Đang tải... (xem toàn văn)
Phần1. Đề tài và mục đích thực hiện đề tài 3 1.1 Đề Tài 4 1.2 Mục đính thực hiện 4 Phần 2: Tổng quan về mạng VPN 5 2.1 Giới thiệu về công nghệ VPN 5 2.2 Khái niệm 5 2.3 Các loại VPN 6 VPN truy cập từ xa 6 VPN điểm-nối-điểm 7 2.4 Các yêu cầu đối với VPN 7 2.4.1 Bảo mật trong VPN 8 Máy chủ AAA 9 2.4.2 Tính sẵn sàng và tính tin cây. 9 2.4.3 Chất lượng dịch vụ 9 2.4.4 Khả năng quản trị 10 2.4.5 Khả năng tương thích 10 2.4.6 Sản phẩm công nghệ dành cho VPN 11 2.5 Các kĩ thuật trong mạng VPN 11 2.5.1 Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm 12 2.5.2 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 12 2.6 Các thành phần trong mạng VPN 12 2.6.1 Các thành phần của một tunning 12 2.6.2 Định dạng gói dữ liệu VPN. 13 2.7 Hoạt động của VPN 14 Phần 3: Công Nghệ Mạng Riêng Ảo (VPN) 16 3.1 Point-to-Point Protocol (PPP). 16 3.1.1 Quá trình hoạt động PPP 17 3.1.2 PPP Packet Format 18 3.1.3 PPP Link Control 18 3.2 Point-to-Point Tunneling Protocol (PPTP) 19 3.2.1 Vai trò của PPP trong giao dịch PPTP 20 3.2.2 Các thành phần của quá trình giao dịch PPTP 21 3.2.3 Quá trình xữ lý PPTP 22 Phần 4: Triển khai hệ thống VPN 26 4.1 Mô tả mô hình 26 4.2 Thiết lập máy chủ CA (Certificate Authority) cho máy chủ OpenVPN và các máy khách 26 4.3 Cấu hình cho máy chủ và máy khách kết nối VPN 29 4.3.1 Tệp cấu hình cho máy chủ 29 4.3.2 Tệp cấu hình cho máy khách 34 4.3.3 Kết quả: 37 Phần 5: Kết luận 39 5.1.1 Thuận lợi 39 5.1.2 Bất lợi 39
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ - ĐH QUỐC GIA HÀ NỘI Khoa Điện tử viễn thông -------------------- BÀI TIỂU LUẬN HỆ THỐNG VIỄN THÔNG VỚI CÔNG NGHỆ MỚI Đề tài: Tổng quan về công nghệ VPN Lớp: Giảng viên: Sinh viên: K49ĐB ĐINH THỊ THÁI MAI DƯƠNG NGỌC THẮNG LÊ VŨ THẮNG NGUYỄN VĂN DŨNG THẮNG NGUYỄN HOÀNG TÙNG Hà Nội – 2007 1 Phần1. Đề tài và mục đích thực hiện đề tài 3 1.1 Đề Tài 3 1.2 Mục đính thực hiện 4 Phần 2: Tổng quan về mạng VPN 4 2.1 Giới thiệu về công nghệ VPN 4 2.2 Khái niệm 5 2.3 Các loại VPN .5 VPN điểm-nối-điểm .7 2.4 Các yêu cầu đối với VPN .7 2.4.1 Bảo mật trong VPN .8 Máy chủ AAA .8 2.4.2 Tính sẵn sàng và tính tin cây .9 2.4.3 Chất lượng dịch vụ 9 2.4.4 Khả năng quản trị 9 2.4.5 Khả năng tương thích 10 2.4.6 Sản phẩm công nghệ dành cho VPN 10 2.5 Các kĩ thuật trong mạng VPN 11 2.5.1 Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm 11 2.5.2 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 12 2.6 Các thành phần trong mạng VPN .12 2.6.1 Các thành phần của một tunning .12 2.6.2 Định dạng gói dữ liệu VPN .13 2.7 Hoạt động của VPN .13 Phần 3: Công Nghệ Mạng Riêng Ảo (VPN) 15 3.1 Point-to-Point Protocol (PPP) 15 3.1.1 Quá trình hoạt động PPP .16 2 3.1.2 PPP Packet Format 17 3.1.3 PPP Link Control 18 3.2 Point-to-Point Tunneling Protocol (PPTP) .19 3.2.1 Vai trò của PPP trong giao dịch PPTP 20 3.2.2 Các thành phần của quá trình giao dịch PPTP .20 3.2.3 Quá trình xữ lý PPTP 22 Phần 4: Triển khai hệ thống VPN 25 4.1 Mô tả mô hình 25 4.3 Cấu hình cho máy chủ và máy khách kết nối VPN .28 4.3.1 Tệp cấu hình cho máy chủ 28 4.3.2 Tệp cấu hình cho máy khách .34 4.3.3 Kết quả: .36 Phần 5: Kết luận 38 5.1.1 Thuận lợi .39 5.1.2 Bất lợi .39 Phần1. Đề tài và mục đích thực hiện đề tài 1.1 Đề Tài Tổng quan về công nghệ VPN 3 1.2 Mục đính thực hiện Trên thế giới, mạng riêng ảo đã được phát triển và ứng dụng rất nhiều trong thực tế. Ở Việt Nam thời gian gần đây việc sử dụng mạng VPN đã được triển khai ở một số công ty lớn yêu cầu tính bảo mật cao, chi phí đầu tư thấp. Trong bài tiểu luận này, chúng tôi nghiên cứu các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo (VPN). Nghiên cứu để có cái nhìn đầy đủ về công nghệ VPN từ lý thuyết đến triển khai thực tế. Nghiên cứu khuôn dạng các gói tin VPN, các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng. Mặc dù đã cố gắng hết sức, song chắc chắn không chánh khởi những thiếu sót. Chúng em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy cô, các anh chị và các bạn. Hà Nội 10/2007 Nhóm sinh viên thực hiện Phần 2: Tổng quan về mạng VPN 2.1 Giới thiệu về công nghệ VPN Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian. 4 2.2 Khái niệm Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Hinh1-Mô hình mạng VPN Theo định nghĩa chuẩn được cung cấp bởi IETF, VPN là “Một sự mô phỏng mạng WAN riêng sử dụng khả năng IP được chia sẻ hay công cộng như Internet hay IP backbone riêng.” Được gọi là “Virtual” bởi vì VPN sử dụng các kết nối ảo. Đó là các kết nối tạm thời chứ không phải các kết nối vật lý thực sự, nhưng các gói tin sẽ được định tuyến thông qua các máy riêng trên mạng khi các kết nối ảo an toàn đã được tạo giữa hai máy, giữa một máy và một mạng hoặc giữa hai mạng. VPN cho phép khai thác mọi tiềm năng của mạng công cộng nhưng vẫn đảm báo tính bảo mật của tổ chức. Chúng ta có thể tạo ra một mạng riêng trên một mạng công cộng bằng các kĩ thuật mã hóa, xác thực các gói và truyền các gói qua các đường hầm kết nối cộng với các kĩ thuật tường lửa. 2.3 Các loại VPN Mục tiêu của công nghệ VPN là quan tâm đến các yếu tố sau đây: - Các nhân viên liên lạc từ xa, người dùng di động có thể truy cập vào tài nguyên mạng công ty của họ một cách an toàn bất cứ lúc nào. - Có khả năng kết nối giữa các chi nhánh văn phòng, chi nhánh vơí văn phòng trung tâm. - Kiểm soát được truy cập tới các tài nguyên mạng của người dùng. 5 Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site) VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Hình2: VPN Remote access Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. 6 VPN điểm-nối-điểm Hình3: VPN Site to site Là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng .), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. 2.4 Các yêu cầu đối với VPN • Bảo mật • Tính sẵn sàng. • Chất lượng dịch vụ (QoS) • Tính tin cậy • Khả năng tương thích • Khả năng quản trị 7 2.4.1 Bảo mật trong VPN Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tai nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy nguy cơ bị truy cập trái phép của người dùng đến Intranet là rất thấp. Tuy nhiên với công nghệ VPN có sử dụng Internet và các mạng công cộng khác như mạng thoại PSTN…cho truyền thông. Như vậy môi trường mạng riêng ảo VPN mạng lại cho các Hacker cơ hội thuận lợi để truy cập đến các mạng riêng và luồng dữ liệu qua nó qua các mạng công cộng, kết quả là có nhiều nguy cơ về bảo mật. Do đó vấn đề bảo mật trong mạng VPN là điều then chốt và quyết định lớn đến sự tồn tại của công nghệ này. Hiện nay công nghệ VPN cung cấp các cơ chế bảo mật sau: Tường lửa (firewall) thực thi các kĩ thuật phòng thủ vòng ngoài và là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Firewall không chỉ kiểm tra kĩ lưu lượng vào mà còn kiểm tra với cả lưu lượng ra vì vậy đẩm bảo mức độ bảo mật cao. Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung. Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. Mã hóa dữ liệu: Thực thi các cơ chế mã hóa dữ liệu nhằm đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi truyền qua môi trường không tin cậy. Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn. IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ. Máy chủ AAA AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu 8 cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn. 2.4.2 Tính sẵn sàng và tính tin cây. Tính sẵn sàng chỉ tổng thời gian tối đa mà người dùng có thể truy cập vào mạng. trong các mạng riêng và mạng Intranet thời gian này tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và do tổ chức tự quản lý. Mặc dù vậy VPN sử dụng các mạng tương tác trung gian như Internet vì vậy các các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian. Mà nhân tố then chốt trong trường hợp này chính là tính sẵn sàng của các ISP. Tính tin cậy cũng là một yêu cầu quan trọng của mạng VPN và nó gắn chặt với nhân tố tính sẵn sàng. Tính tin cậy trong VPN bảo đảm rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũng như hầu hết các thiết lập mạng khác, tinh tin cậy trong môi trường dựa trên VPN có thể thể đạt được bằng cách chuyển mạch các gói dữ liệu trên các đường dẫn khác nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này trong suốt với người dùng cuối. Và có thể đạt được bằng việc thực hiện dư thừa kết nối. 2.4.3 Chất lượng dịch vụ Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng cách gán một tỉ lệ phần trăm cao của băng thông mạng và các tài nguyên giới hạn lỗi cho các ứng dụng nhạy cảm với độ trễ và giới hạn của băng thông. Ví dụ như các ứng dụng hội nghị trực tuyến, giao dịch tài chính… rất nhạy cảm với độ trễ và yêu cầu băng thông lớn đáp ứng liên tục, ổn định . Chất lượng dịch vụ bao gồm hai yếu tố: Góc trễ và Thông lượng. • Góc trễ là độ trễ trong một quá trình truyền thông đang tiếp diễn và rất quan trọng với các ứng dụng âm thanh và video. • Thông lượng liên quan đến tính sẵn có của băng thông thích hợp cho tất cả các ứng dụng. Trong VPN QoS đảm bảo nhiều ứng dụng khác nhau có thể chạy trên VPN. Trong cấu trúc VPN, một chính sách thường được dùng để phân loại ứng dụng, người dùng hoặc nhóm người dùng dựa vào quyền ưu tiên đã xác định. 2.4.4 Khả năng quản trị Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với việc quản trị thích hợp là rất quan trọng đặt ra với các đơn vị tổ chức có mạng kết nối toàn cầu. Hầu hết mạng của 9 các tổ chức ngày nay kết nối với các nguồn tài nguyên của thế giới bằng sự trợ giúp của các ISP dẫn đến việc không thể kiểm soát được các đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng trung gian của các ISP. Nhờ có mạng VPN mà công việc quản trị có thể được phân chia giữa các tổ chức và ISP. 2.4.5 Khả năng tương thích VPN sử dụng mạng công cộng để kết nối các đầu cuối ở xa, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có thể trên các công nghệ khác như FR, ATM. Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và các giao thức cơ sở. Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo khả năng tương thích với cơ sở hạ tầng trên nền IP, các phương pháp sau phải được tích hợp vào VPN. Sử dụng Gateway IP: Gateway IP dịch chuyển các các giao thức không dựa trên IP thành các giao thức IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặc các phần mềm ứng dụng. Gateway IP được cài đặt trên mọi Server thường được dùng để chuyển đổi dòng lưu lượng. Sử dụng đường hầm: Tạo đường hầm là kĩ thuật đóng gói các gói dữ liệu không IP thành các gói IP để truyền trên một hạ tầng IP. Các thiết bị cuối khác khi nhân được các gói dữ liệu đã đóng gói này sẽ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. Sử dụng định tuyến IP ảo (VIPR): VIPR làm việc bằng cách phân vùng logic một router vậ lý tại vị trí nhà cung cấp dịch vụ sau cùng (Thuộc ISP). Mỗi một phân vùng được cấu hình quản trị như một Router vật lý để hỗ trợ một VPN. Như vậy ta có thể hiểu mỗi một phân vùng logic được coi như một router với đầy đủ các chức năng của nó. Kết quả là, phân vùng Router logic có thể hỗ trợ nhiều giao thức và có khả năng chứa địa chỉ IP riêng. Với các công nghệ và giao thức không dựa trên IP như ATP, công nghệ đường điện thoại riêng VPT được sử dụng. VPT tương thích với nhiều giao thức và dựa trên công nghệ chuyển mạch gói. Vì vậy nó sử dụng các kênh cố định ảo PVC và kênh chuyển mạch ảo SVC cho việc truyền dữ liệu. Các PVC thường được dùng cho việ liên kết các site trong một mạng riêng hoặc Intranet. SVC thì ngược lại được dùng để liên kết các site trong một Extranet. 2.4.6 Sản phẩm công nghệ dành cho VPN Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là: • Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa. • Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX. 10 . được mô tả theo hình bên dưới. Hình 4: Định dạng của tunneled packet Như đã thấy ở hình 4, một tunneled packet bao gồm 3 phần: 1. Header of the routable. chủ 28 4. 3.2 Tệp cấu hình cho máy khách . 34 4.3.3 Kết