Tóm tắt Đề tài tìm hiểu kỹ về mạng riêng ảo VPN khái niệm cũng như lịch sử hình thành của mạng riêng ảo.Cách thức hình thành một mạng riêng ảo dựa trên môi trường internet.Đề tài tập tru
Trang 1TRƯỜNG ĐẠI HỌC VĂN HIẾN KHOA KỸ THUẬT- CÔNG NGHỆ
BỘ MÔN CÔNG NGHỆ THÔNG TIN
- -BÁO CÁO NGHIÊN CỨU KHOA HỌC
ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN Sinh viên thực hiện: Bạch Quốc Huy
Lớp 11T1
Trang 2NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN
BẠCH QUỐC HUY – MSSV 1191010039
LỚP 11T1
TRƯỜNG ĐẠI HỌC VĂN HIẾN
KHOA CÔNG NGHỆ THÔNG TIN
KHÓA 2011-2015
Trang 3Tóm tắt
Đề tài tìm hiểu kỹ về mạng riêng ảo VPN khái niệm cũng như lịch sử hình thành của mạng riêng ảo.Cách thức hình thành một mạng riêng ảo dựa trên môi trường internet.Đề tài tập trung đi sâu vào tìm hiểu các vấn đề bảo mật, mã hóa dữ liệu khi thực hiện một kết nối VPN.Tập trung nghiên cứu về các giao thức bảo mật như PPTP,SSTP,L2TP,IPSEC khi người dùng thực hiện kết nối VPN vào các Server.Giới thiệu về hệ điều hành windown server 2008 và thực hiện xây dựng một VPN server dựa trên hệ điều hành windown server 2008
1 Đặt vấn đề.
1.1 Sự phát triển của internet và vấn đề cấp bách cần phải xây dựng mạng riêng ảo.
Như chúng ta đã biết internet trong một vài năm trở lại đây đã có những bước phát triển chóng mặt Hầu như internet xuất hiện ở mọi nơi như các quán cà phê, các công ty, các hộ gia đình…
Đối với các doanh nghiệp thì mạng internet giờ đây là một điều không thể thiếu nó phục
vụ nhu cầu tra cứu thông tin của toàn bộ đội ngũ nhân viên của công ty.Thay vì việc phải ngồi một chỗ rồi lục tung hàng trăm quyển sách để tìm kiếm thông tin giờ đây chỉ bằng vài thao tác đơn giản nhân viên hoàn toàn có thể tìm kiếm được thông tin mình muốn chỉ trong vòng vài phút.Các công ty cũng có thể hoàn toàn sử dụng internet để trao đổi dữ liệu cho nhau.Tuy nhiên chính sự phổ biến quá nhanh của internet đã biến nó thành mảnh đất màu mỡ cho các phần tử xấu, họ có thể dùng internet để đánh cắp thông tin của chính những người đang dùng internet.Môi trường internet chưa bao giờ là an toàn nhất là đối với các thông tin quan trọng như là các chứng từ mua bán của các doanh nghiệp, các giấy
tờ liên quan đến các loại tài khoản ngân hàng Theo Privacy Rights Clearinghouse, một tổ chức chuyên theo dõi các vụ tấn công bảo mật và rò rỉ dữ lớn, thì đã có hơn 4 triệu hồ sơ
y tế bị giới tội phạm mạng đánh cắp trong năm nay 2014, một con số đáng báo động và cao hơn rất nhiều so với các năm trước ( nguồn
http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-mang/2014/12/1237463/so-vu-tan-cong-danh-cap-du-lieu-y-te-tang-600/).Không những phải bảo vệ dữ liệu từ những phần tử xấu mà có khi các dữ liệu của chúng ta còn bị tấn công từ chính các cơ quan chính phủ điển hình như vụ Edward Snowden năm 2014.Để giải quyết vấn đề này doanh
Trang 4nghiệp hoàn toàn có thể thuê các đường dây riêng biệt phục vụ cho việc kết nối giữa các chi nhánh và các đối tác của mình.Việc trao đổi thông tin trên các đường dây này sẽ an toàn hơn rất nhiều so với việc truyền tải chúng trên mạng internet Tuy nhiên vấn đề gặp phải ở đây là chi phí để thuê các đường dây riêng là không hề rẻ và nó cũng chẳng hề thuận tiện một chút nào.Cần phải có một giải pháp vừa tiết kiệm và lại đảm bảo an toàn như khi doanh nghiệp thuê riêng một đường dây riêng
1.2 Lý do thực hiện.
Qua các vấn đề nêu ở trên, ta thấy việc triển khai mạng riêng ảo VPN cho doanh nghiệp sẽ hoàn toàn giải quyết được những vấn đề trên.Mạng riêng ảo hoàn toàn được xây dựng dựa trên cơ sở của mạng internet vì vậy mà doanh nghiệp không phải tốn thêm bất cứ một khoản chi phí nào.Hơn nữa các giao thức trong VPN hoàn toàn có thể bảo mật
dữ liệu một cách hoàn hảo tùy thuộc vào mức độ bảo mật mà người dùng yêu cầu Vì vậy nghiên cứu này sẽ tập trung nghiên cứu về mạng riêng ảo VPN và các hướng dẫn làm sao
có thể tạo ra một mạng riêng ảo VPN bằng chính hệ điều hành Windown server 2008.Cách triển khai các giao thức bảo mật khi kết nối VPN
2 Phương pháp thực hiện.
Đề tài tập trung nghiên cứu chủ yếu công nghệ mạng riêng ảo VPN và triển khai nó trên hệ điều hành win server 2008.Mặc dù có rất nhiều giải pháp để tạo một mạng riêng ảo.Chúng ta có thể sử dụng các thiết bị phần cứng của cisco hoặc có thể sử dụng giải pháp phần mềm ngay trên các phiên bản hệ điều hành windown của Microsoft.Tuy nhiên
do điều kiện không cho phép nên nghiên cứu sẽ triển khai mạng riêng ảo VPN trên hệ điều hành Windown server 2008
Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để kết nối các máy tính lại với nhau thông qua mạng Internet công cộng Những máy tính tham gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ - LAN (Local Area Network)
Internet là một môi trường công cộng, việc chia sẻ dữ liệu có tính riêng tư thông qua Internet là cực kỳ nguy hiểm vì những dữ liệu đó có thể dễ dàng bị rò rỉ, bị ăn cắp
Trang 5Mạng riêng ảo là giao thức trợ giúp việc kết nối các máy tính lại với nhau thông qua một kênh truyền dẫn dữ liệu (tunel) riêng đã được mã hóa
Mạng riêng ảo giúp bảo vệ dữ liệu trong khi chúng được truyền trên Internet vì vậy mạng riêng ảo thường được ứng dụng trong các trường hợp sau:
Làm việc từ xa: Truy cập từ xa thông qua Internet vào mạng của công ty để chia sẻ dữ
liệu cũng như thực thi các ứng dụng nội bộ
Kết nối nhiều mạng với nhau (Site-to-Site): Nếu công ty có nhiều văn phòng, việc
kết nối các mạng lại với nhau thành một mạng thống nhất sẽ đem lại hiệu quả ấn tượng trong việc quản lý & chia sẻ thông tin
Tạo phiên làm việc an toàn: Mạng riêng ảo là giải pháp tốt & với chi phí thấp cho
một số công việc đòi hỏi tính bảo mật cao như quản trị máy chủ, website, cơ sở dữ liệu Nếu thường xuyên làm việc trên Internet & thông tin là tài sản vô giá, bạn nên ứng dụng mạng riêng ảo vào công việc của mình
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối
người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ Sau đó, người sử dụng có thể gọi một số miễn phí
để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều
điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên Intranet hoặc Extranet Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung
Bảo mật trong VPN
Trang 6Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể
thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp
để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác
thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa
Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao
cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn
IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào
hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn
3 Kết quả thực hiện.
Kết quả của đề tài này là nghiên cứu và hiểu được cơ chế vận hành của một mạng riêng
ảo VPN
Có thể triển khai được một mạng riêng ảo trong điều kiện thực tế , tiến hành kết nối VPN theo từng giao thức bảo mật PPTP,L2TP,SSTP,IPSEC hiểu rõ ưu nhược điểm của từng
Trang 7giao thức.VPN không chỉ có ích đối với các doanh nghiệp mà đối với người dùng cá nhân
nó cũng rất đáng để chúng ta sử dụng.Sau đây tôi sẽ đưa ra 5 lý do để chúng ta có thể suy nghĩ việc bắt đầu xây dựng mạng riêng ảo VPN
3.1 Các lý do để bắt đầu với một mạng riêng ảo.
3.1.1 Tự bảo vệ khi dùng Wifi công cộng với VPN.
Một trong những lý do lớn để dùng VPN là để bảo vệ chính bạn khi truy cập internet bằng mạng wifi công cộng Bạn trả tiền hàng ngày để dùng wifi của khách sạn không có nghĩa là nó an toàn đối với thông tin cá nhân của bạn
Bạn cần nhận thức được sự thật là mạng wifi công cộng không được mã hóa và không đảm bảo an ninh cho người dùng Bất cứ ai hiểu biết công nghệ một chút có thể dễ dàng thấy hoạt động internet của bạn Bạn không cần là một hacker giỏi để biết cách xen vào các tín hiệu wifi không được mã hóa
Vấn đề ở đây là wifi công cộng cứ như thể là một trò hề Không nên tin vào nó, và bạn cần biết điều này trước khi làm bất cứ gì với kiểu mạng như vậy Chi vài đô-la mỗi tháng
và đăng ký một dịch vụ VPN, nó sẽ mã hóa và bảo vệ việc lướt web của bạn trong khi bạn kết nối vào internet qua một kết nối công cộng
Nếu bạn đi nhiều và thường xuyên đăng nhập vào internet qua wifi công cộng ở sân bay hay quán cafe, vậy thì VPN chắc chắn là một sự đầu tư tốt cho bạn
3.1.2 Giải trí với dữ liệu dạng stream ở bất cứ đâu
Cách số 1 để xem phim và chương trình TV là “stream” (tải dữ liệu theo dòng) từ các website như Hulu, Netflix, BBC iPlayer, và nhiều website khác Không may, theo thỏa thuận bản quyền giữa các công ty stream này và các bên giữ bản quyền nội dung, những dịch vụ này không dùng được với đa số người sống ở ngoài nước Mỹ Những dịch vụ này đang mở rộng từ từ, nhưng nếu bạn sống hoặc đi đến một nước không có các dịch vụ stream này, bạn có thể dùng VPN để vượt qua sự ngăn chặn
Cách nó hoạt động cũng đơn giản VPN cho phép bạn dễ dàng thay đổi địa chỉ IP, ngăn không cho ai biết bạn đang ở đâu Bạn có thể đăng nhập vào VPN khi đang ở
Trang 8Moscow và chuyển địa chỉ IP sang của New York, khiến cho lưu lượng internet của bạn nghĩ rằng nó đến từ New York
VPN sẽ cho phép bạn “mở khóa” các dịch vụ này rất nhanh và dễ cài đặt, sử dụng Chỉ đơn giản là bật két nối VPN khi bạn muốn stream nội dung và tắt đi khi quay lại tìm kiếm trên internet như bạn vẫn thường làm
3.1.3 Truy cập internet không giới hạn ở nơi làm việc và trường học
Nếu bạn đang là sinh viên đại học hay là nhân viên một công ty lớn, có thể bạn sẽ phải tuân thủ một chính sách dùng internet Bạn có thể bị chặn không được dùng Facebook, YouTube, Twitter, và ngay cả tài khoản email trực tuyến của bạn
Kết nối VPN có thể dễ dàng giúp bạn thoát khỏi những kiểu mạng giới hạn như vậy
và kết nối đến các website vốn bị chặn hoặc bị giới hạn
VPN sẽ giúp lưu lượng internet của bạn không bị “đọc” bởi người quản trị mạng hay bởi ISP Nó ngăn bất kỳ ai thu thập thông tin về hoạt động trên mạng của bạn Tôi không khuyến khích bạn bắt đầu phá luật của trường đại học hoặc của cơ quan Hãy dùng kiến thức này và tự đưa ra đánh giá tốt nhất Tôi chỉ đơn giản nói cho bạn biết điều gì có thể làm được
Một cách tuyệt vời khác để dùng VPN là bảo vệ bạn khi đang dùng cách chia sẻ tập tin ngang hàng (P2P) Vì những lý do rõ ràng, Hiệp hội điện ảnh Mỹ và các tổ chức tương tự đang liên tục cố gắng ngăn chặn những người thường chia sẻ file không xâm phạm những tài sản trí tuệ của họ
Nhắc lại, tôi không thể khuyến khích các bạn chia sẻ các bản sao vi phạm tác quyền của các bộ phim lớn, tôi chỉ nói là nó có thể bảo vệ bạn khi đang sử dụng bất kỳ cách chia
sẻ file nào, kể cả hợp pháp và phi pháp, bằng cách dùng VPN
Một kết nối VPN sẽ hơi làm chậm băng thông đường truyền của bạn, nhưng đó là một cái giá nhỏ để ngăn những gì bạn tải xuống và tải lên không bị chính quyền “nhìn thấy” Tôi nghĩ chúng ta không cần phải so đo gì khi trả thêm tiền cho quyền riêng tư và được bảo vệ
3.1.4 Vượt qua sự kiểm duyệt ở các nước xa
Trang 9Tương tự với điểm thứ 3 của bài này về việc vượt qua chính sách internet của doanh nghiệp hay trường đại học, VPN cũng có thể được dùng để giải phóng bạn khỏi sự kiểm soát quá mức hoặc kiểm duyệt internet Những nước như Iran, Thái Lan, Nga, Trung Quốc, Cuba, Syria, các tiểu vương quốc Ả Rập, và nhiều nước khác ngăn công dân không được tự do truy cập mạng toàn cầu Như chúng ta thấy trong cách mạng “Mùa xuân Ả Rập” ở Ai Cập, internet có thể được dùng như là một công cụ chính trị tuyệt vời để loan truyền thông tin và tổ chức một cuộc cách mạng
Tin tốt là kết nối VPN có thể giúp bạn vượt qua kiểm duyệt internet và tránh được các chính sách internet có tính hạn chế VPN sẽ hoàn toàn giấu được hoạt động internet của bạn, cho bạn giả vị trí, cho bạn có được sự tự do internet hoàn toàn
3.1.5 Bảo vệ quyền riêng tư của bạn
Điều này không rõ ràng lắm, nhưng cũng cần nói đến Bạn có quyền riêng tư internet, điều này thật đơn giản Không ai có thể tước đi quyền này của bạn – trường đại học, ông chủ của bạn, cơ quan pháp luật địa phương, hay đất nước bạn đang sống Đã đến lúc bạn giành lại quyền này và không để cho chính quyền và các cơ quan luật pháp được do thám bạn
Với 10 đến 15 đô-la mỗi tháng, bạn sẽ có được một dịch vụ VPN tuyệt vời cho phép bạn sống một cuộc sống riêng tư và đảm bảo hơn, cả trên mạng và ngoài đời
3.2 Các loại mạng riêng ảo
3.2.1 Mô hình mạng riêng ảo Client to Server.
Trang 10Mô hình mạng riêng ảo Client to Server
3.2.2 Mô hình mạng riêng ảo Site to Site.
Mô hình mạng riêng ảo Site to Site
4 Kết Luận.