triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003 triển khai hệ thống ipsecvpn trên windows server 2003
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TPHCM KHOA CÔNG NGHỆ THÔNG TIN II BÁO CÁO ĐỒ ÁN MÔN HỌC AN TOÀN MẠNG Đề tài: Giáo viên hướng dẫn: Thầy Lê Phúc Nhóm thực hiện: Lê Thị Kim Anh 405170002 Nguyễn Thị Cẩm Tú 405170092 Nguyễn Thị Lan Phương 405170049 Thành Phố Hồ Chí Minh 04– 2009 Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 1 - MỤC LỤC I. Tìm hiểu kỹ thuật về VPN - 2 - 1. Các đặc trưng của VPN - 2 - 2. Các giao thức dùng trong VPN - 4 - II. Tìm hiểu cơ chế mã hóa IPSec - 6 - 1. Giới thiệu về IPSec - 6 - 2. Các chế độ làm việc - 6 - a. Chế độ giao vận - 6 - b. Chế độ đường hầm - 6 - c. Chế độ kết hợp - 7 - 3. Sử dụng IPSec - 7 - a. Mục đích khi dùng IPSec - 7 - b. Ưu điểm khi dùng IPSec - 7 - 4. Triển khai IPSec - 9 - a. Cách IPSec bảo mật lưu lượng - 9 - b. IPSec Security Policy là gì? - 9 - c. Các Policy IPSec làm việc với nhau như thế nào - 11 - 5. Triển khai IPSec với Certificates - 11 - a. Giới thiệu Certificate - 11 - b. Tại sao lại dùng Certificates với IPSec để bảo mật lưu lượng mạng - 12 - III. Mô hình kết nối IPSec VPN - 13 - 1. Mô hình IPSec - 13 - 2. Mô hình GRE - 14 - 3. Mô hình Remote Access Client - 15 - IV. Triển khai hệ thống IPSec/VPN trên windows server 2003 - 16 - 1. Mô hình triển khai - 16 - 2. Cài đặt trên máy chủ VPN - 17 - a. Cài đặt DC - 17 - b. Cài đặt IAS - 19 - c. Cài đặt VPN - 20 - 3. Cài đặt cho máy IIS - 21 - 4. Cài đặt cho máy CLIENT - 22 - Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 2 - I. Tìm hiểu kỹ thuật về VPN 1. Các đặc trưng của VPN VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối phức tạp và tốn kém như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Định đường hầm (tunneling) là một phần cốt yếu của VPN dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Trong VPN, định đường hầm che giấu giao thức lớp mạng nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc IP (vỏ bọc IP này thực ra là một gói IP), sau đó sẽ được chuyển đi một cách bảo mật qua mạng Internet. VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận này thường định ra một giới hạn trên cho phép về độ trễ trung bình của gói trong mạng. Khi nói đến VPN là người ta nghĩ ngay đến các thuật ngữ sau: hiệu quả, an toàn, bảo vệ tính riêng tư của dữ liệu. Để đạt được những mục tiêu này thì khi thiết kết một VPN có hiệu quả cao thì bắt buộc phải đảm bảo bốn đặc tính sau : Bảo mật dữ liệu (Data confidentiality): những tác nhân bất hợp pháp sẽ không hiểu được nội dung của thông điệp. Toàn vẹn dữ liệu (Data integrity): đảm bảo nội dung của thông điệp không bị thay đổi khi truyền từ nguồn đến đích. Không thể chối cãi (Sender non-repudiation): đảm bảo người gửi là hợp pháp khi gửi đến người nhận. Xác thực thông điệp (Message authentication): đảo bảo rằng một thông điệp được gửi từ một nguồn đã xác thực và đến một đích xác thực. Dưới đây sẽ minh họa một số phương thức dùng để thể hiện các đặc trưng đã nêu Tính bảo mật được minh họa bằng hình sau đây : Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 3 - Hình: Tính bảo mật Bên gửi và bên nhận sẽ sử dụng một khóa chung để mã hóa và giải mã. Giả sử khóa này đã được trao đổi một cách an toàn giữa bên gửi và bên nhận bằng thuật toán Diffie Hellman. Tính toàn vẹn được minh họa bằng hình sau đây: Hình: Tính toàn vẹn Hàm băm được sử dụng để đảm bảo tính toàn vẹn của dữ liệu. Tính xác thực và không thể chối cãi được minh họa bằng hình sau đây: Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 4 - Hình: Tính xác thực và không thể chối cãi được Chữ kí số cung cấp một phương thức giúp bên nhận xác thực được thông điệp và tính không thể chối cãi của bên gửi. 2. Các giao thức dùng trong VPN Có 4 giao thức chính dùng để xây dựng VPN. Giao thức định đường hầm điểm – điểm: PPTP (Point-to-Point Tunneling Protocol) là giao thức định đường hầm phổ biến nhất hiện nay, nó sử dụng cách mã hóa sẵn có của Windows, xác thực người dùng và là cơ sở để cấu hình giao thức điểm – điểm PPP (Point-to- Point Protocol). Giao thức bảo mật IP – IPSec :Giao thức này sử dụng trong việc mã hóa. IPSec có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở là các máy tính mà không phải là các người dùng. IPSec được cung cấp như một phần của hệ điều hành Windows NT 4.0, Windows 2000, Windows Server 2003. Giao thức định đường hầm lớp 2 – L2TP: Giao thức này sử dụng kỹ thuật khóa công cộng (public key) để thực hiện việc xác thực người dùng. L2TP thực hiện trong môi trường đa dạng hơn PPTP, và nó không thể thực hiện việc mã hóa. Giao thức chuyển tiếp lớp 2 – L2F: Là cơ sở để xây dựng L2TP. Sau đây là bảng so sánh giữa các giao thức: Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 5 - Tên Ưu điểm Nhược điểm Sử dụng IPSec + Hoạt động độc lập với các ứng dụng mức cao. + Cho phép che giấu địa chỉ mạng mà không cần dùng NAT. + Đáp ứng phát triển các kỹ thuật mã hóa. + Hỗ trợ hạn chế trong các sản phẩm. + Ít hỗ trợ giao diện (vì đây là phần nền bên dưới ở lớp mạng). + Sử dụng tốt cho việc truy cập từ xa bằng quay số (dial-up). PPTP + Cung cấp cho đầu cuối-đầu cuối và định đường hầm nút-nút. + Sử dụng những miền người dùng Windows có sẵn cho việc xác thực. + Sử dụng RSA RC-4. + Client có thể đặt phía sau NAT Router. + Không cung cấp mã hóa dữ liệu từ những máy chủ truy cập từ xa. + Mang tính độc quyền lớn, yêu cầu một máy chủ WinNT để kết thúc đường hầm. + Chỉ sử dụng mã hóa bằng RSA RC-4. + Dùng tại các máy chủ truy cập từ xa cho định đường hầm proxy. + Có thể dùng cho máy để bàn Win9x hay máy trạm dùng WinNT. + PPTP có thể sử dụng cho Remote Access hay Site-to- Site VPN. L2F + Cho phép định đường hầm đa giao thức. + Được cung cấp bởi nhiều nhà cung cấp. + Không có mã hóa. + Yếu trong việc xác thực người dùng. + Không có điều khiển luồng cho đường hầm. + Dùng cho truy cập từ xa tại POP. L2TP + Kết hợp PPTP và L2F. + Sử dụng IPSec cho việc mã hóa. + Chưa được cung cấp trong nhiều sản phẩm. + Không bảo mật ở những đoạn cuối. + Dùng cho truy cập từ xa tại POP. Hình: Bảng so sánh giữa các giao thức Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload (ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho phép chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router. Trong trường hợp này chúng ta cần phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T. Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 6 - I. Tìm hiểu cơ chế mã hóa IPSec 1. Giới thiệu về IPSec Để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông được với nhau ta cần phải sử dụng cùng một giao thức và giao thức được sử dụng phổ biến nhất hiện nay là TCP/IP. Dữ liệu được truyền đi cần phải được bảo mật theo nhu cầu của người dùng nên các cơ chế mã hóa và chứng thực cần được áp dụng. Có nhiều giải pháp được đưa ra, trong đó IPSec được phát triển bởi IETF, hoạt động trên giao thức TCP/IP tỏ ra hiệu quả mà lại tiết kiệm được nhiều chi phí. IPSec đã được triển khai rộng rãi để thực thi VPN. Các dịch vụ của IPSec nằm trên lớp mạng của chồng giao thức. Trong quá trình thực hiện mã hóa, IPSec có thể dùng nhiều dạng thức khác nhau. Các dạng thức này sẽ được trình bày cụ thể ở phần sau. IPSec có những phương pháp mã hóa như DES, 3DES, AES và các phương pháp xác thực như HMAC, MD5, SHA-1. Thấy rằng, tất cả các gói tin mã hóa trong IPSec đều là khóa đối xứng. 2. Các chế độ làm việc Có hai chế độ làm việc trong IPSec. - Chế độ giao vận (transport): chỉ có phần thuộc lớp giao vận trong gói tin được xử lý. - Chế độ đường hầm (tunnel): toàn bộ gói tin được xử lý. a. Chế độ giao vận Hình: Các trường hợp của chế độ giao vận Chế độ giao vận được sử dụng cho cả cổng nối và host, cung cấp cơ chế bảo mật cho các giao thức lớp trên. Trong chế độ này, AH được chèn vào sau tiêu đề IP và trước các giao thức lớp trên (TCP/ UDP, ICMP,…) b. Chế độ đường hầm Hình: Các trường hợp của chế độ đường hầm Trong chế độ đường hầm, tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích, trong khi bộ xuất tiêu đề IP chứa các địa chỉ IP khác (ví dụ địa chỉ của cổng nối). AH bảo mật toàn bộ gói IP bao gồm cả bộ nhập tiêu đề IP. Bởi vì AH chỉ bảo mật chống lại việc thay đổi nội dung dữ liệu nên cần phải có phương tiện khác để bảo đảm tính riêng tư của dữ liệu. Trong chế độ đường hầm, điều này Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 7 - được thực hiện bằng cách mở rộng bảo mật cho nội dung của tiêu đề IP, đặc biệt là địa chỉ nguồn và đích. Mặc dù trong chế độ đường hầm, ESP bảo mật được nội dung của dữ liệu (chống lại nghe trộm) nhưng không bảo mật được toàn bộ lưu lượng. Một cuộc tấn công tinh vi có thể đọc được địa chỉ nguồn và đích sau đó phân tích lưu lượng để biết được phương thức truyền thông. Chế độ đường hầm ESP cung cấp thêm các cơ chế bảo mật bằng cách mã hóa toàn bộ gói. Sau khi toàn bộ nội dung dữ liệu đã được mã hóa, chế độ đường hầm ESP sẽ tạo ra một tiêu đề mới để định tuyến cho các gói dữ liệu từ phía máy gởi đến máy nhận c. Chế độ kết hợp Hình: Các trường hợp của chế độ kết hợp. Để có thể kết hợp cả AH và ESP trong chế độ đường hầm hay chế độ giao vận, IPSec cần phải hỗ trợ cho sự kết hợp hai chế độ đường hầm và giao vận. Điều này được thực hiện bằng cách sử dụng chế độ đường hầm để mã hóa và xác thực các gói và tiêu đề của nó rồi gắn vào AH hoặc ESP hoặc dùng cả hai trong chế độ giao vận để bảo mật cho tiêu đề mới được tạo ra. Cần chú ý là AH và ESP không thể được sử dụng chung trong chế độ đường hầm. Lý do là ESP đã có riêng tùy chọn xác thực, tùy chọn này nên sử dụng trong chế độ đường hầm khi các gói cần phải mã hóa và xác thực. 3. Sử dụng IPSec a. Mục đích khi dùng IPSec IPSec được dùng để bảo mật dữ liệu khi truyền trên mạng. Người quản trị thiết lập chuỗi chính sách được gọi là IPSec Policy. Những chính sách này bao gồm bộ lọc chỉ rõ loại lưu lượng nào đòi hỏi phải mã hóa, chứ kí số hoặc cả hai. Sau đó mỗi gói máy tính gửi đi được ấn định để tự nhận thấy liệu có phù hợp với điều kiện của chính sách. Tiến trình này trong suốt với người dùng và các ứng dụng bắt đầu truyền dữ liệu. Do IPSec được đóng trong gói IP chuẩn nên nó có thể truyền trên mạng mà không đòi hỏi cấu hình đặc biệt trên thiết bị giữa hai host. IPSec không thể mã hóa một số loại lưu lượng chẳng hạn broadcast, multicast và gói giao thức Kerberos. b. Ưu điểm khi dùng IPSec Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao thức lớp 3 của mô hình OSI và cao hơn IPSec cung cấp: o Xác thực lẫn nhau trước và trong quá trình trao đổi o Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của gói. IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa dựa Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 8 - trên một hoặc một vài thuật toán nào đó và AH (Authentication Header) – xác thực lưu lượng nhưng không mã hóa nó. o Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP và AH đều dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã được thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy. o Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được sắp xếp theo thứ tự để chắc chắc rằng kẻ tấn công không thể dùng lại hay gửi lại dữ liệu đã được capture để thiết lập phiên làm việc hoặc thu thập thông tin bất hợp pháp. Dùng số tuần tự cũng để bảo vệ tấn công công bằng cách chặn message và sau đó dùng message y hệt để truy nhập bất hợp pháp vào tài nguyên, có thể là vài tháng sau đó. Ví dụ: Bởi vì việc capture lại thông tin mật có thể làm hại đến sự thành công của một tổ chức, nên một tổ chức cần phải thiết lập một mạng riêng đáng tin cậy bảo mật các thông tin nhạy cảm chẳng hạn dữ liệu về sản phẩm, báo cáo tài chính và kết hoạch marketing. Bạn có thể dùng IPSec để chắc chắn rằng sự liên lạc đó được riêng tư và bảo mật trên network, intranet hoặc extranet bao gồm liên lạc workstation – to – server và server – to – server. Chẳng hạn, bạn có thể ấn định chính sách IPSec cho máy kết nối với server, máy nắm giữ các thông tin nhạy cảm có thể làm mục tiêu của kẻ tấn công nào đó chẳng hạn tài nguyên về nhân sự và tài chính hoặc dữ liệu về kế hoạch chiến lược. Chính sách IPSec bảo vệ dữ liệu của bạn khỏi tấn công từ bên ngoài, giữ cho nó được bảo mật và toàn vẹn. Hình dưới là một ví dụ về ứng dụng Internet VPN. Có 3 nơi trang bị phần mềm IPSec là: cổng nối bảo mật, client di động và các host. Tuy nhiên không phải tất cả các thiết bị đều yêu cầu cài đặt phần mềm IPSec mà tùy theo yêu cầu thiết kế mạng. Ví dụ, nếu cần tạo kết nối LAN-LAN VPN thì chỉ cần cổng nối bảo mật IPSec là đủ. Nếu cần cho các trạm làm việc từ xa quay số truy cập vào mạng thông qua các ISP thì phần mềm client IPSec cần được cài trên các máy tính của đối tượng di động. Nếu muốn tạo một VPN mà tất cả các máy tính có thể liên lạc lẫn nhau thông qua giao thức IPSec thì cần phải cài đặt phần mềm IPSec trên tất cả các máy tính giao thức. Hình: Các trạm thành phần của một Internet VPN Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 9 - 4. Triển khai IPSec a. Cách IPSec bảo mật lưu lượng Cấu hình IPSec được thiết lập thông qua policy trên máy cục bộ hoặc policy nhóm trong Active Directory directory service: IPSec policies được cung cấp cho tất cả máy tính: Policy quy định cho bộ phận điều khiển IPSec cách chạy và định nghĩa Security Association mà có thể được thiết lập. Security asscociation chi phối giao thức mã hóa nào được sử dụng cho loại lưu lượng nào và phương thức xác thực nào được thiết lập. Security Association được thiết lập: Phần Internet Key Exchange (IKE) thiết lập Security Association. IKE kết hợp giữa hai giao thức: Internet Security Association và Key Management (ISAKMP) và Oakley Key Determination. Nếu một máy client đòi hỏi certificate để xác thực và một client khác đòi hỏi giao thức Kerberos, IKE sẽ không thể thiết lập security association (sự kết hợp bảo mật) giữa hai máy. Nếu bạn nhìn thấy gói trong Network Monitor thì bạn sẽ thấy gói ISAKMP nhưng bạn cũng sẽ không thấy bất cứ gói AH hay ESP theo sau. Gói IP được mã hóa: Sau khi security association được thiết lập thì bộ điều khiển IPSec giám sát toàn bộ lưu lượng IP, so sánh lưu lượng với bộ lọc được định nghĩa b. IPSec Security Policy là gì? Định nghĩa IPSec security policy bao gồm một hoặc nhiều quy luật quyết định cách hoạt động của IPSec [...]... thể được khởi tạo từ client đến server Hai là, kết nối sử dụng một statement ủy nhiệm IPSec không hỗ trợ multicast III Triển khai hệ thống IPSec/VPN trên windows server 2003 1 Mô hình triển khai Hình: Mô hình triển khai hệ thống IPSec/VPN VPN ở đây được đơn giản hóa với 3 máy tính cần thiết đóng các vai trò khác nhau trong một mạng riêng ảo Máy tính chạy Windows Server 2003, bản Standard Edition, mang... Cài đặt cho máy IIS IIS chạy Windows Server 2003, Standard Edition và dịch vụ Internet Information Services (IIS) Để định cấu hình cho IIS làm máy chủ về tập tin và web, bạn thực hiện các bước sau: - Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành viên mang tên IIS trong domain ptit.com Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 21 - Đồ án môn học Bảo... Scope - Trên trang Welcome của New Scope Wizard, nhấn Next - Ở trang Scope Name, nhập một cái tên như PTIT Network - Nhấn vào Next Trên trang địa chỉ IP, nhập 192.168.3.10 ở ô Start IP address, 192.168.3.100 ở ô End IP address và 24 ở mục Length Hình: Khai báo địa chỉ IP - Nhấn Next Trên trang Add Exclusions, nhấn Next - Trên trang Lease Duration, nhấn Next Triển khai hệ thống IPSec/VPN trên Windows Server. .. và chọn New Remote Access Policy - Trên trang Welcome to the New Remote Access Policy Wizard, nhấn Next - Trên trang Policy Configuration Method, nhập VPN remote access to intranet vào ô Policy name Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 19 - Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc - Nhấn Next Trên trang Access Method, chọn VPN - Nhấn Next Trên trang User or Group Access, chọn... Tools Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 20 - Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc - Trong cây chương trình, nhấn chuột phải vào VPN và chọn Configure and Enable Routing and Remote Access - Trên trang Welcome to the Routing and Remote Access Server Setup Wizard, nhấn Next - Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn mặc định - Nhấn Next Trên. .. (Domain Name System), một máy chủ DHCP Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 16 - Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc (Dynamic Host Configuration Protocol) và một trung tâm chứng thực CA (certification authority) Máy tính chạy Windows XP Professional, mang tên CLIENT, hoạt động như một máy khách truy cập từ xa Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên... VPNUser - Trên CLIENT, trong Control Panel, mở thư mục Network Connections - Trong Network Tasks, nhấn vào Create a new connection - Trên trang Welcome to the New Connection Wizard, nhấn Next Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 22 - Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc - Trên trang Network Connection Type, nhấn Connect to the network at my workplace - Nhấn Next Trên trang... host đơn Các thuộc tính thường được gán bao gồm: Địa chỉ IP private Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 15 - Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc Server DNS private Server WINS private Tên domain private Địa chỉ IP private được gán thường lấy từ một khối phạm vi các địa chỉ (address pool) được cấu hình trên hub Sau đó, một IPSec proxy được tạo ra để bảo vệ lưu lượng từ... Secure Server (Require Security) là tất cả lưu lượng phải được mã hóa với ESP nếu không server sẽ không liên lạc với nó Rule ICMP ghi đè rule để đòi hỏi bảo mật cho tất cả lưu lượng IP khác Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 10 - Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc c Các Policy IPSec làm việc với nhau như thế nào No assigned No assigned policy Client (Respond Server. .. cập server chạy Microsoft SQL Server không có IPSec thì hệ thống sẽ bị fail Nếu bạn thiết lập policy Server (Request Security) thì máy tính sẽ quay về liên lạc không bảo mật với bất cứ máy tính nào không có policy Policy IPSec sẽ được thiết lập để bảo mật lưu lượng cần được bảo mật khi cho phép thực hiện các liên lạc cơ bản 5 Triển khai IPSec với Certificates a Giới thiệu Certificate Triển khai hệ thống