004.6 TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN BÙI QUANG SANG BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: TÌM HIỂU VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN – CÁC GIAO THỨC ĐƢỜNG HẦM VÀ BẢO MẬT Nghệ An, tháng 12 năm 2014 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI MỞ ĐẦU Hiện nay, Cơng nghệ thơng tin góp phần thiếu vào phát triển chung xã hội Các doanh nghiệp có nhiều chi nhánh, cơng ty đa quốc gia hoạt động phải trao đổi thông tin với khách hàng, đối tác, nhân viên họ Công nghệ mạng riêng ảo VPN đời cho phép đảm bảo an tồn trao đổi thơng tin chi nhánh, đối tác khách hàng Với đề tài: “Tìm hiểu Cơng nghệ mạng riêng ảo VPN - Các giao thức đường hầm bảo mật” Đồ án Tốt nghiệp để giúp em có kinh nghiệm lĩnh vực mạng ứng dụng công nghệ mạng VPN vào thực tế Nội dung đề tài tìm hiểu Cơng nghệ mạng riêng ảo VPN bao gồm chương: Trọng tâm chương tìm hiểu tổng quan cơng nghệ mạng riêng ảo VPN, phân loại VPN ưu-nhược điểm sử dụng VPN Tìm hiểu giao thức hoạt động giao thức đường hầm (L2F, PPTP, L2TP, IPSec) VPN Những vấn đề bảo mật VPN mật mã xác thực, giải pháp thuật tốn áp dụng Tiếp theo chương 2, trình bày thành phần VPN, vấn đề xây dựng VPN Các bước để xây dựng mạng VPN Những vấn đề quản lý bảo mật, quản lý địa quản lý hiệu Kết thúc chương 3, tiến hành cài đặt mơ hình VPN theo kiểu Client to Site Em xin chân thành cảm ơn Tiến sĩ Nguyễn Ngọc Hiếu, Giảng viên Trường Đại Học Vinh anh chị Công ty TNHH TMDV phát triển cơng nghệ Bệnh viện máy tính Huy Mạnh, chi nhánh Thành phố Vinh nhiệt tình giúp đỡ hướng dẫn em hoàn thành đề tài BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU CHƢƠNG TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN Công nghệ mạng riêng ảo (VPN - Virtual Private Network) kỹ thuật kết nối mạng thực dựa vào sở hạ tầng mạng công cộng (Internet) VPN chia làm kiểu chính: mạng riêng ảo kiểu tin tưởng mạng riêng ảo an toàn Mạng riêng ảo kiểu tin tưởng xây dựng dựa đường dây thuê nhà cung cấp dịch vụ với hoạt động đường dây mạng cục Mọi liệu khách hàng đảm bảo an toàn bảo mật Mạng riêng ảo an toàn sử dụng mật mã để bảo mật liệu Dữ liệu mật mã truyền đường hầm bảo mật mạng công cộng giải mã đích Do vậy, liệu an tồn 1.1 Khái niệm mạng riêng ảo (Vitual Private Network – VPN ) Mạng riêng ảo kết nối địa điểm người dùng từ xa với mạng LAN trụ sở trung tâm Khi đó, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người dùng từ xa Đó kết nối động, khơng có ổ cứng xảy lưu lượng mạng truyền qua Mạng riêng (LAN) Mạng riêng (LAN) Đường hầm Router Router Internet Router Router Router Router Hình 1.1: Mơ hình VPN Đây kiểu mạng riêng ảo kiểu an toàn, áp dụng hệ thống mạng Internet cho việc truyền liệu địa điểm công ty Cùng với công nghệ mạng thông minh cho phép thiết lập VPN kết nối riêng với người dùng xa, văn phịng, chi nhánh cơng ty, đối tác sử dụng chung mạng công cộng 1.2 Lịch sử phát triển VPN Dựa theo yêu cầu khách hàng phải đảm bảo kết nối hiệu với tổng đài thuê bao thông qua mạng diện rộng Thay hệ thống điện thoại nhóm hay mạng cục sử dụng đường thuê riêng để trao đổi thông tin SVTH: BÙI QUANG SANG Trang ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Các giai đoạn phát triển VPN: + Giai đoạn (1975 – 1985), Franch Telecom đưa dịch vụ tính cước Colisee Sprint đưa VPN + Giai đoạn (1986 -1989), Sprint đưa Vnet AT&T cung cấp dịch vụ quốc tế IVPN GSDN + Giai đoạn (1990 – đến nay), MCI Sprint đưa dịch vụ VPN quốc tế phát triển mạnh khu vục châu Á – Thái Bình Dương Hiện nay, VPN phát triển ứng dụng cho dịch vụ liệu, hình ảnh đa phương tiện Vì vậy, VPN giải pháp thông tin tối ưu cho công ty, tổ chức có nhiều văn phịng, chi nhánh lựa chọn 1.3 Chức năng, ƣu điểm nhƣợc điểm VPN 1.3.1 Chức + Tính xác thực: Khi thiết lập kết nối VPN hai phía phải xác thực lẫn + Tính tồn vẹn: Đảm bảo liệu không bị thay đổi, không bị xáo trộn q trình truyền dẫn + Tính bảo mật: Người gửi mã hố gói liệu trước truyền qua mạng công cộng liệu giải mã phía thu 1.3.2 Ƣu điểm + Tiết kiệm chi phí: Sử dụng VPN giúp cơng ty giảm chi phí đầu tư thiết bị chi phí th băng thơng + Tính linh hoạt: Trong trình vận hành, khai thác yêu cầu sử dụng Khách hàng lựa chọn kết nối gói dịch vụ nhà cung cấp + Khả mở rộng: Ở nơi có mạng Internet triển khai VPN: nâng cấp băng thơng dễ dàng gỡ bỏ có nhu cầu + Giảm thiểu hỗ trợ kỹ thuật: Việc chuẩn hoá kiểu kết nối từ đối tượng di động đến POP ISP yêu cầu bảo mật VPN + Đáp ứng nhu cầu thương mại: Đảm bảo khả làm việc sản phẩm VPN nhiều nhà cung cấp 1.3.3 Nhƣợc điểm + Vấn đề bảo mật liệu gặp khó khăn: Vì có cạnh tranh nguồn tài nguyên thông tin công ty + Khả quản lý chất lượng dịch vụ thấp BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU 1.4 Phân loại mạng VPN Dựa vào yêu cầu sau: + Khả truy cập từ xa + Khả điều khiển quyền truy nhập khách hàng, nhà cung cấp dịch vụ VPN phân thành loại: VPN truy cập từ xa, VPN cục VPN mở rộng 1.4.1 Mạng VPN truy nhập từ xa (Remote Access VPN) VPN truy nhập từ xa cho phép khả truy cập từ xa an tồn thơng qua Internet chi nhánh, văn phòng, người dùng di động Bằng cách sử dụng công nghệ quay số, IP di động, DSL, công nghệ cáp phần mềm hỗ trợ người dùng DSL cable or POP Internet or Router POP Mobile Extranet khách hàng tới công ty Hỡnh 1.2 : Mơ hình mạng VPN truy nhập từ xa  Các ưu điểm mạng VPN truy nhập từ xa: + Không cần hỗ trợ nhân viên mạng + Giảm chi phí cho kết nối từ xa + Tốc độ kết nối cao, khả truy cập tốt  Nhược điểm mạng VPN truy nhập từ xa: + Không hỗ trợ dịch vụ đảm bảo chất lượng dịch vụ + Khả bị liệu cao 1.4.2 Mạng VPN cục (Intranet VPN) Mạng VPN cục bộ: kết nối an toàn văn phịng, chi nhánh dựa mạng cơng cộng Cho phép điểm truy cập an toàn nguồn liệu cho phép tồn mạng cơng ty Kiểu VPN cấu hình theo kiểu VPN Site- to- Site Central site Remote site POP Internet or Router PIX Firewall văn phòng xa Vn phũng trung tõm Hình 1.3: Mơ hình mạng VPN cục SVTH: BÙI QUANG SANG Trang ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC  Ưu điểm: + Các mạng lưới cục hay tồn thiết lập + Giảm số nhân viên kỹ thuật hỗ trợ mạng + Dễ dàng thiết lập thêm kết nối ngang hàng thơng qua mạng Internet + Tiết kiệm chi phí cách dùng đường hầm VPN dựa Internet với công nghệ chuyển mạch tốc độ cao (công nghệ ATM, chuyển tiếp khung)  Nhược điểm: + Khả gói liệu cao + Chưa đảm bảo với khối lượng liệu lớn tốc độ 1.4.3 Mạng VPN mở rộng (Extranet VPN) VPN mở rộng tạo đường hầm bảo mật khách hàng, nhà cung cấp đối tác qua mạng Internet Kiểu VPN cấu hình theo kiểu VPN Site-to-Site Khác VPN cục VPN mở rộng khả truy cập công nhận hai đầu cuối VPN Central site Remote site DSL DSL cable POP Internet or Router PIX Firewall Extranet Văn phòng xa Business-to-business Intranet Văn phòng trung tâm Hình 1.4: Mơ hình mạng VPN mở rộng  Ưu điểm: + Chi phí thấp, dễ thiết lập bảo trì + Giảm số lượng nhân viên kỹ thuật hỗ trợ mạng + Linh hoạt cung cấp dịch vụ  Nhược điểm: + Khả bảo mật hạn chế + Chưa đảm bảo với khối lượng lớn liệu, thời gian tốc độ 1.5 Các giao thức đƣờng hầm VPN Có giao thức đường hầm VPN gồm: Giao thức định hướng lớp (L2F); Giao thức đường hầm điểm nối điểm (PPTP); Giao thức đường hầm lớp (L2TP); Giao thức bảo mật IP (IPSEC) dùng để giải vấn đề đóng gói an toàn liệu VPN truyền qua Internet BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU 1.5.1 Giao thức định hƣớng lớp (Layer Forwarding – L2F) Giao thức định hướng lớp tạo Cisco phát triển dựa giao thức PPP (Point-to-Point Protocol) L2F dùng cho dịch vụ quay số ảo việc tạo đường hầm bảo mật (đóng gói định hướng lớp liên kết liệu) dựa mạng Internet  Ƣu điểm: + Cho phép thiết lập đường hầm nhiều giao thức nhiều nhà cung cấp  Nhƣợc điểm: + Khơng có điều khiển luồng cho đường hầm + Khơng mã hố yếu xác thực người dùng  Các thiết bị chức L2F + NAS: Hướng lưu lượng đến từ Remote client, Home gateway + Tunnel: Định hướng đường NAS Home gateway + Home gateway: Ngang hàng với NAS + Kết nối: Là kết nối PPP đường hầm tạo nên phiên L2F + Điểm đích: Là điểm kết thúc đầu xa đường hầm RADIUS Server Tunnel Data NAS Remote User Mạng ISP Home gateway Mạng riêng Hình 1.5: Mơ hình L2F  Hoạt động L2F Bao gồm việc thiết lập kết nối, đường hầm tạo phiên làm việc Khi người dùng xa quay số tới hệ thống NAS tạo kết nối PPP tới ISP sau: + Hệ thống NAS máy khách trao đổi gói giao thức điều khiển liên kết + NAS sử dụng sở liệu cục xác thực máy chủ RADIUS để biết yêu cầu người dùng dịch vụ L2F + Nếu có NAS thu nhận địa cổng đích (Home gateway) + Khi tạo đường hầm từ NAS tới cổng đích gồm: nhận thực từ ISP tới cổng đích để tránh bị cơng + Kết nối PPP tạo đường hầm kéo dài thành phiên PPP người dùng xa truy cập đến Home gateway SVTH: BÙI QUANG SANG Trang ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC + Khi NAS tiếp nhận liệu từ người dùng đóng gói lưu lượng vào khung L2F đẩy vào đường hầm + Tại Home gateway, L2F tách bỏ khung, đóng gói liệu đẩy tới mạng cơng ty  Quản lý L2F + Điều khiển điểm đích, đường hầm, phiên + Cho phép chọn lựa điểm đích, đường hầm, phiên + Thiết lập thời gian chờ hệ thống lưu trữ liệu vào đường hầm 1.5.2 Giao thức đƣờng hầm điểm-điểm PPTP (Point to point Tunneling Protocol) Giao thức đường hầm điểm–điểm đưa nhóm cơng ty gọi PPTP Forum gồm: Ascend comm, Microsoft, ECI Telematicsunication US Robotic Hoạt động dựa chức truy cập từ xa với sở hạ tầng Internet để tạo kết nối bảo mật mạng riêng người dùng từ xa Giao thức PPTP tạo dựa chức PPP với khả quay số truy cập tạo nên đường hầm bảo mật thông qua Internet đến đích PPTP áp dụng giao thức bọc gói định tuyến chung GRE xác thực PAP CHAP  Kiến trúc hoạt động PPTP PPP PPP Giải thuật mã hóa Giải thuật xác thực Bọc gói định tuyến chung Hình 1.6: Kiến trúc PPTP Khi kết nối PPP tạo người dùng xác thực thực PAP, CHAP Tức mật gửi qua kết nối dạng văn đơn giản bảo mật để tránh khỏi bị cơng Khi kết nối quay số máy chủ truy cập mạng với máy khách, PPTP sử dụng PPP để: Thiết lập kết thúc kết nối vật lý; Xác thực người dùng; Tạo gói liệu PPP tạo nên mạng riêng ảo VPN truy cập từ xa BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU Mạng riêng ảo VPN Mạng riêng đựoc bảo vệ Computer Client Computer Internet Truy cập từ xa ISP Máy chủ Computer Client Tiêu đề phân phối môi trường Tiêu đề IP Tiêu đề mơi trường khung Tiêu đề GRE Gói tải PPP Khung Ethernet Gói liệu IP,IPX, NETBEUI Hình 1.7: Giao thức kết nối PPTP Các gói liệu IP đóng gói tiêu đề GRE, dùng số ID Host để điều khiển truy cập tốc độ liệu truyền đường hầm PPTP hoạt động lớp liên kết liệu phải có tiêu đề mơi trường truyền gói để biết gói liệu truyền đường hầm phương thức, Ethernet,PPP PPTP điều khiển tốc độ làm giới hạn số lượng liệu truyền tránh gói  Cấu trúc gói PPTP + Đóng gói liệu đường hầm PPTP + Xử lý liệu đường hầm PPTP  Đƣờng hầm PPTP: cho phép nhà cung cấp dịch vụ người dùng tạo loại đường hầm , bao gồm + Đường hầm tự nguyện: tạo theo yêu cầu người dùng đường hầm bảo mật Internet truy cập đến Host Internet giao thức TCP/IP để đảm bảo toàn vẹn liệu + Đường hầm bắt buộc: tạo máy chủ xun suốt q trình trao đổi thơng qua việc điều khiển truy cập dịch vụ(RAS) Mạng riêng Client Computer Internet Computer Máy chủ Client Computer Đường hầm tự nguyện Computer Computer Computer Computer Internet Máy chủ Computer Mạng riêng bảo vệ SVTH: BÙI QUANG SANG Máy chủ Đường hầm bắt buộc Computer Mạng riêng bảo vệ Trang ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hình 1.8 : Đường hầm bắt buộc đường hầm tự nguyện  Xác thực ngƣời dùng quay số từ xa (RADIUS) RADIUS (Remote Authentication Dial-In User Service) dùng để xác thực bảo mật quản trị kết nối mạng từ xa người dùng phiên làm việc Đó việc xác thực cấp quyền cho điều khiển truy cập dịch vụ đường hầm  Xác thực mã hoá PPTP Tại máy khách PPTP RAS hỗ trợ xác thực CHAP, PAP, MSCHAP - sử dụng hàm băm MD4 tạo thẻ thách đố từ mật người dùng để tránh bị liệu PPTP: liệu mã hố gói theo kiểu mã hóa điểm-điểm Microsoft dựa chuẩn RSA,…  Đƣờng hầm kết nối LAN-LAN PPTP Đó việc tạo đường hầm tự nguyện hai site, máy chủ PPTP site xác thực lẫn nhau: vai trò máy chủ PPTP trở thành client PPTP máy chủ PPTP bên ngược lại Mạng riêng bảo vệ Mạng riêng đựoc bảo vệ Computer Computer Internet Computer Computer Computer Máy chủ PPTP Máy chủ PPTP LAN Computer LAN Hình 1.9: Đường hầm kết nối LAN-LAN PPTP  Thành phần PPTP VPN Các thiết bị cần thiết : máy chủ truy cập mạng dùng để quay số truy cập bảo mật vào VPN (nhà cung cấp dịch vụ) , máy chủ PPTP, máy khách PPTP Client PPTP Kết nối Client -LAN Computer Client PPTP NAS Computer Computer Computer Internet Máy chủ mạngPPTP Computer Mạng riêng bảo vệ Kết nối LAN-LAN Máy chủ mạng PPTP Bộ tập trung truy cập mạng PPTP Computer Mạng riêng bảo vệ Client PPTP Hình 1.10: Các thành phần VPN sử dụng PPTP BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.4.3 Cài đặt cấu hình VPN SERVER dùng RADIUS Server chứng thực Username Password Tại máy VPN SERVER, khởi động dịch vụ Routing and Remote Access Nhấn Next Chọn From a specifiec range of addresses, nhấn Next BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 35 ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU Chọn Remote Access (dial-up or VPN), nhấn Next chọn 192.168.1.21 địa IP mạng VPN Server, nhấn Next Đánh địa IP lớp với IP VPN SERVER, chọn cấp 10, nhấn OK SVTH: BÙI QUANG SANG Trang 36 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Chọn Yes, set up this server to work with a RADIUS server, nhấn Next Gõ địa IP máy RADIUS SERVER 172.16.10.15 mã bí mật chung Shared secret, nhấn Next Cài đặt thành công, nhấn Finish BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 37 ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU 3.4.4 Cài đặt kết nối máy Client  Tiến hành cài đặt Vào Start -> Settings -> Network Connection Wizard Chọn Next Chọn ô Connect to the network at my workplace, chọn Next SVTH: BÙI QUANG SANG Trang 38 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Chọn ô Vitual Private Network connection, chọn Next Gõ tên chi nhánh cần truy cập, chọn Next Gõ tên máy VPN SERVER quangsang, chọn Next BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 39 ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU Quá trình cài đặt thành công, nhấn Finish  Kết nối VPN: Thiết lập kết nối VPN dùng giao thức PPTP Nhập User name Password, nhấn Connect để thực kết nối SVTH: BÙI QUANG SANG Trang 40 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN Công nghệ mạng riêng ảo VPN dựa sở hạ tầng mạng Internet để xây dựng mạng WAN riêng, với ưu điểm mặt giá thành, phạm vi không hạn chế, linh hoạt triển khai mở rộng mạng VPN hữu ích hữu ích tương lai Các chuẩn thi hành, điều cải tiến khả liên vận hành quản lý Chất lượng mạng VPN cải thiện, cho phép cung cấp ứng dụng hội nghị truyền hình, điện thoại IP, dịch vụ đa phương tiện  Kết đạt đƣợc:  Hiểu công nghệ mạng ảo VPN  Xây dựng cài đặt mạng VPN với quy mơ nhỏ vừa  Có thêm số kiến thức mạng  Vấn đề chƣa đạt đƣợc:  Chỉ hiểu kiến thức co mạng VPN, chưa sâu vào chế hoạt động VPN Vì đề tài thời gian nghiên cứu có giới hạn  Phạm vi áp dụng với chi nhánh doanh nghiệp nhỏ vừa  Hƣớng phát triển đề tài:  Nếu có điều kiện, em tìm hiểu phát triển mạng VPN vào công ty lớn để phục vụ nhu cầu ngày cao người sử dụng Cuối cùng, mạng VPN liên quan đến nhiều giao thức thuật toán phức tạp mà phạm vi nghiên cứu cịn hạn chế nên cịn nhiều sai sót Em mong nhận ý kiến đóng góp thầy cô bạn BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 41 ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU TÀI LIỆU THAM KHẢO  Tài liệu Quản trị mạng Windows Server 2003  Cisco Secure Virtual Private Networks (Volume 1,2) Copyright © 2001, Cisco System, Inc  Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc Các Websites  http:// www.quantrimang.com  http:// www.vpnlabs.org SVTH: BÙI QUANG SANG Trang 42 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Ý KIẾN NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 43 ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU Ý KIẾN NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… SVTH: BÙI QUANG SANG Trang 44 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC THUẬT NGỮ VIẾT TẮT Từ viết tắt Từ đầy đủ AD Analog to Digital ADSL Asymmetric Digital Subscriber Line AES Advanced Encryption Standard AH Authentication Header API Application Programming Interface ATM Asynchronous Tranfer Mode ARIN American Registry for Internet Number BGP Border Gateway Protocol Bearer Independent Call Control BICC Protocol B-ISDN Broadband Integrated Service Digital Network CA Certificate Authority CIR Committed Information Rate CHAP ChallengeHandshake Authentication Protocol CR Cell Relay CSU Channel Service Unit DCE Data Communication Equipment DES Data Encryption Standard DHCP Dynamic Host Configuration Protocol DNS Domain Name System DSL Digital Subcriber Line DSP Digital Signal Processors DSU Data Service Unit EAP Extensible Authentication Protocol ESP Encapsulating Security Payload FCS Frame Check Sequence Ý nghĩa Chuyển đổi tương tự sang số Công nghệ truy nhập đường dây thuê bao số bất đối xứng Chuẩn mật mã cao cấp Giao thức tiêu đề xác thực Giao diện chương trình ứng dụng Công nghệ truyền tải không đồng Tiêu chuẩn Mỹ cho địa Internet Giao thức định tuyến cổng miền Giao thức điều khiển gọi độc lập với kênh mang Mạng số đa dịch vụ băng rộng Nhà phân phối chứng thực số Tốc độ thông tin cam kết Giao thức xác thực yêu cầu bắt tay Công nghệ chuyển tiếp tế bào Đơn vị dịch vụ kênh Thiết bị truyền thơng liệu Thuật tốn mật mã DES Giao thức cấu hình host động hệ thống tên miền Đường dây thuê bao số Bộ xử lý tín hiệu số Đơn vị dịch vụ liệu Giao thức xác thực mở rộng Giao thức tải an ninh đóng gói Chuỗi kiểm tra khung BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 45 ĐỒ ÁN TỐT NGHIỆP FR GVPNS ICMP IETF IKE IGP IN IP IP-Sec ISAKMP ISDN ISO ISP L2F L2TP LAC LAN LCP LNS MAC MD5 MG MGC MGCP MIB MPLS MPPE MTU NAS NCP NDIS Frame Relay Global VPN Service Internet Control Message Protocol Internet Engineering Task Force Internet Key Exchange Interior Gateway Protocol Intelligent Network Internet Protocol Internet Protocol Security Internet Security Asociasion and Key Management Protocol Integrated Service Digital Network International Standard Organization Internet Service Provider Layer Forwarding Layer Tunneling Protocol L2TP Access Concentrator Local Area Network Link Control Protocol L2TP Network Server Message Authentication Code Message Digest Media Gateway Media Gateway Controller Media Gateway Control Protocol Management Information Base Multi Protocol Laber Switching Microsoft Point-to-Point Encryption Maximum Transfer Unit Network Access Server Network Control Protocol Network Driver Interface SVTH: BÙI QUANG SANG GVHD: TS.NGUYỄN NGỌC HIẾU Chuyển tiếp khung liệu Dịch vụ VPN toàn cầu Giao thức tin điều khiển Internet Cơ quan chuẩn Internet Giao thức trao đổi khoá Internet Giao thức định tuyến miền Mạng thông minh Giao thức Internet Giao thức an ninh Internet Giao thức quản lý khoá kết hợp an ninh Internet Mạng số đa dịch vụ Tổ chức chuẩn quốc tế Nhà cung cấp dịch vụ internet Giao thức chuyển tiếp lớp Giao thức đường ngầm lớp Bộ tập trung truy cập L2TP Mạng cục Giao thức điều khiển liên kết Máy chủ mạng L2TP Mã xác thực tin Thuật toán MD5 Cổng kết nối phương tiện Thiết bị điều khiển truy nhập Giao thức điều khiển cổng kết nối phương tiện Cơ sở liệu thông tin quản lý Bộ định tuyến chuyển mạch nhãn Mã hoá điểm-điểm Microsoft Đơn vị truyền tải lớn Máy chủ truy nhập mạng Giao thức điều khiển mạng Xác định giao diện mạng Trang 46 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGN NSA PAP PDU PKI POP PPP PPTP PVC QoS RAS RADIUS RRAS SA SDH SG SIG SONET SPI RTP SVC TCP TE UNI UDP VC VCI VNS VPI VPN WAN Specification Next Generation Network National Security Agency PasswordAuthentication Protocol Protocol Data Unit Public Key Infrastructure Point of presence Point to Point Protocol Point to Point Tunneling Protocol Permanrnent Virtual Circuit Quality of Service Remote Access Service Remote Authentication Dial-In User Service Routing and Remote Access Server Security Association Synchronous Digital Hierachy Signling Gateway Session Initiation Protocol Synchronous Optical Network Sercurity Parameter Index Real Time Protocol Switched Virtual Circuit Transmission Control Protocol Terminal Equipment User Network Interface User Datagram Protocol Virtual Circuit Virtual Circuit Identifier Virtual Network Service Virtual Path Identifier Virtual Private Network Wide Area Network Mạng hệ sau Cơ quan an ninh quốc gia Mỹ Giao thức xác thực mật Đơn vị liệu giao thức Cơ sở hạ tầng khố cơng khai Điểm truy cập truyền thống Giao thức điểm tới điểm Giao thức đường ngầm điểm tới điểm Mạng ảo cố định Chất lượng dịch vụ Dịch vụ truy nhập từ xa Xác thực người dùng quay số từ xa Máy chủ truy cập định hướng truy vập từ xa Kết hợp an ninh Phân cấp số đồng Cổng kết nối báo hiệu Giao thức khởi tạo phiên Mạng quang đồng Chỉ số thông số an ninh Giao thức thời gian thực Mạch ảo chuyển mạch Giao thức điều khiển đường truyền Thiết bị đầu cuối Giao diện mạng người sử dụng Giao thức UDP Kênh ảo Nhận dạng kênh ảo Dịch vụ mạng ảo Nhận dạng đường ảo Mạng riêng ảo Mạng diện rộng BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 47 ĐỒ ÁN TỐT NGHIỆP GVHD: TS.NGUYỄN NGỌC HIẾU MỤC LỤC LỜI MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 1.1 Khái niệm mạng riêng ảo (Vitual Private Network – VPN ) 1.2 Lịch sử phát triển VPN 1.3 Chức năng, ưu điểm nhược điểm VPN 1.3.1 Chức 1.3.2 Ưu điểm 1.3.3 Nhược điểm 1.4 Phân loại mạng VPN 1.4.1 Mạng VPN truy nhập từ xa (Remote Access VPN) 1.4.2 Mạng VPN cục (Intranet VPN) 1.4.3 Mạng VPN mở rộng (Extranet VPN) 1.5 Các giao thức đường hầm VPN 1.5.1 Giao thức định hướng lớp (Layer Forwarding – L2F) 1.5.2 Giao thức đường hầm điểm-điểm PPTP (Point to point Tunneling Protocol) 1.5.3 Giao thức đường hầm lớp - L2TP (Layer Tunneling Protocol) 10 1.5.4 Giao thức bảo mật IP – IPSEC (Internet Protocol Security) 12 1.6 Bảo mật VPN 13 1.6.1 Xác thực 14 1.6.2 Mã hoá 16 CHƢƠNG 18 XÂY DỰNG VÀ QUẢN LÝ MẠNG VPN 18 2.1 Thành phần VPN 18 2.1.1 Máy chủ VPN 18 2.1.2 Máy khách VPN 18 2.1.3 Bộ định tuyến VPN 19 2.1.4 Bộ tập trung VPN 19 2.1.5 Cổng kết nối VPN 19 2.2 Các vấn đề lưu ý thiết kế VPN 19 2.2.1 Các vấn đề mạng ISP 19 2.2.2 Các vấn đề bảo mật 19 2.3 Quá trình xây dựng VPN 20 2.3.1 Kết nối với ISP 21 2.3.2 Tường lửa Bộ định tuyến 22 2.3.3 Phần mềm cho VPN 22 2.4 Quản lý bảo mật (mật mã xác thực) 23 2.4.1 Các sách bảo mật thống 23 2.4.2 Các phương thức mã hoá 23 2.4.3 Quản lý khoá cho cổng nối 23 2.4.4 Quản lý khoá cho người dùng 23 2.4.5 Các dịch vụ xác thực 24 2.4.6 Quản lý CA nội 24 2.4.7 Điều khiển quyền truy cập 24 2.5 Quản lý địa 24 2.5.1 Địa IPv4 24 SVTH: BÙI QUANG SANG Trang 48 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 2.5.2 Cấp phát địa 25 2.5.3 NAT địa riêng 25 2.6 Quản lý chất lượng 25 2.6.1 Hiệu suất mạng 25 2.6.2 Giám sát hiệu suất ISP SLA 26 2.6.3 Hiệu suất VPN 26 CHƢƠNG 27 TRIỂN KHAI CÀI ĐẶT MƠ HÌNH VPN 27 3.1 TÌNH HUỐNG 27 3.2 PHÂN TÍCH VÀ THIẾT KẾ 27 3.3 MƠ HÌNH TRIỂN KHAI 28 3.4 CÁC BƯỚC CÀI ĐẶT VÀ CẤU HÌNH VPN 28 3.4.1 Trên máy DOMAIN CONTROLLER tạo Group Users 28 3.4.2 Cài đặt cấu hình RADIUS Server 31 3.4.3 Cài đặt cấu hình VPN SERVER dùng RADIUS Server chứng thực 3.4.4 Cài đặt kết nối máy Client 38 KẾT LUẬN 41 Kết đạt được: 41 Vấn đề chưa đạt được: 41 Hướng phát triển đề tài: 41 BÙI QUANG SANG – LỚP 51K1 – KHOA CNTT Trang 49 ... độ 1.5 Các giao thức đƣờng hầm VPN Có giao thức đường hầm VPN gồm: Giao thức định hướng lớp (L2F); Giao thức đường hầm điểm nối điểm (PPTP); Giao thức đường hầm lớp (L2TP); Giao thức bảo mật IP... họ Công nghệ mạng riêng ảo VPN đời cho phép đảm bảo an tồn trao đổi thơng tin chi nhánh, đối tác khách hàng Với đề tài: ? ?Tìm hiểu Cơng nghệ mạng riêng ảo VPN - Các giao thức đường hầm bảo mật? ??... vực mạng ứng dụng công nghệ mạng VPN vào thực tế Nội dung đề tài tìm hiểu Cơng nghệ mạng riêng ảo VPN bao gồm chương: Trọng tâm chương tìm hiểu tổng quan công nghệ mạng riêng ảo VPN, phân loại VPN