Tải bản đầy đủ (.doc) (3 trang)

Triển Khai Hệ Thống IPSecVPN - An Toàn Thông Tin Cho Remote User docx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (68.76 KB, 3 trang )

Triển Khai Hệ Thống IPSec/VPN
An Toàn Thông Tin Cho Remote User
Bảo mật thông tin là một vấn đề được rất nhiều người quan tâm, theo đánh giá của IDG
thì nhu cấu về các chuyên gia bảo mật sẽ bùng nổ trong năm 2006, vì vậy để nâng cao
khả năng nắm bắt cơ hội ngề nghiệp thì các bạn trẻ, sinh viên cần trang bị cho mình
những kiến thức tốt cho vấn đề bảo mật thông tin. Đặt biệt là lĩnh vực IPSec/VPN - một
trong những chủ đề thường được đề cập trong các cuộc phỏng vấn.
Hiện nay, phần lớn các công ty chưa có một hệ thống bảo mật chuyên nghiệp và chặt chẽ
cho tổ chức củamình, phần lớn là do điều kiện chi phí và chưa nhận thức rõ các mối nguy
hiểm từ các nhân tố bên ngòai như virus, haacker/attacker và cả những mối nguy hiểm
nội bộ như sniffer attacker Vì vậy hầu hết đều dừng lại ở việc trang bị cho mình các hệ
thống Anti Virus và xây dựng các bức tường lữa (firewall). Trong khi đó nhu cầu truy
cập và quản lý dữ liệu từ xa thông qua các kết nối remote access thường ít được quan tâm
và ứng dụng. Vì vậy trong chuyên mục hôm nay tôi sẽ trình bày một giải pháp đáp ứng
các nhu cầu chia sẽ dữ liệu, cập nhật thông tin và sử dụng/quản lý ứng dụng từ xa thông
qua kết nối VPN với cơ chế mã hóa dựa trên giao thức IPSec.
IPSEC/VPN LÀ GÌ – TẠI SAO CẦN CÓ IPSEC/VPN
1.VPN
VPN (virtual private network) là công nghệ xây dựng một hệ thống mạng riêng ảo nhằm
đáp ứng nhu cầu bảo mật trong việc chia sẽ thông tin và tiết kiệm chi phí. Thông thường,
để hổ trợ cho các nhân viên truy cập vào tài nguyên của tổ chức các doanh nghiệp thường
xây dựng các hệ thống Remote Access quay số dựa trên hệ thống điện thọai, điều này sẽ
làm cho chi phí dial-up tăng lên khi người dùng phải truy cập dữ liệu ở những vùng cách
xa nhau, vì vậy chúng ta nên triển khai hệ thống các VPN để giảm thiểu chi phí này và
nâng cao độ an tòan trong quá trình truy cập ứng dụng.
Ví dụ trong một công ty, quá trình truy cập giữa các nhân viên trong bộ phận kinh doanh
cần được bảo đảm an tòan, và các nhân viên của những phòng ban khác không có thẩm
quyền sẽ không được tương tác vào dữ liệu truyền của bộ phận kinh doanh. Hoặc chúng
ta muốn hổ trợ cho các nhânviên marketing, chuyên viên quản trị hệ thống có thể truy cập
vào tài nguyên chia sẽ Sale Reports để báo cáo kết quả họat động, truy cập vào máy tính
các nhân của mình trong văn phòng từ bên ngòai công ty hay ở nhà hoặc hổ trợ các


chuyên viên quản trị hệ thống quản lý dịch vụ DHCP/DNS và các máy chủ của công ty
Chúng ta có thể đáp ứng nhu cầu này thông qua việc xây dựng 1 hệ thống mạng riêng ảo
nhằm phục vụ các kết nối cho những trường hợp ứng dụng trên.
Có 2 dạng VPN là :
- REMOTE ACCESS VPN: đáp ứng các nhu cầu truy cập dữ liệu và ứng dụng cho
người dùng ở xa, bên ngòai công ty. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ
liệu hay các file server, check từ các mail
server nội bộ của công ty, tổ chức.
- SITE TO SITE VPN: trường hợp này áp dụng cho các tổ chức có nhiều văn phòng chi
nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia
có nhu cầu chia sẽ thông tin giữa các chi nhánh đặt tại Singapor và Việt Nam
Những giao thức được sử dụng trong môi trừờng VPN:
- PPTP
- L2TP
2.IPSEC
Như chúng ta biết để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyển
thông với nhau chúng phải sử dụng cùng một giao thức, giống như ngôn ngữ giao tiếp
trong thế giới con người và giao thức phổ biến hiện nay là TCP/IP. Tuy nhiên khi các gói
tin (packet) được truyền đi, mặc định chúng không hề được bảo vệ bởi bất cứ một cơ chế
nào chính vì vậy chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo đảm
an tòan cho đường truyền của mình.
Có nhiều giả pháp khác nhau để thực hiện vần đề này, chúng ta có thể sử dụng các
chương trình mã hóa và chúng thực để tiến hành mã hóa dữ liệu tại tầng ứng dụng, nhưng
điều này sẽ làm tăng chi phí và phải triển khai các chương trình mã hóa đầu cuối để thực
hiện việc mã hóa và giải mã. Trong khi đó chúng ta có thể sử dụng cơ chế mã hóa tại tầng
Network dựa trên IPSEC, đây là một giao thức họat động trên chồng giao thức TCP/IP
cho nên chúng ta có thể tiết kiệm nhiều chi phí trong quá trình triển khai và quá trình mã
hóa – giải mã cũng như chứng thực diễn ra hòan tòan trong sưốt đối với người dùng.
Có 2 chế độ sử dụng ipsec đó là:
- TUNNEL MODE

- TRANSPORT MODE
Và trong quá trìnhchứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một trong hai
hoặc cả 2 giao thức bảo mật sau đây:
- AH : Athentication Header, trong trường hợp này header của packet sẽ được mã hóa và
bảo vệ chặt chẽ phòng chống các trường hợp ip spoofing hay man in the midle attack, tuy
nhiên trong trường hợp này phần data payload không được bảo vệ
- ESP: Encapsulation Payload, khi áp dụng esp thì nội dung của dữ liệu (phần payload) sẽ
được mã hóa, ngăn chặn các trường hợp hacker/attacker đặtcác chương trình nghe lén và
chặn bắt dữ liệu trong quá trình truyền thông, nhằm đảm bảo tính riêng tư của dữ liệu. Vì
vậy trường hợp này rất hay được áp dụng, nhưng nếu muốn bảo vệ luốn cả phần header
của packet thì chúng ta phải kết hợp cả 2 giao thức AH và ESP.
3. Triển khai IPSEC/VPN trên hệ thống Windwos Server 2003 cho công ty Green Lizard
Books
a. step 1: Xây dựng hệ thống domain controler cho công ty
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)
b. step 2 : join srv-1 (vpn server) vào domain
(join_srv-1_server_to_domain.avi)
c. step 3 : cài đặt VPN server trên srv-1
(install_vpn_server_on_srv-1.avi)
d. step 4 : Thiết lập kết nối cho VPN Client Client-1 và conect đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)
e. step 5 : join VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
f. step 6 : Yêu cầu cấp phát Chúng chỉ điện tử (certificate) cho VPN Server và Client
dùng để chứng thực và mã hóa.
(request_certificate_for_vpn_server_and_client.avi )
g. step 7 : Thiết lập kết nối VPN dựa trên giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)

×