Đồ án chuyên ngành MỤC LỤC LỜI MỞ ĐẦU .3 DANH MỤC CÁC THUẬT NGỬ VIẾT TĂT .5 DANH MỤC CÁC HÌNH ẢNH INTERNET VÀ AN TOÀN THÔNG TIN TRÊN INTERNET 1.1.SỰ PHÁT TRIỂN CỦA MẠNG INTERNET 1.2.AN TÒAN THÔNG TIN TRÊN INTERNET .9 1.2.1.Spoofing 10 1.2.2.Kỹ thuật Session hijacking : 11 1.2.3 Kỹ thuật Sniffing : 12 1.2.3.Kỹ thuật Man-in-the-midle : 12 1.3.CÁC GIẢI PHÁP .13 1.3.1 Kênh thuê riêng (Leased Line) 13 1.3.2.Mạng riêng ảo ( VPN) 15 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 18 2.1.ĐỊNH NGHĨA VPN 18 2.2.LỊCH SỬ PHÁT TRIỂN CỦA VPN 20 2.3.CHỨC NĂNG VÀ ƯU ĐIỂM VPN 21 2.3.1Chức 21 2.3.2Ưu điểm 21 a)Tiết kiệm chi phí 22 b)Tính linh hoạt 22 c)Khả mở rộng 23 d)Giảm thiểu hỗ trợ kỹ thuật 23 e)Giảm thiểu yêu cầu thiết bị 23 Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành f)Đáp ứng nhu cầu thương mại 23 2.4PHÂN LOẠI MẠNG VPN 24 2.4.1Mạng VPN truy nhập từ xa 24 2.4.2Mạng VPN cục 25 2.4.3Mạng VPN mở rộng 27 GIẢI PHÁP SSL CHO MẠNG RIÊNG ẢO 29 3.1GIAO THỨC SSL .29 3.2GIỚI THIỆU SSL VPN 42 3.3ƯU ĐIỂM CỦA DỊCH VỤ SSL VPN .42 3.4ĐƯỜNG HẦM TRONG SSL VPN 43 3.6.1Đuờng hầm an toàn 43 3.6.2SSL VPN Tunnel Client 45 3.6.3Thiết lập kết nối mạng qua SSL .46 3.6CÁCH LÀM VIỆC CỦA SSL VPN 48 3.6.1Với lưu lượng Non-Web qua SSL 48 KẾT LUẬN .55 TÀI LIỆU THAM KHẢO .57 Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành LỜI MỞ ĐẦU Với phát triển nhanh chóng công nghệ tin học viễn thông, giới ngày thu nhỏ trở nên gần gũi Nhiều công ty vượt qua ranh giới cục khu vực, vươn thị trường giới Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc chí vòng quanh giới, tất họ đối mặt với nhu cầu thiết thực: cách thức nhằm trì kết nối thông tin kịp thời, an toàn hiệu cho dù văn phòng đặt nơi đâu Cho đến gần đây, ứng dụng kênh truyền dẫn thông tin thuê riêng giải pháp cho kết nối mạng diện rộng phạm vi khu vực giới Đã giúp công ty mở rộng mạng cục nhiều khu vực địa lý khác Những dịch vụ kết nối mạng diện rộng đem đến lợi ích rõ ràng tốc độ, an toàn thông tin hiệu thực thi công việc, nhiên việc trì mạng diện rộng thế, ứng dụng leased lines, có chi phí đắt đỏ chi phí thường tăng lên với gia tăng khoảng cách địa lý văn phòng công ty Cùng với phổ cập ngày cao Internet, doanh nghiệp dần chuyển sang sử dụng Internet phương tiện giúp họ mở rộng mạng cục sẵn có Đầu tiên intranets, sites bảo vệ password sử dụng phạm vi công ty Còn nhiều doanh nghiệp thiết lập dịch vụ VPN nhằm thoả mãn nhu cầu kết nối từ xa nhân viên với văn phòng văn phòng cách xa địa lý Bên cạnh đó, nhu cầu ngày tăng việc truyền tải liệu an toàn tổ chức, công ty dẫn đến nhu cầu giải pháp cho mạng riêng ảo Thêm vào đó, khuynh hướng làm việc qua mạng từ xa, phân tán doanh nghiệp công ty có nhiều chi nhánh phát triển lượng nhân viên di động làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin công ty Secure Sockets Layer (SSL) VPN công nghệ trội, cung cấp khả truy cập từ xa, chức SSL sử dụng trình duyệt web đại ngày SSL VPN cho phép người dùng dụng điểm kết nối Internet, trình duyệt web để thiết lập kết nối truy cập từ xa VPN Do Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành đó, công nghệ SSL VPN hứa hẹn cải tiến suất cải thiện tính sẵn sàng, giảm chi phí đầu tư cho IT , phần mền VPN client chi phí hổ trợ Ở Việt Nam, kinh tế thời kỳ phát triển hội nhập quốc tế nhu cầu sử dụng VPN vừa đáp ứng yêu cầu thông tin, vừa giải khó khăn kinh tế Với đề tài: “Tìm hiểu giải pháp SSL cho mạng riêng ảo” Đồ án chuyên ngành, em hy vọng góp phần tìm hiểu Giao thức SSL ứng dụng công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN Nội dung tìm hiểu gồm có chương trình bày vấn đề giải pháp VPN nói chung SSL VPN nói riêng Chương I : Trình bày tổng quan trình phát triển nguy an tòan thông tin Internet qua đưa giải pháp nhằm khắc phục Chương II : Nêu số khái niệm tổng quan, đặc điểm VPN, từ làm sở để phân loại mạng VPN, đưa thuận lợi khó khăn sử dụng loại hình VPN Chương III: Đây chương trọng tâm giới thiệu giao thức SSL giải pháp SSL VPN Các vấn đề lịch sử hình thành phát triển, đặc điểm cấu trúc giao thức SSL Từ tìm hiểu nguyên tắc hoạt động giải pháp SSL VPN bao gồm : chế làm việc chức giải pháp Do hạn chế kiến thức thời gian nội dung đề tài tránh khỏi nhiều thiếu sót Mong nhận đóng góp ý kiến thầy cô bạn Em xin chân thành cám ơn Th.s Nguyễn Thanh Trung tận tình hướng dẫn em hòan thành cách tốt đề tài Đà Nẵng, Ngày 19 tháng 11 năm 2010 Sinh viên : Lê Nguyễn Quang Minh Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành DANH MỤC CÁC THUẬT NGỬ VIẾT TĂT [Chương I] SIOC : Internet Society IETF : Internet Engineering Task Force W3C : World Wide Web Consorrium IANA : Internet Assigned Number Authority TCP/IP : Transfer Control Protocol/Internet Protocol IAB : Internet Architecture Board IRTF : Internet Research Task Force VPN : Virtual Private Networks ISP : Internet Service Provider WAN : Wide Area Network HDLC : High-Level Data Link Contro PPP : Point-to-Point Protocol LAPB : Link Access Procedure, Balanced [Chương II] POP : Post Office Protocol QoS : Quality of Service [Chương III] HTTP : Hypertext Transfer Protocol PCT: : Private Communication Technology TLS: : Transport Layer Security MAC : Message Authentication Code HMAC : Hash-based Message Authentication Code DES : Data Encrytion Standard 3-DES :Triple- Data Encrytion Standard DSA : Digital Signatủe Algỏithm KEA :Key Exchange Algorim MD5 : Message Digest Algorithm SHA-1 :Secure Hash Algorithm CA : Certificate Authentication DTLS : Datagram Transport Layer Security Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành DANH MỤC CÁC HÌNH ẢNH Hình 1.1 : Hệ thống kết nối Internet từ 1969 đến 2006 Hình 1.2 : Hình thức công Spoofing Hình 1.3 : Tấn công Session Hijacking Hình 1.4 : Tấn công Sniffing Hình 1.5 : Kết nối kênh thuê riêng đến nhà cung cầp dịch vụ Hình 1.6 : Mô hình mạng riêng ảo VPN Hình 2.1 : Mô hình VPN Hình 2.2 : Mô hình mạng VPN truy nhập từ xa Hình 2.3 : Mô hình mạng VPN cục Hình 2.4 : Mô hình mạng VPN mở rộng Hình 3.1 : Cấu trúc SSL giao thức SSL Bảng 3.2 : Các cổng gán cho giao thức ứng dụng chạy SSL Hình 3.3 : Các bước SSL Record Protocol Hình 3.4: Quá trình tạo liên kết SSL Hình 3.5 : Mô hình hệ thống SSL VPN Hình 3.6 : Đường hầm Internet Hình 3.7 : Full Tunneling Hình 3.8 : Slipt Tunneling Hình 3.9 : Công nghệ Revese Proxy Hình 3.10 : Giao diện truy cập SSL VPN web Hình 3.11 : Giao diện truy cập tập tin Hình 3.11 : Truy cập từ xa đến ổ cứng mạng có giao diện giông với FTP Hình 3.12 : SSH đến hệ thống máy chủ Java Applet Hình 3.13 : Telnet đến hệ thống máy chủ Java Applet Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành Hình 3.14 : Sử dụng máy in mạng nội Hình 3.15 : Dịch vụ Mail Outlook Hình 3.16 : Terminal Server Client với ActiveX Hình 3.17 : Kết nối đến Server Unix với Java Applet Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành CHƯƠNG I INTERNET VÀ AN TOÀN THÔNG TIN TRÊN INTERNET 1.1 SỰ PHÁT TRIỂN CỦA MẠNG INTERNET Internet thành tựu công nghệ lớn kỷ XX Bắt đầu mạng đơn giản kết nối bốn máy tính nằm rải rác khắp Hoa Kỳ, Internet trở thành mạng liệu công cộng lớn giới, kết nối vùng địa lý, dân tộc lứa tuổi, quốc tịch lối sống Đến nay, trở thành phần quan trọng thiếu cho cá nhân sử dụng máy tính gia đình kết nối làm việc để trao đổi thông tin Ngày người sử dụng Internet để liên lạc, hội thảo, mua bán ký kết hợp đồng… Internet trở thành mạng lưới thương mại, cung cấp hình thức cho việc liên lạc doanh nghiệp, với đối tác kinh doanh, chi nhánh khách hàng Ngoài thành tựu mà Internet đạt được, khó khăn cho người dùng Internet quan điều hành trung tâm, để đảm bảo người dùng thực theo quy trình cụ thể Ví dụ: Một số tổ chức quản lý khía cạnh khác Internet Internet Society (ISOC) giúp thúc đẩy sách kết nối toàn cầu Internet, nhiệm vụ Internet Engineering Task Force (IETF) đưa tiêu chuẩn, tài liệu có ảnh hưởng đến việc thiết kế, sử dụng quản lý Internet World Wide Web Consortium (W3C) tập trung vào thiết lập tiêu chuẩn cho trang web tương tác với IETF việc thực Phụ trách việc quản lý “địa chỉ” “ cách đặt tên “ cho thành phần thực thể Internet quan trọng việc quản lý, nhiệm vụ chia sẻ Network Solutions Internet Assigned Number Authority (IANA) Internet tập hợp lỏng lẻo mạng lưới làm việc một nguyên tắc chung quán theo quy tắc giao thức, Transfer Control Protocol/Internet Protocal (TCP/IP) Các giao thức tảng quan trọng Internet, phát triển môi trường mở chuyên gia dẫn Internet Architecture Board (IAB), quản lý IETF, nhóm Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành đặc biệt Internet Research Task Force(IRTF) Mặc dù có xuất số giao thức khác TCP/IP chọn để mở rộng phát triển, doanh nghiệp cho mạng công cộng Sự phát triển theo cấp số nhân dường không kết thúc Internet chứng chứng minh cho phát triển phổ biến linh hoạt Internet Hình 1.1 : Hệ thống kết nối Internet từ 1969 đến 2006 Từ số máy tính phòng thí nghiệm kết nối mạng với năm 1969 lên 440 triệu máy tính năm 2006 Tại thời điểm nay, mà công nghệ Internet ngày nâng cao, doanh nghiệp bỏ qua bên chi phí cho kết nối riêng lẻ cách tập trung vào đầu tư cho mạng Internet Internet cung cấp kết nối phạm vi rộng với chi phí thấp Các kết nối có nhiểu lựa chọn, từ kết nối tốc độ cao đến vài Mb/s để kết nối hay nhiều điểm, kết nối qua đường dây điện thoại bình thường với tốc độ 9600 đến 28800(b/s) 1.2 AN TÒAN THÔNG TIN TRÊN INTERNET Ngoài thành công nó, Internet khuyết điểm Theo nhiều cách , Internet trở thành nạn nhân Ví dụ: băng thông đường truyền tải Internet nhà cung cấp dịch vụ đảm bảo theo kịp với phát triển bùng nổ thuê bao dịch vụ Lê Nguyễn Quang Minh, MSSV: 132114027 Đồ án chuyên ngành ứng dụng vài năm qua Điều đó, đả làm xuất lo ngại tính tin cậy Internet Mất kết nối mát thông tin xảy ra, cải tiến thiết bị kết nối dần khắc phục cố Một mối quan tâm liên quan khả xử lý truyền thông đa phương tiện, đặc biệt thời gian thực Nói chung, việc chậm trể truyền thông đa phương tiện Internet làm cho việc truyền thông với thời gian thực trở nên khó khăn , nhà cung cấp dịch vụ mạng nổ lực cải thiện đáng kể chất lượng dịch vụ Cuối vấn đề đặt truyển tải thông tin Internet an ninh bảo mật Phần lớn liệu truyền Internet dạng mã hóa bị công khai thác liệu người dùng khác Đây vấn đề nhức nhối an ninh Internet nói chung truyền tải liệu nói riêng môi trường Internet Trong môi trường mạng, an toàn liệu thông tin liên lạc phụ thuộc vào đặc tính sau: chứng thực, bảo mật, toàn vẹn liệu Tuy nhiên, không thiết kế dự tính ban đầu,giao thức TCP/IP mạng sử dụng giao thức Internet, ngày gặp nhiều khó khăn việc đảm bảo an toàn liệu Trong trường hợp thiếu giải pháp an ninh thích hợp, việc truyền tải liệu mạng gặp phải mối đe dọa Các phương pháp công mạng phổ biến spoofing, sesion hijacking, sniffing, man-in-the-middle 1.2.1 Spoofing Giao thức cho việc gửi liệu qua mạng Internet mạng khác IP Các header gói tin IP thứ khác có địa nguồn địa đích Địa nguồn nơi mà gói tin gửi Bằng cách giả mạo header với địa nạn nhân khác nhau, kẻ công Cũng giống mạng khác, mạng IP sử dụng địa số cho thiết bị Địa nguồn người nhận chứa gói liệu truyền mạng Spoofing cách kẻ công sử dụng địa số nạn nhân giả mạo nhằm mục đích xâm nhập vào mạng thu thập thông tin … Lê Nguyễn Quang Minh, MSSV: 132114027 10 Đồ án chuyên ngành 3.6.2 SSL VPN Tunnel Client Không giống IPSec VPN, đường hầm SSL VPN tiêu chuẩn chung, nhà cung cấp dịch vụ khác sử dụng công nghẹ đường hầm khác nhau.Tuy nhiên, chúng có đặc điểm chung : • SSL VPN Tunnel Client tải từ SSL VPN Gateway cài đặt máy cách chủ động Thông thường, việc phân phối client sử dụng Java ActiveX thông qua kết nối SSL Bằng cách này, không cần phải cài đặt sãn VPN Client, yêu cầu giải pháp IPSec VPN • Để cài đặt, nhiều trường hợp, yêu cầu người sử dụng tunnel phải có đặc quyền riêng • Các tunnel client thường cài đặt điều hợp logic, ví dụ điều hợp PPP điều hợp ảo, máy người dùng gán địa IP lớp với IP nội Sau client thiết lập đường hầm đóng gói liệu client sử dụng điều hợp ảo để vận chuyển gói tin đến Gateway SSL VPN kết nối SSL SSL VPN tunnel client có thể phân phối cài đặt phiên SSL, tiết kiệm chi phí quản lý IT mà đạt yêu cầu so với giải pháp IPSec Hầu hết nay, gói tin truyền tải giải pháp SSL VPN sử dụng SSL Vấn đề đặt hiệu suất ứng dụng thời gian thực Voice IP, Video IP… Các nhà cung cấp dịch vụ SSL VPN tìm kiếm giải pháp để giải vấn đề Có vài phương pháp được áp dụng: • • Nâng cao kỹ thuật nén để cải thiện hiệu suất Các SSL VPN tunnel client thiết lập cách sử dụng SSL, việc vận chuyển liệu sử dụng công nghệ IPSec • DTLS UDP chế đề cập để thay cho chế truyền tải liệu Lê Nguyễn Quang Minh, MSSV: 132114027 45 Đồ án chuyên ngành 3.6.3 Thiết lập kết nối mạng qua SSL Một chế cung cấp khả truy cập từ xa vào ứng dụng non-web thông qua SSL gọi thiết lập kết nối mạng SSL Máy client cấp địa IP mạng nội coi node mạng nội giống mô hình IPSec Để thiết lập kết nối, SSL VPN gửi số đoạn mã( thường đoạn mã điều khiển ActiveX Java Applet) cho máy client tạo card mạng ảo máy người dùng Sau đó, máy chủ SSL VPN cấp cho card mạng ảo địa IP mạng nội sử dụng đường hầm SSL để thiết lập kết nối mạng nội client xa Card mạng ảo giao tiếp với tất giao thức TCP,UDP, IP, ICMP, v.v… Có hai hướng cho thiết lập kết nối qua SSL : • Full Tunneling : Tất lưu lượng tạo máy người dùng (TCP/IP, UDP/IP,ICMP…) gửi đến máy chủ SSL VPN qua đường hầm Các máy chủ định tuyến cho lưu lượng đến đích mạng nội bộ, hay Internet Hình 3.7 : Full Tunneling • Slipt Tunneling : Các lưu lượng người dùng liên quan đến SSL (hay tài nguyên mạng nội bộ) gửi qua đường hầm, Lê Nguyễn Quang Minh, MSSV: 132114027 46 Đồ án chuyên ngành lưu lượng Internet bị ràng buộc không tùy thuộc vào chế hệ thống Hình 3.8 Slipt Tunneling 3.5 CÔNG NGHỆ REVESE PROXY HHTPS cung cấp giao tiếp Web an toàn trình duyệt máy chủ Web hổ trợ giao thức HTTPS SSL VPN mở rộng mô hình phép VPN client truy cập đến Web nội công ty máy chủ ứng dụng khác mà có không hổ trợ HTTPS, chí HTTP SSL VPN thực điều cách sử dụng kỹ thuật gọi chung : Reverse Proxy Hình 3.9 : Công nghệ Revese Proxy Lê Nguyễn Quang Minh, MSSV: 132114027 47 Đồ án chuyên ngành Reverse Proxy máy chủ Proxy đặt phía trước máy chủ ứng dụng, thông thường máy chủ web, có chức điệp truy cập trung gian cho người sử dụng Internet muốn truy cập vào tài nguyên nội công ty Các máy chủ Reverse Proxy dường máy chủ Web thật Khi nhận yêu cầu người dùng web, máy chủ Reverse Proxy chuyển tiếp yêu cầu đến máy chủ ứng dụng tìm nội dung thay người dùng, sau chuyển tiếp phản hồi cho người dùng giao diện web SSL VPN cung cấp chức nhiều so với công nghệ Reverse Proxy : • SSL VPN chuyển đổi ứng dụng web phức tạp số ứng dụng web cách đơn giản mà công nghệ Reverse Proxy không xử lý Quá trình chuyển đổi nội dung gọi webification Ví dụ: Giải pháp SSL VPN cho phép người dùng truy cập vào windows tập tin UNIX Các cổng SSL VPN giao tiếp với Windows UNIX • Khả truy cập vào tài nguyên hệ thống nội file, máy in, tài nguyên khác mà công nghệ Reverse Proxy không thực • SSL VPN hỗ trợ loạt ứng dụng kinh doanh Đối với ứng dụng không webified, SSL VPN sử dụng phương pháp khác để hổ trợ Đối với người dùng đầu cuối, SSL VPN cung cấp ứng dụng truy cập từ xa đến mạng công ty giải pháp IPSec VPN • Khả kết nối thiết bị từ xa vào mạng nội qua SSL • SSL VPN cung cấp truy cập VPN cách hòan chỉnh, bào gồm xác thực người dùng, quản lý tài nguyên đặc quyền truy cập, an ninh cho thiết bị đầu cuối … 3.6 CÁCH LÀM VIỆC CỦA SSL VPN 3.6.1 Với lưu lượng Non-Web qua SSL Các ứng dụng non-web thường dựa phần mềm quyền công ty, giao tiếp với máy chủ thông qua cổng khác với cổng web Trong thực tế, phần mềm tự động lựa chọn phương pháp thăm dò Lê Nguyễn Quang Minh, MSSV: 132114027 48 Đồ án chuyên ngành cách sử dụng cổng khác để giao tiếp phiên làm việc Reverse Proxy, thường giao tiếp cổng 443 80, xử lý liên lạc vậy, mà rõ ràng thành phần thiếu truy cập từ xa Vậy làm mà SSL VPN cho phép kiểu truyền thông cổng SSL Mặc dù sản phẩm SSL VPN khác không sử dụng phương pháp giải thống Nhưng thực tế số phương pháp sau trở thành tiêu chuẩn sử dụng: • Chuyển lưu lượng đến cổng cụ thể: Các SSL VPN gửi mã đến máy người dùng cho phép lắng nghe yêu cầu địa cổng cụ thể.Sau chuyển nội dung yêu cầu tới máy chủ SSL VPN thông qua SSL Máy chủ SSL VPN gửi tiếp yêu cầu đến điểm mà người dùng yêu cầu mạng nội • Truyền liệu qua cổng bản: SSL VPN không đóng gói ứng dụng truyền thông Thay vào tự động mỡ cổng firewall cho truyền thông từ địa IP client đến địa cụ thể mạng nội bộ.Với giải pháp không cần phải tải code từ phía client Client đơn giản giao tiếp với máy chủ thông qua cổng truyền thông Đây phương pháp đơn giản để thực mang lại nhiều nguy vấn đề an ninh cho mạng nội Vì vậy, cần cân nhắc tính khả thi giải pháp trước thiết lập • Sử dụng hệ thống cho phép chuyển hướng traffic SSL VPN: Ngày nay, với phát triển mạnh mẽ hệ thống linh hoạt khác sử dụng để chuyển hướng truyền thông Ví dụ, môi trường Windows có NSP( Name Space Provider) LSP ( Layerd Service Provider) sử dụng để xác định điểm đến cho thông tin liên lạc • Sử dụng dịch vụ đầu cuối: Các ứng dụng chạy máy chủ mạng nội bộ, riêng có thông tin từ bàn Lê Nguyễn Quang Minh, MSSV: 132114027 49 Đồ án chuyên ngành phím, chuột, video client mạng nội đươc chuyển tiếp qua cổng SSL • Thiết lập mạng kết nối thông qua SSL 3.6.2 Truy cập từ xa đến File tài nguyên khác a) Hình 3.10 Giao diện truy cập SSL VPN web Giao diện truy cập tập tin SSL VPN cung cấp số giao diện GUI thông thường cho người sử dụng từ xa để truy cập vào tập tin Người dùng tải lên, tải xuống, tìm kiếm tập tin mạng lưới chia thư mục máy client Giao diện mô với Windows Explorer, giao diện giống với FTP Hình 3.11 Giao diện truy cập tập tin b) Truy cập từ xa đến ổ đĩa mạng Lê Nguyễn Quang Minh, MSSV: 132114027 50 Đồ án chuyên ngành Truy cập từ xa đến đĩa cứng dùng để khả SSL VPN cho phép người dùng từ xa truy cập vào ổ đĩa mạng ( bao gồm thư mục home cá nhân) người sử dụng làm việc văn phòng họ Hình 3.11 Truy cập từ xa đến ổ cứng mạng có giao diện giông với FTP Bên cạnh tiện ích, việc cho phép truy cập từ xa phục vụ mục đích khác, cho phép liên kết đến tập tin, hay thư mục khác cách sử dụng cách thông thường mạng LAN Khả thông qua SSL sử dụng phương pháp thiết lập kết mạng qua SSL, việc liên lạc truyền tải thông qua cổng chuyển tiếp thích hợp Khả truy cập đến tài nguyên hệ thống hổ trợ nhiều hệ điều hành : Novell Netware, Microsoft Windows, UNIX …) c) Telnet truy cập vào máy chủ SSL VPN cung cấp cho người dùng khả Telnet đến hệ thống mạng nội thông qua tiện ích Telnet thiết bị truy cập( telnet.exe MS Windows) Hoặc thông qua applet đặc biệt SSL VPN SSL VPN thường hỗ trợ truy cập máy tính sử dụng giao thức Telnet-3270 Telnet-5250 Để truy cập vào hệ thống máy tính cần phải tải đoạn code cần thiết từ máy chủ SSL VPN phần mền đặc biệt Truy cập thực cách thiết lập mạng kết nối thông qua SSL Lê Nguyễn Quang Minh, MSSV: 132114027 51 Đồ án chuyên ngành Hình 3.12: SSH đến hệ thống máy chủ Java Applet Hình 3.13: Telnet đến hệ thống máy chủ Java Applet d) Máy in tài nguyên khác Công nghệ SSL VPN cho phép người dùng từ xa in ấn máy in văn phòng công ty, gửi fax thông qua máy fax … không văn phòng Như khả truy cập file , SSL VPN sử dụng công nghệ nói để hổ trợ khả Lê Nguyễn Quang Minh, MSSV: 132114027 52 Đồ án chuyên ngành Hình 3.14: Sử dụng máy in mạng nội Hình 3.15: Dịch vụ Mail Outlook e) Dịch vụ đầu cuối Một điều cần quan tâm đặc biệt dịch vụ đầu cuối Truy cập từ xa vào dịch vụ đầu cuối cung cấp hầu hết SSL VPN thực kết nối tương tự ứng dụng non-web Lê Nguyễn Quang Minh, MSSV: 132114027 53 Đồ án chuyên ngành Hình 3.16 : Terminal Server Client với ActiveX Hình Kết nối đến Server Unix với Java Applet Nếu hệ thống quan trọng có mạng nội bộ, thông qua dịch vụ đầu cuối họ làm việc từ xa, nếy dịch vụ đầu cuối mở thông với Internet Nhưng với dịch vụ đầu cuối kết nối với Internet, vấn đề đặt có thực an toàn Đây vấn đề đáng quan tâm triển khai hệ thống SSL VPN, firewall, công nghệ bảo mật khác để quản lý tập trung việc truy cập từ xa đến sở hạ tầng dịch vụ đầu cuối Lê Nguyễn Quang Minh, MSSV: 132114027 54 Đồ án chuyên ngành KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng sở hạ tầng mạng công cộng để xây dựng mạng WAN riêng, với ưu điểm mặt giá thành, phạm vi không hạn chế, linh hoạt triển khai mở rộng mạng Ngày nay, VPN hữu ích hữu ích tương lai Các chuẩn thi hành, điều cải tiến khả liên vận hành quản lý Chất lượng mạng VPN cải thiện, cho phép cung cấp ứng dụng hội nghị truyền hình, điện thoại IP, dịch vụ đa phương tiện Quyển đồ án tìm hiều vấn đề nhỏ kỹ thuật liên quan đến việc thực giải pháp VPN, nội dung gồm vấn đề chính:  Các khái niệm phân loại VPN, giao thức chế tạo đường hầm SSL.Nguyên tắc hoạt động VPN dựa giao thức đường hầm SSL  Công nghệ SSL VPN đảm bảo tính bảomật, an tòan tòan vẹn thông tin, có xác thực mạnh mẽ, linh hoạt khả tương tác cao  Trong số giao thức có, SSL đáp ứng tốt nhu cầu cao an tòan liệu, giải pháp cho bảo mật VPN tổ chức, công ty Tuy nhiên, SSL VPN hổ trợ hệ thống VPN client to site, cho client truy cập vào mạng nội công ty.Bên cạnh đó, giải pháp IPSec VPN lại giải vấn đề Site to Site, chi nhánh xa kết nối với trung tâm, mà SSL VPN không hổ trợ Vì vậy, sử dụng SSL VPN kết hợp với IPSec giải pháp toàn vẹn Trong xu tòan cầu hóa, SSL VPN thiết kế để truyển thông thống World Wide Web(WWW) Extranet nhằm phù hợp với ứng dụng giao dịch thương mại, kinh doanh Extranet thường Lê Nguyễn Quang Minh, MSSV: 132114027 55 Đồ án chuyên ngành thiết lập đối tác kinh doanh thúc đẩy nhu cầu cho ứng dụng kinh doanh chi tiết, xử lý nhanh điều khiển kiểm toán tốt VPN phát triển với nhu cầu để cung cấp liên lạc bảo mật Internet chung, loại lưu lượng mà không cần quan tâm đến ứng dụng nên tương lai mở rộng VPN đến Extranet Ta xây dựng Extranet sở VPN, bước việc mở rộng VPN đến Extranet chuyển nhượng quyền truy cập đối tác Extranet đến tài nguyên đặc biệt bên bổ sung sở liệu đối tác đến hệ thống xác thực Với nhiều nhà quản lý, Extranet có nhiều thuận lợi cho việc liên lạc nhiều đối tác kinh doanh là:  Các Extranet thường xây dựng dựa giao thức TCP/IP, mà giao thức thuận lợi cho việc liên kết mạng (riêng)  Sử dụng Internet để liên kết mạng với độ linh động cao thủ tục kết thúc hoạt động ngắn hạn cần  Extranet luân chuyển xung quanh WWW, điều giúp cung cấp giao tiếp người dùng chung tới nhiều ứng dụng qua ranh giới công ty Cuối cùng, trình độ hiểu biết hạn hẹp thời gian gấp rút nên nội dung đồ án sơ sài có nhiều thiếu sót.Mong nhận đóng góp từ phía thấy cô bạn Sinh Viên: Lê Nguyễn Quang Minh Lê Nguyễn Quang Minh, MSSV: 132114027 56 Đồ án chuyên ngành TÀI LIỆU THAM KHẢO [Tiếng Anh] [1] Joseph Steinberg, SSL VPN - Understanding, Evaluating and Planning, 2005 [2] Jazib Frahim, Qiang Huang , SSL Remote Access VPNs , Cisco, [3] John Wiley & Sons, Inc, Building and Managing Virtual Private Networks, 1998 [Tiếng Việt] [1] Trần Công Hùng, Kỹ thuật Mạng riêng ảo VPN, Học viện Công nghệ Bưu Viễn thông TPHCM, 2008 [Internet] [1] Introduction to SSL, http://docs.sun.com/source/816-6156-10/contents.htm [2] Điểm yếu SSL VPN, http://sites.google.com/site/anninhthongtin/ruiro/diemyeu-cua-ssl-vpn [3] SSL VPN Security, http://www.cisco.com/web/about/security/intelligence/05_08_SSL-VPNSecurity.html [4] Secure Socket Tunneling Protocol, http://www.youcourse.net/microsoft-lab/windows-server/secure-sockettunneling-protocol-vpn-sstp.html [5] Live Demo Sonic Wall, http://livedemo.sonicwall.com Lê Nguyễn Quang Minh, MSSV: 132114027 57 Đồ án chuyên ngành ĐÁNH GIÁ CỦA GIÁO VIÊN HƯỚNG DẪN Lê Nguyễn Quang Minh, MSSV: 132114027 58 Đồ án chuyên ngành ĐÁNH GIÁ CỦA GIÁO VIÊN PHẢN BIỆN Lê Nguyễn Quang Minh, MSSV: 132114027 59 [...]... mật mã Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet 2.1 ĐỊNH NGHĨA VPN Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển... mạng cục bộ của công ty Lê Nguyễn Quang Minh, MSSV: 132114027 28 Đồ án chuyên ngành CHƯƠNG III GIẢI PHÁP SSL CHO MẠNG RIÊNG ẢO 3.1 GIAO THỨC SSL Hiển nhiên từ tên SSL VPN, giao thức Secure Sockets Layer là một yếu tố quan trọng trong công nghệ SSL VPN Như vậy, sự hiểu biết cơ bản của SSL sẽ giúp chúng ta hiểu được hoạt động của SSL VPN 3.1.1 SSL là gì SSL là giao thức nổi bật để cung cấp dịch vụ bảo... thuê riêng hoạt động như một đường dây trong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN” Mạng riêng. .. Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN) Mạng riêng ảo kiểu tin tưởng... NNTP trên TLS /SSL Ldaps 636 LDAP trên TLS /SSL Ftps-data 989 FTP (dữ liệu) trên TLS /SSL Ftps 990 FTP (Điều khiển) trên TLS /SSL Tenets 992 TELNET trên TLS /SSL Imaps 994 IRC trên TLS /SSL Pop3s 995 POP3 trên TLS /SSL Bảng 3.2: Các cổng được gán cho các giao thức ứng dụng chạy trên SSL Như được minh họa trong hình 3.1, giao thức SSL gồm hai phần chính, SSL Record Protocol và một số giao thức con SSL được xếp... triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng Lê Nguyễn Quang Minh, MSSV: 132114027 19 Đồ án chuyên ngành 2.2 LỊCH SỬ PHÁT TRIỂN CỦA VPN Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN),... dạng “trusted VPN” Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải mã dữ liệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn công có thể... được chi phí và thời gian Hình 1.6 : Mô hình mạng riêng ảo VPN Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê riêng, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người... • Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống • Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động • Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn • Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên... với những mạng truyền thống và những mạng leased-line.Những lợi ích đầu tiên bao gồm: • Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80% • Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể nâng cấp kiến trúc mạng đơn giản hơn là những mạng trước ... ứng yêu cầu thông tin, vừa giải khó khăn kinh tế Với đề tài: Tìm hiểu giải pháp SSL cho mạng riêng ảo Đồ án chuyên ngành, em hy vọng góp phần tìm hiểu Giao thức SSL ứng dụng công nghệ VPN,... LOẠI MẠNG VPN 24 2.4. 1Mạng VPN truy nhập từ xa 24 2.4. 2Mạng VPN cục 25 2.4. 3Mạng VPN mở rộng 27 GIẢI PHÁP SSL CHO MẠNG RIÊNG ẢO 29 3.1GIAO THỨC SSL. .. Internet cho việc truyền liệu site công ty Trọng tâm đồ án tốt nghiệp bàn VPN dựa Internet Khi nói đến mạng riêng ảo VPN phải hiểu mạng riêng ảo dựa Internet 2.1 ĐỊNH NGHĨA VPN Mạng riêng ảo VPN