Đang tải... (xem toàn văn)
Đề tài là cái nhìn tổng quan về mạng riêng ảo VPN. Với mô hình kết nối sử dụng máy chủ VPN Server như Windows Server sẽ giúp các doanh nghiệp đặt biệt là người quản trị mạng có thể quản lý, làm việc từ xa, thông qua các kết nối với các giao thức bảo mật như L2TP, PPTP và IPSec. Người dùng có thể có thể truy cập tại nhà hoặc tại các văn phòng chi nhánh của công ty để truy cập kết nối tới công ty làm việc. Với giải pháp nguồn mở và việc sử dụng máy chủ Windows Server làm chủ, sẽ giúp các doanh nghiệp giảm tải gánh nặng về tài chính, sử dụng các trang thiết bị liên quan, đồng thời vẫn tăng cường khả năng bảo mật cho doanh nghiệp.
-1- MỤC LỤC -2Đồ án tốt nghiêp Danh mục chữ viết tắt DANH MỤC CHỮ VIẾT TẮT Từ viết tắt Từ đầy đủ Ý nghĩa 3DES Triple Data Encryption Standard Thuật toán mật mã 3DES AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến AH Authentication Header Giao thức tiêu đề xác thực ATM Asynchronous Tranfer Mode Công nghệ truyền tải không đồng CHAP Challenge Handshake Authentication Protocol Giao thức xác thực yêu cầu bắt tay DES Data Encryption Standard Thuật toán mật mã DES DSL Digital Subcriber Line Đường dây thuê bao số EAP Extensible Authentication Protocol Giao thức xác thực mở rộng ESP Encapsulating Security Payload Giao thức tải an ninh đóng gói FA Foreign Agent Đại diện tạm trú FCS Frame Check Sequence Chuỗi kiểm tra khung FR Frame Relay Chuyển tiếp khung liệu GRE Generic Routing Encapsulation Giao thức mã hóa định tuyến GVPNS Global VPN Service Dịch vụ VPN toàn cầu HA Home Agent Đại diện thường trú HMAC Hash-based Message Authentication Code Mã nhận thực tin dựa hàm băm IANA Assigned Numbers Authority Tổ chức cấp phát số hiệu Internet IAS International Accounting Standards Dịch vụ xác thực Internet IETF Internet Engineering Task Force Cơ quan chuẩn Internet IKE Internet Key Exchange Giao thức trao đổi khoá Internet IP Internet Protocol Giao thức Internet IPSec Internet Protocol Security Giao thức bảo mật Internet ISDN Integrated Service Digital Network Mạng số liên kết đa dịch vụ ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IVC Integrity Value Check Kiểm tra giá trị tính tồn vẹn L2F Layer Forwarding Giao thức chuyển tiếp lớp L2TP Layer Tunneling Protocol Giao thức đường hầm lớp LCP Link Control Protocol Giao thức điều khiển liên kết MAC Message Authentication Code Mã xác thực tin MD5 Message Digest Thuật toán MD5 MPPE Microsoft Point-to-Point Encryption Mã hoá điểm-điểm Microsoft NAS Network Attached Storages Ổ lưu trữ mạng -3Đồ án tốt nghiêp Danh mục chữ viết tắt NDIS Network Driver Interface Specification Xác định giao diện mạng NetBEUI NetBIOS Extended User Interface Giao thức truyền dẫn thích ứng với NetBIOS OSI Open System Interconnection Kết hệ thống mở PAP Passwork Authentication Protocol Giao thức xác thực mật PBX Private Branch Exchange Tổng đài thuê bao PIN Personal Information Number Mã số thông tin cá nhân PKI Public Key Infrastructure Cơ sở hạ tầng khố cơng khai POP Point of Presence Điểm truy cập mạng PPP Point to Point Protocol Giao thức điểm tới điểm PPTP Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới điểm PSTN Public Switched Telephone Network Mạng điện thoại chuyển mạch công cộng QoS Quality of Service Chất lượng dịch vụ RADIUS Remote Authentication Dial-In User Service Xác thực người dùng quay số từ xa RAS Remote Access Service Dịch vụ truy nhập từ xa RRAS Routing and Remote Access Server Máy chủ truy cập định tuyến truy cập từ xa SA Securty Association Kết hợp an ninh SAD Security Association Database Cơ sở liệu liên kết bảo mật SHA Secure Hash Algorithm Thuật giải băm an tồn SPD Security Policy Database Chính sách bảo mật sở liệu SPI Sercurity Parameter Index Chỉ số thông số an ninh TCP Transmission Control Protocol Giao thức điều khiển đường truyền UDP User Datagram Protocol Giao thức UDP VDC Vietnam Datacommunication Company Cơng ty Điện tốn Truyền số liệu VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng -4Đồ án tốt nghiêp Danh mục Hình vẽ DANH MỤC HÌNH VẼ -5Đồ án tốt nghiêp Danh mục bảng DANH MỤC BẢNG -6- CHƯƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN 1.1 Giới thiệu mạng riêng ảo VPN Mạng riêng ảo VPN (Virtual Private Network) kỹ thuật xuất từ lâu, nhiên thực bùng nổ trở nên cạnh tranh xuất công nghệ mạng thông minh với đà phát triển mạnh mẽ Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) mạng riêng ảo an toàn (Secure VPN) Mạng riêng ảo kiểu tin tưởng xem số mạch thuê nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động đường dây mạng cục Tính riêng tư trusted VPN thể chỗ nhà cung cấp dịch vụ đảm bảo khơng có sử dụng mạch thuê riêng Khách hàng mạng riêng ảo loại tin tưởng vào nhà cung cấp dịch vụ để trì tính tồn vẹn bảo mật liệu truyền mạng Các mạng riêng xây dựng đường dây thuê thuộc dạng “trusted VPN” Mạng riêng ảo an toàn mạng riêng ảo có sử dụng mật mã để bảo mật liệu Dữ liệu đầu mạng nội mật mã chuyển vào mạng công cộng Internet sau giải mã liệu phía thu Dữ liệu mã hố coi truyền đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù kẻ cơng nhìn thấy liệu đường truyền khơng có khả đọc liệu mã hoá Mạng riêng ảo xây dựng dựa Internet mạng riêng ảo kiểu an toàn, sử dụng sở hạ tầng mở phân tán Internet cho việc truyền liệu vị trí cơng ty Trọng tâm đồ án tốt nghiệp bàn VPN dựa Internet Khi nói đến mạng riêng ảo VPN hiểu mạng riêng ảo dựa Internet 1.1.1 Định nghĩa VPN định nghĩa kết nối mạng nội tổ chức, công ty hay doanh nghiệp triển khai sở hạ tầng mạng cơng cộng, điển -7- hình mạng Internet với sách quản lý bảo mật giống mạng cục VPN khái niệm mới, chúng sử dụng mạng điện thoại trước số hạn chế mà cơng nghệ VPN chưa có sức mạnh khả cạnh tranh lớn Trong thời gian gần đây, phát triển mạng thông minh, sở hạ tầng mạng IP làm cho VPN thực có tính mẻ VPN cho phép thiết lập kết nối riêng với người dùng xa, văn phòng chi nhánh cơng ty đối tác công ty sử dụng chung mạng công cộng mạng Internet Nguồn: [12] Hình 1.1 Mơ hình mạng VPN Hình 1.1 mơ hình mạng riêng ảo điển hình dành cho hệ thống mạng doanh nghiệp, mơ hình gồm thành phần hệ thống mạng như: web server, ftp, email, ERP server có chức quản lý tài nguyên mạng riêng doanh nghiệp, thiết bị firewall, company modem có chức bảo mật, định tuyến gói tin mã hoá truyền từ mạng riêng qua mạng Internet đảm bảo an tồn thơng tin q trình truyền đến nơi nhận cách bảo mật -8- giao thức đường hầm, thiết bị người dùng notebook, PC, ví VPN Client, đảm nhận việc thu nhận thông tin trao đổi với trụ sở với hệ thống mạng riêng doanh nghiệp 1.1.2 Lịch sử phát triển VPN Sự xuất mạng chuyên dùng ảo, gọi mạng riêng ảo (VPN), bắt nguồn từ yêu cầu khách hàng (client), mong muốn kết nối cách có hiệu với tổng đài thuê bao (PBX) lại với thông qua mạng diện rộng (WAN) Trước kia, hệ thống điện thoại nhóm mạng cục (LAN) trước sử dụng đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực việc thông tin với Các mốc đánh dấu phát triển VPN: Năm 1975, Franch Telecom đưa dịch vụ Colisee, cung cấp dịch vụ dây chuyên dùng cho khách hàng lớn Colisee cung cấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ vào lượng dịch vụ mà đưa cước phí nhiều tính quản lý khác Năm 1985, Sprint đưa VPN, AT&T đưa dịch vụ VPN có tên riêng mạng định nghĩa phần mềm SDN Năm 1986, Sprint đưa Vnet, Telefonica Tây Ban Nha đưa Ibercom Năm 1988, nổ đại chiến cước phí dịch vụ VPN Mỹ, làm cho số xí nghiệp vừa nhỏ chịu cước phí sử dụng VPN tiết kiệm gần 30% chi phí, kích thích phát triển nhanh chóng dịch vụ Mỹ Năm 1989, AT&T đưa dịch vụ quốc tế IVPN GSDN Năm 1990, MCI Sprint đưa dịch vụ VPN quốc tế VPN; Telstra Ô-xtrây-li-a đưa dich vụ VPN rong nước khu vục châu Á – Thái Bình Dương Năm 1992, Viễn thông Hà Lan Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN -9- Năm 1993, AT&T, KDD viễn thông Singapore tuyên bố thành lập Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, có dịch vụ VPN Năm 1994, BT MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)… 10 Năm 1995, ITU-T đưa khuyến nghị F-16 dịch vụ VPN toàn cầu (GVPNS) 11 Năm 1996, Sprint viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One 12 Năm 1997 coi năm rực rỡ công nghệ VPN, Công nghệ có mặt khắp tạp chí khoa học công nghệ, hội thảo…Các mạng VPN xây dựng sở hạ tầng mạng Internet công cộng mang lại khả mới, nhìn cho VPN Công nghệ VPN giải pháp thông tin tối ưu cho cơng ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn Ngày nay, với phát triển công nghệ, sở hạ tầng mạng IP (Internet) ngày hoàn thiện làm cho khả VPN ngày hoàn thiện Hiện nay, VPN khơng dùng cho dịch vụ thoại mà dùng cho dịch vụ liệu, hình ảnh dịch vụ đa phương tiện 1.1.3 Các thành phần tạo nên VPN Để triển khai hệ thống VPN cần có số thành phần bản, việc tạo hệ thống VPN người có lựa chọn thành phần khác để phù hợp với cơng ty hay mục đích người, số thành phần tạo nên VPN là: VPN Client, VPN Server, IAS Server, Firewall, giao thức đường hầm giao thức xác thực 1.1.3.1 VPN client Một khách hàng VPN máy tính định tuyến Loại VPN khách hàng sử dụng cho mạng công ty thực phụ thuộc vào nhu cầu cá nhân cơng ty -10- Mặt khác, cơng ty có vài nhân viên người cơng tác xa thường xuyên cần phải truy cập vào mạng cơng ty đường đi, bạn hưởng lợi từ việc thiết lập máy tính xách tay nhân viên VPN client Về mặt kỹ thuật, hệ điều hành hoạt động VPN Client miễn có hỗ trợ giao thức như: giao thức đường hầm điểm-điểm PPTP(Point To Point Tunneling Protocol), giao thức đường hầm lớp L2TP (Layer Tunneling Protocol) giao thức bảo mật Internet IPSec (Internet Protocol Security) Trong hệ điều hành Microsoft, bạn sử dụng Windows XP, Windows Windows 10 Ngày nay, với phiên Windows khả truy cập mạng VPN phát triển tối ưu hơn, vấn đề khơng tương thích với phiên hệ điều hành tồn 1.1.3.2 VPN server Các máy chủ VPN hoạt động điểm kết nối cho khách hàng VPN Về mặt kỹ thuật, sử dụng Window Server 2008, Window Server 2012 phiên Windows Server 2016 máy chủ VPN VPN Server đơn giản Nó máy chủ chạy hệ điều hành Windows Server 2016 cài đặt dịch vụ máy chủ định tuyến truy cập từ xa RRAS (Routing and Remote Access Server) Khi kết nối VPN chứng thực, máy chủ VPN đơn giản hoạt động định tuyến cung cấp cho khách hàng VPN truy cập đến mạng riêng 1.1.3.3 IAS server Một yêu cầu bổ sung cho máy chủ VPN cần có máy chủ dịch vụ xác thực người dùng truy cập từ xa RADIUS (Remote Authentication Dial In User Service) RADIUS server sử dụng quay số xác thực từ xa RADIUS chế mà nhà cung cấp dịch cụ Internet thường sử dụng để xác thực thuê bao để thiết lập kết nối Internet -105- Hình 3.13 Chọn Allow access để cấp quyền truy cập cho tài khoản VPN Client Đã hoàn tất cấu hình PPTP VPN Server, sau cần phải thiết lập kết nối VPN Client đến VPN Server, ta truy cập theo đường dẫn sau: Control Panel\Network and Internet\Network and Sharing Center, sau chọn Set up a new connection or network Hình 3.14 -106- Hình 3.14 Thiết lập kết nối VPN Hình 3.15 Chọn giao thức kết nối Hình 3.16 Chọn giao thức kết nối thơng qua VPN Sau chọn I’ll set up Internet connection later để tiến hành cài đặt VPN trước kết nối Interner Hình 3.17 -107- Hình 3.17 Cấu hình kết nối VPN trước cài đặt Internet -108- Hình 3.18 Đặt địa Internet mà VPN Client cần kết nối đến Theo Hình 3.18 địa Internet address địa WAN VPN Server, giúp cho VPN Client xác định đích đến đường hầm -109- Hình 3.19 Đăng nhập tài khoản VPN Client Tài khoản VPN Client sử dụng Hình 3.19 tài khoản mà VPN Server tạo vào cấp phép cho tài khoản truy cập mạng Local hệ thống nội Sau tạo xong tài khoản VPN, card ảo VPN Connection mặc định chưa kết nối đến VPN Server, ta cần phải Connect Hình 3.20 -110- Hình 3.20 Kết nối đến VPN Server Hình 3.21 Nhập lại mật để kết nối đến VPN Server Q trình kết nối đến VPN Server hồn tất Ta tiến hành kiểm tra cách Ping đến mạng Local xem cấu hình IP VPN Client -111- Hình 3.22 Kiểm tra kết nối tới thành phần mạng Local Hình 3.23 Kiểm tra cấu Hình IP VPN Client Theo Hình 3.23 lúc VPN Client có thêm kết nối VPN với địa IP 100.0.0.103, địa cấp từ VPN Server dành cho tài khoản truy cập từ xa đến mạng Local công ty -112- 3.4.2.2 Giải pháp 2: Layer Tunneling Protocol (L2TP) Đối với giải pháp L2TP, với trình thao tác Mục 3.4.2.1 PPTP hoàn tất, giải pháp L2TP ta cần chỉnh lại với số thao tác cấu hình VPN theo giao thức đường hầm L2TP Trong máy VPN Server, để cấu hình VPN theo giao thức L2TP, ta vào Start/ Server Manager/ Tools/ Routing and Remote access Hình 3.24 Hình 3.24 Truy cập vào Routing and Remote access Hình 3.25 Vào Properites để cấu hình giao thức L2TP Trong phần Properties, chọn Tab Security, tick vào “Allow custom IPSec policy for L2TP/IKEv2 connection.”, mục “Preshare Key” ta chọn dãy số điền vào để xác lập bảo mật cho giao thức L2TP -113- Hình 3.26 Đặt mật mã xác thực cho giao thức L2TP Tron máy VPN Client, ta truy cập vào: “Control Panel\Network and Internet\Network Connections”, chọn Properties card mạng VPN Connection để tiến hành đặt khố IKEv2 connection Hình 3.26 -114- Hình 3.27 Vào Properties để cấu Hình giao thức L2PT cho máy VPN Client Trong Tab Security VPN Connection Properties, mục “Type of VPN”, ta chọn “Layer Tunneling Protocol with IPSec (L2TP/IPSec)” Hình 3.27 -115- Hình 3.28 Chọn giao thức L2TP cho máy VPN Client Sau chọn phần “Advanecd settings” , tick chọn phần “Use preshare key for authention” để sử dụng dãy mật mã mà ta thiết lập máy VPN Server, mật mã dùng để xác thực người truy cập Hình 3.28 -116- Hình 3.29 Nhập mã xác thực cho giao thức L2TP Tiến hành kết nối đến VPN Server Hình 3.29 Hình 3.30 Đăng nhập tài khoản VPN Client Đã kết nối thành cơng với VPN Server: -117- Hình 3.31 Kết nối VPN thành công giao thức L2TP 3.5 Kết luận chương Với mơ hình kết nối sử dụng máy chủ VPN Server Windows Server giúp doanh nghiệp đặt biệt người quản trị mạng quản lý, làm việc từ xa, thông qua kết nối với giao thức bảo mật L2TP, PPTP IPSec Người dùng có thể truy cập nhà văn phòng chi nhánh cơng ty để truy cập kết nối tới công ty làm việc Với giải pháp nguồn mở việc sử dụng máy chủ Windows Server làm chủ, giúp doanh nghiệp giảm tải gánh nặng tài chính, sử dụng trang thiết bị liên quan, đồng thời tăng cường khả bảo mật cho doanh nghiệp Qua mô hệ thống mạng VPN phần mềm ảo hoá VMWare, giúp ta nắm kiến thức liên quan đến phần mềm ảo hoá, hệ điều hành Windows Server giao thức bảo mật đến kết nối VPN -118Đồ án tốt nghiêp Lời cám ơn LỜI CẢM ƠN -119Đồ án tốt nghiêp Tài liệu tham khảo ... ảo VPN phân làm hai loại: • Mạng VPN Remote Access • Mạng VPN Site to Site: bao gồm mạng VPN cục (Intranet VPN) mạng VPN mở rộng (Extranet VPN) 1.4.1 Mạng VPN truy nhập từ xa (Remote Access VPN) ... máy chủ VPN ISA Server sau hoạt động proxy VPN Cả hai VPN Client VPN Server giao tiếp với máy chủ ISA mà không giao tiếp trực tiếp với Điều có nghĩa ISA Server che chắn VPN Server từ VPN Client... Internet 1.4.2.2 Mạng VPN mở rộng (Extranet VPN) Không giống mạng VPN cục mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp