Tải bản đầy đủ (.pdf) (24 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

triển khai hệ thống ipsecvpn trên windows server 2003

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.21 MB, 24 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TPHCM
KHOA CÔNG NGHỆ THÔNG TIN II
  
BÁO CÁO ĐỒ ÁN MÔN HỌC
AN TOÀN MẠNG
Đề tài:
Giáo viên hướng dẫn: Thầy Lê Phúc
Nhóm thực hiện: Lê Thị Kim Anh 405170002
Nguyễn Thị Cẩm Tú 405170092
Nguyễn Thị Lan Phương 405170049
Thành Phố Hồ Chí Minh
 04– 2009 
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 1 -
MỤC LỤC
I. Tìm hiểu kỹ thuật về VPN - 2 -
1. Các đặc trưng của VPN - 2 -
2. Các giao thức dùng trong VPN - 4 -
II. Tìm hiểu cơ chế mã hóa IPSec - 6 -
1. Giới thiệu về IPSec - 6 -
2. Các chế độ làm việc - 6 -
a. Chế độ giao vận - 6 -
b. Chế độ đường hầm - 6 -
c. Chế độ kết hợp - 7 -
3. Sử dụng IPSec - 7 -
a. Mục đích khi dùng IPSec - 7 -
b. Ưu điểm khi dùng IPSec - 7 -
4. Triển khai IPSec - 9 -
a. Cách IPSec bảo mật lưu lượng - 9 -
b. IPSec Security Policy là gì? - 9 -
c. Các Policy IPSec làm việc với nhau như thế nào - 11 -


5. Triển khai IPSec với Certificates - 11 -
a. Giới thiệu Certificate - 11 -
b. Tại sao lại dùng Certificates với IPSec để bảo mật lưu lượng mạng - 12 -
III. Mô hình kết nối IPSec VPN - 13 -
1. Mô hình IPSec - 13 -
2. Mô hình GRE - 14 -
3. Mô hình Remote Access Client - 15 -
IV. Triển khai hệ thống IPSec/VPN trên windows server 2003 - 16 -
1. Mô hình triển khai - 16 -
2. Cài đặt trên máy chủ VPN - 17 -
a. Cài đặt DC - 17 -
b. Cài đặt IAS - 19 -
c. Cài đặt VPN - 20 -
3. Cài đặt cho máy IIS - 21 -
4. Cài đặt cho máy CLIENT - 22 -
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 2 -
I. Tìm hiểu kỹ thuật về VPN
1. Các đặc trưng của VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết
nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì
dùng kết nối phức tạp và tốn kém như đường dây thuê bao số, VPN tạo ra các liên kết ảo
được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở
xa.
Định đường hầm (tunneling) là một phần cốt yếu của VPN dùng cho việc đóng gói
một giao thức vào trong một giao thức khác. Trong VPN, định đường hầm che giấu giao thức
lớp mạng nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ
bọc IP (vỏ bọc IP này thực ra là một gói IP), sau đó sẽ được chuyển đi một cách bảo mật qua
mạng Internet.
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận này

thường định ra một giới hạn trên cho phép về độ trễ trung bình của gói trong mạng.
Khi nói đến VPN là người ta nghĩ ngay đến các thuật ngữ sau: hiệu quả, an toàn, bảo vệ
tính riêng tư của dữ liệu. Để đạt được những mục tiêu này thì khi thiết kết một VPN có hiệu
quả cao thì bắt buộc phải đảm bảo bốn đặc tính sau :
 Bảo mật dữ liệu (Data confidentiality): những tác nhân bất hợp pháp sẽ không hiểu
được nội dung của thông điệp.
 Toàn vẹn dữ liệu (Data integrity): đảm bảo nội dung của thông điệp không bị thay
đổi khi truyền từ nguồn đến đích.
 Không thể chối cãi (Sender non-repudiation): đảm bảo người gửi là hợp pháp khi
gửi đến người nhận.
 Xác thực thông điệp (Message authentication): đảo bảo rằng một thông điệp được
gửi từ một nguồn đã xác thực và đến một đích xác thực.
Dưới đây sẽ minh họa một số phương thức dùng để thể hiện các đặc trưng đã nêu
 Tính bảo mật được minh họa bằng hình sau đây :
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 3 -
Hình: Tính bảo mật
Bên gửi và bên nhận sẽ sử dụng một khóa chung để mã hóa và giải mã. Giả sử khóa
này đã được trao đổi một cách an toàn giữa bên gửi và bên nhận bằng thuật toán Diffie
Hellman.
 Tính toàn vẹn được minh họa bằng hình sau đây:
Hình: Tính toàn vẹn
Hàm băm được sử dụng để đảm bảo tính toàn vẹn của dữ liệu.
 Tính xác thực và không thể chối cãi được minh họa bằng hình sau đây:
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 4 -
Hình: Tính xác thực và không thể chối cãi được
Chữ kí số cung cấp một phương thức giúp bên nhận xác thực được thông điệp và tính
không thể chối cãi của bên gửi.
2. Các giao thức dùng trong VPN

Có 4 giao thức chính dùng để xây dựng VPN.
Giao thức định đường hầm điểm – điểm: PPTP (Point-to-Point Tunneling Protocol)
là giao thức định đường hầm phổ biến nhất hiện nay, nó sử dụng cách mã hóa sẵn có của
Windows, xác thực người dùng và là cơ sở để cấu hình giao thức điểm – điểm PPP (Point-to-
Point Protocol).
Giao thức bảo mật IP – IPSec :Giao thức này sử dụng trong việc mã hóa. IPSec có
thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật
tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở là các máy tính mà không
phải là các người dùng. IPSec được cung cấp như một phần của hệ điều hành Windows NT
4.0, Windows 2000, Windows Server 2003.
Giao thức định đường hầm lớp 2 – L2TP: Giao thức này sử dụng kỹ thuật khóa
công cộng (public key) để thực hiện việc xác thực người dùng. L2TP thực hiện trong môi
trường đa dạng hơn PPTP, và nó không thể thực hiện việc mã hóa.
Giao thức chuyển tiếp lớp 2 – L2F: Là cơ sở để xây dựng L2TP.
Sau đây là bảng so sánh giữa các giao thức:
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 5 -
Tên
Ưu điểm
Nhược điểm
Sử dụng
IPSec
+ Hoạt động độc lập với
các ứng dụng mức cao.
+ Cho phép che giấu địa
chỉ mạng mà không cần
dùng NAT.
+ Đáp ứng phát triển các
kỹ thuật mã hóa.
+ Hỗ trợ hạn chế trong

các sản phẩm.
+ Ít hỗ trợ giao diện (vì
đây là phần nền bên dưới
ở lớp mạng).
+ Sử dụng tốt cho việc truy cập
từ xa bằng quay số (dial-up).
PPTP
+ Cung cấp cho đầu
cuối-đầu cuối và định
đường hầm nút-nút.
+ Sử dụng những miền
người dùng Windows có
sẵn cho việc xác thực.
+ Sử dụng RSA RC-4.
+ Client có thể đặt phía
sau NAT Router.
+ Không cung cấp mã
hóa dữ liệu từ những máy
chủ truy cập từ xa.
+ Mang tính độc quyền
lớn, yêu cầu một máy
chủ WinNT để kết thúc
đường hầm.
+ Chỉ sử dụng mã hóa
bằng RSA RC-4.
+ Dùng tại các máy chủ truy
cập từ xa cho định đường hầm
proxy.
+ Có thể dùng cho máy để bàn
Win9x hay máy trạm dùng

WinNT.
+ PPTP có thể sử dụng cho
Remote Access hay Site-to-
Site VPN.
L2F
+ Cho phép định đường
hầm đa giao thức.
+ Được cung cấp bởi
nhiều nhà cung cấp.
+ Không có mã hóa.
+ Yếu trong việc xác
thực người dùng.
+ Không có điều khiển
luồng cho đường hầm.
+ Dùng cho truy cập từ xa tại
POP.
L2TP
+ Kết hợp PPTP và L2F.
+ Sử dụng IPSec cho
việc mã hóa.
+ Chưa được cung cấp
trong nhiều sản phẩm.
+ Không bảo mật ở
những đoạn cuối.
+ Dùng cho truy cập từ xa tại
POP.
Hình: Bảng so sánh giữa các giao thức
Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload
(ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho phép
chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy tính

thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel
có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec
các VPN Client không thể đặt phía sau NAT Router. Trong trường hợp này chúng ta cần phải
có VPN Server và VPN Client hỗ trợ IPSec NAT-T.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 6 -
I. Tìm hiểu cơ chế mã hóa IPSec
1. Giới thiệu về IPSec
Để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông được với
nhau ta cần phải sử dụng cùng một giao thức và giao thức được sử dụng phổ biến nhất hiện
nay là TCP/IP. Dữ liệu được truyền đi cần phải được bảo mật theo nhu cầu của người dùng
nên các cơ chế mã hóa và chứng thực cần được áp dụng. Có nhiều giải pháp được đưa ra,
trong đó IPSec được phát triển bởi IETF, hoạt động trên giao thức TCP/IP tỏ ra hiệu quả mà
lại tiết kiệm được nhiều chi phí.
IPSec đã được triển khai rộng rãi để thực thi VPN. Các dịch vụ của IPSec nằm trên
lớp mạng của chồng giao thức. Trong quá trình thực hiện mã hóa, IPSec có thể dùng nhiều
dạng thức khác nhau. Các dạng thức này sẽ được trình bày cụ thể ở phần sau. IPSec có những
phương pháp mã hóa như DES, 3DES, AES và các phương pháp xác thực như HMAC,
MD5, SHA-1. Thấy rằng, tất cả các gói tin mã hóa trong IPSec đều là khóa đối xứng.
2. Các chế độ làm việc
Có hai chế độ làm việc trong IPSec.
- Chế độ giao vận (transport): chỉ có phần thuộc lớp giao vận trong gói tin được xử lý.
- Chế độ đường hầm (tunnel): toàn bộ gói tin được xử lý.
a. Chế độ giao vận
Hình: Các trường hợp của chế độ giao vận
Chế độ giao vận được sử dụng cho cả cổng nối và host, cung cấp cơ chế bảo mật
cho các giao thức lớp trên. Trong chế độ này, AH được chèn vào sau tiêu đề IP và trước các
giao thức lớp trên (TCP/ UDP, ICMP,…)
b. Chế độ đường hầm
Hình: Các trường hợp của chế độ đường hầm

Trong chế độ đường hầm, tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích, trong khi
bộ xuất tiêu đề IP chứa các địa chỉ IP khác (ví dụ địa chỉ của cổng nối). AH bảo mật toàn bộ
gói IP bao gồm cả bộ nhập tiêu đề IP.
Bởi vì AH chỉ bảo mật chống lại việc thay đổi nội dung dữ liệu nên cần phải có
phương tiện khác để bảo đảm tính riêng tư của dữ liệu. Trong chế độ đường hầm, điều này
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 7 -
được thực hiện bằng cách mở rộng bảo mật cho nội dung của tiêu đề IP, đặc biệt là địa chỉ
nguồn và đích. Mặc dù trong chế độ đường hầm, ESP bảo mật được nội dung của dữ liệu
(chống lại nghe trộm) nhưng không bảo mật được toàn bộ lưu lượng. Một cuộc tấn công tinh
vi có thể đọc được địa chỉ nguồn và đích sau đó phân tích lưu lượng để biết được phương
thức truyền thông.
Chế độ đường hầm ESP cung cấp thêm các cơ chế bảo mật bằng cách mã hóa
toàn bộ gói. Sau khi toàn bộ nội dung dữ liệu đã được mã hóa, chế độ đường hầm ESP sẽ tạo
ra một tiêu đề mới để định tuyến cho các gói dữ liệu từ phía máy gởi đến máy nhận
c. Chế độ kết hợp
Hình: Các trường hợp của chế độ kết hợp.
Để có thể kết hợp cả AH và ESP trong chế độ đường hầm hay chế độ giao vận,
IPSec cần phải hỗ trợ cho sự kết hợp hai chế độ đường hầm và giao vận. Điều này được thực
hiện bằng cách sử dụng chế độ đường hầm để mã hóa và xác thực các gói và tiêu đề của nó
rồi gắn vào AH hoặc ESP hoặc dùng cả hai trong chế độ giao vận để bảo mật cho tiêu đề
mới được tạo ra.
Cần chú ý là AH và ESP không thể được sử dụng chung trong chế độ đường hầm.
Lý do là ESP đã có riêng tùy chọn xác thực, tùy chọn này nên sử dụng trong chế độ đường
hầm khi các gói cần phải mã hóa và xác thực.
3. Sử dụng IPSec
a. Mục đích khi dùng IPSec
IPSec được dùng để bảo mật dữ liệu khi truyền trên mạng. Người quản trị thiết lập
chuỗi chính sách được gọi là IPSec Policy. Những chính sách này bao gồm bộ lọc chỉ rõ loại
lưu lượng nào đòi hỏi phải mã hóa, chứ kí số hoặc cả hai. Sau đó mỗi gói máy tính gửi đi

được ấn định để tự nhận thấy liệu có phù hợp với điều kiện của chính sách. Tiến trình này
trong suốt với người dùng và các ứng dụng bắt đầu truyền dữ liệu. Do IPSec được đóng trong
gói IP chuẩn nên nó có thể truyền trên mạng mà không đòi hỏi cấu hình đặc biệt trên thiết bị
giữa hai host. IPSec không thể mã hóa một số loại lưu lượng chẳng hạn broadcast, multicast
và gói giao thức Kerberos.
b. Ưu điểm khi dùng IPSec
 Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao thức
lớp 3 của mô hình OSI và cao hơn
 IPSec cung cấp:
o Xác thực lẫn nhau trước và trong quá trình trao đổi
o Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của
gói. IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa dựa
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 8 -
trên một hoặc một vài thuật toán nào đó và AH (Authentication Header) – xác
thực lưu lượng nhưng không mã hóa nó.
o Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP
và AH đều dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã
được thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy.
o Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được
capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được
sắp xếp theo thứ tự để chắc chắc rằng kẻ tấn công không thể dùng lại hay gửi
lại dữ liệu đã được capture để thiết lập phiên làm việc hoặc thu thập thông tin
bất hợp pháp. Dùng số tuần tự cũng để bảo vệ tấn công công bằng cách chặn
message và sau đó dùng message y hệt để truy nhập bất hợp pháp vào tài
nguyên, có thể là vài tháng sau đó.
Ví dụ: Bởi vì việc capture lại thông tin mật có thể làm hại đến sự thành công của một
tổ chức, nên một tổ chức cần phải thiết lập một mạng riêng đáng tin cậy bảo mật các thông
tin nhạy cảm chẳng hạn dữ liệu về sản phẩm, báo cáo tài chính và kết hoạch marketing. Bạn
có thể dùng IPSec để chắc chắn rằng sự liên lạc đó được riêng tư và bảo mật trên network,

intranet hoặc extranet bao gồm liên lạc workstation – to – server và server – to – server.
Chẳng hạn, bạn có thể ấn định chính sách IPSec cho máy kết nối với server, máy nắm giữ
các thông tin nhạy cảm có thể làm mục tiêu của kẻ tấn công nào đó chẳng hạn tài nguyên về
nhân sự và tài chính hoặc dữ liệu về kế hoạch chiến lược. Chính sách IPSec bảo vệ dữ liệu
của bạn khỏi tấn công từ bên ngoài, giữ cho nó được bảo mật và toàn vẹn.
Hình dưới là một ví dụ về ứng dụng Internet VPN. Có 3 nơi trang bị phần mềm IPSec
là: cổng nối bảo mật, client di động và các host. Tuy nhiên không phải tất cả các thiết bị đều
yêu cầu cài đặt phần mềm IPSec mà tùy theo yêu cầu thiết kế mạng. Ví dụ, nếu cần tạo kết
nối LAN-LAN VPN thì chỉ cần cổng nối bảo mật IPSec là đủ. Nếu cần cho các trạm làm
việc từ xa quay số truy cập vào mạng thông qua các ISP thì phần mềm client IPSec cần được
cài trên các máy tính của đối tượng di động. Nếu muốn tạo một VPN mà tất cả các máy tính
có thể liên lạc lẫn nhau thông qua giao thức IPSec thì cần phải cài đặt phần mềm IPSec trên
tất cả các máy tính giao thức.
Hình: Các trạm thành phần của một Internet VPN
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 9 -
4. Triển khai IPSec
a. Cách IPSec bảo mật lưu lượng
Cấu hình IPSec được thiết lập thông qua policy trên máy cục bộ hoặc policy nhóm
trong Active Directory directory service:
 IPSec policies được cung cấp cho tất cả máy tính: Policy quy định cho bộ phận
điều khiển IPSec cách chạy và định nghĩa Security Association mà có thể được
thiết lập. Security asscociation chi phối giao thức mã hóa nào được sử dụng cho
loại lưu lượng nào và phương thức xác thực nào được thiết lập.
 Security Association được thiết lập: Phần Internet Key Exchange (IKE) thiết lập
Security Association. IKE kết hợp giữa hai giao thức: Internet Security
Association và Key Management (ISAKMP) và Oakley Key Determination. Nếu
một máy client đòi hỏi certificate để xác thực và một client khác đòi hỏi giao thức
Kerberos, IKE sẽ không thể thiết lập security association (sự kết hợp bảo mật)
giữa hai máy. Nếu bạn nhìn thấy gói trong Network Monitor thì bạn sẽ thấy gói

ISAKMP nhưng bạn cũng sẽ không thấy bất cứ gói AH hay ESP theo sau.
 Gói IP được mã hóa: Sau khi security association được thiết lập thì bộ điều khiển
IPSec giám sát toàn bộ lưu lượng IP, so sánh lưu lượng với bộ lọc được định
nghĩa
b. IPSec Security Policy là gì?
 Định nghĩa
IPSec security policy bao gồm một hoặc nhiều quy luật quyết định cách hoạt
động của IPSec
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 10 -
 IPSec Security policy rules
Bạn triển khai IPSec bằng cách thiết lập policy. Mỗi policy có thể chứa đựng một
vài quy luật nhưng bạn chỉ có thể xác nhận một policy riêng lẻ tại một thời điểm bất kì trên
một máy. Bạn phải phối hợp tất cả quy luật được yêu cầu thành một chính sách đơn. Mỗi quy
luật bao gồm:
 Bộ lọc: Bộ lọc quy định cho policy biết loại lưu lượng nào để áp dụng cho
filter action. Chẳng hạn, bạn có thể có bộ lọc nhận dạng chỉ lưu lượng giao
thức HTTP hoặc lưu lượng FTP.
 Filter action: Filter action quyết định cho chính sách phải làm gì nếu lưu lượng
thỏa bộ lọc. Chẳng hạn, bạn có thể báo cho IPSec chặn đứng tất cả lưu lượng
FTP nhưng đòi hỏi mã hóa tất cả lưu lượng HTTP. Filter action cũng có thể
chỉ rõ thuật toán mã hóa và băm mà policy nên dùng.
 Phương pháp xác thực: Có 3 phương pháp có thể xác thực: certificates, giao
thức Kerberos và Preshared key. Mỗi rule có thể chỉ rõ nhiều phương pháp xác
thực.
 Policy mặc định
Ở Window 2000 hoặc sau đó, có 3 policy được cấu hình mặc định:
 Client (Respond only): Nếu máy tính yêu cầu client dùng IPSec thì nó sẽ đáp
ứng với IPSec. Policy Client (Respond Only) sẽ không khởi tạo IPSec trên
chính nó. Policy này có 1 rule được gọi là Default Response rule. Rule này

cho phép host đáp ứng đòi hỏi ESP cũng như cả host trong Active Directory
domains tin cậy. ESP là chế độ IPSec cung cấp sự tin cậy cộng với xác thực,
toàn vẹn và chống truyền lại.
 Server (Request Security): Bạn có thể dùng chính sách này trên cả server và
client. Chính sách này luôn cố gắng dùng IPSec nhưng có thể trở lại quá trình
liên lạc không bảo mật nếu client không được cấu hình với IPSec policy.
Chính sách Response Security có 3 rule. Rule thứ nhất là Default Response đã
được mô tả. Rule thứ hai cho phép lưu lượng ICMP. ICMP là giao thức duy trì
trong TCP/IP, thông báo lỗi và cho phép kết nối đơn giản. Lệnh ping dùng
ICMP để thực hiện việc gỡ rối TCP/IP. Mặc dù ICMP là tiện ích chuẩn đoán
tốt nhưng bạn có thể muốn vô hiệu hóa nó trong mạng bảo mật cao vì có một
vài đợt tấn công chống dựa trên ICMP. Rule thứ 3 đòi hỏi ESP cho tất cả lưu
lượng IP.
 Secure Server (Require Security): Bạn có thể sử dụng chính sách này trên cả
server và client. Nếu chính sách này được gán thì máy tính có thể chỉ liên lạc
trên IPSec và sẽ không bao giờ trở lại chế độ liên lạc không bảo mật. Policy
này cũng có 3 rule. Hai rule đầu là Default Response và Permit ICMP thì đã
được nói ở trên. Sự khác nhau trong policy Secure Server (Require Security)
là tất cả lưu lượng phải được mã hóa với ESP nếu không server sẽ không liên
lạc với nó. Rule ICMP ghi đè rule để đòi hỏi bảo mật cho tất cả lưu lượng IP
khác
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 11 -
c. Các Policy IPSec làm việc với nhau như thế nào
No policy
assigned
Client (Respond
Only)
Server (Request
Security)

Secure Server
(Require
Security)
No policy
assigned
No IPSec
No IPSec
No IPSec
No
communication
Client (Respond
Only)
No IPSec
No IPSec
IPSec
IPSec
Server (Request
Security)
No IPSec
IPSec
IPSec
IPSec
Secure Server
(Require
Security)
No
communication
IPSec
IPSec
IPSec

 Thỏa thuận sự kết hợp bảo mật
Bạn đừng bao giờ so sánh các policy một cách riêng lẻ. Các máy tính có thỏa
thuận kế thợp bảo mật phải có policy bổ sung. Bảng trên chỉ ra các tác động khi các policy
mặc định làm việc với nhau. Nếu hai host có thể thỏa thuận kết hợp bảo mật tương thích với
n hau thì liên lạc có thể được thực hiện bằng cách dùng IPSec. Nếu hai host có các policy
không tương thích với nhau thì có thể chúng sẽ trở lại dạng liên lạc không bảo mật hoặc
không thể liên lạc với nhau.
 Ví dụ về cách thức các policy làm việc với nhau
Bảng trên chỉ áp dụng cho các policy mặc định với các rule mặc định. Nếu bạn áp
policy với rule là máy A request ESP cho HTTP và máy B require AH cho HTTP thì sau đó
hai mấy đó sẽ không thể thỏa thuận được sự kết hợp bảo mật.
Xác thực Kerberos là thiết lập mặc định cho tất cả các policy mặc định. Giao thức
Kerberos làm việc với máy tính trong hệ thống Active Directory nhưng nếu một máy không
là thành viên trong hệ thống đó thì các máy tính khác không thể thỏa thuận xác thực. Nếu
máy B được thay đổi để sử dụng chỉ certificate cho xác thực lưu lượng IP thì không thể thiết
lập kết hợp bảo mật. Có thể cấu hình lại cho máy B yêu cầu giao thức Kerberos hoặc
certificates. Khi thỏa phương pháp xác thực thì xác thực có thể được thực hiện.
Nếu bạn thiết lập policy Secure Server (Require Security) thì máy tính đó sẽ
không thể liên lạc với bất kì máy nào không cài đặt IPSec. Chẳng hạn, máy tính cần truy cập
server chạy Microsoft SQL Server không có IPSec thì hệ thống sẽ bị fail. Nếu bạn thiết lập
policy Server (Request Security) thì máy tính sẽ quay về liên lạc không bảo mật với bất cứ
máy tính nào không có policy. Policy IPSec sẽ được thiết lập để bảo mật lưu lượng cần được
bảo mật khi cho phép thực hiện các liên lạc cơ bản.
5. Triển khai IPSec với Certificates
a. Giới thiệu Certificate
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 12 -
 Định nghĩa
 Một certificate X.509 – certificate số là một giấy ủy nhiệm điện tử thường
được sử dụng cho việc xác thực và bảo mật trao đổi thông tin trên hệ thống

mạng mở chẳng hạn Internet, Extranets và Intranets.
 Một certificate nối kết một public key với thực thể nắm giữ private key tương
ứng. Chẳng hạn, bạn có thể mã hóa dữ liệu cho người nhận với public key của
họ và chắc chắn rằng chỉ người nhận có private key dùng để giải mã dữ liệu.
 Người cung cấp certificate được gọi là Certification Authority (CA).
Certificate được cung cấp cho người dùng, máy tính hoặc một dịch vụ chẳng
hạn IPSec.
 Lợi ích của certificate
Một trong những lợi ích chính của certificate là host sẽ không còn duy trì một tập
password cho đối tượng riêng tư cần được xác thực như một điều kiện cho phép truy cập.
Điều đó thay cho việc host chỉ đơn thuần thiết lập sự tin cậy trong một CA cung cấp
certificate.
b. Tại sao lại dùng Certificates với IPSec để bảo mật lưu lượng mạng
Bảng sau miêu tả một vài trường bạn có thể dùng certificate
Sử dụng certificate
Miêu tả
Chữ kí số
Dùng public key trong certificate để xác nhận
rằng dữ liệu đã được mật hiệu với private key
tương ứng
Encrypting File System (EFS)
Dùng public key trong certificate để mã hóa
tập tin khóa mã hóa
Xác thực Internet
Giúp web client nhận dạng web server. Web
server cũng có thể dùng certificate để kiểm
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 13 -
tra web client
IP Security

Xác thực máy tính và mã hóa dữ liệu khi nó
được truyền trên mạng
Bảo mật e-mail
Mã hóa và giải mã e-mail
Software code signing
Verifies the identity of a software publisher
 Mục đích
Dùng certifiacate từ một CA đáng tin cậy được xem như phương pháp xác thực
giữa hai host IPSec cho phép các doanh nghiệp liên lạc với nhau. Bạn cũng có thể dùng
certificate để enable Windows Routing and Remote Access service để giao tiếp bảo mật trên
Internet với router lớp 3 hỗ trợ IPSec. Tuy nhiên, vì certificate phức tạp hơn cả preshared
keys hoặc giao thức Kerberos nên chúng đòi hỏi nhiều về việc thiết lập của admin. Certificate
chỉ là một thành phần của giải pháp PKI. Mặc dù PKI đòi hỏi tài nguyên quản lý và lập kế
hoạch nên
 Giao thức Kerberos và preshared keys
Hai phương pháp khác cho việc xác thực giữa hai host dùng IPSec là:
 Giao thức Kerberos: đối với lưu lượng giữa các máy tình trong cùng một hệ
thống domain thì việc dùng giao thức Kerberos mặc định là phương pháp xác
thực đơn giản nhất cho IPSec và không đòi hỏi bất cứ cấu hình nào. Giao thức
Kerberos là một thành phần cả Active Directory vì thế nó cũng là thành phần
của cấu trúc enterprise domain. Tuy nhiên, đối với các client không hỗ trợ giao
thức Kerberos hoặc các client không là thành phần của kiến trúc Active
Directory thì sử dụng preshared key hoặc X.509 certificate
 Preshared keys: preshared key là chuỗi kí tự dài ngẫu nhiên được dùng làm
password giữa hai host IPSec. Preshared keys không bảo mật như giao thức
Kerberos hoặc certificate vì nó được cất trong đoạn clear text ở policy IPSec.
Nếu người tấn công giành được quyền truy cập của admin vào policy thì sẽ
thấy được preshared key. Preshared key cũng không được dùng tốt cho cấu
hình nhiều máy.
II.Mô hình kết nối IPSec VPN

1. Mô hình IPSec
Mô hình kết nối đơn giản nhất đạt được bằng cách tạo ra một IPSec VPN giữa hai
site, thường được gọi là kết nối site-to-site, sử dụng mô hình IPSec. Các vị trí có thể được kết
nối thông qua mạng IP riêng như mạng Frame Relay hay ATM chạy IP sử dụng chế độ giao
vận (transport mode) hay thông qua mạng Internet công cộng sử dụng chế độ đường hầm
(tunnel mode).
Mã hóa IPSec được áp dụng sau khi một gói dữ liệu clear text được nhận, quyết định
định tuyến được đưa ra, và một giao diện được chọn làm đường truyền ra (egress
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 14 -
transmission). Chính sách IPSec được áp dụng cho giao diện đường ra (egress interface), nơi
mà tiến trình mã hóa là một trong những hàm cuối cùng được gọi vào lúc trước khi truyền
gói. Một cách tương tự, các gói mã hóa được nhận vào từ giao diện có áp dụng chính sách
IPSec được giải mã trước khi hoàn tất quyết định định tuyến và chuyển tiếp. Ở đây, điểm
mấu chốt là chính sách IPSec kết hợp với giao diện đường ra (egress interface) cho việc mã
hóa gói tin và giao điện đường vào (ingress interface) cho việc giải mã gói tin. Thông thường,
giao diện đường ra và giao diện đường vào là một và như nhau; vì vậy, chính sách IPSec nhất
quán cho cả hai luồng theo hai hướng truyền tin.
Nếu các cổng (gateway) IPSec có nhiều giao diện đường ra, chính sách định tuyến
trên các điểm cuối sẽ đảm bảo rằng giao diện được sử dụng cho lưu lượng vào và ra giống
với giao diện mà tại đó chính sách IPSec được áp dụng.
Mô hình IPSec là mô hình khái niệm tương đối đơn giản và dễ hiểu. Nó bảo vệ lưu
lượng unicast từ một subnet đến một subnet khác. Nhìn chung, mô hình IPSec ít thông dụng
nhất vì viễn cảnh về tiềm năng của các nút mạng IPSec và khả năng thiết lập kết nối giữa các
site. Dù mô hình bảo vệ đơn giản về khái niệm nhưng cấu hình của nó có thể khá phức tạp
đối với các mạng VPN lớn. Đòi hỏi phải cấu hình một cách rõ ràng một profile bảo vệ cho
lưu lượng giữa mọi mạng con. Việc thêm vào một mạng con trong VPN có thể đòi hỏi các
cập nhật cấu hình cho tất cả các cổng (gateway) VPN khác trong mạng. Các nhà thiết kế
mạng phải cấp phát cẩn thận các khổi địa chỉ IP tại mỗi site để tối thiểu hóa phần cấu hình
của profile ủy nhiệm IPSec riêng biệt. Trong một số trường hợp, những nhà quy hoạch mạng

có thể có điều khiển thông qua các phương thức cấp phát địa chỉ, phương thức này có thể cấp
phát với địa chỉ mạng con không hiệu quả. Một mạng có kiến trúc tồi sử dụng mô hình IPSec
cơ bản sẽ trở nên khó kiểm soát. Vì vậy, cần phải phân tách việc cấp phát địa chỉ mạng con từ
các định nghĩa chính sách IPSec để đơn giản hóa việc lưu trữ.
Một điều bất lợi khác của mô hình IPSec là thiếu hỗ trợ cho địa chỉ IP multicast, như
các RFC IPSec nguyên bản đã không cung cấp multicast trong các statement ủy nhiệm IPSec.
Nhiều giao thức định tuyến động IGP (như OSPF, EIGRP và RIP) sử dụng IP multicast để
thiết lập các quan hệ láng giềng. Phần lớn các enterprise dựa vào các giao thức Interior
Gateway Protocol (IGP) để dò tìm tự động các con đường tối ưu thông qua VPN. Mô hình
IPSec làm giảm giá trị của IGP, tạo ra các statement ủy nhiệm hành xử như là các đường định
tuyến tĩnh.
2. Mô hình GRE
Có những hạn chế trong việc hỗ trợ định tuyến động và IP multicast khi sử dụng mô
hình IPSec kết nối site-to-site. Một cách để vượt qua những hạn chế này là sử dụng đường
hầm GRE (generic route encapsulation) của lưu lượng site-to-site được bảo vệ bởi IPSec. Một
ưu điểm đáng kể của mô hình GRE này là nó đơn giản hóa cấu hình cho kết nối VPN site-to-
site. Trong mô hình GRE, tất cả lưu lượng giữa các site đều qua đường hầm GRE được bảo
vệ bởi IPSec. Vì vậy, các profile IPSec trong mô hình này được áp dụng cho các gói tin bắt
nguồn và kết thúc tại giao diện đường hầm GRE. Một VPN được xây dựng với sự bảo vệ của
GRE và IPSec có thể được chia thành 4 chức năng cơ bản sau:
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 15 -
 Tạo ra đường hầm GRE.
 Bảo vệ đường hầm GRE với IPSec.
 Cung cấp kết nối IP giữa các điểm cuối đường hầm GRE và IPSec (định tuyến ngoài
VPN).
 Cung cấp một đường định tuyến cho các hệ thống cuối thông qua các đường hầm
GRE (định tuyến bên trong VPN)
Sự kết hợp của đường hầm GRE và IPSec tách các yêu cầu định tuyến động và luồng
lưu lượng subnet-to-subnet ra khỏi chính sách bảo vệ của IPSec. Sự bảo vệ IPSec được đơn

giản hóa bởi các đặc tính ưu việt của việc một profile ủy quyền IPSec có thể được định nghĩa
cho đường hầm GRE mà đường hầm này tải tất cả các luồng lưu lượng giữa hai cổng VPN,
bất chấp loại lưu lượng, nguồn hay đích. Tuy nhiên, sự thỏa hiệp với việc sử dụng mô hình
GRE đòi hỏi hai mức định tuyến:
 Mức định tuyến giữa các cổng VPN định tuyến các gói tin trong đường hầm được mã
hóa.
 Mức định tuyên khác giữa các cổng VPN thông qua đường hầm cung cấp các đường
định tuyến giữa các mạng con người sử dụng đầu cuối.
Vì vậy, mô hình GRE tối thiểu hóa các yêu cầu cung cấp IPSec trong khi tạo ra một
đường hầm phủ lên mạng mà làm phức tạp việc quản trị.
3. Mô hình Remote Access Client
Nhu cầu của việc mã hóa lưu lượng giữa các client (như máy tính, PDA…) và các
cổng VPN đặt ra các thách thức khác nhau. Mô hình RAC (Remote Access Client) đòi hỏi rất
nhiều năng lực khác nhau để cung cấp việc gán địa chỉ cho các host động, thiếu điều khiển
cấu hình, và các kết nối tạm thời. Cả hai mô hình IPSec và GRE hoạt động rất hiệu quả đối
với kết nối site-to-site, kết nối mà tất cả các địa chỉ IP điểm cuối được biết và cấu hình trước
trong các site. Tuy nhiên, cả hai mô hình này sẽ không hoạt động đối với một nhân viên, phải
thường xuyên di chuyển, khi cố gắng kết nối đến mạng VPN của công ty (kết nối IPSec) nếu
như không biết địa chỉ IP. Vì vậy, cần phải có một giải pháp hiệu quả và linh động cho phép
các client truy nhập từ xa đến mạng VPN của công ty. Việc sử dụng các đặc tính ưu việt của
IPSec, mô hình RAC cho phép client sử dụng địa chỉ IP được gán động. Nó cũng có thể cho
phép các nhà cung cấp mạng (network provisioning staff) định nghĩa các chính sách cho
client để đơn giản hóa các hoạt động quản trị mạng. Cả mô hình IPSec và GRE đều không
cung cấp khả năng này. Cần có một cách thức mới để trao đổi những thông tin về khả năng
và thuộc tính trong suốt quá trình thiết lập kết nối IPSec. Có thể thực hiện việc trao đổi các
thông tin về khả năng và thuộc tính bằng cách mở rộng IKE. Tiến trình cấu hình chế độ IKE
gán các thuộc tính kết nối cho client, giả sử rằng nó là host đơn. Các thuộc tính thường được
gán bao gồm:
 Địa chỉ IP private
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc

Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 16 -
 Server DNS private
 Server WINS private
 Tên domain private
Địa chỉ IP private được gán thường lấy từ một khối phạm vi các địa chỉ (address pool)
được cấu hình trên hub. Sau đó, một IPSec proxy được tạo ra để bảo vệ lưu lượng từ địa chỉ
private được gán đến một dãy các địa chỉ được bảo vệ bởi hub. Hub quảng bá khối phạm vi
địa chỉ cho các thiết bị mạng, ví dụ như đường khứ hồi được cung cấp cho client. Thông
thường client gửi tất cả lưu lượng cho hub khi việc chia đường hầm không được cho phép.
Mô hình RAC rõ ràng đơn giản hóa quá trình cung cấp bằng cách tự động phân bố
chính sách cho các client sử dụng cấu hình chế độ IKE. Các chính sách bảo vệ có thể được
định nghĩa và quản lý ở trung tâm để người điều khiển mạng không phải cấu hình cho mỗi
điểm cuối đầu xa. Có hai nhược điểm đối với mô hình này. Một là, các kết nối IPSec chỉ có
thể được khởi tạo từ client đến server. Hai là, kết nối sử dụng một statement ủy nhiệm IPSec
không hỗ trợ multicast.
III. Triển khai hệ thống IPSec/VPN trên windows server 2003
1. Mô hình triển khai
Hình: Mô hình triển khai hệ thống IPSec/VPN
VPN ở đây được đơn giản hóa với 3 máy tính cần thiết đóng các vai trò khác nhau
trong một mạng riêng ảo.
 Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN, hoạt
động như một máy chủ VPN. VPN được lắp đặt hai adapter mạng. Đồng thời hoạt
động như một trung tâm điều khiển domain DC (domain controller), một máy chủ
IAS quản lý người sử dụng truy cập từ xa RADIUS (Remote Authentication Dial-in
User Service), một máy chủ DNS (Domain Name System), một máy chủ DHCP
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 17 -
(Dynamic Host Configuration Protocol) và một trung tâm chứng thực CA
(certification authority).
 Máy tính chạy Windows XP Professional, mang tên CLIENT, hoạt động như một

máy khách truy cập từ xa.
 Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS, hoạt động
như một máy chủ về web và file.
2. Cài đặt trên máy chủ VPN
a. Cài đặt DC
 Thiết lập các cấu hình về tài khoản tại DC
- Chạy Active Directory Installation Wizard (tập tin dcpromo.exe) cho một domain
mới ptit.com. Cài đặt dịch vụ DNS khi được yêu cầu.
- Sử dụng trình quản lý Active Directory Users and Computers, nhấn chuột phải vào
domain ptit.com rồi nhấn vào Raise Domain Functional Level.
- Kích chuột vào dòng Windows Server 2003 và chọn Raise.
- Cài đặt giao thức DHCP để làm một thành phần của Networking Services bằng cách
dùng Control Panel => Add or Remove Programs.
- Mở trình quản lý DHCP từ thư mục Administrative Tools.
- Nhấn vào mục Action => Authorize để cho phép sử dụng dịch vụ DHCP.
- Trong cây thư mục, nhấn chuột phải vào dc.ptit.com rồi nhấn New Scope.
- Trên trang Welcome của New Scope Wizard, nhấn Next.
- Ở trang Scope Name, nhập một cái tên như PTIT Network.
- Nhấn vào Next. Trên trang địa chỉ IP, nhập 192.168.3.10 ở ô Start IP address,
192.168.3.100 ở ô End IP address và 24 ở mục Length.
Hình: Khai báo địa chỉ IP
- Nhấn Next. Trên trang Add Exclusions, nhấn Next.
- Trên trang Lease Duration, nhấn Next.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 18 -
- Trên trang Configure DHCP Options, nhấn Yes, I want to configure DHCP options
now.
- Nhấn Next. Trên trang Router (Default Gateway), nhấn Next.
- Trên trang Domain Name and DNS Servers, nhập vào dòng ptit.com trong mục
Parent domain. Nhập 192.168.3.1 trong ô địa chỉ IP rồi nhấn Add.

- Nhấn Next. Trên trang WINS Servers, nhấn Next.
- Trên trang Activate Scope, nhấn Yes, I want to activate the scope now.
- Nhấn Next. Trên trang Completing the New Scope Wizard, nhấn Finish.
- Cài đặt Certificate Services làm một CA gốc với tên PTIT CA bằng cách dùng
Control Panel => Add or Remove Programs.
- Mở Active Directory Users and Computers.
- Trong cây thư mục, chọn ptit.com.
- Nhấn chuột phải vào Users, chọn Computer.
- Trong hộp thoại New Object Computer, nhập IIS trong mục Computer name.
- Nhấn Next. Trong hộp thoại Managed, nhấn Next. Trong hộp thoại New Object
Computer, nhấn Finish.
- Dùng các bước từ 22 đến 24 để tạo thêm tài khoản máy tính với các tên VPN và
CLIENT.
- Trong cây thư mục, nhấn chuột phải vào Users, chọn User.
- Trong hộp thoại New Object User, nhập VPNUser trong mục First name và
VPNUser trong User logon name.
- Nhấn Next.
- Trong hộp thoại New Object User, nhập một password tùy chọn vào mục Password
and Confirm password. Bỏ dấu ở ô User must change password at next logon và
đánh dấu ở ô Password never expires.
- Trong hộp thoại New Object User, chọn Finish.
- Trong cây thư mục, nhấn chuột phải vào Users, chọn Group.
- Trong hộp thoại New Object Group, nhập vào dòng VPNUsers ở mục Group name
rồi nhấn OK.
- Kích đúp vào VPNUsers.
- Nhấn vào thẻ Members và nhấn Add.
- Trong hộp thoại Select Users, Contacts, Users hoặc Groups, nhập VPNuser trong
mục Enter the object names to select.
- Nhấn OK. Trong hộp thoại Multiple Names Found, nhấn OK. Account của người sử
dụng VPNUser được đưa vào danh sách nhóm VPNUsers.

- Nhấn OK để lưu các thay đổi đối với nhóm VPNUsers.
 Dưới đây là cách định cấu hình cho DC để tự động nạp các chứng nhận cho máy
tính:
- Mở Active Directory Users và mục Computers.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 19 -
- Trong cây chương trình, nhấn đúp chuột vào Active Directory Users and
Computers, nhấn chuột phải vào ptit.com, chọn Properties.
- Mở thẻ Group Policy, nhấn vào Default Domain Policy, chọn Edit.
- Trong cây chương trình, mở mục Computer Configuration > Windows Settings >
Security Settings > Public Key Policies > Automatic Certificate Request Settings.
- Nhấn chuột phải vào Automatic Certificate Request Settings, chọn New rồi nhấn
Automatic Certificate Request.
- Trên trang Welcome to the Automatic Certificate Request Setup Wizard, nhấn Next.
- Trên trang Certificate Template, nhấn Computer.
- Nhấn Next. Trên trang Automatic Certificate Request Setup Wizard, nhấn Finish.
Lúc này, kiểu chứng nhận sẽ xuất hiện trong ô hiển thị chi tiết của Group Policy
Object Editor.
- Gõ gpupdate ở dấu nhắc để cập nhật Group Policy trên DC.
 Sau khi cập nhật các chứng nhận mới, bạn cần phải ngừng và khởi động lại chính
sách và các dịch vụ IPsec Policy Agent và Remote Access
- Nhấn Start > Administrative Tools > Services
- Trong ô hiển thị chi tiết, trỏ vào IPSEC Services > Action, sau đó nhấn Restart.
- Trong ô hiển thị chi tiết, trỏ vào Routing and Remote Access > Action rồi nhấn
Restart.
b. Cài đặt IAS
IAS cung cấp cơ chế thẩm định quyền truy cập RADIUS, cho phép truy cập và theo
dõi quá trình truy cập.
- Cài đặt dịch vụ Internet Authentication Service trong Networking Services ở mục
Control Panel-Add or Remove Programs.

- Mở trình Internet Authentication Service từ thư mục Administrative Tools.
- Nhấn chuột phải vào thẻ Internet Authentication Service rồi chọn Register Server in
Active Directory. Khi hộp thoại Register Internet Authentication Service in Active
Directory xuất hiện, nhấn OK.
- Trong cây chương trình, nhấn chuột phải vào Clients rồi chọn New RADIUS Client.
- Trên trang Name and Address của mục New RADIUS Client, ở ô Friendly name, gõ
VPN CLIENTvà lại nhập tiếp vào ô client address 192.168.3.1.
- Nhấn Next. Trên trang Additional Information của mục New RADIUS Client, ở ô
Shared secret, gõ một mã bí mật chia sẻ cho VPN và gõ tiếp lần nữa ở ô Confirm
shared secret.
- Nhấn Finish.
- Ở cây chương trình, nhấn chuột phải vào Remote Access Policies và chọn New
Remote Access Policy.
- Trên trang Welcome to the New Remote Access Policy Wizard, nhấn Next.
- Trên trang Policy Configuration Method, nhập VPN remote access to intranet vào ô
Policy name.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 20 -
- Nhấn Next. Trên trang Access Method, chọn VPN.
- Nhấn Next. Trên trang User or Group Access, chọn Group.
- Nhấn nút Add. Trong hộp thoại Select Groups, gõ VPNUsers trong ô Enter the
object names to select.
- Nhấn OK. Nhóm VPNUsers trong domain ptit.com được thêm vào danh sách nhóm
trên trang Users or Groups.
- Nhấn Next. Trên trang Authentication Methods, giao thức thẩm định quyền truy cập
MS-CHAP v2 được chọn mặc định.
- Nhấn Next. Trên trang Policy Encryption Level, bỏ đánh dấu trong các ô Basic
encryption và Strong encryption.
- Nhấn Next. Trên trang Completing the New Remote Access Policy, nhấn Finish.
c. Cài đặt VPN

VPN là máy tính chạy Windows Server 2003, Standard Edition cung cấp các dịch vụ
máy chủ VPN cho các máy khách VPN. Để định cấu hình cho VPN làm máy chủ VPN, bạn
thực hiện các bước sau:
- Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành
viên mang tên VPN trong domain ptit.com.
- Mở thư mục Network Connections.
- Đối với kết nối nội bộ Intranet, đặt lại tên kết nối thành "PTIT Network". Đối với
kết nối nội bộ Internet, đặt lại tên kết nối thành "Internet".
- Định cấu hình giao thức TCP/IP cho kết nối PTIT Network với địa chỉ IP là
192.168.3.1, subnet mask là 255.255.255.0 và địa chỉ IP cho máy chủ DNS là
192.168.3.1.
- Định cấu hình giao thức TCP/IP cho kết nối Internet với địa chỉ IP là 10.0.0.1 và
mạng cấp dưới là 255.0.0.0.
- Chạy trình Routing và Remote Access từ thư mục Administrative Tools.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 21 -
- Trong cây chương trình, nhấn chuột phải vào VPN và chọn Configure and Enable
Routing and Remote Access.
- Trên trang Welcome to the Routing and Remote Access Server Setup Wizard, nhấn
Next.
- Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn mặc định.
- Nhấn Next. Trên trang Remote Access, chọn VPN.
- Nhấn Next. Trên trang VPN Connection, nhấn vào giao diện Internet trong Network
interfaces.
- Nhấn Next. Trên trang IP Address Assignment , chế độ Automatically được chọn
mặc định.
- Nhấn Next. Trên trang Managing Multiple Remote Access Servers, nhấn vào Yes,
set up this server to work with a RADIUS server.
- Nhấn Next. Trên trang RADIUS Server Selection, gõ 192.168.3.1 trong ô Primary
RADIUS server và mã bí mật chung trong ô Shared secret.

- Nhấn Next. Trên trang Completing the Routing and Remote Access Server Setup
Wizard, nhấn Finish.
- Bạn sẽ nhận được message nhắc phải định cấu hình DHCP Relay Agent.
- Nhấn OK.
- Trong cây chương trình, mở VPN(local), sau đó là IP Routing và kế tiếp là DHCP
Relay Agent. Nhấn chuột phải vào DHCP Relay Agent rồi chọn Properties.
- Trong hộp thoại DHCP Relay Agent Properties, gõ 192.168.3.1 trong ô Server
address.
- Nhấn Add rồi OK.
Cập nhật Group Policy trên VPN: gõ lệnh gpupdate tại dấu nhắc lệnh.
Sau khi cập nhật các chứng nhận mới, bạn cần phải ngừng và khởi động lại các dịch vụ
IPsec Policy Agent và Remote Access:
- Nhấn Start > Administrative Tools > Services
- Trong ô hiển thị chi tiết, trỏ vào IPSEC Services > Action, sau đó nhấn Restart.
- Trong ô hiển thị chi tiết, trỏ vào Routing and Remote Access > Action rồi nhấn
Restart.
3. Cài đặt cho máy IIS
IIS chạy Windows Server 2003, Standard Edition và dịch vụ Internet Information
Services (IIS). Để định cấu hình cho IIS làm máy chủ về tập tin và web, bạn thực hiện các
bước sau:
- Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành
viên mang tên IIS trong domain ptit.com.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 22 -
- Cài đặt IIS làm tiểu mục thuộc Application Server của Windows Components
Wizard trong Control Panel-Add or Remove Programs.
- Trên IIS, dùng Windows Explorer để tạo một cơ chế chia sẻ mới cho thư mục gốc
của ổ C:, dùng tên ROOT với các cho phép mặc định.
- Để xác định máy chủ web có hoạt động chính xác không, hãy chạy trình duyệt
Internet Explorer trên IAS. Nếu Internet Connection Wizard nhắc bạn thì hãy định

cấu hình kết nối Internet cho một kết nối LAN. Trong Internet Explorer, mục
Address, gõ Bạn sẽ nhìn thấy biểu tượng Windows
XP.
- Để xác định tập tin có hoạt động chính xác không, trên IAS, nhấn Start > Run, gõ
\\IIS\ROOT rồi nhấn OK. Nếu đúng, bạn sẽ thấy nội dung của thư mục gốc của ổ C:
trên IIS.
4. Cài đặt cho máy CLIENT
CLIENT là máy tính chạy Windows XP Professional, hoạt động như một máy khách
VPN và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng Internet. Để định
cấu hình cho CLIENT làm máy khách, bạn thực hiện các bước sau:
- Kết nối CLIENT với phân đoạn mạng Intranet.
- Trên máy CLIENT, cài đặt Windows XP Professional như là một máy tính thành
viên có tên CLIENT thuộc domain ptit.com.
- Thêm tài khoản VPNUser trong domain ptit.com vào nhóm Administrators.
- Rời hệ thống (log off) rồi vào lại (log on), sử dụng tài khoản VPNUser trong
domain ptit.com.
- Từ Control Panel-Network Connections, đặt các đặc điểm trên kết nối Local Area
Network, sau đó đặt các đặc điểm trên giao thức TCP/IP.
- Nhấn vào thẻ Alternate Configuration rồi chọn User configured.
- Trong ô địa chỉ IP, gõ 10.0.0.2. Tại ô Subnet mask, gõ 255.0.0.0.
- Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP. Nhấn OK để lưu các thay
đổi đối với kết nối Local Area Network.
Để nạp các chứng nhận trên máy này và định cấu hình cho một kết nối VPN truy cập từ
xa theo giao thức L2TP/IPsec, bạn thực hiện các bước như sau:
- Khởi động lại CLIENT và đăng nhập vào máy với tài khoản VPNUser. Máy tính và
Group Policy được cập nhật tự động.
- Tắt máy CLIENT.
- Ngắt kết nối CLIENT khỏi phân đoạn mạng Intranet và kết nối máy với phân đoạn
Internet. Khởi động lại CLIENT và đăng nhập vào với tài khoản VPNUser.
- Trên CLIENT, trong Control Panel, mở thư mục Network Connections.

- Trong Network Tasks, nhấn vào Create a new connection.
- Trên trang Welcome to the New Connection Wizard, nhấn Next.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 23 -
- Trên trang Network Connection Type, nhấn Connect to the network at my
workplace.
- Nhấn Next. Trên trang Network Connection, nhấn vào Private Network connection.
- Nhấn Next. Trên trang Connection Name, gõ L2TP to PTIT Network.
- Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial connection.
- Nhấn Next. Trên trang VPN Server Selection, gõ 10.0.0.1 trong ô Host name or IP
address.
- Nhấn Next. Trên trang Connection Availability, nhấn Next.
- Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp thoại L2TP
to PTIT Network xuất hiện.
- Nhấn vào mục Properties rồi nhấn vào thẻ Networking.
- Trên thẻ Networking, trong mục Type of VPN, nhấn vào L2TP/IPSec VPN.
- Nhấn OK để lưu các thay đổi đối với kết nối L2TP to PTIT Network. Hộp thoại
Connect L2TP to PTIT Network xuất hiện.
- Trong ô User name, gõ ptit\VPNUser. Trong ô Password, gõ mật khẩu tùy ý cho tài
khoản VPNUser.
- Nhấn Connect.
- Khi kết nối được thiết lập, chạy trình duyệt web.
- Trong ô Address, gõ Bạn sẽ thấy một thông báo là
trang web đang trong quá trình thiết kế. Trên thực tế, bạn phải có một tên miền thực,
thay cho ptit.com.
- Nhấn Start > Run > gõ \\IIS\ROOT > OK. Bạn sẽ thấy các nội dung của ổ nội bộ (ổ
C) trên IIS.
- Nhấn chuột phải vào kết nối L2TP to PTIT Network rồi chọn Disconnect.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×