Triển Khai Hệ Thống IPSec/VPN An Toàn Thông Tin Cho Remote User Bảo mật thông tin là một vấn đề được rất nhiều người quan tâm, theo đánh giá của IDG thì nhu cấu về các chuyên gia bảo mật sẽ bùng nổ trong năm 2006, vì vậy để nâng cao khả năng nắm bắt cơ hội ngề nghiệp thì các bạn trẻ, sinh viên cần trang bị cho mình những kiến thức tốt cho vấn đề bảo mật thông tin. Đặt biệt là lĩnh vực IPSec/VPN - một trong những chủ đề thường được đề cập trong các cuộc phỏng vấn. Hiện nay, phần lớn các công ty chưa có một hệ thống bảo mật chuyên nghiệp và chặt chẽ cho tổ chức củamình, phần lớn là do điều kiện chi phí và chưa nhận thức rõ các mối nguy hiểm từ các nhân tố bên ngòai như virus, haacker/attacker và cả những mối nguy hiểm nội bộ như sniffer attacker Vì vậy hầu hết đều dừng lại ở việc trang bị cho mình các hệ thống Anti Virus và xây dựng các bức tường lữa (firewall). Trong khi đó nhu cầu truy cập và quản lý dữ liệu từ xa thông qua các kết nối remote access thường ít được quan tâm và ứng dụng. Vì vậy trong chuyên mục hôm nay tôi sẽ trình bày một giải pháp đáp ứng các nhu cầu chia sẽ dữ liệu, cập nhật thông tin và sử dụng/quản lý ứng dụng từ xa thông qua kết nối VPN với cơ chế mã hóa dựa trên giao thức IPSec. IPSEC/VPN LÀ GÌ – TẠI SAO CẦN CÓ IPSEC/VPN 1.VPN VPN (virtual private network) là công nghệ xây dựng một hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu bảo mật trong việc chia sẽ thông tin và tiết kiệm chi phí. Thông thường, để hổ trợ cho các nhân viên truy cập vào tài nguyên của tổ chức các doanh nghiệp thường xây dựng các hệ thống Remote Access quay số dựa trên hệ thống điện thọai, điều này sẽ làm cho chi phí dial-up tăng lên khi người dùng phải truy cập dữ liệu ở những vùng cách xa nhau, vì vậy chúng ta nên triển khai hệ thống các VPN để giảm thiểu chi phí này và nâng cao độ an tòan trong quá trình truy cập ứng dụng. Ví dụ trong một công ty, quá trình truy cập giữa các nhân viên trong bộ phận kinh doanh cần được bảo đảm an tòan, và các nhân viên của những phòng ban khác không có thẩm quyền sẽ không được tương tác vào dữ liệu truyền của bộ phận kinh doanh. Hoặc chúng ta muốn hổ trợ cho các nhânviên marketing, chuyên viên quản trị hệ thống có thể truy cập vào tài nguyên chia sẽ Sale Reports để báo cáo kết quả họat động, truy cập vào máy tính các nhân của mình trong văn phòng từ bên ngòai công ty hay ở nhà hoặc hổ trợ các chuyên viên quản trị hệ thống quản lý dịch vụ DHCP/DNS và các máy chủ của công ty Chúng ta có thể đáp ứng nhu cầu này thông qua việc xây dựng 1 hệ thống mạng riêng ảo nhằm phục vụ các kết nối cho những trường hợp ứng dụng trên. Có 2 dạng VPN là : - REMOTE ACCESS VPN: đáp ứng các nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngòai công ty. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, check từ các mail server nội bộ của công ty, tổ chức. - SITE TO SITE VPN: trường hợp này áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẽ thông tin giữa các chi nhánh đặt tại Singapor và Việt Nam Những giao thức được sử dụng trong môi trừờng VPN: - PPTP - L2TP 2.IPSEC Như chúng ta biết để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyển thông với nhau chúng phải sử dụng cùng một giao thức, giống như ngôn ngữ giao tiếp trong thế giới con người và giao thức phổ biến hiện nay là TCP/IP. Tuy nhiên khi các gói tin (packet) được truyền đi, mặc định chúng không hề được bảo vệ bởi bất cứ một cơ chế nào chính vì vậy chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo đảm an tòan cho đường truyền của mình. Có nhiều giả pháp khác nhau để thực hiện vần đề này, chúng ta có thể sử dụng các chương trình mã hóa và chúng thực để tiến hành mã hóa dữ liệu tại tầng ứng dụng, nhưng điều này sẽ làm tăng chi phí và phải triển khai các chương trình mã hóa đầu cuối để thực hiện việc mã hóa và giải mã. Trong khi đó chúng ta có thể sử dụng cơ chế mã hóa tại tầng Network dựa trên IPSEC, đây là một giao thức họat động trên chồng giao thức TCP/IP cho nên chúng ta có thể tiết kiệm nhiều chi phí trong quá trình triển khai và quá trình mã hóa – giải mã cũng như chứng thực diễn ra hòan tòan trong sưốt đối với người dùng. Có 2 chế độ sử dụng ipsec đó là: - TUNNEL MODE - TRANSPORT MODE Và trong quá trìnhchứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một trong hai hoặc cả 2 giao thức bảo mật sau đây: - AH : Athentication Header, trong trường hợp này header của packet sẽ được mã hóa và bảo vệ chặt chẽ phòng chống các trường hợp ip spoofing hay man in the midle attack, tuy nhiên trong trường hợp này phần data payload không được bảo vệ - ESP: Encapsulation Payload, khi áp dụng esp thì nội dung của dữ liệu (phần payload) sẽ được mã hóa, ngăn chặn các trường hợp hacker/attacker đặtcác chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền thông, nhằm đảm bảo tính riêng tư của dữ liệu. Vì vậy trường hợp này rất hay được áp dụng, nhưng nếu muốn bảo vệ luốn cả phần header của packet thì chúng ta phải kết hợp cả 2 giao thức AH và ESP. 3. Triển khai IPSEC/VPN trên hệ thống Windwos Server 2003 cho công ty Green Lizard Books a. step 1: Xây dựng hệ thống domain controler cho công ty (dcpromo-srv-11-greenlizardbooks-domain-controller.avi) b. step 2 : join srv-1 (vpn server) vào domain (join_srv-1_server_to_domain.avi) c. step 3 : cài đặt VPN server trên srv-1 (install_vpn_server_on_srv-1.avi) d. step 4 : Thiết lập kết nối cho VPN Client Client-1 và conect đến VPN Server (create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi) e. step 5 : join VPN Client Client-1 vào domain (join-vpn-client-1-to-greenlizardbooks_domain.avi) f. step 6 : Yêu cầu cấp phát Chúng chỉ điện tử (certificate) cho VPN Server và Client dùng để chứng thực và mã hóa. (request_certificate_for_vpn_server_and_client.avi ) g. step 7 : Thiết lập kết nối VPN dựa trên giao thức L2TP/IPSEC (establish_L2TP_VPN_connection.avi) . Triển Khai Hệ Thống IPSec/VPN An Toàn Thông Tin Cho Remote User Bảo mật thông tin là một vấn đề được rất nhiều người quan tâm, theo đánh giá của IDG thì nhu. ESP. 3. Triển khai IPSEC/VPN trên hệ thống Windwos Server 2003 cho công ty Green Lizard Books a. step 1: Xây dựng hệ thống domain controler cho công ty (dcpromo-srv-11-greenlizardbooks-domain-controller.avi) b vào tài nguyên của tổ chức các doanh nghiệp thường xây dựng các hệ thống Remote Access quay số dựa trên hệ thống điện thọai, điều này sẽ làm cho chi phí dial-up tăng lên khi người dùng phải