LỜI CẢM ƠN Tác giả xin chân thành cảm ơn PGS.TS Nguyễn Kim Giao tận tình hướng dẫn, bảo, giúp đỡ tác giả hoàn thành luận văn Tác giả xin chân thành cảm ơn Ban chủ nhiệm khoa, Thầy, Cô giáo khoa Điện tử-Viễn thông phòng Đào tạo - Nghiên cứu Khoa học trường Đại học Công nghệ - Đại học quốc gia Hà Nội, Lãnh đạo cục, Lãnh đạo phịng Quản lí - Thiết kế Tổ chức mạng máy tính tồn thể đồng nghiệp Cục Công nghệ tin học nghiệp vụ - Tổng cục Khoa học kĩ thuật - Bộ Công an giúp đỡ, động viên, tạo điều kiện thuận lợi cho tác giả suốt trính học tập, nghiên cứu hoàn chỉnh luận văn Mơc lơc Trang Trang phơ b×a Lời cảm ơn Mơc lục Danh mục ký hiệu, chữ viết tắt Danh mục bảng Danh mục hình v mở ®Çu CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Giới thiệu công nghệ mạng riêng ảo VPN 1.1.1 Khái niệm VPN 1.1.1.1 Định tuyến đường hầm 1.1.1.2 Mã hóa liệu 1.1.1.3 Nhận diện xác thực 1.2 Các ưu điểm VPN 1.2.1 Giảm chi phí thường xuyên 1.2.2 Giảm chi phí đầu tư 1.2.3 Giảm chi phí quản lý hỗ trợ 1.3 Phân loại VPN 1.3.1 VPN truy nhập từ xa 1.3.2 VPN site-to-site 1.3.2.1 VPN nội 1.3.2.2 VPN mở rộng 1.4 Một số giao thức tạo đường hầm VPN 1.4.1 Cơ chế hoạt động đường hầm 1.4.2 Các điều kiện để tạo đường hầm 1.4.3 Giao thức tạo đường hầm lớp 1.4.3.1 Giao thức PPP 1.4.3.2 Giao thức tạo đường hầm Điểm-tới-Điểm PPTP (Point-to-Point Tunneling Protocol) 1.4.3.3 Giao thức tạo đường hầm lớp L2TP (Layer Two Tunneling Protocol) 1.4.4 Giao thức tạo đường hầm lớp IPSec 1 5 6 8 9 10 11 12 12 16 16 17 Trang CHƯƠNG 2: MẠNG RIÊNG ẢO DỰA TRÊN GIAO THỨC SSL 22 2.1 Các công nghệ VPN 22 2.1.1 2.1.2 Các công nghệ sử dụng để khởi tạo VPN Site-to-Site Các công nghệ sử dụng để khởi tạo VPN truy nhập từ xa 22 23 2.2 Giao thức SSL 25 2.2.1 Sự đời phát triển giao thức SSL 2.2.2 Cấu trúc chức hoạt động giao thức SSL 2.2.2.1 Phân tích cấu trúc chức giao thức SSL theo mơ hình OSI 2.2.2.2 Nguyên lý hoạt động giao thức SSL 25 26 2.3 Mạng riêng ảo dựa giao thức SSL 35 2.3.1 SSL VPN theo kiểu hướng ứng dụng 35 2.3.1.1 Nguyên lý hoạt động SSL VPN theo kiểu hướng ứng dụng 2.3.1.2 Ưu điểm hạn chế SSL VPN theo kiểu hướng ứng dụng 26 29 35 38 2.3.2 SSL VPN kiểu gateway 38 2.3.2.1 Nguyên lý hoạt động SSL VPN kiểu gateway 2.3.2.2 Ưu điểm hạn chế SSL VPN theo kiểu gateway 39 40 CHƯƠNG 3: ỨNG DỤNG PHẦN MỀM Mà NGUỒN MỞ OPENVPN ĐỂ THIẾT LẬP MẠNG RIÊNG ẢO DỰA TRÊN GIAO THỨC SSL 42 3.1 Giới thiệu OpenVPN 42 3.1.1 TUN/TAP cách thức thiết lập đường hầm OpenVPN 42 a Thiết bị mạng ảo TUN b Thiết bị mạng ảo TAP 43 43 Trang c Nguyên lí tạo đường hầm OpenVPN 43 3.1.2 Phương thức mã hóa xác thực OpenVPN 44 3.1.2.1 Q trình tạo khóa, phân phối trao đổi khóa 3.1.2.2 Thuật tốn mã hóa 45 46 3.2 Thiết lập mạng riêng ảo dựa OpenVPN 46 3.2.1 Cài đặt OpenVPN số hệ điều hành thông dụng 47 3.2.1.1 Cài đặt OpenVPN hệ điều hành Windows 3.2.1.2 Cài đặt OpenVPN hệ điều hành Linux 47 48 3.2.2 Thiết lập mạng riêng ảo dựa OpenVPN 48 3.2.2.1 Thiết lập mạng riêng ảo dựa OpenVPN theo cấu hình điểm-điểm 3.2.2.2 Thiết lập mạng riêng ảo dựa OpenVPN theo cấu hình điểm-đa điểm 48 55 3.3 Nâng cao tính OpenVPN phần mềm ISLabVPN 57 3.3.1 Cài đặt, cấu hình quản trị ISLabVPN Windows 57 a Cài đặt ISLabVPN b Chạy chương trình ISLabVPN c Quản trị ISLabVPN 57 59 60 3.3.2 Sử dụng ISLabVPN Linux để quản trị server gateway 62 3.3.2.1 Cấu hình ISLabVPN máy server gateway chạy hệ điều hành Linux 62 KẾT LUẬN 66 TÀI LIỆU THAM KHẢO 67 PHỤ LỤC 68 DANH MỤC CÁC CHỮ VIẾT TẮT AH ATM AToM CA CBC CBCP CCS CHAP DES DNS DHCP EAP ESP FTP GRE HDLC HMAC HTTP IETF IKE IP IPSec ISP ISAKMP IV MS-CHAP L2F L2TP LAN LCP LDAP LDP LSR MAC MPLS MPPE NAS Authentication Header Asynchronous Transfer Mode Draft Martini transport (Any Transport over MPLS ) Certificate Authority Cipher Block Chaining Callback Control Protocol ChangeCipherSpec Challenge Handshake Authentication Protocol Data Encryption Standard Domain Name System Dynamic Host Configuration Protocol Extensible Authentication Protocol Encapsulating Security Payload File Transfer Protocol Generic Route Encapsulation High-Level Data Link Control Hash-based Message Authentication Code Hypertext Transfer Protocol Internet Engineering Task Force Internet Key Exchange Internet Protocol Internet Protocol Security Internet Service Provider Internet Security Association and Key Management Protocol Initialization Vector Microsoft Challenge Handshake Authentication Protocol Layer Forwarding Layer Tunneling Protocol Local Area Network Link Control Protocol Lighweight Directory Access Protocol Label Distribution Protocol Label Switch Routers Medium Access Control Multi Protocol Label Switch Microsoft Point-to-Point Encryption Network Access Server NetBEUI NFS OSI PAP PC PCT POP POP PPP PPTP QoS RADIUS RSA RSVP SA SHA SHTTP SNMP SSL SSLHP SSLRP TCP TDP TLS UDP VLAN VPDN VPN WAN NetBIOS Enhanced User Interface Network File System Open Systems Interconnection Password Authentication Protocol Personal Computer Private Communication Technology Post Office Protocol Point of Presence Point to Point Protocol Point to Point Transfer Protocol Quality of Service Remote Authentication Dial-in User Service Rivest, Shamir, Adleman Resource Reservation Protocol Security Association Secure Hash Algorithm Secure HyperText Transfer Protocol Simple Network Management Protocol Secure Sockets Layer Secure Sockets Layer Handshake Protocol Secure Sockets Layer Record Protocol Transmission Control Protocol Tag Distribution Protocol Transport Layer Security User Datagram Protocol Virtual LAN Virtual Private Dialup Network Virtual Private Network Wide Area Network DANH MỤC CÁC BẢNG Bảng 2.1: Ý nghĩa thông điệp trao đổi trình bắt tay Bảng 3.1: Các file chứng file khóa sử dụng chế độ chứng số DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mơ hình mạng VPN Hình 1.2: Mạng VPN truy nhập từ xa Hình 1.3: Mạng VPN nội Hình 1.4: Mạng VPN mở rộng Hình 1.5: Cấu trúc gói tin PPTP có mang liệu người dùng Hình 1.6: Câu trúc gói tin L2TP chứa liệu người dùng Hình 2.1: Sơ đồ quan hệ giao thức SSL mơ hình tham chiếu ISO Hình 2.2: Mơ hình phân tầng giao thức SSL Hình 2.3: Các thơng điệp trao đổi trình bắt tay SSL Hình 2.4: Cấu trúc thơng điệp giao thức bắt tay Hình 2.5: Trao đổi thiết lập kết nối Hình 2.6: Quá trình hoạt động giao thức Record SSL Hình 2.7: Sơ đồ nguyên lý hoạt động SSL VPN hướng ứng dụng Hình 2.8: Mơ hình tham chiếu OSI SSL VPN hướng ứng dụng Hình 2.9: Mơ hình tham chiếu OSI SSL VPN hướng ứng dụng Hình 3.1: Cách thức OpenVPN tạo đường hầm Hình 3.2: Các file thư mục cài đặt từ cài đặt OpenVPN Hình 3.3: Mơ hình kết nối mạng riêng ảo cấu hình điểm-điểm Hình 3.4: Chạy OpenVPN trực tiếp từ biểu tượng file cấu hình Hình 3.5: Mơ hình yêu cầu kết nối mạng theo cấu hình điểm-đa điểm Hình 3.6: Màn hình lựa chọn thành phần cài đặt ISLabVPN Hình 3.7: Biểu tượng giao diện chương trình ISLabVPN Hình 3.8: Các giao diện cho phép sửa đổi file cấu hình OpenVPN ISLabVPN Hình 3.9: Màn hình kết nối ISLabVPN cửa sổ nhập mật Hình 3.10: Màn hình quản trị OpenVPN qua giao diện Web Hình 3.11: Màn hình soạn thảo,sửa đổi nội dung file cấu hình OpenVPN MỞ ĐẦU Trong năm gần đây, với phát triển ngành công nghệ khác, cơng nghệ mạng máy tính đạt bước tiến nhảy vọt Công thức C+C ( Computer + Communication) đặc trưng cho hồ hợp máy tính thông tin xã hội đại Hệ thống mạng máy tính ngày phát triển mạnh để đáp ứng nhu cầu thu thập xử lý thông tin lĩnh vực đời sống, xã hội Mạng internet phát triển tạo điều kiện thuật lợi cho tổ chức, doanh nghiệp xây dựng mạng dùng riêng với trợ giúp công nghệ mạng riêng ảo hạ tầng mạng internet Công nghệ mạng riêng ảo không giúp giảm giá thành kết nối mạng diện rộng cho tổ chức, doanh nghiệp mà cịn cho phép họ có giải pháp truyền liệu an toàn qua mạng internet Hiện tại, thị trường có nhiều công nghệ sản phẩm VPN nhiều hãng khác nhau, cơng nghệ, sản phẩm có ưu nhược điểm riêng có giá thành khác Điều tạo thuận lợi cho người dùng có nhiều lựa chọn để chọn giải pháp phù hợp với điều kiện, hồn cảnh Tuy nhiên, mạng máy tính hoạt động lĩnh vực an ninh quốc phịng nhu cầu không chỗ cần xây dựng mạng riêng ảo có giá thành rẻ mà cịn phải tính đến đảm bảo an tồn cao, phải có khả kiểm soát ngăn chặn hoạt động xâm phạm an ninh mạng Vì vậy, yêu cầu đặt mạng máy tính Bộ Cơng an phải nghiên cứu để có phần mềm thiết lập mạng riêng ảo kiểm sốt tồn mã nguồn nó, đồng thời, tiết kiệm cho ngân sách Nhà nước Yêu cầu tiền đề cho việc nghiên cứu xây dựng mạng riêng ảo dựa phần mềm mã nguồn mở OpenVPN lý để tác giả chọn vấn đề làm đề tài cho luận văn tốt nghiệp Đây đề tài ứng dụng đem lại nhiều kết việc tổ chức mạng riêng ảo cho mạng máy tính Ngành Cơng an Cấu trúc luận văn bao gồm ba chương hai phần mở đầu, kết luận Chương trình bày kiến thức tổng quan mạng riêng ảo Chương sâu trình bày giao thức SSL mơ hình, ngun lí hoạt động loại SSL VPN Chương trình bày phần mềm mã nguồn mở OpenVPN cách thức ứng dụng để xây dựng mạng riêng ảo có cấu trúc điểm-điểm điểm-đa điểm Đồng thời chương trình bày số nghiên cứu tác giả việc xây dựng phần mềm ISLabVPN để tăng cường tính bảo mật xác thực người dùng client tính quản trị OpenVPN Tiếp sau Chương phần kết luận phần giới thiệu tài liệu tham khảo -1- CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Giới thiệu công nghệ mạng riêng ảo VPN 1.1.1 Khái niệm VPN [1] Về bản, VPN (Virtual Private Network) mạng sử dụng mạng dùng chung để kết nối mạng riêng lẻ hay người sử dụng từ xa quan, tổ chức sử dụng phương pháp tạo đường hầm, phương pháp mã hóa để tạo mạng dùng riêng cho quan, tổ chức Như vậy, thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối riêng ảo để tạo kết nối cho mạng riêng hay tạo kết nối tới mạng riêng cho máy truy nhập từ xa Nói cách khác, mạng riêng ảo giả lập mạng riêng mạng cơng cộng (ví dụ internet) Sở dĩ gọi “ảo” dựa liên kết ảo (khơng có diện vật lý liên kết này) khác với liên kết thiết lập đường thuê bao riêng Các liên kết ảo thực chất dòng liệu lưu chuyển mạng công cộng Ở gói tin định tuyến theo cách mà mạng cơng cộng thực với gói tin Để tạo mạng dùng riêng thông qua liên kết ảo mạng công cộng, VPN sử dụng chế tạo đường hầm kỹ thuật bảo mật Có thể định nghĩa VPN qua cơng thức: VPN = Định tuyến đường hầm + Bảo mật + Các thoả thuận QoS Hình 1.1 Mơ hình mạng VPN ... nối riêng ảo để tạo kết nối cho mạng riêng hay tạo kết nối tới mạng riêng cho máy truy nhập từ xa Nói cách khác, mạng riêng ảo giả lập mạng riêng mạng cơng cộng (ví dụ internet) Sở dĩ gọi ? ?ảo? ?? dựa. .. 47 48 3.2.2 Thiết lập mạng riêng ảo dựa OpenVPN 48 3.2.2.1 Thiết lập mạng riêng ảo dựa OpenVPN theo cấu hình điểm-điểm 3.2.2.2 Thiết lập mạng riêng ảo dựa OpenVPN theo cấu hình... xã hội Mạng internet phát triển tạo điều kiện thuật lợi cho tổ chức, doanh nghiệp xây dựng mạng dùng riêng với trợ giúp công nghệ mạng riêng ảo hạ tầng mạng internet Công nghệ mạng riêng ảo không