Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN MAI QUỐC PHƯƠNG BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Nghệ An, tháng 12 năm 2012 Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU PHẦN MỞ ĐẦU Chương – TỔNG QUAN ĐỀ TÀI Tính cấp thiết đề tài Tình hình nghiên cứu thực tế Vấn đề đặt đề tài Mục đích ý nghĩa 4.1 Mục đích 4.2 Ý nghĩa Chương - CƠ SỞ LÝ THUYẾT 11 - Tổng quan mạng bản, quản trị mạng, Windows Server 2003, Domain, AD, VPN số dịch vụ mạng 11 1.1 Tổng quan mạng 11 1.2 Tổng quan quản trị mạng 12 1.3 Tổng quan Windows Server 2003 12 1.4 Tổng quan Domain 12 1.5 Tổng quan AD 14 1.6 Tổng quan VPN 15 Một số dịch vụ mạng khác 16 Chương - CÁC GIAO THỨC ĐƯỜNG HẦM VPN 19 Giao thức đường hầm điểm-điểm-PPTP 19 1.1- Kiến trúc PPTP 19 1.2 Sử dụng PPTP 23 Giao thức đường hầm lớp - L2TP 24 2.1- Dạng thức L2TP 25 2.2 Sử dụng L2TP 28 2.3 Khả áp dụng thực tế L2TP 29 Chương - BẢO MẬT TRONG VPN 30 Quá trình xác thực 30 Mã hoá 32 2.1 Thuật toán mã hoá khố bí mật (hay đối xứng) 32 2.2 Thuật tốn mã hố khố cơng cộng 33 Chương - ỨNG DỤNG, CÀI ĐẶT HỆ THỐNG MẠNG ẢO 34 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 43 TÀI LIỆU THAM KHẢO 45 Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN LỜI CẢM ƠN Lời chúng em muốn gửi lời cảm ơn chân thành tới cô Hồ Thị Huyền Thương – Khoa Công nghệ thông tin - Trường Đại Vinh tận tình hướng dẫn em tạo điều kiện tốt để em hoàn thành đề tài tốt nghiệp Em xin cảm ơn thầy cô giáo khoa Công nghệ thông tin Trường Đại học Vinh giúp đỡ chúng em suốt khóa học trường Đại học Vinh Cũng đóng góp q báu thầy đề tài tốt nghiệp em Lời cảm ơn sau chúng em xin gửi tới toàn thể bạn bè, đồng nghiệp làm việc lĩnh vực công nghệ thơng tin đóng góp cho chúng em kinh nghiệm quý báu bổ ích Vinh, ngày 22, tháng 12 , năm 2012 Sinh viên thực hiện: Mai Quốc Phương Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN LỜI NĨI ĐẦU Ngày nay, cơng nghệ viễn thơng phát triển nhanh, cơng nghệ mạng đóng vai trị quan trọng việc thơng tin liệu Chỉ xét góc độ kinh doanh, nhu cầu truyền thông công ty, tổ chức lớn Một cơng ty có mạng riêng cho phép chia sẻ tài nguyên máy tính nội Nhưng muốn chi nhánh, văn phòng, nhân viên di động hay đối tác từ xa truy cập vào mạng cơng ty Có nhiều dịch vụ cung cấp Modem quay số, ISDN server hay đường WAN thuê riêng đắt tiền Nhưng với phát triển rộng rãi Internet, số cơng ty kết nối với nhân viên, đối tác từ xa đâu, chí tồn thể giới mà khơng cần sử dụng dịch vụ đắt tiền Nhưng có vấn đề mạng nội công ty chứa tài nguyên, liệu quan trọng mà cho phép người dùng có quyền hạn, cấp phép truy cập vào mạng Internet mạng công cộng khơng bảo mật Do đó, Internet mối nguy hiểm cho hệ thống mạng, sở liệu quan trọng công ty Sự thông tin qua môi trường Internet bị làm sai lệch bị đánh cắp Và chỗ để mạng ảo (VPN - Virtual Private Network) chứng tỏ khả VPN cung cấp giải pháp thông tin liệu riêng tư an tồn thơng qua mơi trường mạng Internet cơng cộng với chi phí thấp, hiệu mà bảo mật Sau thời gian học trường với dạy dỗ định hướng thầy cô giáo khoa, chúng em chọn đề tài “Hệ thống mạng ảo VPN” để làm đồ án tốt nghiệp để học hỏi thêm kiến thức để sau áp dụng vào thực tế công việc chúng em Do thời gian kiến thức hạn chế nên đồ án chúng em nhiều thiếu sót Kính mong hướng dẫn, góp ý thêm thầy cô bạn bè Em xin chân thành cảm ơn! Sinh viên : Mai Quốc Phương Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN PHẦN MỞ ĐẦU Ngày nay, với phát triển nhanh chóng khoa học kỹ thuật đặc biệt Công nghệ thơng tin Viễn thơng góp phần quan trọng vào phát triển kinh tế giới Các tổ chức, doanh nghiệp có nhiều chi nhánh, cơng ty đa quốc gia q trình hoạt động ln phải trao đổi thông tin với khách hàng, đối tác, nhân viên họ Chính địi hỏi phải ln nắm bắt thơng tin nhất, xác nhất, đồng thời phải đảm bảo độ tin cậy cao chi nhánh khắp giới, với đối tác khách hàng Để đáp ứng yêu cầu khứ có hai loại hình dịch vụ Viễn thơng mà tổ chức, doanh nghiệp chọn lựa sử dụng cho kết nối là: - Thứ nhất, thuê đường Leased-line nhà cung cấp dịch vụ để kết nối tất mạng công ty lại với Phương pháp tốn cho việc xây dựng ban đầu trình vận hành, bảo dưỡng hay mở rộng sau - Thứ hai, họ sử dụng Internet để liên lạc với nhau, nhiên phương pháp lại không đáp ứng tính bảo mật cao Sự đời kỹ thuật mạng riêng ảo VPN dung hoà hai loại hình dịch vụ trên, xây dựng sở hạ tầng sẵn có mạng Internet lại có tính chất mạng cục sử dụng đường Leased-line Vì vậy, nói VPN lựa chọn tối ưu cho doanh nghiệp kinh tế Với chi phí hợp lý, VPN giúp doanh nghiệp tiếp xúc tồn cầu nhanh chóng hiệu so với giải pháp mạng diện rộng WAN Với VPN, ta giảm chi phí xây dựng tận dụng sở hạ tầng cơng cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo xây dựng Ở Việt Nam, kinh tế thời kỳ phát triển hội nhập quốc tế nhu cầu sử dụng VPN vừa đáp ứng yêu cầu thông tin, vừa giải khó khăn kinh tế Với đề tài: "Hệ thống mạng ảo VPN” Đồ án Tốt nghiệp, em hy vọng góp phần tìm hiểu Cơng nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN Nội dung tìm hiểu đồ án gồm chương trình bày vấn đề mạng VPN Chương 1: Nêu số khái niệm tổng quan, tính cấp thiết đề tài, hướng tiếp cận đề tài, ý nghĩa việc sử dụng Hệ thống mạng ảo VPN thực tiễn Từ làm sở để phát triển đề tài, đưa thuận lợi khó khăn sử dụng loại hình VPN Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Chương 2: Đây chương giới thiệu dịch vụ mạng, định nghĩa ứng dụng quản trị mạng, đưa khái niệm VPN loại hình VPN, phân loại mạng VPN Chương 3: Đây chương trọng tâm giới thiệu giao thức, đặc điểm hoạt động giao thức đường hầm PPTP, L2TP sử dụng VPN Chương 4: Nêu vấn đề bảo mật VPN, phần quan trọng VPN Bảo mật VPN bao gồm: trình mật mã xác thực Trong chương giới thiệu giải pháp, thuật toán mã hoá xác thực VPN Chương 5: Dựa vào kiến thức tìm hiểu chương trước để xây dựng dạng mạng ảo VPN lab ảo để đưa vào ứng dụng thực tế doanh nghiệp, cơng ty Do nhiều mặt cịn hạn chế nên nội dung đề tài không tránh khỏi sai sót Em mong nhận ý kiến đóng góp thầy cô bạn Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Chương – TỔNG QUAN ĐỀ TÀI Ngày việc ứng dụng hệ thống công nghệ thông tin vào sống triển khai, ứng dụng phát triển mạnh mẽ, với tiến vượt bậc Việc phát triển nghành công nghệ thông tin đất nước phát tới mức độ Khi hệ thống mạng máy tính phát triển đưa vào ứng dụng kèm theo sau hàng loạt dịch vụ ứng dụng phát triển theo nhằm phục vụ cho nhu cầu công việc người, làm cho công việc ngày thuận tiện nhanh chóng Trong cơng nghệ kéo theo có Hệ thống mạng ảo VPN Hệ thống mạng ảo VPN đưa nhằm giúp cho công ty, doanh nghiệp, hay đối tác xa mặt địa lý liên kết lại với thông qua hệ thống mạng Internet mà đảm bảo mặt bảo mật, an tồn liệu Tính cấp thiết đề tài Cùng với đời hệ thống mạng máy tình cơng nghệ mạng phát triển cách vượt bậc Cách thời gian mạng mạng máy tính cịn khái niệm xa vời Nhưng trở thành thực nhu cầu lớn hệ thống công ty doanh nghiệp Việc xây dựng phát triển hệ thống mạng có ý nghĩa sống cịn đơn vị Việc áp dụng hệ thống mạng vào cơng việc mang lại nhiều lợi ích to lớn Những lợi ích mà hệ thống mạng mang lại khơng phủ nhận việc hỗ trợ công việc, việc truyền tải thông tin liệu cách nhanh chóng thuận tiện Tuy nhiên việc đời hệ thống mạng Internet kéo theo nhiều hệ lụy chúng việc phá hoại hệ thống số đối tượng xấu Việc giao tiếp truyền tải liệu mạng bị can thiệp, đánh cắp số phần tử xấu lợi dụng hệ thống mạng Internet Vì để đảm bảo việc kết nối truyền tải liệu đơn vị chọn: -Thuê đường truyền riêng Leased Line nhà cung cấp để kết nối mạng công ty lại với -Sử dụng mạng internet để liên lạc với Và Microsoft cho đời khái niệm hồn tồn thiết lập hệ thống mạng ảo Virtual and Private Network (VPN) VPN đời dung hòa hai khái niệm trên, xây dựng tảng có sẵn mạng Internet, lại có tính chất của mạng cục sử dụng đường Leased line VPN cho phép thiết lập kênh kết nối hay đường hầm riêng hệ thống công ty cha Giúp cho việc truyền tải trao đổi liệu diễn an toàn hiệu Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Tình hình nghiên cứu thực tế Với hỗ trợ to lớn mặt kiến thức thầy cô giáo khoa Công nghệ thông tin - Trường Đại học Vinh nguồn tri thức vô hạn từ hệ thống mạng Internet Việc nghiên cứu phát triển đề tài thực hỗ trợ phát huy hiệu quả, tồn diện Thơng qua việc tìm hiêu đề tài “Hệ thống mạng ảo VPN” khác nghiên cứu xây dựng Từ rút điểm mạnh hạn chế khuyết điểm trình nghiên cứu thực tế Tuy nhiên bên cạnh mặt thuận lợi khó khăn lớn Mặc dù hệ thống mạng ảo phát triển xây dựng từ lâu, song với lượng kiến thức hạ chế nên việc nghiên cứu đề tài vấn đề lớn Việc xây dựng đề tài để phát huy hết nguồn tri thức nhân loại phát huy hếtkhả hệ thống mạng ảo (VPN) vào thực tế công việc phụ thuộc vào nhiều yếu tố khác Vấn đề đặt đề tài Xây dựng hệ thống mạng ảo để áp dụng vào thực tế Việc xây dựng Hệ thống mạng ảo VPN có ý nghĩa sống cịn doanh nghiệp lớn, giúp tiết kiệm chi phí đảm bảo an ninh liệu Ở Việt Nam, kinh tế thời kỳ phát triển hội nhập quốc tế nhu cầu sử dụng VPN vừa đáp ứng yêu cầu thơng tin, vừa giải khó khăn kinh tế Mục đích ý nghĩa 4.1 Mục đích VPN mạng riêng sử dụng hệ thống mạng công cộng (Thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Giải pháp VPN (Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thơng tin từ xa địa bàn hoạt động rộng (trên tồn quốc hay tồn cầu) Tài ngun trung tâm kết nối tới từ nhiều nguồn nên tiết kiệm chi phí thời gian Mục đích VPN việc sử dụng Internet tính phổ cập Tuy nhiên, Internet nguồn thông tin công cộng nên truy cập ai, lúc nào, nơi đâu việc trao đổi thơng tin mạng bị nghe trộm, đánh Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN cắp Sự trao đổi liệu truy cập bất hợp pháp tin tặc Mục đích VPN cung cấp tính bảo mật liệu, tính hiệu độ tin cậy mạng đảm bảo tính cân giá thành cho tồn q trình xây dựng mạng VPN hiểu mở rộng mạng Intranet kết nối thông qua mạng công cộng nhằm đảm bảo an toàn tăng hiệu giá thành kết nối hai đầu nối Cơ chế độ giới hạn bảo mật tinh vi sử dụng để đảm bảo tính an tồn cho việc trao đổi liệu dễ bị đánh cắp thông qua môi trường khơng an tồn Cơ chế an tồn bao gồm khái niệm sau đây: * Encryption (Mã hóa): Mã hóa liệu trình xử lý thay đổi liệu theo chuẩn định liệu đọc người dùng mong muốn Để đọc liệu người nhận bắt buộc phải có xác mã khóa giải mã liệu Theo phương pháp truyền thống, người nhận gửi liệu có khóa để giải mã mã hóa liệu Lược đồ public-key sử dụng hai khóa, khóa xem public-key (khóa cơng cộng) mà dùng để mã hóa giải mã liệu * Authentication (Chứng thực): Là trình xử lý đảm bảo chắn liệu chuyển đến người nhận đồng thời đảm bảo thông tin nguyên vẹn Ở hình thức Authentication địi hỏi phải tuân thủ việc phải nhập vào Username Password để truy cập vào tài nguyên Trong số tình phức tạp, có thêm secret-key public-key để mã hóa liệu * Authorization (Ủy quyền): Đây trình xử lý cấp quyền truy cập ngăn cấm vào tài nguyên mạng sau thực Authentication 4.2 Ý nghĩa Việc xây dựng hệ thống mạng ảo VPN dựa hệ thống mạng Internet thực mang lại ý nghĩa kết to lớn Đó việc thiết lập dùng mạng riêng mạng cơng cộng sẵn có chế mã hóa, tạo “đường hầm ảo” thông suốt bảo mật Mạng riêng ảo đời đáp ứng nhu cầu doanh nghiệp muốn trì mạng riêng kết nối trụ sở chi nhánh nhân viên hoạt động cơng ty với mức chi phí thấp hoạt động ổn định độ bảo mật cao Vì thiết lập kênh riêng nên mang tính bảo mật cao thuận tiện cho việc triển khai mở rộng - Làm giảm chi phí thường xuyên - Giảm chi phí quản lý hỗ trợ - Đảm bảo an toàn thơng tin, tính tồn vẹn xác thực Mai Quốc Phương – lớp 49K- Khoa CNTT Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Dữ liệu truyền mạng mã hoá thuật toán, đồng thời truyền đường hầm (Tunnel) nên thơng tin có độ an tồn cao - Dễ dàng kết nối chi nhánh thành mạng cục - Hỗ trợ giao thức mạng thông dụng TCP/IP Bảo mật địa IP : thông tin gửi VPN mã hóa địa mạng riêng che giấu sử dụng địa bên Internet Kết luận chương 1: Qua nội dung chương thấy tầm quan trọng, tính cấp thiết hệ thống mạng ảo VPN việc sống cịn cơng ty, doanh nghiệp nay, đáp ứng hầu hết nhu cầu việc trao đổi liên lạc mặt hành chính, chuyển liệu chi nhánh cơng ty với Tuy nhiên bên cạnh việc ứng dụng thực tế triển khai hệ thống mạng ảo VPN vào thực tế cịn khó khăn cịn thiếu nhân lực chất lượng cao lĩnh vực quản trị mạng công ty, doanh nghiệp Mai Quốc Phương – lớp 49K- Khoa CNTT 10 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN c) Giao thức xác thực yêu cầu bắt tay CHAP Giao thức xác thực mật yêu cầu bắt tay CHAP (Challenge Handshake Authentication Protocol) thiết kế cho việc sử dụng tương tự PAP phương pháp bảo mật tốt xác thực kết nối PPP CHAP giao thức bắt tay ba chiều bao gồm ba bước để thực kiểm tra kết nối, sau kết nối khởi tạo hay thời điểm sau kết nối thiết lập Thay dùng mật hay tiến trình chấp nhận giống PAP, CHAP sử dụng hàm băm chiều (one-way hashing function) Máy tính xác thực gửi tin thách đố (challenge massage) đến máy tính ngang cấp (peer) Máy tính ngang cấp tính toán giá trị sử dụng hàm băm chiều gửi lại cho máy tính xác thực Máy tính xác thực đáp ứng chấp nhận giá trị gửi lại tương ứng với giá trị mong muốn Tiến trình lặp lại thời điểm suốt trình kết nối để đảm bảo kết nối nắm quyền không bị suy yếu trường hợp Máy chủ điều khiển trình xác thực CHAP d)Hệ thống điều khiển truy cập điều khiển truy cập đầu cuối TACACS TACACS (Terminal Access Controler Access Control System) hệ thống phát triển để không cung cấp chế xác thực mà thực chức năng: cho phép (authorization) tính cước (accouting) TACACS thiế kế hệ thống client/server mềm dẻo đặc biệt việc quản lý bảo mật mạng Trung tâm hoạt động TACACS máy chủ xác thực TACACS Máy chủ xác thực TACACS giữ yêu cầu xác thực từ phần mềm client cài đặt gateway hay điểm truy cập mạng Máy chủ trì sở liệu nhận dạng người dùng, mật khẩu, PIN khoá bí mật sử dụng để chấp nhận hay bị từ chối yêu cầu truy cập mạng Tất xác thực, cấp quyền liệu tính cước hướng đến máy chủ trung tâm người dùng truy nhập mạng e) Dịch vụ xác thực người dùng quay số từ xa- RADIUS RADIUS (Remote Authentication Dial-In Use Service) sử dụng kiểu client/server để chứng nhận cách bảo mật quản trị kết nối mạng từ xa người dùng với phiên làm việc RADIUS giúp cho việc điều khiển truy cập dễ quản lý hỗ trợ kiểu xác thực người dùng khác bao gồm Mai Quốc Phương – lớp 49K- Khoa CNTT 31 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN PAP, CHAP, RADIUS tạo sở liệu đơn tập trung lưu giữ máy chủ f) Các hệ thống phần cứng + Smart card + Các thiết bị thẻ (Token Devices) Các hệ thống thẻ thường dựa phần cứng riêng biệt dùng để hiển thị mã nhận dạng (passcode) thay đổi mà người dùng sau phải nhập vào máy tính để thực việc xác thực Trước người dùng phép xác thực, thết bị thẻ yêu cầu PIN, sau sử dụng ba chế khác để xác định người dùng - Cơ chế đáp ứng thách đố (Challenge response): - Cơ chế sử dụng đồng thời gian (Time Synchronization - Cơ chế đồng kiên (event Synchronzation) g) Hệ hống sinh trắc học Hệ thống sinh trắc học dựa vào số dấu vết cá nhân để xác thực người dùng như: vân tay, giọng nói, võng mạc…Tuy nhiên hệ thống không sử dụng rộng rãi thực tế giá thành đắt hệ thống bảo mật thường tích hợp một, làm cho chúng khó khăn việc giao tiếp với hệ thống khác Hệ thống sinh trắc học phù hợp cho nơi cần độ bảo mật cao phạm vi nhỏ Mã hoá Mã hố thực dựa hai thành phần: thuật toán khoá Một thuật toán mã hoá chức toán học nối phần văn hay thông tin dễ hiểu với chuỗi số gọi khoá để tạo văn mật mã khó hiểu Có nhiều thuật toán mã hoá khác nhau: 2.1 Thuật toán mã hoá khố bí mật (hay đối xứng) Thuật tốn đối xứng đựoc định nghĩa thuật toán khoá chia sẻ sử dụng để mã hoá giải mã tin Các thuật toán mã hoá đối xứng sử dụng chung khoá để mã hoá giải mã tin, điều có nghĩa bên gửi bên nhận thoả thuận, đồng ý sử dụng khố bí mật để mã hố giải mã Ưu điểm mã hoá khoá đối xứng: - Thuật toán mã hoá giải mã nhanh, phù hợp với khối lượng lớn thông tin - Chiều dài khố từ 40÷168 bit Mai Quốc Phương – lớp 49K- Khoa CNTT 32 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN - Các tính toán toán học dễ triển khai phần cứng - Người gửi người nhận chia sẻ chung mật Cơ chế mã hoá đối xứng nảy sinh vấn đề là: - việc nhận thực đặc điểm nhận dạng nhận dạng tin chúng minh - Do hai bên chiếm giữ khố giống nên tạo mã hoá cho người khác gửi tin Điều gây nên cảm giác khơng tin cậy nguồn gốc tin 2.2 Thuật tốn mã hố khố cơng cộng Thuật tốn mã hố khố cơng cộng định nghĩa thuật toán sử dụng cặp khoá để mã hoá giải mã bảo mật tin Theo thuật toán sử dụng khố để mã hố khoá khác để giải mã hai khoá có liên quan với tạo thành cặp khố tin, có hai khố mã hố giải mã cho Một số thuật toán sử dụng mã hoá khoá cơng cộng a) Hệ thống mật mã khố cơng khai RSA b) Kỹ thuật Diffie-Hellman Kết luận chương 4: Trong chương tìm hiểu vấn đề bảo mật Hệ thống mạng ảo VPN Những thuật tốn mã hóa để mã hóa liệu truyền tải mạng Internet Qua ngăn chặn xâm nhập trái phép từ bên hacker Làm tăng an toàn cho toàn hệ thống mạng ảo VPN Mai Quốc Phương – lớp 49K- Khoa CNTT 33 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Chương - ỨNG DỤNG, CÀI ĐẶT HỆ THỐNG MẠNG ẢO Từ khái niệm định nghĩa hệ thống mạng ảo tìm hiểu qua chương trước bắt tay vào việc triển khai cài đặt hệ thống lab ảo thông qua việc sử dụng phần mềm hỗ trợ VMWARE sử dụng hệ điều hành windows server 2003 Trong chương tìm hiểu dạng Hệ thống mạng ảo VPN: + VPN site to site Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, cơng ty tạo kết nối với nhiều site qua mạng công cộng Internet VPN Site to Site đơn giản kết nối VPN hai chi nhánh với Thông qua việc kết nối mà công ty liên hệ làm việc với cách thuận lợi an tồn Mơt hình VPN Site to Site tảng Windows áp dụng với cơng ty có quy mơ nhỏ, có u cầu cơng việc khơng cao Có ngân sách chi phí thấp Mơ hình hệ thống: Trong mơt hình xây dựng hệ thống kết nối VPN Site to Site Windows.Với site đầu Internet, với chế gần giống với VPN Client, dùng User chiều để kết nối Ở ta dùng dải IP khác tương đương với mạng mạng Site Hà Nội, mạng Internet mạng Site Sài Gòn Sau cách thức xây dựng hệ thống cách cụ thể: * Xây dựng VPN Server Hà Nội Trên máy chủ sử dụng card mạng thuộc lớp mạng Vmnet2 Vmnet3 Và có địa IP sau: Mai Quốc Phương – lớp 49K- Khoa CNTT 34 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Và Cấu hình Router1 Taọ use saigon tren Computer Management hình vẽ Mai Quốc Phương – lớp 49K- Khoa CNTT 35 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Sau tiến hành cài đặt thêm dịch vụ Routing and Remote Access Trên ROUTER1, nhấn vào Administrative Tools, chọn Routing and Remote Access Nhấn chuột phải vào ROUTER1 (local) chương trình, chọn Configure and Enable Routing and Remote Access Nhấn Next trang Routing and Remote Access Server Setup Wizard Trên trang Configuration, chọn Remote access (dial-up or VPN) Nhấn Next Trên trang Remote Access, chọn VPN Nhấn Next Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters Nhấn Next Trên trang IP Address Assignment, chọn From a specified range of addresses Nhấn Next Trên trang Address Range Assignment, nhấn New Trong hộp thoại New Address Range, làm việc sau: a Gõ 172.16.100.1 ô Start IP address b Gõ 172.16.100.2 ô End IP address c Chấp nhận giá trị hộp Number of Addresses 10 Nhấn OK Trên trang Address Range Assignment, nhấn Next Mai Quốc Phương – lớp 49K- Khoa CNTT 36 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN 11 Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests 12 Nhấn Next Trên trang Completing the Routing and Remote Access ServerSetup,nhấnFinish 13 Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent Trường hợp DHCP Relay Agent không định cấu hình - Định cấu hình giao diện quay số yêu cầu router trả lời : Trên trình Routing and Remote Access, chọn ROUTER1, nhấn chuột phải vào Network Interfaces Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next Trên trang Interface Name, gõ saigon Chú ý: tên giao diện phải tên tài khoản người sử dụng router gọi Nhấn Next Trên trang Connection Type, chọn Connect using virtual private networking (VPN) Nhấn Next Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP) Nhấn Next Trên trang Destination Address, gõ 10.2.0.2 ô Host name or IP address Nhấn Next Trên trang Protocols and Security, làm việc sau: a Chọn Route IP packets on this interface b Chọn Add a user account so a remote router can dial in Nhấn Next Trên trang Static Routes for Remote Networks, nhấn Add Trong hộp thoại Static Route, làm công việc sau: a Gõ 172.16.56.0 ô Destination b Gõ 255.255.255.0 ô Network Mask c Chấp nhận giá trị ô Metric 10 Nhấn OK Trên trang Address Range Assignment , nhấn Next 11 Trên trang Dial In Credentials, gõ mật cho tài khoản saigon 12 Nhấn Next Trên trang Dial Out Credentials, làm việc sau: a Gõ hanoi ô User name b Gõ ROUTER2 ô Domain c Gõ mật hanoi ô Password d Gõ lại mật ô Confirm password 13 Nhấn Next Trên trang Demand-Dial Interface Wizard, nhấn Finish Mai Quốc Phương – lớp 49K- Khoa CNTT 37 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN 14 Nhấn OK để đóng hộp thoại u cầu định cấu hình DHCP Relay Agent Trường hợp DHCP Relay Agent không định cấu hình * Xây dựng VPN Server Sài Gòn : Trên máy chủ sử dụng card mạng thuộc lớp mạng Vmnet4 Vmnet5, có địa IP sau: Và Cấu hình router2 Taọ use saigon tren Computer Management hình vẽ: Mai Quốc Phương – lớp 49K- Khoa CNTT 38 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Tiến hành cài đặt thêm dịch vụ Routing and Remote Trên ROUTER2, chọn Administrative Tools, nhấn vào Routing and Remote Access Nhấn chuột phải vào ROUTER2 (local) chương trình nhấn vào Configure and Enable Routing and Remote Access Nhấn Next trang Remote Access Server Setup Wizard Trên trang Configuration, chọn Remote access (dial-up or VPN), nhấn Next Trên trang Remote Access, chọn VPN > Next Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters > nhấn Next Trên trang IP Address Assignment, chọn From a specified range of addresses, nhấn Next, trang Address Range Assignment, chọn New Trong hộp thoại New Address Range, làm việc sau: a Gõ 172.56.200.1 ô Start IP address b Gõ 172.56.200.2 ô End IP address c Chấp nhận giá trị hộp Number of Addresses > nhấn OK Trên trang Address Range Assignment, nhấn Next 10 Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests > Next Mai Quốc Phương – lớp 49K- Khoa CNTT 39 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN 11 Trên trang Completing the Routing and Remote Access Server Setup, nhấn Finish 12 Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent Trường hợp DHCP Relay Agent khơng định cấu hình - Định cấu hình giao diện quay số yêu cầu router gọi Trên trình Routing and Remote Access, chọn ROUTER2, nhấn chuột phải vào Network Interfaces Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next Trên trang Interface Name, gõ saigon Chú ý: tên giao diện phải tên tài khoản người sử dụng router gọi Nhấn Next Trên trang Connection Type, chọn Connect using virtual private networking (VPN) Nhấn Next Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP) Nhấn Next Trên trang Destination Address, gõ 10.1.0.2 ô Host name or IP address Nhấn Next Trên trang Protocols and Security, làm việc sau: a Chọn Route IP packets on this interface b Chọn Add a user account so a remote router can dial in Nhấn Next Trên trang Static Routes for Remote Networks, nhấn Add Trong hộp thoại Static Route, làm công việc sau: a Gõ 172.16.4.0 ô Destination b Gõ 255.255.255.0 ô Network Mask c Chấp nhận giá trị ô Metric 10 Trên trang Static Routes for Remote Networks, nhấn Next 11 Trên trang Dial In Credentials, gõ mật cho tài khoản VPN_Hanoi gõ mật hanoi ô Password 12 Trên trang Dial Out Credentials, làm việc sau: a Gõ saigon User name b Gõ ROUTER1 ô Domain c Gõ mật tài khoản người dùng saigon tạo ROUTER1 d Xác nhận lại mật Confirm password 13 Trên trang cuối Demand-Dial Interface Wizard, nhấn Finish - Xác nhận sách truy cập từ xa router gọi trả lời: Mai Quốc Phương – lớp 49K- Khoa CNTT 40 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Trên ROUTER2, mục Routing and Remote Access, nhấn vào Remote Access Policies Trong bảng hiển thị chi tiết, nhấn chuột phải vào Connections to Microsoft Routing and Remote Access server, chọn Properties Trên thẻ Settings, chọn Grant remote access permission nhấn OK để lưu thay đổi Lặp lại bước với ROUTER1 - Tạo kết nối VPN: Trên ROUTER2, chương trình Routing and Remote Access, chọn Network Interfaces Trong ô hiển thị chi tiết, nhấn chuột phải vào hanoi > Connect Kiểm tra tình trạng kết nối hanoi - Kiểm tra kết nối: Trên CLIENT2, dấu nhắc lệnh, gõ ping 172.16.4.3 Đây địa IP CLIENT1 Việc "ping" địa IP kiểm tra máy có truy cập vào mạng Hà Nội hay không Để kiểm tra gói tin truyền qua kết nối VPN, dấu nhắc lệnh, gõ tracert 172.16.4.3 Chú ý cần phải dùng địa IP CLIENT1 khơng phải tên máy tính máy chủ DNS khơng định cấu hình mơ hình thực nghiệm Cịn thực tế, có máy chủ quản lý tên miền, người dùng nhập tên máy tính, ví dụ xyzhanoi_quangminh, để truy cập.Kết tương tự sau cho biết kết nối thành công: Mai Quốc Phương – lớp 49K- Khoa CNTT 41 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Đánh giá kết thực Việc xây dựng hệ thống mạng riêng ảo vấn đề cấp thiết cần thiết công việc công ty hay tập đồn lớn Dựa vào nhu cầu cơng việc khả tài cơng ty, doanh nghiệp tập đoàn khác mà sử dụng cơng nghệ kết nối khác Có thể sử dụng phần cứng phần mềm, hệ thống sử dụng mạng riêng ảo VPN giống cách thức xây dựng phương thức bảo mật Với việc xây dựng hệ thống mạng ảo VMWARE trên, việc áp dụng vào thực tiễn cơng việc khơng cịn khó khăn Việc áp dụng mơ hình xây dựng báo cáo vào mơ hình công ty, quan thực phát huy cách triệt để vào công việc Nhất công ty vừa nhỏ, có kinh phí thấp Thơng qua việc xây dựng hệ thống mạng ảo VPN mà việc đưa công nghệ thông tin ứng dụng to lớn vào sống, cơng việc người dễ dàng, hiệu quả, an tồn ý nghĩa mà mang lại Kết luận chương 5: Trong chương xây dựng loại hình Hệ thống mạng ảo VPN hệ thống lab ảo Từ hệ thống lab ảo áp dụng trực tiếp triển khai vào hệ thống mạng nhỏ doanh nghiệp, công ty với mức chi phí thấp lại mang lại hiệu cao Đảm bảo yêu cầu công việc đòi hỏi ngày cao xã hội công nghệ thông tin Mai Quốc Phương – lớp 49K- Khoa CNTT 42 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng sở hạ tầng mạng công cộng để xây dựng mạng WAN riêng, với ưu điểm mặt giá thành, phạm vi không hạn chế, linh hoạt triển khai mở rộng mạng Ngày nay, VPN hữu ích hữu ích tương lai Các chuẩn thi hành, điều cải tiến khả liên vận hành quản lý Chất lượng mạng VPN cải thiện, cho phép cung cấp ứng dụng hội nghị truyền hình, điện thoại IP, dịch vụ đa phương tiện Trong đồ án em đã tìm hiểu số vấn đề kỹ thuật liện quan đến việc thực VPN, nội dung gồm vấn đề chính: - Các khái niệm bản, đặc điểm giao thức đường hầm PPTP, L2TP Nguyên tắc hoạt hoạt động VPN dựa giao thức đường hầm - Để tạo đường hầm cho IP nhiều hướng ta sử dụng L2TP, với luồng lưu lượng mạng sử dụng mạng, thiết bị Microsoft L2TP lựa chọn tốt L2TP phù hợp với VPN truy cập từ xa hỗ trợ đa giao thức Tuy nhiên, L2TP khơng hỗ trợ mã hố liệu tính tồn vẹn liệu - Các thành phần mạng VPN, vấn đề cần ý yêu cầu ISP với thiết bị phần cứng, phần mềm để xây dựng mạng VPN Một điều thuận lợi phát triển công nghệ nên thiết bị phần cứng hay phần mềm tích hợp nhiều chức năng, trở thành thiết bị dễ sử dụng, quản lý Hơn nữa, sở hạ tầng mạng cơng cộng ngày hồn thiện nên việc xây dựng mạng VPN dễ dàng chất lượng VPN tốt hơn, đáp ứng dịch vụ Trong báo cáo thực tập em có xây dựng mơ hình sử dụng VPN để áp dụng vào thực tế Một số vấn đề bảo mật VPN, bảo mật liệu chống lại truy cập thay đổi trái phép Thông qua số giao thức xác thực hệ thống Các vấn đề quản lý VPN, bao gồm: quản lý bảo mật, quản lý địa quản lý chất lượng Trong xu tồn cầu hố, thương mại hoá mạng IP thiết kế để truyền thông thống xung quanh World Wide Web (WWW) Extranet, để phù hợp với ứng dụng giao dịch thương mại, kinh doanh Extranet thường thiết lập đối tác kinh doanh thúc đẩy nhu cầu cho ứng dụng kinh doanh chi tiết, xử lý nhanh điều khiển kiểm tốn tốt cịn VPN phát Mai Quốc Phương – lớp 49K- Khoa CNTT 43 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN triển với nhu cầu để cung cấp liên lạc bảo mật Internet chung, loại lưu lượng mà không cần quan tâm đến ứng dụng nên tương lai mở rộng VPN đến Extranet Ta xây dựng Extranet sở VPN, bước việc mở rộng VPN đến Extranet chuyển nhượng quyền truy cập đối tác Extranet đến tài nguyên đặc biệt bên bổ sung sở liệu đối tác đến hệ thống xác thực Cuối cùng, VPN liên quan đến nhiều giao thức thuật toán phức tạp thời gian phạm vi tìm hiểu khơng đầy đủ hồn thiện nên đồ án em cịn nhiều thiếu sót Kính mong thầy bạn bổ sung góp ý để đề tài em hoàn thiện Mai Quốc Phương – lớp 49K- Khoa CNTT 44 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN TÀI LIỆU THAM KHẢO Tiếng Việt [1]- Giáo trình giảng dạy chương trình MCITP Học viện mạng cơng nghệ thông tin BKACAD [2]- Tự học bảo mật quản trị mạng, Nxb Văn hóa Thơng tin, Trí Việt - Hà Thành [3]- Xây dựng mạng VPN với giao thức PPTP, Nxb Giao thông vận tải, Vương Phúc [4]- Công nghệ bảo mật, Nxb Thống kê, Hồng Phúc, KS.Nguyễn Ngọc Tuấn Tiếng Anh [5]- Cisco Secure Virtual Private Networks (Volume 1,2), Copyright © 2001, Cisco System, Inc [6]- Security Protocols Overview, Copyright ©1999, RSA Data Security, Inc [7]- VPN technologies: Definitions and Requirements, Copyright © 2002, VPN Consortium Web [8] Trang http://quantrimang.com [9] Trang http://nhatnghe.com [10] Trang http://thuviendientu.org/ [11] Trang http://www.microsoft.com/ [12] Trang http://tailieudientu.net Mai Quốc Phương – lớp 49K- Khoa CNTT 45 ... tài nguyên mạng Mai Quốc Phương – lớp 49K- Khoa CNTT 14 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN 1.6 Tổng quan VPN a) VPN gì? Mạng riêng ảo hay cịn biết đến với từ viết tắt VPN, khái... 49K- Khoa CNTT 42 Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng sở hạ tầng mạng công cộng để xây dựng mạng WAN riêng, với ưu điểm... Đồ án tốt nghiệp đại học Đề tài : Mạng riêng ảo VPN Chương - BẢO MẬT TRONG VPN Một mối quan tâm công ty việc bảo mật liệu họ Bảo mật liệu chống lại truy nhập thay đổi trái phép không vấn đề mạng