Báo cáo VPN hoan chinh
June 21, 2016 | Author: Mitra Nguyen | Category: N/A
Short Description
Download Báo cáo VPN hoan chinh...
Description
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
LỜI CẢM ƠN Công Ty Điện Toán Và Truyền Số Liệu VDC3 là nơi em tiến hành thực tập. Trong 2 tháng thực tập tại đây, em đã thu được rất nhiều kinh nghiệm quý báu, được thực hành những kiến thức đã học vào công việc cụ thể, tìm hiểu thêm được nhiều kiến thức mới, điều này sẽ giúp ích cho em rất nhiều trong công việc sau này và có cơ sở thực tế để hoàn thành tốt báo cáo thực tập. Vì vậy, em xin chân thành cảm ơn toàn thể nhân viên của Công Ty Điện Toán Và Truyền Số Liệu VDC3 đã nhiệt tình hướng dẫn, giúp đỡ cho em hoàn thành tốt nhiệm vụ được giao trong thời gian thực tập tại đây. Bên cạnh đó, em cũng xin gởi lời cảm ơn đến các thầy cô trong đoàn thực tập trường Đại Học Sư Phạm Đà Nẵng, đặc biệt là thầy PGS.TS KH Trần Quốc Chiến người đã trực tiếp giám sát, hướng dẫn em trong thời gian thực tập vừa qua.
Em xin chân thành cảm ơn! Sinh viên Nguyễn Quang Khoa.
SV thực hiện: Nguyễn Quang Khoa Page 1
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
MỤC LỤC LỜI CẢM ƠN..............................................................................................................1 MỤC LỤC....................................................................................................................2 Phần I: Giới Thiệu Về Công Ty Điện Toán Và Truyền Số Liệu VDC3........................3 I.Đôi Nét Về Công Ty Điện Toán Và Truyền Số Liệu VDC3:......................................3 1.Quá trình hình thành và phát triển:..........................................................................3 2.Đội ngũ nhân viên:..................................................................................................4 3.Các lĩnh vực chuyên môn:.......................................................................................5 II.Mục Tiêu Và Hướng Phát Triển:..............................................................................5 1.Sứ Mệnh:................................................................................................................5 2.Tầm Nhìn:...............................................................................................................6 I.Nội Dung Và Tiến Độ Thực Tập:..............................................................................6 1.Nội Dung Thực Tập:................................................................................................6 2.Nhật Ký Thực Tập:..................................................................................................7 II.Kế hoạch thực tập...................................................................................................8 MỞ ĐẦU..................................................................................................................... 9 Chương 1 – GIỚI THIỆU...........................................................................................11 1.1 Tính cấp thiết của đề tài....................................................................................11 1.2. Tổng quan về VPN.............................................................................................12 1.2.1. VPN là gì? ....................................................................................................12 1.2.2. Lợi ích của VPN đem lại :..............................................................................13 1.2.3. Các thành phần cần thiết tạo nên kết nối VPN:............................................14 Chương 2 - CƠ SỞ LÝ THUYẾT..............................................................................15 2.1. Các loại VPN:.....................................................................................................15 2.2. Giao thức bảo mật IP – IPSEC..........................................................................17 2.2.1 Giới thiệu........................................................................................................17
SV thực hiện: Nguyễn Quang Khoa Page 2
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
2.2.2. Các giao thức của IPSec...............................................................................18 2.2.3. Hoạt động của IPSec....................................................................................22 2.2.4. Cách cấu hình IPSec.....................................................................................26 2.3. Bảo mật trong VPN............................................................................................28 2.3.1 Xác thực......................................................................................................... 29 2.3.2. Mã hóa.......................................................................................................... 31 Chương 3: CÀI ĐẶT VÀ TRIỂN KHAI........................................................................32 3.1. Công cụ sử dụng...............................................................................................32 3.2. Cấu hình một mạng VPN site-to-site..................................................................33 Chương 4: KẾT LUẬN...............................................................................................42 4.1. Kết quả đạt được...............................................................................................42 4.2. Những mặt hạn chế...........................................................................................42 4.3. Đề xuất ............................................................................................................. 42
Phần I: Giới Thiệu Về Công Ty Điện Toán Và Truyền Số Liệu VDC3 I. Đôi Nét Về Công Ty Điện Toán Và Truyền Số Liệu VDC3: 1. Quá trình hình thành và phát triển: Trung tâm Đào tạo VDC Training là đơn vị thuộc VDC - công ty thành viên tập đoàn VNPT. VDC là doanh nghiệp hàng đầu trong lĩnh vực cung cấp dịch
SV thực hiện: Nguyễn Quang Khoa Page 3
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
vụ Internet, có nhiều kinh nghiệm trong lĩnh vực tư vấn, thiết kế, triển khai các hệ hống hạ tầng công nghệ thông tin và chuyển giao công nghệ. VDC Training đã có hơn 7 năm kinh nghiệm trong lĩnh vực đào tạo CNTT đẳng cấp cao. Khởi đầu từ hoạt động đào tạo triển khai lắp đặt, hỗ trợ các dịch vụ Internet, Truyền số liệu, Tin học của VNPT/VDC cho các khách hàng, đại lý, đối tác và các viễn thông tỉnh/thành phố, VDC Training đã thành công trong việc phát triển thành một trung tâm đào tạo CNTT có uy tín hàng đầu ở khu vực miền Trung và Tây Nguyên nói riêng và cả nước nói chung, không ngừng khẳng định là một đơn vị đào tạo đẳng cấp chuyên nghiệp, mang đến các chương trình đào tạo theo chuẩn mực quốc tế cũng như đáp ứng tốt các chương trình đào tạo theo yêu cầu của các tổ chức lớn, cung cấp nhiều khoá học khác nhau nhằm giúp học viên nâng cao kỹ năng làm việc cũng như mang lại lợi ích đáng kể cho các tổ chức của họ. Tính đến thời điểm hiện nay, VDC Training là đối tác đào tạo ủy quyền chính thức của Cisco, CompTIA, Pearson VUE, Prometric tại Việt Nam và cũng là thành viên mạng lưới đối tác Microsoft. Tiếp nối thành công ở mảng đào tạo các chương trình IT quốc tế và đặc biệt là để đáp ứng nhu cầu của khách hàng, từ năm 2011 VDC Training triển khai đào tạo các chương trình về quản trị, kỹ năng mềm và ISO 27001, ISO 20000.
2. Đội ngũ nhân viên: VDC Training tự hào có đội ngũ giảng viên là các chuyên gia có trình độ chuyên môn cao, hiểu và nắm rõ phương pháp sư phạm, nhiệt tình trong công tác đào tạo; đã được cấp các chứng chỉ Quốc tế của các tổ chức hàng đầu như Cisco, Microsoft, Oracle, Sun, CompTIA, SCP, EC Council ... tuy nhiên sự khác biệt cũng là tài sản quý nhất của VDC Training chính là kinh nghiệm làm việc thực tế của giảng viên trong môi trường của một đơn vị cung cấp dịch vụ IP/Internet/Tin học hàng đầu. Đội ngũ giảng viên của VDC Training với nhiều năm kinh nghiệm làm việc trong môi trường thực tế không những cung cấp cho SV thực hiện: Nguyễn Quang Khoa Page 4
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
học viên đầy đủ kiến thức lý thuyết mà còn tư vấn, hỗ trợ học viên vận dụng và giải quyết các tình huống thực tế. Sau khi tốt nghiệp, học viên có khả năng đáp ứng ngay các yêu cầu công việc thực tiễn. Chất lượng đào tạo thể hiện rõ qua kết quả thi của học viên: sau khi hoàn thành các chương trình đào tạo, trên 90% học viên thi đạt điểm cao các chứng chỉ quốc tế ở ngay lần thi đầu tiên.
3. Các lĩnh vực chuyên môn: Hiện nay, đội ngũ giảng viên của VDC Training đã đạt các chứng chỉ: CCSI, CCNA, CCNP, CCSP, CCAI, CCDP, CCIE Writtten, CWNA, SCSA, MCSE, MCITP, MCTS, MCT, CCSE, CompTIA Linux+, CompTIA Security+, SCNS, SCNP, SCNA, SCPI, CEH, CEI, Oracle DBA 10g, 11g v.v... Không dừng lại và không thỏa mãn với những gì đạt được, các giảng viên VDC Training vẫn thường xuyên học tập, tham dự các khóa đào tạo nâng cao, các hội thảo công nghệ chuyên sâu trong và ngoài nước để cập nhật kiến thức mới và trau dồi kỹ năng mềm, nghiệp vụ sư phạm. Đội ngũ giảng viên giỏi chuyên môn nghiệp vụ, nhiều kinh nghiệm, cơ sở vật chất đạt tiêu chuẩn quốc tế cùng với nội dung đào tạo bổ ích đã giúp cho VDC Training trở thành đối tác đào tạo nguồn nhân lực cho nhiều đơn vị hoạt động trong các lĩnh vực khác nhau. II. Mục Tiêu Và Hướng Phát Triển: 1. Sứ Mệnh: • Truyền đạt, hướng dẫn học viên/ khách hàng các kiến thức, kỹ năng CNTT chuyên sâu ở đẳng cấp quốc tế về chương trình và chất lượng đào tạo. Góp phần phát triển nguồn nhân lực CNTT Việt Nam đạt tiêu chuẩn quốc tế. • Xây dựng một môi trường học tập thân thiện, cởi mở với cơ sở vật chất hiện đại, đủ sức hấp dẫn để quy tụ được nhân lực CNTT trong và ngoài nước về cộng tác nghiên cứu, thử nghiệm, trao đổi học thuật, kinh nghiệm với nhau. • Tạo điều kiện cho mọi thành viên của VDC Training phát triển tối đa năng lực cá nhân, có cuộc sống sung túc về vật chất, hạnh phúc về tinh thần. SV thực hiện: Nguyễn Quang Khoa Page 5
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
2. Tầm Nhìn: VDC Training trở thành: • Một tổ chức hàng đầu ở Việt Nam nói riêng và ở khu vực Đông Nam Á nói chung trong lĩnh vực tư vấn và đào tạo CNTT theo các chương trình quốc tế. • Một trong những môi trường làm việc tốt nhất cho nhân lực CNTT Việt Nam.
Phần II: Nội Dung Thực Tập I. Nội Dung Và Tiến Độ Thực Tập: 1. Nội Dung Thực Tập: • Tìm hiểu về mạng riêng ảo VPN, về cấu trúc khái niệm và cách triển khai. • Tìm hiểu và nghiên cứu phương pháp quản lý mạng cho mạng nội bộ tại công ty VDC, đồng thời thu thập một số kinh nghiệm từ các anh chị đồng nghiệp cho công việc sau này.
SV thực hiện: Nguyễn Quang Khoa Page 6
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
• Thực hành cài đặt và làm việc với một số sản phẩm phần mềm của công ty. • Trao đổi, học hỏi kinh nghiệm. 2. Nhật Ký Thực Tập: • Ngày 30/01/2012, tôi chính thức tham gia thực tập tại Công Ty Điện Toán Và Truyền Số Liệu VDC3 • Tôi đã được thực tập tại bộ phận nghiên cứu, phát triển hệ thống mạng của công ty. •
Dưới sự phân công của công ty, tôi đã được Thầy Bùi Đức Minh và thầy
Hoàng Phi Hổ làm cán bộ hướng dẫn trong thời gian thực tập.Theo đó tôi đã trao đổi với người hướng dẫn thông tin cần biết về công ty, các vấn đề liên quan đến nội dung công việc thực tập, buổi họp công ty,cách tổ chức công việc và làm quen với các anh chị đồng nghiệp.
SV thực hiện: Nguyễn Quang Khoa Page 7
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
II. Kế hoạch thực tập
STT
Nội dung công
Mục tiêu
việc
Phương thức
Kết quả
Thời gian
thực hiện
đạt được
hoàn thành (dự kiến)
1
2
3
4
Chọn đề tài,tìm
Tìm đề
Hướng dẫn
Hiểu sơ
1/2/13
hiểu sơ lược
tài phù
của VDC và
lược về
18/2/13
hợp.
tự tìm hiểu.
đề tài
Tìm hiểu đề
Tìm hiểu
Hướng dẫn
Xác định
19/2/13
tài,hướng nghiên
kĩ
của VDC và
hướng
24/2/13
cứu.
hơn,lập
tự tìm hiểu.
phát triển
kế hoạch
và tìm
nghiên
hiểu đề
cứu đề tài
tài
Viết đề tài và tìm
Viết từng
Tìm hiểu và
Hiểu
25/2/13
hiểu thực tế
phần về
thực hành
chuyên
10/3/13
đề tài
trực tiếp tại
sâu hơn
thực hành
VDC
về đề tài
Viết báo cáo,tìm
Hoàn
Hướng dẫn
Hoàn
11/3/13
hướng phát triển
thành đề
của VDC và
thành tốt
25/3/13
tài
tự tìm hiểu.
đề tài
SV thực hiện: Nguyễn Quang Khoa Page 8
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
MỞ ĐẦU 1. Lý do chọn đề tài Ngày nay, công nghệ viễn thông đang phát triển rất nhanh, trong đó công nghệ mạng đóng vai trò hết sức quan trọng trong việc thông tin dữ liệu. Chỉ xét về góc độ kinh doanh, nhu cầu truyền thông của các công ty, tổ chức là rất lớn. Một công ty có một mạng riêng cho phép chia sẻ tài nguyên giữa các máy tính nội bộ. Nhưng cũng muốn các chi nhánh, văn phòng, nhân viên di động hay các đối tác từ xa có thể truy cập vào mạng công ty. Có nhiều dịch vụ được cung cấp như Modem quay số, ISDN server hay các đường WAN thuê riêng đắt tiền. Nhưng với sự phát triển rộng rãi của Internet, một số công ty có thể kết nối với nhân viên, đối tác từ xa ở bất cứ đâu, thậm chí trên toàn thể giới mà không cần sử dụng các dịch vụ đắt tiền trên. Nhưng có một vấn đề là mạng nội bộ công ty chứa tài nguyên, dữ liệu quan trọng mà chỉ cho phép người dùng có quyền hạn, được cấp phép mới được truy cập vào mạng trong khi Internet là mạng công cộng và không bảo mật. Do đó, Internet có thể là mối nguy hiểm cho hệ thống mạng, cơ sở dữ liệu quan trọng của công ty. Sự thông tin qua môi trường Internet có thể bị làm sai lệch hoặc bị đánh cắp. Và đây chính là chỗ để mạng ảo (VPN - Virtual Private Network) chứng tỏ khả năng. VPN cung cấp giải pháp thông tin dữ liệu riêng tư an toàn thông qua môi trường mạng Internet công cộng với chi phí thấp, hiệu quả mà vẫn rất bảo mật. Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế. Đó là lý do tôi chọn đề tài: "Hệ thống mạng riêng ảo VPN” trong Đồ án thực tập, tôi hy vọng nó có thể góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN. 2. Mục đích của đề tài Nghiên cứu về giải pháp VPN xây dựng một hệ thống mạng ảo để có thể áp dụng vào thực tế hiện nay. Việc xây dựng hệ thống mạng ảo VPN có ý nghĩa sống còn trong các doanh nghiệp lớn, nó giúp tiết kiệm chi phí và đảm bảo an ninh dữ liệu. Ở Việt Nam, SV thực hiện: Nguyễn Quang Khoa Page 9
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế. 3. Phạm vi nghiên cứu Nghiên cứu việc xây dựng một mạng riêng ảo : về các vấn đề khó khăn, bất cập và thuận lợi trong công việc xây dựng hệ thống VPN hiện nay. 4. Phương pháp nghiên cứu Tiếp cận theo cách quy nạp, đi từ những kiến thức cơ bản rộng và sâu vào tổng quát. Sử dụng phương pháp tự nghiên cứu kết hợp với việc học hỏi và trau dồi từ thầy cô giáo thông qua những buổi gặp mặt hướng dẫn để từ đó xây dựng hệ thống máy ảo hoàn chỉnh có thể áp dụng vào thực tiễn. Tìm hiểu những thông tin về đề tài trên mạng Internet và sách báo có liên quan tới đề tài thực tập “Hệ thống mạng ảo VPN”. 5. Cấu trúc đề tài Nội dung tìm hiểu của đồ án gồm 4 chương sẽ lần lượt trình bày các vấn đề cơ bản nhất của mạng VPN: Chương 1: Nêu một số khái niệm tổng quan, tính cấp thiết của đề tài, hướng tiếp cận đề tài. Đưa ra các khái niệm tổng quan về VPN. Chương 2: Đưa ra các loại hình VPN, phân loại mạng VPN. Giới thiệu về giao thức đường hầm IPSec, các đặc điểm, hoạt động và cách cấu hình của giao thức đường hầm IPSec được sử dụng trong VPN. Nêu vấn đề bảo mật trong VPN bao gồm: quá trình mật mã và xác thực. Chương 3: Dựa vào những kiến thức đã tìm hiểu ở các chương trước để xây dựng mạng ảo VPN site-to-site trên chương trình giả lập GNS3 để đưa vào ứng dụng thực tế tại các doanh nghiệp, công ty. Chương 4: Kết luận. Đánh giá kết quả thực hiện, đưa ra những ưu điểm, khuyết điểm của đề tài.
SV thực hiện: Nguyễn Quang KhoaPage 10
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Chương 1 – GIỚI THIỆU Ngày nay việc ứng dụng hệ thống công nghệ thông tin vào cuộc sống đã được triển khai, ứng dụng và phát triển mạnh mẽ, với những tiến bộ vượt bậc. Việc phát triển nghành công nghệ thông tin cũng chỉ ra rằng đất nước đó đang phát trển tới mức độ nào. Khi hệ thống mạng máy tính phát triển và được đưa vào ứng dụng thì kèm theo sau nó là hàng loạt các dịch vụ ứng dụng cũng phát triển theo nhằm phục vụ cho nhu cầu công việc của con người, làm cho công việc ngày một thuận tiện hơn và nhanh chóng hơn. Trong những công nghệ kéo theo đó có Hệ thống mạng ảo VPN. Hệ thống mạng ảo VPN được đưa ra nhằm giúp cho những công ty, doanh nghiệp, hay những đối tác của nhau nhưng ở xa nhau về mặt địa lý có thể liên kết lại được với nhau thông qua hệ thống mạng Internet mà vẫn đảm bảo được về mặt bảo mật, an toàn dữ liệu. 1.1 Tính cấp thiết của đề tài Cùng với sự ra đời của hệ thống mạng máy tình thì công nghệ mạng đã phát triển một cách vượt bậc. Cách đây một thời gian thì mạng mạng máy tính còn là một khái niệm xa vời. Nhưng bây giờ nó đã trở thành hiện thực và là một trong những nhu cầu lớn của các hệ thống công ty và những doanh nghiệp. Việc xây dựng và phát triển hệ thống mạng có ý nghĩa sống còn đối với mỗi đơn vị. Việc áp dụng hệ thống mạng vào công việc mang lại nhiều lợi ích to lớn. Những lợi ích mà hệ thống mạng mang lại không ai có thể phủ nhận đó là việc hỗ trợ trong công việc, việc truyền tải thông tin dữ liệu một cách nhanh chóng thuận tiện. Tuy nhiên việc ra đời hệ thống mạng Internet cũng kéo theo nhiều hệ lụy của chúng đó là việc phá hoại hệ thống của một số đối tượng xấu. Việc giao tiếp và truyền tải dữ liệu trên mạng có thể bị can thiệp, đánh cắp của một số phần tử xấu lợi dụng hệ thống mạng Internet. Vì vậy để đảm bảo việc kết nối và truyền tải dữ liệu các đơn vị có thể lựa chọn một trong hai dịch vụ viễn thông cho kết nối là: - Thuê một đường truyền riêng Leased Line của nhà cung cấp để kết nối các mạng con của công ty lại với nhau. Tuy nhiên việc thuê đường truyền riêng sẽ rất đắt đỏ và tốn kém chi phí. Vậy để kết nối hệ thống giữa các công ty cha và con là bất khả thi? SV thực hiện: Nguyễn Quang KhoaPage 11
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
- Hay sử dụng mạng internet để liên lạc với nhau, tuy nhiên phương pháp này không mang tính bảo mật cao, dễ bị nghe trộm và đánh cắp thông tin. Và Microsoft đã cho ra đời một khái niệm hoàn toàn mới đó là thiết lập một hệ thống mạng ảo Virtual and Private Network (VPN). Việc xây dựng hệ thống mạng ảo VPN có ý nghĩa hết sức to lớn trong công cuộc cách mạng mạng. VPN ra đời dung hòa được hai khái niệm trên, nó được xây dựng trên nền tảng có sẵn của mạng Internet, nhưng lại có được những tính chất của của một mạng cục bộ như khi sử dụng các đường Leased line. VPN cho phép thiết lập một kênh kết nối hay một đường hầm riêng giữa hệ thống các công ty cha và con. Giúp cho việc truyền tải dữ liệu và trao đổi thông tin diễn ra một cách an toàn và hiệu quả. Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng. 1.2. Tổng quan về VPN
1.2.1. VPN là gì?
Hình 1.1: VPN=Đường hầm + Mã hoá Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng SV thực hiện: Nguyễn Quang KhoaPage 12
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm. Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Một cuộc điện thoại giữa hai cá nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công cộng. Hai đặc điểm quan trọng của công nghệ VPN là ''riêng'' và ''ảo" tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích chất của mạng cục bộ cho mạng WAN.
Hình 1.2: Mô hình hệ thống mạng ảo 1.2.2. Lợi ích của VPN đem lại : * VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế
SV thực hiện: Nguyễn Quang KhoaPage 13
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
thuê đường truy cập của nhà cung cấp dẫn đến giá thành cho việc kết nối Lan – to – Lan giảm đi đáng kể so với việc thuê đường Leased-Line *Giảm chi phí quản lý và hỗ trợ: Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đó công ty có thể tập trung vào các đối tượng kinh doanh. * VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng thời được truyền trong các đường hầm(Tunnel) nên thông tin có độ an toàn cao. * VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ Với xu thế toàn cầu hoá, một công ty có thể có nhiều chi nhành tại nhiều quốc gia khác nhau. VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhành và văn phòng trung tâm thành một mạng LAN với chi phí thấp. * VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP Bảo mật địa chỉ IP : thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet 1.2.3. Các thành phần cần thiết tạo nên kết nối VPN: User authentication : cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối vào hệ thống VPN. Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ. Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu. Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải mã dữ liệu . Kết luận chương 1: Qua nội dung của chương 1 chúng ta có thể thấy được tầm quan trọng, tính cấp thiết của hệ thống mạng ảo VPN trong việc sống còn của các công ty, doanh nghiệp hiện nay, nó đáp ứng được hầu hết nhu cầu về SV thực hiện: Nguyễn Quang KhoaPage 14
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
việc trao đổi liên lạc về mặt hành chính, chuyển dữ liệu giữa các chi nhánh công ty với nhau.
Chương 2 - CƠ SỞ LÝ THUYẾT Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet. Thông qua hệ thống mạng mà Hệ thống mạng riêng ảo VPN được xây dựng và phát triển nhằm phục vụ cho công việc. Trong chương 2 sẽ đề cập tới những cơ sở lý thuyết, đưa ra các loại hình, phân loại mạng, giao thức đường hầm IP-IPSec và các bảo mật trong VPN. Đó là nền tảng để có thể xây dựng một hệ thống mạng ảo VPN hoàn chỉnh, đáp ứng được nhu cầu công việc. 2.1. Các loại VPN: * VPN được chia thành 2 loại :
* VPN Remote Accesss * VPN Site to Site
* VPN Remote Access
Hình 2.1: VPN Remote Access
SV thực hiện: Nguyễn Quang KhoaPage 15
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
* VPN Remote Access : Cung cấp kết nối truy cập từ xa đến một mạng Intranet hoặc Extranet dựa trên hạ tầng được chia sẻ. VPN Remote Access sử dụng đường truyền Analog, Dial, ISDN, DSL, Mobile IP và Cable để thiết lập kết nối đến các Mobile user. Một đặc điểm quan trọng của VPN Remote Access là: Cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc. - Để thực hiện được VPN Remote Access cần: + Có 01 VPN Getway(có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ. + Các VPN Client kết nối vào mạng Internet. * VPN Site - to - Site:
Hình 2.2: VPN Site to Site * VPN Site-to-Site: là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site. Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway. Gateway có thể là các Router hay Firewall router hỗ trợ VPN. Được chia thành 2 loại: Intranet và Extranet. SV thực hiện: Nguyễn Quang KhoaPage 16
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
+ Loại dựa trên Intranet: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. + Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. - Để thực hiện được VPN Site - to Site cần: + Có 02 VPN Getway(Mỗi VPN Getway có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào. + Các Client kết nối vào hệ thống mạng nội bộ. 2.2. Giao thức bảo mật IP – IPSEC 2.2.1 Giới thiệu IPSec – Internet Protocol security: là giao thức cung cấp những kỹ thuật để bảo vệ dữ liệu, sao cho dữ liệu được truyền đi an toàn từ nơi này sang nơi khác. IPSec VPN là sự kết hợp để tạo ra một mạng riêng an toàn phục vụ cho việc truyền dữ liệu bảo mật. IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP.
Hình 2.3: Lớp hoạt động của IPSec IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng. Nó là một khung của các tập giao thức chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực để SV thực hiện: Nguyễn Quang KhoaPage 17
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của công ty. Nó đảm bảo truyền thông tin tin cậy trên mạng IP công cộng đối với các ứng dụng. * Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau: - Tính bảo mật dữ liệu – Data confidentiality - Tính toàn vẹn dữ liệu – Data Integrity - Tính chứng thực nguồn dữ liệu – Data origin authentication - Tính tránh trùng lặp gói tin – Anti-replay 2.2.2. Các giao thức của IPSec Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức: + IKE (Internet Key Exchange) + ESP (Encapsulation Security Payload) + AH (Authentication Header) * IKE (Internet Key Exchange): giao thức này dùng để cung cấp khuôn khổ đàm phán các thông số an ninh, thành lập các phím xác thực. IKE giải quyết các vấn đề bằng cách đồng bộ hóa toàn bộ quá trình trao đổi thông tin. - Sau quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần, thì sẽ có một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra. - SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA. - IKE hoạt động qua 2 giai đoạn chính: phase 1 và phase 2, ngoài ra có phase 1,5 tùy chọn.
SV thực hiện: Nguyễn Quang KhoaPage 18
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 2.4: Các phase hoạt động của IKE * IKE phase 1: - Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA. - Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode. - Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là: + Thuật toán mã hóa: DES, 3DES, AES. + Thuật toán hash: MD5, SHA. + Phương pháp chứng thực: Preshare-key, RSA. + Nhóm khóa Diffie-Hellman (version của Diffie-Hellman). - Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau: +2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật. + 2 message tiếp theo trao đổi khóa Diffire-Hellman. + 2 message cuối cùng thực hiện chứng thực giữa các thiết bị. - Aggressive mode: sử dụng 3 message + Message đầu tiên gồm các thông số của chính sách bảo mật, khóa DiffieHellman. + Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận. SV thực hiện: Nguyễn Quang KhoaPage 19
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
+ Message cuối cùng sẽ chứng thực bên vừa gửi. * Phase 1.5: Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật. Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong Remote Access VPN. Xauth sử dụng các cơ chế như: Username and Password, CHAP, OPT, S/Key. Xauth bắt người sử dụng phải xác thực trước khi sử dụng các kết nối Ipsec. * IKE phase 2 Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2. Các thông số mà Quick mode thỏa thuận trong phase 2: + Giao thức IPSec: ESP hoặc AH. + IPSec mode: Tunnel hoặc transport. khoảng
+ IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một thời gian mặc định hoặc được chỉ định. +Trao đổi khóa Diffie-Hellman.
IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode. * ESP (Encapsulation Security Payload) và AH (Authentication Header):
SV thực hiện: Nguyễn Quang KhoaPage 20
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 2.5: giao thức mã hóa ESP và AH - ESP sử dụng giao thức IP 50 cho phép mã hóa và xác thực các gói tin ban đầu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được mật mã giữa hai hệ thống. - AH sử dụng giao thức IP 51 xác nhận toàn bộ các gói tin (bao gồm cả tiêu đề) nhưng không cho phép mã hóa nên các dữ liệu đều được truyền dưới dạng bản rõ.
Hình 2.6: Hoạt động của giao thức AH - RouterA gửi dữ liệu đi, giao thức AH sẽ băm: IP Header, dữ liệu (Data), và khóa (Key) thành một chuỗi. Tại routerB sau khi nhận được chuỗi thông tin sẽ tiến hành tính toán lại băm rồi đưa ra dữ liệu ban đầu.
SV thực hiện: Nguyễn Quang KhoaPage 21
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 2.7: Hoạt động của giao thức ESP - Router gửi dữ liệu đi, giao thức ESP sẽ gắn một IP HDR vào với Data rồi mã hóa chuỗi này. Sau đó giao thức sẽ chứng thực băm chuỗi thông tin chỉ trừ phần tiêu đề. Router nhận tiến hành băm chuỗi thông tin nhận được, rồi tiến hành giải mã để đọc dữ liệu Data. 2.2.3. Hoạt động của IPSec
Hình 2.8: 5 bước hoạt động của IPSec Bước 1: hostA gửi lưu lượng cần bảo vệ tới hostB Bước 2: Router A và B thoả thuận một phiên trao đổi IKE Phase 1. Bước 3: Router A và B thoả thuận một phiên trao đổi IKE Phase 2. Bước 4: Thông tin được truyền dẫn qua đường hầm IPSec. Bước 5: kết thúc đường hầm IPSec. * Sau đây sẽ trình bày cụ thể hơn về 5 bước hoạt động của IPSec: Bước 1: interesting trafic
SV thực hiện: Nguyễn Quang KhoaPage 22
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 2.9: bước 1 của hoạt động IPSec Trong bước 1, thì routerA xác nhận dữ liệu gởi đi có cần phải bảo vệ hay không? Nếu cần thì áp dụng IPSec, và ngược lại. Bước 2: IKE phase 1
Hình 2.10: bước 2 của hoạt động IPSec - Trong bước 2 là để thoả thuận các tập chính sách IKE (IKE policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. Có 3 trao đổi được thực hiện: + Thương lượng chính sách: Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác. + Sử dụng trao đổi Diffie-Hellman: để tạo các khoá bí mật chung (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thực khác. + xác thực đối tác: tạo ra một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác.
SV thực hiện: Nguyễn Quang KhoaPage 23
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
* Các tập chính sách IKE:
Hình 2.11: Tập chính sách IKE Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet, một đường hầm an toàn được thiết lập giữa Router A và Router B. Thông qua đường hầm, các giao thức mật mã, xác thực và các giao thức khác được thoả thuận. Thay vì phải thoả từng giao thức một, các giao thức được nhóm thành các tập, chính là tập chính sách IKE (IKE policy set). Router A gửi các tập chính sách IKE Policy 10 và IKE Policy 20 tới Router B. Router B so sánh với tập chính sách của nó, IKE Policy 15, với các tập chính sách nhận được từ Router A. Trong trường hợp này, một chính sách thống nhất được tìm thấy: IKE Policy 10 của Router A và IKE Policy 15 của Router B là tương đương. * Trao đổi khóa Diffie-Hellman:
Hình 2.12: Trao đổi khoá Diffie-Hellman Khi người dùng A gửi gói tin tới cho người dùng B: thuật toán DiffieHellman sử dụng 2 khóa một khóa công khai (Public key) và một khóa bí mật SV thực hiện: Nguyễn Quang KhoaPage 24
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
(private key) để mã hóa thông điệp thành một chuỗi bảo mật gửi đi. Người dùng B nhận được thông điệp sẽ đối chiếu khóa công khai, nếu đúng thì tiếp tục dùng khóa bí mật để giải mã thông điệp. Bước 3: phase 2:
Hình 2.13: Thoả thuận các thông số bảo mật IPSec. - Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử dụng để bảo mật đường hầm IPSec. - IKE Phase 2 thức hiện các chức năng sau: + Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển đổi IPSec (IPSec transform sets). + Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations). + Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm. + Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm tăng tính an toàn của đường hầm).
Hình 2.14: Tập chuyển đổi IPSec
SV thực hiện: Nguyễn Quang KhoaPage 25
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
- Router A gửi IPSec transform set 30 và 40 tới Router B , Router B so sánh với IPSec transform set 55 của nó và thấy tương đương với IPSec transform set 30 của Router A, các thuật toán xác thực và mật mã trong các tập chuyển đổi này hình thành một kết hợp an ninh SA. Bước 4: Đường hầm mật mã IPSec: Trong bước 4 thì SA được trao đổi giữa các host. Các dịch vụ bảo mật đàm phán được áp dụng cho đường hầm truyền tin. Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA.
Bước 5: Kết thúc đường hầm IPSec
Hình 2.15: Kết thúc đường hầm IPSec. - Một đường hầm được chấm dứt bởi một trong những điều sau đây: + Nếu thời gian chờ đời SA vượt quá giới hạn. + Nếu truy cập gói dữ liệu vượt quá giới hạn. + IPsec SA được loại bỏ. 2.2.4. Cách cấu hình IPSec * Để cấu hình một mạng VPN Site-to-Site cần thực hiện 6 bước 1. Thiết lập ISAKMP policy
SV thực hiện: Nguyễn Quang KhoaPage 26
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 2.16:thiết lập ISAKMP policy 2. Cấu hình IPsec transform set Crypto ipsec transform-set aes_sha esp-aes 128 esp-sha-hmac
3. Cấu hình crypto ACL Access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
4. Cấu hình crypto map
Hình 2.17: cấu hình IPSec crypto ACL và map 5. Áp dụng crypto map vào các cổng interface
SV thực hiện: Nguyễn Quang KhoaPage 27
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
. Hình 2.18: áp dụng crypto vào các interface
6. Cấu hình các cổng ACL.
Hình 2.19: cấu hình các cổng ACL
2.3. Bảo mật trong VPN Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật dữ liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép không chỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính
SV thực hiện: Nguyễn Quang KhoaPage 28
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
hay giữa các mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập hơn là khi dữ liệu vẫn còn trên một máy tính đơn. Bảo mật không phải là vấn đề riêng của VPN mà thực tế là mối quan tâm và thách thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng Internet để trao đổi thông tin. Để thực hiện bảo mật cho dữ liệu trong mạng VPN người ta thực hiện hai quá trình đó là xác thực (Authentication) và mã hóa (Encryption). 2.3.1 Xác thực Xác thực là một phần không thể thiếu được trong kiến trúc bảo mật của một mạng VPN. Xác thực được dựa trên ba thuộc tính: Cái gì ta có (một khoá hay một card token); cái gì chúng ta biết (một mật khẩu); hay cái gì chúng ta nhận dạng (giọng nói, quét võng mạc, dấu vân tay,..). Xác thực là thuật ngữ dùng chung, nó bao gồm hai khái niệm: Xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn dữ liệu.
* Xác thực nguồn gốc dữ liệu: • Mật khẩu truyền thống Mỗi người dùng khi đăng nhập vào mạng thì phải thay đổi mật khẩu cho phiên làm việc kế tiếp. Nhược điểm của các hệ thống này là khó có thể quản trị những danh sách mật khẩu cho một số lượng lớn người dùng. • Xác thực mật khẩu PAP
Hình 2.20: xác thực mật khẩu PAP PAP có 2 bước bắt tay, remote router gởi hostname và password dưới dạng văn bản rõ. Và nó chỉ được thực hiện khi đã có liên kết ban đầu. SV thực hiện: Nguyễn Quang KhoaPage 29
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
• Xác thực mật khẩu CHAP
Hình 2.21: xác thực mật khẩu CHAP CHAP có 3 bước bắt tay: local router gửi một tin nhắn bao gồm user, pass, và data đã được mả hóa bằng thuật toán MD5. Remote router nhận được tin nhắn sẽ phản hồi lại user,pass và data của mình. Local router sẽ so sánh challenge có đúng không? Nếu đúng thì tiến hành bắt tay va ngược lại. • Dịch vụ xác thực người dùng quay số từ xa- RADIUS RADIUS (Remote Authentication Dial-In Use Service) cũng sử dụng kiểu client/server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các người dùng với các phiên làm việc. RADIUS giúp cho việc điều khiển truy cập dễ quản lý hơn và nó có thể hỗ trợ các kiểu xác thực người dùng khác nhau bao gồm PAP, CHAP. * Xác thực tính toàn vẹn dữ liệu: Xác thực tính toàn vẹn dữ liệu (Data integrity) bao gồm hai vấn đề: Phát hiện các bản tin bị lỗi (corrupted message): Phát hiện các lỗi bit đồng thời xác định nguyên nhân lỗi là do phương tiện truyền dẫn hoặc do thiết bị xử lý, lưu trữ. Bảo vệ chống sửa đổi bất hợp pháp bản tin (unauthorized modification: Phát hiện ra những bản tin đã bị sửa đổi một cách bất hợp pháp trong quá trình truyền dẫn sử dụng mật mã khoá đối xứng và mật mã khoá công cộng.
SV thực hiện: Nguyễn Quang KhoaPage 30
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
2.3.2. Mã hóa Có hai kiểu thuật toán mã hoá sử dụng khoá được sử dụng phổ biến đó là: thuật toán mã hoá khoá bí mật gọi là mã hoá đối xứng (symmetric) và thuật toán mã hoá khoá công khai (Public key). Mã hóa đối xứng: hai bên cùng chiếm giữ một khoá giống nhau nên đều có thể tạo và mã hoá. Điều này gây nên cảm giác không tin cậy về nguồn gốc của bản tin đó. Một số thuật toán đối xứng như DES (Data Encryption Standard) có độ dài khoá là 56 bit, 3DES có độ dài khoá là 168 bit và AES (Advanced Encryption Standard) có độ dài khoá là 128 bit, 256 bit hoặc 512 bit. Tất cả các thuật toán này sử dụng cùng một khoá để mã hoá và giải mã thông tin. Mã hoá khoá công khai: sử dụng một cặp khoá để mã hoá và giải mã bảo mật một bản tin. Một số thuật toán sử dụng mã hoá khoá công cộng như RSA, Diffie-Hellman.
Kết luận chương 2: Trong hệ thống mạng ảo VPN thì việc yêu cầu cao nhất chính là các giao thức truyền thông trên mạng. Nó quyết định sự sống còn của hệ thống mạng ảo VPN. Qua chương 2 này chúng ta đã được tìm hiểu về các loại hình VPN, giao thức đường hầm IP-IPSec và vấn đề bảo mật trong Hệ thống mạng ảo VPN. Những thuật toán mã hóa để mã hóa dữ liệu khi truyền tải trên mạng Internet. Qua đó ngăn chặn được những sự xâm nhập trái phép từ bên ngoài bởi hacker. Làm tăng sự an toàn cho toàn bộ hệ thống mạng ảo VPN.
SV thực hiện: Nguyễn Quang KhoaPage 31
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Chương 3: CÀI ĐẶT VÀ TRIỂN KHAI Chương này sẽ triển khai cách xây dựng,và các hình ảnh Demo một mạng ảo VPN site-to-site trên chương trình giả lập GNS3 để đưa vào ứng dụng thực tế tại các doanh nghiệp, công ty. 3.1. Công cụ sử dụng Phần mềm giả lập Cisco router-GNS3: GNS3 là một trình giả lập mạng có giao diện đồ họa cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng. Chương trình sử dụng IOS thực của Cisco để giả lập router.
SV thực hiện: Nguyễn Quang KhoaPage 32
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 3.1: Công cụ giả lập cisco router GNS3 Download chương trình tại: http://www.gns3.net/download/ Sau khi download chương trình về cài đặt. Để chưởng trình làm việc được cần phải có file dynamips. Có thể download tại http://www.gns3.net/dynamips/ Đây là chương trình giả lập có thể triển khai mô hình lab ảo về VPN, nhưng nó hoàn toàn giống với cấu hình trên thiết bị thật. Sau khi cấu hình thành công có thể lấy file cấu hình đẩy vào thiết bị thật để hoạt động bình thường. Đây thực sự là công cụ hỗ trợ đắc lực cho một nhân viên quản trị mạng.
3.2. Cấu hình một mạng VPN site-to-site
SV thực hiện: Nguyễn Quang KhoaPage 33
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 3.2: Mô hình IPSec hai site BRANCH và HQ * Mô tả: Thực hiện IPSec VPN giữa hai site, đảm bảo mạng Lan thuộc BRANCH và HQ có thể giao tiếp được với nhau. Cổng Lo1 của hai router BRANCH và HQ xem như là mạng LAN nội bộ, cổng Lo1 của Router ISP xem như là cổng kết nối Internet của nhà cung cấp mạng. * CÁC BƯỚC CẤU HÌNH * Bước 1: Cấu hình router hostname, địa chỉ các cổng các kết nối và định tuyến trong các router. BRANCH(R1) Hostname Branch ! interface Loopback1 description Branch LAN ip address 192.168.1.1 255.255.255.0 ! interface Serial1/0 description connection to ISP ip address 209.165.200.242 255.255.255.248 bandwidth 64 no shut ! ip route 0.0.0.0 0.0.0.0 209.165.200.241 ! HQ(R2) hostname HQ ! interface Loopback0 description Email Server ip address 10.10.20.238 255.255.255.0 ! interface Loopback1 description LAN connection ip address 10.10.10.1 255.255.255.0 ! interface Serial1/0 SV thực hiện: Nguyễn Quang KhoaPage 34
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
description connection to ISP ip address 209.165.200.226 255.255.255.248 clock rate 64000 bandwidth 64 no shut ! ip route 0.0.0.0 0.0.0.0 Serial1/0 ! ISP(R3) hostname ISP ! interface Loopback1 description Simulating the Internet ip address 209.165.202.129 255.255.255.240 ! interface Serial1/0 description connection to Branch ip address 209.165.200.241 255.255.255.248 bandwidth 64 clock rate 64000 no shut ! interface Serial1/1 description connection to HQ ip address 209.165.200.225 255.255.255.248 bandwidth 64 no shut ! ip route 209.165.200.232 255.255.255.248 Serial1/1 ip route 209.165.200.248 255.255.255.248 Serial1/0 ! * Tiến hành kiểm tra: tại router Branch thực hiện lệnh ping tới các router BRANCH#tclsh BRANCH(tcl)#foreach address { +>209.165.200.241 SV thực hiện: Nguyễn Quang KhoaPage 35
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
+>209.165.202.129 +>209.165.200.226 } { ping $address }
Hình 3.3: Kiểm tra mạng bằng lệnh ping *Bước 2: Cấu hình NAT trên Branch và HQ router : cấu hình NAT để mạng LAN có thể đi ra ngoài mạng, cụ thể là đi tới mạng giả lập Internet. Branch Router ip access-list extended BRANCH-NAT-ACL remark Do not translate Local LAN to HQ LAN addresses deny ip 192.168.1.0 0.0.0.255 10.10.0.0 0.0.255.255 remark Translate Local LAN to all other Internet destinations permit ip 192.168.1.0 0.0.0.255 any exit ! ip nat pool BRANCH-NAT-POOL 209.165.200.249 209.165.200.254 prefixlength 29 ! ip nat inside source list BRANCH-NAT-ACL pool BRANCH-NAT-POOL ! interface Loopback 1 ip nat inside exit ! interface serial1/0 ip nat outside ! SV thực hiện: Nguyễn Quang KhoaPage 36
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
HQ Router ! ip nat pool HQ-NAT-POOL 209.165.200.233 209.165.200.237 prefix-length 29 ip nat inside source list HQ-NAT-ACL pool HQ-NAT-POOL ip nat inside source static 10.10.20.238 209.165.200.238 ! ip access-list extended HQ-NAT-ACL remark Do not translate HQ LAN to Branch LAN address deny ip 10.10.0.0 0.0.255.255 192.168.1.0 0.0.0.255 remark translate Local LAN to internet destination permit ip 10.10.0.0 0.0.255.255 any ! interface Loopback 1 ip nat inside ! interface Loopback 0 ip nat inside ! interface serial1/0 ip nat outside ! * Kiểm tra: từ router Branch thực hiện ping ra ngoài mạng bằng địa chỉ nguồn của mạng LAN cổng Lo1: 192.168.1.1 BRANCH#tclsh BRANCH(tcl)#foreach address { +>209.165.200.241 +>209.165.202.129 +>209.165.200.226 +>209.165.200.238 } { ping $address source 192.168.1.1 }
SV thực hiện: Nguyễn Quang KhoaPage 37
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 3.4: Thực hiện ping bằng địa chỉ mạng LAN * Bước 3: Cấu hình Ipsec VPN giữa hai router Branch và HQ • Cấu hình chính sách IKE (chính sách pha 1) BRANCH(config)#crypto isakmp policy 1 BRANCH(config-isakmp)#encryption aes BRANCH(config-isakmp)#group 2 BRANCH(config-isakmp)#authentication pre-share • Xác định thông tin key và peer BRANCH(config)#crypto isakmp key cisco123 address 209.165.200.226 • Cấu hình chính sách IPSec (chính sách pha 2) BRANCH(config)#crypto ipsec transform-set HQ-VPN esp-3des esp-sha-hmac • Viết access-list cho phép giao dịch giữa hai mạng LAN BRANCH(config)# ip access-list extended HQ-VPN-ACL BRANCH(config-ext-nacl)#remark Branch to HQ traffic to trigger VPN BRANCH(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 10.10.0.0 0.0.0.255
• Cấu hình Crypto map BRANCH(config)#crypto map HQ-MAP 10 ipsec-isakmp BRANCH(config-crypto-map)#set peer 209.165.200.226 BRANCH(config-crypto-map)#set transform-set HQ-VPN BRANCH(config-crypto-map)#match address HQ-VPN-ACL SV thực hiện: Nguyễn Quang KhoaPage 38
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
• Cấu hình crypto map lên cổng BRANCH(config)#interface s1/0 BRANCH(config-if)#crypto map HQ-MAP * Làm tương tự trên router HQ * Kiểm tra: Thực hiện ping từ mạng LAN của router Branch 192.168.1.1 tới mạng LAN của router HQ 10.10.10.1 BRANCH# ping 10.10.10.1 source 192.168.1.1
Hình 3.5: Kiểm tra ping 2 mạng LAN * Kiểm tra IPSec giữa hai site: BRANCH#show crypto session detail
Hình 3.6: Kiểm tra session giữa 2 site Branch và HQ * Bước 4: cấu hình GRE cho IPSec : GRE giúp bảo vệ tất cả lưu lượng truy cập mạng LAN của công ty, GRE có thể chuyển tiếp multicast và broadcast giao thông, quá trình định tuyến tự động cũng có thể được kích hoạt. • Cấu hình đường hầm bằng đóng gói GRE trên hai router BRANCH router
SV thực hiện: Nguyễn Quang KhoaPage 39
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
BRANCH(config)#interface tunnel 0 BRANCH(config-if)#ip address 172.16.100.2 255.255.255.252 BRANCH(config-if)#tunnel source 209.165.200.242 BRANCH(config-if)#tunnel destination 209.165.200.226 BRANCH(config)#ip access-list extended HQ-VPN-ACL BRANCH(config-ext-nacl)#remark HQ to Branch GRE traffic to trigger VPN BRANCH(config-ext-nacl)#permit gre host 209.165.200.242 host 209.165.200.226 HQ router HQ(config)#interface tunnel 0 HQ(config-if)#ip address 172.16.100.1 255.255.255.252 HQ(config-if)#tunnel source 209.165.200.226 HQ(config-if)#tunnel destination 209.165.200.242 HQ(config)#ip access-list extended Branch-VPN-ACL HQ(config-ext-nacl)#remark Branch to HQ GRE traffic to trigger VPN HQ(config-ext-nacl)#permit gre host 209.165.200.226 host 209.165.200.242 • Cấu hình giao thức định tuyến EIGRP cho đường hầm GRE BRANCH router BRANCH(config)#router eigrp 1 BRANCH(config-router)#net 192.168.1.0 0.0.0.255 BRANCH(config-router)#network 172.16.100.0 0.0.0.3 HQ router HQ(config)#router eigrp 1 HQ(config-router)#net 10.10.10.0 0.0.0.255 HQ(config-router)#network 172.16.100.0 0.0.0.3 * Kiểm tra đường hầm GRE: thực hiện bằng lệnh traceroute để xem đường đi của các gói tin giữa hai mạng LAN BRANCH#traceroute 10.10.10.1 source 192.168.1.1
SV thực hiện: Nguyễn Quang KhoaPage 40
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Hình 3.6: Lệnh traceroute kiểm tra đường đi gói tin Như vậy chúng ta đã thực hiện cấu hình xong một mạng VPN site-to-site. Kết luận chương 3: Trong chương 3, đã trình bày cách cấu hình một mạng VPN site-to-site một cách rõ ràng trên chương trình giả lập router GNS3. Từ đó có thể áp dụng để cấu hình VPN cho doanh nghiệp, công ty.
SV thực hiện: Nguyễn Quang KhoaPage 41
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Chương 4: KẾT LUẬN 4.1. Kết quả đạt được
• Hiểu được về mạng riêng ảo VPN, cách thức hoạt động của nó. • Biết được cách cấu hình một mạng VPN site-to-site. • Triển khai một mạng VPN site-to-site dựa trên chương trình GNS3. • Vận dụng những kiến thức đã học vào thực tiễn. • Rút ra được một số bài học kinh nghiệm cho bản thân. • Được làm quen với môi trường làm việc tập thể. 4.2. Những mặt hạn chế
• Kiến thức chuyên môn còn nhiều hạn chế nên còn gặp nhiều khó khăn trong công việc. • Chưa có kinh nghiệm trong làm việc tập thể do đó ban đầu còn nhiều bỡ ngỡ. 4.3. Đề xuất
Củng cố, nắm vững những kiến thức đã được học, đồng thời không ngừng học hỏi thêm những kiến thức mới. Rèn luyện đạo đức, tác phong làm việc tập thể để đạt được hiệu quả tốt. Học hỏi kinh nghiệm, kiến thức của những người đi trước. Làm một đề tài về mạng riêng ảo VPN khác với nhiều thiết bị và mô hình phát triển hơn để theo kịp xu hướng phát triển của công nghệ thông tin trên thế giới.
SV thực hiện: Nguyễn Quang KhoaPage 42
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
TÀI LIỆU THAM KHẢO
Tiếng Việt [1]- Giáo trình giảng dạy chương trình MCITP của Học viện mạng công nghệ thông tin BKACAD [2]- Tự học bảo mật và quản trị mạng, Nxb Văn hóa Thông tin, Trí Việt - Hà Thành [3]- Xây dựng mạng VPN với giao thức PPTP, Nxb Giao thông vận tải, Vương Phúc. [4]- Công nghệ bảo mật, Nxb Thống kê, Hồng Phúc, KS.Nguyễn Ngọc Tuấn. Tiếng Anh [5]- Cisco Secure Virtual Private Networks (Volume 1,2), Copyright © 2001, Cisco System, Inc. [6]- Security Protocols Overview, Copyright ©1999, RSA Data Security, Inc. [7]- VPN technologies: Definitions and Requirements, Copyright © 2002, VPN Consortium.
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM SV thực hiện: Nguyễn Quang KhoaPage 43
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
Độc lập – Tự do – Hạnh phúc NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP Họ và tên sinh viên: Nguyễn Quang Khoa Ngày sinh: 24/03/1991 Trường Đại Học Đà Nẵng – Đại Học Sư Phạm Khoa: Tin
Lớp:09CNTT2
Nghành: Cử nhân công nghệ thông tin Thực tập tại: Công Ty Điện Toán Và Truyền Số Liệu VDC3 – Đà Nẵng Từ ngày: 21/1/2012 đến ngày 31/3/2013 1. Về tinh thần, thái độ, ý thức tổ chức kỷ luật: …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… 2. Về những công việc được giao: …………………………………………………………………… …………………………………………………………………… 3. Kết quả đạt được: …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… Đà nẵng, ngày……tháng……năm 2012 (Ký tên và đóng dấu,Ghi rõ họ tên,chức vụ)
Đánh Giá Kết Quả Của Cán Bộ Hướng Dẫn: SV thực hiện: Nguyễn Quang KhoaPage 44
Lớp: 09CNTT2
Đề tài: Mạng riêng ảo VPN
GVHD: PGS.TS Trần Quốc Chiến
…………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… ………………………………………………………………….. ………………………………………………………………….. …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… …………………………………………………………………… Đà nẵng, ngày……tháng……năm 2012 (Ký tên và đóng dấu,Ghi rõ họ tên,chức vụ)
SV thực hiện: Nguyễn Quang KhoaPage 45
Lớp: 09CNTT2
View more...
Comments
