Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường truyền. Vì thế VPN - Virtural Private Network được sử dụng như một giải pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp tương đối toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên Internet. Đặc biệt phần mềm Check Point – VPN – 1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.

Trong khuôn khổ báo cáo Đề tài nghiên cứu khoa học này, nhóm em xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.

Tên đề tài: “ Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Check Point”

Bài báo cáo nhóm em gồm 4 chương.

- Chương 1: Nhóm em tìm hiểu về “Công nghệ Mạng riêng ảo”. Trong chương này chúng em trình bày về tính cần thiết của mạng riêng ảo, các khái niệm mạng riêng ảo, các mô hình mạng riêng ảo thông dụng, các giao thức sử dụng trong mạng riêng ảo.

- Chương 2: Nhóm em tìm hiểu về “ Giải pháp mạng riêng ảo của CheckPoint”. Trong chương này chúng em tìm hiểu về tường lửa CheckPoint, các mô hình triển khai, chức năng VPN của Check Point,

- Chương 3: “ Triển khai VPN trên Check Point ”. Trong chương này chúng em xây dựng 2 mô hình VPN Remote Access và VPN site-to-site.

- Chương 4: “Một số vấn đề an toàn của Check Point” . Trong chương này chúng em trình bày cách thử nghiệm tấn công DoS giữa các kết nối VPN.

Trong quá trình thực hiện đề tài này ngoài những cố gắng của bản thân chúng em đã nhận được sự giúp đỡ, động viên rất lớn từ các thầy cô và các bạn trong khoa, đặc biệt là thầy Hoàng Sỹ Tương. Cảm ơn thầy đã giúp đỡ tận tình để chúng em hoàn thành đề tài này.Em xin gửi lời cảm ơn đến các thầy,các cô trong Phòng Nghiên Cứu Khoa Học HV KT Mật Mã đã tạo điều kiện cho em được tìm hiểu, nghiên cứu nhằm nâng cao kiến thức về đề tài được giao. Do thời gian nghiên cứu đề tài chưa nhiều, kiến thức còn hạn chế , nên không thể tránh khỏi những sai sót, kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô trong Phòng Nghiên Cứu Khoa Học, các thầy cô trong các Khoa. Nhóm em xin chân thành cảm ơn !

Mục lục

Chương 1: Công nghệ mạng riêng ảo.

1.1. Tính cần thiết của mạng riêng ảo .

1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng

1.2.1. Khái niệm về mạng riêng ảo.

1.2.2. Các mô hình mạng riêng ảo thông dụng .8

1.2.2.1. VPN Remote Access 8

1.2.2.2. VPN site – to – site 9

1.3. Các yêu cầu đối với VPN, ưu điểm, nhược điểm của VPN 14

1.3.1. Các yêu cầ đối với VPN .14

1.3.2. Ưu nhược điểm của VPN 15

1.4. Các giao thức sử dụng trong VPN 17

1.4.1. Giao thức đường hầm điểm điểm - PPTP 18

1.4.2. Giao thức chuyển tiếp tầng 2 - L2F 32

1.4.3. Giao thức đường hầm tầng 2 – L2TP. 36

1.4.4. Giao thức IPSec. 46

1.4.5. Giao thức SSL. 58

1.4.6. Giao thức MPLS 59

Chương 2: Giải pháp mạng riêng ảo của Check Point.

2.1. Giới thiệu về tường lửa Check Point 64

2.1.1. Kiến trúc tường lửa Check Point 64

2.1.2. Các mô hình triển khai .68

2.2. Chức năng VPN của tường lửa Check Point .70

2.2.1. Cơ bản về chức năng VPN. .70

2.2.1.1. Các thành phần VPN .70

2.2.1.2. Các thuật ngữ, khái niệm đặc trưng 71

2.2.1.3. Site to site VPN 73

2.2.1.4. VPN Communities( cộng đồng VPN ) .73

2.2.1.5. Remote Access VPN 74

2.2.2. Giao thức trao đổi khóa Internet – IKE(Internet Key Exchange) 74

2.2.2.1. IKE Phase1 75

2.2.2.2.IKE Phase 2 79

2.2.2.3. Các phương pháp mã hóa và đảm bảo tính toàn vẹn .80

2.2.2.4. Các chế độ trong Phase 1 81

2.2.2.5. Bảo vệ lại tấn công DoS IKE .82

2.2.3. Cơ sở hạ tầng khóa công khai PKI .85

Chương 3: Triển khai VPN trên Check Point.

3.1 Mô hình VPN Remote Access .86

3.1.1. Mô hình 86

3.1.2. Các bước cấu hình .

3.1.2.1Cấu hình VPN Remote Access sử dụng xác thực Pre-share key 88

3.1.2.2. Cấu hình xác thực sử dụng certificate 106

3.1.2.3 Cấu hình sử dụng tài khoản domain (ldap user ) để thực hiện kết với VPN tới gateway 111

3.2. Mô hình VPN Site- to- Site .116

3.2.1. Mô hình .116

3.2.2. Các bước cấu hình .117

Chương 4: Một số vấn đề an toàn của Check Point

4.1.Xung đột địa chỉ IP trong cấu hình VPN-Tunnel . .129

4.1.1. Mô hình 129

4.1.2. Các bước thực hiện tấn công DoS như sau 131

4.1.3. Giải pháp. .13