TRƯỜNG ĐẠI HỌC VĂN HIẾN KHOA KỸ THUẬT- CÔNG NGHỆ BỘ MÔN CÔNG NGHỆ THÔNG TIN - - BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN Sinh viên thực hiện: Bạch Quốc Huy Lớp 11T1 NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN BẠCH QUỐC HUY – MSSV 1191010039 LỚP 11T1 TRƯỜNG ĐẠI HỌC VĂN HIẾN KHOA CÔNG NGHỆ THÔNG TIN KHÓA 2011-2015 Tóm tắt Đề tài tìm hiểu kỹ mạng riêng ảo VPN khái niệm lịch sử hình thành mạng riêng ảo.Cách thức hình thành mạng riêng ảo dựa môi trường internet.Đề tài tập trung sâu vào tìm hiểu vấn đề bảo mật, mã hóa liệu thực kết nối VPN.Tập trung nghiên cứu giao thức bảo mật PPTP,SSTP,L2TP,IPSEC người dùng thực kết nối VPN vào Server.Giới thiệu hệ điều hành windown server 2008 thực xây dựng VPN server dựa hệ điều hành windown server 2008 Đặt vấn đề 1.1 Sự phát triển internet vấn đề cấp bách cần phải xây dựng mạng riêng ảo Như biết internet vài năm trở lại có bước phát triển chóng mặt Hầu internet xuất nơi quán cà phê, công ty, hộ gia đình… Đối với doanh nghiệp mạng internet điều thiếu phục vụ nhu cầu tra cứu thông tin toàn đội ngũ nhân viên công ty.Thay việc phải ngồi chỗ lục tung hàng trăm sách để tìm kiếm thông tin vài thao tác đơn giản nhân viên hoàn toàn tìm kiếm thông tin muốn vòng vài phút.Các công ty hoàn toàn sử dụng internet để trao đổi liệu cho nhau.Tuy nhiên phổ biến nhanh internet biến thành mảnh đất màu mỡ cho phần tử xấu, họ dùng internet để đánh cắp thông tin người dùng internet.Môi trường internet chưa an toàn thông tin quan trọng chứng từ mua bán doanh nghiệp, giấy tờ liên quan đến loại tài khoản ngân hàng Theo Privacy Rights Clearinghouse, tổ chức chuyên theo dõi vụ công bảo mật rò rỉ lớn, có triệu hồ sơ y tế bị giới tội phạm mạng đánh cắp năm 2014, số đáng báo động cao nhiều so với năm trước ( nguồn http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-mang/2014/12/1237463/so-vutan-cong-danh-cap-du-lieu-y-te-tang-600/).Không phải bảo vệ liệu từ phần tử xấu mà có liệu bị công từ quan phủ điển vụ Edward Snowden năm 2014.Để giải vấn đề doanh nghiệp hoàn toàn thuê đường dây riêng biệt phục vụ cho việc kết nối chi nhánh đối tác mình.Việc trao đổi thông tin đường dây an toàn nhiều so với việc truyền tải chúng mạng internet Tuy nhiên vấn đề gặp phí để thuê đường dây riêng không rẻ chẳng thuận tiện chút nào.Cần phải có giải pháp vừa tiết kiệm lại đảm bảo an toàn doanh nghiệp thuê riêng đường dây riêng 1.2 Lý thực Qua vấn đề nêu trên, ta thấy việc triển khai mạng riêng ảo VPN cho doanh nghiệp hoàn toàn giải vấn đề trên.Mạng riêng ảo hoàn toàn xây dựng dựa sở mạng internet mà doanh nghiệp tốn thêm khoản chi phí nào.Hơn giao thức VPN hoàn toàn bảo mật liệu cách hoàn hảo tùy thuộc vào mức độ bảo mật mà người dùng yêu cầu Vì nghiên cứu tập trung nghiên cứu mạng riêng ảo VPN hướng dẫn tạo mạng riêng ảo VPN hệ điều hành Windown server 2008.Cách triển khai giao thức bảo mật kết nối VPN Phương pháp thực Đề tài tập trung nghiên cứu chủ yếu công nghệ mạng riêng ảo VPN triển khai hệ điều hành win server 2008.Mặc dù có nhiều giải pháp để tạo mạng riêng ảo.Chúng ta sử dụng thiết bị phần cứng cisco sử dụng giải pháp phần mềm phiên hệ điều hành windown Microsoft.Tuy nhiên điều kiện không cho phép nên nghiên cứu triển khai mạng riêng ảo VPN hệ điều hành Windown server 2008 Mạng riêng ảo hay VPN (Virtual Private Network) mạng dành riêng để kết nối máy tính lại với thông qua mạng Internet công cộng Những máy tính tham gia mạng riêng ảo "nhìn thấy nhau" mạng nội - LAN (Local Area Network) Internet môi trường công cộng, việc chia sẻ liệu có tính riêng tư thông qua Internet nguy hiểm liệu dễ dàng bị rò rỉ, bị ăn cắp Mạng riêng ảo giao thức trợ giúp việc kết nối máy tính lại với thông qua kênh truyền dẫn liệu (tunel) riêng mã hóa Mạng riêng ảo giúp bảo vệ liệu chúng truyền Internet mạng riêng ảo thường ứng dụng trường hợp sau: Làm việc từ xa: Truy cập từ xa thông qua Internet vào mạng công ty để chia sẻ liệu thực thi ứng dụng nội Kết nối nhiều mạng với (Site-to-Site): Nếu công ty có nhiều văn phòng, việc kết nối mạng lại với thành mạng thống đem lại hiệu ấn tượng việc quản lý & chia sẻ thông tin Tạo phiên làm việc an toàn: Mạng riêng ảo giải pháp tốt & với chi phí thấp cho số công việc đòi hỏi tính bảo mật cao quản trị máy chủ, website, sở liệu Nếu thường xuyên làm việc Internet & thông tin tài sản vô giá, bạn nên ứng dụng mạng riêng ảo vào công việc Các loại VPN Có hai loại phổ biến VPN truy cập từ xa (Remote-Access ) VPN điểm-nốiđiểm (site-to-site) VPN truy cập từ xa gọi mạng Dial-up riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dụ công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an toàn, có mật mã VPN điểm-nối-điểm việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng công cộng Internet Loại dựa Intranet Extranet Loại dựa Intranet: Nếu công ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa Extranet: Khi công ty có mối quan hệ mật thiết với công ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung Bảo mật VPN Tường lửa (firewall) rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Máy chủ AAA AAA viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an toàn Kết thực Kết đề tài nghiên cứu hiểu chế vận hành mạng riêng ảo VPN Có thể triển khai mạng riêng ảo điều kiện thực tế , tiến hành kết nối VPN theo giao thức bảo mật PPTP,L2TP,SSTP,IPSEC hiểu rõ ưu nhược điểm giao thức.VPN ích doanh nghiệp mà người dùng cá nhân đáng để sử dụng.Sau đưa lý để suy nghĩ việc bắt đầu xây dựng mạng riêng ảo VPN 3.1 Các lý để bắt đầu với mạng riêng ảo 3.1.1 Tự bảo vệ dùng Wifi công cộng với VPN Một lý lớn để dùng VPN để bảo vệ bạn truy cập internet mạng wifi công cộng Bạn trả tiền hàng ngày để dùng wifi khách sạn nghĩa an toàn thông tin cá nhân bạn Bạn cần nhận thức thật mạng wifi công cộng không mã hóa không đảm bảo an ninh cho người dùng Bất hiểu biết công nghệ chút dễ dàng thấy hoạt động internet bạn Bạn không cần hacker giỏi để biết cách xen vào tín hiệu wifi không mã hóa Vấn đề wifi công cộng thể trò Không nên tin vào nó, bạn cần biết điều trước làm với kiểu mạng Chi vài đô-la tháng đăng ký dịch vụ VPN, mã hóa bảo vệ việc lướt web bạn bạn kết nối vào internet qua kết nối công cộng Nếu bạn nhiều thường xuyên đăng nhập vào internet qua wifi công cộng sân bay hay quán cafe, VPN chắn đầu tư tốt cho bạn 3.1.2 Giải trí với liệu dạng stream đâu Cách số để xem phim chương trình TV “stream” (tải liệu theo dòng) từ website Hulu, Netflix, BBC iPlayer, nhiều website khác Không may, theo thỏa thuận quyền công ty stream bên giữ quyền nội dung, dịch vụ không dùng với đa số người sống nước Mỹ Những dịch vụ mở rộng từ từ, bạn sống đến nước dịch vụ stream này, bạn dùng VPN để vượt qua ngăn chặn Cách hoạt động đơn giản VPN cho phép bạn dễ dàng thay đổi địa IP, ngăn không cho biết bạn đâu Bạn đăng nhập vào VPN Moscow chuyển địa IP sang New York, khiến cho lưu lượng internet bạn nghĩ đến từ New York VPN cho phép bạn “mở khóa” dịch vụ nhanh dễ cài đặt, sử dụng Chỉ đơn giản bật két nối VPN bạn muốn stream nội dung tắt quay lại tìm kiếm internet bạn thường làm 3.1.3 Truy cập internet không giới hạn nơi làm việc trường học Nếu bạn sinh viên đại học nhân viên công ty lớn, bạn phải tuân thủ sách dùng internet Bạn bị chặn không dùng Facebook, YouTube, Twitter, tài khoản email trực tuyến bạn Kết nối VPN dễ dàng giúp bạn thoát khỏi kiểu mạng giới hạn kết nối đến website vốn bị chặn bị giới hạn VPN giúp lưu lượng internet bạn không bị “đọc” người quản trị mạng hay ISP Nó ngăn thu thập thông tin hoạt động mạng bạn Tôi không khuyến khích bạn bắt đầu phá luật trường đại học quan Hãy dùng kiến thức tự đưa đánh giá tốt Tôi đơn giản nói cho bạn biết điều làm Một cách tuyệt vời khác để dùng VPN bảo vệ bạn dùng cách chia sẻ tập tin ngang hàng (P2P) Vì lý rõ ràng, Hiệp hội điện ảnh Mỹ tổ chức tương tự liên tục cố gắng ngăn chặn người thường chia sẻ file không xâm phạm tài sản trí tuệ họ Nhắc lại, khuyến khích bạn chia sẻ vi phạm tác quyền phim lớn, nói bảo vệ bạn sử dụng cách chia sẻ file nào, kể hợp pháp phi pháp, cách dùng VPN Một kết nối VPN làm chậm băng thông đường truyền bạn, giá nhỏ để ngăn bạn tải xuống tải lên không bị quyền “nhìn thấy” Tôi nghĩ không cần phải so đo trả thêm tiền cho quyền riêng tư bảo vệ 3.1.4 Vượt qua kiểm duyệt nước xa Tương tự với điểm thứ việc vượt qua sách internet doanh nghiệp hay trường đại học, VPN dùng để giải phóng bạn khỏi kiểm soát mức kiểm duyệt internet Những nước Iran, Thái Lan, Nga, Trung Quốc, Cuba, Syria, tiểu vương quốc Ả Rập, nhiều nước khác ngăn công dân không tự truy cập mạng toàn cầu Như thấy cách mạng “Mùa xuân Ả Rập” Ai Cập, internet dùng công cụ trị tuyệt vời để loan truyền thông tin tổ chức cách mạng Tin tốt kết nối VPN giúp bạn vượt qua kiểm duyệt internet tránh sách internet có tính hạn chế VPN hoàn toàn giấu hoạt động internet bạn, cho bạn giả vị trí, cho bạn có tự internet hoàn toàn 3.1.5 Bảo vệ quyền riêng tư bạn Điều không rõ ràng lắm, cần nói đến Bạn có quyền riêng tư internet, điều thật đơn giản Không tước quyền bạn – trường đại học, ông chủ bạn, quan pháp luật địa phương, hay đất nước bạn sống Đã đến lúc bạn giành lại quyền không quyền quan luật pháp thám bạn Với 10 đến 15 đô-la tháng, bạn có dịch vụ VPN tuyệt vời cho phép bạn sống sống riêng tư đảm bảo hơn, mạng đời 3.2 Các loại mạng riêng ảo 3.2.1 Mô hình mạng riêng ảo Client to Server Mô hình mạng riêng ảo Client to Server 3.2.2 Mô hình mạng riêng ảo Site to Site Mô hình mạng riêng ảo Site to Site Kết Luận 10 4.1 Các kết đạt Qua trình nghiên cứu em nắm rõ chế hoạt động mạng riêng ảo VPN.Cách thực gói tin truyền mạng riêng ảo.Cài đặt thử nghiệm thành công mạng riêng ảo 4.2 Hướng phát triển VPN đà phát triển việt nam nói riêng giới nói chung kéo theo nhiều giải pháp để tạo kết nối VPN đưa phần cứng phần mềm từ nhà sản xuất Hi vọng tương lai nhà sản xuất ngày đưa nhiều giải pháp để tạo mạng riêng ảo với chi phí thấp đơn giản cho việc vận hành vào bảo trì người không chuyên IT hoàn toàn tạo mạng riêng ảo để phục vụ nhu cầu kết nối cá nhân Tài liệu tham khảo 1) TCP/IP protocol suite Behrouz A Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill 2) Cải tiến giao thức Internet phiên (IPv6) Tạp chí Bưu Chính Viễn Thông- kỳ tháng 12/2003 3) Công nghệ chuyển mạch IP Chủ biên:TS.Lê Hữu Lập, Biên soạn: Ks.Hoàng Trọng Minh Học viện CNBCVT 11/2000 4) Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc 5) Understanding Virtual Private Networking Copyrignt © 2001, ADTRAN, Inc 6) VPN Technologies: Sefinitions and Requirements Copỷignt © 2002, VPN Consortium 7) CCSP Cisco Secure VPN Exam Certification Guide John F Roland and Mark J Newcomb Copyright © 2003 Cisco Systems, Inc 8) IPSec Copyright © 1998, Cisco Systems, Inc 11 9) Security Protocols Overview Copyright © 1999, RSA Data Security, Inc 10) Public Key Infranstructure Copyright © 2001, SecGo Solution Oy 11) Secure Network Communication (part I, II, III, IV) Copyright © 2002, Zurcher Hochschule Winterthur 12) Cisco Secure Virtual Private Networks (Volume 1, 2) Copyright © 2001, Cisco System, Inc 13) Netscreen Concepts and Examples Copyright © 2002, NetScreen Technologies, Inc 12 [...]... đạt được Qua quá trình nghiên cứu em đã nắm rõ được cơ chế hoạt động của một mạng riêng ảo VPN. Cách thực các gói tin được truyền đi trong một mạng riêng ảo. Cài đặt và thử nghiệm thành công một mạng riêng ảo 4.2 Hướng phát triển VPN đang trên đà phát triển ở việt nam nói riêng và thế giới nói chung kéo theo đó rất nhiều giải pháp để tạo một kết nối VPN được đưa ra cả về phần cứng và phần mềm từ các nhà... sản xuất Hi vọng trong tương lai các nhà sản xuất sẽ ngày càng đưa ra nhiều giải pháp để tạo ra các mạng riêng ảo với chi phí thấp đơn giản cho việc vận hành vào bảo trì khi đó một người không chuyên về IT cũng hoàn toàn có thể tạo ra một mạng riêng ảo để phục vụ nhu cầu kết nối cá nhân 5 Tài liệu tham khảo 1) TCP/IP protocol suite Behrouz A Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill 2) Cải tiến... Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc 5) Understanding Virtual Private Networking Copyrignt © 2001, ADTRAN, Inc 6) VPN Technologies: Sefinitions and Requirements Copỷignt © 2002, VPN Consortium 7) CCSP Cisco Secure VPN Exam Certification Guide John F Roland and Mark J Newcomb Copyright © 2003 Cisco Systems, Inc 8) IPSec Copyright © 1998, Cisco Systems, Inc 11 9) Security