HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Trần Thị Thúy Nga NGHIÊN CỨU GIẢI PHÁP MẠNG RIÊNG ẢO TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số:60.48.01 TÓM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI – 2013 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TS Lê Hữu Lập Phản biện 1: ……………………………………………………………………….…………… Phản biện 2: …………………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU \ Ngày nay, với phát triển nhanh chóng khoa học kỹ thuật đặc biệt Công nghệ thông tin Viễn thơng góp phần quan trọng vào phát triển kinh tế giới Các tổ chức, doanh nghiệp có nhiều chi nhánh, công ty đa quốc gia q trình hoạt động ln phải trao đổi thơng tin với khách hàng, đối tác, nhân viên họ Chính địi hỏi phải ln nắm bắt thơng tin nhất, xác nhất, đồng thời phải đảm bảo độ tin cậy cao chi nhánh khắp giới, với đối tác khách hàng Để đáp ứng yêu cầu q khứ có hai loại hình dịch vụ Viễn thơng mà tổ chức, doanh nghiệp chọn lựa sử dụng cho kết nối là: - Thứ nhất, thuê đường Leased-line nhà cung cấp dịch vụ để kết nối tất mạng công ty lại với Phương pháp tốn cho việc xây dựng ban đầu trình vận hành, bảo dưỡng hay mở rộng sau - Thứ hai, họ sử dụng Internet để liên lạc với nhau, nhiên phương pháp lại khơng đáp ứng tính bảo mật cao Mạng riêng ảo VPN (Virtual Private Network) đời dung hồ hai loại hình dịch vụ trên, mạng riêng xây dựng cở sở hạ tầng có sẵn mạng internet Mạng riêng ảo có nhiều ưu điểm kết nối trực tiếp điểm bất kỳ, mức độ bảo mật cao, dễ sử dụng giảm chi phí vận hành, phù hợp với đơn vị hoạt ngân hàng, bảo hiểm, dịch vụ viễn thông hay doanh nghiệp… Mạng riêng ảo cho phép người dùng truy cập mạng nhà truy cập từ xa thay phải xây dựng sở hạ tầng cho mạng riêng Các cơng ty th dịch vụ từ nhà cung cấp dịch vụ sử dụng ứng dụng riêng mạng khách hàng Internet bình thường Với ưu điểm xu hướng phát triển mạng riêng ảo, với việc triển khai đề án mạng riêng ảo trường Đại Học Cơng Nghiệp TP Hồ Chí Minh học viên lựa chọn đề tài: “Nghiên cứu giải pháp mạng riêng ảo Trường Đại Học Công Nghiệp Thành Phố Hồ Chí Minh”để cókiến thức sâu việc ứng dụng, quản lý mạng vào thực tế Toàn luận văn trình bày chương Chương 1: Giới thiệu tổng quan Mạng riêng ảo, khái niệm bản, thành phần, kiến trúc mạng riêng ảo, bảo mật Mạng riêng ảo Chương 2: Nghiên cứu chi tiết mơ hình Mạng riêng ảo dựa giao thức IPSec, MPLS, SSL Chương 3: Trình bày mơ hình quản lý Cán bộ, cơng nhân viên học sinh, sinh viên Trường Đại học Công nghiệp Thành phố Hồ Chí Minh, triển khai thiết kế Mạng riêng ảo áp dụng sở Thái Bình trường phục vụ công tác quản lý MỤC LỤC MỞ ĐẦU Chương TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Các khái niệm mạng riêng ảo 1.1.1 Định nghĩa Mạng riêng ảo 1.1.2 Lợi ích mạng riêng ảo 1.1.2.1 Bảo mật 1.1.2.2 Tiết kiệm chi phí 1.1.2.3 Tính khả mở 1.1.2.4 Tính linh hoạt 1.1.2.5 Tăng hiệu suất 1.1.3 Những yêu cầu mạng riêng ảo 1.1.3.1 An ninh 1.1.3.2 Tắc nghẽn cổ chai 1.1.3.3 Quản lý địa IP 1.1.3.4 Tính sẵn sàng tin cậy 1.1.3.5 Khả tương thích 1.2 Cấu trúc mạng riêng ảo 1.2.1 Tính an ninh 1.2.2 Đường hầm 1.2.3 Các thành phần mạng riêng ảo 1.2.3.1 Máy chủ sách an ninh 1.2.3.2 Cổng truy nhập 1.2.3.3 Internet 1.2.3.4 Dịch vụ chứng thực 1.2.4 Phân loại mạng riêng ảo 1.2.4.1 Truy cập từ xa 1.2.4.2 Kết nối mạng riêng 1.2.4.3 Kết nối mở rộng 1.3 Các giao thức dùng mạng riêng ảo 1.3.1 Layer Forwarding 1.3.2 Point-To-Point Tunneling Protocol 1.3.3 Layer Tunneling Protocol 1.3.4 IP Security 1.3.5 Multiprotocol Label Switching 1.4 Bảo mật mạng riêng ảo 1.4.1 Hệ thống xác thực 1.4.1.1 Mật truyền thống 1.4.1.2 Hệ thống mật lần 1.4.1.3 Giao thức xác thực mật 1.4.1.4 Giao thức xác thực yêu cầu bắt tay 1.4.1.5 Hệ thống điều khiển truy cập điều khiển truy cập đầu cuối 1.4.1.6 Dịch vụ xác thực người dùng quay số từ xa 1.4.1.7 Các hệ thống phần cứng 1.4.1.8 Hệ hống sinh trắc học 1.4.1.9 Xác thực tính toàn vẹn liệu 1.4.2 Mật mã 1.4.2.1 Thuật toán mã hoá khố bí mật 1.4.2.2 Thuật toán mã hoá khố cơng cộng 1.5 Kết luận Chương MỘT SỐ KIẾN TRÚC MẠNG RIÊNG ẢO 2.1 Mạng riêng ảo dựa IPSec 2.1.1 Các thành phần IPSec 2.1.1.1 Liên kết bảo mật 2.1.1.2 Giao thức xác thực 2.1.1.3 Giao thức mã hóa 2.1.2 Hoạt động IPSec 2.1.2.1 Phương thức vận chuyển 2.1.2.2 Phương thức đường hầm 2.1.2.3 Kết hợp hai phương thức Trainsport Mode Tunner Mode 2.1.3 Quản lý trao đổi khóa 2.1.3.1 Main Mode 2.1.3.3 Quick Mode 10 2.1.3.4 Thỏa thuận SA 10 2.1.4 Sử dụng IPSec mạng riêng ảo 10 2.1.4.1 Cổng truy nhập 10 2.1.4.2 Máy truy nhập từ xa 10 2.1.5 Các vấn đề tồn đọng IPSec 10 2.2 Mạng riêng ảo dựa MPLS 11 2.2.1 Thành phần MPLS 11 2.2.1.1 Bộ định tuyến chuyển mạch nhãn 11 2.2.1.2 Lớp chuyển tiếp tương đương 11 2.2.1.3 Nhãn 12 2.2.2 Các giao thức MPLS 12 2.2.2.1 Giao thức phân phối nhãn 12 2.2.2.2 Giao thức phân phối nhãn dựa ràng buộc 12 2.2.2.3 Giao thức dành trước tài nguyên 12 2.2.2.5 Giao thức BGP 13 2.2.3 Hoạt động MPLS 13 2.2.3.1 Chế độ hoạt động khung 13 2.2.3.2 Chế độ hoạt động tế bào 13 2.2.4 Công nghệ BGP/MPLS VPN 13 2.2.5 Tóm tắt ưu nhược điểm MPLS VPN 14 2.3 Mạng riêng ảo dựa SSL 14 2.3.1 Cấu trúc SSL 14 2.3.2 Hoạt động SSL VPN 15 2.3.2.1 Đường hầm bảo mật sử dụng SSL 15 2.3.2.2 Công nghệ Reverse proxy 15 2.3.2.3 Truy nhập từ xa SSL 15 2.3.2.4 Ví dụ phiên làm việc SSL VPN 15 2.3.3 Ưu nhược điểm SSL VPN 16 2.4 Kết luận 16 Chương 17 GIẢI PHÁP MẠNG RIÊNG ẢO TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH 17 3.1 Mơ hình quản lý trường ĐHCN Tp Hồ Chí Minh 17 3.2 Giải pháp kiến trúc mạng riêng ảo 17 3.2.1 Xây dựng mạng WAN 17 3.2.2 Xây dựng mạng LAN 17 3.2.3 Nhà cung cấp dịch vụ 18 3.2.4 Thiết kế Mạng VPN 18 3.3 Quản lý bảo mật 19 3.3.1 Hệ thống xác thực 19 3.3.2 Hệ thống mã hóa 19 3.4 Triển khai thử nghiệm Cơ sở Trường ĐHCN TP Hồ Chí Minh Thái Bình 20 3.5 Đánh giá 23 3.5.1 Bảo mật: 23 3.5.2 Tính linh hoạt 24 3.5.3 Tiết kiệm chi phí: 24 3.5.4 Tỉnh khả mở 24 3.5.5 Tăng hiệu suất 24 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 25 Chương TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Các khái niệm mạng riêng ảo[1],[6],[7],[8],[9] 1.1.1 Định nghĩa Mạng riêng ảo Có nhiều định nghĩa khác Mạng riêng ảo Theo VPN Consortium, Mạng riêng ảo mạng sử dụng mạng công cộng (như internet, ATM/Frame Relay nhà cung cấp dịch vụ) làm sở hạ tầng để truyền thông tin đảm bảo mạng riêng kiểm sốt truy nhập Nói cách khác, VPN định nghĩa liên kết khách hành triển khai hạ tầng công cộng với sách mạng riêng Hạ tầng cơng cộng mạng IP, Frame Relay, ATM hay internet Theo tổ chức IETF (Internet Enginneering Task Force), Mạng riêng ảo định nghĩa là: Một mạng diện rộng dùng riêng sử dụng thiết bị phương tiện truyền dẫn mạng cơng cộng 1.1.2 Lợi ích mạng riêng ảo 1.1.2.1 Bảo mật Mạng riêng ảo cung cấp mức độ an ninh cao sử dụng giao thức an ninh tiên tiến, phương pháp xác thực người dùng 1.1.2.2 Tiết kiệm chi phí VPN tận dụng giao thơng mạng để kết nối văn phịng người dùng từ xa đến trụ sở cơng ty, điều giảm chi phí thiết bị mạng internet có sẵn giảm hỗ trợ nhân viên 1.1.2.3 Tính khả mở VPN tận dụng hạ tầng internet nhà cung cấp dịch vụ cơng ty mở rộng lực phạm vi sử dụng mà đầu tư thêm nhiều thiết bị hạ tầng viễn thơng 1.1.2.4 Tính linh hoạt VPN tận dụng Internet để kết nối phần tử xa Intranetnên hầu hết nhánh văn phòng, người dùng, người dùng di động từ xa kết nối tới Intranet cơng ty 1.1.2.5 Tăng hiệu suất Mạng riêng ảo cung cấp kết nối nhanh hơn, đáng tin cậy vị trí từ xa hay đối tác từ mạng bên ngồi, mạng cơng ty 1.1.3 Những yêu cầu mạng riêng ảo 1.1.3.1 An ninh Mạng riêng ảo phần kế hoạch an ninh công ty Bên cạch việc thiết lập đường hầm hai đầu kênh truyền liệu, sách bảo mật khác cần phải áp dụng quyền truy nhập, mã hóa, xác thực… 1.1.3.2 Tắc nghẽn cổ chai Việc mã hóa giải mã chiếm nhiều lực tính tốn dẫn đến làm giảm tốc độ truyền liệu Security Gateway Đối với kết nối băng thông rộng, tốc độ cao, giải pháp để khắc phục mã hóa phần cứng phần mềm mã hóa chạy chung thiết bị chia sẻ tường lửa Remote Access 1.1.3.3 Quản lý địa IP Mỗi phần VPN coi mạng riêng, với số đường hầm liên kết Router Điều khó để xác định bảng định tuyến DNS bị phân mảnh, làm khó khăn cho việc quản lý VPN 1.1.3.4 Tính sẵn sàng tin cậy Tính sẵn sàng thời gian người dùng truy cập mạng liên quan mật thiết với tính tin cậy hệ thống Tính tin cậy đảm bảo người dùng cuối phân phối liệu hoàn cảnh 1.1.3.5 Khả tương thích Trường hợp mạng tương tác dựa IP, VPN phải có khả dùng địa IP ứng dụng IP, phương pháp sau tích hợp vào VPN như: Sử dụng Getway IP, sử dụng đường hầm, sử dụng định tuyến IP ảo 1.2 Cấu trúc mạng riêng ảo [1],[3],[9],[10] 1.2.1 Tính an ninh Tính an ninh VPN có nghĩa đường hầm thiết lập hai điểm cuổi để tạo nên liên kết riêng, thông qua mạng cơng cộng Tính an ninh cần cung cấp vấn đề như: Xác thực, quyền truy nhập, bí mật, toàn vẹn liệu 1.2.2 Đường hầm Đường hầm tạo kết nối hai điểm cuối cách đóng gói thêm vào phần tiêu đề mở rộng gói tin chuyển qua Internet Việc đóng gói liệu qua VPN bao gồm việc mã hóa liệu gốc, gói tin đươc chuyển, đầu nhận Getway gỡ bỏ phần tiêu đề mở rộng giải mã gói tin cần thiết, sau chuyển gói tin tới đích.Đường hầm bao gồm hai loại đầu cuối: Một máy tính truy cập từ xa, LAN với Security Gateway (có thể Router tường lửa) 1.2.3 Các thành phần mạng riêng ảo 1.2.3.1 Máy chủ sách an ninh Máy chủ sách an ninh trì danh sách kiểm sốt truy nhập thơng tin người sử dụng cần thiết cho Security Gateway thực nhiệm vụ xác thực Ví dụ, hệ thống dùng PPTP, quyền truy nhập điều khiển thơng qua RADIUS, hệ thống sử dụng IPSec, máy chủ sách an ninh chịu trách nhiệm quản lý khóa chia sẻ cho phiên kết nối 1.2.3.2 Cổng truy nhập Security Gateway cài đặt mạng công cộng mạng riêng nhằm ngăn cản hình thức cơng trái phép vào mạng riêng Nó cung cấp khả tạo đường hầm mã hóa liệu trước truyền vào mạng cơng cộng Một Security Gateway bao gồm loại sau: Router, Firewall, phần cứng phần mềm tích hợp VPN 1.2.3.3 Internet Nhà cung cấp dịch vụ Internet (ISP) có nhiều cấp khác nhau, nhà cung cấp ISP cấp sở hữu vận hành mạng quốc gia riêng với việc mở rộng mạng xương sống quốc gia Nhà cung cấp ISP cấp công ty mua kết nối Internet từ nhà cung cấp ISP cấp nhằm cung cấp truy cập quay số nhà riêng đưa lên trang web 1.2.3.4 Dịch vụ chứng thực Mỗi công ty, tổ chức quản lý sở liệu chứng số riêng họ nhằm sử dụng cho máy chủ xác thực Việc kiểm tra khóa chia sẻ kiểm sốt bên thứ ba gọi (Certificate Authority-CA), bên thứ ba có trách nhiệm trì liên kết chứng số với khóa chia sẻ Nếu VPN kết nối với tạo thành Extranet VPN việc sử dụng CA để xác thực người dùng cần thiết 13 lượng,nó yêu cầu máy nhận chất lượng dịch vụ cho luồng liệu Máy người nhận giải thuộc tính QoS truyền tới RSVP Sau phân tích yêu cầu (gồm địa IP máy gửi, máy nhận, số cổng UDP, tiêu kỹ thuật luồng lưu lượng, kích thước cụm yêu cầu QoS…), RSVP sử dụng để gửi tin tới tất nút nằm tuyến đường gói tin 2.2.2.4 Đường hầm xếp chồng nhãn Trong MPLS chèn nhiều nhãn vào gói tin, mang đến khả hỗ trợ định tuyến có cấu trúc Tại LSR, nhãn thêm vào gỡ bỏ khỏi chồng nhãn Điều cho phép kết hợp nhiều LSP thành LSP Các gói tin gắn nhãn vào đường hầm mức cao gắn thêm nhãn ngoài, nhãn giữ lại để phân biệt chúng tách khỏi đường hầm mức cao 2.2.2.5 Giao thức BGP BGP sử dụng để định tuyến tuyến đường đó, sử dụng phân bổ nhãn ràng buộc với tuyến Thơng tin ràng buộc nhãn tuyến đường tin update giúp BGP đảm bảo cho q trình phân phối nhãn thơng tin định tuyến ổn định giảm bớt tiêu đề tin điều khiển xử lý 2.2.3 Hoạt động MPLS Hoạt động MPLS chia làm hai kiểu: Chế độ hoạt động khung (Framemode) chế độ hoạt động tế bào (Cell-mode) 2.2.3.1 Chế độ hoạt động khung Chế độ hoạt động khung sử dụng MPLS môi trường thiết bị định tuyến điều khiển gói tin điểm-điểm.Các gói tin chuyển tiếp sở lớp khung 2.2.3.2 Chế độ hoạt động tế bào Triển khai MPLS qua mạng ATM cần giải số vấn đề Đó khơng có chế cho việc trao đổi trực tiếp gói IP nút MPLS lân cận qua ATM, tổng đài ATM kiểm tra địa IP thực việc kiểm tra nhãn Giải vấn đề người ta chuyển đổi VC đầu vào ATM sang VC đầu giao diện Điều cho phép môt kênh ảo thiết lập hai nút lân cận để trao đổi thông tin điều khiển 2.2.4 Cơng nghệ BGP/MPLS VPN Các mục đích BGP/MPLS VPN là: 14 - Cung cấp thêm khả thực dịch vụtrên sở hạ tầng mạng - Làm cho dịch vụ thật đơn giản để khách hàng sử dụng - Làm cho dịch vụ dễ mở rộng mềm dẻo thuận tiện cho việc triển khai rộng - Thiết lập danh sách VPN triển khai ISP, phối hợp với khách hàng Có luồng liệu hình thành BGP/MPLS VPN: Một luồng liệu điều khiển sử dụng cho việc phân phối tuyến VPN đường chuyển mạch nhãn, hai luồng liệu dùng để chuyển liệu khách hàng 2.2.5 Tóm tắt ưu nhược điểm MPLS VPN Mạng riêng ảo BGP/ MPLS có nhiều lợi ích sau:Cung cấp chất lượng dịch vụ (QoS) mềm dẻo khả mở cho khách hàng thông qua việc sử dụng kỹ thuật điều khiển luồng, khơng có ràng buộc kế hoạch đánh địa cho khách hàng… Bên cạnh MPLS VPN cịn tồn số nhược điểm như:Nhà cung cấp cần phải nâng cấp giao thức phần mềm mạng trục Việc kết nối nhà cung cấp khác phức tạp, địi hỏi phải có hỗ trợ thỏa thuận sách giao thức sử dụng 2.3 Mạng riêng ảo dựa SSL [3],[5] Giao thức Secure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hố thơng tin client server Tổ chức IETF chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security) Mặc dù có thay đổi tên TSL phiên SSL Phiên TSL 1.0 tương đương với phiên SSL 3.1 Tuy nhiên SSL thuật ngữ sử dụng rộng rãi 2.3.1 Cấu trúc SSL SSL nằm lớp vận chuyển (Transport Layer) lớp ứng dụng (Application Layer) SSL xếp lớp lên dịch vụ vận chuyển định hướng kết nối đáng tin cậy, chẳng hạn cung cấp TCP Về khả năng, cung cấp dịch vụ bảo mật cho giao thức ứng dụng tùy ý dựa vào TCP khơng HTTP Ngồi ra, SSL đòi hỏi ứng dụng chủ phải chứng thực đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điển tử (digital certificate) dựa mật mã cơng khai (ví dụ RSA) SSL cung cấp bảo mật truyền thông bản: - Client Server xác thực lẫn cách sử dụng mật mã khóa chung 15 - Sự bí mật liệu bảo vệ nối kết mã hóa suốt sau thiết lập quan hệ ban đầu thương lượng khóa session xảy - Tính xác thực tính tồn vẹn liệu bảo vệ thơng báo xác thực kiểm tra cách sử dụng MAC 2.3.2 Hoạt động SSL VPN 2.3.2.1 Đường hầm bảo mật sử dụng SSL SSL VPN tạo đường hầm bảo mật cách thực hai chức năng: Thứ nhất,bắt buộc người dùng phải nhận thực trước cho phép truy nhập nhóm nhận thực thiết lập đường hầm Thứ hai,mã hóa tất lưu lượng truyền qua tới người dùng cách thực đường hầm thực SSL Một ưu điểm SSL VPN khả truy nhập tài nguyên từ máy tính thiết bị cầm tay nào, nơi đâu 2.3.2.2 Công nghệ Reverse proxy Reverse proxy chức SSL VPN, khả nhận yêu cầu người dùng truyền chúng qua máy chủ nội Reverse proxy máy tính nằm máy chủ Web nội Internet, phần kế hoạch cân lưu lượng, bảo mật hệ thống làm ẩn máy chủ thực từ người dùng bên 2.3.2.3 Truy nhập từ xa SSL Nhiều máy chủ SSL VPN tận dụng công nghệ tương tự reverse proxy phép người dùng web yêu cầu truyền tài nguyên nội Để thực chức truy nhập từ xa hiệu SSL VPN có nhiều cải tiến quan trọng như: - Khả cho phép ứng dụng web non-web tậ đụng đường hầm SSL - Khả cho phép truy nhập từ xa tới file, máy in, tài nguyên khác - Khả chuyển ứng dụng nội thành truy nhập internet - Khả cho phép người dùng sử dụng chương trình hướng đối tượng - Khả kết nối thiết bị từ xa 2.3.2.4 Ví dụ phiên làm việc SSL VPN Sau mơ tả thành phần SSL VPN hoạt động phiên làm việc người dùng: Người dùng nhập URL hệ thống truy nhập từ xa SSL VPN vào trình duyệt Ví dụ: htth://remote.packtput.com 16 Nếu người dùng truy nhập tới cổng khơng mã hóa (Ví dụ: HTTP cổng 80), SSL VPN chuyển tiếp tới cổng 443 bắt đầu sử dụng mã hóa SSL cho tất giao tiếp với người dùng Địa chuyển tiếp htth://remote.packtput.com SSL VPN gửi tới người dùng trang đăng nhập Người dùng đăng nhập chứng thực họ tới SSL VPN Nếu chứng thực chấp thuận, SSL VPN gửi trang chủ tải mã ActiveX Java cần thiết để thiết lập đường hầm lưu lượng non-web qua SSL thiết lập kết nối mạng qua SSL Người dùng chọn ứng dụng web sử dụng trang chủ SSL VPN đưa người dùng vào hệ thống SSL VPN dịch tất giao tiếp từ hệ thống nội trước chuyển tiếp chúng đến người dùng Khi người dùng bấm vào liên kết ứng dụng, SSL VPN chuyển đổi liên kết từ định dạng bên thành dạng nội chuyển tiếp yêu cầu tới máy chủ tương ứng Khi cần phải có lưu lượng non-web từ máy trạm, phần mềm SSL VPN máy chủ người dùng đóng gói liệu cách sử dụng kỹ thuật mô tả gửi qua kết nối SSL tới SSL VPN, khơi phục trở thành định dạng ban đầu gửi tới mạng nội 2.3.3 Ưu nhược điểm SSL VPN SSL VPN có nhiều ưu điểm như: Bảo mật liệu cho lớp giao thức xếp nó, khóa riêng chứng số cho nhận thực Mặc dù vậy, SSL VPN có hạn chế như:SSLVPN yêu cầu giao thức vận chuyển TCP, không hỗ trợ dịch vụ bảo mật non-repudiation… 2.4 Kết luận Chương trình bày chi tiết số cơng nghệ mạng Mạng riêng ảo IPSec VPN, MPLS,BGP/MPLS VPN, SSL VPN Tìm hiểu thành phần, giao thức hoạt động giao thức, từ đưa nhận xét ưu nhược điểm công nghệ vấn đề cịn tồn cơng nghệ 17 Chương GIẢI PHÁP MẠNG RIÊNG ẢO TRƯỜNG ĐẠI HỌC CƠNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH 3.1 Mơ hình quản lý trường ĐHCN Tp Hồ Chí Minh Bài toán quản lý Trường ĐHCN TP Hồ chí Minh: Quản lý theo cấp sở, khơng tập trung liệu, gây bất cập cho cán nhân viên học sinh, sinh viên phải chờ việc chuyển yêu cầu vào sở qua báo cáo Fax Email Đề tài đưa ra: “Giải pháp Mạng riêng ảo Trường ĐHCN TP Hồ Chí Minh” nhằm giúp việc quản lý nhân viên học sinh, sinh viên hiệu 3.2 Giải pháp kiến trúc mạng riêng ảo 3.2.1 Xây dựng mạng WAN Để xây dựng hệ thống mạng quản lý toàn cán bộ, công nhân viên học sinh, sinh viên trường ĐHCN TP Hồ Chí Minh tức phải quản lý nhân viên, học sinh, sinh viên sở Đầu tiên ta xây dựng mạng WAN WAN mạng diện rộng, thiết lập để liên kết máy tính hai hay nhiều khu vực khác nội quốc gia hay quốc gia châu lục, phù hợp cho mục tiêu quản lý từ xa sở đào tạo nhà trường Trường ĐHCN TP Hồ Chí Minh có sở, xây dựng mạng WAN cho sở Việc cần đăng ký dịch vụ Internet với nhà cung cấp dịch vụ VNPT (Tập đoàn Bưu Viễn thơng) địa bàn có sở Trường 3.2.2 Xây dựng mạng LAN Để quản lý thông tin cho sở ta thiết kế mạng LAN Tại sở Trường ĐHCN thiết kế mạng LAN nối phòng, khoa, trung tâm sở Trong phòng ban Phòng giáo vụ, Phòng Tổng hợp, Khoa Kế tốn, Khoa Cơng Nghệ, Trung tâm Khảo thí, Trung tâm thư viện… có máy riêng nhân viên phịng, ban Như sở ta thiết kế hai máy server, server để lưu liệu, server để kết nối với sở Trường Tại phòng, khoa máy client ta ủy quyền cho Client làm Domain Group, máy Domain Group cán quản lý phịng, khoa sử dụng, ngồi thiết bị mạng Router, Switch 18 mạng Các máy server bổ sung sở dùng làm máy chủ RADIUS, chứng thực CA 3.2.3 Nhà cung cấp dịch vụ Để thiết kế mạng riêng ảo, bảo mật cho thông tin Trường ta đăng ký dịch vụ VPN nhà cung cấp VNPT Để kết nối VPN sở với sở Thái Bình ta cần dịch vụ VNPT TP Hồ Chí Minh, VNPT Hà Nội VNPT Quận Gị Vấp nơi trụ sở Trường, VNPT tỉnh Thái Bình VNPT cấp trung ương TP Hồ Chí Minh, VNPT Hà Nội cung cấp dải địa cho truy nhập hai vùng, VNPT cấp địa phương VNPT Thái Bình, VNPT Gị Vấp cấp dải địa cho nhân viên thuộc sở địa bàn sử dụng 3.2.4 Thiết kế Mạng VPN Trường ĐHCN TP Hồ Chí Minh với nhiều sở, để kết nối sở học viên dùng kiểu kết nối VPN Site-to-Site Để kết nối từ xa cho nhân viên đâu truy nhập hệ thống trường, học viên dùng kết nối VPN Client-to-Site Học viên lựa chọn công nghệ IPSec cho kết nối VPN IPSec cung cấp nhiều kiểu mã hóa liệu, đảm bảo tính bí mật, an tồn cho thơng tin đường truyền Trong cài đặt VPN học viên sử dụng giao thức L2TP L2TP mang đặc tính PPTP L2F, L2TP cho phép truyền thông qua nhiều mơi trường gói khác Frame Relay, ATM Hình 3.1: Mơ hình thử nghiệm 19 3.3 Quản lý bảo mật Việc bảo mật thông tin, liệu nhân viên học sinh, sinh viên quan trọng Việc bảo mật phải thực thông qua sách thành viên của Trường Đại học phải thực cách nghiêm túc Sau cài đặt thành công mạng VPN, liệu đường truyền cài đặt mã hóa L2TP nhà cung cấp dịch vụ phân đoạn mạng đảm bảo tính tồn vẹn, tính bí mật, tính xác thực liệu Việc cài đặt cơng cụ bảo mật liệu phịng ban cho mạng LAN sở Tại sở quản trị hệ thống triển khai việc bảo mật thơng tin cho sở sách cụ thể như: Cài đặt Tường lửa, cài đặt phần mềm chống virus, phần mềm giám sát lưu lượng mạng, kế hoạch lưu, phục hồi… Việc kiểm soát truy nhập nhân viên trưởng phòng giáo vụ sở ủy quyền cho trưởng phịng giáo vụ sở 3.3.1 Hệ thống xác thực - Mật truyền thống Mật truyền thống phương pháp xác thực đơn giản hệ thống nhận thực Việc sử dụng mật truyền thống cho phép nhân viên Trường truy nhập vào hệ thống xem thông tin ngày công, ngày hưởng lương, mức lương hàng tháng, nội quy, qui định, thông báo lãnh đạo Trường tới nhân viên Với loại mật nhân viên, giảng viên học sinh, sinh viên xem không trực tiếp truy nhập hệ thống để nhập thông tin hay sửa đổi liệu - Giao thức xác thực mật khẩu: Đối với nhân viên, muốn truy nhập qua VPN vào mạng nội công ty, họ phải hệ thống kiểm tra cấp quyền truy nhập Ví dụ: Nhân viên (ClientHaNoi) tạo kết nối, Client phải nhập user name passwork, đầu nhận DCSaiGon xác nhận user name passwork mở kết nối cấp cho user địa IP động Lúc máy ClientHaNoi làm việc máy mạng nội với địa IP 3.3.2 Hệ thống mã hóa Sau cài đặt mạng VPN, hệ thống mã hóa áp dụng cho việc chuyển đổi gói tin truyền mạng Internet liệu gửi từ Client truy nhập từ xa hay client mạng LAN cở sở 20 3.4 Triển khai thử nghiệm Cơ sở Trường ĐHCN TP Hồ Chí Minh Thái Bình Với nghiên cứu Học viên tìm hiểu triển khai mơ hình thử nghiệm phần mền VMware Trên thực tế có nhiều phần mềm để mô Mạng riêng ảo CiscoSDM,SolarWindTFTP… song ưu điểm Vmware giúp mô máy ảo chạy hệ điều hành thật,có Switch ảo để hỗ trợ kết nối, nối máy ảo máy thật, chia sẻ tài nguyên máy ảo, chia sẻ CPU RAM… Triển khai cài đặt với mơ hình thử nghiệm 3.1 Mơ hình gồm máy cart mạng, máy dùng cho kết nối Site-to-Site mạng Cơ sở TP Hồ Chí Minh sở đại diện Thái Bình, máy thứ ClientHaNoi đại diện cho người dùng truy nhập từ xa tới sở Hồ Chí Minh Đầu tiên ta cài máy với cấu hình 3.1, máy cạnh thiết kế để kết nối thông mạng DCSaiGon: Máy chủ server chạy hệ điều hành Microsoft Server2003, nâng cấp lên DomainController Máy giả định đặt sở Trường ĐHCN TP Hồ Chí Minh ServerThaibinh: Máy chủ server chạy hệ điều hành Microsoft Server2003 đặt sở Thái Bình ClientSaiGon: Đại diện cho máy sở Trong máy ủy quyền để làm domain group, Client hay server riêng ClientSaiGon join vào DCSaiGon ClientThaiBinh: Đại diện cho máy sở Thái Bình, máy server lưu trữ liệu, client hay Domain group ClientHaNoi: Đại điện cho máy truy nhập từ xa kết nối vào sở Ta tiến hành cài dịch vụ kết nối VPN cho hai server hai điểm Sài Gòn Thái Bình Học viên dùng kết nối VPN qua giao thức IPSec sử dụng mã hóa L2TP ,dùng khóa chia sẻ hai điểm Sài Gòn Thái Bình (chương trình thực mơ thử nghiệm lưu đĩa CD) Kết connection hai điểm Sài Gịn Thái Bình thành cơng: 21 Hình 3.2 ClientSaiGon kết nối ServerThaiBinh ClientThaiBinh e Hinh 3.3: ClientThaiBinh kết nối DCSaiGon ClientSaiGon 22 Tiếp theo cài máy ClientHaNoi kết nối với DCSaiGon sử dụng IPSec VPN giao thức mã hóa L2TP, sử dụng pre-shared key, DCSaiGon tạo người sử dụng với user name: ngatt, password:nga123@ Tại ClientHaNoi tạo kết nối, connection với tên user password DCSaiGon Kết ta kết nối user DCSaiGon Hình 3.4 IP máy ClientHaNoi trước kết nối VPN Hỉnh 3.5: Địa IP động ClientHaNoi sau kết nối VPN Hình 3.6: ClientSaiGon ping địa IP ClientHaNoi 23 Hình 3.7:ClientHaNoi ping địa IP DCSaiGon ClientSaiGon 3.5 Đánh giá Qua thử nghiệm kết đạt mục tiêu đề ra.Việc truy nhập máy chủ TP Hồ Chí Minh tới máy chủ Thái Bình, máy Client thái Bình thành cơng ngược lại, truy nhập Client Hồ Chí Minh Client Thái Bình thành cơng Truy nhập ClientHaNoi từ xa qua mạng tới ClientSaiGon thành cơng Với mạng VPN sở TP Hồ Chí Minh sở Thái Bìnhcủa trường áp dụng: - Hòm thư chung dùng để gửi tin nhắn nội cho nhân viên trường - Cài đặt phần mềm quản lý sinh viên, triển khai sử dụng cho tất nhân viên hai sở - Triển khai hội nghị trực tuyến hai sở Kết MạngVPN mang lại cho Trường ĐHCN TP Hồ Chí Minh như: 3.5.1 Bảo mật: Sau cài đặt mạng VNP thông tin, liệu gửi tời sở an tồn Các nhân viên xem thông báo mạng nội bộ, tải văn mẫu, giảng viên nhập điểm, điểm danh sinh viên lưu thông tin server cở sở Nhân viên nhập thơng tin quyền hạn từ nhà riêng mà khơng cần tới Trường 24 3.5.2 Tính linh hoạt Với mạng VPN, nhân viên Trường sử dụng tin nhắn nội cho cán bộ, giảng viên Thông tin chuyển tới nhân viên toàn trường với thời gian nhanh, đồng thời nhân viên gửi tin nhắn nội tới nhân viên khác nơi có mạng… 3.5.3 Tiết kiệm chi phí: Chi phí cho mạng thấp: VPN sử dụng mạng Internet để kết nối sở Thái Bình, cở sở hay người dùng từ xa Chi phí cho kết nối VPN thấp, chí khơng đáng kể máy tính, thiết bị mạng sở có, kết nối VPN cần thuê dịch vụ nhà cung cấp Tiết kiệm thời gian nhân viên: Khi có Mạng VPN thông báo gửi trực tiếp tới người nhận thay việc nhân viên, giảng viên phải vào Trường để xem thơng báo dán bảng chung Khoa, Phịng Đối với nhân viên, giảm việc lại không cần thiết, Lãnh đạo tiết kiệm nhiều chi phí cho in, phơ tơ gửi thơng báo tới phòng, khoa Nhân viên văn thư Trường giảm tối thiểu tới mức khơng cịn nhân viên Tiết kiệm văn phịng, nhà kho: Do thơng báo mạng nên khơng cần phải có nơi lưu trữ hồ sơ, việc giải kịp thời nên không cần nhà kho để lưu trữ thiết bị học tập học sinh, sinh viên… 3.5.4 Tỉnh khả mở VPN tận dụng hạ tầng internet nhà cung cấp dịch vụ việc cài đặt thêm VPN cho sở khác nhà trường điều dễ dàng Các sở lại Thanh Hóa, Nghệ An, Biên Hịa cần th dịch vụ VNPT địa phương kết nối VPN vào sở 3.5.5 Tăng hiệu suất Mạng riêng ảo cung cấp kết nối nhanh, tin cậy sở Điều làm tăng việc giải quyết, xử lý công việc cho học sinh, sinh viên giảng viên Ngoài việc chuyển tin nhắn nội bộ, lãnh đạo họp trực tuyến qua mạng VPN thay trước Lãnh đạo sởphải cơng tác sở nhiều thời gian Tóm lại, việc sử dụng mạng VPN phục vụ cơng tác quản lý Trường ĐHCN TP Hồ Chí Minh giải pháp hồn tồn đắn Nó mang lại môi trường quản lýmới, đại, tiên tiến, cán bộ, giảng viên quản lý thông tin cách xác, hiệu niềm mơ ước nhân viên sở Trường 25 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Sau thời gian nghiên cứu hoàn thành Luận văn, Học viên thực tất nội dung đạt mục tiêu đề đề cương phê duyệt Các kết bao gồm: - Các khái niệm Mạng riêng ảo, lợi ích Mạng riêng ảo - Cấu trúc mạng riêng ảo, loại mạng riêng ảo - Bảo mật Mạng riêng ảo - Các giao thức Mạng riêng ảo - Các yêu cầu kỹ thuật xây dựng Mạng riêng ảo - Kết luận sử dụng mạng riêng ảo - Lựa chọn xây dựng mơ hình thử nghiệm Trường ĐHCN TP Hồ Chí Minh Qua nghiên cứu thử nghiệm thành công mô hình kết nối VPN Trường ĐHCN TP Hồ Chí Minh sở Thái Bình, học viên thu lượng kiến thức thực tế lớn mạng máy tính, quản trị mạng kịch quản trị hệ thống Học viên tiếp tục triển khai mơ hình MPLS, SSL VPN để áp dụng thành cơng cho hệ thống Trường ĐHCN TP Hồ Chí Minh 26 DANH MỤC TÀI LIỆU THAM KHẢO [1] Trần Công Hùng, Kỹ thuật mạng riêng ảo (VPN), Nhà xuất Bưu Điện, 2002 [2] Trần Công Hùng, Chuyển mạch nhãn đa giao thức, Nhà xuất Thông tin Truyền thông, 2008 [3] Implementing and Administering Security in a Microsoft Windows server 2003 netword [4] Sybex - CompTIA Security+ Deluxe Study Guide.Nov.2008 [5 ] SSL Remote Access VPNs, Jazib Frahim and Qiang huang, Cisco Press, 2008 [6] Cisco Security Appliance command line Configuration Guide,configuring Easy [7] Mark Ciampa - CompTIA Security+ 2008 In Depth [8] Cisco Secure Virtual Private Networks (Volume 1,2) Copyright © 2001, Cisco System, Inc [9] Virtual Private Networking and Intranet SecurityCopyright © 1999, Microsoft Corperation, Inc [10] VPN technologies: Definitions and Requirements Copyright © 2002, VPN Consortium ... cịn tồn công nghệ 17 Chương GIẢI PHÁP MẠNG RIÊNG ẢO TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH 3.1 Mơ hình quản lý trường ĐHCN Tp Hồ Chí Minh Bài tốn quản lý Trường ĐHCN TP Hồ chí Minh: ... 17 GIẢI PHÁP MẠNG RIÊNG ẢO TRƯỜNG ĐẠI HỌC CƠNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH 17 3.1 Mơ hình quản lý trường ĐHCN Tp Hồ Chí Minh 17 3.2 Giải pháp kiến trúc mạng riêng ảo. .. khái niệm Mạng riêng ảo, lợi ích Mạng riêng ảo - Cấu trúc mạng riêng ảo, loại mạng riêng ảo - Bảo mật Mạng riêng ảo - Các giao thức Mạng riêng ảo - Các yêu cầu kỹ thuật xây dựng Mạng riêng ảo - Kết