by VDLT

1. Khái niệmMạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN. VPN là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí.VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.

2. Các tình huống thông dụng của VPN: Remote Access: Đáp ứng nhu cầu

truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet.

Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. 

3. Để triển khai một hệ thống VPN chúng ta cần có những thành phần cơ bản sau đây:User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

4. Một số phương pháp bảo mật trên VPNa)Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữliệu sao cho nó chỉ có thể được đọc bởi ngườinhận cần gửi. Để đọc thông tin được gửi, ngườinhận dữ liệu đó cần phải có chính xác khóa giảimã (decryption key).

b) Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên.

c) Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công.

5. Các thành phần cần thiết để tạo kết nối VPN:User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

6. Giao thức đường hầm VPN:Có 3 giao thức đường hầm chính được sử dụng trong VPN:a) IP Security (IPSec). IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng. IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng.

b) Point-to-Point Tunneling Protocol (PPTP). PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hảnh Windows.

c) Layer 2 Tunneling Protocol (L2TP). L2TP là sự phối hợp của L2F (1 loại truyền thông tin an toàn trên Internet) và PPTP. Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR và ATM.

VPN Client – to - site (Cấu hình ISA Server 2004 Firewall đóng vai trò một

VPN Server)

Các bước tiến hành: Enable VPN Server Tạo một Access Rule cho phép VPN clients

truy cập vào Internal Network Kiểm tra các kết nối VPN.

a) Enable VPN ServerTheo mặc định, VPN server trên ISA Server bị disabled.

Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name. Click trên Virtual Private Networks (VPN) node.

Click trên Tasks tab trong Task Pane. Click Enable VPN Client Access.

Click Apply để lưu những thay đổi và cập nhật firewall policy.

Click OK trong Apply New Configuration dialog box. Click Configure VPN Client Access.

Trên General tab, thay đổi giá trị là Maximum number of VPN clients allowed từ 5 đến 10.

Click trên Groups tab. Trên Groups tab, click Add button.

Trong Select Groups dialog box, click Locations button.

Trong Locations dialog box, click auviet.vn entry và click OK.

Trong Select Group box, điền Domain Users trong Enter the object names to select text box. Click Check Names button. group name này sẽ có gạch dưới khi nó được tìm thấy trong Active Directory. Click OK

Click Protocols tab. Trên Protocols tab, đánh dấu check vào Enable L2TP/IPSec check box.

Click User Mapping tab. Đánh dấu check vào Enable User Mapping box. Đánh dấu check vào When username does not contain a domain, use this domain check box. Điền vào auviet.vn trong Domain Name text box.

Click Apply lưu lại những thay đổi và cập nhật cho firewall policy.

Restart ISA Server 2004 firewall.

b) Tạo một Access Rule cho phép VPN Clients truy cập vào Internal NetworkTiến hành các bước sau để tạo VPN clients Access Rule:

Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name và click Firewall Policy node. Right click Firewall Policy node, chọn New và click Access Rule.

Trong Welcome to the New Access Rule Wizard page, đặt tên cho rule trong Access Rule name text box. Trong ví dụ này, chúng ta sẽ đặt tên cho rule là VPN client to site. Click Next.

Trên Rule Action page, chọn Allow và click Next.

Trên Protocols page, chọn All outbound traffic từ danh sách This rule applies to. Click Next.

Trên Access Rule Sources page, click Add. Trong Add Network Entities box, click Networks folder và double click trên VPN Clients. Click Close.

Click Next trên Access Rule Sources page.

Trên Access Rule Destinations page, click Add. Trên Add Network Entities box, click Networks folder và double click trên Internal. Click Close.

Trên User Sets page, chấp nhận xác lập mặc định là, All Users, và click Next.

Click Finish trên Completing the New Access Rule Wizard page.

Click Apply để lưu những thay đổi và cập nhật firewall policy.

c) Enable truy cập quay số Dial-in Access cho Administrator AccountTiến hành các bước sau trên domain controller để enable Dial-in access cho riêng Administrator account:

Click Start và chọn Administrative Tools. Click Active Directory Users and Computers.

Trong Active Directory Users and Computers console, click trên Users node trong khung trái. Double click trên Administrator account trong khung phải.

Click trên Dial-in tab. Trong khung Remote Access Permission (Dial-in or VPN), chọn Allow access. Click Apply và click OK.

d) Kiểm tra kết nối VPNISA Server 2004 VPN server giờ đây đã chấp nhận các kết nối VPN client. Tiến hành các bước sau để kiểm tra VPN Server:

Trên VPN-client, right click My Network Places icon trên desktop và click Properties.