Khái niệm về mạng riêng ảo (Vitual Private Network – VPN )
Mạng riêng ảo (VPN) giúp kết nối các địa điểm và người dùng từ xa với mạng LAN trung tâm qua internet VPN tạo các liên kết ảo, cho phép dữ liệu truyền qua internet một cách an toàn và bảo mật giữa mạng riêng của tổ chức và các vị trí hoặc người dùng từ xa Đây là kết nối động, không cần ổ cứng và hoạt động khi lưu lượng mạng truyền qua, nhờ vào công nghệ đường hầm bảo vệ dữ liệu trong quá trình truyền tải.
Hình 1.1 mô tả mô hình VPN, một kiểu mạng riêng ảo an toàn sử dụng hệ thống mạng Internet để truyền dữ liệu giữa các địa điểm của công ty Công nghệ mạng thông minh cho phép thiết lập VPN kết nối riêng biệt, mở rộng khả năng liên kết với người dùng từ xa, văn phòng, chi nhánh hoặc đối tác cùng chia sẻ trên một mạng công cộng một cách an toàn và hiệu quả.
Lịch sử phát triển của VPN
Khách hàng yêu cầu đảm bảo kết nối hiệu quả với các tổng đài thuê bao qua mạng diện rộng, thay vì sử dụng hệ thống điện thoại nhóm hoặc mạng cục bộ với các đường thuê riêng để trao đổi thông tin.
+ Giai đoạn 2 (1986 -1989), Sprint đưa ra Vnet và AT&T cung cấp dịch vụ quốc tế IVPN là GSDN
+ Giai đoạn 3 (1990 – đến nay), MCI và Sprint đưa ra dịch vụ VPN quốc tế phát triển mạnh ở khu vục châu Á – Thái Bình Dương
VPN hiện nay đang phát triển mạnh mẽ với ứng dụng trong các dịch vụ dữ liệu, hình ảnh và đa phương tiện, giúp tối ưu hóa quy trình truyền tải thông tin Chính vì vậy, VPN là giải pháp an toàn và hiệu quả cho các công ty, tổ chức có nhiều văn phòng hoặc chi nhánh, đảm bảo kết nối liên lạc thống nhất và bảo mật.
Chức năng, ưu điểm và nhược điểm của VPN
+ Tính xác thực: Khi thiết lập một kết nối VPN thì cả hai phía phải xác thực lẫn nhau
+ Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi, không bị xáo trộn trong quá trình truyền dẫn
+ Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu
+ Tiết kiệm chi phí: Sử dụng một VPN sẽ giúp các công ty giảm chi phí đầu tư thiết bị và chi phí thuê băng thông
Tính linh hoạt là yếu tố quan trọng trong quá trình vận hành và khai thác dịch vụ, giúp khách hàng dễ dàng lựa chọn và kết nối giữa các gói dịch vụ do nhà cung cấp đề xuất.
Khả năng mở rộng của VPN cho phép triển khai ở bất kỳ đâu có kết nối Internet, giúp doanh nghiệp dễ dàng mở rộng quy mô Ngoài ra, VPN còn nâng cấp băng thông một cách linh hoạt, đảm bảo tốc độ truy cập ổn định và hiệu quả Đặc biệt, việc gỡ bỏ VPN cũng rất dễ dàng khi không còn nhu cầu sử dụng, mang lại sự tiện lợi và tiết kiệm chi phí.
Giảm thiểu các hỗ trợ kỹ thuật bằng cách chuẩn hóa các kiểu kết nối từ đối tượng di động đến một điểm phân phối (POP) của nhà cung cấp dịch vụ ISP, đồng thời đảm bảo các yêu cầu về bảo mật trong việc thiết lập VPN.
+ Đáp ứng các nhu cầu thương mại: Đảm bảo khả năng làm việc của sản phẩm VPN bởi nhiều nhà cung cấp
+ Vấn đề bảo mật dữ liệu gặp khó khăn: Vì có sự cạnh tranh về nguồn tài nguyên thông tin giữa các công ty
+ Khả năng quản lý chất lượng dịch vụ còn thấp.
Phân loại mạng VPN
Dựa vào các yêu cầu cơ bản sau:
+ Khả năng truy cập từ xa
VPN giúp kiểm soát quyền truy cập của khách hàng và nhà cung cấp dịch vụ, đảm bảo an toàn và riêng tư trong quá trình kết nối Hiện nay, VPN được phân thành ba loại chính: VPN truy cập từ xa, phù hợp cho người dùng muốn kết nối từ xa đến mạng nội bộ; VPN cục bộ, dùng để bảo vệ các kết nối nội bộ trong cùng một mạng LAN; và VPN mở rộng, giúp mở rộng mạng nội bộ qua các vị trí địa lý khác nhau một cách an toàn.
1.4.1 Mạng VPN truy nhập từ xa (Remote Access VPN)
VPN truy cập từ xa cung cấp khả năng kết nối an toàn qua Internet giữa các chi nhánh, văn phòng và người dùng di động Công nghệ này sử dụng các phương pháp như quay số, IP di động, DSL, cáp quang và phần mềm hỗ trợ để đảm bảo an ninh và thuận tiện trong việc truy cập từ xa.
Extranet khách hàng tới công ty
Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa:
+ Không cần sự hỗ trợ của nhân viên mạng
+ Giảm được các chi phí cho kết nối từ xa
+ Tốc độ kết nối cao, khả năng truy cập tốt hơn
Nhược điểm của mạng VPN truy nhập từ xa:
+ Không hỗ trợ các dịch vụ đảm bảo chất lượng dịch vụ
+ Khả năng bị mất dữ liệu cao
1.4.2 Mạng VPN cục bộ (Intranet VPN)
Mạng VPN cục bộ là giải pháp kết nối an toàn giữa các văn phòng và chi nhánh dựa trên mạng công cộng, giúp truy cập nguồn dữ liệu một cách bảo mật từ bất kỳ điểm nào Được cấu hình theo mô hình VPN Site-to-Site, loại VPN này tối ưu hóa việc liên kết các văn phòng xa, đảm bảo tính liên tục và an toàn cho toàn bộ mạng doanh nghiệp.
Remote site Central site or
Hình 1.3: Mô hình mạng VPN cục bộ
+ Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập
+ Giảm được số nhân viên kỹ thuật hỗ trợ mạng
Việc thiết lập thêm một kết nối ngang hàng mới qua mạng Internet khá dễ dàng, giúp mở rộng hệ thống một cách nhanh chóng và thuận tiện Đồng thời, sử dụng công nghệ chuyển mạch tốc độ cao (như ATM và chuyển tiếp khung) qua đường hầm VPN dựa trên Internet không chỉ đảm bảo an toàn mà còn tiết kiệm chi phí đáng kể cho doanh nghiệp.
+ Khả năng mất gói dữ liệu cao
+ Chưa đảm bảo được với khối lượng dữ liệu lớn và tốc độ
1.4.3 Mạng VPN mở rộng (Extranet VPN)
VPN mở rộng được xây dựng dựa trên một đường hầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác qua mạng Internet, chủ yếu được cấu hình theo kiểu VPN Site-to-Site Điểm khác biệt lớn giữa VPN cục bộ và VPN mở rộng chính là khả năng truy cập được xác nhận và phân quyền ở một hoặc cả hai đầu cuối của kết nối VPN.
Remote site Central site or
Hình 1.4: Mô hình mạng VPN mở rộng
+ Chi phí thấp, dễ thiết lập và bảo trì
+ Giảm số lượng nhân viên kỹ thuật hỗ trợ mạng + Linh hoạt khi cung cấp dịch vụ
+ Khả năng bảo mật còn hạn chế
+ Chưa đảm bảo được với khối lượng lớn dữ liệu, thời gian và tốc độ.
Các giao thức đường hầm VPN
Có 4 giao thức đường hầm VPN gồm: Giao thức định hướng lớp 2 (L2F); Giao thức đường hầm điểm nối điểm (PPTP); Giao thức đường hầm lớp 2 (L2TP); Giao thức bảo mật IP (IPSEC) được dùng để giải quyết vấn đề về đóng gói và an toàn dữ liệu trong VPN khi truyền qua Internet
1.5.1 Giao thức định hướng lớp 2 (Layer 2 Forwarding – L2F)
Giao thức định hướng lớp 2 do Cisco phát triển dựa trên chuẩn PPP (Point-to-Point Protocol) nhằm cung cấp các dịch vụ kết nối mạng chuyên biệt L2F (Layer 2 Forwarding Protocol) được sử dụng để thiết lập dịch vụ quay sốảo, tạo ra các đường hầm bảo mật qua Internet nhằm đóng gói và định hướng lớp liên kết dữ liệu một cách an toàn và hiệu quả.
+ Cho phép thiết lập đường hầm nhiều giao thức và nhiều nhà cung cấp
+ Không có điều khiển luồng cho đường hầm
+ Không được mã hoá và yếu khi xác thực người dùng
Các thiết bị và chức năng của L2F
+ NAS: Hướng lưu lượng đến và đi từ Remote client, Home gateway
+ Tunnel: Định hướng đường đi giữa NAS và Home gateway
+ Home gateway: Ngang hàng với NAS
+ Kết nối: Là một kết nối PPP trong đường hầm tạo nên một phiên của L2F + Điểm đích: Là điểm kết thúc ở đầu xa của đường hầm
Mạng riêng Mạng của ISP
Quá trình thiết lập kết nối bao gồm việc cấu hình đường hầm và tạo phiên làm việc giữa người dùng và hệ thống NAS Khi người dùng ở xa, họ quay số đến hệ thống NAS và thiết lập kết nối PPP tới ISP để đảm bảo truy cập mạng an toàn và ổn định.
Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết để thiết lập và quản lý kết nối mạng NAS sử dụng cơ sở dữ liệu cục bộ được xác thực bởi máy chủ RADIUS nhằm xác định và xác thực yêu cầu của người dùng dịch vụ L2F, đảm bảo quá trình truy cập an toàn và hợp lệ.
NAS sẽ nhận địa chỉ của cổng đích (Home Gateway) để thiết lập một đường hầm bảo mật Quá trình này giúp kết nối an toàn giữa NAS và cổng đích, bao gồm xác thực từ nhà cung cấp dịch vụ Internet (ISP) tới cổng đích, nhằm ngăn chặn các cuộc tấn công mạng.
+ Kết nối PPP mới được tạo ra trong đường hầm kéo dài thành một phiên PPP khi người dùng ở xa truy cập đến Home gateway
+ Khi NAS tiếp nhận dữ liệu từ người dùng sẽ đóng gói lưu lượng vào một khung L2F và đẩy vào trong đường hầm
+ Tại Home gateway, L2F tách bỏ khung, đóng gói dữ liệu đẩy tới mạng công ty
Quản lý L2F + Điều khiển những điểm đích, đường hầm, phiên mới
+ Cho phép chọn lựa những điểm đích, đường hầm, phiên
+ Thiết lập thời gian chờ hệ thống và lưu trữ dữ liệu vào của những đường hầm
1.5.2 Giao thức đường hầm điểm-điểm PPTP (Point to point Tunneling Protocol)
Giao thức đường hầm điểm–điểm (Point-to-Point Tunneling Protocol - PPTP) được phát triển bởi nhóm các công ty trong PPTP Forum, bao gồm Ascend Communications, Microsoft, ECI Telecommunication và US Robotic PPTP hoạt động dựa trên chức năng truy cập từ xa qua hạ tầng Internet để thiết lập kết nối bảo mật giữa mạng riêng và người dùng từ xa Giao thức này giúp đảm bảo an toàn cho các kết nối từ xa, phù hợp cho các doanh nghiệp và người dùng cần truy cập an toàn vào mạng nội bộ qua Internet.
Giao thức PPTP được dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập để tạo ra một đường hầm bảo mật qua Internet PPTP sử dụng giao thức bọc gói định tuyến chung GRE để đảm bảo truyền tải dữ liệu an toàn, đồng thời được xác thực bằng các phương thức PAP và CHAP.
Kiến trúc và hoạt động của PPTP
Bọc gói định tuyến chung
Khi một kết nối PPP được thiết lập, người dùng đã được xác thực thành công thông qua các phương pháp như PAP hoặc CHAP Tuy nhiên, quá trình xác thực này có nhược điểm là mật khẩu được gửi dưới dạng văn bản rõ, không có biện pháp bảo mật, dễ bị tấn công và gây nguy hiểm cho an ninh mạng.
Khi thiết lập kết nối quay số giữa máy chủ truy cập mạng và máy khách, PPTP sử dụng PPP để thiết lập và kết thúc kết nối vật lý, xác thực người dùng, cũng như tạo các gói dữ liệu.
PPP tạo nên một mạng riêng ảo VPN truy cập từ xa
Mạng riêng đựoc bảo vệ
Gói dữ liệu IP,IPX, NETBEUI
Tiêu đề GRE Tiêu đề môi trường khung
Tiêu đề IP Tiêu đề phân phối môi trường
Khung Ethernet Gói tải PPP
Truy cập từ xa của ISP Mạng riêng ảo VPN
Hình 1.7 trình bày về giao thức kết nối PPTP, trong đó các gói dữ liệu IP được đóng gói bằng tiêu đề GRE Tiêu đề này sử dụng số ID của Host để kiểm soát truy cập và điều chỉnh tốc độ truyền dữ liệu trong đường hầm VPN.
PPTP hoạt động tại lớp liên kết dữ liệu, do đó cần có tiêu đề môi trường truyền trong gói để xác định phương thức truyền dữ liệu trong đường hầm như Ethernet hoặc PPP PPTP kiểm soát tốc độ truyền dữ liệu nhằm giới hạn số lượng dữ liệu gửi đi, giảm thiểu tình trạng mất gói và đảm bảo hiệu quả truyền tải.
Cấu trúc gói của PPTP + Đóng gói dữ liệu đường hầm PPTP + Xử lý dữ liệu đường hầm PPTP
Đường hầm PPTP: cho phép nhà cung cấp dịch vụ và người dùng tạo ra 2 loại đường hầm , bao gồm
Đường hầm tự nguyện là một phương pháp tạo kết nối an toàn dựa trên yêu cầu của người dùng, trong đó dữ liệu được truyền qua một đường hầm bảo mật trên Internet Công nghệ này sử dụng giao thức TCP/IP để đảm bảo tính toàn vẹn và an toàn của dữ liệu, giúp người dùng truy cập đến các máy chủ (Host) trên Internet một cách an toàn và bảo mật.
+ Đường hầm bắt buộc: được tạo ra bởi máy chủ xuyên suốt quá trình trao đổi thông qua việc điều khiển truy cập dịch vụ(RAS)
Mạng riêng Đường hầm tự nguyện
Mạng riêng được bảo vệ
Mạng riêng được bảo vệ Đường hầm bắt buộc
Hình 1.8 : Đường hầm bắt buộc và đường hầm tự nguyện
RADIUS (Remote Authentication Dial-In User Service) là dịch vụ xác thực từ xa giúp đảm bảo tính bảo mật và quản lý các kết nối mạng từ xa của người dùng trong phiên làm việc Nó chịu trách nhiệm xác thực và cấp quyền để kiểm soát truy cập dịch vụ qua các đường hầm, đảm bảo an toàn cho hệ thống mạng doanh nghiệp.
Trong PPTP, xác thực và mã hóa đóng vai trò quan trọng để đảm bảo an toàn dữ liệu Các máy khách PPTP và RAS hỗ trợ các phương thức xác thực như CHAP, PAP, và MS-CHAP, trong đó MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách thức từ mật khẩu của người dùng, giúp tránh mất dữ liệu quan trọng trong quá trình xác thực.
PPTP: các dữ liệu được mã hoá gói theo kiểu mã hóa điểm-điểm của Microsoft dựa trên chuẩn RSA,…
Đường hầm kết nối LAN-LAN trong PPTP là giải pháp tạo ra một đường hầm tự nguyện giữa hai cơ sở, giúp kết nối mạng LAN một cách an toàn và hiệu quả Quá trình này yêu cầu máy chủ PPTP tại mỗi site xác thực lẫn nhau, trong đó vai trò của các máy chủ PPTP là vừa làm client vừa làm server, đảm bảo tính bảo mật và liên kết ổn định giữa hai mạng LAN Điều này phù hợp cho các doanh nghiệp cần mở rộng kết nối mạng nội bộ qua mạng Internet, tối ưu hóa hiệu suất và nâng cao bảo mật cho hệ thống mạng LAN của tổ chức.
Mạng riêng đựoc bảo vệ
Mạng riêng được bảo vệ
Hình 1.9: Đường hầm kết nối LAN-LAN trong PPTP
Bảo mật trong VPN
Để dữ liệu trong mạng VPN được bảo mật, hai quá trình được thự hiện là xác thực (Authentication) và mật mã (Encryption)
Trong mạng VPN xác thực bao gồm: Xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn dữ liệu
Xác thực nguồn gốc dữ liệu
- Hệ thống mật khẩu một lần: Khi người dùng đăng nhập vào thì hệ thống sẽ cấp tự động cho một mật khẩu mới cho mỗi phiên làm việc
+ Giao thức xác thực mật khẩu - PAP (Password Authentication Protocol)
Sử dụng cho một máy tính tự xác thực đến một máy tính khác khi giao thức điểm-điểm PPP được dùng làm giao thức truyền thông
PAP (Password Authentication Protocol) là một giao thức xác thực hai chiều, trong đó máy tính chủ gửi nhận dạng người dùng kèm mật khẩu đến hệ thống đích Hệ thống đích sau đó tiến hành xác thực thông tin và chấp nhận kết nối nếu thông tin đầy đủ chính xác Đây là phương thức đơn giản và phổ biến để đảm bảo an toàn cho quá trình truyền thông giữa các thiết bị mạng.
+ Giao thức xác thực yêu cầu bắt tay CHAP (Challenge Handshake Authentication Protocol)
Yêu cầu truy cập Thách đố Đáp ứng Cho phép
Hình 1.17 trình bày hệ thống đáp ứng thách đố người dùng, trong đó CHAP (Challenge-Handshake Authentication Protocol) hoạt động như một phương thức xác thực an toàn hơn so với PAP, đặc biệt trong việc bảo vệ kết nối PPP CHAP là một giao thức bắt tay ba chiều giúp xác thực người dùng một cách mạnh mẽ hơn, nâng cao bảo mật trong quá trình thiết lập kết nối mạng.
- Kiểm tra một kết nối;
Trong quá trình xác thực, máy tính xác thực gửi một bản tin thách đố đến máy tính ngang cấp, và máy tính này sẽ sử dụng một hàm băm một chiều để tính toán một giá trị duy nhất dựa trên nội dung của bản tin Hàm băm một chiều đảm bảo rằng quá trình này diễn ra nhanh chóng, an toàn và khó đảo ngược, giúp xác thực chính xác tính toàn vẹn của dữ liệu Sau đó, máy tính ngang cấp gửi lại giá trị đã tính toán cho máy tính xác thực, xác nhận rằng nó sở hữu khoá bí mật hoặc đã thực hiện đúng quy trình xác thực Phương pháp này tăng cường bảo mật hệ thống, giảm thiểu rủi ro giả mạo và đảm bảo tính toàn vẹn của dữ liệu trong các giao dịch xác thực trực tuyến.
- Gửi trả lại giá trị mong muốn
+ Hệ thống điều khiển truy cập bộ điều khiển truy cập đầu cuối - TACACS
Hệ thống này bao gồm một máy chủ xác thực TACACS, đảm nhiệm chức năng xác thực người dùng và tính cước, đảm bảo sự an toàn và chính xác trong quá trình quản lý truy cập Ngoài ra, hệ thống còn hỗ trợ chia sẻ dữ liệu bảo mật của VPN với nhà cung cấp dịch vụ Internet (ISP), nâng cao khả năng giao tiếp và bảo vệ dữ liệu trong mạng.
+ Dịch vụ xác thực người dùng quay số từ xa- RADIUS
RADIUS (Remote Authentication Dial-In User Service) sử dụng mô hình client/server để đảm bảo bảo mật và quản lý kết nối mạng từ xa hiệu quả Trong hệ thống này, máy chủ truy cập mạng NAS (Network Access Server) thực hiện vai trò quản lý các kết nối và xác thực người dùng trước khi cấp quyền truy cập Nhờ đó, RADIUS giúp kiểm soát truy cập mạng một cách an toàn và tiện lợi, phục vụ các doanh nghiệp trong việc quản lý các kết nối từ xa một cách hiệu quả.
+ Các hệ thống phần cứng cơ bản
- Card thông minh (Smart card)
- Các thiết bị thẻ bài (Token Devices
+ Hệ thống sinh trắc học: Dấu vân tay, võng mạc, giọng nói,…
Xác thực tính toàn vẹn dữ liệu (Data Integrity)
Là việc phát hiện các bản tin bị lỗi và bảo vệ chống sửa đổi bất hợp pháp bản tin
+ Giản lƣợc thông điệp MD dựa trên hàm băm một chiều
MD là phương pháp dùng để phát hiện lỗi truyền dẫn dữ liệu, dựa trên việc sử dụng các hàm băm một chiều Phương pháp này có độ dài cố định, thường từ 128 đến 256 bit, đảm bảo tính an toàn và hiệu quả trong việc xác minh tính toàn vẹn của dữ liệu.
Tài liệu hoặc bản tin
Tài liệu hoặc bản tin
Hàm băm MD5 và SHA-1 là các thuật toán mã hóa phổ biến thường được sử dụng trong việc đảm bảo an toàn dữ liệu Mã xác thực bản tin MAC (Message Authentication Code) là phương pháp bảo vệ chống sửa đổi dữ liệu trong quá trình truyền tải, dựa trên việc kết hợp hàm băm một chiều với khoá bí mật để đảm bảo tính toàn vẹn và xác thực của bản tin.
Tài liệu hoặc bản tin
Tài liệu hoặc bản tin
Hình 1.19 minh họa phương pháp xác thực tính toàn vẹn dữ liệu dựa trên xác thực bản tin MAC Phía phát hành sử dụng khoá bí mật để tạo ra mã xác thực bản tin MAC, đảm bảo tính xác thực và toàn vẹn của thông điệp truyền đi.
Phía thu sử dụng khóa bí mật để xác định tính hợp lệ của bản tin bằng cách tính lại giá trị MAC Sau đó, họ so sánh giá trị MAC tự tính được với giá trị MAC mà phía phát truyền tới để đảm bảo tính xác thực và toàn vẹn của dữ liệu Quá trình này giúp bảo vệ thông tin khỏi các thao tác giả mạo và truy cập trái phép.
Ưu điểm: Thực hiện nhanh và hiệu quả
Nhược điểm: Khó khăn khi phân phối khóa an toàn
+ Chữ ký số (Digital Signature)
Chữ ký số được sử dụng để bảo vệ nội dung bản tin khỏi sự sửa đổi trái phép, bằng cách mã hóa nội dung với khóa bí mật Quá trình này tạo ra một giá trị hash (MD5, SHA) từ hàm băm một chiều, sau đó sử dụng để tạo thành chữ ký số Chữ ký số này được truyền cùng bản tin từ phía phát nhằm đảm bảo tính xác thực và toàn vẹn của dữ liệu.
Tài liệu hoặc bản tin
Mã hoá với khoá công cộng
Mã hoá với khoá riêng
Hàm hash Giá trị hash
Tài liệu hoặc bản tin
Giá trị hash Giá trị hash
Hình 1.20: Chữ ký số Phía thu tính lại mã hash nếu giá trị giải mã giống giá trị hash tính được thì xác nhận bản tin toàn vẹn
Mã hoá gồm có một thuật toán và một khoá
Thuật toán mã hoá khoá bí mật
Là thuật toán khoá chia sẻ dùng để mã hoá, giải mã một bản tin
Encrypt Encrypt Ecryption Decrypt Decrypt
Hình 1.21: Mã hoá khoá bí mật Ưu điểm :
+ Dễ triển khai, nhanh và phù hợp với khối lượng lớn thông tin + Chiều dài khoá từ 40÷168 bit
+ Người gửi và người nhận cùng chung một mật khẩu
Nhược điểm: Không tin cậy về nguồn gốc của bản tin
The Data Encryption Standard (DES) is a widely used cryptographic algorithm that combines data permutation and substitution techniques It encrypts 64-bit data blocks through 16 rounds of complex operations using a secret key, resulting in a secure and reliable ciphertext DES's innovative approach of mixing data and key transformations ensures strong data protection, making it a foundational cipher in information security.
Các sản phẩm và phần mềm Cisco VPN đều hỗ trợ thuật toán DES 56 bit
Hoán vị khởi tạo (IP)
Hình 1.22: Sơ đồ thuật toán DES
Thuật toán mã hoá khoá công cộng
Là thuật toán sử dụng một cặp khoá duy nhất để mã hoá và giải mã bảo mật một bản tin
Encrypted Message clear Message clear Message
Hình 1.23: Thuật toán mã hoá khoá công cộng
Ưu điểm : Cho phép xác thực nguồn phát của bản tin
Nhược điểm: Quá trình mã hoá và giải mã còn chậm
+ Hệ thống mật mã khoá công khai RSA
RSA được đặt tên theo tên của ba nhà phát triển là Ron Rivest, Adi Shamir và Leonard Adleman Thuật toán này dựa trên việc thực hiện tính toán trên các số tự nhiên lớn để xác định các ước số nguyên tố, đảm bảo tính bảo mật cao Ví dụ, khi nhân hai số lớn X và Y để được kết quả Z, việc ngược lại để tìm X hoặc Y từ Z là điều không thể, nhờ vào đặc điểm của hàm một chiều trong RSA Quá trình mã hóa RSA gồm ba bước chính: tạo khóa, mã hóa (mật mã) và giải mã, đảm bảo an toàn thông tin trong truyền tải dữ liệu.
+ Kỹ thuật Diffie-Hellman - DH:
Thuật toán mã hoá khoá công cộng là phương pháp quản lý khoá tự động giúp bảo mật trao đổi khoá trên các mạng không an toàn Mỗi đối tượng ngang hàng tạo ra một số nguyên lớn khác nhau, sau đó sử dụng giao thức DH để tạo ra một khóa chung được trao đổi công khai Các đối tượng dùng khóa chung nhận được từ đối tác để tạo ra số mật mã chia sẻ dựa trên khoá riêng của mình, đảm bảo tính bảo mật của thông điệp Số mật mã chia sẻ này được sử dụng để xác định các khoá mật mã và phục vụ cho các quá trình xác thực như DES, nâng cao tính an toàn trong truyền thông.
CHƯƠNG 2 XÂY DỰNG VÀ QUẢN LÝ MẠNG VPN
2.1 Thành phần cơ bản của một VPN
The core hardware components of a VPN include VPN servers, VPN clients, and additional devices such as VPN routers, VPN gateways, and concentrators These essential hardware elements work together to ensure secure and reliable Virtual Private Network connectivity, optimizing data transmission and network security across different infrastructures.
2.1.1 Máy chủ VPN Đây là thiết bị mạng dùng để chạy phần mềm máy chủ (Software servers) Tùy theo yêu cầu của công ty, khi thiết lập một mạng VPN có một hay nhiều máy để cung cấp và đảm bảo dịch vụ cho các máy khách (VPN client) ở xa và các Client cục bộ Máy chủ VPN hoạt động như là một điểm cuối trong đường hầm kết nối và xác thực bởi người dùng trong mạng VPN Máy chủ VPN được hỗ trợ hai hoặc nhiều Card mạng (Một Card dùng để kết nối tới mạng mở rộng (Intranet) của công ty, Card còn lại kết nối tới mạng Internet)
Chức năng chính của máy chủ VPN là:
Thành phần cơ bản của một VPN
The core hardware components of a VPN include VPN servers, VPN clients, and additional devices such as VPN routers, VPN gateways, and concentrators These elements work together to establish secure and reliable VPN connections, ensuring data privacy and network security Proper configuration and integration of these hardware components are essential for optimal VPN performance and protection.
2.1.1 Máy chủ VPN Đây là thiết bị mạng dùng để chạy phần mềm máy chủ (Software servers) Tùy theo yêu cầu của công ty, khi thiết lập một mạng VPN có một hay nhiều máy để cung cấp và đảm bảo dịch vụ cho các máy khách (VPN client) ở xa và các Client cục bộ Máy chủ VPN hoạt động như là một điểm cuối trong đường hầm kết nối và xác thực bởi người dùng trong mạng VPN Máy chủ VPN được hỗ trợ hai hoặc nhiều Card mạng (Một Card dùng để kết nối tới mạng mở rộng (Intranet) của công ty, Card còn lại kết nối tới mạng Internet)
Chức năng chính của máy chủ VPN là:
Chúng tôi tiếp nhận các yêu cầu kết nối vào mạng VPN, đảm bảo quá trình kết nối diễn ra an toàn và bảo mật Đồng thời, chúng tôi xử lý và chuyển tiếp dữ liệu từ các máy khách VPN một cách hiệu quả, giúp duy trì hoạt động mạng ổn định và bảo vệ thông tin của người dùng.
Máy khách VPN là thiết bị hoặc phần mềm giúp người dùng truy cập từ xa vào mạng nội bộ qua kết nối internet an toàn Sau khi đăng nhập thành công vào máy chủ VPN, máy khách và máy chủ VPN mới có thể truyền thông với nhau hiệu quả Đây chính là đặc điểm nổi bật của máy khách VPN, giúp kết nối từ xa ổn định và bảo mật hơn khi làm việc hoặc truy cập dữ liệu từ xa.
Bộ tập trung truy cập của ISP
Mạng riêng được bảo vệ Mạng riêng được bảo vệ
Hình 2.1: Đặc trưng của máy khách VPN
Khi thiết lập một mạng VPN nhỏ, máy chủ VPN có thể đảm nhiệm vai trò của bộ định tuyến để tạo kết nối từ xa một cách an toàn và hiệu quả Mạng VPN không chỉ hỗ trợ định tuyến mà còn nâng cao bảo mật dữ liệu và đảm bảo chất lượng dịch vụ trên đường truyền Ví dụ, bộ định tuyến truy cập Cisco 1750 được sử dụng phổ biến để tích hợp chức năng định tuyến và bảo mật trong mạng VPN nhỏ.
Bộ tập trung được sử dụng để thiết lập mạng VPN từ xa với quy mô nhỏ, giúp tăng cường công suất và khả năng mở rộng của hệ thống VPN Ngoài ra, thiết bị này còn cung cấp khả năng thực hiện cao, đảm bảo an toàn và xác thực mạnh mẽ, phù hợp cho các doanh nghiệp cần giải pháp bảo mật đáng tin cậy Các ví dụ điển hình bao gồm bộ tập trung series 3000 và 5000 của Cisco, cũng như bộ tập trung VPN của Altiga, mang lại hiệu suất vượt trội và độ bảo mật cao.
Cổng kết nối IP là thiết bị chuyển đổi các giao thức không phải là giao thức IP sang giao thức IP, giúp tích hợp các hệ thống mạng khác nhau một cách hiệu quả Nó cho phép mạng riêng hỗ trợ chuyển tiếp dữ liệu dựa trên giao thức IP, nâng cao khả năng liên thông giữa các nền tảng mạng Ví dụ điển hình là phần mềm Novell’s Border Manager, hỗ trợ quản lý và bảo vệ dữ liệu trong môi trường mạng đa dạng.
Các cổng kết nối VPN là các cổng bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng nhằm bảo vệ mạng riêng khỏi các cuộc tấn công Chúng có khả năng tạo đường hầm và mã hóa dữ liệu riêng tư trước khi truyền tải qua mạng công cộng, đảm bảo an toàn thông tin.
Các vấn đề lưu ý khi thiết kế VPN
2.2.1 Các vấn đề về mạng và ISP
+ Thêm phần mềm và phần cứng vào bộ định tuyến để tạo nên những cổng nối bảo mật trong VPN
+ Nâng cấp bộ định tuyến hoặc tường lửa để hỗ trợ các chức năng của VPN
2.2.2 Các vấn đề về bảo mật
VPN có thể cho phép người dùng phân quyền truy cập tới những mạng con, thiết bị hay cơ sơ dữ liệu quan trọng
Một giải pháp phổ biến cho các công ty muốn chia sẻ một phần thông tin từ VPN của mình với người dùng internet, khách hàng hoặc nhân viên một cách an toàn là sử dụng vùng giới tuyến DMZ (Demilitarized Zone) Ví dụ, máy chủ Web trong DMZ lưu trữ bản sao của trang Web, trong khi bản chính được bảo vệ bên trong mạng nội bộ Để đảm bảo an toàn cho VPN, các biện pháp bảo vệ như mã hoá dữ liệu, trao đổi khóa an toàn và chứng thực số được áp dụng nhằm nâng cao tính bảo mật.
Quá trình xây dựng VPN
Khi người dùng ở xa muốn kết nối tới mạng công ty chia sẻ và truy nhập vào trang web của công ty cần thực hiện 4 bước sau:
Bước 1: Thực hiện kết nối với nhà cung cấp dịch vụ Internet
Bước 2 trong quy trình kết nối mạng công ty bao gồm việc thiết lập một đường hầm an toàn tới máy chủ bảo mật của mạng Khi người dùng kết nối, hệ thống yêu cầu xác thực để đảm bảo quyền truy cập hợp lệ, sau đó máy chủ bảo mật xác thực người dùng và tạo ra một kết cuối khác của đường hầm, giúp duy trì an toàn và bảo mật cho dữ liệu truyền tải.
Trong bước 3, người dùng gửi dữ liệu đã được mã hóa bởi phần mềm VPN qua đường hầm bảo mật, thông qua kết nối của nhà cung cấp dịch vụ Internet (ISP) Việc mã hóa dữ liệu giúp đảm bảo an toàn thông tin và giữ riêng tư khi truyền tải qua mạng Các bước này là phần quan trọng trong quy trình thiết lập kết nối VPN, giúp bảo vệ dữ liệu khỏi truy cập trái phép.
Trong bước 4, máy chủ bảo mật đích thu dữ liệu đã được mã hóa, tiến hành giải mã dữ liệu để đảm bảo an toàn và chính xác Sau đó, hệ thống sẽ chuyển các gói dữ liệu đã được giải mã tới mạng công ty để xử lý tiếp tục Đây là bước quan trọng trong quá trình bảo mật thông tin, giúp đảm bảo dữ liệu truyền tải an toàn qua mạng.
Việc kết nối từ người dùng và mạng riêng tới mạng Internet do nhà cung cấp dịch vụ Internet (ISP) đảm nhận đóng vai trò then chốt trong việc xây dựng VPN, vì ISP chịu trách nhiệm truyền dữ liệu và duy trì kết nối ổn định.
Các mạng đường trục tốc độ cao Mạng đường trục
Các điểm truy xuất mạng (NAP)
Các mạng miền (Regional nets)
Các mạng người dùng (mạng riêng)
Mạng miền Mạng miền Mạng miền Mạng miền
Hình 2.7: Kiến trúc mạng của các ISP
Khả năng của ISP Các nhà cung cấp mạng ISP được phân chia theo cấp độ, khả năng, phạm vi phục vụ của mạng
Các hợp đồng dịch vụ SLA (Service Level Agreement) là thỏa thuận giữa khách hàng và ISP về mức độ dịch vụ cam kết cung cấp, đảm bảo chất lượng dịch vụ mạng SLA giúp ISP dự đoán và dự báo lưu lượng mạng để có phương án điều khiển và phân luồng chính xác Đánh giá SLA dựa trên các thông số quan trọng như độ sẵn sàng, thông lượng thực tế và độ trễ của mạng Trong đó, độ sẵn sàng của mạng được hiểu là thời gian mạng sẵn sàng và phục vụ khách hàng liên tục.
Ta có thể xác định độ sẵn sàng của mạng theo công thức:
24 giờ x Số ngày của tháng - thời gian mạng ngừng hoạt động
24 giờ x Số ngày của tháng Độ sẵn sàng 2.3.2 Tường lửa và Bộ định tuyến
Internet CSU/DSU Bộ định tuyến
Hình 2.8: Các thành phẩn trong VPN
Tường lửa là phần quan trọng trong chính sách bảo mật của doanh nghiệp, chịu trách nhiệm kiểm soát lưu lượng dữ liệu giữa mạng nội bộ (Intranet) và mạng Internet, giúp bảo vệ các vùng dữ liệu nhạy cảm Nó có khả năng giới hạn truy cập và bảo mật các khu vực nội bộ so với các phần còn lại của mạng, giúp ngăn chặn các cuộc tấn công từ bên ngoài Trong các giải pháp VPN, tường lửa đóng vai trò thiết yếu trong việc đảm bảo an toàn cho mạng công ty, bảo vệ dữ liệu khỏi các mối đe dọa từ internet.
Bộ định tuyến thực hiện việc kiểm tra và xử lý từng gói khi chúng ra/vào mạng LAN Trong VPN có bộ định tuyến mã hóa (encryption router)
Bộ định tuyến có chức năng kiểm tra các gói tại lớp mạng trong mô hình OSI, nhưng không đảm nhiệm việc xác thực người dùng Chính vì vậy, để đảm bảo an toàn khi thiết lập VPN, cần có một máy chủ xác thực riêng biệt để cung cấp tính bảo mật tối đa cho hệ thống mạng.
Các sản phẩm phần mềm VPN Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm) , bao gồm:
+ Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa
+ Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật IPX + Server VPN dành cho dịch vụ quay số
+ NAS (máy chủ truy cập mạng) + Mạng VPN và trung tâm quản lý
Các yêu cầu của sản phẩm + Giao thức được hỗ trợ: IP hay hỗ trợ IPX và NetBEUI
+ Khả năng tích hợp với các hệ thống hiện có
+ Giải thuật mật mã được hỗ trợ: giải thuật IPSec, DES dùng cho việc mã hoá, giải thuật HMAC-MD5 hay HMAC-SHA-1 cho việc xác thực người dùng
+ Có khả năng đồng bộ
+ Cấp phát chứng nhận điện tử
+ Nhật ký ghi xung đột: ghi lại các sự cố bảo mật, cảnh báo xuất hiện sự cố.
Quản lý bảo mật (mật mã và xác thực)
Bao gồm việc xác thực những người dùng, điều khiển quyền truy cập, quản lý khoá và liên kết với các thiết bị VPN
2.4.1 Các chính sách bảo mật thống nhất
Chính sách bảo mật của mạng riêng
Hình 2.9: Các thành phần của hệ thống bảo mật
2.4.2 Các phương thức mã hoá
Các giao thức và giải thuật cho VPN: Giao thức PPTP sử dụng PPP, DES, 3DES để mã hoá dữ liệu
Chiều dài khóa là yếu tố quan trọng xác định độ an toàn của dữ liệu, thể hiện khả năng tính toán để phá vỡ mã trong bao lâu Việc chọn chiều dài khóa phù hợp giúp bảo vệ dữ liệu hiệu quả, đảm bảo thời gian phá mã vượt xa thời gian dữ liệu còn nhạy cảm Điều này cho phép lựa chọn các thuật toán mã hóa mạnh mẽ, đáp ứng yêu cầu bảo mật cao và duy trì sự an toàn lâu dài cho thông tin quan trọng.
2.4.3 Quản lý khoá cho các cổng nối
+ Nhận dạng các cổng nối + Điều khiển các khoá phiên
2.4.4 Quản lý khoá cho các người dùng
+ Lưu trữ các khoá trên một thiết bị di dời được như đĩa, card thông minh
+ Mã hoá khoá với một mật khẩu và yêu cầu client xác nhận
Mã hóa các khoá bằng một mật khẩu mạnh giúp bảo vệ dữ liệu quan trọng khỏi truy cập trái phép Hệ thống cũng giới hạn số lần nhập sai mật khẩu, ví dụ như sau 3 lần nhập sai liên tiếp sẽ tự động khóa quyền truy cập của khách hàng sử dụng khoá đó, tăng cường bảo mật và hạn chế rủi ro bị tấn công.
2.4.5 Các dịch vụ xác thực Để xác thực người dùng vào mạng VPN thường sử dụng mật khẩu, các hệ thống lệnh/đáp ứng sử dụng RADIUS, sử dụng các thẻ bài, các chứng nhận điện tử… cho phép duy trì điều khiển việc thiết lập các thông số xác thực và các quyền truy cập nhưng ngăn chặn ISP dùng thông tin đó để cung cấp quyền truy cập tới những người dùng từ xa
Máy chủ truy cập từ xa
Mạng riêng được bảo vệ
Cơ sở dữ liệu nhận dạng người dùng
Hình 2.11: Xác thực người dùng
2.4.6 Quản lý CA nội bộ
Chứng nhận điện tử có thời hạn sử dụng nhất định, sau khoảng thời gian nhất định, chúng sẽ ngừng hiệu lực hoặc bị huỷ bỏ để đảm bảo an ninh và tính hợp lệ Ngoài ra, các chứng nhận điện tử còn có khả năng tái lập, giúp duy trì hoạt động liên tục trong các hệ thống điện tử Việc dự phòng các chứng nhận này là cực kỳ cần thiết để đề phòng các trường hợp thu hồi khóa sau một ngày hoặc các sự cố phát sinh, đảm bảo tính khả dụng và an toàn cho dữ liệu và hệ thống.
2.4.7 Điều khiển quyền truy cập
VPN được thiết kế để cung cấp liên lạc an toàn giữa các máy chủ và các cổng kết nối, đảm bảo dữ liệu được truyền tải bảo mật Quản lý bảo mật cho VPN là một phần thiết yếu trong chính sách bảo mật tổng thể của tổ chức, giúp đảm bảo an toàn thông tin và phòng chống các mối đe dọa mạng Việc cấu hình và duy trì VPN đúng cách là yếu tố quan trọng để tăng cường an ninh mạng và bảo vệ dữ liệu nhạy cảm.
Quản lý địa chỉ
Sự phát triển của việc sử dụng địa chỉ IP để truyền thông dữ liệu trong các tổ chức thương mại đã gây ra các vấn đề liên quan đến cấp phát và quản lý địa chỉ IP Không gian địa chỉ IPv4, với 32 bit, chỉ cung cấp hơn 4,2 tỷ địa chỉ, đã trở nên giới hạn và không đủ để đáp ứng nhu cầu ngày càng tăng Do đó, IPv6 ra đời với công nghệ mở rộng, sử dụng địa chỉ dài 128 bit để cung cấp tới 2¹²⁸ địa chỉ IP, giải quyết vấn đề về không gian địa chỉ và hỗ trợ sự phát triển bền vững của mạng Internet.
IPv4 addresses are 32-bit binary numbers structured into four octets (8 bits each), comprising two main parts: the network portion and the host portion The network segment is assigned by ARIN (American Registry for Internet Numbers), while the host segment is allocated by local administrators ARIN classifies IP address ranges into three primary classes: A, B, and C, to efficiently organize and allocate IPv4 addresses across the internet.
Có 2 kiểu cấp phát địa chỉ IP thường dùng là: Cấp phát địa chỉ động và cấp phát địa chỉ tĩnh
Hệ thống tên miền DNS là hệ thống đặt tên chính thức của Internet như: vn Việt nam
Tên miền ".us" đại diện cho các trang web của Mỹ, trong khi ".uk" dành cho Vương quốc Anh Các trang web thương mại thường sử dụng đuôi ".com" để thể hiện hoạt động kinh doanh Các trang web giáo dục chủ yếu có đuôi ".edu", cung cấp nội dung học thuật và đào tạo Các tổ chức phi lợi nhuận sử dụng đuôi ".org" để thể hiện các hoạt động cộng đồng và phi lợi nhuận Trang web của chính phủ thường có đuôi ".gov" phản ánh các dịch vụ công và thông tin chính thức Cuối cùng, đuôi ".net" thường dùng cho các dịch vụ mạng và công nghệ, phục vụ các hoạt động liên quan đến internet và hạ tầng mạng.
2.5.3 NAT và các địa chỉ riêng
Một NAT hoặc Proxy server cung cấp kết nối cho tất cả các host trong mạng, giúp quản lý lưu lượng truy cập hiệu quả Khi sử dụng NAT, các thiết bị nội bộ có thể truy cập Internet bằng một địa chỉ IP công cộng chung, trong khi địa chỉ riêng vẫn được giữ bí mật Nó hạn chế việc tải các địa chỉ đích thuộc dải địa chỉ riêng lên Internet, đảm bảo an toàn và tiết kiệm băng thông.
Băng thông là yếu tố quan trọng để đánh giá khả năng và chất lượng của mạng, xác định tổng lượng dữ liệu có thể truyền tải trong một đơn vị thời gian Để đảm bảo an toàn và đáp ứng các yêu cầu về lưu lượng của các ứng dụng khác nhau, người ta phân chia băng thông thành 3 loại chính: băng thông tối đa, băng thông khả dụng và băng thông thực tế Việc hiểu rõ các loại băng thông này giúp tối ưu hóa hiệu suất mạng và nâng cao trải nghiệm người dùng.
Lưu lượng thời gian thực
Hội nghị truyền hình Đa phương tiên thời gian thực Thực hiện xử lý
Nhập dữ liệu từ xa
Các giao thức kế thừa (SNA)
Dòng dữ liệu đa phương tiện FTP
Hình 2.14 Lưu lượng truyền trên mạng
Có 5 phương pháp hỗ trợ phân lớp dịch vụ góp phần làm tăng hiệu suất, giảm tắc nghẽn mạng VPN: + Dự phòng quá băng thông mạng
+ Quyền ưu tiên lưu lượng
+ Cấp phát tài nguyên tĩnh
+ Cấp phát tài nguyên động
2.6.2 Giám sát hiệu suất ISP và SLA
Giám sát chất lượng của ISP là quá trình theo dõi mức độ thực hiện các thoả hiệp về dịch vụ đã đăng ký nhằm đảm bảo đáp ứng các tiêu chuẩn của khách hàng Việc này giúp xác định hiệu quả của VPN và đảm bảo kết nối Internet ổn định, nhanh chóng Việc kiểm soát này còn giúp phát hiện các vấn đề về mạng, nâng cao trải nghiệm người dùng và tối ưu hóa dịch vụ cung cấp Theo dõi chặt chẽ các cam kết dịch vụ của ISP là bước cần thiết để đảm bảo dịch vụ luôn đạt chuẩn và phù hợp với nhu cầu của khách hàng.
Giám sát SLA là giám sát các thông số như: tính sẵn sàng, năng suất và độ trễ
Hai yếu tố chính ảnh hưởng đến hiệu suất của VPN là:
+ Tốc độ, độ tin cậy của các đường truyền qua mạng Internet
+ Hiệu quả xử lý tại các host và các cổng nối bảo mật của VPN
Trong quá trình xây dựng mạng VPN, các công ty thường thỏa thuận về mức dịch vụ SLA với ISP để đảm bảo dữ liệu truyền qua mạng Internet an toàn và nhanh chóng Các ISP cung cấp các khoảng thời gian chờ đảm bảo, giúp ngăn chặn lưu lượng đường hầm của khách hàng ảnh hưởng đến mạng Internet chung trên mạng đường trục riêng của họ.
CHƯƠNG 3 TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN
Công ty TNHH TMDV và Phát triển Công nghệ Bệnh viện Máy tính Huy Mạnh có các chi nhánh tại Thành phố Vinh, đặt tất cả dữ liệu và máy chủ như Web server, Mail server tại trung tâm Nhân viên làm việc trực tiếp tại trung tâm dễ dàng truy cập hệ thống mạng, tuy nhiên, nhân viên đi công tác hoặc làm việc từ xa cần một giải pháp để truy cập vào hệ thống mạng của trung tâm một cách thuận tiện và an toàn Do đó, cần triển khai các giải pháp công nghệ như VPN hoặc các dịch vụ từ xa để đảm bảo truy cập dữ liệu linh hoạt và bảo mật cho tất cả nhân viên.
3.2 PHÂN TÍCH VÀ THIẾT KẾ 3.2.1 Các thiết bị cần thiết:
Mô hình kết nối theo kiểu Client to Site + Modem (Router) ADSL có địa chỉ IP tĩnh
Để cấu hình VPN Server, cần sử dụng một máy tính cài đặt hệ điều hành Windows Server 2003 trở lên, trong đó máy tính này cần có hai card mạng Card mạng ngoài nên có địa chỉ IP là 192.168.10.20, còn card mạng trong có địa chỉ IP là 172.16.10.20, nhằm đảm bảo hoạt động ổn định và an toàn cho hệ thống mạng VPN.
+ 01 máy DC_RADIUS cài hệ điều hành Windows Server 2003, có địa chỉ IP4 là 172.16.10.10
+ 01 máy VPN CLIENT cài hệ điều hành Windows Server 2003/XP/7/8, có địa chỉ IP4 là 192.168.10.10
Máy tính VPN CLIENT truy cập từ xa vào trong trung tâm theo giao thức Tunneling điểm nối điểm (PPTP), chứng thực bởi Radius Server
Hình 3.1: Mô hình VPN Client to Site
3.4 CÁC BƯỚC CÀI ĐẶT VÀ CẤU HÌNH VPN 3.4.1 Trên máy DC_RADIUS tạo Group và Users
Tạo Group VPN Vào Administrative Tool -> Active Directory User and Computers
Nhấn chuột trái vào quangsang.com.vn, nhấn chuột phải chọn New -> Group và đặt tên Group name là VPN, nhấn OK
Tạo User Thao tác tương tự như tạo Group, nhấn chuột phải chọn New -> User
Tạo User là ipc1, nhấn Next Đặt password cho User, nhấn Next
Quá trình tạo User hoàn tất, nhấn Finish
Thêm User ipc1 vào Group VPN Nhấn chuột phải vào Group VPN vừa tạo chọn Properties -> Members
Chọn User là ipc1, nhấn OK
Quá trình thành công, nhấn Apply và OK
3.4.2 Cài đặt và cấu hình RADIUS Server
Các bước cài đặt Vào Start -> Settings -> Control Panel -> Add or Remove Programs -> Add/Remove Windows Components
Kích chọn Networking Service, nhấn Details
Chọn Internet Authentication Service , nhấn OK
Quá trình cài đặt diễn ra, hoàn thành ấn Finish
Cấu hình Khởi động dịch vụ Internet Athentication Service: Vào Run -> ias.msc
Nhấn chuột phải vào Remote Access Logging chọn New Remote Access Policy Tại Policy name đặt tên là quangsang
Chọn VPN, nhấn Next và chọn Add để thêm Group VPN vào
Nhấn Next và nhấn Finish quay lại cây thư mục chính
Nhấn chuột phải vào RADIUS Client chọn New RADIUS Client
Tại Friendly name đặt tên là VPNSERVER, nhấn Verify Đánh địa chỉ IP cho máy VPN Server là 172.16.10.15, nhấn Resolve
Tại New RADIUS Client ta đặt một mã bí mật chia sẻ cho VPN Server Ví dụ ở đây là 123
3.4.3 Cài đặt và cấu hình VPN SERVER dùng RADIUS Server chứng thực bằng Username và Password
Tại máy VPN SERVER, khởi động dịch vụ Routing and Remote Access
Chọn From a specifiec range of addresses, nhấn Next
Chọn Remote Access (dial-up or VPN), nhấn Next và chọn 192.168.1.21 là địa chỉ
IP mạng ngoài của VPN Server, nhấn Next Đánh địa chỉ IP cùng lớp với IP VPN SERVER, ở đây chọn cấp 10, nhấn OK
Chọn Yes, set up this server to work with a RADIUS server, nhấn Next
Gõ địa chỉ IP của máy RADIUS SERVER là 172.16.10.15 và mã bí mật chung trong ô Shared secret, nhấn Next
Cài đặt thành công, nhấn Finish
3.4.4 Cài đặt và kết nối máy Client
Tiến hành cài đặt Vào Start -> Settings -> Network Connection Wizard
Chọn ô Connect to the network at my workplace, chọn Next
Chọn ô Vitual Private Network connection, chọn Next
Gõ tên chi nhánh cần truy cập, chọn Next
Gõ tên máy VPN SERVER là quangsang, chọn Next
Quá trình cài đặt thành công, nhấn Finish
Kết nối VPN: Thiết lập kết nối VPN dùng giao thức PPTP
Nhập User name và Password, nhấn Connect để thực hiện kết nối
Công nghệ mạng riêng ảo VPN dựa trên hạ tầng Internet để xây dựng mạng WAN riêng, mang lại lợi ích về chi phí, phạm vi không giới hạn và khả năng linh hoạt trong triển khai và mở rộng VPN đã chứng tỏ tính hữu ích cao và sẽ còn phát triển mạnh mẽ trong tương lai nhờ các tiêu chuẩn đã được áp dụng, giúp nâng cao khả năng liên vận hành và quản lý mạng Chất lượng dịch vụ trên các VPN cũng được cải thiện đáng kể, mở ra cơ hội triển khai các ứng dụng mới như hội nghị truyền hình, điện thoại IP và các dịch vụ đa phương tiện đa dạng.
Hiểu được công nghệ mạng ảo VPN
Xây dựng và cài đặt được mạng VPN với quy mô nhỏ và vừa
Có thêm được một số kiến thức về mạng
Vấn đề chƣa đạt đƣợc:
Chỉ hiểu được kiến thức cơ bản về mạng VPN mà chưa đi sâu vào cơ chế hoạt động của VPN do giới hạn về đề tài và thời gian nghiên cứu.
Phạm vi áp dụng chỉ được với một chi nhánh doanh nghiệp nhỏ và vừa
Hướng phát triển đề tài:
Nếu có điều kiện, tôi sẽ nghiên cứu và mở rộng mạng VPN này để tích hợp vào các công ty lớn hơn, nhằm đáp ứng ngày càng tốt hơn nhu cầu ngày càng cao của người dùng.
Do mạng VPN liên quan đến nhiều giao thức và thuật toán phức tạp, phạm vi nghiên cứu còn hạn chế dẫn đến còn nhiều sai sót, mong nhận được ý kiến đóng góp từ các thầy cô và các bạn để hoàn thiện hơn.
Tài liệu Quản trị mạng trên Windows Server 2003
Cisco Secure Virtual Private Networks (Volume 1,2) Copyright © 2001, Cisco System, Inc
Virtual Private Networking and Intranet Security
Các Websites chính http:// www.quantrimang.com http:// www.vpnlabs.org Ý KIẾN NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
……… Ý KIẾN NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
Từ viết tắt Từ đầy đủ Ý nghĩa
AD Analog to Digital Chuyển đổi tương tự sang số ADSL Asymmetric Digital Subscriber
Công nghệ truy nhập đường dây thuê bao số bất đối xứng
AES Advanced Encryption Standard Chuẩn mật mã cao cấp
AH Authentication Header Giao thức tiêu đề xác thực API Application Programming
Giao diện chương trình ứng dụng
ATM Asynchronous Tranfer Mode Công nghệ truyền tải không đồng bộ ARIN American Registry for Internet
Tiêu chuẩn Mỹ cho địa chỉ Internet
BGP Border Gateway Protocol Giao thức định tuyến cổng miền
BICC Bearer Independent Call Control
Giao thức điều khiển cuộc gọi độc lập với kênh mang
Mạng số đa dịch vụ băng rộng
CA Certificate Authority Nhà phân phối chứng thực số CIR Committed Information Rate Tốc độ thông tin cam kết CHAP ChallengeHandshake
Giao thức xác thực yêu cầu bắt tay
CR Cell Relay Công nghệ chuyển tiếp tế bào
The CSU Channel Service Unit is a vital component in telecommunications networks, ensuring reliable data transmission Data Communication Equipment (DCE) plays a crucial role in transmitting data between computers and the network, facilitating seamless connectivity The Data Encryption Standard (DES) is a widely used encryption algorithm that secures sensitive information during data exchange Additionally, Dynamic Host Configuration Protocol (DHCP) simplifies network management by automatically assigning IP addresses to devices, enhancing network efficiency and security.
Giao thức cấu hình host động
The DNS (Domain Name System) is a fundamental component that translates user-friendly domain names into IP addresses, facilitating efficient internet communication DSL (Digital Subscriber Line) provides high-speed internet access over existing telephone lines, making connectivity more accessible DSP (Digital Signal Processors) are specialized hardware units responsible for processing digital signals, ensuring high-performance multimedia and communication applications The DSU (Data Service Unit) manages data transmission between networks, enabling reliable data exchange across different systems Additionally, EAP (Extensible Authentication Protocol) enhances network security by offering flexible authentication mechanisms for secure access control.
Giao thức xác thực mở rộng ESP Encapsulating Security Payload Giao thức tải an ninh đóng gói FCS Frame Check Sequence Chuỗi kiểm tra khung
FR Frame Relay Chuyển tiếp khung dữ liệu GVPNS Global VPN Service Dịch vụ VPN toàn cầu ICMP Internet Control Message
Giao thức bản tin điều khiển Internet
IETF Internet Engineering Task Force Cơ quan chuẩn Internet IKE Internet Key Exchange Giao thức trao đổi khoá Internet IGP Interior Gateway Protocol Giao thức định tuyến trong miền
IN Intelligent Network Mạng thông minh
IP Internet Protocol Giao thức Internet
IP-Sec Internet Protocol Security Giao thức an ninh Internet ISAKMP Internet Security Asociasion and
Giao thức quản lý khoá và kết hợp an ninh Internet
Mạng số đa dịch vụ
Tổ chức chuẩn quốc tế
