- Trạng thái máy
CHƯƠNG 3.CÀI ĐẶT VÀ CẤU HÌNH SSTP 3.1.Mục tiêu.
3.1.Mục tiêu.
Mục tiêu của đề tài giúp cho người dùng ở xa có thể truy cập vào mạng nội bộ bằng https mà không bị các firewall phía trước VPN client ngăn chặn như các hạn chế của giao thức PPTP và L2TP
3.2.Mô hình và giải thích.
Mô hình:
Giải thích:
• VPN client yêu cầu thiết lập kết nối với VPN server bằng port động trên VPN client và port 443 trên SSTP server
• Client gói tin một gói SSL Client Hello, điều đó chỉ định rằng SSTP client muốn tạo một phiên làm việc với SSTP server.
• VPN Server gởi Computer Certificate (gồm Public Key của VPN Server) cho VPN Client
• VPN kiểm tra tính hợp lệ của Certificate, xác định phương pháp mã hoá của phiên SSL, VPN Client sinh ra một key và mã hoá nó bằng Public key của vpn server. Và sao đó gửi key mã hoá đến SSTP Server.
• SSTP server giải mã SSL session key bằng Private key của nó.Tất cả trao đổi giữa VPN Client và VPN Server được mã hoá với phương pháp mã hoá thương lương • SSTP Client gửi thông điệp HTTP over SSL đế SSTP server
• SSTP Client thương lương trên đường hầm SSTP với SSTP server
• SSTP clien thương lượng một kết nối PPP với SSTP server Việc thương lượng này bao gồm việc xác thực và thiết lập cấu hình với một giao thức IPV4 hay IPV6 • SSTP Client bắt đầu gửi traffic trên kết nối PPP
3.3.Công cụ.
Đĩa cài Windows server 2008 và windows 7.
Phần mềm bắt gói tin wireshark
Máy chủ Active Directory
Yêu cầu phần mềm:
Cài đặt hệ điều hành Windows Server 2008 Yêu cầu dịch vụ: :
Cài đặt Active Directory và DNS
Các Bước Cài Đặt MáyActive Directory (DC) Cấu hình trên máy Active Directory (DC)
Cài đặt hệ điều hành windows server 2008:
Khởi động máy , rồi cho disc windows server 2008 vào cài đặt Thiết lập password trong quá trình cài đặt
Cấu hình TCP/IP
Gán ip cho card mạng: Click phải vào network – Chọn properties – manage network connections – click phảo vào card mạng chọn properties – chọn Internet Protocal Version 4- properties.
Gán ip như hình dưới.
Click phải my computer – chọn properties – chọn tab Advanced system settings – Compture Name – Change – đặt tên máy tên: dc tên son
Khởi động lại máy để cho việc thay đổi có hiệu lực. Cài đặt dịch vụ Active Direcoty và DNS
Vào start – run - đánh lệnh oobe - chọn add roles
next – trong add roles wizard đánh dấu vào ô Active Directory domain services
Chọn close để quá trình cài đặt dịch vụ hoàn tất. Lên domain controller.
Click start – chọn run đánh lệnh dcpromo, và nhấn ok.
Trên trang Welcome of Active Directory Domain Services installation wizard, chọn next, next, check vào Create a new domain in a new forest.
Trong FQDN of the forest root domain nhập tên domain vào. Đặt tên domain là truongson.com
Nhấn next để chấp nhận windows server 2003 cho domain function level
Click yes 2 lần, click next để chấp nhận vị trị cài đặt mặc định
Nhấn next 2 lần , quá trình cài đặt đã hoàn tất
Tạo account người dùng cho phép quyền truy cậo từ xa
Vào start – programs – Active Directory users and computers – New user: tạo truongsonvpn
Cho phep user được phép truy truy cập mạng
Click phải truongsonvpn – chọn properties – chọn tab dial in – trong Network Access Permission đánh dấu vào ô Allow access.
Tạo thư mục và tập tin chia sẻ
Vào ổ C tạo folder TRUONGSON, trong Data tạo tập tin Data1.txt,Data2.txt
Quá trình chia sẻ hoàn tất
Bước 2:
Máy chủ VPN Server
Yêu cầu phần mềm:
Cài đặt Windows 2008 server và join domain Yêu cầu dịch vụ: :
Cài đặt Active Directory Certificate Services và Web Server (IIS) Cài Server Authetication Certificate
Cài đặt dịch vụ Routing and Remote Access
Các Bước Cài Đặt Máy VPN Server
Cài đặt hệ điều hành windows server 2008
Khởi động máy , rồi cho disc windows server 2008 vào cài đặt Thiết lập password trong quá trình cài đặt
Gán ip cho card mạng: Click phải vào network – Chọn properties – manage network connections – click phải vào các card mạng chọn properties – chọn Internet Protocal Version 4- properties.
Gán ip cho card external như hình dưới.
Gán ip cho card internal như hình dưới.
Gia nhập vào domain truongson.com
Click phải my computer – chọn properties – chọn tab Advanced system settings – trong tab domain nhập vào tên domain mình muốn đăng nhấp vào.
Sau khi join vào domain hệ thống yêu cầu khởi động lại
Cài đặt dịch vụ Active Directory Certificate Services và web server IIS Cài dịch vụ Active Directory Certificate Services
Vào start – run – gõ lệnh oobe – ok – click vào Add role
Nhấn next , trong phần select Roles Wizard chọn Active Directory Certificate Services
Nhấn next, chọn vào tab Add Required Role Services
Nhấn next, chọn Standalone , nhấn next chọn Root CA, tiếp tục nhấn next, chọn Create a new private key
Nhấn next để lặp lại giá trị măc định, trong Confirm installation Selection dialog box click install
Cài đặt Chứng chỉ xác thực Server
Mở IE, vào tools chọn Internet Options, trong internet Options chọn tab Security click local intranet điều chỉnh mức độ bảo mật xuống thấp nhất
Nhấn ok, mở IE nhập đường dẫn https://localhost/certsrv, nhấn enter
Dưới select a task chọn Request a certificate, under Request a certificate, click advanced certificate request, dưới Advanced certificate request, click Create và submit một request to this CA.
Dưới identify information, trong trường Name: nhập pnserver.truongson.com, trong type of certificate needed chọn nServer Authetication Certifiacte, dưới key options, chọn mark key as exportable
Phân phát và cài đặt Server Authentication Certifiacte Click start – run – đánh lệnh mmc – ok
Trong console1 snap in, chọn file add Add/Remove Snap-in.
Dười under Avaible snap-ins, click certificate Authority, sau đó chọn add. Click finish để chấp nhận thiết lập mặc định của local setting.
Click ok để đóng hộp thoại Add or remove Snap-Ins
Trong console MMC mới tạo, ở bảng bến trái, double click Certifiacte Authority (Local).Double click contoso-VPN1-CA và sau đó click Pending Request
Trong bảng ở giữa, click phải Pending Request, chọn All tasks, và sao đó chọn Issue
Chọn view the status of Pending Certifiacte Request, dưới view the status of Pending Certifiacte Request chọn just issued certificate.
Dưới Certificate issued, click install this certifiacte Quá trình cài đắt Certificate hoàn thành
Di chuyển Certificate
Trong MMC, click file sau đó chọn Add/Remove Snap-in. Dưới Available snap-ins, click certificate, và sau đó click Add
Click Finish đế chấp nhận thiết lập mặc định của My user account. Clich Add, Click Computer account, và sau đó click next.
Trong bảng cây console, click đôi nCertificate – Current user, Click đôi Personal, và sau đó click Export.
Trong trang welcome, click next, click yes, expoert the private key, và sau đó nhấn next.Nhấn next đế chấp nhận định dạng file mặc định.
Nhập password trong cả hai hộp thoại, và sau đó nhấn next. Trong trang file to Export, click Browse
Trong File name chọn certsrv và sau đó chọn Browse Foders.
Dưới Under Favorite Links, chọn nởi lư trữ file cettificate, ta lư vào vị trí desktop.
Trong file to export, chọn next. Nhấn Finish để đóng Certificate Export Wizrd, sau đó click Ok trong trong hộp thoại xác nhận.
Trong bảng cây console, nhấp đôi vào Certificate ( Local Computer) và sao đó nhấp đôi Personal.Click certificate , Click phải certificates, điểm tới All Tasks, và sao đó click import.
Trong trang welcome, click next.
Trong trang File to Import, click browse.
Dưới favorite links, Click Desktop, chọn file certsrv . Trong trang File to Import, click next.
Trong hộp thoại password, nhập password vào, sau đó click next.
Trong trang Certificate Store, chọn next đế chấp nhận vị trí lưu trữ cá nhân. Chọn Finish để đóng thuật thuật import và export, và nhấn ok trong hộp thoại xác nhận.
Cài đặt dịch vụ Routing and remote Access
Vào start – run – nhâp lệnh oobe – chọn Add role – next – trong select server roles chọn Network Policy and Access Services
Nhấn next , nhấn next một lần nữa, trong select role services dưới Role Serives chọn Routing and Remote Access Services.
Nhấn next để tiến trình cằi đặt
Cấu hình Routing and Remote Access
Vào start, điểm đến Aministrator Tools, sau đó chọn Routing and Renote Access.
Trong Routing ang remote Access, Click phải vpnserver và click vào Configure and Enable Routing and Remote Access.
Enable Routing and Remote Access.
Trong trang welcome to the Routing and Remote Access Server Setup Wizrad, click next.
Trong trang configuration, click next để chấp nhận thiết lập mặc định của Remote Access.
Trong trang Remote Access , click VPN, và sao đó click Next.
Trong Việc ấn dịnh địa chỉ: Chọn ấn định địa chỉ bằng tay Click New để cung cấp 1 dãy IP
Click Ok, nhấn next để chấp nhấn thiết lập mặc định điều đó có nghĩa là VPN1 không làm việc với RADIUS SERVER. Trong kich bản này chọn no Routing and Remote Access to authentication
Bước 3:
Máy VPN Client
Yêu cầu phần mềm: Cài đặt Windows7
Tạo kết nối với SSTP sever
Cấu hình Máy Client
Cấu hình TCP/IP
Gán ip cho card mạng: Click phải vào network – Chọn properties – manage network connections – click phải vào các card mạng chọn properties – chọn Internet Protocal Version 4- properties.
Cấu hình host file
Tạo kết nối vpn .
Vào control panel – Network and sharing – chọn set up a new connection or network
Tiếp theo chọn Connect to a workplace
Nhấn next chọn use my internet connection (VPN)
Nhập account được phép vpn
Đang thiết lập tiến trình kết nối
Kiểm tra thông mạng bằng cách kết nối vào data của DC
Sau khi vpn bằng giao thức PPTP thành công, vào IE nhập đường dẫn http://vpnserver.truongson.com/certsrv, chọn download a CA certificate, certificate chain, or CRL. Sau đó click vào dòng Download CA Certificate và cài đặt Certificate.
Xuất hiện bảng import certificate.
Xuất hiện bảng import certificate, nhấn next để chấp nhận cài vào vị trí mặc định, quá trình import thành công
Vào start- control Pannel – Network and Sharing Center - Change apdater chọn Icon ketnoi đã kết nối thành công PPTP. Click phải vào icon – chọn Properties – vào tab Security – chọn SSTP trong tye of VPN – ok. Bắt đầu connect.
3.5.Kết quả đạt được.
• Quá trình connect thành công bằng giao thức SSTP.
• Sử dụng phần mềm Wirehack để bắt gói tin.
Vpn client yêu cầu thiết lập kết nối với vpn server bằng port động trên vpn client và port 443 trên SSTP server
KẾT LUẬN
Việc kết nối bằng giao thức SSTP tăng tính bảo mật hơn so với các kế nối vpn như PPTP, L2TP. Chỉ có windows 2008 và windows 7, windows vista mới hỗ trợ giao thức SSTP, còn các các phiên bản trước windows 2008, Vista và windows 7 đều không hỗ trợ giao thức SSTP.
TÀI LIỆU THAM KHẢO
1. http://technet.microsoft.com/fr-fr/library/cc731352(v=ws.10).aspx
2. http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0- A41D-A4F81802D92C/[MS-SSTP].pdf