III. Mạng riêng ảo (VPN – Virtual Private Network)
3. Triển khai VPN
a. Triển khai VPN truy cập từ xa (Remote Access)
Việc triển khai một mạng riêng ảo có nhiều dịch vụ và chức năng cần phải làm việc cùng nhau một cách trôi chảy và dễ dàng, vì vậy những người dùng truy cập từ xa cần được định danh và xác thực; các đường hầm có thể được tạo lập, duy trì và quản lý cho hàng trăm người dùng; việc định tuyến có thể kiểm soát tất cả luồng lưu lượng qua Gateway, và trong khi tất các những thứ này đang tiếp tục, hiệu suất và sự an toàn cần được duy trì. Các thành phần phải được cài đặt để tạo ra một hệ thống mạng riêng ảo hoạt động đúng đắn.
Mô hình triển khai mạng VPN Remote Access Các thành phần chính trong mạng VPN truy cập từ xa là:
- Các Client VPN
- Hạ tầng mạng Internet
- Server VPN, và các thiết bị khác như Gateway
- Máy chủ AAA
- Hạ tầng cấp phát chứng chỉ số.
Nhiều thủ tục triển khai truy cập từ xa là giống nhau khi ta sử dụng PPTP hoặc L2TP/IPSec, nhưng ta cần xem xét một số điểm khác biệt nổi bật trong khi thiết lập, tuỳ thuộc vào cái nào được sử dụng. Không kể tập hợp giao thức mà ta sử dụng, việc triển khai các kết nối mạng riêng ảo truy cập từ xa bao gồm các bước sau:
Triển khai một cơ sở hạ tầng chứng chỉ số
Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ là cần thiết chỉ khi ta đang sử dụng các chứng chỉ người dùng được cài đặt cục bộ và xác thực EAP-TLS, mới L2TP/IPSec, cơ sở hạ tầng chứng chỉ số là điều bắt buộc. Nếu đang sử dụng chỉ một giao thức xác thực dựa trên mật khẩu như MS-CHAP v2, thì không đòi hỏi cơ sở hạ tầng chứng chỉ và cơ sở hạ tầng này cũng không được dùng cho việc tạo kết nối mạng riêng ảo. Ta có thể lựa chọn việc sử dụng mật khẩu, miễn là các chứng chỉ cho phép xác thực 2 nhân tố và sẽ cho phép ta sử dụng các công nghệ an toàn của IPSec.
Để sử dụng một cơ sở hạ tầng chứng chỉ cho các kết nối mạng riêng ảo dựa trên PPTP, ta phải cài đặt một chứng chỉ trên máy chủ xác thực (Máy chủ mạng riêng ảo hoặc máy chủ RADIUS) và phân phối tới Client VPN hoặc một chứng chỉ trên mỗi máy Client VPN.
Triển khai một cơ sở hạ tầng Internet Triển khai cơ sở hạ tầng Internet bao gồm:
- Đặt máy chủ mạng riêng ảo trong một mạng vành đai hoặc trên Internet
- Cấu hình giao diện Internet
- Bổ sung địa chỉ vào máy chủ hệ thống tên miền Internet. Triển khai một cơ sở hạ tầng AAA
Một khi ta làm cho tên máy chủ mạng riêng ảo có thể xử lý trên Internet, ta muốn chắc chắn rằng chỉ những người dùng mà ta đồng ý cấp quyền truy cập tới các dịch vụ mạng riêng ảo. Bước kế tiếp là triển khai hệ thống định danh, được xem như là các dịch vụ AAA. Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo truy cập từ xa bao gồm:
- Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm
- Cấu hình máy chủ xác thực Internet IAS chính
- Cấu hình IAS với các Client RADIUS
- Cấu hình chính sách mạng riêng ảo truy cập từ xa. Triển khai máy chủ mạng riêng ảo
Để cho người dùng có thể truy cập, chúng ta cần thiết lập các máy chủ mạng riêng ảo. Triển khai các máy chủ mạng riêng ảo cho các kết nối mạng riêng ảo truy cập từ xa bao gồm:
- Cấu hình mỗi kết nối của máy chủ mạng riêng ảo tới Intranet
- Thiết lập bộ định tuyến mạng riêng ảo. Triển khai cơ sở hạ tầng Intranet
Bước tiếp theo cần đảm bảo rằng các tài nguyên trong mạng Intranet là có khả năng truy cập được với máy chủ mạng riêng ảo và như vậy nó có thể xử lý các liên lạc tới các Client truy cập từ xa. Triển khai cơ sở hạ tầng mạng Intranet cho các kết nối mạng riêng ảo truy cập từ xa bao gồm các công việc sau:
- Cấu hình bộ định tuyến trên máy chủ mạng riêng ảo
- Kiểm tra trình phân giải tên và khả năng kết nối tới Intranet từ máy chủ mạng riêng ảo
- Cấu hình bộ định tuyến cho vùng địa chỉ subnet
- Cấu hình các tài nguyên cách ly. Triển khai các Client VPN
Cuối cùng là cấu hình cho các Client có khả năng truy cập máy chủ mạng riêng ảo.
b. Triển khai mạng riêng ảo Site – to – Site
Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to – Site đòi hỏi cả hai phía của liên kết phải có một tập đầy đủ các tài nguyên để làm việc với nhau.
Mô hình triển khai mạng VPN Site-to-Site Các thành phần chính của mạng VPN Site – to – Site là:
- Các Router VPN
- Cơ sở hạ tầng mạng Internet
- Cơ sở hạ tầng mạng chi nhánh
- Cơ sở hạ tầng AAA
- Cơ sở hạ tầng chứng chỉ
Triển khai cơ sở hạ tầng cung cấp chứng chỉ
Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ số chỉ cần thiết lúc ta sử dụng xác thực EAP-TLS. Nếu chỉ đang sử dụng một giao thức xác thực dựa trên mật khẩu như MS-CHAPv2, thì cơ sở hạ tâng chứng chỉ là không cần thiết.
Để sử dụng xác thực EAP-TLS cho các kết nối mạng riêng ảo Site – to – Site, ta phải thực hiện các bước sau:
- Cài đặt dịch vụ cung cấp chứng chỉ cho người dụng trên mỗi Router gọi
- Cấu hình EAP-TLS trên Router gọi
- Cài đặt dịch vụ xác thức trên máy chủ xác thực (trên Router trả lời hoặc máy chủ RADIUS)
- Cấu hình EAP-TLS trên máy chủ xác thực và với chính sách bảo mật cho các kết nối site – to – site.
Triển khai cơ sở hạ tầng Internet
Cơ sở hạ tầng Internet là phần mạng được kết nối trực tiếp tới mạng công cộng mà mạng riêng ảo sẽ được triển khai qua đó. Trong phần này, chúng ta sẽ xem xét tất cả các bước cho việc triển khai các Router VPN trên Internet. Triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo bao gồm các bước sau:
- Đặt các Router VPN trong mạng vành đai hoặc trên Internet
- Cấu hình các giao diện Internet cho Router VPN. Triển khai các Router trả lời
Chúng ta cần thiết lập Router trả lời với các cấu hình thích hợp cho một kết nối mạng riêng ảo Site – to – Site. Thủ tục bao gồm:
- Cấu hình kết nối Router trả lời tới nhánh mạng và cài đặt dịch vụ định tuyến: Trên giao diện thứ 2 của Router trả lời, cấu hình card mạng kết nối tới nhánh mạng bằng cách cấu hình TCP/IP, bao gồm một địa chỉ IP, subnet mask, máy chủ DNS.
- Cấu hình giao diện kết nối. Triển khai các Router gọi
- Cấu hình kết nối của Router gọi tới nhánh mạng và cài đặt dịch vụ định tuyến: Cấu hình kết nối được kết nối tới nhánh mạng bằng việc cấu hình TCP/IP bao gồm một địa chỉ IP, một mặt nạ mạng con, các máy chủ DNS
- Cấu hình giao diện: Dựa vào dịch vụ định tuyến, xác định tên cho giao diện, kiểu kết nối, giao thức đường hầm sẽ sử dụng, xác định địa chỉ đích là địa chỉ của Router trả lời, tạo các đường định tuyến tĩnh cho các mạng từ xa và gán các đường định tuyến tĩnh cho giao diện, cung cấp các thông tin liên quan đến tài khoản người dùng cho việc xác thực kết nối về sau.
Triển khai cơ sở hạ tầng AAA
Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau:
- Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm
- Cấu hình máy chủ xác thực Internet IAS. Triển khai cơ sở hạ tầng mạng chi nhánh
Đến thời điểm này, chúng ta có các máy chủ VPN thiết lập và kết nối tới Internet, và chúng có khả năng xác thực mỗi tài khoản người dùng của các Server khác. Bây giờ chúng ta cần cấu hình các Router để chuyển tiếp luồng lưu lượng tới các mạng khác. Triển khai cơ sở hạ tầng mạng của một nhánh mạng với các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau:
- Cấu hình định tuyến trên các Router VPN
- Kiểm tra khả năng nối tới được các Router VPN
- Cấu hình định tuyến cho các vùng địa chỉ thuộc mạng con ngoại lệ. Triển khai cơ sở hạ tầng mạng ngoài chi nhánh
Mỗi Router cần biết về các đường định tuyến trong các nhánh mạng của các Router VPN khác và như vậy nó có thể chuyển tiếp đúng luồng lưu lượng tới các phía khác của kết nối mạng riêng ảo. Việc triển khai cơ sở hạ tầng ngoài chi nhánh bao gồm việc cấu hình mỗi Router VPN với tập các đường định tuyến cho các mạng con sẵn dùng trong các nhánh mạng khác. Điều này có thể thực hiện được theo các cách sau đây:
- Cấu hình thủ công các đường định tuyến trên mỗi Router VPN
- Thực hiện việc cập nhật tự động trên mỗi Router VPN
- Cấu hình giao thức định tuyến để hoạt động qua kết nối mạng riêng ảo.