Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Danh từ mục viết tắt Dạng viết tắt Dạng đầy đủ VPN Virtual Private Network ATM Asynchronous Transfer Mode POP Point Of Presence PVC Permanent Virtual Circuit VPDN Virtual Private Dial-up Network LAN Local Area Network WAM Wide Area Network Logic Logic connection L2TP Layer Tunneling Protocol L2F Layer Forwording PPTP Point-to-Point Tunneling Protocol PSTNs Public Switched Telephone Network ISP Internet Service Provider RAS Remote Access Service FDDI Fiber Destribute Data Interface IPX Internetwork Packet Exchange PPP Point-to-Point Protocol RFC Request For Comments DTE Data Terminal Equipment DCE Data Connection Equipment GRE Generic Routing Encapsulation IPSec IP Security Protocol IETF Internet Engineering Task Force IKE Internet Key Exchange SA Security Association DH Diffic-Hellman ESP Encapsulating Security Payload IANA Internet Numbers Authority DES Data Encryption Standard AH Authentication Header HMAC-MD5 Hashing Message Authentication Codes-Message Digest DOS Denies Of Service NAT Network Address Translation HSSI Hig Link Quality Monitoring h-Speed Serial Interface LCP Link Control Protocol NCP Network Control Protocol LQM Link Quality Monitoring PAP Password Authentication Protocol CHAP Challenge Handshake Authentication Protocol SVTH:Ngun Quang Minh ThÞ Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN RARS MPPE Mạng Routing And Remote Server Microsoft Point to Point Encryption SVTH:NguyÔn Quang Minh Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Lời Mở đầu Cùng với phát triển Công nghệ Thông tin, mạng máy tính đặc mạng Internet ngày phát triển đa dạng phong phú nội dung lẫn hình thức Các dịch vụ mạng Internet đà xâm nhập vào hầu hết nhiều thông tin cần bảo mật cao tính quan trọng , tính xác tin cậy Bên cạnh đó, yêu cầu phải đảm bảo tính ổn định an toàn cao đồng thời giảm chi phí đầu t cho sở hạ tầng mạng mạng ý nghĩa sống doanh nghiệp Tuy vậy, hình thức phá hoại mạng ngày trở nên tinh vi phức tạp (nh Ddos, Trojan, Backdoor, Spyware, vius ), hệ thống, nhiệm vụ bảo mật đặt cho ngời quản trị quan trọng cần thiết Một yêu cầu đặt cho doanh nghiệp phải nắm đợc thông tin nhất, xác phải đảm bảo độ tin cậy cao chi nhánh khắp giới, nh đối tác, khách hàng Ngoài tính hiệu tiện lợi cho nhân viên khách hàng yếu tố cần đợc xem xét Để làm đợc điều nhân viên xa, chi nhánh xa, khách hàng xa phải truy nhập đợc vào mạng Intranet công ty Ví dụ: Một nhân viên làm việc Hà Nội chuyển công tác Sài Gòn, quên tài liệu công ty, muốn lấy tài liệu cách an toàn bảo mật Với nhân viên muốn làm việc cho công ty vào thời gian nào, nơi đâu mà không cần có mặt công ty? Để đáp ứng đợc yêu cầu khứ có giải pháp tốn sử dụng đờng Leaseline nhà cung cấp dịch vụ để nối tất nhánh công ty lại với thành mạng WAN Giải pháp khó khăn việc bảo trì mở rộng mạng SVTH:Nguyễn Quang Minh Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Xuất phát từ thực tế nêu trên, giới đà xuất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính, nh mang lại tiện lợi cho ngời sử dụng Việc nắm bắt công nghệ thiết thực Mạng riêng ảo công nghệ giải hiệu vấn đề nêu Đây nguyên nhân dẫn đến việc em chọn đề tài chuyên ngành em Mạng Riêng ảo Sinh viên Nguyễn Quang Minh CHƯƠNG I tổng quan VPN 1.1 Định nghĩa, chức năng, u điểm VPN 1.1.1 Định nghĩa VPN Virtual Private Network hay tạm dịch mạng riêng ảo, thờng đợc gọi tắt VPN, bắt đầu phát triển vào đầu năm 1975 France Telecom thức đa khai thác với tính chủ yếu kết nối tổng đài PABX, cung cấp quản lý dịch vụ thoại cho mạng riêng khách hàng Với ®êi cđa c«ng nghƯ chun tiÕp khung (Frame Switch), ATM (Asynchronous Transfer Mode), nhu cầu an toàn bảo mật thông tin giảm chi phí đầu t cho sở hạ tầng mạng đợc đặt Mạng riêng ảo đợc định nghĩa kết nối mạng đợc triển khai mạng công cộng với sách nh mạng cục Mạng công cộng mạng IP, mạng ATM (Asynchronous Transfer Mode), mạng Frame Relay hay mạng Internet SVTH:Nguyễn Quang Minh Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Một mạng VPN hai hệ thống đầu cuối, hai hay nhiều mạng Một VPN đợc xây dựng cách sử dụngĐờng hầm (Tunnel) vàmà hãa” (Encryption) VPN cã thĨ xt hiƯn ë bÊt cø lớp mô hình OSI VPN cải tiến cở sở hạ tầng mạng WAN làm thay đổi làm tăng thêm tính chất mạng cục cho mạng WAN Tóm lại ta định nghĩa ngắn gọn VPN nh sau: VPN = Định đờng hầm + Bảo mật + Các thỏa thuận QOS (Quality Of Service) 1.1.2 Chức VPN VPN cung cấp chức chính: ã Sự tin cậy (Confidentiality): Ngời gửi mà hóa vá gói liệu trớc truyền chúng qua mạng công cộng Bằng cách làm nh vậy, không truy cập thông tin mà không đợc cho phép Và có lấy đợc không đọc đợc ã Tính toàn vẹn liệu (Data integrity): Ngời nhận kiểm tra liệu đà đợc truyền qua mạng Internet mà thay đổi ã Xác thùc ngn gèc (Origin Authentication): Ngêi nhËn cã thĨ x¸c thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin 1.1.3 Ưu điểm sử dụng VPN ã VPN làm giảm chi phí thờng xuyên: VPN cho phép tiết kiệm đến 60% chi phí thuê đờng truyền làm giảm đáng kể tiền cớc gọi đến nhân viên xa nhờ vào việc họ truy nhập thông qua điểm cung cấp dịch vụ POP (Point Of Presence) địa phơng Còn việc truy cập từ xa giảm tới từ 60-80% ã Giảm chi phí đầu t: Sẽ không tốn chi phí đầu t cho máy chủ, cho định tuyến mạng đờng trục SVTH:Nguyễn Quang Minh Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng chuyển mạch phục vụ cho việc truy nhập thiết bị nhà cung cấp dịch vụ quản lý làm chủ ã Giảm chi phí quản lý hỗ trợ: Với việc tận dụng sở hạ tầng Internet thiết bị mạng ISP quản lý công ty sử dụng mạng riêng ảo mà không cần trang bị thiết bị phức tạp đào tạo đội ngũ cán để quản lý mà việc nhà cung cấp đảm nhiệm ã VPN tạo tính mền dẻo cho khả quản lý internet: Các VPN đà kế thừa phát huy tính mền dẻo khả mở rộng kiến trúc mạng mạng WAN truyền thống ã VPN làm đơn giản hóa cho việc quản lý công việc so với sở hữu vận hành mạng cục bộ: Các doanh nghiệp cho phép sử dụng vài hay tất dịch vụ mạng WAN, giúp doanh nghiệp tập trung vào đối tợng kinh doanh chính, thay quản lý mạng WAN hay mạng quay số từ xa ã VPN cung cấp kiểu mạng đờng hầm giảm thiểu công việc quản lí: Một Backbone IP loại bỏ PVC (Permanent Cirtual Circuit) cố định tơng ứng với giao thức kết nối nh Frame Relay ATM Điều tạo kiểu mạng lới hoàn chỉnh giảm đợc độ phức tạp giá thành ã VPN đảm bảo an toàn thông tin, tính toàn vẹn xác thực: Dữ liệu truyền mạng VPN đợc mà hóa thuật toán phức tạp Dữ liệu đợc truyền mạng thông qua đờng hầm điều đảm bảo cho Dữ liệu có đọ tin cậy cao Kể mát thông tin ngời công xem đợc nội dung 1.2 Các loại mạng VPN VPN đợc chia làm loại bản: SVTH:Nguyễn Quang Minh Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN M¹ng 1.2.1 VPN truy cËp tõ xa (Remote-Access ) VPN truy cập từ xa đợc gọi mạng Dial-up riêng ảo (VPDN), kết nối ngời dùng đến LAN, thờng nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dơ nh c«ng ty mn thiÕt lËp mét VPN lín phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho ngời sử dụng từ xa phần mềm máy khách cho máy tÝnh cđa hä 1.2.2 VPN néi bé (Intranet VPNs) Lµ VPN nội đợc sử dụng để bảo mật kết nối văn phòng chi nhánh khác công ty `Các VPN nội liên kết trụ sở chính, văn phòng, văn phòng chi nhánh sở hạ tầng chung sử dụng kết nối mà luôn đợc mà hóa Kiểu VPN thờng đợc cấu hình nh VPN Site-to-Site Với VPN nội máy chủ VPN phải đợc kết nối ISP (Internet Service Provider) kênh thuê riêng phải hoạt động 24/24 để nhận luồng data đến từ văn phòng chi nhánh 1.2.3 VPN më réng (Extranet VPNs) Extranet VPNs ®· më rộng giới hạn truy nhập ngời sử dụng tài nguyên công ty, tới đối tác kinh doanh nh khách hàng, nhà cung cấp dịch vụ Ưu điểm Extranet VPNs việc quản lý triển khai dễ dàng Extranet VPNs đợc triển khai sử dụng với kiến trúc giao thức tơng tù nh Remote Access VPNs vµ Intranet VPNs 1.3 Đờng hầm mà hóa SVTH:Nguyễn Quang Minh Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Chức mạng VPN truyền Data đợc mà hóa đờng hầm dựa cở sở hạ tầng mạng công cộng 1.3.1 Đờng hầm (Tunnel) Đờng hầm khái niệm quan trọng công nghệ VPN Nó cho phép doanh nghiệp tạo mạng ảo dựa Internet hay mạng công cộng khác Mạng ảo không cho phép Những ngời không đợc quền truy nhập vào mạng Intranet doanh nghiệp §êng hÇm cung cÊp mét kÕt nèi logic ( Logic Connection) điểm tới điểm qua mạng internet hay mạng công cộng khác hớng kết nối 1.3.2 Mà hóa (Encryption) Mà hóa tính tùy chọn đóng góp vào đặc điểm VPN Mà hóa đảm bảo tin không đợc đọc nhng đọc đợc ngời nhận Mà hóa biến đổi thông tin thành văn mật mà vô nghĩa dạng mật mà Chức giải mà thành nội dung thông tin xem đợc áp dụng cho ngời nhận 1.4 Tổng quan vỊ c¸c giao thøc dïng cho VPN 1.4.1 Giao thức định đờng hầm lớp: L2TP (Layer Tunneling Protocol) L2TP giao thức đợc phát triển IETF đợc đồng tình máy tính khổng lồ nh Microsoft, Cisco Systems, 3COM, Ascend L2Tp đời vào tháng năm 1999 Nó kết hợp giao thøc L2F (Layer Forwording cña Cisco Systems) PPTP (Microsoft) Sau u L2TP: ã L2TP hỗ trợ đa giao thức tơng thích với nhiều công nghệ mạng khác nh IP, ATM, Frame relay ã L2TP cho phép nhiều công nghệ khác truy nhập vào internet hay mạng công céng kh¸c nh PSTNs (Public Switched Telephone Network) SVTH:Ngun Quang Minh Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng ã L2TP không yêu cầu trang bị phần mền mở rộng, hay cần hỗ trợ hệ điều hành Vì vậy, ngời dùng từ xa nh mạng nội riêng cài đặt phần mềm đặc biệt ã L2TP cho phép ngời dùng từ xa cha đăng ký địa IP truy nhập vào Remote Network thông qua mạng công cộng ã Với L2TP, xác thực tính hợp lệ đợc thùc hiƯn bëi Host Network GateWays ( cỉng vµo mạng Lan, intranet ã Giao thức đờng hầm điểm - điểm PPTP (Point-T-Point Tunneling Protocol) Đây giao thức định đờng hầm phổ biến Giao thức đợc phát triển Microsoft PPTP đợc cung cấp nh phần dịch vụ truy nhập từ xa RAS (Remote Access Service) 1.4.2 Layer Forwording (L2F) L2F giao thức lớp đợc phát triển Cisco System Cisco System với Nortel đà phát triển L2F theo hớng sau: ã Có thể đảm bảo an toàn cho giao thức dịch mạng ã Cung cấp truy nhập dựa hạ tầng mạng Internet mạng tơng tác công cộng khác ã Hỗ trợ nhiều công nghệ mạng nh ATM, FDDI (Fiber Destribute Data Interface), IPX (internetwork Packet Exchange), Net-BEUI, vµ Frame relay 1.4.3 Point-To-Point Protocol (PPP) PPP đợc định nghĩa RFC 1661 (Request for Comments) Đây giao thức đóng gói làm cho việc truyền liệu qua Serial Point -To - Point Link SVTH:Ngun Quang Minh ThÞ Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng 1.4.4 Generic Routing Encapsulation (GRE) GRE giao thức tạo đờng hầm đợc phát triển Cisco System Giao thức đóng gãi ®a giao thøc nh ®ãng gãi IP, IPX, Apple Talk, gói giao thức khác vào bên xa qua mạng IP ã Với giao thức tạo đờng hầm GRE, Router điểm đóng gói liệu giao thức cụ thể vào tiêu đề IP, tạo ã Một đờng kết nối ảo điểm-điểm tới router điểm khác đám mây mạng IP, mà tiêu đề IP (IP Header) đợc gỡ bỏ ã Bằng cách kêt nối mạng đa giao thức môt môi trờng Backbone đơn giao thức, đờng hầm IP cho phép mở rộng mạng qua môi trờng xơng sống đơn giao thức ã RGE không cung cấp mà hóa đợc giám sát công cụ phân tích giao thøc 1.4.5 Giao thøc b¶o mËt IPSec (IP Security Protocol) Đây giao thức chuẩn IETF (Internet Engineering Task Force) dùng cho việc mà hóa thông tin Ưu ®iĨm lín nhÊt cđa IPSec lµ cã thĨ thiÕt lËp VPN cách tự động, thích hợp với sách bảo mật tập trung IPSec hỗ trợ hai kiểu mà hóa kiểu Transport (truyền tải) kiểu Tunnel (đờng hầm) IPSec cung cấp dịch vụ bảo mật cách sử dụng IKE (Internet Key Exchange) để điều khiển thỏa thuận (đàm phán) giao thức thuật toán sở sách bảo mật cục để tạo mà hóa khóa nhận thực đợc sử dụng IPSec Để xây dựng VPN bảo mật, có hai cách: ã Cách một: Có thể dùng PPTP cách độc lâp thân PPTP cung cấp môt VPN bảo mât Dùng cách SVTH:Nguyễn Quang Minh 10 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Bởi PPTP hoạt động lớp liên kết liệu nên cần phải có tiêu đề môi trờng truyền gói biết liệu truyền đờng hầm theo phơng thức Tùy theo kiến trúc hạ tầng ISP mà phơng thức Ethernet, Frame-relay, hay kÕt nèi PPP, PPTP cịng cã c¬ chế điều khiển tốc độ nhằm giới hạn số lợng liệu truyền Cơ chế làm giảm tối thiểu kích thớc liệu phải truyền lại gói 3.1.1 Đờng hầm PPTP PPTP cho phép ngời dùng tạo nhiều loại đờng hầm khác Ngời dùng định kết thúc đờng hầm máy tính nh máy tính có cài phần mền Client PPTP, hay máy chủ ISP nh máy họ có PPP mà PPTP trờng hợp thứ máy chủ ISP phải hỗ trợ PPTP Các yếu tố hình thành nên hai giai loại đờng hầm tự nguyện đờng hầm bắt buộc 3.1.1.1 Đờng hầm tự nguyện Đờng hầm tự nguyện đợc tạo theo yêu cầu ngời dùng với mục đích xác định Khi sử dụng đờng hầm tự nguyện, ngời dùng mở đờng hầm bảo mật thông qua internet để truy nhập đến host giao thc TCP/IP bình thờng Đờng hầm tự nguyện cung cấp tính riêng t toàn vẹn liệu mạng intranet truyền qua internet 3.1.1.2 Đờng hầm bắt buộc Đờng hầm bắt buộc suốt với ngời dùng đâu cuối Điểm kết thúc đờng hầm bắt buộc nằm máy chủ truy nhập từ xa Tất liệu truyền từ ngời dùng qua đờng hầm PPTP thông qua RAS Bởi đờng hầm bắt buộc định trớc điểm kết thúc liệu ngời dùng qua đờng hầm thông qua RAS nên điều khiển truy nhập tốt đờng hầm tự nguyện SVTH:Nguyễn Quang Minh 22 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Một u điểm Đờng hầm bắt buộc tải nhiều kết nối Đặc tính làm giảm yêu cầu băng thông mạng cho ứng dụng đa phiên làm việc Tuy vậy, khuyết điểm đờng hầm bắt buộc kết nối từ RAS đến ngời dùng nằm đờng hầm nên dễ bị công 3.1.2 Sử dụng PPTP Đặc điểm chủ yếu PPTP cung cấp phơng thức quay số truy nhập bảo mật vào VPN MÃi Microsoft giới thiệu máy chủ định hớng truy cập từ xa RARS (Routing And Remote Server) cho NT server 4.0 th× hỗ trợ kết nối Lan-to-Lan Đờng hầm kết nối Lan-to-Lan diễn hai máy chủ PPTP giống nh IPSec dùng hai cổng bảo mật để kết nối hai mạng Lan Tuy nhiên kiến trúc PPTP hệ thống quản lý khóa nên việc cấp quyền xác thực đợc điều khiển CHAP Để tạo đờng hầm hai Site, máy chủ PPTP site đợc xác thực máy chủ site Tóm lại: PPTP yêu cầu phải có: ã Một máy chủ truy nhập mạng NAS phải ISP hỗ trợ ã Một máy chủ PPTP Client PPTP máy chủ PPTP cài đặt công ty nhóm ngời công ty quản lý Một máy chủ PPTP có hai vai trò là: Nó đóng vai trò điểm kết thúc đờng hầm PPTP chuyển gói đến từ đờng hầm đến mạng Lan ( thông qua xử lý gói tin PPTP để có đợc địa host đích) PPTP có khả lọc gói cách sử dụng lọc PPTP Lọc PPTP cho phép máy chủ ngăn cấm hay cho phép truy nhập vào internet, mạng cục hay hai Trong hệ thống Windows NT việc kết hợp lọc PPTP lọc IP cho phép tạo tờng lủa cho mạng Giao thức chØ cã mét cỉng SVTH:Ngun Quang Minh 23 ThÞ Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng TCP/IP đợc sử dụng để truyền liệu đi, cổng 1723 Sự khiếm khuyết cấu hình cổng làm cho tờng lửa dễ bị công Một máy chủ PPTP Client đợc cài phần mền Client PPTP Nếu nh thiết bị ISP đà hỗ trợ PPTP cần kết nối PPP đủ mà không cần phần cứng hay phần mền hỗ trợ khác cho Client Nếu ISP không hỗ trợ PPTP Client Windows NT (hoặc phần mền tơng tự) tạo kết nối bảo mật cách nh sau: Đầu tiên quay số kết nối với ISP PPP, sau quay lần thông qua cổng PPTP ảo đợc thiết lập Client Client PPTP có sẵn Windows 9x Windows NT HÃng Network Telesystem đa Client PPTP cho tất máy phổ biến Khi chọn Client PPTP cần phải so sánh chức so với máy chủ PPTP đà có Không phải tất phần mền Client hỗ trợ MS-CHAP thiếu công cụ tận dụng u điểm mà hóa Microsoft RRAS Xác thực mà hóa PPTP Với công cụ PPTP Microsoft liệu ®ỵc m· hãa theo m· hãa ®iĨm-®iĨm MPPE (Microsoft Point to Point Encryption), nã sÏ m· hãa c¸c gãi PPP Client trớc chuyển chúng vào đờng hầm PPTP nên gói tin đợc mà hóa xuyên suốt từ máy client đến máy chủ PPTP Việc thay đổi khóa luân phiên đợc thoat thuận lại sau gói hay sau số gói Máy chủ truy nhËp RAS( Remote Access Server) Kh«ng gièng nh IPSec VPN, có nhiều trờng hợp để thiết lập PPTP VPN tùy theo giao thức đợc hỗ trợ ISP Việc hỗ trợ quan trọng trờng hợp ngời dùng di động muốn sử dụng PPTP client nhng sẵn PPTP client Bởi ISP cung cấp dịch vụ PPTP mà không cần phải hỗ trợ PPTP từ máy chủ họ, điều mang lại u điểm SVTH:Nguyễn Quang Minh 24 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng ngời dùng sử dụng dịch vụ nhiều ISP mô hình mạng họ rộng lớn mặt địa lý NAS có tên gọi khác máy chủ truy nhập tõ xa hay bé tËp trung truy nhËp, cung cÊp truy nhập đờng dây dựa phần mền có khả tính cớc, có khả chịu lỗi cao NAS đợc thiết kế cho phép nhiều ngời dùng có thĨ truy nhËp VPN cïng mét thêi ®iĨm NÕu ISP cung cấp dịch vụ PPTP cần thiết kế NAS cho phép PPTP để hỗ trợ cho PPTP client chạy khác nh windows, Unix, Trong trờng máy chủ ISP đóng vai trò nh PPTP client kết nối với máy chủ PPTP mạng riêng * Khả áp dụng thực tế: PPTP giải pháp tạm thời, PPTP thích hợp cho máy quay số truy nhập với lợng ngời dụng hạn chế Do bộc lộ rõ điểm yếu xây dựng kết nèi LAN-To-LAN Khi sư dơng kÕt nèi VPN PPTP mµ có hỗ trợ thiết bị ISP quyền quản lý bị chia sẻ cho ISP, tính bảo mật PPTP không mạnh IPSec Vì lí mà thực tế nhà cung cấp có kế hoạch thay PPTP L2TP 3.2 Layer Tunneling Protocol (L2TP) Giao thức định đờng hầm lớp L2TP đợc phat triển IETF, kết hợp PPTP (của Microsoft) L2F (của Cisco) Nó đợc định nghĩa RFCs 2661 3438 L2TP kết hợp đặc tính tốt PPTP L2F L2TP mang đặc tính PPTP L2F nhiên L2TP đĩnh nghĩa riêng giao thức đờng hầm dựa hoat động L2F Điều cho phép L2TP hỗ trợ truyền thông tin qua nhiều môi trờng khác nh X25, Frame Relay, ATM, L2TP giao thức lớp nên cho phép giao thức điều khiển cách mền dẻo không IP mà IPX, NETBEUI Giống nh PPTP, L2TP có chế xác thực PAP, CHAP, hay RADIUS SVTH:Ngun Quang Minh 25 ThÞ Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Những thành phần L2TP gồm có giao thức điểmđiểm, đờng hầm hệ thống xác thực Tuy nhiên để tăng cờng tính bảo mật L2TP sử dụng khóa bảo mật giống nh IPSec 3.2.1 PPP L2TP L2TP dùa trªn PPP để tạo kết nối quay số Client máy chủ truy nhâp mạng (NAS) L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực đầu tiên, tạo gói liệu PPP đóng kết nối kết thúc phiên làm việc Sau PPP tạo kết nối xong, L2TP xác định NAS có chấp nhận ngời dùng hay không sẵn sàng đóng vai trò làm điểm kết thúc đờng hầm cho ngời sử dụng Sau đờng hầm đợc tạo L2TP sử dụng giao thức đóng gói (Encapsulation) liệu để truyền lên môi trờng mà ISP đà sử dụng L2TP tạo đờng hầm NAS ISP máy chủ mạng Client, gán nhiều phiên làm việc cho đờng hầm L2TP tạo số để xác định gọi (Call ID) cho phiên làm việc chèn vào tiêu đề L2TP gói để thuộc phiên làm việc L2TP tạo nhiều đờng hầm NAS ISP máy chủ mạng Client, việc gán phiên làm việc ngời dùng vào đờng hầm thay ghép nhiều phiên làm việc vào đờng hầm Sự cho phép gán ngời dùng khác vào môi trờng đờng hầm khác tùy thuộc vào chất lợng dịch vụ thỏa thn víi ngêi dïng Gièng nh PPTP, L2TP cịng cã hai loại gói tin, gói điều khiển gói tin liệu, điều khác biệt L2TP truyền hai loại gói tin luồng Nếu đờng hầm đợc dùng truyền qua mạng IP hai loại gói tin đợc đóng gói tiêu ®Ị UDP Gãi tin ®iỊu khiĨn L2TP cã nhiƯm vơ điều khiển việc thiết lập, quản lý, giải phóng phiên làm việc đờng hầm SVTH:Nguyễn Quang Minh 26 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Do L2TP làm việc lớp nên gói tin liệu L2TP bao gồm tiêu đề môi trờng để đờng hầm làm việc môi trờng Tùy theo ISP mà môi trờng X25, ATM, Frame Relay hay kết nối PPP L2TP giúp làm giảm tắc nghẽn cớ chế điều khiển luồng (Flow control) NAS ( L2TP-LAC: L2TP Access Concentrator) máy chủ mạng riêng (LNS L2TP Network Server) Bản tin điều khiển luồng cho biết tốc độ truyền liệu, dung lợng đệm để điều khiển luồng, tránh tình trạng tràn đệm hay tốc độ nhận gửi liệu chênh lệch dẫn đến tình trạng tắc nghẽn 3.2.2 Đờng hầm L2TP Giống nh PPTP, giao thức đờng hầm L2TP xây dựng hai loại đờng hầm: Đờng hầm tự nguyện (L2TP Voluntary Tunnel Mode) đờng hầm bắt buộc( L2TP Compulsory Tunnel Mode) 3.2.2.1 Đờng hầm tự nguyện Đờng hầm tự nguyện đợc tạo theo yêu cầu ngời sử dụng Lúc ngời sử dụng đợc xem nh LAC(L2TP Access Concentrator) ISP gần nh vai trò việc thiết lập đợc hầm tự nguyện Cơ sở hạ tầng ISP lúc suốt với giao tiếp đầu cuối Khi sử dụng loại đờng hầm máy tính ngời dùng server mạng riêng điểm đầu cuối đờng hầm Lợi ích lớn việc sử dụng đờng hầm tự nguyện cho phÐp ngêi dïng cã thĨ truy cËp internet, ®ång thêi cã thĨ më nhiỊu phiªn kÕt nèi VPN cïng lúc Lúc ngời dùng đợc gán nhiều địa IP khác Trong có ®Þa chØ IP dïng ®Ĩ phơc vơ cho kÕt nèi PPP tới ISP, IP lại dùng để phục vụ riêng cho đờng hầm L2TP SVTH:Nguyễn Quang Minh 27 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Tuy vậy, đờng hầm tự nguyện phức tạp với ngời sư dơng nã Hä ph¶i thiÕt lËp mét L2TP client cho lần kết nối phần mền client (Soft Client) Một bất lợi sử dụng đờng hầm tự nguyện ngời dùng trở thành mục tiêu kẻ công, đà chiếm đợc quyền điều khiển máy tính ngời sử dụng kẻ công thực việc mà ngời sử dụng hợp lệ làm đợc ã Đầu tiên LAC (Trong trờng hợp ngời dùng từ xa) phát yêu cầu thiết lập đờng hầm tới LNS (L2TP Network Server) ã Nếu yêu cầu thiết lập đờng hầm đợc đồng ý LNS, LAC tạo đờng hầm theo tiêu chuẩn L2TP đóng gói khung PPP chuyển qua đờng hầm ã LNS đồng ý khung đóng gói đờng hầm lột bỏ thông tin đờng hầm xử lý khung ã Cuối cùng, LNS xác thực ngời dùng ngời dùng hợp lệ chuyển tiếp khung tới node đích mạng intranet 3.2.2.2 Đờng Hầm Bắt Buộc Đờng hầm bắt buộc đợc tạo không thông qua ngời dùng nên suốt với ngời dùng đầu cuối Đờng hầm bắt buộc đợc khởi tạo từ LAC ISP kết thúc LNS mạng riêng Lúc ISP phải hỗ trợ L2TP Trong việc thiết lập đờng hầm bắt buộc ISP đóng vai trò quan trọng Trong trờng hợp ngời dùng cuối thực thể bị động, vai trò việc thiết lập đờng hầm Đờng hầm L2TP tự nguyện lựa chọn tốt cho yêu cầu bảo mật Bởi kết nối dial-up ngời dùng cuối ®ỵc dïng ®Ĩ thiÕt lËp mét kÕt nèi PPP tíi ISP.Kết ngời dùng truy cập internet nÕu kh«ng qua cỉng gate way cđa intranet cđa c«ng ty.Điều tạo điều kiện thuận lợi cho SVTH:Nguyễn Quang Minh 28 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng quản trị mạng thực thi chế bảo mật nghiêm ngặt,điều khiển luồng quản lí tài khoản ngời dùng ã Ngời dùng từ xa yêu cầu kết nối PPP tới NAS ISP ã NAS xác thực ngời dùng.Tiến trình xác thực diễn nh sau: ã NAS kiểm tra sở liệu xem có ID ngời dùng không có tơng ứng với điểm LNS cuối đờng hầm ã Nếu NSA rỗi đồng ý yêu cầu kết nối, liên kết PPP đợc khởi tạo ISP ngời dùng từ xa ã LAC khởi tạo đờng hầm L2TP tới LNS mạng riêng máy đích ã Nếu LNS đồng ý kết nối khung PPP phải đa vào trình đóng gói đờng hầm L2TP Sau khung đợc chuyển tiếp qua đờng hầm L2TP đến LNS ã LNS tiếp nhận khung lột bỏ để đa khung PPP gốc nh lúc đầu ã Cuối cùng, LNS xác thực ngời dùng nhận liệu ngời dùng hợp lệ Một u điểm đờng hầm bắt buộc tải nhiều kết nối Đặc tính làm giảm yêu cầu băng thông mạng cho ứng dụng đa phiên làm việc Tuy có nhợc điểm kết nối từ LAC tới ngời sử dụng nằm đờng hầm nên dễ bị công 3.3 Xác Thực Và Mà Hoá L2TP ViƯc x¸c thùc ngêi dïng diƠn giai đoạn: Giai đoạn diễn ISP, giai đoạn giai đoạn (tuỳ chọn) diễn máy chủ mạng riêng Trong giai đoạn đầu ISP sử dụng số điện thoại ngời dùng tên ngời dùng để xác định dịch vụ L2TP đựoc yêu cầu khởi tạo kết nối đờng hầm đến máy chủ mạng riêng.Khi đờng hầm đợc thiết lập, LAC ISP định số nhận dạng SVTH:Nguyễn Quang Minh 29 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng gọi (call ID) để định danh cho kết nối đờng hầm khởi tạo phiên làm việc đờng hầm cách chuyển thông tin xác thực đến máy chủ mạng riêng Máy chủ mạng riêng tiến hành giai đoạn thứ định chấp nhận hay từ chối yêu cầu dựa vào thông tin PAP hay CHAP Nếu đợc chấp nhận máy chủ tiến hành giai đoạn việc xác thực lớp PPP Giai đoạn tơng tự nh việc máy chủ xác thực ngời dùng quay số truy cập vào máy chủ Mặc dù giai đoạn cho phép ngời dùng, ISP máy chủ mạng riêng xác định đợc tính xác gọi nhng cha bảo mật liệu tránh bị can thiệp sửa đổi Do chế xác thực giống nh thuộc tính bảo mật CHAP nghĩa đơn giản cho kẻ công xen vào chiếm đờng hầm tính xác thực vừa hoàn thành Đòng Hầm Kết Nối LAN - LAN Mặc dù chức L2TP cho quay số truy nhËp VPN b»ng c¸ch sư dơng PPP client, nhng nã thích hợp cho kết nối LAN-to-LAN VPN Đờng hầm kết nối LAN-to-LAN đợc thiết lập máy chủ L2TP với điều kiện máy chủ phải đợc kết nối với ISP để khởi tạo phiên làm việc PPP Thiết kế thích hợp cho mạng LAN văn phòng chi nhánh kết nối với văn phòng công ty Kết nối kết nối động Hai bên đóng vai trò vừa LAC vừa LNS , khởi tạo kết thúc ®êng hÇm cã nhu cÇu 3.4 Sư dơng L2TP Chức L2TP cho quay số truy nhập VPN thông qua internet nên thành phần L2TP tơng tự nh PPTP Thành phần quan trọng L2TP định nghĩa điểm kết thúc đờng hầm L2TP, LAC LNS.Những điểm nằm thiết bị ISP nên phần mềm cho ngời dùng di động nhiều không cần thiết Mặc SVTH:Nguyễn Quang Minh 30 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng dù LNS cài đặt công ty đợc điều hành nhóm ngời công ty nhng LAC nên nhờ hỗ trợ cđa ISP Tuy nhiªn nÕu ngêi dïng tõ xa cã cài đặt client L2TP ISP không cần hỗ trợ thêm L2TP Tại mạng riêng máy chủ L2TP đóng vai trò nh cổng kết nối bảo mật (gate-way), nối kÕt x¸c thùc víi RADIUS hay c¸c miỊn windows NT Client L2TP máy tính xách tay ngời dùng thực thi chức giống phần mỊm Client IpSec Mét m¸y chđ sư dơng L2TP cã chức điểm kết thúc đờng hầm chuyển liệu dới dạng gói đến mạng LAN, hay đến máy đích dựa vào địa mạng máy đích thông qua trình xử lí gói tin Nếu so sánh với giao thức PPTP L2TP L2TP khả lọc gói, nhng tích hợp máy chủ mạng tờng lửa L2TP lại có nhiều u điểm PPTP Trớc hết L2TP không đòi hỏi cổng gán cho tờng lửa giống nh PPTP ( cổng mặc định cho L2TP 1701) Chơng trình quản lí khoá chọn cổng khác để gán cho tờng lửa điều hạn chế việc bẻ khoá.Thứ hai luồng liệu thông tin điều khiển đợc truyền mét UDP , vËy viƯc thiÕt lËp têng lưa dễ dàng Do có số tờng lửa không hỗ trợ GRE nên chúng tơng thích L2TP PPTP Công ty có sử dụng dịch vụ VPN có hỗ trợ ISP có nghĩa ISP cung cấp kết nối internet cho công ty có máy chủ Proxy RADIUS LAC, công ty trì máy chủ RADIUS LNS Do ISP có hỗ trợ L2TP nên ngời dùng xa không cần cài client L2TP Khả ứng dụng thực tế L2TP L2TP mét giao thøc quay sè truy nhËp míi cđa VPN Nó phối hợp đặc điểm tốt PPTP L2F Giao thức chủ yếu dùng mạng IP nhng hoạt động tốt mạng khác nh Frame Relay, ATM SVTH:Nguyễn Quang Minh 31 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng L2TP cho phép số lợng ngời dùng từ xa truy nhập vào VPN hay cho kết nối LAN-To-LAN có dung lợng lớn Ngoài L2TP có chế điều khiển luồng làm giảm tắc nghẽn đờng hầm L2TP L2TP cho phép thiết lập nhiều đờng hầm với LAC LNS Mỗi đờng hầm đợc gán cho ngời dùng xác định, hay nhóm ngời dùng gán cho môi trờng khác tuỳ thuộc chất lợng dịch vụ QOS ngời dùng Chơng iv cấu h×nh vpn site to site l2pt/ipsec VPN Site to Site giải pháp cho việc kết nối mạng từ xa, hiểu khái quát nh mở rộng mạng nội Ngời dùng thông qua Internet để truy cập vào mạng nội công ty để lấy liệu từ công ty văn phòng chi nhánh để làm việc ngợc lại Sau mô hình lớp học dùng để mô tả cách thiết lập VPN Site to Site môi trờng Windows 2003 Cấu hình IP cho máy Giả sử ta có hai văn phòng HCM Hà Nội Tại văn phòng HCM: - Một máy VPN HCM - Một máy làm Client HCM chạy Winserver 2003 Máy VPN HCM ta có địa IP nh sau: 192.168.1.254/24 203.162.0.5 Trên máy Client HCM ta cấu hình địa chi IP nh sau: 192.168.1.1/24 Tại văn phòng HN: - Một máy VPN HN - Một máy làm Client HN chạy Winserver 2003 Trên máy VPN HN ta có IP nh sau: 192.168.2.254/24 203.162.0.6/24 Trên máy Client HN ta cấu hình ®Þa chi IP nh sau: 192.168 2.1 SVTH:Ngun Quang Minh 32 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Cài đặt VPN HCM VPN HN Tiến hành thực VPN máy Kết luận Tuy thời gian làm đồ án hạn chế, nhng đợc giúp đỡ nhiệt tình cô giáo hớng dẫn kiến thức đợc trang bị nhà trờng hiểu biết mình, em đà tìm hiểu lý thuyết Lan, Wan, kiến thức Mạng riêng ảo xây dựng lắp đặt mô hình cụ thể Nội dung công việc đợc hoàn thành là: Đó tổng quan VPN cho biết khái niệm, chức năng, u điểm, loại mạng VPN, đờng hầm m· hãa, tỉng quan vỊ c¸c giao thøc dïng cho VPN nh: L2PT, L2F, PPP, giao thøc b¶o mËt IPSec trình hoạt động tìm hiểu giao thức đờng hầm PPTP L2TP, cách xác thực mà hóa sử dụng chúng thực tế Trong đồ án em đà đa số khái niệm nhằm hoàn thiện khái niệm hệ thống mạng thông dụng nay, cho thấy đợc vai trò VPN, u nhợc điểm VPN, khả áp dụng thực tế VPN mạng doanh nghiệp Với đồ án em nghiên cứu đồ án Mạng Riêng ảo - VPN cho thấy đợc khả áp dụng thực tế cao đặc biệt quan, doanh nghiƯp cã nhiỊu trơ së ë xa nhau.cho thấy đợc tính bảo mật an toàn liệu cao Do hạn chế trình độ, thời gian không nhiều nên kết đạt đợc cha thật đầy đủ có nhiều sai sót, cha sâu hết đợc Mặc dù vậy, kết đạt đợc đà phần góp phần làm sáng tỏ ứng SVTH:Nguyễn Quang Minh 33 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ¶o - VPN M¹ng dơng rÊt quan träng cđa VPN - Mạng Riêng ảo vào thực tiễn sống Trong trình thực đồ án, em đà nhận đợc giúp đỡ tận tình cô giáo Th.s Phạm Thị Thu Hiền giúp chúng em hoàn thành đồ án tốt nghiệp Vì thời gian làm đồ án kiến thức cha nhiều nên đồ án không tránh khỏi sai sót hạn chế mong đóng góp ý Các thầy, Cô giáo bạn Em xin chân thành cảm ơn Hớng phát triển Đồ án Qua thời gian tìm hiểu nghiên cứu VPN - Mạng Riêng ảo em định hớng phát triển cho đồ án để áp dụng vào thực tế nh sau Đồ án em đợc áp dụng cho quan xí nghiƯp hay m¹ng doanh nghiƯp cã nhiỊu trơ së liên lạc , cần trao đổi thông tin, liệu với Để có nhìn tổng quát lâu dài hớng phát triển đồ án em tìm hiểu thêm Access Control List (ACL) Network Address Translation (NAT), cấu hình IKE IPSec để VPN vào áp dụng thực tế nh u điểm VPN đà trình bày đồ án Ngoài tìm hiểu thêm số thiết bị nh bé tËp trung VPN ( VPN Concentrater) tÝch hỵp u điểm tiên tiến mà hóa xác nhận, định tuyến VPN thông minh cung cấp khả định tuyến, bảo mật, chất lợng dịch vụ mở rộng, tờng lửa bảo mật SecurityIPX Firewall SVTH:Nguyễn Quang Minh 34 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng Đó định hớng mà em tìm hiểu nghiên cứu phát triển cho đồ án sau để làm cho Mạng Riêng ảo VPN trở thành ứng dụng lớn Tài liệu tham khảo [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, NXB Giáo Dục 1999 [2] Phạm Hoàng Dũng, Nguyễn Đình Tê, Hoàng Đức Hải, Giáo trình Mạng máy tính, NXB Giáo Dục 1996 [3] Nguyễn Gia Hiểu, Mạng máy tính, NXB Thông Tin [4] Phạm Hoàng Dũng, Làm chủ Windows server2003, NXB Thống kê 2003 [5] Th.s Ngô Bá Hùng, Thiết kế cài đặt mạng NXB ĐH Cần Thơ [6] Diane, Designing for Cisco Internetwork Solutions (DESGN) - Cisco SVTH:NguyÔn Quang Minh 35 Thị Thu Hiền GHVD: Th.s Phạm Tóm tắt đồ án tốt nghiệp Riêng ảo - VPN Mạng [7] Andrew S.Tanenbeau, Computer Networks Fourth Edition Prentice Hall Inc 2003 [8] Larry L Peterson & Bruce S Davie, Computer Networks A System Approach Third Edition Morgan Haufmann 2003 [9] Trang Web: www.Nhatnghe.com [10] Trang Web: www.Giaiphapmang.net [11] Trang Web: www.Quantrimang.com [12] Mạng - NXB Thống Kê [13] Will Willis, Ian McLean - Implementing and Managing Exchange Server 2003 SVTH:Ngun Quang Minh 36 ThÞ Thu HiỊn GHVD: Th.s Ph¹m ... quan VPN cho biết khái niệm, chức năng, u điểm, loại mạng VPN, đờng hầm m· hãa, tỉng quan vỊ c¸c giao thøc dïng cho VPN nh: L2PT, L2F, PPP, giao thøc b¶o mËt IPSec trình hoạt động tìm hiểu giao... GRE lµ mét giao thøc tạo đờng hầm đợc phát triển Cisco System Giao thức đóng gói đa giao thức nh đóng gói IP, IPX, Apple Talk, gói giao thức khác vào bên xa qua mạng IP ã Với giao thức tạo đờng... Riêng ảo - VPN M¹ng Mét m¹ng VPN cã thĨ ë hai hƯ thèng đầu cuối, hai hay nhiều mạng Một VPN đợc xây dựng cách sử dụngĐờng hầm (Tunnel) vàmà hóa (Encryption) VPN xuất lớp mô hình OSI VPN cải tiến