Cấu hình cho máy chủ mạng riêng ảo

Một phần của tài liệu an toàn mạng riêng ảo (Trang 180 - 188)

Để triển khai máy chủ mạng riêng ảo tại mạng trung tâm của Tổng công ty, ta cần thực hiện các công việc sau:

- Cấu hình mạng - Cấu hình Domain - Cấu hình bảo mật

1. Cấu hình mạng

Việc cấu hình mạng xác định tất cả thông tin liên lạc cốt yếu, chẳng hạn mạng và địa chỉ Node, định tuyến, mạng con và thông tin mạng WAN khác. Những phần cốt yếu của cấu hình mạng là:

- Intranet của tổng công ty sử dụng địa chỉ mạng riêng 172.16.0.0 với một subnetmask 255.254.0.0 (172.16.0.0/12)

X

Y

- Máy chủ mạng riêng ảo kết nối trực tiếp với Internet sử dụng một liên kết WAN chuyên dụng T3. Tại mạng chính, VPN Router phải phân phối tất các các kết nối hiện tại.

- Cấu hình địa chỉ IP của card mạng WAN trên Internet, chẳng hạn là 207.209.68.1 Địa chỉ này được cấp phát bởi ISP, địa chỉ IP của card mạng WAN được tham chiếu trên Internet bằng một tên miền(Chẳng hạn vpn.coA.com)

- Máy chủ mạng riêng ảo kết nối trực tiếp tới mạng Intranet chứa một bộ định tuyến kết nối phần còn lại của mạng Intranet. Cấu hình phân mạng Intranet có định danh mạng là 172.31.0.0 với subnetmask 255.255.0.0 (172.31.0.0/16)

- Máy chủ mạng riêng ảo được cấu hình với một vùng địa chỉ IP tĩnh để cấp phát tới các bộ định tuyến là một tập con của phân mạng Intranet

Bước đầu tiên trong việc triển khai máy chủ mạng riêng ảo là cài đặt cấu hình vật lý và lôgic cho máy chủ mạng riêng ảo. Dựa trên cấu hình mạng Intranet của tổng công ty, máy chủ này được cấu hình như sau:

Cài đặt phần cứng trên máy chủ mạng riêng ảo

Card mạng dùng để kết nối tới phân mạng Intranet và card mạng kết nối tới Internet được cài đặt đúng. Ta giả định sử dụng T3 để kết nối máy chủ mạng riêng ảo với Internet. Chúng ta sẽ xem nó như một card mạng WAN

Cấu hình TCP/IP trên card mạng LAN và WAN

Xác định địa chỉ IP cho card mạng LAN, chẳng hạn sử dụng địa chỉ IP là 172.31.0.1 với một subnetmask là 255.255.0.0.

Xác định địa chỉ IP cho card mạng WAN, chẳng hạn là 207.209.68.1 với mặt nạ mạng là 255.255.255.255

DNS cũng được cấu hình và nên hướng vào dịch vụ DNS bên trong của Công ty. Trình phân giải địa chỉ bên ngoài nên được chuyển tiếp bởi máy chủ DNS bên trong tới một người có thẩm quyền bên ngoài

Cấu hình dịch vụ định tuyến

Để cấu hình dịch vụ định tuyến trên máy chủ mạng riêng ảo sử dụng các thiết lập sau:

- Kết nối mạng riêng ảo, xem xét đến kết nối tương ứng với giao diện được kết nối tới Internet

- Gán địa chỉ IP, thông thường xác định một phạm vi địa chỉ, chẳng hạn từ 172.31.255.1 tới 172.31.255.254, nghĩa là tạo ra một vùng địa chỉ tĩnh cho 254 Client VPN, hoặc sử dụng giao thức cấu hình Host động(DHCP) để phân phối địa chỉ IP cho các Client

Cấu hình đường định tuyến tĩnh trên máy chủ để kết nối liên lạc giữa Intranet và Internet

Không có các đường định tuyến tĩnh, chỉ mạng con cục bộ sẽ được coi như các Client VPN. Máy chủ VPN cần biết về tất cả các mạng con mà Client có thể cần kết nối đến và vì vậy đòi hỏi phải có các đường định tuyến tĩnh.

Để kết nối được tới các vị trí trong Intranet, một đường định tuyến tĩnh được tạo với các thiết lập cho:

- Giao diện mạng: Card mạng LAN kết nối với Intranet - Địa chỉ dích: Chẳng hạn, 172.16.0.0

- Mặt nạ mạng: Chẳng hạn, 255.240.0.0 - Gateway: Chẳng hạn, 172.31.0.2

Đường định tuyến tĩnh làm đơn giản hoá việc định tuyến bằng cách tổng kết tất cả các đích trên mạng Intranet của tổng công ty. Kỹ thuật này được biết như là bộ tổng hợp định tuyến. Đường định tuyến tĩnh này được sử dụng mà máy chủ mạng riêng ảo không cần được cấu hình với một giao thức định tuyến.

Để kết nối tới được các vị trí trên Internet, một đường định tuyến được tạo với các thiết lập cho:

- Giao diện mạng trên Card mạng WAN kết nối tới Internet - Địa chỉ đích

- Mặt nạ mạng - Gateway (adsbygoogle = window.adsbygoogle || []).push({});

Đường định tuyến này tổng hợp tất cả các đích trên Internet và sẽ cho máy chủ mạng riêng ảo gửi bất kỳ đích nào “chư biết” được yêu cầu ra Internet cho trình phân giải tên. Đường định tuyến này cho phép máy chủ mạng riêng ao

phản hồi một Client từ xa hoặc một Router yêu cầu quay số từ bất kỳ nơi nào trên Internet. Việc sử dụng các đường định tuyến tĩnh thay cho Default Gateway thiết lập trên các giao diện, nên có thể bỏ trống. Các đường định tuyến tĩnh sẽ không bị đè bởi bất kỳ cấu hình tự động nào

Cấu hình một đường định tuyến tĩnh trên Router Intranet để kết nối được với các văn phòng chi nhánh.

Để kết nối được với các văn phòng chi nhánh từ Router Intranet, một đường định tuyến tĩnh được tạo theo các thiết lập theo các thông số cần thiết:

- Giao diện mạng LAN kết nối tới Intranet - Địa chỉ đích, chẳng hạn 192.168.0.0 - Mặt nạ mạng, chẳng hạn 172.31.0.1

Đường định tuyến tĩnh này làm đơn giản hoá việc định tuyến bằng cách tổng hợp tất cả các đích tại văn phòng chi nhánh của Tổng công ty. Router Intranet phân phối đường định tuyến tĩnh này tới các Router lân cận của nó, và như vậy một đường định tuyến tới các văn phòng chi nhánh tồn tại trên mỗi Router của Intranet. Đây là cách tất cả các tài nguyên bên trong sẽ biết cách tìm các nhánh văn phòng ở xa. Bằng cách phân phối đường định tuyến này, máy chủ mạng riêng ảo có thế kiểm soát tất cả luồng lưu lượng tới các văn phòng ở xa.

2. Cấu hình Domain

Để thuận tiện cho việc áp dụng các thiết lập kết nối khác nhau với các kiểu kết nổi mạng riêng ảo khác nhau, với kết nối mạng riêng ảo tới văn phòng A, trên máy chủ Domain ta thực hiện

- Tạo tài khoản người dùng, chẳng hạn VPN_A

- Với các thuộc tính quay số trên tài khoản VPN_A, mức cho phép truy cập từ xa được thiết lập và đường định tuyến tĩnh 192.168.28.0 với một mặt nạ mạng 255.255.255.0 được thêm vào.

- Các tài khoản nên được tạo theo nhóm

3. Cấu hình bảo mật

Để cho phép các kết nối L2TP/IPSec, Domain tổng công ty được cấu hình đê tự động nạp các chứng chỉ tới tất cả các thành viên của Domain

4. Cấu hình chính sách truy cập từ xa

Để định nghĩa các thiết lập mã hoá và xác thực cho các Router mạng riêng ảo, ta tạo chính sách truy cập từ xa với các thông tin cần quan tâm:

- Tên chính sách

- Phương pháp truy cập, chẳng hạn VPN - Người dùng hoặc nhóm truy cập

- Phương pháp xác thực

- Mức mã hoá chính sách, thường chọn mức mã hoá mạnh hoặc mạnh nhất Những mô hình ở phần trên, ta mô tả một kết nối văn phòng chi nhánh dựa trên PPTP cho nhánh văn phòng X và một kết nối văn phòng chi nhánh dựa trên L2TP/IPSec cho văn phòng Y. Qua mô tả kịch bản này, chúng ta có thể bao trùm tất cả cơ sở cho việc triển khai. Muốn an toàn nhất, L2TP/IPSec với các chứng chỉ số là giải pháp được khuyến cáo. Nhiều nhà cung cấp đề xuất chế độ đường hầm IPSec cho hoạt động này nhưng nó bị từ chối vì lý do an toàn bởi IETF

7.3.1.2.2. Kết nối văn phòng chi nhánh dựa trên PPTP

Nhánh văn phòng X là một nhánh văn phòng dựa trên PPTP, kết nối tới máy chủ mạng riêng ảo tại tổng công ty.

Để triển khai một PPTP, khởi tạo một chiều, tại Router trên nhánh văn phòng A ta thực hiện cấu hình:

1. Cấu hình giao diện cho kết nối tới ISP

Để kết nối Router tại văn phòng A tới Internet qua một ISP cục bộ, một giao được thiết lập như sau:

- Tên giao diện: chẳng hạn ISP

- Kiểu kết nối: Sử dụng Modem, ISDN hoặc thiết bị vật lý khác - Lựa chọn một thiết bị: Chọn một thiết bị ISDN thích hợp - Số điện thoại: Số điện thoại của ISP cho nhánh văn phòng A - Các đường định tuyến tĩnh cho mạng ở xa

+ Để tạo kết nối tới ISP của nhánh văn phòng A lúc kết nối mạng riêng ảo cần được thiết lập, ta tạo ra đường định tuyến tĩnh tại Router văn phòng A

- Giấy uỷ nhiệm quay số ra ngoài, bao gồm các thông tin

+ Username: là tên tài khoản mà ISP cấp cho nhánh văn phòng A + Password: Mật khẩu tương ứng

+ Xác minh lại mật khẩu tương ứng (adsbygoogle = window.adsbygoogle || []).push({});

2. Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối Router nhánh văn phòng A tới máy chủ mạng riêng ảo tại trung tâm sử dụng kết nối mạng riêng ảo qua Internet, người quản trị mạng trung tâm phải tạo một giao diện quay số với các tham số thông thường như:

- Tên giao diện

- Kiểu kết nối: Kết nối sử dụng VPN

- Kiểu mạng riêng ảo, do đây là kết nối dựa trên PPTP nên chọn giao thức phải là PPTP

- Địa chỉ đích, là giao diện mạng thứ 2 kết nối với Internet tại máy chủ VPN trên trung tâm

- Xác định giao thức và tính an toàn được dùng - Các đường định tuyến tĩnh cho các mạng từ xa

Để làm cho tất cả các vị trí trên Intranet tổng công ty có thể kết nối tới được, ta tạo ra đường định tuyến tĩnh. Trong đó có các tham số cần quan tâm như:

+ Địa chỉ đích phải là định danh mạng của tổng công ty, chẳng hạn 172.16.0.0

+ Mặt nạ mạng, chẳng hạn là 255.240.0.0

Để là cho tất cả các vị trí trên các nhánh văn phòng có thể kết nối tới được, ta cũng tạo ra đường định tuyến tĩnh, với địa chỉ đích phải là địa chỉ mạng của các nhánh văn phòng, chẳng hạn 192.168.0.0; mặt nạ mạng là 255.255.0.0

- Giấy uỷ quyền quay số ra ngoài, sử dụng cho tài khoản trên Domain của tổng công ty

7.3.1.2.3. Kết nối chi nhánh văn phòng dựa trên L2TP/IPSec

Nhánh văn phòng Y là một kết nối dựa trên L2TP/IPSec, kết nối mạng riêng ảo với mãy chủ mạng riêng ảo tại tổng công ty.

Để triển khai một kết nối mạng riêng ảo khởi tạo một chiều dựa trên L2TP/IPSec tới văn phòng trung tâm dựa trên cấu hình thiết lập máy chủ mạng riêng ảo như phần 7.2.1, ta thực hiện cấu hình trên nhánh văn phòng A như sau:

1. Cấu hình chứng chỉ

Bộ định tuyến trên nhánh văn phòng Y được cấu hình bởi người quản trị mạng của tổng công ty trong khi nó được kết nối vật lý với Intranet của tổng công ty. Sau đó nó được vận chuyển tới nhánh mạng văn phòng Y. Trong khi bộ định tuyến tại nhánh văn phòng Y được kết nối tới Intranet của tổng công ty, một chứng chỉ số được cài đặt. Đây là điểm quan trọng cần nhớ, đặc biệt nếu ta đang thực hiện các kết nối khởi tạo hai chiều trên mỗi phần cấu hình bộ định tuyến từ xa, trong khi nó vẫn còn kết nối tới Intranet trung tâm, đồng bộ hoá toàn bộ người dùng trên mỗi Domain, sau đó vận chuyển máy chủ mạng riêng ảo tới nhánh mạng từ xa.

2. Cấu hình giao diện cho kết nối tới ISP

Để kết nối bộ định tuyến trên nhánh văn phòng Y tới Internet qua một ISP cục bộ, người quản trị phải thiết lập giao diện mạng thích hợp với các tham số:

- Tên giao diện, thường lấy tên của ISP

- Kiểu kết nối, dùng một Modem, Card ISDN hay thiết bị vật lý khác - Lựa chọn một thiết bị thích hợp, chẳng hạn thiết bị ISDN

- Số điện thoại, số điện thoại của ISP cho nhánh văn phòng Y - Các giao thức và tính năng an toàn

- Các đường định tuyến tĩnh cho các mạng từ xa: Để tạo kết nối cho nhánh văn phòng Y tới ISP lúc kết nối mạng riêng ảo cần được tạo, ta phải tạo ra các đường định tuyến tĩnh tới mạng trung tâm với các tham số cần quan tâm như:

+ Mạng đích: chính là mạng trung tâm ở tổng công ty, chẳng hạn trong ví dụ trên là 207.209.68.1

+ Mặt nạ mạng, chẳng hạn 255.255.255.255 tuỳ thuộc vào địa chỉ của mạng đích

- Các giấy uỷ quyền quay số ra ngoài, liên quan đến tài khoản ngưòi dùng do ISP cung cấp

3. Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối bộ định tuyến tại nhánh văn phòng Y tới máy chủ mạng riêng ảo dùng kết nối mạng riêng ảo qua Internet, người quản trị phải tạo một giao diện kết nối thích hợp với các tham số cơ bản như sau:

- Tên giao diện: Có thể lấy thêm của tổng công ty, để phân biệt và tránh nhầm lẫn khi dùng

- Kiểu kết nối: chọn kiểu VPN (adsbygoogle = window.adsbygoogle || []).push({});

- Kiểu mạng riêng ảo: Đây đang là kết nối mạng riêng ảo dựa trên L2TP nên ta chọn là L2TP

- Địa chỉ đích: là địa chỉ giao diện mạng kết nối với Internet của máy chủ mạng riêng ảo, chẳng hạn 207.209.68.1

- Các đường định tuyến tĩnh cho mạng từ xa:

+ Để làm cho tất cả các vị trí trên mạng Intranet của Tổng công ty có thể kết nối tới được, ta phải tạo ra các đường định tuyến tĩnh thích hợp với các tham số cần được quan tâm như sau:

* Địa chỉ mạng đích, đây chính là định danh mạng Intranet tại tổng công ty, trong mô hình kết nối của ta thì đó là 172.16.0.0

* Mặt nạ mạng tương ứng của mạng đích, chẳng hạn 255.240.0.0

+ Để làm cho tất cả các vị trính trên nhánh văn phòng Y có thể kết nối tới được, ta phải tạo đường định tuyến tĩnh đến chúng, Cụ thể:

* Mạng đích, là mạng Intranet của nhánh văn phòng Y, trong ví dụ trên là 192.168.0.0

* Mặt nạ mạng: chẳng hạn là 255.255.0.0

- Giấy uỷ quyền quay số ra ngoài, với các thông tin liên quan đến người dùng của nhánh văn phòng Y

Một phần của tài liệu an toàn mạng riêng ảo (Trang 180 - 188)

(198 trang)