1. Trang chủ
  2. » Công Nghệ Thông Tin

MultiBooks - Tổng hợp IT - PC part 288 doc

5 77 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 188,87 KB

Nội dung

1. Các Client VPN Client VPN có thể là một máy tính hoặc thiết bị có khả năng tạo một kết nối PPTP hoặc L2TP Các Client VPN có nhiều loại, nhiều dạng và nhiều kích cỡ. Một số Client VPN điển hành được sử dụng rộng rãi ngày nay là: - Người dùng Laptop kết nối tới Intranet của tổ chức đề truy cập email và các tài nguyên khác - Những người quản trị từ xa sử dụng Internet để kết nối tới mạng của tổ chức để cấu hình mạng hoặc các dịch vụ ứng dụng. - Nhiều người dùng khác tận dụng ưu điểm về khả năng kỹ thuật của giải pháp truy cập từ xa, chẳng hạn như các giải pháp truy cập mạng không giây, các hệ thống kiểm soát từ xa, các mạng truyền thông Trong khuôn khổ của giáo trình này, sẽ tập trung vào các Client thông dụng nhất, chẳng hạn như Client sử dụng hệ điều hành WinXP và Windows 2000 Pro của Microsoft. Các Client VPN có thể cấu hình các kết nối mạng riêng ảo một cách thủ công bằng việc tạo các kết nối trên hệ điều hành, hoặc người quản trị hệ thống có thể đơn giản hoá bằng các công cụ sẵn có trên hệ điều hành. 2. Hạ tầng mạng Internet Trong các thảo luận của chúng ta về giải pháp truy cập từ xa với mạng riêng ảo, chúng ta sẽ làm việc với các kết nối qua Internet. Điều này có nghĩa là chúng ta dựa vào Internet, nó là mạng trung gian, cung cấp các dịch vụ và phương tiện truyền thông tới người dùng. Để tạo một kết nối mạng riêng ảo tới một máy chủ mạng riêng ảo qua Internet, ta cần kiểm chứng các mục sau trước khi bất kỳ kết nối nào được tạo - Tên máy chủ mạng riêng ảo phải có khả năng giải quyết: Đảm bảo rằng tên DNS của máy chủ mạng riêng ào khó khả năng xử lý từ Internet bằng việc đặt một bản ghi DNS thích hợp hoặc trên máy chủ DNS Internet hoặc trên máy chủ DNS của ISP. Kiểm thử khả năng xử lý bằng công cụ Ping để ping tới tên của mỗi máy chủ mạng riêng ảo - Máy chủ mạng riêng ảo phải có khả năng kết nối tới: Đảm bảo rằng các địa chỉ IP của máy chủ mạng riêng ảo có khả năng kết nối tới từ Internet - Luồng lưu lượng VPN phải được phép từ máy chủ mạng riêng ảo: Cấu hình bộ lọc gói cho luồng lưu lượng PPTP, L2TP hoặc cả hai kiểu trên các Firewall và giao diện máy chủ mạng riêng ảo thích hợp đang kết nối tới Internet và mạng vành đai 3. Các giao thức xác thực Để xác thực người dùng, các giao thức xác thực thường được sử dụng là: - Giao thức xác thực mật khẩu (PAP) - Giao thức xác có thăm dò trước (CHAP) - Giao thức xác thực có thăm dò trước của Microsoft (MS-CHAP) - Giao thức MS-CHAP phiên bản 2 (MS-CHAP v2) - Giao thức xác thực – hàm băm thông điệp MD5 mở rộng (EAP-MD5) - Giao thức xác thực - bảo mật tầng vận tải mở rộng (EAP-TLS) Với các kết nối PPTP, có thể sử dụng MS-CHAP, MS-CHAP v2, hoặc EAP- TLS. Chỉ 3 giao thức này cung cấp một cơ chế để tạo khoá mã hoá giống nhau trên cả Client và Server. MPPE sử dụng khoá mã hoá này để mã hoá tất cả dữ liệu PPTP trên kết nối mạng riêng ảo. MS-CHAP and MS- CHAP v2 là các giao thức xác thực dựa vào mật khẩu. Với các kết nối L2TP, bất kỳ giao thức xác thực nào cũng có thể được dùng vì việc xác thực xuất hiện sau khi Client VPN và Server VPN thiết lập một kênh liên lạc an toàn, chẳng hạn như ta đã biết đó là liên kết an toàn IPSec (SA). Tuy nhiên, nhưng giao thức có khả năng xác thực mạnh được khuyến cáo sử dụng. 4. Các giao thức định đường hầm mạng riêng ảo Cùng với việc quyết định một giao thức xác thực, ta cần quyết định giao thức đường hầm nào sẽ dùng cho việc triển khai mạng riêng ảo. Hai giao thức định đường hầm mạng riêng ảo truy cập từ xa thông dụng là - Giao thức định đường hầm điểm - tới - điểm (PPTP) - Giao thức định đường hầm tầng 2 với IPSec (L2TP/IPSec) 5. Máy chủ mạng riêng ảo Máy chủ mạng riêng ảo là trung tâm của toàn bộ hoạt động mạng riêng ảo. Máy chủ mạng riêng ảo thực hiện các công việc sau: - Lắng nghe kết nối PPTP và các thương lượng SA IPSec cho kết nối L2TP - Xác thực và cấp quyền cho các kết nối mạng riêng ảo trước khi cho phép dữ liệu lưu chuyển - Hoạt động như một Router chuyển tiếp dữ liệu giữa các Client VPN và các tài nguyên trên Intranet - Hoạt động như một điểm cuối của đường hầm mạng riêng ảo Máy chủ mạng riêng ảo thường có 2 hoặc nhiều hơn 2 cardmang để kết nối tới Internet và cả Intranet 6. Hạ tầng mạng Intranet Hạ tầng mạng của Intranet là một phần tử quan trọng của thiết kế mạng riêng ảo. Không có thiết kế thích đáng, các Client VPN không có khả năng thu được các địa chỉ IP và xử lý các tên trong mạng cục bộ, và các gói không thể được chuyển tiếp giữa các Client và các tài nguyên mạng Intranet, các Client sẽ không có khả năng truy cập tới bất kỳ tài nguyên nào trên mạng Intranet Giải quyết vấn đề đặt tên Nếu ta sử dụng DSN để xử lý các tên máy chủ trong mạng Intranet, đảm bảo rằng máy chủ mạng riêng ảo được cấu hình với các địa chi IP của DNS bên trong thích hợp. Để đảm bảo việc xử lý tên với các tài nguyên bên ngoài mạng Intranet, cấu hình DNS bên trong để truy vấn các máy chủ ISP bên ngoài. Đây là điều quan trọng, nếu không thực hiện như vậy, các Client VPN sẽ không thực hiện chức năng một cách đúng đắn. Máy chủ VPN nên được cấu hình DNS một cách thủ công. Như một phần của quá trình thương lượng PPP, các Client VPN nhận địa chỉ IP của DNS. Theo ngầm định các Client VPN kết thừa các địa chỉ DNS đã cấu hình trên máy chủ mạng riêng ảo 7. Cơ sở hạ tầng AAA Cơ sở hạ tầng cho việc xác thực, cấp quyền và kiểm toán là một phần sống còn của cơ sở hạ tầng mạng riêng ảo vì nó là hệ thống giữ cho tính năng an toàn thực hiện trên giải pháp truy cập từ xa. AAA kiểm soát tất cả truy cập tới Gateway; xử lý tất cả các đăng nhập một lần và vấn đề truy cập tài nguyên. Cơ sở hạ tầng AAA tồn tại để: - Xác thực giấy uỷ nhiệm của các Client VPN - Cấp quyền cho các kết nối mạng riêng ảo - Ghi lại việc tạo ra và kết thúc kết nối mạng riêng ảo cho chức năng kiểm toán Cơ sở hạ tầng AAA bao gồm - Máy chủ mạng riêng ảo - Một máy chủ RADIUS - Một máy điều khiển tên miền Các chính sách truy cập từ xa Các chính sách truy cập từ xa là một tập có thứ tự các luật định nghĩa những kết nối nào được chấp nhận hay từ chối. Với các kết nối được chấp nhận, các chính sách truy cập từ xa cũng có thể định nghĩa để các hạn chế kết nối. Với mỗi luật, có một hoạc nhiều hơn các điều kiện, một tập các thiết lập hồ sơ và một tập các thiết lập mức cho phép truy cập từ xa. Các nỗ lực kết nối được đánh giá dựa vào các chính sách truy cập từ xa, nó cố gắng xác định kết nối nào phù hợp tất cả các điều kiện của mỗi chính sách. Nếu nổ lực kết nối không phù hợp với tất cả các điều kiện của bất kỳ một chính sách nào, thì nó sẽ bị từ chối. Nếu một kết nối phù hợp với tất cả các điều kiện của một chính sách truy cập từ xa và được cấp phát mức cho phép truy cập từ xa, hồ sơ chính sách truy cập từ xa xác định một tập các hạn chế kết nối. Các đặc tính quay số của tài khoản người dùng cũng cung cấp một tập các hạn chế. Chính sách truy câp từ xa bao gồm các phần tử sau: - Các điều kiện: Các điều kiện chính sách truy cập từ xa là một hoặc nhiều thuộc tính mà được so sánh với các thiết lập của nổ lực kết nối. Nếu có nhiều điều kiện, tất cả các điều kiện phải phù hợp với thiết lập của nổ lực kết nối để cho nó phù hợp với chính sách. Với các kết nối mạng riêng ảo, ta thường sử dụng các điều kiện sau: + Loại cổng NAS: Bằng việc thiết lập điều kiện này với mạng riêng ảo, ta có thể xác định tất cả các kết nối mạng riêng ảo. + Kiểu đường hầm: Với điều kiện này, ta có thể chỉ rõ các chính sách khác nhau với các kết nối PPTP và L2TP + Nhóm: Với các nhóm, ta có thể cấp quyền hoặc từ chối truy cập theo nhóm thành viên - Mức cho phép: Ta có thể dùng các thiết lập mức cho phép để cấp quyền hoặc từ chối truy cập từ xa nếu mức cho phép truy cập từ xa của tài khoản người dùng được thiết lập để kiểm soát truy cập qua chính sách truy cập từ xa. Trường hợp khac, thiết lập mức cho phép trên tài khoản người dùng xác định mức cho phép truy cập từ xa. - Các thiết lập hồ sơ: Một hồ sơ chính sách truy cập là một tập các thuộc tính được áp dụng với một kết nối lúc nó được xác thực. Với các kết nối mạng riêng ảo, ta có thể sử dụng các thiết lập hồ sơ như sau: + Các ràng buộc quay số có thể được dùng để định nghĩa bao lâu thì kết nối có thể tồn tại trước khi bị kết thúc bởi máy chủ mạng riêng ảo. + Mặc dù sử dụng các bộ lọc gói IP, việc thiết lập IP có thể định nghĩa các loại lưu lượng IP được cho phép với các kết nối mạng riêng ảo truy cập từ xa. Với . (CHAP) - Giao thức xác thực có thăm dò trước của Microsoft (MS-CHAP) - Giao thức MS-CHAP phiên bản 2 (MS-CHAP v2) - Giao thức xác thực – hàm băm thông điệp MD5 mở rộng (EAP-MD5) - Giao thức. MD5 mở rộng (EAP-MD5) - Giao thức xác thực - bảo mật tầng vận tải mở rộng (EAP-TLS) Với các kết nối PPTP, có thể sử dụng MS-CHAP, MS-CHAP v2, hoặc EAP- TLS. Chỉ 3 giao thức này cung cấp một cơ. giao thức định đường hầm mạng riêng ảo truy cập từ xa thông dụng là - Giao thức định đường hầm điểm - tới - điểm (PPTP) - Giao thức định đường hầm tầng 2 với IPSec (L2TP/IPSec) 5. Máy chủ

Ngày đăng: 08/07/2014, 09:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN