Tải bản đầy đủ (.doc) (29 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Báo cáo khoa học

Tìm hiểu và cài đặt kết nối VPN chứng thực bằng RADIUS trên nền tảng Windows Server 2008

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (981.89 KB, 29 trang )

ĐẠI HỌC ĐÀ NẴNG

TRƯỜNG ĐẠI HỌC BÁCH KHOA

KHOA CÔNG NGHỆ THÔNG TIN
Tel. (84-511) 736 949, Fax. (84-511) 842 771
Website: itf.ud.edu.vn, E-mail:

BÁO CÁO THỰC TẬP TỐT NGHIỆP
NGÀNH CÔNG NGHỆ THÔNG TIN
Mã Ngành: 05115

ĐỀ TÀI:
Tìm hiểu và cài đặt kết nối VPN chứng thực bằng
RADIUS trên nền tảng Windows Server 2008

SINH VIÊN :
LỚP
:
ĐƠN VỊ
: VNCERT Đà Nẵng
CBHD
:

Đà Nẵng 2013


2

Báo cáo Thực tập tốt nghiệp


LỜI CẢM ƠN
Trong đợt thực tập vừa qua, em đã nhận được sự huớng dẫn, giúp đỡ
và động viên tận tình từ nhiều phía. Tất cả những điều đó đã trở thành một
động lực rất lớn giúp em có thể hoàn thành tốt mọi công việc được giao. Với
tất cả sự cảm kích và trân trọng, em xin được gửi lời cảm ơn đến tất cả mọi
người.
Trước tiên cho em được gửi lời cảm ơn đến Ban lãnh đạo Công ty
VNCERT Đà Nẵng đã tạo điều kiện cho em được tham gia thực tập tại công
ty cũng như cung cấp tất cả các cơ sở vật chất và trang thiết bị có thể cho em
trong thời gian vừa qua. Xin cảm ơn các anh chị trong công ty đã tận tình
hướng dẫn giúp đỡ em trong suốt thời gian em tham gia thực tập.
Em cũng xin được gửi lời cảm ơn đến lãnh đạo trường Đại học Bách
Khoa Đà Nẵng, lãnh đạo khoa Công nghệ thông tin đã tổ chức các buổi giao
lưu giữa các doanh nghiệp và sinh viên thật sự bổ ích, giúp em có cơ hội tìm
được một đơn vị thực tập tốt.
Em xin chân thành cảm ơn các thầy cô giáo của trường Đại học Bách
Khoa Đà Nẵng, xin cảm ơn quý thầy cô đã tận tình dạy bảo, giúp đỡ em trong
suốt thời gian em học tại trường cũng như trong thời gian em thực tập vừa
qua.
Xin trân trọng cảm ơn!


3

LỜI CAM ĐOAN
Tôi xin cam đoan:
1.
Những nội dung trong báo cáo này là do tôi thực hiện dưới sự
hướng dẫn trực tiếp của anh Phan Phú Thuận .
2.

Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng tên
tác giả, tên công trình, thời gian, địa điểm công bố.
3.
Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá,
tôi xin chịu hoàn toàn trách nhiệm.
Sinh viên


4

Báo cáo Thực tập tốt nghiệp

MỤC LỤC
LỜI CẢM ƠN....................................................................................................... 2
LỜI CAM ĐOAN................................................................................................. 3
GIỚI THIỆU........................................................................................................ 5
1.1.1. Giới thiệu về đơn vị thực tập VNCERT Đà Nẵng............................5
1.1.2. Quá trình thực tập.............................................................................9
TÌM HIỂU CÔNG NGHỆ..................................................................................11
1. Tìm hiểu về VPN.................................................................................11
2. Bảo mật trong VPN..............................................................................15
1.1.3. Các giao thức dùng trong VPN.......................................................16
4. RADIUS Server...................................................................................19
XÂY DỰNG ỨNG DỤNG................................................................................20
I. PHÂN TÍCH ĐỀ TÀI
20
1. Mô tả.................................................................................................... 20
2. Sơ đồ mạng..........................................................................................20
3. Cài đặt.................................................................................................. 22
II. KẾT QUẢ DEMO CHƯƠNG TRÌNH

25
III. KẾT LUẬN
27
1. Kết quả đạt được..................................................................................27
2. Định hướng..........................................................................................27


5

CHƯƠNG 1

GIỚI THIỆU
1.1.1.

Giới thiệu về đơn vị thực tập VNCERT Đà Nẵng
1.1. Tổng quan

Tên Cơ quan: Trung tâm ứng cứu khẩn cấp máy tính Việt Nam
(Vietnam Computer Emergency Response Team - VNCERT) – Bộ Thông tin
và Truyền thông.
Địa chỉ: A12 Lô 11 Định Công - Hoàng Mai - Hà Nội.
Điện thoại: (+84 ) 43 640 4421; (+84) 43 640 4424.
Fax: (+84) 43 640 4425.
Email:
Website: www.vncert.gov.vn.
Chi nhánh tại Tp. Đà Nẵng: Phòng 5.10 tầng 5, số 76-78 Bạch Đằng,
Quận Hải Châu, TP. Đà Nẵng.
ĐT: (+84) 5113 843 228.
Fax: (+84) 5113 843 228.
Email:

1.2. Vị trí – Chức năng
Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT), được
thành lập theo Quyết định 339/2005 của Thủ tướng Chính phủ, là đơn vị trực
thuộc bộ Bộ Thông tin và Truyền thông, thực hiện chức năng điều phối các
hoạt động ứng cứu sự cố máy tính trong toàn quốc; cảnh báo kịp thời các vấn
đề về an toàn mạng máy tính; thúc đẩy hình thành trung tâm ứng cứu khẩn cấp
máy tính (CERT) trong các cơ quan, tổ chức, doanh nghiệp; là đầu mối thực
hiện hợp tác với các tổ chức CERT nước ngoài.
Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam là đơn vị sự nghiệp
có thu, có tư cách pháp nhân, có con dấu và tài khoản riêng để giao dịch theo
quy định của pháp luật; có trụ sở chính đặt tại thành phố Hà Nội và 02 chi
nhánh tại thành phố Đà Nẵng và thành phố Hồ Chí Minh.


6

Báo cáo Thực tập tốt nghiệp

1.3. Nhiệm vụ - Quyền hạn

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam có các nhiệm vụ và quyền
hạn sau:
- Điều phối các hoạt động ứng cứu mạng Internet quốc gia để phòng, chống
sự cố mạng và tham gia phòng chống tội phạm, chống khủng bố trên mạng
Internet trong phạm vi quốc gia và trong khuôn khổ hợp tác quốc tế.
- Điều phối và hướng dẫn các tổ chức, doanh nghiệp cung cấp các dịch vụ
Internet trong việc xử lý sự cố, trong việc thực hiện nghĩa vụ xử lý và lưu trữ
số liệu gốc để cung cấp thông tin cho mục đích đảm bảo an toàn mạng Internet
quốc gia
- Điều phối các tổ chức, doanh nghiệp cung cấp dịch vụ về an toàn mạng

trong nước theo quy định để xử lý các sự cố lớn trên mạng Internet quốc gia.
Phối hợp quốc tế trong điều phối xử lý sự cố từ nước ngoài hoặc từ trong nước
ra.
- Tổ chức thu thập thông tin về an toàn mạng Internet. Thống kê, tổng hợp,
phân tích các số liệu về an toàn mạng Internet quốc gia để giúp cho các hoạt
động quản lý nhà nước về an toàn bảo mật trong các hoạt động công nghệ
thông tin và truyền thông. Theo dõi phát hiện những nguy cơ và sự cố an toàn
mạng máy tính để cảnh báo sớm cho các cơ quan hữu quan và cho cộng đồng;
tham gia công tác quản lý an toàn bảo mật trong các hoạt động công nghệ
thông tin và truyền thông.
- Thu thập đánh giá về các công nghệ và giải pháp đảm bảo an toàn mạng
máy tính mới nhất để khuyến cáo rộng rãi. Tổ chức nghiên cứu thường xuyên
để làm chủ những kỹ thuật mới đồng thời phát triển các giải pháp, kỹ thuật
riêng của VN về an toàn mạng máy tính để đề xuất giải pháp phục vụ xử lý
khẩn cấp sự cố mạng và khuyến cáo các biện pháp đề phòng;
- Tổ chức nghiên cứu và phối hợp với các đơn vị chức năng để xây dựng các
tiêu chuẩn và quy chuẩn kỹ thuật về an toàn mạng máy tính, bao gồm các tiêu
chuẩn kỹ thuật cho hệ thống thông tin, chuẩn về khung đào tạo bồi dưỡng
người sử dụng mạng, các quy trình phòng chống và xử lý sự cố và các văn bản
pháp quy khác về an toàn mạng máy tính;
- Hoạt động thúc đẩy năng lực ứng cứu khẩn cấp máy tính và hình thành hệ
thống các CERT trong các cơ quan, tổ chức, doanh nghiệp. Tuyên truyền nâng
cao nhận thức cộng đồng về an toàn thông tin máy tính; phát hành các ấn
phẩm về an toàn mạng máy tính theo quy định của pháp luật.
- Tham gia hợp tác với các tổ chức CERT trên thế giới. Là đầu mối trao đổi


7

thông tin với các trung tâm an toàn mạng quốc tế. Tham gia các diễn đàn, hoạt

động đào tạo và hội thảo quốc tế về lĩnh vực liên quan.
- Được phối hợp, hợp tác với các tổ chức quốc tế để khai thác thông tin, kĩ
thuật và tri thức phòng chống sự cố và tội phạm mạng, quảng bá về an toàn
mạng máy tính Viêt Nam và tranh thủ sự giúp đỡ quốc tế nân cao năng lực
đảm bảo an toàn mạng của Việt Nam.
- Tham gia công tác quản lý nhà nước đối với các hoạt động của cá hiệp hội
và tổ chức phi chính phủ trong lĩnh vực an toàn thông tin trên mạng máy tính.
Được quyền yêu cầu các tổ chức, cá nhân hoạt động trên mạng Internet quốc
gia cung cấp các thông tin và các số liệu thống kê liên quan đến vấn đề an
toàn mạng.
- Cung cấp các dịch vụ đánh giá về kĩ thuật an toàn mạng cho các hệ thống
thông tin và cho các sản phẩm, công nghệ đảm bảo an toàn thông tin dùng
trong mạng máy tính. Kiểm tra đánh giá, công nhận đạt tiêu chuẩn cho các tổ
chức làm dịch vụ ứng cứu máy tính và an toàn mạng máy tính.
- Tổ chức các dịch vụ về đào tạo, bồi dưỡng kĩ thuật xây dựng mạng và an
toàn mạng máy tính, kiểm tra sát hạch và cấp chứng chỉ về trình độ quản trị
mạng và đảm bảo an toàn mạng máy tính theo các quy định hiện hành của
Nhà nước và phân cấp của Bộ thông tin và truyền thông.
- Cung cấp các dịch vụ khác trong lĩnh vực tư vấn, nghiên cứu, triển khai, sản
xuất, lưu trữ, và cung cấp thông tin phục vụ an toàn mạng máy tính, tạo thêm
các nguồn thu nhằm mở rộng phạm vi và quy mô hoạt động phù hợp với chức
năng, nhiệm vụ và quyền hạn của Trung tâm và theo quy định của Pháp luật,
bảo toàn và phát triển các nguồn lực được giao.
- Được thu, quản lý và sử dụng phí và lệ phí theo quy định của Pháp luật.
- Quản lý về tổ chức công chức, viên chức và tài sản của trung tâm theo quy
định của pháp luật và phân cấp của Bộ trưởng.
- Thực hiện các nhiệm vụ khác do Bộ trưởng giao

1.4. Cơ cấu tổ chức



8

Báo cáo Thực tập tốt nghiệp

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam có giám đốc, các phó giám
đốc, bộ máy giúp việc và các đơn vị trực thuộc.
Giám đốc chịu trách nhiệm trước bộ trưởng về kết quả thực hiện chức năng,
nhiệm vụ và quyền hạn được quy định tại quyết định này.
Phó giám đốc giúp giám đốc chỉ đạo, điều hành các mặt công tác cua trung
tâm và chịu trách nhiệm trước giám đốc về nhiệm vụ được phân công.
Mô hình tổ chức
- Phòng hành chính, tổng hợp.
- Phòng kế hoạch và kế toán.
- Phòng Nghiệp vụ.
- Phòng kĩ thuật hệ thống.
- Phòng nghiên cứu - phát triển.
- Phòng Tu vấn - Đào tạo.
- Chi nhánh tại thành phố Hồ Chí Minh.
- Chi nhánh tại thành phố Đà Nẵng.

Mô hình tổ chức

1.5.VNCERT chi nhánh Đà Nẵng


9

Tổ chức nhân sự


Chức năng và nhiệm vụ
- Điều phối các hoạt động ứng cứu sự cố máy tính, cảnh báo kịp thời các vấn
đề an toàn mạng máy tính tại khu vực miền Trung – Tây Nguyên phục vụ
nhiệm vụ của Trung tâm.
- Là đầu mối của Trung tâm quan hệ với các cơ quan đơn vị và các cá nhân
trong và ngoài ngành thuộc khu vực miền Trung – Tây Nguyên để tiếp nhận,
giải quyết các vấn đề thuộc chức năng và nhiệm vụ của Trung tâm theo sự chỉ
đạo của Giám đốc Trung tâm.
- Chủ động đề xuất, tham gia kế hoạch chương trình công tác hàng năm, tổ
chức triển khai thực hiện các nhiệm vụ được Giám đốc giao.
- Thực hiện các nhiệm vụ đột xuất do Giám đốc giao.

1.1.2. Quá trình thực tập


10

Báo cáo Thực tập tốt nghiệp

1.1.2.1.1.





Nhiệm vụ phải thực hiện và công việc được giao

Tìm hiểu qui trình làm việc tại công ty.
Tìm hiểu công nghệ VPN và RADIUS server.
Cài đặt gateway VPN sử dụng RADIUS server để chứng thực.

Làm quen với môi trường mới cũng như làm việc theo nhóm.
1.1.2.1.2.

Bối cảnh đề tài

Tạo kết nối VPN Client về Công ty mục đích để sử dụng dữ liệu trong
mạng Lan. VPN Server không cần Join Domain mà vẫn chứng thực thành
công các Domain Users từ bên ngoài kết nối vào Công ty (Nhu cầu bảo mật
cho hệ thống Active Directory). Đáp ứng nhu cầu đó, ta sẽ triển khai VPN sử
dụng Radius Server để chứng thực Domain Users trên nền Windows Server
2008.
1.1.2.1.3.

Ý nghĩa của đề tài

VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN
để đơn giản hóa việc truy cập đối với nhân viên làm việc và người dùng lưu
động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và đối tác. Có thể đưa ra các lợi ích mà VPN
đem lại như :

Giảm chi phí thường xuyên.

Giảm chi phí đầu tư.

Giảm chi phí và hỗ trợ.

Truy cập mọi lúc ,mọi nơi : khách hàng của VPN qua mạng mở rộng
này, có quyền truy cập và khả năng như nhau đối với các dịch vụ trung tâm
bao gồm www, e-mail, FTP… cũng như các ứng dụng thiết yếu khác .



11

CHƯƠNG 2

TÌM HIỂU CÔNG NGHỆ
1. Tìm hiểu về VPN
VPN là viết tắt của cụm từ Virtual Private Network, bắt đầu bùng nổ từ
năm 1997, và ngày càng nhiều những giải pháp riêng cho VPN .
Mạng riêng ảo là phương pháp làm cho một mạng công cộng (vi dụ như
mạng Internet) hoạt động giống như mạng cục bộ ,cùng có các đặc tính như
bảo mật và tính ưu tiên mà người dùng yêu thích. VPN cho phép thành lập các
kết nối riêng với những người dùng ở xa ,các văn phòng chi nhánh của công
ty và đối tác của công ty đang sử dụng chung một mạng công cộng. Mạng
diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều
loại đường dây riêng ,song song với việc đầu tư các thiết bị và đội ngũ cán
bộ.Những vấn đề về chi phí làm cho các công ty dù muốn hưởng những lợi
ích mà việc mở rộng mang đem lại nhưng đôi khi họ không thực hiện nổi.
trong đó,VPN không bị rào cản về chi phí như các mạng WAN trên do được
thực hiện qua một mạng công cộng .
Khái niệm VPN không phải là công nghệ mới ,chúng đã từng được sử
dụng trong các mạng điện thoại ( Telephone Networks). Các mạng VPN chỉ
trở nên thực sự có tính mới mẻ khi chúng chuyển thành các mạng IP chẳng
hạn như Internet. VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người
dùng không được phép truy cập đến dữ liệu và đảm bảo dữ liệu không bị sửa
đổi.
VPN còn cung cấp các thoả thuận về chất lượng dịch vụ QoS, những
thỏa thuận này thường được định ra cho một giới hạn trên cho phép về độ trễ
trung bình của gói trong mạng. Ngoài ra,các thỏa thuận trên có thể kèm theo

một sự chỉ định cho giới hạn dưới của băng thông hiệu dụng cho mỗi người
dùng.


12

Báo cáo Thực tập tốt nghiệp

1.1. Kiến trúc VPN


Đường hầm (Tunnel) : Các đường hầm (tunnel) chính là đặc tính ảo
của VPN, nó làm cho một kết nối dường như một dòng lưu lượng duy nhất
trên đường dây.Đồng thời còn tạo cho VPN khả năng duy trì những yêu cầu
về bảo mật và quyền ưu tiên như đã được áp dụng trong mạng nội bộ ,bảo
đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu. Đường hầm cũng làm cho
VPN có tính riêng tư.

Mã hóa: Mã hóa ( encrytion ) là tính năng tùy chọn nó cũng đóng gói
vào đặc điểm “riêng tư” của VPN. Chỉ nên sử dụng mã hóa cho những dòng
dữ liệu quan trọng đặc biệt ,còn bình thường thì không cần vì việc mã hóa có
thể ảnh hưởng xấu đến tốc độ ,tăng gánh nặng cho bộ xử lý.

Tường lửa : Chúng ta sử dụng tường lửa ( firewall ) để bảo mật mạng
nội bộ của mình chống lại những cuộc tấn công vào lưu lượng trên mạng và
những kẻ phá hoại, giải pháp bức tường lửa tốt là công cụ có khả năng phân
biệt các lưu lượng dựa trên cơ sở người dùng, trình ứng dụng hay nguồn gốc.

Định danh người dùng(User Identification) : Mọi người dùng đều
phải chịu sự kiểm tra xác thực để mạng biết thông tin về họ (quyền truy cập,

mật khẩu…) và phải chịu sự ủy quyền để báo cho biết về những gì họ được
phép làm. Mỗi hệ thống tốt còn thực hiện tính toán để theo dõi những việc mà
người dùng đã làm nhằm mục đích tính cước và bảo mật. Xác thực
( Authentication), trao quyền (Athorization) và tính cước (Accounting) ,được
gọi là các dịch vụ AAA.


13

1.2. Các loại VPN
a. Các VPN truy cập từ xa ( Remote Access VPN ) : Hay cũng được gọi
là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN,
đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên
có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa
và bằng các thiết bị khác nhau.
Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông
qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng
công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn
với hàng trăm nhân viên thương mại. Các truy cập từ xa VPN đảm bảo các
kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân
viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)


14

Báo cáo Thực tập tốt nghiệp

b. Các VPN nội bộ ( Intranet VPN ) : Áp dụng trong trường hợp công
ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục
bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng

cục bộ vào một mạng riêng thống nhất.

c. Các VPN mở rộng ( Extranet VPN ) : Khi một công ty có mối quan
hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...),
họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN
để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.


15

2. Bảo mật trong VPN
Quan trọng ngang với việc sử dụng một mạng riêng ảo – VPN, là việc
đưa ra tính riêng hay tính bảo mật. Trong hầu hết các sử dụng cơ bản của nó ,
tính “riêng tư” trong VPN mang ý nghĩa là một đường hầm giữa 2 người dùng
trên một mạng VPN xuất hiện như một liên kết riêng ( private link ), thậm chí
nó có thể chạy trên môi trường dùng chung (shared media). Nhưng đối với
việc sử dụng của các nhà kinh doanh, đặc biệt cho kết nối LAN – LAN,
“riêng” phải mang ý nghĩa hơn điều đó, nó phải có ý nghĩa bảo mật, đó là
thoát khỏi những con mắt tò mò và can thiệp.
Mạng VPN cần cung cấp bốn chức năng giới hạn để đảm bảo độ bảo
mật cho dữ liệu. Bốn chức năng đó là :
- Xác thực (authentication): đảm bảo dữ liệu đến từ một nguồn gốc yêu cầu.
- Điều khiển từ xa (access control) : hạn chế việc đạt được quyền cho phép
vào mạng của những người dùng bất hợp pháp.
- Tin cậy (confidentiality): ngăn không cho một ai đó đọc hay sao chép khi
dữ liệu được truyền qua mạng Internet.
- Tính toàn vẹn dữ liệu (data integrity) : đảm bảo không một ai làm thay đổi
dữ liệu khi nó truyền trên mạng Internet.
Mặc dù đường hầm có thể làm cho việc truyền dữ liệu qua mạng
Internet bảo mật, nhưng việc xác thực người dùng và duy trì tính toàn vẹn dữ

liệu phụ thuộc vào các tiến trình mật mã (cryptographic),ví dụ như chữ ký
điện tử và mật mã ( encryption). Những tiến trình này sử dụng những điều bí
mật được chia sẻ gọi là các khóa (key), các khóa này phải được quản lý và
phân phối cẩn thận, hơn nữa được thêm vào việc quản lý các nhiệm vụ của
một mạng VPN.
Các dịch vụ bảo mật một mạng Internet VPN gồm : xác thực
(authentication) ,mã hóa (encryption) và toàn vẹn dữ liệu (data integrity) được
cung cấp tại lớp 2-lớp liên kết dữ liệu (data – link) và lớp 3–lớp mạng
(network) của mô hình OSI. Việc phát triển các dịch vụ bảo mật tại các lớp
thấp cua mô hình OSI làm cho các dịch vụ này trở nên trong suốt hơn đối với
người dùng.
Nhưng việc thực hiện bảo mật tại những mức độ này có thể diễn ra hai
hình thức mà nó tác động đến trách nhiệm của một cá nhân cho việc bảo mật
dữ liệu của riêng mình. Bảo mật có thể được thực hiện cho các thông tin đầu
cuối – đến đầu cuối (end – to – end communication).


16

Báo cáo Thực tập tốt nghiệp

1.1.3.

Các giao thức dùng trong VPN

3.1. Giao thức đường hầm điểm – điểm PPTP
Giao thức định đường hầm điểm – điểm PPTP được đưa ra đầu tiên bởi
một nhóm các công ty được gọi là PPTP forum. Ý tưởng cơ sở cho giao thức
này là tách các chức năng chung và riêng của truy nhập từ xa ,lợi dụng lợi ích
của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng

riêng. Người dùng xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa
phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ.
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm
– điểm PPP (point- to –point protocol). PPTP được xây dựng dựa trên chức
năng của PPP,cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo
mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định
tuyến chung GRE ( Generic Routing Encapsulation ) được mô tả lại để đóng
và tách gói PPP,giao thức này cho phép PPTP mềm dẻo xử lý các giao thức
khác nhau không phải IP như IPX , NETBEUI.
Bởi vì PPTP dựa trên PPP nên nó dựa trên cơ chế xác thực của PPP có
tên là PAP và CHAP. PPTP có thể sử dụng PPP để mã hóa dữ liệu nhưng
Microsoft đã đưa một phương thức mã hóa khác mạnh hơn đó là mã hóa điểm
– điểm MPPE để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kê để hoạt động ở lớp 2 ,trong khi
IPsec chạy ở lớp 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2,PPTP có
thể truyền trong đường hầm bằng các giao thức khác IP , trong khi IPsec chỉ
có thể truyền các gói IP trong đường hầm.
Do đặc điểm chủ yếu của PPTP là cung cấp phương thức quay số truy
cập bảo mật vào VPN nên các bộ phận của PPTP VPN được tổ chức có hơi
khác với IPsec VPN. Điều quan trọng nhất trong PPTP là việc định nghĩa
điểm kết thúc của đường hầm. Bởi vì một trong các điểm kết thúc này có thể
nằm ở thiết bị của nhà cung cấp dịch vụ Internet, cấu hình này đòi hỏi phải có
hợp tác giữa ISP và người quản trị mạng trong việc xác thực người dùng.
Tổng quát PPTP yêu cầu phải có :một máy chủ truy cập mạng,một máy
chủ PPTP và một client PPTP. Mặc dù máy chủ PPTP có thể cài đặt tại máy
của công ty và do một nhóm người của công ty quản lý nhưng NAS phải do
ISP hỗ trợ mới được.


17


3.2. Giao thức định đường hầm lớp 2 (L2TP)
Giao thức định đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức
đó là PPTP và chuyển lớp 2 – L2F ( Layer 2 Forwading). PPTP do Microsoft
đưa ra còn L2F do Cisco khởi xướng.
Giống như PPTP,L2F là giao thức đường hầm,nó sử dụng tiêu đề đóng
gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F
và PPTP là L2F không phụ thuộc vào IP và GRE,cho phép nó có thể làm việc
ở môi trường vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói
nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường
khác. Tương tự như PPTP,L2F tận dụng PPP để xác thực người dùng quay số
truy cập. Có hai mức xác thực người dùng : đầu tiên ở ISP trước khi thiết lập
đường hầm ,sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết
lập.
L2TP mang các đặc tính của PPTP và L2F. Tuy nhiên L2TP định nghĩa
riêng một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép
L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25, Frame
Relay, ATM. Mặc dù nhiều công cụ chủ yếu của L2FT tập trung cho UDP
của mạng IP,nhưng nó có thể thiết lập một hệ thống L2FT mà không cần sử
dụng IP làm giao thức đường hầm. Một mạng ATM hay Frame Relay có thể
áp dụng cho đường hầm L2TP. Do L2TP là giao thức ở lớp 2 nên nó cho phép
người dùng sử dụng các giao thức điều khiển một cách mềm dẻo không chỉ là
IP mà có thể là IPX hoặc NETBEUI. Cũng giống như PPTP, L2TP cũng có
cơ chế xác thực PAP,CHAP hay RADIUS.
Những phần chính của L2TP bao gồm : giao thức điểm – điểm ,đường
hầm và hệ thống xác thực. Tuy nhiên để tăng độ bảo mật thì L2TP cũng sử
dụng quản lý khóa giống như IPsec.
L2TP sử dụng những đường hầm tương tự như PPTP ( các đường hầm
tự nguyện và bắt buộc ) tùy theo người dùng client PPP hay client L2PT để
khởi tạo kết nối. Đường hầm tự nguyện được tạo theo yêu cầu của người dùng

cho mục đích sử dụng cụ thể. Đường hầm bắt buộc được tạo tự động không
cần bất kỳ hành động nào từ phía người dùng và đặc biệt là không cho phép
người dùng có sự chọn lựa nào.


18

Báo cáo Thực tập tốt nghiệp

3.3. Giao thức bảo mật IP – IPsec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hóa. Lợi
điểm lớn nhất của IPsec là giao thức này có thể sử dụng để thiết lập một VPN
một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử
dụng để thiết lập VPN dựa trên cơ sở các máy tính mà không phải là các
người dùng. IPsec được cung cấp như một phần trong hệ điều hành Windows
NT 4.0 và Windows 2000. Ngoài ra còn giao thức chuyển tiếp lớp 2 L2FT là
cơ sở xây dựng nên L2TP.
Các giao thức nguyên thủy TCP/IP không bao gồm các đặc tính bảo
mật vốn có. Để thiết lập tính bảo mật trong IP ở cấp độ gói ,IETF đã đưa ra họ
giao thức IPsec. Họ giao thức này mô tả kiến trúc cơ bản của IPsec bao gồm 2
loại tiêu đề được sử dụng trong gói IP. Gói IP là đơn vị dữ liệu cơ sở
trong mạng IP. IPsec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển
quá trình xác thực và mã hóa : một là xác thực tiêu đề IP–AH(IP
authentication Header) điều khiển việc xác thực và hai là bọc gói bảo mật tải
ESP ( Encapsulating Security Payload) cho mục đích mã hóa.
Hoạt động của IPsec ở mức độ cơ bản đòi hỏi có các thành phần chính
đó là :
• Xác thực tiêu đề AH ( authentication Header)
• Bọc gói bảo mật ESP ( encapsulating Security Payload)


So sánh xác thực giữa AH và ESP


19

4. RADIUS Server
2.1.1.1.1.

RADIUS Server là gì ?

RADIUS (Remote Authentication Dial In User Service) là một giao
thức mạng cung cấp tính xác thực (Authentication), ủy quyền (Authorization),
thống kê (Accounting) cho các máy tính để kết nối và sử dụng một dịch vụ
mạng. RADIUS được phát triển bởi Livingston Enterprises vào năm 1991 như
là một máy chủ truy cập xác thực và sau đó được đưa vào tiêu chuẩn của
Internet Engineering Task Force (IETF).
Nhờ tính chất phổ biến của RADIUS, nó thường được sử dụng bởi các
nhà cung cấp dịch vụ Internet và các doanh nghiệp để quản lý truy cập vào
mạng Internet hoặc mạng nội bộ, mạng không dây, và các dịch vụ e-mail tích
hợp. Những mạng lưới này có thể kết hợp modem, DSL, điểm truy cập, mạng
riêng ảo, cổng mạng, máy chủ web, vv.
RADIUS là một giao thức client / server chạy trong lớp ứng dụng, sử
dụng giao thức UDP. Các máy chủ RADIUS thường là một quá trình nền chạy
trên UNIX hoặc Microsoft Windows server .
2.1.1.1.2.


Chức năng của RADIUS server

Authentication : Xác thực người dùng hoặc các thiết bị trước khi cho

phép truy cập vào mạng.

Authorization : Cấp quyền hạn hoạt động cho người dùng hoặc các
thiết bị đối với các dịch vụ nhất định trong mạng.

Accounting : Thống kê việc sử dụng các dịch vụ để tiện cho việc theo
dõi và quản lý.


20

Báo cáo Thực tập tốt nghiệp

CHƯƠNG 3

XÂY DỰNG ỨNG DỤNG
I. PHÂN TÍCH ĐỀ TÀI
1. Mô tả
Xây dựng một hệ thống VPN cho phép người dùng truy cập vào mạng
nội bộ của công ty từ xa. Domain Controller đồng thời cũng là RADIUS
server cho phép tạo là lưu trữ thông tin của user. VPN Server đồng thời là
RADIUS client đóng vai trò là một gateway cho phép VPN client có thể truy
cập vào. Thông tin xác thực từ VPN client được RADIUS client gửi cho
RADIUS server để xác thực, nếu quá trình xác nhận thành công, VPN client
sẽ được join domain và được cấp địa chỉ IP cục bộ cho phép kết nối với các
máy trong mạng LAN.
2. Sơ đồ mạng
- 1Máy sử dụng Windows Server 2008, đã nâng cấp Domain Controller, với
Domain Name là : THUCTAP.LOCAL
- 1 Máy sử dụng Windows Server 2008, không Join Domain, đóng vai trò

là VPN server.
- 1 Máy dùng Windows XP, đóng vai trò là VPN client.


21

Domain Controller
VPN Server
VPN Client
RADIUS server
RADIUS Client
IP address : 172.16.1.2/24 IP address : 172.16.1.3/24
Gateway : 172.16.1.3
IP address : 192.168.1.2/24 IP Address: 192.168.1.3/24
Gateway : 192.168.1.1
Gateway : 192.168.1.1
Bảng chia địa chỉ IP

Sơ đồ minh họa


22

Báo cáo Thực tập tốt nghiệp

3. Cài đặt
a. Domain Controller – RADIUS Server

Hình 1- Ipconfig của Domain Controller – RADIUS Server


Hình 2- Active Directory


23

b. VPN Server – RADIUS Client

Hình 1- Ipconfig của RADIUS Client – VPN Server


24

Báo cáo Thực tập tốt nghiệp

c. VPN Client

Hình 4 - Ipconfig của VPN Client


25

II. KẾT QUẢ DEMO CHƯƠNG TRÌNH

Hình 5 – Giao diện đăng nhập VPN

Hình 6 - Kết nối đến VPN Thuc tap thành công


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×