CHƯƠNG 3.CÀI ĐẶT VÀ CẤU HÌNH SSTP 3.1.Mục tiêu.

Một phần của tài liệu Bảo mật và mã hoá dữ liệu đường hầm tại công ty TNHH DAE MYUNG CHEMICAL Việt Nam (Trang 37 - 73)

- Trạng thái máy

CHƯƠNG 3.CÀI ĐẶT VÀ CẤU HÌNH SSTP 3.1.Mục tiêu.

3.1.Mục tiêu.

Mục tiêu của đề tài giúp cho người dùng ở xa có thể truy cập vào mạng nội bộ bằng https mà không bị các firewall phía trước VPN client ngăn chặn như các hạn chế của giao thức PPTP và L2TP

3.2.Mô hình và giải thích.

Mô hình:

Giải thích:

• VPN client yêu cầu thiết lập kết nối với VPN server bằng port động trên VPN client và port 443 trên SSTP server

• Client gói tin một gói SSL Client Hello, điều đó chỉ định rằng SSTP client muốn tạo một phiên làm việc với SSTP server.

• VPN Server gởi Computer Certificate (gồm Public Key của VPN Server) cho VPN Client

• VPN kiểm tra tính hợp lệ của Certificate, xác định phương pháp mã hoá của phiên SSL, VPN Client sinh ra một key và mã hoá nó bằng Public key của vpn server. Và sao đó gửi key mã hoá đến SSTP Server.

• SSTP server giải mã SSL session key bằng Private key của nó.Tất cả trao đổi giữa VPN Client và VPN Server được mã hoá với phương pháp mã hoá thương lương • SSTP Client gửi thông điệp HTTP over SSL đế SSTP server

• SSTP Client thương lương trên đường hầm SSTP với SSTP server

• SSTP clien thương lượng một kết nối PPP với SSTP server Việc thương lượng này bao gồm việc xác thực và thiết lập cấu hình với một giao thức IPV4 hay IPV6 • SSTP Client bắt đầu gửi traffic trên kết nối PPP

3.3.Công cụ.

 Đĩa cài Windows server 2008 và windows 7.

 Phần mềm bắt gói tin wireshark

Máy chủ Active Directory

Yêu cầu phần mềm:

Cài đặt hệ điều hành Windows Server 2008 Yêu cầu dịch vụ: :

Cài đặt Active Directory và DNS

Các Bước Cài Đặt MáyActive Directory (DC) Cấu hình trên máy Active Directory (DC)

Cài đặt hệ điều hành windows server 2008:

Khởi động máy , rồi cho disc windows server 2008 vào cài đặt Thiết lập password trong quá trình cài đặt

Cấu hình TCP/IP

Gán ip cho card mạng: Click phải vào network – Chọn properties – manage network connections – click phảo vào card mạng chọn properties – chọn Internet Protocal Version 4- properties.

Gán ip như hình dưới.

Click phải my computer – chọn properties – chọn tab Advanced system settings – Compture Name – Change – đặt tên máy tên: dc tên son

Khởi động lại máy để cho việc thay đổi có hiệu lực. Cài đặt dịch vụ Active Direcoty và DNS

Vào start – run - đánh lệnh oobe - chọn add roles

next – trong add roles wizard đánh dấu vào ô Active Directory domain services

Chọn close để quá trình cài đặt dịch vụ hoàn tất. Lên domain controller.

Click start – chọn run đánh lệnh dcpromo, và nhấn ok. (adsbygoogle = window.adsbygoogle || []).push({});

Trên trang Welcome of Active Directory Domain Services installation wizard, chọn next, next, check vào Create a new domain in a new forest.

Trong FQDN of the forest root domain nhập tên domain vào. Đặt tên domain là truongson.com

Nhấn next để chấp nhận windows server 2003 cho domain function level

Click yes 2 lần, click next để chấp nhận vị trị cài đặt mặc định

Nhấn next 2 lần , quá trình cài đặt đã hoàn tất

Tạo account người dùng cho phép quyền truy cậo từ xa

Vào start – programs – Active Directory users and computers – New user: tạo truongsonvpn

Cho phep user được phép truy truy cập mạng

Click phải truongsonvpn – chọn properties – chọn tab dial in – trong Network Access Permission đánh dấu vào ô Allow access.

Tạo thư mục và tập tin chia sẻ

Vào ổ C tạo folder TRUONGSON, trong Data tạo tập tin Data1.txt,Data2.txt

Quá trình chia sẻ hoàn tất

Bước 2:

Máy chủ VPN Server

Yêu cầu phần mềm:

Cài đặt Windows 2008 server và join domain Yêu cầu dịch vụ: :

Cài đặt Active Directory Certificate Services và Web Server (IIS) Cài Server Authetication Certificate

Cài đặt dịch vụ Routing and Remote Access

Các Bước Cài Đặt Máy VPN Server

Cài đặt hệ điều hành windows server 2008

Khởi động máy , rồi cho disc windows server 2008 vào cài đặt Thiết lập password trong quá trình cài đặt

Gán ip cho card mạng: Click phải vào network – Chọn properties – manage network connections – click phải vào các card mạng chọn properties – chọn Internet Protocal Version 4- properties.

Gán ip cho card external như hình dưới.

Gán ip cho card internal như hình dưới.

Gia nhập vào domain truongson.com

Click phải my computer – chọn properties – chọn tab Advanced system settings – trong tab domain nhập vào tên domain mình muốn đăng nhấp vào.

Sau khi join vào domain hệ thống yêu cầu khởi động lại

Cài đặt dịch vụ Active Directory Certificate Services và web server IIS Cài dịch vụ Active Directory Certificate Services

Vào start – run – gõ lệnh oobe – ok – click vào Add role

Nhấn next , trong phần select Roles Wizard chọn Active Directory Certificate Services (adsbygoogle = window.adsbygoogle || []).push({});

Nhấn next, chọn vào tab Add Required Role Services

Nhấn next, chọn Standalone , nhấn next chọn Root CA, tiếp tục nhấn next, chọn Create a new private key

Nhấn next để lặp lại giá trị măc định, trong Confirm installation Selection dialog box click install

Cài đặt Chứng chỉ xác thực Server

Mở IE, vào tools chọn Internet Options, trong internet Options chọn tab Security click local intranet điều chỉnh mức độ bảo mật xuống thấp nhất

Nhấn ok, mở IE nhập đường dẫn https://localhost/certsrv, nhấn enter

Dưới select a task chọn Request a certificate, under Request a certificate, click advanced certificate request, dưới Advanced certificate request, click Create và submit một request to this CA.

Dưới identify information, trong trường Name: nhập pnserver.truongson.com, trong type of certificate needed chọn nServer Authetication Certifiacte, dưới key options, chọn mark key as exportable

Phân phát và cài đặt Server Authentication Certifiacte Click start – run – đánh lệnh mmc – ok

Trong console1 snap in, chọn file add Add/Remove Snap-in.

Dười under Avaible snap-ins, click certificate Authority, sau đó chọn add. Click finish để chấp nhận thiết lập mặc định của local setting.

Click ok để đóng hộp thoại Add or remove Snap-Ins

Trong console MMC mới tạo, ở bảng bến trái, double click Certifiacte Authority (Local).Double click contoso-VPN1-CA và sau đó click Pending Request

Trong bảng ở giữa, click phải Pending Request, chọn All tasks, và sao đó chọn Issue

Chọn view the status of Pending Certifiacte Request, dưới view the status of Pending Certifiacte Request chọn just issued certificate.

Dưới Certificate issued, click install this certifiacte Quá trình cài đắt Certificate hoàn thành

Di chuyển Certificate

Trong MMC, click file sau đó chọn Add/Remove Snap-in. Dưới Available snap-ins, click certificate, và sau đó click Add

Click Finish đế chấp nhận thiết lập mặc định của My user account. Clich Add, Click Computer account, và sau đó click next.

Trong bảng cây console, click đôi nCertificate – Current user, Click đôi Personal, và sau đó click Export.

Trong trang welcome, click next, click yes, expoert the private key, và sau đó nhấn next.Nhấn next đế chấp nhận định dạng file mặc định.

Nhập password trong cả hai hộp thoại, và sau đó nhấn next. Trong trang file to Export, click Browse

Trong File name chọn certsrv và sau đó chọn Browse Foders.

Dưới Under Favorite Links, chọn nởi lư trữ file cettificate, ta lư vào vị trí desktop.

Trong file to export, chọn next. Nhấn Finish để đóng Certificate Export Wizrd, sau đó click Ok trong trong hộp thoại xác nhận.

Trong bảng cây console, nhấp đôi vào Certificate ( Local Computer) và sao đó nhấp đôi Personal.Click certificate , Click phải certificates, điểm tới All Tasks, và sao đó click import.

Trong trang welcome, click next.

Trong trang File to Import, click browse.

Dưới favorite links, Click Desktop, chọn file certsrv . Trong trang File to Import, click next.

Trong hộp thoại password, nhập password vào, sau đó click next. (adsbygoogle = window.adsbygoogle || []).push({});

Trong trang Certificate Store, chọn next đế chấp nhận vị trí lưu trữ cá nhân. Chọn Finish để đóng thuật thuật import và export, và nhấn ok trong hộp thoại xác nhận.

Cài đặt dịch vụ Routing and remote Access

Vào start – run – nhâp lệnh oobe – chọn Add role – next – trong select server roles chọn Network Policy and Access Services

Nhấn next , nhấn next một lần nữa, trong select role services dưới Role Serives chọn Routing and Remote Access Services.

Nhấn next để tiến trình cằi đặt

Cấu hình Routing and Remote Access

Vào start, điểm đến Aministrator Tools, sau đó chọn Routing and Renote Access.

Trong Routing ang remote Access, Click phải vpnserver và click vào Configure and Enable Routing and Remote Access.

Enable Routing and Remote Access.

Trong trang welcome to the Routing and Remote Access Server Setup Wizrad, click next.

Trong trang configuration, click next để chấp nhận thiết lập mặc định của Remote Access.

Trong trang Remote Access , click VPN, và sao đó click Next.

Trong Việc ấn dịnh địa chỉ: Chọn ấn định địa chỉ bằng tay Click New để cung cấp 1 dãy IP

Click Ok, nhấn next để chấp nhấn thiết lập mặc định điều đó có nghĩa là VPN1 không làm việc với RADIUS SERVER. Trong kich bản này chọn no Routing and Remote Access to authentication

Bước 3:

Máy VPN Client

Yêu cầu phần mềm: Cài đặt Windows7

Tạo kết nối với SSTP sever

Cấu hình Máy Client

Cấu hình TCP/IP

Gán ip cho card mạng: Click phải vào network – Chọn properties – manage network connections – click phải vào các card mạng chọn properties – chọn Internet Protocal Version 4- properties.

Cấu hình host file

Tạo kết nối vpn .

Vào control panel – Network and sharing – chọn set up a new connection or network

Tiếp theo chọn Connect to a workplace

Nhấn next chọn use my internet connection (VPN)

Nhập account được phép vpn

Đang thiết lập tiến trình kết nối

Kiểm tra thông mạng bằng cách kết nối vào data của DC

Sau khi vpn bằng giao thức PPTP thành công, vào IE nhập đường dẫn http://vpnserver.truongson.com/certsrv, chọn download a CA certificate, certificate chain, or CRL. Sau đó click vào dòng Download CA Certificate và cài đặt Certificate. (adsbygoogle = window.adsbygoogle || []).push({});

Xuất hiện bảng import certificate.

Xuất hiện bảng import certificate, nhấn next để chấp nhận cài vào vị trí mặc định, quá trình import thành công

Vào start- control Pannel – Network and Sharing Center - Change apdater chọn Icon ketnoi đã kết nối thành công PPTP. Click phải vào icon – chọn Properties – vào tab Security – chọn SSTP trong tye of VPN – ok. Bắt đầu connect.

3.5.Kết quả đạt được.

• Quá trình connect thành công bằng giao thức SSTP.

• Sử dụng phần mềm Wirehack để bắt gói tin.

Vpn client yêu cầu thiết lập kết nối với vpn server bằng port động trên vpn client và port 443 trên SSTP server

KẾT LUẬN

Việc kết nối bằng giao thức SSTP tăng tính bảo mật hơn so với các kế nối vpn như PPTP, L2TP. Chỉ có windows 2008 và windows 7, windows vista mới hỗ trợ giao thức SSTP, còn các các phiên bản trước windows 2008, Vista và windows 7 đều không hỗ trợ giao thức SSTP.

TÀI LIỆU THAM KHẢO

1. http://technet.microsoft.com/fr-fr/library/cc731352(v=ws.10).aspx

2. http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0- A41D-A4F81802D92C/[MS-SSTP].pdf

Một phần của tài liệu Bảo mật và mã hoá dữ liệu đường hầm tại công ty TNHH DAE MYUNG CHEMICAL Việt Nam (Trang 37 - 73)

(73 trang)