NIIT- iNET BÁO CÁO ISAS Đề Tài: MẠNG RIÊNG ẢO (VPN) Lớp: NME10044 Nhóm 3: Giang Nam-Cao Trung-Nguyên Bách GVHD: Thầy Nguyễn Khơi Tp Hồ Chí Minh, tháng 05/2011 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Lời giới thiệu Sự phát triển internet năm qua kéo theo phát triển hàng loạt dịch vụ mới,thích ứng với nhu cầu đa dạng việc ứng dụng công nghệ thông tin kinh tế nay,một dịch vụ giải pháp tạo mạng riêng ảo VPN(Virtual Private Network) GVHD:thầy Nguyễn Khôi NIIT-iNET Nhóm Lời cám ơn Nhóm chúng em xin chân thành cám ơn sâu sắc đến thầy Nguyễn Khôi tận tình hướng dẫn ý kiến bổ ích thầy suốt trình thực hồn thành đề tài ISAS nhóm Hi vọng thời gian cịn lại khóa học,nhóm chúng em nhóm khác tiếp tục nhận hướng dẫn giải đáp thắc mắc tận tình từ thầy thầy cô giảng dạy học viện GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Mục lục I.Tổng quan VPN II.Ứng dụng VPN .9 III.An ninh mạng riêng ảo (VPN) 10 IV.VPN truy cập từ xa(Remote access): .16 V.Hướng phát triển VPN: 18 VI.Tài liệu tham khảo .20 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm I.TỔNG QUAN VỀ VPN 1.Khái niệm VPN: Về mạng riêng sử dụng hệ thống mạng công cộng(thường internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm.Thay dùng kết nối thật phức tạp đường dây thuê bao số,VPN tạo liên kết ảo truyền qua internet mạng riêng tổ chức với địa điểm người dùng xa VPN 2.Các loại VPN: Có loại phổ biến VPN truy cập từ xa (Remote access) VPN điểm-nốiđiểm (site-to-site) a/VPN truy cập từ xa(Remote access): Còn gọi mạng Dial-up riêng ảo (VPDN),là kết nối người dùng đến LAN,thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ địa điểm xa.Ví dụ công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP).ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ.Sau , người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty.Loại VPN cho phép kết nối VPN an tồn,có mật mã b/VPN điểm-nối-điểm(site-to-site): Là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng cơng cộng internet.Loại dựa intranet extranet.Loại dựa intranet:Nếu cơng ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất,họ tạo VPN intranet(VPN nội bộ) để nối LAN với LAN.Loại dựa Extranet:Khi cơng ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác,cung cấp,khách hàng) họ xây dựng VPN extranet (VPN mở GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc mơi trường chung VPN điểm-nối-điểm(site-to-site) 3.Bảo mật VPN: _ Tường lửa (firewall):là rào chắn vửng mạng riêng Internet.Bạn thiết lập tường lửa để hạn chế số lượng cổng mở,loại gói tin giao thức chuyển qua.Một sản phẩm dùng cho VPN router 1700 Cisco _ Cisco IOS thích hợp.Tốt cài tường lửa thật tốt trước thiết lập VPN.Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã được.Có hai lại mật mã riêng mật mã chung _ Mật mã riêng (Symmetric key Encryption):Mỗi máy tính có mật mã để mã hóa gói tin trước gửi tới máy tính khác mạng.Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó,để máy tính người nhận giải mã _ Giao thức bảo mật:giao thức internet(IPSec) cung cấp tính an ninh cao cấp thuật tốn mã hóa tốt hơn,q trình thẩm định quyền đăng nhập tồn diện GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Giao thức IPSec 4.Máy chủ AAA: AAA viết tắt chữ Authentication(thẩm định quyền truy cập),Authorization(cho phép) Accounting(kiểm soát).Các server dùng để đảm bảo truy cập an toàn hơn.Khi yêu cầu thiết kết nối gửi tới máy khách,nó phải qua máy chủ AAA để kiểm tra.Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an tồn sản phẩm cơng nghệ dành cho VPN Cơ cấu máy chủ AAA 5.Bộ xử lí trung tâm: GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Có nhiều loại máy VPN hãng khác nhau,nhưng sản phẩm Cisco tỏ vượt trội số tính năng.Tích hợp kĩ thuật mã hóa thẩm định quyền truy cập cao cấp nay,máy VPN thiết kế chuyện biệt cho loại mạng này.Chúng chứa module xử lí mã hóa SEP,cho phép người dùng dễ dàng tăng dung lượng số lượng gói tin truyền tải.Dịng sản phẩm có model thích hợp cho mơ hình doanh nghiệp từ nhỏ đến lớn (từ 100 đến 10.000 điểm kết nối truy cập từ xa lúc 6.Router dùng cho VPN: Thiết bị cung cấp chức truyên dẫn,bảo mật.Dựa hệ điều hành internet IOS mình,hãng Cisco phát triển loại Router thích hợp cho trường hợp,từ truy cập nhà tới văn phòng nhu cầu doanh nghiệp quy mô lớn Router VPN 7.Tường lửa PIX Cisco: Hệ thống tường lửa Cisco GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm II.Ứng dụng VPN Ứng dụng bảo mật thông tin trường học: Hiện trường đại học,cao đẳng,…ở Việt Nam tiến hành xây dựng hệ thống mạng intranet riêng để phục vụ cho việc nghiên cứu,học tập giáo viên,học sinh,sinh viên…Hầu hết mạng đề kết nối với mạng internet,các kết nối dùng để trao đổi thông tin nội với trường học khác giúp cho giáo viên,sinh viên có điều kiện tiếp cận khai thác nguồn tài nguyên khoa học phong phú internet.Internet mạng lại lợi ích khơng thể phủ nhận việc học tập nghiên cứu,tuy nhiên cịn có điểm bất lợi khơng thể tránh khỏi.Cụ thể kẻ hở mà kẻ phá hoại lợi dụng để đánh cắp thông tin,phá hoại mạng nội trường Như nhiệm vụ cấp bách đặt cho nhà quản trị mạng trường học thiết lập hệ thống bảo mật an tồn cho hệ thống thơng tin trường học.Hệ thống bảo mật vừa phải đảm bảo tính riêng tư ngăn chặn xâm nhập trái phép từ bên ngoài,vừa phải bảo đảm việc kết nối khai thác thông tin mạng Internet thông suốt Giải pháp ứng dụng phổ biến mạng intranet công ty đa quốc gia như:Siemens,Sony Ericsson…đó cơng nghệ mạng riêng ảo (VPN) GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm III.An ninh mạng riêng ảo (VPN) Nhu cầu ngày tăng việc truyền liệu an toàn (data security) tổ chức,công ty dẫn đến nhu cầu giải pháp mạng riêng ảo VPN (Virtual Private Network).Thêm vào đó,khuynh hướng làm việc qua mạng từ xa,phân tán doanh nghiệp cơng ty có nhiều chi nhánh phát triển lượng nhân viên di động làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin công ty.Sau giải pháp an ninh VPN,đó giải pháp VPN truyền thông dựa IPSec (Internet Protocol Security) giải pháp SSL (Secure Socket Layer) 1.IPSec VPN gì? IPSec VPN giao thức mạng bảo mật thường liên kết với VPN (bạn hoàn toàn dùng IPSec mạng cục LAN).IPSec VPN cho phép việc truyền tải liệu mã hóa an tồn lớp mạng(Network Layer) theo mơ hình OSI thông qua router mạng công cộng Internet cung cấp phổ biến như:ADSL router,FTTH router… 10 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Giải pháp IPSec VPN Việc thiết lập đường hầm IPSec VPN (IPSec tunnel) hai nơi,trước tiên,phải thỏa thuận sách an ninh (security policy),giải thuật mã hóa (encryption algorithm),kiểu xác thực (authentication method) dùng để tạo kênh đường hầm IPSec VPN.Trong IPSec tất dịch vụ mạng TCP,UDP,SNMP,HTTP,POP,SMTP…đều mã hóa kênh IPSec thiết lập mơ hình mạng máy tính chuẩn OSI 2.SSL VPN gì? Thuật ngữ SSL VPN dùng để dòng sản phẩm VPN phát triển nhanh chóng dựa giao thức SSL.Cũng cần nói rõ thân giao thức SSL khơng tích hợp giao thức SSL với công nghệ VPN lại mơ hình mới.Sử dụng SSL VPN để kết nối người dùng từ xa vào tài nguyên mạng công ty thông qua kết nối HTTPS lớp ứng dụng thay tạo đường hầm lớp mạng giải pháp IPSec nói trên.Vậy SSL VPN giải pháp VPN dạng ứng dụng 11 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Giải pháp SSL VPN 3.Lựa chọn SSL VPN hay IPSec VPN? Trước tiên,cần phải khẳng định SSL VPN IPSec VPN hai cơng nghệ loại trừ lẫn nhau.Thường công nghệ đồng thời triển khai cơng ty.Việc xem xét khía cạnh lựa chọn liên quan đến chi phí lợi nhuận vấn đề công nghệ mà hai giải pháp SSL IPSec đề cập giúp cho việc triển khai VPN trở nên dễ dàng hơn.Chúng ta xem xét vấn đề mặt sau đây: 4.Kiểu kết nối,kiểu truy cập: IPSec VPN phù hợp cho kết nối theo kiểu site to site.Nó lựa chọn tốt cho mạng Lan từ xa kết nối với hay kết nối với mạng trung tâm.Các kết nối yêu cầu băng thông rộng,hiệu suất cao,dữ liệu lớn,kết nối liên tục(always on),cố định đối tượng cung cấp giải pháp IPSec VPN truyền thống này.Tuy nhiên,khi dùng cho mục đích truy cập tài nguyên tập trung từ vị trí phân bố rải rác khắp nơi,hay người dùng di động từ xa từ vị trí cơng cộng tin cậy sân bay,nhà ga,khách sạn,tiệm café internet muốn truy cập vào tài nguyên cơng ty họ giải pháp IPSec VPN tỏ nhiều bất cập ưu điểm SSL VPN Có thể lấy ví dụ điển hình việc triển khai SSL VPN Bưu điện thành phố Hồ Chí Minh(VNPT POST) trình bày hội thảo Bảo mật mạng với O2 SECURITY PNET-nhà phân phối sản phẩm bảo mật mạng Firewall O2 SECURITY TP.Hồ Chí Minh.Giải pháp SSL VPN dựa dòng sản phẩm SSL VPN Seccendo Sifoworks UTM phù hợp với nhu cầu công ty nước có nhu cầu kết nối mạng riêng ảo từ xa trình bày 12 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm 5.Phần mềm khách(Client Software): IPSec VPN yêu cầu phải có thêm phần mềm Client cài đặt máy tính để bàn máy tính xách tay.Điều làm hạn chế tính linh động người dùng khơng thể kết nối VPN khơng có phần mềm IPSec Client cài đặt sẵn.Trong với giải pháp SSL VPN,chỉ cần hệ điều hành có trình duyệt (browser) hỗ trợ giao thức SSL thực kết nối an tồn,dễ dàng vào bảo mật.Sự có mặt khắp nơi trình duyệt tất thiết bị từ máy tính đến PDA,điện thoại thơng minh…đã làm cho cơng nghệ VPN dựa SSL dễ triễn khai Do cần phải cài đặt phần mềm IPSec Client thiết bị truy cập từ xa,nên điều làm tăng thêm chi phí quản trị,cấu hình…Với cơng ty có hàng trăm,thậm chí hàng ngàn người dùng từ xa(remote access) việc đặt,quản lí,hỗ trợ người dùng giải pháp IPSec công việc tốn nhiều thời gian,công sức,tài nguyên tiền bạc công ty nhân viên quản trị mạng.Vì SSL VPN thật giải pháp trường hợp 6.Mức độ an toàn thiết bị truy cập hay kết nối mạng từ xa: Với IPSec VPN,người dùng từ xa hay mạng LAN từ xa kết nối đến cơng ty dễ dàng truy cập đến toàn tài nguyên mạng (FTP,Email,Web,CRM,ERP…)như thể họ ngồi làm việc cơng ty.Vì vậy,các thiết bị Firewall hỗ trợ VPN hay mạng từ xa phải đáng tin cậy.Tuy nhiên,mọi việc trở nên khó khăn cung cấp giải pháp cho người dùng từ xa khơng có độ tin cậy tương tự thiết bị truy cập đa dạng PDA,điện thoại thông minh không quản lí hay tự cài đặt cấu hình IPSec Client kiểm tra 13 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Bảng so sánh IPSec VPN SSL VPN 7.Quản lí kiểm soát truy cập từ xa IPSec VPN: IPSec VPN thiết kế để mở rộng phạm vi mạng LAN.Người dùng chi nhánh văn phòng muốn truy cập không hạn chế tài nguyên mạng cách hiệu quả,địi hỏi sách an ninh mạng từ xa phải an toàn tương tự mạng cơng ty.Do giải pháp IPSec VPN áp dụng hiệu cho mô hình site to site.Mọi việc khác cho phép nhân viên thường xuyên di chuyển (mobile user,telecom user…),các đại lí,các nhà cung cấp,nhà thầu,các đối tác thương mại…kết nối vào mạng từ xa.Lúc giải pháp SSL VPN lựa chọn hợp lí nhằm giảm thiểu tất nguy đến từ kết nối từ xa nhờ chế kiểm soát đến chi tiết minh họa sau: Mơ hình bảo vệ đa lớp 8.Cịn mức độ bảo mật sao? Khi so sánh SSL VPN IPSec VPN thường người có câu hỏi đặt “Giao thức SSL VPN IPSec VPN an tồn hơn”.Thật ra,cả giao thức bảo mật bảo mật tốt cho hệ thống.Chúng cung cấp phương pháp trao đổi khóa an tồn phương pháp mã hóa mạnh.Mặc dù công nghệ khác chúng chia sẻ chung số đặc trưng chế mã hóa mạnh,dùng khóa phiên,khả xác thực sử 14 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm dụng phương pháp,cơng nghệ như:Triple DES,128-bit RC4,MD5,SHA1,RADIUS,Active Directory,LDAP,X.509 9.Vấn đề tương thích với Firewall,tính NAT: Việc kết nối IPSec thơng qua Firewall khó khăn.IPSec VPN dùng giao thức AH (Authenticated Header) ESP(Encapsulating Security Payload).Nếu Firewall của ISP ngăn không cho giao thức qua ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để trao đổi thông số bảo mật trước kết nối IPSec VPN khơng thể thực được.Một thách thức khác khơng tương thích IPSec với việc chuyển đổi địa mạng tính NAT (Network Address Translation).Trong đó,giải pháp SSP VPN tương thích hồn tồn với Firewall,NAT hay server proxy 10.Cịn ứng dụng: IPSec VPN hỗ trợ tất ứng dụng tảng IP.Một kênh IPSec thiết lập,tất dịch vụ ứng dụng từ ứng dụng truyền thống web,thư điện tử,truyền file đến ứng dụng khác ICMP,VoIP,SQL…các ứng dụng đa dịch vụ IPTV,MyTV Video Server…đều cho phép ngang qua kênh này.Đây ưu điểm IPSec VPN,có thể cung cấp kết nối an tồn cho ứng dụng khơng dựa web.Vì vậy,các máy khách (Client) dùng IPSec thực kết nối VPN gọi Fat-Client khả cung ứng nhiều dịch vụ ứng dụng.Còn SSL VPN cung cấp ứng dụng web,các ứng dụng email(POP3/IMAP/SMTP).Các máy khách cần dùng trình duyệt có hỗ trợ SSL thực kết nối VPN mà không cần cài đặt thêm phần mềm Client gọi Clientless ThinClient,SSL VPN hỗ trợ ứng dụng TCP sử dụng chương trình chuyển tiếp cổng Terminal Services (RDP Protocol) ứng dụng chia sẻ file CIFS(Common Internet File Service),Citrix ICA… 15 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm Mơ hình ứng dụng O2Security IV.VPN truy cập từ xa(Remote access): Các kiểu truy cập từ xa: Truy cập từ xa có dạng:Remote access dạng Dial up VPN Remote access dạng Dial up:là kiểu ISP ngày trước cho người quay VNN 1260,VNN 1269… Remote access dạng VPN:là phải có đường internet chạy IP bắt đầu tạo kết nối (đường hầm an toàn )để truy xuất vào server kết nối nhiều mạng LAN với Một vài hình ảnh loại kết nối: 16 GVHD:thầy Nguyễn Khơi 17 NIIT-iNET Nhóm GVHD:thầy Nguyễn Khơi 18 NIIT-iNET Nhóm GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm V.Hướng phát triển VPN: Với phát triển nhanh chóng công nghệ tin học viễn thông,thế giới ngày thu nhỏ trở nên gần gũi.Nhiều công ty vượt qua ranh giới cục khu vực,vươn thị trường giới.Nhiều doanh nghiệp có tổ chức trải rộng khắp tồn quốc chí vịng quanh giới,và tất họ đối mặt với nhu cầu thiết thực:một cách thức nhằm trì kết nối thơng tin kịp thời,an tồn hiệu cho dù văn phòng đặt nơi đâu Cho đến gần đây,ứng dụng kênh truyền dẫn thông tin thuê riêng giải pháp cho kết nối mạng diện rộng phạm vi khu vực giới.Cùng với phổ cập ngày cao internet,doanh nghiệp dần chuyển sang sử dụng internet phương tiện giúp họ mở rộng mạng cục sẵn có.Đầu tiên intranets,đây sites bảo vệ password sử dụng phạm vi cơng ty.Cịn nhiều doanh nghiệp thiết lập dịch vụ VPN nhằm thỏa mãn nhu cầu kết nối từ xa nhân viên với văn phòng văn phịng cách xa địa lí Một mạng riêng ảo VPN tiêu biểu gồm mạng LAN đặt trụ sở cơng ty,các mạng LAN khác văn phòng xa,cũng nhân viên kết nối từ xa đến mạng nôi công ty Một VPN thiết kế tốt đem lại lợi ích cho cơng ty như: _ Mở rộng kết nối nhiều khu vực giới _ Tăng cường an ninh mạng _ Giảm chi phí so với thiết lập mạng WAN truyền thống _ Giúp nhân viên làm việc từ xa giảm chi phí giao thơng tăng khả tương tác _ Đơn giản hóa mơ hình kiến trúc mạng _ Cung cấp hội kêt nối toàn cầu _ Hỗ trợ làm việc từ xa _ Cung cấp khả tương thích với mạng lưới băng thơng rộng _ Giúp thu hồi vốn nhanh so với mạng WAN truyền thống _ Quản lí dễ dàng _ Khả lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s,hoặc sử dụng công nghệ DSL _ Khả cung cấp dịch vụ cách nhanh chóng Đối với nhà cung cấp dịch vụ _ Tăng doanh thu từ lưu lượng sử dụng xuất phát từ dịch vụ gia tăng giá trị khác kèm theo _ Tăng hiệu sử dụng mạng internet 19 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm _ Kéo theo khả tư vấn thiết kế mạng cho khách hàng,đây yếu tố quan trọng tạo mối quan hệ gắn bó nhà cung cấp dịch vụ với khách hàng đặc biệt khách hàng lớn _ Đầu tư không lớn hiệu mang lại cao _ Mở lĩnh vực kinh doanh nhà cung cấp dịch vụ Một mạng riêng ảo hiệu bao gồm đặc điểm sau: _ Bảo mật (Security) _ Tin cậy (Reliability) _ Khả mở rộng (Scalability) _ Khả quản trị hệ thống mạng (Network management) _ Khả quản trị sách (Policy management) 20 GVHD:thầy Nguyễn Khơi NIIT-iNET Nhóm VI.Tài liệu tham khảo www.tailieu.vn www.google.com www.microsoft.com www.cisco.com 21 ... lục I.Tổng quan VPN II.Ứng dụng VPN .9 III.An ninh mạng riêng ảo (VPN) 10 IV .VPN truy cập từ xa(Remote access): .16 V.Hướng phát triển VPN: ... Khơi NIIT-iNET Nhóm III.An ninh mạng riêng ảo (VPN) Nhu cầu ngày tăng việc truyền liệu an toàn (data security) tổ chức,công ty dẫn đến nhu cầu giải pháp mạng riêng ảo VPN (Virtual Private Network).Thêm... xa với mạng LAN trụ sở trung tâm.Thay dùng kết nối thật phức tạp đường dây thuê bao số ,VPN tạo liên kết ảo truyền qua internet mạng riêng tổ chức với địa điểm người dùng xa VPN 2.Các loại VPN: