0
Tải bản đầy đủ (.doc) (198 trang)

Giám sát và quản trị

Một phần của tài liệu AN TOÀN MẠNG RIÊNG ẢO (Trang 146 -198 )

Việc quản lý và duy trì mạng là một quá trình liên tục. Đển giám sát một thiết lập mạng riêng ảo phạm vi lớn là rất phức tạp. Vì vậy cần vạch ra một chiến lược để quản lý và giám sát mạng của ta

Những thói quen sau sẽ giúp ta đảm bảo rằng mạng riêng ảo luôn tối ưu - Thu thập cách sử dụng và thống kê hiệu suất đều đặn

- Duy trì file nhật ký chi tiết mỗi hành động liên quan đến mạng riêng ảo, kể cả các hành động thành công.

Một sự am hiểu sâu sắc về cách mà nhà cung cấp dịch vụ thực thi giải pháp mạng riêng ảo cung giữ một vai trò quan trọng trong việc giám sát và đánh giá hiệu suất, hiệu quả và tính đầy đủ của giải pháp được cung cấp.

Công nghệ mạng đang phát triển rất nhanh chónh, công nghệ mạng riêng ảo cũng vậy. Vì thế, thỉnh thoảng ta phải cần cập nhật cho thiết lập mạng riêng ảo của ta, ta cũng cần di trú tới các nền và các môi trường khác nhau để thích ứng với sự phát triển trong tương lại của tổ chức cũng như các yêu cầu của tổ chức

Hầu hết nhứng người thiết kế và quản trị mạng sẽ chỉ cho ta, công việc của ta không kết thúc với sự thực thi một giải pháp. Ta cần phải quản lý và giám sát giải pháp, và như vậy nó cung cấp hiệu suất như hợp đồng. Thi thoảng, ta cũng cần định danh, hỗ trợ và giải quyết bất kỳ vấn đề nào có thể nảy sinh

Tổng kết

Trong chương này, chúng ta đã xem xét các vấn đề khác nhau cần phải lưu ý lúc thiết kế một giải pháp dựa trên mạng riêng ảo cho một tổ chức. Chương

này đã nghiên cứu vấn đề thiết kế mạng riêng ảo, như tính an toàn, đánh địa chỉ và định tuyến, hiệu suất, tính mền dẻo và khả năng liên tác.

Các vấn đề khác liên quan đến việc thực thi của các Firewall, NAT, DNS, mức đọ tin cậy trong Intranet và phân phối khoá được đề cập

Ta cũng đã nghiên cứu một cách riêng lẻ mỗi môi trường mạng riêng ảo – Remote access, Intranet và Extranet để hiểu rõ các vấn đề và các khả năng khác nhau mà ta có thể phải lập kế hoạch lúc thực thi mạng riêng ảo trong mỗi môi trường này.

Cuối cùng, ta đã xem xét về 5 bước tổng quát trong việc thực thi một giải pháp bảo mật dựa trên mạng riêng ảo cho mạng Intraneet của một tổ chức. Các bước này bao gồm pha nghiên cứu để xác định yêu cầu của tổ chức và những người dùng cuối của hệ thống, một pha lựa chọn để chọn các sản phẩm và nhà cung cấp dịch vụ, một pha kiểm thử để kiểm tra các sản phẩm và nhà cung cấp dịch vụ được chọn, một pha thiết kế và thực thi, và một pha giám sát và quản trị để đánh giá hiệu suất và các khía cạnh khác của mạng riêng ảo một cách đều đặn.

Chương VI Xây dựng mạng riêng ảo truy cập từ xa

6.1. Các thành phần trong mạng riêng ảo truy cập từ xa

6.1.1. Giới thiệu chung

Việc triển khai một mạng riêng ảo có nhiều dịch vụ và chức năng cần phải làm việc cùng nhau một cách trôi chảy và dễ dàng, vì vậy những người dùng truy cập từ xa có thể được định danh và xác thực; các được hầm có thể được tạo lập, duy trì và quản lý cho hàng trăm người dùng; việc định tuyến có thể kiểm soát tất cả luồng lưu lượng qua Gateway, và trong khi tất các những thứ này đang tiếp tục, hiệu suất và sự an toàn cần được duy trì. Các thành phầm phải được cài đặt để tạo ra một hệ thống mạng riêng ảo hoạt động đúng đắn. Để đưa ra quyết định đúng lúc triển khai các kết nối mạng riêng ảo truy cập từ xa, ta phải hiểu tất cả các thành phần liên quan. Trong chương “Tổng quan về mạng riêng ảo” chúng ta đã thảo luận về kiểu kịch bản mạng riêng ảo truy cập từ xa, trong đó nhiều Client truy cập tới một cổng kết nối đơn vào các tài nguyên trong mạng Intranet. Trong phần này ta sẽ mô tả các thành phần của các kết nối mạng riêng ảo truy cập từ xa và các quan điểm thiết kế gắn với chúng

Hình 6.1. Các thành phần của một mạng riêng ảo truy cập từ xa Các thành phần chính là

- Các Client VPN

- Hạ tầng mạng Internet

- Server VPN, và các thiết bị khác như Gateway - Hạ tầng mạng Intranet

- Máy chủ AAA

- Hạ tầng cấp phát chứng chỉ số

6.1.2. Các thành phần1. Các Client VPN 1. Các Client VPN

Client VPN có thể là một máy tính hoặc thiết bị có khả năng tạo một kết nối PPTP hoặc L2TP

Các Client VPN có nhiều loại, nhiều dạng và nhiều kích cỡ. Một số Client VPN điển hành được sử dụng rộng rãi ngày nay là:

- Người dùng Laptop kết nối tới Intranet của tổ chức đề truy cập email và các tài nguyên khác

- Những người quản trị từ xa sử dụng Internet để kết nối tới mạng của tổ chức để cấu hình mạng hoặc các dịch vụ ứng dụng.

- Nhiều người dùng khác tận dụng ưu điểm về khả năng kỹ thuật của giải pháp truy cập từ xa, chẳng hạn như các giải pháp truy cập mạng không giây, các hệ thống kiểm soát từ xa, các mạng truyền thông

Trong khuôn khổ của giáo trình này, sẽ tập trung vào các Client thông dụng nhất, chẳng hạn như Client sử dụng hệ điều hành WinXP và Windows 2000 Pro của Microsoft.

Các Client VPN có thể cấu hình các kết nối mạng riêng ảo một cách thủ công bằng việc tạo các kết nối trên hệ điều hành, hoặc người quản trị hệ thống có thể đơn giản hoá bằng các công cụ sẵn có trên hệ điều hành.

2. Hạ tầng mạng Internet

Trong các thảo luận của chúng ta về giải pháp truy cập từ xa với mạng riêng ảo, chúng ta sẽ làm việc với các kết nối qua Internet. Điều này có nghĩa là chúng ta dựa vào Internet, nó là mạng trung gian, cung cấp các dịch vụ và phương tiện truyền thông tới người dùng. Để tạo một kết nối mạng riêng ảo tới một máy chủ mạng riêng ảo qua Internet, ta cần kiểm chứng các mục sau trước khi bất kỳ kết nối nào được tạo

- Tên máy chủ mạng riêng ảo phải có khả năng giải quyết: Đảm bảo rằng tên DNS của máy chủ mạng riêng ào khó khả năng xử lý từ Internet bằng việc đặt một bản ghi DNS thích hợp hoặc trên máy chủ DNS Internet hoặc trên máy chủ DNS của ISP. Kiểm thử khả năng xử lý bằng công cụ Ping để ping tới tên của mỗi máy chủ mạng riêng ảo

- Máy chủ mạng riêng ảo phải có khả năng kết nối tới: Đảm bảo rằng các địa chỉ IP của máy chủ mạng riêng ảo có khả năng kết nối tới từ Internet

- Luồng lưu lượng VPN phải được phép từ máy chủ mạng riêng ảo: Cấu hình bộ lọc gói cho luồng lưu lượng PPTP, L2TP hoặc cả hai kiểu trên các Firewall và giao diện máy chủ mạng riêng ảo thích hợp đang kết nối tới Internet và mạng vành đai

3. Các giao thức xác thực

Để xác thực người dùng, các giao thức xác thực thường được sử dụng là: - Giao thức xác thực mật khẩu (PAP)

- Giao thức xác có thăm dò trước (CHAP)

- Giao thức xác thực có thăm dò trước của Microsoft (MS-CHAP) - Giao thức MS-CHAP phiên bản 2 (MS-CHAP v2)

- Giao thức xác thực – hàm băm thông điệp MD5 mở rộng (EAP-MD5) - Giao thức xác thực - bảo mật tầng vận tải mở rộng (EAP-TLS)

Với các kết nối PPTP, có thể sử dụng MS-CHAP, MS-CHAP v2, hoặc EAP-TLS. Chỉ 3 giao thức này cung cấp một cơ chế để tạo khoá mã hoá giống nhau trên cả Client và Server. MPPE sử dụng khoá mã hoá này để mã hoá tất cả dữ liệu PPTP trên kết nối mạng riêng ảo. MS-CHAP and MS- CHAP v2 là các giao thức xác thực dựa vào mật khẩu.

Với các kết nối L2TP, bất kỳ giao thức xác thực nào cũng có thể được dùng vì việc xác thực xuất hiện sau khi Client VPN và Server VPN thiết lập một kênh liên lạc an toàn, chẳng hạn như ta đã biết đó là liên kết an toàn IPSec (SA). Tuy nhiên, nhưng giao thức có khả năng xác thực mạnh được khuyến cáo sử dụng.

4. Các giao thức định đường hầm mạng riêng ảo

Cùng với việc quyết định một giao thức xác thực, ta cần quyết định giao thức đường hầm nào sẽ dùng cho việc triển khai mạng riêng ảo. Hai giao thức định đường hầm mạng riêng ảo truy cập từ xa thông dụng là

- Giao thức định đường hầm điểm - tới - điểm (PPTP)

- Giao thức định đường hầm tầng 2 với IPSec (L2TP/IPSec)

5. Máy chủ mạng riêng ảo

Máy chủ mạng riêng ảo là trung tâm của toàn bộ hoạt động mạng riêng ảo. Máy chủ mạng riêng ảo thực hiện các công việc sau:

- Lắng nghe kết nối PPTP và các thương lượng SA IPSec cho kết nối L2TP - Xác thực và cấp quyền cho các kết nối mạng riêng ảo trước khi cho phép dữ liệu lưu chuyển

- Hoạt động như một Router chuyển tiếp dữ liệu giữa các Client VPN và các tài nguyên trên Intranet

- Hoạt động như một điểm cuối của đường hầm mạng riêng ảo

Máy chủ mạng riêng ảo thường có 2 hoặc nhiều hơn 2 cardmang để kết nối tới Internet và cả Intranet

6. Hạ tầng mạng Intranet

Hạ tầng mạng của Intranet là một phần tử quan trọng của thiết kế mạng riêng ảo. Không có thiết kế thích đáng, các Client VPN không có khả năng thu được các địa chỉ IP và xử lý các tên trong mạng cục bộ, và các gói không thể được chuyển tiếp giữa các Client và các tài nguyên mạng Intranet, các Client sẽ không có khả năng truy cập tới bất kỳ tài nguyên nào trên mạng Intranet

Giải quyết vấn đề đặt tên

Nếu ta sử dụng DSN để xử lý các tên máy chủ trong mạng Intranet, đảm bảo rằng máy chủ mạng riêng ảo được cấu hình với các địa chi IP của DNS bên trong thích hợp. Để đảm bảo việc xử lý tên với các tài nguyên bên ngoài mạng Intranet, cấu hình DNS bên trong để truy vấn các máy chủ ISP bên ngoài. Đây là điều quan trọng, nếu không thực hiện như vậy, các Client VPN sẽ không thực hiện chức năng một cách đúng đắn. Máy chủ VPN nên được cấu hình DNS một cách thủ công. Như một phần của quá trình thương lượng PPP, các Client VPN nhận địa chỉ IP của DNS. Theo ngầm định các Client VPN kết thừa các địa chỉ DNS đã cấu hình trên máy chủ mạng riêng ảo

7. Cơ sở hạ tầng AAA

Cơ sở hạ tầng cho việc xác thực, cấp quyền và kiểm toán là một phần sống còn của cơ sở hạ tầng mạng riêng ảo vì nó là hệ thống giữ cho tính năng an toàn thực hiện trên giải pháp truy cập từ xa. AAA kiểm soát tất cả truy cập tới Gateway; xử lý tất cả các đăng nhập một lần và vấn đề truy cập tài nguyên. Cơ sở hạ tầng AAA tồn tại để:

- Xác thực giấy uỷ nhiệm của các Client VPN - Cấp quyền cho các kết nối mạng riêng ảo

Cơ sở hạ tầng AAA bao gồm - Máy chủ mạng riêng ảo - Một máy chủ RADIUS

- Một máy điều khiển tên miền

Các chính sách truy cập từ xa

Các chính sách truy cập từ xa là một tập có thứ tự các luật định nghĩa những kết nối nào được chấp nhận hay từ chối. Với các kết nối được chấp nhận, các chính sách truy cập từ xa cũng có thể định nghĩa để các hạn chế kết nối. Với mỗi luật, có một hoạc nhiều hơn các điều kiện, một tập các thiết lập hồ sơ và một tập các thiết lập mức cho phép truy cập từ xa. Các nỗ lực kết nối được đánh giá dựa vào các chính sách truy cập từ xa, nó cố gắng xác định kết nối nào phù hợp tất cả các điều kiện của mỗi chính sách. Nếu nổ lực kết nối không phù hợp với tất cả các điều kiện của bất kỳ một chính sách nào, thì nó sẽ bị từ chối.

Nếu một kết nối phù hợp với tất cả các điều kiện của một chính sách truy cập từ xa và được cấp phát mức cho phép truy cập từ xa, hồ sơ chính sách truy cập từ xa xác định một tập các hạn chế kết nối. Các đặc tính quay số của tài khoản người dùng cũng cung cấp một tập các hạn chế. Chính sách truy câp từ xa bao gồm các phần tử sau:

- Các điều kiện:

Các điều kiện chính sách truy cập từ xa là một hoặc nhiều thuộc tính mà được so sánh với các thiết lập của nổ lực kết nối. Nếu có nhiều điều kiện, tất cả các điều kiện phải phù hợp với thiết lập của nổ lực kết nối để cho nó phù hợp với chính sách. Với các kết nối mạng riêng ảo, ta thường sử dụng các điều kiện sau:

+ Loại cổng NAS: Bằng việc thiết lập điều kiện này với mạng riêng ảo, ta có thể xác định tất cả các kết nối mạng riêng ảo.

+ Kiểu đường hầm: Với điều kiện này, ta có thể chỉ rõ các chính sách khác nhau với các kết nối PPTP và L2TP

+ Nhóm: Với các nhóm, ta có thể cấp quyền hoặc từ chối truy cập theo nhóm thành viên

- Mức cho phép: Ta có thể dùng các thiết lập mức cho phép để cấp quyền hoặc từ chối truy cập từ xa nếu mức cho phép truy cập từ xa của tài khoản người dùng được thiết lập để kiểm soát truy cập qua chính sách truy cập từ xa. Trường hợp khac, thiết lập mức cho phép trên tài khoản người dùng xác định mức cho phép truy cập từ xa.

- Các thiết lập hồ sơ: Một hồ sơ chính sách truy cập là một tập các thuộc tính được áp dụng với một kết nối lúc nó được xác thực. Với các kết nối mạng riêng ảo, ta có thể sử dụng các thiết lập hồ sơ như sau:

+ Các ràng buộc quay số có thể được dùng để định nghĩa bao lâu thì kết nối có thể tồn tại trước khi bị kết thúc bởi máy chủ mạng riêng ảo.

+ Mặc dù sử dụng các bộ lọc gói IP, việc thiết lập IP có thể định nghĩa các loại lưu lượng IP được cho phép với các kết nối mạng riêng ảo truy cập từ xa. Với hồ sơ các bộ lọc gói, ta có thể cấu hình lưu lượng IP được cho phép nhận từ các Client truy cập từ xa(Bộ lọc đầu vào) hoặc được gửi tới Client từ xa (Bộ lọc đầu ra)

+ Các thiết lập xác thực có thể định nghĩa giao thức Client VPN phải sử dụng để gửi giấy uỷ nhiệm của nó và cấu hình của các loại EAP, chẳng hạn EAP-TLS.

Việc ngăn chặn các luồng lưu lượng được định tuyến từ Client VPN

Một khi Client VPN thiết lập thành công một kết nối PPTP hoặc L2TP, theo ngầm định bất kỳ gói nào gửi qua kết đều nhận được bởi máy chủ mạng riêng ảo và chuyển tiếp chúng. Các gói gửi qua kết nối có thể bao gồm:

- Các gói có nguồn gốc từ máy tính Client truy cập từ xa - Các gói gửi tới máy Client truy cập từ xa bởi các máy khác

Lúc máy Client truy cập từ xa tạo ra kết nối mạng riêng ảo, theo ngầm định nó tạo một đường định tuyến mặc định vì vậy tất cả luồng lưu lượng phù hợp với đường định tuyến mặc định được gửi qua kết nối mạng riêng ảo. Nếu các máy tính khác đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa, xem các máy Client truy cập từ xa như một Router, mà luồng lưu lượng cũng được chuyển tiếp qua kết nối mạng riêng ảo. Đây là một vấn đề an toàn vì máy

Một phần của tài liệu AN TOÀN MẠNG RIÊNG ẢO (Trang 146 -198 )

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×