TRÌNH BÀY VỀ VPN VÀ CÀI ĐẶT VPN VỚI WINDOWS SERVER 2008

TÌM HIỂU VPN VÀ CÀI ĐẶT VPN VỚI WINDOWS SERVER 2008. Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCPIP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn thông công cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thể quản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual Private Network ). Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.

M C L C Ụ Ụ

I Giới thiệu về VPN 1

II Các thành phần tạo nên VPN 2

1 VPN client 2

2 VPN Server 3

3 IAS Server 3

4 Firewall 3

5 Authentication Protocol 3

III Ưu điểm, nhược điểm của VPN 4

1 Ưu điểm 4

2 Nhược điểm 4

IV Các kiểu truy cập VPN 5

1 Mạng VPN truy nhập từ xa (Remote Access VPN) 6

2 Mạng VPN cục bộ ( Intranet VPN) 7

3 Mạng VPN mở rộng (Extranet) 8

V Các giao thức thường dùng trong VPN 9

1 Bộ giao thức IPSec 9

1.1 Dịch vụ của IPsec 9

1.2 Các giao thức trong IPSec 11

2 Giao thức PPTP và SSTP 12

2.1 Giao thức PPTP (Point-to-Point Tunneling Protocol) 12

2.2 Secure Socket Tunneling Protocol (VPN-SSTP) 15

I Giới thiệu về VPN

- Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet đã bùng nổ Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCP/IP

- Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn thông công cộng Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực tuyến… đã trở nên dễ dàng Tuy nhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thể quản

lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết Từ đó các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual Private Network )

- Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí

Hình 1: Mô Hình Kết Nối VPN.

II Các thành phần tạo nên VPN

1 VPN client

- Một khách hàng VPN có thể là một máy tính hoặc nó có thể là một bộ định tuyến Loại VPN khách hàng sử dụng cho mạng của công ty thực sự phụ thuộc vào nhu cầu cá nhân của công ty đó

- Mặt khác, nếu công ty có một vài nhân viên những người đi du lịch thường xuyên và cần phải truy cập vào mạng của công ty trên đường đi, bạn có thể

sẽ được hưởng lợi từ việc thiết lập máy tính xách tay của nhân viên như VPN khách hàng

2 VPN Server

- Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng VPN

Về mặt kỹ thuật, chúng ta có thể sử dụng Windows NT Server 4.0, Windows 2000 Server, hoặc Windows Server 2003 hay Window Server 2008 như là một máy chủ VPN

- VPN Server khá đơn giản Nó là một máy chủ cứng Windows Server 2008 chạy Routing và Remote Access (RRAS) Khi một kết nối VPN đã được chứng thực, các máy chủ VPN chỉ đơn giản là hoạt động như một bộ định tuyến cung cấp cho khách hàng VPN có thể truy cập đến một mạng riêng

3 IAS Server

- Một trong những yêu cầu bổ sung cho một máy chủ VPN là cần có một máy chủ RADIUS (Remote Authentication Dial In User Service) RADIUS là một server sử dụng quay số xác thực từ xa RADIUS là cơ chế mà các nhà cung cấp dịch cụ Internet thường sử dụng để xác thực các thuê bao để thiết lập kết nối Internet

4 Firewall

- Các thành phần khác theo yêu cầu của VPN là một tường lửa tốt Máy chủ VPN chấp nhận kết nối từ thế giới bên ngoài, nhưng điều đó không có nghĩa là thế giới bên ngoài cần phải có quyền truy cập đầy đủ đến máy chủ VPN Chúng

ta phải sử dụng một tường lửa để chặn bất kỳ cổng không sử dụng

5 Authentication Protocol

- Trong quá trình thiết lập một VPN, chúng ta phải chọn một giao thức xác thực Hầu hết mọi người chọn MS-CHAP v2 MS-CHAP tương đối an toàn, và nó làm việc với khách hàng VPN sử dụng hệ điều hành Windows Lựa chọn tốt nhất là MS-CHAP

III Ưu điểm, nhược điểm của VPN

1 Ưu điểm

- Việc sử dụng mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền thông bởi vì nó có một số ưu điểm như:

 Giảm thiểu chi phí triển khai và duy trì hệ thống

 Cải thiện kết nối

 An toàn trong giao dịch

 Khả năng điều khiển từ xa

 Khả năng mở rộng hệ thống tốt

2 Nhược điểm

- VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài đặt phải cẩn thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet công cộng

- Độ tin cậy và hiệu suất của một VPN hãy sử dụng một nhà cung cấp dịch

vụ (ISP) tốt và chất lượng

- Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp

khác nhau không phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công nghệ VPN

- Vấn đề bảo mật cá nhân

IV Các kiểu truy cập VPN

- Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

 Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty

 Nối liền các chi nhánh, văn phòng di động

 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

- Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được chia làm

ba kiểu truy cập:

 Mạng VPN truy nhập từ xa (Remote Access VPN)

 Mạng VPN cục bộ (Intranet VPN)

 Mạng VPN mở rộng (Extranet VPN)

1 Mạng VPN truy nhập từ xa (Remote Access VPN)

- Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet

Hình 2: Mô hình mạng VPN truy nhập từ xa

2 Mạng VPN cục bộ ( Intranet VPN)

- Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Hình 3: Mô hình mạng VPN cục bộ

Interne

Remote site POP

PIX Firewall

Router

or Central site

Văn phòng trung tâm

Văn phòng từ xa

3 Mạng VPN mở rộng (Extranet)

- Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

- Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Hình 4: Mô hình VPN Site-to-Site (Extranet-Based VPN)

V Các giao thức thường dùng trong VPN

1 Bộ giao thức IPSec

- Là một họ giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển truy nhập nó là một tập hợp các tiêu chuẩn mở làm việc với nhau, được giới thiệu lần đầu vào năm 1995

- Công nghệ VPN được triển khai chủ yếu trên Ipsec để bảo mật cho đường VPN trên internet của chúng ta Ipsec hoạt động ở tầng network, cung cấp sự bảo mật và xác thực cho các gói tin IP

- Nó là bộ kiến trúc khung cho các chuẩn mở gồm giao thức và các thuật toán đọc lập với nhau nhưng được kết hợp, sử dụng chung với nhau

- Nó cung cấp mã hóa dl, toàn vẹ dk và xác thực gói tin được gửi

1.1 Dịch vụ của IPsec

1.1.1 Confidentiality - mã hóa dữ liệu

- Là khi mình có một gói tin muốn gửi cho người khác thì trước khi gửi

1.1.2 Data integrity - toàn vẹn dữ liệu

- Là khi truyền DL trong một mạng inter net mà dữ liệu không bị thay đổi Thì ta có thể dùng thuật toán hàm băm : HMAC – MD5 và HMAC-SHA-1

- Khi ta chuyển một gói dữ liệu thì thì ham băm sẽ dùng để băm gói dữ liệu đó ra theo thuật toán Sau khi gói dữ liệu được chuyển sang bên kia thì hàm băm sẽ băm lại theo thuật toán trước đó xem có trùng khớp hay không Nếu thấy giống thì đoạn dữ liệu không bị thay đổi, nếu thấy khác

là hàm dữ liệu đã bị thay đổi và không nhận gói tin đó Và sẽ được đảm bảo gói dữ liệu đi qua internet đó

1.1.3 Authentication xác thực dữ liệu

- Có rất nhiều thuật toán mã hóa nhưng sau đây em chỉ liệt kê ra 4 thuật toán xác thực tiêu biểu : DES, 3DES, AES => 3 thuật toán này là thuật toán giải ma đối xứng ( là dùng 1 key cả mã hóa cả giải hóa) RSE => là thuật toán giải mã bất đối xứng là dùng key này nhg giải mã thì bằng key kia

- Xác thực dữ liệu là đảm bảo được người đang trao đổi với mình là người

mà ta cần trao đổi Có các phương pháp xác thực là PSKs và RSA singatures

 PSKs là 2 đầu sẽ cấu hình trước các khóa tĩnh (là khi hai bên cấu hình key giống nhau sẽ có thể trao đổi được dữ liệu)

 RSA là sử dụng key số để cấu hình

 Thuật toán trao đổi khóa: Khi bên chuyển mã hóa và bên nhận giải

mã thì trước đó 2 bên sẽ phải thống nhất một cái khóa Nhưng làm sao có thể trao đổi được cái khóa? Và cách giải quyết là để cho 2 bên sẽ trao đổi khóa qua một cái kênh không an toàn (có thể là truyền qua internet mà vẫn muốn đảm bảo được khóa không bị lộ)

Có 3 thuật toán sẽ giúp xử lý việc đó là : DH1, DH2 và DH5

1.2Các giao thức trong IPSec

- Gồm 2 giao thức là Authentication Header (AH), Encapsulating Security Payload (ESP):

 AH chỉ cung cấp xác thực và toàn vẹn dữ liệu cho dữ liệu đi qua, còn nội dung dữ liệu được phơi ra dưới dạng văn bản

 ESP cung cấp mã hóa, xác thực và toàn vẹn dữ liệu

Hình5: Mô hình của Ipsec

2 Giao thức PPTP và SSTP

2.1Giao thức PPTP (Point-to-Point Tunneling Protocol).

- PPTP là một phương thức của mạng riêng ảo, được phát triển bởi

Microsoft kết hợp với một số công ty khác, nó sử dụng một kênh điều khiển qua giao thức TCP và đường hầm GRE để đóng gói các gói dữ liệu PPP (Point-to-Point) PPTP là một phần của các tiêu chuẩn Internet Point-to-Point (PPP), PPTP sử dụng các loại xác thực như PPP (PAP, SPAP, CHAP, MS-CHAP, và EAP)

2.1.1 Nguyên tắc hoạt động của PPTP

- PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói, tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác

- Một số cơ chế xác thực được sử dụng là:

 Giao thức xác thực mở rộng EAP

 Giao thức xác thực có thử thách bắt tay CHAP

 Giao thức xác định mật khẩu PAP

- Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật CHAP là giao thức có cách thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được PPTP cũng được các nhà phát triển công nghệ đưa vào việc mật mã và nén phần tải tin của PPP

2.1.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP

- Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP

và địa chỉ máy chủ Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sử dụng để duy trì đường hầm PPTP

2.1.3 Nguyên lý đóng gói dữ liệu đường hầm PPTP

- Đóng gói khung PPP và gói định tuyến chung GRE Phần tải của khung

PPP ban đầu được mã hoá và đóng gói với tiêu đề PPP để tạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP

2.1.4 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP

- Khi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP,

sẽ thực hiện các bước sau

 Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin

 Xử lý và loại bỏ tiêu đề IP

 Xử lý và loại bỏ tiêu đề GRE và PPP

 Giải mã hoặc nén phần tải tin PPP

- Xử lý phần tải tin để nhận hoặc chuyển tiếp

2.1.5 Tính năng và hạn chế của PPTP

- Tính năng :

 PPTP tạo ra nhiều kết nối giữa các khách hàng mà không yêu cầu dịch

vụ đặc biệt ISP

 PPTP phù hợp trên nhiều hệ điều hành thông dụng (Microsoft, Nortel Network, TeteSystems…)

 PPTP hỗ trợ các dịch vụ IP, mã hóa các gói tin RC4 (56 bit hoặc 128 bit), sử dụng port 1723 và các giao thức GRE

- Hạn chế: Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật

2.2 Secure Socket Tunneling Protocol (VPN-SSTP)

- Hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và Windows Vista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là: Secure Socket Tunneling Protocol (SSTP)

2.2.1 Giới thiệu

- SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong Windows Vista và Windows Server 2008 SSTP sử dụng các kết nối HTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway SSTP là một giao thức rất an toàn vì các thông tin quan trọng của người dùng không được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN gateway

2.2.2 Lý do sử dụng PPTP trong VPN.

- Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng thông qua Internet

2.2.3 SSTP họat động như thế nào?

- SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thông tin và dữ liệu SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên để xác thực client với server Nghĩa là Client xác thực server bằng certificate và Server xác thực Client thông qua giao thức hiện có được hỗ trợ bởi PPP

- Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giao tác tạo lập đường hầm, SSTP thiết lập session HTTPs với server

từ xa tại port 443 ở một địa chỉ URL riêng biệt Các xác lập proxy HTTP được cấu hình thông qua IE sẽ được sử dụng để thiết lập kết nối này

- Với session HTTPs, client đòi hỏi server cung cấp certificate để xác thực.Khi thiết lập quan hệ SSL hòan tất, các session HTTP được thíet lập trên đó Sau đó, SSTP được sử dụng để thương lượng các tham số giữa Client và Server

- Khi lớp SSTP được thiết lập, việc thương lượng SSTP được bắt đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầm cho

dữ liệu