Tài liệu Triển khai hệ thống IPSec tren server 2k3 pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (317.23 KB, 7 trang )
Triển khai hệ thống IPSec/VPN trên Windows Server 2003
ID: A0601_111
Thực hiện: Nguyễn Trần Tường Vinh
32550
[ Đóng ]
Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng dụng ngày
càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn thông tin nên các
công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa. Bài viết này
trình bày giải pháp truy cập từ xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức
IPSec nhằm đảm bảo an toàn thông tin.
VPN
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu
chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng,
người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương
thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông
qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ
liệu.
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa
những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và
đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng
tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những
khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.
Các tình huống thông dụng của VPN:
- Remote Access: Đáp ứng nhu cầu truy cập dữ
liệu và ứng dụng cho người dùng ở xa, bên ngoài
công ty thông qua Internet. Ví dụ khi người dùng
muốn truy cập vào cơ sở dữ liệu hay các file
server, gửi nhận email từ các mail server nội bộ
của công ty.
- Site To Site: Áp dụng cho các tổ chức có nhiều
văn phòng chi nhánh, giữa các văn phòng cần
trao đổi dữ liệu với nhau. Ví dụ một công ty đa
quốc gia có nhu cầu chia sẻ thông tin giữa các chi
nhánh đặt tại Singapore và Việt Nam, có thể xây
dựng một hệ thống VPN Site-to-Site kết nối hai
site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền
thông an toàn, hiệu quả.
- Intranet/ Internal VPN: Trong một số tổ chức, quá
trình truyền dữ liệu giữa một số bộ phận cần bảo
đảm tính riêng tư, không cho phép những bộ phận
khác truy cập. Hệ thống Intranet VPN có thể đáp ứng
tình huống này.
Để triển khai một hệ thống VPN chúng ta cần có
những thành phần cơ bản sau đây:
- User Authentication: cung cấp cơ chế chứng thực
người dùng, chỉ cho phép người dùng hợp lệ kết nối
và truy cập hệ thống VPN.
- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để
có thể truy cập tài nguyên trên mạng nội bộ.
- Data Encryption: cung cấp giải pháp mã hoá dữ
liệu trong quá trình truyền nhằm bảo đảm tính
riêng tư và toàn vẹn dữ liệu.
- Key Management: cung cấp giải pháp quản lý
các khoá dùng cho quá trình mã hoá và giải mã
dữ liệu.
IPSEC (IP SECURITY PROTOCOL)
Như chúng ta biết, để các máy tính trên hệ thống
mạng LAN/WAN hay Internet truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống
như ngôn ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP.
Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật. Có
nhiều giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP
tỏ ra hiệu quả và tiết kiệm chi phí trong quá trình triển khai.
Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo
mật sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống các trường hợp
"ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin
chính không được bảo vệ
- ESP (Encapsulating Security Payload): Nội dung thông
tin được mã hóa, ngăn chặn các trường hợp hacker đặt
chương trình nghe lén và chặn bắt dữ liệu trong quá trình
truyền. Phương thức này rất hay được áp dụng, nhưng
nếu muốn bảo vệ luôn cả phần header của gói tin thì phải
kết hợp cả 2 giao thức AH và ESP.
IPSec/VPN trên Windows Server 2003
Chúng ta tham khảo tình huống thực tế của công ty Green
Lizard Books, một công ty chuyên xuất bản và phân phối
văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh
trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File
Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ
liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa
chặt chẽ để nâng cao độ an toàn của dữ liệu.
Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho quá trình kết nối và
truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN
Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết
nối với các tài nguyên nội bộ của công ty.
Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1 card mạng kết
nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải
sử dụng kết hợp với các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên
ngoài (Internet).
Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler cài đặt trên
Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).
Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều hành Windows XP, kết
nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa trên IPSec ESP.
Ở đây tôi chỉ trình bày những buớc chính trong quá trình triển khai, chi tiết cài đặt và cấu hình các bạn
có thể tham khảo các tập tin video (.avi) tải về ở website www.pcworld.com.vn.
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)
Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi)
Bước 3: cài đặt VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi)
Bước 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)
