HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC KỸ THUẬT LIÊN MẠNG Giáo viên hướng dẫn : Nguyễn Hoàng Sinh Đề tài : Tìm hiểu, Thiết kế triển khai dịch vụ VPN Client to site cho Doanh nghiệp,công ty nhỏ Sinh viên thực : Phạm Văn Tùng Hà nội 12/2015 HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC KỸ THUẬT LIÊN MẠNG Giáo viên hướng dẫn : Nguyễn Hoàng Sinh Đề tài : Tìm hiểu, Thiết kế triển khai dịch vụ VPN Client to site cho Doanh nghiệp,công ty nhỏ Sinh viên thực : Phạm Văn Tùng Hà nội 12/2015 CHƯƠNG TỔNG QUAN VỀ CÔNG NGHỆ VPN (VIRTUAL PRIVATE NETWORK) ĐỊNH NGHĨ, CHỨC NĂNG VÀ ƯU ĐIỂM CỦA VPN 1.1 Khái niệm VPN Phương án truyền thông nhanh, an toàn tin cậy trở thành mối quan tâm nhiều doanh nghiệp, đặc biệt doanh nghiệp có điểm phân tán mặt địa lý Nếu trước giải pháp thông thường thuê đường truyền riêng (leased lines) đẻ trì mạng WAN (Wide Are Network) Các đường truyền giới hạn từ ISDN (128Kbps) đến đường cáp quang OC3 (Optical carrier-3, 155Mbps) Mỗi mạng WAN có điểm thuận lợi mạng công cộng internet độ tin cậy, hiệu tính an toàn, bảo mật Nhưng để bảo trì mạng WAN, đặc biệt sử dụng đường truyền riêng, trở lên đắt doanh nghiệp muốn mở rộng chi nhánh Khi tính phổ biến internet gia tăng, doanh nghiệp đầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban đầu mạng nội bọ (Intranet) mà site bảo mật mật thiết kế cho việc sử dụng thành viên công ty Hiện giải pháp VPN (Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thông tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian Hình 1: Mô hình mạng VPN Một mạng VPN điển hình bao gồm mạng LAN trụ sở (Văn phòng chính), mạng LAN khác văn phòng từ xa, điểm kết nối (như văn phòng gia) người sử dụng (Nhân viên di động) truy cập đến từ bên Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Có nhiều khái niệm khác mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng thiết bị nhà cung cấp Nếu xét theo góc độ đơn giản dịch vụ VPN mạng cấu thành kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho tổ chức riêng rẽ Đối tượng dịch vụ VPN doanh nghiệp, tổ chức có nhu cầu thiết lập mạng dùng riêng 1.2 Chức VPN VPN cung cấp ba chức chính: - Sự tin cậy (Confidentiality) : Người gửi mã hóa gói liệu trước truyền qua mạng Bằng cách làm vậy, không truy cập thông tin mà không phép Và có lấy không đọc - Tính toàn vẹn (Data Integrity) : Người nhận kiểm tra liệu - truyền qua mạng Internet mà thay đổi Xác thực nguồn gốc (Origin Authentication) : Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin 1.3 Đường hầm mã hóa Chức VPN cung cấp bảo mật cách mã hóa qua đường hầm - Đường hầm (Tunnel): Các đường hầm đặc tính ảo VPN, làm đường kết nối dòng lưu lượng đường dây Đồng thời tạo cho VPN khả trì yêu cầu bảo mật quyền ưu tiên áp dụng mạng nội bộ, đảm bảo cho vai trò kiểm soát dòng lưu chuyển liệu Đường hầm làm cho VPN có tính riêng tư Mã hóa sử dụng để tạo kết nối đường hầm để liệu có - thể đọc người nhận người gửi Mã hóa (Encryption): Chắc chắn gói tin không bị đọc đọc bỏi người nhận Khi mà ngày có nhiều thông tin lưu thông mạng cần thiết việc mã hóa thông tin trở lên quan trọng Mã hóa biến đổi nội dung thông tin thành văn mật mã mà trở nên vô nghĩa dạng mật mã Chức giải mã để khôi phục văn mật mã thành nội dung thông tin dùng cho người nhận Mã hóa tính tùy chọn đóng góp vào đặc điểm riêng tư VPN PHÂN LOẠI VPN Có cách chủ yếu sử dụng mạng riêng ảo VPN Trước tiên, mạng VPN kết nối hai mạng với Điều biết đến mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN Thứ hai, VPN truy cập từ xa kết nối người dùng từ xa tới mạng Ngày VPNs phát triển phân chia thành ba kiểu VPN sau 2.1 Remote Access VPNs Intranet VPNs Ixtranet VPNs VPN truy cập từ xa (Remote Access) Remote Access, hay gọi virtual private dial-up network (VPDN) Cung cấp truy cập từ xa đến Intranet hay Extranet dựa cấu trúc hạ tầng chia sẻ Access VPN, kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến mạng cục công ty dial-up Khi công ty muốn thiết lập Remote access qui mô rộng, thuê ESP (Enterprise Service Provider) ESP thiết lập NAS (Network Access Server), người dùng từ xa quay số truy cập đến NAS dùng phần mềm VPN đầu cuối để kết nối với mạng cục công ty Đường truyền Access VPN tương tự, quay số, ISDN, đường thuê bao số (DSL) Hình Mô hình VPN truy cập từ xa 2.2 VPN điểm nối điểm (Site to Site) Đây cách kết nối nhiều văn phòng trụ sở xa thông qua thiết bị chuyên dụng đường truyền mã hoá qui mô lớn hoạt động Internet Site to Site VPN gồm loại: Các VPN nội (Intranet VPN ) Đây kiểu kết nối site to site VPN Các chi nhánh có riêng Sever VPN kết nối lại với thông qua Internet Và chi nhánh kết nối lại với thành mạng riêng (Intranet VPN) kết nối LAN to LAN Các VPN mở rộng ( Extranet VPN ) Khi công ty có quan hệ mật thiết với công ty khác (ví dụ đối tác, nhà cung cấp hay khách hàng) họ xây dựng extranet VPN nhằm kết nối Lan to Lan cho phép công ty làm việc trao đổi môi trường chia sẻ riêng biệt (tất nhiên Internet) Hình 30 Mô hình VPN điểm nối điểm SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn cần phải cài đặt phận hợp thành để thiết lập mạng riêng ảo Đó là: Phần mềm cho desktop máy khách dành cho người sử dụng từ xa Phần cứng cao cấp xử lý trung tâm VPN firewall bảo mật PIX Server VPN cao cấp dành cho dịch vụ Dial-up NAS (máy chủ truy cập mạng) nhà cung cấp sử dụng để phục vụ người sử dụng từ xa Mạng VPN trung tâm quản lý 2.3 Bộ xử lý trung tâm VPN Có nhiều loại máy xử lý VPN hãng khác nhau, sản phẩm Cisco tỏ vượt trội số tính Tích hợp kỹ thuật mã hóa thẩm định quyền truy cập cao cấp nay, máy xử lý VPN thiết kế chuyên biệt cho loại mạng Chúng chứa module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng số lượng gói tin truyền tải Dòng sản phẩm có model thích hợp cho mô hình doanh nghiệp từ nhỏ đến lớn (từ100 10.000 điểm kết nối từ xa truy cập lúc) Hình Bộ xử lý trung tâm VPN Cisco 3000 2.4 Router dùng cho VPN Thiết bị cung cấp tính truyền dẫn, bảo mật Dựa hệ điều hành Internet IOS mình, hãng Cisco phát triển loại router thích hợp cho trường hợp, từ truy cập nhà tới văn phòng nhu cầu doanh nghiệp quy mô lớn Hình Router Cisco 2.5 Tường lửa PIX Cisco Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm chế dịch địa mạng mạnh, máy chủ proxy, lọc gói tin, tính VPN chặn truy cập bất hợp pháp Hình Bộ Cisco PIX Firewall Thay dùng IOS, thiết bị có hệ điều hành với khả tổ chức cao, xoay sở với nhiều giao thức, hoạt động mạnh cách tập trung vào IP 2.6 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN Có yêu cầu cần đạt xây dựng mạng riêng ảo 2.6.1 Tính tương thích Tính tương thích (Compatibility): Mỗi công ty, doanh nghiệp xây dựng hệ thống mạng nội diện rộng dựa thủ tục khác không tuân theo chuẩn định nhà cung cấp dịch vụ Rất nhiều hệ thống mạng không sử dụng chuẩn TCP/IP kết nối trực tiếp với Internet Để sử dụng IP VPN tất hệ thống mạng riêng phải chuyển sang hệ thống địa theo chuẩn sử dụng Internet bổ sung tính tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức việc chuyển đổi thủ tục khác sang chuẩn IP 77% số lượng khách hàng hỏi yêu cầu chọn nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị có họ 4.1.2 Cài đặt OpenVPN client - Cài đặt OpenVPN Client Windows: ♦ Sử dụng trình duyệt Web vào địa sau: https://openvpn.net/index.php/open-source/downloads.html ♦ Sau download file openvpn-install-2.3.8-I001-x86_64.exe openvpn-install-2.3-I001-i686.exe ♦ Chạy file openvpn-install-2.3.8-I001-x86_64.exe Màn hình sau xuất hiện: Chọn next -> Chọn I Agree -> Chọn Next -> Chọn Install -> Chọn Install -> Nhấn nút Finish để kết thúc việc cài đặt Cài đặt Cert Dựa vào thông tin người dùng, Người quản trị hệ thống tạo file chứa chứng khóa riêng tư Để bảo vệ khóa riêng tư, khóa mã hóa mật Người dùng bung file zip vào thư mục cài đặt OpenVPN, thường C:\Program Files\OpenVPN\Config Sau copy file Cert ban tổ chức cấp kết : Bây start dịch vụ OpenVPN để kết nối tới Server: Chạy Start OpenVPN on this config file Màn hình xuất cửa sổ sau: Kết nối VPN thành công ! - Cài đặt OpenVPN Client Mac OS X Tunnelblick phần mềm OpenVPN Client sử dụng kết nối bảo mật với máy Mac chạy hệ điều hành Mac OS X với mạng từ xa Internet Cách cài đặt Tunnelblick Mac OS X Đầu tiên, bạn cần phải download phần mềm Nhấp đôi chuột vào biểu tượng Tunnelblick.app có cửa sổ thông báo sau: Nhấp chuột vào nút Open để tiếp tục Để tiếp tục tiến trình cài đặt bạn phải nhập tên đăng nhập mật từ máy tính bạn Nếu bạn cài đặt lại,hoặc nâng cấp Tunnelblick, cửa sổ hiển thị số phiên bạn phiên Click vào nút “Install” để chép Tunnelblick vào ổ cứng bạn Một cửa sổ xuất hiện, tương tự sau: Để khởi động Tunnelblick bạn nhấp vào nút “Launch” Khi bạn click vào biểu tượng, bạn nhìn thấy menu sổ xuống hình sau: Bước 2: Copy file Cert vào thư mục Mac OS: Chạy file có đuôi *.conf chọn Open with -> Tunnelblick Chọn All user -> nhập mật máy bạn Sau cấu hình Tunnelblick xong ta được: Hoàn tất cấu hình Chúng ta kết nối OpenVPN Chọn Connect grandprix2015 Đã kết nối thành công ! - Cài đặt OpenVPN Client Ubuntu Desktop: Cài đặt OpenVPN từ thư viện : Chọn y -> Enter Cài đặt hoàn tất Bước : Copy file Cert OpenVPN vào thư mục : /etc/openvpn Bây bạn start dịch vụ openvpn để kết nối tới Server: Kiểm tra kết nối: Kết nối thành công KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Những kết nghiên cứu luận văn cho phép rút kết luận sau: Kết đạt Tìm hiểu kiến thức mạng riêng ảo Tìm hiểu công nghệ VPN lịch sử hình thành, khái niệm, phân loại, giao thức, lợi ích, ưư nhược điểm Xây dựng mô hình, triển khai VPN client to site Hướng phát triển - Triển khai môi trường thực tế Nghiên cứu sâu giao thức công nghệ VPN Triển khai môi trường quy mô lớn [...]... bó giữa nhà cung cấp dịch vụ với khách hang đặc biệt là các khách hàng lớn + Ðầu tư không lớn hiệu quả đem lại cao + Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN 2.10 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 2.10.1 Ưu điểm VPN mang lại lợi ích thực sự và tức thời cho công ty Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động,... VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung + Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ. .. động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng + Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc... không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng Tuy nhiên các cam kết này cũng không đảm bảo 100% CHƯƠNG 3 THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 3.1 TÌNH HUỐNG Trung tâm Tin học Robusta có chi nhánh ở Đà Nẵng, tất cả các dữ liệu, máy chủ... vụ quản lý và làm chủ Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp + Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới + Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với... (Point to Point Tunneling Protocol) Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết. .. tâm truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những nhân viên này truy cập vào hệ thống mạng một cách thuận lợi 3.2 PHÂN TÍCH VÀ THIẾT KẾ 3.2.1 Thiết bị sử dụng + Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet... truyền như Dial-up, ADSL… + Trong công ty có các máy chủ như VPN server, Mail server, Web server… và kết nối Internet qua Router ADSL 3.2.2 Hệ điều hành và giao thức + Hệ điều hành: Ubuntu Server 14.04, Window Server 2008 và Window XP, Window 7, Window 8, Window 10, Mac OS + Giao thức dùng trong hệ thống mạng là TCP/IP 3.3 MÔ HÌNH TRIỂN KHAI Hình 11 Mô hình Client to Site Mô hình gồm có: + 1 máy VPN... - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng Người dùng... hướng Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002 2.9.2 Đối với nhà cung cấp dịch vụ + Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo + Tăng hiệu quả sử dụng mạng Internet hiện tại + Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng