NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN TRÊN RASPBERRY PI

Sự bùng nổ của công nghệ thông tin, cách mạng công nghiệp 4.0, các thiết bị,các dự án IoT phát triển mạnh kèm theo đó là những vấn đề về an toàn thông tin qua Internet,các cá nhân, tổ chức cần có những phương án bảo vệ dữ liệu cho riêng mình. Một trong nhữnggiải pháp tối ưu được ưa chuộng là VPN mà trong đó OpenVPN là một giải pháp khá thôngdụng hiện tại. Nội dung của đồ án sẽ tập trung vào việc tìm hiểu về OpenVPN và triển khai nótrên một máy tính nhỏ, tiết kiệm điện năng là Raspberry Pi qua đó có thể thiết lập một mạngriêng ảo, bảo vệ thông tin cho chính chúng ta trong thời buổi kết nối mạng có ở mọi nơi.

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GTVT KHOA CÔNG NGHỆ THÔNG TIN

Trần Anh Khoa

NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO

VPN TRÊN RASPBERRY PI

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: CNKT Điện Tử Truyền Thông

HÀ NỘI - 2018

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GTVT KHOA CÔNG NGHỆ THÔNG TIN

Trần Anh Khoa

NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO

VPN TRÊN RASPBERRY PI

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: CNKT Điện Tử Truyền Thông

Cán bộ hướng dẫn: ThS Lê Thị Hồng Vân

TÓM TẮT Tóm tắt: Sự bùng nổ của công nghệ thông tin, cách mạng công nghiệp 4.0, các thiết bị,

các dự án IoT phát triển mạnh kèm theo đó là những vấn đề về an toàn thông tin qua Internet, các cá nhân, tổ chức cần có những phương án bảo vệ dữ liệu cho riêng mình Một trong những giải pháp tối ưu được ưa chuộng là VPN mà trong đó OpenVPN là một giải pháp khá thông dụng hiện tại Nội dung của đồ án sẽ tập trung vào việc tìm hiểu về OpenVPN và triển khai nó trên một máy tính nhỏ, tiết kiệm điện năng là Raspberry Pi qua đó có thể thiết lập một mạng riêng ảo, bảo vệ thông tin cho chính chúng ta trong thời buổi kết nối mạng có ở mọi nơi

Từ khóa: Raspberry Pi, OpenVPN

LỜI CAM ĐOAN

Em xin cam đoan đây là đồ án do riêng em thực hiện dưới sự hướng dẫn của giảng viên hướng dẫn Các tài liệu trong đồ án là trung thực, có nguồn trích dẫn rõ ràng, minh bạch, có tính kế thừa và phát triển từ các tài liệu tham khảo và chương trình

Em xin hoàn toàn chịu trách nhiệm về lời cam đoan danh dự của em!

Hà Nội, ngày 26 tháng 6 năm 2018

Tác giả đồ án

Trần Anh Khoa

LỜI CẢM ƠN Lời đầu tiên em xin gửi lời tri ân và biết ơn sâu sắc đến ThS Lê Thị Hồng Vân,

người hướng dẫn đồ án tốt nghiệp đã tận tình chỉ bảo, động viên, khích lệ em trong suốt quá trình nghiên cứu và thực hiện đề tài

Em xin cảm ơn các thầy cô khoa Công Nghệ Thông Tin, trường Đại học Công Nghệ Giao Thông Vận Tải, đặc biệt các thầy cô trong bộ môn Điện tử viễn thông đã

nhiệt tình giảng dạy và tạo mọi điều kiện giúp đỡ em trong suốt quá trình quá trình học tập và nghiên cứu

Cuối cùng em xin trân thành cám ơn những người thân trong gia đình em cùng toàn thể bạn bè luôn giúp đỡ động viên em những lúc gặp phải khó khăn trong quá trình làm đồ án

Em xin chân thành cảm ơn !

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ RASPBERRY PI VÀ CÔNG NGHỆ VPN 2

1.1 TỔNG QUAN VỀ RASPBERRY PI 2

1.1.1 Giới thiệu về Raspberry Pi 2

1.1.2 Cấu trúc và thành phần của Raspberry Pi 3 model B 2

1.1.3 Cài đặt ban đầu cho Raspberry Pi 5

1.1.4 Ứng dụng của Raspberry Pi 11

1.2 TỔNG QUAN VỀ CÔNG NGHỆ VPN 12

1.2.1 Giới thiệu về công nghệ VPN 12

1.2.2 Ưu nhược điểm của VPN 14

1.2.3 Các thành phần cần thiết để tạo kết nối VPN 15

1.2.4 Một số các giao thức VPN 16

1.2.5 Kết nối 19

1.2.6 VPN và an toàn bảo mật 23

CHƯƠNG 2: GIẢI PHÁP XÂY DỰNG VPN TRÊN RASPBERRY PI SỬ DỤNG OPENVPN 26

2.1 MỘT SỐ GIẢI PHÁP VPN TRÊN RASPBERRY PI 26

2.1.1 PPTP VPN 26

2.1.2 PiVPN 27

2.1.3 OpenVPN 28

2.2 GIẢI PHÁP XÂY DỰNG VPN SỬ DỤNG OPENVPN 28

2.2.1 Giới thiệu về OpenVPN 28

2.2.2 Bảo mật trong OpenVPN 31

2.2.3 Giải pháp OpenVPN 38

2.2.4 So sánh OpenVPN với một số giải pháp VPN khác 44

CHƯƠNG 3: THỰC NGHIỆM 46

3.1 MÔ HÌNH TRIỂN KHAI VÀ KỊCH BẢN 46

3.1.1 Mô hình triển khai 46

3.1.2 Kịch bản 46

3.2 CÁC BƯỚC THỰC HIỆN 47

3.3 KIỂM TRA KẾT QUẢ 64

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 67 TÀI LIỆU THAM KHẢO 68

DANH MỤC HÌNH ẢNH Chương 1

Hình 1 1 Máy tính Raspberry Pi 3 Model B 2

Hình 1 2 Cấu trúc Raspberry Pi 3 Model B 4

Hình 1 3 Hệ điều hành Raspbian 5

Hình 1 4 Image Raspbian Stretch 6

Hình 1 5 Phần mềm SD Card Formatter 6

Hình 1 6 Phần mềm Win32 Disk Imager 7

Hình 1 7 Kết nối Raspberry Pi với nguồn và Modem 7

Hình 1 8 Giao diện đồ họa Raspbian 9

Hình 1 9 Địa chỉ IP của Raspberry Pi 10

Hình 1 10 Kết nối SSH qua phần mềm Putty 10

Hình 1 11 Kết nối chia sẻ file với Raspberry Pi bằng phần mềm WinSCP 11

Hình 1 12 VPN 13

Hình 1 13 Giao thức L2F 16

Hình 1 14 Giao thức L2TP 16

Hình 1 15 Giao thức PPTP 17

Hình 1 16 Giao thức GRE 18

Hình 1 17 Giao thức IPSec 18

Hình 1 18 Remote Access VPN 20

Hình 1 19 Site-to-Site VPN 22

Hình 1 20 Thiết lập kết nối Client to Server 23

Chương 2 Hình 2 1 Giao diện cài đặt PiVPN 27

Hình 2 2 Cấu trúc mô hình SSL 32

Hình 2 3 Hoạt động của SSL Record Protocol 33

Hình 2 4 Giao thức bắt tay giai đoạn 1 34

Hình 2 5 Giao thức bắt tay giai đoạn 2 35

Hình 2 6 Giao thức bắt tay giai đoạn 3 35

Hình 2 7 Giao thức bắt tay giai đoạn 4 36

Chương 3 Hình 3 1 Mô hình triển khai 46

Hình 3 2 Cài đặt OpenVPN và cập nhật OpenSSL 47

Hình 3 3 Copy easy-rsa và sửa đổi file vars 48

Hình 3 4 Sửa đổi export EASY_RSA 48

Hình 3 5 Cấp quyền, tạo các thiết lập ban đầu cần thiết để tạo chứng chỉ 49

Hình 3 6 Tạo chứng chỉ cho các Client 50

Hình 3 7 Thay đổi mã hóa sang AES256 50

Hình 3 8 Tạo Diffie Hellman dùng cho việc trao đổi khóa 51

Hình 3 9 Tạo ta.key tăng cường bảo mật 51

Hình 3 10 File cấu hình cho Server OpenVPN 52

Hình 3 11 File cấu hình cho Client 53

Hình 3 12 File Script cho phép Client truy cập Internet 53

Hình 3 13 Đặt IP của Raspberry Pi vào vùng "DMZ" 54

Hình 3 14 Cấu hình Port Forwarding 55

Hình 3 15 Đăng ký Hostname tại No-IP 55

Hình 3 16 Cài đặt DUC trên Raspbian 56

Hình 3 17 Cài đặt dịch vụ IP DUC 57

Hình 3 18 Kiểm tra hoạt động của No-IP 57

Hình 3 19 Cấp các quyền cần thiết cho Script "khoavpn" 58

Hình 3 20 Đóng zip các file cần thiết cho Client 58

Hình 3 21 Truy cập Raspberry Pi bằng WinSCP 59

Hình 3 22 Các file cấu hình cần thiết cho Client 59

Hình 3 23 Đặt ca.crt, *.key, *.cert, ta.key vào file cấu hình Client 60

Hình 3 24 Giao diện truy cập OwnCloud 63

Hình 3 25 Kiểm tra kết nối 4G Viettel 64

Hình 3 26 Sử dụng Viscosity để kết nối với Server OpenVPN 64

Hình 3 27 Kiểm tra kết nôi với Server OpenVPN 65

Hình 3 28 Kiểm tra gói tin bằng WireShark 66

DANH MỤC BẢNG BIỂU Chương 1

Bảng 1.1 Các câu lệnh cơ bản dùng cho Raspbian 8

Bảng 1.2 So sánh VPN Client-to-Site và VPN Site-to-Site 24

Chương 2 Bảng 2.1 Lịch sử phát triển OpenVPN phiên bản 1 29

Bảng 2.2 Lịch sử phát triển OpenVPN phiên bản 2 30

Bảng 2.3 Ba block IP cho Private Subnet 38

Bảng 2.4 Key Files 40

Bảng 2.5 So sánh OpenVPN với một số giải pháp VPN khác 44

DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT

ADSL Asymmetric Digital Subscriber Line Đường dây thuê bao số bất đối

xứng AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến ARM Advanced RISC Machine Cấu trúc vi xử lý kiểu RISC

CPU Centre Processor Unit Bộ xử lý trung tâm

DMZ Demilitarized Zone Vùng mạng trung lập giữa mạng

nội bộ và mạng Internet DNS Domain Name System Hệ thống phân giải tên miền GPIO General Purpose Input Output Cổng đầu vào và đầu ra với mục

đích cơ bản GPU Graphic Processing Unit Bộ xử lý đồ họa

GRE Generic Routing Encapsulation Giao thức đóng gói định tuyến

chung HDMI High-Definition Multimedia

IPSEC Internet Protocol Security Giao thức bảo mật Internet ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2

LPDDR Low Power Dance Dance

Revolution

DRAM dành cho thiết bị di động

MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thức NAT Network Address Translation Biên dịch địa chỉ mạng

NAS Network-Attached Storage Lưu trữ mạng

PPP Point-to-Point Protocol Giao thức điểm-điểm

PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm

điểm-điểm

thiết bị di động SHA Secure Hash Algorithm Thuật giải băm an toàn

bảo mật SSL Secure Socket Layer Chuẩn an ninh công nghệ toàn

cầu TCP Transmission Control Protocol Giao thức điều khiển truyền vận TLS Transport Layer Security Bảo mật tầng truyền tải

USB Universal Serial Bus Chuẩn kết nối tuần tự

VPN Virtual Private Network Mạng riêng ảo

Lưu ý: Một số từ đã được giải thích trong đồ án

MỞ ĐẦU

Với sự phát triển của công nghệ thông tin, mạng máy tính và đặc biệt là mạng Internet phát triển ngày càng đa dạng và phong phú Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các thông tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và độ tin cậy của nó

Miễn phí, đó là những điểm truy cập mạng không dây ở mọi nơi, nhưng bạn không nên kiểm tra tài khoản cá nhân, tài khoản ngân hàng ở những nơi như vậy nếu bạn không muốn có người nhòm ngó, đánh cắp dữ liệu Vậy giải pháp là gì? Đó là mạng riêng ảo, hay còn gọi là VPN

Một VPN sẽ mở rộng mạng riêng của bạn đến nơi công cộng, vậy nên dù bạn có dùng một điểm truy cập Wi-fi công cộng, dữ liệu gửi và nhận của bạn vẫn được mã hóa và bảo đảm an toàn

Có rất nhiều cách để thiết lập một VPN, bao gồm cả trả phí và miễn phí, mỗi giải pháp đều có ưu nhược điểm riêng, được quyết định bởi cách nhà cung cấp dịch vụ VPN hoạt động, chi phí và các tùy chọn VPN được nhà cung cấp dịch vụ cung cấp

Cách dễ dàng và tiết kiệm chi phí nhất để giữ cho dữ liệu của bạn an toàn là hạn chế truy cập những điểm Wi-fi công cộng Tuy nhiên đó không còn là vấn đề khi bạn

có thể tự tạo một Server VPN tại nhà và chạy nó trên một thiết bị nhỏ, tiết kiệm năng lượng là Raspberry Pi

Nội dung đề tài gồm 3 chương tập trung vào tìm hiểu máy tính Raspberry Pi, tìm hiểu về công nghệ VPN nói chung cũng như OpenVPN nói riêng Qua đó nêu lên được tính cần thiết của VPN cũng như việc triển khai VPN trên Raspberry Pi là một giải pháp tiết kiệm, an toàn, bảo mật thông tin cho chính mỗi cá nhân

CHƯƠNG 1: TỔNG QUAN VỀ RASPBERRY PI VÀ CÔNG NGHỆ VPN 1.1 TỔNG QUAN VỀ RASPBERRY PI

1.1.1 Giới thiệu về Raspberry Pi

Raspberry Pi được phát triển bởi Eben Upton ra mắt năm 2012 là một máy vi tính nhỏ, giá rẻ (35$), kích thước chỉ bằng một thẻ tín dụng, tiết kiệm điện năng (nguồn cung cấp chỉ 5V) Raspberry Pi sử dụng hệ điều hành Linux bởi đặc điểm đòi hỏi cấu hình thấp, nguồn mở và có tính lập trình cao hơn so với Windows

Raspberry Pi là một bo mạch, muốn Raspberry Pi trở thành máy tính thực thụ, ta phải kết nối Raspberry Pi với các thiết bị ngoại vi như màn hình, bàn phím và chuột thông qua các cổng kết nối trên bo mạch, cấp nguồn cho Raspberry Pi bằng microUSB 5V Trong phần cấu trúc Raspberry Pi, sẽ trình bày chi tiết về các cổng kết nối của Raspberry Pi

Raspberry Pi cho phép mọi người ở mọi lứa tuổi có thể tìm hiểu, khám phá máy vi tính, học lập trình với các ngôn ngữ lập trình như Python, C, Với Raspberry Pi và hệ điều hành Raspbian ta có thể làm được gần như tất cả mọi thứ mà một máy vi tính thông thường có thể làm

1.1.2 Cấu trúc và thành phần của Raspberry Pi 3 model B

Cho đến thời điểm hiện tại (05/2018), Raspberry Pi có 3 mẫu chính, đó là: Raspberry Pi 2 model B (2/2/2015), Raspberry Pi 3 model B (29/2/2016) và mới nhất là Raspberry Pi 3 model B+ (14/3/2018) Về cơ bản, phần lớn cấu trúc của 3 mẫu này giống nhau Với đề tài này ta sẽ tìm hiểu về Raspberry Pi 3 model B

Hình 1 1 Máy tính Raspberry Pi 3 Model B

a) Phần cứng

CPU: Raspberry Pi 3 model B sử dụng vi xử lý BCM2837 (nhanh hơn 50% so với

Raspberry Pi 2) của Broadcom Đây là loại SoC (System on Chip) tích hợp cùng lúc:

 CPU: 1.2 GHz quad-core ARM Corter A53 (cấu trúc ARMv8)

 RAM: 1 GB LPDDR2-900 SDRAM

 GPU: 400 MHz VideoCore IV

Khe cắm thẻ micro SD: Raspberry Pi không hỗ trợ ổ cứng mà thay vào đó là thẻ

micro SD Tất cả dữ liệu sẽ được lưu trữ trên thẻ micro SD này Cần dùng ít nhất

là thẻ 4GB cho Raspberry Pi (khuyên dùng thẻ 16GB class 10)

Cổng USB: Raspberry Pi 3 model B có 4 cổng USB 2.0 Đủ để cắm các ngoại vi

cần thiết như chuột, bàn phím và USB Wireless

Cổng Ethernet: Cổng Ethernet chuẩn RJ45

Cổng HDMI: Dùng để truyền tín hiệu Video và Audio số Có tới 14 chuẩn video

được hỗ trợ và tín hiệu HDMI có thể dễ dàng chuyển đổi thành các chuẩn khác như DVI, RCA, hoặc SCART

Ngõ ra Audio-Video: Giắc cắm chuẩn 3.5mm, hỗ trợ cho người dùng không có

màn hình hỗ trợ HDMI Âm thanh và hình ảnh lấy ra từ cổng này có chất lượng kém hơn một chút so với từ cổng HDMI

Cổng cấp nguồn Micro USB: Một trong những điều đầu tiên có thể nhận thấy là

Raspberry Pi không có nút nguồn Micro USB được chọn làm cổng cấp nguồn Nguồn cấp cho Raspberry Pi là 5v điện áp (bắt buộc) và dòng nên lớn hớn 1A Cấp nguồn quá 5v sẽ rất dễ làm cháy board mạch

Cổng CSI (Camera Serial Interface): Cổng này dùng để kết nối với module

Camera riêng của Raspberry Pi Module này thu được hình ảnh chất lượng lên đến 1080p

Network: 10/100 MBPS Ethernet, 802.11n Wireless LAN, Bluetooth 4.0

GPIO (General Purpose Input and Output): Giống như các chân của vi điều

khiển, các IO này của Raspberry Pi cũng được sử dụng để xuất tín hiệu ra LED, thiết bị… hoặc đọc tín hiệu vào từ các nút nhấn, công tắc,cảm biến… Ngoài ra còn

có các IO tích hợp các chuẩn truyền dữ liệu UART, I2C và SPI

b) Phần mềm

Raspberry Pi sử dụng hệ điều hành dựa trên nền tảng Linux, có rất nhiều hệ điều hành hỗ trợ Raspberry Pi, trong đó có Raspbian là hệ điều hành chính thức của Raspberry Pi Foundation, ngoài ra có 7 hệ điều hành khác được xác nhận hỗ trợ và kha khá hệ điều hành do các nhà phát triển tự tối ưu

Một số hệ điều hành thông dụng cho Raspberry Pi:

 Raspbian: Là hệ điều hành do Raspberry Pi Foundation cung cấp, được khuyên dùng cho người mới làm quen với Raspberry Pi Dùng để sử dụng nhiều tác vụ như: Lướt Web, soạn thảo văn bản, nghe nhạc, xem phim, sử dụng như một Server cung cấp các dịch vụ Web, File, VPN, Print,… Hoạt động ổn định, tốc độ nhanh

 Ubuntu Mate: Là hệ điều hành được phát triển từ Ubuntu, giao diện bắt mắt, tối ưu tốt cho Raspberry Pi, sử dụng thẻ SD class 6 trở lên để được tối ưu tốt nhất

Hình 1 2 Cấu trúc Raspberry Pi 3 Model B

 Windows 10 IoT Core: Có nhân của Windows, không có giao diện đồ họa hay các phần mềm Office, được sử dụng cho các dự án IoT

 Pidora: Là phiên bản của Fedora được tối ưu cho Raspberry Pi, có sẵn giao diện đồ họa Giành cho những ai đã quen xài Fedora

1.1.3 Cài đặt ban đầu cho Raspberry Pi

Theo cấu trúc, Raspberry Pi không tích hợp ổ cứng trên bo mạch, do đó hệ điều hành của Raspberry Pi được cài đặt trên một thẻ micro SD Để cài đặt hệ điều hành cho Raspberry Pi, ta có thể sử dụng NOOBS (New Out Of the Box Software), là một trình quản lý cài đặt hệ điều hành cho Raspberry Pi hoặc chọn một hệ điều hành xác định trước để cài đặt như Pidora, Raspbian,

Người mới sử dụng Raspberry Pi nên cài đặt hệ điều hành Raspbian hoặc Pidora,

vì hai hệ điều hành này dễ tiếp cận nhất

a) Cài đặt hệ điều hành cho Raspberry Pi

Trong phần này, ta sẽ cài đặt hệ điều hành Raspbian lên Raspberry Pi 3 model B

Để cài đặt hệ điều hành Raspbian cho Raspberry Pi, ta sử dụng Image 18-raspbian-stretch” Với một thẻ micro SD trống (tối thiểu 8GB, tốt nhất là 16GB trở

“2018-04-lên), ta có thể tải miễn phí và cài đặt hệ điều hành Raspbian lên thẻ micro SD

Để cài đặt hệ điều hành cho Raspberry Pi, thực hiện theo quy trình sau:

Tải Raspbian tại:

https://www.raspberrypi.org/downloads/raspbian/

Chọn Download ZIP bên dưới RASPBIAN STRETCH WITH DESKTOP

Hình 1 3 Hệ điều hành Raspbian

Lưu ý: Có 2 gói Raspbian khác nhau, một gói Raspbian và Raspbian lite Gói Raspbian

lite sẽ cần kết nối Internet để tải hết toàn bộ dung lượng cài đặt

Sau khi tải về hoàn tất, ta có gói “2018-04-18-raspbian-stretch.zip” Giải nén gói zip này, ta sẽ có Image “2018-04-18-raspbian-stretch.img”

Định dạng (Format) thẻ micro SD:

Tải SD Card Formatter tại:

https://www.sdcard.org/downloads/formatter_4/

Mở SD Card Formatter để tiến hành định dạng thẻ micro SD

Kết nối thẻ micro SD với máy tính qua thiết bị đọc thẻ, chú ý ký tự đại diện cho thẻ (D, G hay H …) -> Tiến hành chọn Format để định dạng lại thẻ micro SD

Ghi hệ điều hành Raspbian lên thẻ micro SD:

Tải Win32DiskImager tại:

https://www.sourceforge.net/projects/win32diskimager/

Hình 1 5 Phần mềm SD Card Formatter Hình 1 4 Image Raspbian Stretch

Mở Win32DiskImager -> chọn Image “2018-04-18-raspbian-stretch.img” và tiến hành Write để chương trình ghi hệ điều hành lên thẻ micro SD

Cài đặt các thiết bị sẵn sàng sử dụng Raspberry Pi:

Một nguồn 5V-2A (cổng kết nối microUSB), một thẻ micro SD đã cài đặt Raspbian, một cáp HDMI, một bàn phím và một chuột USB Kết nối bàn phím và chuột qua 2 cổng USB 2.0 trên Raspberry Pi, kết nối Raspberry Pi đến một màn hình qua cáp HDMI

Lưu ý: Với đề tài này, ta sẽ cấu hình qua Putty vì vậy không cần kết nối các thiết bị ngoại

vi như bàn phím, chuột, màn hình,…

Cắm nguồn microUSB để cung cấp nguồn điện và khởi động Raspberry Pi

Như vậy, ta đã hoàn thành cài đặt ban đầu cho Raspberry Pi 3 model B

Hình 1 6 Phần mềm Win32 Disk Imager

Hình 1 7 Kết nối Raspberry Pi với nguồn và Modem

a) Câu lệnh

Dòng lệnh là một thế mạnh của hệ điều hành Linux, thành thạo lệnh Linux sẽ giúp

ta sử dụng Raspberry Pi nhanh, mạnh mẽ hơn nhiều so với sử dụng giao diện đồ họa, đồng thời, thể hiện sự chuyên nghiệp của người dùng

Ta sẽ tìm hiểu một số lệnh cơ bản thực hiện công việc trên Raspberry Pi

Bảng 1.1 Các câu lệnh cơ bản dùng cho Raspbian

ls Listing Liệt kê tất cả File và Folder hiện có trong thư mục

cd Change directory Chuyển sang thư mục khác

mkdir Make directory Tạo New Folder

rmdir Remove directory Xóa thư mục

mv Move Di chuyển File hay Folder

nano Open Nano text editor Mở trình soạn thảo văn bản Nano

sudo Câu lệnh được sử dụng bởi super user

shutdown -h now Tắt Raspberry Pi ngay lập tức

reboot Khởi động lại Raspberry Pi

apt-get install Cài đặt phần mềm (package) mới

apt-get remove Gỡ bỏ (uninstall) package

apt-get purge Uninstall hoàn toàn Kể cả những settings và log

apt-get update Cập nhật danh sách package mới nhất

apt-get upgrade Nâng cấp tất cả package hiện có trong máy lên phiên bản mới

nhất

raspi-config Mở menu thiết lập cấu hình Raspberry Pi hay Raspbian

chown Thay đổi quyền (permission) của một file hay folder

chmod Thay đổi chủ sở hữu của một tập tin

su Super user Siêu người dùng

iptables Cấu hình các bảng Firewall trong nhân Linux

b) Giao diện

Ở giao diện đồ họa, mọi thứ sẽ trở nên trực quan, dễ nhìn hơn so với dòng lệnh Các thao tác cơ bản khá giống với hệ điều hành Window thông dụng với các chức năng cơ bản như trình duyệt, Menu, quản lý File, Command, Wifi, Bluetooth,…

c) Điều khiển

Vì Raspberry Pi là một máy tính không hoàn chỉnh, vì vậy muốn vận hành được ta phải kết nối Raspberry Pi với đầy đủ các thiết bị ngoại vi cần thiết, đôi khi tạo sự bất tiện khi muốn thao tác với Raspberry Pi đối với người thường xuyên di chuyển

Để có thể thao tác với Raspberry Pi mọi lúc, mọi nơi mà không cần phải di chuyển Raspberry Pi, ta có thể sử dụng phần mềm Putty để sử dụng Raspberry Pi ở giao diện dòng lệnh, và WinSCP để chia sẻ File với mọi thiết bị khác, chỉ cần biết địa chi IP, user

và password để kết nối Raspberry Pi

Để biết được địa chỉ IP của của Raspberry Pi, từ cửa sổ dòng lệnh, gõ “ifconfig”

Hình 1 8 Giao diện đồ họa Raspbian

Khi dùng lệnh “ifconfig”, ta có được địa chỉ IP của Raspberry Pi, sử dụng địa chỉ

IP này nhập vào phần mềm Putty hoặc WinSCP để kế nối đến Raspberry Pi từ máy tính khác

Để điều khiển Raspberry Pi bằng phần mềm Putty, chạy phần mềm Putty -> nhập địa chỉ IP của Raspberry Pi -> chọn Open -> nhập user và password của Raspberry Pi

Hình 1 9 Địa chỉ IP của Raspberry Pi

Hình 1 10 Kết nối SSH qua phần mềm Putty

Khi đã kết nối tới Raspberry Pi, từ giao diện dòng lệnh của phần mềm Putty, ta có thể điểu khiển Raspberry Pi bằng lệnh giống như khi thao tác trên Raspberry Pi thực sự Tải Putty tại:

https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

Để chia sẻ file từ Raspberry Pi với các máy tính khác bằng WinSCP, chạy phần mềm WinSCP -> nhập địa chỉ IP của Raspberry Pi -> chọn Login -> nhập User và Password của Raspberry Pi

Tải WinSCP tại:

1.1.4 Ứng dụng của Raspberry Pi

Raspberry Pi được ưa chuộng không chỉ vì giá thành rẻ, tiêu tốn ít điện năng mà còn về tính ứng dụng của nó Raspberry Pi được sử dụng cho rất nhiều các dự án khoa học và học tập Raspberry Pi có thể kết nối với nhiều loại thiết bị ngoại vi và tương

Hình 1 11 Kết nối chia sẻ file với Raspberry Pi bằng phần mềm WinSCP

tương tác với thế giới bên ngoài Raspberry Pi có thể được sử dụng cho nhiều ứng dụng khác nhau, từ đơn giản đến phức tạp như:

 Một máy tính cơ bản dùng để lướt web, xem phim

 Một ổ cứng sao lưu dữ liệu trên mạng nội bộ

 Điều khiển robot

 Tạo các Server

 Điều khiển các thiết bị

a) Biến Raspberry Pi thành máy chủ lưu trữ đám mây với OwnCloud

Lưu trữ các File, thư mục, danh bạ, thư viện ảnh, lịch,… Có thể truy cập nó từ điện thoại di động, máy tính, hoặc trình duyệt web

Dịch vụ đám mây này cho phép đồng bộ hóa tất cả các tập tin của, địa chỉ liên lạc, hình ảnh, lịch,… đồng bộ hóa giữa các thiết bị

Trong thời đại công nghệ với dịch vụ Facebook, Twitter, Google+,… OwnCloud phép ta chia sẻ dữ liệu với những người khác và chia sẻ công khai hay riêng tư theo nhu cầu

Giao diện người dùng dễ dàng cho phép ta quản lý , tải lên, tạo người dùng,… một cách rất dễ dàng

Một tính năng đặc biệt cho dù người dùng có lỡ may xóa tệp tin thì họ vẫn có thể lấy lại tệp tin đó trong thùng rác Hệ thống cài đặt mặc định trong khoảng thời gian nhất định 30 ngày sẽ xóa toàn bộ dữ liệu trong thùng rác

Tính năng tìm kiếm trong OwnCloud rất mạnh được thực hiện trong nền và cho phép người dùng tìm kiếm theo tên cũng như loại tập tin

Tạo không giới hạn người dùng, và phân quyền cho họ

Hỗ trợ client dành cho Windows, Mac OS, iOS và Android

1.2 TỔNG QUAN VỀ CÔNG NGHỆ VPN

1.2.1 Giới thiệu về công nghệ VPN

Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet

VPN là một mô hình mạng tận dụng lại những cơ sơ hạ tầng hiện có của Internet Với mô hình mạng này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng và các tính năng như bảo mật, độ tin cậy đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay văn phòng chi nhánh kết nối an toàn đến máy chủ Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là chúng

có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (Private Network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng lẻ sử dụng một mạng chung (thường là Internet) để kết nối cùng các Site (các mạng riêng lẻ) hay nhiều người dùng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường Lease Line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của công ty tới các Site hay các nhân viên từ xa

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường hầm bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối Point-to-Point trên mạng riêng Để có thể tạo ra một đường hầm bảo mật đó, dữ liệu phải được

mã hóa hay che dấu đi, chỉ cung cấp phần đầu gói dữ liệu (Header) là thông tin về đường

đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệu được mã hóa một cách cẩn thận do đó nếu các Packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã Liên kết với

dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường hầm VPN (VPN Tunnel)

Hình 1 12 VPN

VPN có thể sử dụng một hoặc cả hai kỹ thuật: Dùng các kênh thuê bao riêng của các nhà cung cấp dịch vụ (Trusted VPN) hoặc gửi các dữ liệu đã được mã hóa lên mạng Internet (Secure VPN) Dùng một Secure VPN qua một Trusted VPN thì gọi là Hybrid VPN Kết hợp cả hai loại của Secure VPN trong một cổng vào, chẳng hạn như IPsec và

SSL cũng gọi là Hybrid VPN

Qua nhiều năm, các Trusted VPN đã có sự thay đổi từ các thuê bao riêng từ các đại lý viễn thông đến các thuê bao IP riêng từ các nhà cung cấp dịch vụ Internet Công nghệ chủ yếu của sự vận hành của Trusted VPN với mạng địa chỉ IP là các kênh ATM, mạch tiếp sóng khung, và MPLS

Secure VPN có thể dùng IPsec trong việc mã hoá IPsec nằm trong giao thức L2TP (Layer 2 Tunneling Protocol), trong thành phần SSL (Secure Sockets Layer) 3.0 hay trong TLS (Transport Layer Security) với bộ mã hoá, L2F (Layer Two Forwarding) hay PPTP (Point-to-Point Tunneling Protocol)

1.2.2 Ưu nhược điểm của VPN

a) Ưu điểm

Lưu lượng cá nhân của được mã hóa và truyền an toàn qua Internet Giúp tránh xa khỏi các mối đe dọa trên Internet VPN khiến tin tặc gặp khó khăn khi xâm nhập hay gây trở ngại tới công việc của cá nhân hoặc doanh nghiệp Yên tâm sử dụng Wifi công cộng và không phải lo nghĩ về tin tặc, đồng thời có thể an toàn kết nối từ xa với máy chủ

Hoàn toàn có thể ẩn danh khi lướt Web

VPN có giá rẻ hơn đáng kể so với các dạng cấu hình bảo mật khác

Không cần lo lắng về phần cứng để cài đặt bảo mật

Không cần trả các chi phí để thuê chuyên gia bên ngoài, chỉ cần cân nhắc đến khoản chi phí hàng tháng hoặc hàng năm

Cải thiện chất lượng dịch vụ đối với các doanh nghiệp, các VPN dành cho doanh nghiệp có nhiều dịch vụ mở rộng nhằm đáp ứng nhu cầu của các công ty khi họ lớn mạnh và phát triển, như thêm người dùng mới vào tài khoản mà không cần trả thêm phí Với người dùng cá nhân, VPN sẽ tính đến nhu cầu của mỗi người, do đó ta chỉ phải trả cho những gì mình sử dụng và có nhu cầu

VPN có thể truy cập vào nội dung bị hạn chế do vị trí địa lý, bao gồm các trang web trực tuyến như NordStorm hay Macys, Đây là giải pháp lý tưởng nếu ta muốn mua hàng trực tuyến từ NordStorm hay Macys nhưng lại không sống tại quốc gia này, VPN sẽ giúp ta truy cập các trang Web bị chặn này

Một số trang Web sẽ thay đổi nội dung hoặc toàn bộ trang Web tuỳ thuộc vào vị trí của chúng ta, nhưng VPN sẽ giúp chúng ta giải quyết vấn đề này

b) Nhược điểm

Tùy thuộc vào kiểu VPN mà ta có thể gặp khó khăn khi thiết lập giao thức bảo mật

và nếu không thao tác đúng thì có thể dẫn tới rò rỉ bảo mật Nếu thiết lập VPN không chính xác, khả năng lớn là DNS và IP sẽ bị rò rỉ, khiến tin tặc có thể dễ dàng truy cập thông tin của chúng ta

Có quá nhiều giao thức bảo mật để chọn, không biết đâu là giải pháp tốt nhất VPN có thể có mức giá cao hoặc thấp tùy vào các tính năng, do đó phải tìm hiểu

kỹ để chắc rằng ta được hưởng dịch vụ đúng với số tiền đã bỏ ra Thời hạn đăng ký thuê bao ảnh hưởng đến mức giá Một số VPN bị giới hạn về các tính năng, tùy vào gói mua

Bị giới hạn về số thiết bị kết nối đồng thời cho mỗi dịch vụ

Một số gói bị giới hạn về số lượng thiết bị chuyển mạch, băng thông và tốc độ truy cập của máy chủ

Nhiều trang Web trực tuyến đang trở nên cảnh giác với VPN và tạo ra nhiều trở ngại nhằm ngăn cản hay giảm lượng truy cập vào nội dung bị hạn chế

Người dùng cũng có thể sử dụng VPN vào các hoạt động bất hợp pháp, khiến công nghệ này bị mang tiếng xấu

1.2.3 Các thành phần cần thiết để tạo kết nối VPN

User Authentication: Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người

dùng hợp lệ kết nối và truy cập hệ thống VPN

Address Management: Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập

hệ thống VPN để có thể truy cập tài nguyên mạng nội bộ

Data Encryption: Cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm

đảm bảo tính riêng tư và toàn vẹn dữ liệu

Key Management: Cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa

và giải mã dữ liệu

1.2.4 Một số các giao thức VPN

a) L2F

Là giao thức lớp 2 được phát triển bởi Cisco System L2F được thiết kế cho phép tạo đường hầm giữa NAS và một thiết bị VPN Gateway để truyền các Frame, người sử dụng từ xa có thể kết nối đến NAS và truyền Frame PPP từ remote user đến VPN Gateway trong đường hầm được tạo ra

b) L2TP

L2TP ra đời với những tính năng được tích hợp từ L2F

L2TP là dạng kết hợp của Cisco L2F và Microsoft Point-to-Point Tunneling Protocol (PPTP) Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản Windows

NT và 2000

L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay

số (Virtual Private Dial-up Network) L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (Security Policies) để tạo VPN hay VPDN như

là sự mở rộng của mạng nội bộ công ty

L2TP không cung cấp mã hóa

L2TP là sự kết hợp của PPP (giao thức Point-to-Point) với giao thức L2F (Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng Dial, ADSL và các mạng truy cập từ xa khác Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những người sử dụng từ xa

Hình 1 13 Giao thức L2F

Hình 1 14 Giao thức L2TP

c) PPTP

Được phát triển bởi nhóm thành viên được ủng hộ bởi Microsoft Corporation, Point-to-Point Tunneling (PPTP) tạo hệ thống riêng ảo dựa trên kết nói quay số (dial-up) còn gọi là VPN Và kể từ khi nó xuất hiện PPTP được sử dụng rộng rãi như là một chuẩn Protocol VPN, cũng là VPN Protocol đầu tiên được hỗ trợ bởi Windows, PPTP hoạt động dựa vào các chuẩn xác thực như MS_CHAP v2 là chuẩn phổ biến nhất hiện

nay

d) GRE

GRE (Generic Routing Encapsulation) là giao thức được phát triển đầu tiên bởi

Cisco, Giao thức này sẽ đóng gói một số kiểu gói tin vào bên trong các IP Tunnels để tạo thành các kết nối điểm-điểm (Point-to-Point) ảo Các IP Tunnel chạy trên hạ tầng mạng công cộng

GRE được định nghĩa trong RFC 1701 và 1702, đơn giản chỉ là một cơ chế để thực hiện quá trình đóng gói một giao thức lớp Network tùy ý vào một giao thức khác GRE cung cấp một cơ chế đơn giản, gọn nhẹ để đóng gói data để gửi trên mạng IP

GRE thường được dùng bởi nhà cung cấp ISP dùng để chuyển hướng thông tin định tuyến bên trong mạng Intranet của họ Tuy nhiên các Internet Backbone Router trong mạng Intranet của ISP trích lọc lưu lượng GRE này Do đó, PPTP Tunnel đã được thiết lập có thể đảm bảo và bí mật chuyển đến cho người nhận Khi dữ liệu này chuyển thành công đến người nhận, người nhận phải xử lý gói dữ liệu đã Tunnel trích ra thành

dữ liệu nguyên bản Để nhận được dữ liệu nguyên gốc người nhận theo các bước sau:

Hình 1 15 Giao thức PPTP

 Người nhận xử lý và gỡ bỏ phần đầu và phần đuôi của Data Link Header mà đã được thêm vào bởi người gửi -> Gỡ bỏ phần đầu GRE -> Phần đầu IP được xử

lý và gỡ bỏ -> Phần đầu PPP được xử lý và gỡ bỏ

e) IPSec

IPSec (IP Security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP Packet) trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực IPSec cung cấp dịch vụ bảo mật ứng dụng KDE cho phép thỏa thuận các giao thức

và thuật toán trên nền chính sách cục bộ (Group Policy) và sinh ra các khóa bảo mật mã hóa và chứng thực được sử dụng trong IPSec

Hình 1 16 Giao thức GRE

Hình 1 17 Giao thức IPSec

f) SSL

SSL VPN là một giải pháp VPN phát triển nhanh chóng dựa trên giao thức SSL còn được gọi là giải pháp “ClientLess” Điều này cũng có nghĩa là các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn

SSL VPN tạo kết nối giữa người dùng từ xa và tài nguyên mạng công ty thông qua giao thức HTTPS ở lớp ứng dụng

Nếu một ứng dụng mà ta muốn họ truy cập không phải là là loại ứng dụng dựa trên trình duyệt (Browser-Based), thì cần phải tạo ra một Plug-ins Java hoặc Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt

SSL VPN hoạt động ở Session Layer, điều này cho nó khả năng điều khiển truy cập theo khối tốt hơn

SSL VPN sử dụng chứng chỉ số (Digital Certificates) để xác thực server

SSL VPN không cần phần mềm VPN client trên máy khách (ngoại trừ trình duyệt Web), SSL VPN gateway vẫn có thể cung cấp các tiện ích “quản lý máy khách” bằng cách buộc trình duyệt phải chạy các Applets

SSL VPN tạo ra một kênh truyền thông an toàn giữa người dùng ở xa với máy chủ trong mạng Người dùng ở xa chỉ cần sử dụng một trình duyệt web để tạo kết nối vào máy chủ trong mạng, người quản trị không cần phải cài đặt phần mềm và cấu hình bảo mật cho các máy Client như đối với IPSec

SSL VPN thích hợp cho các kết nối không thường xuyên với người dùng lưu động

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN

để truy cập vào mạng Intranet của công ty thông qua Gateway hoặc VPN Concertrator (bản chất là một Server) Vì lý do này, giải pháp này thường được gọi là Client/Server Trong giải pháp này, các người dùng thường sử dụng các công nghệ WAN truyền thống

để tạo lại các Tunnel về mạng HO (Home Office) của họ

Một hướng phát triển khá mới trong Remote Access VPN là dùng Wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm Wireless (Wireless Terminal) và sau đó về mạng của công ty Trong cả hai trường hợp, phần mềm Client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là Tunnel Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty Chính sách bao gồm: quy trình (Procedure), kỹ thuật, Server, Terminal Access Controller,…

Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP và kết nối đến tài nguyên thông qua Internet

Thuận lợi chính của Remote Access VPN:

 Sự cần thiết của RAS và việc kết hợp với Modem được loại trừ

 Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa

đã được tạo điều kiện thuận lợi bởi ISP

 Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

 Giảm giá thành chi phí cho các kết nối với khoảng cách xa

 Do đây là một kết nối mang tính cục bộ, do vậy tốc độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

Hình 1 18 Remote Access VPN

 VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch

vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng

Ngoài những thuận lợi trên, thì Remote Access VPN cũng có những điểm bất lợi như:

 Remote Access VPN cũng không bảo đảm được chất lượng phục vụ

 Khả năng mất dữ liệu, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát

 Do độ phức tạp của thuật toán mã hóa, Protocol Overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận Thêm vào đó việc nén dữ liệu IP

và PPP-based diễn ra vô cùng chậm chạp

b) Site-to-Site VPN

Site-to-Site VPN được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng Nơi mà có một kết nối VPN được thiết lập giữa chúng Khi đó các thiết bị này đóng vai trò như là một Gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các Site khác Các Router và Firewall tương thích với VPN

LAN-to-LAN có thể được xem như là Intranet VPN hoặc Extranet VPN Nếu ta xem xét dưới góc độ chứng thực nó có thể được xem như là một Intranet VPN, ngược lại chúng được xem như là một Extranet VPN Tính chặt chẽ trong việc truy cập giữa các Site có thể được điều khiển bởi cả hai (Intranet và Extranet VPN) theo các Site tương ứng của chúng Giải pháp Site to Site VPN không phải là một Remote Access VPN nhưng nó được thêm vào đây là vì tính chất hoàn thiện của nó

Sự phân biệt giữa Remote Access VPN và LAN-to-LAN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận Ví dụ như các thiết bị VPN dựa trên phần cứng mới, ở đây để phân loại được, ta phải áp dụng cả hai cách, bởi vì Hardware-based Client có thể xuất hiện nếu một thiết bị đang truy cập vào mạng Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành

LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của LAN-to-LAN là kết nối hai mạng không có đường nối lại với nhau, không

có việc thỏa hiệp tích hợp, chứng thực, sự bảo mật của dữ liệu, ta có thể thiết lập một

LAN-to-LAN VPN thông qua sự kết hợp của các thiết bị VPN Concentrators, Routers,

và Firewalls

Kết nối LAN-to-LAN được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luân chuyển thông qua Internet hoặc một mạng không được tin cậy Ta phải đảm bảo vấn đền bảo mật bằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyển giữa các mạng đó Intranet VPN: Được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Backbone Router sử dụng Campus Router Sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì, quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lưu lượng lưu thông

Để giải quyết vấn đề trên, sự tốn kém của WAN Backbone được thay thế bởi các kết nối Internet với chi phí thấp Với mô hình như vậy hiệu quả chi phí hơn, do giảm số lượng Router được sử dụng theo mô hình WAN Backbone Giảm thiểu đáng kể số lượng

hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số Remote Site khác nhau Kết nối nhanh hơn, tốt hơn

Extranet VPN: Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài, Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức

Do hoạt động trên môi trường Internet, ta có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ chức Bởi vì một phần Internet – Connectivity được bảo trì bởi nhà cung cấp ISP nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì Dễ dàng triển khai, quản lý và chỉnh sửa thông tin

Hình 1 19 Site-to-Site VPN

Máy VPN cần kết nối (VPN Client) tạo kết nối VPN tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet

Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới

Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối và cấp phép cho kết nối Bắt đầu trao đổi dữ liệu giữa máy cần kết nối VPN và mạng công ty

1.2.6 VPN và an toàn bảo mật

Một trong những mối quan tâm của người dùng VPN là bảo mật VPN là giải pháp mang tính bảo mật tuy nhiên có nhiều mối đe dọa mà VPN có thể gặp phải như:

 Các tấn công chống lại các giao thức VPN (Attack agains VPN protocols)

 Các tấn công từ chối dịch vụ (Denial of Service)

 Các tấn công chống lại các thuật toán sử dụng trong các giao thức VPN (Attack agains the algorithms used in VPN protocols)

VPN có trang bị một có tính năng bảo mật sau:

 Tường lửa (Firewall): Là rào chắn vững chắc giữa mạng riêng và Internet Ta

có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như Router

1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là cài tường lửa thật tốt trước khi thiết lập VPN

 Mật mã khóa bí mật (Symmetric-Key Encryption): Mỗi máy tính đều có một

mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã

Hình 1 20 Thiết lập kết nối Client to Server

riêng yêu cầu ta phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên những máy tính đó, để máy tính bên nhận có thể giải mã được

 Mật mã khóa công khai (Public-Key Encryption): Kết hợp mã riêng và một

mã công khai Mã riêng này chỉ có máy của bạn nhận biết, còn mã công khai thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một thông điệp, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cũng cần đến mã riêng của nó nữa

 Giao thức bảo mật: Giao thức IPSec cung cấp những tính năng an toàn cao như các thuật toán mã hóa mạnh, quá trình thẩm định quyền đăng nhập toàn diện Ngoài ra ta còn có thể sử dụng máy chủ AAA AAA là viết tắt của ba chữ Authentication (xác thực), Authorization (cấp quyền) và Accounting (kiểm toán) Các máy chủ này được dùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn

vào mạng công ty

- Mô hình đơn giản hơn

- Kết nối các hệ thống mạng các nơi khác nhau như các doanh nghiệp có các chi nhánh ở xa

- Người dùng hoặc nhân viên từ

xa kết nối đến doanh nghiệp

- Intranet base: các chi nhánh của cùng một công ty ở xa kết nối với

nhau

- Extranet base: công ty này kết nối tới công ty khác (như đồng

nghiệp hay nhà hỗ trợ…) Chi phí - Ít tốn kém hơn, chỉ cần dùng

đường truyền Internet có sẵn, và phần mềm kết nối

- Tốn kém lúc đầu triển khai

KẾT LUẬN CHƯƠNG

Qua chương 1 ta đã tìm hiểu cơ bản máy tính Raspberry Pi 3 model B về phần cứng, hệ điều hành Raspbian và công nghệ VPN Có thể thấy rằng Raspberry Pi là một máy tính đa năng đáp ứng được các nhu cầu từ cơ bản đến nâng cao của người dùng, thích hợp cho việc nghiên cứu, giảng dạy và xây dựng các mô hình IoT VPN là nhu cầu cần thiết với sự bùng nổ Internet và cách mạng công nghiệp 4.0 hiện nay, giúp tổ chức,

cá nhân bảo vệ được dữ liệu của mình trong môi trường Internet đầy dãy những mối đe dọa đánh cắp thông tin của các tin tặc

CHƯƠNG 2: GIẢI PHÁP XÂY DỰNG VPN TRÊN RASPBERRY PI

Bên cạnh một số giải pháp truy cập từ xa đã được triển khai như: Thuê bao riêng, quay số (dial-up), Internet, … OpenVPN được xem như là một giải pháp truy cập từ xa

có nhiều ưu điểm hơn so với các giải pháp trước đây

2.1 MỘT SỐ GIẢI PHÁP VPN TRÊN RASPBERRY PI

2.1.1 PPTP VPN

PPTP VPN là một giải pháp rất thông dụng hiện nay và được tích hợp sẵn trên các thiết bị thế hệ mới Việc thiết lập PPTP VPN trên Raspberry Pi tuy không an toàn bảo mật bằng OpenVPN nhưng lại dễ cấu hình và sử dụng, không cần phần mềm bên thứ ba như OpenVPN

 sudo apt-get install pptpd

- File cấu hình “pptpd” cũng khá đơn giản bao gồm:

 sudo nano /etc/pptpd.conf

localip [IP của Raspberry Pi]

remoteip [Dải IP mà Raspberry sẽ cung cấp cho các Client khi tham gia vào VPN này]

- Sửa đổi tùy chọn PPTP

 sudo nano /etc/pptpd-options

ms-dns [IP của Modem]

nobsdcomp

noipx

mtu 1490

mru 1490

- Tạo tài khoản và mật khẩu cho người đăng nhập vào VPN

 sudo nano /etc/ppp/chap-secrets

username[TAB]*[TAB]password[TAB]*

- Cuối cùng là chuyển tiếp lưu lượng qua VPN và cấu hình Modem: forward TCP port

1723 đến địa chỉ IP của Raspberry Pi

 sudo nano /etc/sysctl.conf

net.ipv4.ip_forward=1

2.1.2 PiVPN

Là một cách dễ dàng để cấu hình OpenVPN dành cho Raspberry Pi với việc cài đặt và làm theo hướng dẫn của một Script có sẵn

 curl -L https://install.pivpn.io | bash

Script này cho phép: tùy chỉnh Port cho VPN, thông tin chứng chỉ, độ dài khóa mã hóa, Client DNS Server,…

Với câu lệnh “pivpn” ta có thể dễ dàng sử dụng những tính năng có sẵn Dễ dàng tạo cấu hình Client, thu hồi chúng,… Ngoài ra PiVPN còn cung cấp tính năng để xóa tất

cả những gì đã được cài đặt “pivpn uninstall”

Mặc dù cài đặt đơn giản không có nghĩa là bảo mật đơn giản Bắt đầu với việc cho phép ta tự động cập nhật các bản vá cho cả Client và Server Cấu hình Server chỉ sử dụng giao thức TLS 1.2 Kênh dữ liệu và điều khiển đều được sử dụng AES và SHA256 cho mã hóa và thuật toán hàm băm

Hình 2 1 Giao diện cài đặt PiVPN

2.1.3 OpenVPN

Cũng là một giải pháp cấu hình OpenVPN cho Raspberry Pi tuy nhiên việc cài đặt

là thủ công từ cài đặt OpenVPN, mã hóa sử dụng OpenSSL cho đến cấu hình Server và Client

 sudo apt-get install openvpn

Cài đặt OpenVPN cũng không có sẵn các tùy chỉnh như PiVPN, thay vào đó ta phải sử dụng các câu lệnh để tạo cấu hình Server, Client, thu hồi chứng chỉ,…

Phần bảo mật khi cài đặt OpenVPN cũng không cung cấp sẵn những kiểu mã hóa nâng cao như AES và SHA256 thay vào đó là mặc định BF và SHA1

Cấu hình chi tiết OpenVPN trên Raspberry Pi sẽ được nêu rõ ở phần sau

2.2 GIẢI PHÁP XÂY DỰNG VPN SỬ DỤNG OPENVPN

2.2.1 Giới thiệu về OpenVPN

Với sự ra đời của OpenVPN, một thế hệ mới của VPN Trong khi các giải pháp VPN khác thường sử dụng cơ chế độc quyền hoặc không đạt chuẩn, OpenVPN có một khái niệm Module OpenVPN sử dụng các cơ chế an toàn, ổn định, và SSL/TLS và kết hợp lại để tạo độ tin cậy cho chính lớp của nó Ta sẽ tìm hiểu kỹ hơn OpenVPN ở đây Năm 2003, James Yonan đã kể lại trong thời gian ông ta đi du lịch ở Central Asia trước ngày 11/09/2001 và có việc phải kết nối với văn phòng qua nhà cung cấp dịch vụ Internet của châu Á hoặc Nga Ông nhận thấy thực tế rằng những kết nối này đi qua những nước không đảm bảo được sự an toàn Theo những nghiên cứu của James Yonan thì có hai mục tiêu chính của một hệ thống VPN đó là an toàn và tính khả dụng Không

có một giải pháp nào vào thời điểm đó có thể đáp ứng được cả hai mục tiêu đó IPsec có thể chấp nhận được về mặt an toàn, nhưng hệ thống xử lý của nó khó thiết lập, và cấu trúc phức tạp của nó làm nó dễ bị tổn thương bởi các cuộc tấn công Bởi vậy Jame Yonan

đã tiếp cận giải pháp dùng thiết bị card mạng ảo TUN/TAP có trong nhân hệ điều hành Linux

Việc chọn thiết bị TUN/TAP cho mô hình nối mạng ngay lập tức đưa ra được tính linh hoạt mà các giải pháp VPN khác lúc đó không thể có được Trong khi các giải pháp VPN nền tảng SSL/TLS khác cần một bộ trình duyệt (Browser) để thiết lập kết nối, thì OpenVPN chuẩn bị gần như những thiết bị mạng thật trên gần như tất cả các hoạt động mạng Yonan chọn tên OpenVPN với sự tôn trọng dành cho những thư viện và những chương trình của dự án OpenSSL, và muốn đưa ra thông điệp: Đây là mã nguồn mở và