tìm hiểu và triển khai dịch vụ vpn và triển khai dịch vụ mail server

tìm hiểu và triển khai dịch vụ vpn và triển khai dịch vụ mail server

LỜI CẢM ƠN

Trong suốt quá trình xây dựng báo cáo thực tập, em đã nhận được rất nhiều sự giúp đỡ từ các thầy cô cùng bạn bè Em xin gởi lời cảm ơn chân thành và sâu sắc đối với thầy Võ Đỗ Thắng, trung tâm an ninh và quản trị mạng quốc tế Athena đã tạo điềukiện cho em thực tập ở trung tâm để có thể hoàn thành tốt báo cáo Và em cũng xin cảm ơn thầy Trần Bá Nhiệm đã nhiệt tình hướng dẫn em hoàn thành tốt khóa thực tập

Trong quá trình thực tập, cũng như là trong quá trình làm bài báo cáo, thời gian chỉ có một tháng rưỡi, lượng kiến thức của em cũng còn hạn chế nên khó tránh khỏi sai sót Rất mong các thầy , cô bỏ qua Đồng thời do trình độ lý luận cũng như kinh nghiệm thực tiễn còn nhiều hạn chế nên bài báo cáo không thể tránh khỏi những thiếusót, em rất mong nhận được ý kiến đóng góp của thầy , cô để em học hỏi thêm được nhiều kinh nghiệm và hoàn thành tốt hơn cho bài báo cáo này

Em xin chân thành cảm ơn !!!

LỜI CẢM ƠN………1

LỜI MỞ ĐẦU………5

CHƯƠNG I : CÔNG VIỆC THỰC TẬP 1.GIỚI THIỆU DOANH NGHIỆP THỰC TẬP – TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA… 7

1.1 Trụ sở và các chi nhánh ………8

1.1.1 Trụ sở chính……… 8

1.1.2 Cơ sở 2 tại TP Hồ Chí Minh ………8

1.2 Quá trình hình thành và phát triển của trung tâm……….8

1.3 Cơ cấu tổ chức ……… 11

1.4 Các sản phẩm, giải pháp……… 11

1.4.1 Các khóa học dài hạn………11

1.4.2 Các khóa học ngắn hạn……….11

1.4.2.1 Khóa quản trị mạng……… 11

1.4.2.2 Các sản phẩm khác ……… 12

1.4.3 Cơ sở hạ tầng………12

1.4.4 Các dịch vụ hỗ trợ………12

1.4.5 Khách hàng……… 13

1.4.6 Đối tác……… 13

2.CÁC NHIỆM VỤ VÀ DỊCH VỤ CỦA BỘ PHẬN THỰC TẬP………… 13

3.CÔNG VIỆC VÀ NHIỆM VỤ ĐƯỢC PHÂN CÔNG………13

4.THỜI GIAN THỰC TẬP……… 14

CHƯƠNG II : NGHIÊN CỨU VÀ TRIỂN KHAI VPN 1.TỔNG QUAN……….15

1.1 Định nghĩa……….15

1.3 Phân loại VPN……… 17

1.4 Ưu điểm và nhược điểm của VPN……… 20

1.5 Các dạng kết nối mạng riêng ảo ………21

1.5.1 Remote Access VPN… 22

1.5.2 Mạng VPN cục bộ ………23

1.5.3 Mạng VPN mở rộng……… 25

1.6 An toàn bảo mật của VPN trên Internet……… 27

1.6.1 Bảo mật trong VPN……… 27

1.6.2 Sự an toàn và tin cậy ………28

1.6.3 Hình thức an toàn ……….29

1.7 Các yếu tố cơ bản đối với một giải pháp VPN……….30

1.7.1 Tính tương thích……… 30

1.7.2 Tính bảo mật……….30

1.7.3 Tính khả dụng……… 31

1.7.4 Khả năng hoạt động tương tác……….31

2.CÁC GIAO THỨC KẾT NỐI TUNNEL TRONG VPN……… 31

2.1 Giao thức IPSEC………31

2.2 Giao thức Point to Point Tunneling Protocol……… 33

2.2.1 Khái quát về PPTP……… 33

2.2.2 Bảo mật trong PPTP……… 34

2.2.3 Ưu điểm và nhược điểm của PPTP………36

2.3 Giao thức L2TP……… 36

2.3.1 Khái niệm……….36

2.3.2 Ưu , nhược điểm điểm của L2TP……….37

2.3.3 Thiết lập kết nối tunnel……….38

3.1 Triển khai mô hình VPN site – to – site trên local ……… 40

3.2 Vai trò và chức năng của các thiết bị trong mô hình ………… 40

3.3 Tổng quan các bước thực hiện ……… 40

3.4 Tiến hành……….41

4.TRIỂN KHAI MÔ HÌNH VPN CLIENT – TO – SITE TRÊN MÔI TRƯỜNG INTERNET ( VPS )……… 78

4.1 Mô hình tổng quát……… 78

4.2 Tổng quan các bước thực hiện … 78

4.3 Tiến hành……… 78

CHƯƠNG III : TRIỂN KHAI DỊCH VỤ MAIL SERVER 1.GIỚI THIỆU VỀ MAIL SERVER… 93

1.1 Mail server……….93

2.TRIỂN KHAI MAIL SERVER TRÊN MÔI TRƯỜNG INTERNET VPS ……… 95

CHƯƠNG IV : TẠO WEB JOOMLA 1.GIỚI THIỆU VỀ JOOMLA………112

2.ỨNG DỤNG CỦA JOOMLA……… 113

3.TẠO WEB BẰNG JOOMLA 2.5………113

4.UPLOAD WEB JOOMLA LÊN HOST……….154

CHƯƠNG V : KẾT LUẬN……….159

TÀI LIỆU THAM KHẢO……… 160

LỜI MỞ ĐẦU

Hiện nay,Internet đang phát triển mạnh mẽ cả về mặt mô hình lẫn tổ

chức, đáp ứng khá đầy đủ các nhu cầu của người sử dựng Internet đã được thiết

kế để kết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sử

dụng một cách tự do và nhanh chóng.Để làm được điều này người ta sử dụng

một hệ thống các thiết bị định tuyến để kết nối các LAN và WAN với nhau.Các máy tính được kết nối vào Internet thông qua các nhà cung cấp dịch vụ ISP VớiInternet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnh vực và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên do Internet có

phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất

khó khăn trong việc bảo mật và an toàn dữ liệu, cũng như việc quản lý dịch vụ

Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phố

biến Không những vậy , nhiều doanh nghiệp còn triển khai đội ngũ bán hàng

đến tận người dùng Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài

nguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn

tài nguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên,

việc truy xuất cơ sỡ dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn , bảo mật

Bên cạnh đó các hình thức phá hoại mạng, cũng trở nên tinh vi và phức

tạp hơn Do đó đối với mỗi hệ thống, nhiêm vụ bảo mật được dặt ra cho người

quản trị là hết sức quan trọng và cần thiết xuất phát từ những thực tế đó, đã có

rất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính xuất hiện,

việc nắm bắt các công nghệ này là rất cần thiết

Tuy nhiên do Internet có phảm vi toàn cầu và không một tổ chức, chính

phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu

trong việc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng

mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng cơ sở hạ tầng

hiện có của Internet, đó chính là mô hình mạng riêng ảo VPN Với mô hình

này, người ta không phải đầu tư thêm nhiều vào cơ sở hạ tầng mà các tính năng bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt

động của mạng này VPN cho phép người sử dụng làm việc tại nhà , trên đường

đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức

bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanhvới nhân Trong nhiều trường hợp VPN cũng giống như WAN, tuy nhiên đặc

tính quyết định VPN là chúng có thể dùng mạng cộng đồng như Internet mà vẫnđảm bảo tính riêng tư và tiết kiệm chi phí đầu tư

Cùng với sự bùng nổ và phát triển của công nghệ thông tin thì việc trao

đổi thông tin đã trở nên dễ dàng hơn Một trong những cách để trao đổi thông

tin trên Internet không thể không nhắc tới vì lợi ích mà nó mang lại đó dịch vụ

mail server Nó có những lợi ích đang kể so với cách viết thư truyền thống giấy

và mực Một thông điệp, một tin nhắn, lới chúc mừng, hay văn bản,… Có thể

được gửi tại bất kì thời điểm nào , bất kì nơi nào một cách dễ dàng và nhanh

chóng gần như là ngay lập tức Đối với các doanh nghiệp, Mail server lại càng trở nên quan trọng hơn trong những mẫu tin quảng cao gửi tới nhiều khách

hàng, các bản hợp đồng gửi tới những đối tác trong nước hay ngoài nước , hay

các thông báo cho các nhân viên trong công ty …, với khả năng chuyển giao

nhanh chóng , chi phí rẻ thì đó là một sự lựa chọn không thể thiếu cho các

doanh nghiệp

Nhận thấy được tầm quan trọng của dịch vụ VPN và Mail server nên

trong đồ án báo cáo thực tập này em đã chọn : “ tìm hiểu và triển khai dịch vụ

VPN và triển khai dịch vụ mail server “.Về Sau còn bổ sung thêm phần Tạo

Web trên joomla Virtual Private Network ,Mail Server hay Web Joomla là

những vấn đề rộng rãi, mặc dù là sinh viên ngành quản trị mạng nhưng kinh

nghiệm làm việc và kỹ thuật còn hạn chế, nội dung của tài liệu còn có phần sai

sót nên mong thầy , cô, cùng các bạn đóng góp nhiều ý kiến bổ sung thêm để tôi

có thể hoàn thành đồ án này một cách chính xác

Trong quá trình xây dựng đồ án thực tập, tôi đã nhận được nhiều sự giúp

đỡ, góp ý từ các giảng viên của trung tâm Athena, trường đại học Gia Định Tôixin chân thành cảm ơn sự hướng dẫn của thầy Võ Đỗ Thắng và thầy Trần Bá

Nhiệm là những người thầy trực tiếp hướng dẫn báo cáo thực tập, giúp tôi có

thể hoàn thành tốt kỳ thực tập này Em xin chân thành cảm ơn !!!

CHƯƠNG I: CÔNG VIỆC THỰC TẬP 1.GIỚI THIỆU DOANH NGHIỆP THỰC TẬP – TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA

Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA , tiềnthân là Công ty TNHH Tư vấn và Đào tạo quản trị mạng Việt Năng, (tên thương hiệu

viết tắt là TRUNG TÂM ĐÀO TẠO ATHENA), được chính thức thành lập theo

giấy phép kinh doanh số 4104006757 của Sở Kế Hoạch Đầu Tư Tp Hồ Chí Minh cấpngày 04 tháng 11 năm 2008

Tên công ty viết bằng tiếng nước ngoài: ATHENA ADVICE TRAINING NETWORK SECURITY COMPANY LIMITED.

ATHENA là một tổ chức quy tụ nhiều trí thức trẻ Việt Nam đầy năng động, nhiệt

huyết và kinh nghiệm trong lĩnh vực công nghệ thông tin Với quyết tâm góp phần vào

công cuộc thúc đẩy tiến trình tin học hóa của nước nhà ATHENA đã và đang tập

trung chủ yếu vào các họat động sau:

 Đào tạo chuyên sâu quản trị mạng, an ninh mạng, thương mại điện tử theo cáctiêu chuẩn quốc tế của các hãng nổi tiếng như Microsoft, Cisco, Oracle, Linux LPI ,

CEH, Song song đó, trung tâm ATHENA còn có những chương trình đào tạo cao

cấp dành riêng theo đơn đặt hàng của các đơn vị như Bộ Quốc Phòng, Bộ Công An ,ngân hàng, doanh nghiệp, các cơ quan chính phủ, tổ chức tài chính Qua đó cung cấpnguồn nhân lực trong lĩnh vực công nghệ thông tin, đặc biệt là chuyên gia về mạngmáy tính và bảo mật mạng đạt trình độ quốc tế cho các tổ chức, doanh nghiệp có nhucầu

 Tư vấn và hổ trợ cho doanh nghiệp ứng dụng hiệu quả tin học vào hoạt độngsản xuất kinh doanh

 Tiến hành các hoạt động nghiên cứu nâng cao kiến thức tin học và phát triển cơ

sở dữ liệu thông tin về các ứng dụng và sự cố mạng

 Tiến hành các dịch vụ ứng cứu khẩn cấp cho doanh nghiệp trong trường hợpxảy ra sự cố máy tính

Sau gần 10 năm hoạt động,nhiều học viên tốt nghiệp trung tâm ATHENA đã là

chuyên gia đảm nhận công tác quản lý hệ thống mạng, an ninh mạng cho nhiều bộngành như Cục Công Nghệ Thông Tin - Bộ Quốc Phòng , Bộ Công An, Sở Thông TinTruyền Thông các tỉnh, bưu điện các tỉnh,…

Ngoài ra, Trung tâm ATHENA còn có nhiều chương trình hợp tác và trao đổi

công nghệ với nhiều đại học lớn như đại học Bách Khoa Thành Phố Hồ Chí Minh,HọcViệnAn Ninh Nhân Dân( Thủ Đức), Học Viện Bưu Chính Viễn Thông, Hiệp hội

an toàn thông tin (VNISA), Viện Kỹ Thuật Quân Sự

1.1 Trụ sở và các chi nhánh:

1.1.1 Trụ sở chính:

Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA

Số 2 Bis Đinh Tiên Hoàng, Phường Đa Kao, Tp Hồ Chí Minh, Việt Nam

Điện thoại: ( 84-8 ) 3824 4041

Hotline: 0943 23 00 99

1.1.2 Cơ sở 2 tại TP Hồ Chí Minh:

Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA

92 Nguyễn Đình Chiểu ,Phường Đa Kao,Quận 1, Tp Hồ Chí Minh, Việt Nam

Website: www.Athena.Edu.Vn

Điện thoại: ( 84-8 ) 2210 3801

Hotline: 0943 20 00 88

1.2 Quá trình hình thành và phát triển của trung tâm:

 Một nhóm các thành viên là những doanh nhân tài năng và thành công tronglĩnh vực công nghệ thông tin đã nhận ra tiềm năng phát triển của việc đào tạo nềncông nghệ thông tin nước nhà Họ là những cá nhân có trình độ chuyên môn cao và cóđầu óc lãnh đạo cùng với tầm nhìn xa về tương lai của ngành công nghệ thông tintrong tương lai, họ đã quy tụ được một lực lượng lớn đội ngũ công nghệ thông tin

cầu Bước phát triển tiếp theo là vươn tầm đào đạo đội ngũ cán bộ công nghệ thông tincho đất nước và xã hội.

 Các thành viên sáng lập trung tâm gồm:

o Ông Nguyễn Thế Đông: Cựu giám đốc trung tâm ứng cứu máy tínhAthena, hiện tại là giám đốc dự án của công ty Siemen Telecom

o Ông Hứa Văn Thế Phúc: Phó Giám đốc Phát triển Thương mại Công tyEIS, Phó Tổng công ty FPT

o Ông Nghiêm Sỹ Thắng: Phó Tổng giám đốc Ngân hàng Liên Việt, chịutrách nhiệm công nghệ thông tin của Ngân hàng

o Ông Võ Đỗ Thắng: Hiện đang là giám đốc Trung tâm đào tạo quản trị và

an ninh mạng Athena

 Đến năm 2003, bốn thành viên sáng lập cùng với với đội ngũ ứng cứu máytính gần 100 thành viên hoạt động như là một nhóm, một tổ chức ứng cứu máy tínhmiền Nam

 Từ năm 2004- 2006: Trung tâm có nhiều bước phát triển và chuyển mình.Trung tâm trở thành một trong những địa chỉ tin cậy của nhiều doanh nghiệp nhằm càiđặt hệ thống an ninh mạng và đào tạo cho đội ngũ nhân viên của các doanh nghiệp vềcác chương trình quản lý dự án MS Project 2003, kỹ năng thương mại điện tử, bảomật web… và là địa chỉ tin cậy của nhiều học sinh_sinh viên đến đăng kí học Đòi hỏicấp thiết trong thời gian này của Trung tâm là nâng cao hơn nữa đội ngũ giảng viêncũng như cơ sở để đáp ứng nhu cầu ngày càng cao về công nghệ thông tin của đấtnước nói chung, các doanh nghiệp, cá nhân nói riêng.Năm 2004, công ty mở rộng hoạtđộng cung cấp giải pháp, dịch vụ cho khu vực miền Trung thông qua việc thành lậpvăn phòng đại diện tại Đà Nẵng

 Đến năm 2006: Trung tâm đào tạo quản trị và an ninh mạng Athena mở ra

ngũ giảng viên là những chuyên gia an ninh mạng tốt nghiệp các trường đại học vàhọc viện công nghệ thông tin uy tín trên toàn quốc, đồng thời trong thời gian nàyAthena có nhiều chính sách ưu đãi nhằm thu hút đội ngũ nhân lực công nghệ thông tinlành nghề từ các doanh nghiệp, tổ chức, làm giàu thêm đội ngũ giảng viên của trungtâm.

 Đến năm 2008: Hàng loạt các trung tâm đào tạo quản trị và an ninh mạng mọclên, cùng với khủng hoảng kinh tế tài chính toàn cầu đã làm cho Trung tâm rơi vàonhiều khó khăn Ông Nguyễn Thế Đông cùng Ông Hứa Văn Thế Phúc rút vốn khỏicông ty gây nên sự hoang man cho toàn bộ hệ thống trung tâm Cộng thêm chi nhánhtại Cư xã Nguyễn Văn Trỗi hoạt động không còn hiệu quả phải đóng cửa làm chotrung tâm rơi từ khó khăn này đến khó khăn khác Lúc này, với quyết tâm khôi phụclại công ty cũng như tiếp tục sứ mạng góp phần vào tiến trình tin học hóa của đấtnước Ông Võ Đỗ Thắng mua lại cổ phần của hai nhà đầu tư lên làm giám đốc và xâydựng lại trung tâm Đây là một bước chuyển mình có ý nghĩa chiến lược của trungtâm Mở ra một làn gió mới và một giai đoạn mới, cùng với quyết tâm mạnh mẽ vàmột tinh thần thép đãgiúp ông Thắng vượt qua nhiều khó khăn ban đầu, giúp trungtâm đứng vững trong thời kì khủng hoảng

 Từ năm 2009 – nay: Cùng với sự lãnh đạo tài tình và đầu óc chiến lược Trungtâm đào tạo quản trị và an ninh mạng dần được phục hồi và trở lại quỹ đạo hoạt độngcủa mình Đến nay, Trung tâm đã trở thành một trong những trung tâm đào tạo quảntrị mạng hàng đầu Việt Nam Cùng với sự liên kết của rất nhiều công ty, tổ chứcdoanh nghiệp, trung tâm trở thành nơi đào tạo và cung cấp nguồn nhân lực công nghệthông tin cho xã hội Từng bước thực hiện mục tiêu góp phần vào tiến trình tin họchóa nước nhà

1.3 Cơ cấu tổ chức:

Sơ đồ tổ chức công ty

- Quản trị mạng Microsoft căn bản ACBN

- Phần cứng máy tính, laptop, server

- Quản trị hệ thống mạng Microsoft MCSA Security

- Quản trị mạng Microsoft nâng cao MCSE

- Quản trị window Vista

- Quản trị hệ thống Window Server 2008, 2012

- Quản trị mạng quốc tế Cissco CCNA

- Quản trị hệ thống mạng Linux 1 và Linux 2

Khóa thiết kế web và bảo mật mạng

- Xây dựng, quản trị web thương mại điện tử với Joomla và VirtuMart

- Lập trình web với Php và MySQL

- Bảo mật mạng quốc tế ACNS

- Hacker mũ trắng

- Athena Mastering Firewall Security

- Bảo mật website

1.4.2.2 Các sản phẩm khác

- Chuyên đề thực hành sao lưu và phục hồi dữ liệu

- Chuyên đề thực hành bảo mật mạng Wi_Fi

- Chuyên đề Ghost qua mạng

- Chuyên đề xây dựng và quản trị diễn đàn

- Chuyên đề bảo mật dữ liệu phòng chống nội gián

- Chuyên đề quản lý tài sản công nghệ thông tin

- Chuyên đề kỹ năng thương mại điện tử

1.4.3 Cơ sở hạ tầng

- Thiết bị đầy đủ và hiện đại

- Chương trình cập nhật liên tục, bảo đảm học viên luôn tiếp cận với những côngnghệ mới nhất

- Phòng máy rộng rãi, thoáng mát

1.4.4 Các dịch vụ hỗ trợ:

- Đảm bảo việc làm cho học viên tốt nghiệp khoá dài hạn

- Giới thiệu việc làm cho mọi học viên

- Thực tập có lương cho học viên khá giỏi

- Ngoài giờ học chính thức, học viên được thực hành thêm miễn phí, không giới

- Hỗ trợ kỹ thuật không thời hạn trong tất cả các lĩnh vực liên quan đến máy tính,mạng máy tính, bảo mật mạng

- Hỗ trợ thi Chứng chỉ Quốc tế

1.4.5 Khách hàng :

- Mọi đối tượng chuyên hoặc không chuyên về CNTT

- Khách hàng chủ yếu của ATHENA là các bạn học sinh, sinh viên và các cán bộ

công nhân viên chức yêu thích lĩnh vực công nghệ thông tin

1.4.6 Đối tác:

Trung tâm đào tạo an ninh mạng ATHENA là đối tác đào tạo & cung cấp nhân

sự CNTT, quản trị mạng , an ninh mạng chất lượng cao theo đơn đặt hàng cho các đơn

vị như ngân hàng, doanh nghiệp, các cơ quan chính phủ, tổ chức tài chính

3 CÔNG VIỆC VÀ NHIỆM VỤ ĐƯỢC PHÂN CÔNG

 Nghiên cứu các dịch vụ mạng trên Windows Server 2008

 Triển khai các dịch vụ mạng trên Windows Server 2008

 Yêu cầu nhiệm vụ: Có kiến thức tốt về Network, System, Security

4 THỜI GIAN THỰC TẬP

Từ ngày 24/02/2014 đến ngày 04/04/2014

CHƯƠNG II : NGHIÊN CỨU VÀ TRIỂN KHAI VPN

1 Tổng quan

1.1 Định nghĩa

VPN - Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1

mạng công cộng hoạt động giống như 1 mạng cục bộ, có cùng các đặc tính như bảo

mật và tính ưu tiên mà người dùng từng ưu thích VPN cho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng.Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều loại đường dây riêng… Trong khi đó VPN không bị những rào cản về chi phí như các mạng WAN do được thực hiện qua một mạng công cộng.

Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứngnhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí Trước đây, để truy cập

từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access

quay số dựa trên mạng điện thoại Phương thức này vừa tốn kém vừa không an toàn.VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia

sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng

(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng

LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuêbao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của

một tổ chức với địa điểm hoặc người sử dụng ở xa

Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường

thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên

ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí vàthời gian

1.2 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN) bắt đầu từyêu cầu của khách hàng (client), mông muốn có thể kết nối một cách có hiểu quả vớicác tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN) Trướckia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng cácđường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin vớinhau

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Francho Telecom đưa ra dịch vụ Colisee có thể cung cấpphương thức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượng dịch

vụ mà đưa ra cước phí và nhiều tính năng quản lý khác

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tênriêng là mạng được định nghĩa bằng phần mềm SDN

- Năm 1986, Sprint đưa ra Vnet, Telefornica Tây Ban Nha đưa raIbercom

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một

số doanh nghiệp vừa và nhỏ có thể sử dụng dịch vụ VPN và đã tiết kiệm được 30%chi phí Điều này đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telestracủa Ô-xtray-li-a đưa ra dịch vụ VPN trong nước đầu tiên ở khu vực châu Á-Thái BìnhDương

- Năm 1992, Viễn thông Hà Lan và Telia Thủy Điển thành lập công tyhợp tác đầu tư Unisoure, cung cấp dịch vụ VPN

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lậpliên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch

tổ chức có nhiều văn phòng, chi nhánh lựa chọn

Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngàymột hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện Hiện nay, VPNkhông chỉ dùng cho các dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh

và các dịch vụ đa phương tiện

1.3 Phân loại VPN

Có hai loại VPN phổ biến hiện nay là VPN truy cập từ xa (Remote Access) vàVPN điểm nối điểm (site-to-site)

- VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (Virtual private

Dial-up Network - VPDN ), là một thiết kế nối người dùng đến LAN, thường là nhucầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rấtnhiều địa điểm ở xa Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến mộtnhà cung cấp dịch vụ doanh nghiệp (ESP) ESP này tạo ra một máy chủ truy cập mạng(NAS) và cung cấp cho những người dùng từ xa một phần mềm máy khách cho máytính của họ Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS vàdùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPNnày cho phép các kết nối an toàn, có mật mã

- VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kết nối

nhiều điểm cố định với nhau thông qua một mạng công cộng như mạng Internet Loạinày có thể dựa trên Intranet và Extranet Loại dựa trên Intranet: Nếu một công ty cóvài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra mộtVPN Intranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet : Khi mộtcông ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp,khách hàng,… ), họ có thể xây dựng một VPN Extranet (VPN mở rộng) kết nối LANvới LAN để nhiều tổ chức khác nhau có thể làm việc trên cùng một môi trường chung

Mô hình VPN Site-to-site

Lợi ích của VPN :

Lợi ích cho công ty:

+ Mở rộng kết nối ra nhiều khu vực và cả thế giới

+ Tăng cường an ninh mạng

+ Giảm chi phí so với việc thiết lập mạng WAN truyền thống

+ Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khảnăng tương tác

+ Đơn giản hóa mô hình kiến trúc mạng

 Đối với nhà cung cấp dịch vụ:

+ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ giatăng giá trị khác kèm theo

+ Tăng hiệu quả sự dụng mạng Internet hiện tại

+ Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng, đây là một yếu tốquan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàngđặc biệt là các khách hàng lớn

+ Đầu tư không lớn đem lại hiệu quả cao

+ Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ Thiết bị sửdụng cho mạng VPN

 Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất

kỳ sự xáo trộn nào trong quá trình truyền dẫn

 Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền quamạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, khôngmột ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thìcũng không đọc được

 Điều khiển truy cập : hạn chế được việc đạt được quyền truy cập vào mạng củanhững người dùng bất hợp pháp.

1.4 Ưu điểm và nhược điểm của VPN.

Ưu điểm:

Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty, tổ chức, giúpđơn giản hóa việc trao đổi thông tin giữa các nhân viên làm việc ở xa, người dùng lưuđộng, mở rộng Intranet đến từng văn phòng …

 Tiết kiệm chi phí: việc sử dụng VPN sẽ giúp các công ty giảm được chi phí

đầu tư và chi phí thường xuyên nhiều số liệu cho thấy, giá thành cho việc kết nốiLAN-to-WAN giảm từ 20 tới 30% so với việc sử dụng đương thuê riêng truyền thống,còn đối với việc truy cập từ xa giảm từ 60 tới 80%

 Tính linh hoạt: tính linh hoạt ở đây không chỉ thể hiện trong quá trình vận

hành và khai thác mà nó còn thực hiện mềm dẻo đối với yêu cầu sử dụng khách hàng

có thể sử dụng

 Khả năng mở rộng: Do VPN được xây dụng dựa trên có sở hạ tầng mạng

công cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet ) điều có thể triểnkhai VPN Dễ dàng mở rộng băng thông hay gỡ bỏ VPN khi không có nhu cầu

 Giảm thiểu các hỗ trợ kỹ thuật: việc chuẩn hóa trên một kiểu kết nối đối

tượng di động đến một POP của ISP và việc chuẩn hóa các yêu cầu về bảo mật đã làmgiảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN

 Giảm thiểu các yêu cầu về thiết bị: bằng việc cung cấp một giải pháp truy

nhập cho các doanh nghiệp qua đường Internet, việc yêu cầu về thiết bị ít hơn và đơngiản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích cho thiết

bị đầu cuối và các máy chủ truy nhập từ xa

 Đáp ứng nhu cầu thương mại: Đối với các thiết bị và công nghệ viễn thông

mới thì những vấn đề cần quan tâm là chuẩn hóa, các khả năng quản trị, mở rộng vàtích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năngthương mại của sản phẩm

Nhược điểm:

 Phụ thuộc nhiều vào chất lượng của mạng Internet: Sự quả tải hay tắc nghẽn

mạng làm ảnh hưởng đến chất lượng truyền thông tin

 Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kỹ

thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainfames) và cácthiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPNs không phùhợp được với các thiết bị và giao thức)

 Vấn đề an ninh: Một mạng riêng ảo thường rẻ và hiệu quả hơn so với các giải

pháp sử dụng kênh thuê riêng Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ning khólường trước và do đó sự an toàn sẽ không là tuyệt đối

 Độ tin cậy và thực thi: VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu,

và các hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khánặng

1.5 Các dạng kết nối mạng riêng ảo

 Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản

- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thờigian nào

- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cungcấp hay các thực thể ngoài khác là đều quan trọng đối với tổ chức hay cơ quan

 Dựa vào những yêu cầu cơ bản trên VPN được chia thành:

- Mạng VPN truy cập từ xa (Remote Access VPN)

di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đếnmạng Intranet hợp tác

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận vàchứng nhận các yêu cầu gửi tới.

Quay số kết nói đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu

ở khá xa so với trung tâm

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợtruy cập từ xa bởi người dung

Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các chinhánh văn phòng chỉ cần cài đặt một số kết nối cục bộ đến nhà cung cấp dịch vụ ISPhoặc các ISP’s POP và kết nối đến tài nguyên thông qua Internet Thông tin RemoteAccess Setup được mô tả bởi hình vẽ sau:

Minh họa một Remote Access

Ưu và nhược điểm của Remote Access VPN

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc

độ cao hơn các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

hỗ trợ mức thấp nhất của dịch vụ kết nối

o Nhược điểm :

- Remote Access VPNs cũng không đảm bảo được chất lượng phục vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói tin dữ liệu

có thể đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hóa , protocol overheal tăng đáng kể, điềunày gây khó khăn cho quá trình xác nhận thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các gói dữ liệu lớnnhư các gỡi dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng dich

vụ Bởi vì thuật toán mã hóa phức tạp, nên tiêu đề giao thức tăng một cách đáng kể.Thêm vào đó việc nén dữ liệu IP xẩy ra chậm

- Do qua trình truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớnthì sẽ rất chậm

1.5.2 Mạng VPN cục bộ (Intranet VPN)

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khácnhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trênmột cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo mật Điều này chophép tất cả các địa điểm có thể truy cập an toàn các nguồn dữ liệu được phép trongtoàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều giao thức khác nhau với chi phí thấp nhưngvẫn bảo đảm được tính mềm giẻo Kiểu VPN này thường được cấu hình như một VPNSite-to Site

Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ

thuật VPN thì ở mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campusrouter

Mô hình Intranet

Hệ thống có chi phí cao bởi có ít nhất là 2 router cần thiết để kết nối Sự vậnhành, bảo trì và quản lý intranet yêu cầu chi phí phụ thuộc vào lưu lượng truyền tải tincủa mạng và diện tích địa lý của mạng intranet

Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backbone được thaythế bằng chi phí thấp của kết nối internet, qua đó tổng chi phí cho mạng intranet sẽgiảm xuống

Những ưu điểm của mạng VPN cục bộ:

- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình Wanbackbone

- Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,các trạm ở một số Remote site khác nhau

- Bởi vì internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấpnhững kết nối mới ngang hàng

- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dich vụ,loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho

Các nhược điểm của mạng VPN cục bộ

- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộngInternet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ ( denial-of-server) vẫn còn là một mối đe dọa an toàn thông tin

- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao

- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tinmilltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do đươc truyền thông qua Internet

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên,

và QoS cũng không được bảo đảm

1.5.3 Mạng VPN mở rộng ( Extrnet VPN )

Không giống như Intranet và Remote Access-based, Extranet không hoàn toàncách ly từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyênmạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp,đối tác những người giữ vai trò quan trọng trong tổ chức

Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kếthợp lại với nhau để tạo ra một Extranet Điều này làm cho khó triển khai và quản lý

do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì vàquản trị Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn

bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽ có nhữngvấn đề về bạn gặp bất thình lình khi kết nối một Intranet vào một mạng Extranet.Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiếtkết và quản trị mạng

Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hình Extranettruyền thống Sự bùng nổ của VPN giúp cho nhiệm vụ cài đặt của mạng ngoài trở nên

dễ dàng hơn và giảm chi phí Thiết kế Extranet VPN được mô tả như dưới

Extranet xây dựng trên VPNMột số thuận lợi của Extranet

- Do hoạt động trên môi trường Intranet, bạn có thể lựa chọn nhà phân phối khilựa chọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ chức

- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp của tổchức

- Dễ dàng triển khai, quản lý và sửa chữa thông tin

Một số bất lợi của Extranet

- Sự đe dọa về tính an toàn, như bị tấn công bằng tù chối dịch vụ vẫn còn tồn tại

- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổidiễn ra chậm chạp

- Do dựa trên internet, QoS cũng không được đảm bảo thường xuyên

1.6 An toàn bảo mật của VPN trên Internet

1.6.1 Bảo mật trong VPN

Tường lửa (firewall)

Là rào chẵn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập cáctường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua.Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộpnhững tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thíchhợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.

Mật mã truy cập

Là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ cómáy đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung

Mật mã riêng (Symmetric-Key Encryption)

Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máytính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với nhữngmáy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mãđược

Mật mã chung (Public-Key Encryption)

Kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạn nhậnbiết, còn mã chung thì do máy bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách antoàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tínhnguồn cung cấp, đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại nàyđược dùng phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất

cứ thứ gì

Giao thức bảo mật giao thức Internet (IPSec)

Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn,quá trình thẩm định quyền đăng nhập toàn diện hơn

IPSec có hai cơ chế mã hóa là Tunnel và Transport

Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ

mã hóa kích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng đượcgia thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã nguồn khóa chung vàcác tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể

mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router,

Pc với router, Pc với máy chủ

 Máy chủ AAA

AAA là viết tắt của ba chữ Authentication ( thẩm định quyền truy cập)Authorization (cho phép) và Accounting ( kiểm soát ) Các server này được dùng đểđảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập mộ kết nối được gửi tới từ máykhác, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt động củangười sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.

1.6.2 Sự an toàn và tin cậy:

Sự an toàn của một hệ thống máy tính là một bộ phận của khả năng bảo trì một

hệ thống đáng tin cậy được Thuộc tính này của một hệ thống được viện dẫn như sựđáng tin cậy

Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

- Tính sẵn sàng: khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thờigian Tính sẵn sàng thường được thực hiện qua những hệ thống phần cứng dự phòng

- Sự tin cậy: Nó định nghĩa xác xuất của hệ thống thực hiện các chức năng của

nó trong một chu kỳ thời gian Sự tin cậy khác với tĩnh sẵn sàng, nó được đo trong cảmột chu kỳ của thời gian, nó tương ứng tới tính liên tục của một dịch vụ

- Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nóchính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại nàoxuất hiện

- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất

cả các tài nguyên của hệ thống

Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn bảo đảm an toàn ởbất kỳ thời gian nào Nó bảo đảm không một sự va chạm nào mà không cảnh báothông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:

- Tính bí mật

- Tính toàn vẹn

Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổitrong một ứng xử không hơp pháp trong thời gian tồn tại của nó Tính sẵn sàng, sự antoàn và an ninh là những thành phần phụ thuộc lẫn nhau Sự an ninh bảo vệ hệ thốngkhỏi những mối đe dọa và sự tấn công Nó đảm bảo một hệ thống an toàn luôn sẵnsàng và đáng tin cậy

1.6.3 Hình thức an toàn

Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó.

Có 3 kiểu khác nhau của sự an toàn:

 Sự an toàn phần cứng

 Sự an toàn thông tin

 Sự an toàn quản trị

An toàn phần cứng: Những đe dọa và tấn công có liên quan tới phần cứng của hệ

thống, nó có thể được phân ra vào 2 phạm trù:

 Sự an toàn vật lý

 An toàn bắt nguồn

Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe dọa vật lýbên ngoài như sự can thiệp, mất cắp thông tin, động đất và ngập lụt Tất cả nhữngthông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cần sự bảo vệchống lại tất cả những sự bảo vệ này

An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần

cứng và sự kết hợp của phần cứng và phần mềm Nó có thể được chia vào sự an toàn

và truyền thông máy tính Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượngchống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế điềukhiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế phần cứng,

kỷ thuật, mã hóa… Sự an toàn truyền thông bảo vệ đối tượng truyền

An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe dọa mà con

người lợi dụng tới một hệ thống máy tính Những mối đe dọa này có thể là hoạt độngnhân sự Sự an toàn nhân sự bao trùm việc bảo vệ của những đối tượng chống lại sựtấn công tù những người dùng ủy quyền

Mỗi người dùng của hệ thống của những đặc quyền để truy nhập những tàinguyên nhất định Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lạinhững người dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm dụngnhững đặc quyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để nó thực sự

là một cơ chế bảo vệ sự an toàn hệ thống Thống kê cho thấy những người dùng ủyquyền có tỷ lệ đe dọa cao hơn cho một hệ thống máy tính so với từ bên ngoài tấncông Những thông tin được thống kê cho thấy chỉ có 10% của tất cả các nguy hạimáy tính được thực hiện từ bên ngoài hệ thống, trong khi có đến 40% là bởi những

1.7 Các yếu tố cơ bản đối với một giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

1.7.1 Tính tương thích (Compatibility):

Mỗi công ty, mỗi doanh nghiệp điều được xây dựng các hệ thống mạng nội bộ vàdiện rộng của riêng mình dựa trên các thủ tục khác nhau và không tuân thủ theo mộtchuẩn nhất định của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sửdụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet Để có thể sửdụng được IP VPN tất cả các hệ thống mạng riêng điều phải được chuyển sang một hệthống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạokênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi cácthử tục khác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khichọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có củahọ

1.7.2 Tính bảo mật (Security)

Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với giải phápVPN Người sử dụng cần được bảo đảm các dữ liệu thông qua mạng VPN đạt đượcmức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ xây dựng vàquản lý Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:

- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩucho người sử dụng trong mạng và mã hóa dữ liệu truyền

- Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện vàđơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cung nhưquản trị hệ thống

1.7.4 Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng cáctiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hóa một cách toàndiện, các nhà sản xuất thiết kế vẫn phát triển các tiêu chuẩn kỷ thuật tiêng của mình

Vì vậy cần chú ý lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũngnhư đảm bảo tính đồng bộ của thiết bị sử dụng Trên thế giới hiện có tới 60 giả phápkhác nhau liên quan đến

2 CÁC GIAO THỨC KẾT NỐI TUNNEL TRONG VPN

Trong VPN có 3 giao thức chính để xây dựng một mạng riêng ảo hoàn chỉnh đó là:

- IPSEC (IP Security)

- PPTP (Point to Point Tuneling Protocol)

- L2TP (Layer 2 Tunneling Protocol)

Tùy vào từng ứng dụng và mục đích cụ thể mà mỗi giao thức có thể có những ưu nhược điểm khác nhau khi triển khai vào mạng VPN

Trong đồ án này sẽ thực hiện triển khai mô hình VPN trên máy ảo sử dụng giao thức PPTP nên chúng ta sẽ chỉ đi sâu nghiên cứu giao thức PPTP

2.1 Giao thức IPSEC

IPSEC là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữliệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham giaVPN Các thiết bị này có thể là các host hoặc các Sercurity Gateway (Router,Firewalls, VPN concentralor,…) hoặc là giữa một host và một Gateway như trongtrường hợp Remote Access VPN IPSEC bảo vệ đa luồng dữ liệu giữa các Peers, và 1Gateway có thể hỗ trợ đồng thời nhiều nguồn dữ liệu

IPSEC hoạt động ở lớp mạng và sử dụng giao thức Internet Key Exchange (IKE)

để thỏa thuận các giao thức giữa các bên tham gia và IPSEC sẽ phát khóa mã hóa vàxác thực để dùng

Vị trí của IPSEC trong mô hình OSI

Ưu , nhược điểm của IPSEC

o Ưu điểm:

- Khi IPSEC được triển khai trên bức tường lửa hoặc bộ định tuyến của mộtmạng riêng, thì tính năng an toàn của IPSEC có thể áp dụng cho toàn bộ vào ra mạngriêng đó mà các thành phần khác không cần phải sử lý thêm các công việc liên quanđến bảo mật

- IPSEC được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trongsuốt đối với các lớp này Do vậy không cần phải thay đổi phần mềm hay cấu hình lạicác dịch vụ khi IPSEC được triển khai

- IPSEC có thể được cấu hình để hoạt động một cách trong suốt đối với các ứngdụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phứt tạp mà người dùngphải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet

o Nhược điểm:

- Tất cả các gói được xử lý theo IPSEC sẽ bị tăng kích thước do phải thêm vàocác tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảmxuống Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa,song các kỹ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa

- IPSEC được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ cácdạng lưu lượng khác

- Việc tính toán nhiều giải thuật phức tạp trong IPSEC vẫn còn là một vấn đề khóđối với các trạm làm việc và máy PC năng lực yếu.

- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối vớichính phủ một số quốc gia

2.2 Giao thức Point-to-Point Tunneling Protocol (PPTP)

2.2.1 Khái quát về PPTP

PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa Remote Client

và Enterprise Server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạngtrung gian Được phát triển bởi PPTP Consortium (Microsoft Corporation, AscendCommunications, 3COM, US Robotics, và ECI Telematics) , PPTP được đưa ra dựatrên yêu cầu VPNs thông qua mạng trung gian không an toàn PPTP không những tạo

ra điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môitrường mạng chung, mà còn qua mạng riêng intranet

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm chonhững kết nối từ xa Giao thức PPTP là một sự mở rộng của giao thức PPP cơ bản chonên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà có nó chỉ hỗtrợ kết nối từ điểm tới điểm

Mô hình VPN sử dụng giao thức PPTPPPTP chỉ hỗ trợ IP, IPX, Net BEUI, PPTP không làm thay đổi PPP mà nó chỉ là

Minh họa một gói tin PPTP

PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu Thay vì nó dùng dịch vụ

mã hóa được đưa ra bởi PPP PPP lần lượt dùng Microsoft Point-to-Point Encryption(MPPE), đây là phương pháp mã hóa shared secret

Phương pháp shared secret thường dùng trong mục đích mã hóa trong trường hợpPPP là ID của người dùng và nó tương ứng với mật khẩu 40-bit session key thườngdùng để mã hóa user Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4.Khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel Tuy nhiên, 40-bit key thì quá ngắn và quá yếu kém đói với các kĩ thuật hack ngày nay Vì thế, phiênbản 128-bit key ra đời Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làmtươi sau 256 gói packet

- CHAP ( Microsoft Challenge Handshake Authentication Protocol) CHAP là một phiên bản tùy biến của Microsoft của CHAP và được dùng làm phươngpháp xác nhận cơ bản cho PPP Bởi vì nó tương đối mạnh như CHAP, chức năng củaMS-CHAP thì hoàn toàn tương tự CHAP Hai điểm khác nhau chính giữa hai cơ chếnày là CHAP dựa trên thuật toán hàm băm RSA MD5, MS-CHAP thì dựa trên RSARC4 và DES Vì lý do thực tế MS-CHAP đã phát triển đơn độc cho các sản phẩm củaMicrosoft ( Windows 9x và một số phiên bản Windows NT), nó không được hổ trợbởi các nền tảng khác.

MS PAP ( Pasword Authentication Protocol) PAP là phương pháp đơn giản vàthương được triển khai nhiều nhất trong giao thức xác nhận quay số Nó cũng dùng đểcác nhận các kết nối PPP Tuy nhiên, nó gửi user ID và mật khẩu trong một định dạngchưa mã hóa thông qua kết nối Một kẻ hở khác của PAP là chie xác nhận 1 lần điêmtthông tin cuối ở giai đoạn thiết lập kết nối Vì lý do đó, nếu một hacker xâm nhập vàokết nối được một lần, anh ta sẽ không phải lo lắng gì hơn nữa về xác nhận Chính vì lý

do đó, PAP được xem là một giao thức xác nhận kém nhất và vì thế nó không được ưuthích trong cơ chế xác nhận của VPN

 Điều kiện truy cập PPTP

Sau khi PPTP Client từ xa được xác nhận thành công, nó sẽ truy csspj vào tàinguyên mạng đã bị giới hạn bới lý do bảo mật, Để đạt được mục tiêu này, có thể triểnkhai một số cơ chế điều khiển truy cập sau:

2.2.3 Ưu điểm và nhược điểm của PPTP.

 Ưu điểm chính của PPTP:

 PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft( các sản phẩm được sử dụng rất rộng rãi)

 PPTP có thể hỗ trợ các giao thức non- IP

 PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux vàApple’sMacintosh Các nền không hổ trợ PPTP có thể các dịch vụ của PPTP bằngcách sử dụng bộ định tuyến được cài đặt sắn khả năng của máy khách PPTP

 Nhược điểm của PPTP:

 PPTP bảo mật yếu hơn so với kỷ thuật L2TP và IPSec

 PPTP phụ thuộc nền

 PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh

 Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng nhưmáy chủ truy cập từ xa cũng phải cấu hình trong trường hợp sử dụng các giải phápđịnh tuyến bằng đường quay số

Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóavới mã khóa phát sinh từ password của user Điều náy càng nguy hiểm hơn khipassword được gửi trong môi trường không an toàn để chứng thực Giao thức đườnghầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo mật

2.3 Giao thức L2TP

2.3.1 Khái niệm:

L2TP là một kỹ thuật này sinh để cung cấp một kết nối từ xa tới một Intranet củamột tập đoàn hay tổ chức L2TP là giao thức được phát triển hòa trộn giữa hai giaothức L2F và PPTP

Cấu trúc L2TP

IP

Header HeaderUDP HeaderL2TP HeaderPPP (IP Datagram, IPX Datagram)PPP Payload

PPP Frame L2TP Frame UDP Frame

L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua giaothức điểm nối điểm PPP Đường hầm có thể bắt đầu được tạo ra giữa người dùng từ xatới người cung cấp dịch vụ.

Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng trongmột mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đó là tất cảcác giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy Hơn nữa, L2TP cungcấp sự hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ đồ kết nối thôngqua Internet

2.3.2 Ưu , nhược điểm của L2TP

 Ưu điểm:

- L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng.Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết Non-IP của mạng WAN màkhông cần IP

- Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP Do đó nó không yêu cầu

bổ sung cấu hình của user từ xa và ISP

- L2TP cho phép tổ chức kiểm soát chứng thực User

- L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải

Do đó giao tác trên L2TP nhanh hơn giao tác trên L2F

- L2TP cho phép user với địa chỉ IP chưa được đăng ký có thể truy nhập mạng từ xathông qua mạng công cộng

- L2TP tăng cường bảo mật bằng cách mã hóa dữ liệu dựa trên đường hầm IPSECtrong suốt và khả năng chứng thực gói của IPSEC

 Khuyết điểm:

- L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEC để chứng thực từng gói nhậnđược

- Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm

bộ định tuyến và máy phục vụ truy cập từ xa

2.3.2 Thiết lập kết nối tunnel

Các loại giao thức

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêngtrên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớptiêu đề chứa các thông tin đinh tuyến có thể truyền qua hệ thống mạng trung gian theonhững đường ống riêng.

Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến cácmáy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máychủ

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.Hai điểm đầu cuối này được gọi là giao diện Tunnel ( Tunnen Interface), nơi gói tin đivào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau

Giao thức truyền tải ( Carrier Protocol) là giao thức được sử dụng bởi mạng

có thông tin đi qua

Giao thức mã hóa dữ liệu ( Encapsulating Protocol) là giao thức ( như GRE,IPSec, L2F, PPTP, L2TP) được bao quanh gói dữ liệu gốc

Giao thức gói tin (Pass enger Protocol ) là giao thức của dữ liệu được truyền

đi ( như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trênInternet bên trong một gói IP và gửi nó an toàn qua mạng Internet Hoặc, họ có thểđặt một gói tin dùng địa chỉ IP riêng ( không định tuyến) bên trong một gói khác dùngđịa chỉ IP chung ( định tuyến) để mở rộng một mạng riêng trên Internet

Kỹ thuật tunneling trong mạng VPN truy cập từ xa

Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN, nóthường dùng giao thức điểm nối điểm PPP (Point to Point Protocol) Là một phần củaTCP/IP, PPP đóng vai trò truyền tải các giao thức IP khác khi liên hệ trên mạng giữamáy chủ và máy truy cập từ xa Các chuẩn tryền thông sử dụng để quản lý các Tunnel

và đóng gói dữ liệu của VPN Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truycập từ xa phụ thuộc vào PPP

Mô hình Tunneling truy cập từ xa

Kỹ thuật Tunneling trong mạng điểm nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp cơ cấu“ đóng gói” giao thức gói tin ( Pasenger Protocol ) đểtruyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại góitin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách NhưngIPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm Tấtnhiên, nó phải được hỗ trợ ở cả 2 giao diện Tunnel

3 TRIỂN KHAI MÔ HÌNH VPN

3.1 Triển khai mô hình VPN site – to – site trên local :

 Mô hình tổng quát:

Mô hình VPN site –to – site

3.2 Vai trò và chức năng của các thiết bị trong mô hình

- 2 Máy windows Server 2008 làm máy chủ VPN

- 2 Máy chủ VPN có hai card mạng: một card đặt tên là LAN, là card Internal Một card đặt tên là WAN là card External

+ Card LAN : Server Hà Nội là 10.10.10.1/24 và Server Sài Gòn là

3.3 Tổng quan các bước thực hiện

Bước 1: Đặt địa chỉ IP cho các máy

Bước 2: Cài DCPROMO

Bước 3: Cấu hình dịch vụ DNS

Bước 4: Cài đặt network policy và access services

Bước 5: Cấu hình VPN , tiến hành kiểm tra và share file