Khoá luận tt nghiệp Đại học Công ngh
Lê Anh Hưng K49DB 1
Mục lục
Lời m đầu
Chương 1: Tổng quan v VPN
1. Tổng Quan ...................................................................................................... 5
1.1 Định nghĩa VPN ................................................................................... 5
1.2 Lợi ích của VPN .................................................................................. 6
1.3 Chức năng của VPN ............................................................................. 7
2 Định nghĩa “đường hầm” và “mã hoá” ......................................................... 7
2.1 Định nghĩa đường hầm: ........................................................................ 7
2.2 Cấu trúc một gói tin IP trong đường hầm: ............................................ 8
2.3 Mã hoá và giải mã (Encryption/Deccryption): ...................................... 8
2.4 Một số thuật ngữ sử dụng trong VPN: .................................................. 8
2.5 Các thuật toán được sử dụng trong mã hoá thông tin ............................ 9
3 Các dạng kêt nối mạng riêng ảo VPN ......................................................... 10
3.1 Truy cập VPN (Remote Access VPNs) .............................................. 10
3.1.1 Một số thành phần chính ............................................................. 11
3.1.2 Thuận lợi chính của Remote Access VPNs: ................................ 12
3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như: .................................................................................................... 12
3.2 Site – To – Site VPN ......................................................................... 13
3.2.1 Intranet........................................................................................ 14
3.2.2 Extranet VPNs (VPN mrộng) ................................................... 16
4. VPN và các vấn đề an toàn bảo mật trên Internet. ..................................... 18
4.1 An toàn và tin cậy. ............................................................................. 19
4.2 Hình thức an toàn ............................................................................... 20
Chương 2: Giao thức trong VPN
1 Bgiao thức IPSec (IP Security Protocol): ................................................ 22
1.1 Cấu trúc bảo mật ..................................................................................... 22
1.1.1 Hiện trạng ......................................................................................... 23
2 Chế độ làm việc của IPSec .......................................................................... 23
2.1 Chế độ chuyển vận (Transport mode) ................................................. 23
2.2 Chế độ đường hầm ( Tunnel Mode ):.................................................. 24
3 Giao thức PPTP và L2TP ............................................................................. 31
3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling
Protocol) ....................................................................................................... 31
3.1.1 Quan hgiữa PPTP và PPP ......................................................... 32
3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) .................... 34
3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol)............... 35
3.3.1 Quan hgiữa L2TP với PPP ............................................................ 36
3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview). .......... 38
3.5 Ứng dụng L2TP trong VPN................................................................. 42
3.6 So sánh giữa PPTP và L2TP ............................................................... 42
Khoá luận tt nghiệp Đại học Công ngh
Lê Anh Hưng K49DB 2
3.6.1 Ưu điểm của L2TP. ........................................................................ 43
3.6.2 Ưu điểm của PPTP ...................................................................... 43
Chương 3: hoá và chứng thực trong VPN
1. Mã hoá trong VPN. ...................................................................................... 45
1.1 Thuật toán mã hoá DES...................................................................... 45
1.1.1 Mô tDES .................................................................................. 46
1.1.2 Ưu và nhược điểm của DES ....................................................... 47
1.1.3 Ứng dụng của thuật toán DES trong thực tế. ............................... 47
1.2 Thuật toán hoá 3DES. ................................................................... 48
1.2.1 Mô t3DES. ............................................................................... 48
1.2.2 Ưu và nhược điểm của 3DES ...................................................... 49
1.3 Giải thuật hàm băm (Secure Hash Algorithm). ................................... 49
1.4 Giải thuật RSA ................................................................................... 49
2 Chứng thực trong VPN ................................................................................ 50
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng
mật khẩu. ...................................................................................................... 51
2.2 Challenge Handshare Authentication Protocol (CHAP). ..................... 52
3 Firewall ........................................................................................................ 52
3.1 Khái niệm về Firewall. ....................................................................... 52
3.2 Các thành phần của Firewall. ............................................................. 53
3.2.1 Bộ lọc gói (Packet Filtering Router). ........................................... 53
3.2.2 Cổng ứng dụng (Application-level gateway) ............................... 55
3.2.3 Cổng vòng (Circuit-level Gateway) .................................................. 57
3.3 Những hạn chế từ Firewall ................................................................. 58
3.4 Thiết lập chính sách cho Firewall ....................................................... 58
3.5 Một số loại Firewall ........................................................................... 59
3.5.1 Screened Host Firewall. .................................................................... 60
3.5.2 Screened-Subnet Firewall ................................................................. 61
3.6 Mô hình kết hợp Firewall với VPN. ........................................................ 62
Chương 4: Cu hình VPN trên thiết b Cisco
1. Mô hình Site –to – Site VPN và Extranet VPN ....................................... 64
1.1 Kịch bản Site – to – site VPN ............................................................. 64
1.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình site – to –site
VPN .................................................................................................... 64
1.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Site to – Site VPN ............ 65
2.1 Kịch bản Extranet............................................................................... 65
2.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình Extranet VPN
.................................................................................................... 66
2.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Extranet VPN ............... 66
2 Cấu hình đường hầm (tunnel) ...................................................................... 67
2.1 S định cấu hình một GRE Tunnel ..................................................... 68
2.1.1 S cấu hình giao diện đường hầm, Nguồn, và Đích ..................... 68
Khoá luận tt nghiệp Đại học Công ngh
Lê Anh Hưng K49DB 3
2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích.......................... 70
2.2 Cấu hình một IPSec Tunnel: ............................................................... 70
3 Cấu hình NAT (Network Address Translation). ........................................ 71
3.1 Cấu hình Static Inside Source Address Translation............................ 73
3.2 Kiểm tra Static Inside Source Address Translation. ........................... 73
4 Cấu hình sự mã hoá và IPSec. ..................................................................... 74
4.1. Cấu hình những chính sách IKE: ........................................................ 75
4.1.1 Tạo ra những chính sách IKE. ..................................................... 76
4.1.2 Cấu hình bổ xung thêm yêu cu cho những chính sách IKE: ....... 77
4.1.3 Cấu hình Những khoá dùng chung .............................................. 78
4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số. ........................ 80
4.2.1 Kiểm tra IKE Policies ................................................................. 81
4.2.2 Cấu hình khoá dùng chung khác ................................................. 81
4.3 Cấu hình IPSec và chế độ IPSec tunnel. ............................................. 82
4.3.1 Tạo ra những danh sách truy nhập mật mã. ................................. 83
4.3.2 Kiểm tra những danh sách mật mã. ............................................. 83
4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel .. 83
4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel............. 85
4.5 Cấu hình Crypto Maps. ...................................................................... 85
4.5.1 Tạo ra những mục Crypto Map. .................................................. 85
4.5.2 Kiểm tra những mục Crypto map ................................................ 88
4.5.3 Áp dụng Crypto map vào Interface.............................................. 88
4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface............................ 89
5. Cấu hình những tính năng Cisco IOS Firewall .......................................... 89
5.1 Tạo ra Access list mở rộng và sử dụng số Access list ......................... 90
5.2 Kiểm tra Access list mở rộng ............................................................. 90
5.3 Áp dụng Access-list tới Interface ....................................................... 90
5.4 Kiểm tra Access-list được áp dụng chính xác ........................................ 91
Chương 5: Cu hình VPN trên Widows Server 2003
1. Giới thiệu chung ........................................................................................... 92
2. Cài đặt VPN Server ............................................................................................. 92
3. Cấu hình VPN Server .......................................................................................... 99
3.1. Route and Remote Access Properties ..................................................... 99
3.2. Ports Properties .................................................................................... 102
3.3. Remote Access Policies ....................................................................... 103
4. Tạo User trên Windows cho phép sdụng VPN ............................................. 104
5. VPN Client trên Windows XP .......................................................................... 106
6. Quản lý kết nối trên VPN Server............................................................... 113
Kết luận .................................................................................................................. 115
Tài liệu tham khảo ................................................................................................. 116
CÁC THUẬT NGỮ VIẾT TĂT .............................................................................. 117
Khoá luận tt nghiệp Đại học Công ngh
Lê Anh Hưng K49DB 4
Lời mở đầu
Trước kia, cách truy cập thông tin txa trên máy tính được thực hiện là
sdụng một kết nối quay số. Các kết nối RAS dial-up m việc trên các đường
điện thoại POTS (Plain Old Telephone Service) thông thường và tốc độ đạt
vào khong 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS,
tuy nhiên một vấn đề lớn hơn chi phí cho các kết nối đối với khoảng cách dài
cần có cho việc truy cập
Ngày nay với s phát triển ng n, mạng Internet ngày càng được m
rộng, khó kim soát và kèm theo đó s mất an toàn trong việc trao đổi thông
tin trên mạng, các thông tin d liệu trao đổi trên mạng th b r hoặc b
đánh cắp khiến cho các t chức như: Các doanh nghiệp, Ngân hàng, Công ty
các doanh nhân lo ngại v vấn đề an toàn bảo mật thông tin d liệu trong
các mạng cục b của mình (LAN) khi trao đổi thông tin qua mạng công cộng
Internet.
VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một
gii pháp an toàn cho các: T chức, doanh nghiệp và các doanh nhân trao đổi
thông tin t mạng cục b của mình xuyên qua mạng Internet một cách an toàn
bảo mật. Hơn thế nữa còn giúp cho các doanh nghiệp giảm thiểu được chi phí
cho những liên kết t xa địa bàn rộng (trên toàn quốc hay toàn cầu).
một sinh viên công ngh, phần nào em cũng hiểu được s băn khoăn
lo lắng v s mất an toàn bảo mật khi trao đổi thông tin của các t chức,
nhân. Với s hướng dn, và giúp đỡ của thầy bạn bè, em chọn đ tài mạng
riêng o (VPN) để nghiên cu các giải pháp ng ngh cho vấn đề xây dựng
mạng riêng ảo. Nghiên cứu các hình truy cập, các phương pháp xác thực và
ứng dụng triển khai cài đặt trên các hthống mạng.
Khoá luận tt nghiệp Đại học Công ngh
Lê Anh Hưng K49DB 5
Chương 1
TỔNG QUAN VỀ VPN
1. Tổng Quan
Trong thi đại ngày nay. Internet đã phát triển mạnh mẽ về mặt hình
cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được
thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến
người sử dụng một cách tự do và nhanh chóng không xem xét đến máy và
mạng người sử dụng đó đang sử dụng. Để làm được điều này người ta sử
dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau.
Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet
service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp
tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hang trực tuyến, tư vấn y
tế,và rt nhiều điều khác đã tr thành hiện thc. Tuy nhiên do Internet phạm
vi toàn cầu và không một tổ chức, chính phcụ thể nào quản lý nên rt khó khăn
trong việc bảo mật và an toàn dliệu cũng như trong việc quản lý các dịch vụ.
Tđó người ta đã đưa ra một hình mạng mới nhằm thoã mãn những yêu cầu
trên vẫn thể tận dụng lại những cơ shạ tầng hiện của Internet, đó
chính hình mạng riên ảo (Virtual Private Network VPN ). Vi mô hình
mới này, người ta không phải đầu thêm nhiều về sở hạ tầng các tính
năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời thể quản riêng được
s hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà
riêng, trên đường đi hay các văn phòng chi nhánh có thkết nối an toàn đến máy
chcủa tổ chức mình bằng sở hạ tầng được cung cấp bởi mạng công cộng.
th đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, các đối
tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều
trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặc tính
quyết định của VPN là chúng có thdùng mạng công cộng như Internet mà đảm
bảo tính riêng tư và tiết kiệm hơn nhiều
1.1 Định nghĩa VPN
VPN được hiểu đơn giản như sự mở rộng của một mạng riêng ( Private
Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng
riêng r sử dụng một mạng chung (thường Internet) để kết nối cùng với các
site (các mạng riêng lẻ) hay nhiều người sdụng txa. Thay cho việc sử dụng
kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối
ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay