Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin nói chung và công nghệ mạng nói riêng, đã tạo ra nhiều điều mới mẻ, tạo điều kiện thuận lợi hơn trong công việc, giao dịch, chia sẻ thông tin, các nhân viên có thể làm việc tại nhà, doanh nghiệp có thể kết nối một cách an toàn tới các đại lý của họ cùng các hãng hợp tác mà không cần phải quan tâm tới khoảng cách.Công nghệ thông tin không ngừng phát triển và góp phần củng cố cơ sở hạ tầng mạng, đảm bảo cho công việc của chúng ta được an toàn hơn.Một trong những công nghệ mà hiện nay được các doanh nghiệp, các công ty, các trung tâm thương mại,…sử dụng rất phổ biến là công nghệ Virtual Private Network (VPN), tạm dịch là Mạng riêng ảo. Công nghệ mạng riêng ảo đã mở rộng phạm vi của mạng LAN (Local Area Network) mà không cần tới bất kỳ đường dây nào. Tài nguyên ở trung tâm có thể được kết nối từ nhiều nguồn khác nhau nên tiết kiệm được chi phí và thời gian.Mục đích của công nghệ VPN là cung cấp các giải pháp kết nối máy tính cá nhân với một trung tâm tài nguyên hay kết nối các mạng LAN với nhau thông qua đường truyền internet đã sẵn có, nhưng sự an toàn luôn được đảm bảo. Trong công nghệ VPN có giao thức IPSec đảm bảo tính an toàn của dữ liệu khi được truyền tải qua mạng công cộng.Bài báo cáo này sẽ trình bày chi tiết về mạng ảo VPN, đây là giải pháp rất thích hợp cho các doanh nghiệp vừa và nhỏ. Bài báo cáo này gồm có hai nội dung lớn được chia làm hai chương:Chương 1: Lý thuyết tổng quan về VPN: Trình bày về các khía niệm, các giao thức, các yêu cầu trên nền mạng VPN và các bước để triển khai một mạng VPN.Chương 2: Thực hiện mô hình VPN trên Window Server 2008: Cài đặt, cấu hình mô hình Remote Access VPN và mô hình VPN sitetosite.
MỤC LỤC MỤC LỤC .1 LỜI NÓI ĐẦU CHƯƠNG 1: LÝ THUYẾT TỔNG QUAN VỀ VPN LỜI NÓI ĐẦU Ngày với phát triển mạnh mẽ công nghệ thông tin nói chung công nghệ mạng nói riêng, tạo nhiều điều mẻ, tạo điều kiện thuận lợi công việc, giao dịch, chia sẻ thông tin, nhân viên làm việc nhà, doanh nghiệp kết nối cách an toàn tới đại lý họ hãng hợp tác mà không cần phải quan tâm tới khoảng cách.Công nghệ thông tin không ngừng phát triển góp phần củng cố sở hạ tầng mạng, đảm bảo cho công việc an toàn Một công nghệ mà doanh nghiệp, công ty, trung tâm thương mại,…sử dụng phổ biến công nghệ Virtual Private Network (VPN), tạm dịch Mạng riêng ảo Công nghệ mạng riêng ảo mở rộng phạm vi mạng LAN (Local Area Network) mà không cần tới đường dây Tài nguyên trung tâm kết nối từ nhiều nguồn khác nên tiết kiệm chi phí thời gian.Mục đích công nghệ VPN cung cấp giải pháp kết nối máy tính cá nhân với trung tâm tài nguyên hay kết nối mạng LAN với thông qua đường truyền internet sẵn có, an toàn đảm bảo Trong công nghệ VPN có giao thức IPSec đảm bảo tính an toàn liệu truyền tải qua mạng công cộng Bài báo cáo trình bày chi tiết mạng ảo VPN, giải pháp thích hợp cho doanh nghiệp vừa nhỏ Bài báo cáo gồm có hai nội dung lớn chia làm hai chương: Chương 1: Lý thuyết tổng quan VPN: Trình bày khía niệm, giao thức, yêu cầu mạng VPN bước để triển khai mạng VPN Chương 2: Thực mô hình VPN Window Server 2008: Cài đặt, cấu hình mô hình Remote Access VPN mô hình VPN site-to-site Do kiến thức kinh nghiệm hạn chế, nên không tránh khỏi sai sót báo cáo Rất mong đóng góp ý kiến thầy cô bạn CHƯƠNG 1: LÝ THUYẾT TỔNG QUAN VỀ VPN 1.1 Các khái niệm 1.1.1 Định nghĩa VPN Mạng riêng ảo hay viết tắt VPN (Virtual Private Network) VPN định nghĩa dịch vụ mạng ảo triển khai cở sở hạ tầng hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho kết nối điểm-điểm Mục đích VPNs đáp ứng yêu cầu bảo mật, khả truyền tải thông tin với chi phí bổ sung hợp lý Hình 1.1 mạng VPN điển hình bao gồm mạng LAN trụ sở (Văn phòng chính), mạng LAN khác văn phòng từ xa, điểm kết nối (như Văn phòng gia) người sử dụng (Nhân viên di động) truy cập đến từ bên Hình 1.1 Một mô hình mạng VPN Hai đặc điểm quan trọng công nghệ VPN “riêng” “ảo” tương ứng với hai thuật ngữ “virtual” “private” Theo tiêu chuẩn định nghĩa Internet Engineering Task Force (IETF), VPN kết nối mạng WAN riêng sử dụng IP chia sẻ công cộng mạng Internet hay IP backbones 1.1.2 Các giao thức mạng VPN 1.1.2.1 IP Security (IPSec) a) Giới thiệu IPSec giao thức lại khung tập hợp giao thức chuẩn mở để cung cấp xác thực liệu, tính toàn vẹn liệu tin cậy liệu Chức IPSec để thiết lập bảo mật tương ứng hai đối tượng ngang hàng Sự bảo mật xác định khóa, giao thức thuật toán sử dụng Các SA (Security Authentication) IPSec thiết lập vô hướng Sau gói tin chuyển tới tầng mạng gói tin IP không gắn liền với bảo mật Bởi vậy, đảm bảo IP datagram nhận từ người gửi yêu cầu hay liệu gốc từ người gửi hay không bị kiểm tra bên thứ ba gói tin gửi từ nguồn tới đích IPSec phương pháp để bảo vệ IP datagram IPSec bảo vệ IP datagram cách định nghĩa phương pháp định rõ lưu lượng để bảo vệ, cách lưu lượng bảo vệ lưu lượng gửi tới IPSec bảo vệ gói tin host, cổng an ninh mạng, host cổng an ninh IPSec thực đóng gói liệu xử lý thông tin để thiết lập, trì, hủy đường hầm (Tunnel) không dùng đến Các gói tin đường hầm có khuôn dạng giống gói tin bình thường khác không làm thay đổi thiết bị, kiến trúc ứng dụng có mạng trung gian, qua cho phép giảm đáng kể chi phí dể triển khai quản lý Nó tập hợp giao thức phát triển IETF để hỗ trợ thay đổi bảo mật gói tin tầng IP qua mạng vật lý IPSec phát triển rộng rãi để thực VPN IPSec hỗ trợ hai chế độ mã hóa: transport (vận chuyển) tunnel (đường hầm) Chế độ transport mã hóa phần payload gói tin, bỏ phần header Ở bên nhận, thiết bị IPSec_compliant giải mã gói tin Theo IETF chế độ truyền tải sử dụng hai hệ thống đầu cuối IP-VPN có thực IPSec Trong chế độ tunnel mã hóa phần header payoad để cung cấp thay đổi bảo mật nhiều gói tin Ở bên nhận, thiết bị IPSec_compliant giải mã gói tin Chế độ đường hầm IPSec nhiều giao thức phổ biến sử dụng để xây dựng VPN Chế độ cho phép thiết bị mạng định tuyến thực xử lý IPSec thay cho trạm cuối (host) Khi sử dụng chế độ đường hầm, đầu cuối IPSec-VPN không cần phải thay đổi ứng dụng hay hệ điề hành IPSec phát triển cho lí bảo mật bao gồm: tính toàn vẹn không kết nối, xác thực liệu gốc, anti_relay mã hóa IETF định nghĩa theo chức IPSec Tính xác thực: người biết liệu nhận giống với liệu gửi người gửi yêu cầu người gửi Tính toàn vẹn: đảm bảo liệu gửi từ nguồn tới đích mà thay đổi, xáo trộn Tính bảo mật: người gửi mã hóa gói liệu trước truyền qua mạng công cộng liệu giải mã nơi nhận Như vậy, không lấy thông tin mà không phép, chí lấy thông tin không đọc Phương pháp bảo vệ IP datagram cách sử dụng giao thức IPSec, Encapsulate Security Payload (ESP) Authentication Header (AH) AH cung cấp chứng gốc gói tin, toàn vẹn liệu bảo vệ anti_replay ESP cung cấp mà AH cung cấp cộng với tính bảo mật liệu tùy ý Nền tảng bảo mật cung cấp AH ESP phụ thuộc vào thuật toán mã hóa áp dụng chúng Dịch vụ bảo mật mà IPSec cung cấp yêu cầu khóa chia sẻ để thực tính xác thực bảo mật Giao thức khóa chia sẻ Internet Key Exchang (IKE), phương pháp chuẩn IPSec, dịch vụ thương lượng bảo mật phát sinh khóa chia sẻ b) Liên kết an toàn Một liên kết an toàn SA liên kết đơn hình (chỉ liên kết theo hướng nhất) mà dịch vụ bảo mật cho phép truyền tải Một SA thỏa thuận hai đầu kết nối cấp chẳng hạn IPSec Hai giao thức AH ESP sử dụng SA chức giao thức trao đổi khóa IKE Vì SA liên kết đơn hình nên SA tách biệt yêu cầu cho lưu lượng gửi nhận Các gói SA sử dụng để mô tả tập hợp SA mà áp dụng cho gói liệu gốc đưa cá host Các SA thỏa thuận kết nối cấp thông qua giao thức quản lý khóa IKE Khi thỏa thuận SA hoàn thành, hai mạng cấp lưu tham số SA sở liệu liên kết an toàn (SAD) chúng Một tham số SA khảng thời gian sống (life time) Khi khoảng thời gian tồn SA hết hạn SA thay Sa bị hủy bỏ Nếu SA bị hủy bỏ mục bị xóa khỏi SAD Các Sa nhận dạng ba chứa số tham số liên kết an toàn SPI, địa IP đích số giao thức để tra cứu sở liệu để biết thuật toán thông số liên quan Chính sách IPSec trì SPD Mỗi cổng vào SPD định nghĩa lưu lượng bảo vệ, cách bảo vệ bảo vệ chia sẻ với Với gói tin vào rời khỏi hàng đợi IP, SPD phải tra cứu Một cổng vào SPD phải định nghĩa ba hoạt động: Discard: không để gói tin vào Bypass: không áp dụng dịch vụ bảo mật gói tin không đòi hỏi bảo mật gói tin vào Protect: áp dụng bảo mật gói tin yêu cầu gói tin vào có áp dụng dịch vụ bảo mật c) Giao thức xác thực tiêu đề AH Authentication Header (AH) giao thức khóa kiến trúc IPSec Nó cung cấp tính xác thực tính toàn vẹn cho IP datagram Nó hoàn thành việc cách áp dụng “Hàm băm khóa chiều” cho datagram để tạo tin nhắn giản lược Khi người nhận thực giống chức băm chiều datagram thực so sánh với giá trị tin giản lược mà người gửi cung cấp, người nhận phát phần datagram bị thay đổi suốt trình độ trường gốc bị thay đổi Theo cách này, tính xác thực toàn vẹn tin nhắn đảm bảo sử dụng mã bí mật hai hệ thống hàm băm chiều Chức AH áp dụng cho toàn datagram trừ trường IP header thay đổi từ trạng thái sang trạng thái khác AH không cung cấp mã hóa không cung cấp tính bảo mật tính riêng tư Các bước hoạt động AH: Bước 1: Toàn gói tin IP (bao gồm header data payload) thực qua hàm băm chiều Bước 2: Mã băm (tin nhắn giản lược) sử dụng để xây dựng AH header mới, tiêu đề gắn thêm vào gói tin gốc Bước 3: Gói tin truyền tới IPSec router đích Bước 4: Router khác đích thực băm IP header data payload, kết thu mã băm Sau đó, so sánh với mã băm truyền từ AH header Hai hàm băm phải giống Nếu chúng khác nhau, bên thu phát tính không toàn vẹn liệu Việc xử lý AH phụ thuộc vào chế độ hoạt động IPSec phiên sử dụng giao thức IP Cấu trúc gói tin AH: Hình 1.2 Cấu trúc gói AH Ý nghĩa trường tiêu đề AH sau: Next Header ( tiêu đề tiếp theo) Có độ dài bit để nhận dạng loại liệu phần tải tin theo sau AH Payload Length ( độ dài tải tin) Có độ dài bit chứa độ dài tiêu đề AH biểu diễn từ 32 bit, trừ Ví dụ, trường hợp thuật toán toàn vẹn mang lại giá trị xác minh 96 bit (3 x 32 bit), cộng với từ 32 bit cố định trường độ dài có giá trị Với Ipv6, tổng độ dài tiêu đề phải bội khối bit Reserved ( dự trữ) Trường 16 bit dự trữ cho ứng dụng tương lai Giá trị trường đặt có tham gia việc tính liệu xác thực Security Parameters Index ( SPI-chỉ số thông số an ninh) Trường có độ dài 32 bit, với địa IP đích giao thức an ninh ESP cho phép nhận dạng SA cho gói liệu Các giá trị SPI từ đến 255 dành riêng để sử dụng tương lai SPI trường bắt buộc thường lựa chọn phía thu thiết lập SA Giá trị SPI sử dụng cục dùng để chưa có SA tồn Sequence Number: Số thứ tự gói Authentication Data: Mã xác thực, có chiều dài thay đổi bội số 32 bit Trường có giá trị kiểm tra ICV (Integrity Check Value) MAC (Message Authentication Code) cho toàn gói d) Giao thức đóng gói tải tin an toàn ESP Encapsulation Security Payload (ESP) giao thức khóa IPSec, cung cấp tính toàn vẹn bảo mật (mã hóa) cho IP datagram ESP sử dụng để mã hóa toàn IP datagram phân đoạn tầng vận chuyển (ví dụ TCP, UDP, ICMP, IGMP) Có hai chế độ mà ESP thực hiện: chế độ tunnel chế độ transport Trong chế độ tunnel ESP, IP datagram gốc đưa vào phần mã hóa ESP toàn khung ESP đặt vào datagram có tiêu đề IP chưa mã hóa Phần chưa mã hóa datagram cuối có chứa thông tin định tuyến cho đường hầm IP Chế độ tunnel sử dụng hai gateway từ trạm cuối tới gateway Chế độ transport ESP mã hóa giao thức tầng vận chuyển chèn vào tiêu đề ESP trước tiêu đề giao thức mã hóa IP datagram không phát sinh chế độ giữ gìn băng thông Chế độ transport sử dụng hai trạm cuối trạm cuối cổng an ninh cổng an ninh coi host (ví dụ telnet từ máy tính tới cổng an ninh) Việc xử lý ESP phụ thuộc vào chế độ hoạt động IPSec phiên sử dụng giao thức IP Cấu trúc gói tin ESP: Các trường gói tin ESP bắt buộc hay tùy chọn Những trường bắt buộc có mặt tất gói ESP Việc lựa chọn trường tùy chọn định nghĩa trình thiết lập liên kết an ninh Như vậy, khuôn dạng ESP SA cố định khoảng thời gian tồn SA Hình 1.3 Cấu trúc gói ESP Sau ý nghĩa trường cấu trúc gói tin ESP: Security Parameters Index (SPI-32 bit): Nhận dạng SA giao thức AH Sequence Number ( số thứ tự) Tương tự trường số thứ tự AH Payload Data ( liệu tải tin) Đây phần liệu bảo vệ mật mã Trường có độ dài thay đổi Trong chế độ vận chuyển, toàn gói liệu lớp 4( TCP UDP) Còn chế độ đường hầm, toàn gói IP ESP chuẩn sử dụng thuật toán mật mã đối xứng DES, nhiên, dùng thuật toán mật mã khác 3DES( khoá) ,RC5, IDEA, Tripple IDEA (3 khoá), CAST, Blowfish Padding (0-255 bytes): liệu chèn Một số thuật toán mật mã yêu cầu kích thước liệu gốc phải cố định Các bytes liệu giả thêm vào để đảm bảo độ dài vùng liệu Tuy nhiên theo quy định ESP, chiều dài trường pad-length trường next-header phải cố định 32 bit tính từ bên phải, vậy, phần padding phải có kích thước cho toàn phần thông tin cần mã hoá bội số 32 bit Pad Length (8 bit): Cho biết số byte vùng liệu chèn (padding) Next Header (8 bit): Nhận dạng kiểu liệu chứa phần payload data cách chứa số nhận dạng IP giao thức đóng gói bên ESP Đăng ký xác nhận người sử dụng Cấp phát chứng nhận cho người sử dụng Bám theo khóa cấp phát lưu trữ lịch sử khóa ( dùng để tham khảo tương lai) Thu hồi rút lại giấy chứng nhận không hợp lệ hạn Xác nhận người sử dụng PKI Trước cố tìm hiểu công việc PKI, tìm hiểu thành phần tạo thành khung PKI 1.3.3.3.1 Các thành phần PKI Các thành phần tạo thành khung PKI là: Khách hàng PKI Người cấp giấy chứng nhận (CA) Người cấp giấy đăng ký (RA) Các giấy chứng nhận số Hệ thống phân phối giấy chứng nhận (CDS) a Khách hàng PKI Một khách hàng PKI thực thể mà yêu cầu giấy chứng nhận số từ CA RA Trườc khách hàng PKI tham gia cvào giao dịch liệu, phải có giầy chứng nhận số Để làm điều này, khách hàng phát yêu cầu giầy chứng nhận từ CA RA định cho tổ chức Khi khách hàng xác nhận thành công, nhận giấy xác nhận mà yêu cầu Sau nhận giấy xác nhận, khách hàng sử dụng để nhận dạng Tuy nhiên trách nhiệm khách hàng bảo vệ giữ gìn giấy chứng nhận b Certification Authority (CA) CA người thứ ba tin cậy cấp phát gấiy chứng nhận số đến khách hàng PKI Trườc cấp phát xác nhận số, CA kiểm tra tính đồng tính xác thực khách hàng PKI CA sử dụng thủ tục nguyên tắc thực riêng để cấp phát giấy chứng nhận số Như kỳ vọng, trình cấp giấy chứng nhận thay đổi phụ thuộc vào sở hạ tầng hợp lệ hỗ trợ CA, sách tổ chức 41 nó, mứ độ giấy chứng nhận yêu cầu Quá trình yêu cầu vài thông tin, lái xe, notarization dấu vân tay c Registration Authority ( RA) Trước thỏa mãn yêu cầu giấy chứng nhận số, CA phải xác nhận kiểm tra tính hợp lệ yêu cầu Tuy nhiên, số lượng lớn yêu cầu cho giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ yêu cầu cho RA RA nhận tất yêu cầu cấp giấy chứng nhận kiểm tra chúng Sau RA kiểm tra yêu cầu thành công, chuyển yêu cầu tới CA CA phát giấy chứng nhận yêu cầu chuyển tới cho RA Ra sau đ1o chuyển giấy chứng nhận tới khách hàng yêu cầu Trong cách thực này, RA đóng vai trò gnười trung gian khách hàng PKI CA d Các giấy chứng nhận số Một giấy chứng nhận số tương đương mặt điện tử thẻ xác nhận sử dụng để xác định thực thể suốt trình truyền Bên cạnh việc xác định định dan người chủ, giấy chứng nhận số loại bỏ may làm giả, giảm nguy tạo liệu, giấy chứng nhận số ngăn chặn có hiệu người gởi từ thông tin không xác nhận Một giấy chứng nhận số bao gồm thông tin giúp xác nhận tính hợp lệ người gửi bao gồm thông tin sau: - Dãy số giấy chứng nhận Hạn sử dụng giấy chứng nhận Chữ ký số CA Khóa công cộng khách hàng PKI Trong suốt giao dịch, người gửi phải gửi giấy chứng nhận số anh cô theo với tín hiệu mã hóa để xác nhận anh hay cô Người nhận sử dụng khóa công cộng CA để xác nhận tính hợp lệ khóa công cộng người gửi, mà gắn vào thông tin gửi Như trường hợp khóa công cộng, khóa công công CA phổ biến rộng rãi sẵn sàng cho tất Khi 42 người nhận đảm bào định danh người gửi, người sử dụng dùng khóa công cộng người gửi để giải mã thông tin thực e Hệ thống phân phối giấy chứng nhận Hệ thống phân phối giấy chứng nhận kho chứa giấy chứng nhận cấp cho người sử dụng tổ chức Thêm CDS sinh lưu trữ cặp khóa, mật hiệu khóa công cộng sau xác nhận chúng, lưu trữ thu hồi khóa bị hay hết hạn.CDS chịu trách nhiệm cho việc xuất khóa công cộng tới server dịch vụ thư mục 1.3.3.3.2 Các giao dịch dựa PKI Như đề cập phía trên, PKI cung cấp bốn chức bo mật : cẩn mật, toàn vẹn, xác nhận từ chối Mỗi bước giao dịch VPN lặp lại hay nhiều số tính bảo mật Các bước giao dịch dựa PKI : Sự sinh cặp khóa Trườc người gởi chuyển liệu đến người nhận mong muốn, báo cho người nhận biết mục đích việc trao đổi liệu Như thì, cà hai đầu sinh cặp khóa tạo khóa riw6ng khóa công cộng Đầu tiên, khóa cá nhân tạo Sau đó, khóa công cộng tương ứng tạo cách áp dụng hàm băm chiều khóa riêng Sự tạo chữ ký số Sau cặp khóa tạo ra, chữ ký số tạo Chữ ký số dùng để định danh người gửi liệu Để tạo chữ ký số, thông tin gốc bị băm Nói cách khác, hàm băm áp dụng vào tín hiệu gốc Quá trình băm cho kết tập thông tin, mà sau mã hóa với khóa nhân người gửi Kết gọi chữ ký số Áp dụng mã hóa liệu chữ ký số.Sau chữ ký số tạo ra, thông tin gốc mã hóa với khóa công cộng người gửi Kế tiếp, chữ ký số tạo ợ trân gắn vào thông tin mã hóa Thông tin mã hóa khóa công cộng người gửi chuyển tới người nhận Thông tin mã hóa sau ứo truyền đến người nhận với khóa công cộng người gửi Thay chuyển khóa công cộng dạng văn rõ nghĩa khóa công cộng mã hóa khóa công cộng người 43 nhận Để giải mã khó công cộng mã hóa này, người sử dụng phải sử dụng khóa riêng Bởi khóa riêng người nhận có người nhận biết, hội người xâm phạm phá khóa công cộng thấp Khóa công cộng người gửi xem khóa phiên Nhận thông tin xác nhận định danh người gửi Trong lúc nhận thông tin mã hóa khóa công cộng, người nhận yêu cấu CA kiểm tra danh tính người gửi CA làm điều cách kiểm tra chữ ký số gắn với thông tin báo kết cho người nhận biết Nếu chữ ký số kiểm tra thành công, người nhận tiếp tục qua 1trình giải mã thông tin Nếu không người nhận từ chối giao dịch kết thúc Sự giải mã thông tin Sau định danh người gửi xác nhận thành công, người nhận mã hóa thông tin Để làm người nhận phải giải mã khóa công cộng người gửi cách sử dụng khóa riêng Khi khóa công cộng người gửi ciết xuất thành công người nhận dùng để giải mã thông tin Sự xác nhận nội dung thông tin Cuối cùng, người nhận xác nhận kiểm tra nội dung thông tin nhận Đầu tiên, chữ ký số giải mã sử dụng khóa công cộng người gửi thông tin chiết xuất Thông tin mã hóa băm qua hàm băm tập thông tin rút tập thông tin nhận va tập thông tin sinh so sánh với nhau.nếu chúng phù hợp, liệu không bị chặn đứng can thiệp vào trình truyền 1.3.3.3.3 Hiện thực PKI Như biết, CAs giúp thiết lập định danh thực thể giao tiếp Tuy nhiên, CAs chứng thực khách hàng PKI, mà CAs khác cách phát giấy chứng nhận số tới chúng Cas kiểm tra, xoay vòng, kiểm tra CAs khác chuỗi tiếp tục thực thể thể tin tưởng thực thể khác liên quan đến giao dịch Chuỗi chứng nhận biết đến đường chứng nhận, xếp CAs đường chứng nhận xem cấu trúc PKI Các loại cấu trúc PKI bao gồm: - Cấu trúc CA đơn 44 Cấu trúc danh sách tin cậy Cấu trúc có thứ bậc Cấu trúc mắt lưới Cấu trúc hỗn hợp a Cấu trúc CA đơn Cấu trúc CA đơn cấu trúc PKI đơn giản Như tên gọi nó, cấu trúc dựa CA đơn, mà cấp phát giấy chứng nhận, cần thiết truy hồi giấy chứng nhận Tất thực thể bên có mối quan hệ tin cậy CA Bởi vắng mặt CA khác mô hình, cấu trúc không hỗ trợ mối quan hệ tin cậy CA Cấu trúc CA đơn phù hợp với tổ chức nhỏ số lượng khách hàng PKI tương đối thấp quản lý khách hàng nhiệm vụ tiêu thụ thời gian b Cấu trúc danh sách tin cậy Vì số lượng khách hàng PKI tổ chức tăng, quản lý xác nhận kiểm tra định danh trở nên phức tạp tiêu tốn nhiều thời gian CA đơn Tình đơn giản cách dùng nhiều CAs cấu trúc Với nhiều Cas, khách hàng PKI đơn yêu cầu gấiy chứng nhận từ nhiều CA Kết là, khách hàng phải lưu trữ danh sách mối liên hệ tin cậy với tất CAs cấu trúc – có tên cấu trúc danh sách tin cậy c Cấu trúc có thứ bậc Cấu trúc có thứ bậc cấu trúc PKI thực phổ biến sử dụng tổ chức có quy mô lớn Không giống cấu trúc trên, mô hình dựa mối quan hệ tin cậy Cas khác mô hình Như tên gọi nó, Cas xếp cách có thứ bậc chia xe loại “cấp - cấp ” mối quan hệ tin cậy CA cao xem đỉnh CA xem điểm bắt đầu mô hình Nó cấp phát giấy chứng nhận 45 kiểm tra định danh CAs cấp Các CAs cấp dưới, xoay vòng, cấp giấy chứng nhận tới cấp chúng khách hàng PKI Tuy nhiên chúng c6áp giấy chứng nhận cho cấp d Cấu trúc mắt lưới Không giống cấu trúc thứ bậc, cấu trúc mắt lứơi Cas chia sẻ mối qun hệ tin cậy ngang hàng với Cas khác Kết là, chúng cấp phát giầy chứng nhận số lẫn nhau, điều có nghĩa là, mối quan hệ tin cậy Cas hai chiều Các Cas cấp phát giấy chứng nhận tới khách hàng PKI chúng e Cấu trúc PKI hỗn hợp Các cấu trúc phục vụ cho yêu cầu tổ chức đơn Tuy nhiên, viễn cảnh thực sở hạ tầng PKI trở nên phức tạp tổ chức phải tác động tới tổ chức khác, trương hợp với hầu hết tổ chức ngày vấn đề nằm khả khác cấu trúc PKI tổ chức Ví dụ, tổ chức sử dụng cấu trúc mắt lưới tổ chức khác sử dụng cấu trúc CA đơn Trong tình vậy, cấu trúc hỗn hợp chứng mính hữu ích cho phép tương tác thành công hai tổ chức Có ba loại cấu trúc hỗn hợp, bao gồm: Cấu trúc danh sách tin cậy mở rộng Trong cấu trúc này, tất khách hàng PKI giữ danh sách mở rộng tất điểm tin cậy cấu trúc tổ chức khác thêm vào điểm tin cậy tổ chức chúng Một điểm tin cậy cấu trúc hệ thông khác có thề CA đơn, nhiều CA, hợac tất Cas tổ chức khác Cấu trúc xác nhận chéo Trong cấu trúc hỗn hợp này, gốc CA sở hạ tầng tổ chức lưu trữ mối quan hệ ngang hàng với Cas gốc tổ chức khác 1.4 Các bước phát triển mạng VPN Các bước thiết lập giải pháp VPN chia thành bước sau: 46 • • • • • Phân lớp công việc Chọn thiết bị nhà cung cấp dịch vụ Kiểm tra kết Thiết kế thiết lập giải pháp Quản lý giám sát Theo bước trên, ta nghiên cứu chi tiết bước 1.4.1 Phân lớp công việc Thiết lập giải pháp VPN làm giảm hiệu suất làm việc mạng intranet Do đó, điều quan trọng ta phải nghiên cứu để lựa chọn sản phẩm dịch vụ tối ưu Do đó, công việc chi tiết, đầu tư vào hệ thống tối ưu (ROI) Ta cần xác định thành phần thông tin sau pha phân tích: Ước lượng số lượng người dùng: Chúng ta cần có số lượng người sử dụng mong chờ để xác định giải pháp dịch vụ VPNs Con số giúp xác định số lượng tối ưu cổng VPN mà hệ thống cần phải có Phân loại người dùng dựa theo yêu cầu họ: Chúng ta cần phải xem sơ lược khía cạnh, yêu cầu người sử dụng để xếp họ vào nhóm khác bao gồm nhánh nhóm người sử dụng, nhóm người sử dụng di động, nhóm thông tin xa, hay nhóm làm việc nhà Người sử dụng chi nhánh hay vị trí cố định yêu cầu truy cập không giới hạn vào mạng trung tâm tổ chức địa chi nhánh mạng intranet Nhóm người sử dụng di động người mà có chuyển vùng hoạt động, người sử dụng laptop hay notebook để truy cập mạng intranet trung tâm Họ sử dụng kết nối VPN để truy xuất email cần thiết truy suất số tài nguyên mạng hữu hạn Nhóm thông tin xa nhóm làm việc nhà yêu cầu truy cập số tài nguyên mạng hữu hạn dịch vụ Yêu cầu kết nối truy cập: Bước xác định mạng truy cập yêu cầu kết nối nhóm người dùng Chúng ta cần xác định dạng kết nối WAN, yêu cầu tốc độ truyền liệu người dùng khác dạng kết nối Yêu cầu bảo mật: Bảo mật hệ thống VPN theo thứ tự xác thực, tính quán tính bảo mật Để đảm bảo tất yêu cầu giao 47 dich VPN, cần thiết lập chế mã hóa, chế xác thực giải pháp bảo mật dựa phần cứng RADIUS, AAA, TACACS, tường lửa, NAT… Chúng ta chọn lựa thiết lập bảo mật cách tùy ý Chúng ta cần phân tích yêu cầu tổ chức để đề suất giải pháp hợp lý Sự chọn lựa giải pháp bảo mật phụ thuộc cấp độ bảo mật yêu cầu quán lưu lượng truyền tin Ví dụ, tổ chức muốn giao dịch liệu quan trọng, cần thiết lập hay nhiều giải pháp bảo mật để đảm bảo tính chất xác thực, quán bảo mật thông tin 1.4.2 Chọn thiết bị nhà cung cấp dịch vụ Bước chọn lựa sản phẩm để thiết lập mạng VPN Không dễ dàng để định có nhiều sản phẩm phần cứng phần mềm VPN Mục đích chọn lựa sản phẩm thỏa mãn yêu cầu với chi phí hợp lý Một số thông số giúp chọn lựa sản phẩm phần cứng phần mềm phù hợp cho VPN chúng ta: Các thông số liên quan hiệu suất làm việc lưu lượng qua cao chịu thời gian đáp ứng ngắn Các thông số liên quan bảo mật chế xác thực mã hóa hỗ trợ Các thông số liên quan phiên làm việc tốc độ truyền tin cao Số kết nối thực thời điểm Nhà cung cấp dich vụ có yêu cầu giám định kỹ thuật để thiết kế thiết lập giải pháp kết nối VPN (tailored) cho yêu cầu tổ chức Điều giúp giải trách nhiệm giám sát quản lý Tuy nhiên, nguy vấn đề bảo mật với bên Đó điều chấp nhận với nhiều quản trị viên tổ chức Do đó, cần phân tích rõ ràng chi tiết SLA mà nhà cung cấp đưa cho Điều giúp kiểm tra nhà cung cấp dịch vụ cung cấp cho mức độ dịch vụ ký kết SLA 1.4.3 Kiểm tra kết Nếu định bổ sung cá thành phần hệ thống VPN, cần kiểm tra đánh giá sản phẩm VPN mà lựa chọn Điều 48 giúp chắn sản phẩm phần cứng phần mềm phù hợp thích nghi sản phẩm khác Tổng quát, trình kiểm tra giúp nhóm hoạt động thống Mọi mặtVPN cần kiểm tra nên hiểu sản phẩm hoạt động môi trường thực Đảm bảo sản phẩm cấu hình để thiết lập vào trường hợp riêng biệt Nếu định sử dụng dich vụ nhà cung cấp dịch vụ, việc kiểm tra giải pháp đưa nhà cung cấp dịch vụ theo thời gian thực khuyến khích 1.4.4 Thiết kế thiết lập giải pháp Trong trình thiết kế thiết lập hệ thống, thiết lập giải pháp vào tổ chức Sau giải pháp thiết lập thành công, cần kiểm tra lại toàn hệ thống Sau kiểm tra thành côngm cân tinh chỉnh lại thông số hệ thống để tối ưu hiệu suất làm việc bảo mật 1.4.5 Quản lý giám sát Duy trì sát quản lý hệ thốn mạng trình liên tục Nếu quymô mạng VPN lớn phúc tạp để giám sát Do vậy, cần có chiến lược để thường xuyên quản lý giám sát mạng Các công việc sau giúp đảm bảo mạng VPN tối ưu: Tổng hợp số liệu thông kê hiệu suất làm việc theo chu kỳ Giám sát chi tiết log ghi lại hoạt động liên quan đến VPN, bất chấp hoạt động thành công hay không Sự hiểu biết cách mà nhà cung cấp dịch vụ thiết lập giải pháp VPN cho đóng vai trò qua trọng để giám sát đánh giá hiệu suất làm việc, hiệu tính quán giải pháp đưa 49 Chúng ta cần nâng cấp hệ thống VPN tồn có sẵn theo thời gian để đáp ứng tốt hiệu suất làm việc Chúng ta cần thay đổi sở khác (platforms) môi trường để thích nghi với phát triển tổ chức tương lai với yêu cầu chúng Hầu hết nhà thiết kế quản trị mạng bảo rằng, công việc (ví dụ quản trị mạng tổ chức hay quản lý IS) kết thúc thiết lập giải pháp Chúng ta cần quản lý giám sát giải pháp qua hiệu suất làm việc mong chờ Chúng ta phải cần làm công việc trouleshoot giải cố xảy 1.5 Lợi ích mạng VPN Giảm chi phí thiết lập: VPNs có giá thành thấp nhiều so với giải pháp truyền tin truyền thống Frame Relay, ATM, hay ISDN Lý VPNs loại bỏ kết nối khoảng cách xa cách thay chúng kết nối nội mạng truyền tải ISP, hay ISP's Point of Presence (POP) Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs giảm chi phí vận hành mạng WAN cách đáng kể Ngoài tổ chức giảm tổng chi phí thêm thiết bị mạng WAN dử dụng VPNs quản lý ISP Một nguyên nhân giúp làm giảm chi phí vận hành nhân sự, tố chức không chi phí để đào tạo trả cho nhiều người người quản lý mạng Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội phần xa intranet Do Internet truy cập toàn cầu, chi nhánh xa người sử dụng kết nối dễ dàng với mạng intranet Bảo mật: Bởi VPNs sử dụng kĩ thuật tunneling để truyền liệu thông qua mạng công cộng tính bảo mật cải thiện Thêm vào đó, VPNs sử dụng thêm phương pháp tăng cường bảo mật mã hóa, xác nhận ủy quyền Do VPNs đánh giá cao bảo mật truyền tin Hiệu xuất băng thông: Sự lãng phí băng thông kết nối Internet kích hoạt Trong kĩ thuật VPNs “đường hầm” hình thành 50 có yêu cầu truyền tải thông tin Băng thông mạng sử dụng có kích hoạt kết nối Internet Do hạn chế nhiều lãng phí băng thông Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa sở Internet nên cho phép các mạng intranet tổ chức phát triển mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, thành phần bổ sung thêm vào tối thiểu Điều làm mạng intranet có khả nâng cấp dễ dàng theo phát triển tương lai mà không cần đầu tư lại nhiều cho sở hạ tầng 1.6 Những hạn chế mạng VPN Phụ thuộc nhiều vào chất lượng mạng Internet Sự tải hay tắt nghẽn mạng làm ảnh hưởng xấu đến chất lượng truyền tin máy mạng VPNs Thiếu giao thức kế thừa hỗ trợ: VPNs dựa hoàn toàn sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) thiết bị giao thức kế thừa cho việc truyền tin ngày Kết VPNs không phù hợp với thiết bị giao thức Vấn đề giải cách chừng mực “tunneling mechanisms” Nhưng gói tin SNA lưu lượng non-IP bên cạnh gói tin IP làm chậm hiệu suất làm việc mạng 51 CHƯƠNG 2: THỰC HIỆN MÔ HÌNH VPN TRÊN WINDOW SERVER 2008 2.1 Mô hình Remote Access VPN 2.1.1 Mô hình Do điều kiện không cho phép nên việc thực cài đặt thực môi trường máy ảo sử dụng phần mềm VMWare 8.0, sử dụng Window Server 2008 làm Router giả lập Hình 2.1 Mô hình VPN Remote Access thực cài đặt Trong mô hình thể mô hình VPN Remote Access đơn giản gồm có: Máy tính dùng để truy cập từ xa máy tính có địa IP: 192,168.1.151, Subnet: 255.255.255.0, Default gateway: 192.168.1.1, sử dụng hệ điều hành Window Máy ảo dùng làm Router giả lập sử dụng hệ điều hành Window Server 2008 có card mạng: 192.168.1.150, Subnet: 255.255.255.0 172.18.10.3, subnet: 255.255.248.0 Máy lại chạy hệ điều hành Window Server 2008 dóng vai trò VPN Server co địa 172.18.10.2, subnet: 255.255.248.0, Default gateway: 172.18.10.3 2.1.2 Thực 52 Thực quay video với công cụ quay hình CamStudio 2.2 Mô hình VPN Site – to – Site 2.2.1 Mô hình Hình 2.2 Mô hình VPN Site-to-Site thực cài đặt Giả sử ta có Site: thành phố Hồ Chí Minh, Hà Nội Mục tiêu phải cho máy khách site có thẻ truy cập vào máy khách site để thể site thông Thực môi trường máy ảo, cần máy sau: Máy client site HCM: chạy hệ điều hành window XP professional IP:10.0.0.2/24 Default gateway: 10.0.0.1 Máy VPN server site HCM: chạy hệ điều hành window server 2008 IP cổng LAN: 10.0.0.1/24 IP cổng WAN: 192.168.1.9/24 Máy Client site Hà Nội: chạy hệ điều hành window XP professional IP: 172.16.1.2/24 Default gateway: 172.16.1.1 Máy VPN server site Hà Nội: chạy hệ điều hành window server 2008 IP cổng LAN: 172.16.1.1 IP cổng WAN: 192.168.1.10/24 2.2.2 Thực Thực quay video với công cụ quay hình CamStudio 53 TỔNG KẾT Sau thời gian nghiên cứu tìm hiểu em hoàn thành đợt thực tập tốt nghiệp với đề tài Nghiên cứu Hệ thống mạng riêng ảo VPN Trong báo cáo em trình bày lý thuyết chung mạng ảo VPN, giao thức mạng VPN bước để phát triển mạng VPN VPN giải pháp hiệu cho công ty vừa nhỏ tận dụng đường truyền công cộng mà phổ biến internet nên giảm nhiều chi phí, vấn đề bảo mật VPN đảm bảo quan tâm phát triển Tuy nhiên, phụ thuộc vào đường truyền internet nên mạng VPN tồn số nhược điểm dễ bị tắc nghẽn đường truyền không phù hợp với số thiết bị Hy vọng tương lai khắc phục nhược điểm Trong báo cáo em thực thành công việc kết nối mạng VPN qua hai mô hình mạng Remote Access Site-to-Site Tuy nhiên, điều kiện không cho phép nên em thực môi trường máy ảo có ghi lại video thưc Bài báo cáo sản phẩm thời gian thực tập mà em cố gắng nghiên cứu tìm hiểu, thời gian kiến thức hạn chế nên báo cáo không tránh khỏi thiếu sót Em mong nhận đươc ý kiến đóng góp, dạy thầy cô Em xin trân thành cảm ơn! 54 TÀI LIỆU THAM KHẢO Tìm hiểu mạng riêng ảo VPN - http://vnexpress.net/ Virtual Private Networks - http://technet.microsoft.com http://computer.howstuffworks.com/vpn.htm Guide to IPsec VPNs - Recommendations of the National Institute of Standards and Technology - Sheila Frankel, Karen Kent, RyanLewkowski, Angela D Orebaugh, Ronald W.Ritchey, Steven R Sharma Virtual Private Networking Basics – NETGEAR 55 [...]... dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên để xác thực client với server. Nghĩa là Client xác thực server bằng certificate và Server xác thực Client thông qua giao thức hiện có được hỗ trợ bởi PPP Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giao tác tạo lập đường hầm,SSTP thiết lập session HTTPs với server từ xa tại port 443 ở một địa... Phần mềm VPN Giải pháp phần mềm được sử dụng trong VPN có thể được chia thành 3 loại lớn: • VPN server sofware Microsoft ‘ Windows 2000, các phiên bản của Windows NT, Novell’s Netware và Linux là các hệ điều hành được cài đặt trên một VPN server Nói cách khác, tất cả các máy có các hệ điều hành mạng trên thì được sử dụng để phục vụ các yêu cầu của VPN client và được xem như là một VPN server • VPN client... tạo thành các server VPN, các client VPN và các thiết bị phần cứng khác, như là routers và concentrators a VPN Servers: Tổng quát, VPN servers là các thiết bị mạng chuyên dụng chạy phần mềm server Phụ thuộc vào các yêu cầu của tổ chức, có thể có một hay nhiều VPN server Bởi vì một server VPN phải cung cấp các dịch vụ cho các khách hàng VPN ở xa cũng như ở địa phương, chúng luôn sẵn sàng và sẵn sàng chấp... lưu chuyển như một giai pháp VPN dựng sẵn, một Routing and Remote Access Server (RRAS) cần có những cấu hình mở rộng 1.1.2.4 Secure Socket Tunneling Protocol (VPN- SSTP) a) Giới thiệu SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong Windows Vista và Windows Server 2008 SSTP sử dụng các kết nối HTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway SSTP là một giao... đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầm cho dữ liệu 23 1.2 Các loại VPN trong thực tiễn 1.2.1 Remote Access VPNs Hình 1.4 Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức... firewall và có thể đi qua các Proxy web,router NAT 22 VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng nghe các kết nối SSTP tùu VPN client.SSTP server phải có một Computer Certificate được cài đặt thuộc tính Server Authentication.Computer Certificate này được sử dụng để xác thực server SSTP với client SSTP trong quá trình thiết lập session SSL.Client hiệu lực hóa certificate của server. .. và sự liên lạc được định tuyến qua chúng Thêm vào việc cung cấp các cách bảo mật cơ bản, NATs cũng cho phép chúng ta tiết kiệm các địa chỉ IP c Sự xác thực của server và cơ sở dữ liệu Dịch vụ quay số truy cập từ xa (RADIUS) và hệ thống điều khiển các truy cập ở đầu cuối ( TACACS), như trên hình 2-7, là một số cách hiện thực thường thấy của server và database xác thực. Chúng cung cấp một cơ chế xác thực. .. server SSTP.Để thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phải được cài đặt trên client SSTP Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peerL2TP và dựa vào PPTP.Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao đó gửi các lưu lượng cho cho kết nối HTTPs.Như vậy,tất cả các tính năng khác của VPN như kiểm tra sức khỏe dựa vào NAT,tải lưu lượng IPV6 trên VPN, các thuật... Nếu VPN server phải hỗ trợ một lượng lớn các users và hoạt động như là một router hoặc một gateway, gánh nặng của đường hầm, mã hóa, xác nhận, tường lửa và định tuyến sẽ làm cho server chạy chậm, kéo theo hiệu suất của toàn hệ thống giảm Thêm vào đó, rất khó để bảo vệ thông tin được lưu trữ trên server Vì thế VPN Sever phải thật chuyên nghiệp để chỉ phục vụ khách VPN và các yêu cầu b VPN Clients 33 VPN. .. cập mail và các tài nguyên nội bộ khác Các nhà quản trị từ xa, những người sử dụng mạng công cộng trung gian, như là internet, để kết nối với các nơi ở xa để quản lý giám sát, khắc phục sự cố, hoặc cấu hình các dịch vụ và thiết bị c VPN Routers, Concentrators và gateways Hình 1.6 Bộ xử lý trung tâm VPN số hiệu 3000 của Cisco 34 Trong trường hợp các thiết lập VPN nhỏ, VPN server có thể thực hiện nhiệm ... thức, yêu cầu mạng VPN bước để triển khai mạng VPN Chương 2: Thực mô hình VPN Window Server 2008: Cài đặt, cấu hình mô hình Remote Access VPN mô hình VPN site-to-site Do kiến thức kinh nghiệm hạn... xác thực client với server tạo đường hầm cho liệu 23 1.2 Các loại VPN thực tiễn 1.2.1 Remote Access VPNs Hình 1.4 Mô hình VPN truy cập từ xa đơn giản hóa với máy tính Giống gợi ý tên gọi, Remote. .. tất CAs cấu trúc – có tên cấu trúc danh sách tin cậy c Cấu trúc có thứ bậc Cấu trúc có thứ bậc cấu trúc PKI thực phổ biến sử dụng tổ chức có quy mô lớn Không giống cấu trúc trên, mô hình dựa