OpenVPN Access Server có thể quản lý cơ sở dữ liệu nội bộ của riêng nó và cũng có thể làm việc với một loạt các phương pháp xác thực phổ biến . Các hệ thống hiện đang được hỗ trợ là:
- Local: Xác thực cơ sở dữ liệu nội bộ
- PAM: hệ thống để xác thực người dù ng với các tài khoản trên host
Access Server Linux
- Active Directory/Máy chủ LDAP
- RADIUS Server
Hình 3.4: Mơ hình xác thực và quản lý ngƣời dùng
3.2.4. Vùng mạng VPN
OpenVPN Server sẽ tạo ra một vùng mạng ảo độc lập mà trên đó các máy khách VPN được kết nối sẽ được gán một địa chỉ IP.
OpenVPN Server cũng sẽ thiết lập router hoặc NAT để cho phép máy từ vùng mạng VPN truy cập vào các vùng mạng nội bộ.
Hình 3.5: Mơ hình q trình hoạt động của OpenVPN
Người dùng từ internet dùng web browser truy cập vào đường dẫn https://ipopenvpn để kết nối tới OpenVPN server. Người dùng được yêu cầu cung cấp tên và mật khẩu để xác thực.
Sau khi xác thực thành công, người dùng được yêu cầu cài đặt một phần mềm trên máy (Connect Client). Phần mềm này tạo một card mạng ảo trên máy người dùng. Sau đó cấp 1 địa chỉ IP nội bộ và dùng SSL tunnel để tạo kết nối giữa mạng nội bộ của doanh nghiệp và máy tính người dùng.
Các gói tin tạo ra được mã hóa bằng SSL và đóng gói với 1 header mới và được gửi qua mạng.
Qua SSL tunnel đã được tạo, người dùng có thể dùng các dịch vụ như chia sẻ file, remote desktop, SSH, telnet để điều khiển hệ thống từ xa tùy theo chính sách của doanh nghiệp. [10]
Hình 3.7: Mơ hình truy cập các dịch vụ qua OpenVPN
3.4. Mơ hình triển khai hệ thống
Hình 3.8: Mơ hình hệ thống bảo mật truy cập nôi bộ qua OpenVPN
OpenVPN Server được đặt trong vùng public DMZ (DMZ – Demilitazized Zone) cho phép người dùng từ ngoài truy cập. Người dùng truy
cập tới OpenVPN, kênh SSL VPN được thiết lập. Tùy theo tài khoản mà người dùng được truy cập tiếp các dịch vụ bên trong
Thiết bị:
Tên Chức năng Thông số chi tiết
Máy chủ AD, DNS
Xác thực tập trung người dùng, phân giải DNS
IP=172.16.0.8/24
Máy chủ web Cung cấp dịch vụ web IP=172.16.0.5/24 Máy chủ mail Cung cấp dịch vụ mail IP=172.16.0.6/24 OpenVPN Server Cung cấp SSL VPN cho
người dùng từ xa
IP(public)
=113.160.48.153
IP(LAN)=172.16.1.4/24 Laptop Dùng để thử kết nối với
vai trò chuyenvien, lanhdao
Người dùng từ xa:
Nhóm Tài khoản Quyền
Người dùng thường chuyenvien Chỉ được vào web
Người dùng đặc biệt lanhdao Được dùng toàn bộ dịch vụ nội bộ
Nội dung triển khai:
Cài đặt hệ thống
Cài đặt OpenVPN Server Cài đặt AD Server
Cài đặt máy chủ dịch vụ web Cài đặt máy chủ dịch vụ mail Tạo và phân quyền người dùng Cài đặt router kết nối internet
Kiểm tra kết quả
Kiểm tra kết nối VPN thành công Kiểm tra phân quyền
Kiểm tra thông tin nhật ký
Kiểm tra quá trình truyền dữ liệu qua SSL VPN
3.5. Triển khai hệ thống
3.5.1. Cài đặt Ubuntu
Thực hiện cài đặt, cấu hình mạng cho máy chủ Ubuntu
sudo vi /etc/network/interfaces auto eth0
iface eth0 net static address 172.16.1.4 netmask 255.255.255.0 broadcast 172.16.1.255 gateway 172.16.1.1 sudo vi /etc/resolv.conf name server 8.8.8.8
sudo /etc/init.d/networking restart
Sau quá trình cài đặt mạng, kiểm tra kết nối từ máy chủ Ubuntu ra mạng ngoài bằng lệnh ping.
Từ đây có thể tiếp tục cài đặt qua SSH bằng các công cụ như Putty, Secure CRT,…
3.5.2. Cài đặt OpenVPN
dpkg -i openvpn-as-1.6.0-Ubuntu8.amd_64.deb
Chạy init script để đặt các tham số cơ bản
/usr/local/openvpn_as/bin/ovpn-init –force
Sau khi đặt các thơng số cơ bản, ta cấu hình (thơng qua giao diện web)
Hình 3.9: Giao diện đăng nhập OpenVPN
3.5.3. Cài đặt AD Server và kết nối với OpenVPN Cài đặt windows server 2003 Cài đặt windows server 2003
Cài đặt AD: Từ dòng lệnh gõ dcpromo và điền thông tin cần thiết để cài đặt, sau q trình này cần khởi động lại server để hồn tất việc cài đặt AD
Kết nối AD và OpenVPN 3.5.4. Cài đặt máy chủ dịch vụ mail
Sử dụng mail server Mdaemon 3.5.5. Cài đặt máy chủ dịch vụ web
Sử dụng web Apache cho windows 3.5.6. Tạo và phân quyền người sử dụng
Tạo tài khoản chuyenvien và lanhdao trên AD: Active Directory User and Computer/User/Create new user
Hình 3.10: Phân quyền chuyenvien chỉ đƣợc kết nối tới máy chủ web
Phân quyền cho lanhdao được kết nối tới toàn bộ máy chủ dịch vụ (web nội bộ, mail, cơng văn, ..)
Hình 3.11: Phân quyền lanhdao đƣợc kết nối tới toàn bộ máy chủ dịch vụ
3.5.7. Cài đặt Router kết nối Internet để cho phép người dùng từ ngoài truy cập OpenVPN cập OpenVPN
- Các cổng dịch vụ cần khai báo và cấu hình trên router: VPN: TCP
443, UDP 1194
3.5.8. Kiểm tra kết nối VPN thành công
Kiểm tra kết nối tới địa chỉ public của OpenVPN Server
Chuyenvien đăng nhập thành công, chỉ được quyền kết nối tới máy chủ web
Chuyên viên kết nối được tới web nội bộ và truy cập web bình thường.
Lanhdao đăng nhập thành công, được kết nối tới tất cả các dịch vụ nội bộ
Kết nối tới Web nội bộ (doc.moha.gov.vn)
3.5.8. Kiểm tra thông tin nhật ký
Kiểm tra nhật ký hệ thống, có lưu đầy đủ thơng tin các phiên đăng nhập bị lỗi.
3.5.9. Kiểm tra quá trình truyền dữ liệu qua SSL VPN
Sử dụng wireshark để bắt gói tin, kiểm tra q trình thiết lập và truyền dữ liệu qua kênh SSL VPN
KẾT LUẬN
Mạng VPN trên nền giao thức SSL đảm bảo được yếu tố an tồn, và chi phí rẻ, phù hợp với nhiều doanh nghiệp, tổ chức. Đặc biệt là các doanh nghiệp triển khai bán hàng qua mạng, thanh toán tiền qua mạng hay các tổ chức cần chuyển tải các thơng tin bảo mật cao,…Từ những yếu tố đó việc nghiên cứu và ứng dụng mạng VPN trên nền SSL ứng dụng cho các doanh nghiệp hay tổ chức là một hướng phù hợp với sự phát triển chung của xã hội. Điều này sẽ góp phần chung vào việc thúc đẩy sự phát triển của việc ứng dụng công nghệ thông tin vào quản lý, thương mại điện tử an toàn trong giai đoạn mới.
Kết quả đạt đƣợc:
Luận văn này đã có những tìm hiểu về khái niệm, các mơ hình cơng nghệ mạng riêng ảo VPN. Nghiên cứu về công nghệ VPN trên nền SSL, cùng với việc xây dựng thành công hệ thống bảo mật truy cập từ xa thông qua OpenVPN.
Hƣớng phát triển:
Hệ thống có thể cài đặt tính năng One Time Password (OTP) để tăng độ an tồn.
Hệ thống có thể sử dụng RADIUS hỗ trợ mạnh hơn cho xác thực và thống kê (authentication & accounting), giúp ích cho việc vận hành và giám sát hệ thống.
Với doanh nghiệp hay tổ chức có số lượng người dùng lớn và cần độ ổn định, có thể triển khai mơ hình cluster để tăng tải và độ ổn định.
TÀI LIỆU THAM KHẢO Tiếng Việt
1. Phạm Huy Điển, Hà Huy Khối (2003), Mã hóa thơng tin cơ sở tốn học và
ứng dụng, Nhà xuất bản Đại học Quốc gia Hà Nội.
2. Phan Đình Diệu (1999), Lý thuyết mật mã và an tồn thơng tin, Đại học Quốc gia Hà Nội.
3. Học viện Kỹ thuật mật mã (2006), An toàn mạng riêng ảo, Hà Nội. 4. Lê Đức Nhiệm (2000), Mạng riêng ảo, NXB Bưu điện.
5. Trịnh Nhật Tiến (2004), Một số vấn đề về an toàn dữ liệu, Hà Nội.
Tiếng Anh
6. Alfred Menezes (1996), Handbook of Applied Cryptography, CRC Press,
LLC.
7. Charlie Scott, Paul Wolfe and Mike Erwin (1999), Virtual Private Networks
2nd Editon, O‟reilly Media.
8. Eric Rescorla (2000), SSL and TLS: Designing and Building Secure Systems, O‟reilly Media.
9. Freier, Karlton, Kocher (1996), The SSL Protocol Version 3.0
10. John Viega (2002), Network security with OpenSSL, O‟reilly Media. 11. Nam-Kee (2003), Building VPNs with IPSec and MPLS, McGraw-Hill.