Một mạng riêng ảo (VPN) là một sự mở rộng của mạng riêng mà bao gồm các liên kết qua việc chia sẻ hoặc mạng công cộng như Internet. Với một VPN bạn có thể gửi dữ liệu giữa hai máy tính qua chia sẻ tài nguyên hoặc Internet công cộng theo một kiểu cạnh tranh với các tính năng của liên kết riêng điểm nối điểm. Việc cấu hình và tạo ra mạng riêng ảo được xem như là mạng riêng ảo. Để cạnh tranh với liên kết điểm nối điểm, dữ liệu được đóng gói, với một phần header cung cấp khác tin về tuyến đoạn cho phép nó đi qua các chia sẻ tài nguyên hoặc mạng internet công cộng để tới đích. Để cạnh tranh với liên kết riêng, dữ liệu gửi đi được mã hóa cẩn mật. Các gói mà bị chặn chia sẻ hoặc mạng chung không thể đọc được không có các khóa đó mã hóa. Liên kết ở đó dữ liệu riêng được đóng gói và mã hóa được xem như là một kết nối mạng riêng ảo. Các kết nối VPN cho phép người sử dụng có thể làm việc tại nhà hoặc trên đường nếu nhận được một kết nối từ xa tới một máy phục vụ sử dụng cơ sở hạ tầng được cung cấp bởi mạng công cộng như là Internet. Từ viễn cảnh của người sử dụng, VPN là một kết ố điểm với điểm giữa máy tính, Máy khách VPN, máy phục vụ tổ chức, và máy phục vụ VPN. Cơ sở hạ tầng đóng đắn của việc chia sẻ hoặc mạng công cộng là không thích hợp bởi vì nó xuất hiện hợp lý như là dữ liệu được gửi qua một liên kết riêng chuyên dụng. Các kết nối VPN còng cho phép các tổ chức định tuyến kết nối với các văn phòng xa nhau hoặc với các tổ chức khác qua mạng công cộng như là intenet hoạt động như một liên kết WAN chuyên dụng. Với cả hai kết nối từ xa và kết nối đã được xác định, các kết nối VPN cho phép một tổ chức hoạt động thương mại trong một khoảng cách xa hoặc các đường leased line tới các nhà cung cấp dịch vụ Internet.
riêng chuyờn NỘI DUNG Ph ần 1Các v ấn đề t quan c VPN Các v ấn đề t quan c VPN Khái quát v ề m ạng riêng ảo 1.1 Thành phần kết nối VPN .8 1.1.1 Máy phục vụ VPN 1.1.2 Máy khách VPN 1.1.3 Đường hầm .8 1.1.4 Kết nối VPN 1.1.5 Các giao thức tuyến truyền 1.1.6 Tunneled data 1.1.7 Truyền liên mạng 1.2 Các kết nối VPN .9 1.2.1 Kết nối VPN truy cập từ xa 10 1.2.2 Kết nối VPN theo kiểu Router-to-Router 10 1.3 Các tính chất mạng riêng ảo 10 1.3.1 Đóng gói .10 1.3.2 Xác thực 11 1.3.3 Mã hoá liệu 11 1.3.4 Phân phối địa máy phục vụ 11 1.4 Các kết nối dựa Internet Intranet 12 1.4.1 Các kếtnối VPN vào Internet 12 1.4.2 Truy cập từ xa dựa Internet .12 1.4.3 Kết nối đến mạng khác qua Internet 13 1.4.4 Connecting Networks Using Dedicated WAN Links 13 1.4.5 Kết nối đến mạng sử dụng liên kết Dial-Up 13 1.4.6 Các kết nối VPN dựa vào intranet 14 1.4.7 Truy cập từ xa qua mạng nội .14 1.4.8 Kết nối mạng qua Intranet 15 1.5 Quản lý mạng riêng ảo 15 1.5.1 Quản lý người sử dụng .16 1.5.2 Quản lý địa tên VPN server 16 1.5.3 Quản lý truy cập 16 1.5.4 Quản lý xác thực 17 1.5.5 Xác thực RADIUS 17 1.5.6 Quản lý tài account .17 1.5.7 Quản lý mạng 18 Giao th ức Point-to-Point Tunneling Protocol - PPTP 19 1.6 Duy trì tuyến truyền với kết nối điều khiển PPTP 20 1.7 PPTP Data Tunneling 21 1.7.1 Đóng gói PPP frame 22 1.7.2 Đóng gói gói tin GRE 23 1.7.3 Đóng gói tầng Data-Link 23 1.7.4 Xử lý liệu PPTP truyền theo tuyến 23 Các gói tin PPTP kiến trúc mạng Windows 2000 23 B ảo m ật VPN 25 1.8 Sự xác nhận người sử dụng với PPP 25 1.9 Mã hoá với MPPE 25 1.10 Lọc gói tin PPTP 25 Địa ch ỉ định ến cho k ết n ối VPN 27 1.11 Các kết nối VPN truy cập từ xa 27 1.11.1 Các địa IP quay số máy khách VPN 27 1.11.2 Các tuyến truyền mặc định Dial-up Client .28 1.11.3 Các tuyến truyền ngầm định VPNs khác qua Internet 29 1.11.4 Địa chung 31 1.11.5 Địa riêng .31 1.11.6 Địa nạp chồng không hợp lệ 31 1.12 Các kết nối VPN từ Router đến Router VPN 32 1.12.1 Mạng riêng ảo dựa vào Router-to-Router tạm thời lâu dài 33 1.12.2 Các kết nối VPNs sử dụng Dial-Up ISP 33 1.12.3 Cấu hình kết nối VPN yêu cầu định tuyến chi nhánh văn phòng 34 1.12.4 Cấu hình corporate office router 34 1.12.5 Định tuyến tĩnh động 36 Khái quát v ề truy ền theo ến 37 1.13 Giao thức Tunneling 37 Cách làm việc Tunneling .37 1.13.1 Giao thức Tunneling yêu cầu 37 1.14 Giao thức Point-to-Point (PPP) 38 1.14.1 Tạo liên kết PPP 38 1.14.2 Xác nhận người sử dụng 39 1.14.3 Điều khiển PPP Callback 40 1.14.4 Triệu gọi giao thức tầng Mạng (Network Layer Protocols) 40 1.14.5 Pha truyền liệu 40 1.15 Giao thức Point-to-Point Tunneling (PPTP) 40 1.16 Giao thức Tunneling lớp thứ 41 1.17 Mô hình đường ống sử dụng giao thức bảo mật IP (IPSec) 41 1.18 Kiểu tuyến truyền (Tunnel) 42 1.18.1 Tuyến truyền tù nguyện 42 1.18.2 Tuyến truyền bắt buộc .42 M ạng riêng ảo Firewalls 43 1.19 Cấu hình VPN Server and Firewall 43 1.19.1 VPN Server phía trước Firewall 43 1.19.2 Lọc gói tin PPTP .44 1.19.3 VPN Server nằm sau Firewall 45 1.19.4 Cáo lọc PPTP 46 Gi ải đáp nh ững th ắc m ắc v ề VPNs 47 1.20 Những vấn đề khác thường mạng riêng ảo .47 1.20.1 Một yêu cầu kết nối bị từ chối mà đáng phải chấp nhận 47 1.20.2 Không thể truy cập đến vùng tầm VPN server 48 1.20.3 Không thể thiết lập tuyến truyền 49 1.21 Các công cụ sửa lỗi 50 1.21.1 Những lý rõ 50 1.21.2 Giám sát mạng 50 1.21.3 Ghi lại khác tin dũ tỡm PPP 51 Ph ần h ệ th ống M ạng VPN truy c ập t xa 52 Gi ới thi ệu 52 Các thành ph ần c m ạng VPN truy c ập t xa 55 1.22 VPN client .55 1.22.1 Trình quản lý kết nối .56 1.22.2 Đăng nhập lần 58 1.22.3 Những điều cần lưu ý cấu hình VPN client 59 1.23 Cơ sở hạ tầng mạng Internet .59 1.23.1 Tên VPN server 59 1.23.2 Khả kết nối đến VPN server 60 1.23.3 Các VPN server cấu hình firewall 60 1.24 Các giao thức xác thực 61 1.24.1 Lựa chọn phương thức xác thực 62 1.25 Các giao thức VPN 62 1.25.1 Point-to-Point Tunneling Protocol 62 1.25.2 Layer Two Tunneling Protocol with IPSec 62 1.25.3 Lựa chọn PPTP L2TP 63 1.26 VPN Server .64 1.26.1 Cấu hình cho VPN Server .65 1.27 Hạ tầng mạng Intranet 66 1.27.1 Chuyển đổi tên 66 1.27.2 Chuyển đổi tên để truy cập đến tài nguyên 67 1.28 Routing 68 1.28.1 Đinh tuyến VPN server đa 70 1.28.2 Hạ tầng dịch vụ định tuyến .71 1.29 Hạ tầng dịch vụ AAA 72 1.29.1 Các sách truy cập từ xa 73 1.29.2 Ngăn chặn truyền khác phát từ VPN client .74 1.29.3 Một số điều cần lưu ý hạ tầng dịch vụ AAA 75 Tri ển khai h ệ th ống truy c ập t xa PPTP 77 1.30 Triển khai hạ tầng dịch vụ thẻ chứng nhận 77 1.30.1 Triển khai thẻ chứng nhận máy .77 1.30.2 Triển khai hệ thống smart card .78 1.30.3 Triển khai thẻ chứng nhận người sử dụng 78 1.31 Triển khai hạ tầng dịch vụ Internet 79 1.31.1 Đặt VPN server vào hệ thống mạng bao quát Internet 79 1.31.2 Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet .79 1.31.3 Bổ sung ghi vào Internet DNS 80 1.32 Triển khai hạ tầng dịch vụ AAA 80 1.32.1 Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc 80 1.32.2 Cấu hình IAS server trình điều khiển domain .80 1.32.3 Cấu hình IAS server thứ cấp trình điều khiển domain khác 81 1.33 Triển khai VPN Server 81 1.33.1 Cấu hình kết nối VPN server với mạng nội .82 1.33.2 Chạy trình Routing and Remote Access Server Setup Wizard 82 1.34 Hạ tầng mạng Intranet 83 1.34.1 Cấu hình cho việc định tuyến VPN server 83 1.34.2 Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không 83 1.34.3 Cấu hình việc định tuyến cho nhóm địa nằm dải subnet 83 1.35 Triển khai VPN Client 84 1.35.1 Trực tiếp cấu hình VPN client 84 1.35.2 Cấu hình gói tin CM với trình CMAK 84 Tri ển khai h ệ th ống truy c ập t xa L2TP 85 1.36 Triển khai hạ tầng dịch vụ thẻ chứng nhận 85 1.36.1 Triển khai thẻ chứng nhận máy .85 1.36.2 Triển khai hệ thống smart card .86 1.36.3 Triển khai thẻ chứng nhận người sử dụng 86 1.37 Triển khai hạ tầng dịch vụ Internet 86 1.37.1 Đặt VPN server vào hệ thống mạng bao quát Internet 87 1.37.2 Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet .87 1.37.3 Bổ sung ghi vào Internet DNS 87 1.38 Triển khai hạ tầng dịch vụ AAA 88 1.38.1 Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc 88 1.38.2 Cấu hình IAS server trình điều khiển domain .88 1.38.3 Cấu hình IAS server thữ cấp trình điều khiển domain khác 89 1.39 Triển khai VPN Server 89 1.39.1 Cấu hình kết nối VPN server với mạng nội .89 1.39.2 Chạy trình Routing and Remote Access Server Setup Wizard 90 1.40 Hạ tầng hệ thống mạng Intranet 91 1.40.1 Cấu hình cho việc định tuyến VPN server 91 1.40.2 Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không 91 1.40.3 Cấu hình việc định tuyến cho nhóm địa nằm dải subnet 91 1.41 Triển khai VPN Client 92 1.41.1 Trực tiếp cấu hình VPN client 92 1.41.2 Cấu hình gói tin CM với trình CMAK 92 Tài li ệu tham kh ảo 93 Các giải pháp cho công nghệ VPN Windows 2000 Phần 1Các vấn đề tổng quan VPN Các vấn đề tổng quan VPN Khái quát mạng riêng ảo Một mạng riêng ảo (VPN) mở rộng mạng riêng mà bao gồm liên kết qua việc chia sẻ mạng công cộng Internet Với VPN bạn gửi liệu hai máy tính qua chia sẻ tài nguyên Internet công cộng theo kiểu cạnh tranh với tính liên kết riêng điểm nối điểm Việc cấu hình tạo mạng riêng ảo xem mạng riêng ảo Để cạnh tranh với liên kết điểm nối điểm, liệu đóng gói, với phần header cung cấp khác tin tuyến đoạn cho phép qua chia sẻ tài nguyên mạng internet công cộng để tới đích Để cạnh tranh với liên kết riêng, liệu gửi mã hóa cẩn mật Các gói mà bị chặn chia sẻ mạng chung đọc khóa mã hóa Liên kết liệu riêng đóng gói mã hóa xem kết nối mạng riêng ảo Hình : Minh hoạ khái niệm logic mạng riêng ảo Các kết nối VPN cho phép người sử dụng làm việc nhà đường nhận kết nối từ xa tới máy phục vụ sử dụng sở hạ tầng cung cấp mạng công cộng Internet Từ viễn cảnh người sử dụng, VPN kết ố điểm với điểm máy tính, Máy khách VPN, máy phục vụ tổ chức, máy phục vụ VPN Cơ sở hạ tầng đóng đắn việc chia sẻ mạng công cộng không thích hợp xuất hợp lý liệu gửi qua liên kết riêng chuyên dụng Các kết nối VPN còng cho phép tổ chức định tuyến kết nối với văn phòng xa với tổ chức khác qua mạng công cộng intenet hoạt động liên kết WAN chuyên dụng Với hai kết nối từ xa kết nối xác định, kết nối VPN cho phép tổ chức hoạt động thương mại khoảng cách xa đường leased line tới nhà cung cấp dịch vụ Internet 1.1 Thành phần kết nối VPN Một kết nối VPN Windows NT 4.0 bao gồm thành phần minh hoạ hình 1.1.1 Máy phục vụ VPN Một máy tính mà chấp nhận kết nối VPN từ máy khách VPN Một máy phục vụ VPN cung cấp kết nối VPN truy cập từ xa kết nối VPN từ tuyến đoạn tới tuyến đoạn khác Để có nhiều thồng tin xem phần Các kết nối VPN 1.1.2 Máy khách VPN Một máy tính khời đầu kết nối VPN từ máy phục vụ Một máy khách VPN nhận kết nối VPN từ xa tuyến đoạn mà nhận từ kết nối VPN router-to-router Các máy tính cài đặt Microsoftđ Windows NT version 4.0, Microsoftđ Windows 95, Microsoftđ Windowsđ 98 tạo kết nối VPN từ xa tới máy phục vụ VPN NT Windows NT Server 4.0-based computers running the Routing and Remote Access Service (RRAS) tạo kết nối VPN router-to-router tới máy Windows NT 4.0 với máy phục vụ VPN dựa vào dịch vụ RAS Các máy khách VPN máy khách dựa vào giao thức đường hầm điểm tới điểm 1.1.3 Đường hầm Phần kết nối mà liệu đóng gói 1.1.4 Kết nối VPN Phần kết nối mà liệu bạn mã hóa Với kết nối VPN bảo mật, liệu mã hóa đóng gói với phần kết nối Chú ý Nó tạo đường hầm gửi liệu qua đường hầm mà không cần mã hóa Đõy kết nối VPN liệu riêng gửi qua mạng chia sẻ mạng công cộng dạng mã hóa đọc dễ dàng 1.1.5 Các giao thức tuyến truyền Sử dụng để quản lý tuyến truyền liệu riêng đóng gói (Dữ liệu mà tuyến truyền hoá phải mã hóa thành kết nối VPN) 1.1.6 Tunneled data Dữ liệu thường xuyên gửi qua liên kết điểm tới điểm riêng 1.1.7 Truyền liên mạng Mạng chia sẻ công cộng qua liệu đóng gói Với Windows 2000, lưu thụng liên mạng luụn dựa vào IP Lưu khác liên mạng internet mạng nội dựa vào IP riêng Hình Các thành phần kết nối VPN 1.2 Các kết nối VPN Tạo kết nối VPN gần tương tự với việc thiết lập kết nối điểm tới điểm sử dụng mạng quay số thủ tục định tuyến yêu cầu xử lý Có hai dạng kết nối VPN: kết nối VPN truy cập từ xa kết nối VPN dựa vào router-to-router 1.2.1 Kết nối VPN truy cập từ xa Kết nối VPN truy cập từ xa thực máy khách truy cập từ xa, máy tính đơn, kết nối tới mạng riêng Máy phục vụ VPN cung cấp truy cập tới tài nguyên máy phục vụ VPN tới toàn mạng mà máy phục vụ Các gói gửi từ máy khách từ xa qua kết nối VPN nguyên thuỷ máy khách từ xa Máy khách truy cập từ xa ( máy khách VPN ) xác nhận máy phục vụ truy cập từ xa ( máy phục vụ VPN ) xác nhận qua lại , máy phục vụ tù xác nhận tới máy khách 1.2.2 Kết nối VPN theo kiểu Router-to-Router Một kết nối VPN dựa vào router-to-router thực định tuyến kết nối hai phần mạng riêng Máy phục vụ VPN cung cấp kết nối định tuyến tới mạng mà máy phục vụ VPN Trên kết nối VPN dựa vào router-to-router, gói gửi từ định tuyến qua kết nối VPN đặc biệt không định tuyến Bộ định tuyến gọi (máy khách VPN) tự xác nhận tới định tuyến trả lời (máy phục vụ VPN), xác nhận qua lại lẫn nhau, định tuyến trả lời xác nhận tới định tuyến gọi 1.3 Các tính chất mạng riêng ảo Kết nối VPN sử dụng PPTP có tính chất sau : • Đóng gói • Xác thực • Mã hoá liệu • Đánh địa phân bổ tên server 1.3.1 Đóng gói Công nghệ VPN cung cấp cách đóng gói liệu riêng với header mà cho phép truyền qua liên mạng 10 1.3.2 Xác thực Với kết nối VPN thiết lập, máy phục vụ VPN xác nhận dự định kết nối máy khách VPN kiểm tra xem máy khách VPN có cho phép thích hợp không Nếu xác nhận qua lại sử dụng, máy khách VPN xác nhận máy phục vụ VPN, cung cấp biện pháp bảo vệ chống lại máy phục vụ VPN giả mạo 1.3.3 Mã hoá liệu Để đảm bảo an toàn liệu truyền qua liên mạng chia sẻ công cộng, mã hóa gửi giải mã nhận Quá trình mã hóa giải mã phụ thuộc vào hai gửi nhận biết khóa mã chung Các gói bị chặn gửi qua kết nối VPN lưu khác liên mạng hiểu mà khóa mã chung Độ dài khóa mã tham số bảo mật quan trọng Công nghệ tính toán sử dụng để xác nhận khoá chung Như công nghệ yêu cầu nhiều khả tính toán thời gian tính toán khóa mã trở nmờn lớn Bởi vậy, quan trọng sử dụng kích thước lớn khoá Hơn nữa, nhiều thụnmg tin mã hóa với khoá, dễ dàng giải mã liệu mã hóa Với vài kỹ thuật mã hóa, ta lựa chọn để cấu hình khóa mã khác thường thay đổi kết nối 1.3.4 Phân phối địa máy phục vụ Khi máy phục vụ VPN cấu hình, tạo giao diện ảo mà thể tất kết nối VPN tạo Khi máy khách VPN hoàn thành kết nối VPN, giao diện ảo tạo máy khách VPN mà thể giao diện kết nối tới máy phục vụ VPN Giao diện ảo máy khách VPN kết nối tới giao diện ảo máy phục vụ VPN, tạo kết nối VPN theo kiểu point-to-point Các giao diện ảo máy khách VPN máy phục vụ VPN phải thiết khai báo địa IP Việc khai báo địa thực máy phục vụ VPN Theo mặc định, máy phục vụ VPN chứa địa IP cho máy khách VPN sử dụng Dynamic Host Configuration Protocol (DHCP) Bạ cấu hình vùngcác địa IP tĩnh 11 Sự phân phối tên server, phân phối hệ thống tên miền (DNS) Windows Internet Name Service (WINS) servers, xảy kết nối VPN hoàn thỏnh trình Máy khách VPN nhận địa cjỉ IP hệ thống tên miền server WINS từ phục vụ VPN cho mạng nội nơi mà máy phục vụ VPN gắn vào 1.4 Các kết nối dựa Internet Intranet Các kết nối VPN sử dụng kết nối điểm tới điểm bảo mật cần thiết để kết nối tới người sử dụng mạng Kết nối VPN điển hình đồng thời dựa vào tảng Internet intranet 1.4.1 Các kếtnối VPN vào Internet Hình 3: Kết nối VPN kết nối máy khách từ xa tới mạng nội riêng Sử dụng kết nối VPN dựa vào internet bạn tránhcác khoảng cách xa trao đổi điện thoại theo kiểu 1-800 tận dụng ưu điểm khả toàn cầu internet 1.4.2 Truy cập từ xa dựa Internet Hơn máy khách truy cập từ xa phải có kết nối dài gọi theo kiểu 1-800 tới tổ chức máy phục vụ truy cập outsource network (NAS), máy khách gọi tới nhà cung cấp dịch vụ internet địa phương Bằng cách sử dụng kết nối vật lý xác lập ISP địa phương, máy khách truy cập từ xa bắt đầu kết nối VPN qua Internet tới máy phục vụ VPN Kết nối VPN tạo ra, máy khách 12 1.31 Triển khai hạ tầng dịch vụ Internet Việc triển khai hạ tầng dịch vụ Internet cho liên kết VPN truy cập từ xa gồm có: • Đặt VPN server vào hệ thống mạng bao quát Internet • Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet • Bổ sung ghi vào Internet DNS 1.31.1 Đặt VPN server vào hệ thống mạng bao quát Internet Ta phải định việc đặt VPN server cữ vào việc bố trí firewall Internet Trong hầu hết trường hợp cấu hình khác thường, VPN server thường đặt sau firewall mạng bao quát nằm Internet mạng nội Nếu vậy, ta cần phải cấu hình lọc gói tin firewall phép truyền khác theo giao thức PPTP đến khỏi địa IP VPN server nằm mạng bao quát Ta có hình dung trực quan qua hình vẽ 1.31.2 Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet mạng bao quát với card mạng nối với mạng cục qua card mạng khác Nếu không chạy dịch vụ Routing and Remote Access Server Setup Wizard, VPN server không chuyển tiếp gói tin Internet intranet Để có kết nối đến Internet mạng bao quát ta phải cấu hình giao thức TCP/IP với chỉ IP public, subnet mask gateway ngầm định firewall ISP router Không cấu hình liên kết với địa IP DNS server hay WINS server 79 1.31.3 Bổ sung ghi vào Internet DNS Để đảm bảo tên VPN server chuyển đổi thành địa IP nó, ta phải bổ sung ghi địa IP vào DNS server ISP ta phải bổ sung ghi DNS vào DNS server họ Hãy kiểm tra xem ten VPN server chuyển đổi thành địa IP public hay không kết nối vào Internet 1.32 Triển khai hạ tầng dịch vụ AAA Việc tiển khai hạ tầng dịch vụ AAA cho liên kết VPN truy cập từ xa gồm có: • Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc • Cấu hình IAS server trình điều khiển domain • Cấu hình IAS server thữ cấp trình điều khiển domain khác 1.32.1 Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc Để cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc, ta cần tiến hành công việc sau đây: Đảm bảo tất người sử dụng tạo kết nối từ xa có account tương ứng Đặt quyền truy cập từ xa cho account theo giá trị Allow access hay Deny access để quản lý hình thức truy nhập từ xa Ngoài ra, để quản lý truy cập theo nhóm, ta phải đặt quyền truy cập dối với account với giá trị Control access through Remote Access Policy Tở chức việc người sử dụng truy cập từ xa vào nhóm chúng phù hợp để tận dụng sách truy cập từ xa dựa nhóm làm việc 1.32.2 Cấu hình IAS server trình điều khiển domain Để cấu hình IAS server trình điều khiển domain, ta cần làm bước sau: 80 Đối với trình điều khiển domain, cài đặt IAS thành phần tuỳ chọn Cấu hình máy IAS server để đọc thuộc tính account người sử dụng domain Nếu IAS server thực xác thực kết nối ứng với account domain khác, kiểm tra xem domain tin cậy theo hai chiều hay không ứng với domain mà IAS server nối vào Tiếp đến, cấu hình IAS server để đọc thuộc tính account domain khác Trong trường hợp domain chứa account tin cậy theo hai chiều ta phải xây dựng RADIUS proxy hai domain 1.32.3 Cấu hình IAS server thứ cấp trình điều khiển domain khác Để cấu hình IAS server thữ cấp trình điều khiển domain khác, ta cần phải thực bước sau: Trên điều khiển domain lại, cài đặt IAS thành phần tuỳ chọn Cấu hình IAS server thứ cập để đọc thuộc tính account domain Nếu IAS server thứ cấp thực xác thực kết nối ứng với account domain khác, kiểm tra xem domain tin cậy theo hai chiều hay không ứng với domain mà IAS server nối vào Tiếp đến, cấu hình IAS server để đọc thuộc tính account domain khác Trong trường hợp domain chứa account tin cậy theo hai chiều ta phải xây dựng RADIUS proxy hai domain 1.33 Triển khai VPN Server Quá trình triển khai VPN server phục vụ liên kết VPN truy cập từ xa bao gồm công việc sau: • Cấu hình kết nối VPN server với mạng nội • Chạy trình Routing and Remote Access Server Setup Wizard 81 1.33.1 Cấu hình kết nối VPN server với mạng nội Với VPN server, ta phải cấu hình kết nối đến mạng nội với việc cấu hình TCP/IP thực trực tiếp với địa IP, subnet mask, DNS server, intranet WINS server Có điểm cần ý ta không phép cấu hình cho gateway ngầm định kết nối với mạng nội để ngăn xung đột tuyến truyền ngầm định tuyến truyền ngầm định nối đến Internet 1.33.2 Chạy trình Routing and Remote Access Server Setup Wizard Để chạy trình Routing and Remote Access Server Setup Wizard, ta cần làm bước sau: Chọn Start/Programs/Administrative Tools/Routing and Remote Access Nhấn chuột phải vào tên server sau chọn Configure and Enable Routing and Remote Access Trong mục Common Configurations, chọn Virtual Private Network (VPN) server chọn Next Tron mục Remote Client Protocols, kiểm tra xem liệu toàn liệu sử dụng VPN client truy cập từ xa có tồn không Bổ sung giao thức liệu cần thiết sau chọn Next Trong mục Internet Connection, chọn liên kết ứng với kết nối đến Internet mạng bao quát, chọn Next Trong mục IP Address Assignment, chọn Automatic VPN server sử dụng DHCP để thu thập địa IP cho VPN client truy cập từ xa Hoặc, chọn từ dải địa tính Nếu có địa không nằm dải địa domain, ta phải bổ sung tuyến truyến đến VPN client tương ứng Khi việc gán địa cho VPN client hoàn tất, chọn Next Trong mục Managing Multiple Remote Access Servers, ta sử dụng RADIUS để xác thực cấp thẩm quyền chọn Yes, I want to use a RADIUS server, sau chọn Next Trong mục RADIUS Server Selection, cấu hình cho RADIUS server sơ cấp (bắt buộc) thứ cấp (tuỳ chọn) khác tin bí mật cần chia sẽ, sau chọn Next 82 Chọn Finish Chạy trình dịch vụ Routing and Remote Access có yêu cầu 1.34 Hạ tầng mạng Intranet Việc triển khai hạ tầng mạng intranet cho kết nối VPN truy cập từ xa bao gồm: • Cấu hình cho việc định tuyến VPN server • Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không • Cấu hình việc định tuyến cho nhóm địa nằm dải subnet 1.34.1 Cấu hình cho việc định tuyến VPN server Để có VPN server chuyển tiếp đung khác tin đến địa điểm tron mạng cục Ta phải cấu hình chúng với tuyến truyền tính bao quát tất địa sử dụng mạng nội với giao thức định tuyến để VPN server đóng vai trò router động tự động bổ sung tuyến truyền từ subnet mạng nội bảng định tuyến 1.34.2 Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không Từ VPN server, kiểm tra xem VPN server chuyển đổi không kết nối đến tài nguyên mạng nội hay không lệnh Ping, Internet Explorer tạo liênkết đến ổ đĩa máy in server mạng nội 1.34.3 Cấu hình việc định tuyến cho nhóm địa nằm dải subnet Nếu ta cấu hình VPN server với địa nằm dải địa subnet, ta phải bổ sung tuyến truyền đại diện cho địa Ta đảm bảo điều băng việc thêm vào tuyến truyền tĩnh đếm router kế cận với VPN server sau sử dụng giao thức định tuyến mạng nội để phát tuyến truyền đến router khác Ta phải gateway cho điạc kết nối mạng nội VPN server 83 1.35 Triển khai VPN Client Việc triển khai cac VPN client gồm có: • Trực tiếp cấu hình VPN client • Cấu hình gói tin CM với trình CMAK 1.35.1 Trực tiếp cấu hình VPN client Nếu ta có lượng nhỏ VPN client, ta trực tiếp cấu hình kết nối VPN cho VPN client Đối với Windows 2000 VPN client, ta sử dụng Make New Connection Wizard để taọ liên kết mạng nội liên kết VPN gắn chúng với để kết nối khác qua kết nối VPN 1.35.2 Cấu hình gói tin CM với trình CMAK Đối với lượng lớn VPN client chạy nhiều phiên hệ điều hành Windows khác nhau, ta nên sử dụng CMAK để tạo phân phát gói tin CM tuỳ chọn đến người sử dụng 84 Triển khai hệ thống truy cập từ xa L2TP Quá trình triển khai hệ thống truy cập từ xa L2TP Windows 2000 bao gồm việc sau đây: • Triển khai hạ tầng dịch vụ thẻ chứng nhận • Triển khai hạ tầng dịch vụ Internet • Triển khai hạ tầng dịch vụ AAA • Triển khai VPN server • Triển khai hạ tầng mạng nội • Triển khai VPN client 1.36 Triển khai hạ tầng dịch vụ thẻ chứng nhận Đối với liên kết VPN dựa giao thức L2TP, hạ tầng dịch vụ thẻ chứng nhận cần thiết để IPSec thoả thuận việc xác thực cho phiênkết nối Ngoài ra, cần có hạ tầng dịch vụ thẻ chức nhận tả sử dụng smart card hay thẻ chứng nhận người sử dụng giao thức EAP-TLS để xác thực người sử dụng Với kết nối L2TP, ta phải cài đặt dịch vụ thẻ chứng nhận tất máy VPN client server thực chức xác thực (VPN server RADIUS server) 1.36.1 Triển khai thẻ chứng nhận máy Để thiết lập thẻ chứng nhận máy, ta cần phải có đối tượng nắm giữ thẻ chứng nhận (Certification Authority - CA) để phát hành thẻ Khi CA cấu hình, ta cài đặt hệ khác thẻ chứng nhận cho máy theo hai cách: Cấu hình việc phân bổ tự động thẻ chứng nhận máy tính đến máy domain Windows 2000 Phương háp cho phép điểm cấu hình cho toàn domain Tất cs thành viên domain tự động nhận thẻ chứngn nhận khác qua sách nhóm 85 Sử dụng công cụ quản lý thẻ chứng nhận (Certificate Manager – CM) để thu thẻ chứng nhận cho máy Trong phương pháp này, máy tính phải yêu cầu riêng cho thẻ chứng nhận từ phía CA Dựa vào sách thẻ chứng nhận tổ chức mình, ta cần thực hai thao tác phân bổ sau: Để cấu hình CA CA gốc của doanh nghiệp, ta thực bước sau: • Nếu cần, đưa máy đảm nhận vai trò CA trình điều khiển domain • Cài đặt thành phần Windows 2000 Certificate Services CA gốc doanh nghiệp Để cấu hình domain Windows 2000 với chức cần thiết nờu, ta tham khảo thêm phần "Configure automatic certificate allocation from an enterprise CA" phần trợ giúp Windows 2000 Server 1.36.2 Triển khai hệ thống smart card Để có thêm khác tin việc triển khai hệ thống smart card Windows 2000, tham khảo thêm khác tin mục "Checklist: Deploying smart cards for logging on to Windows" phần trợ giúp Windows 2000 Server 1.36.3 Triển khai thẻ chứng nhận người sử dụng Để triển khai hệ thống thể chứngn nhận người sử dụng tổ chức mình, người sử dụng phải tự cài đặt thẻ chứgn nhận người sử dụng cách đưa yêu cầu thẻ chứng nhận người sử dụng Để có thêm khác tin, ta tham khảo mục “Submit a user certificate request via the Web” phần trợ giúp Windows 2000 Server 1.37 Triển khai hạ tầng dịch vụ Internet Việc triển khai hạ tầng dịch vụ Internet cho liên kết VPN truy cập từ xa gồm có: • Đặt VPN server vào hệ thống mạng bao quát Internet 86 • Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet • Bổ sung ghi vào Internet DNS 1.37.1 Đặt VPN server vào hệ thống mạng bao quát Internet Ta phải định việc đặt VPN server cữ vào việc bố trí firewall Internet Trong hầu hết trường hợp cấu hình khác thường, VPN server thường đặt sau firewall mạng bao quát nằm Internet mạng nội Nếu vậy, ta cần phải cấu hình lọc gói tin firewall phép truyền khác theo giao thức PPTP đến khỏi địa IP VPN server nằm mạng bao quát Ta có hình dung trực quan qua hình vẽ 1.37.2 Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet Cài đặt Windows 2000 Server VPN server cấu hình kết nối Internet mạng bao quát với card mạng nối với mạng cục qua card mạng khác Nếu không chạy dịch vụ Routing and Remote Access Server Setup Wizard, VPN server không chuyển tiếp gói tin Internet intranet Để có kết nối đến Internet mạng bao quát ta phải cấu hình giao thức TCP/IP với chỉ IP public, subnet mask gateway ngầm định firewall ISP router Không cấu hình liên kết với địa IP DNS server hay WINS server 1.37.3 Bổ sung ghi vào Internet DNS Để đảm bảo tên VPN server chuyển đổi thành địa IP nó, ta phải bổ sung ghi địa IP vào DNS server ISP ta phải bổ sung ghi DNS vào DNS server họ Hãy kiểm tra xem ten VPN server chuyển đổi thành địa IP public hay không kết nối vào Internet 87 1.38 Triển khai hạ tầng dịch vụ AAA Việc tiển khai hạ tầng dịch vụ AAA cho liên kết VPN truy cập từ xa gồm có: • Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc • Cấu hình IAS server trình điều khiển domain • Cấu hình IAS server thữ cấp trình điều khiển domain khác 1.38.1 Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc Để cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc, ta cần tiến hành công việc sau đây: Đảm bảo tất người sử dụng tạo kết nối từ xa có account tương ứng Đặt quyền truy cập từ xa cho account theo giá trị Allow access hay Deny access để quản lý hình thức truy nhập từ xa Ngoài ra, để quản lý truy cập theo nhóm, ta phải đặt quyền truy cập dối với account với giá trị Control access through Remote Access Policy Tở chức việc người sử dụng truy cập từ xa vào nhóm chúng phù hợp để tận dụng sách truy cập từ xa dựa nhóm làm việc 1.38.2 Cấu hình IAS server trình điều khiển domain Để cấu hình IAS server trình điều khiển domain, ta cần làm bước sau: Đối với trình điều khiển domain, cài đặt IAS thành phần tuỳ chọn Cấu hình máy IAS server để đọc thuộc tính account người sử dụng domain Nếu IAS server thực xác thực kết nối ứng với account domain khác, kiểm tra xem domain tin cậy theo hai chiều hay không ứng với domain mà IAS server nối vào Tiếp đến, cấu hình IAS server để đọc thuộc tính account domain khác Trong 88 trường hợp domain chứa account tin cậy theo hai chiều ta phải xây dựng RADIUS proxy hai domain 1.38.3 Cấu hình IAS server thữ cấp trình điều khiển domain khác Để cấu hình IAS server thữ cấp trình điều khiển domain khác, ta cần phải thực bước sau: Trên điều khiển domain lại, cài đặt IAS thành phần tuỳ chọn Cấu hình IAS server thứ cập để đọc thuộc tính account domain Nếu IAS server thứ cấp thực xác thực kết nối ứng với account domain khác, kiểm tra xem domain tin cậy theo hai chiều hay không ứng với domain mà IAS server nối vào Tiếp đến, cấu hình IAS server để đọc thuộc tính account domain khác Trong trường hợp domain chứa account tin cậy theo hai chiều ta phải xây dựng RADIUS proxy hai domain 1.39 Triển khai VPN Server Quá trình triển khai VPN server phục vụ liên kết VPN truy cập từ xa bao gồm công việc sau: • Cấu hình kết nối VPN server với mạng nội • Chạy trình Routing and Remote Access Server Setup Wizard 1.39.1 Cấu hình kết nối VPN server với mạng nội Với VPN server, ta phải cấu hình kết nối đến mạng nội với việc cấu hình TCP/IP thực trực tiếp với địa IP, subnet mask, DNS server, intranet WINS server Có điểm cần ý ta không phép cấu hình cho gateway ngầm định kết nối với mạng nội để ngăn xung đột tuyến truyền ngầm định tuyến truyền ngầm định nối đến Internet 89 1.39.2 Chạy trình Routing and Remote Access Server Setup Wizard Để chạy trình Routing and Remote Access Server Setup Wizard, ta cần làm bước sau: Chọn Start/Programs/Administrative Tools/Routing and Remote Access Nhấn chuột phải vào tên server sau chọn Configure and Enable Routing and Remote Access Trong mục Common Configurations, chọn Virtual Private Network (VPN) server chọn Next Tron mục Remote Client Protocols, kiểm tra xem liệu toàn liệu sử dụng VPN client truy cập từ xa có tồn không Bổ sung giao thức liệu cần thiết sau chọn Next Trong mục Internet Connection, chọn liên kết ứng với kết nối đến Internet mạng bao quát, chọn Next Trong mục IP Address Assignment, chọn Automatic VPN server sử dụng DHCP để thu thập địa IP cho VPN client truy cập từ xa Hoặc, chọn từ dải địa tính Nếu có địa không nằm dải địa domain, ta phải bổ sung tuyến truyến đến VPN client tương ứng Khi việc gán địa cho VPN client hoàn tất, chọn Next Trong mục Managing Multiple Remote Access Servers, ta sử dụng RADIUS để xác thực cấp thẩm quyền chọn Yes, I want to use a RADIUS server, sau chọn Next Trong mục RADIUS Server Selection, cấu hình cho RADIUS server sơ cấp (bắt buộc) thứ cấp (tuỳ chọn) khác tin bí mật cần chia sẽ, sau chọn Next Chọn Finish Chạy trình dịch vụ Routing and Remote Access có yêu cầu Theo mặc định, có 128 cổng L2TP cấu hình thiết bị WAN Miniport Nếu ta cần thêm cácd cổng L2TP, ta phải cấu hình cho thiột bị dựa thuộc tính đối tượng công lưu dịch vụ định tuyến truy cập tự xa Theo mặc định, có hai giao thức MS-CHAP MS-CHAPv2 cho phép hoạt động Nếu ta sử dụng smart card thẻ chứng nhận khác để thực xác thực, 90 chọn mục Extensible Authentication Protocol (EAP) hộp thoại Authentication Methods Security tab thuộc tính VPN server lưu dịch vụ định tuyến truy cập từ xa 1.40 Hạ tầng hệ thống mạng Intranet Việc triển khai hạ tầng mạng intranet cho kết nối VPN truy cập từ xa bao gồm: • Cấu hình cho việc định tuyến VPN server • Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không • Cấu hình việc định tuyến cho nhóm địa nằm dải subnet 1.40.1 Cấu hình cho việc định tuyến VPN server Để có VPN server chuyển tiếp đung khác tin đến địa điểm tron mạng cục Ta phải cấu hình chúng với tuyến truyền tính bao quát tất địa sử dụng mạng nội với giao thức định tuyến để VPN server đóng vai trò router động tự động bổ sung tuyến truyền từ subnet mạng nội bảng định tuyến 1.40.2 Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không Từ VPN server, kiểm tra xem VPN server chuyển đổi không kết nối đến tài nguyên mạng nội hay không lệnh Ping, Internet Explorer tạo liên kết đến ổ đĩa máy in server mạng nội 1.40.3 Cấu hình việc định tuyến cho nhóm địa nằm dải subnet Nếu ta cấu hình VPN server với địa nằm dải địa subnet, ta phải bổ sung tuyến truyền đại diện cho địa Ta đảm bảo điều băng việc thêm vào tuyến truyền tĩnh đếm router kế cận với VPN server sau sử dụng giao thức định tuyến mạng nội để phát tuyến truyền đến router 91 khác Ta phải gateway cho điạc kết nối mạng nội VPN server 1.41 Triển khai VPN Client Việc triển khai cac VPN client gồm có: • Trực tiếp cấu hình VPN client • Cấu hình gói tin CM với trình CMAK 1.41.1 Trực tiếp cấu hình VPN client Nếu ta có lượng nhỏ VPN client, ta trực tiếp cấu hình kết nối VPN cho VPN client Đối với Windows 2000 VPN client, ta sử dụng Make New Connection Wizard để taọ liên kết mạng nội liên kết VPN gắn chúng với để kết nối khác qua kết nối VPN 1.41.2 Cấu hình gói tin CM với trình CMAK Đối với lượng lớn VPN client chạy nhiều phiên hệ điều hành Windows khác nhau, ta nên sử dụng CMAK để tạo phân phát gói tin CM tuỳ chọn đến người sử dụng 92 Các giải pháp cho công nghệ VPN Windows 2000 Tài liệu tham khảo Các tài liệu Microsoft trang Web www.microsoft.com Tài liệu hướng dẫn phiên hệ điều hành Windows Một số sách tham khảo VPN Tài liệu Mạng Căn Bản Thiết bị mạng wyd1467004729.doc - 6/27/2016 93/93 [...]... và các tuyến đoạn phải được thay đổi hoặc thêm để đẩm bảo các giao dịch chính xác được gửi qua kết nối VPN an toàn để thay thế việc chia sẻ hoặc truy n qua mạng công cộng 1.11 Các kết nối VPN truy cập từ xa Với các kết nối VPN truy cập từ xa, một máy tính tạo ra một kết nối truy cập từ xa tới máy phục vụ VPN Trong quá trình kết nối máy phục vụ VPN phân bố một địa chỉ IP cho máy khách VPN truy cập từ. .. tài nguyên hoặc mạng công cộng và mạng nội bộ Lọc gói PPTP có thể được cấu hình trên cả máy phục vụ VPN và trên cả firewall trung gian 26 Địa chỉ và định tuyến cho các kết nối VPN Để hiểu VPN làm việc như thế nào, bạn phải hiểu việc đánh địa chỉ và định tuyến ảnh hưởng như thế nào qua việc tạo các truy cập từ xa VPN và các kết nối VPN dựa vào router-to-router Một kết nối VPN tạo giao diện ảo phải được... xác nhận từ xa (RADIUS) Điều này cho phép máy phục vụ VPN gửi quyền uỷ nhiệm xác nhận thiết bị xác nhận trung tâm Cùng một tài khoản người sử dụng được dóng chom cả hai quay số truy cập từ xa và truy cập từ xa theo kiểu VPN 1.5.2 Quản lý địa chỉ và tên của VPN server Máy phục vụ VPN phải có các địa chỉ IP có khả năng để phân phối chúng tới giao diện ảo của máy phục vụ VPN và các máy khách VPN trong.. .truy cập từ xa có thể truy cập tới các tài nguyên của mạng nội bộ riêng Hình 3 minh hoạ truy cập từ xa qua Internet 1.4.3 Kết nối đến các mạng khác qua Internet Hình 4 Một VPN kết nối site từ xa qua Internet Khi các mạng được kết nối qua Internet ( minh hoạ trong hình 4 ), một bộ định tuyến hướng các gói tin tới bộ định tuyến khác qua kết nối VPN Tới các bộ định tuyến, VPN thụ hiện như... Quản lý truy cập các kết nối VPN từ xa với Windows NT 4.0 được thực hiện ua việc cấu hình các tính chất quya số trên các tài khoản người sử dụng Để quản lý truy cập từ xa trên cơ sở người sử dụng riêng, có thể cho phép người sử dụng thiết lập các tính chất quay số của những tài khoản người sử dụng đó mà cho phép tạo ra các kết nối truy cập từ xa và biến đổi các tính chất của phục vụ truy cập từ xa hoặc... và truy cập từ xa với các tham số cần thiết 16 1.5.4 Quản lý xác thực Phục vụ truy cập từ xa của Windows NT 4.0 sử dụng khả năng xác nhận của Windows NT Định tuyến của Windows NT 4.0 và phục vụ truy cập từ xa (RRAS) có thể được cấu hình để sử dụng cả Windows NT và RADIUS khi nhà cung cấp xác nhận 1.5.5 Xác thực của RADIUS Nếu RADIUS được chọn và cấu hình như nhà cung cấp xác nhận trên máy phục vụ VPN, ... vấn đề truy cập khác tin cho những người sử dụng không được kết nối vật lý tới vùng mạng riêng biệt Hình 5: Một kết nối VPN cho phép truy cập từ xa tới mạng bảo mật qua một mạng nội bộ Các kết nối VPN cho phép các vùng mạng quan trọng của phòng được kết nối vật lý tới tổ chức mạng nội bộ nhưng được tách ra bởi máy phục vụ VPN Máy phục vụ VPN không cung cấp một kết nối định tuyến trực tiếp giữa mạng nội... người sử 14 dụng mà không được phép thực hiện một kết nối VPN, vùng mạng riêng được đặt với họ Hình 5 minh hoạ truy cập từ xa qua mạng nội bộ 1.4.8 Kết nối các mạng qua Intranet Hình 6 Một kết nối VPN hai mạng qua một mạng nội bộ Bạn cũng có thể kết nối hai mạng qua một mạng nội bộ sử dụng kết nôi VPN dựa vào router-to-router Loại kết nối VPN này có thể cần thiết, ví dụ, hai phòng trong các vùngriêng biệt,... dịch vụ 1.4.6 Các kết nối VPN dựa vào intranet Kết nối VPN dựa vào mạng nội bộ tận dụng các ưu điểm của kết nối IP trong một tổ chức mạng nội bộ 1.4.7 Truy cập từ xa qua mạng nội bộ Trong một vài tổ chức mạng nội bộ, dữ liệu của một phòng, như là một tại phòng nhân sự, dữ liệu quá quan trọng đến nỗi mà các vùng mạng của phòng không được kết nối vật lý tới phần còn lại của tổ chức mạng nội bộ Trong khi... bộ và vùng mạng riêng biệt Những người sử dụng trên mạng nội bộ với sự cho phép thích hợp có thể thực hiện một kết nối VPN truy cập từ xa với maý phục vụ VPN và có thể nhận được truy cập tới các tài nguyên được bảo vệ của vùng mạng quan trọng Hơn nữa, tất cả các giao tiếp qua kết nối VPN được mã hóa với các dữ liệu một cách cẩn mật Với những người sử 14 dụng mà không được phép thực hiện một kết nối VPN,