Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC Triển khai hệ thống VPN có IPSEC
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 1 Chương 1: Tổng Quan Về VPN 1 Tổng Quan. Cùng vi s phát trin mnh m ca nn công nghip, nhu ci thông tin, d liu gia nhng t chc, công ty, tp th và các cá nhân tr nên bc thit vì vy . Mi s dng máy tính kt ni Internet thông qua nhà cung cp dch v (ISP Internet service Provide), s dng mt giao thc chung là TCP/IP. u mà k thut còn tip tc phi gii quyc truyn thông ca mng vin thông công cng. Vi Internet, nhng dch v c tuyn, giáo dc t xa n trc tuy nên d dàng. Tuy nhiên Internet có phm vi toàn cu và không t chc hay chính ph nào có th qun lý , cho nên vim bo an toàn và bo mt d liu hay qun lý các dch v là mt v ln cn phi gii quyt. T các nhà khoa ht mô hình mng mi, nhng c nhu cu trên mà vn tn d h t mng riêng o (VPN Virtual Private Network ). Vi mô hình này, chúng ta không phu trang thit b h tng mà vm bo các tính o m tin cng thi có th qun lý riêng hong ca mng này. VPN cho phi s dng làm vic t chi nhánh có th kt nn máy ch ca t chc mình b h tng c cung cp bi mng công cm bo an toàn thông tin gia các t chc, công ty hoc chi nhái cung ci tác kinh doanh trong ng truyn thông rng ln. c tính quan trng nht ca VPN là có th s dc mng công cm báo tính bo mt và tit kim chi phí. 1.1 Lịch sử phát triển của VPN S xut hin mng chuyên dùng o, còn gi là mng riêng o (VPN), bt ngun t yêu cu ca khách hàng (client), mong mun có th kt ni mt cách có hiu qu vi các t i vi nhau thông qua mng din rng (WAN). Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 2 c kia, h thn thoi nhóm hoc là mng cc b c kia s dng ng thuê riêng cho vic t chc m thc hin vic thông tin vi nhau. Các mu s phát trin ca VPN: - ch v Colisee, cung cp dch v dây chuyên dùng cho các khách hàng ln. Colisee có th cung cc gi s chuyên dùng cho khách hàng. Dch v ng dch v c phí và nhin lý khác. - ch v VPN có tên riêng là mng phn mm SDN. - - i chic phí dch v VPN M, làm cho mt s xí nghip va và nh chu nc phí s dng VPN và có th tit kim gn 30% phát trin nhanh chóng dch v này ti M. - ch v quc t IVPN là GSDN. - ch v VPN quc t VPN; Telstra ca Ô- xtrây-li- u tiên khu vc châu Á Thái - n thông Hà Lan và Telia Thu n thành lp công ty hp tác p dch v VPN. - n thông Singapo tuyên b thành lp Liên minh toàn cu Worldparners, cung cp hàng lot dch v quc tch v VPN. - p công ty h p dch v VPN, dch v chuyn ti Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 3 - ITU- n ngh F-16 v dch v VPN toàn cu (GVPNS). - c (Deustch Telecom), Vin thông Pháp (French Telecom) kt thành liên minh Global One. - coi là mc r i vi công ngh VPN, Công ngh này có mt trên khp các tp chí khoa hc công ngh, các cuc hi th mng VPN xây d h tng mng Internet công ci mt kh i, mt cái nhìn mi cho VPN. Công ngh VPN là gii pháp thông tin t chc có nhia chn. Ngày nay, vi s phát trin ca công ngh h tng mng IP (Internet) ngày mt hoàn thi a VPN ngày mt hoàn thin. Hin nay, VPN không ch dùng cho dch v thoi mà còn dùng cho các dch v d liu, hình nh và các dch v n. 1.2 Định nghĩa VPN c hin là s m rng ca mt mng riêng (Private Network) thông qua các mng công cng. V n, mi VPN là mt mng riêng r s dng mt mng là Int kt ni cùng vi các site (các mng riêng l) hay nhii s dng t xa. Thay cho vic s dng kt ni th ng leased-line, mi VPN s dng các kt ni c dng Internet t mng riêng ca các công ty ti các site các nhân viên t có th gi và nhn d liu thông qua mng công cng mà vm bo tính an toàn và bo mt, VPN cung c mã hóa d ling truyn to ra mng ng bo mt gia i gi là Tunnel , Tunnel git kt ni point-to-point trên m có th to ra mng ng bo m liu phc mã hóa gi cung cp phu gói tin (header) là thông tin v Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 4 cho phép nó có th ng công cng mt cách nhanh chng. d lic mã hóa mt cách cn thu các packet b bng truyn công c c n gii mã, liên kt vi d lic gi là kt nng kt nng c gng ng VPN (Tunnel). Hình 1: Mô Hình Kết Nối VPN. 1.3 Các thành phần tạo nên VPN. trin khai mt h thng VPN bn cn có mt s thành ph n sau, c to ra h thng VPN thì mi s có mt s la chn thành phn khác phù hp vi công ty hay ma mi. 1.3.1 VPN client Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 5 hàng. 1.3.2 VPN Server VPN. VPN. 1.3.3 IAS Server (Remote Authentication Dial In User Service). RADIUS là nhà Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 6 International Accounting Standards ) . trên Windows Server 2008. 1.3.4 Firewall Chúng ta proxy VPN. ISA. 1.3.5 Chọn một Giao thức Tunneling nhiên mà có. l Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 7 quy 1.3.6 Authentication Protocol -CHAP v2. MS- là MS-CHAP. 1.4 Lợi ích và Hạn chế của việc sử dụng VPN. 1.4.1 Lợi ích. Vic s dng mng riêng o là mt nhu cu và là xu th ca công ngh truyn thông bi vì nó có mt s Gim thiu chi phí trin khai và duy trì h thng: - Vi VPN vic trin khai h th nhu cu truyn ti hay tính bo mt an toàn d li vì VPN gim thiu t ng truy tn dng li h thng mng Internet có sn. Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 8 - Phí duy trì h tht v i VPN phí duy trì rt r na bng vic thuê h tng có sn ca các công ty dch v Internet thì chi phí duy trì s i. Ci thin kt ni. - t qua b lc chn truy cp Web: VPN là mt la chn t có th t c b lc Internec s dng nhiu ti mt s c có s kim duyt Internet kht khe. - Via ch IP: Nu mui IP khác thì VPN có th giúp u này vic này giúp ta có th che da ch ca mình c s xâm h xu ca nhng hacker (k tn công, tin tc) bên ngoài mng. An toàn trong giao dch. - Vii thông tin trong công vic là nhiu và liên t bo mt thông tin thì cc kì quan trng, vi VPN chúng ta s không phi lo lng quá nhiu v vi d gi liu s c mã hóa và thông tin d lic bo bc bi gói tin Header (phu gói tin a ch u - cui ca gói tin) và truya vào Internet. - ng tt vic chia s gói tin và d liu trong mt thi gian dài. Kh u khin t xa. - Thi hin nay, Mi làm vic mun tit kim thi gian và gim chi phí, vì vy vic m i làm vic ti nhà mà vn có th gii quyt tt nhng công vic ca h thì tht là tuyt vi. Vi dùng có th truy cp vào h thng mng t b nhà thm chí là mt quán coffe ch cn thng VPN s dng Internet), vì vy nó rt có li i cho vic thc hin công vic t xa. Kh rng h thng tt. - xây dng mt h thng m i chuyên dng (s dng cáp mng) cho mu có th là hp lý, tuy nhiên công ty ngày càng Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 9 phát trin nhu cu m rng h thng mng là cn thit vì vy VPN là mt la chn hp lý bi vì VPN không ph thuc quá nhiu vào v th nói mn là khi mun m rng thì ch cn tng ng (tunnel) kt n tng Internet có sn. 1.4.2 Hạn chế. Mc dù ph bing riêng o (VPN) không hn là hoàn ho và hn ch thì luôn luôn tn ti trng bt kì h thng mng nào. Mt s hn ch c khi trin khai h thng VPN: i s hiu bit chi tit v v an ninh mng, vic cu hình và cài t phi cn thm bo tính an toàn trên h thng mng Internet công cng. tin cy và hiu xut ca mt VPN da trên Internet không phi s kim soát trc tip ca công ty , vì vy gii pháp thay th là hãy s dng mt nhà cung cp dch v (ISP) tt và chng. Vic s dng các sn phm VPN và các gii pháp ca các nhà cung cp khác nhau không ph v tiêu chun công ngh VPN. Khi s dng pha trn và kt hp các thit b s có th gây ra nhng v k thut hoc nu s d lãng phí rt nhiu chi phí trin khai h thng. Mt hn ch m rt khó tránh khi c bo mt cá nhân, bi vì vic truy cp t xa hay vic nhân viên kt ni vi h th phòng bu máy tính ca h thc hin hàng lot các ng dng khác, ngoài vic kt ni t vic thì hacker (k tn công, tin tc) có th li dng ym t máy tính cá nhân ca h tn công vào h thng ca công ty. Vì vy vic bo mt cá nhân c các chuyên gia khuyn cáo phm bo an toàn. 1.5 Chức Năng của VPN. Mt s cha VPN : Trin Khai H Thng VPN có IPSEC GVHD: Trn N c SVTH: ng Th Cm Li Trp Trang 10 Độ tin cậy (Confidentiality): i gi có th mã hóa các gói d lic khi truyn chúng ngang qua mng. B truy nhp c cho phép, nu lc c mã hóa. Tính toàn vẹn dữ liệu (Data Integrity): i nhn có th kim tra d liu nhc sau khi truyn qua Internet có b i hay không. Xác thực nguồn gốc (Origin Authentication): Khi nhc d liu mà u tiên phi làm là xác thc ngn gc ca d lii dùng xác thc thông tin, ngun gc ca d liu. 1.6 Phân loại mạng VPN Mi vi công ngh mng VPN là tho mãn ba yêu cn sau: Ti mi thm, các nhân viên ca công ty có th truy nhp t xa hoc di ng vào mng ni b ca công ty. Ni ling. Kh u khic quyn truy nhp ca khách hàng, các nhà cung cp dch v hong bên ngoài khác. Da vào nhng yêu cn trên, mng riêng c phân làm ba loi: Mng VPN truy nhp t xa (Remote Access VPN) Mng VPN cc b (Intranet VPN) Mng VPN m rng (Extranet VPN) 1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN) Các VPN truy nhp t xa cung cp kh p t xa. Ti mi thi ng có kh i, truy nhp vào mng ca công ty. Kiu VPN truy nhp t xa là kin hình nht. Bi [...]... cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 14 Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức a) Những ưu điểm chính của mạng VPN mở rộng: - Chi phí cho mạng VPN mở rộng... nhận IPSec trên từng gói dữ liệu Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau: L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ liệu nhận được SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 29 Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một Routing and Remote Access Server (RRAS) cần có. . .Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những... Trần Nữ Vĩ Thức Triển Khai Hệ Thống VPN có IPSEC phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site Central site Remote site POP Internet or Router PIX Firewall v¨n phßng ë xa Văn phòng trung tâm Hình 3: Mô hình mạng VPN cục bộ a) Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm: - Các mạng lưới cục bộ hay toàn bộ có thể được thiết... cuối cùng sau khi IPSec hoàn thành việc sử lý của mình Trong chế độ đường hầm, địa chỉ IP của điểm đến được bảo vệ SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 33 Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức Hình 7 – Cấu trúc gói tin IPSec ở chế độ Tunnel Mode Trong chế độ đường hầm, có một phần header IP phụ được thêm vào, còn trong chế độ chuyển vận thì không có điều này IPSec định ra chế... Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 35 GVHD: Trần Nữ Vĩ Thức Triển Khai Hệ Thống VPN có IPSEC Hình 9 IPSec là bộ giao thức có khả năng thẩm định dữ liệu ở cả hai phía người gửi và người nhận, đảm bảo tính bí mật và toàn vẹn dữ liệu bằng cách mă hoá chứng thực IPSec có khả năng thích ứng với tất cả các t nh ứng dụng chạy trên mạng IP IPSec hoạt động hiệu quả và nhanh hơn các ứng dụng bảo mật hoạt... Nữ Vĩ Thức Triển Khai Hệ Thống VPN có IPSEC - Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao - Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet 1.6.3 Mạng VPN mở rộng (Extranet) Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng... – Trần Văn Diệp Trang 27 Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức dùng được xác nhận hợp lệ, một địa chỉ IP thích hợp được ánh xạ đến frame Bước 8: Sau đó frame này được chuyển đến nút đích trong mạng intranet Chế độ đường hầm tự nguyện có Client ở xa khi gắn liên chức năng LAC và nó có thể điều khiển đường hầm Từ khi giao thức L2TP hoạt động theo một cách y hệt như khi sử dụng đường... Lời – Trần Văn Diệp Trang 15 Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức host), giữa hai mạng (network-to-network), hay giữa một mạng với một máy chủ (network-to-host) Nguồn gốc IPSec ban đầu được phát triển tại phòng thí nghiệm Nghiên cứu hải quân và là một phần của dự án nghiên cứu của DARPA (Defense Advanced Research Projects Agency - cơ quan nghiên công nghệ tiên tiến của bộ quốc phòng... quả,những user từ xa này gặp phải vấn đề khi thực hiện kết nối VPN do đó làm tăng cuộc gọi nhờ trợ giúp và giảm năng suất của nhân viên Secure Socket Tunneling Protocol(SSTP) là một đường hầm VPN mới được giới thiệu trong Windows Server 2008 nhằm giải quyết vấn đề kết nối VPN SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 30 Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức này SSTP thực hiện điều này . loi: Mng VPN truy nhp t xa (Remote Access VPN) Mng VPN cc b (Intranet VPN) Mng VPN m rng (Extranet VPN) 1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN) Các VPN truy nhp. ct VPN SitetoSite. S khác nhau gia mt VPN cc b và mt VPN m r truy cp mc công nhn mu cui ca VPN. Trin Khai H Thng VPN có IPSEC GVHD:. ng VPN (Tunnel). Hình 1: Mô Hình Kết Nối VPN. 1.3 Các thành phần tạo nên VPN. trin khai mt h thng VPN bn cn có mt s thành ph n sau, c to ra h thng VPN