Đang tải... (xem toàn văn)
Virtual Private Network là mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng. VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu động từ xa kết nối về văn phòng chính.
MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ VPN 1.1 Tổng quan VPN (Virtual Private Network) .3 1.2 Mô hình hoạt động chuẩn hoạt động VPN .5 1.2.1 Remote Access VPN 1.2.2 Intranet VPN 1.2.3 Extranet VPN .7 1.3 Kiến trúc dịch vụ VPN giao thức bảo mật 1.3.1 Kiến trúc dịch vụ VPN 1.3.1.1 Đường hầm (Tunnelling) .8 1.3.1.2 Bảo mật giao thức bảo mật 1.3.2 Các giao thức bảo mật .9 1.3.2.1 Point-To-Point Tunneling Protocol (PPTP) 1.3.2.2 Layer Tunneling Protocol (L2TP) 1.3.2.3 IP Security (IPSec) .10 1.4 Ưu điểm khuyết điểm VPN 10 1.4.1 Ưu điểm 10 1.4.2 Nhược điểm .11 CHƯƠNG 2: TỔNG QUAN VỀ RADIUS .12 2.1 Tổng quan RADIUS (Remote Authentication Dial in User Service) 12 2.2 Tính chất RADIUS 13 2.3 Xác thực - cấp phép kiểm toán 14 CHƯƠNG 3: TRIỂN KHAI CÀI ĐẶT 16 3.1 Mô hình triển khai 16 3.2 Thực cài đặt 16 3.2.1Chuẩn bị 16 3.2.2Tạo Group User 17 3.2.3 Cấu hình RADIUS Server Domain Controller 21 3.2.4 Cấu hình VPN Client to Gateway Radius Client máy VPN Server 29 3.2.5 Cấu hình VPN Client kết nối vào VPN Server .34 Trang 38 Trang CHƯƠNG 1: TỔNG QUAN VỀ VPN 1.1 Tổng quan VPN (Virtual Private Network) Mạng máy tính ban đầu triễn khai với kĩ thuật chính: đường thuê riêng (Leased-Line) cho kết nối cố định đường quay số (Dial-up) cho kết nối không thường xuyên Các mạng có tính bảo mật cao, lưu lượng thay đổi đòi hỏi tốc độ cao nên thúc đẩy hình thành kiểu mạng liệu mới, mạng riêng ảo Mạng riêng ảo xây dựng kênh logic có tỉnh “ảo” Xu hướng hội tụ mạng NGN tạo điều kiện cho xuất nhiều dịch vụ mới, có dịch vụ mạng riêng ảo Mạng riêng ảo mạng máy tính, có điểm khách hàng kết nối với sở hạ tầng chia với sách truy nhập bảo mật mạng riêng Có dạng mạng riêng ảo VPN là: Remote Accsess VPN, Site – to - Site VPN (Intranet VPN Extranet VPN) Remote Access VPN (Client – to - LAN VPN) cho phép thực kết nối truy nhập từ xa người sử dụng di động (máy tính cá nhân Personal Digital Assistant) với mạng (LAN WAN) qua đường quay số, ISDN, đường thuê bao số ADSL Site-to-Site VPN dùng để kết nối mạng vị trí khác thông qua kết nối VPN Có thể chia loại loại khác nhau: Intranet VPN Extranet VPN Intranet VPN kết nối văn phòng xa với trụ sở thường mạng LAN với Extranet VPN Intranet VPN khách hàng mở rộng kết nối với Intranet VPN khác Bảo mật yếu tố quan trọng đảm bảo cho VPN hoạt động an toàn hiệu Kết hợp với thủ tục xác thực người dùng, liệu bảo mật thông qua kết nối đường hầm (Tunnel) tạo trước truyền liệu Tunnel kết nối ảo điểm-điểm (point-to-point) làm cho mạng VPN hoạt động mạng riêng Dữ liệu truyền VPN mã hóa theo nhiều thuật toán khác với độ bảo mật khác Người quản trị mạng lựa chọn tùy theo yêu cầu bảo mật tốc độ truyền dẫn Giải pháp VPN thiết kế phù hợp Trang cho tổ chức có xu hướng tăng khả thông tin từ xa, hoạt động phân bố phạm vi địa lý rộng có sở liệu, kho liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao Hình 1.1: Mô hình VPN tổng quan Chất lượng dịch vụ QoS, thỏa thuận (Service Level Agreement - SLA) với ISP liên quan đến độ trễ trung bình gói mạng, kèm theo định giới hạn băng thông Bảo đảm cho QoS việc cần thống phương diện quản lý ISP Tất giao thức sử dụng mạng VPN, gói liệu IP mã hóa (RSA RC-4 PPTP mã hóa công khai khác L2TP, IPSEC) sau đóng gói (ESP), thêm tiêu đề IP để tạo đường hầm mạng IP công cộng Như vậy, gói tin MTU bị thất lạc mạng IP công cộng thông tin mã hóa nên kẻ phá hoại khó dò tìm thông tin thực chứa tin Trong giao thức PPTP L2TP, mã hóa gói tin thực từ người dùng máy chủ VPN Việc mát gói tin dẫn đến việc phải truyền lại toàn gói tin, điều gây nên độ trễ chung VPN ảnh hướng đến QoS mạng VPN Trang 1.2 Mô hình hoạt động chuẩn hoạt động VPN Mô hình hoạt động VPN Hình 1.2: Mô hình hoạt động VPN Các chuẩn mô hình hoạt động VPN Phân loại kỹ thuật VPN dựa yêu cầu bản: Người sử dụng xa di động truy cập vào tài nguyên mạng đoàn thể thời gian Kết nối nội chi nhánh văn phòng xa Quản lý truy cập tài nguyên mạng quan trọng khách hàng, nhà cung cấp hay thực thể khác điều quan trọng tổ chức hay quan Dựa tiêu chí phân loại VPN thành nhóm chính: Remote Access VPN Intranet VPN Extranet VPN Trang 1.2.1 Remote Access VPN VPN Remote Access cung cấp khả truy nhập từ xa.Tại thời điểm, nhân viên chi nhánh văn phòng di động có khả trao đổi, truy nhập vào mạng công ty Hệ thống bao gồm thành phần chính: Remote Access Server (RAS), xác định địa kiểm tra xác nhận ủy quyền yêu cầu truy cập từ xa Kết nối Dial-up với văn phòng trung tâm trường hợp kết nối với mà khoảng cách xa Hình 1.3: Mô hình Remote Access VPN 1.2.2 Intranet VPN Intranet VPN thường sử dụng để kết nối văn phòng chi nhánh tổ chức với mạng intranet trung tâm Trang Hình 1.4: Mô hình Intranet VPN 1.2.3 Extranet VPN Không giống giải pháp intranet VPN remote access VPN, extranet VPN không tách riêng với giới Extranet VPN cho phép điều khiển truy xuất tài nguyên mạng cho thực thể tổ chức các đối tác, khách hàng hay nhà cung cấp người đóng vai trò quan trọng hoạt động thương mại tổ chức Hình 1.5: Mô hình Extranet VPN Trang 1.3 Kiến trúc dịch vụ VPN giao thức bảo mật 1.3.1 Kiến trúc dịch vụ VPN Hai thành phần Internet tạo nên mạng riêng ảo VPN, là: Đường hầm (Tunnelling) cho phép làm “ảo” mạng riêng Các dịch vụ bảo mật đa dạng cho phép liệu mang tính riêng tư 1.3.1.1 Đường hầm (Tunnelling) Trong mạng riêng ảo VPN, “ảo” – Vitual mang ý nghĩa mạng linh động, với kết nối thiết lập dựa nhu cầu tổ chức Không kết nối sử dụng đường kênh thuê riêng mạng VPN truyền thống, internet VPN không trì kết nối thường trực điểm cuối tạo thành mạng đoàn thể (corporate network) Thay vào đó, kết nối tạo site cần đến Và kết nối không cần thiết bị hủy bỏ, làm cho băng thông tài nguyên mạng khác sẵn sàng cho kết nối khác sử dụng Ảo – “Vitual” mang ý nghĩa cấu trúc logic mạng hình thành cho thiết bị mạng tương ứng mạng đó, bất chấp cấu trúc vật lý mạng sở (trong trường hợp internet) Các thiết bị định tuyến (Router), chuyển mạch (Switch) hay thành phần mạng ISP giấu khỏi thiết bị người dùng mạng ảo Do đó, kết nối tạo nên mạng riêng ảo – VPN tính chất vật lý với kết nối cố định (hard-wired) dùng mạng LAN Việc che giấu sở hạ tầng ISP internet thực khái niệm gọi tạo đường hầm-Tunnelling Hình 1.6: Cấu trúc đường hầm Trang 1.3.1.2 Bảo mật giao thức bảo mật Quan trọng ngang với việc sử dụng mạng riêng ảo VPN, chí không muốn nói quan trọng hơn, việc đưa tính riêng tư hay bảo mật Trong hầu hết sử dụng nó, tính “riêng tư” VPN mang ý nghĩa đường hầm hai người mạng VPN xuất liên kết riêng (private link), chí điều chạy môi trường dùng chung (shared media) Nhưng việc sử dụng nhà kinh doanh, đặc biệt cho kết nối LAN-nốiLAN, “riêng” phải mang ý nghĩa điều đó, phải có nghĩa bảo mật, thoát khỏi mắt tò mò can thiệp Mạng VPN cần cung cấp chức giới hạn để đảm bảo độ bảo mật cho liệu Bốn chức là: Xác thực (Authentication): Đảm bảo liệu đến từ nguồn yêu cầu Điều khiển truy cập (Access Control): Hạn chế việc đạt quyền cho phép vào mạng người dùng bất hợp pháp Sự tin cậy (Confidentiality): Ngăn không cho đọc hay copy liệu liệu truyền qua mạng Internet Tính toàn vẹn liệu (Data integrity): Đảm bảo không làm thay đổi liệu truyền mạng Internet 1.3.2 Các giao thức bảo mật 1.3.2.1 Point-To-Point Tunneling Protocol (PPTP) Được phát triển Microsoft, 3COM Ascend Communications Nó đề xuất để thay cho IPSec PPTP thi hành phân lớp (Data Link) mô hình OSI thường sử dụng truyền thông tin hệ điều hành Windows 1.3.2.2 Layer Tunneling Protocol (L2TP) Được phát triển hệ thống Cisco nhằm thay IPSec Tiền thân Layer Forwarding (L2F), phát triển để truyền thông tin an toàn mạng Internet bị thay L2TP LT2P có khả mã hóa liệu tốt có khả giao tiếp với Window L2TP phối hợp L2F PPTP Thường sử dụng để mã hóa khung Point-to-Point Protocol (PPP) để gửi mạng X.25, FR, ATM Trang 1.3.2.3 IP Security (IPSec) Được phát triển IETF, IPSec tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng hệ thống mạng công cộng Không giống kỹ thuật mã hóa khác, IPSec thi hành phân lớp Network mô hình OSI (Open System Interconnect) Do thực thi độc lập với ứng dụng mạng 1.4 Ưu điểm khuyết điểm VPN 1.4.1 Ưu điểm Giảm chi phí thiết lập VPN có giá thành thấp nhiều so với giải pháp truyền tin truyền thống Frame Relay, ATM, hay ISDN Lý VPN loại bỏ kết nối khoảng cách xa cách thay chúng kết nối nội mạng truyền tải ISP Giảm chi phí vận hành quản lý Bằng cách giảm chi phí viễn thông khoảng cách xa, VPN giảm chi phí vận hành mạng WAN cách đáng kể Ngoài tổ chức giảm tổng chi phí thêm thiết bị mạng WAN dử dụng VPN quản lý ISP Một nguyên nhân giúp làm giảm chi phí vận hành nhân sự, tố chức không chi phí để đào tạo trả cho nhiều người người quản lý mạng Khả mở rộng Do VPN xây dựng dựa sở hạ tầng mạng công cộng(Internet),bất nơi có mạng công cộng triển khai VPN.Mà Internet có mặt khắp nơi nên khả mở rộng VPN linh động Một quan xa kết nối cách dể dàng đến mạng công ty cách sử dụng đường dây điện thoại hay DSL,mạng VPN dể dàng gở bỏ có nhu cầu Khả mở rộng băng thông văn phòng,chi nhánh yêu cầu băng thông lớn nâng cấp dể dàng Trang Bước 7: Trong Specity Conditions chọn ADD Bước 8: Chọn User Group chọn ADD Trang Bước 9: Chọn Add Group Bước 10: Trong “Enter the object name to select” gõ: group9 check Name OK OK Trang Bước 11: Kiểm tra chọn Next Bước 12: Trong “Specity Access Permission” chọn Access granted chọn Next Trang Bước 13: “Trong Configure Authentication Methods” chọn Next Bước 14: Trong “Configure Constraints” chọn Next Bước 15: Trong “Completing New Network Policy” nhấn Finish Trang Bước 16: Kiểm tra Trang 3.2.4 Cấu hình VPN Client to Gateway Radius Client máy VPN Server Bước 1: Vào Server Manager chọn Tools chọn Routing and Remote Server Bước 2: Kích phải vào WIN (Local) chọn Configure and Enable Routing and Remote Access nhấn Next Trang Bước 3: Chọn Remote access (dial-up or VPN) chọn Next Bước 4: Click chọn VPN nhấn Next Trang Bước 5: Click bỏ Enable sercurity on the selected ………… Sau chọn card Ethernet nhấn Next Bước 6: Chọn From a specified range of address nhấn Next Trang Bước 7: Chọn New nhập địa IP cấp cho máy VPN Client Start IP address: 172.16.10.100 End IP address: 172.16.10.110 Bước 8: Kiểm tra nhấn Next Trang Bước 9: Chọn “Yes, set up this server to work with a RADIUS server” nhấn Next Bước 10: Tại RADIUS Server selection Tại “Primary RADIUS Server”: 172.16.10.10 Tại “Shared Secret”: 123 Bước 11: Nhấn Finish Trang 3.2.5 Cấu hình VPN Client kết nối vào VPN Server Bước 1: Kích phải vào My Network Places chọn Properties create a new connection nhấn Next Bước 2: Chọn “Connect to the network at my workplace” nhấn Next Trang Bước 3: Chọn Virtual Private Network connection nhấn Next Bước 4: Trong “Company Name” gõ: ket noi VPN nhấn Next Trang Bước 5: Trong “Host name or IP Address” gõ địa chỉ: 192.168.10.20 nhấn Next Bước 6: Nhấn Finish Trang Bước 7: Nhập user name: user Nhập Passwork: abc^123 nhấn Connect Bước 8: Kết nối thành công Trang Trang [...]... IP cấp cho máy VPN Client Start IP address: 172.16.10.100 End IP address: 172.16.10.110 Bước 8: Kiểm tra nhấn Next Trang 1 Bước 9: Chọn “Yes, set up this server to work with a RADIUS server nhấn Next Bước 10: Tại RADIUS Server selection Tại “Primary RADIUS Server : 172.16.10.10 Tại “Shared Secret”: 123 Bước 11: Nhấn Finish Trang 1 3.2.5 Cấu hình VPN Client kết nối vào VPN Server Bước 1:... 1 Bước 16: Kiểm tra Trang 1 3.2.4 Cấu hình VPN Client to Gateway và Radius Client trên máy VPN Server Bước 1: Vào Server Manager chọn Tools chọn Routing and Remote Server Bước 2: Kích phải vào WIN (Local) chọn Configure and Enable Routing and Remote Access nhấn Next Trang 1 Bước 3: Chọn Remote access (dial-up or VPN) chọn Next Bước 4: Click chọn VPN nhấn Next Trang 1 Bước 5: Click bỏ Enable... nhấn ADD checknames: user1 OK OK Trang 1 3.2.3 Cấu hình RADIUS Server trên Domain Controller Bước 1: Vào Server Manager Tools Network Policy Server Bước 2: Kích chuột phải vào NPS chọn Register Server in Active Directory OK OK Bước 3: Mở New RADIUS Client Trang 1 Bước 4: Trong New RADIUS Client Tại “Friend Name” gõ: VPN D18 Tại “Address (IP or DNS)” gõ IP: 172.16.10.20 Tại “Shared... Accouting – request tới AAA server Máy chủ sẽ thêm các thông tin vào logfile của nó, với việc NAS sẽ cho phép phiên làm việc với User bắt đầu khi nào và kết thúc khi nào RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi thông tin RADIUS Accouting - request Trang 1 CHƯƠNG 3: TRIỂN KHAI CÀI ĐẶT 3.1 Mô hình triển khai 3.2 Thực hiện cài đặt 3.2.1... Chuẩn bị 1 máy Windows Server 2012, đã nâng cấp lên Domain Controller và cài đặt Network Policy and Access Server 1 máy Windows Server 2012, không join domain, đã cài đặt Routing and Remote Access 1 máy PC Trang 1 Bảng IP Interface CROSS LAN IP SubnetMask GateWay DNS IP SubnetMask GateWay DNS Domain Controller 172.16.10.10 255.255.255.0 172.16.10.20 172.16.10.10 Không có VPN Server 172.16.10.20... user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting - Request (stop) RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và kiểm to n truy cập cho mạng Có 2 loại giao thức RADIUS: Giao thức RADIUS 1: Xác nhận quyền (authentication),... pháp được chọn là thực hiện server chế độ đa luồng (multu - thread) với UDP Quá trình xử lý độc lập sẽ được sinh ra trên server tương ứng với mỗi yêu cầu và những quá trình này sẽ trả lời trực tiếp với các NAS khách hàng bằng gói UDP tới lớp truyền dẫn chính của client 2.3 Xác thực - cấp phép và kiểm to n Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung,... đến AAA server một RADIUS Access – Request AAA server sau khi kiểm tra các thông tin của người dùng hoàn to n thỏa mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access accept Nếu không thỏa mãn AAA server sẽ trả về một tin RADIUS Access - reject và NAS sẽ ngắt dịch vụ Khi gói tin Access - Accept được nhận và RADIUS Accouting đã được thiết lập, NAS sẽ gửi một gói tin RADIUS Accouting... mạng với các sự kiện UDP đơn giản hóa việc thực hiện server Ở những phiên bản trước, server được thực hiện đơn luồng (single thread), có nghĩa là mỗi lúc chỉ có một yêu cầu được nhận, xử lí và trả về Điều này không thể quản lý được trong môi trường kỹ thuật an to n quay vòng (back - end security mechanism) dùng thời gian thực (real time) Hàng đợi yêu cầu của server sẽ bị đầy, và trong một môi trường... thông tin cấu hình giữa máy chủ quản lý truy cập (NAS-Network Access Server) mà có các yêu cầu cần xác nhận và máy chủ xác nhận quyền dùng chung (Shared Authentication Server) Giao thức RADIUS 2: thông tin về tài khoản giữa NAS và máy chủ quản lý tài khoản dùng chung 2.2 Tính chất của RADIUS RADIUS thực ra là một giao dịch được xây dựng trên giao thức có các tính chất chính như sau: Nếu như yêu cầu (request) ... Bước 16: Kiểm tra Trang 3.2.4 Cấu hình VPN Client to Gateway Radius Client máy VPN Server Bước 1: Vào Server Manager chọn Tools chọn Routing and Remote Server Bước 2: Kích phải vào WIN (Local)... 3.2.3 Cấu hình RADIUS Server Domain Controller Bước 1: Vào Server Manager Tools Network Policy Server Bước 2: Kích chuột phải vào NPS chọn Register Server in Active Directory OK OK... Bước 10: Tại RADIUS Server selection Tại “Primary RADIUS Server : 172.16.10.10 Tại “Shared Secret”: 123 Bước 11: Nhấn Finish Trang 3.2.5 Cấu hình VPN Client kết nối vào VPN Server Bước 1: