Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp MỤC LỤC DANH SÁCH CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT 17 LỜI CẢM ƠN 19 MỞ ĐẦU 20 Chương I: Giới thiệu VPN 22 1.1.Mạng riêng ảo (VPN) ? 22 1.2.1 Remote-Access 23 1.2.2 Một Remote Access Server: Nó đặt mạng trung tâm để xác thực cấp quyền cho yêu cầu truy cập từ xa .23 1.2.3 Kết nối Dial-up tới mạng trung tâm 23 1.2.4 Người hỗ trợ chịu trách nhiệm cấu hình, trì quản trị RAS hỗ trợ người dùng từ xa 23 24 24 1.2.5 Site-to-Site 24 Ưu điểm việc thiếp lập dựa VPN hình 1.5 là: 26 Loại trừ Router từ đường WAN xương sống 26 Vì Internet hoạt động phương tiện kết nối, dễ dàng cung cấp liên kết ngang hàng 26 Vì kết nối tới ISP cục bộ, khả truy cập nhanh hơn, tốt Cùng với việc loại trừ dịch vụ đường dài giúp cho tổ chức giảm chi phí hoạt động Intranet.26 Tuy nhiên có số nhược điểm: 26 Vì liệu định đường hầm qua mạng chia sẻ công cộng nên công mạng như: Từ chối dịch vụ đe dọa nghiêm trọng đến an ninh mạng 26 Khả gói liệu truyền cao 26 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Đường truyền liệu đầu multimedia, độ trễ truyền tin cao thông lượng bị giảm xuống thấp diện Internet 26 Vì diện kết nối Internet thực thi bị gián đoạn QoS không đảm bảo 26 Liên kết khách hàng, nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet tổ chức hạ tầng mạng công cộng sử dụng đường truyền thuê bao Giải pháp cung cấp sách mạng riêng tổ chức đảm bảo tính bảo mật, tính ổn định Tương tự Intranet VPN, Extranet VPN có kiến trúc tương tự, nhiên điểm khác biệt chúng phạm vi ứng dụng cho phép đối tác Extranet VPN sử dụng So với Intranet VPN vấn đề tiết kiệm chi phí không rõ điều quan trọng khả cộng tác với đối tác, khách hàng hay nhà cung cấp sản phẩm Việc khách hàng nhập trực tiếp liệu hợp đồng vào hệ thống tiết kiệm nhiều thời gian lỗi không đáng có, nhiên việc khó thực với công nghệ WAN truyền thống Extranet VPN thường sử dụng kết nối dành riêng thêm vào lớp bảo mật để xác thực giới hạn truy nhập hệ thống 26 Không giống Intranet VPN Remote Access VPN Extranet VPN không hẳn có nghĩa “Xa phạm vi” Thực tế, Extranet VPN cho phép kiểm soát truy cập tài nguyên mạng cần thiết với toàn giao dịch thương mại mở rộng như: Đối tác, khách hàng, nhà cung cấp 27 Theo cách thức truyền thống, kết nối Extranet thể hình 1.6 27 27 Theo cách chi phí cực đắt mạng riêng trong Intranet phải hoàn toàn thích hợp với mạng mở rộng Đặc điểm dẫn đến phức tạp việc quản trị thực thi mạng khác Hơn khó mở rộng làm phải thay đổi toàn mạng Intranet ảnh hưởng đến mạng 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp mở rộng kết nối khác ác mộng nhà thực thi quản trị mạng 27 Thực thi giải pháp VPN làm cho công việc thiết lập Extranet trở nên dễ dàng giảm chi phí đáng kể 27 28 Ưu điểm Extranet VPN là: .28 Chi phí nhỏ so với cách thức truyền thống .28 Dễ thực thi, trì dễ thay đổi 28 Dưới diện Internet, ta chọn đại lý lớn 28 Vì phần kết nối Internet trì ISP nên số lượng nhân viên hỗ trợ giảm xuống 28 Các nguy an ninh công DOS tồn .28 Tăng rủi ro xâm nhập vào Intranet tổ chức 28 Độ trễ truyền thông lớn thông lượng bị giảm xuống thấp với ứng dụng Multimedia 28 Sự thực thi bị gián đoạn QoS không bảo đảm 28 Tuy có số nhược điểm mô tả, ưu điểm giải pháp VPN vượt trội, “Mạng riêng ảo - ưu công nghệ, chi phí bảo mật” 28 1.3.Những lợi ích Mạng riêng ảo 28 Giảm chi phí thực thi: Chi phí cho VPN nhiều so với giải pháp truyền thống dựa đường Lease-Line Frame Relay, ATM hay ISDN Bởi VPN loại trừ yếu tố cần thiết cho kết nối đường dài cách thay chúng kết nối cục tới ISP điểm đại diện ISP 28 Giảm chi phí thuê nhân viên quản trị: Vì giảm chi phí truyền thông đường dài VPN làm giảm chi phí hoạt động mạng dựa vào WAN cách đáng kể Hơn nữa, tổ chức giảm toàn chi phí mạng 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp thiết bị dùng mạng VPN quản trị ISP Vì lúc này, thực tế tổ chức không cần thuê nhiều nhân viên mạng cao cấp 28 Nâng cao khả kết nối: VPN tận dụng Internet để kết nối phần tử xa Intranet Vì Internet truy cập toàn cầu, nên hầu hết nhánh văn phòng, người dùng, người dùng di động từ xa dễ dàng kết nối tới Intranet công ty 29 Bảo mật giao dịch: Vì VPN dùng công nghệ đường hầm để truyền liệu qua mạng công cộng không an toàn Dữ liệu truyền bảo mật mức độ định, thêm vào đó, công nghệ đường hầm sử dụng biện pháp bảo mật như: Mã hoá, xác thực cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác thực liệu truyền Kết VPN mang lại mức độ bảo mật cao cho việc truyền tin 29 Sử dụng hiệu băng thông: Trong kết nối Internet dựa đường Lease-Line, băng thông hoàn toàn không sử dụng kết nối Internet không hoạt động Các VPN tạo đường hầm logic đề truyền liệu yêu cầu, kết băng thông mạng sử dụng có kết nối Internet hoạt động Vì làm giảm đáng kể nguy lãng phí băng thông mạng 29 Nâng cao khả mở rộng: Vì VPN dựa Internet, nên cho phép Intranet công ty mở rộng phát triển công việc kinh doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm phương tiện, thiết bị Điều làm cho Intranet dựa VPN có khả mở rộng cao dễ dàng tương thích với phát triển tương lai .29 Như thấy, yêu cầu ứng dụng công nghệ mở rộng mạng mạng riêng ngày trở lên phức tạp tốn Với giải pháp mạng riêng ảo, chi phí tiết kiệm sử dụng sở hạ tầng mạng truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn cho mạng riêng chi phí cho kênh thuê riêng đường dài, mạng riêng không lớn phức tạp, giải pháp VPN giải pháp giúp tiết kiệm chi phí cho kênh truyền riêng sử dụng hiệu sở hạ tầng mạng truyền số liệu công cộng) 29 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Trên số lợi ích mà giải pháp VPN mang lại Tuy nhiên bên cạnh đó, không tránh khỏi số bất lợi như: Phụ thuộc nhiều vào Internet; thực thi mạng dựa VPN phụ thuộc nhiều vào thực thi Internet Các đường Lease-Line bảo đảm băng thông xác định hợp đồng nhà cung cấp Công ty Tuy nhiên đảm bảo thực thi Internet Một tải lưu lượng tắc nghẽn mạng ảnh hưởng từ chối hoạt động toàn mạng dựa VPN 29 1.4.Những yêu cầu Mạng riêng ảo .30 Như ta biết phần trước, VPN phương pháp tương đối đơn giản bảo mật để kết nối mạng Intranet qua mạng công cộng (như mạng Internet) Công nghệ VPN không làm giảm chi phí thực thi môi trường mạng bảo mật cao mà giảm chi phí cho việc quản trị tổ chức nhân viên Hơn nữa, mang lại sẵn sàng, tin cậy hiệu cao việc sử dụng băng thông mạng 30 Làm để đưa giải pháp dựa VPN, thành phần yêu cầu VPN gì? Tất xem xét phần 30 VPN phiên sửa đổi mạng riêng, cho phép dễ dàng thiết lập mạng LAN Intranet với Internet mạng công cộng khác để truyền thông cách bảo mật kinh tế Và vậy, hầu hết yêu cầu VPN mạng riêng truyền thống (mạng thông thường) giống Tuy nhiên, VPN có yêu cầu bật sau:Bảo mật, chất lượng dịch vụ (QoS), tính sẵn sàng, tính tin cậy, khả tương thích, khả quản trị 30 1.4.1 Bảo mật .30 Các mạng riêng Intranet mang lại môi trường bảo mật cao tài nguyên mạng không truy cập mạng công cộng Vì vậy, xác suất truy cập trái phép đến Intranet tài nguyên thấp Tuy nhiên, nhận định không với VPN có sử dụng Internet mạng công cộng khác mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Network PSTN) cho truyền thông Thiết lập VPN mang lại cho Hacker, Cracker hội thuận lợi để truy cập tới mạng riêng luồng liệu qua mạng công 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp cộng Vì vậy, mức độ bảo mật cao toàn diện cần phải thực thi cách chặt chẽ 30 Dữ liệu tài nguyên cục mạng bảo mật theo cách sau: 30 Thực thi kỹ thuật phòng thủ vòng ngoài: Chỉ cho phép dòng lưu lượng cấp quyền từ nguồn tin cậy vào mạng từ chối tất lưu lượng khác Các Firewall dịch chuyển địa mạng (NAT) ví dụ kỹ thuật phòng thủ Firewall không kiểm tra kỹ lưu lượng vào mà với lưu lượng ra, vậy, đảm bảo mức bảo mật cao Bộ dịch chuyển địa ví dụ khác, không để lộ địa IP nguồn tài nguyên cục mạng Và vậy, kẻ công đích tài nguyên mạng Intranet 31 Xác thực (Authentication): Xác thực người dùng gói liệu để thiết lập định danh người dùng định có phép truy cập tới tài nguyên mạng hay không Mô hình xác thực, cấp quyền, kiểm toán (AAA) ví dụ hệ thống xác thực người dùng toàn diện Đầu tiên hệ thống xác nhận người dùng truy cập vào mạng Sau người dùng xác thực thành công, họ truy cập đến tài nguyên cấp quyền Hơn nữa, nhật ký chi tiết hoạt động tất người dùng mạng trì, cho phép người quản trị mạng ghi lại hoạt động trái phép, bất thường 31 Mã hoá liệu (Data Encryption): Thực thi chế mã hoá liệu để đảm bảo tính xác thực, tính toàn vẹn tính tin cậy liệu truyền qua mạng không tin cậy Bảo mật giao thức Internet (IPSec) bật lên chế mã hoá liệu mạnh Nó không mã hoá liệu truyền mà cho phép xác thực người dùng gói liệu riêng biệt 31 Quản lý khoá (Key Management): Để mã hoá liệu, VPN cần cung cấp khoá mật mã để tạo đường hầm phiên (Session Tunnel) Vì vậy, cần phải tạo khoá, phân phối cập nhật, làm tươi chúng 31 1.4.2 Tính sẵn sàng tin cậy .31 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Tính sẵn sàng tổng thời gian mà người dùng truy cập vào mạng (Uptime) Trong mạng riêng mạng Intranet, thời gian tương đối cao toàn sở hạ tầng mạng thuộc quyền sở hữu riêng kiểm soát đầy đủ tổ chức Tuy nhiên, VPN sử dụng mạng tương tác trung gian Internet PSTN thiết lập dựa VPN phụ thuộc nhiều vào mạng trung gian Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP) 31 Thông thường, ISP đảm bảo tính sẵn sàng “hợp đồng mức dịch vụ” (SLA) SLA hợp đồng ký kết ISP người dùng (một tổ chức công ty) để cam kết thời gian truy cập mạng Một số ISP đề xuất uptime cao, khoảng 99% Nếu tổ chức muốn đảm bảo tính sẵn sàng cao, tìm ISP có sở hạ tầng chuyển mạch xương sống có khả phục hồi cao Đó là: 32 Khả định tuyến mạnh, cho phép định tuyến lại qua đường thay trường hợp đường bị lỗi bị tắc nghẽn Để đảm bảo hiệu suất cực đại, khả định tuyến hỗ trợ nhiều lựa chọn ưu tiên định tuyến yêu cầu 32 Dư thừa đường truy cập, thường dùng để đáp ứng yêu cầu tăng giải thông mạng 32 Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, thiết bị không gồm thiết bị thay nóng mà nguồn cung cấp điện hệ thống làm lạnh 32 Tính tin cậy yêu cầu quan trọng VPN liên quan mật thiết với nhân tố tính sẵn sàng Tính tin cậy giao dịch VPN đảm bảo người dùng cuối phân phối liệu hoàn cảnh Cũng hầu hết thiết lập mạng khác, tính tin cậy môi trường dựa VPN đạt việc chuyển mạch gói liệu tới đường dẫn khác liên kết tạo thiết bị đường bị lỗi Toàn trình hoàn toàn suốt với người dùng cuối 32 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp 1.4.3 Chất lượng dịch vụ .32 Trong mạng riêng ảo, mạng thông thường Đều có mong muốn mang lại tính suốt cho gói liệu chúng truyền từ nguồn đến đích đảm bảo chất lượng dịch vụ khác .32 Vấn đề với QoS xác định nào? Có đảm bảo hay không? Là khó Trừ có tắc nghẽn mạng, khó để chứng minh QoS đảm bảo 32 Chất lượng dịch vụ khả phản hồi hoàn cảnh tới hạn cách gán tỷ lệ để xác định giới hạn lỗi việc sử dụng băng thông mạng tài nguyên cho ứng dụng Các ứng dụng giao dịch tài chính, trình đặt hàng từ đối tác thương mại tương đối nhạy cảm với băng thông Các ứng dụng truyền video nhạy cảm với độ trễ đòi hỏi băng thông lớn để tránh tượng chất lượng giao dịch .32 1.4.4 Khả quản trị .33 Việc kiểm soát hoàn toàn hoạt động tài nguyên mạng, với việc quản trị thích hợp quan trọng đặt với tất đơn vị có mạng kết nối phạm vi toàn cầu Hầu hết đơn vị kết nối với nguồn tài nguyên giới trợ giúp nhà cung cấp dịch vụ Kết kiểm soát đầu cuối mạng Intranet đơn vị phải qua mạng Intranet trung gian nhà cung cấp dịch vụ Trong hoàn cảnh này, đơn vị phải quản trị tài nguyên mạng kinh doanh họ, nhà cung cấp dịch vụ quản trị thiết lập mạng họ Với sẵn có thiết bị VPN hãng sản xuất bên hợp đồng tổ chức với nhà cung cấp dịch vụ loại trừ ranh giới vốn có việc quản trị tài nguyên quản trị toàn phần riêng phần công cộng phần cuối VPN Một Công ty quản trị, giám sát, hỗ trợ trì mạng họ mô hình truyền thống, kiểm soát toàn truy cập mạng có quyền giám sát trạng thái thời gian thực, thực thi VPN Hơn nữa, Công ty giám sát phần công cộng VPN Tương tự, ISP quản trị kiểm soát phần sở hạ tầng thuộc quyền kiểm soát họ Tuy nhiên, 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp yêu cầu, nhà cung cấp dịch vụ quản trị toàn sở hạ tầng, bao gồm sở hạ tầng VPN người dùng .33 1.4.5 Khả tương thích 33 Như biết VPN sử dụng mạng công cộng kết nối đường dài, mạng trung gian dựa IP Internet dựa công nghệ mạng khác Frame Relay (FR), Asynchronous Transfer Mode (ATM) Kết VPN sử dụng tất kiểu công nghệ giao thức sở 33 Trong trường hợp mạng tương tác trung gian dựa IP, VPN phải có khả dùng địa IP ứng dụng IP, để đảm bảo tương thích với sở hạ tầng dựa IP, phương pháp sau tích hợp vào VPN: 33 Sử dụng Getway IP: Getway IP chuyển (hoặc dịch) giao thức không dựa IP thành IP Các thiết bị thiết bị mạng chuyên dụng giải pháp dựa phần mềm Getway IP cài đặt Server thường dùng để chuyển đổi dòng lưu lượng 34 Sử dụng đường hầm: Đường hầm, biết, kỹ thuật đóng gói gói liệu không IP thành gói IP để truyền qua sở hạ tầng dựa IP Các thiết bị cuối khác, nhận gói liệu đóng gói sẻ xử lý loại bỏ phần tiêu đề IP để lấy lại liệu gốc “Đường hầm” xem thiết bị tryền tải .34 Sử dụng định tuyến IP ảo (Virtual IP Routing - VIPR): Như hình vẽ 1.8, VIPR làm việc cách phân vùng lôgic Router vật lý vị trí nhà cung cấp dịch vụ sau (như phần sở hạ tầng ISP) Mỗi phân vùng cấu hình quản trị Router vật lý hỗ trợ VPN Theo cách gọi đơn giản, phân vùng lôgic xem Router với đầy đủ chức Kết phân vùng Router lôgic hỗ trợ nhiều giao thức có khả chứa địa IP riêng 34 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Với công nghệ giao thức không dựa IP FR, ATM, công nghệ đường điện thoại riêng ảo (VPT) sử dụng Công nghệ VPT mô tả hình 1.9 34 VPT tương thích với nhiều giao thức dựa công nghệ chuyển mạch gói Vì sử dụng kênh cố định ảo (PVC) kênh chuyển mạch ảo (Switched Virtual Circuit - SVC) cho việc truyền liệu Để truyền liệu thành công, VPT yêu cầu thiết bị WAN Router có khả hỗ trợ FR ATM Để chắn giao dịch thương mại có lợi nhuận, PVC thường dùng cho việc liên kết Site mạng riêng Intranet SVC lại thường dùng để liên kết Site Extranet .35 1.5.Tính bảo mật VPN .35 1.6.Các kỹ thuật sử dụng VPN .38 1.7.Các giao thức tạo đường hầm .38 Một số ứng dụng cung cấp dịch vụ bảo mật tầng ứng dụng SSL hay TLS Đối với giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật tầng cung cấp để tạo ứng dụng bảo mật (ví dụ giao diện cung cấp hỗ trợ bảo mật -SSPI) Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép ứng dụng tầng truy nhập vào module bảo mật tầng dưới), ứng dụng cần nhận thức vấn đề bảo mật IPSec giải yêu cầu cách chuyển vấn đề bảo mật xuống tầng Điều cho phép ứng dụng trì tính không phụ thuộc vào hạ tầng bảo mật tầng Các gói IP bảo vệ mà không phụ thuộc vào ứng dụng sinh chúng Nói cách khác, ứng dụng không cần biết tới vấn đề bảo mật IP Các quy tắc bảo mật định nghĩa thống nhà quản trị mà không phụ thuộc vào ứng dụng chạy hệ thống IPSec suốt ứng dụng Điều đem lại lợi ích vô to lớn, khả xác thực, bảo mật kể mã hoá liệu truyền qua mạng IP Như vậy, IPSec cung cấp khả bảo mật host-to-host máy tính mạng máy tính 39 IPSec kiến trúc an toàn dựa chuẩn mở, có đặc trưng sau: .39 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp - Bước 5:Trên máy ISASER cấu hình VPN phần mềm ISA cho phép VPN-Client Localhost truy cập đên vùng Internal dùng HTTP (phục vụ cho việc xin Cert từ VPN-Client ISASER thông qua web) - Bước 6: Cài Cert IPSec cho máy ISASER - Bước 7: Requset Cert IPSec, down Cert cài máy VPN-Client - Bước 8: Cấu hình VPN VPN Client, login với tài khoản u1 tạo máy DC 5.3 Mô hình VPN client to site sử dụng Routing and Remote Access Hình 5.4 VPN client to site Ưu điểm : - Mạng truy nhập từ xa không cần hỗ trợ nhân viên mạng trình kết nối từ xa ISP thực - Giảm chi phí cho kết nối từ khoảng cách xa kết nối khoảng cách xa thay kết nối cục thông qua mạng Internet - Cung cấp dịch vụ kết nối giá rẻ cho người sử dụng xa - Bởi kết nối truy nhập nội nên Modem kết nối hoạt động tốc độ cao so với truy nhập khoảng cách xa 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp - VPN cung cấp khả truy nhập tốt đến site công ty chúng hỗ trợ mức thấp dịch vụ kết nối Nhược điểm : - Mạng VPN truy nhập từ xa không hỗ trợ dịch vụ đảm bảo chất lượng dịch vụ - Nguy bị liệu cao Hơn nữa, nguy gói bị phân phát không đến nơi gói - Bởi thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng cách đáng kể Thêm vào việc nén liệu IP xảy chậm - Do phải truyền liệu thông qua internet, nên trao đổi liệu lớn chậm Phạm vi ứng dụng: Trong mạng nội công ty Mục đích : Giúp cho client từ xa truy cập cách an toàn bảo mật Chuẩn bị: - Một máy Domain Controller lên domain ipsec.vpn - Máy VPN Server join vào domain ipsec.vpn Máy VPN Server có card mạng: card Internal nối với máy Domain Controller, card External nối với VPN Client - Máy VPN Client nối với VPN Server Chú ý đảm bảo kết nối máy gần phải thông Cấu hình: - Bước 1: Trên máy VPN Server cấu hình Routing and Remote Access Bỏ giao thức PPTP khỏi chế NAT/Routing - Bước 2: Cài đặt CA IIS - Bước 3: Máy VPN Server VPN Client request cert - Bước 4: Máy VPN Server chấp nhận cert vừa yêu cầu - Bước 5: Máy VPN Server VPN Client cài cert - Bước 6: Máy VPN Client download import cert cert hợp lệ Bước 7: Máy Domain Controller tạo user cấp quyền Dial-in Allow Access phép VPN Client truy cập 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp - Bước 8: Máy VPN Client tạo kết nối truy cập với tài khoản vừa tạo máy Domain Controller 5.4 VPN Client to site qua ADSL Hình 5.5: Mô hình VPN Client to Site qua ADSL Ưu điểm : - Tốc độ truy cập internet truyền liệu cao - Kết nối liên tục - Thiết bị đầu cuối rẻ - Không hạn chế số người sử dụng chia sẻ kết nối mạng nội Nhược điểm : - Khó đạt tốc độ truyền liệu tối đa - Phụ thuộc vào sở hạ tầng mạng internet Phạm vi : Áp dụng cho chi nhánh công ty Chuẩn bị: Một máy ảo (chạy phần mềm giả lập VMW) cài winserver 2003, add hai card mạng (một card để chế độ bridge, kết nối internet, card local để chế độ host-only) cấu hình vpn Một modem TP-LINK 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Một PC cài winxp làm VPN Client Các bước cấu hình: Bước 1: Đăng kí tài khoản trang http://www.no-ip.com để cập nhật địa IP Public cho máy Bước 2: Vào modem mở cổng 1723 Bước 3: Vào Dynamic DNS add tên tài khoản mà ta đăng ký http://www.no-ip.com Bước 4: Cấu hình VPN vpnserver, tạo tài khoản có quyền Dial-in Allow access để VPN client tham gia kết nối vpn Bước 5: Trên máy Client tạo kết nối đến VPN Server 5.5 Mô hình VPN Site to Site VMWare Hình 5.6: Mô hình VPN Client to site cho sở Ưu điểm : - Giảm chi phí - Hoạt động tốc độ cao so với truy nhập khoảng cách xa sở Nhược điểm : 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp - Do phải truyền liệu thông qua internet, nên trao đổi liệu lớn chậm Mục đích : - Giúp cho công ty tổ chức có nhiều chi nhánh cách xa vị trí địa lý trao đổi thông tin liệu với mạng LAN Phạm vi: Áp dụng cho sở Hưng yên Phố Nối Chuẩn bị: - Hai máy Server làm sở Hưng Yên Phố Nối - Một máy Server Internet làm trung gian định tuyến sở với - Hai máy Client Cấu hình: - Bước 1: Trên máy Internet có card mạng: card VM2 kết nối tới sở Hưng Yên, card VM3 kết nối tới sở Phố Nối Enable dịch vụ Routing and Remote Access Định truyến Rip để kết nối sở - Bước 2: Trên Server Hưng Yên enable dịch vụ Routing and Remote Access - Bước 3: Cấu hình NAT/Basic Firewall: Card VM2 kết nối với Internet để chế độ Public cho phép NAT interface này, card Local để chế độ Private - Bước 4: Tạo Network interface kết nối đến Server Phố Nối - Bước 5: Add dải địa mà Server Hưng Yên muốn cấp cho client truy cập vào đặt Preshare key để xác thực - Bước 6: Cấu hình bên Server Phố Nối tương tự bên Server Hưng Yên - Bước 7: Connect hai sở 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Kết luận IP Security khung chuẩn mở nhằm đảm bảo kết nối an toàn qua mạng IP với khả mã hóa xác thực lớp mạng Nó sử dụng để bảo vệ nhiều đường kết nối cặp trạm chủ (host) cặp cổng an ninh (router, firewall) Lợi ích : Một VPN thiết kế tốt đem đến nhiều lợi ích cho công ty, như: - Mở rộng kết nối nhiều khu vực giới - Tăng cường an ninh mạng - Giảm chi phí so với thiết lập mạng WAN truyền thống - Giúp nhân viên làm việc từ xa, giảm chi phí giao thông tăng khả tương tác - Đơn giản hoá mô hình kiến trúc mạng - Cung cấp hội kết nối toàn cầu (điều khó đắt kết nối trực tiếp đường truyền riêng) - Hỗ trợ làm việc từ xa - Cung cấp khả tương thích với mạng lưới băng thông rộng - Giúp thu hồi vốn nhanh (return on investment) so với mạng WAN truyền thống - Quản lý dễ dàng: trường có khả quản lý số lượng người sử dụng (khả thêm, xoá kênh kết nối liên tục, nhanh chóng) Hiện nhu cầu sử dụng tư vấn từ bên ngoài, nguồn lực từ bên để phục vụ cho công tác kinh doanh trở thành xu hướng - Khả lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, sử dụng công nghệ DSL - Khả cung cấp dịch vụ cách nhanh chóng: VPN cung cấp mạng IP tích hợp số ưu điểm mạng khả liên kết lớn, mạng lưới sẵn có giảm thiểu thời gian cung cấp dịchvụ • Đối với nhà cung cấp dịch vụ: 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp - Tăng doanh thu từ lưu lượng sử dụng xuất phát từ dịch vụ gia tăng giá trị khác kèm theo - Tăng hiệu sử dụng mạng internet - Kéo theo khả tư vấn thiết kế mạng cho khách hàng yếu tố quan trọng tạo mối quan hệ gắn bó nhà cung cấp dịch vụ với khách hàng đặc biệt khách hàng lớn - Đầu tư không lớn hiệu đem lại cao - Mở lĩnh vực kinh doanh nhà cung cấp dịchvụ Thiết bị sử dụng cho mạng VPN Mục đích : IPSec thiết kế để cung cấp chế giao tiếp bảo mật an toàn, áp dụng công nghệ VPN giải pháp hữu hiệu để bảo mật mạng Intranet trường kết nối vào Internet Việc triển khai VPN cụ thể giúp đơn vị bảo mật thông tin mở rộng kết nối mạng bên Internet, đồng thời tận dụng triệt để lợi ích mạng toàn cầu Internet cách an toàn với IPSec/VPN Với công nghệ an toàn liệu áp dụng mạng riêng ảo hoàn toàn có đủ độ tin cậy để triển khai diện rộng Trong điều kiện kinh tế Việt Nam việc thiết lập mạng riêng ảo giúp đơn vị tự bảo vệ tổ chức khai thác thông tin mạng Internet cách hiệu an toàn Hướng phát triển : Cài đặt mô hình mạng lớn WAN, MAN Tăng tốc băng thông Hy vọng ngày với đồ án tốt nghiệp em hoàn thiện đồ án với mô hình triển khai cao mô hình Site to Site Hạn chế : Trong trình thực đồ án nhóm em cố gắng tìm hiểu hoàn thành đồ án thời gian quy định Tuy nhiên kinh nghiệm kiến thức hạn chế nên đồ án nhóm em tránh khỏi thiếu sót Chúng em mong 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp nhận đóng góp ý kiến thầy cô giúp đồ án chúng em hoàn thiện Chúng em xin chân thành cảm ơn! 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp TÀI LIỆU THAM KHẢO [1] Public Key RSA Encryption in C# NET, tác giả: Mathew John Schlabaugh, xuất năm 2007,URL: http://www.codeproject.com/KB/security/RSACryptoPad.aspx [2] Cryptography-Handbook Of Applied Cryptography, tác giả: Alfred J.Menezes, Paul C.Van Oorschot, Scott A.Vanstone, nhà xuất bản: CRC Press, năm xuất bản: 1996 [3] Prentice Hall Cryptography and Network Security, tác giả: William Stallings, xuất năm 2005 [4] Ebook: CCNP ISCW Official Exam Certification Guide, tác giả: Brian Morgan - Neil Lovering, nhà xuất bản: Cisco Press, năm xuất bản: 2007 [5] Ebook: IPSec VPN, tác giả Vũ Thị Mưu, nhà xuất giao thông vận tải TPHCM, URL:http://nhatnghe.com/forum/showthread.php?t=27106 [6] Tài liệu “IPSec VPN WAN Design Overview 2800” Cisco [7] Trang web: http://www.nhatnghe.com chuyên mục “Các viết có giá trị” trung tâm đào tạo mạng máy tính Nhất nghệ [8] Trang web: http://www.ttgtc.com – diễn dàn trung tâm đào tạo quản trị mạng Trường Tân [9] Bài giảng môn Bảo mật mạng thạc sĩ Nguyễn Duy Tân, trường Đại học SPKT Hưng Yên [10] Đề cương môn Bảo mật mạng thạc sĩ Nguyễn Đình Hân, trường Đại học SPKT Hưng Yên 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp PHỤ LỤC I Bảng cước dịch vụ truy cập Internet FTTH/Fiber VNN địa bàn tỉnh Hưng Yên(Số 175/QĐ-VTHY-KD Áp dụng từ ngày 01/5/2010.Giá cước chưa bao gồm thuế VAT) Cước đấu nối, hòa mạng trường hợp khác: - Lắp đặt mới: 5.000.000 đồng/thuê bao/lần Đối với khách hàng đặc biệt, khách hàng lớn: Giảm 30% - Chuyển đổi từ dịch vụ MegaVNN sang FiberVNN: 2.500.000 đồng/thuê bao/lần Đối với khách hàng đặc biệt, khách hàng lớn: Giảm 30% - Cước dịch khác địa chỉ: 1.000.000 đồng/thuê bao/lần - Cước dịch chuyển địa chỉ: 500.000 đồng/thuê bao/lần - Chuyển từ tốc độ thấp lên tốc độ cao: Miễn cước - Chuyển từ tốc độ cao xuống tốc độ thấp: 200.000 đồng/thuê bao/lần - Chuyển quyền sử dụng: Miễn cước Cước sử dụng dịch vụ hàng tháng: a Bảng 1: I Tốc độ truy nhập Tốc độ tối đa: (download/upload) Gói Gói 30Mbps/ 36Mbps/ 30Mbps 512Kbps/ 36Mbps 640Kbps/ Tốc độ tối thiểu: (download/upload) 512Kbps 640Kbps II Địa IP IP động IP động III Mức cước Phương thức 1: Trả theo lưu lượng gửi nhận 1.1 Cước thuê bao: đồng/tháng 600.000 800.000 1.2 Cước theo lưu lượng: 60 80 đồng/Mbyte 1.3 Cước sử dụng tối đa (bao gồm cước thuê Gói 42Mbps/ 42Mbps 768Kbps/ 768Kbps IP động Không áp dụng bao 2.800.000 3.500.000 tháng):đồng/tháng Phước thức 2: Sử dụng trọn gói (không phụ thuộc lưu lượng 2.000.000 2.500.000 3.500.000 sử dụng) đồng/tháng b Bảng 2: 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp I Tốc độ truy nhập Tốc độ tối đa: (download/upload) Gói Gói Gói 50Mbps/ 60Mbps/ 70Mbps/ 50Mbps 60Mbps 1.024Kbps/ 1.536Kbps/ Tốc độ tối thiểu: (download/upload) 1.024Kbps 1.536Kbps II Địa IP IP động IP động III Mức cước Phương thức 1: Trả theo lưu Không áp dụng lượng gửi nhận Phước thức 2: Sử dụng trọn gói (không phụ thuộc lưu lượng sử 6.000.000 12.000.000 70Mbps 2.048Kbps/ 2.048Kbps IP động 16.000.000 dụng) đồng/tháng Cước sử dụng khách hàng toán trước cước sử dụng (chỉ áp dụng trường hợp trọn gói): Đối với khách hàng toán cước trước tối thiểu 05 tháng: - Thanh toán trước 05 tháng: Giảm 10% cước sử dụng tháng toán trước - Thanh toán trước 08 tháng: Giảm 15% cước sử dụng tháng toán trước - Thanh toán trước 12 tháng trở lên: Giảm 20% cước sử dụng tháng toán trước 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Cước sử dụng địa IP tĩnh: Số lượng địa IP 01 IP tĩnh 06 IP tĩnh Mức cước (đồng/tháng) 454.545 909.090 Các quy định khác: Đối với thuê bao sử dụng không tròn tháng, bị liên lạc tháng, tạm ngưng sử dụng dịch vụ, phần cước giảm trừ áp dụng theo văn số 1560/VNPT-TTBH ngày 26/4/10 Tập đoàn BCVT Việt Nam II Bảng giá phần mềm quyền thiết bị định tuyến Router Get Genuine Kit WinXP Pro SP2 English DSP ORT Li Giá Bán: 4.420.000 VNĐ = 208$( Giá chưa bao gồm VAT ) Win XP SP2 WinSvrStd 2003R2 32bitx64 ENG DiskKit MVL CD, P73Giá Bán: 1.147.500 VNĐ = 54$( Giá chưa bao gồm VAT ) Win server 2003 WinSvrEnt 2003R2 32bitx64 ENG DiskKit MVL CD, P72Giá Bán: 1.147.500 VNĐ = 54$( Giá chưa bao gồm VAT ) 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp Win server 2003 ISA Server Std Ed 2006 English Disk Kit MVL CD Giá Bán: 1.168.750 VNĐ = 55$( Giá chưa bao gồm VAT ) ISA Server Std Ed 2006 CISCO Router 878W-G-A-K9 Giá bán tham khảo : 16,461,500 đồng (US$ 803) Hỗ trợ Cisco IPS, Antivirus/NAC Hỗ trợ IPSec VPN, 3DES, AES, 20 tunnels Hỗ trợ Advanced QoS, AZR Hỗ trợ 802.1Q, 802.1X Hỗ trợ WLAN 802.11b/g CISCO Router 878W-G-A-K9 81 Tìm hiểu IPSec/VPN thiết kế số mô hình mạng ứng dụng cho doanh nghiệp CISCO Router 877W-G-A-K9 Giá bán tham khảo : 14,268,000 đồng (US$ 696) Hỗ trợ IPSec VPN, 3DES, AES, 20 tunnels Hỗ trợ Advanced QoS, AZR Hỗ trợ 802.1Q, 802.1X CISCO Router 877W-G-A-K9 Hỗ trợ WLAN 802 11b/g CISCO Router 876-K9 Giá bán tham khảo : 10,762,500 đồng (US$ 525) Hỗ trợ IPSec VPN, 3DES, AES, 20 tunnels Hỗ trợ Advanced QoS, AZR Hỗ trợ 802.1Q, 802.1X CISCO Router 876-K9 CISCO 1841 Giá bán tham khảo : 19,967,000 đồng Hỗ trợ VIOP pass-through Hỗ trợ mã hoá: DES, 3DES, AES 192, AES256 Cisco IOS 12.3(8) Cisco IOS IPS, Antivirus/NAC IPSec VPN nên đến 800 tunnels Advanced QoS Hỗ trợ 802.1Q, CISCO 1841 802.1X" 81 [...]... nghĩa lý luận và thực tiễn của đề tài - Giúp chúng em tìm hiểu các vấn đề về bảo mật và truyền tin an toàn qua mạng Internet - Tìm hiểu cách thức bảo mật và đảm bảo toàn vẹn dữ liệu - Phát triển tư duy, nhận thức và năng lực - Giúp nhóm em hiểu rõ hơn cách thức bảo mật khi thông tin được truyền qua mạng - Ứng dụng vào thực tiễn giúp bảo mật hệ thống mạng cho doanh nghiệp 81 Tìm hiểu IPSec/VPN và thiết kế... cập từ xa từ máy bên ngoài vào máy nội bộ - Phát triển ứng dụng ngoài thực tế và ứng dụng công nghệ mới - Triển khai một số mô hình mạng ứng dụng cho doanh nghiệp 6 Nhiệm vụ nghiên cứu - Tìm hiểu cách thức bảo mật của IPSec/VPN - Tìm hiểu các công cụ để phát triển 7 Phương pháp nghiên cứu - Tìm hiểu thông qua mạng Internet và qua các diễn đàn - Tìm hiểu các tài liệu liên quan - Tiếp nhận các thông tin... trong hai dạng sau: - Intranet: 81 Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch... Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ bởi tổ chức Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP) 81 Tìm hiểu IPSec/VPN... số mô hình mạng ứng dụng cho doanh nghiệp Chương I: Giới thiệu về VPN Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ chức có các địa điểm phân tán về mặt địa lý, công ty đa quốc gia Giải pháp thông thường được áp dụng bởi đa số các công ty là thuê các đường truyền riêng (Leased Lines) để duy trì một mạng WAN (Wide Area... tâm của một công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên làm việc tại nhà, kết nối tới Đây là một giải pháp tốt cho công ty để kết nối nhân viên và các bạn hàng mà không phụ thuộc vào việc họ đang ở đâu 1.1 Mạng riêng ảo (VPN) là gì ? 81 Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp Về căn bản, mỗi VPN (Virtual Private Network) là một mạng riêng... Routing and Remote Access 80 Tài liỆu tham khẢo 88 PHỤ LỤC 82 81 Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp DANH SÁCH CÁC HÌNH VẼ 81 Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp DANH SÁCH CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT Từ viết tắt Giải thích AAA Authentication, Authorization, Accounting AD Active Directory AES Avanted... lập VPN mang lại cho các Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua các mạng công cộng Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách chặt chẽ Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách như sau: 81 Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp Thực thi các kỹ thuật phòng... hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp - Tìm hiểu về VPN Cơ chế bảo mật trong VPN Lợi ích khi sử dụng VPN Các công cụ hỗ trợ 4 Giới hạn và phạm vi nghiên cứu - Áp dụng vào hệ thống mạng doanh nghiệp - Hướng dẫn cấu hình IPSec/VPN để bảo mật hệ thống mạng cho các cơ sở của trường 5 Mục đích nghiên cứu - Tìm hiểu rõ về IPSec/VPN và những lợi thế của IPSec/VPN trong bảo... mộng đối với các nhà thực thi và quản trị mạng Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể 81 Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp Hình 1.7: Mạng Extranet dựa trên VPN Ưu điểm chính của Extranet VPN là: • Chi phí rất nhỏ so với cách thức truyền thống • Dễ thực thi, duy trì và dễ thay đổi • Dưới sự hiện ... 5.1 Thiết kế mô hình VPN site-to-site remote-access bảo mật với IPSec 76 Phạm vi ứng dụng : Ứng dụng cho sở trường ĐHSPKTHY 76 5.2 Thiết kế mô hình VPN client-to-site sử dụng ISA 78 5.3... nghiên cứu - Tìm hiểu cách thức bảo mật IPSec/VPN - Tìm hiểu công cụ để phát triển Phương pháp nghiên cứu - Tìm hiểu thông qua mạng Internet qua diễn đàn - Tìm hiểu tài liệu liên quan - Tiếp nhận... đây: - bit - 15 bit 16 - 23 bit Next header Payload length 24 - 31 bit RESERVED Security parameters index (SPI) Sequence number Authentication data (variable) Hình 2.1: Gói tin AH Ý nghĩa phần: -