Thiết kế và triển khai VPN Client to Side trong mạng Lan

quản trị dữ liệu phân bố…… Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tăng lên. Theo thông kê, số vụ tấn công và xâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm trước. Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng…. Vấn đề này đã trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu. Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN Client to Side cho mạng Lan” là đề tài nguyên cứu của em. VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Nội dung của đề tài chia làm bốn chương: Chương 1. Tổng quan về mạng máy tính Giới thiệu kiến thức cơ bản về mạng, mô hình mạng, giao thức mạng, hệ điều hành mạng, mô hình OSI, các thiết bị cơ bản trong mạng LAN và WAN, các dịch vụ trên mạng, các hiểm họa và phương pháp tấn công trên mạng. Bên cạnh đó tìm hiểu về Firewall và mạng VPN. Chương 2. Tổng quan về công nghệ VPN Giới thiệu khái quát chung, phân loại, các sản phẩm công nghệ, các giao thức, các kỹ thuật Tunneling, lợi ích, ưu và nhược điểm của công nghệ VPN. Chương 3. Thiết kế mô hình VPN Client to Site Đưa ra tình huống, phân tích, thiết kế và mô hình triển khai thực tế. Chương 4. Triển khai cài đặt mô hình VPN Client to Site Các bước cài đặt chủ yếu và những chú ý cần thiết khi triển khai mô hình.  CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH 1.1 KHÁI NIỆM CƠ BẢN 1.1.1 Định nghĩa Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau. Hình 1 Mô hình mạng cơ bản 1.1.2 Kiến trúc mạng Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nối vào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu đến trạm đích với phương thức kết nối là “điểm - điểm”. Hình 2 Cấu trúc mạng dạng sao Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều được nối vào một đường dây truyền chính (bus). Đường truyền chính này được giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một đầu nối chữ T (T_connector) hoặc một bộ thu phát (transceiver). Hình 3 Cấu trúc mạng dạng tuyến Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhau thành một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm có thể nhận và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một. Hình 4 Cấu trúc mạng dạng vòng Mạng dạng lưới (Mesh topology): một máy tính trong mạng có thể kết nối tới nhiều máy tính. Hinh 5 Cấu trúc mạng dạng lưới 1.1.3 Mô hình mạng LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một khu vực bán kính hẹp thông thường khoảng vài trăm mét. Kết nối được thực hiện thông qua các môi trường truyền tốc độ cao, ví dụ cáp đồng trục hay cáp quang. LAN thường được sử dụng trong nội bộ một cơ quan/tổ chức…, các LAN có thể kết nối với nhau thành WAN. Hình 6 Mô hình mạng LAN MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm vi một thành phố. Kết nối này được thực hiện thông qua các môi trường truyền thông tốc độ cao (50-100 Mbit/s). Hình 7 Mô hình mạng MAN WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trong nội bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục. thông thường kết nối này được thực hiện thông qua mạng viễn thông. Các WAN có thể được kết nối với nhau thành GAN hay tự nó đã là GAN. Hình 8 Mô hình mạng WAN GAN (Global Area Network) - Kết nối các máy tính từ các châu lục khác nhau. Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ tinh. 1.1.4 Phương tiện truyền dẫn 1.1.4.1 Cáp Cáp xoắn đôi (Twisted pair cable) - Dùng phổ biến cho mạng LAN. - Có hai loại: + STP (Shield Twised Pair): cáp xoắn đôi bọc kim. Hình 9 Cáp xoắn đôi STP + UTP (Unshield Twised Pair): cáp xoắn đôi không bọc kim. Hình 10 Cáp xoắn đôi UTP Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại là cáp dày (Thick cable) và cáp mỏng (Thin cable). Hình 11 Cáp đồng trục Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễu tốt. Hình 12 Cáp quang 1.1.4.2 Thiết bị không dây Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps. Microwave: truyền dữ liệu với băng thông rộng hơn radio. Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu. 1.1.5 Hệ điều hành mạng Windows NT/2000: Windows NT là một hệ điều hành cấp cao của Windows cung cấp các thao tác hoàn toàn 32-bit trên các hệ thống đơn hay đa xử lý. Hệ nầy xây dựng sẵn các độ an toàn đáp ứng được các xếp loại của chính phủ và hỗ trợ mạng tối ưu để thi hành các ứng dụng back-end cho rất nhiều khách (client). Đồng thời hệ điều hành Windows NT được thiết kế đặc biệt để phục vụ những nhu cầu của người sử dụng mạng và cung cấp hiệu năng làm việc và độ an toàn ở cấp cao. UNIX: Một hệ điều hành được dùng trong nhiều loại máy tính khác nhau, từ các máy tính lớn cho đến các máy tính cá nhân, nó có khả năng đa nhiệm phù hợp một cách lý tưỏng đối với các ứng dụng nhiều người dùng. UNIX được viết bằng ngôn ngữ lập trình rất linh động, ngôn ngữ C và cũng như C, đó là thành quả nghiên cứu của AT & T Bell Laboratories UNIX là một môi trường lập trình toàn diện, nó diễn đạt một triết lý lập trình duy nhất. Tuy nhiên với hơn 200 lệnh không kể các thông báo lỗi, và với những cú pháp lệnh khó hiểu UNIX là một gánh nặng cho những người không quen sử dụng và không giỏi kỹ thuật. Với sự phát triển các shell của UNIX, hệ điều hành này có thể đóng một vai trò phổ dụng hơn trong điện toán. Linux: Linux là hệ điều hành “giống” Unix - 32 bit chạy được trên nhiều trạm bao gồm các bộ xử lý Intel, SPARC, PowerPC và DEC Alpha cũng như những hệ thống đa xử lý. Hệ điều hành nầy là miễn phí, bạn có thể tải nó xuống từ web hay bạn có thể mua một quyển sách có chứa một CD-ROM với toàn bộ hệ điều hành như: “Linux: The Complete Reference” của Richard Peterson (Berkeley, CA: Osborne/McGraw-Hill, 1996). 1.2 MẠNG LAN VÀ WAN 1.2.1 Giao thức và mô hình truyền thông 1.2.1.1 Khái niệm giao thức Là một chuẩn của tổ chức mạng đưa ra cho phép các máy tính trên mạng giao tiếp vơi nhau một cách thống nhất. 1.2.1.2 Mô hình OSI Năm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO (International Standard Organization) chính thức đưa ra mô hình OSI (Open Systems Interconnection), là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối các thiết bị không cùng chủng loại. Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau. Hình 13 Mô hình OSI Tầng vật lý (Physical): là tầng thấp nhất, có chức năng là truyền dòng bit không có cấu trúc qua đường truyền vật lý. Tầng liên kết dữ liệu (Data Link): cung cấp phương tiện để truyền thông tin qua liên kết vật lý đảm bảo tin cậy. Tầng mạng (Network): thực hiện việc chọn đường và chuyển tiếp thông tin với công nghệ chuyển mạch thích hợp. Tầng giao vận/vận tải (Transport): thực hiện truyền dữ liệu giữa hai đầu mút, kiểm soát lỗi. Tầng phiên (Session): cung cấp phương tiện quản lý truyền thông giữa các ứng dụng. Tầng trình diễn (Presentation): chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trường OSI và nén, mã hóa dữ liệu. Tầng ứng dụng (Applications): xác định giao diện giữa người sử dụng và môi trường OSI. 1.2.1.3 Các giao thức phổ biến Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của mô hình OSI. Ưu thế chính của bộ giao thức này là khả năng liên kết hoạt động của nhiều loại máy tính khác nhau. Giao thức này đã trở thành tiêu chuẩn thực tế cho kết nối liên mạng cũng như kết nối Internet toàn cầu. Hình 14 Giao thức TCP/IP IPX/SPX: Đây là bộ giao thức sử dụng trong mạng Novell. Ưu thế chính là nhỏ, nhanh và hiệu quả trên các mạng cục bộ đồng thời hỗ trợ khả năng định tuyến. Hình 15 Giao thức IPX/SPX ATP Hình 16 Giao thức ATP NetBEUI: Bộ giao thức thu nhỏ, nhanh và hiệu quả được cung cấp theo các sản phẩm của hãng IBM, cũng như sự hỗ trợ của Microsoft. Bất lợi chính của bộ giao thức này là không hỗ trợ định tuyến và sử dụng giới hạn ở mạng dựa vào Microsoft. 1.2.2 Mạng LAN 1.2.2.1 Bốn tiêu chí mạng LAN Phương tiện truyền dẫn. Quy tắc và chuẩn (giao thức). Phần mềm và quản lý ứng dụng. 1.2.2.2 Các thiết bị mạng 1.2.2.2.1 Bộ lặp (Repeater): làm việc trên tầng Physical. Hình 17 Repeater 1.2.2.2.2 Bộ tập trung (Hub): hoạt động ở tầng Data Link. Hình 18 Hub 1.2.2.2.3 Cầu nối (Bridge): làm việc trên tầng Data Link. Hình 19 Bridge 1.2.2.2.4 Bộ chuyển mạch (Switch): có hai loại là Switch lớp 2 làm việc trên tầng Data Link và Switch lớp 3 làm việc trên tầng Network của mô hình OSI. Hình 20 Switch 1.2.2.3 Các chuẩn LAN Chuẩn Viện công nghệ điện và điện tử (IEEE): Tiêu chuẩn IEEE LAN được phát triển dựa vào Ủy ban IEEE 802. IEEE 802.1 IEEE 802.2 IEEE 802.3 IEEE 802.4 ... IEEE 802.11 Chuẩn uỷ ban tư vấn quốc tế về điện báo và điện thoại (CCITT): Một số chuẩn: V22, V28, V35... X series bao gồm các tiêu chuẩn OSI. Chuẩn cáp và chuẩn giao tiếp EIA. Các tiêu chuẩn EIA dành cho giao diện nối tiếp giữa modem và máy tính. RS-232. RS-449. RS-422 1.2.3 Mạng WAN 1.2.3.1 Thành phần của WAN 1.2.3.1.1 Kỹ thuật chuyển mạch Chuyển mạch kênh (Switching circuit): khi hai node mạng kết nối với nhau giữa chúng sẽ được thiết lập một kênh truyền cố định, kênh truyền này sẽ không thay đổi trong suốt quá trình liên lạc. Khi một trong hai ngừng kết nối thì kênh truyền sẽ được giải phóng. Chuyển mạch thông báo (Switching message): thông báo là một đơn vị thông tin có đối tượng và nội dung. Đường đi của thông báo không cố định và thông báo có thể chuyển đi trên nhiều đường. Chuyển mạch gói (Switching packet): packet là những gói tin được chia ra, mỗi gói đều có phần thông tin điều khiển (header, trailer) cho biết nguồn gửi và đích nhận. Các gói tin có thể đến và đi theo những đường khác nhau, được lưu trữ rồi chuyển tiếp khi đi qua nút trung gian. 1.2.3.1.2 Phương tiện truyền dẫn Bộ điều giải (Modems) Hình 21 Modems Cổng ra vào (Gateway) Hình 22 Gateway Bộ định tuyến (Router) Hình 23 Router 1.2.3.2 Các chuẩn WAN ISDN (Intergrated Services Digital Network): là một loại mạng viễn thông số tích hợp đa dịch vụ cho phép sử dụng cùng một lúc nhiều dịch vụ trên cùng một đường dây điện thoại thông thường. Người dùng cùng một lúc có thể truy cập mạng WAN và gọi điện thoại, fax mà chỉ cần một đường dây điện thoại duy nhất, thay vì 3 đường nếu dùng theo kiểu thông thường. ATM (Asynchronous Tranfer Mode) hay Cell relay: hiện nay kỹ thuật Cell Relay dựa trên phương thức truyền thông không đồng bộ (ATM) có thể cho phép thông lượng hàng trăm Mbps. Đơn vị dữ liệu dùng trong ATM được gọi là tế bào (cell). Các tế bào trong ATM có độ dài cố định là 53 bytes, trong đó 5 bytes dành cho phần chứa thông tin điều khiển (cell header) và 48 bytes chứa dữ liệu của tầng trên. X.25: được CCITT công bố lần đầu tiên vào năm 1970. X.25 cung cấp quy trình kiểm soát luồng giữa các đầu cuối đem lại chất lượng đường truyền cao cho dù chất lượng mạng lưới đường dây truyền thông không cao. X.25 được thiết kế cho cả truyền thông chuyển mạch lẫn truyền thông kiểu điểm nối điểm, được quan tâm và triển khai nhanh chóng trên toàn cầu. Frame Relay: công nghệ này ra đời có thể chuyển nhận các khung truyền lớn tới 4096 byte và không cần thời gian cho việc hỏi đáp, phát hiện lỗi và sửa lỗi ở lớp 3 (No protocol at Network layer) nên Frame Relay có khả năng chuyển tải nhanh hơn hàng chục lần so với X.25 ở cùng tốc độ. Frame Relay rất thích hợp cho truyền số liệu tốc độ cao và cho kết nối LAN to LAN và cho cả âm thanh, nhưng điều kiện tiên quyết để sử dụng công nghệ Frame Relay là chất lượng mạng truyền dẫn phải cao. 1.3 CÁC DỊCH VỤ TRÊN MẠNG INTERNET 1.3.1 Dịch vụ truy nhập từ xa Telnet cho phép người sử dụng đăng nhập từ xa vào hệ thống từ một thiết bị đầu cuối nào đó trên mạng. Với Telnet người sử dụng hoàn toàn có thể làm việc với hệ thống từ xa như thể họ đang ngồi làm việc ngay trước màn hình của hệ thống. kết nối Telnet là một kết nối TCP dùng để truyền dữ liệu với các thông tin điều khiển. 1.3.2 Dịch vụ truyền tệp (FTP) Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp dữ liệu giữa các máy tính khác nhau trên mạng. FTP hỗ trợ tất cả các dạng tệp, trên thực tế nó không quan tâm tới dạng tệp cho dù là tệp văn bản mã ASCII hay các tệp dữ liệu dạng nhị phân. Với cấu hình của máy phục vụ FTP, có thể quy định quyền truy cập của người sử dụng với từng thư mục lưu trữ dữ liệu, tệp dữ liệu cũng như giới hạn số lượng người sử dụng có khả năng cùng một lúc có thể truy nhập vào cùng một nơi lưu trữ dữ liệu. 1.3.3 Dịch vụ Gopher Trước khi Web ra đời Gopher là dịch vụ rất được ưa chuộng. Gopher là một dịch vụ chuyển tệp tương tự như FTP, nhưng nó hỗ trợ người dùng trong việc cung cấp thông tin về tài nguyên. Client Gopher hiển thị một thực đơn, người dùng chỉ việc lựa chọn cái mà mình cần. kết qủa của việc lựa chọn được thể hiện ở một thực đơn khác. Gopher bị giới hạn trong kiểu các dữ liệu. Nó chỉ hiển thị dữ liệu dưới dạng mã ASCII mặc dù có thể chuyển dữ liệu dạng nhị phân và hiển thị nó bằng một phần mềm khác. 1.3.4 Dịch vụ WAIS WAIS (Wide Area Information Serves) là một dịch vụ tìm kiếm dữ liệu. WAIS thường xuyên bắt đầu việc tìm kiếm dữ liệu tại thư mục của máy chủ, nơi chứa toàn bộ danh mục của các máy phục vụ khác. Sau đó, WAIS thực hiện tìm kiếm máy phục vụ thích hợp nhất. WAIS có thể thực hiện công việc của mình với nhiều loại dữ liệu khác nhau như văn bản ASCII, GIF, điện thư… 1.3.5 Dịch vụ World Wide Web World Wide Web (WWW hay Web) là một dịch vụ tích hợp, sử dụng đơn giản và có hiệu qủa nhất trên Internet. Web tích hợp cả FTP, WAIS, Gopher. Trình duyệt Web có thể cho phép truy nhập vào tất cả các dịch vụ trên. Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText Markup Language) hay còn gọi là ngôn ngữ đánh dấu siêu văn bản. Siêu văn bản là văn bản bình thường cộng thêm một số lệnh định dạng. HTML có nhiều cách liên kết với các tài nguyên FTP, Gopher server và Web server. Web server là máy phục vụ Web, đáp ứng các yêu cầu về truy nhập tài liệu HTML. Web server trao đổi các tài liệu HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay còn gọi là giao thức truyền siêu văn bản. Trình duyệt Web (Web client) là chương trình để xem các tài liệu Web. Trình duyệt Web gửi các URL đến máy phục vụ Web sau đó nhận trang Web từ máy phục vụ Web dịch và hiển thị chúng. Khi giao tiếp với máy phục vụ Web thì trình duyệt Web sử dụng giao thức HTTP. Khi giao tiếp với một Gopher server thì trình duyệt Web hoạt động như một Gopher client và sử dụng giao thức gopher. Trình duyệt Web có thể thực hiện các công việc khác nhau như ghi trang Web vào đĩa, gửi Email, hiển thị tệp HTTP nguồn của trang Web,…Hiện nay có hai trình duyệt Web được sử dụng nhiều nhất là Internet Explorer và Netscape, ngoài ra còn một số trình duyệt khác như Opera, Mozila,… 1.3.6 Dịch vụ thư điện tử (E mail) Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụ thông dụng nhất trong mọi hệ thống mạng dù lớn hay nhỏ. Thư điện tử được sử dụng rộng rãi như một phương tiện giao tiếp hàng ngày trên mạng nhờ tính linh hoạt và phố biến của nó. Từ các trao đổi thư tín thông thường, thông tin quảng cáo, tiếp thị, đến những công văn, báo cáo hay kể cả những bản hợp đồng thương mại, chứng từ,…tất cả đều được trao đổi qua thư điện tử. 1.4 CƠ BẢN AN TOÀN MẠNG 1.4.1 Các hiểm họa trên mạng Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống. 1.4.1.1 Các lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp. 1.4.1.2 Các lỗ hổng loại B Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. 1.4.1.3 Các lỗ hổng loại A Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. 1.4.2 Các phương pháp tấn công trên mạng 1.4.2.1 Virus Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và có thể phá hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus từ đối tượng bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng. Đối tượng bị nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản, macro…) và môi trường lan truyền bao gồm mạng, đường truyền và các loại bộ nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại khác nhau. Virus máy tính có nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm, Polymorphic, Hoaxes. Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến hiện nay. Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác hại gây ra bởi virus là rất lớn và thật khó lường. 1.4.2.2 Treo cứng hệ thống Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công qua những giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao thức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó, tấn công "ngập lụt" là kiểu tấn công phổ biến. 1.4.2.3 Từ chối dịch vụ Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máy chủ bị nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật này còn được cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khi các cuộc tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹn trước vào cùng một thời điểm nên rất khó chống đỡ. 1.4.2.4 Lợi dụng chương trình Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵn trong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ. Phần lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng. 1.4.2.5 Giả mạo địa chỉ IP Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IP spoofing) cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến từ một địa chỉ IP khác với địa chỉ của hacker nhằm che đậy dấu vết. Kỹ thuật này kết hợp với các kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thông điệp. 1.4.3 Các phương pháp bảo mật 1.4.3.1 Xác thực (Authentication): là quá trình xử lý và giám sát người sử dụng trong quá trình logon hay truy cập bất kỳ vào tài nguyên mạng. Ta có thể xác thực bằng các phương pháp như sử dụng mật mã (password), khóa (key), dấu vân tay (fingerprints),… 1.4.3.2 Điều khiển truy cập (Access Control): giới hạn quyền truy cập của người dùng vào tài nguyên hệ thống và cho phép những ai có quyền truy cập vào. 1.4.3.3 Mã hóa dữ liệu (Data Encryption): nhằm mục đích không cho người khác đánh cắp dữ liệu. Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai có khóa trùng với khóa đó mới đọc được nội dung của dữ liệu gửi tới. 1.4.3.4 Chính sách (Auditing): nhằm mục đích quản lý người sử dụng trong hệ thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một số vấn đề khác. 1.5 FIREWALL VÀ MẠNG VPN 1.5.1 Firewall 1.5.1.1 Khái niệm cơ bản Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng. Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Hình 24 Firewall 1.5.1.2 Các kiểu firewall Firewall dựa trên Application level gateway Hình 25 Application level gateway Cổng vòng (Circuit level gateway) Hình 26 Circuit level gateway Proxy Server Firewall Hình 27 Proxy Server Firewall 1.5.2 Mạng VPN 1.5.2.1 Định nghĩa VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. 1.5.2.2 Thành phần: có 4 thành phần chính. VPN Server VPN Client Tunnel Public Network 1.5.2.3 Giao thức: VPN sử dụng các loại giao thức chủ yếu sau. Point to Point Protocol (PPP) Point to Point Tunneling Protocol (PPTP) Layer 2 Forwarding (L2F) protocol Layer 2 Tunneling Protocol (L2TP) IP Security (IPSec) 1.5.2.4 Kiểu VPN: có 3 kiểu VPN. Remote Access VPN Intranet VPN Extranet VPN CHƯƠNG 2 TỔNG QUAN VỀ CÔNG NGHỆ VPN 2.1 KHÁI QUÁT CHUNG 2.1.1 Lịch sử hình thành và phát triển Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng WAN. PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực hiện nối thông. Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số chuyên dụng cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt. Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùng cho nghiệp vụ dữ liệu. Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của VPN trên toàn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng nhu cầu dịch vụ viễn thông quốc tế. Một số liên minh và công ty đa quốc gia cần có mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng. Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quả nhu cầu của số hộ khách này. Và so với đường dây trong nước, có thể tiết kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công ty hay tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từ các mạng chuyên dùng đã được thiết lập sang sử dụng VPN. Một số hộ khách thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, như hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích là nhằm có thể đạt được tỷ lệ tính năng trên giá cả tốt nhất trong việc sử dụng nghiệp vụ VPN. Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay còn gọi là VPN toàn cầu (GPN), đã phát triển nhanh nhất. 2.1.2 Khái niệm VPN Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian. Hình 28 Mô hình mạng VPN cơ bản Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp. Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng rẽ. Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng dùng riêng. 2.2 PHÂN LOẠI VPN Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng 2.2.1 VPN truy cập từ xa (Remote Access) Remote Access, hay còn gọi là virtual private dial-up network (VPDN). Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến mạng cục bộ công ty bằng dial-up. Khi công ty muốn thiết lập Remote access trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công ty. Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL). Hình 29 Mô hình VPN truy cập từ xa 2.2.2 VPN điểm nối điểm (Site to Site) Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet. Site to Site VPN gồm 2 loại: Các VPN nội bộ (Intranet VPN ) Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN. Các VPN mở rộng ( Extranet VPN ) Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet). Hình 30 Mô hình VPN điểm nối điểm 2.3 SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là: Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa. Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX. Server VPN cao cấp dành cho dịch vụ Dial-up. NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa. Mạng VPN và trung tâm quản lý. 2.3.1 Bộ xử lý trung tâm VPN Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).  Hình 31 Bộ xử lý trung tâm VPN Cisco 3000 2.3.2 Router dùng cho VPN Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn. Hình 32 Router Cisco 2.3.3 Tường lửa PIX của Cisco Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp. Hình 33 Bộ Cisco PIX Firewall Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP. 2.4 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo. 2.4.1 Tính tương thích Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ. 2.4.2 Tính bảo mật Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau: Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền. Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống. 2.4.3 Tính khả dụng Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên. 2.4.4 Khả năng hoạt động tương tác Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp khác nhau liên quan đến VPN. 2.5 THIẾT LẬP KẾT NỐI TUNNEL 2.5.1 Các loại giao thức Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (Tunnel). Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol).  Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng. Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau: Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua. Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc. Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP). Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet. 2.5.2 Kỹ thuật Tunneling trong mạng VPN 2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP. Hình 34 Mô hình Tunneling truy cập từ xa 2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel. Hình 35 Mô hình Tunneling điểm nối điểm Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa. 2.6 CÁC GIAO THỨC SỬ DỤNG TRONG VPN Hiện nay có ba giao thức chính dùng để xây dựng VPN là: 2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã. Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum. Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic. Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng. Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ. Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn. Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm. Hình 36 Giao thức PPTP 2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling Protocol ) Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000. Hình 37 Giao thức L2TP 2.6.3 Giao thức bảo mật IP – Ipsec Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000. Hình 38 Giao thức IPSec Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở để xây dựng nên L2TP. 2.7 LỢI ÍCH CỦA VPN 2.7.1 Đối với khách hàng Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng. Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng 60% so với chi phí của việc dùng kênh kết nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến. + Giảm thiểu thiết bị sử dụng. + Giảm thiểu chi phí kênh kết nối đường dài. + Giảm thiểu việc thiết kế và quản lý mạng. + Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng. Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng. Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002. 2.7.2 Đối với nhà cung cấp dịch vụ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo. Tăng hiệu quả sử dụng mạng Internet hiện tại. Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn. Ðầu tư không lớn hiệu quả đem lại cao. Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN. 2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 2.8.1 Ưu điểm VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp. Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới. Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP 2.8.2 Nhược điểm Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN. Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh… QoS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn. Thường QoS trên Internet chỉ là best effort. Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%. CHƯƠNG 3 THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 3.1 TÌNH HUỐNG Trung tâm Tin học VSIC có chi nhánh ở Đà Nẵng, tất cả các dữ liệu, máy chủ như Web server, Mail server,… đều đặt tại đây. Các nhân viên làm việc trực tiếp tại trung tâm truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những nhân viên này truy cập vào hệ thống mạng một cách thuận lợi. 3.2 PHÂN TÍCH VÀ THIẾT KẾ 3.2.1 Thiết bị sử dụng Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua các đường truyền như Dial-up, ADSL… Trong công ty có các máy chủ như VPN server, Mail server, Web server…và kết nối Internet qua Router ADSL. 3.2.2 Hệ điều hành và giao thức Hệ điều hành chủ yếu là Window Server 2003 và Window XP. Giao thức dùng trong hệ thống mạng là TCP/IP. 3.3 MÔ HÌNH TRIỂN KHAI Hình 39 Mô hình Client to Site Mô hình gồm có: 1 máy tính VPN SERVER cài hệ điều hành Window Server 2003, có 2 card mạng tương ứng với địa chỉ IP là 10.3.9.1 (card mạng ngoài) và 192.168.1.20 (card mạng trong). 1 máy DOMAIN CONTROLLER cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.21. 1 máy RADIUS cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.22. 1 máy VPN CLIENT cài hệ điều hành Window server 2003 hoặc Window XP. 1 SWITCH. Yêu cầu đặt ra: Máy tính VPN CLIENT truy cập từ xa vào trong trung tâm theo giao thức Tunneling điểm nối điểm (PPTP), chứng thực bởi Radius Server. CHƯƠNG 4 TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE 4.1 CÁC BƯỚC CÀI ĐẶT 4.1.1 Trên máy Domain Controller tạo Group VPN và User 4.1.1.1 Tạo Group VPN Vào Administrative Tools -> Active Directory Users and Computer Nhấn chuột trái vào tu.com, nhấn chuột phải chọn New -> Group Đặt tên Group name là VPN, nhấn OK 4.1.1.2 Tạo User Tương tự như tạo Group, nhấn chuột phải chọn New -> User Tạo User là tu1, nhấn Next Đặt Password cho User, nhấn Next Quá trình tạo User thành công, nhấn Finish. 4.1.1.3 Thêm User tu1 vào Group VPN Nhấn chuột phải vào Group VPN vừa tạo chọn Properties -> Members Nhấn Add Chọn User là tu1, nhấn OK Quá trình thành công, nhấn Apply và OK. 4.1.2 Cài đặt và cấu hình Radius Server 4.1.2.1 Các bước cài đặt Chọn Star -> Settings -> Control Panel -> Add or Remove Programs -> Add/Remove Windows Components. Click chọn Networking Services, nhấn Details Click chọn Internet Authentication Service, nhấn OK Nhấn Next Quá trình cài đặt diễn ra. 4.1.2.2 Cấu hình Khởi động dịch vụ Internet Authentication Service Nhấn chuột phải vào Remote Access Logging chọn New Remote Access Policy Tại Policy name đặt tên là duytu, nhấn Next Chọn VPN, nhấn Next Chọn Add để thêm Group VPN vào Chọn Group VPN, nhấn OK Nhấn Next Chọn Microsoft Encrypted Authentication version 2, nhấn Next Nhấn Next Nhấn Finish. Trở lại cây thư mục chính Nhấn chuột phải vào RADIUS Client chọn New RADIUS Client Tại “Friendly name” đặt tên là VPNSERVER, nhấn Verify Đánh địa chỉ IP của máy VPN Server là 192.168.1.20, nhấn Resolve Nhấn Next Tại “Client-Vendor” chọn RADIUS Standard, còn ở “Shared secret” ta gõ một mã bí mật chia sẻ cho VPN Server và gõ tiếp lần nữa ở “Confirm shared secret”. 1.4.3 Cài đặt và cấu hình VPN Server dùng Radius Server chứng thực bằng username, password Khởi động dịch vụ Routing and Remote Access Kích chuột phải vào DUYTU chọn Configure and Enable Routing Remote Access Nhấn Next Chọn Remote Access (dial-up or VPN), nhấn Next Chọn VPN, nhấn Next Chọn 10.3.9.1 là địa chỉ IP mạng ngoài của VPN Server, nhấn Next Chọn From a specified range of addresses, nhấn Next Nhấn New Đánh địa chỉ IP cùng lớp với địa chỉ IP mạng trong của VPN Server, ở đây cấp 10 địa chỉ IP, nhấn OK Nhấn Next Chọn “Yes, set up this server to work with a RADIUS server”, nhấn Next Đánh địa chỉ IP của máy RADIUS Server là 192.168.1.22 và mã bí mật chung trong ô Shared secret , nhấn Next Quá trình thành công, nhấn Finish. 4.1.4 Cài đặt và kết nối máy Client 4.1.4.1 Cài đặt Vào Star -> Settings -> Network Connections -> New Connection Wizard Nhấn Next Chọn “Connect to the network at my workplace”, nhấn Next Chọn “Virtual Private Network connection”, nhấn Next Đánh tên công ty kết nối tới là VSIC, nhấn Next Đánh tên máy VPN Server là duytu, nhấn Next Chọn “My use only”, nhấn Next Quá trình cài đặt thành công, nhấn Finish. 4.1.4.2 Kết nối Thiết lập kết nối VPN dùng giao thức PPTP Nhập User name và Password, nhấn Connect để kết nối Quá trình kết nối đang diễn ra. KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Những kết quả nghiên cứu của luận văn cho phép rút ra những kết luận sau: 1. Tìm hiểu những kiến thức cơ bản về mạng máy tính như mô hình mạng, giao thức mạng, các dịch vụ trên mạng, các thiết bị dùng trong mạng LAN và WAN. 2. Tìm hiểu về công nghệ VPN như lịch sử hình thành, khái niệm, phân loại, các giao thức, những lợi ích, ưư và nhược điểm. 3. Thiết kế và cài đặt mô hình VPN Client to Site chứng thực bằng Radius trong mạng LAN. Hướng phát triển của luận văn: 1. Cài đặt ứng dụng trong các mô hình mạng lớn hơn như WAN, MAN. 2. Triển khai theo các mô hình khác như Site to Site, VPN with ADSL. TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Như Ý. Đại từ điển tiếng Việt. Nhà Xuất bản Văn hoá - Thông tin 1999. [2] Nguyễn Gia Như. Bài giảng thiết kế mạng. Đại học Duy Tân, Đà Nẵng 2006, tr 3-34. Trang web [3] [4] [5] [6] [7] [8] [9]