TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI HỌC VIỆN CÔNG NGHỆ BKACAD ĐỒ ÁN MÔN PJ Đề tài Thiết kế và triển khai mô hình VPN cho doanh nghiệp Sinh viên thực hiện ĐỖ QUANG ANH Lớp QUẢN TRỊ MẠNG 01 K11 Giảng viên hướng dẫn ĐÀO VIẾT PHƯƠNG Hà Nội,652022 MỤC LỤC I Tổng quan về VPN 2 1 Khái niệm về VPN 2 2 Chức năng của VPN 3 3 Ưu điểm và nhược điểm VPN 4 II Các kiểu truy cập VPN 5 1 Các VPN truy cập (Remote Access VPNs) 5 2 Các VPN nội bộ (Intranet VPNs) 7 3 Các VPN mở rộng (Extranet VPNs) 9 III.
Tổng quan về VPN
Khái niệm về VPN
VPN, hay mạng riêng ảo, là công nghệ tạo ra kết nối mạng an toàn khi sử dụng mạng công cộng như Internet Các tổ chức lớn, trường học và cơ quan chính phủ thường áp dụng VPN để cho phép người dùng từ xa truy cập an toàn vào mạng nội bộ của họ.
Hệ thống VPN kết nối nhiều địa điểm khác nhau dựa trên khu vực và diện tích địa lý, tương tự như Wide Area Network (WAN) Ngoài ra, VPN còn được sử dụng để mở rộng mô hình Intranet, giúp truyền tải thông tin và dữ liệu hiệu quả hơn Chẳng hạn, các trường học sử dụng VPN để kết nối giữa các khuôn viên hoặc giữa các chi nhánh và trụ sở chính.
Để kết nối vào hệ thống VPN, mỗi tài khoản cần được xác thực bằng Username và Password Thông tin xác thực này sẽ được sử dụng để cấp quyền truy cập thông qua một mã số cá nhân (Personal Identification Number - PIN), thường có hiệu lực trong khoảng thời gian ngắn, từ 30 giây đến 1 phút.
Khi kết nối máy tính hoặc thiết bị như điện thoại, máy tính bảng với VPN, thiết bị sẽ hoạt động như thể nó đang ở trong cùng một mạng nội bộ với VPN Tất cả lưu lượng truy cập được gửi qua kết nối an toàn đến VPN, cho phép bạn truy cập an toàn vào các tài nguyên mạng nội bộ ngay cả khi ở xa.
Sử dụng Internet thông qua VPN mang lại nhiều lợi ích, đặc biệt khi bạn kết nối với WiFi công cộng hoặc truy cập các trang web bị chặn và giới hạn địa lý.
Khi sử dụng VPN để duyệt web, máy tính của bạn sẽ kết nối với trang web thông qua một kết nối được mã hóa, đảm bảo mọi thông tin và dữ liệu trao đổi đều an toàn Nếu bạn sử dụng VPN tại Hoa Kỳ để truy cập Netflix, dịch vụ này sẽ nhận thấy kết nối của bạn đến từ Hoa Kỳ.
Chức năng của VPN
- Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rất nhiều thứ:
VPN là công cụ quan trọng cho những người kinh doanh, cho phép họ truy cập vào mạng doanh nghiệp từ xa, bao gồm tất cả tài nguyên trên mạng cục bộ khi đang di chuyển hoặc du lịch Việc sử dụng VPN giúp bảo vệ các nguồn lực trong mạng nội bộ khỏi tiếp xúc trực tiếp với Internet, từ đó nâng cao tính bảo mật cho thông tin doanh nghiệp.
Thiết lập VPN riêng giúp bạn truy cập mạng gia đình từ xa, ngay cả khi không có mặt tại nhà Điều này cho phép bạn truy cập vào Windows từ xa qua Internet, sử dụng các tập tin chia sẻ trong mạng nội bộ và chơi game trực tuyến như thể bạn đang ở trong cùng một mạng LAN.
Khi sử dụng WiFi công cộng và truy cập các trang web không bảo mật (không phải https), dữ liệu của bạn có nguy cơ bị lộ Để bảo vệ hoạt động duyệt web và đảm bảo an toàn cho thông tin cá nhân, bạn nên sử dụng VPN Việc này sẽ giúp mã hóa mọi thông tin truyền qua mạng, tăng cường bảo mật cho dữ liệu của bạn.
Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa,
Tải BitTorrent qua VPN không chỉ giúp tăng tốc độ tải file mà còn giúp vượt qua các rào cản về traffic mà nhà cung cấp dịch vụ internet (ISP) có thể gây ra.
3 Ưu điểm và nhược điểm của VPN
- Ưu điểm của VPN: Tạo một đường kết nối không giới hạn khoảng cách mà vẫn bảo đảm về băng thông và tính bảo mật.
Sử dụng VPN giúp tiết kiệm chi phí kết nối và cải thiện băng thông Đối với cá nhân, một kết nối VPN đến server ở nước khác cho phép người dùng như thể đang ở vị trí đó mà không phải chịu chi phí cao của kết nối vật lý Đối với các tổ chức, VPN loại bỏ nhu cầu tìm kiếm các kết nối dây tốn kém, từ đó giảm thiểu chi phí kết nối qua khoảng cách lớn, chỉ cần một kết nối đơn giản tới ISP như thông thường.
+ Tính bảo mật: bởi các giao thức mã hóa và xác thực giúp bảo vệ dữ liệu khỏi truy cập không được xác thực.
Khả năng mở rộng của Internet cho phép các tổ chức kết nối với người dùng mới một cách dễ dàng mà không cần đầu tư vào hạ tầng cơ sở phức tạp.
Tính tương thích của giải pháp cho phép triển khai qua nhiều tùy chọn kết nối WAN, bao gồm cả công nghệ băng thông rộng, giúp nhân viên và tổ chức làm việc từ xa có được đường kết nối tốc độ cao Điều này đảm bảo tính bảo mật khi truy cập vào mạng của tổ chức.
Sử dụng VPN có thể làm giảm tốc độ truy cập internet của bạn, tùy thuộc vào nhiều yếu tố khác nhau Mặc dù sự chậm lại này có thể không đáng kể hoặc thậm chí không xảy ra nếu bạn sở hữu CPU và băng thông mạnh, nhưng vẫn cần lưu ý rằng tốc độ truy cập có thể bị ảnh hưởng khi sử dụng VPN.
Sử dụng VPN không đúng cách có thể đe dọa quyền riêng tư của bạn Mặc dù VPN có khả năng bảo vệ dữ liệu trực tuyến hiệu quả, nhưng các dịch vụ VPN miễn phí mà trường học sử dụng thường không cung cấp mã hóa an toàn, thậm chí có thể làm tăng nguy cơ tiếp xúc với phần mềm độc hại, gây ra nhiều rủi ro cho người dùng.
Ưu điểm và nhược điểm VPN
VPN chất lượng thường yêu cầu chi phí, trong khi VPN miễn phí thường không đáng tin cậy Do đó, bạn nên lựa chọn nhà cung cấp VPN trả phí Hiện nay, nhiều nhà cung cấp VPN cung cấp ứng dụng với mức giá hợp lý thông qua các gói khuyến mãi và giảm giá hấp dẫn.
Không phải tất cả các thiết bị đều hỗ trợ VPN, mặc dù VPN có thể hoạt động trên nhiều nền tảng và hệ điều hành Một số thiết bị không phổ biến có thể gặp hạn chế, do đó bạn cần thiết lập kết nối VPN một cách thủ công Bên cạnh đó, những nền tảng riêng cũng không được hỗ trợ.
Các kiểu truy cập VPN
Các VPN mở rộng (Extranet VPNs)
Trên môi trường Internet, bạn có quyền lựa chọn nhà phân phối phù hợp và đưa ra phương pháp giải quyết linh hoạt theo nhu cầu của tổ chức.
Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.
- Một số bất lợi của Extranet :
Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp.
Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.
Các giao thức VPN phổ biến
PPTP
PPTP (Point-to-Point Tunneling Protocol) là một giao thức VPN được phát triển bởi nhóm thành viên được hỗ trợ bởi Microsoft Corporation Kể từ khi ra mắt, PPTP đã trở thành một chuẩn phổ biến cho các mạng riêng ảo, hoạt động dựa trên kết nối quay số (dial-up) Đây là giao thức VPN đầu tiên được Windows hỗ trợ, sử dụng các chuẩn xác thực như MS_CHAP v2, hiện đang được áp dụng rộng rãi.
PTTP có ưu điểm nổi bật là khả năng thiết lập nhanh chóng và tiêu tốn ít tài nguyên hệ thống, điều này đã khiến nhiều doanh nghiệp lựa chọn VPN này như một giải pháp hiệu quả.
Mặc dù PPTP sử dụng chuẩn mã hóa 128-bit, nhưng vẫn tồn tại một số lỗ hổng, trong đó lỗi nghiêm trọng nhất là khả năng giải mã MS-CHAP v2 Authentication Điều này khiến PPTP có thể bị bẻ khóa trong vòng 2 giờ Mặc dù Microsoft đã khắc phục lỗ hổng này, họ cũng khuyến nghị người dùng nên chuyển sang các giao thức an toàn hơn như SSTP hoặc L2TP.
Do bảo mật kém, việc giải mã gói dữ liệu PPTP trở thành công việc thường nhật tại NSA Nguy hiểm hơn, khả năng giải mã hàng loạt dữ liệu cũ được mã hóa bằng PPTP đang trở thành mối lo ngại, mặc dù nhiều chuyên gia vẫn khuyên dùng giao thức này.
Phần mềm máy trạm trên nhiều hệ điều hành.
Thiết lập cấu hình dễ.
Đã bị bẻ khóa bởi NSA.
Không hoàn toàn bảo mật.
L2TP/IP SEC
L2TP (Layer 2 Tunnel Protocol) khác với các giao thức VPN khác ở chỗ nó không tự mã hóa dữ liệu mà phải nhờ vào IPsec để thực hiện việc này Tất cả các thiết bị và hệ điều hành hiện nay đều hỗ trợ L2TP/IPsec Việc thiết lập L2TP cũng đơn giản như PPTP, nhưng giao thức này sử dụng cổng UDP port 500, dễ bị chặn bởi tường lửa NAT Do đó, bạn cần thực hiện việc chuyển tiếp cổng để đảm bảo kết nối.
Mặc dù mã hóa IPsec không có lỗ hổng lớn, Edward Snowden đã gợi ý rằng NSA có khả năng bẻ khóa nó, trong khi John Gilmore, thành viên sáng lập của Electric Frontier Foundation, cho rằng NSA đang cố tình làm yếu giao thức này Hơn nữa, việc LT29/IPsec đóng gói dữ liệu tới hai lần khiến nó kém hiệu quả hơn so với SSL, dẫn đến tốc độ chậm hơn so với các giao thức VPN khác.
Được đánh giá là bảo mật.
Cài đặt sẵn trên tất cả OS và thiết bị gần đây.
Chậm hơn so với OpenVPN.
Có thể bị mở khóa bởi NSA.
Có thể có vấn đề nếu được sử dụng với các tường lừa.
Khả năng NSA đã cố tình làm suy yếu giao thức.
SSTP
SSTP (Secure Socket Tunneling Protocol) được giới thiệu bởi Microsoft trong Windows Vista Service Pack 1 và hiện đã có mặt trên SEIL, Linux và RouterOS, nhưng chủ yếu vẫn được tối ưu cho Windows Với việc sử dụng SSL v3, SSTP mang lại tính năng tương tự như OpenVPN, đặc biệt là khả năng giảm thiểu vấn đề với NAT firewall Đây là một giao thức VPN ổn định và dễ sử dụng, đặc biệt trên hệ điều hành Windows.
Tuy nhiên, được sở hữu bởi Microsoft và gã khổng lồ này có lịch sử "bắt tay" với NSA nên độ bảo mật vẫn chưa cao.
Khả năng vượt hầu hết firewalls.
Mức độ bảo mật phụ thuộc vào thuật toán mã hóa nhưng nhìn chung là bảo mật cao.
Tích hợp hoàn toàn trong Window.
Do được sở hữu bởi Microsoft Corporation nên không thể sử dụng như phương án dự phòng.
Chỉ hỗ trợ hệ điều hành Windows.
IKEv2
IKEv2, viết tắt của Internet Key Exchange Version 2, là một giao thức dựa trên công nghệ đường hầm IPsec, được phát triển bởi Cisco và Microsoft Giao thức này hiện có mặt trên các hệ điều hành từ Windows 7 trở đi, cũng như trên Linux và nhiều nền tảng khác, bao gồm cả Blackberry.
Giao thức VPN Connect, được gọi bởi Microsoft Corporation, có chức năng tự động khôi phục kết nối VPN khi bị ngắt tạm thời.
IKEv2, còn được biết đến trên di động với tên gọi Mobility and Multi-homing protocol, là một chuẩn mực giúp chuyển đổi mạng một cách dễ dàng Giao thức này đặc biệt hữu ích cho các thiết bị Blackberry, vì nó là một trong số ít giao thức hỗ trợ nền tảng này Mặc dù IKEv2 hỗ trợ ít hệ điều hành hơn so với IPsec, nhưng nó vẫn nổi bật với tính ổn định, bảo mật và hiệu suất cao.
Cực kỳ bảo mật-Hỗ trợ nhiều mật mã như 3DES, AES, AES 256.
Hỗ trợ thiết bị Blackberry.
Ổn định đặc biệt khi gặp phải trình trạng rớt mạng hoặc chuyển mạng.
Thiết lập dễ dàng ít nhất là cho người dùng cuối.
Nhanh hơn so với L2TP, PPTP and SSTP.
Không hỗ trợ nhiều hệ điều hành
Cổng UDP 500 dễ bị chặn nếu so với các giải pháp SSL như SSTP hay OpenVPN.
Không phải là giải pháp mã nguồn mở
Ở tại máy chủ việc thiết lập IKEv2 khá rắc rối có thể kéo theo một số vấn đề tiềm ẩn.
OPEN VPN
OpenVPN là một giải pháp VPN mã nguồn mở hiện đại, sử dụng giao thức SSLv3/TLSv1 và thư viện OpenSSL, kết hợp với nhiều công nghệ khác Với khả năng tùy chỉnh cao, OpenVPN hoạt động hiệu quả nhất trên cổng UDP, nhưng cũng có thể được cấu hình để chạy trên các cổng khác.
Giao thức OpenVPN nổi bật với việc sử dụng thư viện OpenSSL, hỗ trợ nhiều thuật toán mã hóa như 3DES, AES, Camellia, và Blowfish Trong số đó, thuật toán Blowfish với chuẩn mã hóa 128-bit được các nhà cung cấp VPN ưa chuộng, mặc dù nó vẫn có một số điểm yếu nhất định.
AES là thuật toán mã hóa mới nhất và được coi là tiêu chuẩn "vàng" vì không có điểm yếu nào, được chính phủ và các cơ quan Mỹ sử dụng để bảo vệ dữ liệu mật Với khả năng hỗ trợ gói 128-bit, AES xử lý file dung lượng lớn tốt hơn Blowfish, vốn chỉ hỗ trợ 64-bit Cả hai thuật toán đều được công nhận bởi NIST và được biết là an toàn, nhưng vẫn tồn tại một số vấn đề ít được công khai mà chúng tôi sẽ đề cập dưới đây.
Tốc độ của OpenVPN thường nhanh hơn IPsec và phụ thuộc vào thuật toán mã hóa mà nó sử dụng Mặc dù OpenVPN là lựa chọn mặc định trong nhiều dịch vụ VPN, nhưng nó không được hỗ trợ trên bất kỳ hệ điều hành nào Tuy nhiên, có một số phần mềm thứ ba hỗ trợ OpenVPN cho cả Android và iOS.
Khi so sánh OpenVPN với L2TP/IPsec và PPTP, việc thiết lập không hề đơn giản do sự đa dạng của các phần mềm OpenVPN hiện có Ngoài việc tải xuống và cài đặt, quá trình cấu hình cũng đóng vai trò quan trọng.
Theo thông tin từ Edward Snowden, OpenVPN dường như vẫn an toàn trước sự giải mã của NSA nhờ vào việc sử dụng các khóa tạm thời được hoán đổi Mặc dù không thể dự đoán chính xác khả năng tấn công của NSA, nhưng các dữ liệu và chứng cứ hiện có cho thấy rằng OpenVPN, khi kết hợp với mã hóa mạnh, là giao thức VPN duy nhất đảm bảo an toàn hoàn toàn.
Khả năng vượt hầu hết các firewalls.
Do là phần mềm mã nguồn mở nên có thể được dùng để phòng hờ.
Tương thích với nhiều thuật toán mã hóa.
Cần thêm phần mềm thứ 3.
Phiên bản desktop thì đáng khen nhưng trên di động cần cải thiện thêm.
Xây dựng và triển khai mô hình mạng VPN
Triển khai mạng VPN cho doanh nghiệp
Hệ thống mạng của công ty GDP bao gồm hai chi nhánh với mạng LAN, trong đó chi nhánh chính đặt tại Hà Nội (HN) và chi nhánh phụ tại Hồ Chí Minh (HCM).
- Trong viễn cảnh ta sẽ dùng tối thiểu 05 máy với mỗi máy là một vai trò khác nhau, cụ thể như bảng dưới:
T TÊN MÁY TÍNH OS VAI TRÒ
1 CLIENT HN Windows 10 Máy trạm Hà Nội
2 ROUTE HN Windows Server 2019 - Máy chủ VPN
3 INTERNET Windows Server 2019 Router internet
4 ROUTE HCM Windows Server 2019 - Máy chủ VPN
5 CLIENT HCM Windows 10 Máy khách Hồ Chí Minh
Lưu ý rằng mô hình viễn cảnh này chỉ là một đề xuất ban đầu, do đó cần tối thiểu 05 máy, trong khi quy mô thực tế sẽ lớn hơn rất nhiều.
- Thiết lập địa chỉ IP cho từng máy cụ thể như sau:
STT TÊN MÁY TÍNH SỬ DỤNG IP
1 CLIENT HN - 1 cổng trong nội bộ - 172.16.4.3
2 ROUTE HN - 1 cổng trong nội bộ
3 INTERNET - 1 cổng nối với GN
4 ROUTE HCM - 1 cổng nối với internet
5 CLIENT HCM - 1 cổng trong nội bộ - 172.16.56.3
+ Chỉ thiết lập tại CLIENT BMT:
Vào Control Paint -> Window Defender Firewall -> Advanced
Setting/ Tìm File and Printer Sharing (Echo Request) và bật (Enable Rule):
+ Tắt Firewall trên VPN HN, VPN HCM và INTERNET:
+ Tiến hành routing trên INTERNET:
Cài Role Remote Access trên Server Manager:
Tích vào DirectAccess and VPN (RAS):
Install và đợi cài đặt hoàn tất:
Sau đó click vào Open the getting Started Wizard -> Deploy VPN only:
Chuột phải vào Tên Server rồi tiến hành cầu hình “Configure and Enable Routing and Remote Access:
- Nhận thấy 2 VPN đã liên kết được với nhau:
- Tuy nhiên CLIENT HN và CLIENT HCM chưa liên kiết được vì chưa cấu hình VPN
+ Cấu hình máy VPN GN:
Cài đặt Remote Access service giống với các bước ở máy Internet
Server Manager -> Tool -> Routing and Remote Access :
Chuột phải vào tên Server (Local) / Configure and Enable Routing and Remote Access Server Setup Wizard:
Chọn Remote access (dial-up or VPN) / Next:
Chọn card nối trực tiếp với INTERNET / chọn ô Enable security on the selected interface by setting up stactic packet filters / Next:
From a specified range of addresses / Next:
New… / Điền 2 địa chỉ như hình / OK:
No, use Routing and Remote Access to authenticate connection requests / Next -> Finish / OK:
+ Cấu hình giao diện quay số yêu cầu:
Chuột phải Network Interfaces / New Demand-dial Interface…
Tại ô Interface name: VPN_HCM (Tên tài khoản để chi nhánh ngoài kết nối đến) / Next
Tại ô Interface name: VPN_HCM (Tên tài khoản để chi nhánh ngoài kết nối đến) / Next / Connect using virtual private networking (VPN) / Next
Point to Point Tunneling Protocol (PPTP) / Next:
Ô host name or IP address (such as microsoft.com or 157.54.0.1): điền 10.2.0.2 (IP của VPN_HCM đây là IP mà tại chi nhánh HCM đi ra INTERNET) / Next
Chọn Route IP packets on this interface và Add a user account so a remote can dial in / Next
Add / Nhập IP Destination và Network Mask mạng con tại HCM / OK / Next
Nhập mật khẩu cho tài khoản VPN_HCM / Next:
Tạo tài khoản VPN_HN và mật khẩu / Next / Finish:
+ Cấu hình máy VPN HCM:
Cấu hình VPN HCM tương tự như VPN Hà Nội; chỉ cần thay đổi địa chỉ IP của VPN HCM và nhập mật khẩu cho tài khoản VPN_HN, đảm bảo rằng tài khoản này trùng khớp với tài khoản đã tạo trên VPN Hà Nội.
+ Cài đặt trên VPN HCM:
Chuột phải Connections to Microsoft Routing and Remote Access Server / Properties
Chọn Grant remote access permission / OK:
Kiểm tra trên máyVPN HCM -> Network Interfaces / VPN_HN / Chuột phải chọn Properties:
Networking / Chọn tất cả / OK
Chuột phải VPN_HN / Connect:
Network Interfaces / VPN_HCM / Chuột phải chọn Properties:
Networking / Chọn tất cả / OK
Chuột phải VPN_HCM / Connect
Ping địa chỉ 172.16.4.3 (IP máy CLIENT HN) đã thông mạng:
Tại máy CLIENT HN / Chuột phải My Computer / Manage/ Chọn Local Users and Groups / Users / Chuột phải Guest / Set Password…
Chuột phải Folder / Properties / Sharing / Share/ Chọn User share/ Apply / OK
Tạo file Test connect VPN trong Folder Share VPN đã tạo và Share trước đó
Tại máy CLIENT BMT / Start / Run / nhập IP máy CLIENT GN “172.16.4.3”
Dữ liệu lấy được tại máy CLIENT HN:
Sau khi cấu hình VPN cho hai Router tại Hà Nội và Hồ Chí Minh, chúng ta đã hoàn tất việc thiết lập VPN, cho phép kết nối mạng thành công Nhờ đó, chi nhánh Hồ Chí Minh có thể dễ dàng kết nối với chi nhánh chính tại Hà Nội.
