HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN  BÁO CÁO BÀI TẬP LỚN MÔN HỌC AN TOÀN MẠNG RIÊNG ẢO Đề Tài: Tìm hiểu mạng VPN truy cập từ xa, xây dựng cài đặt mạng VPN loại theo giao thức Tunneling điểm-nối-điểm (PPTP) dùng hệ điều hành Windows XP cho máy truy cập từ xa Windows Server 2003 cho máy chủ Phân tích trình kết nối trao đổi thông tin Giáo viên hướng dẫn : Hoàng Thanh Nam Nhóm : Nguyễn Văn Minh Khánh Dương Lê Hải Anh Phùng Văn Dương Bùi Thị Hoài Nguyễn Thị Phấn HÀ NỘI, 2016 Mục lục Mục lục 1 CHƯƠNG 1: Mạng VPN truy cập từ xa .7 1.1 Khái quát chung VPN .7 1.1.1 Khái niệm VPN 1.2 Tổng quan mạng VPN truy cập từ xa 1.3 Ưu điểm, nhược điểm .9 1.3.1 Ưu điểm .9 1.3.2 Nhược điểm .10 1.4 Các thành phần mạng VPN truy nhập từ xa 10 1.5 Kỹ thuật Tunneling mạng VPN truy cập từ xa .13 Chương 2: Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) 14 2.1 Giao thức PPTP .14 2.2 Khái quát hoạt động PPTP 15 2.3 Duy trì đường hầm kết nối điều khiển PPTP 17 2.4 Đóng gói liệu đường hầm PPTP .18 2.5 Ưu điểm nhược điểm PPTP 20 CHƯƠNG 3: THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 21 3.1 TÌNH HUỐNG .21 3.2 PHÂN TÍCH VÀ THIẾT KẾ .21 2.2.1 Thiết bị sử dụng 21 3.2.2 Hệ điều hành giao thức 21 3.3 MÔ HÌNH TRIỂN KHAI .22 3.4 CÁC BƯỚC CÀI ĐẶT 23 3.4.1 Đại IP cho máy 23 3.4.2 Tạo User để kết nối VPN 24 3.4.3 Cấu hình VPN server .25 3.4.4 Kết nối truy cập từ xa vào VPN 28 3.5 Quá trình kết nối 31 3.6 Kết đạt 32 TÀI LIỆU THAM KHẢO 33 DANH MỤC CÁC TỪ VIẾT TẮT SỐ CỤM TỪ TT VIẾT TẮT 01 Metropolitan Area Network MAN 02 Local Area Network LAN 03 Wide Area Network WAN 04 Global Area Network GAN 05 Advanced Research Projects Agency ARPA 06 Transmission Control Protocol/Internet Protocol TCP/IP 07 File Transfer Protocol FTP 08 Wide Area Information Server/ Service WAIS 09 World Wide Web WWW 10 HyperText Markup Language HTML 11 HyperText Transfer Protocol HTTP 12 Uniform Resource Locator URL 13 Mail User Agent MUA 14 Message Transfer Agent MTA 15 Software Defined Network SDN 16 Virtual Private Network VPN 17 Point of Presence POP 18 Quality of Service QoS 19 Internet Service Provider ISP 20 Virtual Private Dial-up Network 21 Enterprise Service Provider ESP 22 Network Access Server NAS 23 Point to Point Protocol PPP 24 Layer Forwarding L2F 25 Point to Point Tunneling Protocol PPTP 26 Layer Tunneling Protocol L2TP VPDN DANH MỤC CÁC HÌNH VẼ SỐ TÊN HÌNH TT Hình Mô hình mạng VPN Hình Mô hình VPN truy cập từ xa Hình Mô hình Tunneling truy cập từ xa Hình Mô hình Tunneling điểm nối điểm Hình Giao thức IPSec Hình 10 Mô hình Client to Site LỜI NÓI ĐẦU Ngày giới bước vào kỷ nguyên bùng nổ thông tin Cùng với phát triển vũ bão phương tiện truyền thông đại chúng, lĩnh vực truyền thông máy tính phát triển không ngừng Mạng máy tính toàn cầu internet trở thành nhu cầu thiết cho người Với internet, tường ngăn cách quốc gia, văn hóa, người với ngày giảm Ngày có khoảng 50 – 60 triệu người sử dụng internet ứng dụng internet vô phong phú Từ ứng dụng truy xuất từ xa như: NC (Network Computer), WWW,VPN… mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho dịch vụ thư tín điện tử (Email), tin tức, hệ quản trị liệu phân bố…… Tuy nhiên internet làm giảm ranh giới nhà tổ chức, cá nhân với nhau, nguy an toàn, khả bị xâm phạm bí mật, tài nguyên thông tin tăng lên Theo thông kê, số vụ công xâm phạm tài nguyên thông tin internet năm tăng lên 100% so với năm trước VPN công nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguyên nội công ty từ bên thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng CHƯƠNG 1: Mạng VPN truy cập từ xa 1.1 Khái quát chung VPN 1.1.1 Khái niệm VPN Hiện giải pháp VPN (Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thông tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian Hình Mô hình mạng VPN Một mạng VPN điển hình bao gồm mạng LAN trụ sở (Văn phòng chính), mạng LAN khác văn phòng từ xa, điểm kết nối (như văn phòng gia) người sử dụng (Nhân viên di động) truy cập đến từ bên Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Có nhiều khái niệm khác mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng thiết bị nhà cung cấp Nếu xét theo góc độ đơn giản dịch vụ VPN mạng cấu thành kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho tổ chức riêng rẽ Đối tượng dịch vụ VPN doanh nghiệp, tổ chức có nhu cầu thiết lập mạng dùng riêng 1.2 Tổng quan mạng VPN truy cập từ xa VPN truy cập từ xa gọi mạng Virtural Private Dial-up Netword kết nối người dùng-đến-LAN.Remote Access VPN mô tả việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thông qua gateway VPN concentrator (bản chất server) Vì đó, giải pháp thường gọi client/server Trong giải pháp này, người dùng thường thường sử dụng công nghệ WAN truyền thống để tạo lại tunnel mạng HO họ VPN truy nhập từ xa kiểu VPN điển hình VPN thiết lập từ nơi có mạng Internet Chúng giúp mở rộng mạng công ty tới người sử dụng thông qua sở hạ tầng chia sẻ chung, sách mạng công ty trì VPN truy nhập từ xa cung cấp khả truy nhập từ xa cách an toàn từ thiết bị di động, người dùng, chi nhánh hay bạn hàng công ty Những kiểu VPN thực thông qua sở hạ tầng công cộng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL công nghệ cáp thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng Hình 1.1 : Mô hình VPN truy cập từ xa 1.3 Ưu điểm, nhược điểm 1.3.1 Ưu điểm Mạng VPN truy nhập từ xa so với phương pháp truy nhập từ xa truyền thống có ưu điểm vượt trội : – Mạng VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng trình kết nối từ xa ISP thực – Giảm chi phí cho kết nối từ khoảng cách xa chúng thay kết nối cục thông qua mạng Internet – Cung cấp dịch vụ kết nối giá rẻ cho người dùng xa – Vì kết nối truy nhập nội nên Modem kết nối hoạt động tốc độ cao so với truy nhập khoảng cách xa – VPN truy nhập từ xa cung cấp khả truy cập tốt đến site công ty chúng hỗ trợ mức thấp dịch vụ kết nối - Cho phép thiết lập kết nối an toàn, có mã hóa liệu 1.3.2 Nhược điểm Mặc dù có nhiều ưu điểm mạng VPN truy nhập từ xa tồn số khuyết điểm như: – Mạng VPN truy nhập từ xa không hỗ trợ dịch vụ đảm bảoQoS – Có nguy bị liệu cao, nguy gói tin bị phân phát không đến nơi gói – Thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng cách đáng kể 1.4 Các thành phần mạng VPN truy nhập từ xa 10 Khi nhận liệu đầu cuối đường hầm PPTP, máy trạm máy chủ PPTP thực bước sau : - Xử lý loại bỏ phần tiêu đề đuôi lớp liên kết liệu Xử lý loại bỏ tiêu đề IP Xử lý loại bỏ tiêu đề GRE PPP Giải mã và/hoặc giải nén phần tải PPP( cần thiết) Xử lý phần tải tin để nhận chuyển tiếp 2.5 Ưu điểm nhược điểm PPTP Ưu điểm PPTP thiết kế để hoạt động lớp IPSec chạy lớp mô hình OSI Bằng cách hỗ trợ việc truyền liệu lớp 2, PPTP truyền đường hầm giao thức khác IP ( ví dụ IPX, NetBEUI ) IPSec truyền gói IP đường hầm Tuy nhiên, PPTP giải pháp tạm thời hầu hết nhà cung cấp có kế hoạch thay PPTP L2TP giao thức chuẩn hóa PPTP thích hợp cho việc dial-up truy nhập với số lượng người dùng giới hạn cho VPN kết nối LAN-LAN Một vấn đề PPTP xử lý xác thực người dùng thông qua Windows Server hay thông qua RADIUS Máy chủ PPTP tải với số lượng lớn người dùng dial-up hay lượng lớn liệu truyền qua, mà điều yêu cầu kết nối LAN-LAN 20 CHƯƠNG 3: THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 3.1 TÌNH HUỐNG Xây dựng cài đặt mạng VPN loại theo giao thức Tunneling điểm-nốiđiểm (PPTP) dùng hệ điều hành Windows XP cho máy truy cập từ xa Windows Server 2008 cho máy chủ 3.2 PHÂN TÍCH VÀ THIẾT KẾ 2.2.1 Thiết bị sử dụng • Sử dụng máy sever 2008 máy win XP 3.2.2 Hệ điều hành giao thức • Hệ điều hành chủ yếu Window Server 2008 Window XP • Giao thức dùng hệ thống mạng TCP/IP 21 3.3 MÔ HÌNH TRIỂN KHAI Hình 10 Mô hình Client to Site Mô hình gồm có: • máy tính VPN SERVER cài hệ điều hành Window Server 2008, có card mạng tương ứng với địa IP 10.0.10.10 (card mạng trong) 172.16.10.10 (card mạng ngoài) • máy Window XP mạng LAN có địa IP 10.0.10.12 • máy Window XP truy cập từ xa có địa IP 172.16.10.12 Yêu cầu đặt ra: Máy tính CLIENT truy cập từ xa vào máy XP theo giao thức Tunneling điểm nối điểm (PPTP) Rồi dùng Wiresharh để bắt gói tin 22 3.4 CÁC BƯỚC CÀI ĐẶT 3.4.1 Đại IP cho máy máy winsever 2008 có card mạng máy win xp mạng nội bộ-Địa Ip 10.0.10.12 máy win xp truy cập từ xa-Địa Ip 172.16.10.12 23 3.4.2 Tạo User để kết nối VPN Tạo user tên nhom1 Điền đầy đủ thong tin ấn Create 24 3.4.3 Cấu hình VPN server 3.4.3.1 Tạo Roles= Sever manager>Roles>add Roles Sau ấn next> chọn Network Policy and Access Servicer 25 Tiếp tục chọn Install> chọn Ruoting and remote Access Sevices Chọn next chờ lát cài đặt xong 26 3.4.3.2 Cấu hình Routing and enable routing Chọn Routing and enable routing rồi chọn next Chọn remote access ( dial ỏ VPN) ấn next 27 Trong bạn chọn VPN ấn next Tiếp theo cấu hình địa IP truy cập từ xa 172.16.10.10 ip nội 10.0.10.10 ấn Finish Như ta cấu hình xong VPN SV 3.4.4 Kết nối truy cập từ xa vào VPN Tại may xp địa 172.16.10.12 ta vào Network connections> Create a new connections>rồi ấn Next 28 Tiếp ta chọn VPN connection> tên kết nối VPN> Địa IP VPN sv (172.16.10.10) ấn finish tên user nhập bước đầu vào properties>Networking> PPTP VPN 29 Ấn ok ta kết nối xong 30 3.5 Quá trình kết nối Với máy chạy win xp : máy có địa ip : 172.16.10.12 đóng vai trò - người dùng truy nhập từ xa máy có địa ip : 10.0.10.12 đóng vai trò máy khu vực trung tâm Máy cài win server 2008 sử dụng để cấu hình VPN server cài đặt giao thức PPTP để thiết lập đường hầm, máy người dùng truy nhập từ xa máy khu vực trung tâm thực việc giao tiếp, trao đổi chia sẻ file liệu qua đường hầm thiết lập - Ban đầu kết nối VPN thiết lập liên kết PPP LCP, nguồn đầu cuối không sử dụng trường gói LCP Code, Identifier, - Length Sau máy xp kết nối xác thực nút phương thức CHAP 31 - Tiếp theo cấu hình NCP: giao thức chọn IP, giao thức chọn tầng Network IP(code-0x8021) Sau trình kiểm tra kết nốt LCP trình truyền tải dự liệu kết nối qua điểm đầu- cuối Máy VPN server thực giao tiếp với máy khu vực có địa IP10.0.10.12 giao tiếp trao đổi thông tin qua máy IP:172.16.10.12 Máy user remote có thực việc gửi file liệu đến máy khu vực center qua đường hầm sau sử dụng Wiresharh để bắt gói tin chuyển qua thực việc phân tích gói tin 3.6 Kết đạt Gói tin gửi đường hầm giao thức PPTP không bị mã hóa nên ta xem trình trao đổi liệu gói tin 32 - Các gói tin đóng gói giao thức GRE bên IP tunnels để tạo thành kết nối điểm-điểm (point-to-point) - Các gói tin truyền qua đường hầm PPTP điều khiển giao thức TCP TÀI LIỆU THAM KHẢO [1] http://www.911.com.vn [2] http://www.quantrimang.com.vn [3] http://www.vnexperts.net [4] http://www.vnmedia.vn [5] http://www.dientuvienthong.net [6] http://www.pcworld.com.vn [7] http://elearning.vnunited.com 33 34