Khóa luận Nghiên cứu mạng riêng ảo VPN

ao thức an toàn lai cái mà thực hiện khoá Oakley và SKEME thay đổi bên trong khung giao thức quản lý khoá và hiệp hội an toàn Internet (ISAKMP). Trong khi IKE có thể được sử dụng với những giao thức khác, sự thi hành ban đầu của nó với giao thức IPSec. IKE cung cấp sự chứng thực của IPSec ngang hang, điều chỉnh sự kết hợp an toàn IPSec, thiết lập những khoá IPSec, và cung cấp IKE keeppalives. IPSec có thể được cấu hình mà không có IKE,trừ phi IKE tăng cường IPSec bởi việc cung cấp thêm những tính năng, Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 75 độ linh hoạt, dễ dàng của cấu hình cho chuẩn IPSec, và keepalives, cái mà toàn ven trong mạng đạt đựơc dư thừa khi được cấu hình với GRE. Chứng nhận quyền thao tác (CAs) giữa các phần được cung cấp bởi ISM trong sự hỗ trợ của chuẩn IPSec. Nó cho phép các thiết bị Cisco IOS và CAs được giao tiếp với nhau vì rằng thiết bị Cisco IOS của bạn có thể đang tồn tại và sử dụng chứng nhận số từ CA. Mặc dù thiết bị Cisco IOS có thể được thực hiện trong mạng của bạn mà không sử dụng một CA, việc sử dụng một CA cung cấp điều khiển được và tính biến đổi của IPSec. CA phải được cấu hình đúng cách để đưa ra những chứng nhận. Bạn phải cũng cấu hình tương đương để đạt được sự chứng nhận từ CA. Để cung cấp sự mã hoá và những dịch vụ IPSec tunneling trên một Ciso IOS VPN gateway bạn phải hoàn thành những công việc sau đây:  Sự đinh cấu hình những chính sách IKE  Sự kiểm tra những chính sách IKE  Định cấu hình IPSec và chế độ IPSec tunnel  Định cấu hình những bản đồ mật mã 4.1. Cấu hình những chính sách IKE: Sự trao đổi chìa khoá Internet thì được cho phép bởi mặc định. IKE không có được sự cho phép cho những giao diên cá nhân, nhưng được cho phép toàn cầu cho tất cả các giao diện trong router. Bạn phải tạo ra những chính sách tại mỗi sự tương đương. Một chính sách IKE định nghĩa một sự kết hợp của những thông số an toàn để được sử dụng trong thời gian IKE thoã thuận. Bạn có thể tạo ra nhiều chính sách IKE, mỗi chính sách với một sự kết hợp khác nhau của những giá trị tham số. Nếu bạn không cấu hình một chính sách IKE nào, Router sử dụng chính sách theo mặc định, cái mà luôn đặt quyền ưu tiên thấp nhất, và cái mà chứa một tham số giá trị mặc định. Với mỗi một chính sách mà bạn tạo ra, bạn gán một giá trị ưu tiên duy nhất (từ 1 đến 10.000 với 1 có độ ưu tiên cao nhất). Bạn có thể cấu hình nhiều chính sách trên mỗi sự tương đương – nhưng tại ít nhất một trong những chính sách này phải bao gồm chính xác cùng sự mã hoá, hash, quyền chứng thực, và những giá trị tham số Diffie-Hellman như một trong chính sách trên mạng ngang hang từ xa. Nếu bạn không chỉ rõ một giá trị cho một tham số, giá trị mặc định được đưa vào. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 76 IKE keepalives “hello packets” được yêu cầu phát hiện ra một sự mất mát của kết nối, cung cấp những kết nối dư thừa cho mạng. Nếu HQ-SANJOSE của bạn thuê nhiều hơn hai Router và dùng IPSec, bạn có thể chỉ rõ độ dài gói tin của keepalive hoặc sử dụng thời gian mặc là 10s. Để chỉ rõ độ dài khoảng thời gian tại nơi mà những gói tin keepalive được gửi, sử dụng lệnh cry isakmp keepalive, như được minh hoạ trong bước 2” Tạo ra những chính sách IKE”. Mục này bao gồm những bước cơ bản để cấu hình những chính sách và bao gồm những công việc theo sau đây:  Tạo ra những chính sách IKE  Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE  Cấu hình những khoá dùng chung ban đầu. 4.1.1 Tạo ra những chính sách IKE. Để tạo ra một chính sách IKE, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình chung (global configuration mode): Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto isakmp policy 1 Nhập vào lệnh config-isakmp và nhận dạng policy được tạo ra (Mỗi policy thì duy nhất được nhận biết bởi số ưu tiên mà bạn gán vào). Ở đây được cấu hình là policy 1 Bước 2 Hq-sanjose(config-isakmp)# cry isakmp keepalive 12 2 Bước tuỳ chọn: chỉ rõ khoảng thời gian của gói tin IKE keepalive (Mặc định là 10s) và thử lại một lần nữa khoảng thời gian khi gói tin keepalive bị lỗi. Ở đây cấu hình keepalive interval là 12s và khoảng thời gian thử lại là 2s Bước 3 Hq-sanjose(config-isakmp)# encryption des Chỉ định thuật toán mã hoá -56bit chuẩn mã hoá dữ liệu (DES[des]) hay 168bit Triple DES (3des).Ở đây cấu hình thuật toán DES, cái mà được mặc định. Bước 4 Hq-sanjose(config-isakmp)# hash sha Chỉ rõ thuật toán hash-Message Digest 5 (MD5 [md5]) hoặc thuật toán bảo mật (SHA [sha]) Ở đây cấu hình SHA, cái mà được mặc định. Bước 5 Hq-sanjose(config-isakmp)# authentication pre-share Chỉ rõ phương pháp xác thực – pre- share keys (pre-share). RSA1 được mã hoá hiện tại (rsa-encr), hoặc Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 77 giải thuật RSA (rsa-slg). Ở đây cấu hình theo mặc định pre-share keys là giải thuật RSA. Bước 6 Hq-sanjose(config-isakmp)# group 1 Chỉ rõ Diffie-Hellman group định danh -768bit. Diffie-Hellman (1) hoặc 1024bit Diffie-Hellman (2). Ở đây cấu hình theo mặc định là Diffie-Hellman (1) với 768bit. Bước 7 Hq-sanjose(config-isakmp)# lifetime 86400 Chỉ rõ thời gian kết hợp an toàn - được xác định bằng giây. Ở đây cấu hình 86400s (một ngày). Bước 8 Hq-sanjose(config-isakmp)# exit Hq-sanjose(config)# Trở về chế độ cấu hình toàn cục RSA = Rivest, Shamir, and Adelman 4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE: Phụ thuộc vào phương pháp chứng thực nào mà ban chỉ định trong những chính sách của bạn, bạn cần hoàn thành một cấu hình bổ xung trước khi IKE và IPSec có thể cấu hình thành công sử dụng những chính sách IKE. Mỗi phương pháp chứng thực đòi hỏi một cấu hình được thêm vào như theo sau đây:  Phương pháp giải thuật RSA: Nếu bạn chỉ định giải thuật RSA như là phương pháp chứng thực trong một chính sách, bạn phải cấu hình tương đương để đạt được chứng nhận từ một trung tâm chứng nhận uỷ quyền (CA). Chứng nhận thì được sử dụng bởi mỗi sự tương đương để đảm bảo chắc chắn trao đổi những chìa khoá công cộng. Khi cả những thiết bị cùng giao thức và hợp lệ được chứng nhận, chúng sẽ tự động trao đổi những chìa khoá công cộng với một thiết bị mạng khác như là phần của bất kỳ sự thoả thuận IKE trong nhận dạng RSA thì được sử dụng.  Phương pháp mã hoá RSA. Nếu bạn chỉ định RSA được mã hoá như là phương pháp xác thực trong một chính sách. Bạn cần phải chắc chắn rằng mỗi thiết bị mạng cùng giao thức có những chìa khóa công cộng của cùng một giao thức khác. Không giống như giải thuật RSA, phương pháp mã hoá RSA không sử dụng chứng nhận để trao đổi những chìa khoá công cộng. Thay vào đó, bạn chắc chắn rằng mỗi thiết bị có cùng một giao thức có những chìa khoá công cộng khác bởi được làm theo sau đây: Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 78 - Cấu hình những chìa khoá RSA được điều khiển bằng tay. - Chắc chắn rằng một IKE trao đổi đang sử dụng giải thuật RSA ngay khi xuất hiện giữa những thiết bị mạng có cùng giao thức. - Để làm cho điều này xảy ra, chỉ định hai chính sách: một chính sách có độ ưu tiên cao với Mã hoá RSA hiện tại, và một chính sách có độ ưu tiên thấp với Giải thuật RSA. Khi những sự điều chỉng IKE xuất hiện, Giải thuật RSA sẽ được sử dụng đầu tiên bởi vì những thiết bị mạng ngang hang còn chưa có những chìa khoá công cộng khác. Rồi, tương lai sự điều chỉnh IKE sẽ được sử dụng Mã hoá RSA hiện tại bởi vì những chìa khoá công cộng sẽ được trao đổi. Dĩ nhiên, thay thế này yêu cầu rằng bạn có CA hỗ trợ cấu hình.  Phương pháp chứng thực Những khoá dùng chung Nếu bạn chỉ định Những khoá dùng chung như là phương pháp chứng thực trong một chính sách, bạn phải cấu hình Những khoá dùng chung này.  Phương pháp chứng thực chứng chỉ số: Nếu bạn chỉ định những chứng chỉ số như là phương pháp chứng thực trong một chính sách, CA phải được đúng cách cấu hình để đưa ra chứng nhận. Bạn cũng phải cấu hình cho những thiết bị mạng cùng giao thức để thu được sự chứng nhận từ CA. Những chứng nhận số đơn giản hoá sự chứng thực. Bạn cần chỉ kết nạp mỗi thiết bị mạng cùng giao thức với CA, hơn là việc định cấu hình bằng tay cho mỗi thiết bị mạng cùng giao thức để trao đổi những chìa khóa. 4.1.3 Cấu hình Những khoá dùng chung Để cấu hình pre-share keys tại mỗi peer, hoàn thành những bước cấu hình sau đây trong chế độ cấu hình toàn cục. Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto isakmp identity address Tại local peer: Chỉ rõ nhận dạng ISAKMP (address or hostname) headquarter router sẽ sử dụng khi nối với remote office router trong thời gian IKE điều chỉnh. Ở đây chỉ rõ từ khoá address sử dụng địa chỉ IP 172.17.2.4 (serial interface 1/0 Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 79 của headquarter router) như sự nhận dạng cho headquarter router. Bước 2 Hq-sanjose(config)# crypto isakmp key test12345 address 172.24.2.5 Tại local peer: Chỉ rõ những khoá chung headquarter router sẽ sử dụng với remote office router. Ở cấu hình này khoá dùng chung là test12345 được sử dụng với remote peer 172.24.2.5 (serial interface 1/0 trên remote office router) Bước 3 Ro-rtp(config)# crypto isakmp identity address Tại remote peer: Chỉ rõ nhận dạng ISAKMP (address or hostname) remote office router sẽ sử dụng khi nối với headquarter router trong thời gian IKE điều chỉnh. Một lần nữa, Ở đây chỉ rõ từ khóa address sử dụng địa chỉ IP 172.24.2.5 (serial interface 1/0 của remote office router) như sự nhận dạng cho remote office router. Bước 4 Ro-rtp(config)# crypto isakmp key test 12345 address 172.17.2.4 Tại remote peer: Chỉ rõ chìa khoá dùng chung được sử dụng voéi local peer. Chìa khoá này bạn phải chỉ định cùng nhau tại local peer. Ở đây cấu hình chìa khoá dùng chung là test12345 được sử dụng với local peer 172.17.2.4 (serial interface 1/0 trên headquarter router) Chú ý: Thiết lập một ISAKMP nhận dạng bất cứ khi nào bạn chỉ định những khoá dùng chung. Những từ khoá address thì đặc trưng được sử dụng khi chỉ có một giao diện cái mà sẽ được sử dụng bởi những thiết bị cùng giao thức cho sự điều chỉnh IKE, và địa chỉ IP thì được biết. Sử dụng từ khoá Hostname nếu có nhiều hơn một giao diện trên thiết bị mạng cùng giao thức cái mà phải được sử dụng cho sự điều chỉnh IKE, hoặc nếu giao diện địa chỉ IP không biết. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 80 4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số. Để cấu hình cổng vào IOS của bạn sử dụng chứng chỉ số như là phương pháp xác thực, sử dụng những bước theo sau, bắt đầu trong chế độ cấu hình toàn cục. Sự cấu hình này thừa nhận sử dụng IOS chính sách mặc định ISAKMP, mà được sử dụng giải thuật DES, SHA, RSA, Diffie-Hellman nhóm 1, và một khoảng thời gian tồn tại là 86,400s. Cisco sử dụng thuật toán mã hoá 3DES. Lệnh Mục đích Bước 1 Hq-sanjose(config)# cryto ca identity name Khai báo một CA. Tên phải đặt là tên miền của CA. Lệnh này đặt bạn vào trong chế độ cấu hình nhận dạng CA Bước 2 Hq-sanjose(config)# enrollment url url Chỉ rõ URL của CA. Bước 3 Hq-sanjose(config)# enrollment mode ra (Để chọn) chỉ rõ kiểu RA nếu hệ thống CA cung cấp một uỷ quyền đăng ký (RA). Phần mềm Cisco IOS tự động xác định kiểu RA hoặc non-RA; bởi vậy, nếu kiểu RA được sử dụng, lệnh này được viết tới NVRAM trong thời gian “viết lên bộ nhơ” Bước 4 Hq-sanjose(config)# query url url Chỉ rõ vị trí của dịch vụ LDAP nếu hệ thống CA của bạn cung cấp một RA và hỗ trợ giao thức LDAP. Bước 5 Hq-sanjose(config)# enrollment retry period minutes Chỉ rõ những Certificates khác tương đương có thể vẫn được chấp nhận bởi router thậm chí nếu CRT thích hợp thì không có thể tới được router của bạn. Bước 6 Hq-sanjose(config)# enrollment retry cout number chỉ rõ mức độ thời gian bao lâu router sẽ tiếp tục gửi Certificate không thành công đòi hỏi trước Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 81 khi từ bỏ.Theo mặc định, router sẽ không bao giờ từ bỏ thử. Bước 7 Hq-sanjose(config)# crt optional Chỉ rõ rằng những Certificate tương đương khác có thể vẫn được chấp nhận bởi router của bạn thậm chí nếu CRL thích hợp thì không có thể tới được router của bạn Bước 8 Hq-sanjose(config)# exit Thoát khỏi chế độ cấu hình nhận dạng CA 4.2.1 Kiểm tra IKE Policies Để kiểm tra cấu hình. Chúng ta đưa vào lệnh Show crypto isakmp policy trong chế độ EXEC để thấy được default policy và bất kỳ default values trong cấu hình policies. Hq-sanjose# show crypto isakmp policy Protection suite priority 1 encryption algorithm:DES - Data Encryption Standard (56 bit keys) hash algorithm:Secure Hash Standard authentication method:Pre-Shared Key Diffie-Hellman group:#1 (768 bit) lifetime:86400 seconds, no volume limit 4.2.2 Cấu hình khoá dùng chung khác Bởi vì những khoá dùng chung đã được chỉ định như phương pháp chứng thực cho chính sách 1 trong “ Cấu hình những chính sách IKE”. Hoàn thành những bước cấu hình sau đây tại Headquaters routers cũng như business partner router. Bước 1: Đặt cho mỗi ISAKMP sự nhận biết. Mỗi sự nhận biết tương đương cũng được đặt tới những tên thiết bị khác hoặc bởi những địa chỉ IP của nó. Theo mặc định, một sự nhận biết tương đương là đặt tới địa chỉ IP của nó. Trong viễn cảnh này, bạn chỉ cần hoàn thành những công việc tại business partner router. Bước 2: Chỉ rõ những chìa khoá dùng chung tại mỗi thiết bị tương đương. Chú ý rằng một khoá dùng chung đã cho thì dùng chung giữa hai thiết tương đương. Bạn có thể chỉ định cùng chìa khoá để dùng chung với nhiều thiết bị từ xa tương đương; tuy nhiên, một cách tiếp cận an toàn hơn là chỉ định những khoá khác để dùng chung giữa những cặp tương đương khác nhau. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 82 Để cấu hình khoá dùng chung khác nhau cho việc sử dụng giữa headquater router và business partner router, hoàn thành những bước sau trong chế độ cấu hình toàn cục. Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto isakmp key test67890 address 172.23.2.7 Tại local peer: chỉ rõ khoá dùng chung headquater router sẽ sử dụng với business partner router. Trong ví dụ cấu hình này khoá dùng chung là test67890 đựơc sử dụng với remote peer 172.23.2.7(serial interface 1/0 của business partner router) Bước 2 Hq-sanjose(config)# crypto isakmp identity address Tại remote peer: chỉ rõ nhận dạng ISAKMP (address hoặc hostname) business partner router sẽ sử dụng khi truyền thông với headquarter router trong lục IKE điều chỉnh. Bước 3 Hq-sanjose(config)# crypto isakmp key test67890 address 172.17.2.4 tại remote peer: chỉ rõ chìa khoá được chia sẻ để sử dụng được với local peer.Điều này cũng giống như chìa khoá bạn đã chỉ định tại local peer. Chú ý: Đặt một sự nhận biết ISAKMP bất cứ nơi đâu bạn chỉ rõ những khoá dùng chung. Từ khoá address tiêu biểu được sử dụng khi có chỉ một interface (và do đó cũng chỉ có một địa chỉ IP) cái mà sẽ được sử dụng bởi sự ngang nhau cho sự điều chỉnh IKE, và địa chỉ IP thì được biết đến. Sử dụng từ khoá hostname nếu có nhiều hơn một interface trên mỗi peer cái mà phải được sử dụng cho sự điều chỉnh IKE, hoặc nếu địa chỉ IP interface không được biết đến (như với địa chỉ động được gán vào). 4.3 Cấu hình IPSec và chế độ IPSec tunnel. Sau khi chúng ta cấu hình xong khoá dùng chung khác, cấu hình IPSec tại mỗi thiết bị tham gia IPSec peer. Mục này bao gồm những bước cơ bản sau để cấu hình IPSec và bao gồm những công việc sau:  Tạo ra những danh sách truy nhập mật mã  Kiểm tra danh sách truy nhập mật mã  Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel  Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 83 4.3.1 Tạo ra những danh sách truy nhập mật mã. Danh sách truy nhập mật mã được sử dụng để định nghĩa lưu lượng IP nào sẽ được bảo vệ bởi mật mã và lưu lượng nào sẽ không được bảo vệ bởi mật mã. Ví dụ, bạn có tạo ra một access list để bảo vệ tất cả lưu lượng IP giữa headquarter router và business partner router. Bản thân access list không đặc trưng cho IPSec. Đó là mục tham chiếu vào bản đồ mật mã mà đặc biệt access list cái mà định nghĩa liệu có phải IPSec xử lý được ứng dụng thoả đáng lưu lượng một sự cho phép trong access list. Để tạo ra một danh sách mật mã. Đưa vào những dòng lênh sau trong chế độ cấu hình toàn cục. Lệnh Mục đích Hq-sanjose(config)# access list 111 permit ip host 10.2.2.2 host 10.1.5.3 Xác đinh điều kiện để quyết định những gói IP nào được bảo vệ. Trong cấu hình này access list 111 mã hoá tất cả lưu lượng IP giữa headquarter server(Địa chỉ IP 10.2.2.2) và PC B (Địa chỉ IP 10.1.5.3) trong business partner office. 4.3.2 Kiểm tra những danh sách mật mã. Để kiểm tra sự cấu hình: Đưa vào lệnh show access-list 111 trong chế độ EXEC để xem thuộc tính của access-list. Hq-sanjose# show access-lists 111 Extended IP access list 111 permit ip host 10.2.2.2 host 10.1.5.3 4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel Bạn phải định nghĩa những tập hợp biến đổi bất chấp những giao thức xuyên đường hầm bạn sử dụng. Để định nghĩa một tập hợp biến đổi và cấu hình chế độ IPSec tunnel, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục: Lệnh Mục đích Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 84 Bước 1 Hq-sanjose(config)# crypto ipsec transform-set proposal4 ah-sha- hmac esp-des Định nghĩa một tập hợp biến đổi và đưa vào chế độ cấu hình sự biến đổi mật mã. Thí dụ này kết hợp AH1 biến đổi đổi ah-sha-hmac,sự mã hoá ESP2 biến đổi esp-des, và sự chứng thực ESP biến đổi esp-sha-hmac trong tập hợp chuyển đổi proposal4 Có những quy tắc phức tạp được định nghĩa những mục mà bạn sử dụng cho đối số biến đổi. Những quy tắc này giải thích trong phần mô tả lệnh cho crypto ipsec transform-set. Bạn có thể cũng sử dụng lệnh crypto ipsec transform-set?, trong chế độ cấu hình toàn cục, để xem sự thay đổi những trọng số. Bước 2 Hq-sanjose(cfg-crypto-trans)# mode tunnel Thay đổi chế độ được kết hợp với tập hợp biến đổi. Sự thiết đặt chế độ thì chỉ có thể áp dụng tới lưu lượng có nguồn và những địa chỉ đích là nhưng địa chỉ IPSec peer; nó bỏ qua tất cả những lưu lượng khác. Trong ví dụ chế độ cấu hình tunnel này cho transport set proposal4, được tạo ra một IPSec tunnel giữa những địa chỉ IPSec peer. Bước 3 Hq-sanjose(cfg-crypto-trans)# exit Hq-sanjose(config)# Trở về chế độ toàn cục - AH= Đầu mục chứng thực. Đầu mục này, khi nào được thêm tới một gói dữ liệu IP, đảm bảo cho sự toàn vẹn và xác thực của dữ liệu, bao gồm những trường bất biến trong đầu mục IP ở phía ngoài. Nó không cung cấp sự bảo vệ bí mật. AH sử dụng một chức năng keyed-hash hơn là những giải thuật số hóa. - ESP = Đóng gói trọng tải tối đa an toàn. Đầu mục này, khi nào được thêm tới một gói dữ liệu IP, bảo vệ tính bí mật, sự toàn vẹn, và tính xác thực của dữ liệu. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 85 Nếu ESP được sử dụng để cho có hiệu lực sự toàn vẹn dữ liệu, nó không bao hàm những trường bất biến trong phần đầu mục IP (IP header). 4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel. Để kiểm tra cấu hình. Đưa vào lệnh show crypto ipsec transform-set trong chế độ EXEC để nhìn thấy kiểu tập hợp biến đổi cấu hình trên router. Hq-sanjose# show crypto ipsec transform-set Transform set proposal4: { ah-sha-hmac } will negotiate = { Tunnel, }, { esp-des esp-sha-hmac } will negotiate = { Tunnel, }, -Display text omitted- 4.5 Cấu hình Crypto Maps. Trong phần này bao gồm những bước cơ bản để cấu hình crypto map và bao gồm những công việc sau đây.  Tạo ra những mục Crypto Map  Kiểm tra những mục Crypto Map.  Áp dụng Crypto Map vào interface  Kiểm tra sự kết hợp Crypto Map trên interface. 4.5.1 Tạo ra những mục Crypto Map. Để tạo ra những mục Crypto map cái mà sử dụng IKE để thiết lập SAs, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục. Lệnh Mục đích Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 86 Bước 1 Hq-sanjose(config)#crypto map s4second local-address serial 2/0 Tạo ra một Crypto map và xác định một địa chỉ local (giao diện vật lý) được sử dụng cho lưu lượng IPSec. Ví dụ này tạo ra một crypto map s4second và chỉ rõ serial interface 2/0 của headquarter router như local address. Bước này thì chỉ yêu cầu nếu bạn trước đây đã sử dụng lệnh loopback hoặc nếu bạn đang sử dụng GRE tunnels Bước 2 Hq-sanjose(config)# crypto map s4second 2 ipsec-isakmp Đưa crypto map vào chế độ cấu hình, chỉ rõ một số trình tự cho crypto map bạn đã tạo ra trong bước 1, và cấu hình crypto map để sử dụng IKE để thiết lập SAs. Trong trình tự cấu hình này là 2 và IKE cho crypto map là s4second. Bước 3 Hq-sanjose(config-crypto-map)# match address 111 Chỉ rõ một access list mở rộng. Access list này quyết định lưu lượng nào được bảo vệ và lưu lượng nào không được bảo vệ bở IPSec. Trong ví dụ cấu hình này access list 111, đã được tạo ra trong “tạo ra những danh sách truy nhập mật mã” Bước 4 Hq-sanjose(config-crypto-map)# set peer 172.23.2.7 Chỉ rõ một remote IPSec peer (bởi hostname hoặc IP address).Peer này được IPSec bảo vệ, lưu lượng có thể được truyền qua. Ví dụ này chỉ rõ serial interface 1/0 (172.23.2.7) trên business partner router. Bước 5 Hq-sanjose(config-crypto- map)# set transform-set proposal4 Chỉ rõ những transform set nào được giành cho mục crypto map này . Liệt kê nhiều transform set trong sự sắp đặt quyền ưu tiên Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 87 (cao thì ưu tiên trước). Ví dụ này chỉ rõ transform set proposal4, mà đã được cấu hình trong phần “Định nghĩa Transform set và sự định chế độ IPSec tunnel” Bước 6 Hq-sanjose(config-crypto-map)# exit Hq-sanjose(config)# Trở lại chế độ toàn cục Để tạo ra những mục crypto map động cái mà sẽ sử dụng IKE để thiết lâp SAs, hoàn thành những bước sau đây, bắt đầu trong chế độ toàn cục. Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto dynamic-map dynamic-map-name dynamic- seq-num Tạo ra một mục crypto map động Bước 2 Hq-sanjose(config)# set transform-set transform-set-name1 [transform-set- name2...transform-set-name6] Chỉ rõ những transform set nào được giành cho mục crypto map này . Liệt kê nhiều transform set trong sự sắp đặt quyền ưu tiên (cao thì ưu tiên trước) Điều này thì chỉ cấu hình khai báo được yêu cầu trong những mục crypto map động. Bước 3 Hq-sanjose(config-crypto-map)# match address access-list-id access-list-id (tuy chọn) Số access list hoặc tên của một access list được mở rộng. Access list này quyết định lưu lượng có thể được bảo vệ hoặc không được bảo vệ bởi IPSec trong ngữ cảnh của mục crypto map này Bước 4 Hq-sanjose(config-crypto-map)# set peer {hostname | ip-address} Chỉ rõ một remote IPSec peer. Lặp lại cho nhiều remote peer. Điều này thực sự được cấu hình trong những mục crypto map động. Những mục crypto map động thì thường được sử dụng cho những remote peer không biết. Bước 5 Hq-sanjose(config-crypto-map)# Nếu bạn muốn kết hợp sự an toàn Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 88 set security-association lifetime seconds seconds and/or set security-association lifetime kilobytes kilobytes cho crypto map này sẽ được thương lượng sử dụng ít hơn khoảng thời gian tồn tại sự kết hợp an toàn IPSec hơn là thời gian tồn tại toàn bộ được chỉ rõ, chỉ rõ một chìa khoá cho sự tồn tại của mục crypto map. Bước 6 Hq-sanjose(config-crypto-map)# exit Hq-sanjose(config)# Trở lại chế độ cấu hình toàn cục 4.5.2 Kiểm tra những mục Crypto map Để kiểm tra cấu hình. Đưa vào lệnh Show crypto map trong chế độ EXEC để xem những mục crypto map được cấu hình trên router. Hq-sanjose# show crypto map Crypto Map: “s4second” idb: Serial2/0 local address: 172.16.2.2 Crypto Map “s4second” 2 ipsec-isakmp Peer = 172.23.2.7 Extended IP access list 111 access-list 111 permit ip source: addr = 10.2.2.2/255.255.255.0 dest: addr = 10.1.5.3/255.255.255.0S Current peer: 172.23.2.7 Security-association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={proposal4,} -Display text omitted- 4.5.3 Áp dụng Crypto map vào Interface. Để áp dụng một tập hợp crypto map vào interface, hoàn thành những bước sau bắt đầu trong chế độ cấu hình toàn cục: Lệnh Mục đích Bước 1 Hq-sanjose(config)# interface serial 2/0 Chỉ rõ một giao diện vật lý để áp dụng crypto map và vào kiểu cấu hình giao diện. Thí dụ này chỉ rõ serial interface 2/0 trên headquarter Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 89 router. Bước 2 Hq-sanjose(config-if)# crypto map s4second Áp dụng tập hợp crypto map đến giao diện vật lý. Thí dụ cấu hình này crypto map s4second cái mà đã được tạo trong “ tạo ra những mục crypto map” Bước 3 Hq-sanjose(config-if)# exit Hq-sanjose(config)# Trở lại chế độ cấu hình toàn cục Bước 4 Hq-sanjose# clear crypto sa Trong chế độ privileged EXEC, xoá IPSec SAs hiện tại vì rằn bất kỳ sự thay đổi se được sử dụng ngay lập tức. 4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface Để kiểm tra cấu hình, đưa vào lệnh Show crypto map interface 2/0 trong mode EXEC để xem crypto map được áp dụng tới một interface được chỉ định. Hq-sanjose# show crypto map interface serial 2/0 Crypto Map "s4second" 2 ipsec-isakmp Peer = 172.23.2.7 Extended IP access list 111 access-list 111 permit ip host 10.2.2.2 host 10.1.5.3 Current peer:172.23.2.7 Security association lifetime:4608000 kilobytes/1000 seconds PFS (Y/N):N Transform sets={ proposal4, } 5. Cấu hình những tính năng Cisco IOS Firewall Phần mềm Cisco IOS cung cấp một sự thiết lập mở rộng của những tính năng bảo mật với cái mà bạn có thể cấu hình firewall đơn giản hay phức tạp, tuỳ theo mức độ những yêu cầu. Khi bạn cấu hình những tính năng của Cisco IOS firewall trên Router Cisco, bạn thay đổi router của bạn vào trong một firewall có hiệu quả mạnh mẽ Những tính năng của Cisco IOS firewall thì được thiết kế để ngăn chặn sự không được phép truy nhập, những người không được phép truy nhập tới mạng bên trong của bạn, và ngăn chặn sự tấn công tới mạng, trong khi cùng thời điểm Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 90 đó cho phép những người dùng hợp pháp được phép truy nhập tới tài nguyên mạng 5.1 Tạo ra Access list mở rộng và sử dụng số Access list Để tạo ra một access list mở rộng cái mà chắc chắn không cho phép hoặc cho phép kiểu traffic, hoàn thành những bước sau bắt đầu trong chế độ cấu hình toàn cục. Lệnh Mục địch Bước 1 Hq(config)# access-list 102 deny tcp any any Xác định acces-list 102 và cấu hình access-list để từ chối tất cả các dịch vụ của TCP Bước 2 Hq(config)# access-list 102 deny udp any any Cấu hình access-list 102 để từ chối tất cả các dịch vụ UDP Bước 3 Hq(config)# access-list 102 permit ip any any Cấu hình access-list 102 để cho phép tất cả dịch vụ IP 5.2 Kiểm tra Access list mở rộng. Để kiểm tra cấu hình đưa vào lệnh Show access-list 102 trong chế độ EXEC để hiển thị nội dùng của access-list. hq-sanjose# show access-list 102 Extended IP access list 102 deny tcp any any deny udp any any permit ip any any 5.3 Áp dụng Access-list tới Interface Sau khi tạo ra một access-list bạn có thể áp dụng nó vào một hoặc nhiều interface. Access-list có thể được áp dụng đi ra ngoài hoặc đi vào trong interface Để áp dụng một access-list đi vào hoặc đi ra một interface, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục. Lệnh Mục đích Bước 1 Hq-sanjose(config)# interface serial 1/0 Chỉ rõ serial interface 1/0 trên headquarter router và đưa vào chế độ cấu hình interface Bước 2 Hq-sanjose(config-if)# ip access-group 102 in Cấu hình access-list 102 đi vào trong serial interface 1/0 trên headquarter router. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 91 Bước 3 Hq-sanjose(config-if)# ip access-group 102 out Cấu hình access-list 102 đi ra ngoài serial interface 1/0 headquarter router. Bước 4 Hq-sanjose(config-if)# exit Hq-sanjose(config)# Trở lại chế độ cấu hình toàn cục 5.4 Kiểm tra Access-list được áp dụng chính xác Để kiểm tra cấu hình. Đưa vào lệnh Show ip interface 1/0 trong chế độ EXEC để xác nhận access-list đã được áp dụng chính xác trên interface. hq-sanjose# show ip interface serial 1/0 Serial1/0 is up, line protocol is up Internet address is 172.17.2.4 Broadcast address is 255.255.255.255 Address determined by setup command Peer address is 172.24.2.5 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 102 Inbound access list is 102 -Display text omitted- Kêt luận: Trong bài viết chúng ta đã cùng nhau lướt qua cách thiết lập một VPN trên phần mềm Cisco IOS. Thật ra đây là một cách thiết lập khá phức tạp và đòi hỏi một kỹ năng thực hành cao, có độ hiểu biết nhất định về cấu hình router để xác đinh được mục đích bài cấu hình. Phần mềm Cisco IOS rất mạnh và cũng là một phần mềm chẳng đơn giản chút nào. Có rất nhiều option trong chế độ cấu hình toàn cục, nếu bạn biết cách phát huy hay sử dụng nó đúng thì bạn có thể trở thành một người quản trị mạng giỏi Tốt nhất khi thiết lập bất kỳ cấu hình nào, điều mà bạn nên nhơ đầu tiên là có gắng đơn giản việc thiết lập để chắc chắn rằng những cái chúng ta vừa thiết lập hoạt động chính xác. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 92 Chương 5 CẤU HÌNH VPN TRÊN WINDOWS SERVER 2003 1. Giới thiệu chung VPN trên Windows 2003 dưới dạng Remote Access sẽ cho phép các máy tính truy nhập đến mạng nội bộ của công ty thông qua Internet. Có thể xây dựng một mô hình đơn giản như sau:  Modem ADSL có địa chỉ IP tĩnh. Trong trường hợp không có địa chỉ IP tĩnh, có thể sử dụng DDNS.  01 máy tính cài hệ điều hành Windows 2003 Server. Máy tính này sử dụng để cấu hình VPN Server. Máy tính này nên sử dụng 02 card mạng. Máy tính từ xa sử dụng Windows XP, Windows 2000, có thể đặt kết nối VPN để kết nối đến Server nói trên Hình 59 2. Cài đặt VPN Server Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet Connection Sharing (ICS) và chuyển dịch vụ đó sang chế độ Disable (mặc định sau khi cài là Automatic). Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 93 Chạy Services Manager bằng cách click Start->Programs-> Administrative Tools->Services. Giao diện của Services Manager như Hình 60 Hình 60 Trong Hình 60, tìm service Windows Firewall/Internet Connection Sharing (ICS). Chuột phải vào tên service đó, trên menu chuột phải, chọn Properties. Xuất hiện hộp thoại Windows Firewall/Internet Connection Sharing (ICS) Properties. (Hình 61) Hình 61: Windows Firewall/Internet Connection Sharing (ICS) Properties Trong Hình 61, lựa chọn Disabled trong ô Startup type. Và nhắp nút Stop để dừng service Windows Firewall/Internet Connection Sharing (ICS). Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS), tiến hành cài đặt VPN Server. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 94 Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng cách click Start->Programs->Administrative Tools-> Manager Your Server. Hình 62: Manage Server Trên cửa sổ Manage Your Server (hình 62), click Add or remove a role để cài thêm các dịch vụ của Windows 2003. Hình 63: Configure Your Server Wizard – Preliminary Steps Trong Hình 63, click Next để tiếp tục. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 95 Hình 64: Configure Your Server Wizard – Server Role Hình 64 cho phép lựa chọn các dịch vụ Server trên Windows 2003. Bước này lựa chọn Remote access / VPN server, sau đó nhắp Next để tiếp tục. Hình 65: Configure Your Server Wizard – Summary of Selections Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 96 Hình 65 đưa ra danh sách các dịch vụ của Windows 2003 Server đã được lựa chọn ở Hình 65. Nhắp Next để tiếp Hình 66: Routing and Remote Access Server Setup Wizard – Step 1 Hình 66 là bước đầu tiên để setup Routing and Remote Access. Nhắp Next để tiếp tục. Hình 67: Routing and Remote Access Server Setup Wizard – Step 2 Hình 67 cho phép lựa chọn các cấu hình của dịch vụ Routing and Remote Access. Bước này chọn Custom configuration. Sau đó chọn Next để tiếp tục. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 97 Hình 68: Routing and Remote Access Server Setup Wizard – Step 3 Hình 68 cho phép lựa chọn các dịch vụ bên trong Routing and Remote Access. Bước này lựa chọn VPN access và Lan routing. Sau đó nhắp Next để tiếp tục. Hình 69: Routing and Remote Access Server Setup Wizard – Step 4 Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 98 Hình 69 kết thúc việc setup Routing and Remote Access. Nhắp Finish để kết thúc. Hình 70: Routing and Remote Access – Start Service Sau khi kết thúc việc setup Routing and Remote Access, xuất hiện hộp thoại yêu cầu start dịch vụ Routing and Remote Access, chọn Yes để xác nhận việc start dịch vụ đó. Hình 71: Configure Your Server Wizard – Finish Hình 72 thông báo kết thúc Configure Your Server Wizard. Nhắp Finish để kết thúc. Sau bước này, thực hiện việc cấu hình VPN Server. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 99 3. Cấu hình VPN Server Hình 73: Manage Server Sau khi cài đặt Routing and Remote Access, để cấu hình VPN Server, có thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN server (Hình 73). (Hoặc có thể click Start-> Programs-> Administrative Tools-> Routing and Remote Access). 3.1. Route and Remote Access Properties Hình 74: Routing and Remote Access Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 100 Hình 74 là giao diện chính của Routing and Remote Access. Để cấu hình, chuột phải vào tên máy (tên server trong ví dụ là FREE4VN-HOME), trên menu chuột phải chọn Properties. Chú ý: trên menu chuột phải có một số chức năng cần quan tâm:  Disable Routing and Remote Access: Chức năng này được sự dụng khi ta muốn xoá cấu hình Routing and Remote Access cũ để tạo 1 cấu hình mới. Sau khi disable, trên menu chuột phải nói trên, chọn Configure and Enable Routing and Remote Access, để cấu hình một Routing and Remote Access mới.  All Tasks với các chức năng con như Start, Stop, Pause, Resume, Restart được sử dụng đối với service Enable Routing and Remote Access. Việc này cũng tương tự như khi sử dụng Service Manager. Hình 75: FREE4VN-HOME Properties – Tab General Hình 75 là Properties của FREE4VN-HOME. Cần chú ý đến 3 tab là General, Security và IP. Trong Tab General, cần kiểm tra mục Router và Remote access server đã được check. Mục Router cho phép định tuyến các yêu cầu từ VPN Client đến các máy trong mạng nội bộ. Mục Remote access server cho phép các VPN client kết nối đến được. Nên chọn LAN and demand-dial routing. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 101 Hình 76: FREE4VN-HOME Properties – Tab Security Hình 76 là tab Security, tab này cho phép lựa chọn Authentication provider và Accounting provider. Nếu trong mạng nội bộ có 1 máy tính cài RADIUS, có thể lựa chọn Authentication provider và Accounting provider là RADIUS. Trong ví dụ này, lựa chọn Windows Authentication và Windows Accounting. Hình 77: FREE4VN-HOME Properties – Tab IP Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 102 Hình 77 cho phép lựa chọn IP cho kết nối VPN. Bước này nên chọn Static address pool, sau đó nhắp nút Add. Hình 78: Tab IP – New Address Range Trong Hình 78, nhập các giá trị vào các ô Start IP address và End IP address. Các IP trong dải này sẽ được cấp tự động cho mỗi kết nối VPN. 3.2. Ports Properties Trong giao diện chính của Routing and Remote Access (Hình 74), chuột phải vào Ports, trên menu chuột phải, chọn Properties. Xuất hiện hộp thoại Ports Properties (Hình 79). Hình 79: Ports Properties Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 103 Trên Hình 79, có thể nhận thấy số miniport cho PPTP và L2TP đều là 128. Mỗi miniport chính là 1 kết nối VPN từ máy client đến Server. Để giảm các số này xuống, lựa chọn vào WAN Miniport (PPTP), sau đó nhắp Configure. Hình 80: Configure Device – WAN Miniport (PPTP) Trong Hình 80, thay đổi tham số Maximum ports từ 128 xuống còn 5. Thực hiện tương tự đối với WAN Miniport (L2TP). Với cấu hình này Server sẽ chấp nhận tối đa 10 kết nối VPN, trong đó có 5 VPN Client sử dụng tunnel PPTP, 5 VPN Client sử dụng tunnel L2TP. Chú ý: Nếu lựa chọn số kết nối tối đã VPN lớn hơn số địa chỉ IP cấp trong Hình 78, khi các kết nối đến VPN hết địa chỉ IP, VPN Server sẽ lấy địa chỉ IP của 1 DHCP Server trong mạng cấp cho kết nối VPN đó. Nếu kô có DHCP Server trên mạng, sẽ có thông báo lỗi, không cho phép kết nối. 3.3. Remote Access Policies Bước cuối cùng là cho phép truy cập qua Remote Access Policy. Hình 81: Remote Access Policies Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 104 Trong Hình 81, chọn Remote Access Policies. Remote Access Policies có 2 lựa chọn là Connections to Microsoft Routing and Remote Access Server và Connections to other access server. Chuột phải vào Connections to Microsoft Routing and Remote Access Server, trên menu chuột phải chọn Properties. Hình 82: Connections to Microsoft Routing and Remote Access Server Properties Trong Hình 82, lựa chọn Grant remote access permission, sau đó nhắp OK để xác nhận.Thực hiện công việc tương tự đối với lựa chọn Connections to other access server. Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối VPN. 4. Tạo User trên Windows cho phép sử dụng VPN Như đã biết, việc tạo user trên Windows sử dụng Computer Manager. Để chạy Computer Manager, click Start->Programs->Administrative Tools- >Computer Manager. Giao diện chính của Computer Manager như Hình 83. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 105 Hình 83: Computer Manager – Local User and Groups Trên Hình 83, Chọn System Tools->Local Users and Groups->Users. Sau đó chuột phải vào user muốn cho phép dùng VPN, ví dụ user centos4. Trên menu chuột phải, nhắp Properties. Hình 84: User Properties Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 106 Trên Hình 84, chọn Tab Dial-in. Trong tab này, chọn Allow access. Nếu muốn chỉ chính xác địa chỉ IP cấp cho VPN Client đối với user trên, chọn Assign a Static IP Address. Sau đó gõ địa chỉ IP vào ô tương ứng. Địa chỉ này có thể nằm ngoài dải IP mà ta đã chọn ở Hình 78. Tuy nhiên nó nên nằm cùng lớp với dải IP đó. Sau bước này, user centos4 có thể kết nối VPN đến VPN Server. 5. VPN Client trên Windows XP Trên Windows 2000, Windows XP, có thể tạo kết nối VPN đến VPN Server mà ta đã cài đặt và cấu hình ở các bước trên. Dưới đây sẽ hướng dẫn cách tạo kết nối VPN đến một VPN Server trên Windows XP. Chuột phải vào biểu tượng My Network Places trên desktop, trên menu chuột phải click Properties. Xuất hiện hộp thoại Network Connections (xem Hình 85) Hình 85: Network Connections (VPN Client) Trên Hình 85 nhắp vào Create a new connection. Xuất hiện hộp thoại New Connection Wizard với 6 bước cấu hình. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 107 Hình 86: New Connection Wizard – Step 1 (VPN Client) Trong Hình 86, click Next để tiếp tục. Hình 87: New Connection Wizard – Step 2(VPN Client) Hình 87 cho phép lựa chọn các kiểu connect. Bước này chọn Connect to the network at my workplace, sau đó nhắp Next để tiếp tục. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 108 Hình 88: New Connection Wizard – Step 3(VPN Client) Hình 88, lựa chọn Virtual Private Network connection, sau đó click Next để tiếp tục. Hình 89: New Connection Wizard – Step 4(VPN Client) Hình 89 cho phép tạo tên cho kết nối vpn, trong ví dụ này, gõ free4vn.org, sau đó click Next để tiếp tục. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 109 Hình 90: New Connection Wizard – Step 5 (VPN Client) Hình 90 cho phép gõ địa chỉ IP của Server được cài đặt dịch vụ VPN Server. Có thể dùng địa chỉ IP tĩnh được gán cho Modem ADSL hoặc domain name tương ứng. Hình 91: New Connection Wizard – Finish (VPN Client) Hình 91, kết thúc New Connection Wizard, click Finish để kết thúc. Sau bước này, trong Nework Connection ở Hình 85 sẽ có thêm một connect có tên là Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 110 free4vn.org. Để kết nối đến VPN Server, nhắp đúp vào kết nối đó. Hộp thoại Connect như Hình 92. Hình 92: Connect to free4vn.org (VPN Client) Trên Hình 92, để kết nối đến VPN Server cần gõ User name, Password mà ta đã khai báo trong mục 4. Tạo User trên Windows cho phép sử dụng VPN. Sau đó nhắp Connect để kết nối đến VPN Server. Có thể click Properties để thêm các lựa chọn cho kết nối đó. Hình 93: free4vn.org Properties – tab Options (VPN Client) Trong Hình 93, tab Options, có thể sử dụng tính năng Redial if line dropped để VPN Client tự động kết nối lại VPN Server sau khi kết nối VPN bị ngắt đoạn (có thể do kết nối Internet lỗi). Lựa chọn này cũng cho phép người quản trị VPN Server có thể reset kết nối giữa VPN Client và VPN Server. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 111 Khi kết nối đến VPN Server, theo cấu hình ngầm định thì máy client sẽ dùng Gateway là VPN Server. Như vậy có thể không dùng Internet trên máy client được. Để thay đổi điều này, lựa chọn tab Networking. Hình 94: free4vn.org Properties – tab Networking (VPN Client) Trong Hình 94, click vào Internet Protocol (TCP/IP), sau đó nhắp nút Properties. Hình 95: Internet Protocol (TCP/IP)Properties (VPN Client) Trong Hình 95, nhắp vào Advanced. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 112 Hình 96: Advanced TCP/IP Settings – tab Genera (VPN Client)l Trong Hình 96, bỏ chọn Use default gateway on remote network. Sau khi Connect đến VPN Server, trên VPN Client sẽ xuất hiện thông báo xác nhận kết nối thành công. Hình 97: Kết nối VPN thành công (VPN Client) Một kết nối VPN cũng như một kết nối mạng thông thường. Để xem trạng thái của kết nối đó, chuột phải vào kết nối, trên menu chuột phải chọn Status (xem Hình 98). Hình 98: Menu chuột phải của Kết nối VPN (VPN Client) Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 113 Hình 99: Status của kết nối VPN (VPN Client) Trong hộp thoại Status của kết nối VPN, chọn tab Details, chú ý địa chỉ IP mà Client được cấp đối với kết nối VPN đó. Địa chỉ này cũng có thể được cấp cố định với từng user và cũng có thể theo dõi trên VPN Server 6. Quản lý kết nối trên VPN Server Trên VPN Server cũng có thể theo dõi các kết nối VPN. Khi VPN Client cung cấp địa chỉ theo dải địa chỉ mà ta đã set ở Hình 18 hoặc đối với từ user ở Hình 24. Để theo dõi các kết nối VPN trên Server, có thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN server .(Hoặc có thể click Start->Programs->Administrative Tools->Routing and Remote Access). Hình 100: Remote Access Client Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 114 Trên Hình100, click vào Remote Access Client, trong cửa sổ bên phải sẽ hiển thị các user đang kết nối vào VPN Server. Chuột phải vào user, trên menu chuột phải, click Status. Hình 101: Status của kết nối VPN trên Server Trên Hình 101 là Status của kết nối VPN trên user centos4. Chú ý đến phần địa chỉ IP cấp cho kết nối đó. Và chú ý đến nút Disconnect để ngắt kết nối VPN đó. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 115 Kết luận VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Giải pháp VPN "mềm" giới thiệu trong bài viết này thích hợp cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, có thể phải cần đến giải pháp VPN phần cứng. Trong bài này, em đã giới thiệu các giải pháp công nghệ cho việc xây dựng một mạng riêng ảo. Triển khai từ lý thuyết đến thực tiễn trong các vấn đề giải quyết mạng riêng ảo nói chung, các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng. Sau đó em đã giới thiệu đến các giao thức VPN chủ yếu được hỗ trợ trong Windows Server và client, giới thiệu một số vấn đề bảo mật đối với các giao thức VPN trước đó. Mặc dù đã cố gắng hết sức, song chắc chắn không chánh khởi những thiếu sót. Em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy cô, các anh chị và các bạn Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 116 Tài liệu tham khảo 1. Mạng máy tính và hệ thống mở - Nguyễn Thúc Hải, NXB Giáo dục 1997 2. Cisco System “ Cisco Networking Academy CCNA semester 2 v3.0 ” 3. Cisco System “ Cisco Networking Academy CCNA semester 4 v4.0 ”. 4. Cisco IOS Enterprise VPN Configuration Guide 5. MCSA/MCSE “ Implementing and Administering Security in a Microsoft Windows 2003 Network” 6. The Complete Cisco VPN Configuration Guide By Richard Deal 7. Webside http:\\ Quantrimang.com 8. Webside http:\\VnExpress.net Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 117 CÁC THUẬT NGỮ VIẾT TĂT ACK Acknowledgment Tin báo nhận AD Active Directory Thư mục hiện hành ADSL Asymmetrical Digital Subscriber Line Đường thuê bao số bất đối xứng AES Advanced Encryption Standard Chuẩn mã hoá cấp cao AH Authentication Header Xác thực tiêu đề ANSI American National Standard Institute Viện tiêu chuẩn quốc gia Hoa Kỳ ATM Asynchronous Transfer Mode Chế độ truyền tải bất đồng bộ CA Certificate Authority Dịch vụ cấp quyền chứng nhận. CBC Cipher Block Chaining Ràng buộc khối mã hoá DC Domain Controller Máy điều khiển miền DES Data Encryption Standard Chuẩn mã hoá dữ liệu DNS Domain Name System Hệ thống tên miền DSS Department of Social Security Bộ an ninh xã hội DSU Digital Service Unit Đơn vị dịch vụ dữ liệu ESP Encapsulating Security Payload Đóng gói tải cần bảo mật FTP File Transfer Protocol Giao thức truyền tập tin GRE Generic Routing Encapsulation Gói định tuyến chung ICMP Internet Control Message Protocol Giao thức thông điệp điều khiển Internet ID ID Chỉ danh IKE Internet Key Exchange Chuyển khoá Internet IP Internet Protocol Giao thức Internet IPX Internet Packet Exchange Giao thức chuyển đổi gói Internet ISA Server Microsoft Internet Seccurity an Acceleration Server Phần mềm bảo mật Internet của Microsoft ISAKMP Internet Security Association and Key Management Protocol Hệ thống bảo mật Internet và giao thức quản lý khoá. ISDN Integrate Services Digital Network Mạng tích hợp số đa dịch vụ ISO International Standards Organization Tổ chức tiêu chuẩn quốc tế IV Intitialization Vector Vectơ khởi tạo L2F Layer 2 Forwarding Giao thức hướng lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức tạo đường hầm lớp 2 LAN Local Area Network Mạng cục bộ LDAP Lighweight Directory Access Protocol Dịch vụ thư mục của IETF MAC Medium Access Control Kiểm soát truy nhập môi trường Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 118 truyền thông MPPE Microsoft Point to Point Encryption Mã hoá điểm - điểm của Microsoft NAS Network Access Server Máy chủ truy cập mạng NetBEIU NetBIOS Enhanced User Interface Giao thức- giao diện người dùng mở rộng trong NetBIOS NFS Network File System Hệ thống file mạng OSI Open Systems Interconnection Mô hình liên kết các hệ thống mở PC Personal Computer Máy tính cá nhân POP Point of Presence Điểm hiện diện POP Post Office Protocol Giao thức bưu điện PPP Point to Point Protocol Giao thức điểm - điểm PPTP Point to Point Transfer Protocol Giao thức chuyển giao điểm - điểm PSTN Public – Switched Telephone Network Mạng điện thoại chuyển mạch công cộng QoS Quality of Service Chất lượng dịch vụ RADIUS Remote Authentication Dial-In User Service Dịch vụ truy nhập bằng điện thoại xác nhận từ xa RSA Rivest, Shamir, Adleman Hệ mật mã khoá công khai SA Security Association Tổ hợp an ninh SDL Synchronous Data Link Liên kết dữ liệu đồng bộ SHA Secure Hash Algorithm Thuật toán phân tách bảo mật SMTP Simple Mail Transfer Protocol Giao thức truyền mail đơn giản SNMP Simple Network Management Protocol Giao thức quản trị mạng đơn giản SPD Security Policy Database Chính sách bảo mật cơ sở dữ liệu SPI Security Parameters Index Danh mục các tham số bảo mật TCP Transmission Control Protocol Giao thức điều khiển truyền thông UDP User Datagram Protocol Giao thức gói dữ liệu người dùng UTP Unshielded Twisted – Pair Cáp xoắn không bọc kim VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng