Thuật toán mã hoá khoá công cộng

2. Mã hoá

2.2 Thuật toán mã hoá khoá công cộng

Thuật toán mã hoá khoá công cộng được định nghĩa là một thuật toán sử dụng một cặp khoá để mã hoá và giải mã bảo mật một bản tin. Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá khác để giải mã nhưng hai khoá này có liên quan với nhau tạo thành một cặp khoá duy nhất của một bản tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau. Một số thuật toán sử dụng mã hoá khoá công cộng như

a) Hệ thống mật mã khoá công khai RSA b) Kỹ thuật Diffie-Hellman

Kết luận chương 4: Trong chương 4 này chúng ta đã đi tìm hiểu về vấn đề bảo mật trong Hệ thống mạng ảo VPN. Những thuật toán mã hóa để mã hóa dữ liệu khi truyền tải trên mạng Internet. Qua đó ngăn chặn được những sự xâm nhập trái phép từ bên ngoài bởi hacker. Làm tăng sự an toàn cho toàn bộ hệ thống mạng ảo VPN.

Chương 5 - ỨNG DỤNG, CÀI ĐẶT HỆ THỐNG MẠNG ẢO

Từ những khái niệm và định nghĩa về hệ thống mạng ảo đã được tìm hiểu qua các chương trước chúng ta sẽ bắt tay vào việc triển khai và cài đặt hệ thống trên lab ảo thông qua việc sử dụng phần mềm hỗ trợ là VMWARE và sử dụng hệ điều hành windows server 2003. Trong chương này chúng ta sẽ tìm hiểu về 1 dạng của Hệ thống mạng ảo VPN:

Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. VPN Site to Site đơn giản là kết nối VPN giữa hai chi nhánh với nhau.

Thông qua việc kết nối này mà các công ty có thể liên hệ và làm việc với nhau một cách thuận lợi và an toàn.

Môt hình VPN Site to Site trên nền tảng Windows được áp dụng với những công ty có quy mô nhỏ, có yêu cầu công việc không cao. Có ngân sách và chi phí thấp.

Mô hình hệ thống:

Trong môt hình này chúng ta xây dựng một hệ thống kết nối VPN Site to Site trên nền Windows.Với 2 site là 2 đầu Internet, với cơ chế cũng gần giống với VPN Client, nhưng ở đây sẽ dùng User 2 chiều để kết nối.

Ở đây ta dùng 3 dải IP khác nhau tương đương với 3 mạng là mạng của Site Hà Nội, mạng của Internet và mạng của Site Sài Gòn

Sau đây sẽ là cách thức xây dựng hệ thống một cách cụ thể: * Xây dựng VPN Server Hà Nội

Trên máy chủ này sử dụng 2 card mạng thuộc 2 lớp mạng là Vmnet2 và Vmnet3. Và có địa chỉ IP lần lượt như sau:

Và

Cấu hình trên Router1

Sau đó tiến hành cài đặt thêm dịch vụ Routing and Remote Access 1. Trên ROUTER1, nhấn vào Administrative Tools, chọn Routing and Remote Access.

2. Nhấn chuột phải vào ROUTER1 (local) trong cây chương trình, chọn Configure and Enable Routing and Remote Access.

3. Nhấn Next trên trang Routing and Remote Access Server Setup Wizard. 4. Trên trang Configuration, chọn Remote access (dial-up or VPN).

5. Nhấn Next. Trên trang Remote Access, chọn VPN.

6. Nhấn Next. Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters.

7. Nhấn Next. Trên trang IP Address Assignment, chọn From a specified range of addresses.

8. Nhấn Next. Trên trang Address Range Assignment, nhấn New. 9. Trong hộp thoại New Address Range, làm các việc sau:

a. Gõ 172.16.100.1 ở ô Start IP address b. Gõ 172.16.100.2 ở ô End IP address

c. Chấp nhận giá trị 2 ở hộp Number of Addresses

11. Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests.

12. Nhấn Next. Trên trang Completing the Routing and Remote Access ServerSetup,nhấnFinish.

13. Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent. Trường hợp này DHCP Relay Agent sẽ không được định cấu hình.

- Định cấu hình giao diện quay số yêu cầu trên router trả lời :

1. Trên trình Routing and Remote Access, chọn ROUTER1, nhấn chuột phải vào Network Interfaces.

2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next.

3. Trên trang Interface Name, gõ saigon. Chú ý: tên trên giao diện phải đúng như tên tài khoản người sử dụng trên router gọi.

4. Nhấn Next. Trên trang Connection Type, chọn Connect using virtual private networking (VPN).

5. Nhấn Next. Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP). 6. Nhấn Next. Trên trang Destination Address, gõ 10.2.0.2 ở ô Host name or IP address.

7. Nhấn Next. Trên trang Protocols and Security, làm những việc sau: a. Chọn Route IP packets on this interface.

b. Chọn Add a user account so a remote router can dial in.

8. Nhấn Next. Trên trang Static Routes for Remote Networks, nhấn Add. 9. Trong hộp thoại Static Route, làm những công việc sau:

a. Gõ 172.16.56.0 ở ô Destination. b. Gõ 255.255.255.0 ở ô Network Mask. c. Chấp nhận giá trị 1 trong ô Metric.

10. Nhấn OK. Trên trang Address Range Assignment , nhấn Next. 11. Trên trang Dial In Credentials, gõ mật khẩu cho tài khoản saigon 12. Nhấn Next. Trên trang Dial Out Credentials, làm những việc sau: a. Gõ hanoi trong ô User name.

b. Gõ ROUTER2 trong ô Domain. c. Gõ mật khẩu hanoi trong ô Password.

d. Gõ lại mật khẩu này trong ô Confirm password.

14. Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent. Trường hợp này DHCP Relay Agent sẽ không được định cấu hình.

* Xây dựng VPN Server Sài Gòn :

Trên máy chủ này sử dụng 2 card mạng thuộc 2 lớp mạng là Vmnet4 và Vmnet5, có địa chỉ IP lần lượt như sau:

Và

Cấu hình trên router2

Tiến hành cài đặt thêm dịch vụ Routing and Remote

1. Trên ROUTER2, chọn Administrative Tools, nhấn vào Routing and Remote Access.

2. Nhấn chuột phải vào ROUTER2 (local) trong cây chương trình rồi nhấn vào Configure and Enable Routing and Remote Access.

3. Nhấn Next trên trang Remote Access Server Setup Wizard.

4. Trên trang Configuration, chọn Remote access (dial-up or VPN), nhấn Next. 5. Trên trang Remote Access, chọn VPN > Next.

6. Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable security on the selected interface by setting up static packet filters > nhấn Next.

7. Trên trang IP Address Assignment, chọn From a specified range of addresses, nhấn Next, trên trang Address Range Assignment, chọn New.

8. Trong hộp thoại New Address Range, làm những việc sau: a. Gõ 172.56.200.1 trong ô Start IP address.

b. Gõ 172.56.200.2 trong ô End IP address.

c. Chấp nhận giá trị 2 ở hộp Number of Addresses > nhấn OK. 9. Trên trang Address Range Assignment, nhấn Next.

10. Trên trang Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests > Next.

11. Trên trang Completing the Routing and Remote Access Server Setup, nhấn Finish. 12. Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent. Trường hợp này DHCP Relay Agent sẽ không được định cấu hình.

- Định cấu hình trên giao diện quay số yêu cầu trên router gọi

1. Trên trình Routing and Remote Access, chọn ROUTER2, nhấn chuột phải vào Network Interfaces.

2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard, nhấn Next.

3. Trên trang Interface Name, gõ saigon. Chú ý: tên trên giao diện phải đúng như tên tài khoản người sử dụng trên router gọi.

4. Nhấn Next. Trên trang Connection Type, chọn Connect using virtual private networking (VPN).

5. Nhấn Next. Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol (PPTP). 6. Nhấn Next. Trên trang Destination Address, gõ 10.1.0.2 ở ô Host name or IP address.

7. Nhấn Next. Trên trang Protocols and Security, làm những việc sau: a. Chọn Route IP packets on this interface.

b. Chọn Add a user account so a remote router can dial in.

8. Nhấn Next. Trên trang Static Routes for Remote Networks, nhấn Add. 9. Trong hộp thoại Static Route, làm những công việc sau:

a. Gõ 172.16.4.0 ở ô Destination.

b. Gõ 255.255.255.0 ở ô Network Mask. c. Chấp nhận giá trị 1 trong ô Metric.

10. Trên trang Static Routes for Remote Networks, nhấn Next.

11. Trên trang Dial In Credentials, gõ mật khẩu cho tài khoản VPN_Hanoi và gõ mật khẩu hanoi trong ô Password.

12. Trên trang Dial Out Credentials, làm những việc sau: a. Gõ saigon trong User name

b. Gõ ROUTER1 trong ô Domain.

c. Gõ mật khẩu tài khoản người dùng saigon đã tạo ra trên ROUTER1. d. Xác nhận lại mật khẩu trong Confirm password.

13. Trên trang cuối cùng của Demand-Dial Interface Wizard, nhấn Finish. - Xác nhận chính sách truy cập từ xa trên các router gọi và trả lời:

1. Trên ROUTER2, trong mục Routing and Remote Access, nhấn vào Remote Access Policies.

2. Trong bảng hiển thị chi tiết, nhấn chuột phải vào Connections to Microsoft Routing and Remote Access server, chọn Properties.

3. Trên thẻ Settings, chọn Grant remote access permission rồi nhấn OK để lưu các thay đổi.

4. Lặp lại 3 bước trên với ROUTER1. - Tạo kết nối VPN:

1. Trên ROUTER2, trong cây chương trình của Routing and Remote Access, chọn Network Interfaces.

2. Trong ô hiển thị chi tiết, nhấn chuột phải vào hanoi > Connect. 3. Kiểm tra tình trạng kết nối của hanoi.

- Kiểm tra kết nối:

1. Trên CLIENT2, tại dấu nhắc lệnh, gõ ping 172.16.4.3. Đây là địa chỉ IP của CLIENT1. Việc "ping" địa chỉ IP này sẽ kiểm tra được máy có truy cập được vào mạng con ở Hà Nội hay không.

2. Để kiểm tra các gói tin được truyền qua kết nối VPN, tại dấu nhắc lệnh, gõ tracert 172.16.4.3. Chú ý rằng cần phải dùng địa chỉ IP của CLIENT1 chứ không phải tên máy tính vì máy chủ DNS không được định cấu hình trong mô hình thực nghiệm này. Còn trên thực tế, khi có một máy chủ quản lý tên miền, người dùng có thể nhập tên của máy tính, ví dụ như xyzhanoi_quangminh, để truy cập.Kết quả tương tự như sau đây sẽ cho biết kết nối thành công:

Đánh giá kết quả thực hiện

Việc xây dựng một hệ thống mạng riêng ảo là một vấn đề cấp thiết và rất cần thiết trong công việc hiện nay của các công ty hay các tập đoàn lớn. Dựa vào nhu cầu công việc và khả năng tài chính của mỗi công ty, doanh nghiệp và tập đoàn khác nhau mà sẽ sử dụng các công nghệ kết nối khác nhau. Có thể là sử dụng phần cứng hoặc phần mềm, nhưng về cơ bản các hệ thống sử dụng mạng riêng ảo VPN là giống nhau bởi cách thức xây dựng và phương thức bảo mật.

Với việc xây dựng hệ thống mạng ảo trên VMWARE như trên, thì việc áp dụng vào thực tiễn công việc không còn là khó khăn nữa. Việc áp dụng các mô hình đã được xây dựng trong bài báo cáo này vào mô hình của các công ty, cơ quan thực. sự đã phát huy một cách triệt để vào công việc. Nhất là những công ty vừa và nhỏ, có kinh phí thấp.

Thông qua việc xây dựng hệ thống mạng ảo VPN này mà việc đưa công nghệ thông tin và những ứng dụng to lớn của nó vào cuộc sống, công việc của con người là hết sức dễ dàng, hiệu quả, an toàn bởi ý nghĩa mà nó mang lại.

Kết luận chương 5: Trong chương 5 này chúng ta đã xây dựng được 3 loại hình của Hệ thống mạng ảo VPN trên hệ thống lab ảo. Từ hệ thống lab ảo này có thể áp dụng trực tiếp triển khai vào hệ thống mạng nhỏ tại các doanh nghiệp, công ty với mức chi phí là thấp nhất nhưng lại mang lại hiệu quả cao. Đảm bảo yêu cầu công việc và đòi hỏi ngày một cao hơn của xã hội công nghệ thông tin.

KẾT LUẬN

Công nghệ mạng riêng ảo VPN cho phép tận dụng cơ sở hạ tầng mạng công cộng để xây dựng mạng WAN riêng, với những ưu điểm về mặt giá thành, phạm vi không hạn chế, linh hoạt trong triển khai và mở rộng mạng. Ngày nay, VPN đã rất hữu ích và sẽ càng hữu ích trong tương lai. Các chuẩn đã được thi hành, điều đó sẽ cải tiến khả năng liên vận hành và quản lý. Chất lượng mạng trên các VPN cũng sẽ được cải thiện, cho phép cung cấp các ứng dụng mới như hội nghị truyền hình, điện thoại IP, các dịch vụ đa phương tiện.

Trong quyển đồ án này em đã đã tìm hiểu một số vấn đề kỹ thuật liện quan đến việc thực hiện VPN, nội dung gồm những vấn đề chính:

- Các khái niệm cơ bản, đặc điểm của các giao thức đường hầm PPTP, L2TP. Nguyên tắc hoạt hoạt động của VPN dựa trên các giao thức đường hầm.

- Để tạo đường hầm cho IP nhiều hướng ta có thể sử dụng L2TP, với luồng lưu lượng mạng sử dụng mạng, thiết bị của Microsoft thì L2TP là sự lựa chọn tốt nhất. L2TP cũng phù hợp với các VPN truy cập từ xa hỗ trợ đa giao thức. Tuy nhiên, L2TP không hỗ trợ mã hoá dữ liệu và tính toàn vẹn dữ liệu.

- Các thành phần mạng cơ bản của VPN, các vấn đề cần chú ý và các yêu cầu đối với ISP cũng như với các thiết bị phần cứng, phần mềm để xây dựng mạng VPN. Một điều thuận lợi là hiện nay do sự phát triển của công nghệ nên các thiết bị phần cứng hay phần mềm được tích hợp nhiều chức năng, trở thành một thiết bị duy nhất rất dễ sử dụng, quản lý. Hơn nữa, cơ sở hạ tầng mạng công cộng ngày một hoàn thiện nên việc xây dựng mạng VPN dễ dàng hơn và chất lượng của VPN cũng tốt hơn, đáp ứng được các dịch vụ mới.

Trong báo cáo thực tập em cũng có xây dựng được một mô hình sử dụng VPN để áp dụng vào thực tế.

Một số vấn đề về bảo mật trong VPN, bảo mật dữ liệu chống lại các truy cập và thay đổi trái phép. Thông qua một số giao thức và xác thực trong hệ thống.

Các vấn đề về quản lý VPN, bao gồm: quản lý bảo mật, quản lý địa chỉ và quản lý chất lượng.

Trong xu thế toàn cầu hoá, thương mại hoá các mạng IP được thiết kế để truyền thông thống nhất xung quanh World Wide Web (WWW) và Extranet, để phù hợp với các ứng dụng trong giao dịch thương mại, kinh doanh. Extranet thường được thiết lập giữa các đối tác kinh doanh và được thúc đẩy bởi nhu cầu cho các ứng dụng kinh doanh chi tiết, xử lý nhanh hơn điều khiển bộ kiểm toán tốt hơn còn VPN được phát

triển với nhu cầu để cung cấp liên lạc bảo mật trên Internet chung, bất kể loại lưu lượng nào mà không cần quan tâm đến ứng dụng nên trong tương lai sẽ mở rộng các VPN đến Extranet. Ta có thể xây dựng Extranet trên cơ sở của một VPN, các bước chính trong việc mở rộng một VPN đến một Extranet là chuyển nhượng quyền truy cập các đối tác Extranet đến các tài nguyên đặc biệt bên trong và bổ sung cơ sở dữ liệu về đối tác đến các hệ thống xác thực.

Cuối cùng, do VPN liên quan đến nhiều giao thức và thuật toán phức tạp và thời gian và phạm vi tìm hiểu được không đầy đủ và hoàn thiện nên trong đồ án này của em vẫn còn nhiều thiếu sót. Kính mong thầy cô và các bạn bổ sung góp ý để đề tài của em được hoàn thiện hơn nữa.

TÀI LIỆU THAM KHẢO Tiếng Việt

[1]- Giáo trình giảng dạy chương trình MCITP của Học viện mạng công nghệ thông tin BKACAD

[2]- Tự học bảo mật và quản trị mạng, Nxb Văn hóa Thông tin, Trí Việt - Hà Thành

[3]- Xây dựng mạng VPN với giao thức PPTP, Nxb Giao thông vận tải, Vương Phúc.

[4]- Công nghệ bảo mật, Nxb Thống kê, Hồng Phúc, KS.Nguyễn Ngọc Tuấn

Tiếng Anh

[5]- Cisco Secure Virtual Private Networks (Volume 1,2), Copyright © 2001, Cisco System, Inc.

[6]- Security Protocols Overview, Copyright ©1999, RSA Data Security, Inc. [7]- VPN technologies: Definitions and Requirements, Copyright © 2002, VPN Consortium. Web [8] Trang http://quantrimang.com [9] Trang http://nhatnghe.com [10] Trang http://thuviendientu.org/ [11] Trang http://www.microsoft.com/ [12] Trang http://tailieudientu.net