MỤC LỤC LỜI MỞ ðẦU BẢNG ðỐI CHIẾU CỤM TỪ VIẾT TẮT CHƯƠNG TỔNG QUAN VỀ VPN (VIRTUAL PRIVATE NETWORK) 1.1 ðỊNH NGHĨA, CHỨC NĂNG VÀ ƯU ðIỂM CỦA VPN 1.1.1 Khái niệm VPN 1.1.2 Chức VPN 1.1.3 Ưu ñiểm VPN 1.1.4 Các yêu cầu ñối với giải pháp VPN 1.1.5 ðường hầm mã hóa 1.2 CÁC KIỂU VPN 1.2.1 VPN truy cập từ xa (Remote Access VPNs) 10 1.2.2 VPN nội (Intranet VPNs) 11 1.2.3 VPN mở rộng (Extranet VPNs) 13 CHƯƠNG 14 CÁC GIAO THỨC BẢO MẬT TRÊN VPN 14 2.1 CÁC GIAO THỨC ðƯỜNG HẦM TRONG VPN 14 2.1.1 Giao thức ñường hầm ñiểm nối ñiểm (PPTP) 15 2.1.2 Giao thức chuyển tiếp lớp hai (L2F) 19 2.1.3 Giao thức ñường hầm lớp hai (L2TP) 21 2.1.4 Giao thức ñóng gói ñịnh tuyến chung (GRE) 26 2.1.5 Giao thức bảo mật IP (IPSec) 27 2.2 BẢO MẬT TRONG VPN 32 2.2.1 Tổng quan an ninh mạng 32 -1- 2.2.2 Một số phương thức công mạng phổ biến 33 2.2.3 Các kỹ thuật bảo mật VPN 35 CHƯƠNG 37 TRIỂN KHAI HỆ THỐNG VPN CLIENT TO SITE CHO DOANH NGHIỆP NHỎ 37 3.1 PHÂN TÍCH NHU CẦU SỬ DỤNG VPN 37 3.1.1 Hạ tầng mạng 37 3.1.2 Nhu cầu doanh nghiệp ñối với dịch vụ VPN 37 3.2 CÁC BƯỚC TRIỂN KHAI 38 3.2.1 Phần cứng, phần mềm 38 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 51 -2- LỜI MỞ ðẦU Cùng với phát triển công nghệ thông tin, công nghệ mạng máy tính phát triển mạng internet ngày phát triển ña dạng phong phú Các dịch vụ mạng ñã thâm nhập vào hầu hết lĩnh vực ñời sống xã hội Các thông tin Internet ña dạng nội dung hình thức, ñó có nhiều thông tin cần ñược bảo mật cao tính kinh tế, tính xác tính tin cậy Bên cạnh ñó, hình thức phá hoại mạng trở nên tinh vi phức tạp Do ñó ñối với hệ thống, nhiệm vụ bảo mật ñược ñặt cho người quản trị mạng quan trọng cần thiết Xuất phát từ thực tế ñó, ñã có nhiều công nghệ liên quan ñến bảo mật hệ thống mạng máy tính xuất hiện, việc nắm bắt công nghệ cần thiết Chính vậy, thông qua việc nghiên cứu cách tổng quan bảo mật hệ thống công nghệ liên quan ñến bảo mật hệ thống ñó công nghệ Mạng Riêng Ảo (Virtual Private Network - VPN) ñồ án góp phần vào việc hiểu biết thêm nắm bắt rõ kỹ thuật VPN doanh nghiệp nhà trường giúp cho việc học tập nghiên cứu Bảo mật hệ thống kỹ thuật VPN vấn ñề rộng rãi ñối với Việt Nam, sinh viên học ngành quản trị mạng kinh nghiệm làm việc kỹ thuật hạn chế, nội dung tài liệu có phần sai sót nên mong Thầy bạn sinh viên ñóng góp nhiều ý kiến bổ sung thêm ñể hoàn thành ñồ án cách xác hữu ích Trong trình xây dựng ñồ án này, ñã nhận ñược nhiều giúp ñỡ, góp ý giảng viên bạn lớp Tôi xin chân thành cảm ơn hướng dẫn Thầy Trần Bàn Thạch thầy trực tiếp hướng dẫn ñồ án chuyên ngành cho tôi, giúp hoàn thành ñồ án ðà Nẵng, ngày….tháng….năm 2010 Sinh viên thực Tăng Viết Tuân -3- BẢNG ðỐI CHIẾU CỤM TỪ VIẾT TẮT Danh sách ñiều khiển truy nhập Access Control List (ACL) Xác thực tiêu ñề Authentication Header (AH) ðóng gói bảo mật tải Encapsulation Security Payload (ESP) Giao thức mã hóa ñịnh tuyến Generic Routing Encapsulution (GRE) Nhà cung cấp dịch vụ Internet Internet Service Provides (ISP) Giao thức Internet Internet Protocol (IP) Bảo mật ñịa IP IP Security (IPSec) Nhóm ñặc nhiệm kỹ thuật Internet Internet Engineering Task Force (IETF) Giao thức thông ñiệp ñiều khiển Internet Internet Control Message Protocol (ICMP) Giao thức quản lý nhóm Internet Internet Group Management Protocol (IGMP) Trao ñổi khóa Internet Internet Key Exchange (IKE) Giao thức ñiều khiển chuyển ñổi Transfer Control Protocol/Internet Protocol (TCP/IP) Máy chủ truy cập mạng Network Access Server (NAS) Truy cập tập trung giao thức tầng hầm lớp L2TP Access Concentrator (LAC) Máy chủ mạng L2TP L2TP Network Server (LNS) Mạng cục Local Area Network (LAN) Giao thức ñường hầm lớp Layer Tunneling Protocol (L2TP) Chuyển tiếp lớp Layer Forwarding (L2F) Mô hình liên kết hệ thống mở Open Systems Interconnection (OSI) Giao thức ñiểm nối ñiểm Point to Point Protocol (PPP) Giao thức ñường hầm ñiểm nối ñiểm Point to Point Tunneling Protocol (PPTP) Chất lượng phục vụ Quanlity of Service v(QoS) Máy chủ truy cập từ xa Remote Access Server (RAS) Mạng riêng ảo Virtual Private Network (VPN) Mạng diện rộng Wide Area Network (WAN) -4- CHƯƠNG TỔNG QUAN VỀ VPN (VIRTUAL PRIVATE NETWORK) 1.1 ðỊNH NGHĨA, CHỨC NĂNG VÀ ƯU ðIỂM CỦA VPN 1.1.1 Khái niệm VPN Phương án truyền thông nhanh, an toàn tin cậy ñang trở thành mối quan tâm nhiều doanh nghiệp, ñặc biệt doanh nghiệp có ñịa ñiểm phân tán mặt ñịa lý Nếu trước ñây giải pháp thông thường thuê ñường truyền riêng (leased lines) ñể trì mạng WAN (Wide Are Network) Các ñường truyền giới hạn từ ISDN (128Kbps) ñến ñường cáp quang OC3 (Optical carrier-3, 155Mbps) Mỗi mạng WAN ñều có ñiểm thuận lợi mạng công cộng Internet ñộ tin cậy, hiệu tính an toàn, bảo mật Nhưng ñể bảo trì mạng WAN, ñặc biệt sử dụng ñường truyền riêng, trở nên ñắt doanh nghiệp muốn mở rộng chi nhánh Khi tính phổ biến Internet gia tăng, doanh nghiệp ñầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban ñầu mạng nội (Intranet) mà site ñược bảo mật mật ñược thiết kế cho việc sử dụng thành viên công ty Hình 1.1 Mô hình VPN Về bản, VPN mạng riêng lẻ sử dụng mạng chung (thường Internet) ñể kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng ñường Leased -5- Line, VPN sử dụng kết nối ảo ñược dẫn qua ñường Internet từ mạng riêng công ty tới site nhân viên từ xa Những thiết bị ñầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị ñược quản trị công ty nhà cung cấp dịch vụ ISP VPN ñược gọi mạng riêng ảo ñây cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật ñược thiết lập hai host, host mạng hai mạng với Một VPN xây dựng cách sử dụng “ðường hầm” “Mã hóa” VPN xuất lớp mô hình OSI VPN cải tiến sở hạ tầng mạng WAN mà làm thay ñổi hay làm tăng thêm tính chất mạng cục 1.1.2 Chức VPN VPN cung cấp ba chức chính: Sự tin cậy (Confidentiality): Người gửi mã hóa gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, không truy cập thông tin mà không ñược phép Và có lấy ñược không ñọc ñược Tính toàn vẹn (Data Integrity): Người nhận kiểm tra liệu ñã ñược truyền qua mạng Internet mà thay ñổi Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, ñảm bảo công nhận nguồn thông tin 1.1.3 Ưu ñiểm VPN VPN có nhiều ưu ñiểm so với mạng leased line truyền thống Các ưu ñiểm ñó là: VPN làm giảm chi phí so với mạng cục bộ: Tổng giá thành việc sở hữu mạng VPN ñược thu nhỏ, phải trả cho việc thuê băng thông ñường truyền, thiết bị mạng ñường trục hoạt ñộng hệ thống Giá thành cho việc kết nối LAN to LAN giảm từ 20-30% so với việc sử dụng ñường truyền leased line truyền thống Việc truy cập từ xa giảm từ 60-80% VPN tạo tính mềm dẻo cho khả quản lý Internet: Các VPN ñã kế thừa phát huy tính mềm dẻo khả mở rộng kiến trúc mạng -6- mạng WAN truyền thống ðiều giúp doanh nghiệp nhanh chóng hiệu kinh tế cho việc mở rộng hay hủy bỏ kết nối trụ sở xa, người sử dụng di ñộng…,và mở rộng ñối tác kinh doanh có nhu cầu VPN làm ñơn giản hóa cho việc quản lý công việc so với việc sở hữu vận hành mạng cục bộ: Các doanh nghiệp cho phếp sử dụng vài hay tất dịch vụ mạng WAN, giúp doanh nghiệp tập trung vaofcacs ñối tượng kinh doanh thay quản lý mạng WAN hay mạng quay số từ xa VPN cung cấp kiểu mạng ñường hầm làm giảm thiểu công việc quản lý: Một Backbone IP loại bỏ PVC (Permanent Virtual Circuit) cố ñịnh tương ứng với giao thức kết nối Frame Relay ATM ðiều tạo kiểu mạng lưới hoàn chỉnh giảm ñược ñộ phức tạp giá thành Hình 1.2 Ưu ñiểm VPN so với mạng truyền thông Một mạng VPN có ñược ưu ñiểm mạng cục sở hạ tầng mạng IP công cộng Các ưu ñiểm bao gồm tính bảo mật sử dụng ña giao thức Một mạng ảo ñược tạo nhờ giao thức ñường hầm kết nối IP chuẩn Các loại công nghệ ñường hầm ñược dùng phổ biến cho truy cập VPN gồm có giao thức ñịnh ñường hầm ñiểm-ñiểm PPTP (Point to Point Tunneling Protocol), chuyển tiếp lớp L2F (Layer Forwarding) giao thức ñịnh ñường hầm lớp L2TP (Layer Tunneling Protocol) IPSec (IP Security) gói ñịnh tuyến chung GRE (Generic Router Encapsulation) ñể tạo nên ñường hầm ảo thường trực -7- 1.1.4 Các yêu cầu ñối với giải pháp VPN Có yêu cầu cần ñạt ñược xây dựng mạng riêng ảo: Tính tương thích (Compatibility): Mỗi công ty, doanh nghiệp ñều ñược xây dựng hệ thống mạng nội diện rộng dựa thủ tục khác không tuân theo chuẩn ñịnh nhà cung cấp dịch vụ Rất nhiều hệ thống mạng không sử dụng chuẩn TCP/IP kết nối trực tiếp với Internet ðể sử dụng ñược IP VPN tất hệ thống mạng riêng ñều phải ñược chuyển sang hệ thống ñịa theo chuẩn sử dụng Internet bổ sung tính tạo kênh kết nối ảo, cài ñặt cổng kết nối Internet có chức việc chuyển ñổi thủ tục khác sang chuẩn IP 77% số lượng khách hàng ñược hỏi yêu cầu chon nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị có họ Tính bảo mật (Security): Tính bảo mật cho khách hàng yếu tố quan trọng ñối với giải pháp VPN Người sử dụng cần ñược ñảm bảo liệu thông qua mạng VPN ñạt ñược mức ñộ an toàn giống hệ thống mạng dùng riêng họ tự xây dựng quản lý Việc cung cấp tính bảo ñảm an toàn cần ñảm bảo hai mục tiêu sau: - Cung cấp tính an toàn thích hợp bao gồm: cung cấp mật cho người sử dụng mạng mã hóa liệu truyền - ðơn giản việc trì quản lý, sử dụng ðòi hỏi thuận tiện ñơn giản cho người sử dụng nhà quản trị mạng việc cài ñặt quản trị hệ thống Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp ñược tính bảo ñảm chất lượng, hiệu suất sử dụng dịch vụ dung lượng truyền Tiêu chuẩn chất lượng dịch vụ (Quality of Service): Tiêu chuẩn ñánh giá mạng lưới có khả ñảm bảo chất lượng dịch vụ cung cấp ñầu cuối ñến ñầu cuối QoS liên quan ñến khả ñảm bảo ñộ trễ dịch vụ phạm vi ñịnh liên quan ñến hai vấn ñề -8- 1.1.5 ðường hầm mã hóa Chức VPN ñó cung cấp bảo mật cách mã hóa qua ñường hầm Hình 1.3 ðường hầm mã hóa VPN ðường hầm (Tunnel): Các ñường hầm ñặc tính ảo VPN, làm cho kết nối dường dòng lưu lượng ñường dây ðồng thời tạo cho VPN khả trì yêu cầu bảo mật quyền ưu tiên ñã ñược áp dụng mạng nội bộ, bảo ñảm cho vai trò kiểm soát dòng lưu chuyển liệu ðường hầm làm cho VPN có tính riêng tư Mã hóa ñược sử dụng ñể tạo kết nối ñường hầm ñể liệu ñược ñọc người nhận người gửi Mã hóa (Encryption): Chắc chắn tin không bị ñọc ñọc ñược người nhận Khi mà có nhiều thông tin lưu thông mạng cần thiết ñối với việc mã hóa thông tin trở nên quan trọng Mã hóa biến ñổi nội dung thông tin thành văn mật mã mà trở nên vô nghĩa dạng mật mã Chức giải mã ñể khôi phục văn mật mã thành nội dung thông tin dùng ñược cho người nhận Mã hóa tính tùy chọn ñóng góp vào ñặc ñiểm “riêng tư” VPN Chỉ nên sử dụng mã hóa cho dòng liệu quan trọng ñặc biệt, bình thường không cần việc mã hóa ảnh hưởng xấu ñến tốc ñộ, tăng gánh nặng cho xử lý 1.2 CÁC KIỂU VPN VPNs nhằm hướng vào ba yêu cầu sau ñây: Có thể truy cập lúc ñiều khiển từ xa, ñiện thoại cầm tay việc liên lạc nhân viên tổ chức tới tài nguyên mạng -9- Kết nối thông tin liên lạc chi nhánh văn phòng từ xa ðược ñiều khiển truy nhập tài nguyên mạng cần thiết khách hàng, nhà cung cấp ñối tượng quan trọng công ty nhằm hợp tác kinh doanh Dựa yêu cầu ñó, ngày VPNs ñã phát triển phân chia làm thành ba kiểu VPN sau: Remote Access VPNs Intranet VPNs Extranet PVNs 1.2.1 VPN truy cập từ xa (Remote Access VPNs) Remote Access VPNs cho phép truy cập lúc Remote, Mobile thiết bị truyền thông nhân viên chi nhánh kết nối ñến tài nguyên mạng tổ chức Remote Access VPNs mô tả việc người dùng xa sử dụng phần mềm VPN ñể truy cập vào mạng Intranet công ty họ thông qua gateway VPN concentrator (bản chất server) Vì lý ñó nên giải pháp ñược gọi client/server Trong giải pháp người dùng thường sử dụng công nghệ WAN truyền thống ñể tạo lại Tunnel mạng họ Hướng phát triển Remote Access VPNs dùng wireless VPN, ñó nhân viên truy cập mạng họ thông qua mạng không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm wireless terminal sau ñó mạng công ty Một số thành phần chính: Remote Access Server (RAS): ñược ñặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới Quay số kết nối tới trung tâm, ñiều sẻ làm giảm chi phí cho số yêu cầu xa so với trung tâm Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài ñặt kết nối cục ñến nhà cung cấp dịch vụ ISP ISP’s POP kết nối ñến tài nguyên thông qua Internet -10- - Microsoft Remoter Access Server (RRAS): Cung cấp dịch vụ truy cập từ xa thông qua mã hóa VPN dịch vụ cung cấp ñịa IP tự ñộng kết nối từ xa vào hệ thống mạng phía 3.2.2 Dịch vụ Về phần dịch vụ thiết lập cho máy chủ dùng làm VPN server nên ñể server hỗ trợ số dịch vụ Chúng ta không nên vô hiệu hóa dịch vụ Remote Registry Service, làm ñiều VPN server không hoạt ñộng yêu cầu không hoạt ñộng tất Theo khuyến cáo Microsoft nên tắt dịch vụ không cần thiết thiết lập VPN, ñây số dịch vụ có lợi cho kẻ xâm nhập Chúng ta nên tắt dịch vụ sau: - Fax services - Distributed File System - File Replication - Indexing Services - Internet Connection Sharing - Messaging Services - Task Scheduler - Telnet - Print Spooler - Windows Installer - Distribuled Transaction Coordinator - License Logging Services - Kerberos Key Distribution Center -39- 3.3 DEMO Trong mô hình cấu hình cho máy Client ñâu thông qua mạng Internet kết nối vào mạng công ty ABC thông qua VPN Mô hình mạng công ty ABC Hình 3.1 Mô hình mạng công ty ABC Bước 1: Tại máy VPN Server vào Start tools Routing and Remote Access Programs Administrative click phải vào VPN Server chọn Configure and Enable Routing and Remote Access Next -40- Bước 2: Chọn Remote access (dial-up or VPN) Bước 3: Chọn VPN Next -41- Next Bước 4: Chọn card mạng WAN ñây ngõ liên lạc bên VPN Server Next Bước 5: Chọn From a specified range of addresses Next Bước 6: Nhấn New ñể chọn dãy IP mà muốn gán cho VPN Server sử dụng -42- Bước 7: Trong nhập dãy IP từ 172.16.22.100 172.16.22.149 Bước 8: Chọn No, use Routing and Remote Access to authenticate requests Next cuối Finish -43- Bước 9: Tạo User máy VPN Server: Tại máy VPN Server vào Start Programs Administrative tools Active Directory Users and Computers Tại cửa sổ Active Directory Users and Computers, vào khung bên trái chọn mục Users, sau ñó click phải chuột vào phần trống khung bên phải chọn New User Bước 10: Nhập tên tên ñăng nhập cho người dùng VPN client -44- Bước 11: Nhập password cho user vừa tạo Next cuối Finish Bước 12: Double-click lên User vpn1 vừa tạo chọn Tab Dial-in Trong khung Remote Access Permission (Dial-in or VPN) chọn Allow access có ta ñứng từ máy VPN client kết nối với máy mạng nội công ty thông qua VPN Server ta phải nhập ñúng tài khoản mà ta ñã tạo VPN Server lúc ñó VPN Server mạng công ty cho phép truy cập vào hệ thống công ty Như ñã cấu hình thành công VPN Server -45- Bước 13: Cấu hình máy VPN Client: Tôi vào Network Connections máy Client chọn New Connection Wizard Next, Sau ñó chọn tiếp phần Connect to the network at my workplace Next Bước 14: Chọn mục Virtual Private Network connection Next -46- Bước 15: Trong phần Connection Name ñặt cho tên remote access vpn Next Bước 16: Nhập ñịa IP public mạng công ty mà nhân viên muốn kết nối ñịa public công ty 192.168.1.1và Finish Bước 17: Nhập tài khoản mà ñã tạo trước ñó máy VPN Server nhấp Connect -47- Và ñây hình kết nối thành công Mô hình ping từ máy VPN client ñến máy client công ty Mô hình kết nối từ máy VPN client ñến máy client công ty Trên ñây thao tác thực kết nối Client to Site ñã thành công cho mô hình mạng công ty ABC -48- KẾT LUẬN Các vấn ñề ñạt ñược Qua trình thực ñồ án chuyên ngành lần vấn ñề ñầu tiên mà em ñạt ñược hiểu ñược nguyên lý làm việc công nghệ mạng riêng ảo biết cách triển khai hệ thống VPN cho doanh nghiệp nhỏ Từ việc triển khai ñồ án chuyên ngành ñã giúp em biết thêm kiến thức bảo mật thông tin mạng quan trọng nắm vững ñược kiến thức an toàn mạng mà em ñã ñược học từ trước Em ñã triển khai ñược mô hình mạng riêng ảo ñó mô hình Client to Site giao thức ñường hầm PPTP Cuối biết ñược tầm quan trọng công nghệ mạng riêng ảo ñối với doanh nghiệp nước, ñây công nghệ phát triển chưa ñược doanh nghiệp thuộc nhiều lĩnh vực khác nước ñã biết nắm bắt ñược công nghệ ñã áp dụng thành công với công nghệ Nó ñã giúp cho doanh nghiệp tiết kiệm ñược chi phí kinh doanh thuận lợi cho việc trao ñổi thông tin với ñối tác liên lạc với nhân viên họ ñi công tác Hạn chế Trong lần thực ñồ án riêng lớp chúng em lịch học với Thầy trường dạy nhiều nên thời gian dành ñể làm ñồ án thành việc tìm hiểu nghiên cứu tài liệu nhiều lúc sai sót, tài liệu chưa ñược thống ñã có chỉnh sửa từ ñó dẫn ñến việc ñồ án có nhiều chỗ chưa ñược xác Phần triển khai lý thuyết chương chưa ñược hoàn thiện em chưa tìm hiểu ñược nhiều thông tin chuyên sâu giao thức ñường hầm nên lý thuyết phần sơ sài Còn phần chương trang thiết bị nên em demo ñược máy ảo mày chưa thử ñược máy thật nên ñi internet -49- Hướng phát triển Từ trình thực ñồ án với kiến thức mà em ñã tìm hiểu ñược em nghĩ với công nghệ triển khai lên thành mô hình mạng riêng ảo Site to Site ñể doanh nghiệp triển khai việc hợp tác họ cách có thuận lợi Hi vọng ngày với ñồ án tốt nghiệp em hoàn thiện ñồ án với mô hình triển khai cao mô hình Site to Site -50- TÀI LIỆU THAM KHẢO A Tài liệu Tiếng Việt [1] Mạng truyền thông công nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học kỹ thuật năm 2004 [2] 100 thủ thuật bảo mật mạng, tác giả K/S Nguyễn Ngọc Tuấn, Hồng Phúc NXB Giao thông vận tải, năm 2005 B Tài liệu internet: [3] http://3c.com.vn/Story/vn/hotrokhachhang/kienthucmang/2008/1/34478.html [4] http://3c.com.vn/Story/vn/hotrokhachhang/kienthucmang/2008/1/34479.html [5] http://forum.mait.vn/microsoft-windows/10762-vpn-client-site.html [6] http://www.4shared.com/document/OLfMmpcZ/VPN.htm [7] http://timsach.com.vn/viewEBOOK_33_2209_Co_ban_ve_VPN.html C Tài liệu Tiếng Anh [8] David Bruce, Yakov Rekhter - (2000) Morgan Kaufmann Publisher - MPLS Technology and Application MPLS_Cisco.pdf -51- NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN -52- NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN -53- [...]... Kiểu VPN này thường ñược cấu hình như là một VPN Site -to- Site Sự khác nhau giữa một VPN nội bộ và một VPN mở rộng ñó là sự truy cập mạng mà ñược công nhận ở một trong hai ñầu cuối của VPN Một số thuận lợi của Extranet VPNs: - Giảm chi phí rất nhiều so với phương pháp truyền thống - Dễ bảo trì và chỉnh sữa các thiết lập có sẵn - Do sử dụng ñường truyền Internet nên sẽ có nhiều sự lựa chọn dịch vụ sao cho. .. ñoạn hệ thống, không phá hỏng dữ liệu hoặc chiếm quyền truy nhập Lỗ hỏng loại B: cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ Mức ñộ nguy hiểm trung bình, những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn ñến lộ thông tin yêu cầu bảo mật Lỗ hỏng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho thể truy nhập vào hệ thống. .. hóa dữ liệu Kiểu VPN này thường ñược cấu hình như là một VPN Site -to- Site Hình 1.5 Mô hình Intranet VPNs Một số thuận lợi của Intranet VPNs: - Giảm chi phí mua router ñược sử dụng ở WAN backbone - Giảm nhân sự ở các trạm kết nối - Dể dàng thiết lập những kết nối Peer -to- Peer mới vì có môi trường Internet làm trung gian - Hiệu quả kinh tế có thể ñạt ñược bằng cách sử dụng ñường hầm VPN kết hợp với kỹ... vận hành của to n hệ thống Một số bất lợi khác: -13- - Nguy cơ bị tấn công DoS khá cao - Tăng rủi ro thâm nhập vào Intranet của tổ chức - Gây chậm ñường truyền và hệ thống khi truyền dữ liệu ña phương tiện do phụ thuộc ñường truyền vào Internet Hình 1.7 Mô hình ba kiểu VPN CHƯƠNG 2 CÁC GIAO THỨC BẢO MẬT TRÊN VPN 2.1 CÁC GIAO THỨC ðƯỜNG HẦM TRONG VPN Giao thức ñường hầm là một nền tảng trong VPN Giao thức... hành cho các doanh nghiệp Một số bất lợi khác: - Nguy cơ bị tấn công bằng từ chối dịch vụ (denial-of-service) vẫn còn là mối ñe dọa an to n thông tin - Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao -12- - Có thể gây quá tải, chậm hệ thống khi truyền những dữ liệu ña phương tiện vì phụ thuộc vào mạng Internet 1.2.3 VPN mở rộng (Extranet VPNs) Không giống như giải pháp Intranet VPN. .. vai trò quan trọng ñối với VPNs, phương pháp này ñảm bảo các bên tham gia truyền tin trao ñổi dữ liệu với ñúng người, ñúng host Authentication cũng tương tự như "logging in" vào một hệ thống với username và password, tuy nhiên VPNs yêu cầu các phương pháp nhận thực chặt chẽ, nghiêm ngặt hơn rất nhiều ñể xác nhận tính hợp lệ Hầu hết các hệ thống nhận thực VPN ñều dựa trên hệ thống khoá bảo mật chung,... TCP/UDP của tầng vận chuyển và phát hiện những dịch vụ sử -33- dụng trên hệ thống ñó, nó ghi lại những ñáp ứng (Response) của hệ thống ở xa tương ứng với các dịch vụ mà nó phát hiện ra Dựa vào những thông tin này, những kẻ tấn công có thể tìm ra những ñiểm yếu trên hệ thống Trojans: Một chương trình Trojans chạy không hợp lệ trên một hệ thống với vai trò như một chương trình hợp pháp Nó thực hiện các chức... ñiểm yếu của mạng Các lỗ hỏng bảo mật hệ thống: là các ñiểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền ñối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn tại trong các dịch vụ như Sendmail, Web, Ftp và trong hệ ñiều hành mạng như trong Windows NT, Windows 95, UNIX; hoặc trong các ứng dụng Lỗ hỏng loại C: cho phép thực hiện các phương thức tấn... giống như giải pháp Intranet VPN và Remote Access VPN, Extranet VPN không tách riêng với thế giới bên ngoài Extranet VPN cho phép ñiều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các ñối tác, khách hàng hay nhà cung cấp, những người ñóng vai trò quan trọng trong hoạt ñộng thương mại của tổ chức Hình 1.6 Mô hình Extranet VPNs Các VPN mở rộng cung cấp một ñường hầm bảo mật giữa... phơi bày hoàn to n trong quá trình xác nhận Giao thức tạo ñường hầm kế tiếp (L2F) ñược phát triển nhằm cải thiện bảo mật với mục ñích này 2.1.2 Giao thức chuyển tiếp lớp hai (L2F) Giao thức L2F ñược nghiên cứu và phát triển sớm nhất và là một trong những phương pháp truyền thống ñể cho người sử dụng ở truy nhập từ xa vào mạng các doanh nghiêp thông qua thiết bị L2F cung cấp các giải cho dịch vụ quay ... -36- CHƯƠNG TRIỂN KHAI HỆ THỐNG VPN CLIENT TO SITE CHO DOANH NGHIỆP NHỎ 3.1 PHÂN TÍCH NHU CẦU SỬ DỤNG VPN 3.1.1 Hạ tầng mạng Công ty ABC chuyên cung cấp mặt hàng ñiện tử ñến ñại lý nhỏ to n thành... 2.2.3 Các kỹ thuật bảo mật VPN 35 CHƯƠNG 37 TRIỂN KHAI HỆ THỐNG VPN CLIENT TO SITE CHO DOANH NGHIỆP NHỎ 37 3.1 PHÂN TÍCH NHU CẦU SỬ DỤNG VPN 37 3.1.1 Hạ tầng... tiên mà em ñạt ñược hiểu ñược nguyên lý làm việc công nghệ mạng riêng ảo biết cách triển khai hệ thống VPN cho doanh nghiệp nhỏ Từ việc triển khai ñồ án chuyên ngành ñã giúp em biết thêm kiến thức