TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
HỮU NGHỊ VIỆT-HÀN
KHOA KHOA HỌC MÁY TÍNH
ĐỒ ÁN TỐT NGHIỆP
NGÀNH MẠNG MÁY TÍNH
ĐỀ TÀI
ỨNG DỤNG OPENVPN TRONG BẢO MẬT HỆ
THỐNG MẠNG CHO DOANH NGHIỆP
SVTH: Lê Long Bảo
Lớp: CCMM03A
Niên khóa: 2009 - 2012
CBHD: Lê Kim Trọng
Đà Nẵng, tháng 5 năm 2012
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
LỜI CẢM ƠN
Để hoàn thành đồ án tốt nghiệp này, lời đầu tiên em xin chân thành cảm ơn các
thầy giáo, cô giáo Khoa Khoa Học Máy Tính, những người đã dạy dỗ, trang bị cho em
những kiến thức bổ ích trong năm học vừa qua.
Em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy Lê Kim Trọng, người đã tận tình
hướng dẫn em trong suốt quá trình làm đồ án.
Một lần nữa em xin chân thành cảm ơn sự giúp đỡ của các thầy cô.
Đà nẵng, ngày … tháng 5 năm 2012
Sinh viên: Lê Long Bảo – MM03A
Trang 2
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
MỤC LỤC
LỜI CẢM ƠN ....................................................................................................................... 2
MỤC LỤC ............................................................................................................................ 3
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT .......................................................... 5
DANH MỤC BẢNG BIỂU .................................................................................................. 6
DANH MỤC HÌNH VẼ, ĐỒ THỊ ........................................................................................ 7
LỜI MỞ ĐẦU ...................................................................................................................... 9
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH ..................................................... 11
1.1.
TỔNG QUAN VỀ MẠNG MÁY TÍNH ............................................................. 11
1.1.1.
Lịch sử hình thành ........................................................................................ 11
1.1.2.
Khái niệm mạng máy tính ............................................................................ 12
1.2.
MÔ HÌNH PHÂN TẦNG .................................................................................... 14
1.2.1.
OSI................................................................................................................ 14
1.2.2.
TCP/IP .......................................................................................................... 17
1.3.
KIẾN TRÚC MẠNG MÁY TÍNH ...................................................................... 19
1.3.1.
Nguyên tắc truyền thông .............................................................................. 19
1.3.2.
Nguyên tắc của phương pháp phân tầng ...................................................... 19
1.3.3.
Địa chỉ IP ...................................................................................................... 22
1.4.
PHÂN LOẠI MẠNG MÁY TÍNH ...................................................................... 22
1.4.1.
Theo khoảng cách địa lý............................................................................... 22
1.4.2.
Theo kỹ thuật chuyển mạch ......................................................................... 22
1.4.3.
Theo cơ chế hoạt động ................................................................................. 22
CHƯƠNG 2 : TỔNG QUAN VỀ PHẦN MỀM NGUỒN MỞ ......................................... 23
2.1.
GIỚI THIỆU PHẦN MỀM MÃ NGUỒN MỞ VÀ HỆ ĐIỀU HÀNH LINUX . 23
2.1.1.
Khái niệm phần mềm mã nguồn mở ............................................................ 23
2.1.2.
Giới thiệu hệ điều hành Linux ...................................................................... 25
2.1.3.
Phân loại phần mềm nguồn mở .................................................................... 29
2.1.4.
Phân biệt phần mềm nguồn mở với một số phần mềm khác ....................... 30
CHƯƠNG 3 : CÔNG NGHỆ VPN VÀ CÁC GIAO THỨC HỖ TRỢ ............................. 31
Sinh viên: Lê Long Bảo – MM03A
Trang 3
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
3.1.
TỔNG QUAN VỀ CÔNG NGHỆ VPN .............................................................. 31
3.1.1.
Giới thiệu về công nghệ VPN ...................................................................... 31
3.1.2.
Định nghĩa VPN ........................................................................................... 31
3.1.3.
Lợi ích của VPN ........................................................................................... 33
3.1.4.
Các thành phần cần thiết để tạo kết nối VPN ............................................... 35
3.2.
CÁC GIAO THỨC VPN ..................................................................................... 35
3.2.1.
L2TP ............................................................................................................. 35
3.2.2.
L2F ............................................................................................................... 36
3.2.3.
PPTP ............................................................................................................. 36
3.2.4.
GRE .............................................................................................................. 42
3.2.5.
IPSec ............................................................................................................. 42
3.2.6.
Bảng so sánh các giao thức .......................................................................... 43
3.3.
KẾT NỐI VPN .................................................................................................... 44
3.3.1.
Các dạng kết nối VPN .................................................................................. 44
3.3.2.
So sánh VPN Client – to – Site và VPN Site – to – Site .............................. 49
CHƯƠNG 4: MÔ HÌNH HỆ THỐNG VÀ TRIỂN KHAI OPENVPN TRÊN UBUNTU
SERVER ............................................................................................................................. 51
4.1.
MÔ HÌNH HỆ THỐNG....................................................................................... 51
4.1.1.
VPN Client – to – Site .................................................................................. 51
4.1.2.
VPN Site – to – Site ..................................................................................... 52
4.2.
CÀI ĐẶT VÀ CẤU HÌNH OPENVPN .............................................................. 53
4.2.1.
OpenVPN Client – to – Site ......................................................................... 53
4.2.2.
OpenVPN Site – to – Site ............................................................................. 58
4.3.
TIẾN HÀNH QUAY KẾT NỐI .......................................................................... 59
4.3.1.
Kiểm tra VPN Client – to – Site ................................................................... 59
4.3.2.
Kiểm tra VPN Site – to – Site ...................................................................... 60
4.4.
Quan sát bằng gói tin Wireshark ......................................................................... 60
KẾT LUẬN ........................................................................................................................ 61
TÀI LIỆU THAM KHẢO .................................................................................................. 62
Sinh viên: Lê Long Bảo – MM03A
Trang 4
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT
Từ viết tắt
VPN
GNU
FSF
GCC
PMMNM
GPL
DLL
WAN
L2F
L2TP
PPTP
GRE
Sinh viên: Lê Long Bảo – MM03A
Ý nghĩa
Virtual Private Network
General Public License
Free Software Foundation
GNU C Compiler
Phần mềm mã nguồn mở
General Public License
Dynamic Link Library
Wire Area Network
Layer 2 Forwarding
Layer 2 Tunneling Protocol
Point-to-Point Tunneling Protocol
Generic Routing Encapsulation
Trang 5
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
DANH MỤC BẢNG BIỂU
Bảng 3.1. Bảng các thông điệp điều khiển kết nối PPTP ................................................... 40
Bảng 3.2. Bảng so sánh các giao thức ................................................................................ 44
Bảng 3.3. Bảng so sánh VPN Client to Site và VPN Site to Site ....................................... 50
Sinh viên: Lê Long Bảo – MM03A
Trang 6
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
DANH MỤC HÌNH VẼ, ĐỒ THỊ
Hình 1.1. Mạng ngang hàng ............................................................................................... 12
Hình 1.2. Mạng Client – Server.......................................................................................... 13
Hình 1.3. Mô hình OSI ....................................................................................................... 14
Hình 1.4. Mô hình TCP/IP ................................................................................................. 17
Hình 1.5. Mô hình truyền thông đơn giản 3 tầng ............................................................... 20
Hình 1.6. Trao đổi giữa các tầng ........................................................................................ 21
Hình 3.1. Minh họa mô hình kết nối VPN ......................................................................... 32
Hình 3.2. Giao thức L2TP .................................................................................................. 36
Hình 3.3. Định dạng gói tin điều khiển thông điệp PPTP .................................................. 38
Hình 3.4. Định dạng gói tin dữ liệu PPTP .......................................................................... 38
Hình 3.5. Quá trình điều khiển kết nối ............................................................................... 40
Hình 3.6. Quá trình xử lý dữ liệu PPTP ............................................................................. 41
Hình 3.7. IPSec ................................................................................................................... 43
Hình 3.8. Remote Access VPN .......................................................................................... 45
Hình 3.9. Site to Site VPN.................................................................................................. 47
Hình 3.10. Intranet VPNs ................................................................................................... 48
Hình 3.11. Extranet VPNs .................................................................................................. 49
Hình 3.12. Thiết lập một kết nối Client to Server .............................................................. 49
Hình 4.1. Mô hình giả lập hệ thống VPN Client – to – Site............................................... 51
Hình 4.2. Mô hình giả lập VPN Site – to - Site .................................................................. 52
Hình 4.3. Cài đặt OpenVPN trên Ubuntu Server ............................................................... 53
Hình 4.4. Sao chép thư mục chứa các file chứng thực và cấu hình tới thư mục etc .......... 53
Hình 4.5. Sao chép file cấu hình mẫu của openvpn ........................................................... 54
Hình 4.6. Cấu hình file vars................................................................................................ 54
Hình 4.7. Tạo CA ............................................................................................................... 55
Hình 4.8. Tạo khóa chứng thực server ............................................................................... 55
Hình 4.9. Tạo 2 user ........................................................................................................... 56
Hình 4.10. Tiến hành tạo khóa chứng thực cho 2 user ....................................................... 56
Sinh viên: Lê Long Bảo – MM03A
Trang 7
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
Hình 4.11. Tiến hành cấu hình file server.conf .................................................................. 57
Hình 4.12. Tiến hành mã hóa key....................................................................................... 57
Hình 4.13. Tiến hành cấu hình iptables .............................................................................. 58
Hình 4.14. Cấu hình IP ở Router Gateway ......................................................................... 58
Hình 4.15. Đứng ở gateway tiến hành ping sang 2 miền mạng khác nhau ........................ 59
Hình 4.16. Tiến hành chạy OpenVPN ở Server ................................................................. 59
Hình 4.17. IP cấp phát thành công cho VPN Client ........................................................... 60
Hình 4.18. IP cấp phát thành công cho máy VPN2_Client ................................................ 60
Hình 4.19. Kiểm tra bằng Wireshark.................................................................................. 61
Sinh viên: Lê Long Bảo – MM03A
Trang 8
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
LỜI MỞ ĐẦU
Trong những năm gần đây, nhu cầu về công nghệ thông tin đang phát triển như vũ
bão trên thế giới nói chung cũng như tại Việt Nam nói riêng. Các công ty, doanh nghiệp
có chi nhánh khắp nơi, đều sử dụng công nghệ thông tin để giúp nâng cao hiệu quả công
việc. Hơn thế nữa, để giảm chi phí trong quá trình triển khai hệ thống mạng cho doanh
nghiệp, thì hệ thống mã nguồn mở sẽ giúp giảm chi phí, nâng cao và cải thiện hiệu suất
của hệ thống mạng, từ đó hệ thống mạng sẽ làm việc trơn tru hơn, nhanh chóng hơn.
Hiện nay, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứng
khá đầy đủ các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều
mạng với nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh
chóng. Để làm được điều này người ta sử dụng một hệ thống các thiết bị định tuyến để kết
nối các LAN và WAN với nhau. Các máy tính được kết nối vào Internet thông qua các
nhà cung cấp dịch vụ ISP. Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực
tuyến, tư vấn các lĩnh vực và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do
Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất
khó khăn trong việc bảo mật và an toàn dữ liệu, cũng như việc quản lý dịch vụ.
Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến.
Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đến tận người
dùng. Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã
triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy cập, truy
xuất thông tin từ xa. Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn
đề an toàn, bảo mật.
Để giải quyết vấn đề trên, nhiều doanh nghiệp đã chọn giải pháp mô hình mạng
riêng ảo VPN (Virtual Private Network). Với mô hình mới này, người ta không phải đầu
tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật và độ tin cậy vẫn được bảo
đảm, đồng thời có thể quản lý riêng sự hoạt động của mạng này. VPN cho phép người sử
dụng làm việc tại nhà riêng, trên đường đi, hoặc các văn phòng chi nhánh có thể kết nối
an toàn tới máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công
Sinh viên: Lê Long Bảo – MM03A
Trang 9
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
cộng. Nhưng thông thường, triển khai phần mềm VPN và phần cứng tốn nhiều thời gian
và chi phí, do đó OpenVPN là một giải pháp mã nguồn mở VPN hoàn toàn miễn phí.
Nội dung đồ án được trình bày gồm 4 chương
Chương 1: Tổng quan về mạng máy tính
Chương 2: Tổng quan về phần mềm nguồn mở
Chương 3: Công nghệ VPN và các giao thức hỗ trợ
Chương 4: Mô hình hệ thống và triển khai OpenVPN trên Ubuntu Server
Tiếp theo là phần kết luận và cuối cùng là tài liệu tham khảo
Sinh viên: Lê Long Bảo – MM03A
Trang 10
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH
1.1.
TỔNG QUAN VỀ MẠNG MÁY TÍNH
1.1.1. Lịch sử hình thành
Máy tính của thập niên 1940 là các thiết bị cơ-điện-tử lớn và rất dễ hỏng. Sự phát
minh ra transitor bán dẫn vào năm 1947 tạo ra cơ hội làm ra chiếc máy tính nhỏ và đáng
tin cậy hơn.
Năm 1950, các máy tính lớn chạy bởi các chương trình ghi trên thẻ đục lỗ bắt đầu
được dùng trong các học viện lớn. Điều này tuy tạo ra nhiều thuận lợi với máy tính có khả
năng được lập trình nhưng cũng có rất nhiều khó khăn trong việc tạo ra các chương trình
dựa trên thẻ đục lỗ này.
Vào cuối thập niên 1950, người ta phát minh ra mạch tích hợp IC chứa nhiều
transitor trên một mẫu bán dẫn nhỏ, tạo ra một bước nhảy vọt trong việc chế tạo các máy
tính mạnh hơn, nhanh hơn và nhỏ hơn. Đến nay, IC có thể chứa hàng triệu transitor trên
một mạch.
Vào cuối thập niên 1960, đầu thập niên 1970, các máy tính nhỏ được gọi là
minicomputer bắt đầu xuất hiện. Năm 1997, công ty máy tính Apple Computer giới thiệu
máy vi tính cũng được gọi là máy tính cá nhân (personal computer - PC).
Năm1981, IBM đưa ra máy tính cá nhân đầu tiên. Sự thu nhỏ ngày càng tinh vi
hơn của các IC đưa đến việc sử dụng rộng rãi máy tính cá nhân tại nhà và trong kinh
doanh.
Vào giữa thập niên 1980, người sử dụng dùng các máy tính độc lập bắt đầu chia sẽ
các tập tin bằng cách dùng modem kết nối các máy tính khác. Cách thức này được gọi là
điểm nối điểm, hay truyền theo kiểu quay số. Khái niệm này được mở rộng bằng cách
dùng các máy tính là trung tâm truyền tin trong một kết nối quay số. Các máy tính này
được gọi là sàn thông báo. Các người dùng kết nối đến sàn thông báo này, để lại đó hay
lấy đi các thông điệp, cũng như gửi lên hay tải về các tập tin. Hạn chế của hệ thống là có
rất ít hướng truyền tin, và chỉ với những ai biết về sàn thông báo đó. Ngoài ra, các máy
tính tại sàn thông báo cần một modem cho mỗi kết nối, khi số lượng kết nối tăng lên, hệ
thống không thể đáp ứng được nhu cầu.
Sinh viên: Lê Long Bảo – MM03A
Trang 11
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
Qua các thập niên 1950, 1970, 1980, 1990, Bộ Quốc Phòng Hoa Kỳ đã phát triển
các mạng diện rộng WAN có độ tin cậy cao, nhằm phục vụ các mục đích quân sự và khoa
học. Công nghệ này khác truyền tin điểm nối điểm. Nó cho phép nhiều máy tính kết nối
lại với nhau bằng các đường dẫn khác nhau. Bản thân mạng sẽ xác định dữ liệu di chuyển
từ máy tính này đến máy tính khác như thế nào. Thay vì chỉ có thể thông tin với một máy
tính tại một thời điểm, nó có thể thông tin với nhiều máy tính cùng lúc bằng cùng một kết
nối. Sau này, WAN của Bộ Quốc Phòng Hoa Kỳ đã trờ thành Internet.
1.1.2. Khái niệm mạng máy tính
Mạng máy tính là tập hợp các máy tính độc lập kết nối với nhau theo một chuẩn kỹ
thuật nhất định. Hai máy tính gọi là nối mạng với nhau nếu chúng có khả năng trao đổi
thông tin. Phương tiện kết nối có thể là cáp đồng, cáp quang, sóng viba, hồng ngoại hoặc
vệ tinh.
Mạng máy tính có nhiều kích cỡ, cấu trúc và hình thức tổ chức khác nhau tùy
thuộc vào từng ứng dụng cụ thể của mạng máy tính. Tuy nhiên, chúng có thể phân thành
hai loại chính là: mạng có cấu trúc ngang hàng và mạng có cấu trúc Client – Server (máy
trạm – máy chủ)
Hình 1.1. Mạng ngang hàng
Sinh viên: Lê Long Bảo – MM03A
Trang 12
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
Hình 1.2. Mạng Client – Server
Trên thực tế, không có một phương pháp phân loại thống nhất cho tất cả các loại
mạng máy tính, tuy nhiên khi xét đến một mạng máy tính người ta quan tâm đến hai đặc
điểm quan trọng: phương thức truyền dẫn và quy mô mạng.
Có hai phương thức truyền dẫn được sử dụng phổ biến đó là: truyền quảng bá và
truyền điểm-nối-điểm. Truyền quảng bá là phương thức sử dụng kênh thông tin đơn
chung cho tất cả các máy trạm trên mạng. Gói dữ liệu được gửi từ một máy trạm mong
muốn thì gói dữ liệu đó sẽ được xử lý, nếu không sẽ được bỏ qua. Một hệ thống mạng
truyền quảng bá hỗ trợ việc truyền dữ liệu đến một tập hợp các máy trạm, thì được gọi là
truyền đa điểm
Đối với phương thức truyền điểm-nối-điểm, mạng máy tính sử dụng phương thức
này bao gồm tập hợp nhiều kết nối giữa các máy trạm. Gói dữ liệu từ đầu phát dữ liệu đến
đầu thu dữ liệu có thể sẽ đi qua một hoặc nhiều máy trạm trung gian theo nhiều tuyến
truyền dẫn khác nhau với độ dài khác nhau.
Trường hợp mạng máy tính sử dụng phương thức truyền điểm-nối-điểm với một
đầu phát và một đầu thu được gọi là phương thức truyền unicasting
Phương thức phân loại thứ hai dựa vào quy mô mạng hay kích thước vật lý của
mạng. Theo quy mô từ nhỏ đến lớn ta có các loại mạng sau:
-
Mạng cá nhân (Personal Are Network-PAN)
-
Mạng LAN (Local Area Network)-mạng cục bộ: kết nối các nút trên một phạm vi
giới hạn. Phạm vi này có thể là một công ty, hay một tòa nhà.
Sinh viên: Lê Long Bảo – MM03A
Trang 13
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
-
Mạng WAN (Wide Area Network): nhiều mạng LAN kết nối với nhau tạo thành
mạng WAN.
-
MAN (Metropolitan Area Network), tương tự như WAN, nó cũng kết nối nhiều
mạng LAN. Tuy nhiên, một mạng MAN có phạm vi là một thành phố hay một đô thị
nhỏ. MAN sử dụng các mạng tốc độ cao để kết nối các mạng LAN của trường học, chính
phủ, công ty, ..., bằng cách sử dụng các liên kết nhanh tới từng điểm như cáp quang.
1.2.
MÔ HÌNH PHÂN TẦNG
1.2.1. OSI
Hình 1.3. Mô hình OSI
Mô hình OSI có 7 lớp và được thiết kế theo các nguyên tắc sau:
-
Một lớp được tạo ra tương ứng với một khái niệm trừu tượng
-
Một lớp thực hiện một chức năng hoàn chỉnh nào đó.
-
Chức năng của mỗi lớp phải được chọn theo xu hướng phù hợp với các giao
thứcđã được chuẩn hóa
-
Biên của các lớp phải được thiết kế sao cho tối thiểu hóa được lượng thông tin
truyền qua các giao diện
-
Số lượng các lớp không quá ít để đảm bảo thực hiện đủ các chức năng cần thiết và
không được quá nhiều để kiến trúc của nó không trở nên cồng kềnh
Sinh viên: Lê Long Bảo – MM03A
Trang 14
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
1.2.1.1. Lớp vật lý
Lớp vật lý bao gồm việc truyền tải các tín hiệu trong môi trường từ máy tính này
đến máy tính khác. Lớp này gồm có các chi tiết kỹ thuật về các đặc tính điện và cơ như:
mức điện áp, định thời tín hiệu, tốc độ dữ liệu, độ dài truyền tải lớn nhất và các kết nối vật
lý của thiết bị mạng. Để một thiết bị hoạt động chỉ trong lớp vật lý, nó sẽ không có bất kỳ
kiến thức nào về dữ liệu mà nó truyền tải. Một thiết bị lớp vật lý chỉ truyền tải hoặc nhận
dữ liệu một cách đơn giản.
1.2.1.2. Lớp liên kết dữ liệu
Cung cấp khả năng chuyển dữ liệu tin cậy xuyên qua một liên kết vật lý. Lớp này
liên quan đến:
-
Địa chỉ vật lý
-
Mô hình mạng
-
Cơ chế truy cập đường truyền
-
Thông báo lỗi
-
Thứ tự phân phối frame
-
Điều khiển dòng.
Tại lớp data link, các bít đến từ lớp vật lý được chuyển thành các frame dữ liệu
bằng cách dùng một số nghi thức tại lớp này. Lớp data link được chia thành hai lớp con:
-
Lớp con LLC (logical link control).
-
Lớp con MAC (media access control)
Lớp con LLC là phần trên so với các giao thức truy cập đường truyền khác, nó
cung cấp sự mềm dẻo về giao tiếp. Bởi vì lớp con LLC hoạt động độc lập với các giao
thức truy cập đường truyền, cho nên các giao thức lớp trên hơn (ví dụ như IP ở lớp mạng)
có thể hoạt động mà không phụ thuộc vào loại phương tiện LAN. Lớp con LLC có thể lệ
thuộc vào các lớp thấp hơn trong việc cung cấp truy cập đường truyền. Lớp con MAC
cung cấp tính thứ tự truy cập vào môi trường LAN. Khi nhiều trạm cùng truy cập chia sẻ
môi trường truyền, để định danh mỗi trạm, lớp cho MAC định nghĩa một trường địa chỉ
phần cứng, gọi là địa chỉ MAC address.
Sinh viên: Lê Long Bảo – MM03A
Trang 15
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
Địa chỉ MAC là một con số đơn nhất đối với mỗi giao tiếp LAN (card mạng). Lớp
vật lý (Physical Layer): định nghĩa các qui cách về điện, cơ, thủ tục và các đặc tả chức
năng để kích hoạt, duy trì và dừng một liên kết vật lý giữa các hệ thống đầu cuối.
Một số các đặc điểm trong lớp vật lý này bao gồm:
-
Mức điện thế.
-
Khoảng thời gian thay đổi điện thế.
-
Tốc độ dữ liệu vật lý.
-
Khoảng đường truyền tối đa.
-
Các đầu nối vật lý.
1.2.1.3. Lớp mạng
Lớp mạng chịu trách nhiệm lập địa chỉ các thông điệp, diễn dịch địa chỉ và tên
logic thành địa chỉ vật lý đồng thời nó cũng chịu trách nhiệm gởi packet từ mạng nguồn
đến mạng đích. Lớp này quyết định đường đi từ máy tính nguồn đến máy tính đích. Nó
quyết định dữ liệu sẽ truyền trên đường nào dựa vào tình trạng, ưu tiên dịch vụ và các yếu
tố khác. Nó cũng quản lý lưu lượng trên mạng chẳng hạn như chuyển đổi gói, định tuyến,
và kiểm soát sự tắc nghẽn dữ liệu.Dữ liệu ở lớp này gọi packet hoặc datagram.
1.2.1.4. Lớp vận chuyển
Lớp vận chuyển phân đoạn dữ liệu từ hệ thống máy truyền và tái thiết lập dữ liệu
vào một luồng dữ liệu tại hệ thống máy nhận đảm bảo rằng việc bàn giao các thông điệp
giữa các thiết bị đáng tin cậy. Dữ liệu tại lớp này gọi là segment.
Lớp này thiết lập, duy trì và kết thúc các mạch ảo đảm bảo cung cấp các dịch vụ
sau:
-
Xếp thứ tự các phân đoạn: khi một thông điệp lớn được tách thành nhiều phân
đoạn nhỏ để bàn giao, lớp vận chuyển sẽ sắp xếp thứ tự các phân đoạn trước khi ráp nối
các phân đoạn thành thông điệp ban đầu.
-
Kiểm soát lỗi: khi có phân đoạn bị thất bại, sai hoặc trùng lắp, lớp vận chuyển sẽ
yêu cầu truyền lại.
-
Kiểm soát luồng: lớp vận chuyển dùng các tín hiệu báo nhận để xác nhận. Bên gửi
sẽ không truyền đi phân đoạn dữ liệu kế tiếp nếu bên nhận chưa gởi tín hiệu xác nhận
rằng đã nhận được phân đoạn dữ liệu trước đó đầy đủ.
Sinh viên: Lê Long Bảo – MM03A
Trang 16
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
1.2.1.5. Lớp phiên
Lớp này có chức năng thiết lập, quản lý, và kết thúc các phiên thông tin giữa hai
thiết bị truyền nhận. Lớp phiên cung cấp các dịch vụ cho lớp trình bày. Lớp Session cung
cấp sự đồng bộ hóa giữa các tác vụ người dùng bằng cách đặt những điểm kiểm tra vào
luồng dữ liệu. Bằng cách này, nếu mạng không hoạt động thì chỉ có dữ liệu truyền sau
điểm kiểm tra cuối cùng mới phải truyền lại. Lớp này cũng thi hành kiểm soát hội thoại
giữa các quá trình giao tiếp, điều chỉnh bên nào truyền, khi nào, trong bao lâu. Ví dụ như:
RPC, NFS,... Lớp này kết nối theo ba cách: Haft duplex,Simplex, Full-duplex.
1.2.1.6. Lớp trình diễn
Lớp này chịu trách nhiệm thương lượng và xác lập dạng thức dữ liệu được trao đổi.
Nó đảm bảo thông tin mà lớp ứng dụng của một hệ thống đầu cuối gởi đi, lớp ứng dụng
của hệ thống khác có thể đọc được. Lớp trình bày thông dịch giữa nhiều dạng dữ liệu
khác nhau thông qua một dạng chung, đồng thời nó cũng nén và giải nén dữ liệu.
1.2.1.7. Lớp ứng dụng
Lớp ứng dụng tương tác trực tiếp với người sử dụng và nó cung cấp các dịch vụ
mạng cho các ứng dụng của ngời sử dụng nhưng không cung cấp dịch vụ cho các lớp
khác. Lớp này thiết lập khả năng liên lạc giữa những ngời sử dụng, đồng bộ và thiết lập
các quy trình xử lý lỗi và đảm bảo tính toàn vẹn của dữ liệu.
1.2.2. TCP/IP
Hình 1.4. Mô hình TCP/IP
Sự ra đời của họ giao thức TCP/IP gắn liền với sự ra đời của Internet mà tiền thân
là mạng ARPAnet (Advanced Research Projects Agency) do Bộ Quốc phòng Mỹ tạo ra.
Đây là bộ giao thức được dùng rộng rãi nhất vì tính mở của nó. Hai giao thức được dùng
Sinh viên: Lê Long Bảo – MM03A
Trang 17
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
chủ yếu ở đây là TCP (Transmission Control Protocol) và IP (Internet Protocol). Chúng
đã nhanh chóng được đón nhận và phát triển bởi nhiều nhà nghiên cứu và các hãng công
nghiệp máy tính với mục đích xây dựng và phát triển một mạng truyền thông mở rộng
khắp thế giới mà ngày nay chúng ta gọi là Internet.
TCP/IP có cấu trúc tương tự như mô hình OSI, tuy nhiên để đảm bảo tính tương
thích giữa các mạng và sự tin cậy của việc truyền thông tin trên mạng, bộ giao thức
TCP/IP được chia thành 2 phần riêng biệt: giao thức IP sử dụng cho việc kết nối mạng và
giao thức TCP để đảm bảo việc truyền dữ liệu một cách tin cậy.
1.2.2.1. Lớp ứng dụng
Tại mức cao nhất này, người sử dụng thực hiện các chương trình ứng dụng truy
xuất đến các dịch vụ hiện hữu trên TCP/IP Internet. Một ứng dụng tương tác với một
trong những protocol ở mức giao vận (transport) để gửi hoặc nhận dữ liệu. Mỗi chương
trình ứng dụng chọn một kiểu giao vận mà nó cần, có thể là một dãy tuần tự từng thông
điệp hoặc một chuỗi các byte liên tục. Chương trình ứng dụng sẽ gửi dữ liệu đi dưới dạng
nào đó mà nó yêu cầu đến lớp giao vận.
1.2.2.2. Lớp giao vận
Nhiệm vụ cơ bản của lớp giao vận là cung cấp phưng tiện liên lạc từ một chương
trình ứng dụng này đến một chưng trình ứng dụng khác. Việc thông tin liên lạc đó thường
được gọi là end-to-end. Mức chuyên trở có thể điều khiển luông thông tin. Nó cũng có thể
cung cấp sự giao vận có độ tin cậy, bảo đảm dữ liệu đến nơi mà không có lỗi và theo đúng
thứ tự. Để làm được điều đó, phần mềm protocol lớp giao vận cung cấp giao thức TCP,
trong quá trình trao đổi thông tin nơi nhận sẽ gửi ngược trở lại một xác nhận (ACK) và
nơi gửi sẽ truyền lại những gói dữ liệu bị mất. Tuy nhiên trong những môi trường truyền
dẫn tốt như cáp quang chẳng hạn thì việc xy ra lỗi là rất nhỏ. Lớp giao vận có cung cấp
một giao thức khác đó là UDP.
1.2.2.3. Lớp internet
Nhiệm vụ cơ bản của lớp này là xử lý việc liên lạc của các thiết bị trên mạng. Nó
nhận được một yêu cầu để gửi gói dữ liệu từ lớp cùng với một định danh của máy mà gói
dữ liệu phi được gửi đến. Nó đóng segment vào trong một packet, điền vào phần đầu của
packet, sau đó sử dụng các giao thức định tuyến để chuyển gói tin đến được đích của nó
Sinh viên: Lê Long Bảo – MM03A
Trang 18
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
hoặc trạm kế tiếp. Khi đó tại nơi nhận sẽ kiểm tra tính hợp lệ của chúng, và sử dụng tiếp
các giao thức định tuyến để xử lý gói tin. Đối với những packet được xác định thuộc cùng
mạng cục bộ, phần mềm Internet sẽ cắt bỏ phần đầu của packet, và chọn một trong các
giao thức lớp chuyên trở thích hợp để xử lý chúng. Cuối cùng, lớp Internet gửi và nhận
các thông điệp kiểm soát và sử lý lỗi ICMP.
1.2.2.4. Lớp giao tiếp mạng
Lớp thấp nhất của mô hình TCP/IP chính là lớp giao tiếp mạng, có trách nhiệm
nhận các IP datagram và truyền chúng trên một mạng nhất định. Người ta lại chia lớp giao
tiếp mạng thành 2 lớp con là:
-
Lớp vật lý: Lớp vật lý làm việc với các thiết bị vật lý, truyền tới dòng bit 0, 1 từ ni
gửi đến nơi nhận.
-
Lớp liên kết dữ liệu: Tại đây dữ liệu được tổ chức thành các khung (frame). Phần
đầu khung chứa địa chỉ và thông tin điều khiển, phần cuối khung dành cho viêc phát hiện
lỗi.
1.3.
KIẾN TRÚC MẠNG MÁY TÍNH
1.3.1. Nguyên tắc truyền thông
Để một mạng máy tính trở một môi trường truyền dữ liệu thì nó cần phải có những
yếu tố sau:
-
Các hệ thống được liên kết với nhau theo một cấu trúc kết nối (topology) nào đó
-
Việc chuyển dữ liệu từ máy tính này đến máy tính khác do mạng thực hiện thông
qua những quy định thống nhất gọi là giao thức của mạng.
-
Phân chia hoạt động truyền thông của hệ thống thành nhiều lớp theo các nguyên
tắc nhất định
-
Việc xét các module một cách độc lập với nhau cho phép giảm độ phức tạp cho
việc thiết kế và cài đặt. Phương pháp này được sử dụng rộng rãi trong việc xây dựng
mạng và các chương trình truyền thông và được gọi là phương pháp phân tầng (layer).
1.3.2. Nguyên tắc của phương pháp phân tầng
Mỗi hệ thống thành phần trong mạng được xây dựng như một cấu trúc nhiều tầng
và đều có cấu trúc giống nhau như: số lượng tầng và chức năng của mỗi tầng.
Sinh viên: Lê Long Bảo – MM03A
Trang 19
Ứng dụng OpenVPN trong bảo mật hệ thống mạng cho doanh nghiệp
Các tầng nằm chồng lên nhau, dữ liệu được chỉ trao đổi trực tiếp giữa hai tầng kề
nhau từ tầng trên xuống tầng dưới và ngược lại.
Cùng với việc xác định chức năng của mỗi tầng chúng ta phải xác định mối quan
hệ giữa hai tầng kề nhau. Dữ liệu được truyền đi từ tầng cao nhất của hệ thống truyền lần
lượt đến tầng thấp nhất sau đó truyền qua đường nối vật lý dưới dạng các bit tới tầng thấp
nhất của hệ thống nhận, sau đó dữ liệu được truyền ngược lên lần lượt đến tầng cao nhất
của hệ thống nhận.
Chỉ có hai tầng thấp nhất có liên kết vật lý với nhau còn các tầng trên cùng thứ tư
chỉ có các liên kết logic với nhau. Liên kết logic của một tầng được thực hiện thông qua
các tầng dưới và phải tuân theo những quy định chặt chẽ, các quy định đó được gọi giao
thức của tầng.
Hình 1.5. Mô hình truyền thông đơn giản 3 tầng
Trong kiến trúc phân tầng, một số mô hình được phát triển
o Mô hình tham chiếu kết nối các hệ thống mở OSI
o Mô hình Internet : TCP/IP
Xét trên phương diện lập trình với máy tính, ta xét mô hình phân tầng thu gọn:
Nói chung trong truyền thông có sự tham gia của các thành phần: các chương trình ứng
dụng, các chương trình truyền thông, các máy tính và các mạng. Các chương trình ứng
dụng là các chương trình của người sử dụng được thực hiện trên máy tính và có thể tham
gia vào quá trình trao đổi thông tin giữa hai máy tính. Trên một máy tính với hệ điều hành
đa nhiệm (như Windows, UNIX) thường được thực hiện đồng thời nhiều ứng dụng trong
đó có những ứng dụng liên quan đến mạng và các ứng dụng khác. Các máy tính được nối
Sinh viên: Lê Long Bảo – MM03A
Trang 20
- Xem thêm -