tìm hiểu giải pháp phần mềm mã nguồn mở openvpn trên linux

Internet đã được thiết kếđể kết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sửdụng một cách tự do và nhanh chóng.Để làm được điều này người ta sử dụngmột hệ thống các

Đề tài: Tìm hiểu giải pháp mã nguồn mở OpenVPN

trong Linux

I L i c m n ời cảm ơn ảm ơn ơn

Em xin chân thành cảm ơn các thầy cô giáo bộ môn Kỹ thuật hệ thống

và mạng máy tính,những người đã dạy dỗ, trang bị cho em những kiến thức bổích trong suối những năm học tập

Em xin bày tỏ lòng cảm ơn sâu sắc nhất với thầy Bùi Thanh Phong, thầy

đã tận tình giúp đỡ,hướng dẫn và cho em những lời khuyên quý báu trong quátrình thực tập

Hà nội,ngày 24 tháng 2 năm 2014

II M c l c ục lục ục lục

I Lời cảm ơn 2

II Mục lục 3

III Danh mục từ viết tắt 4

VPN : Virtual private network 4

IV Lời mở đầu 5

V Tổng quan về VPN 6

1 Định nghĩa về VPN 6

2 Tại sao phải sử dụng VPN 6

3 Kiến trúc của VPN 7

4 Các giao thức trong VPN 10

5 Hệ thống mạng và VPN 17

5.1 Remote Access VPNs 17

5.2 Site to Site (Lan to Lan) 19

5.3 Quá trình thiết lập một kết nối giữa Client và Server 22

VI Giải pháp mã nguồn mở OpenVPN trên Linux 24

1 Lịch sử của OpenVPN 24

2 OpenVPN là gì? 25

3 Ưu điểm của OpenVPN 26

4 Cài đặt OpenVPN trong Linux 27

5.1 Những hiểu biết cơ bản về hệ điều hành Linux và CentOS 27

5.1.1 Linux 27

5.1.2 CentOS 29

5.2 Cài đặt OpenVPN trong CentOS 6.5 x64 30

7 Cấu hình VPN cơ bản 34

7.1 Cấu hình OpenVPN server Linux 34

7.2 Cấu hình OpenVPN client trên MacOS với Tunnelblick 41

7.3 Cấu hình OpenVPN client trên Windows XP SP3 45

8 Thử nghiệm sử dụng OpenVPN trên máy ảo 46

9 Giám sát và xử lý sự cố 47

9.1 Trên Server 47

9.2 Trên Client 47

VII Kết luận 48

VIII Tài liệu tham khảo 49

IX Ý kiến giảng viên hướng dẫn 50

III Danh m c t vi t t t ục lục ừ viết tắt ết tắt ắt

VPN : Virtual private network

ISP : Internet service provider

SSL : Secure Sockets Layer

NAS : Network-attached storage

OSI : Open Systems Interconnection Reference ModelIETF : Internet Engineering Task Force

GNU : General Public License

KDE: Desktop Environment

GNOME: GNU Network Object Model EnvironmentHTTPS : Hypertext Transfer Protocol Secure

TCP : Transmission Control Protocol

UDP : User Datagram Protocol

NAT : Network address translation

SSH : Secure Shell

LDAP : Lightweight Directory Access Protocol

IPsec : Internet Protocol Security

DNS : Domain Name System

IV L i m đ u ời cảm ơn ở OpenVPN trong Linux ầu

Hiện nay,Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức,đáp ứng khá đầy đủ các nhu cầu của người sử dựng Internet đã được thiết kế

để kết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sửdụng một cách tự do và nhanh chóng.Để làm được điều này người ta sử dụngmột hệ thống các thiết bị định tuyến để kết nối các LAN và WAN với nhau.Cácmáy tính được kết nối vào Internet thông qua các nhà cung cấp dịch vụ ISP.Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn cáclĩnh vực và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên do Internet cóphạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rấtkhó khăn trong việc bảo mật và an toàn dữ liệu, cũng như việc quản lý dịch vụ

Các doanh nghiệp có chỗi chi nhánh, cửa hàng ngày càng trở nên phổbiến.Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàngđến tận người dùng.Do đó, để kiểm soát, quản lý, tận dụng tốt nghuồn tàinguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồntài nguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên,việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn, bảo mật

Để giải quyết vấn đề trên, nhiều doanh nghiệp đã chọn giải pháp môhình mạng riêng ảo VPN Với mô hình mới này,người ta không phải đầu tưthêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật và dộ tin cậy vậyđược bảo đảm, đồng thời có thể quản lý riêng sự hoạt động của magj này VPNcho phép người sử dụng làm việc tại nhà riêng , trên đường đi hoặc các vănphòng chi nhánh có thể kết nối an toàn tới máy chủ của tổ chức mình bằng cơ

sở hạ tầng được cung cấp bởi mạng công cộng Nhưng thông thường, triển khaiphần mềm VPN và phần cứng tốn nhiều thời gian và chi phí , do đó OpenVPN

là một giải pháp mã nguồn mở VPN hoàn toàn miễn phí và cực kỳ hiệu quả chocác doanh nghiệp

Nội dung báo cáo được trình bày theo 2 phần chính:

1.Những tìm hiểu cơ bản về VPN

2.Tìm hiểu về OpenVPN và triển khai trong mô hình máy ảo

V T ng quan v VPN ổng quan về VPN ề VPN

1 Định nghĩa về VPN

Trước kia khi một công ty,tổ chức muốn kết nối các văn phòng,chinhnhánh với nhau họ phải thuê riêng một kênh đường truyền leased line từ cácISP.Ngày nay với sự phát triển nhanh chóng và phổ biến của internet,việc thuêmột kênh riêng đã trở nên không hiệu quả,ngoài ra chi phí cho việc thuê kênhriêng hiện nay là khá cao.Để đáp ứng hai yêu cầu hiệu quả và chi phí thì VPN

đã ra đời,đưa đến cho các doanh nghiệp giải pháp để kết nối các văn phòng vàchi nhánh.Vậy VPN là gì?

Có khá nhiều định nghĩa về VPN,em xin đưa một vài ví dụ cụ thể :

“Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là mộtmạng dành riêng để kết nối các máy tính của các công ty,tập đoàn hay các tổ

chức với nhau thông qua mạng Internet công cộng.” nguồn: Wikipedia

“Một mạng VPN có thể hiểu là một thiết lập logic vật lý bảo mật đượcthực hiện bởi những phần mềm đặc biệt.Thiết lập sự riêng tư bằng việc bảo vệ

kết nối điểm cuối” nguồn: OpenVPN-Markus Feiler

Nhưng có lẽ định nghĩa đơn giản nhất dành cho VPN là:

“Bản chất của VPN là một kết nối bảo mật giữa hai hoặc nhiều điểm của

mạng công cộng” nguồn: SSL VPN-Joseph Steinberg & Timothy Speed

Hình 1: Mô Hình mạng riêng ảo (VPN)

2 Tại sao phải sử dụng VPN

VPN ra đời từ nhu cầu kết nối giữa các công ty mẹ với các công ty con

và chi nhánh.Chính vì vậy,cho tới nay thì các công ty,tổ chức chính là đốitượng chính sử dụng VPN.Đặc biệt là các công ty có nhu cầu cao về việc traođổi thông tin,dữ liệu giữa các văn phòng với nhau nhưng lại không đòi hỏi yêucầu quá cao về tính bảo mật,cũng như dữ liệu.Vì vậy đối với các doanhnghiệp,những lý do sau khiến mỗi đơn vị,tổ chức,công ty sử dụng VPN:

1 Giảm chi phí thường xuyên

Tiết kiệm 60% chi phí thuê đường truyền,cũng như là chi phí gọi đườngdài của những văn phòng ở xa.Với những nhân viên di động thì việc đăng nhậpvào mạng VPN chung của công ty thông qua các POP tại địa điểm đó

2 Giảm chi phí đầu tư

So với việc phải đầu tư từ đầu như trước đây thì giờ đây mọi chi phí vềmáy chủ,đường truyền,bộ định tuyến,bộ chuyển mạch … Các công ty có thểthuê chúng từ các đơn vị cung cấp dịch vụ.Như vậy vừa giảm được chi phí đầu

tư trang thiết bị

3 Giảm chi phí duy trì nơi hệ thống và bảo trì

Thuận tiện cho việc nâng cấp hay bảo trì trong quá trình sử dụng vì hiệnnay các công ty cung cấp dịch vụ sẽ chịu trách nhiệm bảo trì hệ thống họ cungcấp hoặc nâng cấp theo nhu cầu của khách hàng

4 Truy cập mọi lúc mọi nơi

Mọi nhân viên có thể sử dụng hạ tầng,dịch vụ của bên cung cấp trongđiều kiện cho phép để kết nối vào mạng VPN của công ty.Điều này đặc biệtquan trọng thời kỳ hiện nay,khi mà thông tin không chỉ còn được đánh giá bằng

độ chính xác mà còn cả tính tức thời

3 Kiến trúc của VPN

Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính là(Tunneling) đường hầm kết nối và (Secure services) các dịch vụ bảo mật chokết nối đó.Tunneling chính là thành phần “Virtual” và Sercure services là thànhphần “Private” của một mạng riêng ảo VPN(Virtual Private Network)

a) Đường hầm kết nối (Tunneling)

Khác với việc thuê một đường truyền riêng các kết nối bằng việc sửdụng cách tạo đường hầm không liên tục,mà chỉ được xác lập khi có yêu cầukết nối.Do vậy khi không còn được sử dụng các kết nối này sẽ được huỷ,giảiphóng băng thông,tài nguyên mạng cho các yêu cầu khác.Điều này cho thấymột ưu điểm rất lớn của VPN so với việc thuê đường truyền riêng đó là sự linhhoạt

Cấu trúc logic của mạng được thiết lập dành cho thiết bị mạng tươngứng của mạng đó mà không cần quan tâm đến hạ tầng mạng hiện có là một đặcđiểm “ảo” khác của VPN.Các thiết bị phần cứng của mạng đều trở nên tàng

hình với người dùng và thiết bị của mạng VPN.Chính vì thế trong quá trình tạo

ra đường hầm,những kết nối hình thành nên mạng riêng ảo không có cùng tínhchất vật lý với những kết nối cố định trong mạng Lan thông thường

Tạo đường hầm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuốitrên mạng.Các gói tin IP trước khi chuyển đi phải được đóng gói,mã hoá gói tingốc và thêm IP header mới.Sau đó các gói tin sẽ được giải mã,tách bỏ phần tiêu

đề tại gateway của điểm đến,trước khi được chuyển đến điểm đến đầu cuối

Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàntrong suốt với người sử dụng

Có hai loại đường hầm kết nối thường trực và tạm thời.Tính hiệu quả vàtối ưu của một đường hầm kết nối thường trực là không cao.Do đó đường hầmtạm thời thường được sử dụng hơn vì tính linh động và hữu dụng hơn choVPN

Có hai kiểu kết nối hình thành giữa hai đầu kết nối của mỗi đường hầm

là Lan to Lan và Client to Lan

(i) Lan to Lan

Kết nối lan to lan được hình thành giữa 2 văn phòng chi nhánh hoặc chinhánh với công ty.Các nhân viên tại những văn phòng và chi nhánh đều có thể

sử dụng đường hầm để trao đổi dữ liệu

(ii) Client to lan

Kiểu kết nối client to lan dành cho các kết nối di động của các nhân viên

ở xa đến công ty hay chi nhánh.Để thực hiện được điều này,các máy client phảichạy một phần mềm đặc biệt cho phép kết nối với gateway của công ty haychinh nhánh.Khi kết nối này được thực hiện thì đã xác lập một đường hầm kếtnối giữa công ty và nhân viên ở xa

b) Dịch vụ bảo mật (secure services)

Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhânviên ở xa mà không hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thìcũng như việc các ngân hàng chuyển tiền mà không có lực lượng bảo vệvậy.Tất cả các dữ liệu sẽ không được bảo vệ,hoàn toàn có thể bị đánh cắp,thayđổi trên quá trình vận chuyển một cách dễ dàng.Chính vì vậy các cơ chế bảomật cho VPN chính là xương sống của giải pháp này

Một mạng VPN cần cung cấp 4 chức năng bảo mật cho dữ liệu:

• Xác thực(Authentication): Đảm bảo dữ liệu đến từ một nguồn quyđịnh.

• Điều khiển truy cập (Access control) : hạn chế quyền từ những ngườidùng bất hợp pháp

• Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữliệu trong quá trình vận chuyển trên mạng

• Tính toàn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi,đượcbảo toàn từ đầu gửi đến đầu nhận

Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data link) và lớp 3(Network) trong mô hình 7 lớp OSI.Các dịch vụ bảo mật đều được triển khaitại các lớp thấp của mô hình OSI làm giảm sự tác động đến người dùng.Việcbảo mật có thể thực hiện tại các đầu cuối (end to end) hoặc giữa các nút (node

to node)

Bảo mật tại các điểm đầu cuối là hình thức bảo mật có được độ tin cậycao,ví dụ như tại 2 máy tính đầu cuối.Tuy vậy nhưng hình thức bảo mật đầucuối hay client to client lại có nhược điểm làm tang sự phức tạp cho ngườidùng,khó khăn cho việc quản lý

Trái với bảo mật điểm đầu cuối,bảo mật tại các nút thân thiện hơn vớingười dùng cuối.Giảm số tác vụ có thể làm chậm hệ thống máy tính như mãhoá hay giải mã.Tuy nhiên việc bảo mật tại các nút lại yêu cầu mạng sau nóphải có độ tin cậy cao.Mỗi hình thức bảo mật đều có ưu điểm riêng,tuỳ theotừng yêu cầu của hệ thống cần xây dựng mà chọn hình thức phù hợp

4 Các giao thức trong VPN

a) Ipsec

mô hình Ipsec

Internet Security Protocol là một cấu trúc được khởi sướng và duy trìphát triển bởi lực lượng chuyên trách về kỹ thuật liên mạng (IETF) nhằm cungcấp các dịch vụ bảo mật cho giao thức Ipv4 và Ipv6.Nó được xây dựng để phục

vụ cho các cấu trúc tầng trên cùng,đúng hơn là tập chung vào các thuật toán mãhoá và phương pháp trao đổi các khoá.Ipsec được thiết kế chạy trên ứng dụng

để bảo mật cho hệ thống mạng của chính nó.Nâng cấp Ipsec chỉ có nghĩa lànâng cấp tính năng bảo mật,các ứng dụng mạng hiện tại có thể tiếp tục sử dụng

để truyền dữ liệu

Ipsec cung cấp ba phương thức bảo mật đó là :

➢ Thuật toán mã hoá

➢ Thuật toán xác thực

➢ Quản lý khoá

Hai lợi ích chính bắt nguồn từ IPsec là các sản phẩm hoặc dịch vụIPSec tăng tính năng bảo mật bổ sung cũng như khả năng tương tác với các sảnphẩm khác IPSec tăng cường an ninh có nghĩa là xác thực toàn diện nhất vàmạnh mẽ nhất ,trao đổi khoá, và các thuật toán mã hóa , mạnh mẽ cho sử dụngtrong thế giới

Mặc dù IPSec vẫn còn trải qua thay đổi , nhiều nền tảng cơ bản đã đượcđông lạnh đủ cho các nhà cung cấp để hoàn thiện , kiểm tra, và phân phối cácsản phẩm VPN

IPSec được hỗ trợ hai kiểu mã hoá Để bảo vệ khối lượng của mỗi góitin, trong khi các chế độ đường hầm mã hóa cả tiêu đề và khối lượng Một cáchhợp lý đủ các chế độ đường hầm an toàn hơn, vì nó bảo vệ danh tính của ngườigửi và người nhận, cùng với một số lĩnh vực ẩn IP khác có thể cung cấp chomột người trung gian thông tin hữu ích.

Để Ipsec làm việc như mong đợi, tất cả các thiết bị phải chia sẻ mộtkhoá.ặMc dù các giao thức được sử dụng để mã hóa dữ liệu là rất quan trọngvào thành công chung của hệ thống, rất nhiều công việc đã đi vào xác thực vàtrao đổi khóa bằng người gửi và quá trình nhận.Tất nhiên nó được thực hiệnchủ yếu thông qua giao thức ISAKMP / oakley và X 0,509 hệ thống chứngnhận kỹ thuật số

b) ESP( Encapsulating Security Payload )

Cấu trúc gói tin được đóng gói bằng giao thức ESP

đơn vị cơ bản của truyền trên internet là các gói tin IP, khi mà hầu hếttruyền thông đều dựa trên WAN và LAN IPSec xử lý mã hóa ngay ở cấp IPgói tin sử dụng giao thức mới, Encapsulating Security Protocol (ESP) ESPđược thiết kế để hỗ trợ hầu như bất kỳ loại mã hóa đối xứng, chẳng hạn như

DES hoặc triple DES.Hiện nay, ESP dựa trên tối thiểu 56-bit DES ESP cũng

hỗ trợ một số xác thực, một phần chồng chéo với các giao thức Ipsec,AH: xácthực header.Thông thường ESP có thể được sử dụng bên trong gói tin IP khác,

để ESP có thể được vận chuyển qua các thường xuyên Thay vì TCP bìnhthường hoặc chỉ định gói tin UDP, các thông tin tiêu đề sẽ tuyên bố tải trọngcủa gói tin là ESP được thay thế Bởi vì nó được đóng gói trong phương thứcnày, ESP có thể được vận chuyển qua các mạng và là ngay lập tức tương thíchngược với phần lớn các phần cứng được sử dụng để mạng đường sang ngàykhác

b) AH( Authentication header)

Mô hình giao thức AH

ESP bảo vệ việc dữ liệu bằng cách mã hóa, giao thức tiêu đề xác thựccủa IPSec xử lý chỉ là xác thực, mà không cần bảo mật Giao thức AH có thểđược sử dụng kết hợp với ESP trong chế độ đường hầm hoặc là một đứng một

mình xác thực Các giao thức xác thực tiêu đề xử lý đảm bảo các thông tin tiêu

đề IP nơi ESP là có liên quan với tải để hỗ trợ một IPSec chức năng cơ bản yêucầu triển khai của AH-chứa HMAC-SHA và HMAC-MD5 (HMAC là một hệthống xác thực đối xứng được hỗ trợ bởi hai mã băm này

c) Internet key exchange,ISAMKP/Oakley

Trao đổi thông báo giữa hai điểm cuối sử dụng giao thức IKE

Bất kỳ cuộc trò chuyện được bảo vệ giữa hai bên chỉ có ESP và AHkhông hoàn thành bức tranh cho một hệ thống IPSec, để giao tiếp an toàn cho

cả hai bên phải có khả năng đàm phán phím để sử dụng trong khi thông tin liênlạc đang xảy ra cộng với cả hai bên cần phải có khả năng quyết định các thuậttoán mã hóa và xác thực để sử dụng trao đổi khóa internet (IKE) giao thức

( trước đây gọi là ISAKMP / Oakley ) cung cấp xác thực của tất cả các đồngnghiệp xử lý các chính sách an ninh mỗi một thực hiện và kiểm soát trao đổicác khoá

Phát sinh khoá và thay đổi khoá rất quan trọng bởi vì thời gian càng lâu

số lượng dữ liệu có nguy cơ,dễ dàng hơn nó sẽ trở thành bản mã để đánh chặnhơn để phân tích Đây là khái niệm hoàn hảo chuyển tiếp bằng cách thay đổicác khoá thường xuyên nó trở nên khó khăn cho ăn trộm mạng, phải thu thậplượng lớn dữ liệu nếu muốn tiếp tục crack các khoá

d) Iso X.509 v3( Digital Certificates)

Mô hình hệ thống xác thực sử dụng X.509v3 của RedhatOS

Mặc dù không phải là một giao thức bảo mật kiểu giống như ESP và

AH, hệ thống X.509 là quan trọng bởi vì nó cung cấp một mức độ kiểm soáttruy cập với một phạm vi lớn hơn Bởi vì các hệ thống chứng chỉ X.509 được

sử dụng với các thiết bị cơ sở hạ tầng khóa công cộng khác và các phần mềm,các nhà cung cấp IPsec đã chọn để kết hợp chúng vào thiết bị của họ để xử lýxác thực Quản lý giấy chứng nhận, như xử lý bởi một bên thứ ba đáng tin cậy,

sẽ đóng một vai trò lớn trong tương lai của bộ IPsec, và công việc đang đượcthực hiện bởi các nhà cung cấp để có những sản phẩm của họ giao tiếp với cácCAs (Certificate Authorities) để xác thực

e) LDAP( Lightweight directory access protocol)

Ví dụ về server có sử dụng LDAP

Hệ thống X.509 là giao thức truy cập thư mục nhẹ, hoặc LDAP LDAP

là một dịch vụ X.500 nhỏ hơn, dễ dàng hơn và hợp lý để thực hiện, điều này hỗtrợ các giải pháp VPN khác nhau để cung cấp xác thực và quản lý giấy chứngnhận Sản phẩm phần cứng như Vịnh mạng Extranet LDAP Đổi sử dụng cũngnhư một số giải pháp phần mềm phổ biến, chẳng hạn như Windows NT vàNovell Nó đang trở thành phổ biến hơn để sử dụng hệ thống xác thực của bênthứ ba đáng tin cậy (như LDAP và hệ thống thư mục X.500) để truy cập từ xađến một mạng công ty (hoặc một VPN)

f) Radius

Hệ thống sử dụng Radius

Có hệ thống LDAP và X.500 cung cấp xác thực và quản lý giấy chứngnhận cho người sử dụng bất cứ nơi nào trên thế giới, Radius là một hệ thốngxác thực sử dụng nhiều hơn cho tra cứu tổ chức trong nội bộ Hệ thống radiusđược phát triển như một tiêu chuẩn mở của công ty Livingstone _, và hiện chưa_ bởi IETF, nhưng đang được xem xét Gần đây, _ hệ thống Radius để tăngcường khả năng client / server và nhà cung cấp cụ thể của của nó, cho phép cácnhà sản xuất để thích ứng sản phẩm và dịch vụ của họ sang các thị trường cụthể Nhiều giải pháp VPN hiện để hỗ trợ xác thực bằng cách sử dụng Radiushơn so với các hệ thống chứng nhận công cộng khác , nhưng một làn sóng hỗtrợ cho hệ thống X.500 cũng được tiến hành

g) PPTP(point to point tunneling protocol)

Giao thức PPTP

Giao thức đường hầm point-to-point (PPTP) là một phần mở rộng củagiao thức PPP (point-to-point) Các dịch vụ đường hầm cung cấp nền tảng cho

IP PPP đã rất thích hợp để sửa đổi bởi vì chức năng của nó đã bắt chước hành

vi của những gì một VPN sẽ cần: một đường hầm điểm-điểm Tất cả những gìcòn thiếu là bảo mật PPTP, tuy nhiên, là nhiều hơn một kênh thông tin liên lạc

an toàn host-to-host, hơn là một Lan-to-Lan Mặc dù nó hoàn toàn có thể địnhtuyến lưu lượng qua một đường hầm PPTP, các giải pháp Ipsec là hộp số tốthơn cho loại ứng dụng

5 Hệ thống mạng và VPN

5.1 Remote Access VPNs

Remote Access VPNsRemote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote,mobile và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tàinguyên mạng của tổ chức

Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phầnmềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặcVPN concertrator ( bản chất là một server), Vì lý do này,giải pháp này thườngđược gọi là client/server Trong giải pháp này, người dùng thường sử dụng cáccông nghệ WAN truyền thống để tạo lại các tunnel về mạng riêng của họ

Một hướng phát triển khá mới trong remote access VPN là dùngwireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thôngqua kết nối không dây Trong thiết kế này, các kết nối không dây cần phải kếtnối về một trạm wireless và sau đó về mạng của công ty Trong cả hai trườnghợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật,còn được gọi là tunnel.

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thựcban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy.Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật củacông ty Chính sách bao gồm : Quy trình,kỹ thuật,máy chủ,điều khiển truycập,v.vv

Bằng việc triển khai Remote Access VPNs, những người dùng từ xahoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cungcấp dịch vụ ISP hoặc ISP's POP và kết nối đến tài nguyên thông qua Internet

Việc sử dụng Remote Access VPNs cho thấy rất nhiều lợi ích:

 sự cần thiết của RAS và việc kết hợp với modem được loại trừ

 Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vìkết nối từ xa đã được tạo điều kiện thuận lởi bởi ISP

 Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó,những kết nối với khoảng cách xa sẽ được thay thế bởi các kếtnối cục bộ

 Giảm giá thành chi phí cho các kết nối với khoảng cách xa

 Do đây là một kết nối mang tính cục bộ, do vậy tốc độ kết nối sẽcao hơn so với kết nối trực tiếp đến những khoảng cách xa

 VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó

hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăngnhanh chóng các kết nối đồng thời đến mạng

Nhưng bên cạnh những ưu điểm thì Remote Access VPNs vẫn tồn tạinhững khiếm khuyết :

 Remote Access VPNs cũng không đảm bảo được chất lượng phụcvụ

 Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn củagói dữ liệu có thể đi ra ngoài và bị thất thoát.

 Do độ phức tạp của thuật toán mã hoá, protocol overhead tăngđáng kể, điều này gây khó khăn cho quá trình xác nhận Thêmvào đó việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậmchạp

 Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữliệu lớn hơn như các gói dữ liệu truyền thông, phim ảnh, âmthanh sẽ rất chậm

5.2 Site to Site (Lan to Lan)

Site to Site

Site to site VPN được áp dụng để cài đặt mạng từ một vị trí này kết nốivới mạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thì việcchứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng Nơi

mà có một kết nối VPN được thiết lập giữa chúng Khi đó các thiết bị này đóngvai trò như là một gateway, và đảm bảo rằng việc lưu thông đã dược dự tínhtrước cho các site khác Các router và Firewall tương thích với VPN, và các bộtập trung VPN chuyên dụng đều cung cấp chức năng này

Lan to Lan có thể được xem như là intranet VPN hoặc extranet VPN.Nếu chúng ta xem xét dưới góc độ chứng thực nó có thể được xem như là một

intranet VPN, ngược lại chúng đươc xem như là một extranet VPN Tính chặtchẽ trong việc truy cập giữa các site có thẻ được điều khiển bởi cả hai( intranet

và extranet VPN) theo các site tương ứng của chúng Giải pháp Site to SiteVPN không phải là một remote access VPN nhưng nó được thêm vào đây là vìtính chất hoàn thiện của nó

Sự phân biệt giữa remote access VPN và Lan to Lan chỉ đơn thuần mangtính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận

Ví dụ như là các thiết bị VPN dựa trên phần cứng mới, ở đây để phân loạiđược, chúng ta phải áp dụng cả hai cách, bởi vì yêu cầu phần cứng cho client

có thể xuất hiện nếu một thiết bị đang truy cập vào mạng Mặc dù một mạng cóthể có nhiều thiết bị VPN đang vận hành

Lan to Lan VPN là sự kết nối hai mạng riêng lẻ thông qua một đườnghầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP,L2TP, hoặc IPSec, mục đích của Lan to Lan là kết nối hai mạng không cóđường nối lại với nhau, không có việc thoả hiệp thích hợp, chứng thực, sự cẩnmật của dữ liệu, bạn có thể thiết lập một Lan to Lan VPN thông qua sự kết hợpcủa các thiết bị VPN Concentrators, Routers và Firewalls

Kết nối Lan to Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệuquả bất chất khoảng cách vật lý giữa chúng Có thể kết nối này luân chuyểnthông qua internet hoặc một mạng không được tin cậy Bản phải bảo đảm vấn

đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên tất cả các gói dữ liệuđang luân chuyển giữa các mạng đó

Intranet VPNs: được sử dụng để kết nối đến các chi nhánh văn phòng

của tổ chức đến Backbone Router sử dụng campus router Theo như mô hìnhbên dưới sẽ rất tốn chi phí do phải dử dụng 2 router để thiết lập mạng, thêmvào đó, việc triển khai, bảo trì, quản lý mạng Intranet Backbone sẽ rất tốn kémcòn tuỳ thuộc vào lưu lượng lưu thông

Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thếbởi các kết nối Internet với chi phí thấp Với mô hình như vậy hiệu quả chi phíhơn, do giảm số lượng router được sử dụng theo mô hình WAN backbone.Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,các trạm ở một số remote site khác nhau Kết nối nhanh hơn, tốt hơn

Intranet VPNs

Extranet VPNs: Không giống như Intranet và Remote Access-based,

Extranet không hoàn toàn cách li từ bên ngoài, Extranet cho phép truy cậpnhững tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn nhưkhách hàng, nhà cung cáp, đối tác những người giữ vai trò quan trọng trong tổchức

Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phânphối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổchức Bởi vì một phàn Internet-Connectivity được bảo trì bởi nhà cung cấp ISPnên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì Dễ dàng triển khai,quản lý và chỉnh sửa thông tin

Extranet VPNs

5.3 Quá trình thiết lập một kết nối giữa Client và Server

Quá trình kết nối giữa Client và Server

1 Máy VPN cần kết nối ( VPN Client) tạo kết nối VPN tới máy chủcung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet.

2 Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới Client

3 Client gửi chứng nhận kết nối dựa trên file cấu hình tới server

4 Server chứng thực kết nối và cấp phép cho kết nối tới client

5 Bắt đầu trao đổi dữ liệu giữa client và server

VI Gi i pháp mã ngu n m OpenVPN trên Linux ảm ơn ồn mở OpenVPN trong Linux ở OpenVPN trong Linux

1 Lịch sử của OpenVPN

Năm 2003,James Yonan đi du lịch ở châu Á và phải kết nối với vănphòng qua các ISP của châu Á hoặc Nga.Ông nhận thấy thực tế rằng những kếtnối này đi qua những nước không đảm bảo được sự an toàn.Theo những nghiêncứu của James thì có hai mục tiêu chính của một hệ thống VPN đó là tính antoàn và khả dụng.Ipsec có thể chấp nhận được về mặt an toàn nhưng hệ thống

xử lý của nó khó thiết lập và cấu trúc phức tạp của nó làm nó dễ bị tổn thươngbởi các cuộc tấn công.Chính vì vậy James đã tiếp cận giải pháp dùng thiết bịcard mạng ảo có trong hệ điều hành Linux.Việc chọn thiết bị TUN/TAP chomạng Lan đã ngay lập tức đưa ra được tính linh hoạt mà các giải pháp VPNkhác không thể có được.Trong khi các giải pháp VPN nền tảng SSL/TLS kháccần một trình duyệt để thiết lập kết nối thì openvpn chuẩn bị gần như nhữngthiết bị mạng thật trên gán gần như tất cả các hoạt động của mạng.Rồi Yohanchọn tên OpenVPN với sự tôn trọng dành cho những thư viện và những chươngtrình của dự án Open SSI, và muốn đưa ra thông điệp: Đây là mã nguồn mở vàphần mềm miễn phí.Open VPN sử dụng thiết bị Tun/Tap( hầu như có sẵn trêncác bản Linux) và OpenSSL để xác thực,mã hoá và giải mã khi nhận đườngtruyền giữa hai bên thành chung một mạng

James Yonan cha đẻ của OpenVPN

2 OpenVPN là gì?

Logo hi n nay c a OpenVPNện nay của OpenVPN ủa OpenVPNOpenVPN là một phần mềm mạng riêng ảo mã nguồn mở dành cho việc tạo các đường ống (tunnel) điểm-tới-điểm được mã hóa giữa các máy chủ Phần mềm này do James Yonan viết và được phổ biến dưới giấy phép GNU GPL

OpenVPN cho phép các máy đồng đẳng xác thực lẫn nhau bằng một khóa bí mật được chia sẻ từ trước, chứng chỉ mã công khai (public key

certificate), hoặc tên người dùng/mật khẩu Phần mềm này được cung cấp kèm theo các hệ điều hành Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS

X, vàWindows 2000/XP Nó có nhiều tính năng bảo mật và kiểm soát Nó không phải một mạng riêng ảo web, và không tương thích với IPsec hay các gói VPN khác Toàn bộ phần mềm gồm có một file nhị phân cho cả các kết nối client và server, một file cấu hình không bắt buộc, và một hoặc nhiều file khóa tùy theo phương thức xác thực được sử dụng

Trang web hiện nay của OpenVPN