Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Mục lục CHƯƠNG I – TỔNG QUAN VỀ MẠNG RIÊNG ẢO VIRTUAL PRIVATE NETWORK (VPN) Giải pháp VPN (Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thông tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian Một mạng VPN điển hình bao gồm mạng LAN trụ sở (Văn phòng chính), mạng LAN khác văn phòng từ xa, điểm kết nối (như 'Văn phòng' gia) người sử dụng (Nhân viên di động) truy cập đến từ bên 1.1 Những khái niệm Virtual Private Networks (VPN) 1.2 Các chức năng, ưu điểm nhược điểm VPN 1.2.1Các chức VPN 1.2.2Ưu điểm VPN 1.2.3Nhược điểm VPN số vấn đề cần khắc phục 1.3 Phân loại VPN ứng dụng 1.3.1Remote access VPN 1.3.2VPN điểm tới điểm 1.3.2.1Intranet VPN 1.3.2.2Extranet VPN 10 CHƯƠNG II – CÁC GIAO THỨC ĐƯỜNG NGẦM 11 2.1 Giới thiệu giao thức đường ngầm .11 2.2Giao thức chuyển tiếp lớp 2- L2F .12 2.2.1Hoạt động L2F 12 2.2.2Ưu nhược điểm L2F 13 2.3 Tunneling protocol tầng 2- giao thức PPTP 13 2.3.1Point-to-Point Tunneling Protocol (PPTP) 14 2.3.2 Duy trì đường ngầm tin điều khiển PPTP 14 2.4Giao thức đường ngầm lớp – L2TP 16 2.4.1Khái quát hoạt động L2TP 16 2.4.2Duy trì đường ngầm tin điều khiển L2TP .17 2.4.3Đóng gói liệu đường ngầm L2TP 17 2.4.4Xử lý liệu đầu cuối đường ngầm L2TP IPSec .19 2.4.5Triển khai VPN dựa L2TP .19 Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc 2.4.6Ưu nhược điểm khả ứng dụng L2TP 20 CHƯƠNG III- MẠNG RIÊNG ẢO TRÊN NỀN IPSec .21 3.1Giới thiệu IPSec .22 3.2Đóng gói thông tin IPSec 23 3.2.1Các chế độ hoạt động 23 3.2.2 Giao thức tiêu đề xác thực AH 25 3.2.3Giao thức đóng gói tải tin an toàn ESP 27 3.3Kết hợp an ninh hoạt động trao đổi khóa .30 3.3.1Kết hợp an ninh 30 3.3.2Hoạt động trao đổi khóa .34 3.4Một số vấn đề kỹ thuật thực VPN IPSec .36 3.4.1Mật mã .36 3.4.2Toàn vẹn tin 36 3.3.4Quản lý khóa .37 3.5Các vấn đề tồn IPSec 38 CHƯƠNG IV- THIẾT KẾ VÀ TRIỂN KHAI HỆ THỐNG VPN 39 4.1Thiết kế VPN 39 4.2Triển khai hệ thống VPN 41 4.2.1Mô hình Client to Site 41 4.2.2Mô hình Site to Site 52 Kết luận 63 Hướng phát triển đề tài .65 Tài liệu tham khảo 66 CHƯƠNG I – TỔNG QUAN VỀ MẠNG RIÊNG ẢO VIRTUAL PRIVATE NETWORK (VPN) Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Giải pháp VPN (Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thông tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian Một mạng VPN điển hình bao gồm mạng LAN trụ sở (Văn phòng chính), mạng LAN khác văn phòng từ xa, điểm kết nối (như 'Văn phòng' gia) người sử dụng (Nhân viên di động) truy cập đến từ bên VPN hiểu mạng kết nối site khách hàng đảm bảo an ninh sở hạ tầng mạng chung với sách điều khiển truy nhập bảo mật mạng riêng Tuy xây dựng sở hạ tầng sẵn có mạng công cộng VPN lại có tính chất mạng cục sử dụng đường kênh thuê riêng Chương trình bày khái niệm VPN, chức đặc điểm VPN, từ làm sở để phân loại VPN đưa thuận lợi khó khăn sử dụng loại hình VPN khác 1.1 Những khái niệm Virtual Private Networks (VPN) VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an toàn bảo mật VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi gửi nơi nhận giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu thông tin đường cho phép đến đích thông qua mạng công cộng cách nhanh chóng Sự mã hóa cẩn thận đảm bảo tính Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc an toàn đường truyền Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các kết nối VPN gọi đường ống VPN (VPN Tunnel) Trên thực tế người ta thường nói tới hai khái niệm VPN VPN kiểu tin cậy (Trusted VPN) VPN an toàn (Secure VPN) Mạng riêng ảo kiểu tin cậy xem số mạch thuê nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê bao riêng hoạt động đường dây mạng cục Tính riêng tư “Trusted VPN” thể chỗ nhà cung cấp dịch vụ đảm bảo sử dụng mạch thuê riêng Khách hàng mạng riêng ảo loại tin cậy vào nhà cung cấp dịch vụ để trì tính toàn vẹn bảo mật liệu truyền mạng Mạng riêng ảo an toàn mạng riêng có sử dụng mật mã để bảo mật liệu Dữ liệu đầu mạng mật mã chuyển vào mạng công cộng liệu khác để truyền tới đích sau giải mã phía thu Tính riêng VPN thể chỗ liệu truyền giữ bí mật bị truy nhập người sử dụng trao quyền Điều quan trọng giao thức Internet ban đầu không thiết kế để hỗ trợ mức độ bảo mật Do đó, bảo mật cung cấp cách thêm phần mềm hay phần cứng VPN 1.2 Các chức năng, ưu điểm nhược điểm VPN 1.2.1 Các chức VPN VPN cung cấp chức tính xác thực (Authentication), tính toàn vẹn (Integrity) tính bảo mật (Confidentiality) • Tính xác thực: Để thiết lập kết nối VPN trước hết hai phía phải xác thực lẫn để khẳng định trao đổi thông tin với người mong muốn người khác • Tính toàn vẹn: Đảm bảo liệu không bị thay đổi hay có xáo trộn trình truyền dẫn • Tính bảo mật: Cung cấp giải pháp mã hoá liệu trình truyền nhằm bảo đảm tính riêng tư toàn vẹn liệu 1.2.2 Ưu điểm VPN Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Mạng riêng ảo mang lại lợi ích thực tức thời cho cac công ty Nó không đơn giản hóa việc trao đổi thông tin nhân viên làm việc xa, người dùng lưu động, mơ rộng Intranet đến văn phòng, chi nhánh, chí triển khai Extranet đến tận khách hàng đối tác chủ chốt mà cho phép giảm chi phí nhiều so với việc mua thiết bị đường dây cho mạng WAN Những lợi ích trực tiếp gián tiếp VPN mang lại: Tăng tính bảo mật: Cấu tạo VPN ngăn chặn truy cập người dùng không phép Kết quả, liệu lưu thông qua đường ngầm tương đối an toàn, cho dù thực tế liệu trao đổi thông qua môi trường không an toàn chung Internet chẳng hạn Sự hiệu chi phí VPN sử dụng mạng công cộng Internet làm trung gian để truyền liệu đến đích Điều tạo giải pháp vô hiệu chi phí sử dụng, đặc biệt bạn so sánh với việc triển khai mạng Intranet riêng thuê đường line trải dài toàn cầu với khoảng cách xa Thêm vào đó, tổ chức tiết kiệm số tiền đáng kể dùng để chi phí cho việc bảo trì quản lý Giảm thiểu yêu cầu thiết bị Bằng việc cung cấp giải pháp đơn cho xí nghiệp truy cập quay số truy cập Internet, VPN yêu cầu thiết bị hơn, đơn giản nhiều so với việc bảo trì modem riêng biệt, card tương thích (adapter) cho thiết bị đầu cuối máy chủ truy cập từ xa Tiết kiệm địa IP Như đề cập trên, tunneling cho phép giao thức không định tuyến, không địa IP chèn vào bên gói sử dụng địa IP toàn cầu Kết quả, thay phải mua đăng ký địa IP cho nút mạng, hệ thống mạng mua khối nhỏ địa IP toàn cầu Khi nút mạng riêng thiết lập kết nối VPN, địa IP sẵn có khối dùng gắn vào gói liệu no-IP Vì thế, mạng riêng giảm cần thiết địa IP tổ chức Đáp ứng nhu cầu thương mại Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Đối với thiết bị công nghệ viễn thông vấn đề cần quan tâm chuẩn hóa, khả quản trị, mở rộng tích hợp mạng, tính kế thừa, độ tin cậy hiệu xuất hoạt động, đặc biệt khả thương mại sản phẩm Các sản phẩm dịch vụ VPN tuân theo chuẩn chung nay, phần để đảm bảo khả làm việc sản phẩm có lẽ quan trọng để sản phẩm nhiều nhà cung cấp khác làm việc với 1.2.3 Nhược điểm VPN số vấn đề cần khắc phục Sự rủi ro an ninh Một mạng riêng ảo thường rẻ hiệu so với giải pháp sử dụng kênh thuê riêng Tuy nhiên tiềm ẩn nhiều rủi ro an ninh khó lường trước Mặc dù hầu hết nhà cung cấp dịch vụ quảng cáo giải pháp họ đảm bảo an toàn, an toàn không tuyệt đối Độ tin cậy thực thi VPN sử dụng phương pháp mã hóa để đảm bảo liệu, hàm mật mã phức tạp dẫn đến lưu lượng tải máy chủ nặng Nhiệm vụ người quản trị mạng quản lý tải máy chủ cách giới hạn số kết nối đồng thời để biết máy chủ điều khiển Tuy nhiên, số người cố gắng kết nối với VPN tăng vọt phá vỡ hết trình truyền tin, nhân viên quản trị kết nối tất cổng VPN bận Điều động thúc đẩy người quản trị tạo khóa ứng dụng làm việc mà không đòi hỏi VPN Vấn đề lựa chọn giao thức Việc chọn IPSec hay SSL/TLS vấn đề khó định, viễn cảnh sử dụng chúng khó nói trước Một điều cần cân nhắc SSL/TLS làm việc thông qua tường lửa dựa bảng biên dịch địa NAT IPSec không Nhưng hai giao thức làm việc qua tường lửa không dịch địa Trong thực tế, người quản trị định kết hợp ghép giao thức để tạo cân tốt cho thực thi độ an toàn mạng Ví dụ, client kết nối tới Web server thông qua tường lửa dùng đường dẫn an toàn SSL/TLS, Web server kết nối tới dịch vụ ứng dụng Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc dùng IPSec, dịch vụ ứng dụng kết nối tới sở liệu thông qua tường lửa khác dùng SSL 1.3 Phân loại VPN ứng dụng Mạng riêng ảo VPN cung cấp nhiểu khả ứng dụng khác VPN nhằm hướng vào yêu cầu sau đây: • Có thể truy cập lúc điều khiển từ xa, điện thoại cầm tay, việc liên lạc nhân viên tổ chức tới tài nguyên mạng • Nối kết thông tin liên lạc chi nhánh văn phòng từ xa • Ðược điều khiển truy nhập tài nguyên mạng cần thiết khách hàng, nhà cung cấp đối tượng quan trọng công ty nhằm hợp tác kinh doanh Dựa vào hình thức ứng dụng khả mà mạng riêng ảo mang lại, phân chúng thành hai loại sau: • VPN truy nhập từ xa (Remote access VPN) • VPN điểm tới điểm ( Site to Site VPN) Trong mạng VPN điểm tới điểm lại chia làm hai loại: • • VPN cục (Intranet VPN) VPN mở rộng (Extranet VPN) 1.3.1 Remote access VPN Remote Access VPN cho phép truy cập lúc Remote, mobile thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Đây hiểu kết nối client –to-site Remote Access VPN mô tả việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thông qua gateway VPN concentrator (bản chất server) Vì lý này, giải pháp thường gọi client/server Trong giải pháp người dùng thường sử dụng công nghệ WAN truyền thống để tạo lại tunnel mạng nội họ Một hướng phát triển Remote access VPN dùng wireless VPN, kiểu kết nối không dây Trong thiết kế kết nối không dây cần phải kết nối trạm wireless sau mạng công ty Trong Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc hai trường hợp, phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi tunnel Một phần quan trọng thiết kế việc thiết kế trình xác thực ban đầu để bảo đảm yêu cầu xuất phát từ nguồn tin Thông thường điều dựa sách bảo mật công ty Mô hình VPN truy cập từ xa Hình 1.1 Mô hình VPN truy nhập từ xa 1.3.2 VPN điểm tới điểm VPN điểm tới điểm giải pháp kết nối hệ thống mạng nơi khác với mạng trung tâm thông qua VPN Trong tình trình xác thực ban đầu cho người sử dụng trình xác thực thiết bị Các thiết bị hoạt động Cổng an ninh, truyền lưu lượng cách an toàn từ Site đến Site khác Các thiết bị định tuyến hay tường lửa với hỗ trợ VPN có khả thực kết nối Sự khác VPN truy nhập từ xa VPN điểm tới điểm mang tính tượng trưng Nhiều thiết bị hoạt động theo hai cách VPN điểm tới điểm xem VPN cục mở rộng xét từ quan điểm quản lý sách Nếu hạ tầng có chung nguồn quản lý xem VPN cục Ngược lai, VPN mở rộng Vấn đề truy nhập điểm kiểm soát chặt chẽ thiết bị tương ứng 1.3.2.1 Intranet VPN VPN cục dạng cấu hình tiêu biểu VPN điểm tới điểm, sử dụng để bảo mật kết nối địa điểm khác công ty Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Hình 1.2 Mô hình VPN cục Nó liên kết trụ sở chính, văn phòng, chi nhánh sở hạ tầng chung sử dụng kết nối mã hóa bảo mật Điều cho phép tất địa điểm truy cập an toàn nguồn liệu phép toàn mạng công ty Những Ưu điểm Intranet setup dựa VPN theo hình 1-4 : • Hiệu chi phí giảm số lượng router sữ dụng theo mô hình WAN backbone • Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số remote site khác • Bởi Internet hoạt động kết nối trung gian, dễ dàng cung cấp kết nối ngang hàng • Kết nối nhanh tốt chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa thêm giúp tổ chức giảm thiểu chi phí cho việc thực Intranet Những nhược điểm kết hợp với cách giải : • Bởi liệu tunnel suốt trình chia mạng công cộng-Internet-và nguy công, công từ chối dịch vụ (denial-of-service), mối đe doạ an toàn thông tin • Khả liệu lúc di chuyển thông tin cao • Trong số trường hợp, liệu loại high-end, tập tin mulltimedia, việc trao đổi liệu chậm chạp truyền thông qua Internet Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT Kỹ thuật mạng riêng ảo (VPN) Xuân • GVHD – TS Lê Ngọc Do kết nối dựa Internet, nên tính hiệu không liên tục, thường xuyên, QoS không đảm bảo 1.3.2.2 Extranet VPN VPN mở rộng cấu VPN điểm tới điểm, cung cấp đường ngầm bảo mật khách hàng, nhà cung cấp đối tác thông qua sở hạ tầng mạng công cộng Kiểu VPN sử dụng kết nối bảo mật không bị cô lập với giới bên VPN cục hay truy nhập từ xa Hình 1.5 Mô hình VPN mở rộng Những ưu điểm mạng VPN mở rộng bao gồm: • Do hoạt động môi trường Internet, bạn lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tuỳ theo nhu cầu tổ chức • Bởi phần Internet-connectivity bảo trì nhà cung cấp (ISP) nên giảm chi phí bảo trì thuê nhân viên bảo trì • Dễ dàng triển khai, quản lý chỉnh sữa thông tin Nhược điểm Extranet • Khả bảo mật thông tin, liệu truyền qua mạng công cộng tồn • Truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực, thách thức lớn môi trường Internet • Làm tăng khả rủi ro mạng cục công ty Để triển khai hệ thống VPN cần có thành phần sau đây: Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 10 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc 4.2.2 Mô hình Site to Site Computer Ip address Default gateway DNS server Serverinternet Vpnhn Vpndn clientdn Cliethn 192.168.10.1/24 Public: 20.20.20.20/8 Private: 192.168.10.201/24 Public: 20.20.20.25/8 Private: 192.168.0.201/24 192.168.0.1/24 192.168.10.20/24 192.168.0.201 192.168.10.201 192.168.10.201 192.168.10.1 192.168.10.1 Máy serverinternet máy chủ quản trị miền: dhvinh.com (như mô hình client to site) Mục đích tạo User để người dùng remote có Account xác nhận truy cập vào mạng Bước 1: Tạo User Account: Tạo OU: VPN server Account Tạo tài khoản : vpnhn – 123@123a vpndn - 123@123a Các tài khoàn cho phép Allow access Bước 2: Cấu hình máy VPNhn Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 52 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Hình ảnh cài đặt RRAS giống phần mô hinh Client to Site mà em trình bày trên: Tại Configuration chọn: Custom configuration Click Next Nhấp chọn : VPN access, Demand-dial connection, Lan routing Nhấp Next , nhấn Finish kết thúc trình cài đặt Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 53 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Tiếp tục trình cấu hình VPN: - Nhấp chuột vào Network Interfaces chọn New Demanddial Interface… Tại mục Interface name: nhập vpndn - Tại mục Connection Type chọn Connect using virtual private netwoking (VPN) Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 54 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc - Tại VPN Type nhấp chọn giao thức Point to Point Tunneling Protocol (PPTP) - Tại bảng Destination Address nhập địa IP Pulic mạng kia, ta nhập địa ip address mạng ta dùng mạng 20.20.20.0/8 lập giả mạng Internet - Tại Protocol and Security nhấp chọn hình vẽ Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 55 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc - Tại hộp thoại Static Routes for Remote Network ta nhấn Add Trong hộp Static Router ta nhập địa 192.168.0.0 /24 mục đích cho phép ta truy cập tới tất máy Client mạng - Tại hộp thoại Dial In Credentials nhập Passwork tương ứng user vpnhn mà ta tạo lúc đầu (123@123a) - Tại hộp thoại Dial out Credentials ta nhập user passwork mạng Hà Nội Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 56 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc - Nhấp Finish để kết thúc trình cấu hình Vì kết nối với VPN Server tự tạo thêm địa IP Address cho riêng mình, IP đóng vai trò Router mạng IP đóng vai trò Router mạng kia, để câu hình ta làm sau: Right click vào máy server1 chọn Proprties Nhấp vào tab IP chọn Static Address pool nhấp Add Trong hộp thoại New Address rang ta nhập dải địa IP mà ta muốn cấp cho máy mạng truy cập vào mạng này: Với máy VPN server Đà Nẵng (vpndn) ta cấu hình RRAS tương tự vpnhn Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 57 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Kết thúc ta Restart lại máy Vì VPN Server mạng riêng ảo ta xây dựng có tính riêng cao mà Internet người dùng lang thang truy cập Do để máy mạng thấy ta phải tạo VPN Network Connection Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 58 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Lúc ta vào Network Connection VPN Server chọn New connection Winzard , New connection Winzard chọn Virtual Private Network connection Next Tại máy VPN Đà Nẵng (vpndn) nhập 20.20.20.20 Tại máy VPN Hà Nội nhập:20.20.20.25 Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 59 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Next , chọn Finish kết thức trình cấu hình Join máy Đà nẵng vào miền dhvinh.com Sau hoàn tất ta nhập User passwork tương ứng với máy Với máy VPN Hà Nội Với máy VPN Đà Nẵng Kết nối thành công Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 60 Kỹ thuật mạng riêng ảo (VPN) Xuân VPN server Hà Nội GVHD – TS Lê Ngọc VPN server Đà Nẵng Kiểm tra địa IP máy chủ kết nối VPN thành công Với máy VPN Hà Nội Với máy VPN Đà Nẵng Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 61 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Kiểm tra với máy Client vùng Sử dụng client vùng truy cập vào vùng Kết nối VPN client Máy client Hà Nội kết nối tới dải Đà Nẵng Máy clientdn kết nối Hà Nội Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 62 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Các kết nối thành công Kết luận Công nghệ mạng riêng ảo VPN cho phép tận dụng môi trường mạng công cộng Internet để xây dựng mạng riêng đảm bảo an ninh Với ưu điểm mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt triển khai mở rộng, VPN công nghệ hứa hẹn triển vọng thị trường lớn Đồ án tìm hiểu số vấn đề kỹ thuật liện quan đến việc thực VPN, nội dung gồm vấn đề chính: - Các khái niệm VPN, đặc điểm giao thức đường ngầm L2F, PPTP, L2TP IPSec Nguyên tắc hoạt hoạt động VPN dựa giao thức đường ngầm Trong số giao thức đường ngầm có, IPSec đáp ứng tốt nhu cầu cao an toàn liệu, giải pháp cho bảo mật VPN tổ chức, công ty Tuy nhiên, IPSec hỗ trợ luồng IP chiều; gói Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 63 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc liệu IP chiều đường ngầm hoá, sau kiểu đóng gói cung cấp IPSec đủ đơn giản để cấu hình sửa chữa Để tạo đường ngầm cho IP nhiều hướng ta sử dụng L2TP, với luồng lưu lượng mạng sử dụng mạng, thiết bị Microsoft L2TP lựa chọn tốt L2TP phù hợp với VPN truy cập từ xa hỗ trợ đa giao thức Tuy nhiên, L2TP không hỗ trợ mã hoá liệu tính toàn vẹn liệu sử dụng IPSec kết hợp với L2TP giải pháp toàn vẹn - Đi sâu vào giao thức IPSec IPSec hỗ trợ phương pháp xác thực mật mã mạnh nhất, có tính linh hoạt cao không bị ràng buộc phương pháp xác thực mật mã Đây xem giao thức tối ưu cho IP-VPN tìm hiểu cách chi tiết Để thực đóng gói liệu, IPSec có hai giao thức đóng gói AH ESP Liên kết an ninh SA định tập tham số, thuật toán giao thức đóng gói (là AH hay ESP) cho liệu hai bên Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực bên tham gia thỏa thuận liên kết an ninh bên - Một số vấn đề bảo mật, quản lý khóa VPN - Thực kết nối VPN số mô hình Hiện nay, Việt Nam có nhiều hãng cung cấp giải pháp VPN cho doanh nghiệp, hãng có cấu hình VPN riêng Theo đánh giá nhiều công ty thị trường VPN Việt Nam có tốc độ phát triển mạnh Cuối cùng, VPN liên quan đến nhiều giao thức thuật toán phức tạp cộng với khả hiểu biết em hạn chế nên phạm vi đồ án khó đề cập hết, em mong nhận ý kiến đóng góp thầy cô bạn để em có thêm kinh nghiệm ý tưởng để đồ án hoàn thiện Một lần em xin chân thành cảm ơn thầy giáo Lê Ngọc Xuân người trực tiếp hướng dẫn em thực hoàn thành đồ án này, thầy cô khoa Công Nghệ Thông Tin trường Đại Học Vinh bạn lớp Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 64 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Hướng phát triển đề tài Qua thời gian khảo sát, nghiên cứu xây dựng mô hình VPN Chúng đúc rút kinh nghiệm vô quý báu chưa thực triển khai công nghệ VPN thực tế Do muốn tiếp tục nghiên cứu phát triển vấn đề sau: - Tìm hiểu mô hình VPN triển khai thực tế để đưa giải pháp phân quyền, bảo mật tốt - Giải pháp VPN “mềm” tích hợp cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn cần tới giải pháp VPN phần cứng để phát triển mạng diện rộng WAN - Để đảm bảo mức độ bảo mật đường truyền an toàn cho liệu cần phải có giải pháp an ninh cao Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 65 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Tài liệu tham khảo Network Infrastruture – Implementtation, manegerment and Maintence – Microsoft Press Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc Understanding Virtual Private Networking Copyrignt © 2001, ADTRAN, Inc IPSec Copyright © 1998, Cisco Systems, Inc Security Protocols Overview Copyright © 1999, RSA Data Security, Inc Phạm Hoàng Dũng (chủ biên), Hoàng Đức Hải, Làm chủ Window Server 2003 , Nhà xuất thống kê, tập 3, năm 2004 Nguyễn Tiến Ban, Hoàng Trọng Minh, Mạng riêng ảo, Học viện công nghệ bưu viễn thông, 5/2007 Website VietCERT Co., Ltd: http://congnghemoi.com Quản trị mạng: http://quantrimang.com, http://kythuatvien.com, http://nhatnghe.com Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 66 [...]... Thị Ngọc - Lớp 46K2 CNTT 13 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Giao thức đường ngầm điểm tới điểm được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy nhập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng Người dùng ở xa chỉ việc... định nghĩa cơ chế tạo đường ngầm của riêng nó, tùy thuộc vào phương tiện truyền chứ không dùng GRE L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay hoặc ATM Tuy nhiên, hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 16 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Khi truyền qua mạng IP, các khung L2TP được đóng gói... tiếp nó tới giao thức để xử lý 2.4.5 Triển khai VPN dựa trên L2TP Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản sau: • Bộ tập trung truy nhập mạng • Máy chủ L2TP • Các máy trạm L2TP Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 19 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Hình 2.11 Các thành phần của hệ thống cung cấp VPN dựa trên L2TP 2.4.6 Ưu nhược điểm và khả năng... công phá hoại qua mạng cũng có thể xảy ra Chính vì vậy vấn đề an ninh an toàn dữ liệu khi truyền qua mạng công cộng đã trở nên có ý nghĩa đặc biệt quan trọng Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 21 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Giao thức IPSec (Internet Protocol Security) được phát triển để giải quyết vấn đề bảo đảm an ninh cho thông tin truyền trên mạng Internet và... (Internet Key Exchange) để xác thực hai bên, thương lượng các chính sách bảo mật và xác thực thông qua việc xác định thuật toán thiết lập kênh truyền, trao đổi khóa cho mỗi phiên kết nối và dùng trong mỗi phiên truy nhập Mạng dùng IPSec để bảo mật các dòng Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 22 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc dữ liệu có thể tự động kiểm tra tính xác thực... truy nhập mạng NAS (Network Access Server): hướng lưu lượng đến và đi giữa máy khách ở xa ( Remote Client) và Home Gateway Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 12 Kỹ thuật mạng riêng ảo (VPN) Xuân - GVHD – TS Lê Ngọc Đường ngầm (Tunnel): định hướng đường đi giữa NAS và Home Gateway Một đường ngầm gồm một số kết nối Home Gateway: ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng Kết.. .Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc - User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho - phép người dùng hợp lệ kết nối và truy cập hệ thống VPN Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi - gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ Data Encryption: cung cấp giải pháp... giải pháp VPN Có 4 giao thức đường hầm được sử dụng trong VPN đó là: • • Giao thức chuyển tiếp lớp 2 (L2F- Layer Two Forwarding) Giao thức đường ngầm điểm tới điểm (PPTP- Point to Point • Tunneling Protocol) Giao thức đường ngầm lớp 2 (L2TP – Layer Two Tunneling Protocol) Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 11 Kỹ thuật mạng riêng ảo (VPN) Xuân • GVHD – TS Lê Ngọc Giao thức bảo mật IPSec... cung cấp dịch vụ đảm bảo toàn vẹn Trong phiên bản thứ hai của IPSec, ESP trở nên mềm dẻo hơn Nó có thể thực hiện xác thực để cung cấp dịch vụ đảm bảo toàn vẹn, mặc dù không hỗ trợ cho outermost IP header Sự mã hoá của ESP có thể bị vô hiệu hoá qua thuật toán mã hoá Null ESP algorithm Do đó, ESP có thể cung Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 27 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS... được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn PPTP không những tạo điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung mà còn qua mạng riêng intranet • Công dụng của PSTNs (Public Switched Telephone Networks): PPTP cho phép sử dụng PSTNs cho việc triển khai VPNs Kết quả là, quá trình xử lý sự phát triển VPN đặc biệt đơn giản và tổng ... 47 Kỹ thuật mạng riêng ảo (VPN) Xuân GVHD – TS Lê Ngọc Máy VPN server Join máy VPN server vào miền dhvinh.com Sinh viên thực hiện: Đặng Thị Ngọc - Lớp 46K2 CNTT 48 Kỹ thuật mạng riêng ảo (VPN) ... gọi kết nối VPN Các kết nối VPN gọi đường ống VPN (VPN Tunnel) Trên thực tế người ta thường nói tới hai khái niệm VPN VPN kiểu tin cậy (Trusted VPN) VPN an toàn (Secure VPN) Mạng riêng ảo kiểu tin... access VPN) • VPN điểm tới điểm ( Site to Site VPN) Trong mạng VPN điểm tới điểm lại chia làm hai loại: • • VPN cục (Intranet VPN) VPN mở rộng (Extranet VPN) 1.3.1 Remote access VPN Remote Access VPN