Đang tải... (xem toàn văn)
MỤC LỤCLời mở đầu 1Lời cảm ơn 2Mục lục 3Chương 1TỔNG QUAN VỀ VPN1.1 MỞ ĐẦU 4 1.1.1. Định nghĩa VPN 4 1.1.2. Lợi ích của VPN 5 1.1.3. Các chức năng cơ bản của VPN 51.2. ĐỊNH NGHĨA ĐƯỜNG HẦM VÀ MÃ HÓA 6 1.2.1. Đường hầm và cấu trúc gói tin 6 1.2.2. Mã hoá và giải mã (EncryptionDecryption) 7 1.2.3. Một số thuật ngữ sử dụng trong VPN 71.3. CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO 8 1.3.1. Truy cập VPN từ xa (Remote Access VPN) 8 1.3.1.1. Một số thành phần chính của Remote Access VPN 8 1.3.1.2. Ưu và nhược điểm của Remote Access VPN 9 1.3.2. SitetoSite VPN (LANtoLAN) 10 1.3.2.1. Intranet VPN 11 1.3.2.2. Extranet VPN (VPN mở rộng) 12CHƯƠNG 2 CÁC GIAO THỨC TRONG VPN2.1. CÁC GIAO THỨC ĐƯỜNG HẦM 14 2.1.1. Giao thức chuyển tiếp lớp 2 (L2FLayer 2 Forwarding Protocol)15 2.1.2. Giao thức PPTP (PointtoPoint Tunneling Protocol) 17 2.1.2.1. Khái quát hoạt động của PPTP 19 2.1.2.2. Duy trì đường hầm bằng kết nối điều khiển PPTP 20 2.1.2.3. Đóng gói dữ liệu đường hầm PPTP 20 2.1.2.4. Ưu và nhược điểm của PPTP 21 2.1.3.GT định đường hầm lớp 2(L2TP Layer2TunnelingProtocol)26 2.1.3.1. Duy trì đường hầm bằng bản tin điều khiển L2TP 27 2.1.3.2. Đóng gói dữ liệu đường hầm L2TP24 2.1.3.3. Xử lý dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec 25 2.1.3.4. Các thành phần của hệ thống VPN dựa trên L2TP25 2.1.3.5. Ưu và nhược điểm của L2TP 262.2. BỘ GIAO THỨC IPSEC (IP SECURITY PROTOCOL) 26 2.2.1. Cấu trúc bảo mật 27 2.2.2. Hiện trạng 27 2.2.3. Chế độ làm việc của IPSec 27 2.2.3.1. Chế độ truyền tải (Transport Mode)27 2.2.3.2. Chế độ đường hầm (Tunnel Mode) 28 2.2.4. Các thành phần bên trong IPSec 28 2.2.4.1. Giao thức đóng gói tải tin an toàn ESP28 2.2.4.2. Giao thức chứng thực đầu mục AH 30 2.2.4.3. Giao thức trao đổi chìa khoá Internet (IKE)33 2.2.5. Các vấn đề còn tồn tại trong IPSec 36THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 37 Các mô hình VPN thông thường 393.TRIỂN KHAI MÔ HÌNH Remote Access VPN394.CẤU HÌNH VPN SERVER BẰNG GIAO THỨC SITE TO SITE 465.KẾT LUẬN556.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 567.TÀI LIỆU THAM KHẢO57
Lời nói đầu Hiện tại, Internet phát triển mạnh mẽ mặt mô hình lẫn tổ chức, đáp ứng đầy đủ nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng với cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng Để làm điều người ta sử dụng hệ thống thiết bị định tuyến (router) để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP – Internet Service Provider) Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ đào tạo từ xa, mua hàng trực tuyến, tư vấn lĩnh vực nhiều điều khác trở thành thực Tuy nhiên Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình mạng nhằm thoã mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riêng ảo (Virtual Private Network – VPN) Với mô hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường văn phòng chi nhánh kết nối an toàn đến máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an toàn thông tin đại lý, nhà cung cấp đối tác kinh doanh với môi trường truyền thông rộng lớn Trong nhiều trường hợp, VPN giống WAN (Wire Area Network), nhiên đặc tính định VPN chúng dùng mạng công cộng Internet mà đảm bảo tính riêng tư tiết kiệm chi phí Lời cảm ơn! Trong thời gian thực tập gần hai tháng Trường Đại Học Công Nghiệp Hà Nội chúng em nhận bảo giúp đỡ tận tình thầy cô giáo trường nói chung thầy cô khoa CNTT nói riêng Chúng em xin gửi lời cảm ơn đến thầy cô Trường Đại Học Công Nghiệp Hà Nội giúp đỡ chúng em thời gian thực tập Đồng thời, chúng em xin đặc biệt gửi lời cảm ơn tới thầy Nguyễn Thanh Hải hướng dẫn chúng em suốt thời gian thực tập Tạo hội cho chúng em tiếp xúc thực tế với ngành nghề cung cấp tài liệu để chúng em hoàn thành báo cáo Chúng em xin chân thành cảm ơn! Nhóm SV KHMT2 – KHMT4 – K5 Khoa CNTT, Đại Học Công Nghiệp Hà Nội MỤC LỤC Lời mở đầu Lời cảm ơn .2 Mục lục Chương TỔNG QUAN VỀ VPN 1.1 MỞ ĐẦU 1.1.1 Định nghĩa VPN 1.1.2 Lợi ích VPN 1.1.3 Các chức VPN 1.2 ĐỊNH NGHĨA ĐƯỜNG HẦM VÀ MÃ HÓA .6 1.2.1 Đường hầm cấu trúc gói tin 1.2.2 Mã hoá giải mã (Encryption/Decryption) 1.2.3 Một số thuật ngữ sử dụng VPN 1.3 CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO .8 1.3.1 Truy cập VPN từ xa (Remote Access VPN) .8 1.3.1.1 Một số thành phần Remote Access VPN 1.3.1.2 Ưu nhược điểm Remote Access VPN 1.3.2 Site-to-Site VPN (LAN-to-LAN) .10 1.3.2.1 Intranet VPN 11 1.3.2.2 Extranet VPN (VPN mở rộng) .12 CHƯƠNG CÁC GIAO THỨC TRONG VPN 2.1 CÁC GIAO THỨC ĐƯỜNG HẦM 14 2.1.1 Giao thức chuyển tiếp lớp (L2F-Layer Forwarding Protocol) 15 2.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 17 2.1.2.1 Khái quát hoạt động PPTP 19 2.1.2.2 Duy trì đường hầm kết nối điều khiển PPTP 20 2.1.2.3 Đóng gói liệu đường hầm PPTP .20 2.1.2.4 Ưu nhược điểm PPTP .21 2.1.3.GT định đường hầm lớp 2(L2TP - Layer2TunnelingProtocol) 26 2.1.3.1 Duy trì đường hầm tin điều khiển L2TP 27 2.1.3.2 Đóng gói liệu đường hầm L2TP 24 2.1.3.3 Xử lý liệu đầu cuối đường hầm L2TP IPSec 25 2.1.3.4 Các thành phần hệ thống VPN dựa L2TP 25 2.1.3.5 Ưu nhược điểm L2TP .26 2.2 BỘ GIAO THỨC IPSEC (IP SECURITY PROTOCOL) 26 2.2.1 Cấu trúc bảo mật .27 2.2.2 Hiện trạng 27 2.2.3 Chế độ làm việc IPSec .27 2.2.3.1 Chế độ truyền tải (Transport Mode) 27 2.2.3.2 Chế độ đường hầm (Tunnel Mode) .28 2.2.4 Các thành phần bên IPSec .28 2.2.4.1 Giao thức đóng gói tải tin an toàn ESP 28 2.2.4.2 Giao thức chứng thực đầu mục AH .30 2.2.4.3 Giao thức trao đổi chìa khoá Internet (IKE) .33 2.2.5 Các vấn đề tồn IPSec 36 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT .37 Các mô hình VPN thông thường 39 3.TRIỂN KHAI MÔ HÌNH Remote Access VPN 39 4.CẤU HÌNH VPN SERVER BẰNG GIAO THỨC SITE TO SITE 46 5.KẾT LUẬN 55 6.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 56 7.TÀI LIỆU THAM KHẢO 57 CHƯƠNG I TỔNG QUAN VỀ VPN 1.1 MỞ ĐẦU 1.1.1 Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng (Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng hạ tầng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng, VPN sử dụng kết nối ảo thiết lập qua Internet từ mạng riêng Công ty tới chi nhánh hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an toàn bảo mật, VPN cung cấp chế mã hoá liệu đường truyền, tạo đường ống (tunnel) bảo mật nơi gửi nơi nhận Để tạo đường ống bảo mật đó, liệu phải mã hoá, cung cấp phần đầu gói liệu (header) thông tin đường cho phép đến đích thông qua mạng công cộng cách nhanh chóng Dữ liệu mã hoá cách cẩn thận packet bị xem đường truyền công cộng đọc nội dung khoá để giải mã Các đường kết nối VPN thường gọi đường ống VPN (tunnel) Hình 1.1 – Một mô hình mạng VPN 1.1.2 Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền thông mạng leased-line Những lợi ích bao gồm: Chi phí thấp mạng riêng: VPN giảm chi phí từ 20 đến 40% so với mạng sử dụng leased-line giảm chi phí việc truy cập từ xa từ 40 đến 60% Tính linh hoạt kết nối Tăng tính bảo mật: Các liệu quan trọng che giấu người quyền truy cập Hỗ trợ giao thức mạng thông dụng TCP/IP Bảo mật địa IP: Bởi thông tin gửi VPN mã hoá, địa bên mạng riêng che giấu sử dụng địa bên Internet 1.1.3 Các chức VPN: VPN cung cấp chức chính: Sự tin cậy bảo mật (confidentiality): Người gửi mã hoá gói liệu trước truyền chúng ngang qua mạng Bằng cách này, không truy nhập thông tin mà không phép, mà có lấy thông tin đọc thông tin mã hoá Tính toàn vẹn liệu (Data Integrity): Người nhận kiểm tra liệu truyền qua mạng Internet mà thay đổi Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin Điều khiển truy nhập (Access Control): VPN phân biệt người dùng hợp lệ trái phép nhiều cách dựa vào sách bảo mật, chứng thực 1.2 ĐỊNH NGHĨA ĐƯỜNG HẦM VÀ MÃ HÓA Chức mạng riêng ảo (VPN) cung cấp bảo mật thông tin cách mã hoá chứng thực qua đường hầm (Tunnel) 1.2.1 Đường hầm cấu trúc gói tin Cung cấp kết nối logic, vận chuyển gói liệu mã hoá đường hầm riêng biệt qua mạng IP, điều làm tăng tính bảo mật thông tin liệu sau mã hoá lưu chuyển đường hầm thiết lập người gửi người nhận, tránh nhòm ngó, xem trộm thông tin Các giao thức định đường hầm sử dụng VPN sau: L2F (Layer Forwarding): Được Cisco phát triển PPTP (Point-to-Point Tunneling Protocol): Được PPTP Forum phát triển, giao thức hỗ trợ mã hóa 40 bit 128 bit L2TP (Layer Tunneling Protocol): Là sản phẩm hợp tác thành viên PPTP Forum, Cisco IETF L2TP kết hợp tính PPTP L2F IPSec (IP Security): Được phát triển IETF Mục đích việc phát triển IPSec cung cấp cấu bảo mật lớp (network layer) mô hình OSI GRE (Generic Routing Encapsulation): Đây giao thức truyền thông đóng gói IP dạng gói liệu khác bên đường ống Giống IPSec, GRE hoạt động tầng mô hình tham chiếu OSI, nhiên GRE không mã hóa thông tin 1.2.2 Mã hoá giải mã (Encryption/Decryption): Mã hóa trình biến đổi nội dung thông tin nguyên dạng đọc (clear text hay plain text) thành dạng văn mật mã vô nghĩa không đọc (cyphertex), khả đọc hay khả sử dụng người dùng không phép Giải mã trình ngược lại mã hoá, tức biến đổi văn mã hoá thành dạng đọc người dùng phép 1.2.3 Một số thuật ngữ sử dụng VPN: Hệ thống mã hoá (CryptoSystem): Là hệ thống để thực mã hoá hay giải mã, xác thực người dùng, băm (hashing) trình trao đổi khoá, hệ thống mã hoá sử dụng hay nhiều phương thức khác tuỳ thuộc vào yêu cầu cho vài loại traffic cụ thể Hàm băm (hashing): Là kỹ thuật đảm bảo tính toàn vẹn liệu, sử dụng công thức thuật toán để biến đổi tin có chiều dài thay đổi khoá mật mã công cộng vào chuỗi đơn số liệu có chiều dài cố định Bản tin hay khoá hash di chuyển mạng từ nguồn tới đích Ở nơi nhận, việc tính toán lại hash sử dụng để kiểm tra tin khoá không bị thay đổi truyền mạng Xác thực (Authentication): Là trình việc nhận biết người sử dụng hay trình truy cập hệ thống máy tính kết nối mạng Xác thực đảm bảo chắn cá nhân hay tiến trình hợp lệ Cho phép (Authorization): Là hoạt động kiểm tra thực thể có phép thực quyền hạn cụ thể Quản lý khoá (Key management): Một khoá thông tin, thường dãy ngẫu nhiên trông giống số nhị phân ngẫu nhiên, sử dụng ban đầu để thiết lập thay đổi cách định kỳ hoạt động hệ thống mật mã Quản lý khoá giám sát điều khiển tiến trình nhờ khoá tạo Các công việc cất giữ, bảo vệ, biến đổi, tải lên, sử dụng hay loại bỏ Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ tin tưởng để bảo mật trình truyền tin thực thể mạng người dùng cách tạo gán chứng nhận số chứng nhận khoá công cộng cho mục đích mã hoá Một CA đảm bảo cho liên kết thành phần bảo mật chứng nhận IKE (Internet Key Exchange): Là giao thức chịu trách nhiệm trao đổi khóa hai điểm kết nối VPN IKE hỗ trợ ba kiểu xác thực dùng khóa biết trước (pre-share key), RSA RSA signature IKE lại dùng hai giao thức Oakley Key Exchange (mô tả kiểu trao đổi chìa khoá) Skeme Key Exchange (định nghĩa kỹ thuật trao đổi chìa khoá), giao thức định nghĩa cách thức để thiết lập trao đổi khoá xác thực, bao gồm cấu trúc tải tin, thông tin mà tải tin mang, thứ tự khoá xử lý khoá sử dụng AH (Authentication Header): Là giao thức bảo mật giúp xác thực liệu, bảo đảm tính toàn vẹn liệu dịch vụ “anti-replay” (dịch vụ bảo đảm tính gói tin) AH nhúng vào liệu để bảo vệ ESP (Encapsulation Security Payload): Là giao thức bảo mật cung cấp tin cậy liệu, đảm bảo tính toàn vẹn liệu xác thực nguồn gốc liệu ESP đóng gói liệu để bảo vệ 1.3 CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO 1.3.1 Truy cập VPN từ xa (Remote Access VPN) Remote Access VPN cho phép người dùng xa sử dụng VPN client để truy cập vào mạng Intranet Công ty thông qua Gateway VPN concentrator (bản chất server) Vì vậy, giải pháp thường gọi client/server Trong giải pháp này, người dùng thường sử dụng công nghệ WAN truyền thống để tạo tunnel mạng trung tâm họ 1.3.1.1 Một số thành phần Remote Access VPN Remote Access Server (RAS): Thiết bị đặt trung tâm có nhiệm vụ xác thực chứng nhận yêu cầu gửi tới sau thiết lập kết nối Hình 1.3 – Mô hình non-VPN Remote Access Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet, người dùng từ xa văn phòng chi nhánh cần thiết lập kết nối cục đến nhà cung cấp dịch vụ Internet, sau kết nối đến tài nguyên doanh nghiệp thông qua Remote Access VPN Mô hình Remote Access VPN mô tả hình đây: Hình 1.4 – Mô hình Remote Access VPN 1.3.1.2 Ưu nhược điểm Remote Access VPN Ưu điểm Remote Access VPN: - VPN truy nhập từ xa không cần đến hỗ trợ quản trị mạng kết nối từ xa nhà cung cấp dịch vụ Internet đảm nhiệm - Giảm giá thành chi phí kết nối với khoảng cách xa kết nối VPN truy nhập từ xa kết nối Internet - VPN cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu Nhược điểm Remote Access VPN: - Remote Access VPN không đảm bảo chất lượng dịch vụ (QoS) - Khả liệu cao, thêm phân đoạn gói liệu bị thất thoát - Do độ phức tạp thuật toán mã hoá nên gây khó khăn cho trình xác nhận 1.3.2 Site-to-Site VPN (LAN-to-LAN) Site-to-Site VPN giải pháp kết nối hệ thống mạng địa điểm khác với mạng trung tâm thông qua VPN Trong trường hợp này, trình xác thực ban đầu cho người sử dụng trình xác thực thiết bị Các thiết bị hoạt động cổng an ninh (security gateway), truyền dẫn lưu lượng cách an toàn từ site tới site Các định tuyến hay tường lửa hỗ trợ VPN có khả thực kết nối Sự khác Site-to-Site VPN Remote Access VPN mang tính tượng trưng Nhiều thiết bị VPN hoạt động theo hai cách Hình 1.5 – Mô hình Site–to–Site VPN Site-to-Site VPN xem Intranet VPN Extranet VPN xét theo quan điểm sách quản lý Nếu hạ tầng mạng có chung nguồn quản lý, 10 B12 Cấu hình cho VPN client Chọn ‘New Connection Wizard’ B13.Chọn mục ‘Connect to the network at my workplace’ B14.Chọn mục ‘Virtual Private Network connection’ 44 B15.Đặt tên cho kết nối VPN B16.Nhập địa IP external interface VPN server B17.Chọn nút ‘Finish’ để hoàn tất trình cấu hình cho VPN Client 45 B18.Kiểm tra kết nối VPN Chọn VPN Connection vừa tạo B19.Nhập user name password account có quyền tạo kết nối VPN Chọn ‘Connect’ Khi kết nối tạo thành công, biểu tượng kết nối VPN system tray B20.Kiểm tra thấy có thêm card mạng ảo thêm vào VPN client Kiểm tra kết nối đến Internal Resource thành công 4.CẤU HÌNH VPN SERVER BẰNG GIAO THỨC SITE TO SITE a Cấu hình máy Server b Cấu hình máy Server 46 Kiểm tra kết nối II) Chuẩn bị: - Đặt lab sử dụng máy Windows Server 2003 - Đặt IP cho máy theo bảng sau: -Mở services.msc, tắt Windows Firewall máy -Trên máy Server1, tạo user: hn, password: 123 Chuột phải vào user hn chọn Properties -> Qua tab Dial – in, bên mục Remote Access Permission (Dial – in or VPN), đánh dấu chọn vào ô Allow Access -> OK -Tương tự máy Server2, tạo user: sg, password: 123 Chuột phải vào user Saigon, chọn Properties -> Qua tab Dial – in, bên mục Remote Access Permission (Dial – in or VPN), đánh dấu chọn vào ô Allow Access -> OK III Mục tiêu : Mục đích: Thực kết nối VPN Site To Site để hai chi nhánh Sài Gòn va HN liên lạc với IV Thực : Cấu hình VPN Server giao thức PPTP 47 a Trên Máy SERVER B1: Vào Start > Programs > administrative tools > Routing and Remote Access B2: Hiện cửa sổ Routing and remote access >chuột phải lên tên PC (SERVER 1) > chọn Configure and Enable routing and remote access B3: Hộp thoại Routing and Remote Access Setup Wizard > Next 48 B4: Hộp thoại Routing and Remote Access Server Setup Wizard > chọn Custom configuration >NEXT B5: Hộp thoại Routing and Remote Access Server Setup Wizard -> check VPN access, LAN routing, Demand-dial connections (used for branch office routing ) -> NEXT B6: Hộp thoại Routing and Remote Access -> Yes -> Finish 49 B7 : Chuột phải vào Network Interface -> chọn New Demand-dial Interface… B8: Hộp thoại Demanddial Interface Wizard -> gõ “hn” vào ô Interface name Lưu ý: Interface name bên l user name máy bên tạo B9: Màn hình Connection Type-> chọn Connect using virual private networking ( VPN) -> Next 50 B10: Màn hình VPN Type -> chọn Point to Point Tunneling Protocpl (PPTP) -> Next B11: Màn hình Destination Address gõ IP card WAN Server vào ô Host name or IP Address :192.168.1.2 -> Next B12: Màn hình rotocols and Security, giữ nguyên mặc định -> Next 51 B13: Màn Hình static routes for Remote Networks -> add Hộp thoại Static Route -> Destination : 10.1.1.0 Network Mask : 255.255.255.0 Metric : -> OK -> Next B14: Màn hình Dial Out Credentials, nhập vào User name : sg Domain : để trống Password : 123 Confirm password : 123 -> Next -> Finish B15: Chuột phải lên tên PC (SERVER 1) > Properties 52 B16: Hộp Thoại Properties > chọn Tab IP > check Static address pool > Add B17 : Hộp thoại New Address Range > StartIP address: 10.10.10.10 EndIP address : 10.10.10.19 ->OK -> Apply ->OK B18 : Chuột phải lên tên PC ( SERRVER 1) > All Tasks > Restart 53 b Cấu hình VPN Server m y Server : Lặp lại bước phần a ý thay đổi thông tin sau bước khai báo Interface, phần Interface Name : sg Tại bước khai b o Destination address, nhập v o phần Host name or IP Address Tại l IP card WAN Server : 192.168.1.1 -Tại bước khai b o Dial Out Credentials User name : hn Domain : để trống Password : 123 Confirm password : 123 Tại bước tạo static Routes Tại bước Static Address Pool 54 Kiểm tra Tại máy Client1 ping thử client2 Ping 10.1.1.2 -> Thành công 55 5.KẾT LUẬN VPN công nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguyên nội công ty từ bên thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng Giải pháp VPN "mềm" giới thiệu viết thích hợp cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, phải cần đến giải pháp VPN phần cứng TUNNELING kỹ thuật sử dụng hệ thống mạng trung gian (thường mạng Internet) để truyền liệu từ mạng máy tính đến mạng máy tính khác trì tính riêng tư toàn vẹn liệu Dữ liệu truyền sau chia nhỏ thành frame hay packet (gói tin) theo giao thức truyền thông bọc thêm lớp header chứa thông tin định tuyến giúp packet truyền qua hệ thống mạng trung gian theo đường riêng (tunnel) Khi packet truyền đến đích, chúng tách lớp header chuyển đến máy trạm cuối cần nhận liệu Để thiết lập kết nối tunnel, máy client server phải sử dụng chung giao thức (tunnel protocol) - PPTP (Point-to-Point Tunneling Protocol): PPTP sử dụng cho Remote Access hay Site-to-Site VPN Những thuận lợi áp dụng PPTP cho VPN không yêu cầu certificate cho trình chứng thực client đặt phía sau NAT Router - L2TP ( Layer Tunneling Protocol): L2TP kết hợp PPTP Layer Forwading (L2F, giao thức phát triển Cisco System) So với PPTP L2TP có nhiều đặc tính mạnh an toàn Trên hệ thống Microsoft, L2TP kết hợp với IPSec Encapsulating Security Payload (ESP) cho trình mã hóa liệu, gọi L2TP/IPSec Sự kết hợp không cho phép chứng thực người dùng PPTP mà cho phép chứng thực máy tính thông qua chứng chỉ, nâng cao độ an toàn liệu truyền, trình tunnel diễn nhiều hệ thống mạng khác Tuy nhiên môi trường L2TP/IPSec VPN Client đặt phía sau NAT Router Trong trường hợp cần phải có VPN Server VPN Client hỗ trợ IPSec NAT-T 6.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 56 Qua thời gian tìm hiểu đề tài nhóm chúng em cảm thấy vấn đề hay doanh nghiệp vừa lớn sử dụng nhiều Tuy nhiên thời gian lượng kiến thức tìm hiểu có hạn nên chúng em phát triển phần Nếu có tiếp tục nghiêm cứu VPN chúng em có hướng phát triển tích cực : - Triển khai thiết bị phần cứng - Mở rộng kết nối nhiều chi nhánh - Cài đặt cấu hình Open VPN cho máy chủ - Cài đặt cấu hình cho máy Client - Tìm hiểu thêm mô hình phức tạp công ty doanh nghiệp lớn sử dụng VPN TÀI LIỆU THAM KHẢO 57 Giáo trình MẠNG RIÊNG ẢO – TS Nguyễn Tiến Ban, ThS Hoàng Trọng Minh, Học Viện công nghệ Bưu - Viễn thông, 2007 Giáo trình MẠNG MÁY TÍNH – TS Phạm Thế Quế, Học Viện công nghệ Bưu - Viễn thông, 2006 VPNs Illustrated: Tunnels, VPNs, and IPSec - By Jon C Snader, 10/2005 Network, Telecom Dictionary & Encyclopedia, http://www.networkdictionary.com 58 [...]... bảo thời gian thực là một thách thức lớn trong môi trường Internet 1.3.2.2 Extranet VPN (VPN mở rộng) Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khác nhau giữa VPN nội bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai đầu cuối của VPN Hình 1.7 – Mô hình Extranet VPN Những ưu...có thể được xem như Intranet VPN, ngược lại, nó có thể được coi là Extranet VPN Việc truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng 1.3.2.1 Intranet VPN Hình 1.6 – Mô hình Intranet VPN Intranet VPN hay còn gọi là VPN cục bộ là một mô hình tiêu biểu của Site-to-Site VPN, dạng kết nối này được sử dụng để bảo mật các kết nối giữa địa... chương 1 Trong chương này, chúng ta đã giới thiệu qua về các khái niệm cũng như định nghĩa về VPN, các chức năng chính, các mô hình kết nối và lợi ích của VPN, tiếp theo là khái niệm an toàn và bảo mật trên Internet Chương này cũng định nghĩa sơ bộ về khái niệm “đường hầm - tunnel” và “mã hóa - encrypt” đồng thời nêu ra một số thuật ngữ thường dùng trong VPN Phần 3 của chương đã giới thiệu một số mô hình... cung cấp bởi các ISP Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP Các cơ chế xác thực có thể là: - EAP (Extensible Authentication Protocol): giao thức xác thực mở rộng - CHAP (Challenge Handshake Authentication Protocol): giao thức xác thực đòi hỏi bắt tay - PAP (Password Authentication Protocol): giao thức xác thực mật khẩu Với PAP, mật khẩu... gói tải tin an toàn ESP chỉ thực hiện mã hóa mà không có chứng thực nên AH và ESP được dùng kết hợp, ở những phiên bản sau này, ESP đã có thêm khả năng chứng thực Tuy nhiên AH vẫn được dùng do nó đảm bảo việc chứng thực cho toàn bộ tiêu đề và dữ liệu cũng như việc đơn giản hóa đối với truyền tải dữ liệu trên mạng IP chỉ yêu cầu chứng thực Hình 2.16 – Ví dụ minh họa AH xác thực và đảm bảo tính toàn vẹn... tính xác thực của dữ liệu khi đi qua mạng IP công cộng IPSec định nghĩa hai loại tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa: loại thứ nhất là xác thực tiêu đề AH (Authentication Header), loại thứ hai là đóng gói tải tin an toàn ESP (Encapsulation Security Payload ESP) Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu Trong khi đó đóng gói tải tin an toàn ESP thực hiện... gian được thực hiện thông qua Internet nên nó có thể dễ dàng thiết lập thêm một liên kết ngang hàng mới - Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định như: - Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên vẫn còn những mối đe dọa về mức độ... nối Trong chương tiếp theo, chúng ta sẽ tìm hiểu kỹ hơn các giao thức chủ yếu được sử dụng trong VPN đồng thời so sánh ưu và nhược nhược điểm của từng giao thức, qua đó có thể căn cứ vào từng yêu cầu cụ thể để lựa chọn giải pháp xây dựng một mạng VPN thích hợp 13 CHƯƠNG 2 CÁC GIAO THỨC TRONG VPN Trong VPN có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là: L2F - Layer 2 Forwarding... 26 giữa hai thực thể và trao đổi các thông tin khóa IKE cần được sử dụng phần lớn trong các ứng dụng thực tế để đem lại sự truyền tải thông tin an toàn trên diện rộng 2.2.1 Cấu trúc bảo mật IPSec sử dụng các phương thức cung cấp mật mã (cryptographic) nhằm bảo mật gói tin (packet) trong quá trình truyền tải, phương thức xác thực và thiết lập các thông số mã hoá IPSec xây dựng khái niệm về bảo mật trên... dụ như các khoá) là nền tảng trong việc mã hoá và xác thực một chiều Tuy nhiên, trong các giao tiếp hai chiều, các phương thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị bởi vì IPSec bao gồm một nhóm các phương thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP 2.2.2 Hiện trạng IPSec là một ... đường kết nối VPN thường gọi đường ống VPN (tunnel) Hình 1.1 – Một mô hình mạng VPN 1.1.2 Lợi ích VPN VPN cung cấp nhiều đặc tính so với mạng truyền thông mạng leased-line Những lợi ích bao gồm: ... hỗ trợ VPN có khả thực kết nối Sự khác Site-to-Site VPN Remote Access VPN mang tính tượng trưng Nhiều thiết bị VPN hoạt động theo hai cách Hình 1.5 – Mô hình Site–to–Site VPN Site-to-Site VPN xem... configuration’ B8.Chọn mục VPN access’ 42 B9.Chọn ‘Finish’ để kết thúc trình kích hoạt chức VPN Server B10.Xác định dãy địa IP dùng để tạo kết nối VPN VPN server VPN client Right-click VPN Server, chọn