Bạn cần điều gì để biết về công nghệ VPN

Chia sẻ: Hồ Hoàng Lâm | Ngày: | Loại File: DOC | Số trang:17

0
237
lượt xem
171
download

Bạn cần điều gì để biết về công nghệ VPN

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Virtual Private Network (VPN) - Mạng riêng ảo đã mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào. Các hãng thương mại có thể dùng VPNs để cung cấp quyền truy cập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty....

Chủ đề:
Lưu

Nội dung Text: Bạn cần điều gì để biết về công nghệ VPN

  1. Bạn cần điều gì để biết về công nghệ VPN Bạn cần điều gì để biết về công nghệ VPN Chúng làm việc như thế nào, chúng có thể làm gì cho bạn và các vấn đề cần chú ý Virtual Private Network (VPN) - Mạng riêng ảo đã mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào. Các hãng thương mại có thể dùng VPNs để cung cấp quyền truy cập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty. VPNs có thể sử dụng một hoặc cả hai kỹ thuật: dùng các kênh thuê bao riêng của các nhà cung cấp dịch vụ (cái này gọi là một Trusted VPN) hoặc gửi các dữ liệu đã được mã hóa lên mạng Internet (cái này gọi là Secure VPN). Dùng một Secure VPN qua một Trusted VPN thì gọi là Hybrid VPN. Kết hợp cả hai loại của Secure VPN trong một cổng vào, chẳng hạn như IPsec và SSL cũng gọi là Hybrid VPN. Giáo trình mạng 1/17
  2. Bạn cần điều gì để biết về công nghệ VPN Trusted VPN Qua nhiều năm, các Trusted VPN đã có sự thay đổi từ các thuê bao riêng từ các đại lý viễn thông đến các thuê bao IP riêng từ các nhà cung cấp dịch vụ Internet. Công nghệ chủ yếu của sự vận hành của Trusted VPN với mạng địa chỉ IP là các kênh ATM, mạch tiếp sóng khung, và MPLS. ATM và bộ tiếp sóng khung hoạt động tại tầng liên kết dữ liệu, là tầng 2 trong mô hình OSI (tầng 1 là tầng vật lý, tầng 3 là tầng mạng). MPLS mô phỏng một số thuộc tính của mạng chuyển mạch và mạng chuyển gói. Nó hoạt động cùng một tầng, thường được coi là tầng “2,5” vì nó nằm ngay giữa tầng liên kết và tầng mạng. MPLS bắt đầu thay thế ATM và bộ tiếp sóng khung để thực thi Trusted VPN với lượng lớn các doanh nghiệp và nhà cung cấp dịch vụ. Secure VPN Secure VPN có thể dùng IPsec trong việc mã hoá. IPsec nằm trong giao thức L2TP (Layer 2 Tunneling Protocol), trong thành phần SSL (Secure Sockets Layer) 3.0 Giáo trình mạng 2/17
  3. Bạn cần điều gì để biết về công nghệ VPN hay trong TLS (Transport Layer Security) với bộ mã hoá, L2F (Layer Two Forwarding) hay PPTP (Point-to-Point Tunneling Protocol). Chúng ta hãy xem qua các thành phần chính này. IPsec hay IP security – là tiêu chuẩn cho sự mã hoá cũng như cho thẩm định các gói IP tại tầng mạng. IPsec có một tập hợp các giao thức mật mã với 2 mục đích: an ninh gói mạng và thay đổi các khoá mật mã. Mộ số chuyên gia an ninh như Bruce Schneier của Counterpane Internet Security, đã xem IPsec như là một giao thức cho VPNs từ cuối những năm 1990. IPsec được hỗ trợ trong Windows XP, 2000, 2003 và Vista; trong Linux 2.6 và các phiên bản sau; trong Mac OS X, Net BDS, FreeBDS và OpenBDS, trong Solari, AIX, và HP-UX, trong VxWorks. Nhiều đã cung cấp dịch vụ IPsec VPN server và IPsec VPN client. Microsoft đã triển khai PPTP client trong tất cả các phiên bản của Windows kể từ Windows 95 OSR2 và PPTP server trong tất cả các sản phẩm máy chủ từ Windows NT 4.0. PPTP client cũng nằm trong Linux, Mac OS X, các thiết bị Palm PDA và các thiết bị Windows Mobile 2003. PPTP rất phổ biến, nhất là trên các hệ thống của Windows. Bởi vì nó có thể dùng rộng rãi, miễn phí và dễ cài đặt. Tuy nhiên khi được triển khai bởi Microsoft, nó không phải là thành phần an toàn nhất của Secure VPN. Schneier với “Mudge” của L0pht Heavy Industries đã tìm thấy và công bố các thiếu sót trong Microsoft PPTP vào năm 1998. Microsoft đã nhanh chóng sửa chữa các vấn đề này với MS-CHAPv2 và MPPE. Sau đó Scheier với Mudge đã công bố một bản phân tích kiểm chứng các cải tiến vào năm 1999, nhưng chỉ ra rằng an toàn của Microsoft PPTP vẫn phụ thuộc vào an toàn mật khẩu mỗi người dùng. Microsoft đã địa chỉ hoá nguồn cung cấp này bằng cách ép quy ước độ mạnh của mật khẩu vào trong hệ điều hành. Nhưng Shneier và Mudge vẫn cho rằng nên để IPsec là kẻ thừa kế Secure VPN hơn là PPTP. L2F là giao thức được phát triển muộn hơn bởi hãng Cissco. L2TP là sự kết hợp ý tưởng của L2F và PPTP để tạo ra một giao thức tầng liên kết dữ liệu. Giao thức này cung cấp một tunnel (đường dẫn ảo), nhưng không an toàn và có sự kiểm Giáo trình mạng 3/17
  4. Bạn cần điều gì để biết về công nghệ VPN định. L2TP có thể mang các session PPP trong tunnel. Cissco đã triển khai L2TP trong các router của nó. Có một vài bổ sung mã nguồn mở của L2TP trong Linux. L2TP/IPsec kết hợp đường dẫn ảo của L2TP với kênh an toàn của IPsec. Nó cho phép thay đổi Internet Key Exchange dễ dàng hơn so với thuần IPsec . Microsoft đã cung cấp một bản VPN client L2TP/IPsec miễn phí cho Windows 98, ME, và NT từ năm 2002, và gắn một VPN client L2TP/IPsec cho Windows XP, 2000, 2003 và Vista. Windows server 2003 và Windows 2000 server có L2TP/IPsec server. SSL và TLS là các giao thức cho luồng dữ liệu an toàn tại tầng 4 của mô hình OSI.. SSL 3.0 và TLS 1.0 là các bản thừa kế được dùng phổ biến với HTTP nhằm cho phép bảo vệ các đường dẫn Web an toàn, gọi là HTTPS. Tuy nhiên SSL/TLS cũng được dùng để tạo ra một đường dẫn ảo tunnel VPN. Ví dụ: OpenVPN là một gói VPN nguồn mở cho Linux, xBSD, Mac OS X, Pocket PCs và Windows 2000, XP, 2003, và Vista. Nó dùng SSL để cung cấp mã hoá cho cả dữ liệu và kênh điều khiển. Một vài hãng đã cung cấp SSL VPN server và client. Lợi nhuận và sự rủi ro an ninh của VPNs Một mạng riêng ảo có thể xoá bỏ các hàng rào địa lí trong kinh doanh, cho phép các nhân viên làm việc một cách hiệu quả tại nhà và cho phép một doanh nghiệp kết nối một cách an toàn tới các đại lý của họ cùng các hãng hợp tác. Một mạng riêng ảo thường rẻ hơn và có hiệu quả hơn các đường riêng ảo. Nhưng mặt khác, cách dùng của một VPN có thể phô bày các rủi ro an ninh tiềm ẩn. Trong khi hầu hết các mạng riêng ảo đang được dùng khá an toàn thì một mạng riêng ảo cũng có thể làm cho chính nó khó phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp. Phận sự của người quản trị mạng là áp dụng các tiêu chuẩn an ninh giống nhau trong việc kết nối các máy tính tới mạng thông qua VPN khi các máy tính kết nối trực tiếp vào mạng LAN. Kết hợp đồng thời cách dùng của cả hai kiểu VPNs có thể thấy được tiềm năng mạng của công ty này với công ty khác. Thêm vào đó, sử dụng phần mềm điều khiển từ xa như PC Anywhere, GoToMyPC hay VNC kết hợp với một VPN có thể Giáo trình mạng 4/17
  5. Bạn cần điều gì để biết về công nghệ VPN khai thác được khả năng mạng của công ty tới các malware trong một máy trạm xa không kết nối VPN. Sự tin cậy, sự co giãn và sự thực thi của VPNs Bởi Secure VPN sử dụng mã hoá, và vì một số hàm mật mã được dùng khá là đắt tiền nên một VPN được dùng khá nặng có thể tải xuống server của nó. Đặc thù của người quản trị là quản lí việc tải server bằng cách giới hạn số kết nối đồng thời để biết server nào có thể điều khiển. Khi số người cố gắng kết nối tới VPN đột nhiên tăng vọt đến đỉnh điểm, phá vỡ hết quá trình truyền tin, các nhân viên cũng thấy chính họ không thể kết nối được.Vì tất cả các cổng của VPN đều bận. Điểu đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá ứng dụng làm việc mà không đòi hỏi VPN. Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy cập e-mail từ nhà hay trên đường. Quyết định giữa IPsec hay SSL/TLS để có viễn cảnh như thế nào có thể rất rắc rối. Một điều cần cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên NAT. IPsec thì không. Nhưng cả hai giao thức làm việc qua tường lửa thì sẽ không dịch được địa chỉ. IPsec mã hoá tất cả các lưu lượng IP truyền tải giữa hai máy tính. SSL/TLS thì đặc tả một ứng dụng. SSL/TLS dùng các hàm mã hoá không đối xứng để thiết lập kết nối. Nó bảo vệ hiệu quả hơn là dùng các hàm mã hoá đối xứng. Trong các ứng dụng từ xa ở thế giới thực, người quản trị có thể quyết định kết hợp và ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn. Ví dụ, các client có thể kết nối tới một Web-based thông qua tương lửa dùng đường dẫn an toàn của SSL/TLS. Web server có thể kết nối tới một dịch vụ ứng dụng dùng IPsec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu ngang qua các tường lửa khác cũng dùng SSL. Sự co giãn của VPNs đôi khi có thể được chứng minh bởi cách dùng dành cho các dịch vụ phần cứng. Tuy nhiên để làm được điều đó chúng ta phải vượt qua được Giáo trình mạng 5/17
  6. Bạn cần điều gì để biết về công nghệ VPN các mục đích cạnh tranh của các hãng VPN. Có lẽ đó sẽ là chủ đề cho một ngày khác. Nguồn VPN Mạng riêng ảo duy trì một danh sách thành viên của nó, một bảng các thành phần của IPsec, và một bảng các thành phần của SSL VPN với sự đóng góp của mỗi hãng kinh doanh. VPNC cũng cung cấp các CA với các chứng chỉ cơ bản , miễn phí, nguồn mở thẩm định qua gói cho người quản trị. Giáo trình mạng 6/17
  7. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa. Bài viết này trình bày giải pháp truy cập từ xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo an toàn thông tin. VPN VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền. Các tình huống thông dụng của VPN: - Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty. Giáo trình mạng 7/17
  8. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả. - Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. Để triển khai một hệ thống VPN chúng ta cần có những thành phần cơ bản sau đây: - User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN. - Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ. - Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu. - Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu. IPSEC (IP SECURITY PROTOCOL) Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống như Giáo trình mạng 8/17
  9. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 ngôn ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP. Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật. Có nhiều giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu quả và tiết kiệm chi phí trong quá trình triển khai. Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau: - AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin chính không được bảo vệ - ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, ngăn chặn các trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền. Phương thức này rất hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải kết hợp cả 2 giao thức AH và ESP. IPSec/VPN trên Windows Server 2003 Chúng ta tham khảo tình huống thực tế của công ty Green Lizard Books, một công ty chuyên xuất bản và phân phối văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu. Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để gia nhập hệ thống mạng riêng ảo Giáo trình mạng 9/17
  10. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty. Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV- 1), có 1 card mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài (Internet). Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11). Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa trên IPSec ESP. Ở đây tôi chỉ trình bày những buớc chính trong quá trình triển khai, chi tiết cài đặt và cấu hình các bạn có thể tham khảo các tập tin video (.avi) tải về ở website www.pcworld.com.vn. Bước 1: Tạo domain controler (dcpromo-srv-11-greenlizardbooks-domain- controller.avi) Giáo trình mạng 10/17
  11. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 Bước 2: Đưa SRV-1 (VPN Server) vào domain (join_srv-1_server_to_domain.avi) Bước 3: cài đặt VPN Server trên SRV-1 (install_vpn_server_on_srv-1.avi) Giáo trình mạng 11/17
  12. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 Bước 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server (create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi) Bước 5: Kết nối VPN Client Client-1 vào domain (join-vpn-client-1-to-greenlizardbooks_domain.avi) Bước 6: Yêu cầu cấp phát chứng chỉ điện tử (certificate) cho VPN Server và Client dùng để chứng thực và mã hóa. (request_certificate_for_vpn_server_and_client.avi) Giáo trình mạng 12/17
  13. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 Bước 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC (establish_L2TP_VPN_connection.avi) KẾT LUẬN VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Giải pháp VPN "mềm" giới thiệu trong bài viết này thích hợp cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, có thể phải cần đến giải pháp VPN phần cứng. TUNNELING Tunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng Internet) để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền sau khi được chia nhỏ thành những frame hay packet (gói tin) theo các giao thức truyền thông sẽ được bọc thêm 1 lớp header chứa những thông tin định tuyến giúp các packet có thể truyền qua các hệ thống mạng trung gian theo những đường riêng Giáo trình mạng 13/17
  14. Triển khai hệ thống IPSec/VPN trên Windows Server 2003 (tunnel). Khi packet được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối tunnel, máy client và server phải sử dụng chung một giao thức (tunnel protocol). - PPTP (Point-to-Point Tunneling Protocol): PPTP có thể sử dụng cho Remote Access hay Site-to-Site VPN. Những thuận lợi khi áp dụng PPTP cho VPN là không yêu cầu certificate cho quá trình chứng thực và client có thể đặt phía sau NAT Router. - L2TP (Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2 Forwading (L2F, giao thức được phát triển bởi Cisco System). So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn. Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload (ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho phép chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router. Trong trường hợp này chúng ta cần phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T. Giáo trình mạng 14/17
  15. Thiết lập VPN trong vòng 15 phút Thiết lập VPN trong vòng 15 phút VPN, virtual private network, có thể được dịch là mạng ảo nội bộ. Bạn có thể tự hỏi, đã trong mạng nội bộ rồi thì còn dùng ảo làm chi? Người dùng khi đi công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc những chương trình có thể dùng như khi họ đang ngồi trong văn phòng. Đó là lý do cho cái tên ảo (virtual). VPN cũng có thể sử dụng với mạng không dây hoặc giữa hai (hay nhiều hơn) địa điểm khác nhau. Bài viết này sẽ không làm các bạn buồn ngủ với bao nhiêu loại VPN và các protocols khác nhau (pptp, l2tp, ipsec, gre, mpls) mà sẽ đi thẳng vào cách thiết lập mạng ảo nội bộ sử dụng OpenVPN. OpenVPN sử dụng thiết bị tun/tap (hầu như có sẵn trên các bản Linux) và openssl để xác nhận (authenticate), mã hóa (khi gởi) và giải mã (khi nhận) đường truyền giữa hai bên thành chung một network. Có nghĩa là khi người dùng nối vào máy chủ OpenVPN từ xa, họ có thể sử dụng các dịch vụ như chia sẻ tập tin sử dụng Samba/NFS/FTP/SCP, đọc thư (bằng cách khai báo địa chỉ nội bộ trên máy họ, ví dụ, 192.168.1.1), duyệt intranet, sử dụng các phần mềm khác..v..v..như là họ đang ngồi trong văn phòng. Tại sao người dùng nên dùng OpenVPN mà không dùng FreeS/WAN (sử dụng ipsec) hay PoPToP (sử dụng pptp)? Bởi vì việc thiết lập VPN sử dụng các chương trình này tương đối rắc rối, hay bị vấn đề với các máy trạm sử dụng NAT, người dùng hay bị ràng buộc/hạn chế với một vài phần mềm để kết nối đến máy chủ từ nhiều hệ điều hành khác nhau..v..v.. Với OpenVPN bạn không phải lo lắng vấn đề NAT traversal, thiết lập rất dễ dàng và có thể chạy trên nhiều hệ điều hành khác nhau như *BSD, Linux, Mac OS X, Solaris và Windows 2000 trở lên. Việc cài đặt OpenVPN khá đơn giản. Rất có thể nó đã có sẵn trên bản Linux bạn đang dùng. Nếu chưa có thì bạn có thể tải về từ trang web của OpenVPN. Phiên bản beta hiện tại là 2.0 beta15. Phiên bản stable hiện tại là 1.6.0. Giáo trình mạng 15/17
  16. Thiết lập VPN trong vòng 15 phút Ví dụ bên dưới sẽ hướng dẫn cách thiết lập VPN ở 2 chế độ khác nhau: Sử dụng thiết bị tun với một chìa khóa (static key) và sử dụng thiết bị tun với TLS-based để thiết lập đường nối giữa 2 máy hoặc một máy chủ và nhiều máy trạm. Dùng một chìa khóa Trên máy Linux a. Nạp thiết bị tun: modprobe tun b. Chỉnh tường lửa cho phép kết nối UDP (hay TCP) cổng 5000: iptables -A INPUT -p UDP --dport 5000 -j ACCEPT c. Chỉnh tường lửa cho phép thiết bị tun qua lại: iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT d. Mài chìa khóa: openvpn --genkey --secret chiakhoa e. Chạy OpenVPN: openvpn --dev tun0 --ifconfig 10.4.0.1 10.4.0.2 --verb 5 --secret chiakhoa f. Chép chiakhoa lên đĩa mềm hay scp nó qua máy mà bạn muốn nối vào máy Linux từ --verb 5 có nghĩa bạn muốn xem openvpn đang làm gì trên màn hình. Nếu không muốn xem thì đừng dùng --verb 5 Trên máy Windows a. Tải OpenVPN cho Windows từ trang web OpenVPN Sau khi cài đặt phần mềm OpenVPN bạn sẽ thấy trong phần Control Panel -- > Network Connections đã có sẵn một thiết bị với tên là TAP-Win32 Adapter. Nếu bạn không thấy có nghĩa phần cài đặt đã bị sự cố. Giáo trình mạng 16/17
  17. Thiết lập VPN trong vòng 15 phút b. Khởi động VPN: Chọn Start --> Run, gõ vào cmd để mở cửa sổ command prompt. Gõ cd pro*\openvpn Gõ openvpn.exe --remote địa_chỉ_máy_Linux --dev tun0 --ifconfig 10.4.0.2 10.4.0.1 --verb 5 --secret chiakhoa chiakhoa là tập tin chiakhoa bạn tạo từ máy Linux bên trên c. Xong Vậy thì làm sao để biết VPN đã hoạt động? Trên máy Windows Gõ ping 10.4.0.1 Bạn sẽ thấy máy Linux trả lời pong pong pong Hoặc sẽ thấy màn hình giống giống bên dưới sau khi chạy lệnh openvpn Trên máy Linux Gõ ping 10.4.0.2 Bạn sẽ thấy máy Windows trả lời pong pong pong Hoặc sẽ thấy màn hình giống giống bên dưới sau khi chạy lệnh openvpn Giáo trình mạng 17/17
Đồng bộ tài khoản