Để triển khai một hệ thống VPN chúng ta cần có những thành phần cơ bản sau đây: User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và t
Trang 1by VDLT
Trang 31 Khái niệm
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN
VPN là công nghệ xây dựng hệ thống
mạng riêng ảo nhằm đáp ứng nhu cầu chia
sẻ thông tin, truy cập từ xa và tiết kiệm chi phí.
VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo
được tính riêng tư và bảo mật dữ liệu.
Trang 52 Các tình huống thông dụng của VPN:
cập dữ liệu và ứng dụng cho người
dùng ở xa, bên ngoài công ty thông qua Internet
Trang 6 Site To Site: Áp dụng cho các tổ chức
có nhiều văn phòng chi nhánh, giữa
các văn phòng cần trao đổi dữ liệu với nhau
Intranet/ Internal VPN: Trong một số
tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng
tư, không cho phép những bộ phận
khác truy cập Hệ thống Intranet VPN
có thể đáp ứng tình huống này
Trang 73 Để triển khai một hệ thống VPN chúng ta cần
có những thành phần cơ bản sau đây:
User Authentication: cung cấp cơ chế chứng
thực người dùng, chỉ cho phép người dùng hợp
lệ kết nối và truy cập hệ thống VPN.
Address Management: cung cấp địa chỉ IP hợp
lệ cho người dùng sau khi gia nhập hệ thống
VPN để có thể truy cập tài nguyên trên mạng nội bộ.
Trang 8Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ
liệu.
quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.
Trang 9Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.
quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.
Trang 104 Một số phương pháp bảo mật trên VPN
a)Mã hóa (encryption):
Là quá trình làm thay đổi định dạng của dữ
liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi Để đọc thông tin được gửi,
người
nhận dữ liệu đó cần phải có chính xác khóa
giải
mã (decryption key)
Trang 11b) Xác nhận (authentication): Là quá trình
để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là
username và password để truy cập tài
nguyên
c) Ủy quyền (authorization): là sự cho
phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công.
Trang 125 Các thành phần cần thiết để tạo kết nối VPN:
User Authentication: cung cấp cơ chế chứng thực người
dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập
hệ thống VPN
Address Management: cung cấp địa chỉ IP hợp lệ cho
người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong
quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn
dữ liệu
Key Management: cung cấp giải pháp quản lý các khoá
dùng cho quá trình mã hoá và giải mã dữ liệu.
Trang 136 Giao thức đường hầm VPN:
Có 3 giao thức đường hầm chính được sử dụng trong VPN:
a) IP Security (IPSec)
IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người
sử dụng ở hệ thống mạng công cộng IPSec thi hành ở phân lớp
Network trong mô hình OSI (Open System Interconnect) Do đó nó có thể thực thi độc lập với ứng dụng mạng
b) Point-to-Point Tunneling Protocol (PPTP).
PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và
thường được sử dụng trong truyền thông tin hệ điều hảnh Windows
c) Layer 2 Tunneling Protocol (L2TP)
L2TP là sự phối hợp của L2F (1 loại truyền thông tin an toàn trên
Internet) và PPTP Thường được sử dụng để mã hóa các khung
Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR và ATM.
Trang 15VPN Client – to - site (Cấu hình ISA Server
2004 Firewall đóng vai trò một VPN Server)
Trang 16a) Enable VPN Server
Theo mặc định, VPN server trên ISA Server bị disabled.
Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name Click trên Virtual
Private Networks (VPN) node.
Trang 18Click trên Tasks tab trong Task Pane Click Enable VPN Client Access.
Trang 19 Click Apply để lưu những thay đổi và cập nhật firewall
policy.
Trang 20 Click OK trong Apply New Configuration dialog box.
Click Configure VPN Client Access.
Trang 21 Trên General tab, thay đổi giá trị là
Maximum number of VPN clients allowed từ 5 đến 10.
Trang 22Click trên Groups tab Trên Groups tab, click Add button.
Trang 23 Trong Select Groups dialog box, click Locations button
Trong Locations dialog box, click auviet.vn entry và click OK
Trang 24 Trong Select Group box, điền Domain Users trong
Enter the object names to select text box Click Check Names button group
name này sẽ có gạch dưới khi nó được tìm thấy trong Active Directory Click OK
Trang 25 Click Protocols tab Trên Protocols tab, đánh dấu check vào Enable L2TP/IPSec check box.
Trang 26 Click User Mapping tab Đánh dấu check vào Enable User Mapping box Đánh dấu check vào When username does not contain a domain,
use this domain check box
Điền vào auviet.vn trong Domain Name text box.
Trang 27Click Apply lưu lại những thay đổi và cập nhật cho firewall policy.
Trang 28 Restart ISA Server 2004 firewall.
Trang 29b) Tạo một Access Rule cho phép VPN Clients truy cập vào Internal Network
Tiến hành các bước sau để tạo VPN clients Access Rule:
Trong Microsoft Internet Security and Acceleration Server 2004
management console, mở rộng server name và click Firewall Policy node Right click Firewall Policy node, chọn New và click Access Rule.
Trang 30 Trong Welcome to the New Access Rule Wizard page,
đặt tên cho rule trong Access Rule name text box
Trong ví dụ này, chúng ta sẽ đặt tên cho rule là VPN client to site Click Next.
Trang 31 Trên Rule Action page, chọn Allow và click Next.
Trang 32 Trên Protocols page, chọn All outbound traffic từ danh sách This rule applies to Click Next.
Trang 33 Trên Access Rule Sources page, click Add Trong Add Network Entities box, click Networks folder và double click trên VPN Clients Click Close.
Trang 34 Click Next trên Access Rule Sources page.
Trên Access Rule Destinations page, click Add Trên Add Network
Entities box, click Networks folder và double click trên Internal Click Close.
Trang 35 Trên User Sets page, chấp nhận xác lập mặc định là, All Users, và click
Next.
Trang 36 Click Finish trên Completing the New Access Rule Wizard page.
Trang 37 Click Apply để lưu những thay đổi và cập nhật firewall policy.
Trang 38c) Enable truy cập quay số Dial-in Access cho Administrator Account
Tiến hành các bước sau trên domain controller để enable Dial-in access cho riêng Administrator account:
Click Start và chọn Administrative Tools Click Active Directory Users
and Computers.
Trong Active Directory Users and Computers console, click trên Users node trong khung trái Double click trên Administrator account trong
khung phải
Trang 39 Click trên Dial-in tab Trong khung Remote Access Permission
(Dial-in or VPN), chọn Allow access Click Apply và click OK.
Trang 40d) Kiểm tra kết nối VPN
ISA Server 2004 VPN server giờ đây đã chấp nhận các kết nối VPN client Tiến hành các bước sau để kiểm tra VPN Server:
Trên VPN-client, right click My Network Places icon trên desktop và click Properties.