Báo Cáo Thực Tập Tốt Nghiệp
Đề tài: Tìm hiểu giải pháp mã nguồn mở OpenVPN
trong Linux
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
I. Lời cảm ơn
Em xin chân thành cảm ơn các thầy cô giáo bộ môn Kỹ thuật hệ thống
và mạng máy tính,những người đã dạy dỗ, trang bị cho em những kiến th c bổ
ích trong suối những năm học tập.
Em xin bày tỏ lòng cảm ơn sâu sắc nhất với thầy Bùi Thanh Phong, thầy
đã tận tình giúp đỡ,hướng dẫn và cho em những lời khuyên quý báu trong quá
trình thực tập.
Hà nội,ngày 24 tháng 2 năm 2014
2
Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
II. Mục lục
I. Lời cảm ơn........................................................................................... 2
II. Mục lục ............................................................................................... 3
III. Danh mục từ viết tắt ........................................................................ 4
VPN : Virtual private network ............................................................ 4
IV. Lời mở đầu ........................................................................................ 5
V. Tổng quan về VPN ............................................................................ 6
1. Định nghĩa về VPN ......................................................................... 6
2. Tại sao phải sử dụng VPN ............................................................. 6
3. Kiến trúc của VPN ......................................................................... 7
4. Các giao thức trong VPN ............................................................. 10
5. Hệ thống mạng và VPN ............................................................... 17
5.1 Remote Access VPNs ................................................................ 17
5.2 Site to Site (Lan to Lan) ............................................................ 19
5.3 Quá trình thiết lập một kết nối giữa Client và Server ............... 22
VI. Giải pháp mã nguồn mở OpenVPN trên Linux .......................... 24
1. Lịch sử của OpenVPN .................................................................. 24
2. OpenVPN là gì? ............................................................................ 25
3.
u điểm của OpenVPN................................................................ 26
4. Cài đặt OpenVPN trong Linux ................................................... 27
5.1 Những hiểu biết cơ bản về hệ điều hành Linux và CentOS ...... 27
5.1.1 Linux .................................................................................... 27
5.1.2 CentOS ................................................................................. 29
5.2 Cài đặt OpenVPN trong CentOS 6.5 x64.................................. 30
7. Cấu hình VPN cơ bản .................................................................. 34
7.1. Cấu hình OpenVPN server Linux ............................................. 34
7.2. Cấu hình OpenVPN client trên MacOS với Tunnelblick ......... 41
7.3. Cấu hình OpenVPN client trên Windows XP SP3 ................... 45
8. Thử nghiệm sử dụng OpenVPN trên máy ảo ............................ 46
9. Giám sát và xử lý sự cố ................................................................ 47
9.1 Trên Server ................................................................................ 47
9.2 Trên Client ................................................................................. 47
VII. Kết luận .......................................................................................... 48
VIII. Tài liệu tham khảo ....................................................................... 49
IX. Ý kiến giảng viên h ớng dẫn......................................................... 50
3
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
III. Danh mục từ viết tắt
VPN : Virtual private network
ISP : Internet service provider
SSL : Secure Sockets Layer
NAS : Network-attached storage
OSI : Open Systems Interconnection Reference Model
IETF : Internet Engineering Task Force
GNU : General Public License
KDE: Desktop Environment
GNOME: GNU Network Object Model Environment
HTTPS : Hypertext Transfer Protocol Secure
TCP : Transmission Control Protocol
UDP : User Datagram Protocol
NAT : Network address translation
SSH : Secure Shell
LDAP : Lightweight Directory Access Protocol
IPsec : Internet Protocol Security
DNS : Domain Name System
4
Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
IV. Lời mở đầu
Hiện nay,Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ ch c,
đáp ng khá đầy đ các nhu cầu c a người sử dựng. Internet đã được thiết kế
để kết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sử
dụng một cách tự do và nhanh chóng.Để làm được điều này người ta sử dụng
một hệ thống các thiết bị định tuyến để kết nối các LAN và WAN với nhau.Các
máy tính được kết nối vào Internet thông qua các nhà cung cấp dịch vụ ISP.
Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các
lĩnh vực và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có
phạm vi toàn cầu và không một tổ ch c, chính ph cụ thể nào quản lý nên rất
khó khăn trong việc bảo mật và an toàn dữ liệu, cũng như việc quản lý dịch vụ.
Các doanh nghiệp có chỗi chi nhánh, cửa hàng ngày càng trở nên phổ
biến.Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng
đến tận người dùng.Do đó, để kiểm soát, quản lý, tận dụng tốt nghuồn tài
nguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn
tài nguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa. Tuy nhiên,
việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn, bảo mật.
Để giải quyết vấn đề trên, nhiều doanh nghiệp đã chọn giải pháp mô
hình mạng riêng ảo VPN. Với mô hình mới này,người ta không phải đầu tư
thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật và dộ tin cậy vậy
được bảo đảm, đồng thời có thể quản lý riêng sự hoạt động c a magj này. VPN
cho phép người sử dụng làm việc tại nhà riêng , trên đường đi hoặc các văn
phòng chi nhánh có thể kết nối an toàn tới máy ch c a tổ ch c mình bằng cơ
sở hạ tầng được cung cấp bởi mạng công cộng. Nhưng thông thường, triển khai
phần mềm VPN và phần c ng tốn nhiều thời gian và chi phí , do đó OpenVPN
là một giải pháp mã nguồn mở VPN hoàn toàn miễn phí và cực kỳ hiệu quả
cho các doanh nghiệp.
Nội dung báo cáo được trình bày theo 2 phần chính:
1.Những tìm hiểu cơ bản về VPN
2.Tìm hiểu về OpenVPN và triển khai trong mô hình máy ảo
5
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
V. Tổng quan về VPN
1. Định nghĩa về VPN
Trước kia khi một công ty,tổ ch c muốn kết nối các văn phòng,chinh
nhánh với nhau họ phải thuê riêng một kênh đường truyền leased line từ các
ISP.Ngày nay với sự phát triển nhanh chóng và phổ biến c a internet,việc thuê
một kênh riêng đã trở nên không hiệu quả,ngoài ra chi phí cho việc thuê kênh
riêng hiện nay là khá cao.Để đáp ng hai yêu cầu hiệu quả và chi phí thì VPN
đã ra đời,đưa đến cho các doanh nghiệp giải pháp để kết nối các văn phòng và
chi nhánh.Vậy VPN là gì?
Có khá nhiều định nghĩa về VPN,em xin đưa một vài ví dụ cụ thể :
“Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một
mạng dành riêng để kết nối các máy tính c a các công ty,tập đoàn hay các tổ
ch c với nhau thông qua mạng Internet công cộng.” nguồn: Wikipedia
“Một mạng VPN có thể hiểu là một thiết lập logic vật lý bảo mật được
thực hiện bởi những phần mềm đặc biệt.Thiết lập sự riêng tư bằng việc bảo vệ
kết nối điểm cuối” nguồn: OpenVPN-Markus Feiler
Nhưng có lẽ định nghĩa đơn giản nhất dành cho VPN là:
“Bản chất c a VPN là một kết nối bảo mật giữa hai hoặc nhiều điểm c a
mạng công cộng” nguồn: SSL VPN-Joseph Steinberg & Timothy Speed
Hình 1: Mô Hình mạng riêng ảo (VPN)
2. Tại sao phải sử dụng VPN
VPN ra đời từ nhu cầu kết nối giữa các công ty mẹ với các công ty con
và chi nhánh.Chính vì vậy,cho tới nay thì các công ty,tổ ch c chính là đối
tượng chính sử dụng VPN.Đặc biệt là các công ty có nhu cầu cao về việc trao
6
Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
đổi thông tin,dữ liệu giữa các văn phòng với nhau nhưng lại không đòi hỏi yêu
cầu quá cao về tính bảo mật,cũng như dữ liệu.Vì vậy đối với các doanh
nghiệp,những lý do sau khiến mỗi đơn vị,tổ ch c,công ty sử dụng VPN:
1. Giảm chi phí thường xuyên
Tiết kiệm 60% chi phí thuê đường truyền,cũng như là chi phí gọi đường
dài c a những văn phòng ở xa.Với những nhân viên di động thì việc đăng nhập
vào mạng VPN chung c a công ty thông qua các POP tại địa điểm đó.
2. Giảm chi phí đầu tư
So với việc phải đầu tư từ đầu như trước đây thì giờ đây mọi chi phí về
máy ch ,đường truyền,bộ định tuyến,bộ chuyển mạch … Các công ty có thể
thuê chúng từ các đơn vị cung cấp dịch vụ.Như vậy vừa giảm được chi phí đầu
tư trang thiết bị.
3. Giảm chi phí duy trì nơi hệ thống và bảo trì
Thuận tiện cho việc nâng cấp hay bảo trì trong quá trình sử dụng vì hiện
nay các công ty cung cấp dịch vụ sẽ chịu trách nhiệm bảo trì hệ thống họ cung
cấp hoặc nâng cấp theo nhu cầu c a khách hàng.
4. Truy cập mọi lúc mọi nơi
Mọi nhân viên có thể sử dụng hạ tầng,dịch vụ c a bên cung cấp trong
điều kiện cho phép để kết nối vào mạng VPN c a công ty.Điều này đặc biệt
quan trọng thời kỳ hiện nay,khi mà thông tin không chỉ còn được đánh giá
bằng độ chính xác mà còn cả tính t c thời.
3. Kiến trúc của VPN
Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính là
(Tunneling) đường hầm kết nối và (Secure services) các dịch vụ bảo mật cho
kết nối đó.Tunneling chính là thành phần “Virtual” và Sercure services là thành
phần “Private” c a một mạng riêng ảo VPN(Virtual Private Network).
a) Đ ờng hầm kết nối (Tunneling)
Khác với việc thuê một đường truyền riêng các kết nối bằng việc sử
dụng cách tạo đường hầm không liên tục,mà chỉ được xác lập khi có yêu cầu
kết nối.Do vậy khi không còn được sử dụng các kết nối này sẽ được huỷ,giải
phóng băng thông,tài nguyên mạng cho các yêu cầu khác.Điều này cho thấy
một ưu điểm rất lớn c a VPN so với việc thuê đường truyền riêng đó là sự linh
hoạt.
7
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
Cấu trúc logic c a mạng được thiết lập dành cho thiết bị mạng tương
ng c a mạng đó mà không cần quan tâm đến hạ tầng mạng hiện có là một đặc
điểm “ảo” khác c a VPN.Các thiết bị phần c ng c a mạng đều trở nên tàng
hình với người dùng và thiết bị c a mạng VPN.Chính vì thế trong quá trình tạo
ra đường hầm,những kết nối hình thành nên mạng riêng ảo không có cùng tính
chất vật lý với những kết nối cố định trong mạng Lan thông thường.
Tạo đường hầm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuối
trên mạng.Các gói tin IP trước khi chuyển đi phải được đóng gói,mã hoá gói tin
gốc và thêm IP header mới.Sau đó các gói tin sẽ được giải mã,tách bỏ phần tiêu
đề tại gateway c a điểm đến,trước khi được chuyển đến điểm đến đầu cuối.
Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàn
trong suốt với người sử dụng.
Có hai loại đường hầm kết nối thường trực và tạm thời.Tính hiệu quả và
tối ưu c a một đường hầm kết nối thường trực là không cao.Do đó đường hầm
tạm thời thường được sử dụng hơn vì tính linh động và hữu dụng hơn cho
VPN.
Có hai kiểu kết nối hình thành giữa hai đầu kết nối c a mỗi đường hầm
là Lan to Lan và Client to Lan.
(i)
Lan to Lan
Kết nối lan to lan được hình thành giữa 2 văn phòng chi nhánh hoặc chi
nhánh với công ty.Các nhân viên tại những văn phòng và chi nhánh đều có thể
sử dụng đường hầm để trao đổi dữ liệu.
(ii)
Client to lan
Kiểu kết nối client to lan dành cho các kết nối di động c a các nhân viên
ở xa đến công ty hay chi nhánh.Để thực hiện được điều này,các máy client phải
chạy một phần mềm đặc biệt cho phép kết nối với gateway c a công ty hay
chinh nhánh.Khi kết nối này được thực hiện thì đã xác lập một đường hầm kết
nối giữa công ty và nhân viên ở xa.
b) Dịch vụ bảo mật (secure services)
Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhân
viên ở xa mà không hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thì
cũng như việc các ngân hàng chuyển tiền mà không có lực lượng bảo vệ
vậy.Tất cả các dữ liệu sẽ không được bảo vệ,hoàn toàn có thể bị đánh cắp,thay
8
Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
đổi trên quá trình vận chuyển một cách dễ dàng.Chính vì vậy các cơ chế bảo
mật cho VPN chính là xương sống c a giải pháp này.
Một mạng VPN cần cung cấp 4 ch c năng bảo mật cho dữ liệu:
• Xác thực(Authentication): Đảm bảo dữ liệu đến từ một nguồn quy
định.
• Điều khiển truy cập (Access control) : hạn chế quyền từ những người
dùng bất hợp pháp.
• Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữ
liệu trong quá trình vận chuyển trên mạng.
• Tính toàn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi,được
bảo toàn từ đầu gửi đến đầu nhận.
Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data link) và lớp 3
(Network) trong mô hình 7 lớp OSI.Các dịch vụ bảo mật đều được triển khai
tại các lớp thấp c a mô hình OSI làm giảm sự tác động đến người dùng.Việc
bảo mật có thể thực hiện tại các đầu cuối (end to end) hoặc giữa các nút (node
to node).
Bảo mật tại các điểm đầu cuối là hình th c bảo mật có được độ tin cậy
cao,ví dụ như tại 2 máy tính đầu cuối.Tuy vậy nhưng hình th c bảo mật đầu
cuối hay client to client lại có nhược điểm làm tang sự ph c tạp cho người
dùng,khó khăn cho việc quản lý.
Trái với bảo mật điểm đầu cuối,bảo mật tại các nút thân thiện hơn với
người dùng cuối.Giảm số tác vụ có thể làm chậm hệ thống máy tính như mã
hoá hay giải mã.Tuy nhiên việc bảo mật tại các nút lại yêu cầu mạng sau nó
phải có độ tin cậy cao.Mỗi hình th c bảo mật đều có ưu điểm riêng,tuỳ theo
từng yêu cầu c a hệ thống cần xây dựng mà chọn hình th c phù hợp.
9
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
4. Các giao thức trong VPN
a) Ipsec
mô hình Ipsec
Internet Security Protocol là một cấu trúc được khởi sướng và duy trì
phát triển bởi lực lượng chuyên trách về kỹ thuật liên mạng (IETF) nhằm cung
cấp các dịch vụ bảo mật cho giao th c Ipv4 và Ipv6.Nó được xây dựng để phục
vụ cho các cấu trúc tầng trên cùng,đúng hơn là tập chung vào các thuật toán mã
hoá và phương pháp trao đổi các khoá.Ipsec được thiết kế chạy trên ng dụng
để bảo mật cho hệ thống mạng c a chính nó.Nâng cấp Ipsec chỉ có nghĩa là
nâng cấp tính năng bảo mật,các ng dụng mạng hiện tại có thể tiếp tục sử dụng
để truyền dữ liệu.
Ipsec cung cấp ba phương th c bảo mật đó là :
Thuật toán mã hoá
Thuật toán xác thực
Quản lý khoá
Hai lợi ích chính bắt nguồn từ IPsec là các sản phẩm hoặc dịch vụ
IPSec tăng tính năng bảo mật bổ sung cũng như khả năng tương tác với các sản
phẩm khác IPSec tăng cường an ninh có nghĩa là xác thực toàn diện nhất và
mạnh mẽ nhất ,trao đổi khoá, và các thuật toán mã hóa , mạnh mẽ cho sử dụng
trong thế giới
10 Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
Mặc dù IPSec vẫn còn trải qua thay đổi , nhiều nền tảng cơ bản đã được
đông lạnh đ cho các nhà cung cấp để hoàn thiện , kiểm tra, và phân phối các
sản phẩm VPN.
IPSec được hỗ trợ hai kiểu mã hoá .Để bảo vệ khối lượng c a mỗi gói
tin, trong khi các chế độ đường hầm mã hóa cả tiêu đề và khối lượng. Một cách
hợp lý đ các chế độ đường hầm an toàn hơn, vì nó bảo vệ danh tính c a người
gửi và người nhận, cùng với một số lĩnh vực ẩn IP khác có thể cung cấp cho
một người trung gian thông tin hữu ích.
Để Ipsec làm việc như mong đợi, tất cả các thiết bị phải chia sẻ một
khoá.ặMc dù các giao th c được sử dụng để mã hóa dữ liệu là rất quan trọng
vào thành công chung c a hệ thống, rất nhiều công việc đã đi vào xác thực và
trao đổi khóa bằng người gửi và quá trình nhận.Tất nhiên nó được thực hiện
ch yếu thông qua giao th c ISAKMP / oakley và X 0,509 hệ thống ch ng
nhận kỹ thuật số.
b) ESP( Encapsulating Security Payload )
Cấu trúc gói tin được đóng gói bằng giao th c ESP
11
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
đơn vị cơ bản c a truyền trên internet là các gói tin IP, khi mà hầu hết
truyền thông đều dựa trên WAN và LAN . IPSec xử lý mã hóa ngay ở cấp IP
gói tin sử dụng giao th c mới, Encapsulating Security Protocol (ESP). ESP
được thiết kế để hỗ trợ hầu như bất kỳ loại mã hóa đối x ng, chẳng hạn như
DES hoặc triple DES.Hiện nay, ESP dựa trên tối thiểu 56-bit DES. ESP cũng
hỗ trợ một số xác thực, một phần chồng chéo với các giao th c Ipsec,AH: xác
thực header.Thông thường ESP có thể được sử dụng bên trong gói tin IP khác,
để ESP có thể được vận chuyển qua các thường xuyên Thay vì TCP bình
thường hoặc chỉ định gói tin UDP, các thông tin tiêu đề sẽ tuyên bố tải trọng
c a gói tin là ESP được thay thế. Bởi vì nó được đóng gói trong phương th c
này, ESP có thể được vận chuyển qua các mạng và là ngay lập t c tương thích
ngược với phần lớn các phần c ng được sử dụng để mạng đường sang ngày
khác.
b) AH( Authentication header)
12 Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
Mô hình giao th c AH
ESP bảo vệ việc dữ liệu bằng cách mã hóa, giao th c tiêu đề xác thực
c a IPSec xử lý chỉ là xác thực, mà không cần bảo mật. Giao th c AH có thể
được sử dụng kết hợp với ESP trong chế độ đường hầm hoặc là một đ ng một
mình xác thực. Các giao th c xác thực tiêu đề xử lý đảm bảo các thông tin tiêu
đề IP nơi ESP là có liên quan với tải để hỗ trợ một IPSec ch c năng cơ bản yêu
cầu triển khai c a AH-ch a HMAC-SHA và HMAC-MD5 (HMAC là một hệ
thống xác thực đối x ng được hỗ trợ bởi hai mã băm này.
c) Internet key exchange,ISAMKP/Oakley
Trao đổi thông báo giữa hai điểm cuối sử dụng giao th c IKE
13
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
Bất kỳ cuộc trò chuyện được bảo vệ giữa hai bên chỉ có ESP và AH
không hoàn thành b c tranh cho một hệ thống IPSec, để giao tiếp an toàn cho
cả hai bên phải có khả năng đàm phán phím để sử dụng trong khi thông tin liên
lạc đang xảy ra cộng với cả hai bên cần phải có khả năng quyết định các thuật
toán mã hóa và xác thực để sử dụng trao đổi khóa internet (IKE) giao th c (
trước đây gọi là ISAKMP / Oakley ) cung cấp xác thực c a tất cả các đồng
nghiệp xử lý các chính sách an ninh mỗi một thực hiện và kiểm soát trao đổi
các khoá
Phát sinh khoá và thay đổi khoá rất quan trọng bởi vì thời gian càng lâu
số lượng dữ liệu có nguy cơ,dễ dàng hơn nó sẽ trở thành bản mã để đánh chặn
hơn để phân tích. Đây là khái niệm hoàn hảo chuyển tiếp bằng cách thay đổi
các khoá thường xuyên nó trở nên khó khăn cho ăn trộm mạng, phải thu thập
lượng lớn dữ liệu nếu muốn tiếp tục crack các khoá.
d) Iso X.509 v3( Digital Certificates)
Mô hình hệ thống xác thực sử dụng X.509v3 c a RedhatOS
Mặc dù không phải là một giao th c bảo mật kiểu giống như ESP và
AH, hệ thống X.509 là quan trọng bởi vì nó cung cấp một m c độ kiểm soát
truy cập với một phạm vi lớn hơn. Bởi vì các hệ thống ch ng chỉ X.509 được
sử dụng với các thiết bị cơ sở hạ tầng khóa công cộng khác và các phần mềm,
các nhà cung cấp IPsec đã chọn để kết hợp chúng vào thiết bị c a họ để xử lý
14 Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
xác thực. Quản lý giấy ch ng nhận, như xử lý bởi một bên th ba đáng tin cậy,
sẽ đóng một vai trò lớn trong tương lai c a bộ IPsec, và công việc đang được
thực hiện bởi các nhà cung cấp để có những sản phẩm c a họ giao tiếp với các
CAs (Certificate Authorities) để xác thực.
e) LDAP( Lightweight directory access protocol)
Ví dụ về server có sử dụng LDAP
Hệ thống X.509 là giao th c truy cập thư mục nhẹ, hoặc LDAP. LDAP
là một dịch vụ X.500 nhỏ hơn, dễ dàng hơn và hợp lý để thực hiện, điều này hỗ
trợ các giải pháp VPN khác nhau để cung cấp xác thực và quản lý giấy ch ng
nhận. Sản phẩm phần c ng như Vịnh mạng Extranet LDAP Đổi sử dụng cũng
như một số giải pháp phần mềm phổ biến, chẳng hạn như Windows NT và
Novell. Nó đang trở thành phổ biến hơn để sử dụng hệ thống xác thực c a bên
th ba đáng tin cậy (như LDAP và hệ thống thư mục X.500) để truy cập từ xa
đến một mạng công ty (hoặc một VPN).
15
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
f) Radius
Hệ thống sử dụng Radius
Có hệ thống LDAP và X.500 cung cấp xác thực và quản lý giấy ch ng
nhận cho người sử dụng bất c nơi nào trên thế giới, Radius là một hệ thống
xác thực sử dụng nhiều hơn cho tra c u tổ ch c trong nội bộ. Hệ thống radius
được phát triển như một tiêu chuẩn mở c a công ty Livingstone _, và hiện chưa
_ bởi IETF, nhưng đang được xem xét. Gần đây, _ hệ thống Radius để tăng
cường khả năng client / server và nhà cung cấp cụ thể c a c a nó, cho phép các
nhà sản xuất để thích ng sản phẩm và dịch vụ c a họ sang các thị trường cụ
thể. Nhiều giải pháp VPN hiện để hỗ trợ xác thực bằng cách sử dụng Radius
hơn so với các hệ thống ch ng nhận công cộng khác , nhưng một làn sóng hỗ
trợ cho hệ thống X.500 cũng được tiến hành.
g) PPTP(point to point tunneling protocol)
Giao th c PPTP
16 Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
Giao th c đường hầm point-to-point (PPTP) là một phần mở rộng c a
giao th c PPP (point-to-point) . Các dịch vụ đường hầm cung cấp nền tảng cho
IP. PPP đã rất thích hợp để sửa đổi bởi vì ch c năng c a nó đã bắt chước hành
vi c a những gì một VPN sẽ cần: một đường hầm điểm-điểm. Tất cả những gì
còn thiếu là bảo mật . PPTP, tuy nhiên, là nhiều hơn một kênh thông tin liên lạc
an toàn host-to-host, hơn là một Lan-to-Lan . Mặc dù nó hoàn toàn có thể định
tuyến lưu lượng qua một đường hầm PPTP, các giải pháp Ipsec là hộp số tốt
hơn cho loại ng dụng.
5. Hệ thống mạng và VPN
5.1 Remote Access VPNs
Remote Access VPNs
Remote Access VPNs cho phép truy cập bất c lúc nào bằng Remote,
mobile và các thiết bị truyền thông c a nhân viên các chi nhánh kết nối đến tài
nguyên mạng c a tổ ch c.
Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần
mềm VPN để truy cập vào mạng Intranet c a công ty thông qua gateway hoặc
VPN concertrator ( bản chất là một server), Vì lý do này,giải pháp này thường
17
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
được gọi là client/server. Trong giải pháp này, người dùng thường sử dụng các
công nghệ WAN truyền thống để tạo lại các tunnel về mạng riêng c a họ.
Một hướng phát triển khá mới trong remote access VPN là dùng
wireless VPN, trong đó một nhân viên có thể truy cập về mạng c a họ thông
qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết
nối về một trạm wireless và sau đó về mạng c a công ty. Trong cả hai trường
hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật,
còn được gọi là tunnel.
Một phần quan trọng c a thiết kế này là việc thiết kế quá trình xác thực
ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy.
Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật c a
công ty. Chính sách bao gồm : Quy trình,kỹ thuật,máy ch ,điều khiển truy
cập,v.vv
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa
hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung
cấp dịch vụ ISP hoặc ISP's POP và kết nối đến tài nguyên thông qua Internet.
Việc sử dụng Remote Access VPNs cho thấy rất nhiều lợi ích:
sự cần thiết c a RAS và việc kết hợp với modem được loại trừ.
Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì
kết nối từ xa đã được tạo điều kiện thuận lởi bởi ISP.
Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó,
những kết nối với khoảng cách xa sẽ được thay thế bởi các kết
nối cục bộ.
Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
Do đây là một kết nối mang tính cục bộ, do vậy tốc độ kết nối sẽ
cao hơn so với kết nối trực tiếp đến những khoảng cách xa.
VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó
hỗ trợ dịch vụ truy cập ở m c độ tối thiểu nhất cho dù có sự tăng
nhanh chóng các kết nối đồng thời đến mạng.
Nhưng bên cạnh những ưu điểm thì Remote Access VPNs vẫn tồn tại
những khiếm khuyết :
18 Lê Công Thuỷ-53PM2-MSSV: 104653
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
Remote Access VPNs cũng không đảm bảo được chất lượng phục
vụ.
Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn c a
gói dữ liệu có thể đi ra ngoài và bị thất thoát.
Do độ ph c tạp c a thuật toán mã hoá, protocol overhead tăng
đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm
vào đó việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm
chạp.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ
liệu lớn hơn như các gói dữ liệu truyền thông, phim ảnh, âm
thanh sẽ rất chậm.
5.2 Site to Site (Lan to Lan)
Site to Site
Site to site VPN được áp dụng để cài đặt mạng từ một vị trí này kết nối
với mạng c a một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc
ch ng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi
mà có một kết nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng
vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã dược dự tính
trước cho các site khác. Các router và Firewall tương thích với VPN, và các bộ
tập trung VPN chuyên dụng đều cung cấp ch c năng này.
19
Giải pháp mã nguồn mở OpenVPN trong Linux
February 24, 2014
Lan to Lan có thể được xem như là intranet VPN hoặc extranet VPN.
Nếu chúng ta xem xét dưới góc độ ch ng thực nó có thể được xem như là một
intranet VPN, ngược lại chúng đươc xem như là một extranet VPN. Tính chặt
chẽ trong việc truy cập giữa các site có thẻ được điều khiển bởi cả hai( intranet
và extranet VPN) theo các site tương ng c a chúng. Giải pháp Site to Site
VPN không phải là một remote access VPN nhưng nó được thêm vào đây là vì
tính chất hoàn thiện c a nó.
Sự phân biệt giữa remote access VPN và Lan to Lan chỉ đơn thuần mang
tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận.
Ví dụ như là các thiết bị VPN dựa trên phần c ng mới, ở đây để phân loại
được, chúng ta phải áp dụng cả hai cách, bởi vì yêu cầu phần c ng cho client
có thể xuất hiện nếu một thiết bị đang truy cập vào mạng. Mặc dù một mạng có
thể có nhiều thiết bị VPN đang vận hành.
Lan to Lan VPN là sự kết nối hai mạng riêng lẻ thông qua một đường
hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao th c PPTP,
L2TP, hoặc IPSec, mục đích c a Lan to Lan là kết nối hai mạng không có
đường nối lại với nhau, không có việc thoả hiệp thích hợp, ch ng thực, sự cẩn
mật c a dữ liệu, bạn có thể thiết lập một Lan to Lan VPN thông qua sự kết hợp
c a các thiết bị VPN Concentrators, Routers và Firewalls.
Kết nối Lan to Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu
quả bất chất khoảng cách vật lý giữa chúng. Có thể kết nối này luân chuyển
thông qua internet hoặc một mạng không được tin cậy. Bản phải bảo đảm vấn
đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên tất cả các gói dữ liệu
đang luân chuyển giữa các mạng đó.
Intranet VPNs: được sử dụng để kết nối đến các chi nhánh văn phòng
c a tổ ch c đến Backbone Router sử dụng campus router. Theo như mô hình
bên dưới sẽ rất tốn chi phí do phải dử dụng 2 router để thiết lập mạng, thêm
vào đó, việc triển khai, bảo trì, quản lý mạng Intranet Backbone sẽ rất tốn kém
còn tuỳ thuộc vào lưu lượng lưu thông.
Để giải quyết vấn đề trên, sự tốn kém c a WAN backbone được thay thế
bởi các kết nối Internet với chi phí thấp. Với mô hình như vậy hiệu quả chi phí
hơn, do giảm số lượng router được sử dụng theo mô hình WAN backbone.
Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,
các trạm ở một số remote site khác nhau. Kết nối nhanh hơn, tốt hơn.
20 Lê Công Thuỷ-53PM2-MSSV: 104653
- Xem thêm -