Tìm hiểu và triển khai VPN cho mạng LAN luận văn tốt nghiệp đại học

Từ các ứng dụng truy xuất từ xanhư: NC Network Computer, WWW,VPN… thì mạng máy tính đồng thờicung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử Email,tin tức, các hệ qu

Trờng đại học vinh

Sau gần 2 tháng nỗ lực thực hiện đồ án tốt nghiệp Ngoài sự cố gắnghết mình của bản thân, chúng em đã nhận được sự khích lệ, động viên rấtnhiều từ phía nhà trường, thầy cô và bạn bè.

Chúng em xin cám ơn thầy cô Trường Đại Học Vinh đã truyền đạtnhững kiến thức quý báu cho chúng em trong suốt quá trình học tập Đặc biệt,chúng em xin bày tỏ lòng biết ơn chân thành sâu sắc nhất đến Thầy Vũ ChíCường, người đã tận tình hướng dẫn và giúp đỡ chúng em trong suốt thời gianthực hiện luận văn này

Xin cám ơn tất cả bạn bè đã và đang động viên, giúp đỡ chúng emtrong quá trình học tập và hoàn thành tốt đồ án tốt nghiệp này

Vinh, 03/05/2011 Nhóm Sinh viên thực hiện

Lê Vũ Ngọc Quang Đậu Thanh Huấn

MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT

DANH MỤC CÁC HÌNH

LỜI NÓI ĐẦU 1

CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH

1.1 KHÁI NIỆM CƠ BẢN 12

1.1.1 Định nghĩa 12

1.1.2 Kiến trúc mạng 12

1.1.3 Mô hình mạng 14

1.1.4 Phương tiện truyền dẫn 15

1.1.4.1 Cáp 15

1.4.1.2 Thiết bị không dây 16

1.1.5 Hệ điều hành mạng 16

1.2 MẠNG LAN VÀ WAN 17

1.2.1 Giao thức và mô hình truyền thông 17

1.2.1.1 Khái niệm giao thức 17

1.2.1.2 Mô hình OSI 17

1.2.1.3 Các giao thức phổ biến 18

1.2.2 Mạng LAN 20

1.2.2.1 Bốn tiêu chí mạng LAN 20

1.2.2.2 Thiết bị phần cứng 20

1.2.2.3 Các thiết bị mạng 20

1.2.2.4 Các chuẩn LAN 21

1.2.3 Mạng WAN 22

1.2.3.1 Thành phần của WAN 22

1.2.3.2 Các chuẩn WAN 23

1.3 CÁC DỊCH VỤ TRÊN MẠNG INTERNET 24

1.3.1 Dịch vụ truy nhập từ xa 24

1.3.2 Dịch vụ truyền tệp (FTP) 25

1.3.3 Dịch vụ Gopher 25

1.3.4 Dịch vụ WAIS 25

1.3.5 Dịch vụ World Wide Web 25

1.3.6 Dịch vụ thư điện tử (E mail) 26

1.4 CƠ BẢN AN TOÀN MẠNG 26

1.4.1 Các hiểm họa trên mạng 26

1.4.1.1 Các lỗ hổng loại C 26

1.4.1.2 Các lỗ hổng loại B 27

1.4.1.3 Các lỗ hổng loại A 27

1.4.2 Các phương pháp tấn công trên mạng 27

1.4.2.1 Virus 27

1.4.2.2 Treo cứng hệ thống 27

1.4.2.3 Từ chối dịch vụ 28

1.4.2.4 Lợi dụng chương trình 28

1.4.3 Các phương pháp bảo mật 28

1.4.3.1 Xác thực (Authentication): 28

1.4.3.2 Điều khiển truy cập (Access Control): 28

1.4.3.3 Mã hóa dữ liệu (Data Encryption): 28

1.4.3.4 Chính sách (Auditing): 29

1.4.4 FIREWALL 29

1.4.1 Khái niệm cơ bản 29

1.4.2 Các kiểu firewall 29

CHƯƠNG 2 TỔNG QUAN VỀ CÔNG NGHỆ VPN 31

2.1 KHÁI QUÁT CHUNG 31

2.1.1 Lịch sử hình thành và phát triển 31

2.1.2 Khái niệm VPN 32

2.2 PHÂN LOẠI VPN 33

2.2.1 VPN truy cập từ xa (Remote Access) 34

2.2.2 VPN điểm nối điểm (Site to Site) 34

2.3 SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN 35

2.3.1 Bộ xử lý trung tâm VPN 35

2.3.2 Router dùng cho VPN 36

2.3.3 Tường lửa PIX của Cisco 36

2.4 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN 37

2.4.1 Tính tương thích 37

2.4.2 Tính bảo mật 37

2.4.3 Tính khả dụng 38

2.4.4 Khả năng hoạt động tương tác 38

2.5 THIẾT LẬP KẾT NỐI TUNNEL 38

2.5.1 Các loại giao thức 38

2.5.2 Kỹ thuật Tunneling trong mạng VPN 39

2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 39

2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm 39

2.6 CÁC GIAO THỨC SỬ DỤNG TRONG VPN 40

2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) 40

2.6.2 Giao thức định đường hầm lớp 2- L2TP( Layer 2 Tunneling Protocol ) .41

2.6.3 Giao thức bảo mật IP – Ipsec 42

2.7 LỢI ÍCH CỦA VPN 42

2.7.1 Đối với khách hàng 42

2.7.2 Đối với nhà cung cấp dịch vụ 43

2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 43

2.8.1 Ưu điểm 43

2.8.2 Nhược điểm 44

CHƯƠNG 3 THIẾT KẾ VÀ CÀI ĐẶT MÔ HÌNH VPN 45

3.1 TÌNH HUỐNG 45

3.2 PHÂN TÍCH VÀ THIẾT KẾ MÔ HÌNH CLIENT TO SITE 45

3.2.1 Thiết bị sử dụng 45

3.2.2 Hệ điều hành và giao thức 46

3.3 MÔ HÌNH TRIỂN KHAI 47

3.4 CÁC BƯỚC CÀI ĐẶT 48

3.4.1 Trên máy Domain Controller tạo Group VPN và User 48

3.4.1.1 Tạo Group VPN 48

3.4.1.2 Tạo User 49

3.4.1.3 Thêm User tu1 vào Group VPN 51

3.4.2 Cài đặt và cấu hình Radius Server 52

3.4.2.1 Các bước cài đặt 52

3.4.3 Cài đặt và cấu hình VPN Server dùng Radius Server chứng thực bằng username, password 55

3.4.4 Cài đặt và kết nối máy Client 61

3.4.4.1 Cài đặt 61

3.4.4.2 Kết nối 64

3.5 THIẾT KẾ MÔ HÌNH SITE TO SITE……… 65

3.5.1 TÌNH HUỐNG……….65

3.5.2 PHÂN TÍCH VÀ THIẾT KẾ MÔ HÌNH SITE TO SITE……… 65

3.5.2.1THIẾT BỊ SỬ DỤNG……….……… 65

3.5.2.2 HỆ ĐIỀU HÀNH VÀ GIAO THỨC………66

3.5.3 MÔ HÌNH TRIỂN KHAI………66

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 73

TÀI LIỆU THAM KHẢO 74

DANH MỤC CÁC TỪ VIẾT TẮT

SỐ TT CỤM TỪ VIẾT TẮT

06 Transmission Control Protocol/Internet

08 Wide Area Information Server/ Service WAIS

29 Remote Authentication Dial-In User Service RADIUS

10 Hình 10 Cáp xoắn đôi UTP

25 Hình 25 Application level gateway

26 Hình 26 Circuit level gateway

27 Hình 27 Proxy Server Firewall

33 Hình 33 Tường lửa PIX của Cisco

34 Hình 34 Mô hình Tunneling truy cập từ xa

35 Hình 35 Mô hình Tunneling điểm nối điểm

LỜI NÓI ĐẦU

Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sựbùng nổ thông tin Cùng với sự phát triển như vũ bão của các phương tiệntruyền thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triểnkhông ngừng Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầubức thiết cho mọi người Với internet, bức tường ngăn cách giữa các quốc gia,giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi.Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và các ứngdụng trên internet là vô cùng phong phú Từ các ứng dụng truy xuất từ xanhư: NC (Network Computer), WWW,VPN… thì mạng máy tính đồng thờicung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử (Email),tin tức, các hệ quản trị dữ liệu phân bố……

Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữacác cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bímật, các tài nguyên thông tin cũng tăng lên Theo thông kê, số vụ tấn công vàxâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so vớinăm trước

Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khitham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọngkhông bị sao chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng caocủa dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuậntiện, nhanh chóng… Vấn đề này đã trở nên hết sức quan trọng Tuy nhiên đểcho người quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần cónhững công cụ hữu hiệu

Với lý do trên, chúng em chọn đề tài “Thiết kế và triển khai VPN cho

mạng Lan” là đề tài nguyên cứu của chúng em

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết

nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoàithông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng

ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thôngtrên một hệ thống mạng riêng.

Nội dung của đề tài chia làm bốn chương:

Chương 1 Tổng quan về mạng máy tính

Giới thiệu kiến thức cơ bản về mạng, mô hình mạng, giao thức mạng,

hệ điều hành mạng, mô hình OSI, các thiết bị cơ bản trong mạng LAN vàWAN, các dịch vụ trên mạng, các hiểm họa và phương pháp tấn công trênmạng Bên cạnh đó tìm hiểu về Firewall và mạng VPN

Chương 2 Tổng quan về công nghệ VPN

Giới thiệu khái quát chung, phân loại, các sản phẩm công nghệ, cácgiao thức, các kỹ thuật Tunneling, lợi ích, ưu và nhược điểm của công nghệVPN

Chương 3 Thiết kế và riển khai cài đặt mô hình VPN

Các bước cài đặt chủ yếu và những chú ý cần thiết khi triển khai mô hình

CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH 1.1 KHÁI NIỆM CƠ BẢN

1.1.1 Định nghĩa

Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theomột cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau

Hình 1 Mô hình mạng cơ bản 1.1.2 Kiến trúc mạng

 Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nốivào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm vàchuyển tín hiệu đến trạm đích với phương thức kết nối là “điểm -điểm”

Hình 2 Cấu trúc mạng dạng sao

 Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đềuđược nối vào một đường dây truyền chính (bus) Đường truyền chínhnày được giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi làterminator (dùng để nhận biết là đầu cuối để kết thúc đường truyền tạiđây) Mỗi trạm được nối vào bus qua một đầu nối chữ T (T_connector)hoặc một bộ thu phát (transceiver)

Hình 3 Cấu trúc mạng dạng tuyến

 Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhauthành một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi mộttrạm có thể nhận và truyền dữ liệu theo vòng một chiều và dữ liệuđược truyền theo từng gói một

1.1.3 Mô hình mạng

 LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trongmột khu vực bán kính hẹp thông thường khoảng vài trăm mét Kết nốiđược thực hiện thông qua các môi trường truyền tốc độ cao, ví dụ cápđồng trục hay cáp quang LAN thường được sử dụng trong nội bộ một

cơ quan/tổ chức…, các LAN có thể kết nối với nhau thành WAN

Hình 6 Mô hình mạng LAN

 MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm

vi một thành phố Kết nối này được thực hiện thông qua các môi trườngtruyền thông tốc độ cao (50-100 Mbit/s)

Hình 7 Mô hình mạng MAN

 WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trongnội bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục.thông thường kết nối này được thực hiện thông qua mạng viễn thông.Các WAN có thể được kết nối với nhau thành GAN hay tự nó đã làGAN

Hình 8 Mô hình mạng WAN

 GAN (Global Area Network) - Kết nối các máy tính từ các châu lụckhác nhau Thông thường kết nối này được thực hiện thông qua mạngviễn thông và vệ tinh

1.1.4 Phương tiện truyền dẫn

1.1.4.1 Cáp

 Cáp xoắn đôi (Twisted pair cable)

- Dùng phổ biến cho mạng LAN

Hình 10 Cáp xoắn đôi UTP

 Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hailoại là cáp dày (Thick cable) và cáp mỏng (Thin cable)

Hình 11 Cáp đồng trục

 Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễutốt

Hình 12 Cáp quang 1.1.4.2 Thiết bị không dây

 Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps

 Microwave: truyền dữ liệu với băng thông rộng hơn radio

 Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu

1.1.5 Hệ điều hành mạng

 Windows NT/2000: Windows NT là một hệ điều hành cấp cao củaWindows cung cấp các thao tác hoàn toàn 32-bit trên các hệ thống đơnhay đa xử lý Hệ nầy xây dựng sẵn các độ an toàn đáp ứng được các

xếp loại của chính phủ và hỗ trợ mạng tối ưu để thi hành các ứng dụngback-end cho rất nhiều khách (client) Đồng thời hệ điều hànhWindows NT được thiết kế đặc biệt để phục vụ những nhu cầu củangười sử dụng mạng và cung cấp hiệu năng làm việc và độ an toàn ởcấp cao.

 UNIX: Một hệ điều hành được dùng trong nhiều loại máy tính khácnhau, từ các máy tính lớn cho đến các máy tính cá nhân, nó có khảnăng đa nhiệm phù hợp một cách lý tương đối với các ứng dụng nhiềungười dùng UNIX được viết bằng ngôn ngữ lập trình rất linh động,ngôn ngữ C và cũng như C, đó là thành quả nghiên cứu của AT & TBell Laboratories UNIX là một môi trường lập trình toàn diện, nó diễnđạt một triết lý lập trình duy nhất Tuy nhiên với hơn 200 lệnh không

kể các thông báo lỗi, và với những cú pháp lệnh khó hiểu UNIX là mộtgánh nặng cho những người không quen sử dụng và không giỏi kỹthuật Với sự phát triển các shell của UNIX, hệ điều hành này có thểđóng một vai trò phổ dụng hơn trong điện toán

 Linux: Linux là hệ điều hành “giống” Unix - 32 bit chạy được trênnhiều trạm bao gồm các bộ xử lý Intel, SPARC, PowerPC và DECAlpha cũng như những hệ thống đa xử lý Hệ điều hành nầy là miễnphí, bạn có thể tải nó xuống từ web hay bạn có thể mua một quyển sách

có chứa một CD-ROM với toàn bộ hệ điều hành như: “Linux: TheComplete Reference” của Richard Peterson (Berkeley, CA:Osborne/McGraw-Hill, 1996)

1.2 MẠNG LAN VÀ WAN

1.2.1 Giao thức và mô hình truyền thông

1.2.1.1 Khái niệm giao thức

Là một chuẩn của tổ chức mạng đưa ra cho phép các máy tínhtrên mạng giao tiếp vơi nhau một cách thống nhất

1.2.1.2 Mô hình OSI

Năm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO (InternationalStandard Organization) chính thức đưa ra mô hình OSI (Open Systems

Interconnection), là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dànhcho việc kết nối các thiết bị không cùng chủng loại.

Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động,thiết bị và giao thức mạng khác nhau

Hình 13 Mô hình OSI

 Tầng vật lý (Physical): là tầng thấp nhất, có chức năng là truyền dòng bit không có cấu trúc qua đường truyền vật lý

 Tầng liên kết dữ liệu (Data Link): cung cấp phương tiện để

truyền thông tin qua liên kết vật lý đảm bảo tin cậy

 Tầng mạng (Network): thực hiện việc chọn đường và chuyển tiếpthông tin với công nghệ chuyển mạch thích hợp

 Tầng giao vận/vận tải (Transport): thực hiện truyền dữ liệu giữa hai đầu mút, kiểm soát lỗi

 Tầng phiên (Session): cung cấp phương tiện quản lý truyền thônggiữa các ứng dụng

 Tầng trình diễn (Presentation): chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trườngOSI và nén, mã hóa dữ liệu

 Tầng ứng dụng (Applications): xác định giao diện giữa người sử dụng và môi trường OSI

1.2.1.3 Các giao thức phổ biến

 Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của mô

hình OSI Ưu thế chính của bộ giao thức này là khả năng liên kếthoạt động của nhiều loại máy tính khác nhau Giao thức này đã

trở thành tiêu chuẩn thực tế cho kết nối liên mạng cũng như kếtnối Internet toàn cầu.

Hình 14 Giao thức TCP/IP

 IPX/SPX: Đây là bộ giao thức sử dụng trong mạng Novell Ưu

thế chính là nhỏ, nhanh và hiệu quả trên các mạng cục bộ đồngthời hỗ trợ khả năng định tuyến

Microsoft Bất lợi chính của bộ giao thức này là không hỗ trợđịnh tuyến và sử dụng giới hạn ở mạng dựa vào Microsoft.

1.2.2 Mạng LAN

1.2.2.1 Bốn tiêu chí mạng LAN

 Phương tiện truyền dẫn

 Quy tắc và chuẩn (giao thức)

Link

Hình 18 Hub 1.2.2.2.3 Cầu nối (Bridge): làm việc trên tầng Data

Link

Hình 19 Bridge 1.2.2.2.4 Bộ chuyển mạch (Switch): có hai loại là

Switch lớp 2 làm việc trên tầng Data Link và Switch lớp 3 làm việc trên tầng Network của mô hình OSI

Hình 20 Switch 1.2.2.3 Các chuẩn LAN

Chuẩn Viện công nghệ điện và điện tử (IEEE): Tiêu chuẩn IEEELAN được phát triển dựa vào Ủy ban IEEE 802

X series bao gồm các tiêu chuẩn OSI

Chuẩn cáp và chuẩn giao tiếp EIA

Các tiêu chuẩn EIA dành cho giao diện nối tiếp giữa modem và máytính

 Chuyển mạch thông báo (Switching message): thông báo làmột đơn vị thông tin có đối tượng và nội dung Đường đi củathông báo không cố định và thông báo có thể chuyển đi trênnhiều đường.

 Chuyển mạch gói (Switching packet): packet là những gói tinđược chia ra, mỗi gói đều có phần thông tin điều khiển(header, trailer) cho biết nguồn gửi và đích nhận Các gói tin

có thể đến và đi theo những đường khác nhau, được lưu trữrồi chuyển tiếp khi đi qua nút trung gian

1.2.3.1.2 Phương tiện truyền dẫn

 Bộ điều giải (Modems)

Hình 21 Modems

 Cổng ra vào (Gateway)

Hình 22 Gateway

 Bộ định tuyến (Router)

Hình 23 Router 1.2.3.2 Các chuẩn WAN

 ISDN (Intergrated Services Digital Network): là một loạimạng viễn thông số tích hợp đa dịch vụ cho phép sử dụngcùng một lúc nhiều dịch vụ trên cùng một đường dây điệnthoại thông thường Người dùng cùng một lúc có thể truy cậpmạng WAN và gọi điện thoại, fax mà chỉ cần một đường dâyđiện thoại duy nhất, thay vì 3 đường nếu dùng theo kiểu thôngthường

 ATM (Asynchronous Tranfer Mode) hay Cell relay: hiện nay

kỹ thuật Cell Relay dựa trên phương thức truyền thông khôngđồng bộ (ATM) có thể cho phép thông lượng hàng trămMbps Đơn vị dữ liệu dùng trong ATM được gọi là tế bào(cell) Các tế bào trong ATM có độ dài cố định là 53 bytes,trong đó 5 bytes dành cho phần chứa thông tin điều khiển(cell header) và 48 bytes chứa dữ liệu của tầng trên

 X.25: được CCITT công bố lần đầu tiên vào năm 1970 X.25cung cấp quy trình kiểm soát luồng giữa các đầu cuối đem lạichất lượng đường truyền cao cho dù chất lượng mạng lướiđường dây truyền thông không cao X.25 được thiết kế cho cảtruyền thông chuyển mạch lẫn truyền thông kiểu điểm nốiđiểm, được quan tâm và triển khai nhanh chóng trên toàn cầu

 Frame Relay: công nghệ này ra đời có thể chuyển nhận cáckhung truyền lớn tới 4096 byte và không cần thời gian choviệc hỏi đáp, phát hiện lỗi và sửa lỗi ở lớp 3 (No protocol atNetwork layer) nên Frame Relay có khả năng chuyển tảinhanh hơn hàng chục lần so với X.25 ở cùng tốc độ FrameRelay rất thích hợp cho truyền số liệu tốc độ cao và cho kếtnối LAN to LAN và cho cả âm thanh, nhưng điều kiện tiênquyết để sử dụng công nghệ Frame Relay là chất lượng mạngtruyền dẫn phải cao

1.3 CÁC DỊCH VỤ TRÊN MẠNG INTERNET

1.3.1 Dịch vụ truy nhập từ xa

Telnet cho phép người sử dụng đăng nhập từ xa vào hệ thống từ mộtthiết bị đầu cuối nào đó trên mạng Với Telnet người sử dụng hoàn toàn cóthể làm việc với hệ thống từ xa như thể họ đang ngồi làm việc ngay trước mànhình của hệ thống kết nối Telnet là một kết nối TCP dùng để truyền dữ liệuvới các thông tin điều khiển

1.3.2 Dịch vụ truyền tệp (FTP)

Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp dữ liệugiữa các máy tính khác nhau trên mạng FTP hỗ trợ tất cả các dạng tệp, trênthực tế nó không quan tâm tới dạng tệp cho dù là tệp văn bản mã ASCII hay

các tệp dữ liệu dạng nhị phân Với cấu hình của máy phục vụ FTP, có thể quyđịnh quyền truy cập của người sử dụng với từng thư mục lưu trữ dữ liệu, tệp

dữ liệu cũng như giới hạn số lượng người sử dụng có khả năng cùng một lúc

có thể truy nhập vào cùng một nơi lưu trữ dữ liệu

1.3.3 Dịch vụ Gopher

Trước khi Web ra đời Gopher là dịch vụ rất được ưa chuộng Gopher làmột dịch vụ chuyển tệp tương tự như FTP, nhưng nó hỗ trợ người dùng trongviệc cung cấp thông tin về tài nguyên Client Gopher hiển thị một thực đơn,người dùng chỉ việc lựa chọn cái mà mình cần kết qủa của việc lựa chọnđược thể hiện ở một thực đơn khác

Gopher bị giới hạn trong kiểu các dữ liệu Nó chỉ hiển thị dữ liệu dưới dạng

mã ASCII mặc dù có thể chuyển dữ liệu dạng nhị phân và hiển thị nó bằngmột phần mềm khác

1.3.4 Dịch vụ WAIS

WAIS (Wide Area Information Serves) là một dịch vụ tìm kiếm dữliệu WAIS thường xuyên bắt đầu việc tìm kiếm dữ liệu tại thư mục của máychủ, nơi chứa toàn bộ danh mục của các máy phục vụ khác Sau đó, WAISthực hiện tìm kiếm máy phục vụ thích hợp nhất WAIS có thể thực hiện côngviệc của mình với nhiều loại dữ liệu khác nhau như văn bản ASCII, GIF, điệnthư…

1.3.5 Dịch vụ World Wide Web

World Wide Web (WWW hay Web) là một dịch vụ tích hợp, sử dụngđơn giản và có hiệu qủa nhất trên Internet Web tích hợp cả FTP, WAIS,Gopher Trình duyệt Web có thể cho phép truy nhập vào tất cả các dịch vụtrên

Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText MarkupLanguage) hay còn gọi là ngôn ngữ đánh dấu siêu văn bản Siêu văn bản làvăn bản bình thường cộng thêm một số lệnh định dạng HTML có nhiều cáchliên kết với các tài nguyên FTP, Gopher server và Web server Web server làmáy phục vụ Web, đáp ứng các yêu cầu về truy nhập tài liệu HTML Webserver trao đổi các tài liệu HTML bằng giao thức HTTP (HyperText TransferProtocol) hay còn gọi là giao thức truyền siêu văn bản

Trình duyệt Web (Web client) là chương trình để xem các tài liệu Web.Trình duyệt Web gửi các URL đến máy phục vụ Web sau đó nhận trang Web

từ máy phục vụ Web dịch và hiển thị chúng Khi giao tiếp với máy phục vụWeb thì trình duyệt Web sử dụng giao thức HTTP Khi giao tiếp với mộtGopher server thì trình duyệt Web hoạt động như một Gopher client và sửdụng giao thức gopher Trình duyệt Web có thể thực hiện các công việc khácnhau như ghi trang Web vào đĩa, gửi Email, hiển thị tệp HTTP nguồn củatrang Web,…Hiện nay có hai trình duyệt Web được sử dụng nhiều nhất làInternet Explorer và Netscape, ngoài ra còn một số trình duyệt khác nhưOpera, Mozila,…

1.3.6 Dịch vụ thư điện tử (E mail)

Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụ thông dụngnhất trong mọi hệ thống mạng dù lớn hay nhỏ Thư điện tử được sử dụng rộngrãi như một phương tiện giao tiếp hàng ngày trên mạng nhờ tính linh hoạt vàphố biến của nó Từ các trao đổi thư tín thông thường, thông tin quảng cáo,tiếp thị, đến những công văn, báo cáo hay kể cả những bản hợp đồng thươngmại, chứng từ,…tất cả đều được trao đổi qua thư điện tử

1.4 CƠ BẢN AN TOÀN MẠNG

1.4.1 Các hiểm họa trên mạng

Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trênmạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn côngvào mạng Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lạithường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặccho phép truy nhập không hợp pháp vào hệ thống

1.4.1.1 Các lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấncông theo DoS (Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểmthấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn

hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợppháp

1.4.1.2 Các lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệthống mà không cần thực hiện kiểm tra tính hợp lệ Đối với dạng lỗ hổng này,mức độ nguy hiểm ở mức độ trung bình Những lỗ hổng này thường có trongcác ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảomật

1.4.1.3 Các lỗ hổng loại A

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truynhập vào hệ thống bất hợp pháp Lỗ hổng này rất nguy hiểm, có thể làm pháhủy toàn bộ hệ thống

Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mậtcủa hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quảntrị yếu kém hoặc không kiểm soát được cấu hình mạng

1.4.2 Các phương pháp tấn công trên mạng

1.4.2.1 Virus

Virus tin học là một phần mềm máy tính mang tính lây lan (kýsinh) và có thể phá hoại dữ liệu Tính lây lan của Virus là khả năng tự saochép của Virus từ đối tượng bị nhiễm sang đối tượng khác và làm cho nónhân bản nhanh chóng Đối tượng bị nhiễm là các tệp ( như chương trình, dữliệu, thư điện tử, văn bản, macro…) và môi trường lan truyền bao gồm mạng,đường truyền và các loại bộ nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD,đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây lan và tất nhiên cũng cónhiều cách phá hoại khác nhau Virus máy tính có nhiều chủng họ, chẳng hạnnhư Boot, File, Macro, Trojan, Worm, Polymorphic, Hoaxes

Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biếnhiện nay Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và táchại gây ra bởi virus là rất lớn và thật khó lường

1.4.2.2 Treo cứng hệ thống

Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấncông qua những giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mailbombing) qua giao thức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giaothức TCP Trong đó, tấn công "ngập lụt" là kiểu tấn công phổ biến

1.4.2.4 Lợi dụng chương trình

Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵntrong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ.Phần lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợidụng

1.4.2.5 Giả mạo địa chỉ IP

Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IPspoofing) cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ điđến từ một địa chỉ IP khác với địa chỉ của hacker nhằm che đậy dấu vết Kỹthuật này kết hợp với các kiểu tấn công chủ động khác như lặp lại hoặc thayđổi các thông điệp

1.4.3 Các phương pháp bảo mật

1.4.3.1 Xác thực (Authentication): là quá trình xử lý và

giám sát người sử dụng trong quá trình logon hay truy cập bất kỳ vàotài nguyên mạng Ta có thể xác thực bằng các phương pháp như sửdụng mật mã (password), khóa (key), dấu vân tay (fingerprints),…

1.4.3.2 Điều khiển truy cập (Access Control): giới hạn

quyền truy cập của người dùng vào tài nguyên hệ thống và cho phépnhững ai có quyền truy cập vào

1.4.3.3 Mã hóa dữ liệu (Data Encryption): nhằm mục đích

không cho người khác đánh cắp dữ liệu Khi dữ liệu gửi đi thì có kèmtheo một khóa (key), nếu ai có khóa trùng với khóa đó mới đọc đượcnội dung của dữ liệu gửi tới

1.4.3.4 Chính sách (Auditing): nhằm mục đích quản lý

người sử dụng trong hệ thống như giám sát quá trình đăng nhập vào hệthống, chỉnh sửa dữ liệu và một số vấn đề khác

1.4 FIREWALL

1.4.1 Khái niệm cơ bản

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trongxây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin,Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truycập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâmnhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơchế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng

Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bênngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quytắc hay chỉ tiêu định trước

Hình 24 Firewall

1.4.2 Các kiểu firewall

 Firewall dựa trên Application level gateway

Hình 25 Application level gateway

 Cổng vòng (Circuit level gateway)

Hình 26 Circuit level gateway

 Proxy Server Firewall

Hình 27 Proxy Server Firewall

CHƯƠNG 2

TỔNG QUAN VỀ CÔNG NGHỆ VPN 2.1 KHÁI QUÁT CHUNG

2.1.1 Lịch sử hình thành và phát triển

Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kếtnối một cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông quamạng diện rộng WAN PBX hệ thống điện thoại nhóm (group telephone) hoặcmạng cục bộ LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chứcmạng chuyên dung để thực hiện nối thông

Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loạinghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loạichuyển mạch cho các hộ khách thương mại loại lớn Kết cấu của nó là lấytổng đài chuyển tiếp E 10 N3 của Alcatel làm cơ sở thông qua dây thuêchung, nối các bộ phận của công ty lớn đến thiết bị tập trung này, đặt tạiParis Colisee có thể cung cấp phương án gọi số chuyên dụng cho hộ khách.Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác(như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệpvụ…) Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hìnhthức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cungcấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách.Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện nàyrất hẹp, chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếpnhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên khôngthực sự linh hoạt

Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của

Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng

ảo, có tên riêng là SDN (Software Defined Network – mạng được định nghĩabằng phần mềm), Vnet và VPN, đây được coi như là một phương tiện tươngđối rẻ tiền dùng để thay thế cho dây chuyên dùng Do chi phí VPN rẻ hơn dâythuê dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau, được

áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên nhiều hộ khách cómạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp vụ VPN

một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏcũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chiphí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này tại Mỹ.Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùngcho nghiệp vụ dữ liệu.

Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triểnnhanh chóng của VPN trên toàn cầu Sự hình thành của một số tổ chứcthương mại tầm cỡ thế giới và liên minh kinh tế có tính khu vực, như liênminh Châu Âu chẳng hạn, làm cho tỷ trọng thương mại quốc tế hóa tăng lênrất nhiều, từ đó cũng dẫn đến sự tăng trưởng nhu cầu dịch vụ viễn thông quốc

tế Một số liên minh và công ty đa quốc gia cần có mạng lưới toàn cầu phứctạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới của

họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng

Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quảnhu cầu của số hộ khách này Và so với đường dây trong nước, có thể tiếtkiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công tyhay tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển

từ các mạng chuyên dùng đã được thiết lập sang sử dụng VPN Một số hộkhách thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùngVPN, như hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đốilớn, mục đích là nhằm có thể đạt được tỷ lệ tính năng trên giá cả tốt nhấttrong việc sử dụng nghiệp vụ VPN Nhờ có những ảnh hưởng đó, nghiệp vụVPN quốc tế (IVPN) hay còn gọi là VPN toàn cầu (GPN), đã phát triển nhanhnhất

2.1.2 Khái niệm VPN

Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho

những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt độngrộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến

từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian

Hình 28 Mô hình mạng VPN cơ bản

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Vănphòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kếtnối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cậpđến từ bên ngoài

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với mộtmạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp nhưđường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internetgiữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual PrivateNetwork) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp.Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thànhbởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một

tổ chức riêng rẽ Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các

tổ chức có nhu cầu thiết lập mạng dùng riêng

2.2 PHÂN LOẠI VPN

Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN Trước tiên, cácmạng VPN có thể kết nối hai mạng với nhau Điều này được biết đến nhưmột mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN Thứhai, một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng

2.2.1 VPN truy cập từ xa (Remote Access)

Remote Access, hay còn gọi là virtual private dial-up network (VPDN).Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc

hạ tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viênmuốn kết nối từ xa đến mạng cục bộ công ty bằng dial-up Khi công ty muốnthiết lập Remote access trên qui mô rộng, có thể thuê một ESP (EnterpriseService Provider) và ESP này sẽ thiết lập một NAS (Network Access Server),người dùng từ xa sẽ quay số truy cập đến NAS và dùng một phần mềm VPNđầu cuối để kết nối với mạng cục bộ của công ty Đường truyền trong AccessVPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL)

Hình 29 Mô hình VPN truy cập từ xa 2.2.2 VPN điểm nối điểm (Site to Site)

Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết

bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt độngtrên nền Internet Site to Site VPN gồm 2 loại:

 Các VPN nội bộ (Intranet VPN )

Đây là kiểu kết nối site to site VPN Các chi nhánh có riêng một SeverVPN và kết nối lại với nhau thông qua Internet Và các chi nhánh này sẽ kếtnối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nốiLAN to LAN

 Các VPN mở rộng ( Extranet VPN )

Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như mộtđối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPNnhằm kết nối Lan to Lan và cho phép các công ty này cùng làm việc trao đổitrong một môi trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet).

Hình 30 Mô hình VPN điểm nối điểm 2.3 SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN

Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phảicài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thểlà:

 Phần mềm cho desktop của máy khách dành cho người sử dụng

từ xa

 Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewallbảo mật PIX

 Server VPN cao cấp dành cho dịch vụ Dial-up

 NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục

kế chuyên biệt cho loại mạng này Chúng chứa các module xử lý mã hóa SEP,cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền

tải Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từnhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc)

Hình 31 Bộ xử lý trung tâm VPN không dây 2.3.2 Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệđiều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợpcho mọi trường hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của cácdoanh nghiệp quy mô lớn

Hình 32 Router Cisco 2.3.3 Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồmmột cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, cáctính năng VPN và chặn truy cập bất hợp pháp