BAO CAO DE TAI VPN

Việc xây dựng một mạng riêng trên một khu vực nội bộ của một tòa nhà văn phòngthì có thể tương đối đơn giả, bởi vì các công ty thường có kiến trúc vật lý riêng do đó tacó thể sử dụng các

LỜI CẢM ƠN

- Chúng em xin chân thành cảm ơn quí thầy cô đã giúp đỡ chúng em thực hiện đề tài này Đặc biệt thầy Trần Đồng Dũng đã tận tình giúp đỡ, chỉ bảo chúng em Trong quá trình làm đề tài có gặp nhiều khó khăn cũng nhờ thầy động viên, giúp đỡ Chúng em xin trân trọng cảm ơn những tình cảm quí báu mà các thầy cô Trường cao đẳng nghề ISPACE đã truyền đạt cho chúng em, những kinh nghiệm, kỹ thuật trong quá trình học tập cũng như

cách thức xây dựng đề tài này.

Nhân đây cũng xin gửi lời cảm ơn đến cộng đồng IT trên các diễn đàn cũng như các

website liên quan đã tận tình giúp đỡ.

Tuy nhiên, do thời gian có hạn nên chúng em không thể phát huy hết những ý tưởng Trong quá trình làm đề tài, không thể tránh khỏi những sai xót, mong nhận được sự đóng

góp và cảm thông của quí thầy cô và các bạn.

Cao Đẳng Nghề ISPACE

Nhóm Thực hiện đề tài:

Nguyễn Quang Ninh Hứa Minh Thành Nguyễn Đăng Trung

TPHCM, ngày…tháng…năm…

NHẬN XÉT CỦA GIÁO VIÊN

MỤC LỤC

CHƯƠNG

CHƯƠNG I

Vào khoảng năm 1974, thế giới lần đầu biết đến thuật ngữ “Internet” Lúc đó, mạngvẫn được gọi là ARPANET.

Thời kỳ bùng nổ thứ nhất của Internet được xác lập vào giữa thập niên 1980 khi

tổ chức khoa học quốc gia Mỹ NSF thành lập mạng liên kết các trung tâm máy tính lớn

với nhau gọi là NSFNET Nhiều doanh nghiệp đã chuyển từ ARPANET sang NSFNET.

Thời kỳ bùng nổ thứ hai với sự xuất hiện của WWW (World Wide Web)

2 Yêu cầu thực tế

Bắt nguồn từ một nhu thực tế khi mà một khách hang hay một tổ chức mong muốn

có thể kết nối một cách có hiệu quả tới trụ sở văn phòng chính thông qua mạng diện rộngWAN

Việc xây dựng một mạng riêng trên một khu vực nội bộ của một tòa nhà văn phòngthì có thể tương đối đơn giả, bởi vì các công ty thường có kiến trúc vật lý riêng do đó ta

có thể sử dụng cách kết nối mạng LAN để thực hiện

Nhưng việc xây dựng một mạng chung bao gồm những văn phòng khác nhau haycác kiến trúc cách rất xa nhau tại Thành phố hay tại các Nước Việc đó một lựa chọn sửdụng một kênh thuê riêng(internet leased line) thuê từ một nhà cung cấp dịch vụ mạngnhu FTP chẳng hạn hay dung những phương tiện khoảng cách xa để kết nối những máytính lại với nhau

Xin giới thiệu mạng riêng ảo(VPN)

Hình 2: Mô hình VPN truy cập từ xa

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (Internet) để kết nốicác địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vìdùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảođược truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sửdụng ở xa

Một mạng riêng ảo dựa trên Internet dùng cơ sở hạ tầng mở và phân tán củaInternet cho việc truyền dữ liệu giữa các site Về bản chất những công ty sử dụng InternetVPN thiết lập các kết nối đến các điểm kết nối cục bộ của nhà cung cấp dịch vụ InternetISP(internet Service Provider), gọi là POP(Poit of Presence) và để cho ISP bảo đảm rằng

dữ liệu được truyền đến đích thông qua Internet

Hình 3: VPN thông qua dịch vụ Internet ISP

Vì Internet là một mạng công cộng với việc truyền hầu hết dữ liệu mở VPN baogồm cung cấp cơ chế mã hóa dữ liệu truyền giữa các site VPN, nhằm bảo mật dữ liệuchống lại các cuộc tấn công ăn cấp dữ liệu từ những người truy cập bất hợp pháp

b VPN điểm-nối-điểm(site to site):

Là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec Mục đích chính của LAN-to-LAN là kết nối hai mạng lại với nhau,thông qua việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu có hai loại kết nối

-Intranet VPN:Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một

mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN

-Extranet VPN: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví

dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung

Hình 3: Mô hình VPN site to site

2 Yêu cầu của một mạng VPN

Tính tương thích Tính khả dụng

An toàn và bảo mật dữ liệu

có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sangmột hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng

về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổicác thủ tục khác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khichọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ

b Tính khả dụng

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tínhbảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền Tiêuchuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năngđảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả năngđảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đềtrên

c An toàn dữ liệu

Mạng VPN cần cung cấp 4 chức năng giới hạn để đảm bảo độ bảo mật cho giữ liệu:

+ Xác thực(Authentication): đảm bảo giữ liệu đến từ 1 nguồn yêu cầu

+ Điều khiển truy cập(Access control): han chế việc đạt được quyền cho phép vào

mạng của những người dùng bất hợp pháp

+ Tin cậy(Confidentiality): ngăn không cho một a đó đọc hay sao chép dữ liệu khi

dữ liệu được truyền đi qua mạng Internet

+ Tính toàn vẹn của dữ liệu(Data integrity): đảm bảo không cho ai làm thay đổi

dữ liệu khi nó truyền đi trên mạng Internet

3 Các phương pháp bảo mật

a Tường lửa (firewall):

là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua

b Hệ thống xác thực:

- Mật mã truy cập: là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác

thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung

+ Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật

để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được

+Mật mã chung (Public-Key Encryption): kết hợp mã riêng và một mã công cộng

Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của

nó nữa Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

- Dựa vào các phương pháp xác thực mật khẩu như: mật khẩu truyền thống, mật khẩu

một lần (S/Key) hay các hệ thống mật khẩu khác (PAP, CHAP, TACACS, RADIUS)

- Một khóa hay một card token:Các card giống như thẻ ATM hay thẻ tín dụng

- Đặc tính nhận dạng: Giọng nói, quét võng mạc, dấu vân tay …

Tất cả các phương pháp bảo mật đó đều được thông qua các giao thức đường hầm bảo mật của mạng VPN:

- Giao thức chuyển tiếp lớp 2 L2F(Layer 2 Forwarding)

- Giao thức định đường hầm điểm-điểm PPTP(Point-to-Point Tunneling Protocol)

- Giao thức định đường hầm lớp 2 L2TP(Layer 2 Tunneling Protocol)

- Giao thức mạng VPN bảo mật IPSec

Đường hầm trong mạng VPN:

-IP,HA,ESP: là các phương pháp mã hóa dữ liệu

-Tiêu đề: gắn địa chỉ IP của máy gửi và máy nhận

Hình 5: Gói tin trong đường hầm VPN

CHƯƠNG III

ƯU ĐIỂM, NHƯỢC ĐIỂM

1 Ưu điểm

- Giảm thiểu các yêu cầu về thiết bị.VPN mang lại lợi ích thực sự và tức thời cho công

ty Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làmviệc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậmchí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng

là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị vàđường dây cho mạng WAN riêng

 Giảm chi phí thường xuyên : VPN cho phép tiết kiệm chi phí so với thuê

đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở

xa Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên diđộng và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thôngqua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đườngdài đến các modem tập trung

 Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến

cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vìcác thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ Công ty cũng

không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp

 Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các

dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác màkhông cần quan tâm đến những phần phức tạp bên dưới

 Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự

Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng

di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cungcấp một điểm kết nối cục bộ POP

- Đáp ứng các nhu cầu thương mại cho phép tích hợp nhiều công nghệ mới vào mạng

2 Nhược điểm

-Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp.Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến,nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là mộtvấn để khá lớn của VPN

+Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa cácthông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém(thường là Internet) Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữacác công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh… + Hai thông số mạng là độ trễ và thông lượng: Ta biết rằng VPN chạy trên mộtmạng chung Internet Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưulượng tin lớn, khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ

là rất khó khăn

+Khả năng quản lý : cũng là vấn đề khó khăn của VPN Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được Vì thế nhà cung cấp dịch vụ (ISP) không thểcung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức Cũng có một lối thoát là

các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất

lượng dịch vụ cho khách hàng Tuy nhiên các cam kết này cũng không đảm bảo 100%

 Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thốngmạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internetbên ngoài ADSL

 Các máy chủ Server làm máy Mail server hay Web server… và các máyclient kết nối với card mạng nội bộ thông qua máy VPN server

 Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internetthông qua các đường truyền như Dial-up, ADSL…

Yêu cầu phần mềm:

 Một máy tính VPN server sử dụng Windows server 2003

 Một máy chủ DC sử dụng Windows server 2003

 Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7

1 Client to site

CARD External của PC01 nối với Modem và cấp địa chỉ IP tĩnh

CARD Internal của PC01 nối với PC02

Trên máy ISA 2006 cấp phát IP cho máy remote tới mạng nội bộ

Click hoạt VPN client access

Trên DC tạo user truy cập VPN

Cho phép uservpn1 try cập VPN

Tạo Rule VPN client to site

Mở tất cả các traffic

Chọn nơi truy cập

Chọn đích cần đến

Chọn nhóm người truy cập VPN

Tạo new user set nhập tên user được phép truy cập VPN

Add user được phép truy cập

Chọn user này

Tạo được Rule truy cập VPN

Click chuột vào Virtual Private Networks(VPN) chọn bước thứ 2 Specify Windows Users

or select a RADIUS Server add group VPN tạo trên máy DC được phép truy cập VPN

Tạo kết nối VPN từ máy client tới site nội bộ

Đặt tên client to site network

Nhập địa chỉ IP publish của site chính

Nhập usernam và password của user truy cập VPN

Kết nối thành công tới site chính

2 VPN Site To Site

Tạo một Site HN khác Site chính với các thông số sau:

IP của Site nội bộ

CARD External của PC01 nối với Modem và cấp địa chỉ IP tĩnh

CARD Internal của PC01 nối với PC02

Cấu hình trên Site chính (HCM)

Bước 1a: Tại máy ISA_HCM (PC01) mở Computer Management tạo một User/Pass là hcm/123

Click phải chuột vào User chọn Properties, Check tùy chọn Allow Access trong Remote Access Permission

Bước 2a: Tại máy ISA_HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients

Click vào Configure Address Assignment Method

Bước 3a: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho nhánh mạng VPN Site ở Hà Nội truy cập vào Trong Static address pool chọn Add ví dụ này là dãy

số 10.10.10.1 >> 10.10.10.254

Bước 4a: Tại máy PC01 trong ISA_HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites Tiếp tục nhấp vào Create VPN Site-to-Site Connection

Tên remote site phải giống tên user mới tạo ở Computer Managemant của máy

ISA_HCM

Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)

Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng HN trong ví dụ này này chính là 192.168.1.20

Nhập chính xác VPN User name của Hà Nội vào cửa sổ Remote Authentication

Nhập dãy địa chỉ IP của mạng Internal bên site HN

Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule

Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic

Thành công

Hệ thống Hà Nội thì ta cấu hình tương tự nhưng cài đặt các thông số ngược lại Bước 1b : Trên máy ISA_HN tạo user/pass : hn/123; được phép VPN

Bước 2b: Tại máy ISA_HN chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients

Click vào Configure Address Assignment Method

Bước 3b: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho nhánh mạng VPN Site ở Hồ Chí Minh truy cập vào Trong Static address pool chọn Add ví dụ này là dãy số 11.11.11.1 >> 11.11.11.254

Bước 4b: Tại máy PC03 trong ISA_HN chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites Tiếp tục nhấp vào Create VPN Site-to-Site Connection

Tên remote site phải giống tên user mới tạo ở Computer Managemant của máy ISA_HN

Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)

Nhập IP của mạng publish bên HCM lúc này là: 192.168.1.10

Nhập chính xác VPN User name của Hồ Chí Minh vào cửa sổ Remote Authentication

Nhập dãy địa chỉ IP của mạng Internal bên site HCM

Bước tiếp theo giữ nguyên mặc định

Bước tiếp theo mở tất cả các traffic

Thành công

Cuối cùng ở máy ISA HCM: chọn Routing and Remote Acces => click phải chuột vào user VPN_HCM => connect

Ở máy ISA Hà Nội thì ta làm tương tự.

Một công việc rất rất quan trọng là:

 Ở mạng nội bộ login vào Modem mở port PPTP và IPSec

 Modem dùng là : ZyXEL P-660H-T1 v2; user admin bass 1234

Tắt Active Firewal trên modem