Trong suốt quá trình làm chuyên đề, em luôn cố gắng hoàn thành những mục tiêu mà mình đã đặt ra trước đó. Sau gần bốn tháng thực hiện đề tài, em nhận thấy đã gần như hoàn tất được những mục tiêu đã đề ra mặc dù còn có một số hạn chế nhất định do hạn hẹp về thời gian cũng như về điều kiện kỹ thuật.
- Những vấn đề đã được giải quyết
• Tiếp thu được nhiều hiểu biết về Trung tâm Giao dịch CNTT Hà Nội với các chức năng, bộ máy tổ chức, các hoạt động
• Cài đặt và cấu hình OpenVPN tại Trung tâm Giao dịch CNTT Hà Nội
- Hướng phát triển trong tương lai
• Tìm hiểu các cơ chế bảo mật trên OpenVPN
• Đồng bộ dữ liệu LDAP thông qua OpenVPN
• Quản lý người dùng VPN, tránh những xâm hại bảo mật
- Những khó khăn gặp phải khi thực hiện đề tài
• Thời gian hạn hẹp
• Điều kiện kỹ thuật
49 trang |
Chia sẻ: oanh_nt | Lượt xem: 1344 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Báo cáo Thực tập tại Trung tâm Giao dịch CNTT Hà Nội, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
LỜI NÓI ĐẦU
Trung tâm giao dịch CNTT Hà Nội (HITTC) được biết đến là đơn vị sự nghiệp khoa học và công nghệ trực thuộc Sở Bưu chính viễn thông Hà Nội. Trung tâm là một trong những đơn vị đi đầu trong việc hỗ trợ phát triển các doanh nghiệp kinh doanh trong lĩnh vực CNTT. Là cầu nối quan trọng giữa Chính quyền thành phố với các doanh nghiệp CNTT, giữa thị trường CNTT trong nước với quốc tế. Thông qua hoạt động của mình Trung tâm tham mưu cho Thành phố trong việc xây dựng cơ chế, chính sách và giải pháp phù hợp nhằm thúc đẩy sự phát triển toàn diện ngành CNTT Việt Nam.
Với môi trường làm việc cụ thể tại Trung tâm Giao dịch CNTT Hà Nội, được sự giúp đỡ tận tình của Lãnh đạo Trung tâm và các phòng, ban chuyên môn nghiệp vụ, qua tìm hiểu thực tế về những vấn đề lý thuyết đã được học tại trường. Dưới đây là bản Báo cáo Thực tập Tổng hợp của em về những vấn đề cơ bản của Trung tâm. Trong quá trình viết báo cáo không tránh khỏi những thiếu sót, hạn chế em kính mong Lãnh đạo Trung tâm, các phòng, ban chuyên môn nghiệp vụ và cô giáo hết sức giúp đỡ tạo điều kiện cho em hoàn thành thực tập để chuẩn bị cho kỳ thi tốt nghiệp. Em xin trân trọng cảm ơn Lãnh đạo Trung tâm, các phòng, ban chuyên môn nghiệp vụ và giáo viên hướng dẫn Nguyễn Thanh Hương.
Em xin chân thành cảm ơn!
Nội dung báo cáo tổng quan bao gồm những nội dung sau:
Phần 1:Giới thiệu về nơi thực tập – Trung tâm Giao dịch CNTT Hà Nội
Giới thiệu về Trung tâm Giao dịch CNTT Hà Nội
Chức năng hoạt động của Trung tâm Giao dịch CNTT Hà Nội
III) Các khu vực của Trung tâm Giao dịch CNTT Hà Nội
VI) Mô hình hoạt động và các hoạt động của Trung tâm Giao dịch CNTT Hà Nội
V) Bộ máy tổ chức
VI) Nhiệm vụ và yêu cầu nhân sự đối với từng nhóm trong việc phát triển sàn giao dịch HITTC
Nguồn tài chính
Hệ thống mạng của Trung tâm Giao dịch công nghệ thông tin Hà Nội
Phần 2: Triển khai VPN trên Linux tại Trung tâm Giao dịch CNTT Hà Nội
Cơ sở lý thuyết
Lý do chọn đề tài
Mục tiêu đề tài
Đề cương chi tiết báo cáo chuyên đề
Phần 1:
Giới thiệu về nơi thực tập – Trung tâm Giao dịch CNTT Hà Nội
I) Giới thiệu về Trung tâm Giao dịch CNTT Hà Nội
Trung tâm Giao dịch công nghệ thông tin Hà Nội (HITTC - HaNoi Imformation Technology Transaction Centre)
Địa chỉ: 185 Giảng Võ- Đống Đa - Hà Nội
Điện thoại: (84) 04 5121430 Fax: (84) 04 5121430
Website:
Trung tâm Giao dịch CNTT Hà Nội là đơn vị sự nghiệp Khoa học trực thuộc Sở Bưu chính, Viễn thông thành phố Hà Nội.Ngày 1/10/2004, UBND TP. Hà Nội đã ban hành quyết định thành lập Trung tâm Giao dịch CNTT Hà Nội (HITTC) trực thuộc Ban CNTT Thành phố, có trụ sở tại K1, Hào Nam, Hà Nội.
Theo đó, HITTC là đơn vị sự nghiệp khoa học và công nghệ, thực hiện các chức năng liên kết thị trường CNTT Hà Nội với thị trường CNTT toàn quốc, khu vực và thế giới, là cầu nối giữa các doanh nghiệp CNTT với các tổ chức, kinh tế xã hội trên địa bàn thành phố và khu vực
HITTC tổ chức các hoạt động giao dịch các sản phẩm CNTT trên cả hai hình thức: giao dịch trực tiếp theo phương thức truyền thống và giao dịch ảo thông qua mạng Internet, hỗ trợ các doanh nghiệp CNTT trên địa bàn Thành phố trao đổi mua bán, sản phẩm CNTT và ứng dụng CNTT vào các ngành kinh tế xã hội.
HITTC cũng là đầu mối định tuyến, liên kết các hệ thống thông tin của TP trong các giao dịch: Cổng giao dịch điện tử, giao dịch truy xuất thông tin phục vụ công tác quản lý điều hành và các trung tâm tích hợp dữ liệu theo định hướng Chính phủ điện tử của Thành phố. Cung cấp các dịch vụ CNTT, các dịch vụ hạ tầng và các dịch vụ khác...
Trung tâm đẩy mạnh các hoạt động hỗ trợ doanh nghiệp và cộng đồng CNTT như: Xúc tiến thương mại điện tử; quảng bá và giới thiệu sản phẩm mới; tư vấn và cung cấp thông tin về thị trường CNTT và xúc tiến thương mại quốc tế. Bên cạnh đó, trung tâm sẽ là nhà cung cấp dịch vụ ISP dùng riêng, dịch vụ thông tin Internet (ICP) và tương lai sẽ là nhà cung cấp dịch vụ kết nối Internet (IXP), ISP và dịch vụ trực tuyến (OSP). Trung tâm giao dịch CNTT Hà Nội (HITTC) là đơn vị sự nghiệp khoa học và công nghệ trực thuộc Sở Bưu chính viễn thông Hà Nội. Trung tâm là một trong những đơn vị đi đầu trong việc hỗ trợ phát triển các doanh nghiệp kinh doanh trong lĩnh vực CNTT. Là cầu nối quan trọng giữa Chính quyền thành phố với các doanh nghiệp CNTT, giữa thị trường CNTT trong nước với quốc tế. Thông qua hoạt động của mình Trung tâm tham mưu cho Thành phố trong việc xây dựng cơ chế, chính sách và giải pháp phù hợp nhằm thúc đẩy sự phát triển toàn diện ngành CNTT Việt Nam.
II) Chức năng hoạt động của Trung tâm Giao dịch CNTT Hà Nội
HITTC là đơn vị sự nghiệp khoa học và công nghệ, thực hiện các chức năng liên kết thị trường CNTT Hà Nội với thị trường CNTT toàn quốc, khu vực và thế giới, là cầu nối giữa các doanh nghiệp CNTT với các tổ chức, kinh tế xã hội trên địa bàn thành phố và khu vực kinh tế trọng điểm Bắc Bộ.
Cầu nối giữa Chính quyền thành phố Hà Nội với các doanh nghiệp CNTT. Thông qua hoạt động của mình, Trung tâm tham mưu cho Thành phố trong việc đề ra các cơ chế, chính sách và giải pháp phù hợp nhằm đẩy mạnh các ứng dụng và phát triển CNTT nói chung và ngành công nghiệp CNTT nói riêng.
V) Mô hình hoạt động và các hoạt động của trung tâm Giao dịch CNTT Hà Nội
IV.1. Mô hình hoạt động
Mô hình Trung tâm Giao dịch công nghệ thông tin Hà Nội, là sự kết hợp hai không gian thực và ảo, với mô hình “chợ giao dịch thực” – không gian thực, nơi giao lưu, giới thiệu, mua và bán các sản phẩm, dịch vụ CNTT, bên cạnh mô hình “chợ ảo” , hoạt động của Trung tâm Giao dịch CNTT là phục vụ sự phát triển chung của cộng đồng CNTT.
Đây sẽ là một địa điểm hội tụ được nguồn nhân lực CNTT, nối kết quan hệ cung cầu, kích thích thị trường CNTT Hà Nội phát triển.
Công trình Trung tâm Giao dịch công nghệ thông tin với vị trí thuận lợi, được quản lý vận hành khai thác đúng hướng chắc chắn sẽ góp một phần không nhỏ trong chương trình ứng dụng và phát triển CNTT, nâng cao trình độ và nhận thức của người dân Thủ đô, thúc đẩy sự phát triển của ngành công nghiệp CNTT trở thành ngành kinh tế mũi nhọn, đóng góp một phần vào công cuộc công nghiệp hoá, hiện đại hoá đất nước, và tiến trình hội nhập kinh tế quốc tế.
IV.2. Các hoạt động
IV.2.1. Hoạt động xúc tiến thương mại
Hoạt động xúc tiến thương mại là một trong hoạt động cơ bản của Trung tâm, đảm bảo chức năng hỗ trợ các doanh nghiệp CNTT trong quảng bá sản phẩm, dịch vụ đối với thị trường tiêu dùng. Đặc điểm chính hoạt động này được đánh giá như sau:
Hoạt động được xuất phát từ chính nhu cầu của doanh nghiệp trong nỗ lực xúc tiến thị trường đối với các sản phẩm, dịch vụ của doanh nghiệp cung cấp cho các đối tượng tiêu dùng.
Có rất nhiều phương pháp tiếp cận với thị trường được các doanh nghiệp áp dụng, một trong những phương pháp có hiệu quả đó là tổ chức trưng bày, giới thiệu các sản phẩm, dịch vụ tại một địa điểm thuận lợi cho các đối tượng tiêu dùng đến tiếp xúc và tìm hiểu (doanh nghiệp cần có địa điểm trưng bày, giới thiệu các sản phẩm, dịch vụ ); Tổ chức các buổi hội thảo thông qua đó doanh nghiệp trình diễn và phổ biến các kiến thức về đặc điểm sản phẩm, thông tin cho khách hàng những lợi ích, đặc điểm nổi trội của sản phẩm, dịch vụ (doanh nghiệp cần tổ chức hội thảo).
IV.2.2. Hoạt động xúc tiến đầu tư
Hoạt động xúc tiến đầu tư là hoạt động cơ bản thứ 2 nhằm đảm bảo chức năng là cầu nối giữa thị trường, doanh nghiệp CNTT Hà Nội với các thị trường và đối tác nước ngoài. Các hoạt động xúc tiến đầu tư thường nhằm các mục đích sau:
Thu hút đầu tư FDI (đầu tư trực tiếp của nước ngoài) vào Hà Nội.
Tạo mối liên kết giữa doanh nghiệp trong nước với các đối tác nước ngoài nhằm tìm kiếm cơ hội hợp tác, gia công xuất khẩu phần mềm cho các thị trường nước ngoài.
Xúc tiến đầu tư thông thường thực hiện các hoạt động sau:
Quảng bá giới thiệu môi trường hấp dẫn đầu tư của Hà Nội.
Cung cấp các thông tin cần thiết cho các đối tác có ý định đầu tư.
Thuyết phục các Nhà đầu tư quyết định đầu tư tại Hà Nội.
Tư vấn và hỗ trợ hoàn thành các thủ tục đầu tư.
IV.2.3. Hoạt động dịch vụ hạ tầng CNTT và Internet
Hoạt động dịch vụ hạ tầng CNTT và Internet nhằm đảm bảo môi trường CNTT kết nối Internet cho các đối tượng sau:
Cho các hoạt động của Trung tâm:
Quản lý, điều hành, nghiệp vụ bên trong.
Sàn giao dịch thương mại điện tử.
Cung cấp theo yêu cầu của các công ty trong Toà nhà: hệ thống mạng LAN, truy nhập Internet và các dịch vụ trên Internet khác.
Phục vụ yêu cầu đảm bảo hạ tầng CNTT cho các đơn vị của Thành phố (theo nhiệm vụ cấp trên giao).
III.2.4. Hoạt động xúc tiến thương mại điện tử
Đây là hoạt động sẽ mở ra hướng phát triển mới trong hỗ trợ các doanh nghiệp CNTT phát triển sản xuất kinh doanh, hay nói một cách khác đầu tư xây dựng “Sàn Giao dịch TMĐT” Trung tâm Giao dịch CNTT Hà Nội đảm bảo chức năng thứ hai là hình thành hệ thống “chợ ảo” trong hỗ trợ các doanh nghiệp xúc tiến thương mại điện tử.
IV.2.5. Hoạt động cho thuê văn phòng và khai thác hạ tầng Toà nhà
Hoạt động cho thuê văn phòng và khai tác hạ tầng Toà nhà là những hoạt động tạo nguồn thu cơ bản đảm bảo duy trì hoạt động của Toà nhà, đảm bảo khả năng tích luỹ để tái đầu tư lại công trình, mặt khác tạo ra một mức doanh thu ổn định của Trung tâm, trong giai đoạn đầu phát triển khi các hoạt động xúc tiến của Trung tâm chưa phát triển, các hoạt động có thu phí chưa nhiều thì doanh thu từ hoạt động cho thuê văn phòng và khai tác hạ tầng Toà nhà sẽ giúp cho Trung tâm duy trì được hoạt động, đảm bảo một phần quĩ lương Hoạt động cho thuê văn phòng và khai tác hạ tầng Toà nhà được tập trung vào các loại dịch vụ sau:
Cho các doanh nghiệp CNTT thuê văn phòng.
Các dịch vụ khai thác hạ tầng của Toà nhà: thuê hệ thống mạng cáp máy tính, cáp điện thoại; khai thác phía ngoài Toà nhà; cho thuê phòng hội thảo, phòng học; tổ chức căng tin cung cấp cho nhu cầu sinh hoạt chung của các cá nhân, tổ chức trong Toà nhà; khai thác sân bãi cho thuê để xe ô tô, xe máy, … chung cho cán bộ, nhân viên của Trung tâm.
V) Bộ máy tổ chức của Trung tâm Giao dịch công nghệ thông tin Hà Nội
Giám đốc TT
Vũ Tấn Cương
Phòng kinh doanh-xúc tiến thị trường
TP:Trần Xuân Thịnh
Phòng quản trị-hành chính
TP:Kiều Ngọc Thanh
Phòng kỹ thuật-dịch vụ
TP: Trương Vũ Trung
Phòng kế hoạch -tài chính
TP: Nguyễn Văn Ánh
Tổ xúc tiến thương mại
Tổ đầu tư quốc tế
Tổ xúc tiến thương mại điện tử
Tổ hành chính
Tổ kỹ thuật đảm bảo
Tổ tạp vụ
Tổ bảo vệ
Tổ kỹ thuật hệ thống
Tổ phát hiện phần mềm ứng dụng
Sơ đồ 1. Sơ đồ bộ máy tổ chức của Trung tâm Giao dịch công nghệ thông tin Hà Nội
VII) Nguồn Tài chính:
Trung tâm Giao dịch CNTT Hà Nội là đơn vị sự nghiệp có thu, trực thuộc Sở Bưu chính, Viễn thông Hà Nội, tài chính của Trung tâm gồm các nguồn sau:
VII.1. Nguồn kinh phí hoạt động do Nhà nước cấp:
Một phần Kinh phí hoạt động thường xuyên được Ngân sách Thành phố cấp thông qua số biên chế của Trung tâm được cấp có thẩm quyền phê duyệt. Kinh phí Ngân sách cấp chi thường xuyên còn thừa được để lại, chuyển sang năm sau theo quy định của Nhà nước đối với đơn vị Sự nghiệp có thu.
Ngoài ra còn một số kinh phí khác do cơ quan cấp trên giao thực hiện các nhiệm vụ Kinh tế - Chính trị, cụ thể như:
1. Kinh phí các chương trình mục tiêu cấp quốc gia, cấp thành phố;
2. Nhiệm vụ đột xuất được cấp có thẩm quyền giao;
3. Kinh phí thực hiện các đề tài nghiên cứu khoa học cấp Nhà nước, cấp Bộ, ngành, cấp thành phố;
4. Kinh phí thực hiện tinh giản biên chế;
5. Vốn đầu tư xây dựng cơ bản; vốn đối ứng dự án và vốn viện trợ;
6. Kinh phí mua sắm và sửa chữa lớn tài sản cố định.
7. Kinh phí hỗ trợ hoạt động chương trình CNTT (nếu có).
8. Kinh phí thực hiện các dự án.
9. Theo đơn đặt hàng của Nhà nước.
VII.2. Nguồn Thu sự nghiệp:
Thu hoạt động các dịch vụ cung cấp cho các doanh nghiệp trên cơ sở bù đắp chi phí và có tích lũy một phần, gồm có các dịch vụ sau:
1. Dịch vụ xúc tiến giao dịch thương mại các sản phẩm Công nghệ thông tin
2. Dịch vụ xúc tiến thương mại điện tử
3. Các dịch vụ gia tăng trên Internet
4. Dịch vụ cho thuê Văn phòng
5. Dịch vụ đào tạo và chuyển giao công nghệ
6. Dịch vụ hội thảo, hội nghị
7.Thu khác
VIII) Hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin Hà Nội
Sơ đồ 2: Sơ đồ hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin Hà Nội
Hệ thống mạng tại trung tâm được chia làm 2 hệ thống mạng con riêng biệt. Hệ thống mạng con thứ nhất được dùng cho chính các phòng ban tại trung tâm này. Hệ thống mạng con thứ hai được dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC.
VIII.1) Hệ thống mạng dùng cho các phòng ban của trung tâm HITTC
Sơ đồ 3: Sơ đồ của hệ thống mạng dùng cho các phòng ban của Trung tâm HITTC
Mô tả chung:
Hoạt động của hệ thống mạng này do ba máy chủ quản lý, bao gồm một máy chủ trung tâm, một Mail Server và một Web Server. Hệ thống này kết nối ra Internet thông qua một Modem ADSL của FPT. Như vậy, modem này sẽ dùng 4 cổng để giao tiếp. Các máy tính tại các phòng ban đóng vai trò là các Workstation được cấu hình địa chỉ IP động thông qua dịch vụ DHCP tại máy chủ trung tâm cung cấp. Các Workstation này kết nối với máy chủ trung tâm thông qua một Switch L2. Hệ điều hành được dùng trong hệ thống mạng tại đây là hệ điều
hành Linux. Đây là hệ điều hành với các khả năng đa nhiệm, đa tác vụ, đa người dùng, là một hệ điều hành uyển chuyển ( có thể hoạt động trên nhiều loại phần cứng), đáng tin cậy và ổn định.
Các thông số kỹ thuật của các máy chủ
Máy chủ trung tâm
Máy chủ Web
Máy chủ File
CPU
Intel Dual Xeon 3GHz
Intel P4 DualCore 3GHz
Intel Xeon 3GHz
Ram
2GB
1GB
1GB
HDD
2 x 120GB
120GB
2 x 80 GB
Băng thông
Không giới hạn
Không giới hạn
Không giới hạn
VIII.1.1. Máy chủ trung tâm
Máy chủ trung tâm có 2 card mạng. Card mạng thứ nhất có địa chỉ IP là 192.168.10.254, subnetmash: 255.255.255.0, được gắn với một Switch L2, thông qua thiết bị Switch này, hệ thống mạng có thể tạo ra các đoạn mạng khác nhau, các đoạn mạng này là các máy Workstation đặt tại các phòng ban.Card mạng thứ hai có địa chỉ IP: 172.16.10.253, subnetmash: 255.255.255.0. Card mạng này kết nối ra ngoài Internet thông qua Modem ADSL của FPT và cũng thông qua modem này giao tiếp được với máy chủ Web và máy chủ File.
Máy chủ trung tâm đóng vai trò cung cấp các ứng dụng và dịch vụ mạng tới các thiết bị đầu cuối nối mạng như các máy trạm (workstation), các đầu cuối nối mạng (terminal), các thiết bị ngoại vi...
Các ứng dụng và các dịch vụ đó là : Squid, Ldap, Mysql, FTP, DHCP, và máy chủ này còn đóng vai trò như một gateway, là cầu nối 2 mạng khác nhau ( mạng eth0 và mạng eth1 như trong sơ đồ). Máy chủ này cũng là một proxy server. Nó ngăn chặn tất cả các yêu cầu tới máy chủ thật nếu nó không có khả năng trả lời đầy đủ các yêu cầu.
*) Các dịch vụ cài đặt trên máy chủ trung tâm:
Squid
Squid là một proxy server, khả năng của squid là tiết kiệm băng thông(bandwidth), cải tiến việc bảo mật, tăng tốc độ truy cập web . Squid
đưa ra kỹ thuật lưu trữ ở cấp độ cao của các web client, đồng thời hỗ trợ các dịch vụ thông thường như FTP, Gopher và HTTP. Squid lưu trữ thông tin mới nhất của các dịch vụ trên trong RAM, quản lý một cơ sở dữ liệu lớn của các thông tin trên đĩa, có một kỹ thuật điều khiển truy cập phức tạp, hỗ trợ giao thức SSL cho các kết nối bảo mật thông qua proxy.
LDAP
LDAP là một dịch vụ thư mục, nó là ngôn ngữ chung cho phép LDAP khách và chủ giao tiếp với nhau. Đây là một giao thức mạng cho phép truy nhập các thông tin trong một thư mục, xác định cấu trúc và đặc điểm của thông tin trong thư mục, là một không gian tên cho phép xác định cách các thông tin được tham chiếu và tổ chức và nó cũng là một mô hình các thao tác cho phép xác định cách tham chiếu và phân bố dữ liệu.
MySQL
MySQL là hệ quản trị cơ sở dữ liệu mã nguồn mở phổ biến nhất. MySQL được sử dụng cho việc bổ trợ PHP, Perl, và nhiều ngôn ngữ khác, nó làm nơi lưu trữ những thông tin trên các trang web viết bằng PHP hay Perl,...FPT
FTP được dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP (chẳng hạn như Internet - mạng ngoại bộ - hoặc intranet - mạng nội bộ). Máy chủ FTP lắng nghe yêu cầu về dịch vụ của các máy tính khác trên mạng lưới. Máy khách chạy phần mềm FTP dành cho người sử dụng dịch vụ khởi đầu một liên kết với máy chủ. Khi hai máy đã liên kết với nhau, máy khách có thể xử lý một số thao tác về tập tin, như tải tập tin lên máy chủ, tải tập tin từ máy chủ xuống máy của mình, đổi tên của tập tin, hoặc xóa tập tin ở máy chủ v.v.
DHCP
Thông qua dịch vụ DHCP, máy chủ trung tâm cung cấp các máy trạm dải địa chỉ IP là 192.168.10.0 đến 192.168.10.99, subnetmash: 255.255.255.0.
DHCP là một giao thức mở, được sử dụng để làm giảm sự phức tạp của việc quản trị các mạng dựa trên nền TCP/IP. Quản lý địa chỉ IP và các tùy chọn cho máy sẽ dễ dàng hơn rất nhiều khi thông tin cấu hình có thể quản lý từ một địa điểm đơn hơn là kết hợp thông tin từ nhiều địa điểm. DHCP cấu hình tự động cho một máy trạm khi nó khởi động trên một mạng TCP/IP cũng như có thể thay đổi các thiết lập trong khi các máy đang kết nối trên mạng. Tất cả các việc này được thực hiện bằng cách sử dụng các thiết lập và thông tin từ CSDL DHCP trên máy chủ trung tâm.
VIII.1.2. Máy chủ Web
Ở phần lõi của nó, một dịch vụ web phục vụ nội dung tĩnh cho một trình duyệt bằng cách tải một tập tin từ đĩa và chuyển nó lên mạng, tới một người sử dụng trình duyệt web. Sự trao đổi hoàn toàn này được thực hiện gián tiếp thuông qua một trình duyệt và một máy chủ kết nối tới một thiết bị khác sử dụng HTTP. Bất kỳ máy tính nào cũng có thể vào trong một dịch vụ web bằng cách cài đặt phần mềm dịch vụ và kết nối internet.
Các ứng dụng và dịch vụ cài đặt trên máy chủ này là Apache và Tomcat. Apache được phát triển để làm việc như một web server thuần túy và có thể đảm đương cả công tác của một proxy server. Tomcat (Apache Tomcat) là một servlet / jsp container. Nó có khả năng phục vụ http requests, cung cấp các thư viện Java cần thiết cho web applications (vì nó đóng vai trò container).
VIII.1.3. Máy chủ Mail
Mail server có các chức năng chính:- Quản lý account- Nhận mail của người gửi (của những người có account) và gửi cho người nhận hoặc mail server của người nhận.- Nhận mail từ mail server của người gửi (từ bên ngoài) và phân phối mail cho người trong hệ thống.tùy thuộc vào việc cài đặt mà mail-server cho phép người dùng sử dụng web-mail (web) để nhận mail(giống yahoo), hay cho phép sử dụng outlook (application), hay cả 2 (giống như gmail).
VIII.1.4. Switch L2
Switch L2 có khả năng kết nối được nhiều đoạn lại với nhau, mỗi đoạn mạng là từng máy workstation. Switch này “học” thông tin của mạng thông qua các gói tin (packet) mà nó nhận được từ các máy trong mạng. Trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch
Đặc tính kỹ thuật:-Bao gồm 24 cổng 10/100 base-T và 2 cổng 10/100/1000 base-Tx-Tương thích với các tiêu chuẩn IEEE 802.3 10 base-T, 802.3u 100 base-Tx, 802.3ab 10/100/1000 base-Tx, 802.3z gigabit fible.-Bảng địa chỉ MAC 6K-Băng thông chuyển mạch 8.8Gbps-Giao diện quản lý web-based-Hỗ trợ QoS-Quản lý băng thông từng cổng.-Bộ nhớ đêm 3MbĐặc tính phần mềm:+ Quản lý bằng giao diện Web hoặc Inband Local Console+ Hỗ trợ VLAN, cho phép tối đa 255 VLAN+ Hỗ trợ thiết lập tính ưu tiên theo cổng: Bao gồm 3 mức thiết lập disable, low và high. Khi thiết lập cổng ở chế độ disable, các gói tin đến sẽ định hướng theo thiết lập QoS, ngược lại các gói tin sẽ định hướng theo thiết lập low/high+ Hỗ trợ port mirror+ Hỗ trợ điều khiển băng thông từng cổng
VIII. 2) Hệ thống mạng dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC
Sơ đồ 4: Sơ đồ hệ thống mạng dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC
Các khối văn phòng của các công ty khác (ví dụ: Vietcard, Masui,...) trong tòa nhà HITTC có nhu cầu lắp đặt hệ thống mạng cho công ty của mình và kết nối ra ngoài Internet sẽ được đặt trong hệ thống mạng này. Switch layer 3 có tính năng như một router được tích hợp nhiều port LAN, nó có khả năng tìm đường đi trên mạng. đây là bộ bộ chuyển kênh trung tâm, thiết bị này có cấu hình mạnh sẽ nối với các switch ở từng tầng , nhờ thiết bị này các VLAN có thể kết nối với nhau. Mỗi VLAN là hệ thống mạng của từng công ty trong tòa nhà HITTC, các VLAN này được tạo ra bởi các Switch L2 ở các tầng. Hệ thống mạng này kết nối Internet thông qua một modem ADSL của VDC.
Switch SMC8724ML3 có các tính năng mạnh gồm QoS/CoS, VLAN, và bảo mật. Hỗ tợ tới 8 hàng đợi phân mức ưu tiên 802.1p/ToS/DiffServ, sự phân lớp dựa trên MAC SA/DA, IP SA/DA, và/hoặc TCP/UDP. Các đặc tính bảo mật bao gồm: 802.1x (Port Authentication), port security, và Access Control Lists (ACL) dựa trên điạ chỉ MAC, địa chỉ IP, và/hoặc số hiệu cổng TCP/UDP. Switch này cũng hỗ trợ tốt các tính năng GARP/GVRP, 802.1q, và thiết lập VLAN hết sức linh hoạt dựa trên cổng VLAN tag và giao thức
Phần 2: Triển khai mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội
I) giới thiệu đề tài
Đặt vấn đề
Thông tin là một phần tài sản vô cùng quan trọng đối với mọi tổ chức, công ty hay thậm chí là đối với mọi cá nhân con người. Đó là thông tin cá nhân về tổ chức, về các nhân viên của tổ chức; là số liệu thống kê tình hình tài chính, là những chiến lược hoạch định kinh doanh… Đối với mô hình hoạt động của một tổ chức như Trung tâm Giao dịch CNTT Hà Nội, bao gồm các hoạt động xúc tiến thương mại, xúc tiến đầu tư, thương mại điện tử và kỹ thuật dịch vụ, thì việc trao đổi thông tin trong nội bộ Trung tâm là thực sự cần thiết. Từ đó, có một bài toán được đặt ra là: phải đưa ra một phương thức để các nhân viên khi công tác xa vẫn có thể truy nhập vào mạng nội bộ của Trung tâm. Vì vậy cần phải khảo sát mô hình mạng thực tế và đưa ra một giải pháp cho nhu cầu đó.
Lý do chọn đề tài
Sau một thời gian thực tập và nghiên cứu hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin Hà Nội, em nhận thấy đây là một mô hình mạng khá hoàn chỉnh, qui mô với các thiết bị và cách lắp đặt các ứng dụng và dịch vụ trên hệ thống một cách khoa học và hợp lý. Tuy nhiên tại đây, việc triển khai OpenVpn cho hệ điều hành Linux mới chỉ là ở mức nghiên cứu lý thuyết, do đó, em chọn đề tài này với mong muốn đóng góp một ý tưởng để cho hệ thống mạng tại đây ngày một hoàn thiện hơn.
Mục tiêu của đề tài và kết quả dự kiến
Trong khuôn khổ của bài báo cáo chuyên đề, em xin được đưa ra nội dung của việc triển khai mạng riêng ảo tại Trung tâm giao dịch CNTT Hà Nội. Cần phải nêu rõ rằng, đề tài này chỉ đưa ra nội dung của việc triển khai chứ không đi sâu vào các cơ chế hoạt động và cơ chế bảo mật của mạng riêng ảo. Do đó, mục tiêu của đề tài là xây dựng một mô hình mạng riêng ảo nhằm đáp ứng cho việc khai thác dữ liệu, dịch vụ của Trung tâm, đảm bảo các công việc của Trung tâm ở bất cứ nơi đâu mà không phải làm việc ở văn phòng. Từ đó bài báo cáo sẽ cung cấp những hiểu biết về các chức năng, ưu điểm, phương thức hoạt động và các giao thức của mạng riêng ảo.
Từ những mục tiêu phải đạt được ở trên, trong khuôn khổ của bài báo cáo chuyên đề cần đưa ra được những nội dung sau:
Giao thức áp dụng cho việc xây dựng mạng riêng ảo
Cách cài đặt và cấu hình mạng riêng ảo
II) Nội dung triển khai VPN trên Linux tại Trung tâm Giao dịch CNTT Hà Nội
II.1. Cơ sở lý thuyết
I.1.1. Lợi ích của mạng riêng ảo:
- VPN làm giảm chi phí thuờng xuyên: VPN cho phép tiết kiệm đến 60% chi phí thuê đường truyền và giảm đáng kể tiền cuớc gọi đến của các nhân viên ở xa nhờ vào việc họ truy nhập thông qua các điểm cung cấp dịch vụ POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến modem tập trung. Tổng giá thành của việc sở hữu một mạng VPN sẽ đuợc thu nhỏ. Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đuờng Leased-line truyền thống. Còn đối với việc truy cập từ xa thì giảm tới từ 60-80%.
- Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho các máy chủ, cho bộ định tuyến mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy nhập bởi các thiết bị này do nhà cung cấp dịch vụ quản lý và làm chủ.
Giảm chi phí quản lý và hỗ trợ: Với việc tận dụng cơ sở hạ tầng Internet và các thiết bị mạng do ISP quản lý thì các công ty vẫn có thể sử dụng mạng riêng ảo mà không cần trang bị các thiết bị phức tạp và đạo tạo đội ngũ cán bộ để quản lý mà việc này do nhà cung cấp đảm nhiệm
VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet:. Các VPN đã kế thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng WAN truyền thống. Ðiều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả cao trong việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, của những nguời sử dụng di dộng…, và mở rộng các đối tác kinh doanh khi có nhu cầu . ”
VPN làm đơn giản hoá cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ: Các doanh nghiệp có thể cho phép sử dụng một vài hay tất cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập trung vào các đối tuợng kinh doanh chính, thay vì quản lý một mạng WAN hay mạng quay số từ xa.
VPN cung cấp các kiểu mạng đường hầm làm giảm thiểu các công việc quản lý: Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng với các giao thức kết nối nhu là Frame Relay và ATM. Ðiều này tạo ra một kiểu mạng luới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành.
VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệu truyền trong mạng VPN được mã hóa bằng các thuật toán phức tạp. Dữ liệu được truyền trên mạng thông qua các đường hầm điều này đảm bảo cho dữ liệu có độ tin cậy cao. Kể cả khi mất mát thông tin thì nguời tấn công (attacker) cũng không thể xem đuợc nội dung của nó.
II.1.2. Chức năng của mạng riêng ảo
VPN cung cấp ba chức năng chính:
• Sự tin cậy (Confidentiality): Nguời gửi có thể mã hoá các gói dữ liệu truớc khi truyền chúng qua mạng công cộng. Bằng cách làm như vậy, không một ai có thể truy cập thông tin mà không được cho phép. Và nếu có lấy được thì cũng không đọc được.
• Tính toàn vẹn giữ liệu (Data Integrity): nguời nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào.
• Xác thực nguồn gốc (Origin Authentication): Nguời nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
II.1.3.Tính bảo mật của mạng riêng ảo
Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ an toàn khi truyền dữ liệu:
Bức tường lửa - Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của bạn với Internet. Có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router.
Mã hoá - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
Mã hoá sử dụng khoá công khai (Public-key encryption)
Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã gói tin.
Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn mã hoá đựợc hầu hết mọi thứ.
Giao thức bảo mật IPSec - Internet Protocol Security Protocol cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như:
Từ router đến router
Từ firewall đến router
Từ PC đến router
Từ PC đến server
Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server (Authentication, Authorization, Accounting Server) được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via trò proxy. AAA sẽ kiểm tra xác thực, xác nhận và quản lý tài khoản.Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo.
II.2 )Triển khai mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội
II.2.1. OpenVPN – phương thức để xây dựng mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội.
Hệ điều hành được dùng trong hệ thống mạng tại Trung tâm là hệ điều hành Linux Fedora 6. Đây là hệ điều hành với các khả năng đa nhiệm, đa tác vụ, đa người dùng, là một hệ điều hành uyển chuyển ( có thể hoạt động trên nhiều loại phần cứng), đáng tin cậy và ổn định. Trong các kỹ thuật VPN, kỹ thuật được áp dụng cho phần mềm mã nguồn mở là OpenVPN. Vì thế, OpenVPN là lựa chọn kỹ thuật thích hợp để xây dựng mạng riêng ảo tại Trung tâm.
Khái niệm về OpenVPN
OpenVPN là một phần mềm mạng riêng ảo mã nguồn mở dành cho việc tạo các đường ống (tunnel) điểm-tới-điểm được mã hóa giữa các máy chủ. Phần mềm này do James Yonan viết và được phổ biến dưới giấy phép GNU GPL.
OpenVPN cho phép các máy đồng đẳng xác thực lẫn nhau bằng một khóa bí mật được chia sẻ từ trước, chứng chỉ mã công khai (public key certificate), hoặc tên người dùng/mật khẩu. Phần mềm này được cung cấp kèm theo các hệ điều hành Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, và Windows 2000/XP. Nó có nhiều tính năng bảo mật và kiểm soát. Nó không phải một mạng riêng ảo web, và không tương thích với IPsec hay các gói VPN khác. Toàn bộ phần mềm gồm có một file nhị phân cho cả các kết nối client và server, một file cấu hình không bắt buộc, và một hoặc nhiều file khóa tùy theo phương thức xác thực được sử dụng
OpenVPN sử dụng thiết bị tun/tap (hầu như có sẵn trên các bản Linux) và openssl để xác nhận (authenticate), mã hóa (khi gởi) và giải mã (khi nhận) đường truyền giữa hai bên thành chung một network. Có nghĩa là khi người dùng nối vào máy chủ OpenVPN từ xa, họ có thể sử dụng các dịch vụ như chia sẻ tập tin sử dụng Samba/NFS/FTP/SCP, đọc thư (bằng cách khai báo địa chỉ nội bộ trên máy họ, ví dụ, 192.168.1.1), duyệt intranet, sử dụng các phần mềm khác..v..v..như là họ đang ngồi trong văn phòng.
Tính thuận lợi của OpenVPN
Trong khi các giải pháp VPN khác thường sử dụng các cơ chế không chuẩn hoặc thuộc quyền sở hữu riêng thì OpenVPN có cả hai khái niệm mạng và bảo mật. OpenVPN sử dụng cơ chế SSL/TLS bảo mật và ổn định cho việc xác thực và mã hóa, mà không phức tạp. Đồng thời, nó cung cấp những khả năng có thể tiến xa hơn phạm vi của tất cả những sự thực thi VPN khác.
Layer 2 và Layer 3 VPN: OpenVPN cung cấp 2 chế độ cơ bản chạy ở Layer 2 hoặc Layer 3 VPN. Vì thế, đường hầm OpenVPN cũng có thể truyền tải Ethernet Frames, các gói IPX và các gói Windowns Network Browsing (NETBIOS), tất cả đều là những bài toán khó của các giải pháp VPN khác.
Bảo vệ người công tác ở xa với firewall nội bộ: một người đi công tác ở xa kết nối tới trụ sở chính của công ty với một đường hầm VPN có thể thay đổi cài đặt mạng trên laptop của họ, để tất cả những lưu lượng mạng được gửi thông qua đường hầm. khi OpenVPN thiết lập một đường hầm, firewall trung tâm trong trụ sở chính của công ty có thể bảo vệ laptop, thậm chí nó không cần phải thông qua một máy local nào. Chỉ có một cổng mạng phải được mở tới mạng cục bộ(ví dụ: khách hàng) bởi người đi công tác xa đó. Những nhân viên được bảo vệ bởi firewall trung tâm bất cứ khi nào họ kết nối tới VPN.
Các kết nối OpenVPN có thể đi qua đường hầm thông qua hầu hết các firewall: Nếu truy cập Internet và nếu có thể truy cập websites HTTPS, các đường hầm VPN sẽ hoạt động.
Hỗ trợ Proxy và cấu hình: OpenVPN có hỗ trợ proxy và có thể hoặc là dịch vụ UDP, và như một server hoặc là một client. Là một server, nó được cấu hình để chạy như một TCP OpenVPN dễ dàng, chờ cho đến khi có một client yêu cầu một kết nối, nhưng ngược lại nếu như là một client, nó sẽ cố gắng thiết lập một kết nối theo cấu hình của nó.
Chỉ có một cổng duy nhất trong firewall phải được mở để cho phép kết nối đi đến: OpenVPN 2.0, một chế độ server đặc biệt cho phép nhiều kết nối đi đến trên một cổng TCP hay UDP, trong khi vẫn sử dụng những cấu hình khác nhau cho những kết nối riêng lẻ.
Các giao diện ảo cho phép các mạng cụ thể và những qui tắc firewall: Tất cả những qui tắc, những hạn chế, những cơ chế chuyển tiếp, và những khái niệm như NAT có thể được sử dụng với các đường hầm OpenVPN.
Tính mềm dẻo cao với khả năng kịch bản lớn: OpenVPN cung cấp đông đảo những điểm trong suốt quá trình cài đặt để start những kịch bản cá nhân. Những kịch bản đó có thể được sử dụng cho những mục đích lớn từ việc xác thực đến những hơn thế nữa.
Hiệu năng lớn, trong suốt hỗ trợ cho IPs động: Bằng cách sử dụng OpenVPN, không có bất cứ sự cần thiết nào để sử dụng IPs tĩnh trên các side khác của đường hầm. Cả hai điểm cuối đường hầm có thể có truy cập DSL giá thấp với IPs động và những người dùng có thể sẽ ít khi chú ý đến một thay đổi của IP. Cả Windows Terminal server sessions và Secure Shell (SSH) sessions dường như sẽ bị treo một vài giây, nhưng sẽ không kết thúc và sẽ tiếp tục với những hoạt động được yêu cầu sau một thời gian ngắn tạm dừng.
Không có các vấn đề với NAT: Cả OpenVPN server và client có thể không ở trong một mạng chỉ sử dụng các địa chỉ IP private. Mỗi firewall có thể được sử dụng để gửi lưu lượng đường hầm.
Thiết kế Modular: Thiết kế Modular mức độ cao mà đơn giản trong bảo mật và mạng là điều đáng chú ý. Không có một giải pháp VPN nào khác có thể cung cấp những khả năng như level này của bảo mật.
II.2.2. Các yêu cầu khi cài đặt:
Các yêu cầu khi cài OpenVPN trên Linux:
Hệ thống phải cung cấp hỗ trợ cho trình điều khiển TUN/TAP: Nhân mới hơn version 2.4 của hầu hết các loại Linux hiện đại cung cấp hỗ trợ cho các thiết bị TUN/TAP.
Thư viện OpenSSL phải được cài đặt trên hệ thống.
Thư viện nén Lempel-Ziv-Oberhumer (LZO) phải được cài đặt: Hầu hết các hệ thống Linux/UNIX cung cấp các gói này. LZO là một thư viện nén real-time sử dụng bởi OpenVPN để nén dữ liệu trước khi gửi đi.
Hầu hết các tool cài đặt hệ thống Linux/UNIX đều có thể giải thích được những cái phụ thuộc vào chính nó, nhưng nó sẽ hữu ích để biết nơi đặt phần mềm được yêu cầu.
II.2.3. Các thiết bị
Các thiết bị cần thiết cho việc cài đặt và cấu hình OpenVPN là các thiết bị TUN/TAP. Các thiết bị này là một trong những nhân tố chính tạo nên OpenVPN, dễ hiểu, dễ cấu hình, và bảo mật tốt.
Một thiết bị TUN có thể được sử dụng như là một giao diện ảo point-to-point, như một moderm hay DSL link. Một thiết bị TAP lại có thể sử dụng như một bộ điều hợp Ethernet ảo. Nó cho phép daemon lắng nghe trên giao diện để lấy các Ethernet frame, nó không thể thực hiện với các thiết bị TUN. Chế độ này gọi là chế độ cầu nối vì mạng được kết nối nếu thông qua một cầu nối phần cứng.
Thiết bị Universal TUN/TAP được phát triển để cung cấp cho nhân
của Linux hỗ trợ cho lưu lượng IP đường hầm. Nó là một giao diện mạng ảo xuất hiện để xác thực tất cả các ứng dụng và người dùng; chỉ có cái tên tunX hay tapX để phân biệt nó với các thiết bị khác. Mỗi ứng dụng có khả năng sử dụng giao diện mạng có thể sử dụng giao diện đường hầm. Mỗi kỹ thuật chạy trên mạng có thể chạy trên một giao diện TUN hay giao diện TAP
Bộ điều khiển TUN/TAP là một dự án mã nguồn mở bao gồm tất cả những phân loại Linux/Unix hiện đại cũng như Windowns và Mac OS X. Giống như SSL/TLS nó được sử dụng trong nhiều dự án, và vì thế nó luôn được cải tiến và có nhiều đặc tính mới được thêm vào. Sử dụng các thiết bị TUN/TAP không có nhiều rắc rối từ cấu trúc của OpenVPN. Cấu trúc đơn giản của nó mang tính bảo mật cao so với các giải pháp VPN khác.
II.2.4. Giao thức Point-to-Point Tunneling Protocol (PPTP)
OpenVPN tại Trung tâm Giao dịch CNTT Hà Nội hoạt động theo giao thức Point-to-Point Tunneling Protocol (PPTP).
Ý tuởng cho giao thức này là tách chức năng chung và riêng của truy nhập từ xa, lợi dụng cơ sở hạ tầng là mạng internet toàn cầu để tạo kết nối bảo mật giữa client và mạng riêng. Nguời dùng từ xa chỉ cần quay số tới nhà cung cấp dịch vụ internet ở địa phương(POP-Point of Presence) để tạo một đường hầm bảo mật tới mạng riêng của họ. Giao thức PPTP được xây dựng dựa trên giao thức kết nối quay số PPP, và giao thức đóng gói định tuyến chung (GNE), đóng và tách các gói PPP.
PPP là viết tắt của Point-to-Point Protocol61 là một giao thức quay số truy nhập vào internet rất phổ biến hiện nay. PPP bao gồm các phương pháp đóng tách gói cho các loại dữ liệu khác nhau để truyền nối tiếp, ngoài ra PPP còn có cơ chế dò lỗi (Error Detection). PPP có thể cấu hình trên các kiểu giao diện vật lý (physical interface) sau:
Asynchronous serial (Serial không đồng bộ)
Synchronous serial (Serial đồng bộ)
High-Speed Serial Interface (HSSI – Serial tốc dộ cao)
Integrated Services Digital (Tích hợp dịch vụ số)
Phần 3: Thực hiện triển khai
Cài đặt và cấu hình OpenVPN trên máy chủ Linux
OpenVPN sẽ được cài đặt và cấu hình trên máy chủ trung tâm
Bước 1: Chắc chắn rằng các gói GCC đã được cài đặt hoặc là sẽ nhận được thông báo lỗi cài đặt
Bước 2: Tải hai gói phần mềm từ Internet: lzo-1.08.tar.gz
openvpn-2.0.tar.gz
Tạo một thư mục có tên là OpenVPN trong /usr và download 2 gói phần mềm đó về thư mục đó.
Bước 3: Giải nén và cài đặt lzo-1.08.tar.gz
Chuyển đến thư mục sau khi giải nén được bung ra là lzo-1.08 và tiến hành cài đặt.
Bước 4: Giải nén và cài đặt openvpn-2.0.tar.gz
Chuyển đến thư mục được bung ra sau khi giải nén là openvpn-2.0 để tiến hành cài đặt
Bước 5: Cài đặt Certificate Authority-CA và tạo giấy chứng nhận và key cho một server OpenVPN và nhiều client
Tổng quan
Certificate Authority (CA) là một dạng như "Giấy chứng nhận", dùng để chứng thực user trên internet hay intranets...Certificate gồm một cặp khóa : khóa công cộng (public key) và khóa riêng tư (private key) để chứng thực user. mã hóa dữ liệu...
Bước đầu tiên trong việc cấu hình là thiết lập một PKI (public key infrastructure). PKI bao gồm:
Một private certificate ( cũng được hiểu như là một khóa công khai) và một khóa riêng tư cho server và cho mỗi client.
Một CA và key được sử dụng để làm kí hiệu cho server và cho việc cấp chứng nhận client.
OpenVPN hỗ trợ việc xác thực hai chiều dựa trên việc cấp chứng nhận, nghĩa là client phải xác thực server đã được chứng nhận và server phải xác nhận client đã được chứng nhậ trước khi sự tin tưởng lẫn nhau được thiết lập.
Cả hai server và client sẽ xác thực lẫn nhau bằng cách trước tiên là đưa ra việc chứng thực đã được báo bởi CA chủ, và sau đó bởi thông tin kiểm tra trong phần đầu của chứng thực, ví dụ như chứng thực tên hay chứng thực kiểu (client hay server).
Chế độ bảo mật này có các đặc tính sau:
Server chỉ cần certificate/ key của máy chủ mà không cần quan tâm đến các khóa của client kết nối đến nó.
Server chỉ chấp nhận những client nào mà khóa của nó đã được signed bởi Master CA certificate. Và bởi vì server có thể kiểm chứng chữ ký mà không cần truy cập đến khóa CA riêng của chính nó, nó có thể cho khóa CA lưu trú trên một máy khác hoàn toàn, thậm chí nó không cần kết nối mạng.
Nếu một private key không hợp lệ có thể sẽ disabled bằng cách gửi đến CRL (Certificate Revocation List). CRL cho phép các khóa bị lỗi hay không còn thích hợp bị từ chối mà không cần phải tọa lại toàn bộ PKI.
Server có thể có được quyền truy cập client được chỉ định dựa trên các trường chứng thực đi kèm, ví dụ như Common Name.
Để cho Openvpn hoạt động được ta tiến hành khởi tạo . Một master CA certificate/key và SERVER certificate/key , cuối cùng là client certificate/key .
Chuyển đến thư mục con easy-rsa theo đường dẫn /usr/OpenVPN/openvpn-2.0/easy-rsa. Khởi tạo PKI:
Lệnh build-ca sẽ tạo Certificate Authoritu (CA):
Hầu hết các tham số đều để mặc định như các giá trị đã thiết lập trong các file vars hoặc vars.bat. Chỉ có tham số phải điền vào là Common Name. Ví dụ: OpenVPN-CA
Bước 6: Tạo Certificate và khóa cho server
Như bước trước đó, hầu hết các tham số để mặc định. Khi tham số Common Name được yêu cầu, nhập “server”. Hai câu hỏi tiếp theo yêu cầu trả lời rõ ràng, “Sign the certificate?[y/n]” và “1 out of 1 certificate requests certified, commit? [y/n] ”.
Tạo certificate và khóa cho client:
Tạo tham số Diffie Hellman:
File Keys
Có những key và certificate mới được tạo ra trong thư mục con keys. Sau đây là những giải thích về những file có trong đó:
Tên
Dùng cho
Mục đích
Bí mật
ca.crt
Server + client
Chứng thực Root CA
Không
ca.key
Server + client
Chứng thực Root CA
Có
dh{n}.pem
Server
Tham số Diffie Hellman
Không
Server.crt
Server
Chứng thực server
Có
Server.key
Server
Khóa server
Có
Client.crt
Client
Chứng thực client
Không
Client.key
Client
Khóa client
Có
Tạo ra thư mục có tên là config trong thư mục openvpn-2.0. Coppy tất cả những file có trong thư mục openvpn-2.0/sample-config vào thư mục config, và coppy các thư mục dh1024.pem, server.key, server.crt, ca.crt của thư mục openvpn-2.0/easy-rsa/key vào thư mục openvpn/config.
Bước 7: Tạo file cấu hình cho server
Sửa file cấu hình server.conf. Trong quá trình này, nó sẽ tạo ta một VPN sử dụng một giao diện mạng TUN ảo, sẽ lắng nghe các client kết nối tới trên UDP port 1194, và sẽ sắp xếp các địa chỉ ảo tới các client kết nối đến từ subnet 10.8.0.0/24.
Trước khi sử dụng file cấu hình mẫu, cần phải sửa lại tham số ca, cert, key và dh trong file đã tạo trong phần PKI ở trên.
Bước 8: Sửa file cấu hình client trong đường dẫn config/client.conf.
Vì các máy client của Trung tâm đều sử dụng Windown XP nên sẽ tiến hành cấu hình file này dành cho các máy client là Windown XP.
Giống như file cấu hình server, trước tiên sửa các tham số ca, cert và key có trong các file trong phần tạo PKI. Mỗi client nên có một cặp cert/key riêng.
Cuối cùng, chắc chắn rằng file cấu hình client là phù hợp với file cấu hình server. Điều quan trọng là kiểm tra dev (tun hay tap) và proto (udp hay tcp) là phù hợp.
Bước 9: khởi động và chạy Openvpn
Cài đặt và cấu hình cho các máy Client
Đối với những máy ở xa có nhu cầu truy cập vào mạng nội bộ của Trung tâm, tiến hành cài đặt và cấu hình như sau:
Bước 1 : Download bản open VPN dành cho Windows: openvpn-2.0.9-install.exe . Bước 2: Tiến hành các thủ tục cài đặt mặc định . Rồi copy các files ca.crt , client.crt , client.key trong thư mục keys trên server linux vào thư mục C:\Program Files\OpenVPN\config trên máy Windows XP Bước 3 : Dùng notepad tiến hành edit files C:\Program Files\OpenVPN\sample-config\client.opvn Code:
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote my-server-1 1194 // thây my-server-1 bằng ip server của bạn
Save lại . Rồi copy files client.opvn vào thư mục C:\Program Files\OpenVPN\config trên máy Windows XP . Bước 4: Khởi động OpenvpnGui . Sẽ thấy biểu tượng ở góc phải task bar phải màn hình .
Kết luận
Trong suốt quá trình làm chuyên đề, em luôn cố gắng hoàn thành những mục tiêu mà mình đã đặt ra trước đó. Sau gần bốn tháng thực hiện đề tài, em nhận thấy đã gần như hoàn tất được những mục tiêu đã đề ra mặc dù còn có một số hạn chế nhất định do hạn hẹp về thời gian cũng như về điều kiện kỹ thuật.
Những vấn đề đã được giải quyết
Tiếp thu được nhiều hiểu biết về Trung tâm Giao dịch CNTT Hà Nội với các chức năng, bộ máy tổ chức, các hoạt động…
Cài đặt và cấu hình OpenVPN tại Trung tâm Giao dịch CNTT Hà Nội
Hướng phát triển trong tương lai
Tìm hiểu các cơ chế bảo mật trên OpenVPN
Đồng bộ dữ liệu LDAP thông qua OpenVPN
Quản lý người dùng VPN, tránh những xâm hại bảo mật
Những khó khăn gặp phải khi thực hiện đề tài
Thời gian hạn hẹp
Điều kiện kỹ thuật
Các tài liệu tham khảo
Tài liệu viết:
Giáo trình lý thuyết và thực hành Linux, NXB Lao động – Xã hội.
Bảo mật và tối ưu hóa trong Red Hat Linux, NXB Lao động – Xã hội.
Website:
www.VnExperts.net
www.quantrimang.com
www.vnlinux.org
www.cusc.ctu.edu.vn
www.vpntools.com
…
MỤC LỤC
Các file đính kèm theo tài liệu này:
- 37232.doc