dalat_trang
New Member
Download miễn phí Giải pháp VPN an toàn cho mạng sử dụng FW ChecK Point
LỜI NÓI ĐẦU
Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hay với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về chức năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.
Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tui xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”.
Bố cục bài báo cáo này gồm 4 chương như sau:
- Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng.
- Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN.
- Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN.
- Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động.
Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tui thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. tui rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc.
tui xin Thank tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tui trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tui thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin Thank bố mẹ, gia đình và bạn bè tui đã cổ vũ, động viên rất nhiều để tui có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình.
Đặc biệt, tui xin chân thành Thank thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tui hoàn thành Đồ án Tốt nghiệp này.
tui xin chân thành cảm ơn!!
Hà Nội, ngày 30/05/2009
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO
1.1.1 Tính cần thiết của mạng riêng ảo
Với sự lớn mạnh bùng nổ của mạng máy tính và người dùng mạng, các nhà quản lý Công nghệ thông tin (CNTT) phải đối mặt với nhiệm vụ củng cố hợp nhất những mạng đang có, các site ở xa, và những người dùng từ xa thành một cấu trúc đơn nhất an toàn.
Các cơ quan chi nhánh đòi hỏi kết nối với các chi nhánh khác và với trụ sở chính. Người dùng từ xa yêu cầu nâng cao đặc điểm kết nối để đối phó với những môi trường mạng thay đổi hiện nay. Những thoả thuận với các đối tác yêu cầu kết nối doanh nghiệp với doanh nghiệp bằng các mạng bên ngoài (External Networks).
Đặc biệt, sự hợp nhất xảy ra cần sử dụng cơ sở hạ tầng sẵn có. Điều đó có nghĩa là kết nối được khởi tạo thông qua mạng Internet giống như sử dụng các mạng Leased lines chuyên dụng. Các site và người dùng từ xa phải được hợp nhất trong khi phải duy trì ở cùng một mức độ an ninh cao. Một lần kết nối được thiết lập, các kết nối phải được đảm bảo an toàn như cũ, cung cấp mức độ cao về tính riêng tư, xác thực, và toàn vẹn trong khi giữ được giá thành thấp.
Thêm nữa, chỉ những luồng dữ liệu hợp pháp mới được phép vào mạng bên trong. Những luồng dữ liệu có hại có thể nhận biết được phải được kiểm tra về nội dung. Trong mạng bên trong (Internal network) những mức khác nhau về truy cập cũng phải được cài đặt để những dữ liệu nhạy cảm chỉ được sẵn sàng với những người dùng hợp pháp, đúng quyền.
Công nghệ mạng riêng ảo (Virtual Private Network - VPN) sử dụng cơ sở hạ tầng sẵn có (Internet) như một cách để xây dựng và nâng cao các kết nối sẵn có bằng một cách an toàn nào đó. Dựa vào những giao thức an toàn Internet chuẩn, sự thực thi VPN đảm bảo các liên kết an toàn giữa các kiểu đặc biệt của các nốt mạng: Như module VPN-1 Power của CheckPoint. Site to Site VPN đảm bảo các liên kết an toàn giữa các gateway. Remote Access VPN đảm bảo liên kết an toàn giữa các gateway và các client truy cập từ xa.
Việc truyền thông giữa các bên cần một nền móng kết nối không chỉ nhanh, có khả năng mở rộng và phục hồi nhưng cũng cung cấp: Tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính xác thực (Authentication).
- Tính bí mật: Chỉ các bên tham gia truyền thông mới có thể đọc được thông tin riêng tư trao đổi giữa chúng.
- Tính xác thực: Các bên truyền thông phải chắc chắn rằng họ đang kết nối với bên mong muốn.
- Tính toàn vẹn: Dữ liệu nhạy cảm truyền qua giữa các bên truyền thông không bị thay đổi, và điều đó có thể được chứng thực với một phép kiểm tra tính toàn vẹn.
1.1.2 Mục đích của mạng riêng ảo
- Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần ngồi trong văn phòng.
- Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.
- Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.
- Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa
- Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …
- Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kỹ thuật. Với sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng thành viên lớn với kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau.
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu sản phẩm và dịch vụ bằng các Website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng Internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hoá, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng Internet, từ đó có thể thăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua mạng trung gian công cộng không an toàn như mạng Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động cơ cho sự phát triển mạnh mẽ của VPN như ngày nay.
1.2.1 Sự phát triển của các loại VPN
VPN không phải là kĩ thuật mới. Mô hình VPN đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WAN, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hay hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM.
1.2.2 Khái niệm mạng riêng ảo
- Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy cập.
- Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng.
Nói một cách khác, VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức tạo đường hầm và các cách an toàn.
VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng và các đối tác sử dụng chung một mạng công cộng. Một mạng riêng ảo còn cho phép chia sẻ các nguồn dữ liệu chung được bảo vệ, nó sử dụng việc mã hoá dữ liệu để ngăn ngừa người dùng không được phép truy cập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi.
Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Xét về ngữ cảnh, VPN định đường hầm che dấu giao thức lớp mạng nguyên thuỷ bằng cách mã hoá gói dữ liệu và chứa gói đã mã hoá vào trong một vỏ bọc IP. Vỏ bọc IP này thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo mật thông qua mạng công cộng. Tại bên nhận, sau khi nhận gói này sẽ phân phối đến thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.
VPN còn cung cấp các thoả thuận về chất lượng dịch vụ (QoS). Thoả thuận này được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng. Ngoài ra, các thoả thuận có thể kèm theo một sự chỉ định cho giới hạn của băng thông hiệu dụng cho mỗi người dùng.
Qua đó có thể định nghĩa VPN một cách ngắn gọn thông qua công thức sau:
VPN = Định đường hầm + Bảo mật + Các thoả thuận về QoS.
Tóm lại, ta có thể nói để dễ hình dung, giao dịch trên mạng VPN giống như hệ thống chuyển thư tín của bưu điện. Thư tín cũng đi trên đường quốc lộ, đường hàng không như mọi hàng hóa khác, nhưng nằm trong các hộp có cung cách đóng gói theo đúng quy định của ngành bưu điện và đi đúng từ bưu cục gửi tới bưu cục đích. Tại bưu cục đích, chúng sẽ được dỡ khỏi hộp, và nếu cần, sẽ được đóng vào hộp khác để chuyển tiếp. Người ngoài nhìn các hộp thì nhiều lắm chỉ biết nó gửi từ đâu tới đâu, không thể biết trong đó nó có thông tin gì.
DANH MỤC CÁC TỪ VIẾT TẮT 7
LỜI NÓI ĐẦU 9
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO 11
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO 11
1.1.1 Tính cần thiết của mạng riêng ảo 11
1.1.2 Mục đích của mạng riêng ảo 12
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO 13
1.2.1 Sự phát triển của các loại VPN 13
1.2.2 Khái niệm mạng riêng ảo 14
1.2.3 Các thiết bị VPN 15
1.2.4 Phân loại VPN 16
1.2.5 Các yêu cầu cơ bản đối với mạng riêng ảo 17
1.2.6 Các thành phần cơ bản của VPN 19
1.2.7 Ưu và nhược điểm của VPN 26
CHƯƠNG 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO 28
2.1. KỸ THUẬT TUNNELING 28
2.2. CÁC GIAO THỨC XÂY DỰNG MẠNG RIÊNG ẢO 30
2.2.1 Giao thức VPN tại tầng 2: PPTP, L2F, L2TP 30
2.2.2 Giao thức VPN tại tầng 3 (IPSec) và IKE 42
2.2.3 Các giao thức quản trị 51
2.3. CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO 52
2.3.1 Giới thiệu công nghệ VPN 52
2.3.2 MPLS VPN 57
2.3.3 IPSec VPN 58
2.3.4 SSL VPN 59
2.4. SO SÁNH CÁC CÔNG NGHỆ VPN 61
2.4.1 So sánh IPSec VPN và SSL VPN 61
2.4.2 So sánh MPLS, SSL và IPSec VPN 65
CHƯƠNG 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT 73
3.1. VPN-1 POWER CỦA CHECKPOINT 73
3.1.1 Các thành phần của VPN-1 Power 74
3.1.2 Các thuật ngữ và khái niệm 74
3.1.3 Site to Site VPN 75
3.1.4 Remote Access VPN 77
3.2. GIẢI PHÁP CỦA CHECK POINT CHO VPN 77
3.2.1 Site to Site VPN 78
3.2.2 Remote Access VPN 88
CHƯƠNG IV: GIẢI PHÁP MẠNG RIÊNG ẢO 96
SỬ DỤNG PHẦN MỀM CHECK POINT 96
4.1. MÔ HÌNH TRIỂN KHAI VPN 96
4.1.1 Mô hình Site to Site VPN 96
4.1.2 Mô hình Client to Site VPN (Remote Access VPN) 97
4.2. CÁC BƯỚC TIẾN HÀNH TRIỂN KHAI VPN TRÊN PHẦN MỀM CHECK POINT 98
4.2.1 Cài đặt CheckPoint VPN-1 NGX R65 98
4.2.2 Triển khai VPN với CheckPoint VPN-1 99
4.3. TEST CÁC KẾT NỐI VPN ĐÃ THIẾT LẬP 120
4.3.1 Site to Site VPN 120
4.3.2 Remote Access VPN 124
KẾT LUẬN 128
PHỤ LỤC 130
PHỤ LỤC 1. CÀI ĐẶT HỆ ĐIỀU HÀNH SECUREPLATFORM 130
Cài đặt hệ điều hành SecurePlatform 130
PHỤ LỤC 2. CÀI ĐẶT GÓI PHẦN MỀM NGX R65 TRÊN SECUREPLATFORM 134
PHỤ LỤC 3. CÀI ĐẶT SMARTCONSOLE CLIENT 140
TÀI LIỆU THAM KHẢO 145
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
LỜI NÓI ĐẦU
Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hay với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về chức năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.
Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tui xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”.
Bố cục bài báo cáo này gồm 4 chương như sau:
- Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng.
- Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN.
- Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN.
- Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động.
Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tui thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. tui rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc.
tui xin Thank tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tui trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tui thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin Thank bố mẹ, gia đình và bạn bè tui đã cổ vũ, động viên rất nhiều để tui có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình.
Đặc biệt, tui xin chân thành Thank thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tui hoàn thành Đồ án Tốt nghiệp này.
tui xin chân thành cảm ơn!!
Hà Nội, ngày 30/05/2009
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO
1.1.1 Tính cần thiết của mạng riêng ảo
Với sự lớn mạnh bùng nổ của mạng máy tính và người dùng mạng, các nhà quản lý Công nghệ thông tin (CNTT) phải đối mặt với nhiệm vụ củng cố hợp nhất những mạng đang có, các site ở xa, và những người dùng từ xa thành một cấu trúc đơn nhất an toàn.
Các cơ quan chi nhánh đòi hỏi kết nối với các chi nhánh khác và với trụ sở chính. Người dùng từ xa yêu cầu nâng cao đặc điểm kết nối để đối phó với những môi trường mạng thay đổi hiện nay. Những thoả thuận với các đối tác yêu cầu kết nối doanh nghiệp với doanh nghiệp bằng các mạng bên ngoài (External Networks).
Đặc biệt, sự hợp nhất xảy ra cần sử dụng cơ sở hạ tầng sẵn có. Điều đó có nghĩa là kết nối được khởi tạo thông qua mạng Internet giống như sử dụng các mạng Leased lines chuyên dụng. Các site và người dùng từ xa phải được hợp nhất trong khi phải duy trì ở cùng một mức độ an ninh cao. Một lần kết nối được thiết lập, các kết nối phải được đảm bảo an toàn như cũ, cung cấp mức độ cao về tính riêng tư, xác thực, và toàn vẹn trong khi giữ được giá thành thấp.
Thêm nữa, chỉ những luồng dữ liệu hợp pháp mới được phép vào mạng bên trong. Những luồng dữ liệu có hại có thể nhận biết được phải được kiểm tra về nội dung. Trong mạng bên trong (Internal network) những mức khác nhau về truy cập cũng phải được cài đặt để những dữ liệu nhạy cảm chỉ được sẵn sàng với những người dùng hợp pháp, đúng quyền.
Công nghệ mạng riêng ảo (Virtual Private Network - VPN) sử dụng cơ sở hạ tầng sẵn có (Internet) như một cách để xây dựng và nâng cao các kết nối sẵn có bằng một cách an toàn nào đó. Dựa vào những giao thức an toàn Internet chuẩn, sự thực thi VPN đảm bảo các liên kết an toàn giữa các kiểu đặc biệt của các nốt mạng: Như module VPN-1 Power của CheckPoint. Site to Site VPN đảm bảo các liên kết an toàn giữa các gateway. Remote Access VPN đảm bảo liên kết an toàn giữa các gateway và các client truy cập từ xa.
Việc truyền thông giữa các bên cần một nền móng kết nối không chỉ nhanh, có khả năng mở rộng và phục hồi nhưng cũng cung cấp: Tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính xác thực (Authentication).
- Tính bí mật: Chỉ các bên tham gia truyền thông mới có thể đọc được thông tin riêng tư trao đổi giữa chúng.
- Tính xác thực: Các bên truyền thông phải chắc chắn rằng họ đang kết nối với bên mong muốn.
- Tính toàn vẹn: Dữ liệu nhạy cảm truyền qua giữa các bên truyền thông không bị thay đổi, và điều đó có thể được chứng thực với một phép kiểm tra tính toàn vẹn.
1.1.2 Mục đích của mạng riêng ảo
- Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần ngồi trong văn phòng.
- Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.
- Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.
- Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa
- Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …
- Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kỹ thuật. Với sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng thành viên lớn với kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau.
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu sản phẩm và dịch vụ bằng các Website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng Internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hoá, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng Internet, từ đó có thể thăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua mạng trung gian công cộng không an toàn như mạng Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động cơ cho sự phát triển mạnh mẽ của VPN như ngày nay.
1.2.1 Sự phát triển của các loại VPN
VPN không phải là kĩ thuật mới. Mô hình VPN đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WAN, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hay hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM.
1.2.2 Khái niệm mạng riêng ảo
- Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy cập.
- Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng.
Nói một cách khác, VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức tạo đường hầm và các cách an toàn.
VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng và các đối tác sử dụng chung một mạng công cộng. Một mạng riêng ảo còn cho phép chia sẻ các nguồn dữ liệu chung được bảo vệ, nó sử dụng việc mã hoá dữ liệu để ngăn ngừa người dùng không được phép truy cập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi.
Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Xét về ngữ cảnh, VPN định đường hầm che dấu giao thức lớp mạng nguyên thuỷ bằng cách mã hoá gói dữ liệu và chứa gói đã mã hoá vào trong một vỏ bọc IP. Vỏ bọc IP này thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo mật thông qua mạng công cộng. Tại bên nhận, sau khi nhận gói này sẽ phân phối đến thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.
VPN còn cung cấp các thoả thuận về chất lượng dịch vụ (QoS). Thoả thuận này được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng. Ngoài ra, các thoả thuận có thể kèm theo một sự chỉ định cho giới hạn của băng thông hiệu dụng cho mỗi người dùng.
Qua đó có thể định nghĩa VPN một cách ngắn gọn thông qua công thức sau:
VPN = Định đường hầm + Bảo mật + Các thoả thuận về QoS.
Tóm lại, ta có thể nói để dễ hình dung, giao dịch trên mạng VPN giống như hệ thống chuyển thư tín của bưu điện. Thư tín cũng đi trên đường quốc lộ, đường hàng không như mọi hàng hóa khác, nhưng nằm trong các hộp có cung cách đóng gói theo đúng quy định của ngành bưu điện và đi đúng từ bưu cục gửi tới bưu cục đích. Tại bưu cục đích, chúng sẽ được dỡ khỏi hộp, và nếu cần, sẽ được đóng vào hộp khác để chuyển tiếp. Người ngoài nhìn các hộp thì nhiều lắm chỉ biết nó gửi từ đâu tới đâu, không thể biết trong đó nó có thông tin gì.
DANH MỤC CÁC TỪ VIẾT TẮT 7
LỜI NÓI ĐẦU 9
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO 11
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO 11
1.1.1 Tính cần thiết của mạng riêng ảo 11
1.1.2 Mục đích của mạng riêng ảo 12
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO 13
1.2.1 Sự phát triển của các loại VPN 13
1.2.2 Khái niệm mạng riêng ảo 14
1.2.3 Các thiết bị VPN 15
1.2.4 Phân loại VPN 16
1.2.5 Các yêu cầu cơ bản đối với mạng riêng ảo 17
1.2.6 Các thành phần cơ bản của VPN 19
1.2.7 Ưu và nhược điểm của VPN 26
CHƯƠNG 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO 28
2.1. KỸ THUẬT TUNNELING 28
2.2. CÁC GIAO THỨC XÂY DỰNG MẠNG RIÊNG ẢO 30
2.2.1 Giao thức VPN tại tầng 2: PPTP, L2F, L2TP 30
2.2.2 Giao thức VPN tại tầng 3 (IPSec) và IKE 42
2.2.3 Các giao thức quản trị 51
2.3. CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO 52
2.3.1 Giới thiệu công nghệ VPN 52
2.3.2 MPLS VPN 57
2.3.3 IPSec VPN 58
2.3.4 SSL VPN 59
2.4. SO SÁNH CÁC CÔNG NGHỆ VPN 61
2.4.1 So sánh IPSec VPN và SSL VPN 61
2.4.2 So sánh MPLS, SSL và IPSec VPN 65
CHƯƠNG 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT 73
3.1. VPN-1 POWER CỦA CHECKPOINT 73
3.1.1 Các thành phần của VPN-1 Power 74
3.1.2 Các thuật ngữ và khái niệm 74
3.1.3 Site to Site VPN 75
3.1.4 Remote Access VPN 77
3.2. GIẢI PHÁP CỦA CHECK POINT CHO VPN 77
3.2.1 Site to Site VPN 78
3.2.2 Remote Access VPN 88
CHƯƠNG IV: GIẢI PHÁP MẠNG RIÊNG ẢO 96
SỬ DỤNG PHẦN MỀM CHECK POINT 96
4.1. MÔ HÌNH TRIỂN KHAI VPN 96
4.1.1 Mô hình Site to Site VPN 96
4.1.2 Mô hình Client to Site VPN (Remote Access VPN) 97
4.2. CÁC BƯỚC TIẾN HÀNH TRIỂN KHAI VPN TRÊN PHẦN MỀM CHECK POINT 98
4.2.1 Cài đặt CheckPoint VPN-1 NGX R65 98
4.2.2 Triển khai VPN với CheckPoint VPN-1 99
4.3. TEST CÁC KẾT NỐI VPN ĐÃ THIẾT LẬP 120
4.3.1 Site to Site VPN 120
4.3.2 Remote Access VPN 124
KẾT LUẬN 128
PHỤ LỤC 130
PHỤ LỤC 1. CÀI ĐẶT HỆ ĐIỀU HÀNH SECUREPLATFORM 130
Cài đặt hệ điều hành SecurePlatform 130
PHỤ LỤC 2. CÀI ĐẶT GÓI PHẦN MỀM NGX R65 TRÊN SECUREPLATFORM 134
PHỤ LỤC 3. CÀI ĐẶT SMARTCONSOLE CLIENT 140
TÀI LIỆU THAM KHẢO 145
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links