BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO THỰC TẬP CƠ SỞ CHUYÊN NGÀNH ĐỀ TÀI: Nghiên cứu, triển khai mạng riêng ảo IPSec VPN Khóa : AT13 – Nhóm: 114 Giáo viên hướng dẫn : Ths Lê Thị Hồng Vân Sinh viên thực : Lê Sỹ Nhiên Nguyễn Ngọc Ánh Vũ Thị Tâm Hà Nội, tháng 10 năm 2019  Ý kiến nhận xét giáo viên hướng dẫn MỤC LỤC Danh mục hình ảnh Danh mục từ viết tắt VPN Virtual Private Network AH Authentication Header ESP Encapsulating Security Protocol ISP Internet Service Provide WAN Wide Area Network LAN Local Area Network RRAS Routing and Remote access RADIUS Remote Authentication Dial In User Service L2TP Layer Tunneling Protocol SSTP Secure Socket Tunneling Protocol PPTP Point-to-Point Tunneling Protocol IAS International Accouting Standard GRE Generic Routing Encapsulation IP Internet Protocol IPSec Internet Protocol Security DARPA Defense Advanced Research Projects Agency NIST National Institute of Standard and Technology IETF Internet Engineering Task Force PAP Password Authentication Protocol CHAP Challenge-Handshake Authentication Protocol EAP Extensible Authentication Protocol TCP Transmission Control Protocol ATM Asynchronous Transfer Mode FR Frame Relay PPP Point-to-point Protocol UDP User Datagram Protocol NAS Network Access Server LAC L2TP Access Concentrator LNS L2TP Network Service SSL Secure Sockets Layer HTTP, HTTPs Hypertext Tranfer Protocol , Hypertext Tranfer Protocol Sercurity IKE Internet Key Exchange ICV Integrity Check Value DES, 3DES Data Encryption Security, Triple Data Encryption Security SADB Security Association Database ISAKMP Internet Security Association and Key Management Protocol LỜI MỞ ĐẦU Hiện Internet phát triển mạnh mẽ mặt mơ hình lẫn tổ chức, đáp ứng đầy đủ nhu cầu người sử dụng Internet thiế kế để kết nối nhiều mạng với nhauvà cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày trở nên phổ biến Không vậy, nhiều doanh nghiệp triển khai đội ngũ bán hàng đến tận người dùng Do để kiểm sốt, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả hỗ trợ truy cập, truy xuất thơng tin từ xa Tuy nhiên việc truy xuất sở liệu từ xa ln đòi hỏi cao vấn đề an toàn, bảo mật VPN – Vitual Private Network đời lựa chọn số hầu doanh nghiệp tổ chức muốn đảm bảo chắn độ an tồn tính bảo mật tồn hệ thống, giải pháp tiết kiệm chi phí đầu tư sở hạ tầng mạng VPN xây dựng cở sở hạ tầng có sẵn mạng Internet Với giá hợp lý dễ sử dụng, VPN giúp doanh nghiệp tiếp xúc tồn cầu cách nhanh chóng hiệu quảso với giải pháp mạng WAN, LAN Tuy nhiên, song song với tiện ích khơng thể phủ nhận mà mạng mang tới, người dùng đối mặt với hàng loạt nguy mà nguy hàng đầu bị đánh cắp thông tin, thay đổi thông tin truyển tải cách có chủ đích Bài tốn đặt làm để bảo mật an toàn cho liệu trình truyền qua mạng? Làm bảo vệ chống lại cơng q trình truyền tải liệu đó? IPSec giải pháp khả dụng sau tìm hiểu bảo mật liệu qua mạng Internet việc sử dụng giao thức IPSec Là sinh viên khoa ATTT, với kiến thức học với mong muốn tìm hiểu, nghiên cứu sâu giao thức IPSec VPN chúng em chọn đề tài: “Nghiên cứu, triển khai mạng riêng ảo IPSec VPN” làm đề tài thực tập sở Trước vào báo cáo, chúng em xin chân thành cảm ơn cô Lê Thị Hồng Vân - giáo viên hướng dẫn giúp đỡ chúng em nhiều để hoàn thành đề tài thực tập sở CHƯƠNG TỔNG QUAN VỀ VPN Cùng với phát triển mạnh mẽ công nghiệp, nhu cầu trao đổi thông tin, liệu tổ chức, công ty, tập thể cá nhân trở nên thiết Internet bùng nổ Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… trở nên dễ dàng Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chức hay phủ quản lý , việc đảm bảo an toàn bảo mật liệu hay quản lý dịch vụ vấn đề lớn cần phải giải Từ nhà khoa học nghiên cứu đưa mô hình mạng mới, nhằm đáp ứng nhu cầu mà tận dụng sở hạ tầng có Internet, mơ hình mạng riêng ảo (VPN – Virtual Private Network ) Với mơ hình này, đầu tư thêm nhiều trang thiết bị , sở hạ tầng mà đảm bảo tính bảo mật, độ tin cậy đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà riêng, đường hay văn phòng chi nhánh kết nối an tồn đến máy chủ tổ chức sở hạ tầng cung cấp mạng cơng cộng Nó đảm bảo an tồn thơng tin tổ chức, cơng ty chi nhánh, văn phòng, người cung cấp hay đối tác kinh doanh môi trường truyền thông rộng lớn Như đặc tính quan trọng VPN sử dụng mạng cơng cộng Internet, mà đảm báo tính bảo mật tiết kiệm chi phí 1.1 Lịch sử phát triển Sự xuất mạng chuyên dùng ảo, gọi mạng riêng ảo (VPN), bắt nguồn từ yêu cầu khách hàng (client), mong muốn kết nối cách có hiệu với tổng đài thuê bao (PBX) lại với thông qua mạng diện rộng (WAN) Trước kia, hệ thống điện thoại nhóm mạng cục (LAN) trước sử dụng đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực việc thông tin với Các mốc đánh dấu phát triển VPN: - Năm 1975, Franch Telecom đưa dịch vụ Colisee, cung cấp dịch vụ dây chuyên dùng cho khách hàng lớn Colisee cung cấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ vào lượng dịch vụ mà đưa cước phí nhiều tính quản lý khác - Năm 1985, Sprint đưa VPN, AT&T đưa dịch vụ VPN có tên riêng mạng định nghĩa phần mềm SDN - Năm 1986, Sprint đưa Vnet, Telefonica Tây Ban Nha đưa Ibercom - Năm 1988, nổ đại chiến cước phí dịch vụ VPN Mỹ, làm cho số xí nghiệp vừa nhỏ chịu cước phí sử dụng VPN tiết kiệm gần 30% chi phí, kích thích phát triển nhanh chóng dịch vụ Mỹ - Năm 1989, AT&T đưa dịch vụ quốc tế IVPN GSDN - Năm 1990, MCI Sprint đưa dịch vụ VPN quốc tế VPN; Telstra Ô-xtrâyli-a đưa dich vụ VPN rong nước khu vục châu Á – Thái Bình Dương - Năm 1992, Viễn thông Hà Lan Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN - Năm 1993, AT&T, KDD viễn thơng Singapo tun bố thành lập Liên minh tồn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, có dịch vụ VPN - Năm 1994, BT MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)… - Năm 1995, ITU-T đưa khuyến nghị F-16 dịch vụ VPN toàn cầu (GVPNS) - Năm 1996, Sprint viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One - Năm 1997 coi năm rực rỡ cơng nghệ VPN, Cơng nghệ có mặt khắp tạp chí khoa học cơng nghệ, hội thảo…Các mạng VPN xây dựng sở hạ tầng mạng Internet công cộng mang lại khả mới, nhìn cho VPN Công nghệ VPN giải pháp thông tin tối ưu cho cơng ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn Ngày nay, với phát triển công nghệ, sở hạ tầng mạng IP (Internet) ngày hoàn thiện làm cho khả VPN ngày hồn thiện Hiện nay, VPN khơng dùng cho dịch vụ thoại mà dùng cho dịch vụ liệu, hình ảnh dịch vụ đa phương tiện 1.2 Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng (Private Network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng đường leased-line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà đảm bảo tính an tồn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi gọi Tunnel , Tunnel giống kết nối point-to-pointtrên mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa theo chế giấu đi, cung cấp phần đầu gói tin (header) thơng tin đường cho phép tới đích thơng qua mạng cơng cộng cách nhanh chống liệu mã hóa cách cẩn thận packet bị bắt đường truyền cơng cộng khơng thể đọc nội dung khơng có khóa đề giải mã, liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1 Mơ hình kết nối VPN 1.3 Các thành phần tạo nên VPN Để triển khai hệ thống VPN bạn cần có số thành phần sau, việc tạo hệ thống VPN người có lựa chọn thành phần khác để phù hợp với cơng ty hay mục đích người 1.3.1 VPN client Một khách hàng VPN máy tính định tuyến Loại VPN khách hàng sử dụng cho mạng công ty thực phụ thuộc vào nhu cầu cá nhân cơng ty Mặt khác, cơng ty có vài nhân viên người du lịch thường xuyên cần phải truy cập vào mạng công ty đường đi, bạn hưởng lợi từ việc thiết lập máy tính xách tay nhân viên VPN khách hàng Về mặt kỹ thuật, hệ điều hành hoạt động VPN khách hàng miễn hỗ trợ PPTP, L2TP, giao thức IPSec Trong hệ điều hành Microsoft, bạn sử dụng 2007, 2008 chí Window 2010 1.3.2 VPN Server Các máy chủ VPN hoạt động điểm kết nối cho khách hàng VPN Về mặt kỹ thuật, sử dụng Windows 2008 Server, Windows Server 2012 hay Window Server 2016 máy chủ VPN VPN Server đơn giản Nó máy chủ cứng Windows Server 2012 chạy Routing Remote Access (RRAS) Khi kết nối VPN chứng thực, máy chủ VPN đơn giản hoạt động định tuyến cung cấp cho khách hàng VPN truy cập đến mạng riêng 10 • Bước 5: Cấu hình VPN sử dụng giao thức L2TP/IPSec Vào Tools, chọn Routing and Remote Access Chuột phải vào Server chọn Configure and Enable Routing and Remote Access 57 Nhấn Next Chọn Remote access, click Next 58 Chọn VPN, click Next Chọn card WAN, nhấn Next 59 Chọn From a specified range of addresses, click Next Vào New, điền địa IP để VPN cấp phát, nhấn OK, click Next 60 Chọn No, click Next Click Finish, chọn OK 61 Chuột phải vào Server, chọn Properties Vào Security, tích Allow custom Ipsec, đặt Preshared Key: 12345678, nhấn Apply, click ok 62 Chuột phải vào Port, chọn Properties Lần lượt chọn vào Port SSTP-PPTP-IKEv2-PPPOE, sau nhấn Configure, bỏ hết tích, nhấn ok 63 Restart lại Server Lúc thấy cho phép kết nối cổng L2TP 64 • Bước 6: Trên Win7Client, tạo kết nối VPN Mở Netwwork and sharing center, chọn Setup a new connection or network Chọn Connect to workplace, nhấn Next 65 Chọn Use my Internet connection (VPN) Chọn I will set up an Internet connection later 66 Nhập IP card WAN VPN Server (123.1.1.1), nhấn Next Nhập tài khoản “test ” tạo trước đó, nhấn Create 67 Chuột phải vào VPN vừa tạo, chọn Properties Vào Security, Type of VPN chọn L2TP/IPSec, nhấn Advanced settings 68 Nhập preshared key (12345678) đặt, nhấn OK Chuột phải vào VPN, chọn Connect, connect tài khoản “test ” 69 Bước 7: Kiểm tra kết nối VPN Kiểm tra thấy có kết nối VPN Từ máy Win7Client ping thông tới File Server Từ Client truy cập tài nguyên mà File Server chia sẻ 70 TÀI LIỆU THAM KHẢO Kỹ thuật mạng riêng ảo – VPN, Tác giả: TS Trần Cơng Hùng, Học viện Cơng nghệ Bưu Viễn thông, 2002 Bảo mật quản trị mạng, Tác giả: Nguyễn Thanh Quang, NXB Văn hóa thơng tin Hà Nội, 2006 Website: http://www.quantrimang.com Website: http://en.wikipedia.org Website: http://www.technet.microsoft.com 71 ... liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (Tunnel) Hình 1 Mơ hình kết nối VPN 1.3 Các thành phần tạo nên VPN Để triển khai hệ thống VPN bạn... khả triển khai xác nhận IPSec gói liệu • Ngồi việc triển khai L2TP gặp số bất lợi sau: - L2TP chậm so với PPTP hay L2F dùng IPSec để xác nhận gói liệu nhận - Mặc dù PPTP lưu chuyển giai pháp VPN. .. truy cập VPN có liên quan đến ISA Server khơng phải máy chủ VPN ISA Server sau hoạt động proxy VPN Cả hai khách hàng VPN VPN Server giao tiếp với máy chủ ISA Họ không giao tiếp trực tiếp với Điều