Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộngthường là Internet để kết nối các địa điểm hoặc người sử dụng từ xa với mộtmạng LAN ở trụ sở trung tâm.. Tổng quan mạng VP
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO BÀI TẬP LỚN MÔN HỌC
AN TOÀN MẠNG RIÊNG ẢO
Đề Tài: Tìm hiểu về mạng VPN truy cập từ xa, xây dựng cài đặt mạng VPN loại
này theo giao thức Tunneling điểm-nối-điểm (PPTP) dùng hệ điều hành Windows
XP cho máy truy cập từ xa và Windows Server 2003 cho các máy chủ Phân tích
quá trình kết nối trao đổi thông tin
Giáo viên hướng dẫn : Hoàng Thanh Nam
Nhóm 1 : Nguyễn Văn Minh Khánh Dương
Lê Hải Anh
Trang 2CHƯƠNG 1: Mạng VPN truy cập từ xa 7
1.1 Khái quát chung VPN 7
1.1.1 Khái niệm VPN 7
1.2 Tổng quan mạng VPN truy cập từ xa 8
1.3 Ưu điểm, nhược điểm 9
1.3.1 Ưu điểm 9
1.3.2 Nhược điểm 10
1.4 Các thành phần chính của mạng VPN truy nhập từ xa 10
1.5 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 13
Chương 2: Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) 14
2.1 Giao thức PPTP 14
2.2 Khái quát hoạt động của PPTP 15
2.3 Duy trì đường hầm bằng kết nối điều khiển PPTP 17
2.4 Đóng gói dữ liệu đường hầm PPTP 18
2.5 Ưu điểm và nhược điểm của PPTP 20
CHƯƠNG 3: THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 21 3.1 TÌNH HUỐNG 21
3.2 PHÂN TÍCH VÀ THIẾT KẾ 21
2.2.1 Thiết bị sử dụng 21
3.2.2 Hệ điều hành và giao thức 21
3.3 MÔ HÌNH TRIỂN KHAI 22
3.4 CÁC BƯỚC CÀI ĐẶT 23
3.4.1 Đại chỉ IP cho các máy 23
3.4.2 Tạo User để kết nối VPN 24
3.4.3 Cấu hình VPN server 25
3.4.4 Kết nối truy cập từ xa vào VPN 28
3.5 Quá trình kết nối 31
3.6 Kết quả đạt được 32
TÀI LIỆU THAM KHẢO 33
Trang 3DANH MỤC CÁC TỪ VIẾT TẮT
Trang 405 Advanced Research Projects Agency ARPA
06 Transmission Control Protocol/Internet
08 Wide Area Information Server/ Service WAIS
20 Virtual Private Dial-up Network VPDN
25 Point to Point Tunneling Protocol PPTP
Trang 53 Hình 7 Mô hình Tunneling truy cập từ xa
4 Hình 8 Mô hình Tunneling điểm nối điểm
5 Hình 9 Giao thức IPSec
6 Hình 10 Mô hình Client to Site
Trang 6LỜI NÓI ĐẦU
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sựbùng nổ thông tin Cùng với sự phát triển như vũ bão của các phương tiệntruyền thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triểnkhông ngừng Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầubức thiết cho mọi người Với internet, bức tường ngăn cách giữa các quốc gia,giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi.Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và các ứngdụng trên internet là vô cùng phong phú Từ các ứng dụng truy xuất từ xanhư: NC (Network Computer), WWW,VPN… thì mạng máy tính đồng thờicung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử (Email),tin tức, các hệ quản trị dữ liệu phân bố……
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữacác cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bímật, các tài nguyên thông tin cũng tăng lên Theo thông kê, số vụ tấn công vàxâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so vớinăm trước
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết
nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoàithông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng
ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thôngtrên một hệ thống mạng riêng
Trang 7CHƯƠNG 1: Mạng VPN truy cập từ xa
1.1 Khái quát chung VPN
1.1.1 Khái niệm VPN
Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho
những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt độngrộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến
từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian
Hình 1 Mô hình mạng VPN cơ bản
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Vănphòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kếtnối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cậpđến từ bên ngoài
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với mộtmạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp nhưđường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internetgiữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa
Trang 8Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một
tổ chức riêng rẽ Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các
tổ chức có nhu cầu thiết lập mạng dùng riêng
1.2 Tổng quan mạng VPN truy cập từ xa
VPN truy cập từ xa còn được gọi là mạng Virtural Private Dial-up Netword làmột kết nối người dùng-đến-LAN.Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server)
Vì đó, giải pháp này thường được gọi là client/server Trong giải pháp này, người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ
VPN truy nhập từ xa là kiểu VPN điển hình nhất vì những VPN này có thể thiết lập từ bất cứ nơi nào có mạng Internet Chúng giúp mở rộng mạng của công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trongkhi những chính sách mạng công ty vẫn duy trì VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa một cách an toàn từ những thiết bị di động, những người dùng, những chi nhánh hay những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách
sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng
Trang 9– Cung cấp dịch vụ kết nối giá rẻ cho những người dùng ở xa.
– Vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc
độ cao hơn so với các truy nhập khoảng cách xa
– VPN truy nhập từ xa cung cấp khả năng truy cập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối
- Cho phép thiết lập các kết nối an toàn, có mã hóa dữ liệu
Trang 101.3.2 Nhược điểm
Mặc dù có khá nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn tồn tại một số khuyết điểm như:
– Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảoQoS
– Có nguy cơ bị mất dữ liệu cao, hơn nữa nguy cơ các gói tin có thể bị phân phát không đến nơi hoặc mất gói
– Thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể
1.4 Các thành phần chính của mạng VPN truy nhập từ xa
Trang 11- Remote Access Server(RAS): thiết bị này được đặt tại trung tâm, một
VPN server là một máy tính chạy hệ điều hành Windows server, trên máynày có cài đặt các dịch vụ định tuyến và truy cập từ xa
Hình 1.2 : mô hình non – VPN Remote Access
Chức năng của VPN server gồm :
• Lắng nghe các yêu cầu kết nối của các giao thức PPTP hay L2TP
• Xác thực và cấp thẩm quyền cho các liên kết VPN trước khi cho phép truyền dữ liệu
• Đóng vai trò của một router chuyển tiếp dữ liệu giữa các VPN client
và các tài nguyên có trong mạng cục bộ của tổ chức
Trang 12• Đóng vai trò của một điểm cuối trên tuyến truyền VPN đi từ phía client
Các VPN server thường được cài đặt thêm 2 adapter, một bộ để nối với mạng Internet cái còn lại được nói với hệ thống mạng cục bộ của tổ chức
- Remote Access client :bằng việc triển khai Remote Access VPN qua
Internet những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cầnthiết lập một kết nối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó
có thể kết nối đến tài nguyên của doanh nghiệp thông qua VPN truy nhập từ xa
Remote Access client có thể là bất kỳ một máy tính nào mà tạo được các liên kết PPTP sử dụng dịch vụ MPEE hay liên kết L2TP sử dụng dịch vụ mã hóa IPSec
• Connection Manager Administration Kit (CMAK) : người quản trị mạng có thể chỉnh sửa hình thức và phương thức hoạt động của một kết nối được tạo bởi CM bằng việc sử dụng CMAK CMAK giúp người quản trị xây dựng một trình quay số ở phía client và một phần mềm kết nối cho phép người dùng có thể kết nối đến mạng đó bằng cách chỉ sử dụng các tính năng mà người quản trị mạng đã định ra cho họ
• Connection Point Services (CPS) : cho phép nhà quản trị tự động phân phát và cập nhật danh bạ liên lạc, các danh bạ này có chứa một hay nhiều mục POP Mỗi POP cho ta một số điện thoại mà qua
đó ta có được các truy cập và Intrenet thông qua thủ tục quay số
Trang 13với số điện thoại đó Các danh bạ cung cấp cho người dùng toàn bộthông tin về POP, như vậy trong khi di chuyển người dùng vẫn có thể kết nối đến nhiều điểm truy cập khác nhau thay vì bị hạn chế bởi một POP duy nhất.
- Cơ sở hạ tầng mạng Internet : để tạo một kết nối mạng riêng ảo đến
một VPN server qua Internet ta cần lưu ý những điểm sau :
• Phải có được tên của VPN server
• Phải truy cập được đến VPN server
• Truyền thông VPN phải đợc cho phép theo chiều đến và đi khỏi VPN server
- Hạ tầng mạng Intranet : đây là một yếu tố quan trọng trong việc thực
hiện mô hình VPN truy cập từ xa Nếu không được thiết kế đúng, các VPN client sẽ không thể có được các địa chỉ IP chính xác, các gói tin cũng sẽ không được chuyển tiếp đúng giữa các VPN client và các tài nguyên có trong mạng nội b
1.5 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Các giao thức được thiết lập dựa trên cấu trúc cơ, hầuhết mạng riêng ảo VPN
sử dụng kỹ thuật Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những “đường hầm” riêng (tunnel) Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cần nhận dữ liệu Đểthiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol)
Trang 14- Kỹ thuật Tunneling trong mạng VPN truy cập từ xa :
Với loại VPN truy nhập từ xa Tunneling thường sử dụng giao thức điểm PPP, là một phần của TCP/IP- PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.Các giao thức dùng trong mạng VPN truy cập từ xa :
điểm-nối- L2F - Layer 2 Forwarding được Cisco phát triển, L2 F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
PPTP - Point-to-Point Tunneling Protocol được tập đoàn PPTP Forum phát triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ
cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
L2TP - Layer 2 Tunneling Protocol là sản phẩm hợp tác giữa các thành viên PPTP Forum, Cisco và IETF
Chương 2: Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol)
2.1 Giao thức PPTP
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point
to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã
Trang 15Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI
Telematicsunication và US robotic Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạtầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thểtạo một đường hầm bảo mật tới mạng riêng của họ
Hình 9 Giao thức PPTP
2.2 Khái quát hoạt động của PPTP
PPP đã trở thành giao thức truy nhập Internet và các mạng IP rất phổbiến hiện nay, nó làm việc ở lớp liên kết dữ liệu (Datalink Layer) trong môhình OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại dữ liệukhác nhau để truyền nối tiếp, PPP có thể đóng các gói tin IP, IPX và NetBEUI
để truyền đi trên kết nối điểm – điểm từ máy gửi đến máy nhận
PPTP đóng gói các khung dữ liệu của giao thức PPP và các IPdatagram để truyền qua mạng IP (Internet hoặc Intranet) PPTP cùng một kết
Trang 16nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đườnghầm và một phiên bản của giao thức GRE để đóng gói các khung PPP Phầntải tin của khung PPP có thể được mật mã hóa và/hoặc nén.
PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý
- Xác thực người sử dụng
-Tạo các gói dữ liệu PPP
PPTP giã định tồn tại một mạng IP giữa PPTP client và PPTP server.PPTP client có thể được kết nối trực tiếp thông qua việc dial-up tới máy chủtruy nhật mạng NAS để thiết lập kết nối IP Khi một kết nối PPP được thiếtlập thì người dùng thường đã được xác thực, đây là giai đoạn tùy chọn trongPPP, tuy nhiên nó luôn được cung cấp bởi các ISP
Việc xác thực trong quá trình thiết lập kết nối dựa vào trên PPTP sửdụng các cơ chế xác thực của kết nối PPP Các cơ chế xác thực có thể là:
- EAP (Extensible Authentication Protocol): Giao thức xác thực mởrộng
- CHAP ( Challenge Handshake Authentication Protocol ) : Giao thứcxác thực đòi hỏi bắt tay
- PAP (Password Authentication Protocol): Giao thức xác thực mật khẩu.Với PAP, mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản(clear text), không có bảo mật, CHAP là một giao thức xác thực mạnhhơn phương thức bắt tay ba bước CHAP chống lại các vụ tấn côngquay lại bằng cách sử dụng các giá (Challenge Value) duy nhất vàkhông thể đoán trước được
- PPTP cũng thừa hưởng vật mật mã và /hoặc nén phần tải tin từ PPP Đểmật mã phần tải tin, PPP có thể sử dụng phương thức mã hóa điểm –tới – điểm MPPE (Microsoft Point to Point Encryption) Nếu cần sửdụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã
Trang 17lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP đã được thiếtlập.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các qui luật đóng gói củaPPP để đóng gói truyền trong đường hầm Để tận dụng ưu điểm của kết nốitạo ra bỏi PPP, PPTP định nghĩa hai loại gói là gói điều khiển và gói dữ liệu,sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu.PPTP phân tách các kênh điều khiển và kênh dữ liệu với giao thức TCP vàluồng dữ liệu với giao thức IP Kết nối TCP tạo giữa máy trạm PPTP và máychủ PPTP được sử dụng để truyền tải thông báo điều khiển
2.3 Duy trì đường hầm bằng kết nối điều khiển PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP(cổng TCP được cấp phát ngẫu nhiên) và địa chỉ IP của máy chủ PPTP (sửdụng cổng mặc định là 1723) Kết nối điều khiển PPTP mang các bản tin điềukhiển cà quản lý được sử dụng để duy trì đường hầm PPTP Các bản tin nàybao gồm PPTP echo-request và PPTP echo-reply định kỳ để phát hiện các lỗikết nối giữa các máy trạm và máy chủ PPTP Các gói của kết nối điều khiểnPPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đềphần đuôi của lớp liên kết dữ liệu