GVHD: ThS Trần Xuân Tr-ờng Mục lục Lý THUYếT Về VPN 1.1.Định nghĩa, chức năng, -u điểm VPN 1.1.1 Định nghĩa VPN 1.1.2 Chức VPN 1.1.3 -u điểm sử dụng VPN 1.1.4 Nh-ợc điểm VPN 1.1.5 Đánh giá VPN 1.1.6 Các yêu cầu VPN 1.2.Các loại mạng VPN 12 1.2.1 VPN truy cËp tõ xa (Remote access VPN) 12 1.2.2 VPN néi bé (Intranet VPN) 14 1.2.3 VPN më réng (Extranet VPN) 16 1.3.§-êng hầm mà hoá 17 1.3.1 Đ-ờng hầm (Tunnel) 17 1.3.2 M· ho¸ (Encryption) 17 1.4.T ỉng quan vỊ c¸c giao thøc dïng cho VPN 18 1.4.1 Generic Routing Encapsulation (GRE) 19 1.4.2 Giao thøc b¶o mËt IPSec (IP Security Protocol) 21 2.1 ESP (Encapsulation Security Payload) 24 2.2 AH (Authentication Header) 26 2.3 Mode Tunnel vµ Mode Transport 28 2.3.1 Mode Transport 29 2.3.2 Mode Tunnel 29 2.4 Qu¸ trình hoạt động IPSec 30 2.4.1 B-ớc 1: Xác định traffic cần quan tâm 31 2.4.2 B-ớc 2: Giai đoạn IKE (Internet Key Exchange) 32 2.4.3 B-ớc 3: Giai đoạn IKE 35 Sinh viªn thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT GVHD: ThS Trần Xuân Tr-ờng 2.4.4 B-ớc 4: Phiên IPSec 39 2.4.5 B-ớc 5: Kết thúc đ-ờng hầm 39 3.1 Point-to-Point Tunneling Protocol (PPTP) 40 3.1.1 §-êng hÇm PPTP 43 3.1.1.1 Đ-ờng hầm tự nguyện 43 3.1.1.2 Đ-ờng hầm bắt buộc 43 3.1.2 Sư dơng PPTP 43 3.2 Layer Tunneling Protocol (L2TP) 45 3.2.1 PPP L2TP 46 3.2.2 §-êng hÇm L2TP 49 3.2.2.1 Đ-ờng hầm tự nguyện 49 3.2.2.2 Đ-ờng hầm bắt buộc 50 3.3 X¸c thùc mà hoá L2TP 53 Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT GVHD: ThS TrÇn Xuân Tr-ờng LờI Mở ĐầU Cùng với phát triển công nghệ thông tin, mạng máy tính đặc biệt mạng Internet ngày phát triển đa dạng phong phú nội dung lẫn hình thức Các dịch vụ mạng Internet đà xâm nhập vào hầu hết lĩnh vực đời sống xà hội Các thông tin trao đổi Internet có nhiều thông tin cần bảo mật cao tính quan trọng, tính xác tin cậy Một yêu cầu đặt cho doanh nghiệp phải luôn nắm đợc thông tin nhất, xác phải đảm bảo độ tin cậy cao chi nhánh khắp giới, nh đối tác, khách hàng Ngoài tính hiệu tiện lợi cho nhân viên khách hàng yếu tố cần đợc xem xét Để làm đợc điều nhân viên xa, chi nhánh xa, khách hàng xa, phải truy nhập đợc vào mạng Intranet công ty Ví dụ: Một nhân viên làm việc Hà Nội có chuyến công tác Sài Gòn, quên tài liệu công ty Anh ta muốn lấy tài liệu cách an toàn bảo mật? Để đáp ứng đợc yêu cầu Trong khứ có giải pháp tốn sử dụng đờng leaseline nhà cung cấp dịch vụ để nối tất chi nhánh công ty lại với thành mạng WAN Giải pháp khó khăn việc vận hành, bảo trì, mở rộng mạng Đây nguyên nhân dẫn đến việc em chọn đề tài cho đồ án tốt nghiệp em Tìm hiểu giao thức Mạng Riêng ảo-VPN Công nghệ mạng riêng ảo VPN (Virtual Private Network) công nghệ tơng đối mới, việc nghiên cứu triển khai loại mạng VPN đòi hỏi nhiều thời gian công sức.Trong đề tài này, em đà cố gắng trình bày Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT GVHD: ThS Trần Xuân Tr-ờng khái niệm mạng riêng ảo, nghiên cứu cách kü lìng c¬ së lý thut cịng nh kü tht triển khai kiểu mạng VPN Microsoft Trong phần thực nghiệm đề tài em đà xây dựng cấu hình thành công mạng VPN Client-to-Site phần mềm mô Vware Workstration.Trên sở triển khai mạng riêng ảo cho doanh nghiệp Một lần em xin chân thành cảm ơn thầy Ths Trần Xuân Trờng GV khoa CNTT trờng Đại Học Vinh đà tận tình giúp đỡ em hoàn thành đề tài Đinh Công Đức Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT GVHD: ThS TrÇn Xuân Tr-ờng Lý THUYếT Về VPN CHƯƠNG I TổNG QUAN Về VPN 1.1 Định nghĩa, chức năng, -u điểm VPN 1.1.1 Định nghĩa VPN Theo tiêu chuẩn đ-ợc định nghĩa Internet Engineering Task Force (IETF), VPN kết nối mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ công cộng nh- mạng Internet hay IP backbones riêng Hiểu đơn giản, VPN phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) đảm bảo hiệu suất truyền tin hai thiết bị thông tin đầu cuối Sự mở rộng đ-ợc thực đ-ờng hầm (Tunnels) Những đ-ờng hầm giúp trao đổi liệu điểm đầu cuối nh- giao thức thông tin point-to-point kĩ thuật đ-ờng hầm lõi VPN Một mạng VPN hai hệ thống đầu cuối, hai hay nhiều mạng Hình 1.1 Tổng quan VPN Tóm lại ta định nghĩa ngắn VPN nh- sau : Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT GVHD: ThS Trần Xuân Tr-ờng VPN = Định đ-ờng hầm + Bảo mật + Các thỏa thuận QOS (QualityOf Service) 1.1.2 Chức VPN VPN cung cấp ba chức chính: Sự tin cËy (Confidentiality): Ng-êi gưi cã thĨ m· ho¸ c¸c gói liệu tr-ớc truyền chúng qua mạng công cộng Bằng cách làm nhvậy, không truy cập thông tin mà không đ-ợc cho phép Và có lcho lần kết nối phần mềm Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 49 GVHD: ThS Trần Xuân Tr-ờng client (Soft Client) Một bất lợi sử dụng đ-ờng hầm tự nguyện ng-ời dùng trở thành mục tiêu kẻ công, đà chiếm quyền điều khiển máy tính ng-ời sử dụng kẻ công thực việc mà có ng-ời sử dụng hợp lệ làm đ-ợc Người dùng từ xa Intranet ISP Yêu cầu kết nối Yêu cầu kết nối Đồng ý hày từ chôi kết nối Khung L 2TP Lột bỏ thông tin Tunnel Xác thực người dùng Khung tới Node đích H×nh 3.9: Quá trình thiết lập đ-ờng hầm tự nguyện Đầu tiên LAC (trong tr-ờng hợp ng-ời dùng từ xa) phát yêu cầu thiết lập đ-ờng hầm tới LNS (L2TP Network Server) Nếu yêu cầu thiết lập đuờng hầm đ-ợc đồng ý LNS, LAC tạo đ-ờng hầm theo chuẩn L2TP đóng gói khung PPP chuyển qua đ-ờng hầm LNS đồng ý khung đóng gói đ-ờng hầm lột bỏ thông tin đ-ờng hầm xử lý khung Cuối cùng, LNS xác thực ng-ời dùng ng-ời dùng hợp lệ chuyển tiếp khung tới node đích mạng Intranet 3.2.2.2 Đ-ờng hầm bắt buộc Sinh viên thực hiện: §inh C«ng §øc - Líp 46K1 - CNTT 50 GVHD: ThS Trần Xuân Tr-ờng Đ-ờng hầm bắt buộc đ-ợc tạo không thông qua ng-ời dùng nên suốt với ng-ời dùng đầu cuối Đ-ờng hầm bắt buộc đ-ợc khởi tạo từ LAC ISP kết thúc LNS mạng riêng Lúc ISP phải hỗ trợ L2TP Trong việc thiết lập đ-ờng hầm bắt buộc ISP đóng vai trò quan trọng Intranet ca ISP Người dùng từ xa Đường hầm L2TP H×nh 3.10: Đ-ờng hầm L2TP bắt buộc Trong tr-ờng hợp ng-êi dïng ci (end user) chØ lµ mét thùc thĨ bị động, vai trò việc thiết lập đ-ờng hầm Đ-ờng hầm L2TP tự nguyện lựa chọn tốt cho yêu cầu bảo mật Bởi kết nối dial-up ng-ời dùng cuối ®-ỵc dïng ®Ĩ thiÕt lËp mét kÕt nèi PPP tíi ISP Kết ng-ời dùng truy nhập internet nÕu kh«ng qua gate-way cđa intranet cđa c«ng ty Điều tạo điều kiện thuận lợi cho quản trị mạng thực thi chế bảo mật nghiêm ngặt, điều khiển luồng, quản lý tài khoản ng-ời dùng Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 51 GVHD: ThS Trần Xuân Tr-êng Kết nối PPP User từ xa Yêu cầu kết nối Yêu cầu xác thực Thiết lập kết nối Khởi tạo đường hầm L2TP Đã thiết lập đường hầm Frames qua đường hầm L2TP Xác thực User từ xa Frames ti Node ớch Hình 3.11: Quá trình thiết lập đ-ờng hầm L2TP bắt buộc Ng-ời dùng từ xa yêu cầu kết nối PPP tới NAS ISP NAS xác thực ng-ời dùng Tiến trình xác thực diƠn nhsau: NAS sÏ kiĨm tra c¬ së d÷ liƯu cđa nã xem cã ID cđa ng-êi dïng không, có t-ơng ứng với điểm LNS cuối đ-ờng hầm Nếu NAS rỗi đồng ý yêu cầu kết nối, liên kết PPP đ-ợc khởi tạo ISP vµ ng-êi dïng tõ xa  LAC sÏ khëi tạo đ-ờng hầm L2TP tới LNS mạng riêng máy đích Nếu LNS đồng ý kết nối khung PPP phải đ-a vào trình đóng gói đ-ờng hầm L2TP Sau khung đ-ợc chuyển tiếp qua đ-ờng hầm L2TP đến LNS LNS tiếp nhận khung lột bỏ ®Ĩ ®-a nã vỊ khung PPP gèc nh- lóc ®Çu Cuối cùng, LNS xác thực ng-ời dùng nhận liệu ng-ời dùng hợp lệ Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 52 GVHD: ThS Trần Xuân Tr-ờng Một -u điểm đ-ờng hầm bắt buộc tải nhiều kết nối Đặc tính làm giảm yêu cầu băng thông mạng cho ứng dụng đa phiên làm việc Tuy có nh-ợc điểm kết nối từ LAC tới ng-ời dùng nằm đ-ờng hầm nên dễ bị công 3.3 Xác thực mà ho¸ L2TP ViƯc x¸c thùc ng-êi dïng diƠn giai đoạn: Giai đoạn đầu diễn ISP, giai đoạn giai đoạn (tuỳ chọn) diễn máy chủ mạng riêng Trong giai đoạn đầu, ISP sử dụng số điện thoại ng-ời dùng tên ng-ời dùng để xác định dịch vụ L2TP đ-ợc yêu cầu khởi tạo kết nối đ-ờng hầm đến máy chủ mạng riêng Khi đ-ờng hầm đ-ợc thiết lập, LAC ISP định số nhận dạng gọi (Call ID) để định danh cho kết nối đ-ờng hầm khởi tạo phiên làm việc đ-ờng hầm cách chuyển thông tin xác thực đến máy chủ mạng riêng Máy chủ mạng riêng tiến hành giai đoạn thứ định chấp nhận hay từ chối yêu cầu dựa vào thông tin PAP, hay CHAP Nếu đ-ợc chấp nhận máy chủ có thể tiến hành giai đoạn việc xác thực lớp PPP Giai đoạn t-ơng tự nh- viƯc m¸y chđ x¸c thùc mét ng-êi dïng quay sè truy nhập thẳng vào máy chủ Mặc dù giai đoạn cho phép ng-ời dùng, ISP máy chủ mạng riêng xác định đ-ợc tính xác gọi nh-ng ch-a bảo mật liệu tránh bị can thiệp sửa đổi Do đó, chế xác thực giống nh- thuộc tính bảo mật CHAP nghĩa đơn giản cho kẻ công xen vào chiếm đ-ờng hầm tính xác thực đ-ờng hầm vừa hoàn tất Đ-ờng hầm kết nối LAN-LAN Mặc dù chức cđa L2TP lµ cho quay sè truy nhËp VPN b»ng cách sử dụng PPP client, nh-ng thích hợp cho kết nối LAN-toLAN VPN Đ-ờng hầm kết nối LAN-to-LAN đ-ợc thiết lập hai máy chủ L2TP với điều kiện máy chủ phải đ-ợc kết nối với ISP để khởi tạo phiên làm việc PPP Thiết kế thích hợp cho mạng LAN văn phòng chi nhánh kết nối với văn phòng công ty Kết nối Sinh viên thực hiện: §inh C«ng §øc - Líp 46K1 - CNTT 53 ... thành mạng WAN Giải pháp khó khăn việc vận hành, bảo trì, mở rộng mạng Đây nguyên nhân dẫn đến việc em chọn đề tài cho đồ án tốt nghiệp em Tìm hiểu giao thức Mạng Riêng ảo- VPN Công nghệ mạng riêng. .. khái niệm mạng riêng ảo, nghiên cứu cách kỹ lìng c¬ së lý thut cịng nh kü tht triĨn khai kiểu mạng VPN Microsoft Trong phần thực nghiệm đề tài em đà xây dựng cấu hình thành công mạng VPN Client-to-Site... dụng IP chia sẻ công cộng nh- mạng Internet hay IP backbones riêng Hiểu đơn giản, VPN phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) đảm bảo hiệu suất truyền tin hai