nguyenthaoanh91

New Member
LINK TẢI LUẬN VĂN MIỄN PHÍ CHO AE KET-NOI
Trang
Lời mở đầu.
Mục lục
Phần I: Đặt vấn đề 1
Giới thiệubài toán và giải pháp 2
1. Giới thiệu hệ thống 2
2. Các yêu cầu phát triển của hệ thống 5
3. Giải pháp thực hiện 8
Phần II: Kiến thức cơ sở
Chương I: Tổng quan Access list 11
Chương II: Tổng quan về mạng riêng ảo VPN 17
Chương III: Tổng quan về IPSec 28
Chương IV: Xây dựng IPSec VPN trên Router Cisco 36
Phần III: Mô hình giải quyết bài toán 48
Chương V: Xây dựng mô hình giải quyết bài toán 49
I. Thiết lập kết nối có kiểm soát giữa 2 mạng LAN 49
II. Các bước thiết lập hệ thống IPSec VNP 52
Phần IV: Mô hình minh họa 55
ChươngVI: Thiết lập IPSec VPN dùng preshared key trên
Router Cisco 56
Phần V: Kết luận 60
Tài liệu tham khảo
gười dùng ở xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới công ty. Người dùng có thể truy cập các tài nguyên VPN bất cứ khi nào nếu cần.
Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (SDL), IP di động và cáp để nối các người dùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau.
Các VPN nội bộ (Intranet VPN):
Cho phép các văn phòng chi nhánh được liên kết 1 cách bảo mật đến trụ sở chính của công ty.
Có 2 phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN tại các điểm cuối ở xa:
Dùng các đường kênh thuê riêng để kết nối.
Dùng đường dây quay số để kết nối.
Dùng VPN để kết nối 2 vị trí từ xa
Các VPN mở rộng (Extranet VPN):
Cho phép các khách hàng, các nhà cung cấp và các đối tác có thể truy cập 1 cách bảo mật đến mạng Intranet của công ty.
Dùng VPN để kết nối 2 máy tính từ xa trong cùng 1 mạng LAN
III. Kiến trúc và các khối của VPN
Kiến trúc của 1 mạng VPN:
Hai thành phần cơ bản tạo nên mạng riêng ảo VPN là:
Tiến trình định đường hầm (Tunneling), cho phép làm “ảo” một VPN.
Những dịch vụ bảo mật đa dạng nhằm giữ cho dữ liệu của VPN được bảo mật.
Định đường hầm:
Việc tạo đường hầm là tạo ra một kết nối đặc biệt giữa 2 điểm cuối. Để tạo ra 1 đường hầm.
Điểm nguồn phải đóng gói (encapsulate) các gói (Packet) của mình trong các gói IP (IP packet) để truyền qua mạng Internet- việc đóng gói bao gồm mã hoá gói gốc và thêm 1 tiêu đề IP (IP header) mới cho gói.
Tại điểm cuối đích, cổng nối sẽ gỡ bỏ tiêu đề IP và giải mã cho gói và chuyển nó đến đích cần đến.
IP
AH
ESP
header
Data
Gói kiểu đường hầm
Gói gốc
Việc tạo đường hầm cho phép các dòng dữ liệu và thông tin người dùng kết hợp được truyền trên mạng công cộng trong một ống ảo (virtual pipe), ống ảo sẽ làm cho việc định tuyến trên mạng trở nên trong suốt đối với người dùng.
Thông thường đường hầm được địng nghĩa theo 2 loại: đường hầm tĩnh (Static tunnel) và đường hầm động (dynamic tunnel).
Đường hầm tĩnh hay còn gọi là đường hầm thường trực (pernament) thường ít được dùng vì chiếm băng thông khi không sử dụng.
Đường hầm động còn gọi là đường hầm tạm thời thường được sử dụng. Khi có yêu cầu đường hầm sẽ được thiết lập sau đó sẽ hủy bỏ khi không dùng đến.
Ngoài ra khi nói đến đường hầm, ta còn cần xem xét đến các điểm cuối của đường hầm (endpoint), có 2 loại điểm cuối:
Máy tính đơn, khi kết nối phải chạy 1 phần mềm VPN client.
Mạng LAN với cổng nối bảo mật có thể làbộ địng tuyến hay tường lửa.
Các đường hầm VPN
Các dịch vụ bảo mật trong VPN:
Mạng VPN cần được cung cấp 4 chức năng giới hạn để đảm bảođộ bảo mật cho dữ liệu. Bốn chức năng đó là:
Xác thực (Authentication ): xác định nguồn gửi dữ liệu.
Điều khiển truy cập (Access control): hạn chế những truy cập trái phép vào mạng.
Tin cậy (Confidentality): đảm bảo ngăn những người không được phép đọc dữ liệu khi truyền trên mạng.
Tính toàn vẹn của dữ liệu (Data integrity) : đảm bảo dữ liệu không bị thay đổi trong quá trình truyền trên mạng.
Việc xác thực người dùng và duy trì tính toàn vẹn của dữ liệu phụ thuộc vào các tiến trình mật mã (Cruptographic). Những tiến trình này sử dụng các bí mật được chia sẽ gọi là khoá (key) , việc quản lý và phân phối các khóa cũng tăng tính bảo mật của hệ thống.
Các dịch vụ Xác thực, mã hóa vàtoàn vẹn dữ liệu được cung cấp tại lớp Dta-link và lớp Network của mô hình OSI. Việc phát triển các dịch vụ bảo mật tại các lớp thấp của mô hình OSI làm cho các dịch vụ này trở nên trong suốt hơn với người dùng.
Có 2 hình thức áp dụng các dịch vụ bảo mật:
Mỗi hình thức kết nối có những ưu khuyết điểm khác nhau: kết nối đầu cuối- đầu cuối bảo mật hơn kết nối nút- nút nhưng nó làm tăng sự phức tạp cho ngưới dùng và có thể gây khó khăn hơn cho việc quản lý.
Các khối trong mạng VPN:
Mạng Internet VPN cgồm các thành phấn chính sau:
Internet.
Cổng nối bảo mật.
Máy chủ chính sách bảo mật (secutiry policy server).
Máy chủ cấp quyền CA (certificate authority).
Các cổng nối bảo mật (security gateway) được đặt giữa các mạng công cộng và mạng riêng, ngăn chặn các xâm nhập trái phép vào mạng riêng. Chúng thể cung cấp khả năng tạo đường hầm và mã hóa dữ liệu trước khi chuyển đến mạng cộng cộng. Cổng nối bảo mật cho mạng VPN gồm 1 trong các loại sau: bộ định tuyến (Router), tường lửa (firewall), phần mềm tích hợp VPN và phần mềm VPN.
Một thành phần quan trọng khác của mạng VPN là máy chủ chính sách bảo mật (security policy server). Máy chủ này bảo quản các danh sách điều khiển truy cập và các thông tin khác liên quan đến người dùng, những thông tin này được cổng nối dùng để xác các traffic nào được phép lưu thông.
Các máy chủ cấp quyền CA được để xác thực các khóa dùng chung để cấp quyền cho các người dùng thuộc hệ thống.
III. Các giao thức trong VPN:
Các giao thức đường hầm và bảo mật:
Việc truyền dữ liệu thông qua bất kỳ một phương tiện nào cũng phải tuân theo những giao thức nhất định. Đối với VPN, việc bảo vệ kênh giao tiếp riêng được thực hiện bằng kỹ thuật mã hoá ( ví dụ như DES hay 3DES) thông qua các giao thức bảo mật. Việc mã hoá có thể được thực hiện tại các tầng khác nhau trong kiến trúc OSI.
Bộ giao thức IP Security (IPSec):
Mụch đích của bộ giao thức IPSec là đảm bảo tính bí mât, toàn vẹn và xác thực của thông tin trên nền giao thức Internet (IP). Bộ giao thức IPSec sử dụng kết hợp một số giao thức mã hoá mạnh có khả năng giải quyết các vấn đề bảo mật trong các mạng truyền thông dựa trên nền IP bao gồm:
Internet Key Exchange (IKE): cung cấp một cách trao đổi khóa an toàn giữa các đối tác. Để làm việc đó giao thức IKE hỗ trợ các giải thuật mã hoá 3DES, giải thuật chia Tiger, giải thuật chữ ký điện tử RSA, giải thuật xác thực MD5….
Encapsulating Security Payload (ESP): sử dụng các kỹ thuật mã hoá mạnh (RC5, 3DES, Blowfish…) để đóng gói thông tin để sau đó chỉ có người nhận thông tin có khóa bí mật mới đọc được. Ngoài ra ESP còn cung cấp khả năng che giấu thông tin về địa chỉ IP của người gửi và người nhận.
Authentication Header (AH): giao thức này gắn các dữ liệu trong các gói (packet) với chữ ký điện tử cho phép người nhận kiểm tra danh tính người gửi cũng như tính toàn vẹn của thông tin.
IPSec hiện đang trở thành một phương tiện bảo mật giao tiếp chuẩn cho các nhà cung cấp.
Giao thức PPTP và giao thức L2TP:
Ngoài giao thức IPSec, người dùng cò có thể sử dụng 2 giao thức khác là PPTP (Point-to-Point Tunneling protocol) và L2TP (Layer 2 Tunneling Protocol). Cả hai giao thức này đã được tích hợp vào hệ điều hành Windows.
Giao thức PPTP: có nguồn gốc từ giao thức PPP ( Point-to-Point Protocol) dùng trong kết nối mạng Internet qua đường quay số Dial-up, được xây dựng dựa trên Microsoft Point-to-Point Encryption (MPPE).
Giao thức L2TP: là chuẩn mở được tích hợp giữa giao thứcPPTP của Microsoft và L2F của Cisco Systems.
Các giao thức quản trị:

Đài Tiếng Nói Nhân Dân TP.HCM là cơ quan truyền thông đại chúng, nhiệm vụ của Đài là tuyên truyền chủ trương chính sách của Đảng và nhà nước, nói lên tiếng nói của Đảng bộ và nhân dân TP.HCM. Trong giai đoạn mới hiện nay, việc áp dụng những thành tựu KHKT vào phục vụ công tác là việc tất yếu và là yếu tố mang tính chất sống còn đối với hoạt động của Đài nói riêng và tất cả các nghành nghề nói chung. Đài TNND TP.HCM đã và đang ứng dụng CNTT vào trong hoạt động của mình. Tuy còn trong giai đoạn xây dựng và hoàn thiện từng bước, nhưng việc ứng dụng CNTT đã mang lại những hiệu quả nhất định, hỗ trợ hiệu quả cho việc thực hiện các chương trình phát thanh - một nhiệm vụ mang tính chất chính trị quan trọng của Đài.
1. Giới thiệu hệ thống :
Trong giai đoạn đầu, Đài TNND TP.HCM đã tiến hành trang bị máy tính và thiết lập hệ thống mạng nội bộ để cải tiến, nâng cao hiệu quả công tác nghiệp vụ. Hiện trạng hệ thống đang hoạt động bao gồm:
Một mạng nội bộ kỹ thuật (LAN 1): tập hợp tất cả các máy tính được dùng để thực hiện các chương trình phát thanh, lưu trữ dữ liệu phục vụ cho việc xây dựng chương trình, truyền dữ liệu cho bộ phận phát sóng. Hiện nay để bảo đảm an toàn cho hoạt động phát thanh, không cho phép bất kỳ kết nối nào với mạng bên ngoài. ( sơ đồ mạng kỹ thuật- LAN 1 đài TNND TP.HCM).
Một mạng nội bộ biên tập (LAN 2): tập hợp tất cả các máy tính dùng để phục vụ cho việc biên tập các chương trình phát thanh, cho phép truy cập Internet thông qua một đường thuê bao ADSL chung cho cả mạng. ( sơ đồ mạng biên tập LAN 2 đài TNND TP.HCM).
Cả hai mạng đều được quản lý tập trung, có những qui định rõ ràng về chính sách bảo mật. Việc trao đổi dữ liệu giữa hai mạng hiện đang được thực hiện một cách thủ công thông qua các thiết bị lưu trữ lưu động.
1.1. Mạng nội bộ kỹ thuật (LAN 1):
Đây là phần quan trọng nhất của hệ thống, phải đảm bảo hoạt động liên tục, ổn định, an toàn. Đặc điểm của mạng:
Hệ điều hành: Window 2000 server, window 98, Window XP.
Sử dụng các phần mềm xử lý, convert, play các file âm thanh theo dạng chuẩn mp3 và một số phần mềm chuyên dụng cho phát thanh.
Dữ liệu lưu trữ và trao đổi trong mạng là các file âm thanh ở dạng chuẩn mp3.
Tất cả các máy tính và người dùng đều được quản lý. Mỗi cá nhân có những mức độ quyền hạn truy cập mạng khác nhau được quy định rõ ràng- chỉ được truy nhập mạng trên 1 máy cố định.
Yêu cầu quản lý bảo mật cao. Không được kết nối trực tiếp ra ngoài, kể cả kết nối internet.

Sơ đồ mô tả mạng kỹ thuật:


Có 3 nhóm chính:
Nhóm server: làm nhiệm của domain controller, file server. Server 1 và server 2 được chia thành nhiều thư mục, mỗi thư mục có qui định truy xuất riêng. Server 3 dùng để lưu trữ tư liệu chỉ cho phép các máy thuộc nhóm thu pha truy xuất để tải dữ liệu.
Nhóm máy truyền âm: làm nhiệm vụ truyền dữ liệu đến bộ phận phát sóng. Chỉ có quyền truy xuất đến một số thư mục trên các server 1 và server 2- chỉ đọc, tải dữ liệu về không cho phép thay đổi hay tải dữ liệu lên server, không có quyền truy xuất vào server 3.
Nhóm máy thu pha: thực hiện các chương trình phát thanh và tải chúng lên server. Nhóm này có quyền truy xuất vào server 3, được toàn quyền trên những thư mục riêng trên server 1 & 2.
1.2. Mạng nội bộ biên tập (LAN 2):


Link Download bản DOC
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:

 
Last edited by a moderator:
Các chủ đề có liên quan khác
Tạo bởi Tiêu đề Blog Lượt trả lời Ngày
T NGHIÊN CỨU TÌM HIỂU CÔNG NGHỆ BẢO MẬT GÓI IP (IPSEC) VÀ ỨNG DỤNG TRONG BẢO MẬT THÔNG TIN TRÊN MẠNG MÁY TÍNH Tài liệu chưa phân loại 3
D Ứng dụng mạng CNN cho việc ước lượng kênh của mạng viễn thông 5G Công nghệ thông tin 0
D Thiết kế hệ thống IoT ứng dụng chăm sóc cây dâu tây Nông Lâm Thủy sản 0
D Nghiên cứu ứng dụng enzyme amylase trong sản xuất rượu nếp trắng Nông Lâm Thủy sản 0
R Nghiên cứu các nhân tố ảnh hưởng đến quyết định mua hàng trực tuyến trên ứng dụng điện thoại thông minh tại TP.HCM Luận văn Kinh tế 0
R Thiết kế cầu Hoa Lâm sử dụng dầm bê tông cốt thép dự ứng lực Kiến trúc, xây dựng 0
R Nghiên cứu khả năng ứng dụng công nghệ CORS trong đo đạc địa chính bằng phương pháp đo GPS động Khoa học Tự nhiên 0
R nâng cao chất lượng ứng dụng công nghệ thông tin trong một số hoạt động ở trường mầm non Luận văn Sư phạm 0
R Đánh giá khả năng ứng dụng phương pháp ELISA để phân tích Clenbuterol trong thịt lợn Nông Lâm Thủy sản 0
D Thiết kế và chế tạo cánh tay robot 5 bậc tự do phân loại sản phẩm ứng dụng công nghệ xử lý ảnh Khoa học kỹ thuật 0

Các chủ đề có liên quan khác

Top