Triển khai các Client VPN

Một phần của tài liệu an toàn mạng riêng ảo (Trang 160 - 168)

Bây giờ ta đã có các máy chủ xác thực. Máy chủ mạng riêng ảo được thiết lập với các chính sách tuy cập của chúng và có khả năng thực hiện các kết nối từ người dùng từ xa, truy cập tài nguyên của tổ chức và liên lạc trên bộ định tuyến mạng của tổ chức. Bước tiếp theo ta làm cho các Client có khả năng truy cập máy chủ mạng riêng ảo.

Tổng kết

Để triển khai một giải pháp truy cập từ xa dựa trên PPTP, thực hiện các bước như sau

+ Nếu đang sử dụng xác thực EAP-TLS, tạo một cơ sở hạ tầng chứng chỉ số để phát hành các chứng chỉ người dùng tới các Client VPN và máy chủ xác thực

+ Kết nối máy chủ mạng riêng ảo với Internet

+ Triển khai cơ sở hạ tầng AAA(gồm cả máy chủ RADIUS) + Triển khai các Client VPN

Để triển khai một giải pháp truy cập từ xa dựa trên L2TP/IPSec, ta thực hiện các bước sau:

+ Tạo một cơ sở hạ tầng cung cấp chứng chỉ để phát hành chứng chỉ cho Client VPN và máy chủ mạng riêng ảo

+ Kết nối máy chủ mạng riêng ảo với Internet

+ Triển khai cơ sở hạ tầng AAA(gồm cả máy chủ RADIUS)

+ Sửa đổi cơ sở hạ tầng Intranet để phân phối đường định tuyến và vùng cách ly

+ Triển khai các Client VPN

Chương VII Xây dựng mạng riêng ảo Site – to – Site 7.1. Các thành phần của mạng riêng ảo Site – to – Site

Trong chương VI ta đã xem xét các thành phần của mạng riêng ảo truy cập từ xa – đó là, mạng riêng ảo có nhiều người dùng từ xa kết nối tới một cổng kết nối mạng riêng ảo để truy cập các tài nguyên bên trong. Kiểu kết nối mạng riêng ảo khác là dạng từ nhánh mạng - tới – nhánh mạng (Site – to – Site), trong đó, hai Router tạo một đường hầm qua Internet và hoạt động như một liên kết mạng WAN giữa hai nhánh mạng. Người dùng bên cả hai phía của liên kết không cần biết về kết nối mạg riêng ảo vì liên kết hoàn toàn trong suốt với họ. Mạng riêng ảo Site – to – Site cho phép các công ty sử dụng Internet để kết nối các văn phòng của họ lại với nhau bằng việc sử dụng đường hầm mạng riêng ảo và công nghệ mã hoá, và như vậy, tiết kiệm được chi phí trên các liên kết mạng WAN riêng đắt đỏ. Để quyết định triển khai kết nối mạng riêng ảo Site – to – Site (được xem như là Router - tới – Router) ta phải hiểu tất cả các thành phần liên quan. Để hiểu tất cả các chức năng của mạng riêng ảo Site – to – Site, chúng ta cần bắt đầu với một mô tả tổng qua về công nghệ định tuyến theo yêu cầu quay số, nó cho phép các Router mạng riêng ảo có thể cho phép hoặc không cho phép các đường hầm mạng riêng ảo một cách tự động dựa trên luồng lưu lượng mà các Router đang xem xét

7.1.1. Định tuyến theo yêu cầu quay số

Định tuyến theo yêu cầu quay số qua các kết nối quay số (chẳng hạn như đường điện thoại hoặc mạng tích hợp dịch vụ số - ISDN), các kết nối mạng riêng ảo , và giao thức PPP qua các kết nối Ethernet (PPPoE). Định tuyến theo yêu cầu quay số cho phép chuyển tiếp các gói dữ liệu qua một liên kết PPP. Liên kết PPP được mô tả trên Router như là một giao diện theo yêu cầu quay số, nó có thể được dùng để tạo các kết nối khi được yêu cầu qua đường quay số, không thường xuyên hay truyền thông liên tục. Các kết nối theo yêu cầu quay số cho phép ta sử dụng các đường điện thoại quay số thay thế các đường leased line những tình huống luồng lưu lượng thấp và thúc đẩy kết nối của Internet để kết nối các văn phòng chi nhánh với các kết nối mạng riêng ảo. Khi các liên kết luôn luôn « sẵn sàng« , nó được xem như là một kết nối thường trực. Nếu liên kết chỉ « sẵn sàng« lúc cần thiết – đó là, một kết nối được thiết lập chỉ lúc « quan tâm« luồng lưu lượng hiện tại và kết nối đó được huỷ bỏ lúc truyền tin

hoàn tất- Nó sẽ tối thiểu hoá các chi phíe điện thoại và các vấn đề về độ trễ cao trong định tuyến. Cấu hình này được xem như một kết nối khi có yêu cầu.

Định tuyến theo yêu cầu quay số không giống như truy cập từ xa. Trong khi truy cập từ xa kết nối một máy tính đơn vào mạng, định tuyến theo yêu cầu quay số kết nối toàn bộ các mạng. Tuy nhiên, cả hai đều sử dụng PPP như giao thức để thương lượng và các thực kết nối, đóng gói dữ liệu đã gửi qua nó. Một số tính năng và đặc điểm của các kết nối theo yêu cầu quay số :

- Các thuộc tính quay số cho các tài khoản người dùng - Tính năng an toàn(các giao thức xác thực và mã hoá) - Các chính sách truy cập từ xa được sử dụng

- Dịch vụ AAA

- Địa chỉ IP được gán và cấu hình

- Các tính năng PPP được dùng, như MMPC, BAP

Trong khi khái niệm định tuyến theo yêu cầu quay số là khá đơn giản thì việc cấu hình nó lại khá phức tạp bởi các nhân tố sau:

- Đánh địa chỉ đầu cuối của kết nối : Kết nối phải được thực hiện qua các mạng dữ liệu công khai, như hệ thống thoại tương tự hay Internet. Một số điện thoại cho các kết nối theo yêu cầu quay số và tên máy chủ đầy đủ hay địa chỉ IP cho các kết nối mạng riêng ảo phải định danh được đầu cuối của kết nối

- Xác thực và cấp quyền cho người gọi. Bất kỳ ai gọi tới Router phải được xác thực và cấp quyền. Xác thực dựa trên tập các giấy uỷ nhiệm của người gọi được gửi qua trong khi xử lý thiết lập kết nối, các giấy uỷ quyền gửi qua phải tương ứng với một tài khoản. Việc cấp quyền là gán quyền dựa trên các thuộc tính quay số của tài khoản và các chính sách truy cập từ xa.

- Cấu hình tại 2 đầu cuối của kết nối : Hai đầu cuối của kết nối phải được cấu hình, ngay cả khi chỉ một đầu cuối của kết nối đang khởi tạo một kết nối theo yêu cầu quay số. Việc cấu hình chỉ một phía của kết nối nghĩa là các gói dữ liệu được định tuyến thành công chỉ trong một hướng. Thông thường, việc liên lạc truyền thông yêu cầu thông tin được lưu chuyển theo cả hai hướng. Vì vậy, mỗi phía của kết nối cần có thông tinh định tuyến về phía kia để hiểu luồng lưu

lượng nào được đi qua liên kết. Không có thông tin này, việc định tuyến không làm việc đúng.

- Cấu hình các đường định tuyến tĩnh : Ta không nên sử dụng các giao thức định tuyên động qua các kết nối theo yêu cầu quay số nhất thời. Lí do là vì nếu việc cập nhật định tuyến xẩy ra thường xuyên hoặc có một khối lượng lớn luồng lưu lượng hội tụ trên mỗi phía của liên kết. Vì vậy, các Router cho các định danh mạng sẵn sàng qua giao diện theo yêu cầu quay số phải được bổ sung như các tuyến đường tĩnh, vào bảng định tuyến của các Router. Bằng cách sử dụng các đường định tuyến tĩnh, các liên kết theo yêu cầu quay số sẽ không phải là phần của chức năng định tuyến động và sẽ không phải cập nhật luồng lưu lượng

7.1.2. Giới thiệu các kết nối mạng riêng ảo Site – to – Site

Một kết nối mạng riêng ảo site – to – site là một kết nối theo yêu cầu quay số sử dụng một giao thức đường hầm như PPTP hoặc L2TP/IPSec để két nối hai phần của một mạng riêng. Mỗi Router mạng riêng ảo cung cấp một kết nối định tuyến tới mạng nào mà Router đó được gắn vào. Trên một kết nối mạng riêng ảo site – to – site, các gói dữ liệu đã gửi từ Router khác qua kết nối mạng riêng ảo không bắt đầu tại các Router.

Router gọi (VPN Client) khởi tạo kết nối, Router trả lời (VPN Server) lắng nghe các nỗ lực kết nối, nhập nỗ lực kết nối từ Router gọi và trả lời yếu cầu để tạo một kết nối. Router gọi xác thực nó với Router trả lời. Khi sử dụng các giao thức xác thực như MS-CHAPv2 hoặc EAP-TLS, Router trả lời cũng xác thực nó với Router gọi.

Các Router mạng riêng ảo cũng có thể là bất kỳ máy tính nào có khả năng tạo một kết nối PPTP sử dụng MPPE hoặc một kết nối định tuyến L2TP sử dụng mã hoá IPSec.

7.1.2.1. Các kết nối theo yêu cầu và thường trực

Một kết nối mạng riêng ảo site – to – site có thể là một trong hai kiểu sau: theo yêu cầu hoặc thường trực. Sau đây là các chi tiết về 2 loại kết nối này :

- Một kết nối site – to – site là một kết nối được tạo khi luồng lưu lượng phải được chuyển tiếp qua kết nối. Khi luồng lưu lượng « quan tâm« được xem xét bởi Router, kết nối được tạo, luồng lưu lượng được chuyển tiếp, và kết nối được kết thúc sau một thời gian chỉ ở trạng thái « rỗi ». Luồng lưu lượng « quan

tâm » được quyết định bằng việc sử dụng các thiết lập bộ lọc theo yêu cầu để định danh luồng lưu lượng xác định. Ta có thể cấu hình cho hành vi huỷ kết nối ở trạng thái rỗi với Router trả lời cũng như Router gọi.

- Một kết nối site – to – site thường trực luôn được kết nối. Nếu kết nối bị huỷ bỏ, ngay lập tức được thử lại. Dễ dàng cấu hình được cho loại kết nối này trên cả Router trả lời và Router gọi

Nếu Router gọi đang kết nối tới Internet bằng cách sử dụng một liên kết quay số, chẳng hạn như một đường thoại tương tự hoặc ISDN, ta cần cấu hình kết nối mạng riêng ảo theo yêu cầu trên đường quay số bao gồm một giao diện đơn tại Router trả lời và hai giao diện tại Router gọi : một kết nối tới ISP và một cho kết nối mạng riêng ảo. Kết nối mạng riêng ảo theo yêu cầu quay số cũng yêu cầu một đường định tuyến bổ sung trong bảng định tuyến IP của Router gọi và như vậy Router mạng riêng ảo sẽ khởi tạo kết nối tới ISP lúc luồng lưu lượng cho nhánh mạng từ xa được nhận, Router mạng riêng ảo sẽ luôn nhận một thông báo lỗi «không kết nối được tới đích «.

Với các kết nối mạng riêng ảo hoặc theo yêu cầu hoặc thường trực, Router trả lời thường xuyên được kết nối tới Internet vì vậy nó có thể luôn sẵn sàng chấp nhận các cuộc gọi. Khái niệm này khá quan trọng để hiểu vì sao ta không thể có cả hai phía của liên kết dùng đường quay số tới Internet. Nếu điều này được thực hiện, kết nối sẽ chỉ được thiết lập nếu thay đổi Router trả lời được kết nối tới Internet

7.1.2.2. Hạn chế sự khởi tạo các kết nối theo yêu cầu

Trong hầu hết các trường hợp, ta không muốn để bất kỳ luồng lưu lượng nào cũng khởi chạy một kết nối mạng riêng ảo. Ta muốn chỉ luồng lưu lượng « có thực« kích hoạt kết nối. Để ngăn chặn Router gọi tạo ra các kết nối không cần thiết, ta nên hạn chế Router gọi tạo các kết nối theo yêu cầu bằng các cách sau đây :

- Lọc yêu cầu quay số: Ta có thể dùng bộ lọc yêu cầu quay số để cấu hình hoặc các loại luồng lưu lượng IP không tạo ra một kết nối theo yêu cầu hoặc các loại như vậy. Sau đó có thể thiết lập các bộ lọc sẽ định danh luồng lưu lượng «quan tâm« có thể khởi tạo hoặc ngăn chặn khởi tạo liên kết.

- Các giờ quay số ra: Ta có thể qui định giờ quay số ra để cấu hình các giờ mà một Router gọi hoặc được phép hoặc không được phép tạo một kết nối mạng riêng ảo. Thiết lập này có thể hữu ích nếu ta không muốn các hoạt động xẩy ra ngoài các giờ đã định rõ, Ví dụ, nếu muốn luồng lưu lượng Email kích hoạt một liên kết, và ta chỉ muốn luồng lưu lượng trong khi đang là khoảng thời gian « off » vào buổi tối, ta có thể sử dụng thiết lập giờ quay số ra ngoài để hạn chế sự kích hoạt đường hầm.

Tại cùng thời điểm, trên Router trả lời, ta có thể dùng chính sách truy cập từ xa để cấu hình thời gian khi các kết nối vào được cho phép nếu đó là những kết nối làm cho môi trường mạng riêng ảo của ta ý nghĩa hơn

7.1.2.3. Các kết nối được khởi tạo một chiều và hai chiều

Nếu ta chỉ muốn nhánh mạng từ xa khởi tạo mạng riêng ảo khi cần, muốn sử dụng các thiết lập kết nối một chiều. Với các kết nối được khởi tại một chiều, một Router mạng riêng ảo luôn là Router gọi và một Router luôn là Router trả lời. Các kết nối được khởi tạo một chiều rất thích hợp với một kết nối thường trực có Topo mà trong đó Router tại văn phòng chi nhánh chỉ là Router khởi tạo kết nối. Cài đặt một chiều cho phép kiểm soát tập trung hơn, đặc biệt, khi nhánh mạng từ xa ở trong một múi giời khác mà sẽ làm việc quản lý thời gian khó khăn với văn phòng trung tâm. Sự khác nhau lớn giữa một chiều và hai chiều là Router gọi không cần có một liên kết luôn luôn sẵn sàng. Các kết nối được khởi tạo một chiều yêu cầu cấu hình chi tiết như sau:

- Router trả lời được cấu hình như một LAN và Router theo yêu cầu quay số.

- Một tài khoản người dùng được bổ sung vào Router trả lời để lưu các giấy uỷ quyền xác thực của Router gọi mà được truy cập và xác minh bởi Router trả lời.

- Một giao diện theo yêu cầu quay số được cấu hình tại Router trả lời với cùng tên như tài khoản người dùng đã được cấu hình bởi Router gọi. Giảo diện này không sử dụng để quay số ra ngoài, vì vậy nó không được cấu hình với host name hoặc địa chỉ IP của Router gọi hoặc với các giấy uỷ quyền người dùng hợp lệ

Với các kết nối khởi tạo hai chiều, Router VPN có thể là Router gọi hoặc Router trả lời, tuỳ thuộc vào ai đang khởi tạo kết nối. Vì điều này, cả hai phía phải luôn sẵn sàng, nó làm tăng thêm chi phí cấu hính. Cả hai Router VPN phải được cấu hình để cả hai khởi tạo và chấp nhận một kết nối mạng riêng ảo. Ta có thể sử dụng các kết nối khởi tạo hai chiều lúc kết nối mạng riêng ảo không kích hoạt 24/24 và luồng lưu lượng từ Router khác được dùng để tạo một kết nối theo yêu cầu. Các kết nối mạng riêng ảo hai chiều yêu cầu như sau:

- Cả hai Router phải được kết nối tới Internet bằng một liên kết WAN thường trực.

- Cả hai Router phải được cấu hình như mạng LAN và Router theo yêu cầu quay số.

- Các tài khoản người dùng phải được bổ sung cho cả hai Router trên mỗi phía của liên kết sao cho các giấy uỷ quyền xác thực cho Router gọi được truy cập và xác minh bởi Router trả lời bất cứ lúc nào chiều gọi được khởi tạo.

- Các giao diện theo yêu cầu quay số, với tên giống nhau như tài khoản người dùng được dùng bởi Router gọi, phải được cấu hình đầy đủ tại cả hai Router, bao gồm các thiết lập cho host name hoặc địa chỉ IP của Router trả lời và các giấy uỷ quyền tài khoản người dùng.

Bảng 7.1 liệt kê một cấu hình ví dụ cho định tuyến được khởi tạo hai chiều giữa Router 1, một Router theo yêu cầu quay số trên nhánh mạng của thành phố A và Router 2, một Router theo yêu cầu quay số trên nhánh mạng tại thành phố B

Router Tên giao diện Tên tài khoản trong giấy uỷ quyền

Router 1 DD_A DD_B

Router 2 DD_B DD_A

7.1.3. Các thành phần của mạng riêng ảo Site – to – Site

Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to – Site

Một phần của tài liệu an toàn mạng riêng ảo (Trang 160 - 168)

Tải bản đầy đủ (DOC)

(198 trang)
w