Luận văn tìm hiểu và cài đặt openvpn

  • 52 trang
  • file: .pdf

đang tải dữ liệu....

Tài liệu bị giới hạn, để xem hết nội dung vui lòng tải về máy tính.

Tải xuống - 52 trang

Nội dung text: Luận văn tìm hiểu và cài đặt openvpn

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN

THỰC TẬP TỐT NGHIỆP
TÌM HIỂU VÀ CÀI ĐẶT
OPENVPN
Giảng viên hướng dẫn : ThS: PHAN MAI LINH
Sinh viên thực hiện :
1. KIỀU ĐÌNH LUÂN
2. TRẦN QUỐC VINH
Ngành : Mạng Máy Tính
Khóa : 2009 - 2012
TP. Hồ Chí Minh , tháng 6 năm 2012
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Lời mở đầu
Ngày nay, sự phát triển nhanh chóng của công nghệ thông tin, thế giới ngày càng xích lại
gần nhau hơn! Nhiều công ty đang vượt qua ranh giới cục bộ và khu vực, vươn ra thị
trường thế giới. Nhiều doanh nghiệp có qui mô rộng khắp toàn quốc thậm chí cả trên thế
giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì
những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi
đâu.
Kênh leased line (truyền dẫn thông tin thuê riêng) là giải pháp cơ bản cho kết nối mạng
WAN (mạng diện rộng) trên phạm vi khu vực và thế giới. Leased lines, bao gồm: ISDN
(integrated services digital network, 128 Kbps), OC3 (Optical Carrier-3, 155 Mbps) fiber,
đã giúp các công ty mở rộng mạng cục bộ ra nhiều khu vực địa lý cách xa nhau. Những
lợi ích của dịch vụ mang diện rộng như: tốc độ, an toàn và hiệu quả, tuy nhiên việc duy
trì những WAN như thế, và nhất là leased lines, có chi phí rất cao và chi phí này sẽ được
tăng lên theo khoảng cách địa lý giữa các chi nhánh của công ty.
Internet ngày nay đang được phát triển rộng rãi, doanh nghiệp dần dần chuyển sang sử
dụng Internet như một phương tiện giúp họ mở rộng mạng cục của mình. Đầu tiên là
intranets - là những sites được bảo vệ bằng password và sử dụng trong công ty. Giờ đây,
phần lớn các doanh nghiệp đang thiết lập dịch vụ VPN (virtual private network) nhằm
đáp ứng nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn
phòng cách xa về địa lý.
VPN (mạng riêng ảo) gồm một mạng LAN chính đặt tại trụ sở chính công ty, các mạng
LAN khác đặt ở văn phòng cách xa trụ sở chính, nhân viên có thể kết nối từ xa đến mạng
nội bộ của công ty thông qua mạng công cộng (thường là internet).
VPN về cơ bản là một mạng cục bộ tận dụng hạ tầng mạng công cộng có sẵn để kết nối
các chinh nhánh của công ty cũng như nhân viên ở cách xa công ty. Thay cho việc sử
dụng kết nối trực tiếp giữa các chi nhánh như leased lines (kênh thuê riêng), VPN sử
dụng các kết nối ảo được thiết lập trong môi trường mạng công cộng như internet từ
mạng riêng của công ty tới các chi nhánh hoặc nhân viên trong công ty ở xa.
Với sự hướng dẫn, giúp đỡ của thầy cô và bạn bè. Chúng em chọn đề tài OpenVPN
(mạng riêng ảo – mã nguồn mở) để nghiên cứu và các giải pháp công nghệ cho đến vấn
đề xây dựng mạng riêng ảo này.
SV. Kiều Đình Luân – Trần Quốc Vinh
SVTT: Kiều Đình Luân – Trần Quốc Vinh
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Chữ ký của GVHD
SVTT: Kiều Đình Luân – Trần Quốc Vinh
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
Chữ ký của GVPB
SVTT: Kiều Đình Luân – Trần Quốc Vinh
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
MỤC LỤC
OpenVPN
Chương 1: Tổng Quan về VPN ........................................................................................ 1
1.Tổng Quan ..................................................................................................................... 1
1.1. Định nghĩa VPN .................................................................................................... 1
1.2. Lợi ích của VPN .................................................................................................... 2
1.3. Chức năng của VPN .............................................................................................. 3
1.4. Định nghĩa đường hầm và mã hóa ......................................................................... 4
1.5. Mã hóa và giải mã.................................................................................................. 4
2. Các dạng kết nối ảo VPN ............................................................................................. 4
2.1. Remote Access VPNs ............................................................................................ 4
2.1.1. Lợi ích của Remote Access VPNs.................................................................. 4
2.1.1. Bất lợi của Remote Access VPNs .................................................................. 6
2.2. Site-to-Site VPN .................................................................................................... 6
2.2.1. Intranet (VPN nội bộ) ..................................................................................... 8
2.2.1. Extranet VPNs (VPN mở rộng) ...................................................................... 9
3. VPN và an toàn bảo mật trên Internet. ....................................................................... 10
4. An toàn và tin cậy....................................................................................................... 10
Chương 2: Secure Socket Layer (SSL) .......................................................................... 12
Mục tiêu và mô hình SSL............................................................................................... 13
Session và kết nối SSL ................................................................................................... 14
Giao thức SSL record .................................................................................................... 15
Giao thức báo động ....................................................................................................... 18
Giao thức ChangeCipher Spec ....................................................................................... 18
Giao thức bắt tay ............................................................................................................ 18
SVTT: Kiều Đình Luân – Trần Quốc Vinh
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Chương 3: OpenVPN ..................................................................................................... 24
Ưu điểm của OpenVPN.................................................................................................. 24
Lịch sử phát triển của OpenVPN ................................................................................... 25
Các phiên bản của OpenVPN ........................................................................................ 25
OpenVPN phiên bản 1.................................................................................................... 25
OpenVPN phiên bản 2.................................................................................................... 27
So sánh các giao thức VPN PPTP và L2TP và OpenVPN ............................................ 28
Chương 4: Hướng dẫn OpenVPN Client to Site trên Ubuntu .................................... 29
SVTT: Kiều Đình Luân – Trần Quốc Vinh
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Chương 1: Tổng quan về VPN
1. Tổng Quan
Ngày nay, Internet đã phát triển mạnh mẽ và nhanh chóng, đáp ứng các nhu cầu của
người sử dụng. Internet có thể kết nối nhiều mạng khác nhau và thông tin được truyền
một cách nhanh chóng mà không bị rào cản nào cả. Người ta sử dụng Router (thiết bị
định tuyến) để kết nối các mạng LAN và mạng WAN với nhau. Các máy tính kết nối
vào Internet thông qua ISP (Internet Service Provider - nhà cung cấp dịch vụ), và nó
được chạy trên nền giao thức chung TCP/IP.
Internet đã mở ra một “thế giới phằng”, những dịch vụ như: Internet TV, giáo dục từ
xa, mua-bán trực tuyến, giao dịch ngân hàng,...v..v... và rất nhiều điều khác đã trở
thành hiện thực. Tuy nhiên, do Internet là mạng công cộng có phạm vi toàn cầu và
không một tổ chức, chính phủ cụ thể nào quản lý nên việc bảo mật và an toàn dữ liệu
cũng như trong việc quản lý các dịch vụ trở nên khó khăn. Từ đó, người ta đã đưa ra
một mô hình mạng mới nhằm đáp ứng những yêu cầu về bảo mật mà vẫn tận dụng lại
hệ thống mạng sẵn có của Internet - đó chính là mô hình VPN (Virtual Private
Network - mạng riêng ảo).
Với VPN, các tính năng như bảo mật dữ liệu, độ tin cậy được đảm bảo mà không cần
phải đầu tư nhiều cho cơ sở hạ tầng. VPN cho phép người sử dụng làm việc ở bất cứ
đâu có kết nối Internet như: tại nhà, các văn phòng, chi nhánh công ty hay ở ngoài
đường đều có thể kết nối an toàn đến mạng nội bộ của tổ chức mình. VPN có thể bảo
mật thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh trong môi
trường mạng công cộng. Trong nhiều trường hợp VPN cũng giống như WAN (Wide
Area Network), tuy nhiên đặc tính quyết định của VPN là tận dụng cơ sở hạ tầng sẵn
có của mạng công cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệm.
1.1 Định nghĩa VPN
VPN (Virtual Private Network - mạng riêng ảo) là một mạng dành riêng để kết nối
các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng công
cộng (thường là Internet). Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một
mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay
nhiều người sử dụng từ xa. Thay cho việc sử dụng một kết nối thực, chuyên dụng như
đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ
mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận
dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 1
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường hầm bảo mật
giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng
riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che
giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép
nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ lịêu được
mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng
cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu
được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường
được gọi là đường hầm VPN (VPN Tunnel).
Hình 1-1: Mô hình sử dụng VPN
1.2 Lợi ích của VPN
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng
leased-line. Những lợi ích gồm:
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 2
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
 Chi phí thấp hơn.
 Tính linh hoạt: VPN có tính linh hoạt và có thể mở rộng thêm những kiến trúc
mạng hơn là những mạng cổ điển, nếu công ty mở thêm chi nhánh thì việc kết
nối thêm một đường truyền mạng ảo (VPN) tới trung tâm sẽ nhanh chóng và chi
phí tương đối rẻ. VPN có thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những
văn phòng, chi nhánh quốc tế, teleworker (nhân viên làm việc ở xa), ...v....v....
 Sử dụng những cấu trúc đường hầm: Sử dụng một giao thức Internet backbone.
Không giống như những PVC tĩnh hợp với kết nối hướng những giao thức như:
Frame Rely và ATM.
 Tăng tính bảo mật: các dữ liệu sẽ được mã hóa hoặc bọc một lớp mã hóa dữ liệu
nhầm che giấu đối với những người không có quyền truy cập và những người
dùng có quyền truy cập được phép truy cập.
 Hỗ trợ các giao thức TCP/IP.
 Bảo mật địa chỉ IP: mọi dữ liệu được truyền đi trên VPN đã được mã hóa. VPN
chỉ sử dụng các địa chỉ bên ngoài Internet. do đó, các điạ chỉ bên trong mạng
riêng được mã hóa.
1.3 Chức năng của VPN
VPN có ba chức năng chính: tính xác thực (Authentication), tính toàn vẹn (Integrity)
và tính bảo mật (Confidentiality).
 Tính xác thực: Trước khi thiết lập một kết nối VPN thì cả hai đầu đường hầm
phải xác thực lẫn nhau để khẳng định chính xác đó là đầu đường hầm mà mình
cần trao đổi thông tin.
 Tính toàn vẹn: Đảm bảo trong quá trình truyền dữ liệu không bị thay đổi hay có
bất cứ sự xáo trộn nào.
 Tính bảo mật: Dữ liệu của người gửi sẽ được mã hóa trước khi truyền qua mạng
công cộng và dữ liệu này sẽ được giải mã ở phía người nhận. Đảm bảo chắc chắn
rằng không một ai có thể truy nhập thông tin trái phép. Thậm chí nếu có lấy
được thì cũng không đọc được vì gói tin đã dược mã hóa.
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 3
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
1.4 Định nghĩa “đường hầm” và “mã hóa”
Chức năng chính của một VPN là cung cấp sự bảo mật thông tin bằng cách mã hoá và
chứng thực qua một đường hầm (tunnel)
Định nghĩa đường hầm:
Cung cấp các kết nối logic - điểm nối điểm, các gói dữ liệu được mã hoá và di chuyển
trong một đường hầm riêng biệt qua mạng, làm tăng tính bảo mật thông tin vì dữ liệu
sau khi đã mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi
và người nhận vì vậy sẽ tránh được sự mất cắp, xem trộm thông tin, đường hầm chính
là đặc tính ảo của VPN.
Các giao thức định đường hầm được sử dụng trong VPN như sau:
 L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm tầng 2
 PPTP (Point-to-Point Tunneling Protocol)
(Giao thức định đường hầm điểm nối điểm tầng 2)
 L2F (Layer 2 Forwarding) : Giao thức chuyển gói tầng 2
 SSL (secure socket layer)
Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:
 IP Sec (IP security – hoạt động ở tầng 3)
 GRE (Genenic Routing Encapsulation - hoạt động ở tầng 3)
1.5 Mã hoá và giải mã (Encryption/Deccryption):
Từ nội dung thông tin nguyên bản ở dạng đọc được (clear text hay plain text) thành
một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó không có
khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép.
Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mã hoá thành
dạng đọc được bởi những người dùng được phép.
2. Các dạng kết nối mạng riêng ảo VPN
2.1 Truy cập VPN (Remote Access VPNs)
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 4
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Remote Access VPNs: cho phép các nhân viên của công ty truy cập từ xa bất cứ lúc
nào bằng Remote, mobile, và các thiết bị truyền thông đến tài nguyên mạng nội bộ
của tổ chức mình.
Người dùng ở xa sử dụng phần mềm Remote Access VPNs để truy cập vào mạng
Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là Server).
Vì vậy, giải pháp này thường được gọi là client/server. Từ giải pháp này, người ta
thường sử dụng các công nghệ WAN để tạo lại các đường hầm về mạng HO (Head
Office) của họ.
Trong remote access VPNs người ta còn dùng wireless VPN, tức là một nhân viên có
thể truy cập về mạng của công ty họ thông qua kết nối không dây. Trong thiết kế này,
các kết nối không dây cần phải kết nối về một trạm wireless (Wireless terminal) và
sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC
đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel (đường hầm).
Việc thiết kế quá trình xác thực ban đầu giữa hai đầu đường hầm nhằm để đảm bảo là
yêu cầu được xuất phát từ một nguồn tin cậy. Thông thường giai đoạn ban đầu này
dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này gồm: quy trình
(Procedure), kỹ thuật, server (như là: Remote Authentication Dial-In User Service
[RADIUS], Terminal Access Controller Access Control System Plus [TACACS+])...
Việc triển khai Remote Access VPNs, các chi nhánh văn phòng chỉ cần cài đặt một
kết nối đến ISP (nhà cung cấp dịch vụ) để kết nối đến trụ sở chính của công ty thông
qua mạng công cộng. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau:
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 5
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Hình 1-2: Mô hình VPN Remote Access
2.1.1 Lợi ích của Remote Access VPNs:
 Việc sử dụng kết hợp với modem không còn nữa và sự cần thiết của RAS
(Remote Access Server).
 Quá trình kết nối từ xa đã được tạo điều kiện thuận lợi bởi nhà cung cấp dịch vụ
(Internet Service Provider – ISP). Việc hỗ trợ của nhân viên mạng cho người
dùng cá nhân gần như không còn.
 Những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
 Giảm giá thành chi phí kết nối với khoảng cách xa.
 Đây là một kết nối truy cập nội bộ, do vậy tốc độ kết nối sẽ cao hơn so với kết
nối trực tiếp đến những khoảng cách xa.
 VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì VPNs hỗ trợ dịch
vụ truy cập ở mức độ thấp nhất cho kết nối, dù có nhiều các kết nối truy cập đến
mạng công ty cùng một lúc.
2.1.2 Bất lợi của Remote Access VPNs:
Do truyền trên mạng công cộng rộng lớn như internet, có thể gói tin sẽ bị thất lạc và
truyền chậm.
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 6
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
2.2 Site-to-Site VPN
Site-to-site : hay còn gọi là LAN-to-LAN, được áp dụng để cài đặt từ hai mạng hay
nhiều mạng LAN cách xa nhau về mặt địa lý thông qua VPN. Với Site-to-site này,
người sử dụng phải thực hiện chứng thực lần đầu tiên giữa các thiết bị mạng của hai
đầu đường hầm. Khi đó mỗi thiết bị ở đầu đường hầm đóng vai trò như là một
gateway. Các thiết bị VPN chuyên dụng hay các Router và Firewall tương thích với
VPN đều cung cấp các chức năng này.
Hình 1-3: Mô hình VPN Site-to-Site
Site-to-Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật
sử dụng các giao thức PPTP, L2TP, hoặc IPSec.
Kết nối Site-to-Site VPN được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả.
Có thể kết nối này thông qua Internet hoặc một mạng không được tin cậy.Bảo mật dữ
liệu bằng cách mã hoá dữ liệu trên tất cả các gói dữ liệu khi truyền qua các mạng đó.
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 7
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
2.2.1 Intranet (VPN nội bộ)
Hình 1-4: Mô hình Intranet VPN
Intranet VPNs (VPN nội bộ): kết nối các mạng từ trụ sở chính tới các văn phòng và
các chi nhánh ở cách xa nhau thông qua cơ sở hạ tầng mạng công cộng sẵn có như
Internet thành một mạng riêng tư của một tổ chức gồm nhiều công ty và văn phòng
làm việc cách xa nhau về địa lý. Tất nhiên là kết nối này đều được mã hoá dữ liệu khi
truyền thông tin qua lại với nhau.
Những thuận lợi của Intranet:
 Chi phí giảm do giảm số lượng Router vì được triển khai theo mô hình WAN
backbone.
 Sự hỗ trợ của nhân viên kỹ thuật giảm
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 8
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
 Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những
kết nối mới ngang hang.
 Kết nối nhanh hơn và tốt hơn do chỉ kết nối đến nhà cung cấp dịch vụ, khoảng
cách ngắn nên giảm thiểu chi phí cho việc thực hiện Intranet.
 Kết hợp với công nghệ chuyển mạch tốc độ cao như: Frame-Relay, ATM.
Những bất lợi của Intranet:
 Trong quá trình truyền trên mạng công cộng hay có những mối de dọa và nguy
cơ tấn công, như denial-of service (tấn công bằng từ chối dịch vụ).
 Khả năng mất dữ liệu khi truyền rất cao.
 Tốc độ, chất lượng phụ thuộc hoàn toàn vào Internet .
2.2.2 Extranet VPNs (VPN mở rộng)
Từ Intranet người ta mở rộng thêm liên kết các khách hàng, những nhà cung cấp,
những đối tác hay những nhân viên làm việc trong các Intranet qua cơ sở hạ tầng dùng
chung những kết nối gọi là Extranet.
Extranet cho phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác kinh
doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vài trò quan
trọng trong tổ chức thông qua đường hầm bảo mật.
Hình 1-5: Mô hình Extranet VPN
Một số thuận lợi của Extranet:
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 9
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Vì là kết nối thông qua Internet nên có thể lựa chọn nhà cung cấp dịch vụ tuỳ theo
nhu cầu của tổ chức.
Chi phí thấp bởi được bảo trì bởi nhà cung cấp ISP.
Dễ dàng thiết lập, bào trì, sửa chữa.
Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.
Một số bất lợi của Extranet:
 Vấn đề về những de dọa tấn công bằng từ chối dịch vụ, bảo mật thông tin vẫn
còn tồn tại.
 Tăng thêm về sự xâm nhập tới mạng cục bộ của tổ chức trên Extranet.
 Do sử dụng Internet nên khi truyền tùy thuộc vào chất lượng dịch vụ Internet.
3. VPN và an toàn bảo mật trên Internet.
Với sự bùng nổ và mở rộng mạng Internet toàn cầu sẽ ngày càng tăng, hàng tháng có
rất nhiều mạng mới được kết nối vào Internet kèm theo đó là vấn đề làm sao để có thể
đảm bảo an toàn khi trao đổi thông tin trên mạng công cộng như Internet. Sự rò rỉ và
mất cắp thông tin dữ liêu đã gây thiệt hại và ảnh hường rất lớn về kinh tế trên toàn thế
giới. Các loại tội phạm như “hacker” luôn tìm mọi cách để đánh cắp thông tin như:
thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế, chính trị nhạy cảm... của các
công ty, tổ chức hay cá nhân nào đó.
Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mật
thông tin trên Internet như thế nào ?
Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổi
thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN.
Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra một
đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối. Các thông tin
dữ liệu sẽ được mã hoá và chứng thực trước khi được truyền trong một đường hầm
riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò của những kẻ muốn đánh cắp
thông tin.
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 10
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
4. An toàn và tin cậy.
Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
 Tính sẵn sàng: Khả năng sẵn sàng, đáp ứng yêu cầu trong khoảng thời gian.
Tính sẵn sáng dược thực hiện qua những hệ thống phần cứng dự phòng.
 Sự tin cậy: Nó định nghĩa xác xuất của hệ thống thực hiện các chức năng của nó
trong một chu kỳ thời gian. Sự tin cậy khác với tính sẵn sàng , nó được đo trong
cả một chu kỳ của thời gian. Nó tương ứng tới tính liên tục của một dịch vụ.
 Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó
chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại
nào xuất hiện.
 Sự an ninh: Sự bảo vệ tất cả các tài nguyên trong hệ thống.
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 11
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Chương 2: Secure Socket Layer (SSL)
Bảo mật dữ liệu trong quá trình truyền tải qua Internet ngày càng trở nên cần thiết vì
khối lượng dữ liệu ngày càng tăng và tầm quan trọng trong việc bảo mật dữ liệu.
Ngày nay, mỗi người sử dụng của một mạng công cộng để gửi các loại dữ liệu khác
nhau, từ email cho đến các chi tiết thẻ tín dụng hàng ngày, và vì vậy muốn được bảo
vệ khi dữ liệu qua một mạng công cộng. Để kết thúc vấn đề này, một giao thức SSL
thực tế đã được áp dụng để bảo vệ dữ liệu trong truyền tải bao gồm tất cả các dịch vụ
mạng sử dụng TCP/IP để hỗ trợ các ứng dụng điển hình của giao tiếp giữa máy chủ và
khách hàng.
Các giao thức SSL được phát triển bởi Netscape, để đảm bảo an ninh dữ liệu vận
chuyển và định tuyến thông qua các lớp ứng dụng của HTTP, LDAP hay POP3. SSL
được thiết kế để làm cho việc sử dụng của TCP như là một lớp giao tiếp để cung cấp
một kết nối end-to-end an toàn và đáng tin cậy xác thực giữa hai điểm trên một mạng
(ví dụ giữa khách hàng và máy chủ dịch vụ). Mặc dù SSL này có thể được sử dụng để
bảo vệ dữ liệu trong quá trình truyền tải trong các tình huống liên quan đến bất kỳ
dịch vụ mạng, nó được sử dụng chủ yếu trong máy chủ HTTP và các ứng dụng của
khách hàng. Ngày nay, hầu như mỗi máy chủ HTTP đều có thể hỗ trợ một session
SSL, trong khi trình duyệt IE hoặc trình duyệt Netscape Navigator được cung cấp với
phần mềm khách hàng cho phép SSL.
Hình 2-1: SSL giữa tầng ứng dụng và TCP/IP
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 12
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
Mục tiêu và mô hình SSL
Những vấn đề thực hiện mục tiêu SSL? Các mục tiêu chính cho SSL là:
 Chứng thực các khách hàng và máy chủ với nhau: các giao thức SSL hỗ trợ việc
sử dụng các kỹ thuật mật mã tiêu chuẩn quan trọng (mã hóa khóa công khai) để
xác thực các bên giao tiếp với nhau. Mặc dù các ứng dụng thường xuyên nhất
bao gồm chứng thực của khách hàng dịch vụ trên cơ sở của một chứng chỉ, SSL
cũng có thể sử dụng các phương pháp tương tự để xác thực khách hàng.
 Bảo đảm tính toàn vẹn dữ liệu trong một session làm việc, dữ liệu không thể
được, hoặc cố ý hoặc vô ý giả mạo.
 Bảo mật dữ liệu riêng tư: dữ liệu trong vận tải giữa khách hàng và máy chủ phải
được bảo vệ đánh chặn và có thể đọc được chỉ người nhận. Điều kiện tiên quyết
này là cần thiết cho cả các dữ liệu liên kết với các giao thức (đảm bảo giao thông
trong quá trình đàm phán) và các ứng dụng dữ liệu được gửi trong các session
bản thân. SSL là trong thực tế không phải là một giao thức đơn lẻ mà là một tập
hợp các giao thức bổ sung có thể được tiếp tục chia thành hai lớp:
 giao thức để đảm bảo an ninh và toàn vẹn dữ liệu: lớp này bao gồm các
giao thức SSL Record,
 các giao thức được thiết kế để thiết lập một kết nối SSL: ba giao thức
được sử dụng trong lớp này: SSL Handshake Protocol, SSL
ChangeCipher Spec Protocol và SSL Alert Protocol.
Hình 2-2: Ngăn xếp giao thức SSL
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 13
Tìm hiểu và cấu hình OpenVPN GVHD: Phan Mai Linh
SSL sử dụng các giao thức này để giải quyết các nhiệm vụ như mô tả ở trên. Các
record của giao thức SSL chịu trách nhiệm cho việc mã hóa dữ liệu và tính toàn vẹn.
Như có thể thấy trong hình, nó cũng được sử dụng để đóng gói dữ liệu được gửi bởi
giao thức SSL khác, và do đó, nó cũng tham gia vào các nhiệm vụ liên kết với các dữ
liệu kiểm tra SSL. Ba giao thức khác bao gồm các lĩnh vực quản lý session, quản lý
tham số mật mã và chuyển giao các thông điệp SSL giữa khách hàng và máy chủ.
Trước khi đi sâu vào một cuộc thảo luận chi tiết hơn về vai trò của giao thức cá nhân
và chức năng của nó cho tôi mô tả hai khái niệm cơ bản liên quan đến việc sử dụng
SSL.
Session và kết nối SSL
Các khái niệm như đã đề cập ở trên là nền tảng cho một kết nối giữa khách hàng và
máy chủ, và nó cũng bao gồm một loạt các thuộc tính. Hãy cố gắng cho một số chi
tiết:
Session: đây là một sự kết hợp giữa một khách hàng và máy chủ một định nghĩa một
tập hợp các thông số như thuật toán được sử dụng, số session... Một SSL session được
tạo ra bởi giao thức bắt tay mà cho phép các thông số được chia sẻ giữa các kết nối
được tạo ra từ máy chủ và khách hàng, và session được sử dụng để tránh đàm phán
của các thông số mới cho mỗi kết nối.
Điều này có nghĩa là một session được chia sẻ giữa nhiều kết nối SSL giữa khách
hàng và máy chủ. Về lý thuyết, nó cũng có thể được nhiều session chia sẻ bởi một kết
nối duy nhất, nhưng tính năng này không được sử dụng trong thực tế. Các khái niệm
về một SSL session và kết nối liên quan đến một vài thông số được sử dụng SSL-
enable giao tiếp giữa khách hàng và máy chủ. Trong các cuộc đàm phán của giao thức
bắt tay, các phương pháp mã hóa được thành lập và một loạt các thông số của session
status sau đó được sử dụng trong session. Một session state được xác định bởi các
thông số sau:
 Session identifier: đây là một định danh được tạo ra bởi máy chủ để xác định
một session với một khách hàng đã chọn
 chứng chỉ peer: X.509 chứng chỉ của peer
 Phương pháp nén: một phương pháp được sử dụng để nén dữ liệu trước khi mã
hóa
SVTT: Kiều Đình Luân – Trần Quốc Vinh Trang 14