ĐỒ ÁN TỐT NGHIỆP Triển khai OpenVPN trên CentOS cho doanh nghiệp
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.28 MB, 41 trang )
BỘ CÔNG THƯƠNG
TRƯỜNG CAO ĐẲNG KỸ THUẬT CAO THẮNG
KHOA CNTT
ĐỒ ÁN TỐT
NGHIỆP
Đề tài:
Triển khai OpenVPN trên
CentOS cho doanh nghiệp
Giáo viên hướng dẫn: Tô Vũ Song Phương
Sinh viên thực hiện :
1.
Lý Dương Thanh Qn 0306181063
2.
Nguyễn Qui Phong
0306181058
Lớp: CDTH18MMT
Khóa: 2018-2021
TP.HỒ CHÍ MINH, ngày
tháng 07 năm 2021
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
TP.HCM, Ngày ……..Tháng…….Năm 2021
Giáo viên hướng dẫn
tieuluanmoi123docz.net
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
TP.HCM, Ngày ……..Tháng…….Năm 2021
Giáo viên phản biện
tieuluanmoi123docz.net
NHẬN XÉT CỦA HỘI ĐỒNG BẢO VỆ LUẬN VĂN TỐT NGHIỆP
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
TP.HCM, Ngày ……..Tháng…….Năm 2021
Thư kí hội đồng
Chủ tịch hội đồng
tieuluanmoi123docz.net
MỤC LỤC
Contents
Chương 1: Giới thiệu đề tài
11
1.1
Lý do chọn đề tài
11
1.2
Giới thiệu đề tài
11
1.3
Cấu trúc đồ án
12
Chương 2: Giới thiệu OpenVPN
13
2.1
Tổng quan công nghệ VPN và các kết nối trong VPN
13
2.2
Các giao thức VPN
18
2.3
Giới thiệu OpenVPN
21
Chương 3: Triển khai hệ thống
23
3.1
Mơ hình lab
23
3.2
Các bước triển khai
23
3.3
Triển khai hệ thống
24
Chương 4: Kết Luận
tieuluanmoi123docz.net
39
VPN : Virtual Private Network (mạng riêng ảo)
OpenVPN : mã nguồn mở VPN
Danh mục các hình vẽ
Hình 2.1: Minh họa mơ hình kết nối VPN
14
Hình 2.2: Minh họa cho remote access VPN
15
Mơ hình lab
23
Hình 3.1: Sever đã đươc chuẩn bị
25
Hình 3.2: Đăng nhập vào server
Hình 3.3: Tải OpenVPN
25
26
Hình 3.4: cài đặt OpenVPN
26
Hình 3.5: Đăng nhập vào hệ thống server OpenVPN
27
Hình 3.6: Đăng nhập thành cơng server OpenVPN
Hình 3.7: Tạo tài khoản dành cho client
27
28
Hình 3.8: Update lại server
28
Hình 3.9: Server update thành cơng
Hình 3.10: Đăng nhập bằng tài khoản client
Hình 3.11: Tải OpenVPN dành cho client
Hình 3.12: Cài đặt OpenVPN dành cho client
Hình 3.13: Tải user-locked profies
Hình 3.14: Chọn user-locked profies
Hình 3.15: Đăng nhập vào server OpenVPN
Hình 3.16: Đã kết nối thành công vào server OpenVPN
29
29
30
30,31
32
32
33
34
Lời cảm ơn
Trong suốt quá trình học tập và tốt nghiệp em luôn được sự quan tâm, hướng
dẫn và giúp đỡ tận tình của các thầy, cơ giáo trong Khoa Công Nghệ Thông Tin với sự
động viên giúp đỡ của các bạn bè đồng nghiệp.
Lời đầu em xin bày tỏ lòng biết ơn sâu sắc đến Ban giám hiệu Trường Cao
Đẳng Kỹ Thuật Cao Thắng, Ban chủ nhiệm khoa Công Nghệ Thơng Tin đã tận tình
giúp đỡ em trong suốt thời gian học tập tại trường.
Đặc biệt em xin bày tỏ lòng biết ơn chân thành sâu sắc tới giảng viên Tô Vũ
Song Phương đã trực tiếp giúp đỡ, hướng dẫn em hoàn thành đồ án này.
Em cũng xin bày tỏ lịng biết ơn sâu sắc đến gia đình, người thân, bạn bè,
đồng nghiệp đã giúp đỡ động viên em hoàn thiện đồ án tốt nghiệp này
Em xin trân trọng cảm ơn!
Hồ Chí Minh, tháng 07 năm 2021
Lời nói đầu
Ngày nay, cơng nghệ viễn thơng đang phát triển rất nhanh. Trong đó cơng nghệ
mạng đóng vai trị hết sức quan trọng trong việc thông tin dữ liệu. Chỉ xét về góc độ
kinh doanh, nhu cầu truyền thơng của các công ty, tổ chức là rất lớn. Một cơng ty có
một mạng riêng cho phép chia sẻ tài nguyên giữa các máy tính nội bộ. Nhưng cũng
muốn chi nhánh, văn phòng, nhân viên di động hay các đối tác từ xa có thể truy cập
vào mạng cơng ty. Có nhiều dịch vụ được cung cấp như Modem quay số, ISDN server
hay các đường truyền WAN thuê riêng đắt tiền. Nhưng với sự phát triển rộng rãi của
mạng Internet, một số cơng ty có thể kết nối với nhân viên, đối tác từ xa ở bất cứ đâu,
thậm chí trên tồn thế giới mà khơng cần sử dụng các dịch vụ đắt tiền trên. Nhưng có
một vấn đề là mạng nội bộ công ty chứa tài nguyên, dữ liệu quan trọng mà chỉ cho
phép người dùng có quyền hạn, được cấp phép mới được truy cập vào mạng. Trong
khi Internet là mạng cơng cộng và khơng bảo mật.
Do đó, Internet có thể là mối nguy hiểm cho hệ thống mạng, cơ sở dữ liệu quan
trọng của công ty. Sự thơng tin qua mơi trường Internet có thể bị làm sai lệch hoặc bị
đánh cắp. Và đây chính là chỗ để mạng riêng ảo (VPN – Virtual Private Network)
chứng tỏ khả năng. VPN cung cấp giải pháp thông tin dữ liệu riêng tư an tồn thơng
qua mơi trường mạng Internet cơng cộng với chi phí thấp, hiệu quả mà vẫn rất bảo
mật.
Trong thời gian học tập ở trường với sự định hướng của các thầy cô trong khoa,
em đã chọn đề tài “ Triển khai OpenVPN trên CentOS cho doanh nghiệp ” để làm đồ
án cũng như học hỏi thêm kiến thức để sau này áp dụng vào thực tế cho công việc của
chúng em. Do thời gian và kiến thức còn hạn chế, nên quyển đồ án này còn nhìu thiếu
sót. Kính mong sự hướng dẫn, góp ý thêm của thầy cô và bạn bè.
Chương 1: Giới thiệu đề tài
1.1 Lý do chọn đề tài
Hiện nay, doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến.
Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đến tận người
dùng. Do đó, để kiểm sốt, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh
nghiệp đã triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ
truy cập, truy xuất thông tin từ xa.
Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa ln địi hỏi cao về vấn đề an tồn,
bảo mật. Để giải quyết vấn đề này, nhiều doanh nghiệp đã chọn giải pháp mạng riêng
ảo VPN (Virtual Private Network) với nhiều cấp độ bảo mật, trang thiết bị dễ tìm
mua.
1.2 Giới thiệu đề tài
Những lý do chính để triển khai một VPN là tiết kiệm chi phí. Một tập đồn với
tất cả các văn phòng trên thế giới thường xuyên cần phải tương tác để tiến hành việc
kinh doanh hàng ngày. Đối với những kết nối, họ có thể sử dụng thuê đường dây riêng
nối giữa các văn phòng. (các phương án triển khai X.25, ATM, Frame Relay, leased
line). Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các
thiết bị. Chi phí cho vận hành, duy trì, quản lý rất lớn. Do đó doanh nghiệp phải gánh
chịu. Trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu.
Và không chắc chắn về vấn đề an ninh của kênh riêng này.
Các tổ chức, doanh nghiệp sử dụng dịch vụ IP VPN sẽ tiết kiệm được rất nhiều
chi phí trong việc muốn kết nối các chi nhánh văn phòng với nhau. Truy cập từ xa vào
mạng nội bộ, gọi điện thoại VoIP, với độ bảo mật cao. Hiện nay công nghệ 4G đã trở
nên phổ biến, chi phí thấp. Nên việc thực hiện IP VPN trở nên rất đơn giản, hiệu quả
vì tận dụng được đường truyền Internet tốc độ cao. Tính tương thích của IP VPN cao
vì sự phổ biến của nó. Bạn có thể kết hợp nhiều thiết bị của những sản phẩm thương
hiệu khác nhau.
Trong xã hội hiện đại ngày nay, với sự phát triển vượt bậc của công nghệ. Internet
đã trở thành nhu cầu không thể thiếu trong tất cả chúng ta. Khi mà thông tin, dữ liệu
cá nhân, tài liệu công ty… trở thành một loại hàng hóa siêu lợi nhuận . Việc bảo mật
dữ liệu, đảm bảo sự riêng tư là cực kỳ quan trọng
Dưới đây là 8 tác dụng của VPN dành cho ai chưa biết.
1. Thay đổi địa chỉ Ip thiết bị mạng để truy cập các dịch vụ và website bị chặn
trên thế giới.Ví dụ. Chơi game, xem phim, xem tin tức thời sự, xem các
trương trình truyền hình bản quyền, nghiên cứu các vấn đề nhạy cảm…
2. Tránh bị theo dõi trên internet, chặn quảng cáo độc hại.
3. Bảo mật thơng tin tài khoản cá nhân, tài khoản thanh tốn online. Tự động mã
hóa dữ liệu khi duyệt web.
4. Sử dụng wifi cơng cộng an tồn. Cải thiện tốc độ lướt web quốc tế (Đặc
biệt trong khi đứt cáp quang)
5. Làm việc từ xa trong môi trường đa quốc gia
6. Tải những tệp tin kích thước lớn trên mạng theo kiểu P2P/ Torrent
7. Chống dò rỉ DNS, ngắt kết nối những chuyển mạch mạng nguy hiểm…..
8. Mua dịch vụ trực tuyến giá rẻ hơn ( Thay đổi IP sang nước đang được
khuyến mại để mua)
1.3 Cấu trúc đồ án
Chương 1 nội dung chính trình bày tất tần tật về đề tài như tại sao các doanh
nghiệp cần OpenVPN để bảo mật thơng tin cũng như có thể truy xuất vào mạng nội
bộ công ty một cách dễ dàng, không chỉ laptop cá nhân mà cả chiếc điện thoại thông
minh cũng có thể làm được
Chương 2 nội dung chính trình bày bao quát về tổng quan về công nghệ và các
dạng kết nối của VPN, trình bày và so sánh giữa các giao thức VPN và quan trọng
nhất là giới thiệu về OpenVPN là gì, trình bày các ưu và nhược của OpenVPN
Chương 2: Giới thiệu OpenVPN
2.1 Tổng quan công nghệ VPN và các kết nối trong VPN
VPN là một mơ hình mạng mới tận dụng lại những cơ sơ hạ tầng hiện có của
Internet. Với mơ hình mạng mới này, người ta không phải đầu tư thêm nhiều về cơ sở
hạ tầng mà các tính năng như bảo mật, độ tin cậy đảm bảo, đồng thời có thể quản lý
riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại
nhà, trên đường đi hay văn phịng chi nhánh có kết nối an tồn đến máy chủ. Trong
nhiều trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặt tính
quyết định của VPN là chúng có thể dùng mạng cơng cộng như Internet mà đảm bảo
tính riêng tư và tiết kiệm hơn nhiều.
Hình 2.1: Minh họa mơ hình kết nối VPN
VPN gồm 2 dạng kết nối là: Remote Access VPN và Site-to-Site VPN
Remote Access VPN
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile và
các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của
tổ chức.
Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để
truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concertrator
(bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server.
Trong giải pháp này, các người dùng thường sử dụng các công nghệ WAN truyền
thống để tạo lại các tunnel về mạng HO (Home Office) của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thơng qua kết nối không dây.
Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless
(wireless terminal) và sau đó về mạng của cơng ty. Trong cả hai trường hợp, phần
mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là
tunnel.
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai
đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của cơng ty. Chính sách
bao gồm: qui trình (procedure), kỹ thuật, server, Terminal Access Controller,…
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi
nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP
hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
Hình 2.2: Minh họa cho remote access VPN
Site-to-Site VPN
Là mơ hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một
hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc
vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi
đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site.
Lan-to-Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN (xem
xét về mặt chính sách quản lý). Nếu chúng ta xem xét dướI góc độ chứng thực nó có
thể được xem như là một intranet VPN, ngược lại chúng được xem như là một
extranet VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển
bởi cả hai (intranet và extranet VPN) theo các site tương ứng của chúng.
Intranet VPNs: được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức
đến Backbone Router sử dụng campus router. Theo như mơ hình bên dưới sẽ rất tốn
chi phí do phải sử dụng 2 router để thiết lập mạng, thêm vào đó, việc triển khai, bảo
trì, quản lý mạng Intranet Backbone sẽ rất tốn kém cịn tùy thuộc vào lưu lượng lưu
thơng.
Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các
kết nối Internet với chi phí thấp. Với mơ hình như vậy hiệu quả chi phí hơn, do giảm
số lượng router được sử dụng theo mơ hình WAN backbone. Giảm thiểu đáng kể số
lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site
khác nhau. Kết nối nhanh hơn, tốt hơn.
Extranet VPNs: Không giống như Intranet và Remote Access-based, Extranet
khơng hồn tồn cách li từ bên ngoài, Extranet cho phép truy cập những tài nguyên
mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp,
đối tác những người giữ vai trị quan trọng trong tổ chức.
Hình 2.4: Extranet VPNs
Clinet-to-Site VPN
Hình 2.5: Thiết lập một kết nối Client to Server
Máy VPN cần kết nối (VPN Client) tạo kết nối VPN tới máy chủ cung cấp dịch vụ VPN
(VPN Server) thông qua kết nối Internet.
Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới
Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối và cấp phép cho kết nối
Bắt đầu trao đổi dữ liệu giữa máy cần kết nối VPN và mạng công ty
Đặc điểm
Mơ hình áp dụng
VPN Client – to – Site
VPN Site – to - Site
+Nhân viên làm việc lưu động +Kết nối các hệ thống mạng
hay làm việc ở nhà muốn kết các nơi khác nhau như các
nối vào mạng cơng ty.
doanh nghiệp có các chi
+ Mơ hình này đơn giản hơn
nhánh ở xa nhau.
+ Mơ hình này phức tạp hơn.
Yêu cầu phần cứng
Ít
Nhiều
Kết nối mạng
Sử dụng đường truyền Internet Sử dụng đường truyền Internet
Bảo mật
Tốt
Tốt
Các dạng kết nối
Người dùng hoặc nhân viên từ
Chia làm 2 dạng:
xa kết nối đến doanh nghiệp
+Intranet base: các chi nhánh
của cùng một công ty ở xa kết
nối với nhau.
+Extranet base: công ty này
kết nối tới cơng ty khác (ví dụ
như đồng nghiệp hay nhà hỗ
trợ…)
Chi phí
Ít tốn kém hơn, chỉ cần dùng
đường truyền internet có sẵn,
và phần mềm kết nối
Tốn kém lúc đầu triển khai.
Bảng so sánh VPN Client to Site và VPN Site to Site CÁC GIAO THỨC VPN
2.2
Các giao thức
VPN PPTP
Được phát triển bởi nhóm thành viên được ủng hộ bởi Microsoft Corporation,
Point-to-Point Tunneling (PPTP) tạo hệ thống riêng ảo dựa trên kết nói quay số (dialup) cịn gọi là VPN. Và kể từ khi nó xuất hiện PPTP được sử dụng rộng rãi như là
một chuẩn protocol VPNs. cũng là VPN protocol đầu tiê được hỗ trợ bởi Windows,
PPTP hoạt động dựa vào các chuẩn xác thực như MS_CHAP v2 là chuẩn phổ biến
nhất hiện
nay.
Ưu điểm của PTTP là khả năng thiết lập dễ dàng và không tốn nhiều tài nguyên hệ
thống. Và đây là lý do mà nhiều doanh nghiệp lựa chọn VPN này như là giải pháp.
Mặc dù sử dụng chuẩn mã hóa 128-bit, nhưng PPTP chỉ có vài lỗ hỏng nhỏ trong đó
đáng lưu ý là khả năng giải mã MS-CHAP v2 Authentication là lỗi nghiêm trọng nhất.
Vì vậy, PPTP có thể bị bẻ khóa trong vòng 2 đây. Mặc dù lổ hổng đã được khăc phục
bởi Microsoft nhưng người khổng lồ công nghệ này cũng khuyến nghị người dùng sử
dụng các giao thức thay thế như SSTP hoặc L2TP.
Do khả năng bảo mật chưa cao nên không quá bất ngờ khi giải mã các gói dữ
liệu PPTP là cơng việc hằng ngày tai NSA. tuy vậy, rủi ro đáng ngại hơn còn nằm ở
chỗ là khả năng có thể giải mã hàng loạt các dữ liệu cũ hơn được mã hóa bởi PPTP
khi nhiều chuyên gia khuyến nghị đây là giao thức bảo mật.
L2TP và L2TP/IPsec
Layer 2 Tunnel Protocol không giống các VPN protocol khác khi nó khơng mã
hóa các dữ liệu đi qua nó mà phải nhờ vào một bộ protocol có tên là IPsec để mã hóa
dữ liệu trước khi gửi. Tất cả thiết bị tương thích và hệ điều hành đều được cài đặt sẵn
chuẩn L2TP/IPsec. Quá trình thiết lập cũng dễ như PPTP nhưng giao thức này lại sử
dụng cổng UDP port 500, nên dễ dàng bị tường lửa NAT firewall chặn lại. Dó đó, bạn
sẽ cần chuyên tiếp cổng trong trường hợp này.
Khơng có những lổ hỏng lớn đi kèm với mã hóa IPsec encryption. Tuy vậy,
Edward Snowden ám chỉ khả năng NSA cũng đã bẻ khóa được trong khi John
Gilmore thành viên sáng lập và chuyên gia an ninh của Electric Frontier Foundation
cho rằng NSA đang chủ đích làm yếu đi giao thức này. Ngoài ra, do LT29/IPsec đóng
gói tới 2 lần dữ liệu nên được đánh gia là không hiệu quả bằng SSL và kéo theo tốc
độ chậm hơn so với các VPN protocols khác.
SSTP
Được trình làng bởi Microsoft Corporation trong phiên bản Windows Vista
Service Package 1, SSTP (secure socket tunneling) giờ còn xuất hiện trên SEIL,
Linux và RouterOS nhưng chủ yếu vẫn dành cho phiên bản Windows. Sử dụng SSL
v3 nên tính năng khá tương tự với OpenVPN như khả năng giảm thiệu trình trạng
NAT firewall. SSTP là một VPN protocol khá ổn định và dễ dùng đặc biệt là ở hệ
điều hành Windows.
Tuy nhiên, được sở hữu bởi Microsoft và gã khổng lồ này có lịch sử “bắt tay” với
NSA nên độ bảo mật vẫn chưa cao.
IKEv2
IKEv2 là viết tắc của cụm từ tiếng anh-Internet Key Exchange Version 2 một giao
thức dựa theo công nghệ đường hầm IPsec, được phát triển bởi Cisco và Microsoft.
Giao thức này hiện xuất hiện trên Windows 7 trở đi cũng như Linux và các nền tảng
khác bao gồm cả Blackberry.
Giao thức này cịn có tên khác là VPN Connect theo cách gọi của Microsoft
Corporation. Nó có tác dụng tạo lại kết nối VPN một cách tự động khi kết nối bị ngắt
tạm thời. enefit the most from Trên di động, IKEv2 có cái tên khác là Mobility and
Multi-homing protocol là một chuẩn hóa giúp thay đổi mạng một cách dễ dàng.
Ngồi ra, nó cũng khá hữu dụng với thiết bị Blackberry vì nó là số ít giao thức hỗ trợ
cho nền tảng này. Mặc dù hỗ trợ ít hệ điều hành hơn nếu so với IPsec nhưng IKEv2
lại khơng thua kém về tính ổn định, bảo mật và hiệu suất.
Ưu điểm
PPTP
L2TP/Ipsec
✔ Nhanh
✔ Phần mền máy trạm
trên nhiều hệ điều hành
✔ Thiết lập cấu hình dễ
✔ Được đánh giá là bảo mật
✔ Cài đặt sẵn trên tất cả OS và
thiết bị gần đây
✔ Thiết lập sẵn sàng
Nhược điểm
🗶 Đã bị bẻ khóa bởi NSA
🗶 Hồn tồn khơng bảo mật
🗶 Chậm hơn so với OpenVPN
🗶 Có thể bị mở khóa bởi NSA
🗶 Có thể có vấn đề nếu được sử
dụng được với các tường lửa
🗶 Khả năng NSA đã cố tình làm
suy yếu giao thức
SSTP
IKEv2
✔ Khả năng vượt hầu
hết firewall
✔ Mức bảo mật phụ thuộc
vào thuật tốn mã hóa
nhưng nhìn chung là bảo
mật cao
✔ Tích hợp hồn tồn trong
Window
✔ Hỗ trợ bởi Mircosoft
✔ Cực kỳ bảo mật hỗ trợ nhiều
mật mã như 3DES, AES,
AES 256
✔ Hỗ trợ thiết bị blackberry
✔ Ổn định đặc biệt khi gặp
phải tình trạng rớt mạng
hoặc chuyển mạng
✔ Thiết lập dễ dàng ít nhất là
cho người dùng cuối
✔ Nhanh hơn so với L2TP,
PPTP và SSTP
🗶 Do được sở hữu bởi Microsoft
nên không thể sử dụng các
phương pháp dự phịng
🗶 Chỉ hỗ trợ hệ điều hành
Window
🗶
Khơng hỗ trợ nhiều hệ điều
hành
🗶 Cổng UDP500 dễ bị chặn nếu
nếu so với các giải pháp SSL
như SSTP hay OpenVPN
🗶 Không phải là giải pháp mã
nguồn mở
🗶 Ở tại máy chủ việc thiết lập
IKEv2 khá rắc rối có thể
kéo theo mốt số vấn đề tiểm
ẩn
Bảng so sánh giữa các giao thức
2.3 Giới thiệu OpenVPN
OpenVPN là một dạng VPN mã nguồn mở khá mới hiện nay sử dụng giao thức
SSLv3/TLSv1 và OpenSSL library kết hợp với các cơng nghệ khác. Protocol này có
độ tùy chỉnh cao và chạy tốt nhất trên cổng UDP port nhưng vẫn có thể cấu hình để
chạy trên các cổng khác.
Một ưu điểm nổi bật của giao thức này là nó sử dụng OpenSSL library hỗ trợ
nhiều thuật tốn mã hóa như 3DES, AES, Camellia, Blowfish, CAST-128 và nhiều
nữa trong đó Blowfish, ES là sử dụng rộng rãi bởi các nhà cung cấp VPN. OpenVPN
sử dụng chuẩn mã hóa 128-bit Blowfish được đánh giá là bảo mật nhưng vẫn có một
số điểm yếu
Khi nói về các thuật tốn mã hóa, AES là mới nhất và được xem là tiêu chuẩn
“vàng” do được biết đến như là khơng có điểm yếu nào. Do đó, giao thức này được
chính p hủ và các cơ quan chính phủ Mỹ sử dụng để bảo vệ các dữ liệu mật. Nó cũng
có thể xử lý file dung lượng lớn tốt hơn Blowfish nhờ vào khả năng hỗ trợ gói 128-bit
so với 64-bit của Blowfish. Tuy vậy, cả hai đều là các thuật tốn mã hóa được cơng
nhận NIST và được biết là khơng có nhiều lổ hỏng. Tuy nhiên, vẫn có một số vấn đề
mà khơng được công khai nhiều mà chúng tôi sẽ đề cập dưới đây.
Đầu tiên, tốc độ của OpenVPN phụ thuộc vào thuật tốn mã hóa mà nó sử dụng
nhưng thơng thường nhanh hơn IPsec. Mặc dù OpenVPN được mặc định trong nhiều
dịch vụ VPN nhưng lại không được hỗ trợ ở bất kỳ hệ điều hành nào. Một số phần
mềm thứ 3 hỗ trợ cho cả Android và iOS.
Về thiết lập, thật không dễ để so sánh OpenVPN với L2TP/IPsec và
PPTP, khi mà có khá nhiều dạng phần mềm OpenVPN đang được sử dụng hiện
nay. Ngoài việc tải xuống, cài đặt mà thao tác cấu hình cũng cần thiết.
Tuy vậy, nếu nhận xét ở bức tranh tổng thể và với thông tin từ Edward Snowden
cung cấp có vẻ như OpenVPN vẫn chưa bị giải mã hay làm yếu được bởi NSA. Khả
năng miễn nhiễm trước các cuộc tấn công của NSA chủ yếu là nhờ vào các khóa tạm
thời được hốn đổi. Tuy vậy, không ai lường được khả năng của NSA đến đâu nhưng
với số liệu và chứng cứ cho thấy OpenVPN khi kết hợp với mật mã mạnh là VPN
protocol duy nhất bảo mật hoàn toàn.
Ưu điểm
✔ Khả năng vượt hầu hết các firewalls
✔ Tùy chỉnh cao
✔ Do là phần mền mã nguồn mở nên có thể được dùng phịng hờ
✔ Tương thích cao với nhiều thuật tốn mã hóa
✔ Bảo mật cao
Nhược điểm
🗶 Thiết lập khó hơn
🗶 Cần thêm phần mền thứ 3
🗶 Phiển bản desktop ưu nhìn nhưng bản di động cần cải thiện thêm
Chương 3: Triển khai hệ thống
3.1 Mơ hình lab
27.3.224.242
103.153.73.30
171.248.130.72
171.248.130.72
⮚ Máy PC dùng để console cài đặt OpenVPN lên máy chủ hệ điều hành
Centos7(IP: 103.153.73.30), sử dụng internet để mở server cái tunnel để
client đăng nhập
⮚ Client sẽ được cung cấp 1 tài khoản là 1 file opvn để đăng nhập và mật khẩu
để đăng nhập truy cập thông qua phần mền OpenVPN để đăng nhập vào
mạng của server
⮚ Client có thể tải phần mền OpenVPN ở đa hệ hành và đăng nhập mọi lúc
mọi nơi
3.2 Các bước triển khai
Bước 1: Chuẩn bị server mang hệ điều hành Centos 7
Bước 2: -Viết lệnh tải và cài đặt OpenVPN trên server. Các dòng lệnh cài đặt
là:
yum -y install />yum -y install openvpn-as
-Sau khi viết lệnh xong ta được cấp 1 địa chỉ IP dùng dễ truy cập giao
diện web của OpenVPN, địa chỉ đó sẽ trùng với địa chỉ IP public của server.
https:// 103.153.73.30 => dùng cho client
https:// 103.153.73.30/admin=> dùng cho admin để thiết lập server OpenVPN
Bước 3:Thiết lập cấu hình và tạo tài khoản user bằng giao diện web của
OpenVPN. Khi đó mặc định của bảo mật tài khoản là local là dùng tài khoản và
