Báo cáo Thực tập tại trung tâm giao dịch công nghệ thông tin Hà Nội

trị-hành chính TP:Kiều Ngọc Thanh Phòng kỹ thuật-dịch vụ TP: Trương Vũ Trung Phòng kế hoạch -tài chính TP: Nguyễn Văn Ánh Tổ xúc tiến thương mại Tổ đầu tư quốc tế Tổ xúc tiến thương mại điện tử Tổ hành chính Tổ kỹ thuật đảm bảo Tổ tạp vụ Tổ bảo vệ Tổ kỹ thuật hệ thống Tổ phát hiện phần mềm ứng dụng Sơ đồ 1. Sơ đồ bộ máy tổ chức của Trung tâm Giao dịch công nghệ thông tin Hà Nội IV) Nguồn Tài chính: Trung tâm Giao dịch CNTT Hà Nội là đơn vị sự nghiệp có thu, trực thuộc Sở Bưu chính, Viễn thông Hà Nội, tài chính của Trung tâm gồm các nguồn sau: IV.1. Nguồn kinh phí hoạt động do Nhà nước cấp: Một phần Kinh phí hoạt động thường xuyên được Ngân sách Thành phố cấp thông qua số biên chế của Trung tâm được cấp có thẩm quyền phê duyệt. Kinh phí Ngân sách cấp chi thường xuyên còn thừa được để lại, chuyển sang năm sau theo quy định của Nhà nước đối với đơn vị Sự nghiệp có thu. Ngoài ra còn một số kinh phí khác do cơ quan cấp trên giao thực hiện các nhiệm vụ Kinh tế - Chính trị, cụ thể như: 1. Kinh phí các chương trình mục tiêu cấp quốc gia, cấp thành phố; 2. Nhiệm vụ đột xuất được cấp có thẩm quyền giao; 3. Kinh phí thực hiện các đề tài nghiên cứu khoa học cấp Nhà nước, cấp Bộ, ngành, cấp thành phố; 4. Kinh phí thực hiện tinh giản biên chế; 5. Vốn đầu tư xây dựng cơ bản; vốn đối ứng dự án và vốn viện trợ; 6. Kinh phí mua sắm và sửa chữa lớn tài sản cố định. 7. Kinh phí hỗ trợ hoạt động chương trình CNTT (nếu có). 8. Kinh phí thực hiện các dự án. 9. Theo đơn đặt hàng của Nhà nước. IV.2. Nguồn Thu sự nghiệp: Thu hoạt động các dịch vụ cung cấp cho các doanh nghiệp trên cơ sở bù đắp chi phí và có tích lũy một phần, gồm có các dịch vụ sau: 1. Dịch vụ xúc tiến giao dịch thương mại các sản phẩm Công nghệ thông tin 2. Dịch vụ xúc tiến thương mại điện tử 3. Các dịch vụ gia tăng trên Internet 4. Dịch vụ cho thuê Văn phòng 5. Dịch vụ đào tạo và chuyển giao công nghệ 6. Dịch vụ hội thảo, hội nghị 7.Thu khác V) Hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin Hà Nội Sơ đồ 2: Sơ đồ hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin Hà Nội Hệ thống mạng tại trung tâm được chia làm 2 hệ thống mạng con riêng biệt. Hệ thống mạng con thứ nhất được dùng cho chính các phòng ban tại trung tâm này. Hệ thống mạng con thứ hai được dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC. V.1) Hệ thống mạng dùng cho các phòng ban của trung tâm HITTC Sơ đồ 3: Sơ đồ của hệ thống mạng dùng cho các phòng ban của Trung tâm HITTC Mô tả chung: Hoạt động của hệ thống mạng này do ba máy chủ quản lý, bao gồm một máy chủ trung tâm, một Mail Server và một Web Server. Hệ thống này kết nối ra Internet thông qua một Modem ADSL của FPT. Như vậy, modem này sẽ dùng 4 cổng để giao tiếp. Các máy tính tại các phòng ban đóng vai trò là các Workstation được cấu hình địa chỉ IP động thông qua dịch vụ DHCP tại máy chủ trung tâm cung cấp. Các Workstation này kết nối với máy chủ trung tâm thông qua một Switch L2. Hệ điều hành được dùng trong hệ thống mạng tại đây là hệ điều hành Linux. Đây là hệ điều hành với các khả năng đa nhiệm, đa tác vụ, đa người dùng, là một hệ điều hành uyển chuyển ( có thể hoạt động trên nhiều loại phần cứng), đáng tin cậy và ổn định. Các thông số kỹ thuật của các máy chủ Máy chủ trung tâm Máy chủ Web Máy chủ File CPU Intel Dual Xeon 3GHz Intel P4 DualCore 3GHz Intel Xeon 3GHz Ram 2GB 1GB 1GB HDD 2 x 120GB 120GB 2 x 80 GB Băng thông Không giới hạn Không giới hạn Không giới hạn V.1.1. Máy chủ trung tâm Máy chủ trung tâm có 2 card mạng. Card mạng thứ nhất có địa chỉ IP là 192.168.10.254, subnetmash: 255.255.255.0, được gắn với một Switch L2, thông qua thiết bị Switch này, hệ thống mạng có thể tạo ra các đoạn mạng khác nhau, các đoạn mạng này là các máy Workstation đặt tại các phòng ban.Card mạng thứ hai có địa chỉ IP: 172.16.10.253, subnetmash: 255.255.255.0. Card mạng này kết nối ra ngoài Internet thông qua Modem ADSL của FPT và cũng thông qua modem này giao tiếp được với máy chủ Web và máy chủ File. Máy chủ trung tâm đóng vai trò cung cấp các ứng dụng và dịch vụ mạng tới các thiết bị đầu cuối nối mạng như các máy trạm (workstation), các đầu cuối nối mạng (terminal), các thiết bị ngoại vi... Các ứng dụng và các dịch vụ đó là : Squid, Ldap, Mysql, FTP, DHCP, và máy chủ này còn đóng vai trò như một gateway, là cầu nối 2 mạng khác nhau ( mạng eth0 và mạng eth1 như trong sơ đồ). Máy chủ này cũng là một proxy server. Nó ngăn chặn tất cả các yêu cầu tới máy chủ thật nếu nó không có khả năng trả lời đầy đủ các yêu cầu. *) Các dịch vụ cài đặt trên máy chủ trung tâm: Squid Squid là một proxy server, khả năng của squid là tiết kiệm băng thông(bandwidth), cải tiến việc bảo mật, tăng tốc độ truy cập web . Squid đưa ra kỹ thuật lưu trữ ở cấp độ cao của các web client, đồng thời hỗ trợ các dịch vụ thông thường như FTP, Gopher và HTTP. Squid lưu trữ thông tin mới nhất của các dịch vụ trên trong RAM, quản lý một cơ sở dữ liệu lớn của các thông tin trên đĩa, có một kỹ thuật điều khiển truy cập phức tạp, hỗ trợ giao thức SSL cho các kết nối bảo mật thông qua proxy. LDAP LDAP là một dịch vụ thư mục, nó là ngôn ngữ chung cho phép LDAP khách và chủ giao tiếp với nhau. Đây là một giao thức mạng cho phép truy nhập các thông tin trong một thư mục, xác định cấu trúc và đặc điểm của thông tin trong thư mục, là một không gian tên cho phép xác định cách các thông tin được tham chiếu và tổ chức và nó cũng là một mô hình các thao tác cho phép xác định cách tham chiếu và phân bố dữ liệu. MySQL MySQL là hệ quản trị cơ sở dữ liệu mã nguồn mở phổ biến nhất. MySQL được sử dụng cho việc bổ trợ PHP, Perl, và nhiều ngôn ngữ khác, nó làm nơi lưu trữ những thông tin trên các trang web viết bằng PHP hay Perl,...FPT FTP được dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP (chẳng hạn như Internet - mạng ngoại bộ - hoặc intranet - mạng nội bộ). Máy chủ FTP lắng nghe yêu cầu về dịch vụ của các máy tính khác trên mạng lưới. Máy khách chạy phần mềm FTP dành cho người sử dụng dịch vụ khởi đầu một liên kết với máy chủ. Khi hai máy đã liên kết với nhau, máy khách có thể xử lý một số thao tác về tập tin, như tải tập tin lên máy chủ, tải tập tin từ máy chủ xuống máy của mình, đổi tên của tập tin, hoặc xóa tập tin ở máy chủ v.v. DHCP Thông qua dịch vụ DHCP, máy chủ trung tâm cung cấp các máy trạm dải địa chỉ IP là 192.168.10.0 đến 192.168.10.99, subnetmash: 255.255.255.0. DHCP là một giao thức mở, được sử dụng để làm giảm sự phức tạp của việc quản trị các mạng dựa trên nền TCP/IP. Quản lý địa chỉ IP và các tùy chọn cho máy sẽ dễ dàng hơn rất nhiều khi thông tin cấu hình có thể quản lý từ một địa điểm đơn hơn là kết hợp thông tin từ nhiều địa điểm. DHCP cấu hình tự động cho một máy trạm khi nó khởi động trên một mạng TCP/IP cũng như có thể thay đổi các thiết lập trong khi các máy đang kết nối trên mạng. Tất cả các việc này được thực hiện bằng cách sử dụng các thiết lập và thông tin từ CSDL DHCP trên máy chủ trung tâm. V.1.2. Máy chủ Web Ở phần lõi của nó, một dịch vụ web phục vụ nội dung tĩnh cho một trình duyệt bằng cách tải một tập tin từ đĩa và chuyển nó lên mạng, tới một người sử dụng trình duyệt web. Sự trao đổi hoàn toàn này được thực hiện gián tiếp thuông qua một trình duyệt và một máy chủ kết nối tới một thiết bị khác sử dụng HTTP. Bất kỳ máy tính nào cũng có thể vào trong một dịch vụ web bằng cách cài đặt phần mềm dịch vụ và kết nối internet. Các ứng dụng và dịch vụ cài đặt trên máy chủ này là Apache và Tomcat. Apache được phát triển để làm việc như một web server thuần túy và có thể đảm đương cả công tác của một proxy server. Tomcat (Apache Tomcat) là một servlet / jsp container. Nó có khả năng phục vụ http requests, cung cấp các thư viện Java cần thiết cho web applications (vì nó đóng vai trò container). V.1.3. Máy chủ Mail Mail server có các chức năng chính: -Quản lý account - Nhận mail của người gửi (của những người có account) và gửi cho người nhận hoặc mail server của người nhận. - Nhận mail từ mail server của người gửi (từ bên ngoài) và phân phối mail cho người trong hệ thống.tùy thuộc vào việc cài đặt mà mail-server cho phép người dùng sử dụng web-mail (web) để nhận mail(giống yahoo), hay cho phép sử dụng outlook (application), hay cả 2 (giống như gmail). V.1.4. Switch L2 Switch L2 có khả năng kết nối được nhiều đoạn lại với nhau, mỗi đoạn mạng là từng máy workstation. Switch này “học” thông tin của mạng thông qua các gói tin (packet) mà nó nhận được từ các máy trong mạng. Trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch Đặc tính kỹ thuật: -Bao gồm 24 cổng 10/100 base-T và 2 cổng 10/100/1000 base-Tx -Tương thích với các tiêu chuẩn IEEE 802.3 10 base-T, 802.3u 100 base-Tx, 802.3ab 10/100/1000 base-Tx, 802.3z gigabit fible. -Bảng địa chỉ MAC 6K -Băng thông chuyển mạch 8.8Gbps -Giao diện quản lý web-based -Hỗ trợ QoS -Quản lý băng thông từng cổng. -Bộ nhớ đêm 3Mb Đặc tính phần mềm: + Quản lý bằng giao diện Web hoặc Inband Local Console + Hỗ trợ VLAN, cho phép tối đa 255 VLAN + Hỗ trợ thiết lập tính ưu tiên theo cổng: Bao gồm 3 mức thiết lập disable, low và high. Khi thiết lập cổng ở chế độ disable, các gói tin đến sẽ định hướng theo thiết lập QoS, ngược lại các gói tin sẽ định hướng theo thiết lập low/high + Hỗ trợ port mirror + Hỗ trợ điều khiển băng thông từng cổng V. 2) Hệ thống mạng dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC Sơ đồ 4: Sơ đồ hệ thống mạng dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC Các khối văn phòng của các công ty khác (ví dụ: Vietcard, Masui,...) trong tòa nhà HITTC có nhu cầu lắp đặt hệ thống mạng cho công ty của mình và kết nối ra ngoài Internet sẽ được đặt trong hệ thống mạng này. Switch layer 3 có tính năng như một router được tích hợp nhiều port LAN, nó có khả năng tìm đường đi trên mạng. đây là bộ bộ chuyển kênh trung tâm, thiết bị này có cấu hình mạnh sẽ nối với các switch ở từng tầng , nhờ thiết bị này các VLAN có thể kết nối với nhau. Mỗi VLAN là hệ thống mạng của từng công ty trong tòa nhà HITTC, các VLAN này được tạo ra bởi các Switch L2 ở các tầng. Hệ thống mạng này kết nối Internet thông qua một modem ADSL của VDC. Switch SMC8724ML3 có các tính năng mạnh gồm QoS/CoS, VLAN, và bảo mật. Hỗ tợ tới 8 hàng đợi phân mức ưu tiên 802.1p/ToS/DiffServ, sự phân lớp dựa trên MAC SA/DA, IP SA/DA, và/hoặc TCP/UDP. Các đặc tính bảo mật bao gồm: 802.1x (Port Authentication), port security, và Access Control Lists (ACL) dựa trên điạ chỉ MAC, địa chỉ IP, và/hoặc số hiệu cổng TCP/UDP. Switch này cũng hỗ trợ tốt các tính năng GARP/GVRP, 802.1q, và thiết lập VLAN hết sức linh hoạt dựa trên cổng VLAN tag và giao thức Phần 2: Triển khai mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội I) Giới thiệu đề tài Đặt vấn đề Thông tin là một phần tài sản vô cùng quan trọng đối với mọi tổ chức, công ty hay thậm chí là đối với mọi cá nhân con người. Đó là thông tin cá nhân về tổ chức, về các nhân viên của tổ chức; là số liệu thống kê tình hình tài chính, là những chiến lược hoạch định kinh doanh… Đối với mô hình hoạt động của một tổ chức như Trung tâm Giao dịch CNTT Hà Nội, bao gồm các hoạt động xúc tiến thương mại, xúc tiến đầu tư, thương mại điện tử và kỹ thuật dịch vụ, thì việc trao đổi thông tin trong nội bộ Trung tâm là thực sự cần thiết. Từ đó, có một bài toán được đặt ra là: phải đưa ra một phương thức để các nhân viên khi công tác xa vẫn có thể truy nhập vào mạng nội bộ của Trung tâm. Vì vậy cần phải khảo sát mô hình mạng thực tế và đưa ra một giải pháp cho nhu cầu đó. Lý do chọn đề tài Sau một thời gian thực tập và nghiên cứu hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin Hà Nội, em nhận thấy đây là một mô hình mạng khá hoàn chỉnh, qui mô với các thiết bị và cách lắp đặt các ứng dụng và dịch vụ trên hệ thống một cách khoa học và hợp lý. Tuy nhiên tại đây, việc triển khai OpenVpn cho hệ điều hành Linux mới chỉ là ở mức nghiên cứu lý thuyết, do đó, em chọn đề tài này với mong muốn đóng góp một ý tưởng để cho hệ thống mạng tại đây ngày một hoàn thiện hơn. Mục tiêu của đề tài và kết quả dự kiến Trong khuôn khổ của bài báo cáo chuyên đề, em xin được đưa ra nội dung của việc triển khai mạng riêng ảo tại Trung tâm giao dịch CNTT Hà Nội. Cần phải nêu rõ rằng, đề tài này chỉ đưa ra nội dung của việc triển khai chứ không đi sâu vào các cơ chế hoạt động và cơ chế bảo mật của mạng riêng ảo. Do đó, mục tiêu của đề tài là xây dựng một mô hình mạng riêng ảo nhằm đáp ứng cho việc khai thác dữ liệu, dịch vụ của Trung tâm, đảm bảo các công việc của Trung tâm ở bất cứ nơi đâu mà không phải làm việc ở văn phòng. Từ đó bài báo cáo sẽ cung cấp những hiểu biết về các chức năng, ưu điểm, phương thức hoạt động và các giao thức của mạng riêng ảo. Từ những mục tiêu phải đạt được ở trên, trong khuôn khổ của bài báo cáo chuyên đề cần đưa ra được những nội dung sau: - Giao thức áp dụng cho việc xây dựng mạng riêng ảo - Cách cài đặt và cấu hình mạng riêng ảo II) Nội dung triển khai VPN trên Linux tại Trung tâm Giao dịch CNTT Hà Nội II.1. Cơ sở lý thuyết I.1.1. Lợi ích của mạng riêng ảo: - VPN làm giảm chi phí thuờng xuyên: VPN cho phép tiết kiệm đến 60% chi phí thuê đường truyền và giảm đáng kể tiền cuớc gọi đến của các nhân viên ở xa nhờ vào việc họ truy nhập thông qua các điểm cung cấp dịch vụ POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến modem tập trung. Tổng giá thành của việc sở hữu một mạng VPN sẽ đuợc thu nhỏ. Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đuờng Leased-line truyền thống. Còn đối với việc truy cập từ xa thì giảm tới từ 60-80%. - Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho các máy chủ, cho bộ định tuyến mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy nhập bởi các thiết bị này do nhà cung cấp dịch vụ quản lý và làm chủ. - Giảm chi phí quản lý và hỗ trợ: Với việc tận dụng cơ sở hạ tầng Internet và các thiết bị mạng do ISP quản lý thì các công ty vẫn có thể sử dụng mạng riêng ảo mà không cần trang bị các thiết bị phức tạp và đạo tạo đội ngũ cán bộ để quản lý mà việc này do nhà cung cấp đảm nhiệm - VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet:. Các VPN đã kế thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng WAN truyền thống. Ðiều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả cao trong việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, của những nguời sử dụng di dộng…, và mở rộng các đối tác kinh doanh khi có nhu cầu . ” - VPN làm đơn giản hoá cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ: Các doanh nghiệp có thể cho phép sử dụng một vài hay tất cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập trung vào các đối tuợng kinh doanh chính, thay vì quản lý một mạng WAN hay mạng quay số từ xa. - VPN cung cấp các kiểu mạng đường hầm làm giảm thiểu các công việc quản lý: Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng với các giao thức kết nối nhu là Frame Relay và ATM. Ðiều này tạo ra một kiểu mạng luới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành. - VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệu truyền trong mạng VPN được mã hóa bằng các thuật toán phức tạp. Dữ liệu được truyền trên mạng thông qua các đường hầm điều này đảm bảo cho dữ liệu có độ tin cậy cao. Kể cả khi mất mát thông tin thì nguời tấn công (attacker) cũng không thể xem đuợc nội dung của nó. II.1.2. Chức năng của mạng riêng ảo VPN cung cấp ba chức năng chính:  - Sự tin cậy (Confidentiality): Nguời gửi có thể mã hoá các gói dữ liệu truớc khi truyền chúng qua mạng công cộng. Bằng cách làm như vậy, không một ai có thể truy cập thông tin mà không được cho phép. Và nếu có lấy được thì cũng không đọc được. - Tính toàn vẹn giữ liệu (Data Integrity): nguời nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào. - Xác thực nguồn gốc (Origin Authentication): Nguời nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin. II.1.3.Tính bảo mật của mạng riêng ảo Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ an toàn khi truyền dữ liệu:   Bức tường lửa - Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của bạn với Internet. Có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router. Mã hoá - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: - Mã hoá sử dụng khoá riêng (Symmetric-key encryption) - Mã hoá sử dụng khoá công khai (Public-key encryption) Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã gói tin. Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn mã hoá đựợc hầu hết mọi thứ. Giao thức bảo mật IPSec - Internet Protocol Security Protocol cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như: Từ router đến router Từ firewall đến router Từ PC đến router Từ PC đến server Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server (Authentication, Authorization, Accounting Server) được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via trò proxy. AAA sẽ kiểm tra xác thực, xác nhận và quản lý tài khoản.Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo. II.2 )Triển khai mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội II.2.1. OpenVPN – phương thức để xây dựng mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội. Hệ điều hành được dùng trong hệ thống mạng tại Trung tâm là hệ điều hành Linux Fedora 6. Đây là hệ điều hành với các khả năng đa nhiệm, đa tác vụ, đa người dùng, là một hệ điều hành uyển chuyển ( có thể hoạt động trên nhiều loại phần cứng), đáng tin cậy và ổn định. Trong các kỹ thuật VPN, kỹ thuật được áp dụng cho phần mềm mã nguồn mở là OpenVPN. Vì thế, OpenVPN là lựa chọn kỹ thuật thích hợp để xây dựng mạng riêng ảo tại Trung tâm. Khái niệm về OpenVPN OpenVPN là một phần mềm mạng riêng ảo mã nguồn mở dành cho việc tạo các đường ống (tunnel) điểm-tới-điểm được mã hóa giữa các máy chủ. Phần mềm này do James Yonan viết và được phổ biến dưới giấy phép GNU GPL. OpenVPN cho phép các máy đồng đẳng xác thực lẫn nhau bằng một khóa bí mật được chia sẻ từ trước, chứng chỉ mã công khai (public key certificate), hoặc tên người dùng/mật khẩu. Phần mềm này được cung cấp kèm theo các hệ điều hành Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, và Windows 2000/XP. Nó có nhiều tính năng bảo mật và kiểm soát. Nó không phải một mạng riêng ảo web, và không tương thích với IPsec hay các gói VPN khác. Toàn bộ phần mềm gồm có một file nhị phân cho cả các kết nối client và server, một file cấu hình không bắt buộc, và một hoặc nhiều file khóa tùy theo phương thức xác thực được sử dụng OpenVPN sử dụng thiết bị tun/tap (hầu như có sẵn trên các bản Linux) và openssl để xác nhận (authenticate), mã hóa (khi gởi) và giải mã (khi nhận) đường truyền giữa hai bên thành chung một network. Có nghĩa là khi người dùng nối vào máy chủ OpenVPN từ xa, họ có thể sử dụng các dịch vụ như chia sẻ tập tin sử dụng Samba/NFS/FTP/SCP, đọc thư (bằng cách khai báo địa chỉ nội bộ trên máy họ, ví dụ, 192.168.1.1), duyệt intranet, sử dụng các phần mềm khác..v..v..như là họ đang ngồi trong văn phòng. Tính thuận lợi của OpenVPN Trong khi các giải pháp VPN khác thường sử dụng các cơ chế không chuẩn hoặc thuộc quyền sở hữu riêng thì OpenVPN có cả hai khái niệm mạng và bảo mật. OpenVPN sử dụng cơ chế SSL/TLS bảo mật và ổn định cho việc xác thực và mã hóa, mà không phức tạp. Đồng thời, nó cung cấp những khả năng có thể tiến xa hơn phạm vi của tất cả những sự thực thi VPN khác. - Layer 2 và Layer 3 VPN: OpenVPN cung cấp 2 chế độ cơ bản chạy ở Layer 2 hoặc Layer 3 VPN. Vì thế, đường hầm OpenVPN cũng có thể truyền tải Ethernet Frames, các gói IPX và các gói Windowns Network Browsing (NETBIOS), tất cả đều là những bài toán khó của các giải pháp VPN khác. - Bảo vệ người công tác ở xa với firewall nội bộ: một người đi công tác ở xa kết nối tới trụ sở chính của công ty với một đường hầm VPN có thể thay đổi cài đặt mạng trên laptop của họ, để tất cả những lưu lượng mạng được gửi thông qua đường hầm. khi OpenVPN thiết lập một đường hầm, firewall trung tâm trong trụ sở chính của công ty có thể bảo vệ laptop, thậm chí nó không cần phải thông qua một máy local nào. Chỉ có một cổng mạng phải được mở tới mạng cục bộ(ví dụ: khách hàng) bởi người đi công tác xa đó. Những nhân viên được bảo vệ bởi firewall trung tâm bất cứ khi nào họ kết nối tới VPN. - Các kết nối OpenVPN có thể đi qua đường hầm thông qua hầu hết các firewall: Nếu truy cập Internet và nếu có thể truy cập websites HTTPS, các đường hầm VPN sẽ hoạt động. - Hỗ trợ Proxy và cấu hình: OpenVPN có hỗ trợ proxy và có thể hoặc là dịch vụ UDP, và như một server hoặc là một client. Là một server, nó được cấu hình để chạy như một TCP OpenVPN dễ dàng, chờ cho đến khi có một client yêu cầu một kết nối, nhưng ngược lại nếu như là một client, nó sẽ cố gắng thiết lập một kết nối theo cấu hình của nó. - Chỉ có một cổng duy nhất trong firewall phải được mở để cho phép kết nối đi đến: OpenVPN 2.0, một chế độ server đặc biệt cho phép nhiều kết nối đi đến trên một cổng TCP hay UDP, trong khi vẫn sử dụng những cấu hình khác nhau cho những kết nối riêng lẻ. - Các giao diện ảo cho phép các mạng cụ thể và những qui tắc firewall: Tất cả những qui tắc, những hạn chế, những cơ chế chuyển tiếp, và những khái niệm như NAT có thể được sử dụng với các đường hầm OpenVPN. - Tính mềm dẻo cao với khả năng kịch bản lớn: OpenVPN cung cấp đông đảo những điểm trong suốt quá trình cài đặt để start những kịch bản cá nhân. Những kịch bản đó có thể được sử dụng cho những mục đích lớn từ việc xác thực đến những hơn thế nữa. - Hiệu năng lớn, trong suốt hỗ trợ cho IPs động: Bằng cách sử dụng OpenVPN, không có bất cứ sự cần thiết nào để sử dụng IPs tĩnh trên các side khác của đường hầm. Cả hai điểm cuối đường hầm có thể có truy cập DSL giá thấp với IPs động và những người dùng có thể sẽ ít khi chú ý đến một thay đổi của IP. Cả Windows Terminal server sessions và Secure Shell (SSH) sessions dường như sẽ bị treo một vài giây, nhưng sẽ không kết thúc và sẽ tiếp tục với những hoạt động được yêu cầu sau một thời gian ngắn tạm dừng. - Không có các vấn đề với NAT: Cả OpenVPN server và client có thể không ở trong một mạng chỉ sử dụng các địa chỉ IP private. Mỗi firewall có thể được sử dụng để gửi lưu lượng đường hầm. - Thiết kế Modular: Thiết kế Modular mức độ cao mà đơn giản trong bảo mật và mạng là điều đáng chú ý. Không có một giải pháp VPN nào khác có thể cung cấp những khả năng như level này của bảo mật. II.2.2. Các yêu cầu khi cài đặt: Các yêu cầu khi cài OpenVPN trên Linux: Hệ thống phải cung cấp hỗ trợ cho trình điều khiển TUN/TAP: Nhân mới hơn version 2.4 của hầu hết các loại Linux hiện đại cung cấp hỗ trợ cho các thiết bị TUN/TAP. Thư viện OpenSSL phải được cài đặt trên hệ thống. Thư viện nén Lempel-Ziv-Oberhumer (LZO) phải được cài đặt: Hầu hết các hệ thống Linux/UNIX cung cấp các gói này. LZO là một thư viện nén real-time sử dụng bởi OpenVPN để nén dữ liệu trước khi gửi đi. Hầu hết các tool cài đặt hệ thống Linux/UNIX đều có thể giải