IPSec VPNs

Một phần của tài liệu chuyên đề tìm hiểu thiết bị bảo vệ fortigate-50 và các ứng dụng website bưu điện tỉnh ninh thuận (Trang 29)

Sử dụng mạng riêng ảo IPSec (Virtual Private Networking-VPN), ta có thể nối hai hoặc nhiều mạng WAN riêng cùng kết nối qua Internet. Ví dụ, một công ty có hai văn phòng trong những thành phố khác nhau , mỗi nơi có 1 mạng riêng của mình, có thể sử dụng VPN để tạo ra một đ−ờng ống nối mạng an toàn giữa những văn phòng. Ngoài ra, ở từ xa những công nhân có thể sử dụng VPN client để tạo ra một đuờng ống kết nối an toàn giữa máy tính của họ đến mạng riêng ảo của văn phòng .

FortiGate - 50 là một sự lựa chọn tuyệt vời để nối mạng từ 1 văn phòng vệ tinh hoặc kết nối qua mạng viễn thông tới văn mạng VPN của văn phòng chính. Thông thuờng tại văn phòng chính đuợc bảo vệ bởi một sản phẩm có khả năng bảo vệ cao nhu FortiGate - 300. Các văn phòng nhỏ yêu cầu sự bảo mật và chức năng hoạt động nhỏ hơn đối với nguời dùng vì vậy FortiGate - 50 là sự lựa chọn để bảo vệ những mạng nhỏ hơn.

Đuờng ống IPSec VPN đảm bảo an toàn cho tất cả nguời dùng mạng VPN khi họ kết nối vào mạng. VPN bảo vệ dữ liệu khi truyền qua đuờng ống bằng việc mã hóa nó để bảo đảm tính bí mật. Ngoài ra, còn có sự chứng thực để bảo đảm rằng dữ liệu bắt nguồn từ yêu cầu của nguời gởi và không bị hỏng hoặc bị biến đổi trong khi truyền nhận dữ liệu.

IPSec là một tiêu chuẩn an toàn trên Internet cho VPN và đuợc hỗ trợ bởi đa số các sản phẩm VPN. FortiGate IPSec VPNs có thể đuợc cấu hình để sử dụng khóa trao đổi tự động trên Internet (Internet key Exchange - IKE) hoặc khóa trao đổi bằng tay. Khóa trao đổi tự động thì cấu hình dễ hơn so với khóa trao đổi bằng tay. Tuy nhiên, khóa trao đổi bằng tay thì có tính tuơng thích với những sản phẩm VPN của các hãng thứ ba mà yêu cầu nó.

Ghi chú : IPSec VPN thì không hỗ trợ cho kiểu Transparent . Chuơng này mô tả :

• Tính t−ơng thích với những sản phẩm VPN của các hãng thứ ba • Autokey IPSec VPN giữa hai mạng

• Autokey IPSec VPN cho những client từ xa • Xem tình trạng đuờng ống VPN

• Gọi quay số theo dõi

• Khóa bằng tay IPSec VPN giữa hai mạng • Khóa bằng tay IPSec VPN cho những client từ xa • Test một VPN

• Sự chuyển qua IPSec

Tính tuơng thích với những sản phẩm VPN của các hãng thứ ba

Vì FortiGate hỗ trợ tiêu chuẩn công nghiệp IPSec cho VPN, ta có thể cấu hình một VPN của FortiGate với bất kỳ VPN của hãng thứ ba nào hoặc gateway/firewall nào có hỗ trợ IPSec VPN.

FortiGate IPSec VPNs hỗ trợ :

• Giao thức Internet IPSec tiêu chuẩn an toàn • IKE tự động dựa vào khóa Pre-shared • Khóa bằng tay có thể tùy biến hoàn toàn • Sự an toàn ESP trong kiểu đ−ờng ống • Mã hóa 3DES ( tăng lên ba lần)

• Sự chứng thực/sự toàn vẹn dữ liệu HMAC MD5 hoặc sự chứng thực/sự toàn vẹn dữ liệu HMAC SHA

Khoá tự động IPSec VPN giữa hai mạng

Dùng những thủ tục để cấu hình một VPN để cung cấp một đ−ờng truyền trực tiếp liên kết giữa những nguời dùng và những máy tính trên hai mạng khác nhau. Hình 22 cho thấy một ví dụ VPN giữa văn phòng chính và một văn phòng chi nhánh của một công ty. Những nguời sử dụng mạng ở văn phòng chính có thể nối tới mạng của văn phòng chi nhánh và nguợc lại. Những nguời dùng trong mạng của văn phòng chi nhánh có thể kết nối tới những dịch vụ nhu email đang chạy trên mạng của văn phòng chính.

Sự liên thông giữa hai mạng đuợc mã hoá bên trong đ−ờng ống VPN giữa hai cổng FortiGate IPSec VPN đi ngang qua Internet. Những ng−ời dùng trong mạng nội bộ không biết đ−ợc khi họ kết nối tới một máy tính trên 1 mạng khác cũng đ−ợc kết nối qua mạng Internet.

Hình 22, cho biết FortiGate-50 đ−ợc thiết kế để kết nối đến một mạng truyền thông hoặc 1

mạng của 1 văn phòng chi nhánh nhỏ tới mạng Internet. Ta có thể sử dụng FortiGate - 50 IPSec tạo 1 mạng riêng ảo để kết nối 2 mạng văn phòng chi nhánh tới mạng văn phòng chính đuợc bảo vệ bởi một sản phẩm FortiGate mà hỗ trợ nhiều ngời dùng hơn nhu FortiGate - 300.

Bạn có thể cũng sử dụng FortiGate - 50 để nối tới một mạng VPN đuơc bảo vệ của một hãng thứ ba có hỗ trợ IPSec và Autokey IKE.

Sử dụng những thủ tục sau để cấu hình một IPSec khoá tự động IKE VPN giữa hai mạng bên trong : • Tạo ra đuờng ống VPN

• Thêm những địa chỉ nguồn và địa chỉ đích • Thêm một chính sách IPSec VPN

Hình 22 : Ví dụ VPN giữa hai mạng bên trong

Hinh trang 59

Một đuờng ống VPN gồm có một tên cho đuờng ống, 1 địa chỉ IP, 1 keylife cho đuờng ống, và 1 khóa chứng thực để sử dụng cho việc bắt đầu đuờng ống. Ta phải tạo ra những đuờng ống VPN bổ sung trên những cổng của VPN. Trên hai cổng vào đ−ờng ống cần phải có cùng tên, keylife,và khóa chứng thực.

bảng 8 : ví dụ cấu hình đuờng ống IPSec Autokey VPN

Mô tả Văn phòng chính

(VPN gateway 1)

Chi nhánh (VPNgateway 2) Tên đ−ờng ống Sử dụng cùng tên cho hai cổng vào của

đ−ờng ống. Tên có thể chứa những số (từ 0 đến 9) và những ký tự hoa và th−ờng (A-Z,a-z), và những ký tự đặc biệt - và _. Những ký tự đặc biệt khác thì không cho phép. Branch_Office_V PN Branch_Office_VPN Remote Gateway

Địa chỉ IP ngoài của cổng vào VPN tại

nơi kết thúc của đ−ờng ống VPN . 2.2.2.1 1.1.1.1

Keylife Khoảng thời gian (từ 5 tới 1440 phút) tr−ớc khi khóa mã hóa hết hiệu lực. Khi khóa hết hiệu lực, những cổng vào VPN phát sinh một khóa mới mà không ngắt dịch vụ.

100 100

Chọn những giải thuật mã hóa cho giai đoạn 1 của kết nối IPSec VPN.

DES and 3DES DES and 3DES

Giai đoạn 1

Chọn những giải thuật chứng thực cho giai đoạn 1của kết nối IPSec VPN.

MD5 MD5

Giai đoạn 2 Chọn những giải thuật cho giai đoạn 2 của kết nối IPSec VPN.

Khoá chứng thực

Nhập trên 20 ký tự. Khóa cần phải giống nhau ở cả hai cổng vào VPN và chỉ đ−ợc biết bởi ng−ời quản trị mạng.

ddcHH01887d ddcHH01887d

Incoming NAT Chọn Incoming NAT nếu ta yêu cầu sự chuyển đổi địa chỉ mạng cho những gói VPN.

Select Select

Giai đoạn P1 và giai đoạn P2

IPSec VPNs sử dụng hai giai đoạn để tạo ra một đ−ờng ống VPN. Trong gian đoạn đầu tiên (P1) những cổng vào VPN tại cuối đ−ờng ống chọn một giải thuật chung cho sự mã hóa và cho sự chứng thực. Khi ta chọn P1, ta đang chọn những giải thuật mà FortiGate đề xuất trong giai đoạn 1. Ta có thể chọn hai sự mã hóa và hai giải thuật chứng thực.

Thông th−ờng ta chọn cả hai để làm cho nó dễ hơn cho P1, ta cũng có thể chọn một nếu đ−ợc yêu cầu. Để sự chuyển đổi (negotiation) thành công, mỗi cổng vào VPN phải có ít nhất một giải thuật mã hóa và một giải thuật chứng thực chung.

Trong giai đoạn 2 ( P2) những cổng vào VPN phải chọn một giải thuật chung cho đuờng truyền dữ liệu. Khi ta chọn giải thuật cho giai đoạn 2 (P2), ta đang chọn những giải thuật mà FortiGate sẽ đề xuất trong giai đoạn 2 . Trong giai đoạn P2, mỗi cổng vào VPN phải có ít nhất một giải thuật chung.

Tạo đ−ờng ống VPN

1 Đi tới VPN > IPSEC > Autokey IKE.

2 Chọn New để thêm mới 1 Autokey IKE VPN

3 Nhập tên cho đ−ờng ống VPN, cổng điều khiển từ xa và Keylife 4 Chọn giải thuật cho giai đoạn 1 và giai đoạn 2

5 Nhập khoá chứng thực

Hình 23 : ví dụ đ−ờng ống của văn phòng chính Autokey IKE VPN

Trang 61

Thêm địa chỉ nguồn và địa chỉ đích

B−ớc tiếp theo trong việc cấu hình VPN sẽ thêm những địa chỉ của những mạng mà sẽ đ−ợc kết nối sử dụng đ−ờng ống VPN. Địa chỉ này sẽ đ−ợc thêm vào chính sách VPN.

Mỗi một cổng vào VPN, ta cần phải thêm hai địa chỉ : • Địa chỉ IP nguồn của mạng nội bộ đằng sau cổng vào VPN Địa chỉ nguồn là một địa chỉ ở mạng bên trong của ta. • Địa chỉ IP đích của mạng đằng sau cổng vào VPN khác

Địa chỉ đích là địa chỉ IP của một hoặc nhiều mạng bên trong đằng sau cổng đích VPN .

Bảng 9 : Địa chỉ IPSec Autokey VPN

Mô tả Văn phòng chính (VPN gateway 1) (VPNgateway 2) Chi nhánh

Địa chỉ nguồn Tên địa chỉ Tên để gán cho địa chỉ nguồn

kết nối sử dụng VPN. Tên có thể chứa những số (từ 0 đến 9) và chữ hoa hoặc th−ờng ( A- Z,a-z), và những ký tự đặc biệt - và _. Những ký tự đặc biệt khác và những khoảng trống thì không cho phép. Văn phòng chính Chi nhánh Địa chỉ IP 192.168.1.0 192.168.2.0 Netmask

Địa chỉ IP nguồn và netmask của mạng của mạng tại cuối

đ−ờng ống VPN 255.255.255.0 255.255.255.0 Địa chỉ đích

Tên địa chỉ Tên để gán cho địa chỉ đích kết nối sử dụng VPN

Văn phòng chính Chi nhánh

Netmask Địa chỉ IP đích và netmask của mạng tại cuối đ−ờng ống VPN ở xa

255.255.255.0 255.255.255.0

Thêm một địa chỉ nguồn

Để thêm một địa nguồn vào danh sách địa chỉ bên trong 1 Đi tới Firewall > Address > Internal.

2 Chọn New để thêm 1 địa chỉ mới

3 Nhập tên địa chỉ, địa chỉ IP và Netmask của mạng kết nối đến gần điểm kết thúc của VPN Hình 24 : ví dụ địa chỉ nguồn bên trong cho VPN gateway 1

Trang 62

4 Chọn OK để l−u lại địa chỉ nguồn

Thêm một địa chỉ đích

Để thêm một địa chỉ đích đến danh sách địa chỉ bên ngoài 1 Đi tới Firewall > Address > External.

2 Chọn New để thêm mới 1 địa chỉ bên ngoài

3 Nhập tên địa chỉ, địa chỉ IP và Netmask của mạng đằng sau cổng VPN tại nơi cuối đ−ờng ống VPN ở xa của

4 Chọn OK để l−u lại địa chỉ bên ngoài

Thêm một chính sách IPSec VPN

Thêm vào một chính sách VPN liên quan đến địa chỉ nguồn và đích với đ−ờng ống VPN Bảng 10 : ví dụ cấu hình chính sách IPSec Autokey VPN

Mô tả Văn phòng chính

(VPN gateway 1)

Chi nhánh (VPNgateway 2)

Địa chỉ nguồn địa chỉ nguồn mà ta thêm vào VPN (bảng 9)

Văn phòng Chi nhánh Địa chỉ đích địa chỉ đích mà ta thêm

vào VPN (bảng 9)

Chi nhánh Văn phòng Đ−ờng ống VPN Tên của đ−ờng ống VPN

mà ta đã tạo (bảng 8)

Branch_Office_VPN Branch_Office_VPN 1 Đi tới VPN > IPSEC > Policy.

2 Chọn New để thêm 1 chính sách mới IPSec VPN 3 Chọn 1 địa chỉ nguồn

4 Chọn 1 địa chỉ đích 5 Chọn tên đ−ờng ống VPN

Hình 25 : ví dụ về chính sách VPN tại văn phòng

Trang 64

Autokey IPSec VPN cho những client từ xa

Sử dụng những thủ tục sau để cấu hình một VPN cho phép những client VPN từ xa kết nối tới những ng−ời dùng và những máy tính ở mạng bên trong của một văn phòng chính (Hình 26).

Một client VPN từ xa có thể là bất kỳ máy tính nào nối tới Internet và chạy phần mềm client VPN mà sử dụng IPSec và Autokey IKE. Client có thể có một địa chỉ IP tĩnh hoặc một địa chỉ IP động. Một client từ xa có thể :

• Một ng−ời đi du lịch sử dụng Dial-Up connection để kết nối tới Internet • Một ng−ời làm viễn thông sử dụng một ISP để nối tới Internet từ nhà

Truyền thông giữa ng−ời dùng từ xa và mạng bên trong xảy ra qua một sự mã hóa đ−ờng ống VPN mà ng−ời dùng kết nối từ xa tới cổng vào FortiGate VPN ngang qua Internet. Mỗi lần kết nối tới VPN, máy tính của ng−ời dùng từ xa giống nh− nó đ−ợc thiết đặt ở mạng bên trong.

Hình 26 : Ví dụ VPN giữa một mạng bên trong và những client từ xa Trang 64

Cấu hình mạng ở cuối đ−ờng ống VPN

Một đ−ờng ống VPN gồm có một tên cho đ−ờng ống, địa chỉ IP cổng vào từ xa (trong ví dụ này, địa chỉ IP của 1 client), keylife cho đ−ờng ống, và khóa chứng thực để sử dụng khởi động đ−ờng ống. Ta có thể tạo ra một đ−ờng ống VPN cho mỗi client VPN, hoặc ta có thể tạo ra một đ−ờng ống VPN với một địa chỉ cổng vào từ xa 0.0.0.0. Đ−ờng ống VPN này có thể chấp nhận những kết nối IPSec từ bất kỳ địa chỉ Internet nào.

Ta cần tạo ra những đ−ờng ống VPN bổ sung trên những cổng vào VPN và client. Cả hai đ−ờng ống phải có cùng tên, keylife, và khóa chứng thực.

Bảng 11 ví dụ cấu hình đ−ờng ống VPN

Mô tả Cài đặt ví dụ

Tên đ−ờng ống VPN Dùng 1 tên cho cả 2 đầu cuối của đ−ờng ống. Tên có thể chứa những số (từ 0 đến 9) và chữ hoa hoặc th−ờng ( A-Z,a-z), và những ký tự đặc biệt - và _. Những ký tự đặc biệt khác và những khoảng trống thì không cho phép.

Client_VPN

Chấp nhận kết nối từ 1 client tại 1 địa chỉ IP tĩnh (ví dụ 2.2.2.2)

2.2.2.2

Remote Gateway

Chấp nhận những kết nối từ bất kỳ địa chỉ nào trên Internet (cho nhiều client với địa chỉ tĩnh và địa chỉ động)

0.0.0.0

Keylife Khoảng thời gian (từ 5 tới 1440 phút) tr−ớc khi khóa mã hóa hết hiệu lực. Khi khóa hết hiệu lực, những cổng vào VPN phát sinh một khóa mới mà không ngắt dịch vụ.

100

Chọn những giải thuật mã hóa cho giai đoạn 1 của kết nối IPSec VPN.

DES and 3DES

Giai đoạn 1

Chọn những giải thuật chứng thực cho giai đoạn 1của kết nối IPSec VPN.

MD5

Giai đoạn 2 Chọn những giải thuật cho giai đoạn 2 của kết nối IPSec VPN.

Khoá chứng thực Nhập trên 20 ký tự. Khóa cần phải giống nhau ở cả hai cổng vào VPN và chỉ đ−ợc biết bởi ng−ời quản trị mạng.

ddcHH01887d

Incoming NAT Chọn Incoming NAT nếu ta yêu cầu sự chuyển đổi địa chỉ mạng cho những gói VPN.

Select 1 Đi tới VPN > IPSEC > Autokey IKE.

2 Chọn New để thêm mới 1 Autokey IKE đ−ờng ống VPN

3 Nhập tên đ−ờng ống VPN, Remote Gateway, Keylife, và khoá chứng thực. 4 Chọn OK để l−u Autokey IKE đ−ờng ống VPN

Thêm địa chỉ nguồn và địa chỉ đích

B−ớc tiếp theo trong việc cấu hình cổng VPN của FortiGate là thêm địa chỉ nguồn và địa chỉ đích cho chính sách VPN. Mỗi đ−ờng ống VPN client ta yêu cầu 2 địa chỉ :

- Nguồn, địa chỉ IP của mạng phía sau cổng VPN của FortiGate - Đích, địa chỉ IP của client VPN

Những client VPN với địa chỉ IP tĩnh, địa chỉ đích là địa chỉ IP của client. Những khách hàng với địa chỉ IP động, địa chỉ đích là địa chỉ mặc định bên ngoài

Bảng 12 : ví dụ về địa chỉ IP của cổng VPN cho client với 1 địa chỉ IP tĩnh

Mô tả Cấu hình ví dụ

Địa chỉ đích

Tên địa chỉ Tên để gán cho địa chỉ nguồn của VPN client có thể kết nối, tên có thể chứa các chữ số (từ 0 đến 9) các ký tự hoa và th−ờng (a-z,A-Z), các ký tự đặc biệt - và _. Các ký tự đặc biệt khác và khoảng trống thì không cho phép.

Văn phòng chính

địa chỉ IP 192.168.1.0

Netmask

địa chỉ IP và Netmask của địa chỉ nguồn mà mà VPN client

có thể kết nối đến 255.255.255.0

Địa chỉ đích

địa chỉ IP 2.2.2.2 Netmask

địa chỉ IP và Netmask của 1 VPN client với 1 địa chỉ IP tĩnh

(ví dụ : 2.2.2.2) 255.255.255.255

Bảng 13 : ví dụ về địa chỉ IP của cổng VPN cho client với 1 địa chỉ IP động

Mô tả Cấu hình ví dụ

Địa chỉ đích

Tên địa chỉ Tên để gán cho địa chỉ nguồn của VPN client có thể kết nối, tên có thể chứa các chữ số (từ 0 đến 9) các ký tự hoa và th−ờng (a-z,A-Z), các ký tự đặc biệt - và _. Các ký tự đặc biệt khác và khoảng trống thì không cho phép.

Văn phòng chính

địa chỉ IP 192.168.1.0

Netmask

địa chỉ IP và Netmask của địa chỉ nguồn mà mà VPN client

Một phần của tài liệu chuyên đề tìm hiểu thiết bị bảo vệ fortigate-50 và các ứng dụng website bưu điện tỉnh ninh thuận (Trang 29)

Tải bản đầy đủ (PDF)

(68 trang)