Hiện nay, hệ thống MPSFV6 của Cục tin học nghiệp vụ (H49) Bộ Công an đã triển khai trên thực tế tại Cổng TTĐT tỉnh Nghệ An. Nội dung phần này sẽ mô tả cụ thể mô hình ứng dụng này.
Hình 2.1: Mô hình triển khai tường lửa MPSFV6 trên Cổng TTĐT tỉnh Nghệ An
Hình 2.2: Mô hình kết nối thử nghiệmMPSFV6_VPN
Internet
firewall Web tier 2x Database Server
(cluster) Cluster Manager firewall WebSphere Portal (primary) WebSphere Portal (secondary) LAN: 10.149.5.0/24 INTERNET MÁY TÍNH TRUY CẬP TỪ XA IP: 10.0.0.213 MẠNG MÁY TÍNH
VPN Server VPN Gateway Client
10.149.5.1 10.0.0.2 10.0.0.1 192.168.49.88 192.168.49.41 Tunnel 172.160.1.0/24 T u n n e l 1 7 2 .1 6 0 .1 0 .0 /2 4 MPSFV6 MPSFV6
Học viên: Trương Minh Hợi 24 Luận văn Thạc sĩ kỹ thuật a. Cài đặt phần mềm
- Cài đặt trên máy tính làm VPN Server (IP: 192.168.49.88):
+ Hệ điều hành Redhat Linux Enterprise phiên bản 6.3 (đã cập nhật và khắc phục lỗ hổng shellshock).
+ Gói phần mềm OpenVPN và các gói phần mềm hỗ trợ phục vụ cấu hình, quản trị VPN Server: OpenSSL (sử dụng phiên bản OpenSSL đã được cập nhật để chống lại một số dạng tấn công), apache, lzo,...
- Cài đặt trên máy tính làm VPN Client Gateway (IP: 10.149.5.1):
+ Hệ điều hành Redhat Linux Enterprise phiên bản 6.3 (đã cập nhật và khắc phục lỗ hổng shellshock).
+ Gói phần mềm OpenVPN và các gói phần mềm hỗ trợ phục vụ cấu hình, quản trị VPN Client Gateway: OpenSSL (sử dụng phiên bản OpenSSL đã được cập nhật để chống lại một số dạng tấn công), apache, lzo,...
- Cài đặt trên máy tính từ xa (IP: 10.0.0.213): + Hệ điều hành Microsoft Windows.
+ Gói phần mềm OpenVPN Gui. b. Cấu hình và quản trị hệ thống
Công việc cấu hình và quản trị hệ thống kết nối mạng riêng ảo được thực hiện bằng giao diện web, thông qua giao thức https. Các hình giao diện dưới đây sẽ mô tả chức năng cấu hình và quản trị kết nối riêng ảo:
- Cấu hình VPN Server
Học viên: Trương Minh Hợi 25 Luận văn Thạc sĩ kỹ thuật
Hình 2.3: Thông số thiết lập VPN Server Site – to – Site
Hình 2.4: Thông số thiết lập VPN Server Client – to – Site
Học viên: Trương Minh Hợi 26 Luận văn Thạc sĩ kỹ thuật - Khởi động VPN Server
Hình 2.6: Thông số card mạng ảo trên VPN Server
- Cấu hình VPN Client Gateway + Tạo VPN Client Gateway
Học viên: Trương Minh Hợi 27 Luận văn Thạc sĩ kỹ thuật
Hình 2.8: Kết quả tạo VPN Client Gateway
- Cài đặt phần mềm OpenVPN Guide trên máy truy cập từ xa
Thực hiện cài đặt gói phần mềm openvpn-install-2.3.0-I005-i686, trên máy tính từ xa, chạy hệ điều hành Windows, quá trình cài đặt thực hiện theo chỉ dẫn trên hộp thoại của phần mềm.
Học viên: Trương Minh Hợi 28 Luận văn Thạc sĩ kỹ thuật Sau khi cài đặt xong, biểu tượng của phần mềm sẽ xuất hiện trên thanh công
cụ .
Thiết lập cấu hình cho VPN Client thông qua tệp config, theo đường dẫn C:\Program Files\OpenVPN\config. Sau đó, tạo kết nối với VPN Server, một card mạng ảo sẽ được tạo ra để kết nối tới VPN Server để tạo một kênh ảo kết nối giữa máy tính từ xa với VPN Server.
Hình 2.10: Thông số thiết lập cấu hình cho VPN Client
c. Thử nghiệm kết nối
Trước khi kết nối VPN, kiểm tra đường truyền giữa 2 mạng: 10.149.5.0/24 tới máy chủ web: 192.168.49.41
Học viên: Trương Minh Hợi 29 Luận văn Thạc sĩ kỹ thuật
Hình 2.11: Địa chỉ IP của mạng trong và thực hiện lệnh ping
Hình 2.12: Truy cập dịch vụ web
- Kích hoạt kết nối VPN, kiểm tra đường truyền và truy cập dịch vụ web. + Kích hoạt VPN Client Gateway
Học viên: Trương Minh Hợi 30 Luận văn Thạc sĩ kỹ thuật
Hình 2.13: Thông số card mạng ảo trên VPN Client Gateway
Học viên: Trương Minh Hợi 31 Luận văn Thạc sĩ kỹ thuật
Hình 2.14: Kết quả thử nghiệm thành công
d. Quản lý nhật ký kết nối
Hệ thống cho phép quản trị quản lý các kết nối riêng ảo dựa trên giao diện web, các thông tin quả lý bao gồm: tên vpn client, thời gian kết nối, ngắt kết nối, cổng kết nối, địa chỉ IP thực, IP ảo, ...
Hình 2.15: Trạng thái kết nối của các VPN Server
Học viên: Trương Minh Hợi 32 Luận văn Thạc sĩ kỹ thuật
Hình 2.17: Trạng thái kết nối của VPN Client tới VPN Server
Hình 2.18: Nhật ký kết nối của toàn hệ thống
Như vậy, thông qua kết nối VPN, đường truyền kết nối giữa các máy tính thuộc mạng máy tính cấp huyện (10.149.5.0/24) đã truy cập máy chủ dịch vụ web (192.168.49.41) đặt tại mạng máy tính cấp tỉnh đã được bảo mật.