Đang tải... (xem toàn văn)
ỨNG DỤNG OPENVPN TRONG bảo mật hệ THỐNG MẠNG CHO DOANH NGHIỆP
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT-HÀN KHOA KHOA HỌC MÁY TÍNH ĐỒ ÁN TỐT NGHIỆP NGÀNH MẠNG MÁY TÍNH ĐỀ TÀI ỨNG DỤNG OPENVPN TRONG BẢO MẬT HỆ THỐNG MẠNG CHO DOANH NGHIỆP Sinh viên thực hiện: Lê Long Bảo Lớp : CCMM03A Niên khóa : 2009 - 2012 Cán bộ hướng dẫn : Lê Kim Trọng Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Đà Nẵng, tháng 6 năm 2012 LỜI CẢM ƠN Để hoàn thành đồ án tốt nghiệp này, lời đầu tiên em xin chân thành cảm ơn các thầy giáo, cô giáo Khoa Khoa Học Máy Tính, những người đã dạy dỗ, trang bị cho em những kiến thức bổ ích trong năm học vừa qua. Em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy Lê Kim Trọng, người đã tận tình hướng dẫn em trong suốt quá trình làm đồ án. Một lần nữa em xin chân thành cảm ơn sự giúp đỡ của các thầy cô. Đà nẵng, ngày 2 tháng 6 năm 2012 Sinh viên: Lê Long Bảo – MM03A Trang 2 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT Từ viết tắt Ý nghĩa VPN Virtual Private Network GNU General Public License FSF Free Software Foundation GCC GNU C Compiler PMMNM Phần mềm mã nguồn mở GPL General Public License DLL Dynamic Link Library WAN Wire Area Network L2F Layer 2 Forwarding L2TP Layer 2 Tunneling Protocol PPTP Point-to-Point Tunneling Protocol GRE Generic Routing Encapsulation Sinh viên: Lê Long Bảo – MM03A Trang 3 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp DANH MỤC BẢNG BIỂU Sinh viên: Lê Long Bảo – MM03A Trang 4 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp DANH MỤC HÌNH VẼ, ĐỒ THỊ MỞ ĐẦU 1. Lý do chọn đề tài. Hiện nay, doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến. Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đến tận người dùng. Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa. Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn, bảo mật. Để giải quyết vấn đề này, nhiều doanh nghiệp đã chọn giải pháp mạng riêng ảo VPN (Virtual Private Network) với nhiều cấp độ bảo mật, trang thiết bị dễ tìm mua. 2. Mục tiêu và nhiệm vụ nghiên cứu. Mục tiêu sau khi nghiên cứu và thử nghiệm thành công OpenVPN trên ubuntu thì sẽ ứng dụng mô hình triển khai OpenVPN này cho các doanh nghiệp lớn, cũng như là doanh nghiệp vừa và nhỏ. Nhiệm vụ nghiên cứu là tìm hiểu để nắm rõ OpenVPN là gì, đưa ra các bảng so sánh, phân tích, đánh giá ưu và nhược điểm của OpenVPN, các giao thức được sử dụng và triển khai OpenVPN trên ubuntu 3. Đối tượng và phạm vi nghiên cứu. Đối tượng nghiên cứu: Sinh viên: Lê Long Bảo – MM03A Trang 5 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp - Hệ điều hành mã nguồn mở Ubuntu. - Mô hình VPN và các giao thức liên quan. Phạm vi nghiên cứu: Mô hình doanh nghiệp vừa và nhỏ. 4. Phương pháp nghiên cứu. Tổng hợp từ các tài liệu tiếng anh cũng như tiếng việt đã thu thập được để làm phần cơ sở lý thuyết, kết hợp với việc tìm hiểu các câu lệnh cài đặt, cấu hình liên quan đến mã nguồn mở và OpenVPN, ứng dụng phần mềm máy ảo vmware để làm phần demo thực nghiệm. 5. Ý nghĩa khoa học và thực tiễn. Ý nghĩa khoa học: + giúp sinh viên nắm được các kiến thức về mạng máy tính và phần mềm nguồn mở. + Hiểu được cơ chế và cách thức làm việc của các giao thức bảo mật VPN Ý nghĩa thực tiễn: + Giúp các nhân viên hoặc các doanh nghiệp có thể kết nối từ xa và an toàn hơn. + Có thể ứng dụng mô hình triển khai OpenVPN cho các doanh nghiệp vừa và nhỏ. 6. Nội dung đồ án. Nội dung đồ án được trình bày trong gồm 4 chương: - Chương 1: Tổng quan về mạng máy tính. - Chương 2: Tổng quan về phần mềm nguồn mở. - Chương 3: Công nghệ VPN và các giao thức hỗ trợ. - Chương 4: Mô hình hệ thống và triển khai OpenVPN trên Ubuntu Server - Cuối cùng là kết luận và tài liệu tham khảo. Sinh viên: Lê Long Bảo – MM03A Trang 6 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.1. TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.1.1. Lịch sử hình thành Máy tính của thập niên 1940 là các thiết bị cơ-điện-tử lớn và rất dễ hỏng. Sự phát minh ra transitor bán dẫn vào năm 1947 tạo ra cơ hội làm ra chiếc máy tính nhỏ và đáng tin cậy hơn. Năm 1950, các máy tính lớn chạy bởi các chương trình ghi trên thẻ đục lỗ bắt đầu được dùng trong các học viện lớn. Điều này tuy tạo ra nhiều thuận lợi với máy tính có khả năng được lập trình nhưng cũng có rất nhiều khó khăn trong việc tạo ra các chương trình dựa trên thẻ đục lỗ này. Vào cuối thập niên 1950, người ta phát minh ra mạch tích hợp IC chứa nhiều transitor trên một mẫu bán dẫn nhỏ, tạo ra một bước nhảy vọt trong việc chế tạo các máy tính mạnh hơn, nhanh hơn và nhỏ hơn. Đến nay, IC có thể chứa hàng triệu transitor trên một mạch. Vào cuối thập niên 1960, đầu thập niên 1970, các máy tính nhỏ được gọi là minicomputer bắt đầu xuất hiện. Năm 1997, công ty máy tính Apple Computer giới thiệu máy vi tính cũng được gọi là máy tính cá nhân (personal computer - PC). Năm1981, IBM đưa ra máy tính cá nhân đầu tiên. Sự thu nhỏ ngày càng tinh vi hơn của các IC đưa đến việc sử dụng rộng rãi máy tính cá nhân tại nhà và trong kinh doanh. Sinh viên: Lê Long Bảo – MM03A Trang 7 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Vào giữa thập niên 1980, người sử dụng dùng các máy tính độc lập bắt đầu chia sẻ các tập tin bằng cách dùng modem kết nối các máy tính khác. Cách thức này được gọi là điểm nối điểm, hay truyền theo kiểu quay số. Khái niệm này được mở rộng bằng cách dùng các máy tính là trung tâm truyền tin trong một kết nối quay số. Các máy tính này được gọi là sàn thông báo. Các người dùng kết nối đến sàn thông báo này, để lại đó hay lấy đi các thông điệp, cũng như gửi lên hay tải về các tập tin. Hạn chế của hệ thống là có rất ít hướng truyền tin, và chỉ với những ai biết về sàn thông báo đó. Ngoài ra, các máy tính tại sàn thông báo cần một modem cho mỗi kết nối, khi số lượng kết nối tăng lên, hệ thống không thể đáp ứng được nhu cầu. Qua các thập niên 1950, 1970, 1980, 1990, Bộ Quốc Phòng Hoa Kỳ đã phát triển các mạng diện rộng WAN có độ tin cậy cao, nhằm phục vụ các mục đích quân sự và khoa học. Công nghệ này khác truyền tin điểm nối điểm. Nó cho phép nhiều máy tính kết nối lại với nhau bằng các đường dẫn khác nhau. Bản thân mạng sẽ xác định dữ liệu di chuyển từ máy tính này đến máy tính khác như thế nào. Thay vì chỉ có thể thông tin với một máy tính tại một thời điểm, nó có thể thông tin với nhiều máy tính cùng lúc bằng cùng một kết nối. Sau này, WAN của Bộ Quốc Phòng Hoa Kỳ đã trờ thành Internet. 1.1.2. Khái niệm mạng máy tính Mạng máy tính là tập hợp các máy tính độc lập kết nối với nhau theo một chuẩn kỹ thuật nhất định. Hai máy tính gọi là nối mạng với nhau nếu chúng có khả năng trao đổi thông tin. Phương tiện kết nối có thể là cáp đồng, cáp quang, sóng viba, hồng ngoại hoặc vệ tinh. Mạng máy tính có nhiều kích cỡ, cấu trúc và hình thức tổ chức khác nhau tùy thuộc vào từng ứng dụng cụ thể của mạng máy tính. Tuy nhiên, chúng có thể phân thành hai loại chính là: mạng có cấu trúc ngang hàng và mạng có cấu trúc Client – Server (máy trạm – máy chủ) Sinh viên: Lê Long Bảo – MM03A Trang 8 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Hình 1.1. Mạng ngang hàng Hình 1.2. Mạng Client – Server Trên thực tế, không có một phương pháp phân loại thống nhất cho tất cả các loại mạng máy tính, tuy nhiên khi xét đến một mạng máy tính người ta quan tâm đến hai đặc điểm quan trọng: phương thức truyền dẫn và quy mô mạng. Có hai phương thức truyền dẫn được sử dụng phổ biến đó là: truyền quảng bá và truyền điểm-nối-điểm. Truyền quảng bá là phương thức sử dụng kênh thông tin đơn chung cho tất cả các máy trạm trên mạng. Gói dữ liệu được gửi từ một máy trạm mong muốn thì gói dữ liệu đó sẽ được xử lý, nếu không sẽ được bỏ qua. Một hệ thống mạng truyền quảng bá hỗ trợ việc truyền dữ liệu đến một tập hợp các máy trạm, thì được gọi là truyền đa điểm Sinh viên: Lê Long Bảo – MM03A Trang 9 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Đối với phương thức truyền điểm-nối-điểm, mạng máy tính sử dụng phương thức này bao gồm tập hợp nhiều kết nối giữa các máy trạm. Gói dữ liệu từ đầu phát dữ liệu đến đầu thu dữ liệu có thể sẽ đi qua một hoặc nhiều máy trạm trung gian theo nhiều tuyến truyền dẫn khác nhau với độ dài khác nhau. Trường hợp mạng máy tính sử dụng phương thức truyền điểm-nối-điểm với một đầu phát và một đầu thu được gọi là phương thức truyền unicasting Phương thức phân loại thứ hai dựa vào quy mô mạng hay kích thước vật lý của mạng. Theo quy mô từ nhỏ đến lớn ta có các loại mạng sau: - Mạng cá nhân (Personal Are Network-PAN) - Mạng LAN (Local Area Network)-mạng cục bộ: kết nối các nút trên một phạm vi giới hạn. Phạm vi này có thể là một công ty, hay một tòa nhà. - Mạng WAN (Wide Area Network): nhiều mạng LAN kết nối với nhau tạo thành mạng WAN. - MAN (Metropolitan Area Network), tương tự như WAN, nó cũng kết nối nhiều mạng LAN. Tuy nhiên, một mạng MAN có phạm vi là một thành phố hay một đô thị nhỏ. MAN sử dụng các mạng tốc độ cao để kết nối các mạng LAN của trường học, chính phủ, công ty, , bằng cách sử dụng các liên kết nhanh tới từng điểm như cáp quang. 1.2. MÔ HÌNH PHÂN TẦNG 1.2.1. OSI Sinh viên: Lê Long Bảo – MM03A Trang 10 [...]... liệu đảm bảo các dữ liệu đến được đích và đến theo đúng thứ tự mà chúng được xử lý Trong tầng truyền dữ liệu người ta phải có những cơ chế nhằm đảm bảo sự chính xác đó và rõ ràng các cơ chế này không phụ thuộc vào bản chất của từng ứng dụng và chúng sẽ phục vụ cho tất cả các ứng dụng Sinh viên: Lê Long Bảo – MM03A Trang 17 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Tầng ứng dụng: sẽ... liệu người sử dụng - /lib: thư viện hệ thống - /usr: thư muc ứng dụng - /var: thư mục dữ liệu cập nhật - /proc: thư mục chứa các dữ liệu của nhân hệ điều hành và BIOS Sinh viên: Lê Long Bảo – MM03A Trang 24 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Các tệp thư mục lưu trữ các thư mục con và tệp Các thư mục con và tệp đều được đặt tên Giống như trong HĐH Windows, Linux cho phép tên... cầu của người sử dụng, thiết kế, coding, compiling và releasing Cài đặt phần mềm: Để có thể sử dụng, phần mềm cần được cài đặt Cài đặt là thao tác ghi các mã cần thiết cho việc thực hiện môi trường vào bộ nhớ thích hợp để người sử dụng có thể sử dụng Sinh viên: Lê Long Bảo – MM03A Trang 20 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Sử dụng phần mềm: Cài đặt và sử dụng phần mềm trên... những yếu tố sau: - Các hệ thống được liên kết với nhau theo một cấu trúc kết nối (topology) nào đó - Việc chuyển dữ liệu từ máy tính này đến máy tính khác do mạng thực hiện thông qua những quy định thống nhất gọi là giao thức của mạng Sinh viên: Lê Long Bảo – MM03A Trang 15 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp - Phân chia hoạt động truyền thông của hệ thống thành nhiều lớp theo... dụng bởi một kết nối thực, chuyên dụng như đường lease line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng Sinh viên: Lê Long Bảo – MM03A Trang 27 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp của công ty tới các site hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa... địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên mạng nội bộ Data Encryption: cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu Sinh viên: Lê Long Bảo – MM03A Trang 31 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình mã... datagrams để truyền trên hệ thống mạng IP, chẳng hạn như mạng Internet/ Intranet PPTP sẽ kế thừa các đặc tính của PPP như mã hóa, nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một PPTP server PPTP client có thể được kết nối vào một mạng IP mà PPTP Server cũng kết Sinh viên: Lê Long Bảo – MM03A Trang 33 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp nối vào mạng IP này Hoặc PPTP... tính nối mạng là vài chục km - Mạng đô thị (Metropolitan Area Networks - MAN): cài đặt trong phạm vi một đô thị, một trung tâm kinh tế xã hội, có bán kính nhỏ hơn 100 km Sinh viên: Lê Long Bảo – MM03A Trang 18 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp - Mạng diện rộng (Wide Area Networks - WAN): phạm vi của mạng có thể vượt qua biên giới quốc gia và thậm chí cả lục địa - Mạng toàn... trao đổi Nó đảm bảo thông tin mà lớp ứng dụng của một hệ thống đầu cuối gởi đi, lớp ứng dụng của hệ thống khác có thể đọc được Lớp trình bày thông dịch giữa nhiều dạng dữ liệu khác nhau thông qua một dạng chung, đồng thời nó cũng nén và giải nén dữ liệu 1.2.1.7 Lớp ứng dụng Lớp ứng dụng tương tác trực tiếp với người sử dụng và nó cung cấp các dịch vụ mạng cho các ứng dụng của ngời sử dụng nhưng không... quản trị tạo ra các khoá ứng dụng làm việc mà không đòi hỏi VPN Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy cập e-mail từ nhà hay trên đường Sinh viên: Lê Long Bảo – MM03A Trang 30 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng lease-line Những lợi . Long Bảo – MM03A Trang 3 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp DANH MỤC BẢNG BIỂU Sinh viên: Lê Long Bảo – MM03A Trang 4 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho. chất của từng ứng dụng và chúng sẽ phục vụ cho tất cả các ứng dụng. Sinh viên: Lê Long Bảo – MM03A Trang 17 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp Tầng ứng dụng: sẽ chứa. khác do mạng thực hiện thông qua những quy định thống nhất gọi là giao thức của mạng. Sinh viên: Lê Long Bảo – MM03A Trang 15 Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp -