Đồ án tốt nghiệp Đại học 004.67 TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN VÕ TRUNG VIỆT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: CÔNG NGHỆ MẠNG RIÊNG ẢO - VPN NGÀNH: KỸ SƢ CÔNG NGHỆ THÔNG TIN Nghệ An, 12/2014 SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: CÔNG NGHỆ MẠNG RIÊNG ẢO - VPN NGÀNH: KỸ SƢ CÔNG NGHỆ THÔNG TIN Sinh viên thực hiện: Mã số sinh viên: Lớp: Giáo viên hướng dẫn: Võ Trung Việt 1051070392 51K2 - CNTT ThS Phạm Thị Thu Hiền Nghệ An, 12/2014 SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học LỜI CẢM ƠN Trên thực tế khơng có thành công mà không gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp ngƣời khác Trong suốt thời gian từ bắt đầu học tập giảng đƣờng đại học đến nay, em nhận đƣợc nhiều quan tâm, giúp đỡ thầy cô, gia đình bạn bè Với lịng biết ơn sâu sắc nhất, em xin gửi đến thầy cô khoa Công nghệ thông tin - trƣờng Đại học Vinh với tri thức tâm huyết để truyền đạt vốn kiến thức quý báu cho chúng em suốt thời gian học tập trƣờng Trong trình xây dựng đồ án này, em nhận đƣợc nhiều giúp đỡ, góp ý, ủng hộ thầy cô giáo, bạn bè đồng nghiệp Em xin chân thành cảm ơn hƣớng dẫn nhiệt tình cô ThS Phạm Thị Thu Hiền, cô giáo trực tiếp hƣớng dẫn đề tài em, cảm ơn thầy cô giáo trong khoa Công Nghệ Thông Tin tạo điều kiện giúp đỡ em hoàn thành đồ án Bảo mật hệ thống kỹ thuật VPN vấn đề rộng Việt Nam, đồng thời kinh nghiệm kỹ thuật hạn chế, nội dung tài liệu chắn nhiều sai sót, hy vọng thầy bạn sinh viên đóng góp nhiều ý kiến bổ sung hồn thiện để đồ án đƣợc xác hữu ích SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học MỤC LỤC LỜI NÓI ĐẦU CHƢƠNG TỔNG QUAN VỀ VPN 1.1 Định nghĩa, chức năng, ƣu điểm VPN 1.1.1 Khái niệm VPN 1.1.2 Chức VPN 1.1.3 Ƣu điểm VPN 1.1.4 Các yêu cầu giải pháp VPN 1.2 Đƣờng hầm mã hóa 1.3 Các kiểu VPN 1.3.1 Các VPN truy cập (Remote Access VPNs) 1.3.2 VPN điểm-nối-điểm (site-to-site) 1.3.3 Các VPN mở rộng (Extranet VPNs) CHƢƠNG GIAO THỨC ĐƢỜNG HẦM VPN 10 2.1 Giới thiệu giao thức đƣờng hầm 10 2.2 Giao thức đƣờng hầm điểm tới điểm (PPTP) 11 2.2.1 Nguyên tắc hoạt động PPTP 11 2.2.2 Một số ƣu nhƣợc điểm khả ứng dụng PPTP 12 2.3 Giao thức chuyển tiếp lớp (L2F) 13 2.3.1 Nguyên tắc hoạt động L2F 13 2.3.2 Những ƣu điểm nhƣợc điểm L2F 15 2.4 Giao thức đƣờng hầm lớp L2TP (Layer Tunneling Protocol) 15 2.4.1 Giới thiệu 15 2.4.2 Các thành phần L2TP 16 2.4.3 Những thuận lợi bất lợi L2TP 17 2.5 GRE (Generic Routing Encapsulution) 17 2.6 Giao thức bảo mật IP (IP Security Protocol) 18 2.6.1 Giới thiệu 18 2.6.2 Những hạn chế IPSec 22 CHƢƠNG BẢO MẬT TRONG VPN 24 SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học 3.1 Tổng quan an ninh mạng 24 3.1.1 An toàn mạng gì? 24 3.1.2 Các đặc trƣng kỹ thuật an toàn mạng 25 3.1.3 Các lỗ hổng điểm yếu mạng 26 3.2 Một số phƣơng thức công mạng phổ biến 27 3.2.1 Scanner 27 3.2.2 Bẻ khóa (Password Cracker) 27 3.2.3 Trojans 28 3.2.4 Sniffer 29 3.3 Các mức bảo vệ an toàn mạng 29 3.4 Các kỹ thuật bảo mật VPN 30 3.4.1 Firewalls 30 3.4.2 Authentication (nhận thực) 36 3.4.3 Encryption (mã hoá) 37 3.4.4 Đƣờng hầm (Tunnel) 38 CHƢƠNG THIẾT LẬP VPN 39 4.1 Thiết lập mơ hình Site to Site (trên hệ điều hành CentOS 6.5) 39 4.2 Thiết lập mơ hình Client to Site (trên Windows Server 2008) 47 KẾT LUẬN 65 TÀI LIỆU THAM KHẢO 66 SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học LỜI NÓI ĐẦU Cùng với phát triển công nghệ thông tin, công nghệ mạng máy tính đặc biệt mạng Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng Internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin trao đổi Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tin cậy Bên cạnh đó, dịch vụ mạng ngày có giá trị, yêu cầu phải đảm bảo tính ổn định an tồn cao Tuy nhiên, hình thức phá hoại mạng trở nên tinh vi phức tạp hơn, hệ thống, nhiệm vụ bảo mật đặt cho ngƣời quản trị quan trọng cần thiết Xuất phát từ thực tế nêu trên, giới xuất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính, việc nắm bắt cơng nghệ cần thiết Chính vậy, thông qua việc nghiên cứu cách tổng quan bảo mật hệ thống công nghệ cụ thể liên quan đến bảo mật hệ thống, cơng nghệ Mạng Riêng Ảo (VPN-Virtual Private Network) đồ án em góp phần vào việc hiểu thêm nắm bắt rõ kỹ thuật VPN doanh nghiệp nhƣ nhà trƣờng để phục vụ cho lĩnh vực học tập nghiên cứu SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học CHƢƠNG TỔNG QUAN VỀ VPN 1.1 Định nghĩa, chức năng, ƣu điểm VPN 1.1.1 Khái niệm VPN - Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) mạng dành riêng để kết nối máy tính cơng ty, tập đồn hay tổ chức với thông qua mạng Internet công cộng - VPN đƣợc định nghĩa nhƣ dịch vụ mạng ảo đƣợc triển khai sở hạ tầng hệ thống mạng cơng cộng với mục đích tiết kiệm chi phí cho kết nối điểm-điểm Hình 1.1: Mơ hình VPN Về bản, VPN(virtual private network) mạng riêng rẽ sử dụng mạng chung (thƣờng Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều ngƣời sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng nhƣ đƣờng Leased Line, VPN sử dụng kết nối ảo đƣợc dẫn qua đƣờng Internet từ mạng riêng công ty tới site nhân viên từ xa SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị đƣợc quản trị cơng ty nhà cung cấp dịch vụ nhƣ ISP VPN đƣợc gọi mạng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật đƣợc thiết lập host, host mạng hai mạng với Một VPN đƣợc xây dựng cách sử dụng “Đƣờng hầm” “Mã hố” VPN xuất lớp mơ hình OSI VPN cải tiến sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất mạng cục 1.1.2 Chức VPN VPN cung cấp ba chức chính: - Sự tin cậy (Confidentiality): Ngƣời gửi mã hố gói liệu trƣớc truyền chúng ngang qua mạng Bằng cách làm nhƣ vậy, khơng truy cập thông tin mà không đƣợc cho phép Và có lấy đƣợc khơng đọc đƣợc - Tính tồn vẹn liệu (Data Integrity): ngƣời nhận kiểm tra liệu đƣợc truyền qua mạng Internet mà khơng có thay đổi - Xác thực nguồn gốc (Origin Authentication): Ngƣời nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin 1.1.3 Ƣu điểm VPN - Giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí so với thuê đƣờng truyền giảm đáng kể tiền cƣớc gọi đến nhân viên làm việc xa Giảm đƣợc cƣớc phí đƣờng dài truy cập VPN cho nhân viên di động nhân viên làm việc xa nhờ vào việc họ truy cập vào mạng thông qua điểm kết nối POP (Point of Presence) địa phƣơng, hạn chế gọi đƣờng dài đến modem tập trung - Giảm chi phí đầu tư: Sẽ khơng tốn chi phí đầu tƣ cho máy chủ, định tuyến cho mạng đƣờng trục chuyển mạch phục vụ cho việc truy cập thiết bị nhà cung cấp dịch vụ quản lý làm chủ Công ty mua, thiết lập cấu hình quản lý nhóm modem phức tạp - Truy cập lúc, nơi: Các Client VPN truy cập tất dịch vụ nhƣ www, e-mail, FTP … nhƣ ứng dụng thiết yếu khác mà không cần quan tâm đến phần phức tạp bên dƣới - Khả mở rộng: Do VPN sử dụng môi trƣờng công nghệ tƣơng tự Internet với Internet VPN, văn phịng, nhóm đối tƣợng di động SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học trở nên phần mạng VPN nơi mà ISP cung cấp điểm kết nối cục POP - Đáp ứng nhu cầu thƣơng mại, cho phép tích hợp nhiều cơng nghệ vào mạng Hình 1.2 Ƣu điểm VPN so với mạng truyền thống 1.1.4 Các yêu cầu giải pháp VPN Có yêu cầu cần đạt đƣợc xây dựng mạng riêng ảo - Tính tương thích (compatibility) Mỗi cơng ty, doanh nghiệp đƣợc xây dựng hệ thống mạng nội diện rộng dựa thủ tục khác không tuân theo chuẩn định nhà cung cấp dịch vụ Rất nhiều hệ thống mạng không sử dụng chuẩn TCP/IP vậykhơng thể kết nối trực tiếp với Internet Để sử dụng đƣợc IP VPN tất hệ thống mạng riêng phải đƣợc chuyển sang hệ thống địa theo chuẩn sử dụng internet nhƣ bổ sung tính tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức việc chuyển đổi thủ tục khác sang chuẩn IP 77% số lƣợng khách hàng đƣợc hỏi yêu cầu chọn nhà cung cấp dịch vụ IP VPN phải tƣơng thích với thiết bị có họ - Tính bảo mật (security) Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Ngƣời sử dụng cần đƣợc đảm bảo liệu thơng qua mạng VPN đạt đƣợc mức độ an tồn giống nhƣ hệ thống mạng dùng riêng họ tự xây dựng quản lý SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Việc cung cấp tính bảo đảm an toàn cần đảm bảo hai mục tiêu sau: + Cung cấp tính an tồn thích hợp bao gồm: cung cấp mật cho ngƣời sử dụng mạng mã hoá liệu truyền + Đơn giản việc trì quản lý, sử dụng Địi hỏi thuận tiện đơn giản cho ngƣời sử dụng nhƣ nhà quản trị mạng việc cài đặt nhƣ quản trị hệ thống - Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp đƣợc tính bảo đảm chất lƣợng, hiệu suất sử dụng dịch vụ nhƣ dung lƣợng truyền - Tiêu chuẩn chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá mạng lƣới có khả đảm bảo chất lƣợng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả đảm bảo độ trễ dịch vụ phạm vi định liên quan đến hai vấn đề 1.2 Đƣờng hầm mã hóa Chức VPN cung cấp bảo mật cách mã hoá qua đƣờng hầm Hình 1.3 Đƣờng hầm VPN  Đường hầm (Tunnel) cung cấp kết nối logic, điểm tới điểm qua mạng IP không hƣớng kết nối Điều giúp cho việc sử dụng ƣu điểm tính bảo mật Các giải pháp đƣờng hầm cho VPN sử dụng mã hoá để bảo vệ liệu không bị xem trộm không đƣợc phép để thực đóng gói đa giao thức cần thiết Mã hoá đƣợc sử dụng để tạo kết nối đƣờng hầm để liệu đƣợc đọc ngƣời nhận ngƣời gửi  Mã hố(Encryption) chắn tin khơng bị đọc nhƣng đọc đƣợc ngƣời nhận Khi mà có nhiều thơng tin lƣu thơng mạng cần thiết việc mã hố thơng tin trở nên quan trọng Mã hố biến đổi nội dung thơng tin thành văn mật mã mà vô nghĩa dạng mật mã Chức giải mã để khôi phục văn mật mã thành nội dung thông tin dùng đƣợc cho ngƣời nhận SVTH: Võ Trung Việt Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Nhập tên Account mật Administrator máy srv-11 Click OK Restart lại máy để hoàn thành gia nhập Domain Khi kiểm tra tên máy SRV1 là: srv-1.camvinhna.com đƣợc Bƣớc : Cài đặt vpn server thông qua RRAS srv-1 Trên máy srv-1 Trong Server Manager, chọn Add Roles SVTH: Võ Trung Việt 52 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Click Next chọn Network Policy and Access Services Click Next Sau chọn Routing and Remote Access Services Click Next SVTH: Võ Trung Việt 53 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Click Install Sau cài xong click Close Chọn Programs/ Administrator Tools/ Routing and Remote Access SVTH: Võ Trung Việt 54 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Click chuột phải vào SRV-1 chọn Configure and Enable Routing and Remote Access SVTH: Võ Trung Việt 55 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Click Next Chọn Remote Access (dial-up or VPN) Click Next SVTH: Võ Trung Việt 56 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Chọn VPN Sau click Next Chọn mạng WAN Sau chọn Next SVTH: Võ Trung Việt 57 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Chọn nhƣ hình dƣới, click Next Click New Sau nhập địa IP máy Client connect đến VPN server Click Next Sau chọn Finish SVTH: Võ Trung Việt 58 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Chúng ta cấu hình xong VPN server srv-1 xây dựng domain controler srv-11, lúc kiểm tra kết nối VPN có thành công hay không cách tạo tài khoản ngƣời dùng DC cho phép Allow (dial-in) tạo VPN client conection máy tính xa client-1 (15.15.15.20) Bƣớc : Tạo Group User Domain Trên máy srv-11 ta vào Run dùng lệnh dsa.msc để vào Active Direction Users and Computers Tạo Group User phù tƣơng ứng cơng ty Ví dụ User truongphong thƣờng xuyên công tác xa cần chia sẻ liệu với công ty trụ sở Ta Click chuột phải vào chọn Properties>Dial-in chọn Allow access phép User truy cập kết nối VPN SVTH: Võ Trung Việt 59 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Bƣớc : Tạo VPN connection máy client xa Trên máy Client ta vào Network and Sharing Center Chọn Setup a new connection or network Chọn Connect to a workplace SVTH: Võ Trung Việt 60 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Chọn Use my Internet connection (VPN) SVTH: Võ Trung Việt 61 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Điền địa IP mạng WAN máy VPN server Sau click Next Nhập vào tên Account ngƣời dùng muốn đăng nhập SVTH: Võ Trung Việt 62 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Click Creat Connect VPN connection Điền tên Account Password nhấn Connect Sau Connect thành công Ta dùng lệnh Ping 192.168.1.1 để kiểm tra kết nối tới máy srv-11 chứa Domain SVTH: Võ Trung Việt 63 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học Khi kết nối VPN thành công, để tiếp tục chia sẻ liệu ta Join máy Client vào Domain cách tƣơng tự nhƣ với máy srv-1 Restart lại máy để hoàn thành gia nhập Domain SVTH: Võ Trung Việt 64 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học KẾT LUẬN i Kết đạt đƣợc: Công nghệ mạng riêng ảo VPN (Virtual Private Network) công nghệ tƣơng đối mới, việc nghiên cứu triển khai loại mạng VPN đòi hỏi nhiều thời gian cơng sức Bài báo cáo trình bày khái niệm VPN, vấn đề bảo mật hệ thống, nghiên cứu cách kỹ lƣỡng sở lý thuyết Trong phần thực nghiệm báo cáo, em xây dựng cấu hình thành cơng mạng VPN site to site hệ điều hành CentOS 6.5 ii Hạn chế đề tài: Trong khoảng thời gian ngắn, khơng thể tránh khỏi sai sót, em mong nhận đƣợc phản hồi, góp ý từ thầy cô bạn để báo cáo đƣợc hoàn thiện Phần lý thuyết dừng lại tóm tắt tổng quát, chƣa sâu nghiên cứu vấn đề Cấu hình dịch vụ đơn giản, chƣa sâu vào dịch vụ phức tạp ứng dụng mang iii Hƣớng khắc phục phát triển đề tài: Cài đặt ứng dụng mơ hình mạng lớn (WAN, MAN) Triển khai VPN theo mơ hình khác nhƣ VPN với ADSL…Bên cạnh sâu nghiên cứu kỹ chuyên sâu dịch vụ đƣợc sử dụng VPN Qua đó, đƣa đƣợc giải pháp, lựa chọn tối ƣu cho mơ hình mạng theo nhu cầu đối tƣợng sử dụng để áp dụng đề tài vào thực tiễn SVTH: Võ Trung Việt 65 Lớp 51K2 Khoa CNTT Đồ án tốt nghiệp Đại học TÀI LIỆU THAM KHẢO [1] Website: www.congdonglinux.vn [2] Hoàng Minh Sơn, Mạng truyền thông công nghiệp, NXB Khoa học kỹ thuật, năm 2004 [3] Nguyễn Ngọc Tuấn, 100 thủ thuật bảo mật mạng, NXB Giao thông vận tải, năm 2005 [4] Nguyễn Tiến Ban, Hoàng Trọng Minh, Mạng riêng ảo VPN năm 2007 SVTH: Võ Trung Việt 66 Lớp 51K2 Khoa CNTT ... mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị đƣợc quản trị công ty nhà cung cấp dịch vụ nhƣ ISP VPN đƣợc gọi mạng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng... công nghệ liên quan đến bảo mật hệ thống mạng máy tính, việc nắm bắt công nghệ cần thiết Chính vậy, thơng qua việc nghiên cứu cách tổng quan bảo mật hệ thống công nghệ cụ thể liên quan đến bảo... nghiệp Đại học TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: CÔNG NGHỆ MẠNG RIÊNG ẢO - VPN NGÀNH: KỸ SƢ CÔNG NGHỆ THÔNG TIN Sinh viên thực hiện: Mã