Mô hình Site to site là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site. Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway. Với 2 mạng riêng, Office 1 và office 2 được kết nối với nhau qua Internet. Để bảo mật dữ liệu, VPN gateway 1 và VPN gateway 2 thiết lập một đường hầm – tất cả lưu lượng đi qua nó được mã hóa để đảm bảo bí mật và tính toàn vẹn. Để tránh các tường lửa ở hai đầu ngăn chặn lưu lượng được mã hóa như là mã độc, chức năng VPN được kết hợp với các bức tường lửa. IPCop đã hỗ trợ IPSEC Site to Site.
Hình 4.46: Mô hình Site to Site
a. Cấu hình Site to Site:
• 2 tường lửa IPCop, một cho Office 1(Hà nội) và Office 2 (Hồ Chí Minh).
• Các dải địa chỉ mạng LAN tương ứng là 172.16.1.0/24 và 172.16.2.0/24
Tham số Thiết lập bên Hà Nội Thiết lập bên Hồ Chí Minh
Name HaNoi HoChiMinh
Remote host/IP 192.168.10.222 192.168.10.111 Remote subnet 172.16.2.0/255.255.255.0 172.16.1.0/255.255.255.0 Host IP address 192.168.10.111 192.168.10.222 Local subnet 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0 Use a Pre- Shared Key (PSK) 123456 123456
• Trên tường lửa của Hà Nội vào menu VPNs -> VPNs trong mục “Connection status and control” nhấn “Add” để tạo kết nối.
• Chọn “Net-to-Net Virtual Private Network” để cấu hình Site to Site. • Cấu hình tham số như trong bảng ở trên. Rồi nhấn nút “Save” để lưu lại
các thiết lập.
• Trên tường lửa của Hồ Chí Minh cấu hình tương tự.
Hình 4.48: Trạng thái kết nối Site to Site bên Hồ Chí Minh.
Bảo mật mạng riêng ảo dựa trên việc chia sẻ PSK và bí mật của khóa. Nếu PSK bị lộ mang có thể bị đe dọa. Để khắc phục vấn đề này, mạng riêng ảo dựa trên chứng chỉ có thể được sử dụng bằng cách tạo ra một RootCA và chứng chỉ cho máy.
KẾT LUẬN
Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì IPCop là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng.
Đặc điểm cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm IPCop không đòi hỏi phải cao như những phần mềm mới hiện nay. IPCop là một tường lửa có chức năng định tuyến như một tường lửa mạnh và ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Phần mềm được thiết kế nhỏ gọn, dễ dàng cấu hình thông qua giao diện web và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng. Tường lửa IPCop có thể đáp ứng được một mạng doanh nghiệp nhỏ và nó cũng dễ dàng trong quản lý và cung cấp nhiều tính năng để như trong các sản phẩm thương mại. Mặc dù vậy một số tính năng đã được sử dụng trong các doanh nghiệp lớn vẫn còn nhiều hạn chế, chính vì vậy tôi không khuyên các bạn sử dụng trong môi trường lớn như vậy. Với cộng đồng phát triển tích cực của ứng dụng này, dự án nên giải quyết các vấn đề này đó như các tính năng mới được bổ sung. Bạn hoàn toàn có thể bổ sung IPCop vào danh sách các giải pháp tường lửa đang phát triển, giá thành thấp hoặc miễn phí.
Qua quá trình tìm hiểu, học tập và triển khai ứng dụng em đã đạt được những mục tiêu:
- Tìm hiểu rõ ràng về tường lửa IPCop, phân biệt được rõ ưu và nhược điểm các giải pháp.
- Có cái nhìn sâu sắc về tường lửa IPCop, cụ thể là các chức năng cơ bản của một tường lửa cần có hiện nay như lọc web, giới hạn băng thông, mở cổng, kết nối mạng riêng ảo.
- Xây dựng được mô hình tường lửa sử dụng máy ảo VMware hoạt động tốt, hiệu năng làm việc của tường lửa cao.
Tuy nhiên do thời gian làm đồ án có hạn và kiến thức thực tế còn hạn chế nên em chưa thể tìm hiểu sâu hơn cũng như trình bày kỹ lưỡng, chi tiết về các vấn đề liên quan. Trong tương lai em sẽ cố gắng phát triển đồ án theo hướng:
- Tiếp tục nghiên cứu, tìm hiểu thêm về các chức năng chống spam mail, tăng tính sẵn sàng cho tường lửa bằng cách kết hợp phương pháp cân bằng tải vào IPCop.
- Làm tài liệu để có thể ứng dụng cho những doanh nghiệp hạn hẹp về tài chính muốn có một tường lửa đủ mạnh.
Qua quá trình làm đồ án em thấy được hiệu quả của tường lửa trong các hoạt động thực tế. Nhờ tường lửa mà ta có thể tránh được nhiều nguy cơ tiềm tàng ảnh hưởng trực tiếp đến hệ thống máy tính cũng như thông tin nhạy cảm trên máy tính. Chính vì vậy việc triển khai hệ thống tường lửa là rất cần thiết đối với một hệ thống mạng của mỗi cơ quan, tổ chức hay doanh nghiệp.
Em hy vọng tiếp tục nhận được nhiều hơn nữa những sự góp ý, bổ sung của các thầy cô giáo, các bạn sinh viên để em có thể hoàn thiện đồ án này hơn nữa và trang bị kiến thức cho bản thân. Em xin chân thành cảm ơn tất cả mọi người.
TÀI LIỆU THAM KHẢO
[1] James Eaton-Lee and Barrie Dempster. Configuring IPCop Firewalls: Closing Borders with Open Source: How to setup, configure and manage your Linux firewall, web proxy, DHCP, DNS, time ... VPN with this powerful Open Source solution. Birmingham, Mumbai (Oct 1, 2006).
[2] Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker. “IPCop v1.4.21 Administration Manual” (17 June 2009).
<URL: http://www.ipcop.org/1.4.0/en/admin/html/ >
[3] Marco Sondermann. Advanced Web Proxy Server for IPCop 1.4. (Mar 2009).
<URL: http://www.advproxy.net>
[4] Andreas “ Howto setup IPCop in a virtual machine” (February 8th 2005). <URL: http://www.smokinggun.de/?p=78>
[5] TS. Vũ Quốc Thành, KS. Nguyễn Trung Luận, KS. Phạm Duy Trung.
Giáo trình Bức tường lửa. Ban cơ yếu chính phủ Học Viện Kỹ Thuật Mật Mã. (2006)
[6] Ufuk Altinkaynak “ IPCop and OpenVPN roadwarrior, easy as one two three...” June 2005.
<URL: http://www.openvpn.eu/index.php?id=73>
[7] Kefa Rabah. Deploy Secure Network Defense for Small Enterprises using IPCop Firewall. Global Open Versity, Vancouver Canada (Năm 2007).
[8] Rajesh Deodhar. “Guard Your Network with IPCop, Part 5: Your First Site-to-Site VPN” May 1 2012.
<URL: http://www.linuxforu.com/2012/05/guard-your-network-with-ipcop- part-5-your-first-site-to-site-vpn/ >