Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn LỜI MỞ ĐẦU Trong thời đại hiên nay, Internet phát triển mạnh mẽ mặt mô công nghệ, để đáp ứng nhu cầu người sử dụng, Internet thiết kế để kết nối nhiều mạng khác cho phép truyền thông đến người sử dụng cách tư nhanh chóng, Internet có phạm vi toàn cầu không tổ chức, chình phủ quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình nhằm thỏa mãn nhu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình nay, người ta không cần đầu tư nhiều sở hạ tầng mà tình bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà, đường hay có văn phòng chi nhánh kết nối an toàn đến máy chủ tồ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an toàn thông tin người cung cấp với đối tác kinh doanh, đặc tính định VPN chúng có thề dùng mạng công cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều Trong thực tế nay, cấu hình VPN Win2k3, Win2k8 chiếm đa số chi phí giá thành lại cao, với phát triển vượt bậc công nghệ hacking nên tính bảo mật an toàn liệu hệ thống Windows đứng trước tình trạng nguy hiểm hết Nhằm tiết kiệm tiền bạc, đảm bảo tính bảo mật an toàn liệu, cấu hình VPN Lunix đời để giải vấn đề Trong CentOS (Community Enterprise Operating System) phân phối Linux phát triển từ RHEL (Red Hat Enterpirse Linux) hiệu điều hành mã Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn nguồn mở hoàn toàn miễn phí thích hợp với phần mền chạy Red Hat Vì Linux có tính linh hoạt cao Windows, thường dùng command line để cấu hình không dùng giao diện đồ họa Windows Hệ thống chạy Linux thường nhanh ổn định người ta thường dùng CentOS để làm máy chủ Nhưng Windows lại dùng làm Server nhiều Linux dễ sử dụng, giao diện đồ họa tốt, nhiều người biết đến Trước tình hình đó, cho phép khoa Công Nghệ Thông Tin trường Đại Học Hùng Vương nhóm em định lựa chọn đề tài “ Xây Dựng Và Bảo Mật Hệ Thống Mạng VPN Linux” cho đồ án hướng nghiệp Hiện nay, đề tài nghiên cứu ứng dụng rộng rãi Việt Nam,VPN hệ thống Linux tổ chức doanh nghiệp xa lạ ứng dụng không nhiều, nhóm em chọn đề tài để tìm hiểu phương thức hoạt động, tính bảo mật, từ khắc phục số lỗi VPN, hạn chế nguy công từ bên ngoài, làm cho hệ thống hoạt động tốt hơn, góp phần việc xây dựng hệ thống VPN an toàn, đáng tin cậy Chúng em mong nhận đóng góp ý kiến thầy để đề tài xây dựng thành công Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn NHIỆM VỤ THIẾT KẾ TỐT NGHIỆP Họ tên: Huỳnh Trọng Nghĩa Họ tên: Ngô Anh Tuấn Khóa:2008-2012 Ngành học: Mạng máy tính Đầu đề thiết kế Xây dựng mạng riêng ảo hệ điều hành Linux Các thiết bị chuẩn bị ban đầu Máy chủ Linux,các phần mềm mã nguồn mở, hai máy client Nội dung - Các giao thức bảo mật dùng VPN - Cách cấu hình VPN phần mềm OpenVPN - Lỗ hổng bảo mật hệ thống VPN vừa xây dựng Nội dung phát triển đề tài - Kết hợp VPN với Freeradius Mysql để quản lý - chứng thực user VPN tăng tính bảo mật Kết hợp VPN với LDAP Freeradius để chứng - thực,quản lý user VPN tăng tính bảo mật Nghiên cứu khai thác lỗ hổng bảo mật giao thức SSL Giáo viên hướng dẫn Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn Họ tên giáo viên NGUYỄN VẠN PHÚC 6: Ngày hoàn thành Ngày……….tháng………năm 2012 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn MỤC LỤC Nhân xét giáo viên hướng dẫn Nhân xét giáo viên phản biện Chương 1: Xây dựng hệ thống VPN Site – to – site Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn 1.1 Tổng quan 1.2 Thiết bị phần mềm triển khai 1.3 Ứng dụng 10 1.4 Mô hình triển khai VPN Linux 11 1.5 Các giao thức sử dụng 11 1.5.1 Giao thức PPP 11 1.5.2 Giao thức SSL 13 1.5.3 Các công cụ hổ trợ khác 17 1.6 Ưu điểm khuyết điểm hệ thống 21 1.6.1 Ưu điểm 21 Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn 1.6.2 Khuyết điểm 21 1.7 Lab cài đặt cấu hình 21 Chương 2: VPN Client – to – site kết hợp FreeRADIUS MySQL 40 2.1 Giới thiệu RADIUS 40 2.2 Giới thiệu MySQL 40 2.3 Phần mềm thiết bị triển khai 41 2.4 Mô hình triển khai 41 2.5 Dịch vụ AAA RADIUS 41 2.5.1 Authentication 41 2.5.2 Authorization 42 2.5.3 Accounting 42 2.6 Các giao thức liên quan Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn 43 2.6.1 PAP 43 2.6.2 CHAP 43 2.6.3 MS-CHAP 44 2.7 Ưu điểm nhược điểm 44 2.7.1 Ưu điểm 44 2.7.2 Nhược điểm 44 Lab cài đặt cấu hình 45 Chương 3: VPN- LDAP -FreeRADIUS 53 3.1 Giới thiệu LDAP 53 3.2 Phần mềm thiết bị triển khai 54 3.3 Mô hình triển khai 54 3.4 Cấu trúc LDAP 54 3.4.1 Directory Service 54 Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn 3.4.2 LDAP Directory 55 3.4.3 Distinguished Name 56 3.4.4 LDAP schema 56 3.4.5 Object class 57 3.4.6 LDIF 57 3.4.7 Nghi thức hướng thông điệp 59 3.5 Các thao tác nghi thức LDAP 60 3.6 Chứng thực LDAP 61 3.7 Ứng dụng LDAP 63 3.8 LDAP cấu hình 63 Chương 4: Demo bắt gói tin VPN 69 4.1 Demo bắt gói tin FTP 69 4.1.1 Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn Mô hình 10 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn [root@localhost ~]# useradd user1 [root@localhost ~]# useradd user2 [root@localhost ~]# passwd user1 [root@localhost ~]# passwd user2 3.8.4 Tạo password cho LDAP [root@localhost ~]# slappasswd New password: Re-enter new password: {SSHA}TGqfImNSEpGvxSeHWgzyxIvMMks6caSn 3.8.5 Tạo database [root@localhost ~]cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG 3.8.6 Tạo file User [root@openldap ~]# service ldap start [root@localhost ~]# cd /usr/share/openldap/migration/ [root@localhost migration]# cp base.ldif /etc/openldap/ [root@localhost migration]]# grep root /etc/passwd > /etc/openldap/passwd.root [root@localhost migration]]# grep user1 /etc/passwd > /etc/openldap/passwd.user1 [root@localhost migration]]# grep user2 /etc/passwd > /etc/openldap/passwd.user2 [root@localhost migration]]# /migrate_passwd.pl /etc/openldap/passwd.root /etc/openldap/root.ldif Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 73 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn [root@localhost migration]]# /migrate_passwd.pl /etc/openldap/passwd.user1 /etc/openldap/user1.ldif [root@localhost migration]]# /migrate_passwd.pl /etc/openldap/passwd.user2 /etc/openldap/user2.ldif 3.8.7 Thêm liệu vào database LDAP [root@localhost ~]# ldapadd -x -D "cn=Manager,dc=abv,dc=com" -W -f /etc/openldap/base.ldif Enter LDAP Password: adding new entry "dc=abv,dc=com" adding new entry "ou=People,dc=abv,dc=com" adding new entry "ou=Group,dc=abv,dc=com" [root@localhost ~]# ldapadd -x -D "cn=Manager,dc=abv,dc=com" -W -f /etc/openldap/root.ldif Enter LDAP Password: adding new entry "uid=root,ou=People,dc=abv,dc=com" adding new entry "uid=operator,ou=People,dc=abv,dc=com" [root@localhost ~]# ldapadd -x -D "cn=Manager,dc=abv,dc=com" –W -f /etc/openldap/user1.ldif Enter LDAP Password: adding new entry "uid=user1,ou=People,dc=abv,dc=com" [root@localhost ~]# ldapadd -x -D "cn=Manager,dc=abv,dc=com" -W -f /etc/openldap/user2.ldif Enter LDAP Password: adding new entry "uid=user2,ou=People,dc=abv,dc=com" 3.8.8 Sửa file /etc/raddb/modules/ldap ldap{ server = “localhost” basedn = “dc=abv,dc=com” identity = "cn=Manager,ou=people,dc=abv,dc=com" dictionary_mapping = ${raddbdir}/ldap.attrmap } Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 74 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn 3.8.9 Kích hoạt tính chứng thực LDAP [root@localhost ~]# vi /etc/raddb/sites-available/default Auth-Type LDAP { ldap } [root@localhost ~]# vi /etc/raddb/sites-available/inner-tunnel Auth-Type LDAP { ldap } 3.8.10 Khởi động dịch vụ Freeradius Kiểm tra trình chứng thực user a) Kiểm tra User1 [root@localhost ~]# radtest user1 123456 localhost 100 testing123 Sending Access-Request of id 78 to 127.0.0.1 port 1812 User-Name = "user1" User-Password = "123456" NAS-IP-Address = 192.168.1.2 NAS-Port = 100 Message-Authenticator = x00000000000000000000000000000000 rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=78, length=20 b) Kiểm tra User2 [root@localhost ~]# radtest user2 123456 localhost 100 testing123 Sending Access-Request of id 13 to 127.0.0.1 port 1812 User-Name = "user2" User-Password = "123456" NAS-IP-Address = 192.168.1.2 NAS-Port = 100 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=13, length=20 3.8.11 Kiểm tra kết nối OpenVPN Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 75 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn a) Kiểm tra User1 Hình 8.11a : nhập tên user pass Hình 8.11b : kết nối thành công Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 76 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn Kiểm tra ben Linux Server Chương : Demo bắt gói tin login VPN 4.1) Demo bắt gói tin FTP server - Client 4.1.1 Mô hình triển khai Hình 5.1.1 : Mô hình hacker sniff ftp-login 4.1.2 Cài đặt Trên máy FTP-Server chạy Centos 5.8 để tạo FTP-Server ta gõ lệnh # rpm –ivh /media/CentOS-5.8/Centos/vsftp Tiếp theo tạo user ftp file tài liệu để user ftp lấy # mkdir /home/FTP_data/ # useradd /home/FTP_data/user3 user3 Trong đường dẫn /home/FTP_data/user3/ Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn tạo file để làm 77 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn liệu Ở tạo user demo có tên ftpuser password để login 123456 Vậy ta có user file liệu mẫu 4.1.3 Lab bắt gói tin phần mềm Ettercap Trên máy Hacker sử dụng hệ điều hành WinXP cài phần mềm Ettercap để bắt gói tin Chạy chương trình Ettercap vào : Run - Programes- ettercap- ettercap frompt Start chương trình ettercap để quét host C:> ettercap  Enter hình hiển thị host chạy xuất Chọn host để sniff : 192.168.1.3 192.168.1.120 Hình 4.1.3a : Bắt đầu trình sniff Bấm phím a Enter để bắt đầu bắt gói tin Máy Victim bắt đầu đăng nhập để vào FTP Server Từ máy Client vào Run gõ lệnh: ftp: 192.168.1.3 để bắt đầu đăng nhập Màn hình Comandos xuất hiện, gõ tên user password để đăng nhập Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 78 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn Hình 4.1.3b : đăng nhập ftp từ Client Màn hình đăng nhập thành công với user: ftpusser pass: 123456 Hình 4.1.3c: Đăng nhập thành công Trở lại máy Hacker xem kết sniff, kết bắt user password Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 79 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn Hình4.1.3d: Sniff thành công Giờ thử đăng nhập user VPN mô hình VPN xây dựng Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 80 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn Hình 4.1.3e: Đăng nhập user VPN Và kết sniff Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 81 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn Hình 4.1.3f: Kết sniff user VPN 4.2) So sánh kếtluận Các gói tin truyền dạng thông thường không mã hóa chặt chẽ dễ dàng bị Hacker lợi dụng ho àn toàn nắm bắt nội dung gói tin dạng plain-text Nhưng hệ thống xây dựng hệ thống VPN Linux sử dụng phần mềm mã nguồn mở cung cấp miễn phí hiệu bảo mật tốt hiệu quả, an toàn cho liệu không xây dựng Window, điển hình gói tin mà hacker bắt định dạng chuổi ký tự phức tạp khó để giải mã, mà tính toàn vẹn liệu đảm bảo Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 82 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn Chương : Đánh giá kết luận đề tài 5.1 ) Những làm + Tìm hiểu nghiên cứu ưu điểm hệ thống VPN chuyển từ hệ thống Windows sang hệ thống mã nguồn mở, từ thấy lợi ích định sử dụng hệ điều hành mã nguồn mở để xây dựng mạng riêng ảo + Hoàn thành nhiệm vụ đề tài đưa ra, xây dựng thành công hệ thống mạng riêng ảo trên hệ điều hành Linux với thiết bị sở hạ tầng phù hợp với phát triển kỹ thuật phù hợp với kinh tế tài Việt Nam + Kết hợp thành công tính chứng thực RADIUS vào mạng riêng ảo vừa xây dựng để tăng cường khả bảo mật hạn chế rủi ro + Quản lý user tiện lợi hiệu hổ trợ thuận lợi cho việc bảo mật việc sử dụng hệ quản trị sở liệu MySQL chứng thực Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 83 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn RADIUS + Đồng thời bên cạnh việc kết hợp RADIUS MySQL vào mạng riêng ảo, phạm vi đề tài mở rộng với LDAP , tăng cường bảo mật với lần chứng thực user ,quản lý user tập trung sách phân quyền hiệu với LDAP + Việc cài đặt cấu hình dễ dàng nhanh chóng với đoạn script shell viết sẵn hổ trợ xây dựng hệ thống 5.2 ) Hạn chế đề tài + hệ thống : OpenVPN + RADIUS + MySQL OpenVPN + LDAP +RADIUS máy chủ cài đặt máy, nên có rủi ro thiết bị phần cứng gây thiệt hại lớn cho hệ thống + Chưa sâu vào việc phân quyền quản lý user + Chưa nắm bắt lỗi SSL PPP nên việc khắc phục cố bảo mật tương tai nhiều khó khăn Chương : Tài liệu tham khảo [1] Khái niệm vpn (http://vnpro.org/forum/) [2] Ưu nhược điểm vpn ( http://tailieu.vn ) [3] Giao thức SSH ( wikipedia.com ) [4] Giao thức PPP PPPD (http://tailieu.vn) [5] Giao thức SSL (http://www.vatgia.com/hoidap ) [6] Cài đặt cấu hình openvpn (http://www.scribd.com/doc/45974540/Bai-Tap-Openvpn) [7] Cài đặt cấu hình openvpn (nhatnghe.com) Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 84 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn [8] Cài đặt cấu hình openvpn ( hvaonline.com ) [9] Cài đặt cấu hình openvpn (openvpn.net/howto.html ) [10] Cài đặt cấu hình openvpn (server-world.info/en) [11]Cài đặt cấu hình openvpn (http://library.linode.com/networking/openvpn/centos-5) [12] Bảo mật linux ( tailieu.vn ) [13] Lỗ hổng bảo mật SSL (http://vnhacker.blogspot.com) [14] Mã hóa liệu theo chuẩn DES (http://wikipedia.com) [15] Các giao thức sử dụng OpenVPN (vn-zoom.com) [16] http://hpcc.hut.edu.vn/forum/showthread.php?tid=78 [17] http://www.slideshare.net/phanleson/ldap [18] http://www.scribd.com/doc/89196537/15/LDAP-la-m%E1%BB %99t-giao-th%E1%BB%A9c-h%C6%B0%E1%BB%9Bng-thong%C4%91i%E1%BB%87p [19] http://www.youtube.com/watch?v=GH38WNcfegY [20] http://www.roessner-network-solutions.com/popular-articles-andpages/openvpn-radius-mysqlldap-howto/ [21] http://forums.openvpn.net/topic3130.html [22]http://www.google.com.vn/url?sa=t&rct=j&q=freeradius%20%2B %20openvpn&source=web&cd=5&ved=0CGsQFjAE&url=http%3A%2F %2Fdoc.pfsense.org%2Findex.php %2FUsing_OpenVPN_With_FreeRADIUS&ei=luIXUOf0FojY6wHor4D4A Q&usg=AFQjCNFRdrgARIdHrBE67xx8HlYBs5vgNw [23] http://safesrv.net/setup-freeradius-plugin-and-openvpn-source/ [24] http://safesrv.net/step-by-step-tutorial-to-setup-freeradius-withopenvpn-as/ [25] http://www.vn-zoom.com/f316/openvpn-chung-thuc-boifreeradius-tren-centos-2022247.html Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 85 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn [26] http://www.somerorbay.com/vps-and-dedicated/freeradiusopenvpn-mysql-and-static-ip-for-vpn-clients [27] http://www.hvaonline.net/hvaonline/posts/list/42489.hva [28] http://freeradius.1045715.n5.nabble.com/freeradius-openvpndisconnect-user-from-radius-td5119029.html [29] http://forum.pfsense.org/index.php?topic=4105.0 [30] http://oss.sgi.com/LDP/HOWTO/LDAP-ImplementationHOWTO/radius.html [31]http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_ :_Ch31_:_Centralized_Logins_Using_LDAP_and_RADIUS [32] http://marcel.bl2000.org/?p=242 [33] http://www.howtoforge.com/wikid-openldap-freeradius-howto [34] http://www.nongnu.org/radiusplugin/ [35] http://forums.openvpn.net/topic8419.html [36] http://techtots.blogspot.com/2010/01/configuring-openvpnfreeradius-mysql.html [37] http://rpm.pbone.net/index.php3/stat/4/idpl/5967896/dir//com/openvpnradiusplugin-2.0a-4.5.x86_64.rpm.html [38] https://forum.openwrt.org/viewtopic.php?id=20446 [39] https://bugs.launchpad.net/ubuntu/+bug/151345 [40] http://wiki.freeradius.org/SQL_HOWTO [41] http://infodotnet.blogspot.com/2008/03/install-and-configurefreeradius-with.html [42] http://www.howtoforge.com/setting-up-a-freeradius-based-aaaSinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 86 Xây dựng bảo mật VPN Linux Vạn Phúc GVHD : Nguyễn server-with-mysql-and-management-with-daloradius [43] http://www.howtoforge.com/authentication-authorization-andaccounting-with-freeradius-and-mysql-backend-and-webbased-managementwith-daloradius [44] http://www.oreilly.de/catalog/radius/chapter/ch05.html [45] http://www.packetpro.com/~peterson/freeradius-mysql-setup.html [46] http://www.mydeveloperblog.com/linux-tutorial/radius/radiusservers-installation-guide-freeradius-ubuntu-mysql/ [47] http://www.mydeveloperblog.com/linux-tutorial/radius/radiusservers-configuration-guide-freeradius-ubuntu-mysql/ [48] http://www.linuxquestions.org/questions/linux-networking3/how-to-configure-radius-server-with-mysql-447999/ [49] http://techtots.blogspot.com/2010/01/installing-and-configuringfreeradius.html [50] http://www.linuxquestions.org/questions/linux-networking3/how-to-configure-radius-with-mysql-as-backend-database-448109/ [51] http://ubuntuforums.org/archive/index.php/t-1166521.html [52] http://wiki.freeradius.org/Basic-configuration-HOWTO Sinh viên thực : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 87 [...]... Tuấn 31 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn Hình 6.3a4 Xây dựng key cho client Sinh viên thực hiện : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 32 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn Hình 6.3a4 Xây dựng key cho client Xong bước này chúng ta đã hoàn thành việc tạo các Certificate và Keys cần thiết cho việc chứng thực #ls keys/ xem kết quả 6.3.a5 Kết quả tạo CA và Keys... - Ngô Anh Tuấn 25 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn Hình 6.1b IP máy VPN client Site1 c) Cấu hình IP máy Client Site2 như sau: Hình 6.1c IP máy VPN client Site2 1.7.2 CÀI ĐẶT CÁC GÓI PHẦN MỀM HỔ TRỢ CHO VIỆC CÀI ĐẶT VÀ CẤU HÌNH OPENVPN Sinh viên thực hiện : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 26 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn + Lzo và lzo-devel: Thực... Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 11 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn Chương 1 : Hệ thống VPN Site - To – Site 1.1) Tổng quan về VPN site – to – site trên hệ thống linux Ngày nay với công nghệ VPN, các doanh nghiệp đã có thể kết nối giữa các chi nhánh với nhau 1 cách an toàn mà không cần phải thuê Lease Line, tuy nhiên việc cấu hình VPN trên các router vẫn còn tương đối phức tạp... mà VPN trên Linux vẫn chưa pháp triển lớn mạnh tại Việt Nam Sinh viên thực hiện : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 12 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn 1.2)Thiết bị và các phần mềm để triển khai - 2 máy chủ sử dụng hệ điều hành Centos - 2 máy client nội bộ dùng Win XP - 1 máy client bên ngoài - Phần mềm Openvpn, OpenSSL, Openvpn GUI và 1 số gói hỗ trợ khác 1.3) Ứng dụng của VPN. .. copy vào thư mục config Sinh viên thực hiện : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 33 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn #cd keys/ #cp ca.crt ca.key openvpnserver.crt openvpnserver.key dh1024.pem /etc/openvpn Copy file server.conf từ source cài đặt vào /etc/openvpn/ #cp /usr/share/doc/openvpn-2.2.0/sample-config-files/server.conf/ /etc/openvpn Chỉnh sửa file cấu hình : #cd /etc/openvpn... một cá nhân vào mạng Lan + Mạng cách ly phi chuẩn: tạo ra một môi trường cách ly hoàn toàn về mặt giao thức TPC/IP giữa mạng nội bộ với hệ thống Internet bên ngoài, nhưng dữ liệu truyền giữa các mạng bộ qua Internet ra bên ngoài vẫn bình thường Sinh viên thực hiện : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 13 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn 1.4)Mô hình Hình 3.1 : Open VPN site – to... install openvpn 1.7.3 - CẤU HÌNH OPENVPN SERVER CHO SITE1 1.7.3.1 - Tạo CA và Keys cho Site1 Sinh viên thực hiện : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 28 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn Sau khi cài đặt openvpn server trên Centos 5.7 chúng ta càn coppy những file sau: #cp –R /usr/share/doc/openvpn-2.2.0/easy-rsa/ /etc/openvpn Coppy thư mục easy-rsa sang thư mục /etc/openvpn Sau khi... doanh nghiệp vừa và nhỏ Các Phiên bản của OpenVPN: * OpenVPN phiên bản 1 OpenVPN xuất hiện trong giải pháp VPN vào ngày 13/5/2001 Bản đầu tiên chỉ có thể tạo đường hầm IP qua giao thức UDP và chỉ mã hóa bằng Blowfish (thuật toán mã hóa đối xứng) và các chữ ký SHA HMAC Sinh viên thực hiện : Huỳnh Trọng Nghĩa - Ngô Anh Tuấn 21 Xây dựng và bảo mật VPN trên Linux Vạn Phúc GVHD : Nguyễn Ngày-Tháng- Phiên... tập tin cấu hình của bạn và vpn server 1.6 ) Ưu điểm và khuyết điểm 1.6.1 – Ưu điểm + Mạng VPN được xây dựng trên nền tảng các phần mềm mã nguồn mở, nên tính hiệu chỉnh và cơ động cao + Thiết lập được kết nối VPN ổn định và đáng tin cậy + Bảo mật với chứng thực 2 đầu kết nối 1.6.2 – Khuyết điểm + Do là mã nguồn mở nên việc quản lý các User VPN không được tích hợp sẵn trong hệ điều hành, do đó nên cần... bắt nhu cầu này nên hệ điều hành Linux đã ra đời đáp ứng nhu cầu trên và có thể sử dụng hệ điều hành mã nguồn mở này cùng với các phần mềm tiện ích mã nguồn mở để cấu hình VPN với tính bảo mật đáng tin cậy, mà chi phí đầu tư lại thấp hơn rất nhiều do hầu hết các phần mềm hoàn toàn miễn phí Tuy nhiên xây dựng VPN trên Linux vẫn còn khá mới lạ đối với các doanh nghiệp do việc sử dụng Linux còn khá khó