Với dịch vụ mạng riêng ảo VPN được cài đặt trên máy chủ Windows
Server 2008 sử dụng trong khóa luận này, em đã cấu hình thành công và hệ thống
đã hoạt động tốt theo mô hình kịch bản như đã trình bày. Tuy nhiên, vì không có
điều kiện triển khai thực tế nên hệ thống còn một số hạn chế khi kiểm tra tính bảo
mật của hệ thống. Khóa luận này em sử dụng phần mềm tạo máy ảo (Vmware) để
thiết lập một mạng riêng ảo VPN và qua đề tài khóa luận này em cũng đã nắm được
cơ bản khi muốn thiết lập mạng VPN để áp dụng vào thực tiễn.
42 trang |
Chia sẻ: lylyngoc | Lượt xem: 6554 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Luận văn Cấu hình VPN site to site trên Windows Server 2008, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
.........................................................................................1
LỜI CAM ĐOAN ......................................................................................................2
LỜI MỞ ĐẦU ............................................................................................................4
Chương 1. TỔNG QUAN CHUNG VỀ MẠNG VPN ............................................5
1.1.Giới thiệu...............................................................................................................5
1.2.Khái niệm VPN .....................................................................................................6
1.3.Các loại mạng VPN...............................................................................................7
1.4. Ưu điểm của VPN. ...............................................................................................8
1.5. Nhược điểm. .........................................................................................................9
Chương 2. KIẾN TRÚC CỦA MẠNG RIÊNG ẢO VPN ...................................11
2.1.Kiến trúc mạng riêng ảo VPN .............................................................................11
2.2.Các giao thức của VPN. ......................................................................................12
2.3.Các khối trong VPN. ...........................................................................................13
Chương 3. BẢO MẬT TRONG MẠNG RIÊNG ẢO VPN .................................14
3.1. Các dạng tấn công mạng. ...................................................................................14
3.2. Giao thức IP Security - IPSec ...........................................................................15
3.3. Giao thức Layer 2 Tunneling Protocol (L2TP). .................................................21
Chương 4: CẤU HÌNH VPN TRÊN WINDOWS SERVER 2008 ......................27
4.1. Một số yêu cầu cần thiết khi triển khai mạng VPN ...........................................27
4.2. Kịch b ả n VPN site to site ...................................................................................30
4.3. Cấ u hình VPN site to site trên Windows Server 2008 .......................................30
KẾT LUẬN ..............................................................................................................37
TÀI LIỆU THAM KHẢO ......................................................................................38
PHỤ LỤC: CÁC THUẬT NGỮ VIẾT TẮT ........................................................39
3
LỜI MỞ ĐẦU
Ngày nay, với các nhu cầu ngày càng cao của con người, khoa học và công
nghệ ngày càng phát triển để đáp ứng các nhu cầu đó. Trong mỗi tổ chức, mỗi
doanh nghiệp đều có cơ sở hạ tầng riêng của mình, chỉ khác nhau ở quy mô và cách
tổ chức. Mọi tổ chức, các doanh nghiệp ngày càng muốn phát triển để tăng lợi
nhuận, chính vì vậy cơ sở hạ tầng ngày càng được nâng cấp mở rộng để đáp ứng
cho các hoạt động đó. Đi kèm với việc công nghệ phát triển là sự mở rộng không
ngừng về quy mô và chất lượng của cơ sở vật chất, của hạ tầng mạng. Tất cả các tổ
chức, các doanh nghiệp đều khác nhau, nhưng sự ảnh hưởng của hệ thống mạng đối
với hoạt động của doanh nghiệp hầu như không thay đổi. Thực tế, khi doanh nghiệp
phát triển, mạng lưới phát triển không chỉ về quy mô và tính phức tạp, mà còn trong
ý nghĩa và giá trị. Hạ tầng mạng còn đặc biệt quan trọng khi mọi hoạt động của các
tổ chức, doanh nghiệp phụ thuộc hầu hết vào chúng.
VPN – Virtual Private Network ra đời sẽ là sự lựa chọn số một của các
doanh nghiệp, tổ chức, cơ quan khi muốn đảm bảo chắc chắn về độ an toàn, bảo mật
trong hệ thống mạng, cũng như về giải pháp tiết kiệm chi phí đầu tư cơ sở hạ tầng
mạng. VPN có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại
có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line.
Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế.
Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng
và hiệu quả hơn so với các giải pháp mạng diện rộng WAN. Với VPN, ta có thể
giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi
phí thường xuyên, mềm dẻo trong xây dựng.
4
CHƯƠNG 1. TỔNG QUAN CHUNG VỀ MẠNG VPN
1.1.Giới thiệu
Hiện nay, với sự phát triển mạnh mẽ như vũ bão của Internet về mặt mô hình
cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết
kế để nhằm kết nối các mạng con khác nhau lại với nhau và cho phép thông tin
chuyển đến người sử dụng một cách nhanh chóng mà không cần xét đến máy và
mạng mà người sử dụng đó đang sử dụng. Để làm được điều này, người ta sử dụng
một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN lại với nhau. Các
máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP – Internet
Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn phải
tiếp tục giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế và
rất nhiều dịch vụ hữu ích khác đã trở thành hiện thực. Tuy nhiên do Internet có
phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó
khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ.
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu
trên mà vẫn có thể tận dụng cơ sở hạ tầng hiện có của Internet, đó chính là mô hình
mạng riêng ảo (VPN – Virtual Private Network). Với mô hình mới này, người ta
không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ
tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng
này. VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn
phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ
tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa
các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường
truyền thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wire
Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng
công cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệm chi phí đầu tư.
5
1.2.Khái niệm VPN
VPN - Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1
mạng công cộng (ví dụ mạng internet) hoạt động giống như 1 mạng cục bộ, có cùng
các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưu thích. VPN cho
phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi
nhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng.
Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều
loại đường dây riêng… Trong khi đó VPN không bị những rào cản về chi phí như
các mạng WAN do được thực hiện qua một mạng công cộng.
Hình 1.1: Mô hình mạng VPN
Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng
nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập
từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access
quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn.
VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia
sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.
6
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê
bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của
một tổ chức với địa điểm hoặc người sử dụng ở xa.
Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường
thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên
ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và
thời gian.
1.3.Các loại mạng VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và
VPN điểm-nối-điểm (site-to-site) :
1.3.1.VPN truy cập từ xa (Remote-Access ):
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (Virtual Private
Dial-up Network - VPDN), là một kết nối người dùng đến LAN, thường là nhu cầu
của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất
nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến
một nhà cung cấp dịch vụ doanh nghiệp (Enterprises Service Provider - ESP). ESP
này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng
từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể
gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy
cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có
mật mã.
Nói cách khác, đây là dạng kết nối áp dụng cho các công ty mà các nhân viên
có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển
hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện
rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP. ESP cài đặt một công
nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm
7
client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-
800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy
cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng
lớn với hàng trăm nhân viên thương mại. Remote-access VPN đảm bảo các kết nối
được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua
một nhà cung cấp dịch vụ thứ ba (third-party).
Ví dụ trong hình 1.1 thì kết nối giữa Văn phòng chính và Văn phòng tại gia
hoặc nhân viên di động là loại VPN truy cập từ xa.
1.3.2.VPN điểm-nối-điểm (site-to-site):
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này
có thể dựa trên Intranet hoặc Extranet.
- Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham
gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ)
để nối LAN với LAN.
- Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một
công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một
VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có
thể làm việc trên một môi trường chung.
Ví dụ trong hình 1.1 thì kết nối giữa Văn phòng chính và Văn phòng từ xa là
loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN
Extranet.
1.4. Ưu điểm của VPN.
- Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPN đã
loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ
và mạng truyền tải như ISP, hay ISP's Point of Presence (POP).
8
- Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng
cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra
các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN
sử dụng trong VPN được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi
phí vận hành là nhân sự, tổ chức không mất chi phí để đào tạo và trả cho nhiều
người người quản lý mạng.
- Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho
kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập
toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết
nối dễ dàng với mạng intranet chính.
- Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông
qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN
sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy
quyền. Do đó VPN được đánh giá cao bảo mật trong truyền tin.
- Hiệu suất băng thông: Sự lãng phí băng thông khi không có kết nối Internet
nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành
khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích
hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
- Có thể nâng cấp dễ dàng: Bởi bì VPN dựa trên cơ sở Internet nên các nó
cho phép các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh
doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối
thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển
trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
1.5. Nhược điểm.
- Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng
VPN.
9
- Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay chưa hoàn toàn trên cơ
sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes)
và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN
không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải
quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin
SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất
làm việc của cả mạng.
- Nhược điểm của các thiết bị VPN hiện nay :
+ Khi có một gói tin được gửi thông qua mạng Internet giữa 2 mạng Intranet,
thì gói tin này được gửi đến mọi đường hầm trong mạng. Điều này khiến cho lưu
lượng thông tin trao đổi gia tăng một cách đáng kể.
+ Khi cấu hình mạng con thay đổi, các nhà quản trị mạng phải cập nhật, cấu
hình các thiết bị VPN theo phương pháp thủ công, chưa có những công cụ tự động
cập nhật lại tình trạng của các mạng con.
+ Khi cấu hình của các Intranet phức tạp, như bao gồm nhiều mạng con,
nhiều mạng bên trong, thì thông tin của Intranet bên trong không được lưu trữ một
cách trọn vẹn đầy đủ.
+ Thiết bị VPN hiện nay không hỗ trợ đối với những đường hầm được thiết
lập với cơ chế mã hóa có khóa thay đổi theo thời gian. Phương pháp mã hóa dữ liệu
trong những đường ống luôn được định trước, cả về phương pháp mã hóa, khóa mã
dữ liệu... Khi muốn thay đổi khóa mã hóa, nhà quản trị mạng phải thực hiện việc
thay đổi khóa một cách thủ công trên tất cả các thiết bị VPN trong VPN đó.
10
CHƯƠNG 2. KIẾN TRÚC CỦA MẠNG RIÊNG ẢO VPN
2.1.Kiến trúc mạng riêng ảo VPN
2.1.1.Đường hầm.
Không như những kết nối sử dụng đường kênh thuê riêng trong các mạng
truyền thống, VPN không duy trì những kết nối thường trực giữa các điểm cuối tạo
thành mạng công ty. Thay vào đó, một kết nối được tạo ra giữa các site khi cần đến.
Và khi kết nối này không còn cần thiết nữa thì nó sẽ bị hủy bỏ, làm cho băng thông
và các tài nguyên mạng khác sẵn sàng cho những kết nối khác sử dụng. Đó là phần
“ảo” trong VPN mang ý nghĩa linh động với các kết nối được thiết lập dựa trên nhu
cầu của tổ chức, doanh nghiệp.
Phần “ảo” trong VPN cũng mang ý nghĩa về cấu trúc logic của mạng được
hình thành chỉ cho những thiết bị mạng tương ứng của mạng đó, bất chấp cấu trúc
vật lý của mạng cơ sở (trong trường hợp này là Internet). Các thiết bị như bộ định
tuyến (router), chuyển mạch (switch) hay những thành phần mạng của các ISP được
giấu đi khỏi những thiết bị và người dùng của mạng ảo. Do đó, những kết nối tạo
nên mạng riêng ảo VPN không có cùng tính chất vật lý với những kết nối cố định
(hard-wired) được dùng trong mạng LAN. Việc che dấu cơ sở hạ tầng của nhà cung
cấp dịch vụ ISP và Internet được thực hiện bởi một khái niệm gọi là định đường
hầm (tunneling).
Để tạo ra một đường hầm, điểm cuối nguồn phải đóng gói (encapsulate) các
gói (packets) của mình trong những gói IP (IP packets) cho việc truyền qua Internet.
Việc đóng gói trong VPN có thể bao gồm việc mã hóa gói gốc và thêm vào một tiêu
đề IP (IP header) mới cho gói. Tại điểm cuối nhận, cổng nối (gateway) gỡ bỏ tiêu
đề IP và giải mã gói nếu cần thiết và chuyền gói nguyên thủy đến đích của nó.
2.1.2.Các dịch vụ bảo mật
Đây là tính riêng quan trọng của VPN. Một mạng VPN cần cung cấp bốn
chức năng giới hạn để đảm bảo độ bảo mật cho dữ liệu. Bốn chức năng đó là:
-
Xác thực (Authentication): đảm bảo dữ liệu đến từ một nguồn yêu cầu.
11
- Điều khiển truy cập (Access control): hạn chế việc đạt được quyền cho phép
vào mạng của những người dùng bất hợp pháp.
- Tin cậy (Confidentiality): ngăn không cho một ai đó đọc hay sao chép dữ
liệu khi dữ liệu được truyền đi qua mạng Internet.
- Tính toàn vẹn của dữ liệu (Data integrity): đảm bảo không một ai làm thay
đổi dữ liệu khi nó truyền đi trên mạng.
Nhưng việc thực hiện bảo mật tại những mức độ này có thể diễn ra hai hình
thức mà nó tác động đến trách nhiệm của một cá nhân cho việc bảo mật dữ liệu của
riêng mình. Bảo mật có thể được thực hiện cho các thông tin đầu cuối – đến – đầu
cuối (end – to – end communication), ví như giữa hai máy tính, hay giữa các thành
phần mạng khác với nhau, ví dụ như tường lửa hay bộ định tuyến. Trong trường
hợp cuối có thể được xem như bảo mật kết nối nút-nút (node-to-node security).
Máy trạm
::
r
Cổng nối
bảo mật 1
INTERNET
r
Cổng nối
bảo mật 2
:
:
Hình 2.1: So sánh bảo mật nút-nút và đầu cuối – đầu cuối
2.2.Các giao thức của VPN.
2.2.1.Các giao thức đường hầm và bảo mật
Có ba giao thức được thiết kế để làm việc ở lớp thứ 2, lớp liên kết dữ liệu,
gồm: giao thức chuyển tiếp lớp 2 – L2F, giao thức định đường hầm điểm – điểm
PPTP và giao thức định đường hầm lớp 2 – L2TP. Giao thức mạng VPN duy nhất
cho lớp 3 là IPSec.
Một số đặc điểm của những giao thức này:
12
- PPTP là một cơ chế xây dựng đường hầm điểm – điểm được tạo ra trước tiên
để hỗ trợ các gói đường hầm (packet tunneling) trong phần cứng máy chủ truy cập
từ xa.
- Giao thức định đường hầm lớp 2 được Cisco phát triển từ giao thức L2F của
họ.
- IPSec là một tiêu chuẩn được tạo ra để thêm vào tính bảo mật cho mạng
TCP/IP.
2.2.2.Các giao thức quản trị.
Với kết nối client – LAN dùng đường hầm PPTP và L2TP thì sử dụng
giao thức quản trị là RADIUS (Remote Authemtication Dial-In User Service),
là giao thức dùng cho xác thực và tính cước.
Với kết nối LAN – LAN dùng giao giao thức quản trị ISAKMP/Oakley, là
một biến thể của giao thức IPSec.
2.3.Các khối trong VPN.
Theo hình 3.3, chúng ta thấy có bốn thành phần chính của một mạng VPN,
đó là: Internet, cổng nối bảo mật (security gateway), máy chủ chính sách bảo mật
(security policy server) và cấp quyền CA (certificate authority).
Mạng LAN
được bảo vệ
Hình 2.2: Các thành phần trong một mạng VPN
13
Mạng LAN
được bảo vệ
CHƯƠNG 3. BẢO MẬT TRONG MẠNG RIÊNG ẢO VPN
Một trong những mối quan tâm chính của bất kỳ tổ chức, công ty nào là việc
bảo mật dữ liệu của họ. Bảo mật dữ liệu chống lại các truy cập và thay đổi trái phép
không chỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính hay
giữa các mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập
hơn là khi dữ liệu vẫn còn trên một máy tính đơn.
Vấn đề bảo mật trên hệ thống mạng riêng ảo VPN dựa chủ yếu vào các vấn
đề về thiết lập đường hầm (tulneling), các dịch vụ bảo mật và các giao thức sử dụng
trong VPN. Những vấn đề trên đã được khái quát ở chương 2 (chương cấu trúc
VPN).
Chương 3 sẽ bàn về vấn đề bảo mật VPN và sẽ đi sâu hơn về hai giao thức
được chọn làm hai giao thức bảo mật trong khóa luận này là L2TP và IPSec.
Trước khi đi sâu vào vấn đề chính, chúng ta lướt qua các dạng tấn công
mạng hiện nay, từ đó sẽ có cái nhìn tổng quan hơn với việc bảo mật thế nào để ngăn
chặn những luồng tấn công đó:
3.1. Các dạng tấn công mạng.
3.1.1. Đánh lừa
Tấn công kiểu đánh lừa (spoofing) là việc một người tấn công có thể sử dụng
địa chỉ IP của một ai đó và giả vờ trả lời người khác.
3.1.2. Ăn cắp phiên
Trong ăn cắp phiên, thay vì cố gắng khởi tạo một phiên làm việc bằng cách
đánh lừa, người tấn công cố gắng tiếp quản một kết nối có sẵn giữa hai máy tính.
3.1.3. Nghe trộm
Nghe trộm là một cách tấn công khác xảy ra trên các mạng có môi trường
dùng chung giống nhau như những mạng IP trên cơ sở Ethernet. Hình thức này sử
dụng một loại phần mềm gọi là đánh hơi (sniffer) để ghi lại tất cả lưu lượng mạng
và có thể xâm nhập vào hệ thống mà người tấn công không có quyền truy nhập.
14
3.1.4. Tấn công ngay chính giữa
Một người tấn công sử dụng phương pháp đánh lừa, ăn cắp phiên và nghe
trộm có thể thu được một số trao đổi khóa, khóa này được người dùng trao đổi để sử
dụng cho mã hóa. Người tấn công có thể nhanh chóng tạo ra khóa riêng cho mình
trong tiến trình, vì thế trong khi người dùng tin rằng mình đang truyền thông với
một khóa của một thành viên, thì trên thực tế người dùng đó đang dùng một khóa đã
bị tấn công ngay chính giữa.
3.2. Giao thức IP Security - IPSec
Khác với giao thức nguyên thủy TCP/IP không bao gồm các đặc tính bảo
mật, họ giao thức IPSec có kiến trúc cơ bản gồm 2 loại tiêu đề được sử dụng trong
gói IP để điều khiển quá trình xác thực và mã hóa: một là xác thực tiêu đề IP-AH
(IP-Authentication Header) là điều khiển việc xác thực và hai là bọc gói bảo mật
tải ESP (Encapsulating Security Payload) cho mục đích mã hóa.
IPSec được phát triển nhắm vào họ giao thức kế tiếp là IPv6, nhưng do việc
chấp nhận IPv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã được
thay đổi cho phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tùy chọn đối với IPv4
nhưng đối với IPv6 thì đã có sẵn IPSec.
Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình
OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực
hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo
ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP,
hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL
và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng
dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc
sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì
đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
15
Hình 3.1 : IPSec và các giao thức được sử dụng trong VPN
3.2.1. Dạng thức của IPSec.
Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính đó là:
- Kết hợp bảo mật SA (Security Association).
- Xác thực tiêu đề AH (Authentication Header).
- Bọc gói bảo mật tải ESP (Encapsulating Security Payload).
- Chế độ làm việc.
3.2.1.1. Kết hợp bảo mật SA.
Để hai bên có thể truyền dữ liệu đã được bảo mật (dữ liệu đã được xác thực
hoặc được mã hóa hoặc cả hai) cả hai bên phải cùng thống nhất sử dụng giải thuật
mã hóa, làm thế nào để chuyển khóa và chuyển khóa nếu như cần. Cả hai bên cũng
cần thỏa thuận bao lâu thì sẽ thay đổi khóa một lần. Tất cả các thỏa thuận trên là do
SA đảm nhận. Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA
và có thể đòi hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA riêng
cho nó. Do đó, một gói được xác thực đòi hỏi một SA, một gói được mã hóa cũng
yêu cầu một SA. Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mã
hóa thì cũng cần phải có 2SA khác nhau do sử dụng những bộ khóa khác nhau.
3.2.1.2. Xác thực tiêu đề AH.
16
Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử
dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung phía
sau, không làm thay đổi gói dữ liệu.
Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter
Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).
Hai khái niệm mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói
biết họ giao thức bảo mật mà phía gửi dùng trong truyền thông và dữ liệu xác thực
Authentication Data mang thông tin về giải thuật mã hóa được định nghĩa bởi SPI.
Hình 3.2 : Xác thực tiêu đề AH
Khi nhận gói dữ liệu, đầu nhận sẽ tính toán giá trị bộ xác thực của riêng nó là
128bits hay 160 bits (tùy theo sử dụng loại nào), chia nhỏ nó ra tùy theo chiều dài
được chỉ định trong trường xác thực và so sánh giá trị của nó với giá trị xác thực
nhận được. Khi mà cả hai giống nhau thì dữ liệu không bị thay đổi trên đường
truyền. Do có thể có cuộc tấn công bằng cách chặn một loạt các gói và sau đó phát
17
lại chúng vào thời điểm sau nên AH cung cấp dịch vụ chống phát lại để ngăn chặn
các tấn công dựa trên cách thức trên.
Với AH, dữ liệu không được giữ bí mật. Nếu một kẻ tấn công chặn các gói
trên mạng lại và sử dụng một mật mã thích hợp thì cũng có thể đọc được nội dung
của dữ liệu mặc dù không thể thay đổi được nội dung của dữ liệu. Để bảo mật dữ
liệu chống lại việc nghe trộm chúng ta cần sử dụng thành phần thứ hai của IPSec
đó là ESP.
3.2.1.3. Bọc gói bảo mật tải ESP (Encapsulating Security Payload)
Bọc gói dữ liệu tải được sử dụng cho việc mã hóa dữ liệu. Cũng giống như
AH, ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của gói. Tuy nhiên
ESP có nhiệm vụ mã hóa dữ liệu nên nội dung gói sẽ bị thay đổi.
Hình 3.3: Bọc gói dữ liệu tải ESP.
Giống như AH, ESP cũng gồm có SPI (Security Parameter Index) để chỉ cho
bên nhận biết cơ chế bảo mật thích hợp cho việc xử lý gói. Số tuần tự (Sequence
Number) trong ESP là bộ đếm sẽ tăng mỗi khi một gói được gửi đến cùng một địa
18
chỉ và sử dụng cùng SPI. Số tuần tự chỉ ra có bao nhiêu gói được gửi đến có cùng
một nhóm các tham số. Số tuần tự giúp cho việc bảo mật chống lại các vụ tấn công
bằng cách chép các gói và gửi chúng sai thứ tự để làm rồi loạn quá trình truyền
thông. Phần còn lại của gói (ngoại trừ xác thực tiêu đề) sẽ được mã hóa trước khi
gửi lên mạng.
ESP cũng có thể sử dụng với mục đích xác thực. Trường xác thực ESP, một
trường tùy chọn trong ESP, bao gồm một tổng kiểm tra tổng mã hóa. Độ dài của
tổng kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng. Nó cũng có
thể được bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP. Xác thực
được tính toán sau khi tiến trình mã hóa dữ liệu đã hoàn thành.
Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thực trong
ESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đã bọc
gói trong chế độ đường hầm.
Hình 3.4: So sánh xác thực bởi AH và ESP
Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọn
xác thực trong ESP? AH chỉ sử dụng trong những trường hợp khi xác thực gói là
19
cần thiết. Mặt khác khi xác thực và tính riêng tư được yêu cầu thì sử dụng ESP với
tùy chọn xác thực sẽ tốt hơn. Sử dụng ESP cho mã hóa và xác thực, thay vì sử
dụng AH và ESP không có tùy chọn xác thực, sẽ giảm kích thước nên các gói sẽ
được xử lý hiệu quả hơn.
3.2.1.4. Chế độ làm việc trong IPSec
Có hai chế độ làm việc trong IPSec:
- Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói là
được xử lý. Chế độ này chỉ mã hóa phần payload của mỗi gói tin, nhưng bỏ đi phần
header. Nhược điểm của chế độ này là nó cho phép các thiết bị trong mạng nhìn
thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (như phân
tích lưu lượng) dựa trên các thông tin của tiêu đề IP. Tuy nhiên, nếu dữ liệu được
mã hóa bởi ESP thì sẽ không biết được thông tin cụ thể từ bên trong gói tin IP là gì.
- Chế độ đường hầm (Tunnel mode): Toàn bộ gói sẽ được xử lý cho mã hóa
xác thực. Chế độ này mã hóa cả phần header và payload để cung cấp sự thay đổi
bảo mật nhiều hơn của gói tin.
3.2.2. Quản lý khóa
Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao
khóa, do đó phải có cơ chế quản lý khóa. Có hai phương thức để chuyển khóa đó là
chuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange). Cả
hai phương thức này không thể thiếu trong IPSec. Phương thức chìa khóa trao tay
này chẳng hạn như khóa thương mại ghi trên giấy, trên đĩa mềm hay thông qua bưu
phẩm hoặc Email. Giao thức quản lý chuyển giao khóa mặc định trong IPSec là
Internet Key Exchange (IKE) là kết quả của kết hợp bảo mật Internet ISA (Internet
Security Association) và giao thức chuyển khóa (ISAKMP). IKE còn có tên gọi
khác là ISAKMP/Oakley.
3.2.3. Sử dụng IPSec
Trong các thành phần tạo nên một VPN như cổng nối bảo mật, LAN nội bộ,
Client truy cập từ xa, máy chủ truy cập... thì có 3 thành phần được trang bị IPSec
20
là: cổng nối bảo mật, client di động và các host. Tuy nhiên, không phải tất cả các
thiết bị đều cần phải cài phần mềm IPSec mà tùy theo yêu cầu của thiết kế mạng.
Ví dụ nếu cần tạo kết nối LAN-LAN VPN thì chỉ cần cổng nối bảo mật cài đặt
IPSec là đủ. Nếu cần cho các trạm làm việc từ xa quay số truy cập vào mạng thông
qua các ISP (Internet Service Provider) thì IPSec cần được cài trên các máy tính
của các đối tượng di động. Nếu muốn tạo một VPN mà tất cả các máy tính có thể
liên lạc với các máy tính thông qua giao thức IPSec thì cần phải cài đặt phần mềm
IPSec trên tất cả các máy tính.
3.2.4. Những hạn chế của IPSec.
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lập
kết nối VPN an toàn thông qua mạng Internet, nó vẫn còn ở trong giai đoạn phát
triển để hướng tới hoàn thiện. Sau đây là một số vấn đề đặt ra mà IPSec cần phải
giải quyết để hỗ trợ tốt hơn cho việc thực hiện VPN:
- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm
vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng
giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã
hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
- IKE vẫn là công nghệ chưa thực sự khẳng định được khả năng của mình.
Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số lượng lớn
các đối tượng di động.
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ
các dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề
khó đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế
đối với chính phủ một số quốc gia.
3.3. Giao thức Layer 2 Tunneling Protocol (L2TP).
L2TP là sự kết hợp của hai giao thức PPTP và giao thức chuyển tiếp lớp 2 -
L2F (Layer 2 Forwarding).
21
Hình 3.5: L2TP là sự kết hợp giữa PPTP và L2F
L2F là giao thức đường hầm, nó sử dụng giao thức đóng gói riêng cho việc
truyền các gói ở lớp 2. L2F không phụ thuộc vào IP và GRE (Generic Routing
Encapsulation – gói định tuyến chung), cho phép nó có thể làm việc ở môi trường
vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa
riêng cách thức các gói được điều khiển trong môi trường khác. L2F tận dụng PPP
để xác thực người dùng quay số truy cập. Nhưng nó cũng hỗ trợ TACACS+ và
RADIUS cho việc xác thực
3.3.1. PPTP và L2TP
Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là: thông báo
điều khiển và thông báo dữ liệu. Tuy nhiên, không giống như PPTP, L2TP truyền
cả hai thông báo vào trong một luồng. Nếu như đường hầm được truyền trên mạng
IP thì cả hai thông báo đều được gửi trên cùng gói dữ liệu UDP.
Thông báo điều khiển L2TP điều khiển việc thiết lập, quản lý và giải phóng
phiên làm việc trên đường hầm.
Do L2TP làm việc ở lớp thứ hai nên trong thông báo dữ liệu L2TP bao gồm
tiêu đề môi trường để chỉ ra đường hầm làm việc trong môi trường nào. Tùy theo
nhà cung cấp dịch vụ (ISP) mà môi trường có thể là Ethernet, X.25, Frame Relay,
ATM hay liên kết PPP.
Hình 3.6: Thông báo dữ liệu L2TP
22
L2TP sử dụng những lớp đường hầm tự nguyện và bắt buộc, tùy theo người
sử dụng client PPP hay client L2TP để khởi tạo kết nối.
3.3.2. Thành phần thiết lập đường hầm L2TP
Trong giao thức L2TP có một số phần tử tham gia vào việc thiết lập đường
hầm:
- L2TP Access Concentrator (LAC) - Bộ tập trung truy cập giao thức L2TP:
LAC được định vị tại nhà cung cấp dịch vụ. Qua bộ tập trung LAC này,
người ta có thể thiết lập kết nối đường hầm L2TP qua bộ định tuyến LAC Router
tới người dùng đầu cuối nơi đường hầm được kết thúc.
- L2TP Network Server (LNS) - Máy chủ phục vụ L2TP:
LNS tiếp nhận các phiên kết nối của người dùng từ xa, chỉ có một kết nối
đơn được sử dụng trên LNS để kết thúc các kênh kết nối gọi đến từ những người
dùng từ xa từ các phương tiện truyền thông khác nhau như ISDN, V120 ...
Hình 3.7: Các thành phần thiết lập đường hầm L2TP
3.3.4. Quản lý khóa
Khi hai đối tượng muốn chuyển giao dữ liệu một cách bảo mật thì phải chắc
chắn cả hai bên phải xử lý dữ liệu như nhau. Cả hai bên phải sử dụng chung giải
thuật mã hóa, cùng chiều dài từ khóa, cùng chung một khóa thì dữ liệu truyền mới
được bảo mật. Điều này được xử lý thông qua bảo mật kết hợp SA (Security
Association).
Mặc dù SA giúp hai đối tượng truyền thông định nghĩa phương thức mã hóa
mà họ sẽ thực hiện nhưng việc chuyển giao khóa lại do IKE đảm trách. IKE có các
23
khả năng sau:
- Cung cấp các phương tiên cho hai bên thỏa thuận sử dụng các giao thức, giải
thuật và khóa.
- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng.
- Quản lý các khóa ngay khi chúng được chấp nhận trong tiến trình thỏa thuận.
- Đảm các khóa được chuyển một cách bảo mật.
Chuyển khóa giống tương tự như quản lý SA. Khi cần tạo một SA cần phải
chuyển khóa. Do đó cấu trúc của IKE bọc chúng lại với nhau và chuyển chúng đi
như một gói tích hợp.
Bởi vì IKE dựa trên IP nên nó dễ dàng được ghép vào L2TP chạy trên mạng
IP hơn là trên mạng không phải IP.
3.3.5. Sử dụng L2TP
Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một
đường hầm: LAC và LNS. Bởi vì các điểm này có thể nằm trên thiết bị ISP (nhà
cung cấp dịch vụ) nên phần mềm cho client di động có thể không cần thiết.
Mặc dù LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm
việc của công ty, nhưng LAC nên nhờ hỗ trợ của ISP. Thực ra nếu như trên máy
client từ xa có cài sẵn client L2TP thì ISP không cần hỗ trợ thêm L2TP.
Tại site của mạng riêng, máy chủ L2TP đóng vai trò như cổng nối bảo mật,
kết nối xác thực với RADIUS. Client L2TP tại các máy tính xách tay của người
dùng có thể thực thi những chức năng giống như phần mềm client IPSec.
3.3.5.1 Các máy chủ mạng L2TP
Một máy chủ L2TP có hai chức năng chính là: nó đóng vai trò là điểm kết
thúc của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN.
Máy chủ L2TP chuyển các gói đên các máy đích bằng cách xử lý gói L2TP để có
được địa chỉ mạng của máy tính đích.
24
Hình 3.8: Các thành phần cơ bản của L2TP
L2TP không có khả năng lọc các gói mà dành nhiệm vụ đó cho tường lửa
(Firewall). Khi có tích hợp giữa máy chủ mạng và tường lửa thì L2TP có nhiều ưu
điểm. Trước hết, L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa
(cổng mặc định cho L2TP là 1701). Chương trình quản lý có tùy chọn để chọn cổng
khác gắn cho tường lửa, điều này gây khó khăn cho kẻ tấn công khi cố gắng tấn
công vào một cổng đã biết trong khi cổng đó có thể đổi thành một số khác. Thứ hai
là luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP, việc thiết
lập tường lửa sẽ đơn giản hơn. Do một số tường lửa không có hỗ trợ GRE nên
chúng tương thích với L2TP.
3.3.5.2. Phần mềm client L2TP
Nếu như phần cứng của ISP đã hỗ trợ L2TP thì không cần phần cứng hay
phần mềm nào cho các Client, chỉ cần kết nối chuẩn PPP là đủ. Nhưng thiết lập trên
không sử dụng được mã hóa của IPSec, điều đó có nghĩa là nên sử dụng các client
tương thích L2TP cho L2TP VPN.
25
3.3.6. Khả năng áp dụng thực tế của L2TP
L2TP là một thế hệ giao thức quay số truy cập mới với VPN. Nó phối hợp
những đặc điểm tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm
PPTP đều đưa ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này.
Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các
mạng khác như Frame Relay, ATM đã làm nó thêm phổ biến.
L2TP cho phép một số lượng lớn client từ xa kết nối vào VPN hay cho các
kết nối LAN-LAN có dung lượng lớn. L2TP có cơ chế điều khiển luồng để làm
giảm đi tắc nghẽn trên đường hầm L2TP.
L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi
đường hầm có thể gán cho một người dùng xác định, hoặc một nhóm các người
dùng và gán cho các môi trường khác nhau tùy theo thuộc tính chất lượng dịch vụ
QoS của người dùng.
26
CHƯƠNG 4: CẤU HÌNH VPN TRÊN WINDOWS SERVER 2008
4.1. Một số yêu cầu cần thiết khi triển khai mạng VPN
Ngày nay, với nền công nghiệp phần mềm cũng như phần cứng đang phát
triển rất mạnh. Những dòng sản phẩm phục vụ mạng VPN cũng vì thế mà phát triển
từng ngày. Do đó, ở khóa luận này sẽ không trình bày hết các dòng sản phẩm dùng
cho VPN mà chỉ điểm qua các yêu cầu cơ bản để thiết lập nên một VPN hoàn chỉnh.
4.1.1. Yêu cầu phần mềm
Yêu cầu phần mềm cơ bản dùng cho VPN gồm: phầm mềm máy chủ
(Microsoft Windows Server 2000, 2003,2008 …) và phần mềm máy client (dùng cho
truy cập VPN).
Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows
Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở
hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm
hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ
vững chắc hơn các phiên bản trước đây. Windows Server 2008 cung cấp những giá
trị mới cho các tổ chức bằng việc bảo đảm tất cả người dùng đều có thể có được
những thành phần bổ sung từ các dịch vụ từ mạng. Windows Server 2008 cũng
cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán,
cho phép các quản trị viên tăng được thời gian hỗ trợ cho công việc của doanh
nghiệp.
Windows Server 2008 xây dựng trên sự thành công và sức mạnh của hệ điều
hành đã có trước đó là Windows Server 2003 và những cách tân có trong bản
Service Pack 1 và Windo ws Server 2003 R2. Mặc dù vậy Windows Server 2008
hoàn toàn hơn hẳn các hệ điều hành tiền nhiệm. Windows Server 2008 được thiết kế
để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng
và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng
động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản.
27
Hình 4.1: Hệ điều hành máy chủ Windows Server 2008
Hiện nay Windows Server 2008 hỗ trợ các kết nối VPN với 3 kiểu kết nối
gồm: PPTP, L2TP/IPSec và SSTP. Với mỗi kiểu kết nối sẽ được lựa chọn tùy vào
mục đích cũng như tính năng của nhà cung cấp dịch vụ hoặc theo yêu cầu của người
sử dụng.
Phần mềm máy client có thể là các phiên bản Windows của Microsoft
(Windows XP, Windows Vista, Windows 7…) có hỗ trợ truy cập mạng VPN.
4.1.2. Yêu cầu phần cứng
Ngoài các thiết bị kết nối mạng như modem ADSL, Hub, Switch, Router …
thì khi thiết kế một mô hình VPN cần thiết phải có mộ t máy chủ có cài đặt hệ điều
hành máy chủ hỗ trợ VPN (khóa luận này dùng Windows Server 2008) có một card
mạng kết nối với hệ thống mạng nội bộ và một card kết nối với lớp mạng chạy dịch
vụ Internet bên ngoài ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp
với các dịch vụ DNS để kết nối với bên ngoài Internet). Ngoài ra, tùy vào điều kiện
của tổ chức, doanh nghiệp lớn có thể đầu tư thêm bộ thiết bị tường lửa (Firewall) để
tăng cường thêm tính bảo mật cho VPN.
Với hệ thông máy chủ cài đặt hệ điều hành máy chủ Windows Server 2008
thì cấu hình cần đáp ứng được các yêu cầu sau:
28
Bảng 4.1. Y êu cầu phần cứng dùng cho Windows Server 2008 (theo Microsoft.com)
29Thành phần
Yêu cầu
Bộ xử lý
Tối thiểu: 1 GHz (bộ xử lý x86 ) hoặc 1.4 GHz (bộ xử lý x64)
Khuyến nghị: Tốc độ xử lý 2 GHz hoặc nhanh hơn
Chú ý: Cần bộ xử lý Intel Itanium 2 cho Windows Server đối với
các Hệ thống dựa trên kiến trúc Itanium.
Bộ nhớ
Tối thiểu: RAM 512 MB
Khuyến nghị: RAM 2 GB hoặc lớn hơn
Tối ưu: RAM 2 GB (Cài đặt toàn bộ) or RAM 1 GB (Cài Server
Core) hoặc hơn
Tối đa (hệ thống 32 bit): 4 GB (Bản Standard) hoặc 64 GB (Bản
Enterprise và Datacenter)
Tối đa (các hệ thống 64 bit): 32 GB (Bản Standard) hoặc 2 TB
(Bản Enterprise, Datacenter, và Các hệ thống dựa trên kiến trúc
Itanium)
Không gian ổ
đĩa còn trống
Tối thiểu: 10 GB
Khuyến nghị : 40 GB hoặc lớn hơn
Chú ý: Các máy tính có RAM lớn hơn 16 GB sẽ cần nhiều không
gian ổ đĩa trống hơn dành cho paging, hibernation, and dump files
Ổ đĩa
Ổ DVD-ROM
Màn hình
Super VGA (800 × 600) hoặc màn hình có độ phân giải cao hơn
Thành phần
Bàn phím, Chuột của Microsoft hoặc thiết bị trỏ tương thích
khác
4.2. Kịch bản VPN site to site
Hình 4.2: Kịch bản VPN site to site
Site Hà Nội là trụ sở chính kết nối với site Hà Tĩnh là chi nhánh của một
công ty. Hiện công ty này muốn thiết lập một kết nối VPN đảm bảo tính bảo mật
cao cho đường truyền từ mạng LAN trụ sở công ty chính đặt ở Hà Nội với mạng
LAN chi nhánh đặt tại Hà Tĩnh . Kết nối làm sao để các nhân viên của toàn công ty
có thể giao tiếp được với nhau như một mạng LAN riêng của công ty.
Để thiết lập kênh truyền VPN với kịch bản trên, chúng ta sử dụng hai máy
chủ cục bộ đặt tại hai site cùng sử dụng hệ điều hành máy chủ Windows Server
2008. Cấu hình hai site sử dụng kết hợp giao thức L2TP và IPSe c tạo thành đường
ống bảo mật VPN truyền thông qua mạng công cộng Internet một cách trong suốt.
4.3. Cấu hình VPN site to site trên Windows Server 2008
Cấu hình site Hà Nội trên máy chủ Windows Server 2008 được thực hiện
theo các bước sau:
Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet Connection
Sharing (ICS) và chuyển dịch vụ đó Disable (mặc định sau khi cài là Automatic).
30
Hình 4.3: Cửa sổ Services Manager
Chạy Services Manager bằng cách click Start->Programs-> Administrative
Tools->Services. Giao diện của Services Manager như 4.3 tìm service Windows
Firewall/Internet Connection Sharing (ICS). Chuột phải vào tên service đó, trên
menu chuột phải, chọn Properties. Xuất hiện hộp thoại Windows Firewall/Internet
Connection Sharing (ICS) Properties.
Hình 4.4: Hộp thoại Windows Firewall Properties
Trong hình 4.4, lựa chọn Disabled trong ô Startup type. Và nhấp nút Stop để
dừng service Windows Firewall/Internet Connection Sharing (ICS).
Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS),
tiến hành cài đặt VPN Server.
31
4.3.1. Cài đặt dịch vụ Routing and Remote Access
Chạy Server Manager bằng cách vào Start ->Programs -> Administrative
Tools -> Server Manager.
Hình 4.5: Server Manager
Sau khi xuất hiện hộp thoại Server Manager như hình 4.5 chuẩn bị cho cấu
hình dịch vụ Routing and Remote Access. Tại panel bên trái chọn Roles >> click
phải chuột và chọn Add Roles >> xuất hiện hộp thoại Add Roles Wizard.
Hình 4.6: Cửa sổ Add Roles Wizard
Trên hộp thoại Add Roles Wizard, chọn tiếp Next >> Click chọn ô R
Network Policy and Access services >> Next >> Next >> Click chọn R Routing
and Remote Access Services >> Next >> Install.
32
4.3.2. Cấu hình dịch vụ Routing and Remote Access
Mở giao diện dịch vụ Routing and Remote Access: Start >> Programs >>
Administrative tools >> Routing and Remote Access.
Hình 4.7: Cấu hình Routing and Remote Access
Tại giao diện Routing and Remote Acces, panel bên trái click chuột phải
chọn Configure and Enable Routing and Remote Access >> xuất hiện cửa sổ cấu
hình Routing and Remote Access >> chọn Next >> click chọn 8 Custum configure
>> Next >> click chọn R VPN access, R LAN routing và R Demand – dial
connecting >> Finish >> Ok >> Start Service.
Hình 4.8: Routing and Remote Access được kích hoạt
33
Trở lại giao diện Routing and Remote Access, tại panel bên trái click phải
chuột vào Network Interface chọn New Demand - dial Interface >> xuất hiện hộp
thoại Demand - dial Interface Wizard >> chọn Next >> Nhập tên Interface vào ô
Interface name là HANOI >> Next >> chọn 8 Connect using vitual private
networking VPN >> Next >> chọn Layer 2 Tunneling Protocol (L2TP).
Hình 4.9: Chọn giao thức L2TP cho VPN
Chọn xong giao thức L2TP dùng cho VPN, tiếp tục Next >> Đặt IP máy chủ
đang cấu hình là 200.1.1.1 >> Next >> Next >> Chọn địa chỉ mạng cục bộ của
Remote site như hình dưới.
Hình 4.10: Chọn địa chỉ mạng cục bộ của Remote site
34
Chọn địa chỉ mạng cục bộ của Remote site xong tiếp tục Next >> Nhập mật
khẩu và tài khoản cho phép Remote site login vào local site >> Next >> Nhập tên
tài khoản và password login vào Remote site như hình 4.11.
Hình 4.11: Nhập tên tài khoản và password login vào Remote site
Tiếp tục Next >> Finish >> OK.
4.3.3. Giảm bớt các cổng kết nối
Trở lại giao diện Server Manager, panel trái chọn Roles >> Network policy
and Access >> Routing and Remote Access >> ports >> click chuột phải tại port
chọn Properties >> xuất hiện hộp thoại Properties.
Hình 4.12: Thuộc tính các cổng kết nối
35
Hộp thoại xuất hiện như hình 4.12 >> chọn từng loại Miniport >> Configure
…>> xuất hiện hộp thoại Configure Device >> Tại ô Maximun ports chọn cho phép
khoảng 5 cổng kết nối >> OK >> Yes. Tiếp tục lần lượt chọn các Miniport tiếp theo
rồi thực hiện như trên.
4.3.4. Tạo tài khoản và cấp quyền truy cập VPN
Trở lại Server Manager >> tại panel bên trái chọn Configure >> Local
Users and Groups >> Users >> click chuột phải vào panel giữa chọn New User >>
xuất hiện giao diện đặt user, password sử dụng cho người dùng VPN như hình 4.12
>> Create.
Chú ý khi tạo password cho user phải đặt đúng độ dài trên 6 ký tự và phải
vừa chứa chữ cái và một ký tự bất kỳ (như @,!,% …) hoặc chữ số.
Hình 4.13: Tạo người dùng truy cập VPN
Cấp quyền cho người dùng vừa tạo, click chuột phải lần lượt vào từng user
vừa tạo chọn Properties >> Xuất hiện hộp thoại Properties >> chọn thẻ (tab) Dial –
in >> Click chọn 8 Allow access >> OK.
36
KẾT LUẬN
Với dịch vụ mạng riêng ảo VPN được cài đặt trên máy chủ Windows
Server 2008 sử dụng trong khóa luận này, em đã cấu hình thành công và hệ thống
đã hoạt động tốt theo mô hình kịch bản như đã trình bày. Tuy nhiên, vì không có
điều kiện triển khai thực tế nên hệ thống còn một số hạn chế khi kiểm tra tính bảo
mật của hệ thống. Khóa luận này em sử dụng phần mềm tạo máy ảo (Vmware) để
thiết lập một mạng riêng ảo VPN và qua đề tài khóa luận này em cũng đã nắm được
cơ bản khi muốn thiết lập mạng VPN để áp dụng vào thực tiễn.
Với khóa luận này tuy còn nhiều hạn chế nhưng em sẽ hướng đề tài của em
sau này sẽ nghiên cứu kỹ hơn về các chế độ bảo mật sử dụng trong VPN. Qua đó,
đưa ra nhiều lựa chọn, giải pháp tối ưu nhất cho mọi mô hình mạng theo nhu cầu
của từng đối tượng sử dụng.
37
TÀI LIỆU THAM KHẢO
[1]. Bible, Windows Server 2008, Wiley Publishing. Inc, Canada, 2008.
[2]. Howard Hooper, CCNP Security VPN, Cisco Press, USA, 2012.
[3]. Nguyễn Thanh Quang, bảo mật và quản trị mạng, Văn hóa thông
tin, Hà Nội, 2006.
[4]. Nguyễn Thúc Hải, Mạng máy tính và hệ thống mở, NXB Giáo dục,
Hà Nội, 1997.
[5]. Website
[6]. Website
[7]. Forum website mạng máy tính Nhất Nghệ,
38
PHỤ LỤC: CÁC THUẬT NGỮ VIẾT TẮT
ADSL
AES
AH
ATM
CA
DES
DNS
Asymmetrical Digital
Subscriber Line
Advanced Encryption Standard
Authentication Header
Asynchronous Transfer Mode
Certificate Authority
Data Encryption Standard
Domain Name System
Đường thuê bao số bất đối xứng
Chuẩn má hóa cấp cao
Chứng thực tiêu đề
Chế độ truyền tải bất đồng bộ
Dịch vụ cấp quyền chứng nhận
Chuẩn mã hóa dữ liệu
Hệ thống tên miền
ESP
Encapsulating Security Payload Đóng gói tải cần bảo mật
FTP
GRE
IKE
IP
IPE
ISAKMP
ISO
L2F
L2TP
LAN
MAC
MPPE
File Transfer Protocol
Generic Routing Encapsulation
Internet Key Exchange
Internet Protocol
Internet Packet Exchange
Internet Security Association
and Key Management Protoco
International Standards
Organization
Layer 2 Forwarding
Layer 2 Tunneling Protoco
Local Area Network
Medium Access Control
Microsoft Point to Point
39
Giao thức truyền tập tin
Gói định tuyến chung
Chuyển khóa Internet
Giao thức Internet
Giao thức chuyển đổi gói Internet
Hệ thống bảo mật Internet và giao
thức quản lý khóa
Tổ chức tiêu chuẩn quốc tế
Giao thức hướng lớp 2
Giao thức tạo đường hầm lớp 2
Mạng cục bộ
Kiểm soát truy cập môi trường
truyền thông
Mã hóa điểm – điểm của Microsoft
Encryption
NAS
NetBEIU
OSI
PC
POP
PPP
Network Access Server
NetBIOS Enhanced User
Interface
Open Systems Interconnection
Personal Computer
Point of Presence
Point to Point Protocol
Máy chủ truy cập mạng
Giao thức giao diện người dùng mở
rộng trong NetBIOS
Mô hình liên kết các hệ thống mở
Máy tính cá nhân
Điểm hiện diện
Giao thức điểm – điểm
PPTP
Point to Point Transfer Protocol Giao thức chuyển giao điểm – điểm
QoS
RADIUS
RSA
SA
TCP
UDP
VPN
WAN
Quality of Service
Remote Authentication Dial-In
User Service
Rivest, Shamir, Adleman
Security Association
Transmission Control Protocol
User Datagram Protocol
Virtual Private Network
Wide Area Network
40
Chất lượng dịch vụ
Dịch vụ truy cập bằng điện thoại
xác nhận từ xa
Hệ mật mã khóa công khai
Tổ hợp an ninh
Giao thức điều khiển truyền thông
Giao thức gói dữ liệu người dùng
Mạng riêng ảo
Mạng diện rộng
TRƯỜNG ĐẠI HỌC HÀ TĨNH
KHOA KỸ THUẬT - CÔNG NGHỆ
c o0o d
LÊ ĐỨC LONG
DỊCH VỤ MẠNG RIÊNG ẢO VPN (VIRTUAL
PRIVATE NETWORK) TRÊN WINDOWS SERVER
2008 VÀ CÁC PHƯƠNG PHÁP BẢO MẬT VPN
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC
Chuyên ngành: Công nghệ thông tin
Lớp: K2CNTT, Khóa 2009 – 2013
Người hướng dẫn khoa học:
GV. Nguyễn Quốc Dũng
Hà Tĩnh, 2013
41
Các file đính kèm theo tài liệu này:
- khoa_luan_vpn_1898.doc