Triển khai hệ thống VPN có IPSEC
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.97 MB, 104 trang )
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 1
Chương 1: Tổng Quan Về VPN
1 Tổng Quan.
Cùng vi s phát trin mnh m ca nn công nghip, nhu ci thông tin,
d liu gia nhng t chc, công ty, tp th và các cá nhân tr nên bc thit vì vy
. Mi s dng máy tính kt ni Internet thông qua nhà cung
cp dch v (ISP Internet service Provide), s dng mt giao thc chung là TCP/IP.
u mà k thut còn tip tc phi gii quyc truyn thông ca mng vin
thông công cng. Vi Internet, nhng dch v c tuyn, giáo dc t xa
n trc tuy nên d dàng. Tuy nhiên Internet có phm vi toàn cu
và không t chc hay chính ph nào có th qun lý , cho nên vim bo an toàn và
bo mt d liu hay qun lý các dch v là mt v ln cn phi gii quyt. T
các nhà khoa ht mô hình mng mi, nhng
c nhu cu trên mà vn tn d h t
mng riêng o (VPN Virtual Private Network ). Vi mô hình này, chúng ta không
phu trang thit b h tng mà vm bo các tính
o m tin cng thi có th qun lý riêng hong ca mng này.
VPN cho phi s dng làm vic t
chi nhánh có th kt nn máy ch ca t chc mình b h tng
c cung cp bi mng công cm bo an toàn thông tin gia các t chc,
công ty hoc chi nhái cung ci tác kinh doanh trong
ng truyn thông rng ln.
c tính quan trng nht ca VPN là có th s dc mng công
cm báo tính bo mt và tit kim chi phí.
1.1 Lịch sử phát triển của VPN
S xut hin mng chuyên dùng o, còn gi là mng riêng o (VPN), bt ngun
t yêu cu ca khách hàng (client), mong mun có th kt ni mt cách có hiu qu
vi các t i vi nhau thông qua mng din rng (WAN).
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 2
c kia, h thn thoi nhóm hoc là mng cc b c kia s dng
ng thuê riêng cho vic t chc m thc hin vic thông tin
vi nhau.
Các mu s phát trin ca VPN:
- ch v Colisee, cung cp dch v dây
chuyên dùng cho các khách hàng ln. Colisee có th cung cc gi
s chuyên dùng cho khách hàng. Dch v ng dch v
c phí và nhin lý khác.
- ch v VPN có tên riêng là
mng phn mm SDN.
-
- i chic phí dch v VPN M, làm cho mt s xí
nghip va và nh chu nc phí s dng VPN và có th tit kim gn 30%
phát trin nhanh chóng dch v này ti M.
- ch v quc t IVPN là GSDN.
- ch v VPN quc t VPN; Telstra ca Ô-
xtrây-li- u tiên khu vc châu Á Thái
- n thông Hà Lan và Telia Thu n thành lp công ty hp tác
p dch v VPN.
- n thông Singapo tuyên b thành lp Liên minh
toàn cu Worldparners, cung cp hàng lot dch v quc tch v
VPN.
- p công ty h p
dch v VPN, dch v chuyn ti
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 3
- ITU- n ngh F-16 v dch v VPN toàn cu
(GVPNS).
- c (Deustch Telecom), Vin thông Pháp
(French Telecom) kt thành liên minh Global One.
- coi là mc r i vi công ngh VPN, Công ngh
này có mt trên khp các tp chí khoa hc công ngh, các cuc hi th
mng VPN xây d h tng mng Internet công ci
mt kh i, mt cái nhìn mi cho VPN. Công ngh VPN là gii pháp
thông tin t chc có nhia
chn. Ngày nay, vi s phát trin ca công ngh h tng mng IP
(Internet) ngày mt hoàn thi a VPN ngày mt hoàn
thin.
Hin nay, VPN không ch dùng cho dch v thoi mà còn dùng cho các dch v d
liu, hình nh và các dch v n.
1.2 Định nghĩa VPN
c hin là s m rng ca mt mng riêng (Private Network)
thông qua các mng công cng. V n, mi VPN là mt mng riêng r s dng
mt mng là Int kt ni cùng vi các site (các mng riêng l)
hay nhii s dng t xa. Thay cho vic s dng kt ni th
ng leased-line, mi VPN s dng các kt ni c dng Internet t
mng riêng ca các công ty ti các site các nhân viên t có th gi và nhn d
liu thông qua mng công cng mà vm bo tính an toàn và bo mt, VPN cung
c mã hóa d ling truyn to ra mng ng bo mt gia
i gi là Tunnel , Tunnel git kt ni point-to-point trên
m có th to ra mng ng bo m liu phc mã hóa
gi cung cp phu gói tin (header) là thông tin v
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 4
cho phép nó có th ng công cng mt cách nhanh chng. d
lic mã hóa mt cách cn thu các packet b bng truyn
công c c n gii mã, liên kt vi d
lic gi là kt nng kt nng
c gng ng VPN (Tunnel).
Hình 1: Mô Hình Kết Nối VPN.
1.3 Các thành phần tạo nên VPN.
trin khai mt h thng VPN bn cn có mt s thành ph n sau,
c to ra h thng VPN thì mi s có mt s la chn thành phn khác
phù hp vi công ty hay ma mi.
1.3.1 VPN client
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 5
hàng.
1.3.2 VPN Server
VPN.
VPN.
1.3.3 IAS Server
(Remote Authentication Dial In User Service). RADIUS là
nhà
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 6
International Accounting Standards ) .
trên Windows Server 2008.
1.3.4 Firewall
Chúng ta
proxy VPN.
ISA.
1.3.5 Chọn một Giao thức Tunneling
nhiên mà có.
l
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 7
quy
1.3.6 Authentication Protocol
-CHAP v2. MS-
là MS-CHAP.
1.4 Lợi ích và Hạn chế của việc sử dụng VPN.
1.4.1 Lợi ích.
Vic s dng mng riêng o là mt nhu cu và là xu th ca công ngh truyn
thông bi vì nó có mt s
Gim thiu chi phí trin khai và duy trì h thng:
- Vi VPN vic trin khai h th nhu cu truyn ti hay tính
bo mt an toàn d li vì VPN gim thiu t
ng truy tn dng li h thng mng Internet
có sn.
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 8
- Phí duy trì h tht v i VPN phí duy trì
rt r na bng vic thuê h tng có sn ca các công ty dch v
Internet thì chi phí duy trì s i.
Ci thin kt ni.
- t qua b lc chn truy cp Web: VPN là mt la chn t có th t
c b lc Internec s dng nhiu ti
mt s c có s kim duyt Internet kht khe.
- Via ch IP: Nu mui IP khác thì VPN có th giúp
u này vic này giúp ta có th che da ch ca mình
c s xâm h xu ca nhng hacker (k tn công, tin tc)
bên ngoài mng.
An toàn trong giao dch.
- Vii thông tin trong công vic là nhiu và liên t bo
mt thông tin thì cc kì quan trng, vi VPN chúng ta s không phi lo lng
quá nhiu v vi d gi liu s c mã
hóa và thông tin d lic bo bc bi gói tin Header (phu gói tin
a ch u - cui ca gói tin) và truya vào Internet.
- ng tt vic chia s gói tin và d liu trong mt thi gian dài.
Kh u khin t xa.
- Thi hin nay, Mi làm vic mun tit kim thi gian và gim chi
phí, vì vy vic m i làm vic ti nhà mà vn có th gii quyt tt
nhng công vic ca h thì tht là tuyt vi. Vi dùng có th truy
cp vào h thng mng t b nhà thm chí là mt quán coffe ch cn
thng VPN s dng Internet), vì vy nó rt có li
i cho vic thc hin công vic t xa.
Kh rng h thng tt.
- xây dng mt h thng m i chuyên dng (s dng cáp
mng) cho mu có th là hp lý, tuy nhiên công ty ngày càng
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 9
phát trin nhu cu m rng h thng mng là cn thit vì vy VPN là mt la
chn hp lý bi vì VPN không ph thuc quá nhiu vào v th
nói mn là khi mun m rng thì ch cn tng ng
(tunnel) kt n tng Internet có sn.
1.4.2 Hạn chế.
Mc dù ph bing riêng o (VPN) không hn là hoàn ho và hn
ch thì luôn luôn tn ti trng bt kì h thng mng nào. Mt s hn ch c
khi trin khai h thng VPN:
i s hiu bit chi tit v v an ninh mng, vic cu hình và cài
t phi cn thm bo tính an toàn trên h thng mng Internet
công cng.
tin cy và hiu xut ca mt VPN da trên Internet không phi s
kim soát trc tip ca công ty , vì vy gii pháp thay th là hãy s dng mt
nhà cung cp dch v (ISP) tt và chng.
Vic s dng các sn phm VPN và các gii pháp ca các nhà cung cp khác
nhau không ph v tiêu chun công
ngh VPN. Khi s dng pha trn và kt hp các thit b s có th gây ra nhng
v k thut hoc nu s d lãng phí rt nhiu chi phí
trin khai h thng.
Mt hn ch m rt khó tránh khi c bo mt
cá nhân, bi vì vic truy cp t xa hay vic nhân viên kt ni vi h th
phòng bu máy tính ca h
thc hin hàng lot các ng dng khác, ngoài vic kt ni t
vic thì hacker (k tn công, tin tc) có th li dng ym t máy tính cá
nhân ca h tn công vào h thng ca công ty. Vì vy vic bo mt cá nhân
c các chuyên gia khuyn cáo phm bo an toàn.
1.5 Chức Năng của VPN.
Mt s cha VPN :
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 10
Độ tin cậy (Confidentiality): i gi có th mã hóa các gói d lic
khi truyn chúng ngang qua mng. B truy nhp
c cho phép, nu lc
c mã hóa.
Tính toàn vẹn dữ liệu (Data Integrity): i nhn có th kim tra d liu
nhc sau khi truyn qua Internet có b i hay không.
Xác thực nguồn gốc (Origin Authentication): Khi nhc d liu mà
u tiên phi làm là xác thc ngn gc ca d lii dùng
xác thc thông tin, ngun gc ca d liu.
1.6 Phân loại mạng VPN
Mi vi công ngh mng VPN là tho mãn ba yêu cn sau:
Ti mi thm, các nhân viên ca công ty có th truy nhp t xa hoc di
ng vào mng ni b ca công ty.
Ni ling.
Kh u khic quyn truy nhp ca khách hàng, các nhà cung
cp dch v hong bên ngoài khác.
Da vào nhng yêu cn trên, mng riêng c phân làm ba loi:
Mng VPN truy nhp t xa (Remote Access VPN)
Mng VPN cc b (Intranet VPN)
Mng VPN m rng (Extranet VPN)
1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN)
Các VPN truy nhp t xa cung cp kh p t xa. Ti mi thi
ng có kh i, truy nhp
vào mng ca công ty. Kiu VPN truy nhp t xa là kin hình nht. Bi
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 11
vì, nhng VPN này có th thit lp bt k thm nào, t bt c
mng Internet.
VPN truy nhp t xa m rng mng công ty ti nhi s dng thông
h tng chia s chung, trong khi nhng chính sách mng công ty vn
duy trì. Chúng có th cung cp truy nhp an toàn t nhng thit b di
ng, nh i s d ng, nhng chi nhánh và nhng bn hàng ca
công ty. Nhng kic thc hi h tng công cng
bng cách s dng công ngh ISDN, quay sng, DSL và công ngh cáp
ng yêu cu mt vài kiu phn mm client chy trên máy tính ci s
dng.
Hình 2 : Mô hình mạng VPN truy nhập từ xa
a) Các ưu điểm của mạng VPN truy nhập từ xa:
Mng VPN truy nhp t xa không cn s h tr ca nhân viên mng bi vì
quá trình kt ni t c các ISP thc hin.
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 12
Gic các chi phí cho kt ni t khong cách xa bi vì các kt ni
kho c thay th bi các kt ni cc b thông qua mng
Internet.
Cung cp dch v kt ni giá r cho nhi s dng xa.
Bi vì các kt ni truy nhp là ni b nên các Modem kt ni hong
t i các truy nhp khong cách xa.
VPN cung cp kh p tn các site ca công ty bi vì
chúng h tr mc thp nht ca dch v kt ni.
b) Nhược điểm của mạng VPN truy cập từ xa:
Mng VPN truy nhp t xa không h tr các dch v m bo QoS.
mt d li b phân phát
c mt gói.
Bi vì thut toán mã hoá phc t giao th mt cách
.
1.6.2 Mạng VPN cục bộ ( Intranet VPN)
Các VPN cc b c s d bo mt các kt ni gim
khác nhau ca mt công ty. Mng VPN liên kt tr s
nhánh trên m h tng chung s dng các kt ni luôn c mã hoá bo
mu này cho phép tt c m có th truy nhp an toàn các ngun d
lic phép trong toàn b mng ca công ty.
Nhng VPN này vn cung cp nh c tính ca m
rng, tính tin cy và h tr cho nhiu kiu giao thc khác nhau vi chi
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 13
phí thm bo tính mm do. Kic cu hình
t VPN Site- to- Site.
v¨n phßng ë xa
Router
InternetInternet
POPPOP
Remote site
Central site
or
PIX Firewall
Văn phòng
trung tâm
Hình 3: Mô hình mạng VPN cục bộ
a) Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao
gồm:
- Các mi cc b hay toàn b có th c thit lp (vu kin mng
thông qua mt hay nhiu nhà cung cp dch v).
- Gic s nhân viên k thut h tr trên mi vi nh
- Bi vì nhng kt nc thc hin thông qua mng Internet, nên nó
có th d dàng thit lp thêm mt liên kt ngang cp mi.
- Tit kic t nhng lc bng cách s dng
ngm VPN thông qua Internet kt hp vi công ngh chuyn mch t cao.
Ví d gh Frame Relay, ATM.
b) Nhược điểm chính của mạng cục bộ dựa trên giải pháp VPN :
- Bi vì d lic truyng công cng mng Internet cho
nên vn còn nhng m m bo mt d liu và m cht
ng dch v (QoS).
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 14
- Kh các gói d liu b mt trong khi truyn dn vn còn khá cao.
- ng hp truyn dn khng ln d lin, vi yêu
cu truyn dn t m bo thi gian thc là thách thc ln trong
ng Internet.
1.6.3 Mạng VPN mở rộng (Extranet)
Không ging VPN cc b và mng VPN truy nhp t xa, mng
VPN m rng không b cô lp v gic t mng VPN m
rng cung cp kh u khin truy nhp ti nhng ngun tài nguyên mng
cn thi m rng nhi ti tác, khách hàng,
và các nhà cung c
Intranet
DSL
cable
Extranet
Business-to-business
Router
InternetInternet
POPPOP
Remote site
Central site
or
PIX Firewall
trung tâm
DSL
Hình 4: Mô hình mạng VPN mở rộng
Các VPN m rng cung cp mng hm bo mt gia các khách hàng, các
nhà cung ci tác qua m h tng công cng. Kiu VPN này s dng
các kt nc bo mc ct VPN SitetoSite. S
khác nhau gia mt VPN cc b và mt VPN m r truy cp mc
công nhn mu cui ca VPN.
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 15
a) Những ưu điểm chính của mạng VPN mở rộng:
-
-
-
-
a) Nhược điểm của mạng VPN mở rộng :
-
-
Internet.
-
2 Các giao thức sử dụng trong VPN.
2.1 Bộ giao thức IPSec.
Internet Protocol Security (IPSec) là mt b giao thc bo mt (Internet Protocol
-IP) thông tin liên lc, bng cách xác thc và mã hóa mi gói tin IP ca mt phiên
giao dm các giao thc cho vic thit lp xác thc ln nhau gia
i lý trong các phiên giao dng cách s dng các key mã hóa.
IPSec là m u hành bo mt end-to-end trong các Layer
Internet (lp kt ni internet) ca Internet Protocol Suite (IPS - giao thc chun trong
c s d vic bo v lung d liu gia mt cp máy (host-to-
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 16
host), gia hai mng (network-to-network), hay gia mt mng vi mt máy ch
(network-to-host).
Ngun gc phát trin ti phòng thí nghim Nghiên cu hi
quân và là mt phn ca d án nghiên cu ca DARPA (Defense Advanced Research
Projects Agency - tiên tin ca b quc phòng M ). Trong
c bt ngun trc tip th giao thc SP3D, ch không phc bt
ngun t lt ca giao
thi NIST(National Institute of Standards and Technology
Vin tiêu chun và công nghc thit k bo mt h thng mng
b inh Quc gia (NSP), IPSec AH bt ngun t các tiêu chun
IETF(Internet Engineering Task Force).
2.1.1 Kiến Trúc.
B giao thc IPSec là mt tiêu chun m, IPSec s dng các giao th thc
hin các chm các thành phn sau:
Authentication Header(AH): cung cp kt ni an toàn và xác thc ngun gc
d lio v chng li các cuc tn công.
Encapsulating Security (ESP): Cung cp bo mt, xác thc ngun gc d liu,
kt ni toàn vn, kim soát các lung d liu mt cách an toàn.
Security Associations (SA):Cung cp nhng thut toán và thông s cn thi
AH và ESP ho t cách th i khóa ( ISAKMP-
Internet Security Association and Key Management Protocol) tính toán và
cung cp khóa chia s (Pre-
IKEv2, KINK (Kerberized Internet Negotiation of Keys), hoc IPSECKEY.
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 17
Hình 5: Sơ đồ các thành phần của IPSec và luồng dịch chuyển.
2.2 Giao thức PPTP và L2TP và SSTP .
2.2.1 Giao thức PPTP (Point-to-Point Tunneling Protocol).
PPTP là mc ca mng riêng c phát trin bi Microsoft kt
hp vi mt s công ty khác, nó s dng mu khin qua giao thc TCP và
ng h liu PPP (Point-to-Point). PPTP là mt
phn ca các tiêu chun Internet Point-to-Point (PPP), PPTP s dng các loi xác
th-CHAP, và EAP).
PPTP thit l ng h p mã hóa, nó mã hóa bng
cách s dng giao thc Microsoft Point-to- to ra mt
i thu này gii thích ti sao PPTP
c s dng nhiu bi các khách hàng ca Microsoft.
a) Nguyên tắc hoạt động của PPTP.
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 18
sang máy khác.
PPTP khách có
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 19
gán
b) Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP.
c) Nguyên lý đóng gói dữ liệu đường hầm PPTP.
nh tuyn chung GRE.Phn ti ca khung PPP
to ra khung PPP. Khung
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 20
i ph ca phiên bn giao thc GRE si.
GRE là giao thchung, cung c li nh tuyn
qua mi vi PPTP, ph cc si mt s
là. Mng xác nhc thêm vào. Mt bits xác nhc s
d ch nh s có mt cng xác nhn 32 c thay th
b ng ch s cuc gng ch
s cuc gc thit lp bi máy trm PPTP trong quá trình khi tng hm.
Trong khi truyn ti phn t Gi
m IP cha ch ngup cho máy trm và
máy ch PPTP.
p liên kt d liu
có th truyn qua mng LAN hay WAN thì gói tin IP cui cùng s
gói vi m và phn cui ca lp liên kt d liu giao din vu ra.
ng LAN thì ni qua giao din Ethernet, nó s
c gói vi ph c gng
truym tm nó s ói vi ph a giao
thc PPP.
-
-
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 21
-
-
-
-
-
d) Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP.
-
tin.
-
-
-
-
e) Tính năng và hạn chế của PPTP.
Tính năng :
- PPTP to ra nhiu kt ni gia các khách hàng mà không yêu cu dch v
c bit ISP.
- PPTP phù hp trên nhiu h u hành thông dng. (Microsoft ,Nortel
- PPTP h tr các dch v IP, mã hóa các gói tin RC4 (56 bit hoc 128 bit),
s dng port 1723 và các giao thc GRE.
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 22
Một số hạn chế:
2.2.2 Giao thức đĩnh đường hầm lớp 2 (Layer 2 Tunneling Protocol).
PPP.
kh
).
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 23
a) Các thành phần của L2TP.
Network Server (LNS).
Network Access Server (NAS)
- -
P
.
Bộ tập kết truy cập L2TP (LAC)
-
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 24
L2TP Network Server (LNS)
-
b ) Qui trình xử lý L2TP.
Bước 1:
Bước2:
Bước3:
Bước4: -
Bước 5:
Trin Khai H Thng VPN có IPSEC GVHD: Trn N c
SVTH: ng Th Cm Li Trp Trang 25
dùng và LAC.
Bước 6:
thông báo.
Bước 7:
c) Dữ liệu đường hầm L2TP.
tunneling:
