Tài liệu Ứng dụng openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.

Trường Cao Đẳng Công Nghệ Thông Tin Hữu Nghị Việt - Hàn SLIDE BẢO VỆ ĐỒ ÁN TỐT NGHIỆP ĐỀ TÀI: ỨNG DỤNG OPENVPN TRONG BẢO MẬT HỆ THỐNG MẠNG CHO DOANH NGHIỆP GVHD Sinh viên thực hiện Lớp Niên khóa 10/08/2015 : Lê Kim Trọng : Lê Long Bảo : CCMM03A : 2009 – 2012 1 Nội dung trình bày • • • • Tổng quan về mạng máy tính Tổng quan về phần mềm nguồn mở Công nghệ VPN và các giao thức hỗ trợ Mô hình hệ thống và triển khai mô hình trên Ubuntu Server • Kết luận 10/08/2015 2 Tổng quan về mạng máy tính • 2 mô hình chính: OSI và TCP/IP Mô hình OSI 10/08/2015 Mô hình TCP/IP 3 Tổng quan về mạng máy tính • Theo khoảng cách địa lý - Mạng cục bộ (LAN - Local Area Network) - Mạng đô thị (MAN - Metropolitan Area Network) - Mạng diện rộng (WAN - Wide Area Network) - Mạng toàn cầu (GAN - Global Area Network) • Theo kỹ thuật chuyển mạch - Mạng chuyển mạch kênh và mạng chuyển mạch gói 10/08/2015 4 Tổng quan về phần mềm nguồn mở • Định nghĩa: Phần mềm nguồn mở là phần mềm được cung cấp dưới dạng mã và nguồn, không chỉ miễn phí về giá mua mà chủ yếu là miễn phí về bản quyền. Người dùng có quyền sửa đổi, cải tiến, phát triển, nâng cấp theo một số nguyên tắc chung quy định trong giấy phép phần mềm nguồn mở. • Giới thiệu hệ thống tập tin thư mục: /bin : thư mục chứa tệp chương trình cơ bản /boot : thư mục chứa hạt nhân của HĐH /etc : thư mục chứa tệp cấu hình /dev : thư mục chứa tệp thiết bị /home : thư mục chứa dữ liệu người dùng /usr : thư mục ứng dụng /var : thư mục dữ liệu cập nhập /proc : thư mục chứa dữ liệu của nhân hệ điều hành và BIOS 10/08/2015 5 Tổng quan về phần mềm nguồn mở • Phần mềm sở hữu: Là phần mềm có bản quyền ràng buộc chặt chẽ các thao tác trên phần mềm. • Phần mềm miễn phí Là phần mềm không mất phí sử dụng, được phân phối kèm theo tất cả các quyền trừ quyền quản lý • Phần mềm chia sẽ Là phần mềm cung cấp miễn phí nhưng hạn chế một số chức năng hoặc mức độ thuận tiện. Người dùng chỉ có đầy đủ khi trả tiền mua giấy phép. 10/08/2015 6 Công nghệ VPN và giao thức hỗ trợ • VPN được hiểu đơn giản là sự mở rộng của một mạng riêng thông qua mạng công cộng. Mỗi VPN sử dụng kết nối ảo được dẫn đường qua Internet từ mạng riêng của công ty tới các site hay các nhân viên từ xa. 10/08/2015 7 Công nghệ VPN và giao thức hỗ trợ • Lợi ích của VPN: - Chi phí thấp hơn những mạng riêng. - Tính linh hoạt cho khả năng kinh tế trên Internet - Tăng tính bảo mật - Hỗ trợ giao thức thông dụng hiện nay như TCP/IP • Các thành phần cần thiết để tạo kết nối VPN - User Authentication - Address Management - Data Encryption - Key Management 10/08/2015 8 Công nghệ VPN và giao thức hỗ trợ • PPTP - Giao thức được phát triển bởi Microsoft, cung cấp một phần của dịch vụ truy cập từ xa RAS (Remote Access Service), cho phép tạo đường hầm từ phía người dùng truy cập vào VPN Gateway. - PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng IP, chẳng hạn như mạng Internet/ Intranet. PPTP dùng TCP để tạo và hủy các tunnel. 10/08/2015 9 Công nghệ VPN và giao thức hỗ trợ • Để tận dụng ưu điểm của kết nối được tạo ra bởi PPP, PPTP định nghĩa hai loại gói tin: Gói điều khiển và gói dữ liệu rồi gán chúng lên hai kênh riêng. Định dạng gói tin điều khiển thông điệp PPTP Định dạng gói tin dữ liệu PPTP 10/08/2015 10 Công nghệ VPN và giao thức hỗ trợ • Để tóm tắt quá trình xử lý gói tin PPTP, chúng ta có thể hình dung thông qua ba bước sau: - Quá trình thiết lập kết nối PPP. - Điều khiển kết nối. - PPTP Tunneling và trao đổi dữ liệu. 10/08/2015 11 Công nghệ VPN và giao thức hỗ trợ • Quá trình điều khiển kết nối: 10/08/2015 12 Công nghệ VPN và giao thức hỗ trợ • Quá trình tạo đường hầm dữ liệu và xử lý PPTP: Đóng gói dữ liệu Đóng gói PPP Frame Đóng gói GRE và IP Đóng gói tầng Data Link 10/08/2015 13 Công nghệ VPN và giao thức hỗ trợ • GRE: GRE là một cơ chế đóng gói đơn giản, nhẹ cân, đa năng cho dữ liệu cơ sở. Bằng việc kết nối nhiều mạng con với giao thức khác nhau trong môi trường có một giao thức chính. GRE Tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP 10/08/2015 14 Công nghệ VPN và giao thức hỗ trợ • IP Sec IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao gồm bảo mật dữ liệu, tính toàn vẹn của dữ liệu và việc chứng thực dữ liệu. 10/08/2015 15 Công nghệ VPN và giao thức hỗ trợ • Các dạng kết nối - Remote Access VPN 10/08/2015 16 Công nghệ VPN và giao thức hỗ trợ • Site – to – Site VPN 10/08/2015 17 Công nghệ VPN và giao thức hỗ trợ Đặc điểm Mô hình áp dụng VPN Client – to – Site VPN Site – to - Site +Nhân viên làm việc lưu động hay làm +Kết nối các hệ thống mạng các nơi việc ở nhà muốn kết nối vào mạng công ty. + Mô hình này đơn giản hơn khác nhau như các doanh nghiệp có các chi nhánh ở xa nhau. + Mô hình này phức tạp hơn. Yêu cầu phần cứng Ít Nhiều Kết nối mạng Sử dụng đường truyền Internet Sử dụng đường truyền Internet Bảo mật Tốt Tốt Các dạng kết nối Người dùng hoặc nhân viên từ xa kết Chia làm 2 dạng: nối đến doanh nghiệp +Intranet base: các chi nhánh của cùng một công ty ở xa kết nối với nhau. +Extranet base: công ty này kết nối tới công ty khác (ví dụ như đồng nghiệp hay nhà hỗ trợ…) Ít tốn kém hơn, chỉ cần dùng đường Chi phí Tốn kém lúc đầu triển khai. truyền internet có sẵn, và phần mềm kết 10/08/2015 nối 18 Mô hình triển khai • Mô hình giả lập VPN Client – to – Site Mô hình hệ thống gồm 1 máy OpenVPN Server Linux, hệ điều hành Ubuntu Server, một máy VPN Client, một máy Local Computer nằm trong miền mạng của doanh nghiệp. 10/08/2015 19 Mô hình triển khai • Mô hình giả lập Site – to - Site 10/08/2015 20