng quản lý Quality of Service (QoS) qua môi trường Internet, do vậy các gói đữ liệu - Data package vẫn có nguy cơ bị thất lạc, rủi ro Khả năng quản lý của các đơn vị cung cấp VPN là có hạn, không ai có thể ngờ trước được những gì có thể xảy ra với khách hàng của họ, hay nói ngắn gọn là bị hack đó

PHAN II: Thiết kế mạng Lan cho nhà máy với yêu cầu sau:

+ Nhà máy có 4 khu vực A,B,C,D, mỗi khu vực là 1 subnet riêng

Khu vực A,B,C cùng 1 tòa nhà Khu D là | tòa nhà riêng cách đấy 200m

- KhuA: Có 192 máy tính

- KhuB: Co 95 may tinh

- KhuC: Cé 49 may tinh

- KhuD: Có 293 máy tính

Yêu cầu các máy tinh trong Nha máy kết nối được với nhau và kết nối được Internet Trước khi ra Internet các dữ liệu đều qua Firewall

Internet là một đường truyền duy nhất

Dai mang cua cong ty la: 99.99.99.0/8

1 Các thiết bị mạng cần có

— Switch (Hub): hay còn gọi là bộ chia mạng, là một thiết bị dùng đề kết nối các đoạn mạng với nhau theo mô hình mạng hình sao Theo mô hình nay, switch dong vai trò là thiết bị trung tâm, tất cả các máy tính đều được nối tập trung về đây

— Access point: hay con goi 1a thiét bị phát wifi có chức năng chuyên đổi từ kết nối dây sang dạng wireless để sử dụng cho các máy tính khu D(cách 200m so với khu A,B,C) có gắn một card wireless kết nối

— Router: hay con goi la Moder là một thiết bi cho phép gửi các gói đữ liệu dọc theo mạng Thông thường thiết bị này được cung cấp sẵn bởi nhà cung cấp dịch vụ mạng

- Server: là một máy chủ chứa đữ liệu và cho phép các máy trạm có thê kết nối đến qua một công nhất định đề đọc và lay đữ liệu

— Day nhảy cáp quang: là các dây được thiết kế với đường kính siêu nhỏ từ: 0.9, 2.0, 2.4, 3.0mm Ngoài ra còn cần có dây nối cáp quang và các vật tư phụ đề thực hiện việc đấu nối

2 Mô hình mạng được lựa chọn: Mạng dạng hình sao(Star topology) mé réng Mạng dạng hình sao bao gồm một trung tâm và các nút thông tin Các nút thông tin là các trạm đâu cuối, các máy tính và các thiết bị khác của mạng Trung tâm của