Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN MỤC LỤC Chương – TỔNG QUAN ĐỀ TÀI 1.1 Tổng quan mạng 10 Mã hoá 31 2.1 Thuật toán mã hoá khoá bí mật (hay đối xứng) 31 2.2 Thuật toán mã hoá khoá công cộng 32 KẾT LUẬN 42 TÀI LIỆU THAM KHẢO 44 LỜI CẢM ƠN Lời chúng em muốn gửi lời cảm ơn chân thành tới cô Hồ Thị Huyền Thương – Khoa Công nghệ thông tin - Trường Đại Vinh tận tình hướng dẫn em tạo điều kiện tốt để em hoàn thành đề tài tốt nghiệp Em xin cảm ơn thầy cô giáo khoa Công nghệ thông tin -Trường Đại học Vinh giúp đỡ chúng em suốt khóa học trường Đại học Vinh Cũng đóng góp quý báu thầy cô đề tài tốt nghiệp em Lời cảm ơn sau chúng em xin gửi tới toàn thể bạn bè, đồng nghiệp làm việc lĩnh vực công nghệ thông tin đóng góp cho chúng em kinh nghiệm quý báu bổ ích Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Vinh, ngày 22, tháng 12 , năm 2012 Sinh viên thực hiện: Mai Quốc Phương LỜI NÓI ĐẦU Ngày nay, công nghệ viễn thông phát triển nhanh, công nghệ mạng đóng vai trò quan trọng việc thông tin liệu Chỉ xét góc độ kinh doanh, nhu cầu truyền thông công ty, tổ chức lớn Một công ty có mạng riêng cho phép chia sẻ tài nguyên máy tính nội Nhưng muốn chi nhánh, văn phòng, nhân viên di động hay đối tác từ xa truy cập vào mạng công ty Có nhiều dịch vụ cung cấp Modem quay số, ISDN server hay đường WAN thuê riêng đắt tiền Nhưng với phát triển rộng rãi Internet, số công ty kết nối với nhân viên, đối tác từ xa đâu, chí toàn thể giới mà không cần sử dụng dịch vụ đắt tiền Nhưng có vấn đề mạng nội công ty chứa tài nguyên, liệu quan trọng mà cho phép người dùng có quyền hạn, cấp phép truy cập vào mạng Internet mạng công cộng không bảo mật Do đó, Internet mối nguy hiểm cho hệ thống mạng, sở liệu quan trọng công ty Sự thông tin qua môi trường Internet bị làm sai lệch bị đánh cắp Và chỗ để mạng ảo (VPN - Virtual Private Network) chứng tỏ khả VPN cung cấp giải pháp thông tin liệu riêng tư an toàn thông qua môi trường mạng Internet công cộng với chi phí thấp, hiệu mà bảo mật Sau thời gian học trường với dạy dỗ định hướng thầy cô giáo khoa, chúng em chọn đề tài “Hệ thống mạng ảo VPN” để làm đồ án tốt nghiệp để học hỏi Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN thêm kiến thức để sau áp dụng vào thực tế công việc chúng em Do thời gian kiến thức hạn chế nên đồ án chúng em nhiều thiếu sót Kính mong hướng dẫn, góp ý thêm thầy cô bạn bè Em xin chân thành cảm ơn! Sinh viên : Mai Quốc Phương PHẦN MỞ ĐẦU Ngày nay, với phát triển nhanh chóng khoa học kỹ thuật đặc biệt Công nghệ thông tin Viễn thông góp phần quan trọng vào phát triển kinh tế giới Các tổ chức, doanh nghiệp có nhiều chi nhánh, công ty đa quốc gia trình hoạt động phải trao đổi thông tin với khách hàng, đối tác, nhân viên họ Chính đòi hỏi phải nắm bắt thông tin nhất, xác nhất, đồng thời phải đảm bảo độ tin cậy cao chi nhánh khắp giới, với đối tác khách hàng Để đáp ứng yêu cầu khứ có hai loại hình dịch vụ Viễn thông mà tổ chức, doanh nghiệp chọn lựa sử dụng cho kết nối là: - Thứ nhất, thuê đường Leased-line nhà cung cấp dịch vụ để kết nối tất mạng công ty lại với Phương pháp tốn cho việc xây dựng ban đầu trình vận hành, bảo dưỡng hay mở rộng sau - Thứ hai, họ sử dụng Internet để liên lạc với nhau, nhiên phương pháp lại không đáp ứng tính bảo mật cao Sự đời kỹ thuật mạng riêng ảo VPN dung hoà hai loại hình dịch vụ trên, xây dựng sở hạ tầng sẵn có mạng Internet lại có tính chất mạng cục sử dụng đường Leased-line Vì vậy, nói VPN lựa chọn tối ưu cho doanh nghiệp kinh tế Với chi phí hợp lý, VPN giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng hiệu so với giải pháp mạng diện rộng WAN Với VPN, ta giảm chi phí xây dựng tận dụng sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo xây dựng Ở Việt Nam, Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN kinh tế thời kỳ phát triển hội nhập quốc tế nhu cầu sử dụng VPN vừa đáp ứng yêu cầu thông tin, vừa giải khó khăn kinh tế Với đề tài: "Hệ thống mạng ảo VPN” Đồ án Tốt nghiệp, em hy vọng góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN Nội dung tìm hiểu đồ án gồm chương trình bày vấn đề mạng VPN Chương 1: Nêu số khái niệm tổng quan, tính cấp thiết đề tài, hướng tiếp cận đề tài, ý nghĩa việc sử dụng Hệ thống mạng ảo VPN thực tiễn Từ làm sở để phát triển đề tài, đưa thuận lợi khó khăn sử dụng loại hình VPN Chương 2: Đây chương giới thiệu dịch vụ mạng, định nghĩa ứng dụng quản trị mạng, đưa khái niệm VPN loại hình VPN, phân loại mạng VPN Chương 3: Đây chương trọng tâm giới thiệu giao thức, đặc điểm hoạt động giao thức đường hầm PPTP, L2TP sử dụng VPN Chương 4: Nêu vấn đề bảo mật VPN, phần quan trọng VPN Bảo mật VPN bao gồm: trình mật mã xác thực Trong chương giới thiệu giải pháp, thuật toán mã hoá xác thực VPN Chương 5: Dựa vào kiến thức tìm hiểu chương trước để xây dựng dạng mạng ảo VPN lab ảo để đưa vào ứng dụng thực tế doanh nghiệp, công ty Do nhiều mặt hạn chế nên nội dung đề tài không tránh khỏi sai sót Em mong nhận ý kiến đóng góp thầy cô bạn Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Chương – TỔNG QUAN ĐỀ TÀI Ngày việc ứng dụng hệ thống công nghệ thông tin vào sống triển khai, ứng dụng phát triển mạnh mẽ, với tiến vượt bậc Việc phát triển nghành công nghệ thông tin đất nước phát tới mức độ Khi hệ thống mạng máy tính phát triển đưa vào ứng dụng kèm theo sau hàng loạt dịch vụ ứng dụng phát triển theo nhằm phục vụ cho nhu cầu công việc người, làm cho công việc ngày thuận tiện nhanh chóng Trong công nghệ kéo theo có Hệ thống mạng ảo VPN Hệ thống mạng ảo VPN đưa nhằm giúp cho công ty, doanh nghiệp, hay đối tác xa mặt địa lý liên kết lại với thông qua hệ thống mạng Internet mà đảm bảo mặt bảo mật, an toàn liệu Tính cấp thiết đề tài Cùng với đời hệ thống mạng máy tình công nghệ mạng phát triển cách vượt bậc Cách thời gian mạng mạng máy tính khái niệm xa vời Nhưng trở thành thực nhu cầu lớn hệ thống công ty doanh nghiệp Việc xây dựng phát triển hệ thống mạng có ý nghĩa sống đơn vị Việc áp dụng hệ thống mạng vào công việc mang lại nhiều lợi ích to lớn Những lợi ích mà hệ thống mạng mang lại không phủ nhận việc hỗ trợ công việc, việc truyền tải thông tin liệu cách nhanh chóng thuận tiện Tuy nhiên việc đời hệ thống mạng Internet kéo theo nhiều hệ lụy chúng việc phá hoại hệ thống số đối tượng xấu Việc giao tiếp truyền tải liệu mạng bị can thiệp, đánh cắp số phần tử xấu lợi dụng hệ thống mạng Internet Vì để đảm bảo việc kết nối truyền tải liệu đơn vị chọn: Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN -Thuê đường truyền riêng Leased Line nhà cung cấp để kết nối mạng công ty lại với -Sử dụng mạng internet để liên lạc với Và Microsoft cho đời khái niệm hoàn toàn thiết lập hệ thống mạng ảo Virtual and Private Network (VPN) VPN đời dung hòa hai khái niệm trên, xây dựng tảng có sẵn mạng Internet, lại có tính chất của mạng cục sử dụng đường Leased line VPN cho phép thiết lập kênh kết nối hay đường hầm riêng hệ thống công ty cha Giúp cho việc truyền tải trao đổi liệu diễn an toàn hiệu Tình hình nghiên cứu thực tế Với hỗ trợ to lớn mặt kiến thức thầy cô giáo khoa Công nghệ thông tin - Trường Đại học Vinh nguồn tri thức vô hạn từ hệ thống mạng Internet Việc nghiên cứu phát triển đề tài thực hỗ trợ phát huy hiệu quả, toàn diện Thông qua việc tìm hiêu đề tài “Hệ thống mạng ảo VPN” khác nghiên cứu xây dựng Từ rút điểm mạnh hạn chế khuyết điểm trình nghiên cứu thực tế Tuy nhiên bên cạnh mặt thuận lợi khó khăn lớn Mặc dù hệ thống mạng ảo phát triển xây dựng từ lâu, song với lượng kiến thức hạ chế nên việc nghiên cứu đề tài vấn đề lớn Việc xây dựng đề tài để phát huy hết nguồn tri thức nhân loại phát huy hếtkhả hệ thống mạng ảo (VPN) vào thực tế công việc phụ thuộc vào nhiều yếu tố khác Vấn đề đặt đề tài Xây dựng hệ thống mạng ảo để áp dụng vào thực tế Việc xây dựng Hệ thống mạng ảo VPN có ý nghĩa sống doanh nghiệp lớn, giúp tiết kiệm chi phí đảm bảo an ninh liệu Ở Việt Nam, kinh tế thời kỳ phát triển hội nhập quốc tế nhu cầu sử dụng VPN vừa đáp ứng yêu cầu thông tin, vừa giải khó khăn kinh tế Mục đích ý nghĩa 4.1 Mục đích VPN mạng riêng sử dụng hệ thống mạng công cộng (Thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Giải pháp VPN (Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thông tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối tới từ nhiều nguồn nên tiết kiệm chi phí thời gian Mục đích VPN việc sử dụng Internet tính phổ cập Tuy nhiên, Internet nguồn thông tin công cộng nên truy cập ai, lúc nào, nơi đâu việc trao đổi thông tin mạng bị nghe trộm, đánh cắp Sự trao đổi liệu truy cập bất hợp pháp tin tặc Mục đích VPN cung cấp tính bảo mật liệu, tính hiệu độ tin cậy mạng đảm bảo tính cân giá thành cho toàn trình xây dựng mạng VPN hiểu mở rộng mạng Intranet kết nối thông qua mạng công cộng nhằm đảm bảo an toàn tăng hiệu giá thành kết nối hai đầu nối Cơ chế độ giới hạn bảo mật tinh vi sử dụng để đảm bảo tính an toàn cho việc trao đổi liệu dễ bị đánh cắp thông qua môi trường không an toàn Cơ chế an toàn bao gồm khái niệm sau đây: * Encryption (Mã hóa): Mã hóa liệu trình xử lý thay đổi liệu theo chuẩn định liệu đọc người dùng mong muốn Để đọc liệu người nhận bắt buộc phải có xác mã khóa giải mã liệu Theo phương pháp truyền thống, người nhận gửi liệu có khóa để giải mã mã hóa liệu Lược đồ public-key sử dụng hai khóa, khóa xem public-key (khóa công cộng) mà dùng để mã hóa giải mã liệu * Authentication (Chứng thực): Là trình xử lý đảm bảo chắn liệu chuyển đến người nhận đồng thời đảm bảo thông tin nguyên vẹn Ở hình thức Authentication đòi hỏi phải tuân thủ việc phải nhập vào Username Password để truy cập vào tài nguyên Trong số tình phức tạp, có thêm secret-key public-key để mã hóa liệu * Authorization (Ủy quyền): Đây trình xử lý cấp quyền truy cập ngăn cấm vào tài nguyên mạng sau thực Authentication 4.2 Ý nghĩa Việc xây dựng hệ thống mạng ảo VPN dựa hệ thống mạng Internet thực mang lại ý nghĩa kết to lớn Đó việc thiết lập dùng mạng riêng mạng công cộng sẵn có chế mã hóa, tạo “đường hầm ảo” thông suốt Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN bảo mật Mạng riêng ảo đời đáp ứng nhu cầu doanh nghiệp muốn trì mạng riêng kết nối trụ sở chi nhánh nhân viên hoạt động công ty với mức chi phí thấp hoạt động ổn định độ bảo mật cao Vì thiết lập kênh riêng nên mang tính bảo mật cao thuận tiện cho việc triển khai mở rộng - Làm giảm chi phí thường xuyên - Giảm chi phí quản lý hỗ trợ - Đảm bảo an toàn thông tin, tính toàn vẹn xác thực Dữ liệu truyền mạng mã hoá thuật toán, đồng thời truyền đường hầm (Tunnel) nên thông tin có độ an toàn cao - Dễ dàng kết nối chi nhánh thành mạng cục - Hỗ trợ giao thức mạng thông dụng TCP/IP Bảo mật địa IP : thông tin gửi VPN mã hóa địa mạng riêng che giấu sử dụng địa bên Internet Kết luận chương 1: Qua nội dung chương thấy tầm quan trọng, tính cấp thiết hệ thống mạng ảo VPN việc sống công ty, doanh nghiệp nay, đáp ứng hầu hết nhu cầu việc trao đổi liên lạc mặt hành chính, chuyển liệu chi nhánh công ty với Tuy nhiên bên cạnh việc ứng dụng thực tế triển khai hệ thống mạng ảo VPN vào thực tế khó khăn thiếu nhân lực chất lượng cao lĩnh vực quản trị mạng công ty, doanh nghiệp Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Chương - CƠ SỞ LÝ THUYẾT Cụm từ Virtual Private Network (mạng riêng ảo) thường gọi tắt VPN kỹ thuật xuất từ lâu, nhiên thực bùng nổ trở nên cạnh tranh xuất công nghệ mạng thông minh với đà phát triển mạnh mẽ Internet Thông qua hệ thống mạng mà Hệ thống mạng riêng ảo VPN xây dựng phát triển nhằm phục vụ cho công việc Trong chương đề cập tới sở lý thuyết hệ thống mạng, hạ tầng mạng, hệ điều hành dịch vụ mạng kèm, định nghĩa, tảng để xây dựng hệ thống mạng ảo VPN hoàn chỉnh, đáp ứng nhu cầu công việc - Tổng quan mạng bản, quản trị mạng, Windows Server 2003, Domain, AD, VPN số dịch vụ mạng 1.1 Tổng quan mạng * Định nghĩa mạng máy tính Mạng máy tính tập hợp máy tính nối với đường truyền theo cấu trúc thông qua máy tính trao đổi thông tin qua lại cho Đường truyền hệ thống thiết bị truyền dẫn có dây hay không dây dùng để chuyển tín hiệu điện tử từ máy tính đến máy tính khác Các tín hiệu điện tử biểu thị giá trị liệu dạng xung nhị phân (on - off) Tất tín hiệu truyền máy tính thuộc dạng sóng điện từ Tùy theo tần số sóng điện từ dùng đường truyền vật lý khác để truyền tín hiệu Ở đường truyền kết nối dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến Các đường truyền liệu tạo nên cấu trúc mạng Hai khái niệm đường truyền cấu trúc đặc trưng mạng máy tính * Phân loại mạng máy tính Do mạng máy tính phát triển khắp nơi với ứng dụng ngày đa dạng việc phân loại mạng máy tính việc phức tạp Người ta Mai Quốc Phương – lớp 49K- Khoa CNTT 10 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN điểm sau kết nối thiết lập Thay dùng mật hay tiến trình chấp nhận giống PAP, CHAP sử dụng hàm băm chiều (one-way hashing function) Máy tính xác thực gửi tin thách đố (challenge massage) đến máy tính ngang cấp (peer) Máy tính ngang cấp tính toán giá trị sử dụng hàm băm chiều gửi lại cho máy tính xác thực Máy tính xác thực đáp ứng chấp nhận giá trị gửi lại tương ứng với giá trị mong muốn Tiến trình lặp lại thời điểm suốt trình kết nối để đảm bảo kết nối nắm quyền không bị suy yếu trường hợp Máy chủ điều khiển trình xác thực CHAP d)Hệ thống điều khiển truy cập điều khiển truy cập đầu cuối TACACS TACACS (Terminal Access Controler Access Control System) hệ thống phát triển để không cung cấp chế xác thực mà thực chức năng: cho phép (authorization) tính cước (accouting) TACACS thiế kế hệ thống client/server mềm dẻo đặc biệt việc quản lý bảo mật mạng Trung tâm hoạt động TACACS máy chủ xác thực TACACS Máy chủ xác thực TACACS giữ yêu cầu xác thực từ phần mềm client cài đặt gateway hay điểm truy cập mạng Máy chủ trì sở liệu nhận dạng người dùng, mật khẩu, PIN khoá bí mật sử dụng để chấp nhận hay bị từ chối yêu cầu truy cập mạng Tất xác thực, cấp quyền liệu tính cước hướng đến máy chủ trung tâm người dùng truy nhập mạng e) Dịch vụ xác thực người dùng quay số từ xa- RADIUS RADIUS (Remote Authentication Dial-In Use Service) sử dụng kiểu client/server để chứng nhận cách bảo mật quản trị kết nối mạng từ xa người dùng với phiên làm việc RADIUS giúp cho việc điều khiển truy cập dễ quản lý hỗ trợ kiểu xác thực người dùng khác bao gồm PAP, CHAP, RADIUS tạo sở liệu đơn tập trung lưu giữ máy chủ f) Các hệ thống phần cứng + Smart card + Các thiết bị thẻ (Token Devices) Các hệ thống thẻ thường dựa phần cứng riêng biệt dùng để hiển thị mã nhận dạng (passcode) thay đổi mà người dùng sau phải nhập vào máy tính để thực việc xác thực Mai Quốc Phương – lớp 49K- Khoa CNTT 30 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Trước người dùng phép xác thực, thết bị thẻ yêu cầu PIN, sau sử dụng ba chế khác để xác định người dùng - Cơ chế đáp ứng thách đố (Challenge response): - Cơ chế sử dụng đồng thời gian (Time Synchronization - Cơ chế đồng kiên (event Synchronzation) g) Hệ hống sinh trắc học Hệ thống sinh trắc học dựa vào số dấu vết cá nhân để xác thực người dùng như: vân tay, giọng nói, võng mạc…Tuy nhiên hệ thống không sử dụng rộng rãi thực tế giá thành đắt hệ thống bảo mật thường tích hợp một, làm cho chúng khó khăn việc giao tiếp với hệ thống khác Hệ thống sinh trắc học phù hợp cho nơi cần độ bảo mật cao phạm vi nhỏ Mã hoá Mã hoá thực dựa hai thành phần: thuật toán khoá Một thuật toán mã hoá chức toán học nối phần văn hay thông tin dễ hiểu với chuỗi số gọi khoá để tạo văn mật mã khó hiểu Có nhiều thuật toán mã hoá khác nhau: 2.1 Thuật toán mã hoá khoá bí mật (hay đối xứng) Thuật toán đối xứng đựoc định nghĩa thuật toán khoá chia sẻ sử dụng để mã hoá giải mã tin Các thuật toán mã hoá đối xứng sử dụng chung khoá để mã hoá giải mã tin, điều có nghĩa bên gửi bên nhận thoả thuận, đồng ý sử dụng khoá bí mật để mã hoá giải mã Ưu điểm mã hoá khoá đối xứng: - Thuật toán mã hoá giải mã nhanh, phù hợp với khối lượng lớn thông tin - Chiều dài khoá từ 40÷168 bit - Các tính toán toán học dễ triển khai phần cứng - Người gửi người nhận chia sẻ chung mật Cơ chế mã hoá đối xứng nảy sinh vấn đề là: - việc nhận thực đặc điểm nhận dạng nhận dạng tin chúng minh - Do hai bên chiếm giữ khoá giống nên tạo mã hoá cho người khác gửi tin Điều gây nên cảm giác không tin cậy Mai Quốc Phương – lớp 49K- Khoa CNTT 31 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN nguồn gốc tin 2.2 Thuật toán mã hoá khoá công cộng Thuật toán mã hoá khoá công cộng định nghĩa thuật toán sử dụng cặp khoá để mã hoá giải mã bảo mật tin Theo thuật toán sử dụng khoá để mã hoá khoá khác để giải mã hai khoá có liên quan với tạo thành cặp khoá tin, có hai khoá mã hoá giải mã cho Một số thuật toán sử dụng mã hoá khoá công cộng a) Hệ thống mật mã khoá công khai RSA b) Kỹ thuật Diffie-Hellman Kết luận chương 4: Trong chương tìm hiểu vấn đề bảo mật Hệ thống mạng ảo VPN Những thuật toán mã hóa để mã hóa liệu truyền tải mạng Internet Qua ngăn chặn xâm nhập trái phép từ bên hacker Làm tăng an toàn cho toàn hệ thống mạng ảo VPN Chương - ỨNG DỤNG, CÀI ĐẶT HỆ THỐNG MẠNG ẢO Từ khái niệm định nghĩa hệ thống mạng ảo tìm hiểu qua chương trước bắt tay vào việc triển khai cài đặt hệ thống lab ảo thông qua việc sử dụng phần mềm hỗ trợ VMWARE sử dụng hệ điều hành windows server 2003 Trong chương tìm hiểu dạng Hệ thống mạng ảo VPN: + VPN site to site Mai Quốc Phương – lớp 49K- Khoa CNTT 32 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, công ty tạo kết nối với nhiều site qua mạng công cộng Internet VPN Site to Site đơn giản kết nối VPN hai chi nhánh với Thông qua việc kết nối mà công ty liên hệ làm việc với cách thuận lợi an toàn Môt hình VPN Site to Site tảng Windows áp dụng với công ty có quy mô nhỏ, có yêu cầu công việc không cao Có ngân sách chi phí thấp Mô hình hệ thống: Trong môt hình xây dựng hệ thống kết nối VPN Site to Site Windows.Với site đầu Internet, với chế gần giống với VPN Client, dùng User chiều để kết nối Ở ta dùng dải IP khác tương đương với mạng mạng Site Hà Nội, mạng Internet mạng Site Sài Gòn Sau cách thức xây dựng hệ thống cách cụ thể: * Xây dựng VPN Server Hà Nội Trên máy chủ sử dụng card mạng thuộc lớp mạng Vmnet2 Vmnet3 Và có địa IP sau: Mai Quốc Phương – lớp 49K- Khoa CNTT 33 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Và Cấu hình Router1 Taọ use saigon tren Computer Management hình vẽ Mai Quốc Phương – lớp 49K- Khoa CNTT 34 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Sau tiến hành cài đặt thêm dịch vụ Routing and Remote Access Trên ROUTER1, nhấn vào Administrative Tools, chọn Routing and Remote Access Nhấn chuột phải vào ROUTER1 (local) chương trình, chọn Configure and Enable Routing and Remote Access Nhấn Next trang Routing and Remote Access Server Setup Wizard Trên trang Configuration, chọn Remote access (dial-up or VPN) Nhấn Next Trên trang Remote Access, chọn VPN Nhấn Next Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters Nhấn Next Trên trang IP Address Assignment, chọn From a specified range of addresses Nhấn Next Trên trang Address Range Assignment, nhấn New Trong hộp thoại New Address Range, làm việc sau: a Gõ 172.16.100.1 ô Start IP address b Gõ 172.16.100.2 ô End IP address c Chấp nhận giá trị hộp Number of Addresses 10 Nhấn OK Trên trang Address Range Assignment, nhấn Next Mai Quốc Phương – lớp 49K- Khoa CNTT 35 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN 11 Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests 12 Nhấn Next Trên trang Completing the Routing and Remote Access ServerSetup,nhấnFinish 13 Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent Trường hợp DHCP Relay Agent không định cấu hình - Định cấu hình giao diện quay số yêu cầu router trả lời : Trên trình Routing and Remote Access, chọn ROUTER1, nhấn chuột phải vào Network Interfaces Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next Trên trang Interface Name, gõ saigon Chú ý: tên giao diện phải tên tài khoản người sử dụng router gọi Nhấn Next Trên trang Connection Type, chọn Connect using virtual private networking (VPN) Nhấn Next Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP) Nhấn Next Trên trang Destination Address, gõ 10.2.0.2 ô Host name or IP address Nhấn Next Trên trang Protocols and Security, làm việc sau: a Chọn Route IP packets on this interface b Chọn Add a user account so a remote router can dial in Nhấn Next Trên trang Static Routes for Remote Networks, nhấn Add Trong hộp thoại Static Route, làm công việc sau: a Gõ 172.16.56.0 ô Destination b Gõ 255.255.255.0 ô Network Mask c Chấp nhận giá trị ô Metric 10 Nhấn OK Trên trang Address Range Assignment , nhấn Next 11 Trên trang Dial In Credentials, gõ mật cho tài khoản saigon 12 Nhấn Next Trên trang Dial Out Credentials, làm việc sau: a Gõ hanoi ô User name b Gõ ROUTER2 ô Domain c Gõ mật hanoi ô Password d Gõ lại mật ô Confirm password 13 Nhấn Next Trên trang Demand-Dial Interface Wizard, nhấn Finish Mai Quốc Phương – lớp 49K- Khoa CNTT 36 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN 14 Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent Trường hợp DHCP Relay Agent không định cấu hình * Xây dựng VPN Server Sài Gòn : Trên máy chủ sử dụng card mạng thuộc lớp mạng Vmnet4 Vmnet5, có địa IP sau: Và Cấu hình router2 Taọ use saigon tren Computer Management hình vẽ: Mai Quốc Phương – lớp 49K- Khoa CNTT 37 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Tiến hành cài đặt thêm dịch vụ Routing and Remote Trên ROUTER2, chọn Administrative Tools, nhấn vào Routing and Remote Access Nhấn chuột phải vào ROUTER2 (local) chương trình nhấn vào Configure and Enable Routing and Remote Access Nhấn Next trang Remote Access Server Setup Wizard Trên trang Configuration, chọn Remote access (dial-up or VPN), nhấn Next Trên trang Remote Access, chọn VPN > Next Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters > nhấn Next Trên trang IP Address Assignment, chọn From a specified range of addresses, nhấn Next, trang Address Range Assignment, chọn New Trong hộp thoại New Address Range, làm việc sau: a Gõ 172.56.200.1 ô Start IP address b Gõ 172.56.200.2 ô End IP address c Chấp nhận giá trị hộp Number of Addresses > nhấn OK Trên trang Address Range Assignment, nhấn Next 10 Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests > Next Mai Quốc Phương – lớp 49K- Khoa CNTT 38 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN 11 Trên trang Completing the Routing and Remote Access Server Setup, nhấn Finish 12 Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent Trường hợp DHCP Relay Agent không định cấu hình - Định cấu hình giao diện quay số yêu cầu router gọi Trên trình Routing and Remote Access, chọn ROUTER2, nhấn chuột phải vào Network Interfaces Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next Trên trang Interface Name, gõ saigon Chú ý: tên giao diện phải tên tài khoản người sử dụng router gọi Nhấn Next Trên trang Connection Type, chọn Connect using virtual private networking (VPN) Nhấn Next Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP) Nhấn Next Trên trang Destination Address, gõ 10.1.0.2 ô Host name or IP address Nhấn Next Trên trang Protocols and Security, làm việc sau: a Chọn Route IP packets on this interface b Chọn Add a user account so a remote router can dial in Nhấn Next Trên trang Static Routes for Remote Networks, nhấn Add Trong hộp thoại Static Route, làm công việc sau: a Gõ 172.16.4.0 ô Destination b Gõ 255.255.255.0 ô Network Mask c Chấp nhận giá trị ô Metric 10 Trên trang Static Routes for Remote Networks, nhấn Next 11 Trên trang Dial In Credentials, gõ mật cho tài khoản VPN_Hanoi gõ mật hanoi ô Password 12 Trên trang Dial Out Credentials, làm việc sau: a Gõ saigon User name b Gõ ROUTER1 ô Domain c Gõ mật tài khoản người dùng saigon tạo ROUTER1 d Xác nhận lại mật Confirm password 13 Trên trang cuối Demand-Dial Interface Wizard, nhấn Finish - Xác nhận sách truy cập từ xa router gọi trả lời: Mai Quốc Phương – lớp 49K- Khoa CNTT 39 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Trên ROUTER2, mục Routing and Remote Access, nhấn vào Remote Access Policies Trong bảng hiển thị chi tiết, nhấn chuột phải vào Connections to Microsoft Routing and Remote Access server, chọn Properties Trên thẻ Settings, chọn Grant remote access permission nhấn OK để lưu thay đổi Lặp lại bước với ROUTER1 - Tạo kết nối VPN: Trên ROUTER2, chương trình Routing and Remote Access, chọn Network Interfaces Trong ô hiển thị chi tiết, nhấn chuột phải vào hanoi > Connect Kiểm tra tình trạng kết nối hanoi - Kiểm tra kết nối: Trên CLIENT2, dấu nhắc lệnh, gõ ping 172.16.4.3 Đây địa IP CLIENT1 Việc "ping" địa IP kiểm tra máy có truy cập vào mạng Hà Nội hay không Để kiểm tra gói tin truyền qua kết nối VPN, dấu nhắc lệnh, gõ tracert 172.16.4.3 Chú ý cần phải dùng địa IP CLIENT1 tên máy tính máy chủ DNS không định cấu hình mô hình thực nghiệm Còn thực tế, có máy chủ quản lý tên miền, người dùng nhập tên máy tính, ví dụ xyzhanoi_quangminh, để truy cập.Kết tương tự sau cho biết kết nối thành công: Mai Quốc Phương – lớp 49K- Khoa CNTT 40 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Đánh giá kết thực Việc xây dựng hệ thống mạng riêng ảo vấn đề cấp thiết cần thiết công việc công ty hay tập đoàn lớn Dựa vào nhu cầu công việc khả tài công ty, doanh nghiệp tập đoàn khác mà sử dụng công nghệ kết nối khác Có thể sử dụng phần cứng phần mềm, hệ thống sử dụng mạng riêng ảo VPN giống cách thức xây dựng phương thức bảo mật Với việc xây dựng hệ thống mạng ảo VMWARE trên, việc áp dụng vào thực tiễn công việc không khó khăn Việc áp dụng mô hình xây dựng báo cáo vào mô hình công ty, quan thực phát huy cách triệt để vào công việc Nhất công ty vừa nhỏ, có kinh phí thấp Thông qua việc xây dựng hệ thống mạng ảo VPN mà việc đưa công nghệ thông tin ứng dụng to lớn vào sống, công việc người dễ dàng, hiệu quả, an toàn ý nghĩa mà mang lại Kết luận chương 5: Trong chương xây dựng loại hình Hệ thống mạng ảo VPN hệ thống lab ảo Từ hệ thống lab ảo áp dụng trực tiếp triển khai vào hệ thống mạng nhỏ doanh nghiệp, công ty với mức chi phí thấp lại mang lại hiệu cao Đảm bảo yêu cầu công việc đòi hỏi ngày cao xã hội công nghệ thông tin Mai Quốc Phương – lớp 49K- Khoa CNTT 41 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng sở hạ tầng mạng công cộng để xây dựng mạng WAN riêng, với ưu điểm mặt giá thành, phạm vi không hạn chế, linh hoạt triển khai mở rộng mạng Ngày nay, VPN hữu ích hữu ích tương lai Các chuẩn thi hành, điều cải tiến khả liên vận hành quản lý Chất lượng mạng VPN cải thiện, cho phép cung cấp ứng dụng hội nghị truyền hình, điện thoại IP, dịch vụ đa phương tiện Trong đồ án em đã tìm hiểu số vấn đề kỹ thuật liện quan đến việc thực VPN, nội dung gồm vấn đề chính: - Các khái niệm bản, đặc điểm giao thức đường hầm PPTP, L2TP Nguyên tắc hoạt hoạt động VPN dựa giao thức đường hầm - Để tạo đường hầm cho IP nhiều hướng ta sử dụng L2TP, với luồng lưu lượng mạng sử dụng mạng, thiết bị Microsoft L2TP lựa chọn tốt L2TP phù hợp với VPN truy cập từ xa hỗ trợ đa giao thức Tuy nhiên, L2TP không hỗ trợ mã hoá liệu tính toàn vẹn liệu - Các thành phần mạng VPN, vấn đề cần ý yêu cầu ISP với thiết bị phần cứng, phần mềm để xây dựng mạng VPN Một điều thuận lợi phát triển công nghệ nên thiết bị phần cứng hay phần mềm tích hợp nhiều chức năng, trở thành thiết bị dễ sử dụng, quản lý Hơn nữa, sở hạ tầng mạng công cộng ngày hoàn thiện nên việc xây dựng mạng VPN dễ dàng chất lượng VPN tốt hơn, đáp ứng dịch vụ Trong báo cáo thực tập em có xây dựng mô hình sử dụng VPN để áp dụng vào thực tế Một số vấn đề bảo mật VPN, bảo mật liệu chống lại truy cập thay đổi trái phép Thông qua số giao thức xác thực hệ thống Các vấn đề quản lý VPN, bao gồm: quản lý bảo mật, quản lý địa quản lý chất lượng Trong xu toàn cầu hoá, thương mại hoá mạng IP thiết kế để truyền thông thống xung quanh World Wide Web (WWW) Extranet, để phù hợp với ứng dụng giao dịch thương mại, kinh doanh Extranet thường thiết lập đối tác kinh doanh thúc đẩy nhu cầu cho ứng dụng kinh doanh chi tiết, xử lý nhanh điều khiển kiểm toán tốt VPN phát Mai Quốc Phương – lớp 49K- Khoa CNTT 42 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN triển với nhu cầu để cung cấp liên lạc bảo mật Internet chung, loại lưu lượng mà không cần quan tâm đến ứng dụng nên tương lai mở rộng VPN đến Extranet Ta xây dựng Extranet sở VPN, bước việc mở rộng VPN đến Extranet chuyển nhượng quyền truy cập đối tác Extranet đến tài nguyên đặc biệt bên bổ sung sở liệu đối tác đến hệ thống xác thực Cuối cùng, VPN liên quan đến nhiều giao thức thuật toán phức tạp thời gian phạm vi tìm hiểu không đầy đủ hoàn thiện nên đồ án em nhiều thiếu sót Kính mong thầy cô bạn bổ sung góp ý để đề tài em hoàn thiện Mai Quốc Phương – lớp 49K- Khoa CNTT 43 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN TÀI LIỆU THAM KHẢO Tiếng Việt [1]- Giáo trình giảng dạy chương trình MCITP Học viện mạng công nghệ thông tin BKACAD [2]- Tự học bảo mật quản trị mạng, Nxb Văn hóa Thông tin, Trí Việt - Hà Thành [3]- Xây dựng mạng VPN với giao thức PPTP, Nxb Giao thông vận tải, Vương Phúc [4]- Công nghệ bảo mật, Nxb Thống kê, Hồng Phúc, KS.Nguyễn Ngọc Tuấn Tiếng Anh [5]- Cisco Secure Virtual Private Networks (Volume 1,2), Copyright © 2001, Cisco System, Inc [6]- Security Protocols Overview, Copyright ©1999, RSA Data Security, Inc [7]- VPN technologies: Definitions and Requirements, Copyright © 2002, VPN Consortium Web [8] Trang http://quantrimang.com [9] Trang http://nhatnghe.com [10] Trang http://thuviendientu.org/ [11] Trang http://www.microsoft.com/ [12] Trang http://tailieudientu.net Mai Quốc Phương – lớp 49K- Khoa CNTT 44 [...]... chủ này sử dụng 2 card mạng thuộc 2 lớp mạng là Vmnet2 và Vmnet3 Và có địa chỉ IP lần lượt như sau: Mai Quốc Phương – lớp 49K- Khoa CNTT 33 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Và Cấu hình trên Router1 Taọ một use saigon tren Computer Management như hình vẽ Mai Quốc Phương – lớp 49K- Khoa CNTT 34 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Sau đó tiến hành cài đặt thêm dịch vụ... trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải mã dữ liệu Mai Quốc Phương – lớp 49K- Khoa CNTT 14 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN d) Các loại VPN: VPN được chia thành 2 loại : * VPN Remote Accesss * VPN Site to Site: + VPN Intranet + VPN Extranet * VPN Remote Access VPN Remote Access... trị hệ thống mạng Qua đó chúng ta cũng có một cái nhìn tổng quan và khái niệm về hệ thống mạng ảo VPN phân loại hệ thống mạng ảo VPN Để từ đó áp dụng vào thực tế Mai Quốc Phương – lớp 49K- Khoa CNTT 17 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Chương 3 - CÁC GIAO THỨC ĐƯỜNG HẦM VPN Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN, dựa trên... 13 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups,computer,printer, pocicy và permission.Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung hình mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng 1.6 Tổng quan về VPN a) VPN là gì? Mạng riêng ảo hay.. .Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN có thể chia các mạng máy tính theo khoảng cách địa lý ra làm hai loại: Mạng diện rộng và Mạng cục bộ Mạng cục bộ (Local Area Networks - LAN) là mạng được thiết lập để liên kết các máy tính trong một khu vực như trong một toà nhà, một khu nhà Mạng diện rộng (Wide Area Networks - WAN) là mạng được thiết lập để liên kết... Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet VPN Site to Site đơn giản là kết nối VPN giữa hai chi nhánh với nhau Thông qua việc kết nối này mà các công ty có thể liên hệ và làm việc với nhau một cách thuận lợi và an toàn Môt hình VPN. .. từ đường hầm tới mạng LAN riêng Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa chỉ mạng của máy tính đích Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP Mai Quốc Phương – lớp 49K- Khoa CNTT 22 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet , mạng riêng hay cả hai... gây nên cảm giác không tin cậy về Mai Quốc Phương – lớp 49K- Khoa CNTT 31 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN nguồn gốc của bản tin đó 2.2 Thuật toán mã hoá khoá công cộng Thuật toán mã hoá khoá công cộng được định nghĩa là một thuật toán sử dụng một cặp khoá để mã hoá và giải mã bảo mật một bản tin Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá khác để giải mã nhưng hai... (tuỳ chọn) điễn ra ở máy chủ của mạng riêng Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến máy chủ mạng riêng Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận Mai Quốc Phương – lớp 49K- Khoa CNTT 26 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN dạng cuộc gọi (Call ID) mới để... sử dụng kiểu client/ server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các Mai Quốc Phương – lớp 49K- Khoa CNTT 20 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN người dùng trong các phiên làm việc RADIUS client/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nối người dùng Ngoài chức năng của máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client NAS ... chúng em chọn đề tài “Hệ thống mạng ảo VPN để làm đồ án tốt nghiệp để học hỏi Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN thêm kiến thức để sau áp... “đường hầm ảo thông suốt Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN bảo mật Mạng riêng ảo đời đáp ứng nhu cầu doanh nghiệp muốn trì mạng riêng kết... CNTT 14 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN d) Các loại VPN: VPN chia thành loại : * VPN Remote Accesss * VPN Site to Site: + VPN Intranet + VPN Extranet * VPN Remote Access VPN Remote