Mục tiêu sau khi nghiên cứu và thử nghiệm thành công OpenVPN trên ubuntu thì sẽ ứng dụng mô hình triển khai OpenVPN này cho các doanh nghiệp lớn, cũng như là doanh nghiệp vừa và nhỏ. Nhiệm vụ nghiên cứu là tìm hiểu để nắm rõ OpenVPN là gì, đưa ra các bảng so sánh, phân tích, đánh giá ưu và nhược điểm của OpenVPN, các giao thức được sử dụng và triển khai OpenVPN trên ubuntu
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT-HÀN KHOA KHOA HỌC MÁY TÍNH - - ĐỒ ÁN TỐT NGHIỆP NGÀNH MẠNG MÁY TÍNH ĐỀ TÀI ỨNG DỤNG OPENVPN TRONG BẢO MẬT HỆ THỐNG MẠNG CHO DOANH NGHIỆP Sinh viên thực hiện: Lê Long Bảo Lớp : CCMM03A Niên khóa : 2009 - 2012 Cán hướng dẫn : Lê Kim Trọng Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Đà Nẵng, tháng năm 2012 LỜI CẢM ƠN Để hoàn thành đồ án tốt nghiệp này, lời em xin chân thành cảm ơn thầy giáo, cô giáo Khoa Khoa Học Máy Tính, người dạy dỗ, trang bị cho em kiến thức bổ ích năm học vừa qua Em xin bày tỏ lòng biết ơn sâu sắc tới thầy Lê Kim Trọng, người tận tình hướng dẫn em suốt trình làm đồ án Một lần em xin chân thành cảm ơn giúp đỡ thầy cô Đà nẵng, ngày tháng năm 2012 Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT Từ viết tắt VPN GNU FSF GCC PMMNM GPL DLL WAN L2F L2TP PPTP GRE Sinh viên: Lê Long Bảo – MM03A Ý nghĩa Virtual Private Network General Public License Free Software Foundation GNU C Compiler Phần mềm mã nguồn mở General Public License Dynamic Link Library Wire Area Network Layer Forwarding Layer Tunneling Protocol Point-to-Point Tunneling Protocol Generic Routing Encapsulation Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp DANH MỤC BẢNG BIỂU Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp DANH MỤC HÌNH VẼ, ĐỒ THỊ MỞ ĐẦU Lý chọn đề tài Hiện nay, doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày trở nên phổ biến Không vậy, nhiều doanh nghiệp triển khai đội ngũ bán hàng đến tận người dùng Do đó, để kiểm sốt, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên, việc truy xuất sở liệu từ xa ln địi hỏi cao vấn đề an toàn, bảo mật Để giải vấn đề này, nhiều doanh nghiệp chọn giải pháp mạng riêng ảo VPN (Virtual Private Network) với nhiều cấp độ bảo mật, trang thiết bị dễ tìm mua Mục tiêu nhiệm vụ nghiên cứu Mục tiêu sau nghiên cứu thử nghiệm thành công OpenVPN ubuntu ứng dụng mơ hình triển khai OpenVPN cho doanh nghiệp lớn, doanh nghiệp vừa nhỏ Nhiệm vụ nghiên cứu tìm hiểu để nắm rõ OpenVPN gì, đưa bảng so sánh, phân tích, đánh giá ưu nhược điểm OpenVPN, giao thức sử dụng triển khai OpenVPN ubuntu Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp - Hệ điều hành mã nguồn mở Ubuntu - Mơ hình VPN giao thức liên quan Phạm vi nghiên cứu: Mơ hình doanh nghiệp vừa nhỏ Phương pháp nghiên cứu Tổng hợp từ tài liệu tiếng anh tiếng việt thu thập để làm phần sở lý thuyết, kết hợp với việc tìm hiểu câu lệnh cài đặt, cấu hình liên quan đến mã nguồn mở OpenVPN, ứng dụng phần mềm máy ảo vmware để làm phần demo thực nghiệm Ý nghĩa khoa học thực tiễn Ý nghĩa khoa học: + giúp sinh viên nắm kiến thức mạng máy tính phần mềm nguồn mở + Hiểu chế cách thức làm việc giao thức bảo mật VPN Ý nghĩa thực tiễn: + Giúp nhân viên doanh nghiệp kết nối từ xa an tồn + Có thể ứng dụng mơ hình triển khai OpenVPN cho doanh nghiệp vừa nhỏ Nội dung đồ án Nội dung đồ án trình bày gồm chương: - Chương 1: Tổng quan mạng máy tính - Chương 2: Tổng quan phần mềm nguồn mở - Chương 3: Công nghệ VPN giao thức hỗ trợ - Chương 4: Mơ hình hệ thống triển khai OpenVPN Ubuntu Server - Cuối kết luận tài liệu tham khảo Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.1 TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.1.1 Lịch sử hình thành Máy tính thập niên 1940 thiết bị cơ-điện-tử lớn dễ hỏng Sự phát minh transitor bán dẫn vào năm 1947 tạo hội làm máy tính nhỏ đáng tin cậy Năm 1950, máy tính lớn chạy chương trình ghi thẻ đục lỗ bắt đầu dùng học viện lớn Điều tạo nhiều thuận lợi với máy tính có khả lập trình có nhiều khó khăn việc tạo chương trình dựa thẻ đục lỗ Vào cuối thập niên 1950, người ta phát minh mạch tích hợp IC chứa nhiều transitor mẫu bán dẫn nhỏ, tạo bước nhảy vọt việc chế tạo máy tính mạnh hơn, nhanh nhỏ Đến nay, IC chứa hàng triệu transitor mạch Vào cuối thập niên 1960, đầu thập niên 1970, máy tính nhỏ gọi minicomputer bắt đầu xuất Năm 1997, cơng ty máy tính Apple Computer giới thiệu máy vi tính gọi máy tính cá nhân (personal computer - PC) Năm1981, IBM đưa máy tính cá nhân Sự thu nhỏ ngày tinh vi IC đưa đến việc sử dụng rộng rãi máy tính cá nhân nhà kinh doanh Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Vào thập niên 1980, người sử dụng dùng máy tính độc lập bắt đầu chia sẻ tập tin cách dùng modem kết nối máy tính khác Cách thức gọi điểm nối điểm, hay truyền theo kiểu quay số Khái niệm mở rộng cách dùng máy tính trung tâm truyền tin kết nối quay số Các máy tính gọi sàn thông báo Các người dùng kết nối đến sàn thông báo này, để lại hay lấy thơng điệp, gửi lên hay tải tập tin Hạn chế hệ thống có hướng truyền tin, với biết sàn thơng báo Ngồi ra, máy tính sàn thông báo cần modem cho kết nối, số lượng kết nối tăng lên, hệ thống đáp ứng nhu cầu Qua thập niên 1950, 1970, 1980, 1990, Bộ Quốc Phòng Hoa Kỳ phát triển mạng diện rộng WAN có độ tin cậy cao, nhằm phục vụ mục đích quân khoa học Công nghệ khác truyền tin điểm nối điểm Nó cho phép nhiều máy tính kết nối lại với đường dẫn khác Bản thân mạng xác định liệu di chuyển từ máy tính đến máy tính khác Thay thơng tin với máy tính thời điểm, thơng tin với nhiều máy tính lúc kết nối Sau này, WAN Bộ Quốc Phòng Hoa Kỳ trờ thành Internet 1.1.2 Khái niệm mạng máy tính Mạng máy tính tập hợp máy tính độc lập kết nối với theo chuẩn kỹ thuật định Hai máy tính gọi nối mạng với chúng có khả trao đổi thơng tin Phương tiện kết nối cáp đồng, cáp quang, sóng viba, hồng ngoại vệ tinh Mạng máy tính có nhiều kích cỡ, cấu trúc hình thức tổ chức khác tùy thuộc vào ứng dụng cụ thể mạng máy tính Tuy nhiên, chúng phân thành hai loại là: mạng có cấu trúc ngang hàng mạng có cấu trúc Client – Server (máy trạm – máy chủ) Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Hình 1.1 Mạng ngang hàng Hình 1.2 Mạng Client – Server Trên thực tế, khơng có phương pháp phân loại thống cho tất loại mạng máy tính, nhiên xét đến mạng máy tính người ta quan tâm đến hai đặc điểm quan trọng: phương thức truyền dẫn quy mơ mạng Có hai phương thức truyền dẫn sử dụng phổ biến là: truyền quảng bá truyền điểm-nối-điểm Truyền quảng bá phương thức sử dụng kênh thông tin đơn chung cho tất máy trạm mạng Gói liệu gửi từ máy trạm mong muốn gói liệu xử lý, khơng bỏ qua Một hệ thống mạng truyền quảng bá hỗ trợ việc truyền liệu đến tập hợp máy trạm, gọi truyền đa điểm Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Đối với phương thức truyền điểm-nối-điểm, mạng máy tính sử dụng phương thức bao gồm tập hợp nhiều kết nối máy trạm Gói liệu từ đầu phát liệu đến đầu thu liệu qua nhiều máy trạm trung gian theo nhiều tuyến truyền dẫn khác với độ dài khác Trường hợp mạng máy tính sử dụng phương thức truyền điểm-nối-điểm với đầu phát đầu thu gọi phương thức truyền unicasting Phương thức phân loại thứ hai dựa vào quy mơ mạng hay kích thước vật lý mạng Theo quy mô từ nhỏ đến lớn ta có loại mạng sau: - Mạng cá nhân (Personal Are Network-PAN) - Mạng LAN (Local Area Network)-mạng cục bộ: kết nối nút phạm vi giới hạn Phạm vi cơng ty, hay tịa nhà - Mạng WAN (Wide Area Network): nhiều mạng LAN kết nối với tạo thành mạng WAN - MAN (Metropolitan Area Network), tương tự WAN, kết nối nhiều mạng LAN Tuy nhiên, mạng MAN có phạm vi thành phố hay đô thị nhỏ MAN sử dụng mạng tốc độ cao để kết nối mạng LAN trường học, phủ, cơng ty, , cách sử dụng liên kết nhanh tới điểm cáp quang 1.2 MƠ HÌNH PHÂN TẦNG 1.2.1 OSI Sinh viên: Lê Long Bảo – MM03A Trang 10 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp - Sự cần thiết hỗ trợ cho người dùng cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi ISP - Việc quay số từ khoảng cách xa loại trừ, thay vào đó, kết nối với khoảng cách xa thay kết nối cục - Giảm giá thành chi phí cho kết nối với khoảng cách xa - Do kết nối mang tính cục bộ, tốc độ kết nối cao so với kết nối trực tiếp đến khoảng cách xa - VPNs cung cấp khả truy cập đến trung tâm tốt hổ trợ dịch vụ truy cập mức độ tối thiểu cho dù có tăng nhanh chóng kết nối đồng thời đến mạng Ngồi thuận lợi trên, VPN có điểm bất lợi như: - Remote Access VPNs không bảo đảm chất lượng phục vụ - Khả liệu cao, thêm phân đoạn gói liệu ngồi bị thất thoát - Do độ phức tạp thuật tốn mã hóa, protocol overhead tăng đáng kể, điều gây khó khăn cho q trình xác nhận Thêm vào việc nén liệu IP PPP-based diễn vô chậm chạp tồi tệ - Do phải truyền liệu thông qua Internet, nên trao đổi liệu lớn gói liệu truyền thông, phim ảnh, âm chậm 3.3.1.2 Site-to-Site (Lan-to-Lan) Site-to-site VPN áp dụng để cài đặt mạng từ vị trí kết nối tới mạng vị trí khác thơng qua VPN Trong hồn cảnh việc chứng thực ban đầu thiết bị mạng giao cho người sử dụng Nơi mà có kết nối VPN thiết lập chúng Khi thiết bị đóng vai trị gateway, đảm bảo việc lưu thông dự tính trước cho site khác Các router Firewall tương thích với VPN, trung VPN chuyên dụng cung cấp chức Sinh viên: Lê Long Bảo – MM03A tập Trang 42 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Hình 3.9 Site to Site VPN Lan-to-Lan xem intranet VPN extranet VPN Nếu xem xét góc độ chứng thực xem intranet VPN, ngược lại chúng xem extranet VPN Tính chặt chẽ việc truy cập site điều khiển hai (intranet extranet VPN) theo site tương ứng chúng Giải pháp Site to Site VPN remote access VPN thêm vào tính chất hồn thiện Sự phân biệt remote access VPN Lan to Lan đơn mang tính chất tượng trưng xa cung cấp cho mục đích thảo luận Ví dụ thiết bị VPN dựa phần cứng mới, để phân loại được, phải áp dụng hai cách, hardware-based client xuất thiết bị truy cập vào mạng Mặc dù mạng có nhiều thiết bị VPN vận hành Lan to Lan VPN kết nối hai mạng riêng lẻ thông qua đường hầm bảo mật, đường hầm bảo mật sử dụng giao thức PPTP, L2TP, IPSec, mục đích Lan to Lan kết nối hai mạng khơng có đường nối lại với nhau, khơng có việc thỏa hiệp tích hợp, chứng thực, cẩn mật liệu, bạn thiết lập Lan to Lan VPN thông qua kết hợp thiết bị VPN Concentrators, Routers, Firewalls Kết nối Lan to Lan thiết kế để tạo kết nối mạng trực tiếp, hiệu bất chấp khoảng cách vật lý chúng Có thể kết nối luân chuyển thông qua internet mạng không tin cậy Bạn phải đảm bảo vấn đền bảo mật cách sử dụng mã hóa liệu tất gói liệu luân chuyển mạng Intranet VPNs: sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Backbone Router sử dụng campus router Theo mơ hình bên tốn chi Sinh viên: Lê Long Bảo – MM03A Trang 43 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp phí phải sử dụng router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì, quản lý mạng Intranet Backbone tốn tùy thuộc vào lưu lượng lưu thơng Hình 3.10 Intranet VPNs Sinh viên: Lê Long Bảo – MM03A Trang 44 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Để giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp Với mơ hiệu chi phí hơn, giảm số lượng router sử dụng theo mơ hình WAN backbone Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số remote site khác Kết nối nhanh hơn, tốt Extranet VPNs: Không giống Intranet Remote Access-based, Extranet khơng hồn tồn cách li từ bên ngoài, Extranet cho phép truy cập tài nguyên mạng cần thiết đối tác kinh doanh, chẳng hạn khách hàng, nhà cung cấp, đối tác người giữ vai trò quan trọng tổ chức Do hoạt động môi trường Internet, bạn lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tùy theo nhu cầu tổ chức Bởi phần Internet – Connectivity bảo trì nhà cung cấp ISP nên giảm chi phí bảo trì th nhân viên bảo trì Dễ dàng triển khai, quản lý chỉnh sửa thơng tin Hình 3.11 Extranet VPNs Sinh viên: Lê Long Bảo – MM03A Trang 45 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Hình 3.12 Thiết lập kết nối Client to Server Máy VPN cần kết nối (VPN Client) tạo kết nối VPN tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối cấp phép cho kết nối Bắt đầu trao đổi liệu máy cần kết nối VPN mạng công ty 3.3.2 So sánh VPN Client – to – Site VPN Site – to – Site Bảng 3.3 Bảng so sánh VPN Client to Site VPN Site to Site Đặc điểm Mơ hình áp dụng VPN Client – to – Site VPN Site – to - Site +Nhân viên làm việc lưu động +Kết nối hệ thống mạng hay làm việc nhà muốn kết nơi khác doanh Yêu cầu phần cứng Kết nối mạng Bảo mật Các dạng kết nối nối vào mạng cơng ty nghiệp có chi nhánh xa + Mơ hình đơn giản + Mơ hình phức tạp Ít Nhiều Sử dụng đường truyền Internet Sử dụng đường truyền Internet Tốt Tốt Người dùng nhân viên từ Chia làm dạng: xa kết nối đến doanh nghiệp +Intranet base: chi nhánh công ty xa kết nối với +Extranet base: công ty kết nối tới công ty khác (ví dụ Chi phí đồng nghiệp hay nhà hỗ trợ…) Ít tốn hơn, cần dùng Tốn lúc đầu triển khai Sinh viên: Lê Long Bảo – MM03A Trang 46 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp đường truyền internet có sẵn, phần mềm kết nối CHƯƠNG 4: GIỚI THIỆU MƠ HÌNH TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER 4.1 MƠ HÌNH HỆ THỐNG 4.1.1 VPN Client – to – Site Hình 4.1 Mơ hình giả lập hệ thống VPN Client – to – Site Chú thích: Mơ hình hệ thống gồm máy OpenVPN Server Linux, hệ điều hành Ubuntu Server, máy VPN Client, máy Local Computer nằm miền mạng doanh nghiệp Các thông số mô tả sau: - Local Computer : o Hệ điều hành: WinXP Sinh viên: Lê Long Bảo – MM03A Trang 47 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp o IP: 172.16.2.4 - OpenVPN Server: o Hệ điều hành: Ubuntu Server 10.10 o IP: Eth1: 172.16.2.2 Eth0: 192.168.1.20 - VPN Client: o Hệ điều hành: WinXP o IP: 192.168.1.15 4.1.2 VPN Site – to – Site Hình 4.2 Mơ hình giả lập VPN Site – to - Site Chú thích: Mơ hình giả lập kết nối VPN Site – to – Site với máy chủ, máy chủ làm Router Gateway mềm đóng vai trị định tuyến mạng khác VPN1_Client quay kết nối đến máy chủ Ubuntu_VPN2 thuộc miền mạng chi nhánh khác doanh nghiệp ngược lại VPN2_Client quay kết nối đến Ubuntu_VPN1 thuộc miền Sinh viên: Lê Long Bảo – MM03A Trang 48 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp mạng bên doanh nghiệp Nếu máy VPN1_Client VPN2_Client nhận IP ảo cấp quay kết nối, kết nối lúc thành cơng Các thơng số cấu hình mơ tả sau: Chi nhánh 1: - Server: o Hệ điều hành: Ubuntu Server 10.10 o IP: 192.168.1.2 o Nhiệm vụ: Máy chủ OpenVPN - VPN1_Client o Hệ điều hành: WinXP o IP: 192.168.1.3 o Nhiệm vụ: Máy tính nằm miền mạng nội Chi nhánh 2: - Server: o Hệ điều hành: Ubuntu Server 10.10 o IP: 172.16.1.2 o Nhiệm vụ: Máy chủ OpenVPN - VPN2_Client o Hệ điều hành: WinXP o IP: 172.16.1.3 o Nhiệm vụ: Máy tính nằm miền mạng nội 4.2 CÀI ĐẶT VÀ CẤU HÌNH OPENVPN 4.2.1 OpenVPN Client – to – Site - Để cài đặt OpenVPN Server dùng lệnh: sudo apt-get install openvpn - Sau khởi động lại hệ thống - Các file chứng thực CA, file cấu hình mẫu nằm thư mục easy-rsa, chép thư mục từ đường dẫn /usr/share/doc/openvpn/example đến thư mục /etc/openvpn lệnh: cp –r /usr/share/doc/openvpn/example /etc/openvpn Sinh viên: Lê Long Bảo – MM03A Trang 49 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp - Tiến hành chép file cấu hình mẫu server.conf tới thư mục cài đặt /etc/openvpn lệnh: cp –r /usr/share/doc/openvpn/examples/sample-config files/server.conf.gz /etc/openvpn o Export KEY_COUNTRY = “VIETNAM” o Export KEY_PROVINCE = “TP DANANG” o Export KEY_CITY = “DN” o Export KEY_ORG = “VIETHAN” o Export KEY_EMAIL = lelongbao2790@gmail.com - Di chuyển vào thư mục /etc/openvpn/easy-rsa/2.0/ - Sau dùng lệnh “nano vars” để chỉnh sửa thơng tin hình - Dùng lệnh “source /vars” - Dùng lệnh “./clean-all” - Tiến hành build CA lệnh: /build-ca - Phần common name: đặt tên ca - Dùng lệnh /build-key-server openvpnserver để build key cho server - Phần common name đặt tên openvpnserver - Tạo user để cấp cho client sau này, dùng lệnh : adduser longbao01mm03a - Đặt password cho user này, sau tiến hành tạo khóa chứng thực cho user - Dùng lệnh “./build-key longbao01mm03a” - Sau tạo user xong, dùng lệnh: /build-key để tạo khóa chứng thực cho user - Phần common name đặt tên trùng với tên user - Di chuyển vào thư mục /etc/openvpn - Dùng lệnh: nano server.conf để cấu hình file server.conf - Các thơng số quan trọng cần cấu hình o Ca (/etc/openvpn/easyrsa/2.0/keys/ca.crt) o Cert (/etc/openvpn/easyrsa/2.0/keys/openvpnserver.crt) Sinh viên: Lê Long Bảo – MM03A Trang 50 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp o Key (/etc/openvpn/easyrsa/2.0/keys/openvpnserver.key) o Push “route ” - Dùng lệnh /build-dh để mã hóa tất - Dùng lệnh iptables: o Sudo iptables –t nat –A POSTROUTING –s 10.8.0.0/24 –o eth0 –j MASQUERADE o Sudo iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE o Sudo iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE o Sudo iptables –A FORWARD –i tun+ -j ACCEPT o Sudo iptables –A FORWARD –i tap+ -j ACCEPT o Sudo iptables –A INPUT –i tap+ -j ACCEPT o Sudo iptables –A INPUT –i tun+ -j ACCEPT o Sudo iptables –t nat –A POSTROUTING –s 10.8.0.0/24 –d 172.16.2.0/24 – to-source 192.168.1.15 - Cấu hình iptables phép kết nối từ bên ngồi mạng thơng với bên mạng 4.2.2 OpenVPN Site – to – Site Quá trình cấu hình OpenVPN Server Site – to – Site tương tự Cũng tiến hành cài đặt tạo key mã hóa bên thuộc chi nhánh gồm Ubuntu Server Ubuntu Server Phần quan trọng để miền mạng thuộc chi nhánh khác thơng nằm Router Gateway, dùng Ubuntu Server làm Router Gateway mềm auto eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 gateway 172.16.1.1 auto eth1 iface eth1 inet static address 172.16.1.1 Sinh viên: Lê Long Bảo – MM03A Trang 51 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp netmask 255.255.255.0 gateway 192.168.1.1 Để Ubuntu Server chi nhánh thơng Router Gateway card mạng nằm Router nối với card mạng phía chi nhánh Cấu hình default gateway card mạng cho ip trỏ sang ip Để kiểm tra kết nối đứng gateway ubuntu server tiến hành ping sang để kiểm tra kết nối có thơng hay khơng, server thơng 4.3 TIẾN HÀNH QUAY KẾT NỐI 4.3.1 Kiểm tra VPN Client – to – Site Hình 4.3 IP cấp phát thành cơng cho VPN Client - Khi quay kết nối thành công, có IP cấp phát, IP giúp tạo đường ống bảo mật kết nối từ Client tới Server Nếu IP cấp phát hình trình quay kết nối VPN thành cơng Sinh viên: Lê Long Bảo – MM03A Trang 52 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp - IP cấp phát thành công là: 10.8.0.2 4.3.2 Kiểm tra VPN Site – to – Site Hình 4.4 IP cấp phát thành công cho máy VPN2_Client - Tương tự VPN2_Client sau quay kết nối thành cơng, ip cấp thành công là: 10.8.0.6 4.4 Quan sát gói tin Wireshark Hình 4.5 Kiểm tra Wireshark - Kiểm tra quay kết nối từ Client đến Server Wireshark ta thấy gói tin mã hóa bảo mật an tồn giao thức PPTP Sinh viên: Lê Long Bảo – MM03A Trang 53 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp KẾT LUẬN Trong môi trường cạnh tranh hội nhập nay, để tồn phát triển CNTT vũ khí khơng thể thiếu doanh nghiệp Vấn đề lợi nhuận, chi phí, giá thành cho trang thiết bị phục vụ công tác quản trị, hiệu quả, suất công việc, doanh nghiệp đặt lên hàng đầu Với mơ hình kết nối sử dụng máy chủ Linux Ubuntu Server phần mềm OpenVPN giúp doanh nghiệp đặt biệt người quản trị mạng quản lý, làm việc từ xa, thơng qua kết nối với giao thức bảo mật L2TP, PPTP,IPSec,… Người dùng truy cập nhà văn phịng chi nhánh cơng ty để truy cập kết nối tới công ty làm việc Với giải pháp nguồn mở việc sử dụng máy chủ Linux Ubuntu Server làm máy chủ, giúp doanh nghiệp giảm tải gánh nặng tài chính, trang thiết bị liên quan, đồng thời tăng cường khả bảo mật cho doanh nghiệp Kết đạt o Về lý thuyết: Sinh viên: Lê Long Bảo – MM03A Trang 54 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp Nắm kiến thức liên quan đến phần mềm nguồn mở, giải pháp phần mềm nguồn mở, phiên hệ điều hành Linux Redhat, Ubuntu,… Cùng với nắm nguyên lý, giao thức bảo mật liên quan đến kến nối VPN o Về thực hành: Triển khai thành công ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp môi trường VMWare Hạn chế Do thời gian hạn hẹp, nên số giải pháp bảo mật chưa áp dụng hết OpenVPN Hướng mở Tiếp tục triển khai OpenVPN kết hợp với tìm hiểu giải pháp bảo mật an toàn cho kết nối VPN thực chứng thực password lần (One time password),v…v… TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1] Th.s Đặng Quang Hiển, Giáo trình Hệ điều hành Linux, Trường Cao Đẳng CNTT Hữu Nghị Việt Hàn [2] Th.s Ngơ Bá Hùng, Giáo trình Linus Operating System, Trường Đại Học Cần Thơ [3] Th.s Hà Quốc Trung – Lê Xuân Thành, Nhập môn Linux phần mềm nguồn mở [4] Đại Học Cần Thơ, Tìm hiểu phần mềm nguồn mở Open Source Software [5] Đại Học Cần Thơ, Tổng quan VPN [6] Đại Học Quốc Gia TP HCM, Công nghệ VPN Tài liệu tiếng anh [1] Markus Feilner, OpenVPN Building and Integrating Virtual Private Networks (2006) Internet Sinh viên: Lê Long Bảo – MM03A Trang 55 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp [1] http://sourceforge.net/projects/openvpn-gui/ [2] http://hvaonline.net [3] http://nhatnghe.com [4] http://quantrimang.com [5] http://www.ventanazul.com Sinh viên: Lê Long Bảo – MM03A Trang 56 ... Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp DANH MỤC BẢNG BIỂU Sinh viên: Lê Long Bảo – MM03A Trang Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp DANH MỤC HÌNH VẼ, ĐỒ... mục chứa liệu người sử dụng - /lib: thư viện hệ thống Sinh viên: Lê Long Bảo – MM03A Trang 24 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp - /usr: thư muc ứng dụng - /var: thư mục liệu... 3.2.5 IPSec Sinh viên: Lê Long Bảo – MM03A Trang 38 Ứng dụng OpenVPN bảo mật hệ thống mạng cho doanh nghiệp IPSec lựa chọn cho việc bảo mật VPN IPSec khung bao gồm bảo mật liệu (data confidentiality),