MỤC LỤC DANH MỤC CÁC CHỮ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG I NHỮNG KIẾN THỨC TỔNG QUAN VỀ IP-PN .10 1.1 Giới thiệu giao thức TCP/IP .10 1.2 Mô hình phân lớp giao thức TCP/IP 11 1.2.1.1 Giao thức Internet 12 1.2.1.2 Giao thức lớp vận chuyển 13 1.3 Công nghệ IP-VPN 16 1.3.1 Giới thiệu 16 1.3.2 Các khối mạng IP-VPN 18 1.3.3 Phân loại mạng riêng ảo theo kiến trúc 24 1.3.3.1 IP-VPN truy nhập từ xa 24 1.3.3.2 Site-to-Site IP-VPN 26 1.3.4 Các giao thức đường ngầm IP-VPN .28 1.3.4.1 PPTP (Point - to - Point Tunneling Protocol) 29 1.3.4.2 L2TP (Layer Two Tunneling Protocol) 33 1.4 Vấn đề bảo mật IP-VPN .37 1.4.1 IPSec 38 1.4.1.1 Khái niệm .38 1.4.1.2 Đóng gói thông tin IPSec 39 1.4.2 Mật mã .47 1.4.2.1 Khái niệm mật mã 47 1.4.2.2 Các hệ thống mật mã khóa đối xứng .49 1.4.2.3 Hệ thống mật mã khóa công khai 54 1.4.3 Xác thực 56 1.4.3.1 Xác thực tính toàn vẹn liệu 56 1.4.3.2 Xác thực nguồn gốc liệu 56 1.5 Lợi ích IP-VPN .59 CHƯƠNG II GIỚI THIỆU MỘT SỐ MÔ HÌNH THỰC HIỆN IP-VPN VÀ TÌNH HÌNH TRIỂN KHAI VPN TẠI VIỆT NAM 60 2.1 Giới thiệu 60 2.1.1 Access IP-VPN .61 2.1.1.1 Kiến trúc khởi tạo từ máy khách .62 2.1.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 62 2.1.2 Intranet IP-VPN Extranet IP-VPN 62 2.2 Tình hình triển khai VPN Việt Nam 63 CHƯƠNG III XÂY DỰNG MÔ HÌNH ỨNG DỤNG CÔNG NGHỆ IP-VPN .65 3.1 Giới thiệu 65 3.1.1 Khảo sát trạng sử dụng mạng 65 3.1.2 Giới thiệu mô hình IP-VPN tổng quan 65 3.1.3 Các thiết bị cần thiết để xây dựng hệ thống .66 3.2 Thiết lập hệ thống 66 3.2.1 Thiết lập NAT Router 67 3.2.2 Cài đặt VPN server 68 3.2.3 Cấu hình VPN server 75 3.2.4 Giới hạn cổng kết nối VPN từ Client tới Server 78 3.2.5 Tạo User cho phép sử dụng VPN 79 3.2.6 Tạo kết nối VPN client đến VPN server 80 KẾT LUẬN .84 TÀI LIỆU THAM KHẢO 86 CÁC WEBSITE THAM KHẢO 87 LỜI NÓI ĐẦU Cùng với xu hướng IP hóa mạng viễn thông nay, vấn đề đảm bảo an ninh cho liệu truyền qua mạng IP vấn đề mang tính chất tất yếu Đối với tổ chức có phạm vi hoạt động rộng khắp, nhân viên di chuyển trình làm việc việc truyền thông liệu cách an toàn với chi phí thấp, giảm nhẹ công việc quản lý hoạt động mạng đặt ra, IP-VPN giải pháp hiệu Theo dự đoán nhiều hãng giới thị trường VPN thị trường phát triển mạnh tương lai Thực tế VPN khái niệm Nó định nghĩa mạng kết nối site khách hàng đảm bảo an ninh sở hạ tầng mạng chung với sách điều khiển truy nhập đảm bảo an ninh mạng riêng Đã có nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên thực giải pháp chi phí lớn để mua sắm thiết bị, chi phí cho vận hành, trì, quản lý Với IP-VPN, doanh nghiệp giảm chi phí cho vận hành, trì quản lý đơn giản, khả mở rộng vùng địa lí khác cách linh hoạt không hạn chế Vấn đề an toàn số liệu truyền bị phụ thuộc nhiều vào giải pháp thực IP-VPN doanh nghiệp, ví dụ giao thức đường ngầm sử dụng, thuật toán mã hóa kèm độ phức tạp thuật toán mã hóa này…nhưng không phụ thuộc vào kiến trúc sở hạ tầng mạng viễn thông Mục đích đồ án “Xây dựng mô hình ứng dụng công nghệ IP-VPN” tìm hiểu vấn đề kỹ thuật có liên quan đến việc thực IPVPN, từ xây dựng mô hình ứng dụng IP-VPN tạo mạng riêng ảo thực tế, nội dung cụ thể sau:  Chương 1: Những kiến thức tổng quan IP-VPN  Chương 2: Giới thiệu số mô hình thực IP-VPN tình hình triển khai VPN Việt Nam  Chương 3: Xây dựng mô hình ứng dụng IP-VPN Em xin chân thành cảm ơn thầy giáo Đỗ Văn Quyền thầy cô giáo môn Điện Tử Viễn Thông tận tình dạy dỗ giúp đỡ em trình học tập làm đồ án DANH MỤC CÁC CHỮ VIẾT TẮT Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt 3DES Triple DES Thuật toán mã 3DES AA Acccess Accept Chấp nhận truy nhập AAA Authentication, Authorization Nhận thực, trao quyền toán and Accounting AC Access Control Điều khiển truy nhập ACK Acknowledge Chấp nhận ACL Acess Control List Danh sách điều khiển truy nhập ADSL Asymmetric Digital Subscriber Công nghệ truy nhập đường dây thuê Line bao số không đối xứng AH Authentication Header Giao thức tiêu đề xác thực ARP Address Resolution Protocol Giao thức phân giải địa ARPA Advanced Research Project Cục nghiên cứu dự án tiên tiến Agency Mỹ ARPANET Advanced Research Project Mạng viễn thông cục nghiên cứu Agency dự án tiên tiến Mỹ ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng BGP Border Gateway Protocol Giao thức định tuyến cổng miền B-ISDN Broadband-Intergrated Service Mạng số tích hợp đa dịch vụ băng rộng Digital Network BOOTP Boot Protocol Giao thức khởi đầu CA Certificate Authority Thẩm quyền chứng nhận CBC Cipher Block Chaining Chế độ chuỗi khối mật mã CHAP Giao thức nhận thực đòi hỏi bắt tay Challenge - Handshake Authentication Protocol CR Cell Relay Công nghệ chuyển tiếp tế bào CSU Channel Service Unit Đơn vị dịch vụ kênh DCE Data communication Equipment Thiết bị truyền thông liệu DES Data Encryption Standard Thuật toán mã DES DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết liệu DNS Domain Name System Hệ thông tên miền DSL Digital Subscriber Line Công nghệ đường dây thuê bao số DSLAM DSL Access Multiplex Bộ ghép kênh DSL DTE Data Terminal Equipment Thiết bị đầu cuối số liệu EAP Extensible Authentication Giao thức xác thực mở rộng Protocol Chế độ sách mã điện tử ECB Electronic Code Book Mode ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin FCS Frame Check Sequence FDDI Fiber Distributed Data Interface Giao diện liệu cáp quang phân tán FPST Fast Packet Switched Chuỗi kiểm tra khung Kỹ thuật chuyển mạch gói nhanh Technology FR Frame Relay Công nghệ chuyển tiếp khung FTP File Transfer Protocol Giao thức truyền file GRE Generic Routing Encapsulation Đóng gói định tuyến chung HMAC Hashed-keyed Message Mã nhận thực tin băm Authenticaiton Code IBM International Bussiness Machine Công ty IBM ICMP Giao thức tin điều khiển Internet Internet Control Message Protocol Giá trị kiểm tra tính toàn vẹn ICV Intergrity Check Value IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet IKE Internet Key Exchange Giao thức trao đổi khóa IKMP Internet Key Management Giao thức quản lí khóa qua Internet Protocol IN Intelligent Network Công nghệ mạng thông minh IP Internet Protocol Giao thức lớp Internet IPSec IP Security Protocol Giao thức an ninh Internet ISAKMP Internet Security Association Giao thức kết hợp an ninh quản lí and Key Management Protocol khóa qua Internet Intergrated Service Digital Mạng số tích hợp đa dịch vụ ISDN Network ISO Tổ chức chuẩn quốc tế International Standard Organization ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initial Vector Véc tơ khởi tạo L2F Layer Forwarding Giao thức chuyển tiếp lớp L2TP Layer Tunneling Protocol Giao thức đường ngầm lớp LAN Local Area Network Mạng cục LCP Link Control Protocol Giao thức điều khiển đường truyền MAC Message Authentication Code Mã nhận thực tin MD5 Message Digest Thuật toán tóm tắt tin MD5 MTU Maximum Transfer Unit Đơn vị truyền tải lớn NAS Network Access Server Máy chủ truy nhập mạng NGN Next Generation Network Mạng hệ NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ OSI Open System Interconnnection Kết nối hệ thống mở OSPF Open Shortest Path First Giao thức định tuyến OSPF PAP Password Authentication Giao thức nhận thực lệnh Protocol PDU Protocol Data Unit Đơn vị liệu giao thức PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng POP Point - Of - Presence Điểm hiển diễn PPP Point-to-Point Protocol Giao thức điểm tới điểm PPTP Point-to-Point Tunneling Giao thức đường ngầm điểm tới điểm Protocol PSTN Public Switched Telephone Mạng chuyển mạch thoại công cộng Network RADIUS RARP Remote Authentication Dial-in Dịch vụ nhận thực người dùng quay số User Service từ xa Reverse Address Resolution Giao thức phân giải địa ngược Protocol RAS Remote Access Service Dịch vụ truy nhập từ xa RFC Request for Comment Các tài liệu tiêu chuẩn IP IETF đưa RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực RSA Rivest-Shamir-Adleman Tên trình mật mã khóa công cộng SA Security Association Liên kết an ninh SAD SA Database Cơ sở liệu SA SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1 SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản SN Sequence Number Số thứ tự SPI Security Parameter Index Chỉ số thông số an ninh SS7 Signalling System No7 Hệ thống báo hiệu số TCP Transmission Control Protocol Giao thức điều khiển truyền tải TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường TLS Transport Level Security An ninh mức truyền tải UDP User Data Protocol Giao thức liệu người sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng CHƯƠNG I NHỮNG KIẾN THỨC TỔNG QUAN VỀ IP-PN 1.1 Giới thiệu giao thức TCP/IP Tháng 6/1968, quan Bộ Quốc phòng Mỹ Cục dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt ARPA) xây dựng dự án nối kết trung tâm nghiên cứu lớn toàn liên bang với mục tiêu chia sẻ, trao đổi tài nguyên thông tin, đánh dấu đời ARPANET - tiền thân mạng Internet hôm Ban đầu, giao thức truyền thông sử dụng mạng ARPANET NCP (Network Control Protocol), sau thay giao thức TCP/IP (Transfer Control Protocol/ Internet Protocol) Bộ giao thức TCP/IP gồm tập hợp chuẩn mạng, đặc tả chi tiết cách thức cho máy tính thông tin liên lạc với nhau, quy ước cho đấu nối liên mạng định tuyến cho mạng TCP/IP có đặc điểm sau làm cho trở nên phổ biến: - Độc lập với kiến trúc mạng: TCP/IP sử dụng kiến trúc Ethernet, Token Ring, mạng cục LAN mạng diện rộng WAN - Chuẩn giao thức mở: TCP/IP thực phần cứng hay hệ điều hành Do đó, TCP/IP tập giao thức lý tưởng để kết hợp phần cứng phần mềm khác - Sơ đồ địa toàn cầu: máy tính mạng TCP/IP có địa xác định Mỗi gói liệu gửi mạng TCP/IP có Header gồm địa máy đích địa máy nguồn - Khung Client - Server: TCP/IP khung cho ứng dụng client - server mạnh hoạt động mạng cục mạng diện rộng - Chuẩn giao thức ứng dụng: TCP/IP không cung cấp cho người lập trình phương thức truyền liệu mạng ứng dụng mà cung cấp nhiều phương thức mức ứng dụng 10 Màn hình ra, chọn Custom config hình dưới: Hình 3.9 Routing and Remote Access Setup Wizard Step Sau chọn Next, hình ra: Hình 3.10 Routing and Remote Access Setup Wizard Step 73 Check vào VPN access LAN routing (để lựa chọn dịch vụ), tiếp tục chọn Next Màn hình ra: Hình 3.11 Routing and Remote Access Setup Wizard Step Rồi Finish để kết thúc trình Enable cho Routing And Remote Access Server Sau kết thúc việc setup Routing and Remote Access, xuất hộp thoại yêu cầu start dịch vụ Routing and Remote Access, chọn Yes để xác nhận việc start dịch vụ Thông báo kết thúc Configure Your Server Wizard Nhắp Finish để kết thúc Sau thực cấu hình VPN server 74 3.2.3 Cấu hình VPN server Để cấu hình VPN server ta click Start-> Programs-> Administrative Tools-> Routing and Remote Access Hình 3.12 Routing and Remote Access Để cấu hình, chuột phải vào tên server (FREE4VN-HOME), menu chuột phải chọn Properties Hình 3.13 FREE4VN-HOME Properties – Tab General 75 Cần ý đến tab General, Security IP Trong Tab General, cần kiểm tra mục Router Remote access server check Mục Router cho phép định tuyến yêu cầu từ VPN Client đến máy mạng nội Mục Remote access server cho phép VPN client kết nối đến Nên chọn LAN and demand-dial routing Hình 3.14 FREE4VN-HOME Properties – Tab Security Tab Security cho phép lựa chọn Authentication provider Accounting provider Ở lựa chọn Windows Authentication Windows Accounting Tab IP cho phép lựa chọn IP cho kết nối VPN Bước nên chọn Static address pool, sau nhắp nút Add 76 Hình 3.15 FREE4VN-HOME Properties – Tab IP Nhập giá trị vào ô Start IP address End IP address Các IP dải cấp tự động cho kết nối VPN Hình 3.16 Tab IP – New Address Range 77 3.2.4 Giới hạn cổng kết nối VPN từ Client tới Server Trong giao diện Routing and Remote Access, chuột phải vào Ports, menu chuột phải, chọn Properties Xuất hộp thoại Ports Properties Hình 3.17 Ports Properties Có thể nhận thấy số port truy nhập VPN cho PPTP L2TP 128 Mỗi port kết nối VPN từ máy client đến Server Để giảm số xuống, lựa chọn vào WAN Miniport (PPTP), sau nhắp Configure Hình 3.18 Configure Device – WAN Miniport (PPTP) 78 Ta thay đổi tham số Maximum ports từ 128 xuống Thực tương tự WAN Miniport (L2TP) Với cấu hình Server chấp nhận tối đa 10 kết nối VPN, có VPN Client sử dụng tunnel PPTP, VPN Client sử dụng tunnel L2TP 3.2.5 Tạo User cho phép sử dụng VPN Click Start->Programs->Administrative Tools->Computer Manager Giao diện Computer Manager hình dưới: Hình 3.19 Computer Manager – Local User and Groups Chọn System Tools->Local Users and Groups->Users Sau chuột phải tạo user muốn cho phép dùng VPN Ví dụ User “vpn”, Password : 123 Hình 3.20 Tạo New User 79 Như ta tạo user “vpn” Hình 3.21 New User tạo hiển thị hình Chuột phải vào user vpn vừa tạo, nhắp properties, xuất hình: Chọn Tab Dial-in Trong tab này, chọn Allow access Nếu muốn xác địa IP cấp cho VPN Client user trên, chọn Assign a Static IP Address Sau gõ địa IP dải 10.0.0.10 đến 10.0.0.100 vào ô tương ứng Sau bước này, user kết nối VPN đến VPN Server 3.2.6 Tạo kết nối VPN client đến VPN server Trên Windows 2000, Windows XP, tạo kết nối VPN đến VPN Server mà ta cài đặt cấu hình bước Dưới cách tạo kết nối VPN Client đến VPN Server Windows XP 80 - Chuột phải vào biểu tượng My Network Places desktop, menu chuột phải click Properties Xuất hộp thoại Network Connections Hình 3.22: Network Connections (VPN Client) - Nhắp vào Create a new connection Xuất hộp thoại New Connection Wizard với bước cấu hình - Click Next để tiếp tục - Chọn Connect to the network at my workplace, sau nhắp Next để tiếp tục - Chọn Virtual Private Network connection, sau click Next - Tạo tên kết nối cho VPN, gõ tên (free4vn.org) , sau click Next để tiếp tục - Gõ địa IP Server cài đặt dịch vụ VPN server Có thể dùng địa IP tĩnh gán cho Modem ADSL domain name tương ứng Nhấp Finish để kết thúc Trong Nework Connection hình có thêm connect có tên free4vn.org Để kết nối đến VPN Server, nhắp đúp vào kết nối Hộp thoại Connect hình Gõ tên password tạo cho User để sử dụng VPN Nhấp Connect để kết nối đến VPN server 81 Hình 3.23 Connect to free4vn.org (VPN Client) Sau Connect đến VPN Server, VPN Client xuất thông báo xác nhận kết nối thành công, xem hình: Hình 3.24: Kết nối VPN thành công (VPN Client) Kiểm tra kết nối: Run ->cmd ->ipconfig /all 82 Kiểm tra đường truyền mạng, hình hiển thị ta gõ lệnh “ping 192.168.1.2” lệnh “ping 10.0.0.10” Ta có kết quả: Kết nối thành công! 83 KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng môi trường mạng công cộng Internet để xây dựng mạng riêng đảm bảo an ninh Với ưu điểm mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt triển khai mở rộng, VPN công nghệ hứa hẹn triển vọng thị trường lớn Đồ án sâu tìm hiểu vấn đề kỹ thuật mô hình thực công nghệ IP-VPN Trong đó, đường ngầm tảng IP-VPN, phạm vi đồ án trình bày giao thức đường ngầm: PPTP, L2TP IPSec PPTP L2TP giao thức đường ngầm phát triển dựa giao thức PPP Hai giao thức chuẩn hoàn thiện sản phẩm hỗ trợ chúng tương đối phổ biến Đối với ứng dụng yêu cầu an toàn liệu cao IPSec giao thức thích hợp IPSec hỗ trợ phương pháp xác thực mật mã mạnh nhất, có tính linh hoạt cao không bị ràng buộc phương pháp xác thực mật mã Đây xem giao thức tối ưu cho IP-VPN tìm hiểu cách chi tiết Để thực đóng gói liệu, IPSec có hai giao thức đóng gói AH ESP Liên kết an ninh SA định tập tham số, thuật toán giao thức đóng gói (là AH hay ESP) cho liệu hai bên Giao thức trao đổi khóa IKE đảm bảo vai trò nhận thực bên tham gia thỏa thuận liên kết an ninh bên Bên cạnh đó, đồ án trình bày số thuật toán mật mã, xác thực, toàn vẹn liệu thuật toán dùng kết hợp với IPSec Hiện nay, Việt Nam có nhiều hãng cung cấp giải pháp VPN cho doanh nghiệp, hãng có cấu hình VPN riêng Theo đánh giá nhiều công ty thị trường VPN Việt Nam có tốc độ phát triển mạnh Trong giai đoạn nay, xu hướng mạng viễn thông IP hóa hay chuyển sang mạng hệ NGN Một ưu việt NGN tích hợp cố định di động Vì vậy, tương lai IP-VPN ứng 84 dụng cho điện thoại di động Khi đó, dịch vụ viễn thông linh hoạt, kết hợp truyền hình ảnh, số liệu thoại Đây hướng phát triển để tài Mặc dù cố gắng, công nghệ IP-VPN có nhiều giải pháp để thực liên quan đến nhiều giao thức thuật toán phức tạp, thời gian trình độ có hạn nên đồ án khó tránh khỏi thiếu sót Em mong nhận ý kiến đóng góp thầy cô bạn bè để sửa đổi, bổ sung cho vấn đề trình bày đồ án Thái Nguyên, 26 tháng năm 2009 Sinh viên thực : Phạm Hồng Việt 85 TÀI LIỆU THAM KHẢO 1) TCP/IP protocol suite Behrouz A Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill 2) Cải tiến giao thức Internet phiên (IPv6) Tạp chí Bưu Chính Viễn Thông- kỳ tháng 12/2003 3) Công nghệ chuyển mạch IP Chủ biên:TS.Lê Hữu Lập, Biên soạn: Ks.Hoàng Trọng Minh Học viện CNBCVT 11/2000 4) Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc 5) Understanding Virtual Private Networking Copyrignt © 2001, ADTRAN, Inc 6) VPN Technologies: Sefinitions and Requirements 7) CCSP Cisco Secure VPN Exam Certification Guide John F Roland and Mark J Newcomb Copyright © 2003 Cisco Systems, Inc 8) IPSec Copyright © 1998, Cisco Systems, Inc 9) Security Protocols Overview Copyright © 1999, RSA Data Security, Inc 10) Public Key Infranstructure Copyright © 2001, SecGo Solution Oy 11) Secure Network Communication (part I, II, III, IV) Copyright © 2002, Zurcher Hochschule Winterthur 86 CÁC WEBSITE THAM KHẢO http:// www.itu.int http:// www.ietf.org http://www.iec.org/tutorial http:// www.nhatnghe.com http://www.vpnc.org http:// www.zensoft.vn http://techguide.com http://www.vnpt.com.vn/ http://www.vnpost.mpt.gov.vn/ http://www.vnn.vn http://www.home.vnn.vn 87