Các kết nối được khởi tạo một chiều và hai chiều

Một phần của tài liệu An toàn cho mạng riêng ảo (Trang 165)

Chương 2 Giao thức mạng riêng ảo tại tẩng 2

7.1. Các thành phần của mạng riêng ảo Site –to – Site

7.1.2.3. Các kết nối được khởi tạo một chiều và hai chiều

Nếu ta chỉ muốn nhánh mạng từ xa khởi tạo mạng riêng ảo khi cần, muốn sử dụng các thiết lập kết nối một chiều. Với các kết nối được khởi tại một chiều, một Router mạng riêng ảo luôn là Router gọi và một Router luôn là Router trả lời. Các kết nối được khởi tạo một chiều rất thích hợp với một kết nối thường trực có Topo mà trong đó Router tại văn phịng chi nhánh chỉ là Router khởi tạo kết nối. Cài đặt một chiều cho phép kiểm soát tập trung hơn, đặc biệt, khi nhánh mạng từ xa ở trong một múi giời khác mà sẽ làm việc quản lý thời gian khó khăn với văn phòng trung tâm. Sự khác nhau lớn giữa một chiều và hai chiều là Router gọi khơng cần có một liên kết ln ln sẵn sàng. Các kết nối được khởi tạo một chiều yêu cầu cấu hình chi tiết như sau:

- Router trả lời được cấu hình như một LAN và Router theo yêu cầu quay số.

- Một tài khoản người dùng được bổ sung vào Router trả lời để lưu các giấy uỷ quyền xác thực của Router gọi mà được truy cập và xác minh bởi Router trả lời.

- Một giao diện theo yêu cầu quay số được cấu hình tại Router trả lời với cùng tên như tài khoản người dùng đã được cấu hình bởi Router gọi. Giảo diện này khơng sử dụng để quay số ra ngồi, vì vậy nó khơng được cấu hình với host name hoặc địa chỉ IP của Router gọi hoặc với các giấy uỷ quyền người dùng hợp lệ

Với các kết nối khởi tạo hai chiều, Router VPN có thể là Router gọi hoặc Router trả lời, tuỳ thuộc vào ai đang khởi tạo kết nối. Vì điều này, cả hai phía phải ln sẵn sàng, nó làm tăng thêm chi phí cấu hính. Cả hai Router VPN phải được cấu hình để cả hai khởi tạo và chấp nhận một kết nối mạng riêng ảo. Ta có thể sử dụng các kết nối khởi tạo hai chiều lúc kết nối mạng riêng ảo khơng kích hoạt 24/24 và luồng lưu lượng từ Router khác được dùng để tạo một kết nối theo yêu cầu. Các kết nối mạng riêng ảo hai chiều yêu cầu như sau:

- Cả hai Router phải được kết nối tới Internet bằng một liên kết WAN thường trực.

- Cả hai Router phải được cấu hình như mạng LAN và Router theo yêu cầu quay số.

- Các tài khoản người dùng phải được bổ sung cho cả hai Router trên mỗi phía của liên kết sao cho các giấy uỷ quyền xác thực cho Router gọi được truy cập và xác minh bởi Router trả lời bất cứ lúc nào chiều gọi được khởi tạo.

- Các giao diện theo yêu cầu quay số, với tên giống nhau như tài khoản người dùng được dùng bởi Router gọi, phải được cấu hình đầy đủ tại cả hai Router, bao gồm các thiết lập cho host name hoặc địa chỉ IP của Router trả lời và các giấy uỷ quyền tài khoản người dùng.

Bảng 7.1 liệt kê một cấu hình ví dụ cho định tuyến được khởi tạo hai chiều giữa Router 1, một Router theo yêu cầu quay số trên nhánh mạng của thành phố A và Router 2, một Router theo yêu cầu quay số trên nhánh mạng tại thành phố B

Router Tên giao diện Tên tài khoản trong giấy uỷ quyền

Router 1 DD_A DD_B

Router 2 DD_B DD_A

7.1.3. Các thành phần của mạng riêng ảo Site – to – Site

Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to – Site đòi hỏi cả hai phía của liên kết phải có một tập đầy đủ các tài nguyên để làm việc với nhau. Các thành phần của mạng riêng ảo Site – to – Site được minh hoạ như trong hình 7.1

Hình 7.1 Các thành phần của mạng riêng ảo Site – to – Site Các thành phần chính là: - Các Router VPN - Cơ sở hạ tầng mạng Internet - Cơ sở hạ tầng mạng chi nhánh - Cơ sở hạ tầng AAA - Cơ sở hạ tầng chứng chỉ 7.1.3.1. Các Router VPN

Các Router VPN là các Server kiểm soát tất cả các hoạt động kết nối từ xa của liên kết Site – to – Site. Chúng là trung tâm của hệ thống mạng riêng ảo Site – to – Site. Các Router VPN là các thực thể khởi tạo hoặc nhận các kết nối theo yêu cầu quay số dựa trên VPN và có các thành phần cơ bản sau được cài đặt trên đó:

- Dịch vụ định tuyến : Dịch vụ này được cài đặt trên cả Router gọi và Router trả lời

- Các Port : Một port là một kênh liên lạc vật lý hay lơgic có khả năng hỗ trợ một kết nối PPP đơnh. Các cổng vật lý dựa các thiết bị được cài đặt trên Router VPN, chẳng hạn như card mạng hay modem. Các cồng VPN là các cổng lôgic xử lý các thương lượng và tham số kết nối logic cho các kết nối

- Các giao diện mạng : Một giao diện được cấu hình trên Router gọi mô tả lại kết nối PPP và chứa các thơng tin cấu hình như kiểu của cổng để dùng(Ví dụ, PPTP hay L2TP/IPSec), địa chỉ sử dụng để tạo kết nối(đó là, một địa chỉ IP hoặc

một tên Domain để kết nối tới Internet), các phương pháp xác thực, các yêu cầu mã hoá và các uỷ quyền xác thực.

- Tài khoản người dùng : Với mỗi Router gọi để được xác thực, các giấy uỷ nhiệm của nó phải được xác minh bởi các thuộc tính của một tài khoản người dùng tương ứng. Nếu Router trả lời được cấu hình với xác thực RADIUS, Server RADIUS phải truy cập tới tài khoản người dùng cho các giấy uỷ quyền xác thực của Router gọi

Với một kết nối khởi tạo một chiều, ta có thể cấu hình các đường định tuyến IP tĩnh được thêm vào bảng định tuyến của Router trả lời khi kết nối được tạo. Việc làm này sẽ cho phép Router gọi biết được subnet nào đang sẵn sàng trên phía bên kia và xác định có thiết lập liên kết sử dụng các đường định tuyến tĩnh đó hay khơng

- Các đường định tuyến: Để chuyển tiếp luồng lưu lượng qua một kết nối mạng riêng ảo, các đường định tuyến IP trong bảng định tuyến của Router VPN được cấu hình để sử dụng giao diện đúng.

Với các kết nối được khởi tạo một chiều, cấu hình Router gọi theo cách thơng thường. Với Router trả lời, ta có thể cấu hành tài khoản người dùng đã chỉ rõ trong giấy uỷ quyền xác thực của Router gọi với các đường định tuyến IP tính

- Chính sách truy cập từ xa: Trên Router trả lời hoặc trên máy chủ dịch vụ xác thực Internet đang hoạt động như một Server RADIUS với Router trả lời, để xác định các tham số kết nối đã xác định với các kết nối theo yêu cầu quay số, tạo một chính sách truy cập từ xa riêng cho những người dùng hay nhóm người dùng với Router gọi như các thành viên của chính sách. Một chính sách truy cập từ xa riêng cho các kết nối theo u cầu quay số khơng được địi hỏi

Một Router gọi ta làm như sau :

- Khởi tạo các kết nối VPN dựa trên hành động của người quản trị lúc một gói đang chuyển tiếp cho phù hợp với một đường định tuyến sử dụng một giao diện theo yêu cầu quay số dựa trên mạng riêng ảo.

- Chờ xác thực và cấp quyền trước khi chuyển tiếp các gói

- Hoạt động như một Router chuyểntiếp các gó dữ liệu giữa các Node trong nhánh mạng của nó và Router trả lời

- Hoạt động như một điểm cuối của kết nối mạng riêng ảo Router trả lời ta làm như sau :

- Lắng nghe các kết nối đang cố gắng thực hiện

- Xác thực và cấp quyền cho các kết nối VPN trước khi cho phép dữ liệu luôn chuyển

- Hoạt động như một Router chuyển tiếp các gói dữ liệu giữa các Node trong nhánh mạng của nó và Router gọi

- Hoạt động như một điểm cuối của kết nối mạng riêng ảo

Các Router VPN điển hình có hai card mạng được cài đặt, một để kết nối tới Internet, một để kết nối tới Intranet.

Với các kết nối mạng riêng ảo Site – to – Site, một Router khởi tạo một kết nối mạng riêng ảo tới Server VPN và các Client không cần tự khởi chạy một VPN - tất cả luồng lưu lượng sẽ được xử lý bởi các Router cuối. Tiếp theo, Server VPN có thể khởi tạo một kết nối mạng riêng ảo tới Router VPN khác

Cài đặt một chứng chỉ trên Router VPN :

Nếu các Router VPN đang tạo các kết nối L2TP/IPSec hoặc sử dụng xác thực EAP-TLS, các chứng chỉ phải được cài đặt trên Router VPN. Với các kết nối L2TP/IPSec, một chứng chỉ phải được cài đặt trên cả Router gọi và trả lời để cung cấp xác thực cho việc khởi tạo một phiên IPSec. Với xác thực EAP-TLS, một chứng chỉ phải được cài đặt trên Server xác thực(hoặc Router trả lời hoặc một Server RADIUS) và chứng chỉ phải được cài đặt trên Router gọi.

7.1.3.2. Cơ sở hạ tầng Internet

Để tạo một kết nối mạng riêng ảo tới một Router trả lời qua Internet, ta cần đảm bảo rằng trình phân giải tên, IP và định tuyến, các dịch vụ được cấu hình và hoạt động đúng. Ta cần nhớ ba vấn đề chính cho việc thiết lập các kết nối thành cơng:

- Tên của Router trả lời phải có khả năng phân giải được - Có khả năng kết nối tới được Router trả lời

- Luồng lưu lượng VPN phải được cho phép và từ Router trả lời

Trong khi nó có khả năng để cấu hình các giao diện với các tên của các Router trả lời với một kết nối nào được tạo, ta nên sử dụng địa chỉ các IP hơn là các tên. Sử dụng địa chỉ IP thay cho tên loại bỏ được một số sự phức tạp trong cài đặt và kiểm thử.

2. Khả năng kết nối tới được Router trả lời

Để có thể kết nối tới được, Router trả lời phải được gán một địa chỉ IP cơng cộng để những gói dữ liệu được chuyển tiếp bởi cơ sở hạ tầng định tuyến của Internet. Nếu ta đã gán một địa chỉ IP tĩnh công cộng từ một ISP hoặc một cơ quan đăng ký Internet, thì điều này khơng phải là một vấn đề. Trong một số cấu hình, Router trả lời được gán chính xác với một địa chỉ IP riêng và có một địa chỉ IP tĩnh được công bố trên Internet. Một thiết bị dịch chuyển địa chỉ mạng giữa Internet và Router trả lời để dịch chuyển địa chỉ IP hiện thời và đã công bố của Router trả lời trong các gói dữ liẹu tới và từ Router trả lời.

Trong khi cơ sở hạ tầng định tuyến có thể thay thế, Router trả lời có thể khơng kết nối tới được vì sự bố trí của các Firewall, các Router lọc gói, các bộ dịch chuyển địa chỉ mạng, các cổng nối bảo mật hay các loại thiết bị khác ngăn chặn các gói dữ liệu đang được gửi hoặc nhận từ Router trả lời. Và như vậy, nếu Router trả lời được bảo vệ bởi bất kỳ tuỳ chọn nào trong số trên, ta cần đảm bảo rằng việc cấu hình và kiểm thử thích hợp có thể được thực hiện để đảm bảo việc xử lý các gói thích hợp bởi các thiết bị mạng này.

3. Các Router VPN và cấu hình Firewall

Có 3 cách tiếp cận điển hình về việc sử dụng một Firewall với một Router VPN.

- Router VPN được gắn kết trực tiếp tới Internet, và Firewall là giữa Router VPN và nhánh mạng. Trong cấu hình này, Router VPN phải được cấu hình với các bộ lọc gói chỉ cho phép luồng lưu lượng VPN vào và ra của giao diện Internet của nó. Firewall có thể được cấu hình để cho phép các loại xác định của luồng lưu lượng thuộc nhánh mạng trong.

- Firewall và Server VPN là thực thể giống nhau, trong trường hợp này, Server sẽ xử lý cả hai chức năng.

Ngồi ra cịn một số vấn đề về giao thức xác thực và các giao thức mạng riêng ảo

7.1.3.3. Cơ sở hạ tầng mạng chi nhánh

Cơ sở hạ tầng của mạng chi nhánh là một phần tử quan trọng của thiết kế VPN. Các Router gọi không thể chuyển tiếp các gói mà khơng có cơ sở hạ tầng định tuyến thích hợp được đặt vào vị trí thích hợp

1. Trình phân giải tên

Nếu Router gọi được cấu hình với các địa chỉ IP của DNS, các địa chỉ IP DNS không được yêu cầu bởi Router trả lời trong khi thương lượng kết nối PPP. Nếu Router gọi khơng được cấu hình với các địa chỉ IP của DNS, DNS được yêu cầu. Router gọi không bao giờ yêu cầu địa chỉ IP của DNS từ Router gọi. Theo ngầm định, Router gọi khơng đăng ký nó với DNS của Router trả lời

2. Định tuyến

Mỗi Router mạng riêng ảo là một Router IP và như vậy phải được cấu hình đúng với tập các Router làm cho tất cả các vị trí đều có thể kết nối tới được. Đặc biệt, mỗi Router mạng riêng ảo cần như sau:

- Một đường định tuyến mặc định hướng tới một Firewall hay Router đã kết nối trực tiếp với Internet: Đường định tuyến này làm cho tất các các vị trí trên Internet đều có thể kết nối tới được. Khơng có một đường định tuyến mặc định, sẽ khơng có cách nào để định tuyến luồng lưu lượng tới Internet và tất các các gói có địa chỉ sẽ bị loại bỏ tại Router VPN

- Một hoặc nhiều đường định tuyến tập hợp các địa chỉ sử dụng trong nhánh mạng của Router VPN hướng tới Router nhánh mạng kề cận: Các đường định tuyến này làm cho tất cả các vị trí trong nhánh mạng của Router VPN có thể kết nối tới được từ Router VPN. Khơng có các đường này, tất cả các host trong nhánh mạng không kết nối được tới cùng subnet khi Router VPN khơng có khả năng kết nối tới được. Khơng có cách nào cho các thực thể cuối biết được những subnet nào không nằm trong phạm vị subnet của Router VPN. Vì khơng có các cập nhật đường định tuyến động qua liên kết, thông tin này cần được cung cấp một cách thủ cơng. Nếu có các subnet mà nhánh mạng từ xa không nên truy cập, ách đơn giản là loại trừ các subnet này khỏi tập các đường định tuyến tĩnh và chúng sẽ khơng có khả năng kết nối tới được

Để bổ sung một đường định tuyến mặc định hướng tới Internet, cấu hình giao diện Internet với một cổng kết nối ngầm định và sau đó cấu hình giao diện nhánh mạng khơng có cổng kết nối ngầm định.

Nếu nhánh mạng chỉ có một subnet đơn, khơng u cầu phải cấu hình thêm và giao thức định tuyến động cũng không cần thiết. Sử dụng giao thức định tuyến động chi trên các liên kết theo yêu cầu quay số lúc được gọi. Định tuyến tĩnh là giải pháp được khuyến cáo để tránh cho các kết nối khỏi bị phá vỡ.

Lúc một kết nối mạng riêng ảo được tạo, mỗi Router gửi luồng lưu lượng sử dụng một giao diện logic tương ứng với cổng PPTP hoặc L2TP của kết nối. Trong khi thương lượng PPP, các địa chỉ IP có thể được gán cho các giao diện lôgic này. Việc đảm bảo rằng các giao diện lơgic của Router VPN có thể kết nối tới được phụ thuộc cách mà ta cấu hình mỗi Router VPN để chứa các địa chỉ IP cho các Client truy cập từ xa.

7.1.3.4. Cơ sở hạ tầng AAA

Cơ sở hạ tầng AAA tồn tại để cung cấp xác thực các kết nối và ghi nhật ký hoạt động của các kết nối đó sao cho vấn đền an tồn của mạng có thể được giám sát. Một cơ sở hạ tầng AAA mạnh là điều kiện sống cịn với sự an tồn của mật kỳ mạng truy cập từ xa hay mạng Site –to – Site nào. Cơ sở hạ tầng AAA thực hiện các nhiệm vụ sau:

- Xác thực các giấy uỷ quyền của các Router gọi - Cấp quyền cho kết nối mạng riêng ảo

- Ghi lại các hoạt động của kết nối mạng riêng ảo phục vụ cho chức năng

Một phần của tài liệu An toàn cho mạng riêng ảo (Trang 165)

Tải bản đầy đủ (DOC)

(197 trang)
w