ĐỀ TÀI: Mạng riêng ảo VPN

Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS, tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập Ngày nay với sự phát tr

TRƯỜNG ………

KHOA………

-[\ [\ - BÁO CÁO TỐT NGHIỆP

ĐỀ TÀI:

Mạng riêng ảo VPN

Khoá luận tốt nghiệp Đại học Công nghệ

Mục lục Lời mở đầu

Chương 1: Tổng quan về VPN

1 Tổng Quan 5

1.1 Định nghĩa VPN 5

1.2 Lợi ích của VPN 6

1.3 Chức năng của VPN 7

2 Định nghĩa “đường hầm” và “mã hoá” 7

2.1 Định nghĩa đường hầm: 7

2.2 Cấu trúc một gói tin IP trong đường hầm: 8

2.3 Mã hoá và giải mã (Encryption/Deccryption): 8

2.4 Một số thuật ngữ sử dụng trong VPN: 8

2.5 Các thuật toán được sử dụng trong mã hoá thông tin 9

3 Các dạng kêt nối mạng riêng ảo VPN 10

3.1 Truy cập VPN (Remote Access VPNs) 10

3.1.1 Một số thành phần chính 11

3.1.2 Thuận lợi chính của Remote Access VPNs: 12

3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như: 12

3.2 Site – To – Site VPN 13

3.2.1 Intranet 14

3.2.2 Extranet VPNs (VPN mở rộng) 16

4 VPN và các vấn đề an toàn bảo mật trên Internet 18

4.1 An toàn và tin cậy 19

4.2 Hình thức an toàn 20

Chương 2: Giao thức trong VPN 1 Bộ giao thức IPSec (IP Security Protocol): 22

1.1 Cấu trúc bảo mật 22

1.1.1 Hiện trạng 23

2 Chế độ làm việc của IPSec 23

2.1 Chế độ chuyển vận (Transport mode) 23

2.2 Chế độ đường hầm ( Tunnel Mode ): 24

3 Giao thức PPTP và L2TP 31

3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling Protocol) 31

3.1.1 Quan hệ giữa PPTP và PPP 32

3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) 34

3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol) 35

3.3.1 Quan hệ giữa L2TP với PPP 36

3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview) 38

3.5 Ứng dụng L2TP trong VPN 42

3.6 So sánh giữa PPTP và L2TP 42

Khoá luận tốt nghiệp Đại học Công nghệ

3.6.1 Ưu điểm của L2TP 43

3.6.2 Ưu điểm của PPTP 43

Chương 3: Mã hoá và chứng thực trong VPN 1 Mã hoá trong VPN 45

1.1 Thuật toán mã hoá DES 45

1.1.1 Mô tả DES 46

1.1.2 Ưu và nhược điểm của DES 47

1.1.3 Ứng dụng của thuật toán DES trong thực tế 47

1.2 Thuật toán mã hoá 3DES 48

1.2.1 Mô tả 3DES 48

1.2.2 Ưu và nhược điểm của 3DES 49

1.3 Giải thuật hàm băm (Secure Hash Algorithm) 49

1.4 Giải thuật RSA 49

2 Chứng thực trong VPN 50

2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng mật khẩu 51

2.2 Challenge Handshare Authentication Protocol (CHAP) 52

3 Firewall 52

3.1 Khái niệm về Firewall 52

3.2 Các thành phần của Firewall 53

3.2.1 Bộ lọc gói (Packet Filtering Router) 53

3.2.2 Cổng ứng dụng (Application-level gateway) 55

3.2.3 Cổng vòng (Circuit-level Gateway) 57

3.3 Những hạn chế từ Firewall 58

3.4 Thiết lập chính sách cho Firewall 58

3.5 Một số loại Firewall 59

3.5.1 Screened Host Firewall 60

3.5.2 Screened-Subnet Firewall 61

3.6 Mô hình kết hợp Firewall với VPN 62

Chương 4: Cấu hình VPN trên thiết bị Cisco 1 Mô hình Site –to – Site VPN và Extranet VPN 64

1.1 Kịch bản Site – to – site VPN 64

1.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình site – to –site VPN 64

1.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Site – to – Site VPN 65

2.1 Kịch bản Extranet 65

2.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình Extranet VPN 66

2.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Extranet VPN 66

2 Cấu hình đường hầm (tunnel) 67

2.1 Sự định cấu hình một GRE Tunnel 68

2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích 68

Khoá luận tốt nghiệp Đại học Công nghệ

2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích 70

2.2 Cấu hình một IPSec Tunnel: 70

3 Cấu hình NAT (Network Address Translation) 71

3.1 Cấu hình Static Inside Source Address Translation 73

3.2 Kiểm tra Static Inside Source Address Translation 73

4 Cấu hình sự mã hoá và IPSec 74

4.1 Cấu hình những chính sách IKE: 75

4.1.1 Tạo ra những chính sách IKE 76

4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE: 77

4.1.3 Cấu hình Những khoá dùng chung 78

4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số 80

4.2.1 Kiểm tra IKE Policies 81

4.2.2 Cấu hình khoá dùng chung khác 81

4.3 Cấu hình IPSec và chế độ IPSec tunnel 82

4.3.1 Tạo ra những danh sách truy nhập mật mã 83

4.3.2 Kiểm tra những danh sách mật mã 83

4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel 83

4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel 85

4.5 Cấu hình Crypto Maps 85

4.5.1 Tạo ra những mục Crypto Map 85

4.5.2 Kiểm tra những mục Crypto map 88

4.5.3 Áp dụng Crypto map vào Interface 88

4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface 89

5 Cấu hình những tính năng Cisco IOS Firewall 89

5.1 Tạo ra Access list mở rộng và sử dụng số Access list 90

5.2 Kiểm tra Access list mở rộng 90

5.3 Áp dụng Access-list tới Interface 90

5.4 Kiểm tra Access-list được áp dụng chính xác 91

Chương 5: Cấu hình VPN trên Widows Server 2003 1 Giới thiệu chung 92

2 Cài đặt VPN Server 92

3 Cấu hình VPN Server 99

3.1 Route and Remote Access Properties 99

3.2 Ports Properties 102

3.3 Remote Access Policies 103

4 Tạo User trên Windows cho phép sử dụng VPN 104

5 VPN Client trên Windows XP 106

6 Quản lý kết nối trên VPN Server 113

Kết luận 115

Tài liệu tham khảo 116

CÁC THUẬT NGỮ VIẾT TĂT 117

Khoá luận tốt nghiệp Đại học Công nghệ

Lời mở đầu

Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là

sử dụng một kết nối quay số Các kết nối RAS dial-up làm việc trên các đường điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng 56kbps Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS, tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập

Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty …

và các doanh nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng Internet

VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu)

Là một sinh viên công nghệ, phần nào em cũng hiểu được sự băn khoăn

và lo lắng về sự mất an toàn bảo mật khi trao đổi thông tin của các tổ chức, cá nhân Với sự hướng dẫn, và giúp đỡ của thầy cô và bạn bè, em chọn đề tài mạng riêng ảo (VPN) để nghiên cứu và các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo Nghiên cứu các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng

Khoá luận tốt nghiệp Đại học Công nghệ

Chương 1 TỔNG QUAN VỀ VPN

1 Tổng Quan

Trong thời đại ngày nay Internet đã phát triển mạnh mẽ về mặt mô hình cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang sử dụng Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng Với Internet, những dịch vụ như giáo dục từ xa, mua hang trực tuyến, tư vấn y tế,và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên do Internet có phạm

vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ

Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoã mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riên ảo (Virtual Private Network – VPN ) Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được

sự hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng

Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều

1.1 Định nghĩa VPN

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private Network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối

ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay

Khoá luận tốt nghiệp Đại học Công nghệ

các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng

mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệu được

mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel)

Hình 1: Mô hình mạng VPN

1.2 Lợi ích của VPN

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line Những lợi ích đầu tiên bao gồm:

 Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80%

 Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, băng cách nào đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối từ xa của những văn phòng, những vị trí ngoài quốc tế, những người truyền

Khoá luận tốt nghiệp Đại học Công nghệ

thông, những người dùng điện thoại di động, những người hoạt động kinh doanh bên ngoài như những yêu cầu kinh doanh đã đòi hỏi

 Đơn giản hóa những gánh nặng

 Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng:

Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những giao thức như là Frame Relay và ATM

 Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập

 Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP

 Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá

do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet

1.3 Chức năng của VPN

VPN cung cấp 4 chức năng chính

 Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép, mà nếu lấy được thông tin thì cũng không đọc được vì thông tin đã được mã hoá

 Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào

 Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

2 Định nghĩa “đường hầm” và “mã hoá”

Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật thông tin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel)

2.1 Định nghĩa đường hầm:

Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã hoá bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem trộm thông tin, đường hầm chính là đặc tính ảo của VPN

Các giao thức định đường hầm được sử dụng trong VPN như sau:

Khoá luận tốt nghiệp Đại học Công nghệ

 L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp

2

 PPTP (Point-to-Point Tunneling Protocol)

 L2F (Layer 2 Forwarding)

Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:

 IP Sec (IP security)

2.2 Cấu trúc một gói tin IP trong đường hầm:

Tunnel mode packet

IP AH ESP Header Data

2.3 Mã hoá và giải mã (Encryption/Deccryption):

Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép

2.4 Một số thuật ngữ sử dụng trong VPN:

Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay

giải mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá, một

hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầu cho một vài loại traffic người dùng cụ thể

Hàm băm (hashing): là một kỹ thuật toàn vẹn dữ liệu mà sử dụng một công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố đinh Bản tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích Ở nơi nhận việc tính toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trong khi truyền trên mạng

Xác thực (Authentication): Là quá trình của việc nhận biết một người sử

dụng hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực chắc chắn rằng cá nhân hay một tiến trình là hoàn toàn xác định

Original packet

Hình 2: Cấu trúc một gói tin IP trong đường

hầm

Khoá luận tốt nghiệp Đại học Công nghệ

Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được

phép thực hiện những quyền hạn cụ thể nào

Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy

ngẫu nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã Quản lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ

Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được

tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc các người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng, cho mục đích mã hoá Một CA đảm bảo cho sự lien kết giữa các thành phần bảo mật trong chứng nhận

2.5 Các thuật toán được sử dụng trong mã hoá thông tin:

 DES (Data Encryption Security)

 3DES (Triple Data Encryption Security)

 SHA (Secure Hash Algorithm)

AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ liệu,

bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của gói tin) AH được nhúng vào trong dữ liệu để bảo vệ

ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung

cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữ liệu, các dịch vụ “anti-replay” ESP đóng gói dữ liệu để bảo vệ Oakley và Skeme mỗi cái định nghĩa một phương thức để thiết lập một sự trao đổi khoá xác thực, cái đó bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự mà các khoá được sử lý và các khoá được sử dụng như thế nào

ISAKMP (Internet Security Association and Key Management):

IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa

Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là một khung giao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai một giao thức trao đổi khoá và sự trao đổi của một SA (Security Association)

SA (Security Association): Là một tập các chính sách và các khoá được

sử dụng để bảo vệ thông tin ISAKMP SA là các chính sách chung và các khoá được sử dụng bởi các đối tượng ngang hang đàm phán trong giao thức này để bảo vệ thông tin của chúng