1 LỜI CÁM ƠN Đồ án tốt nghiệp này đã khép lại toàn bộ quá trình học tập và rèn luyện của em suốt năm năm qua tại Khoa công nghệ thông tin và truyền thông – Đại học Thái Nguyên. Em xin tỏ lòng biết ơn tới tất cả các thầy cô giáo trong Khoa Công Nghệ Thông Tin và truyền thông đã dạy dỗ, cung cấp kiến thức cần thiết làm cơ sở để em có thể hoàn thành đồ án tốt nghiệp này. Đặc biệt, em xin gửi lời cảm ơn sâu sắc tới thầy giáo ThS. Dương Chính Cương – giảng viên bộ môn công nghệ điều khiển tự động đã luôn tận tình chỉ bảo và hướng dẫn em trong suốt thời gian qua. Em cũng xin được cảm ơn thầy giáo ThS. Nguyễn tiến Thành – Giám đốc học viện mạng Cisco Thái Nguyên (TNNA) đã tạo điều kiện cho em được mượn phòng lab để thực hành đồ án. Ngoài ra em cũng xin cảm ơn Ban giám đốc công ty TNHH Kraal Enterprise đã cung cấp tài liệu, tạo điều kiện cho em được khảo sát hệ thống mạng của công ty. Em Xin cảm ơn tất cả gia đình ,người thân và bạn bè đã cổ vũ, động viên và tạo mọi điều kiện để em hoàn thành đồ án này. Mặc dù đã cố gắng hoàn thành, nhưng do thời gian và khả năng có hạn nên đồ án vẫn còn nhiều thiết sót. Em mong được sự chỉ bảo, góp ý của thầy cô và các bạn. Em xin chân thành cảm ơn! Thái Nguyên, tháng 6 năm 2009. Sinh viên Phạm Văn Đoan 2 MỤC LỤC MỤC LỤC 2 DANH MỤC HÌNH 4 LỜI MỞ ĐẦU 5 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 7 1.1 Tổng quan về TCP/IP 7 1.1.1 Giới thiệu về TCP/IP 7 1.1.2 Các lớp trong mô hình TCP/IP 7 1.1.2.1 Lớp ứng dụng 7 1.1.2.2 Lớp vận chuyển 8 1.1.2.3 Lớp Internet 12 1.1.2.4 Lớp truy nhập mạng 13 1.2 Tổng quan về mạng riêng ảo -VPN (Vitrual Private Network) 13 1.2.1 Các khái niệm cơ bản về VPN 13 1.2.2 Các loại VPN 15 1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs) 15 1.2.2.2 Mạng VPN cục bộ (Intranet VPN) 17 1.2.2.3 Mạng VPN mở rộng (Extranet VPN) 18 1.2.3 Các giao thức đường hầm trong VPN 20 1.2.3.1 Giao thức định hướng lớp 2 (Layer 2 Forwarding) 21 1.2.3.2 Giao thức PPTP (Point - to - Point Tunneling Protocol) 22 1.2.3.3 Giao thức L2TP (Layer Two Tunneling Protocol) 23 1.2.3.4 Giao thức IPSec (IP Security) 25 1.2.4 Cơ chế bảo mật trong VPN 32 1.2.4.1 Giới thiệu chung. 32 1.2.4.2 Mật mã 33 1.2.4.3 Xác Thực 36 CHƯƠNG 2: XÂY DỰNG HỆ THỐNG MẠNG RIÊNG ẢO VPN 42 2.1 Bài toán 42 3 2.2 Giải quyết bài toán 42 2.2.1 Hiện trạng hệ thống 42 2.2.2 Phân tích đánh giá hệ thống cũ 45 2.2.2.1 Vấn đề an ninh 45 2.2.2.2 Vấn đề tài chính 46 2.2.2.3 Vấn đề trong quản lý và sử dụng tài nguyên 48 2.2.3 Đề xuất giải pháp 50 2.2.3.1 Khả năng bảo mật . 51 2.2.3.2 Chi phí xây dựng và bảo dưỡng hệ thống 51 2.2.3.3 Tính cơ động của hệ thống VPN truy nhập từ xa 53 2.2.3.4 Ưu thế về tốc độ truyền 53 2.2.4 Xây dựng hệ thống 54 2.2.4.1 Mô hình hệ thống 54 2.2.4.2 Các thiết bị sử dụng 54 2.2.4.3 Giá thành của hệ thống 55 2.2.4.4 Cấu hình triển khai và test hệ thống 56 KÊT LUẬN 62 TÀI LIỆU THAM KHẢO 64 PHỤ LỤC 65 4 DANH MỤC HÌNH Hình 1.1: Cấu trúc tiêu đề TCP 9 Hình 1.2: Thiết lập kết nối theo giao thức TCP 11 Hình 1.3: Cơ chế cửa sổ trượt với kích thước cố định 12 Hình 1.4: Mô hình VPN cơ bản 15 Hình 1.5: Mô hình mạng VPN cục bộ 17 Hình 1.6: Mô hình mạng VPN mở rộng 18 Hình 1.7: Mô hình mạng VNP mở rộng 19 Hình 1.8: Mô hình VPN sử dụng L2F 21 Hình 1.9: Sơ đồ đóng gói PPTP 22 Hình 1.10: Sơ đồ đóng gói L2TP 24 Hình 1.11: Gói tin IP ở kiểu Transport 28 Hình 1.12: Gói tin IP ở kiểu Tunnel 29 Hình 1.13: Mô hình mịnh họa 29 Hình 1.14: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE 31 Hình 1.15: Mã hoá khoá bí mật hay đối xứng 34 Hình 1.16: Sơ đồ thuật toán DES 35 Hình 1.17: Thuật toán mã hoá khoá công cộng 35 Hình 1.18: Cấu trúc cơ bản của MD5/SHA 38 Hình 1.19: Xác thực bản tin MAC 39 Hình 2.1: Mô hình hiện trạng hệ thống mạng hiện thời của công ty 44 Hình 2.2: Bảng so sánh chi phí Leased line và VPN 52 Hình 2.3: Mô hình hệ thống mạng VPN đề xuất cho công ty 54 Hình 2.4: Mô hình mô phỏng cấu hình cơ bản 56 Hình 2.5: Tạo kết nối VPN đến ASA 58 Hình 2.6: Chứng thực người dung 59 Hình 2.7: Kết nối thành công 59 Hình 2.8: Kiểm tra IP của máy Client và ping đến Server tại công ty 60 Hình 2.10: Trạng thái VPN Client sau khi truyền dữ liệu 61 5 LỜI MỞ ĐẦU Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vượt qua ranh giới cục bộ và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu. Cho đến gần đây, ứng dụng của những kênh truyền dẫn thông tin thuê riêng (leased line) là giải pháp cơ bản đã giúp các công ty mở rộng mạng cục bộ ra nhiều khu vực địa lý khác nhau. Những dịch vụ kết nối mạng diện rộng như thế đã đem đến những lợi ích rõ ràng như tốc độ, an toàn thông tin và hiệu quả thực thi công việc. Tuy nhiên việc duy trì những ứng dụng leased lines như thế có chi phí khá đắt đỏ và chi phí này thường tăng lên cùng với sự gia tăng khoảng cách địa lý giữa các văn phòng công ty . Tuy nhiên việc các công ty chọn giải pháp đường Leased line thì chỉ giải quyết được yêu cầu về các văn phòng đặt ở xa, còn vấn đề về nhân viên của họ đi công tác xa thì sao? Giải pháp sử dụng Internet để liên lạc là giải pháp có vẻ tốt cho vấn đề này. Tuy nhiên nó lại tiềm ẩn một nguy cơ cao về an ninh dữ liệu vì Internet vốn là môi trường không an toàn. Để giải quyết được hai vấn đề trên cho các doanh nghiệp, một giải pháp đã được áp dụng. Đó là sử dụng công nghệ mạng riêng ảo VPN ( Virtual Private Network ). VPN về cơ bản là một mạng cục bộ sử dụng hệ thống mạng công cộng sẵn có như Internet để kết nối các văn phòng cũng như nhân viên ở xa. Thay vì sử dụng kết nối chuyên biệt và trực tiếp giữa các văn phòng như kênh thuê riêng leased lines, một VPN sử dụng các kết nối ảo được thiết lập trong môi trường Internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa lý. Không chỉ tận dụng được sự sẵn có và rộng khắp của Internet, VPN còn đảm bảo được cả về bảo mật thông tin của giải pháp đường truyền riêng Leased line. 6 Với đề tài : “ Nghiên cứu và xây dựng hệ thống VPN cho công ty TNHH Kraal EnterPrise “ em hy vọng mình sẽ góp một phần nhỏ bé vào quá trình ứng dụng công nghệ này vào cuộc sống. Ngoài ra em cũng hy vọng đề tài này sẽ là một tài liệu tham khảo có ích cho các công ty khi muốn triển khai hệ thống mạng riêng ảo VPN cho công ty mình. Đề tài có hai nội dung chính và được chia thành hai chương, cụ thể: Chương 1: Đưa ra phần cơ sở lý thuyết cho quá trình triển khai hệ thống mạng VPN. Từ đó thống kê được các kiến thức cần có khi xây dựng hệ thống mạng VPN. Chương này cũng nêu ra được các khái niệm cơ bản về VPN, các loại VPN, các giao thức đường hầm và bảo mật trong VPN. Chương 2: Thực hiện triển khai hệ thống mạng riêng ảo VPN cho công ty TNHH Karaal Enterprise theo hiện trạng cụ thể trực tiếp của công ty. Trong chương này đã đi khảo sát cụ thể hiện trạng hệ thống mạng máy tính cũng như hệ thống mạng lưới văn phòng đại diện của công ty, đưa ra được các đánh giá về ưu nhược điểm. Tứ đó cũng đưa ra phương án khắc phục triển khai và thực hiện triển khai phương án đã đưa ra. Thái Nguyên ngày 06 năm 2009 Sinh viên: Phạm Văn Đoan 7 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Tổng quan về TCP/IP (Transmission Control Protocol /Internet Protocol) 1.1.1 Giới thiệu về TCP/IP Tháng 6/1968, một cơ quan của Bộ Quốc phòng Hoa Kỳ là Cục các dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hôm nay. Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP (Network Control Protocol), nhưng sau đó cơ quan Bộ Quốc phòng Hoa Kỳ (DoD) đã tạo ra mô hình tham chiếu TCP/IP bởi vì họ muốn một mạng có thể sống còn trong bất kỳ điều kiện nào. Bộ giao thức TCP/IP gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng. Mô hình TCP/IP có bốn lớp:  Lớp ứng dụng ( Application Layer)  Lớp Vận chuyển ( Transport Layer)  Lớp Internet (Internet Layer)  Lớp truy nhập mạng (Network access Layer) 1.1.2 Các lớp trong mô hình TCP/IP 1.1.2.1 Lớp ứng dụng Lớp ứng dụng của mô hình TCP/IP kiểm soát các giao thức lớp cao, các chủ đề về trình bày, biểu diễn thông tin, mã hóa và điều khiển hội thoại. Bộ giao thức TCP/IP tổ hợp tất cả các ứng dụng liên quan đến các chủ đề vào một lớp và đảm bảo số liệu này được đóng gói thích hợp trước khi chuyển nó đến lớp kế tiếp. TCP/IP có các giao thức để hỗ trợ truyền file, email và remote login, thêm vào các ứng dụng sau đây: File Transfer Protocol (FTP), Trivial File Transfer Protocol (TFTP), Network File System (NFS), Simple Mail Transfer Protocol (SMTP), 8 Terminal emulation (Telnet), Simple Network Management Protocol (SNMP), Domain Name System (DNS). 1.1.2.2 Lớp vận chuyển Lớp vận chuyển cung ứng các dịch vụ vận chuyền từ host nguồn đến host đích. Lớp vận chuyển thiết lập một cầu nối logic giữa các đầu cuối của mạng, giữa host nhận và host truyền. Giao thức vận chuyển phân chia và tái thiết lập dữ liệu của các ứng dụng lớp trên thành luồng dữ liệu giống nhau giữa các đầu cuối. Luồng dữ liệu của lớp vận chuyển cung cấp các dịch vụ truyền tải tù đầu cuối này đến đầu cuối kia của mạng. Internet thường được biểu diễn bằng một đám mây mạng (cloud). Lớp vận chuyển gửi các gói tin từ nguồn đến đích xuyên qua đám mây mạng này. Các dịch vụ vận chuyển gồm tất cả các dịch vụ sau đây: TCP và UDP  Phân đoạn dữ liệu ứng dụng lớp trên.  Truyền các segment từ một thiết bị đầu cuối này đến thiết bị đầu cuối khác. Riêng TCP  Thiết lập các hoạt động end-to-end.  Cửa sổ trượt cung cấp điều khiển luồng.  Chỉ số tuần tự và báo nhận cung cấp độ tin cậy cho hoạt động. Các giao thức lớp vận chuyển : Giao thức TCP và UDP: a)Giao thức UDP Giao thức UDP (User Datagram Protocol) cung cấp cơ chế chính yếu mà các chương trình ứng dụng sử dụng để gửi đi các gói tin tới các chương trình ứng dụng khác. UDP cung cấp các cổng để phân biệt các chương trình ứng dụng trên một máy tính đơn. Nghĩa là, cùng với mỗi một bản tin gửi đi, mỗi bản tin UDP còn bao gồm một giá trị cổng nguồn và cổng đích, giúp cho phần mềm UDP tại 9 đích có thể phát chuyển gói tin tới đúng nơi nhận và cho phép nơi nhận gửi trả lại xác nhận tin. UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ tin cậy như IP. UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đên đích hay không, không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản hồi để xác định mức độ truyền thông tin giữa hai máy. b) Giao thức TCP Giao thức TCP (Transmission Control Protocol) cung cấp dịch vụ truyền thông dữ liệu định hướng truyền thống cho các chương trình - dịch vụ chuyển dòng (stream) tin cậy. TCP cung cấp một mạch ảo, còn được gọi là kết nối. Nó cấp khả năng đứt quảng, kiểm tra lỗi và điều khiển luồng. - Cấu trúc tiêu đề TCP: Hình 1.1: Cấu trúc tiêu đề TCP Giải thích ý nghĩa các trường:  Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị cổng TCP để xác định các chương trình ứng dụng tại hai đầu kết nối. Mỗi khi TCP nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP. Khi đọc Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ để gửi dữ liệu đến chương trình ứng với số cổng đó. Song với TCP, giá trị cổng phức tạp hơn UDP vì một giá trị cổng TCP cho trước không tương ứng với một đối tượng đơn. Thay vì vậy, TCP được xây dựng trên 10 kết nối trừu tượng, trong đó các đối tượng được xác định là những liên kết mạch ảo, không phải từng cổng. Ví dụ như giá trị 192.168.2.3,25 xác định cổng TCP 25 trên máy tính có địa chỉ 192.168.2.3.  Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ liệu trong segment của nơi gửi.  Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đang đợi để nhận kế tiếp. Lưu ý là Sequence Number để chỉ đến lượng dữ liệu theo cùng chiều với segment, trong khi giá trị Acknowledgment Number để chỉ đến dữ liệu ngược lại với segment đến.  Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài của phần đầu segment, được tính theo bội số của 32 bit. Giá trị này là cần thiết vì có phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã được đưa vào.  Unused (dự phòng): được dành riêng để sử dụng trong tương lai.  Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của segment, diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit. Ví dụ segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những yêu cầu để thiết lập hoặc ngắt nối.  Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm cho quá trình truyền.  Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài dòng xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu đến cho dù nó nằm ở đâu trong vùng dữ liệu. Sau khi xử lý xong dữ liệu khẩn cấp, TCP thông báo cho chương trình ứng dụng trở về trạn thái thông thường. [...]... 1.6: Mô hình mạng VPN mở rộng 18 Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site– to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN Hình 1.7: Mô hình... tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet 1.2.2.3 Mạng VPN mở rộng (Extranet VPN) Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh... được công nhận ở một trong hai đầu cuối của VPN Hình 1.7: Mô hình mạng VNP mở rộng Mạng VPN mở rộng có những ưu điểm cơ bản sau:  Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống  Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động  Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải... EK(P)=C Giải mã: DK(C)=P Về cơ bản thì các thuật toán mật mã được chia thành hai loại: các hệ thống mật mã khóa đối xứng (Symmetric Key Cryptosystem), và các hệ thống mật mã khóa công khai (Public Key Cryptosystem) Mật mã khóa đối xứng sử dụng cùng một khóa duy nhất trong quá trình mật mã và giải mã, với hệ thống này thì hai đầu kênh được cung cấp cùng một khóa qua một kênh tin cậy và khóa này phải... mạng riêng của các công ty tới các site hay các nhân viên từ xa 14 1.2.2 Các loại VPN 1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs) VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ đâu có mạng Internet VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử dụng thông qua... Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng Hình 1.4: Mô hình VPN. .. sau:  Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS  Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói  Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể 16 1.2.2.2 Mạng VPN cục bộ (Intranet VPN) Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Mạng VPN liên kết... đảm nhiệm nên giảm đáng kể chi phí cho thuê nhân viên bảo trì hệ thống 19 Tuy nhiên mạng VPN mở rộng cũng vẫn tồn tại một số nhược điểm sau:  Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại  Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức  Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet... đi nhưng ưu điểm và lợi ích mang lại cho người sử dụng, vì thế VPN luôn được các nhà quản trị mạng yêu thích , sử dụng Và các doanh nghiệp thì cũng không phải là ngoại lệ, thậm chí họ còn cảm thấy rất thích thú với công nghệ này 1.2.3 Các giao thức đường hầm trong VPN Các giao thức đường ngầm (hoặc đường hầm ) là nền tảng của công nghệ VPN Một giao thức đường ngầm sẽ thực hiện đóng gói dữ liệu với... Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site Central site Remote site POP Internet or Router v¨n phßng ë xa Hình 1.5: Mô hình mạng VPN cục bộ Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN . Chi phí xây dựng và bảo dưỡng hệ thống 51 2.2.3.3 Tính cơ động của hệ thống VPN truy nhập từ xa 53 2.2.3.4 Ưu thế về tốc độ truyền 53 2.2.4 Xây dựng hệ thống 54 2.2.4.1 Mô hình hệ thống 54. trình triển khai hệ thống mạng VPN. Từ đó thống kê được các kiến thức cần có khi xây dựng hệ thống mạng VPN. Chương này cũng nêu ra được các khái niệm cơ bản về VPN, các loại VPN, các giao thức. ảo -VPN (Vitrual Private Network) 13 1.2.1 Các khái niệm cơ bản về VPN 13 1.2.2 Các loại VPN 15 1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs) 15 1.2.2.2 Mạng VPN cục bộ (Intranet VPN)