Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS rêng ®¹i häc vinh Khoa CNTT ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG VIRTUAL PRIVATE NETWORKS Giáo viên hướng dẫn: TS Phan Lê Na Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp : 46K3 - CNTT Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 1 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Vinh, tháng 05 Năm 2010 MỤC LỤC LỜI CẢM ƠN 3 LỜI NÓI ĐẦU 4 CH ƯƠNG I: TỔNG QUAN VỀ VPN .6 1.1 Tìm hiểu về VPN 6 1.2 Các loại VPN .8 1.2.1 Remote Access VPN .8 1.2.2 Intranet VPN 11 1.2.3 Extranet VPN .13 1.3 Các thành phần bảo mật 1.3.1 Mã hóa dữ liệu .15 1.2.2 Hệ thống mã hóa đối xứng (Symmetric Cryptosystems ) .16 1.2.3 Hệ thống mã hóa bất đối xứng (Asymmetric Cryptosystems ) .16 CHƯƠNG II: CÁC GIAO THỨC 17 2.1 Khái niệm cơ bản về Tunneling Technology 17 2.1.1 Những điểm thuận lợi của VPN .17 2.1.2 Các thành phần của VPN 18 2.1.3 Sự hoạt động của VPN 19 2.1.4 Định dạng gói dữ liệu VPN 20 Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 2 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS 2.2 Tunneling Protocols ở tầng 2 22 2.2.1 Point-to-Point Protocol (PPP) 22 2.2.2 Quá trình hoạt động của PPP 23 2.2.3 Point-to-Point Tunneling Protocol (PPTP) .23 2.2.4 Layer 2 Forwarding (L2F) 34 CHƯƠNG III: XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG VPN 36 3.1. Hệ thống VPN Site to Site 36 3.2. Hệ thống VPN client to site 50 TỔNG KẾT .67 TÀI LIỆU THAM KHẢO 68 LỜI CẢM ƠN Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 3 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Tôi xin chân thành cảm ơn Ban giám hiệu trường Đại học Vinh, ban chủ nhiệm khoa Công nghệ Thông tin, cùng các thầy cô giáo đã tận tình giảng dạy, trang bị cho tôi những kiến thức cần thiết trong những năm học tại trường. Đó là quãng thời gian thật hữu ích để tôi trưởng thành lên rất nhiều khi chuẩn bị ra trường là những hành trang không thể thiếu trong công việc sau này. Tôi xin chân thành cảm ơn cô giáo Tiến sỹ Phan Lê Na đã quan tâm, giúp đỡ và hướng dẫn tôi trong suốt thời gian làm đồ án để tôi hoàn thành tốt khóa luận này. Tôi xin chân thành cảm ơn các anh chị và các bạn đã có những nhận xét, ý kiến đóng góp, động viên và quan tâm giúp đỡ tôi trong thời gian qua. Cuối cùng con xin cảm ơn cha mẹ, gia đình đã tạo điều kiện, động viên, khích lệ và hỗ trợ con trong suốt thời gian qua. Vinh, ngày 10 tháng 05 năm 2010 Sinh viên thực hiện Nguyễn Ngọc Ánh LỜI NÓI ĐẦU Với sự phát triển nhanh chóng của công nghệ tin học và viễn thông, thế giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vượt qua ranh giới cục bộ Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 4 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu. Cho đến gần đây, ứng dụng của những kênh truyền dẫn thông tin thuê riêng (leased line) là giải pháp cơ bản cho kết nối mạng diện rộng (WAN) trên phạm vi khu vực và thế giới. Đường dây thuê, bao gồm từ ISDN (integrated services digital network, 128 Kbps) đến OC3 (Optical Carrier-3, 155 Mbps) fiber, đã giúp các công ty mở rộng mạng cục bộ ra nhiều khu vực địa lý khác nhau. Những dịch vụ kết nối mạng diện rộng như thế đã đem đến những lợi ích rõ ràng như tốc độ, an toàn thông tin và hiệu quả thực thi công việc, tuy nhiên việc duy trì những mạng diện rộng (WAN) như thế, nhất là khi ứng dụng đường dây thuê, có chi phí khá đắt đỏ và thường tăng lên cùng với sự gia tăng khoảng cách địa lý giữa các văn phòng công ty. Cùng với sự phổ cập ngày càng cao của Internet, doanh nghiệp dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có. Đầu tiên là intranets, đây là những sites được bảo vệ bằng password và sử dụng trong phạm vi công ty. Còn bây giờ nhiều doanh nghiệp đang thiết lập dịch vụ VPN (virtual private network) nhằm thoả mãn nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn phòng cách xa về địa lý. Một mạng ảo (VPN) tiểu biểu gồm có thể một mạng LAN chính đặt tại trụ sở công ty, các mạng Lan khác đặt tại các công ty ở xa, cũng như những nhân viên kết nối từ xa tới mạng cục bộ của công ty. Trong tình hình Việt Nam hiện nay cùng với việc phổ cập Internet tốc độ cao ( hiện giờ là ADSL và sắp tới là cáp Internet) ngày càng rộng với giá rẻ, cũng như Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 5 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS xuất hiện nhiều thiết bị mạng hỗ trợ VPN với chức năng tích hợp đa dạng, giao diện dễ sử dụng, giá hợp lý sẽ là điều kiện tốt để các doanh nghiệp và tổ chức tăng cường sử dụng mạng riêng ảo VPN như một phương thức kết nối từ xa an toàn, tiện dụng với chi phí thấp. Chính vì tầm quan trọng của công nghệ vpn nên em đã chọn làm đề tài cho đồ án tốt nghiệp của mình. Bố cục đồ án gồm 3 chương như sau: Chương 1: Tìm hiểu chung về công nghệ mạng cũng như tính năng báo mật trong VPN. Chương 3: Tìm hiểu về các giao thức. Chương 4: Xây dựng và triển khai hệ thống VPN (site to site và client to site). CHƯƠNG I: TỔNG QUAN VỀ VỈTUAL PRIVATE NETWORKS 1.1 Tìm hiểu về Virtual Private Networks Virtual Private Networks (VPN) hay gọi theo tiếng việt là mạng riêng ảo, cho phép mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet. Kỹ thuật VPN cho phép kết nối với một host nằm xa với mạng LAN và làm cho nó trở thành một node hay một PC nữa trong mạng LAN. Một đặc điểm nữa của VPN là sự kết nối giữa Clients và mạng ảo khá an toàn như chính ta đang ngồi trong cùng một mạng LAN. Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 6 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng. VPN được hiểu là phần mở rộng của một mạng Intranet được kết nối thông qua mạng công cộng nhằm bảo đảm an toàn và tăng hiệu quả giá thành kết nối giữa hai đầu nối. Cơ chế và độ giới hạn bảo mật tinh vi cũng được sử dụng để bảo đảm tính an toàn cho việc trao đổi những dữ liệu dễ bị đánh cắp thông qua một môi trường không an toàn. Cơ chế an toàn bao gồm những khái niệm sau đây : Mã hóa (encryption): Mã hoá dữ liệu là một quá trình xử lý thay đổi dữ liệu theo một chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn. Ðể đọc được dữ liệu người nhận buộc phải có chính xác một khóa giải mã dữ liệu. Thẩm quyền (authentication): Là một quá trình xử lý bảo đảm chắc chắn dữ liệu sẽ được chuyển đến người nhận đồng thời cũng bảo đảm thông tin nhận được nguyên vẹn. Ở hình thức cơ bản, Authentication đòi hỏi ít nhất phải nhập vào Username và Password để có thể truy cập vào tài nguyên. Trong một số tình huống phức tạp, sẽ có thêm secret-key hoặc public-key để mã hoá dữ liệu. Quyền hạn(authorization): Ðây là quá trình xử lý cấp quyền truy cập hoặc ngăn cấm vào tài nguyên trên mạng sau khi đã thực hiện Authentication. VPN Tunneling Protocol: Có 3 dạng giao thức tunneling cơ bản được sử dụng trong VPN: - Point-to-point Tunneling Protocol (PPTP): Phát triển bởi Microsoft, 3COM. PPTP thực hiện ở tầng thứ 2 (Data Link Layer) - IP Security (IPSec): Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắc chắn quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng qua mạng công cộng. Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ở tầng thứ 7 trong mô hình OSI (Open System Interconnect), Vì thế, Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 7 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS chúng có thể chạy độc lập so với các ứng dụng chạy trên mạng. Và vì thế mạng của bạn sẽ được bảo mật hơn mà không cần dùng bất kỳ chương trình bảo mật nào. - Layer 2 Tunneling Protocol (L2TP): Ðược phát triển bởi hệ thống Cisco, L2TP được dự định sẽ thay thế cho IPSec. Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên Internet. L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng để đóng gói các frame sử dụng giao thức Point-to-point để gửi qua các loại mạng như X.25, FR, ATM.(L2F là một protocol được đăng ký độc quyền bởi Cisco System để đảm bảo việc vận chuyển dữ liệu trên mạng Internet được an toàn) Ưu điểm và nhược điểm của VPN: Ưu điểm: - Giảm thiểu chi phí triển khai: Chi phí cho VPN ít hơn đáng kể so với cách giải quyết truyền thống - Giảm chi phí quản lý. - Cải thiện kết nối. -An toàn trong giao dịch. -Hiệu quả về băng thông. Nhược điểm: -Phụ thuộc trong môi trường Internet. -Thiếu sự hỗ trợ cho một số giao thức kế thừa. Những Ðiều Cần Quan Tâm Trong VPN: - Tính an toàn. - Thao tác giữa các thiết bị của các nhà cung cấp khác nhau. - Quản lý tập trung. - Dễ triển khai - Dễ sử dụng. - Hiệu suất. Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 8 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS - Quản lý băng thông. - Bảo vệ mạng từ những dữ liệu gửi đi tự nhiên bên ngoài. 1.2 Các loại VPN VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây: - Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầm tay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng. - Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa. - Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng, nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh doanh. Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra làm 3 phân loại chính sau : - Remote Access VPN. - Intranet VPN. - Extranet VPN. 1.2.1. Remote Access VPN Giống như gợi ý của tên gọi, Remote Access VPN cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác. Một số thành phần chính : Remote Access Server(RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm. Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng. Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 9 Xây dựng và thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Hình 1.1 : Cài đặt truy cập từ xa không có VPN Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau : Hình 1.2: Cài đặt truy cập từ xa có VPN Ưu điểm chính của Remote Access VPN : - Sự cần thiết của RAS và việc kết hợp với modem được loại trừ. - Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP. Sinh viên thực hiện : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh 10