Đang tải... (xem toàn văn)
Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường truyền. Vì thế VPN Virtural Private Network được sử dụng như một giải pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của tổ chức đó. Chúng em chọn đề tài Tìm hiểu về mạng VPN truy cập từ xa, xây dựng cài đặt mạng VPN loại này theo giao thức Tunneling L2TP dùng hệ điều hành Windows XP cho máy truy cập từ xa và Windows Server 2003 cho các máy chủ.
NHẬN XÉT CỦA GIÁO VIÊN MỤC LỤC 2 DANH MỤC CÁC HÌNH VẼ VÀ BẢNG Danh mục hình vẽ bảng Hình 1: Mô hình tổng quát mạng VPN Hình 2: Các thành phần mạng VPN truy cập từ xa thực Windows 2003 Bảng 1: Thông tin tính tương thích hai kỹ thuật PPTP L2TP với hệ điều hành MS Bảng 3: Thông số thiết lập việc lọc gói tin truyền đến VPN client Bảng 2: Thông số thiết lập thông tin truyền từ client Hình 3: Mô hình VPN server hệ thống mạng bao quát Internet Trang 10 11 31 32 36 LỜI NÓI ĐẦU Ngày máy tính mạng máy tính trở thành nhu cầu thiếu sống công việc cá nhân, quan nhà nước tổ chức kinh doanh Để đáp ứng nhu cầu trao đổi thông tin ngày tăng mạng máy tính phát triển với tốc độ chóng mặt Nhu cầu mở rộng mạng công ty, tổ chức ngày tăng Thêm vào yêu cầu bảo mật liệu đường truyền Vì VPN - Virtural Private Network sử dụng giải pháp cho mở rộng mạng công ty, đồng thời giải pháp an toàn cho lưu thông giao dịch mạng VPN cho phép truy cập từ xa an toàn đến nguồn tài nguyên mạng bên công ty Việc đảm bảo an toàn cho VPN xây dựng sách an toàn vấn đề thường trực nhà quản trị mạng thân tổ chức Chúng em chọn đề tài Tìm hiểu mạng VPN truy cập từ xa, xây dựng cài đặt mạng VPN loại theo giao thức Tunneling L2TP dùng hệ điều hành Windows XP cho máy truy cập từ xa Windows Server 2003 cho máy chủ Trong trình thực đề tài nhóm em không khỏi mắc phải thiếu sót Mong thầy đóng góp ý kiến để chúng em hoàn thiện tốt đề tài sau Chúng em xin chân thành cảm ơn! Sinh viên thực hiện: Nguyễn Văn Quân Phạm Xuân Sang Trần Ngọc Thơ Mai Văn Trọng Đỗ Văn Tiền Nguyễn Như Tỉnh 4 Chương 1: Hệ thống mạng VPN truy cập từ xa 1.1 Giới thiệu Một mạng riêng ảo (Virtual Private Network – VPN) hệ thống mở rộng mạng riêng thông thường Nó bao gồm liên kết hệ thống mạng chung mạng công cộng kiểu mạng Internet Với mạng VPN, ta gửi liệu hai máy tính thông qua mạng công cộng giống với liên kết kiểu pointto-point Việc thiết lập hệ thống mạng VPN bao gồm hai công đoạn xây dựng cấu hình hệ thống mạng Để giả lập liên kết point-to-point, liệu đóng gói với phần header mang thông tin định tuyến Các thông tin giúp cho liệu truyền qua hệ thống mạng chung mạng công cộng để đến điểm nhận Để giả lập liên kết riêng, liệu đóng gói với mục đích chống truy cập không hợp lệ Các gói tin bị chặn bắt mạng chung thường giải mã khóa mã hóa Liênkết mà liệu riêng đóng gói mã hóa gọi liên kết mạng riêng ảo.Ta thấy hình mô hình liên kết logic tương đương với liên kết VPN Những người sử dụng sử dụng liên kết VPN nhà hay đường làm để thiết lập phiên truy cập từ xa đến máy chủ với hạ tầng truyền thông mạng chung hay Internet Xột phương diện người sử dụng, liên kết VPN liên kết kiểu point-to-point máy tính (VPN Client) máy chủ tổ chức (VPN Server) Kiến trúc hạ tầng cụ thể mạng chung hay mạng công cộng không xét tới vì, phương diện logic, ta thấy liệu gửi qua liên kết riêng chuyên biệt Các tổ chức sử dụng liên kết VPN để thiết lập liên kết định tuyến văn phòng xa hay với tổ chức khác thông qua hệ thống mạng công cộng mà đảm bảo an toàn cho phiên liên lạc Xét mặt logic, liênkết VPN có 5 định tuyến sử dụng mạng Internet hoạt động liên kết chuyên biệt mạng diện rộng Hình 1: Mô hình tổng quát mạng VPN Có hai loại công nghệ thực tính truy cập từ xa thực hệ điều hành Windows 2003, là: Giao thức tuyến truyền Point-to-Point (Point-to-Point Tunneling Protocol -PPTP) PPTP sử dụng phương thức xác thực giao thức PPP mức người sử dụng dịch vụ mã hóa Point-to-Point Microsoft (Microsoft Point-to-Point Encryption - MPPE) để mã hóa liệu Giao thức tuyến truyền tầng thứ (Layer Two Tunneling Protocol - L2TP) sử dụng dịch vụ an ninh giao thức IP (IPSec) L2TP sử dụng phương thức xác thực mức người sử dụng giao thức PPP dịch vụ IPSec để thực xác thực có dụng đến phương thức chứng nhận, xác thực, toàn vẹn mã hóa liệu Một client từ xa tạo liên kết theo kiểu truy cập từ xa đến server Đồng thời, để đảm bảo việc xác thực hai phía, server tự xác thực client Máy tính chạy hệ điều hành 6 Windows XP, Windows 2000, Windows NT version 4.0, Windows Millennium Edition (ME), Windows 98, Windows 95 tạo liên kết đến server VPN chạy hệ điều hành Windows Server 2003 Các VPN client client không thuoc kiểu PPTP hay L2TP Microsoft có sử dụng dịch vụ IPSec Để thực mã hóa, ta dụng mã hóa theo liên kết mã hóa theo điểm đầu cuối Phương thức mã hóa theo liên kết mã hóa liệu truyền qua liên kết VPN client VPN server Đối với liên kết PPTP, ta phải sử dụng dịch vụ mã hóa MPPE với dịch vụ xác thực khác Microsoft MS-CHAP, MS-CHAP v2, hay EAP-TLS Phương thức mã hóa theo kiểu End-to-End mã hóa liệu từ máy truyền đến máy nhận Ta sử dụng dịch vụ IPSec sau liên kết VPN thiết lập để mã hóa dữl iệu gửi từ máy truyền đến máy nhận 1.2 Các thành phần mạng VPN truy cập từ xa Dưới sơ đồ thể thành phần mạng VPN truy cập từ xa: 7 Hình 2: Các thành phần mạng VPN truy cập từ xa Ta thấy thành phần hệ thống gồm có: Các VPN client Hạ tầng mạng Internet VPN server Hạ tầng mạng Intranet Các tảng phục cụ công tác xác thựcm phân quyền kiểm duyệt Nền tảng phục vụ công việc chứng nhận Sau đây, ta se xem xét thành phần hệ thống 1.2.1 VPN client VPN client mày tính tạo liên kết PPTP sử dụng dịch vụ MPEE hay liên kết L2TP sử dụng dịch vụ mã hóa 8 IPSec Bảng cho ta thông tin tính tương thích hai kỹ thuật PPTP L2TP với hệ điều hành MS VPN Tunneling Protocol PPTP L2TP/IPSec Các hệ điều hành MS Windows 2003, Windows XP, Windows 2000, Windows NT version 4.0, Windows ME, Windows 98, Windows 95 (with the Windows Dial-Up Networking 1.3 or later Performance & Security Update) Windows 2003, Windows XP, Windows 2000 Bảng 1: Thông tin tính tương thích hai kỹ thuật PPTP L2TP với hệ điều hành MS Một số loại VPN client tiêu biểu mà ta thường gặp là: Người sử dụng mày táchxỏc tay nối vào mạng nội tổ chức để lấy email tài nguyên khác không chỗ cố định Những người làm việc theo kiểu “từ xa”, họ sử dụng Internet để truy cập vào tài nguyên tổ chức từ nhà Nghĩa là, công việc tiến hành nhà mà không cần đến công sở Các VPN client Micrsoft cấu hình liên kết VPN cách thủ công sử dụng dịch vụ quản lý kết nối mà Windows XP cung cấp Để tự cấu hình VPN client Windows XP, ta sử dụng tính Make New Connection thư mục Network and Dial-up Connections, để tạo liên kết VPN đến địa IP hay tên DNS VPN server Internet 1.2.1.1 Trình quản lý kết nối Khi thực mở rộng cấu trúc liên kết VPN cho phạm vi toàn doanh nghiệp, ta thường gặp phải vấn đề sau: Thủ tục cụ thể để cấu hình liên kết VPN thay đổi tuỳ hteo phiên hệ điều hành Windows máy client Để tránh lỗi cấu hình, doanh nghiệp cần phải có nhóm nhân viên kỹ thuật thay để người sử dụng công việc cấu hình Một phương thức cấu hình thiết phải có khả mở rộng để đảm bảo cho hàng trăm, chí hàng ngàn máy doanh nghiệp lớn Một liên kết VPN cớ thể cần cấu hình double-dial, đó, người sử dụng phải quay số để vào Internet trước tạo liên kết VPN với mạng Intranet tổ chức Giải pháp mà Microsoft đề xuất cho việc cấu hình liên kết VPN phạm vi doanh nghiệp công cụ Connection Manager Công cụ có thành phần sau: Connection Manager (CM) Connection Manager Administration Kit (CMAK) Connection Point Services (CPS) Sau đây, ta tìm hiều sâu thành phần 1.2.1.1.1 Connection Manager Connection Manager trình quay số client tích hợp Windows XP Trình cho ta hỗ trợ kết nối cục kết nối từ xa đến dịch vụ liệu mạng điểm truy cập kiểu dịch vụ toàn cầu (Worldwide) mà nhà cung cấp dịch vụ Internet (ISP) cung cấp 1.2.1.1.2 Connection Manager Administration Kit Một người quản trị mạng chỉnh sửa hình thức phương thức hoạt động kết nối tạo CM việc sử dụng 10 10 IAS thực chức xác thực kết nối VPN cách liênlỏc với điều khiển domain sử dung kênh an toàn gọi thủ tục từ xa Nó thực chức xác thực thông qua thuộc tính đăng nhập account người sử ụng sách truy cập từ xa cấu hình IAS server IAS lưu tất thông tin thống kê RADIUS file theo mặc định có đường dẫn SystemRoot\System32\Logfiles\Logfile.log 1.2.8.1 Các sách truy cập từ xa Các sách truy cập từ xa tập có thứ tự luật quy định thức kết chấp thuận hay từ chối Đối với kết nối chập thuận, sách truy cập từ xa định cac hạn chế kết nối Đối với luận, có hay nhiều điều kiện, tập thiết lập có sẵn thiết lập cho phép truy nhập Các yờu cầ kết nối đối sánh với sách truy cập theo thứ tự để xác định xem yêu cầu kết nối có đáp ứng đủ điều kiện ứng với sách hay không Nếu yêu cầu kết nối không đáp ứng điều kiện sách yêu cầu bị từ chối Nếu kết nối đáp ứng đầy đủ tất điều kiện sách truy cập từ xa cấp thẩm để thực truy nhập Êy, đặc tả sách truy cập từ xa định số hạn chế kết nối Thuộc tính đăng nhập account ngườ sử dụng cung cho số hạn chế Khi dùng được, hạn chế theo account người sử dụng thay hạn chế kết nối đặc tả sách truy cập Các sách kết nối gồm có thành phần sau: Các điều kiện Các quyền cho phép Các thiết lập định sẵn Các yếu tố không đề cập kỹ Ta tiếp tục xem xét tiếp số vấn đề có liên quan sau 28 28 1.2.8.2 Ngăn chặn truyền thông phát từ VPN client Khi VPN client thiết lập thành công kết nối PPTP hay L2TP, theo mặc định tất gói tin gửi qua kết nối VPN server nhận chuyển tiếp Các gói tin gửi qua kết nối là: Các gói tách xuất phát từ máy client truy cập từ xa Các gói tin gửi đến cho client truy cập từ xa máy khác Khi client truy cập từ xa tạo kếtnối VPN, theo mặc định, tạo tuyến truyền ngầm định để tất thông tin truyền thông phù hợp với tuyến truyền ngầm định gửi qua kết nối VPN Nếu máy khác chuyển tiếp thông tin đến cho VPN client truy cập từ xa, coi client truy cập từ xa router, toàn thông tin truyền thông truyền thông qua kết nối VPN Đây vấn đè bảo mật máy thực chuyển tiếp thông tin đến client truy cập từ xa không xác thực VPN server Các máy thực chuyển tiếp thông tin có cựng quyền truy cập VPN client truy cập từ xa Để ngăn VPN server không gửi gói tin thông qua kết nối VPN đến cho máy tính VPN client xác thực, ta phải thiết lập sách truy cập từ xa lọc gói tin để lọc thông tin liên kết VPN Bảng cho ta thông số thiết lập thông tin truyền từ client IP Packet Filter Source Address Source Network Mask stination Address Destination Network Mask Protocol Thiết lập User address User mask Bất kỳ Bất kỳ Bất kỳ Bảng 2: Thông số thiết lập thông tin truyền từ client 29 29 Bảng cho ta thông số thiết lập việc lọc gói tin truyền đến VPN client IP Packet Filter Source Address Source Network Mask Destination Address Destination Network Mask Protocol Thiết lập Bất kỳ Bất kỳ User address User mask Bất kỳ Bảng 3: Thông số thiết lập việc lọc gói tin truyền đến VPN client 1.2.8.3 Một số điều cần lưu ý hạ tầng dịch vụ AAA Khi cấu hình hạ tầng dịch vụ AAA cho liên kết VPN, ta phải xét đến số yếu tố sau đây: 30 Nếu ta có nhiều VPN server ta muốn tập trung dịch vụ AAA, sử dụng RADIUS server cấu hình VPN server để thực chức máy cung cấp dịch vụ xác thực thống kê Nếu ta sử dụng sở liệu cho account người sử dụng nên dùng IAS RADIUS server Nếu sử dụng IAS, ta phải cài đặt IAS điều khiển domain để có hiệu suất cao Ta cần phải cài IAS server để đảm bảo khả lỗi Các sách truy cập từ xa để xác thực kết nối VPN cấu hình phạm vi cục IAS server, phải định ràng buộc kết nối Để ngăn VPN client không truyền tiến khác tin định tuyến, ta phải cấu hình cho lọc gói tin để loại bỏ tất khác tin truyền kết nối VPN ngoại trừ khác tin truyền đến khỏi client Các trường khác tin quan trọng khác điệp RADIUS mật khóa ma hoá phải mã hoá với cấu hình bảo mật chung VPN server RADIUS server 30 Chương 2: Xây dựng cài đặt mạng VPN truy cập từ xa theo giao thức Tunneling L2TP Quá trình triển khai hệ thống truy cập từ xa L2TP Windows Server 2003 Windows XP bao gồm việc sau đây: Triển khai hạ tầng dịch vụ thẻ chứng nhận Triển khai hạ tầng dịch vụ Internet Triển khai hạ tầng dịch vụ AAA Triển khai VPN server Triển khai hạ tầng mạng nội Triển khai VPN client 2.1 Triển khai hạ tầng dịch vụ thẻ chứng nhận Đối với liên kết VPN dựa giao thức L2TP, hạ tầng dịch vụ thẻ chứng nhận cần thiết để IPSec thoả thuận việc xác thực cho phiên kết nối Ngoài ra, cần có hạ tầng dịch vụ thẻ chức nhận tả sử dụng smart card hay thẻ chứng nhận người sử dụng giao thức EAP-TLS để xác thực người sử dụng Với kết nối L2TP, ta phải cài đặt dịch vụ thẻ chứng nhận tất máy VPN client server thực chức xác thực (VPN server RADIUS server) 2.1.1 Triển khai thẻ chứng nhận máy Để thiết lập thẻ chứng nhận máy, ta cần phải có đối tượng nắm giữ thẻ chứng nhận (Certification Authority - CA) để phát hành 31 31 thẻ Khi CA cấu hình, ta cài đặt hệ khác thẻ chứng nhận cho máy theo hai cách: Cấu hình việc phân bổ tự động thẻ chứng nhận máy tính đến máy domain Windows Server 2003 Phương háp cho phép điểm cấu hình cho toàn domain Tất cs thành viên domain tự động nhận thẻ chứngn nhận khác qua sách nhóm Sử dụng công cụ quản lý thẻ chứng nhận (Certificate Manager – CM) để thu thẻ chứng nhận cho máy Trong phương pháp này, máy tính phải yêu cầu riêng cho thẻ chứng nhận từ phía CA Dựa vào sách thẻ chứng nhận tổ chức mình, ta cần thực hai thao tác phân bổ sau: Để cấu hình CA CA gốc của doanh nghiệp, ta thực bước sau: Nếu cần, đưa máy đảm nhận vai trò CA trình điều khiển domain Cài đặt thành phần Windows Server 2003 Certificate Services CA gốc doanh nghiệp Để cấu hình domain Windows Server 2003 với chức cần thiết đó, ta tham khảo thêm phần "Configure automatic certificate allocation from an enterprise CA" phần trợ giúp Windows Server 2003 2.1.2 Triển khai hệ thống smart card Để có thêm khác tin việc triển khai hệ thống smart card Windows Server 2003, tham khảo thêm khác tin mục "Checklist: Deploying smart cards for logging on to Windows" phần trợ giúp Windows Server 2003 32 32 2.1.3 Triển khai thẻ chứng nhận người sử dụng Để triển khai hệ thống thể chứng nhận người sử dụng tổ chức mình, người sử dụng phải tự cài đặt thẻ chứgn nhận người sử dụng cách đưa yêu cầu thẻ chứng nhận người sử dụng Để có thêm khác tin, ta tham khảo mục “Submit a user certificate request via the Web” phần trợ giúp Windows Server 2003 2.2 Triển khai hạ tầng dịch vụ Internet Việc triển khai hạ tầng dịch vụ Internet cho liên kết VPN truy cập từ xa gồm có: Đặt VPN server vào hệ thống mạng bao quát Internet Cài đặt Windows Server 2003 VPN server cấu hình kết nối Internet Bổ sung ghi vào Internet DNS 2.2.1 Đặt VPN server vào hệ thống mạng bao quát Internet Ta phải định việc đặt VPN server vào việc bố trí firewall Internet Trong hầu hết trường hợp cấu hình khác thường, VPN server thường đặt sau firewall mạng bao quát nằm Internet mạng nội Nếu vậy, ta cần phải cấu hình lọc gói tin firewall phép truyền khác theo giao thức PPTP đến khỏi địa IP VPN server nằm mạng bao quát Ta có hình dung trực quan qua hình vẽ đây: 33 33 Hình 3: Mô hình VPN server hệ thống mạng bao quát Internet 2.2.2 Cài đặt Windows 2003 Server VPN server cấu hình kết nối Internet Cài đặt Windows 2003 Server VPN server cấu hình kết nối Internet mạng bao quát với card mạng nối với mạng cục qua card mạng khác Nếu không chạy dịch vụ Routing and Remote Access Server Setup Wizard, VPN server không chuyển tiếp gói tin Internet intranet Để có kết nối đến Internet mạng bao quát ta phải cấu hình giao thức TCP/IP với chỉ IP public, subnet mask gateway ngầm định firewall ISP router Không cấu hình liên kết với địa IP DNS server hay WINS server 2.2.3 Bổ sung ghi vào Internet DNS Để đảm bảo tên VPN server chuyển đổi thành địa IP nó, ta phải bổ sung ghi địa IP vào DNS server ISP ta phải bổ sung ghi DNS vào DNS server họ Hãy kiểm tra xem ten VPN server chuyển đổi thành địa IP public hay không kết nối vào Internet 34 34 2.3 Triển khai hạ tầng dịch vụ AAA Việc tiển khai hạ tầng dịch vụ AAA cho liên kết VPN truy cập từ xa gồm có: Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc Cấu hình IAS server trình điều khiển domain Cấu hình IAS server thữ cấp trình điều khiển domain khác 2.3.1 Cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc Để cấu hình dịch vụ Active Directory cho account người sử dụng hay nhóm làm việc, ta cần tiến hành công việc sau đây: Đảm bảo tất người sử dụng tạo kết nối từ xa có account tương ứng Đặt quyền truy cập từ xa cho account theo giá trị Allow access hay Deny access để quản lý hình thức truy nhập từ xa Ngoài ra, để quản lý truy cập theo nhóm, ta phải đặt quyền truy cập dối với account với giá trị Control access through Remote Access Policy Tổ chức việc người sử dụng truy cập từ xa vào nhóm chúng phù hợp để tận dụng sách truy cập từ xa dựa nhóm làm việc 2.3.2 Cấu hình IAS server trình điều khiển domain Để cấu hình IAS server trình điều khiển domain, ta cần làm bước sau: 35 35 Đối với trình điều khiển domain, cài đặt IAS thành phần tuỳ chọn Cấu hình máy IAS server để đọc thuộc tính account người sử dụng domain Nếu IAS server thực xác thực kết nối ứng với account domain khác, kiểm tra xem domain tin cậy theo hai chiều hay không ứng với domain mà IAS server nối vào Tiếp đến, cấu hình IAS server để đọc thuộc tính account domain khác Trong trường hợp domain chứa account tin cậy theo hai chiều ta phải xây dựng RADIUS proxy hai domain 2.3.3 Cấu hình IAS server thữ cấp trình điều khiển domain khác Để cấu hình IAS server thữ cấp trình điều khiển domain khác, ta cần phải thực bước sau: 36 Trên điều khiển domain lại, cài đặt IAS thành phần tuỳ chọn Cấu hình IAS server thứ cập để đọc thuộc tính account domain Nếu IAS server thứ cấp thực xác thực kết nối ứng với account domain khác, kiểm tra xem domain tin cậy theo hai chiều hay không ứng với domain mà IAS server nối vào Tiếp đến, cấu hình IAS server để đọc thuộc tính account domain khác Trong trường hợp domain chứa account tin cậy theo hai chiều ta phải xây dựng RADIUS proxy hai domain 36 2.4 Triển khai VPN Server Quá trình triển khai VPN server phục vụ liên kết VPN truy cập từ xa bao gồm công việc sau: Cấu hình kết nối VPN server với mạng nội Chạy trình Routing and Remote Access Server Setup Wizard 2.4.1 Cấu hình kết nối VPN server với mạng nội Với VPN server, ta phải cấu hình kết nối đến mạng nội với việc cấu hình TCP/IP thực trực tiếp với địa IP, subnet mask, DNS server, intranet WINS server Có điểm cần ý ta không phép cấu hình cho gateway ngầm định kết nối với mạng nội để ngăn xung đột tuyến truyền ngầm định tuyến truyền ngầm định nối đến Internet 2.4.2 Chạy trình Routing and Remote Access Server Setup Wizard Để chạy trình Routing and Remote Access Server Setup Wizard, ta cần làm bước sau: Chọn Start/Programs/Administrative Tools/Routing and Remote Access Nhấn chuột phải vào tên server sau chọn Configure and Enable Routing and Remote Access Trong mục Common Configurations, chọn Virtual Private Network (VPN) server chọn Next 37 37 Tron mục Remote Client Protocols, kiểm tra xem liệu toàn liệu sử dụng VPN client truy cập từ xa có tồn không Bổ sung giao thức liệu cần thiết sau chọn Next Trong mục Internet Connection, chọn liên kết ứng với kết nối đến Internet mạng bao quát, chọn Next Trong mục IP Address Assignment, chọn Automatic VPN server sử dụng DHCP để thu thập địa IP cho VPN client truy cập từ xa Hoặc, chọn từ dải địa tính Nếu có địa không nằm dải địa domain, ta phải bổ sung tuyến truyến đến VPN client tương ứng Khi việc gán địa cho VPN client hoàn tất, chọn Next Trong mục Managing Multiple Remote Access Servers, ta sử dụng RADIUS để xác thực cấp thẩm quyền chọn Yes, I want to use a RADIUS server, sau chọn Next Trong mục RADIUS Server Selection, cấu hình cho RADIUS server sơ cấp (bắt buộc) thứ cấp (tuỳ chọn) khác tin bí mật cần chia sẽ, sau chọn Next Chọn Finish Chạy trình dịch vụ Routing and Remote Access có yêu cầu Theo mặc định, có 128 cổng L2TP cấu hình thiết bị WAN Miniport Nếu ta cần thêm cổng L2TP, ta phải cấu hình cho thiết bị dựa thuộc tính đối tượng công lưu dịch vụ định tuyến truy cập tự xa Theo mặc định, có hai giao thức MS-CHAP MS-CHAPv2 cho phép hoạt động Nếu ta sử dụng smart card thẻ chứng nhận khác để thực xác thực, chọn mục Extensible Authentication Protocol (EAP) hộp thoại Authentication Methods Security tab thuộc tính VPN server lưu dịch vụ định tuyến truy cập từ xa 38 38 2.5 Hạ tầng hệ thống mạng Intranet Việc triển khai hạ tầng mạng intranet cho kết nối VPN truy cập từ xa bao gồm: Cấu hình cho việc định tuyến VPN server Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không Cấu hình việc định tuyến cho nhóm địa nằm dải subnet 2.5.1 Cấu hình cho việc định tuyến VPN server Để có VPN server chuyển tiếp gói tin đến địa điểm mạng cục Ta phải cấu hình chúng với tuyến truyền tính bao quát tất địa sử dụng mạng nội với giao thức định tuyến để VPN server đóng vai trò router động tự động bổ sung tuyến truyền từ subnet mạng nội bảng định tuyến 2.5.2 Kiểm tra việc chuyển đổi tên VPN server xem VPN server kết nối vào mạng nội tổ chức không Từ VPN server, kiểm tra xem VPN server chuyển đổi không kết nối đến tài nguyên mạng nội hay không lệnh Ping, Internet Explorer tạo liên kết đến ổ đĩa máy in server mạng nội 39 39 2.5.3 Cấu hình việc định tuyến cho nhóm địa nằm dải subnet Nếu ta cấu hình VPN server với địa nằm dải địa subnet, ta phải bổ sung tuyến truyền đại diện cho địa Ta đảm bảo điều việc thêm vào tuyến truyền tĩnh đến router kế cận với VPN server sau sử dụng giao thức định tuyến mạng nội để phát tuyến truyền đến router khác Ta phải gateway cho địa kết nối mạng nội VPN server 2.6 Triển khai VPN Client Việc triển khai cac VPN client gồm có: Trực tiếp cấu hình VPN client Cấu hình gói tin CM với trình CMAK 2.6.1 Trực tiếp cấu hình VPN client Nếu ta có lượng nhỏ VPN client, ta trực tiếp cấu hình kết nối VPN cho VPN client Đối với Windows XP VPN client, ta sử dụng Make New Connection Wizard để taọ liên kết mạng nội liên kết VPN gắn chúng với để kết nối khác qua kết nối VPN 2.6.2 Cấu hình gói tin CM với trình CMAK Đối với lượng lớn VPN client chạy nhiều phiên hệ điều hành Windows khác nhau, ta nên sử dụng CMAK để tạo phân phát gói tin CM tuỳ chọn đến người sử dụng 40 40 KẾT LUẬN o Các vấn đề đạt o Hạn chế o Chúng em cố gắng tìm hiểu kĩ nhất, nhiều thiếu xót Khắc phục 41 Các thành phần mạng VPN truy cập từ xa Tìm hiểu xây dựng cài đặt mạng VPN truy cập từ xa theo giao thức Tunneling L2TP Cần tìm hiểu kĩ giao thức, mô hình sử dụng, cách thức hoạt động mạng VPN truy cập từ xa 41 TÀI LIỆU THAM KHẢO [1] Giáo trình An toàn mạng riêng ảo – TS Đặng Vũ Sơn, ThS Hoàng Đức Thọ [2] Các tài liệu Microsoft trang Web www.microsoft.com [3] Tài liệu hướng dẫn phiên hệ điều hành Windows [4] Một số sách tham khảo VPN [5] Tài liệu Mạng Căn Bản 42 42 [...]... trong số chúng Một Windows 2003 VPN server hỗ trợ đồng thời PTP và L2TP Ta có thể sử dụng PPTP cho một liên kết VPN truy cập từ xa nào đó trên các máy không cài đặt Windows XP hoặc Windows 2000 và khụgn có các thẻ chứng nhận đã cài đặt sẵn Mặt khác, ta có thể sử dụng giao thức L2TP để thực hiện các kết nối VPN từ xa từ một máy VPN client chạy Windows XP hoặc Windows 2000 và đã cài đặt thẻ chứng nhận... và L2TP, ta có thể tạo ra các chính sách truy cập khác nhau, các chính sách này sẽ định ra các tham số kết nối khác nhau trong hai giao thức 1.2.5 VPN server Một VPN server là một máy tính chạy hệ điều hành Windows Server 2003, trên máy này có cài đặt dịch vụ định tuyến và truy cập từ xa Các công việc của VPN server gồm có: 18 Lắng nghe các yêu cầu kết nối của giao thức PPTP hoặc các thoả thuận về. .. phần trợ giúp trong Windows Server 2003 2.2 Triển khai hạ tầng dịch vụ Internet Việc triển khai hạ tầng dịch vụ Internet cho các liên kết VPN truy cập từ xa gồm có: Đặt các VPN server vào hệ thống mạng bao quát của Internet Cài đặt Windows Server 2003 trên các VPN server và cấu hình các kết nối Internet Bổ sung các bản ghi vào Internet DNS 2.2.1 Đặt các VPN server vào hệ thống mạng bao quát của... 1.2.4 Các giao thức VPN Windows Server 2003, Windows XP hỗ trợ hai giao thức VPN truy cập từ xa là: Point-to-Point Tunneling Protocol Layer Two Tunneling Protocol Sau đây, ta sẽ tìm hiểu hai giao thức này 1.2.4.1 Point-to-Point Tunneling Protocol Được công bố cùng Windows NT 4.0, PPTP cho phép thực hiện xác thực người sử dụng trong giao thức PPP và MPPE để đóng gói và mã hóa các gói tin truy n... được xác thực bởi VPN server Các máy thực hiện chuyển tiếp thông tin có cựng quyền truy cập như VPN client truy cập từ xa Để ngăn VPN server không gửi các gói tin thông qua các kết nối VPN đến cho các máy tính không phải là các VPN client đã được xác thực, ta phải thiết lập các chính sách truy cập từ xa trên các bộ lọc gói tin để lọc thông tin trên các liên kết VPN Bảng dưới đây cho ta các thông số thiết... 30 Chương 2: Xây dựng cài đặt mạng VPN truy cập từ xa theo giao thức Tunneling L2TP Quá trình triển khai một hệ thống truy cập từ xa L2TP trên Windows Server 2003 và Windows XP bao gồm những việc sau đây: Triển khai hạ tầng dịch vụ thẻ chứng nhận Triển khai hạ tầng dịch vụ Internet Triển khai hạ tầng dịch vụ AAA Triển khai VPN server Triển khai hạ tầng mạng nội bộ Triển khai VPN client 2.1... lập thành công một kết nối PPTP hay L2TP, theo mặc định thì tất cả các gói tin được gửi đi qua kết nối sẽ được VPN server nhận và chuyển tiếp Các gói tin được gửi qua kết nối này có thể là: Các gói tách xuất phát từ máy client truy cập từ xa Các gói tin được gửi đến cho client truy cập từ xa bởi các máy khác Khi một client truy cập từ xa tạo ra một kếtnối VPN, theo mặc định, nó tạo ra một tuyến truy n... Hình 3: Mô hình VPN server trong hệ thống mạng bao quát của Internet 2.2.2 Cài đặt Windows 2003 Server trên VPN server và cấu hình các kết nối Internet Cài đặt Windows 2003 Server trên các VPN server và cấu hình các kết nối Internet hoặc mạng bao quát với một card mạng và nối nó với mạng cục bộ qua một card mạng khác Nếu không chạy dịch vụ Routing and Remote Access Server Setup Wizard, VPN server sẽ không... mà VPN server được nối đến và giao thức định tuyến trên tất cả các kết nối khác Không được cài đặt các dịch vụ trên VPN server mà ta muốn truy cập từ Internet Việc truy n thông đến các dịch vụ nay được gữi dưới dạng text thường, nghĩa là không được mã hóa, các thông tin này sẽ bị VPN loại bỏ bởi các bộ lọc gói tin mà VPN server được trang bị Thay vào đó, ta nên cài các dịch vụ cần thiết để truy cập từ. .. không cho các gói tinh đươc truy n và nhận bởi VPN server 1.2.2.3 Các VPN server và cấu hình firewall Có hai phương thức sử dụng firewall để bảo vệ một VPN server: 14 VPN server được kết nối trực tiếp vào Internet và firewall nằm ở giữ VPN server và mạng Intranet của tổ chức Trong phương thức cấu hình này, VPN server phải được cấu hình với các bộ lọc gói tin Các bộ lọc này phải đảm bảo là chỉ cho phép