Tìm hiểu về mạng riêng áo VPN

Tìm hiểu về mạng riêng áo VPN

Tìm hiểu mạng riêng ảo VPN

Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di

động) truy cập đến từ bên ngoài

Khái niệm

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là

Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã

Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc nhân viên di động là loại VPN truy cập từ xa)

VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm

cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên Intranet hoặc Extranet Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung

Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet

Bảo mật trong VPN

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa

Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào

hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ

Máy chủ AAA

AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn

Sản phẩm công nghệ dành cho VPN

Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:

- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa

- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX

- Server VPN cao cấp dành cho dịch vụ Dial-up

- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ

Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco

( Ảnh: quadrantcommunications)

Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn

Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải

sử dụng chung một giao thức (tunnel protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet

Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm:

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao

thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm Tất nhiên, nó phải được

hỗ trợ ở cả hai giao diện Tunnel

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa

Kỹ thuật Tunneling trong mạng VPN truy cập từ xa:

Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP

Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa

L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ

PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ

L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm-

nối-điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn

Phần này sẽ giới thiệu cách cài đặt mạng VPN loại truy cập từ xa theo giao thức

Tunneling điểm-nối-điểm (PPTP) Mô hình thực nghiệm này dùng hệ điều hành

Windows XP cho máy truy cập từ xa và Windows Server 2003 cho các máy chủ

Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động như một máy chủ VPN VPN1 được lắp đặt 2 adapter mạng

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote Authentication Dial-in User Service)

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động như một máy chủ về web và file

- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một máy khách truy cập từ xa

Ở đây có các phân đoạn mạng Intranet dành cho mạng LAN của công ty và phân đoạn mạng Internet Tất cả các máy tính ở Intranet được kết nối với một HUB (máy chủ truy cập) hoặc switch Layer 2 Tất cả các máy tính trên mạng Internet được kết nối với một HUB hoặc switch Layer 2 Ta sử dụng các địa chỉ 172.16.0.0/24 cho Intranet; địa chỉ 10.0.0.0/24 cho Internet IIS1 chứa cấu hình địa chỉ IP, sử dụng giao thức DHCP

CLIENT1 cũng dùng giao thức DHCP cho cấu hình địa chỉ IP nhưng cũng được xác định bằng một cấu hình IP khác để có thể đặt trên mạng Intranet hoặc Internet

Dưới đây là cách cài đặt cho riêng từng máy

Kỳ 1: Cách lắp đặt cho DC1

Để định cấu hình DC1 cho các dịch vụ mà nó kiêm nhiệm, bạn làm theo các bước sau đây:

1 Cài đặt Windows Server 2003, bản Enterprise Edition, để làm một server riêng

2 Xác định giao thức TCP/IP với địa chỉ IP là 172.16.0.1 và địa chỉ cho mạng cấp dưới là 255.255.255.0

3 Chạy Active Directory Installation Wizard (tập tin dcpromo.exe) cho một domain mới example.com Cài đặt dịch vụ DNS khi được yêu cầu

4 Sử dụng trình quản lý Active Directory Users and Computers, nhấn chuột phải vào domain example.com rồi nhấn vào Raise Domain Functional Level

5 Kích chuột vào dòng Windows Server 2003 và chọn Raise

6 Cài đặt giao thức DHCP để làm một thành phần của Networking Services bằng cách dùng Control Panel => Add or Remove Programs

7 Mở trình quản lý DHCP từ thư mục Administrative Tools

8 Nhấn vào mục Action => Authorize để cho phép sử dụng dịch vụ DHCP

9 Trong cây thư mục, nhấn chuột phải vào dc1.example.com rồi nhấn New Scope

10 Trên trang Welcome của New Scope Wizard, nhấn Next

11 Ở trang Scope Name, nhập một cái tên như Mang Cong ty

12 Nhấn vào Next Trên trang địa chỉ IP, nhập 172.16.0.10 ở ô Start IP address,

172.16.0.100 ở ô End IP address và 24 ở mục Length

Khai báo địa chỉ IP

13 Nhấn Next Trên trang Add Exclusions, nhấn Next

14 Trên trang Lease Duration, nhấn Next

15 Trên trang Configure DHCP Options, nhấn Yes, I want to configure DHCP options now

16 Nhấn Next Trên trang Router (Default Gateway), nhấn Next

17 Trên trang Domain Name and DNS Servers, nhập vào dòng example.com trong mục Parent domain Nhập 172.16.0.1 trong ô địa chỉ IP rồi nhấn Add

18 Nhấn Next Trên trang WINS Servers, nhấn Next

19 Trên trang Activate Scope, nhấn Yes, I want to activate the scope now

20 Nhấn Next Trên trang Completing the New Scope Wizard, nhấn Finish

21 Cài đặt Certificate Services làm một CA gốc với tên Example CA bằng cách dùng Control Panel => Add or Remove Programs

22 Mở Active Directory Users and Computers

23 Trong cây thư mục, chọn example.com

24 Nhấn chuột phải vào Users, chọn Computer

25 Trong hộp thoại New Object Computer, nhập IAS1 trong mục Computer name

26 Nhấn Next Trong hộp thoại Managed, nhấn Next Trong hộp thoại New Object Computer, nhấn Finish

27 Dùng các bước từ 24 đến 26 để tạo thêm tài khoản máy tính với các tên IIS1, VPN1

và CLIENT1

28 Trong cây thư mục, nhấn chuột phải vào Users, chọn User

29 Trong hộp thoại New Object User, nhập VPNUser trong mục First name và VPNUser trong User logon name

30 Nhấn Next

31 Trong hộp thoại New Object User, nhập một password tùy chọn vào mục Password and Confirm password Bỏ dấu ở ô User must change password at next logon và đánh dấu

ở ô Password never expires

32 Trong hộp thoại New Object User, chọn Finish

33 Trong cây thư mục, nhấn chuột phải vào Users, chọn Group

34 Trong hộp thoại New Object Group, nhập vào dòng VPNUsers ở mục Group name rồi nhấn OK

35 Kích đúp vào VPNUsers

36 Nhấn vào thẻ Members và nhấn Add

37 Trong hộp thoại Select Users, Contacts, Users hoặc Groups, nhập vpnuser trong mục Enter the object names to select

38 Nhấn OK Trong hộp thoại Multiple Names Found, nhấn OK Account của người sử dụng VPNUser được đưa vào sanh sách nhóm VPNUsers

39 Nhấn OK để lưu các thay đổi đối với nhóm VPNUsers

Phần này giới thiệu cách cài đặt mạng VPN loại truy cập từ xa theo giao thức Tunneling điểm-nối-điểm (PPTP) Mô hình thực nghiệm này dùng hệ điều hành Windows XP cho máy khách truy cập từ xa và Windows Server 2003 cho các máy chủ

Kỳ 2: Cách cài đặt cho máy IAS1, IIS1, VPN1 và CLIENT1

IAS1

IAS1 là máy tính chạy Windows Server 2003, bản Standard Edition, cung cấp cơ chế thẩm định quyền truy cập RADIUS, cho phép truy cập và theo dõi quá trình truy cập Để định cấu hình IAS1 làm máy chủ RADIUS, bạn làm theo những bước sau:

1 Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành viên mang tên IAS1 trong domain example.com

2 Đối với kết nối cụ bộ Intranet, định cấu hình giao thức TCP/IP với địa chỉ IP là

172.16.0.2, mạng cấp dưới (subnet mask) là 255.255.255.0 và địa chỉ IP của máy chủ DNS là 172.16.0.1

3 Cài đặt dịch vụ Internet Authentication Service trong Networking Services ở mục Control Panel-Add or Remove Programs

4 Mở trình Internet Authentication Service từ thư mục Administrative Tools

5 Nhấn chuột phải vào thẻ Internet Authentication Service rồi chọn Register Server in Active Directory Khi hộp thoại Register Internet Authentication Service in Active Directory xuất hiện, nhấn OK

6 Trong cây chương trình, nhấn chuột phải vào Clients rồi chọn New RADIUS Client

7 Trên trang Name and Address của mục New RADIUS Client, ở ô Friendly name, gõ VPN1 và lại nhập tiếp VPN1 lần nữa vào ô Confirm shared secret

8 Nhấn Next Trên trang Additional Information của mục New RADIUS Client, ở ô Shared secret, gõ một mã bí mật chia sẻ cho VPN1 và gõ tiếp lần nữa ở ô Confirm shared secret

12 Trên trang Policy Configuration Method, nhập VPN remote access to intranet vào ô Policy name

13 Nhấn Next Trên trang Access Method, chọn VPN

14 Nhấn Next Trên trang User or Group Access, chọn Group

15 Nhấn nút Add Trong hộp thoại Select Groups, gõ VPNUsers trong ô Enter the object names to select

16 Nhấn OK Nhóm VPNUsers trong domain example.com được thêm vào danh sách nhóm trên trang Users or Groups

17 Nhấn Next Trên trang Authentication Methods, giao thức thẩm định quyền truy cập MS-CHAP v2 được chọn mặc định

18 Nhấn Next Trên trang Policy Encryption Level, bỏ đánh dấu trong các ô Basic

encryption và Strong encryption

19 Nhấn Next Trên trang Completing the New Remote Access Policy, nhấn Finish IIS1

IIS1 chạy Windows Server 2003, Standard Edition và dịch vụ Internet Information

Services (IIS) Để định cấu hình cho IIS1 làm máy chủ về tập tin và web, bạn thực hiện các bước sau:

1 Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành viên mang tên IIS1 trong domain example.com

2 Cài đặt IIS làm tiểu mục thuộc Application Server của Windows Components Wizard trong Control Panel-Add or Remove Programs

3 Trên IIS1, dùng Windows Explorer để tạo một cơ chế chia sẻ mới cho thư mục gốc của

ổ C:, dùng tên ROOT với các cho phép mặc định

4 Để xác định máy chủ web có hoạt động chính xác không, hãy chạy trình duyệt Internet Explorer trên IAS1 Nếu Internet Connection Wizard nhắc bạn thì hãy định cấu hình kết

nối Internet cho một kết nối LAN Trong Internet Explorer, mục Address, gõ

http://IIS1.example.com/winxp.gif Bạn sẽ nhìn thấy biểu tượng Windows XP

5 Để xác định tập tin có hoạt động chính xác không, trên IAS, nhấn Start > Run, gõ

\\IIS1\ROOT rồi nhấn OK Nếu đúng, bạn sẽ thấy nội dung của thư mục gốc của ổ C: trên IIS1

VPN1

VPN1 là máy tính chạy Windows Server 2003, Standard Edition cung cấp các dịch vụ máy chủ VPN cho các máy khách VPN Để định cấu hình cho VPN1 làm máy chủ VPN, bạn thực hiện các bước sau:

1 Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành viên mang tên VPN1 trong domain example.com

2 Mở thư mục Network Connections

3 Đối với kết nối nội bộ Intranet, đặt lại tên kết nối thành "Mang Cong ty" Đối với kết nối nội bộ Internet, đặt lại tên kết nối thành "Internet"

4 Định cấu hình giao thức TCP/IP cho kết nối Mang Cong ty với địa chỉ IP là 172.16.0.4, mạng cấp dưới (subnet mask) là 255.255.255.0 và địa chỉ IP cho máy chủ DNS là

172.16.0.1

5 Định cấu hình giao thức TCP/IP cho kết nối Internet với địa chỉ IP là 10.0.0.2 và mạng cấp dưới là 255.255.255.0

6 Chạy trình Routing và Remote Access từ thư mục Administrative Tools

7 Trong cây chương trình, nhấn chuột phải vào VPN1 và chọn Configure and Enable Routing and Remote Access

8 Trên trang Welcome to the Routing and Remote Access Server Setup Wizard, nhấn Next

9 Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn mặc định

10 Nhấn Next Trên trang Remote Access, chọn VPN

11 Nhấn Next Trên trang VPN Connection, nhấn vào giao dienẹ Internet trong Network interfaces

12 Nhấn Next Trên trang IP Address Assignment , chế độ Automatically được chọn mặc định

13 Nhấn Next Trên trang Managing Multiple Remote Access Servers, nhấn vào Yes, set

up this server to work with a RADIUS server

14 Nhấn Next Trên trang RADIUS Server Selection, gõ 172.16.0.2 trong ô Primary RADIUS server và mã bí mật chung trong ô Shared secret

15 Nhấn Next Trên trang Completing the Routing and Remote Access Server Setup Wizard, nhấn Finish

16 Bạn sẽ nhận được message nhắc phải định cấu hình DHCP Relay Agent

17 Nhấn OK

18 Trong cây chương trình, mở VPN1 (local), sau đó là IP Routing và kế tiếp là DHCP Relay Agent Nhấn chuột phải vào DHCP Relay Agent rồi chọn Properties

19 Trong hộp thoại DHCP Relay Agent Properties, gõ 172.16.0.1 trong ô Server address

20 Nhấn Add rồi OK

CLIENT1

CLIENT1 là máy tính chạy Windows XP Professional, hoạt động như một máy khách VPN và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng Internet Để định cấu hình cho CLIENT1 làm máy khách, bạn thực hiện các bước sau:

1 Kết nối CLIENT1 với phân đoạn mạng Intranet

2 Trên máy CLIENT1, cài đặt Windows XP Professional như là một máy tính thành viên

có tên CLIENT1 thuộc domain example.com

3 Thêm tài khoản VPNUser trong domain example.com vào nhóm Administrators

4 Rời hệ thống (log off) rồi vào lại (log on), sử dụng tài khoản VPNUser trong domain example.com

5 Từ Control Panel-Network Connections, đặt các đặc điểm trên kết nối Local Area Network, sau đó đặt các đặc điểm trên giao thức TCP/IP

6 Nhấn vào thẻ Alternate Configuration rồi chọn User configured

7 Trong ô địa chỉ IP, gõ 10.0.0.1 Tại ô Subnet mask, gõ 255.255.255.0

8 Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP Nhấn OK để lưu các thay đổi đối với kết nối Local Area Network

9 Tắt máy CLIENT1

10 Ngắt CLIENT1 khỏi mạng Intranet và kết nối nó với phân đoạn mạng Internet

11 Khởi động lại máy CLIENT1 và log on bằng tài khoản VPNUser

12 Trên máy CLIENT1, mở thư mục Network Connections từ Control Panel

13 Trong Network Tasks, chọn Create a new connection

14 Trên trang Welcome to the New Connection Wizard của New Connection Wizard, nhấn Next

15 Trên trang Network Connection Type, nhấn Connect to the network at my workplace

16 Nhấn Next Trên trang Network Connection, nhấn Virtual Private Network

19 Nhấn Next Trên trang Connection Availability, nhấn Next

20 Trên trang Completing the New Connection Wizard, nhấn Finish Hộp thoại Connect PPTPtoMangCongty hiện ra

21 Nhấn vào mục Properties rồi nhấn vào thẻ Networking

22 Trên thẻ Networking, ở Type of VPN, nhấn PPTP VPN

23 Nhấn OK để lưu các thay đổi đối với kết nối PPTPtoMangcongy Hộp thoại

PPTPtoMangcongy hiện ra

24 Trong ô User name, gõ example/VPNUser Tại ô Password, gõ mật khẩu của bạn cho tài khoản VPNUser

25 Nhấn Connect

26 Khi kết nối hoàn tất, chạy Internet Explorer

27 Nếu Internet Connection Wizard nhắc, định cấu hình nó cho kết nối LAN Ở ô

Address, gõ http://IIS1.example.com/winxp.gif Bạn sẽ nhìn thấy hình ảnh của Windows

XP

28 Nhấn Start > Run, gõ \\IIS1\ROOT rồi nhấn OK Bạn sẽ thấy các nội dung của ổ C: trên máy IIS1

29 Nhấn chuột phải vào kết nối PPTPtoMangcongty rồi nhấn vào Disconnect

Phần này sẽ giới thiệu kết nối VPN truy cập từ xa theo giao thức L2TP/IPsec Cơ chế này cần các chứng nhận bảo mật (certificate) trên cả máy khách và máy chủ VPN và được áp dụng khi người sử dụng cần cấu trúc mã khóa chung (public key infrastructure) ở mức độ cao hơn PPTP

Mô hình thực nghiệm kết nối VPN truy cập từ xa

Ảnh: Microsoft Trong mô hình thực nghiệm này, bạn cần:

- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là DC1, hoạt động như một trung tâm điều khiển domain (domain controller), một máy chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic Host Configuration Protocol) và một trung tâm chứng thực CA (certification authority)

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động như một máy chủ VPN VPN1 được lắp đặt 2 adapter mạng

- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một máy khách truy cập từ xa

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote Authentication Dial-in User Service)

- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động như một máy chủ về web và file

Về các chú ý căn bản cho mô hình thực nghiệm, mời bạn xem lại bài Tìm hiểu mạng riêng ảo VPN (Phần 3) Trong đó, chú ý phân đoạn mạng Internet chỉ là mô phỏng Khi kết nối ra mạng Internet ngoài, bạn cần đặt địa chỉ IP thực, có domain thực thay cho example.com Cách cài đặt cho IAS1 và IIS1 giống như trong phần 3 Thực ra, bạn cũng

có thể thực hiện mô hình rút gọn với 3 máy CD1, VPN1 và CLIENT1

DC1

Dưới đây là cách định cấu hình cho DC1 để tự động nạp các chứng nhận cho máy tính:

1 Mở Active Directory Users và mục Computers

2 Trong cây chương trình, nhấn đúp chuột vào Active Directory Users and Computers, nhấn chuột phải vào example.com, chọn Properties

3 Mở thẻ Group Policy, nhấn vào Default Domain Policy, chọn Edit

4 Trong cây chương trình, mở mục Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings

5 Nhấn chuột phải vào Automatic Certificate Request Settings, chọn New rồi nhấn Automatic Certificate Request

6 Trên trang Welcome to the Automatic Certificate Request Setup Wizard, nhấn Next

7 Trên trang Certificate Template, nhấn Computer

8 Nhấn Next Trên trang Automatic Certificate Request Setup Wizard, nhấn Finish Lúc này, kiểu chứng nhận sẽ xuất hiện trong ô hiển thị chi tiết của Group Policy Object Editor

9 Gõ gpupdate ở dấu nhắc để cập nhật Group Policy trên DC1

Cập nhật Group Policy trên VPN1: gõ lệnh gpupdate tại dấu nhắc lệnh

Sau khi cập nhật các chứng nhận mới, bạn cần phải ngừng và khởi động lại các dịch vụ IPsec Policy Agent và Remote Access:

1 Nhấn Start > Administrative Tools > Services

2 Trong ô hiển thị chi tiết, trỏ vào IPSEC Services > Action, sau đó nhấn Restart

3 Trong ô hiển thị chi tiết, trỏ vào Routing and Remote Access > Action rồi nhấn Restart

Để nạp các chứng nhận trên máy này và định cấu hình cho một kết nối VPN truy cập từ

xa theo giao thức L2TP/IPsec, bạn thực hiện các bước như sau:

6 Khởi động lại CLIENT1 và đăng nhập vào với tài khoản VPNUser

7 Trên CLIENT1, trong Control Panel, mở thư mục Network Connections

8 Trong Network Tasks, nhấn vào Create a new connection

9 Trên trang Welcome to the New Connection Wizard, nhấn Next

10 Trên trang Network Connection Type, nhấn Connect to the network at my workplace

11 Nhấn Next Trên trang Network Connection, nhấn vào Private Network connection

12 Nhấn Next Trên trang Connection Name, gõ L2TPtoMangcongty

13 Nhấn Next Trên trang Public Network, nhấn Do not dial the initial connection

14 Nhấn Next Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô Host name or IP address

15 Nhấn Next Trên trang Connection Availability, nhấn Next

16 Trên trang Completing the New Connection Wizard, nhấn Finish Hộp thoại

L2TPtoMangcongty xuất hiện

17 Nhấn vào mục Properties rồi nhấn vào thẻ Networking

18 Trên thẻ Networking, trong mục Type of VPN, nhấn vào L2TP/IPSec VPN

19 Nhấn OK để lưu các thay đổi đối với kết nối L2TPtoMangcongty Hộp thoại Connect L2TPtoMangcongty xuất hiện

20 Trong ô User name, gõ example\VPNUser Trong ô Password, gõ mật khẩu tùy ý cho tài khoản VPNUser

21 Nhấn Connect

22 Khi kết nối được thiết lập, chạy trình duyệt web

23 Trong ô Address, gõ http://IIS1.example.com/iisstart.htm Bạn sẽ thấy một thông báo

là trang web đang trong quá trình thiết kế Trên thực tế, bạn phải có một tên miền thực, thay cho example.com

24 Nhấn Start > Run > gõ \\IIS1\ROOT > OK Bạn sẽ thấy các nội dung của ổ nội bộ (ổ C) trên IIS1

25 Nhấn chuột phải vào kết nối L2TPtoMangcongty rồi chọn Disconnect

Các chú ý:

Nếu muốn thiết lập một cái "ống ảo" bí mật trên mạng Internet theo cơ chế truy cập từ xa, bạn chỉ có thể sử dụng giao thức IPSec trực tiếp khi máy khách có địa chỉ IP thực

Do L2TP với cơ chế mã hóa IPSec yêu cầu cấu trúc mã khóa chung (Public Key

Infrastructure) nên khó khai thác và tốn kém so với PPTP L2TP/IPSec là giao thức L2TP chạy trên nền IPSec, còn cơ chế truyền tin IPSec Tunel Mode lại là một giao thức khác

Do có cơ chế thẩm định quyền truy cập nên L2TP/IPSec hay IPSec Tunnel Mode chỉ có thể truyền qua một thiết bị dịch địa chỉ mạng NAT (network address translation) bằng cách đi qua nhiều cái "ống ảo" hơn Nếu dùng một NAT giữa điểm hiện diện POP (Point

of Present) và Internet, bạn sẽ gặp khó khăn Còn trong PPTP, một gói tin IP đã được mã hóa đặt trong một gói tin IP không được mã hóa nên nó có thể đi qua một NAT

PPTP và L2TP có thể hoạt động với các hệ thống thẩm định quyền truy cập dựa trên mật khẩu và chúng hỗ trợ quyền này ở mức cao cấp bằng những loại thẻ thông minh, công nghệ sinh trắc học và các thiết bị có chức năng tương tự

Lời khuyên:

PPTP là giải pháp tối ưu khi khách hàng muốn có cơ chế bảo mật không tốn kém và phức tạp Giao thức này cũng tỏ ra hữu hiệu khi các luồng dữ liệu phải truyền qua NAT Khách hàng nếu muốn có NAT và độ bảo mật cao hơn có thể định cấu hình cho các quy tắc IPSec trên Windows 2000

L2TP là giải pháp tốt nhất khi khách hàng coi bảo mật là vấn đề quan trọng hàng đầu và cam kết khai thác cấu trúc mã khóa chung PKI Nếu bạn cần một thiết bị NAT trong đường truyền VPN thì giải pháp này có thể không phát huy hiệu quả

IPSec Tunnel Mode lại tỏ ra hữu hiệu hơn với VPN điểm-nối-điểm (site to site) Mặc dù giao thức này hiện nay cũng được áp dụng cho VPN truy cập từ xa nhưng các hoạt động của nó không "liên thông" với nhau IPSec Tunnel Mode sẽ được đề cập kỹ hơn trong phần VPN điểm-nối-điểm kỳ sau

Như đề cập ở phần trước, bảo mật của VPN còn được hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc học Micrsoft đã tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên trách công việc này cho VPN truy cập từ xa

EAP-TLS là chữ viết tắt của Extensible Authentication Protocol - Transport Layer

Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật lớp truyền dẫn) Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người sử dụng (user

certificate) trên cả máy khách và máy chủ IAS của mạng VPN Đây là cơ chế có mức độ