THUẬT NGỮ VIẾT TĂT 117
Lời mở đầu
Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là
sử dụng một kết nối quay số. Các kết nối RAS dial-up làm việc trên các đường
điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt
vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS,
tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài
cần có cho việc truy cập
Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở
rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông
tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị
đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty
và các doanh nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong
các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng
Internet.
VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một
giải pháp an toàn cho các: Tổ chức, doanh nghiệp và các doanh nhân trao đổi
thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và
bảo mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí
cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu).
Là một sinh viên công nghệ, phần nào em cũng hiểu được sự băn khoăn
và lo lắng về sự mất an toàn bảo mật khi trao đổi thông tin của các tổ chức, cá
nhân. Với sự hướng dẫn, và giúp đỡ của thầy cô và bạn bè, em chọn đề tài mạng
riêng ảo (VPN) để nghiên cứu và các giải pháp công nghệ cho vấn đề xây dựng
mạng riêng ảo. Nghiên cứu các mô hình truy cập, các phương pháp xác thực và
ứng dụng triển khai cài đặt trên các hệ thống mạng.
118 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 3577 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Khóa luận Nghiên cứu mạng riêng ảo VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ao thức an toàn lai cái mà thực hiện khoá Oakley và
SKEME thay đổi bên trong khung giao thức quản lý khoá và hiệp hội an toàn
Internet (ISAKMP). Trong khi IKE có thể được sử dụng với những giao thức
khác, sự thi hành ban đầu của nó với giao thức IPSec. IKE cung cấp sự chứng
thực của IPSec ngang hang, điều chỉnh sự kết hợp an toàn IPSec, thiết lập những
khoá IPSec, và cung cấp IKE keeppalives. IPSec có thể được cấu hình mà không
có IKE,trừ phi IKE tăng cường IPSec bởi việc cung cấp thêm những tính năng,
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 75
độ linh hoạt, dễ dàng của cấu hình cho chuẩn IPSec, và keepalives, cái mà toàn
ven trong mạng đạt đựơc dư thừa khi được cấu hình với GRE.
Chứng nhận quyền thao tác (CAs) giữa các phần được cung cấp bởi ISM
trong sự hỗ trợ của chuẩn IPSec. Nó cho phép các thiết bị Cisco IOS và CAs
được giao tiếp với nhau vì rằng thiết bị Cisco IOS của bạn có thể đang tồn tại và
sử dụng chứng nhận số từ CA.
Mặc dù thiết bị Cisco IOS có thể được thực hiện trong mạng của bạn mà
không sử dụng một CA, việc sử dụng một CA cung cấp điều khiển được và tính
biến đổi của IPSec.
CA phải được cấu hình đúng cách để đưa ra những chứng nhận. Bạn phải
cũng cấu hình tương đương để đạt được sự chứng nhận từ CA.
Để cung cấp sự mã hoá và những dịch vụ IPSec tunneling trên một Ciso
IOS VPN gateway bạn phải hoàn thành những công việc sau đây:
Sự đinh cấu hình những chính sách IKE
Sự kiểm tra những chính sách IKE
Định cấu hình IPSec và chế độ IPSec tunnel
Định cấu hình những bản đồ mật mã
4.1. Cấu hình những chính sách IKE:
Sự trao đổi chìa khoá Internet thì được cho phép bởi mặc định. IKE
không có được sự cho phép cho những giao diên cá nhân, nhưng được cho phép
toàn cầu cho tất cả các giao diện trong router. Bạn phải tạo ra những chính sách
tại mỗi sự tương đương. Một chính sách IKE định nghĩa một sự kết hợp của
những thông số an toàn để được sử dụng trong thời gian IKE thoã thuận.
Bạn có thể tạo ra nhiều chính sách IKE, mỗi chính sách với một sự kết
hợp khác nhau của những giá trị tham số. Nếu bạn không cấu hình một chính
sách IKE nào, Router sử dụng chính sách theo mặc định, cái mà luôn đặt quyền
ưu tiên thấp nhất, và cái mà chứa một tham số giá trị mặc định.
Với mỗi một chính sách mà bạn tạo ra, bạn gán một giá trị ưu tiên duy
nhất (từ 1 đến 10.000 với 1 có độ ưu tiên cao nhất). Bạn có thể cấu hình nhiều
chính sách trên mỗi sự tương đương – nhưng tại ít nhất một trong những chính
sách này phải bao gồm chính xác cùng sự mã hoá, hash, quyền chứng thực, và
những giá trị tham số Diffie-Hellman như một trong chính sách trên mạng ngang
hang từ xa. Nếu bạn không chỉ rõ một giá trị cho một tham số, giá trị mặc định
được đưa vào.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 76
IKE keepalives “hello packets” được yêu cầu phát hiện ra một sự mất mát
của kết nối, cung cấp những kết nối dư thừa cho mạng. Nếu HQ-SANJOSE của
bạn thuê nhiều hơn hai Router và dùng IPSec, bạn có thể chỉ rõ độ dài gói tin của
keepalive hoặc sử dụng thời gian mặc là 10s. Để chỉ rõ độ dài khoảng thời gian
tại nơi mà những gói tin keepalive được gửi, sử dụng lệnh cry isakmp keepalive,
như được minh hoạ trong bước 2” Tạo ra những chính sách IKE”.
Mục này bao gồm những bước cơ bản để cấu hình những chính sách và
bao gồm những công việc theo sau đây:
Tạo ra những chính sách IKE
Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE
Cấu hình những khoá dùng chung ban đầu.
4.1.1 Tạo ra những chính sách IKE.
Để tạo ra một chính sách IKE, hoàn thành những bước sau đây bắt đầu
trong chế độ cấu hình chung (global configuration mode):
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# crypto
isakmp policy 1
Nhập vào lệnh config-isakmp và
nhận dạng policy được tạo ra (Mỗi
policy thì duy nhất được nhận biết
bởi số ưu tiên mà bạn gán vào). Ở
đây được cấu hình là policy 1
Bước 2 Hq-sanjose(config-isakmp)#
cry isakmp keepalive 12 2
Bước tuỳ chọn: chỉ rõ khoảng thời
gian của gói tin IKE keepalive
(Mặc định là 10s) và thử lại một lần
nữa khoảng thời gian khi gói tin
keepalive bị lỗi. Ở đây cấu hình
keepalive interval là 12s và khoảng
thời gian thử lại là 2s
Bước 3 Hq-sanjose(config-isakmp)#
encryption des
Chỉ định thuật toán mã hoá -56bit
chuẩn mã hoá dữ liệu (DES[des])
hay 168bit Triple DES (3des).Ở
đây cấu hình thuật toán DES, cái
mà được mặc định.
Bước 4 Hq-sanjose(config-isakmp)#
hash sha
Chỉ rõ thuật toán hash-Message
Digest 5 (MD5 [md5]) hoặc thuật
toán bảo mật (SHA [sha]) Ở đây
cấu hình SHA, cái mà được mặc
định.
Bước 5 Hq-sanjose(config-isakmp)#
authentication pre-share
Chỉ rõ phương pháp xác thực – pre-
share keys (pre-share). RSA1 được
mã hoá hiện tại (rsa-encr), hoặc
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 77
giải thuật RSA (rsa-slg). Ở đây cấu
hình theo mặc định pre-share keys
là giải thuật RSA.
Bước 6 Hq-sanjose(config-isakmp)#
group 1
Chỉ rõ Diffie-Hellman group định
danh -768bit. Diffie-Hellman (1)
hoặc 1024bit Diffie-Hellman (2). Ở
đây cấu hình theo mặc định là
Diffie-Hellman (1) với 768bit.
Bước 7 Hq-sanjose(config-isakmp)#
lifetime 86400
Chỉ rõ thời gian kết hợp an toàn -
được xác định bằng giây. Ở đây cấu
hình 86400s (một ngày).
Bước 8 Hq-sanjose(config-isakmp)#
exit
Hq-sanjose(config)#
Trở về chế độ cấu hình toàn cục
RSA = Rivest, Shamir, and Adelman
4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE:
Phụ thuộc vào phương pháp chứng thực nào mà ban chỉ định trong những
chính sách của bạn, bạn cần hoàn thành một cấu hình bổ xung trước khi IKE và
IPSec có thể cấu hình thành công sử dụng những chính sách IKE.
Mỗi phương pháp chứng thực đòi hỏi một cấu hình được thêm vào như
theo sau đây:
Phương pháp giải thuật RSA:
Nếu bạn chỉ định giải thuật RSA như là phương pháp chứng thực
trong một chính sách, bạn phải cấu hình tương đương để đạt được
chứng nhận từ một trung tâm chứng nhận uỷ quyền (CA).
Chứng nhận thì được sử dụng bởi mỗi sự tương đương để đảm bảo
chắc chắn trao đổi những chìa khoá công cộng. Khi cả những thiết
bị cùng giao thức và hợp lệ được chứng nhận, chúng sẽ tự động
trao đổi những chìa khoá công cộng với một thiết bị mạng khác
như là phần của bất kỳ sự thoả thuận IKE trong nhận dạng RSA thì
được sử dụng.
Phương pháp mã hoá RSA.
Nếu bạn chỉ định RSA được mã hoá như là phương pháp xác thực
trong một chính sách. Bạn cần phải chắc chắn rằng mỗi thiết bị
mạng cùng giao thức có những chìa khóa công cộng của cùng một
giao thức khác.
Không giống như giải thuật RSA, phương pháp mã hoá RSA
không sử dụng chứng nhận để trao đổi những chìa khoá công cộng.
Thay vào đó, bạn chắc chắn rằng mỗi thiết bị có cùng một giao
thức có những chìa khoá công cộng khác bởi được làm theo sau
đây:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 78
- Cấu hình những chìa khoá RSA được điều khiển bằng tay.
- Chắc chắn rằng một IKE trao đổi đang sử dụng giải thuật
RSA ngay khi xuất hiện giữa những thiết bị mạng có cùng
giao thức.
- Để làm cho điều này xảy ra, chỉ định hai chính sách: một
chính sách có độ ưu tiên cao với Mã hoá RSA hiện tại, và
một chính sách có độ ưu tiên thấp với Giải thuật RSA. Khi
những sự điều chỉng IKE xuất hiện, Giải thuật RSA sẽ được
sử dụng đầu tiên bởi vì những thiết bị mạng ngang hang còn
chưa có những chìa khoá công cộng khác. Rồi, tương lai sự
điều chỉnh IKE sẽ được sử dụng Mã hoá RSA hiện tại bởi vì
những chìa khoá công cộng sẽ được trao đổi.
Dĩ nhiên, thay thế này yêu cầu rằng bạn có CA hỗ trợ cấu
hình.
Phương pháp chứng thực Những khoá dùng chung
Nếu bạn chỉ định Những khoá dùng chung như là phương pháp
chứng thực trong một chính sách, bạn phải cấu hình Những khoá
dùng chung này.
Phương pháp chứng thực chứng chỉ số:
Nếu bạn chỉ định những chứng chỉ số như là phương pháp chứng thực
trong một chính sách, CA phải được đúng cách cấu hình để đưa ra chứng nhận.
Bạn cũng phải cấu hình cho những thiết bị mạng cùng giao thức để thu được sự
chứng nhận từ CA.
Những chứng nhận số đơn giản hoá sự chứng thực. Bạn cần chỉ kết nạp
mỗi thiết bị mạng cùng giao thức với CA, hơn là việc định cấu hình bằng tay cho
mỗi thiết bị mạng cùng giao thức để trao đổi những chìa khóa.
4.1.3 Cấu hình Những khoá dùng chung
Để cấu hình pre-share keys tại mỗi peer, hoàn thành những bước cấu hình
sau đây trong chế độ cấu hình toàn cục.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# crypto
isakmp identity address
Tại local peer: Chỉ rõ nhận
dạng ISAKMP (address or
hostname) headquarter router
sẽ sử dụng khi nối với remote
office router trong thời gian
IKE điều chỉnh. Ở đây chỉ rõ từ
khoá address sử dụng địa chỉ IP
172.17.2.4 (serial interface 1/0
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 79
của headquarter router) như sự
nhận dạng cho headquarter
router.
Bước 2 Hq-sanjose(config)# crypto
isakmp key test12345 address
172.24.2.5
Tại local peer: Chỉ rõ những
khoá chung headquarter router
sẽ sử dụng với remote office
router. Ở cấu hình này khoá
dùng chung là test12345 được
sử dụng với remote peer
172.24.2.5 (serial interface 1/0
trên remote office router)
Bước 3 Ro-rtp(config)# crypto isakmp
identity address
Tại remote peer: Chỉ rõ nhận
dạng ISAKMP (address or
hostname) remote office router
sẽ sử dụng khi nối với
headquarter router trong thời
gian IKE điều chỉnh. Một lần
nữa, Ở đây chỉ rõ từ khóa
address sử dụng địa chỉ IP
172.24.2.5 (serial interface 1/0
của remote office router) như
sự nhận dạng cho remote office
router.
Bước 4 Ro-rtp(config)# crypto isakmp
key test 12345 address 172.17.2.4
Tại remote peer: Chỉ rõ chìa
khoá dùng chung được sử dụng
voéi local peer. Chìa khoá này
bạn phải chỉ định cùng nhau tại
local peer. Ở đây cấu hình chìa
khoá dùng chung là test12345
được sử dụng với local peer
172.17.2.4 (serial interface 1/0
trên headquarter router)
Chú ý: Thiết lập một ISAKMP nhận dạng bất cứ khi nào bạn chỉ định
những khoá dùng chung. Những từ khoá address thì đặc trưng được sử dụng
khi chỉ có một giao diện cái mà sẽ được sử dụng bởi những thiết bị cùng giao
thức cho sự điều chỉnh IKE, và địa chỉ IP thì được biết. Sử dụng từ khoá
Hostname nếu có nhiều hơn một giao diện trên thiết bị mạng cùng giao thức
cái mà phải được sử dụng cho sự điều chỉnh IKE, hoặc nếu giao diện địa chỉ IP
không biết.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 80
4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số.
Để cấu hình cổng vào IOS của bạn sử dụng chứng chỉ số như là phương
pháp xác thực, sử dụng những bước theo sau, bắt đầu trong chế độ cấu hình toàn
cục. Sự cấu hình này thừa nhận sử dụng IOS chính sách mặc định ISAKMP, mà
được sử dụng giải thuật DES, SHA, RSA, Diffie-Hellman nhóm 1, và một
khoảng thời gian tồn tại là 86,400s. Cisco sử dụng thuật toán mã hoá 3DES.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# cryto ca
identity name
Khai báo một CA. Tên phải đặt
là tên miền của CA. Lệnh này
đặt bạn vào trong chế độ cấu
hình nhận dạng CA
Bước 2 Hq-sanjose(config)# enrollment
url url
Chỉ rõ URL của CA.
Bước 3 Hq-sanjose(config)# enrollment
mode ra
(Để chọn) chỉ rõ kiểu RA nếu hệ
thống CA cung cấp một uỷ
quyền đăng ký (RA). Phần mềm
Cisco IOS tự động xác định
kiểu RA hoặc non-RA; bởi vậy,
nếu kiểu RA được sử dụng, lệnh
này được viết tới NVRAM
trong thời gian “viết lên bộ nhơ”
Bước 4 Hq-sanjose(config)# query url url Chỉ rõ vị trí của dịch vụ LDAP
nếu hệ thống CA của bạn cung
cấp một RA và hỗ trợ giao thức
LDAP.
Bước 5 Hq-sanjose(config)# enrollment
retry period minutes
Chỉ rõ những Certificates khác
tương đương có thể vẫn được
chấp nhận bởi router thậm chí
nếu CRT thích hợp thì không có
thể tới được router của bạn.
Bước 6 Hq-sanjose(config)# enrollment
retry cout number
chỉ rõ mức độ thời gian bao lâu
router sẽ tiếp tục gửi Certificate
không thành công đòi hỏi trước
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 81
khi từ bỏ.Theo mặc định, router
sẽ không bao giờ từ bỏ thử.
Bước 7 Hq-sanjose(config)# crt optional Chỉ rõ rằng những Certificate
tương đương khác có thể vẫn
được chấp nhận bởi router của
bạn thậm chí nếu CRL thích
hợp thì không có thể tới được
router của bạn
Bước 8 Hq-sanjose(config)# exit Thoát khỏi chế độ cấu hình
nhận dạng CA
4.2.1 Kiểm tra IKE Policies
Để kiểm tra cấu hình. Chúng ta đưa vào lệnh Show crypto isakmp policy
trong chế độ EXEC để thấy được default policy và bất kỳ default values trong
cấu hình policies.
Hq-sanjose# show crypto isakmp policy
Protection suite priority 1
encryption algorithm:DES - Data Encryption Standard (56 bit keys)
hash algorithm:Secure Hash Standard
authentication method:Pre-Shared Key
Diffie-Hellman group:#1 (768 bit)
lifetime:86400 seconds, no volume limit
4.2.2 Cấu hình khoá dùng chung khác
Bởi vì những khoá dùng chung đã được chỉ định như phương pháp chứng
thực cho chính sách 1 trong “ Cấu hình những chính sách IKE”. Hoàn thành
những bước cấu hình sau đây tại Headquaters routers cũng như business partner
router.
Bước 1: Đặt cho mỗi ISAKMP sự nhận biết. Mỗi sự nhận biết tương đương
cũng được đặt tới những tên thiết bị khác hoặc bởi những địa chỉ IP của nó. Theo
mặc định, một sự nhận biết tương đương là đặt tới địa chỉ IP của nó. Trong viễn
cảnh này, bạn chỉ cần hoàn thành những công việc tại business partner router.
Bước 2: Chỉ rõ những chìa khoá dùng chung tại mỗi thiết bị tương đương.
Chú ý rằng một khoá dùng chung đã cho thì dùng chung giữa hai thiết tương
đương. Bạn có thể chỉ định cùng chìa khoá để dùng chung với nhiều thiết bị từ
xa tương đương; tuy nhiên, một cách tiếp cận an toàn hơn là chỉ định những
khoá khác để dùng chung giữa những cặp tương đương khác nhau.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 82
Để cấu hình khoá dùng chung khác nhau cho việc sử dụng giữa
headquater router và business partner router, hoàn thành những bước sau trong
chế độ cấu hình toàn cục.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# crypto
isakmp key test67890 address
172.23.2.7
Tại local peer: chỉ rõ khoá dùng
chung headquater router sẽ sử
dụng với business partner router.
Trong ví dụ cấu hình này khoá
dùng chung là test67890 đựơc sử
dụng với remote peer
172.23.2.7(serial interface 1/0 của
business partner router)
Bước 2 Hq-sanjose(config)# crypto
isakmp identity address
Tại remote peer: chỉ rõ nhận dạng
ISAKMP (address hoặc
hostname) business partner
router sẽ sử dụng khi truyền thông
với headquarter router trong lục
IKE điều chỉnh.
Bước 3 Hq-sanjose(config)# crypto
isakmp key test67890 address
172.17.2.4
tại remote peer: chỉ rõ chìa khoá
được chia sẻ để sử dụng được với
local peer.Điều này cũng giống
như chìa khoá bạn đã chỉ định tại
local peer.
Chú ý: Đặt một sự nhận biết ISAKMP bất cứ nơi đâu bạn chỉ rõ những khoá
dùng chung. Từ khoá address tiêu biểu được sử dụng khi có chỉ một interface
(và do đó cũng chỉ có một địa chỉ IP) cái mà sẽ được sử dụng bởi sự ngang nhau
cho sự điều chỉnh IKE, và địa chỉ IP thì được biết đến. Sử dụng từ khoá
hostname nếu có nhiều hơn một interface trên mỗi peer cái mà phải được sử
dụng cho sự điều chỉnh IKE, hoặc nếu địa chỉ IP interface không được biết đến
(như với địa chỉ động được gán vào).
4.3 Cấu hình IPSec và chế độ IPSec tunnel.
Sau khi chúng ta cấu hình xong khoá dùng chung khác, cấu hình IPSec tại
mỗi thiết bị tham gia IPSec peer. Mục này bao gồm những bước cơ bản sau để
cấu hình IPSec và bao gồm những công việc sau:
Tạo ra những danh sách truy nhập mật mã
Kiểm tra danh sách truy nhập mật mã
Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec
tunnel
Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 83
4.3.1 Tạo ra những danh sách truy nhập mật mã.
Danh sách truy nhập mật mã được sử dụng để định nghĩa lưu lượng IP
nào sẽ được bảo vệ bởi mật mã và lưu lượng nào sẽ không được bảo vệ bởi
mật mã. Ví dụ, bạn có tạo ra một access list để bảo vệ tất cả lưu lượng IP
giữa headquarter router và business partner router.
Bản thân access list không đặc trưng cho IPSec. Đó là mục tham chiếu
vào bản đồ mật mã mà đặc biệt access list cái mà định nghĩa liệu có phải
IPSec xử lý được ứng dụng thoả đáng lưu lượng một sự cho phép trong
access list.
Để tạo ra một danh sách mật mã. Đưa vào những dòng lênh sau trong chế
độ cấu hình toàn cục.
Lệnh Mục đích
Hq-sanjose(config)# access list 111
permit ip host 10.2.2.2 host 10.1.5.3
Xác đinh điều kiện để quyết định
những gói IP nào được bảo vệ. Trong
cấu hình này access list 111 mã hoá tất
cả lưu lượng IP giữa headquarter
server(Địa chỉ IP 10.2.2.2) và PC B
(Địa chỉ IP 10.1.5.3) trong business
partner office.
4.3.2 Kiểm tra những danh sách mật mã.
Để kiểm tra sự cấu hình: Đưa vào lệnh show access-list 111 trong chế độ
EXEC để xem thuộc tính của access-list.
Hq-sanjose# show access-lists 111
Extended IP access list 111
permit ip host 10.2.2.2 host 10.1.5.3
4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel
Bạn phải định nghĩa những tập hợp biến đổi bất chấp những giao thức
xuyên đường hầm bạn sử dụng. Để định nghĩa một tập hợp biến đổi và
cấu hình chế độ IPSec tunnel, hoàn thành những bước sau đây bắt đầu
trong chế độ cấu hình toàn cục:
Lệnh Mục đích
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 84
Bước 1 Hq-sanjose(config)# crypto ipsec
transform-set proposal4 ah-sha-
hmac esp-des
Định nghĩa một tập hợp biến
đổi và đưa vào chế độ cấu
hình sự biến đổi mật mã. Thí
dụ này kết hợp AH1 biến đổi
đổi ah-sha-hmac,sự mã hoá
ESP2 biến đổi esp-des, và sự
chứng thực ESP biến đổi
esp-sha-hmac trong tập hợp
chuyển đổi proposal4
Có những quy tắc phức tạp
được định nghĩa những mục
mà bạn sử dụng cho đối số
biến đổi. Những quy tắc này
giải thích trong phần mô tả
lệnh cho crypto ipsec
transform-set. Bạn có thể
cũng sử dụng lệnh crypto
ipsec transform-set?, trong
chế độ cấu hình toàn cục, để
xem sự thay đổi những trọng
số.
Bước 2 Hq-sanjose(cfg-crypto-trans)# mode
tunnel
Thay đổi chế độ được kết
hợp với tập hợp biến đổi. Sự
thiết đặt chế độ thì chỉ có thể
áp dụng tới lưu lượng có
nguồn và những địa chỉ đích
là nhưng địa chỉ IPSec peer;
nó bỏ qua tất cả những lưu
lượng khác. Trong ví dụ chế
độ cấu hình tunnel này cho
transport set proposal4, được
tạo ra một IPSec tunnel giữa
những địa chỉ IPSec peer.
Bước 3 Hq-sanjose(cfg-crypto-trans)# exit
Hq-sanjose(config)#
Trở về chế độ toàn cục
- AH= Đầu mục chứng thực. Đầu mục này, khi nào được thêm tới một gói dữ
liệu
IP, đảm bảo cho sự toàn vẹn và xác thực của dữ liệu, bao gồm những trường bất
biến trong đầu mục IP ở phía ngoài. Nó không cung cấp sự bảo vệ bí mật. AH sử
dụng một chức năng keyed-hash hơn là những giải thuật số hóa.
- ESP = Đóng gói trọng tải tối đa an toàn. Đầu mục này, khi nào được thêm tới
một gói dữ liệu IP, bảo vệ tính bí mật, sự toàn vẹn, và tính xác thực của dữ liệu.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 85
Nếu ESP được sử dụng để cho có hiệu lực sự toàn vẹn dữ liệu, nó không bao
hàm những trường bất biến trong phần đầu mục IP (IP header).
4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel.
Để kiểm tra cấu hình. Đưa vào lệnh show crypto ipsec transform-set trong chế
độ EXEC để nhìn thấy kiểu tập hợp biến đổi cấu hình trên router.
Hq-sanjose# show crypto ipsec transform-set
Transform set proposal4: { ah-sha-hmac }
will negotiate = { Tunnel, },
{ esp-des esp-sha-hmac }
will negotiate = { Tunnel, },
-Display text omitted-
4.5 Cấu hình Crypto Maps.
Trong phần này bao gồm những bước cơ bản để cấu hình crypto map và
bao gồm những công việc sau đây.
Tạo ra những mục Crypto Map
Kiểm tra những mục Crypto Map.
Áp dụng Crypto Map vào interface
Kiểm tra sự kết hợp Crypto Map trên interface.
4.5.1 Tạo ra những mục Crypto Map.
Để tạo ra những mục Crypto map cái mà sử dụng IKE để thiết lập SAs,
hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục.
Lệnh Mục đích
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 86
Bước 1 Hq-sanjose(config)#crypto map
s4second local-address serial
2/0
Tạo ra một Crypto map và xác
định một địa chỉ local (giao diện
vật lý) được sử dụng cho lưu
lượng IPSec. Ví dụ này tạo ra một
crypto map s4second và chỉ rõ
serial interface 2/0 của
headquarter router như local
address. Bước này thì chỉ yêu cầu
nếu bạn trước đây đã sử dụng
lệnh loopback hoặc nếu bạn đang
sử dụng GRE tunnels
Bước 2 Hq-sanjose(config)# crypto map
s4second 2
ipsec-isakmp
Đưa crypto map vào chế độ cấu
hình, chỉ rõ một số trình tự cho
crypto map bạn đã tạo ra trong
bước 1, và cấu hình crypto map
để sử dụng IKE để thiết lập SAs.
Trong trình tự cấu hình này là 2
và IKE cho crypto map là
s4second.
Bước 3 Hq-sanjose(config-crypto-map)#
match address 111
Chỉ rõ một access list mở rộng.
Access list này quyết định lưu
lượng nào được bảo vệ và lưu
lượng nào không được bảo vệ bở
IPSec. Trong ví dụ cấu hình này
access list 111, đã được tạo ra
trong “tạo ra những danh sách
truy nhập mật mã”
Bước 4 Hq-sanjose(config-crypto-map)#
set peer
172.23.2.7
Chỉ rõ một remote IPSec peer
(bởi hostname hoặc IP
address).Peer này được IPSec bảo
vệ, lưu lượng có thể được truyền
qua. Ví dụ này chỉ rõ serial
interface 1/0 (172.23.2.7) trên
business partner router.
Bước 5 Hq-sanjose(config-crypto-
map)# set transform-set
proposal4
Chỉ rõ những transform set nào
được giành cho mục crypto map
này . Liệt kê nhiều transform set
trong sự sắp đặt quyền ưu tiên
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 87
(cao thì ưu tiên trước). Ví dụ này
chỉ rõ transform set proposal4,
mà đã được cấu hình trong phần
“Định nghĩa Transform set và sự
định chế độ IPSec tunnel”
Bước 6 Hq-sanjose(config-crypto-map)#
exit
Hq-sanjose(config)#
Trở lại chế độ toàn cục
Để tạo ra những mục crypto map động cái mà sẽ sử dụng IKE để thiết lâp
SAs, hoàn thành những bước sau đây, bắt đầu trong chế độ toàn cục.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# crypto
dynamic-map
dynamic-map-name dynamic-
seq-num
Tạo ra một mục crypto map động
Bước 2 Hq-sanjose(config)# set
transform-set
transform-set-name1
[transform-set-
name2...transform-set-name6]
Chỉ rõ những transform set nào
được giành cho mục crypto map
này . Liệt kê nhiều transform set
trong sự sắp đặt quyền ưu tiên
(cao thì ưu tiên trước)
Điều này thì chỉ cấu hình khai
báo được yêu cầu trong những
mục crypto map động.
Bước 3 Hq-sanjose(config-crypto-map)#
match address access-list-id
access-list-id
(tuy chọn) Số access list hoặc tên
của một access list được mở rộng.
Access list này quyết định lưu
lượng có thể được bảo vệ hoặc
không được bảo vệ bởi IPSec
trong ngữ cảnh của mục crypto
map này
Bước 4 Hq-sanjose(config-crypto-map)#
set peer
{hostname | ip-address}
Chỉ rõ một remote IPSec peer.
Lặp lại cho nhiều remote peer.
Điều này thực sự được cấu hình
trong những mục crypto map
động. Những mục crypto map
động thì thường được sử dụng
cho những remote peer không
biết.
Bước 5 Hq-sanjose(config-crypto-map)# Nếu bạn muốn kết hợp sự an toàn
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 88
set
security-association lifetime
seconds seconds
and/or
set security-association lifetime
kilobytes
kilobytes
cho crypto map này sẽ được
thương lượng sử dụng ít hơn
khoảng thời gian tồn tại sự kết
hợp an toàn IPSec hơn là thời
gian tồn tại toàn bộ được chỉ rõ,
chỉ rõ một chìa khoá cho sự tồn
tại của mục crypto map.
Bước 6 Hq-sanjose(config-crypto-map)#
exit
Hq-sanjose(config)#
Trở lại chế độ cấu hình toàn cục
4.5.2 Kiểm tra những mục Crypto map
Để kiểm tra cấu hình. Đưa vào lệnh Show crypto map trong chế độ
EXEC để xem những mục crypto map được cấu hình trên router.
Hq-sanjose# show crypto map
Crypto Map: “s4second” idb: Serial2/0 local address: 172.16.2.2
Crypto Map “s4second” 2 ipsec-isakmp
Peer = 172.23.2.7
Extended IP access list 111
access-list 111 permit ip
source: addr = 10.2.2.2/255.255.255.0
dest: addr = 10.1.5.3/255.255.255.0S
Current peer: 172.23.2.7
Security-association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={proposal4,}
-Display text omitted-
4.5.3 Áp dụng Crypto map vào Interface.
Để áp dụng một tập hợp crypto map vào interface, hoàn thành những
bước sau bắt đầu trong chế độ cấu hình toàn cục:
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# interface
serial 2/0
Chỉ rõ một giao diện vật lý để áp
dụng crypto map và vào kiểu cấu
hình giao diện. Thí dụ này chỉ rõ
serial interface 2/0 trên headquarter
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 89
router.
Bước 2 Hq-sanjose(config-if)# crypto
map s4second
Áp dụng tập hợp crypto map đến
giao diện vật lý. Thí dụ cấu hình
này crypto map s4second cái mà đã
được tạo trong “ tạo ra những mục
crypto map”
Bước 3 Hq-sanjose(config-if)# exit
Hq-sanjose(config)#
Trở lại chế độ cấu hình toàn cục
Bước 4 Hq-sanjose# clear crypto sa
Trong chế độ privileged EXEC,
xoá IPSec SAs hiện tại vì rằn bất
kỳ sự thay đổi se được sử dụng
ngay lập tức.
4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface
Để kiểm tra cấu hình, đưa vào lệnh Show crypto map interface 2/0 trong
mode EXEC để xem crypto map được áp dụng tới một interface được chỉ định.
Hq-sanjose# show crypto map interface serial 2/0
Crypto Map "s4second" 2 ipsec-isakmp
Peer = 172.23.2.7
Extended IP access list 111
access-list 111 permit ip host 10.2.2.2 host 10.1.5.3
Current peer:172.23.2.7
Security association lifetime:4608000 kilobytes/1000 seconds
PFS (Y/N):N
Transform sets={ proposal4, }
5. Cấu hình những tính năng Cisco IOS Firewall
Phần mềm Cisco IOS cung cấp một sự thiết lập mở rộng của những tính
năng bảo mật với cái mà bạn có thể cấu hình firewall đơn giản hay phức tạp, tuỳ
theo mức độ những yêu cầu. Khi bạn cấu hình những tính năng của Cisco IOS
firewall trên Router Cisco, bạn thay đổi router của bạn vào trong một firewall có
hiệu quả mạnh mẽ
Những tính năng của Cisco IOS firewall thì được thiết kế để ngăn chặn sự
không được phép truy nhập, những người không được phép truy nhập tới mạng
bên trong của bạn, và ngăn chặn sự tấn công tới mạng, trong khi cùng thời điểm
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 90
đó cho phép những người dùng hợp pháp được phép truy nhập tới tài nguyên
mạng
5.1 Tạo ra Access list mở rộng và sử dụng số Access list
Để tạo ra một access list mở rộng cái mà chắc chắn không cho phép hoặc
cho phép kiểu traffic, hoàn thành những bước sau bắt đầu trong chế độ cấu hình
toàn cục.
Lệnh Mục địch
Bước 1 Hq(config)# access-list 102
deny tcp any any
Xác định acces-list 102 và cấu hình
access-list để từ chối tất cả các dịch
vụ của TCP
Bước 2 Hq(config)# access-list 102
deny udp any any
Cấu hình access-list 102 để từ chối
tất cả các dịch vụ UDP
Bước 3 Hq(config)# access-list 102
permit ip any any
Cấu hình access-list 102 để cho
phép tất cả dịch vụ IP
5.2 Kiểm tra Access list mở rộng.
Để kiểm tra cấu hình đưa vào lệnh Show access-list 102 trong chế độ
EXEC để hiển thị nội dùng của access-list.
hq-sanjose# show access-list 102
Extended IP access list 102
deny tcp any any
deny udp any any
permit ip any any
5.3 Áp dụng Access-list tới Interface
Sau khi tạo ra một access-list bạn có thể áp dụng nó vào một hoặc nhiều
interface. Access-list có thể được áp dụng đi ra ngoài hoặc đi vào trong interface
Để áp dụng một access-list đi vào hoặc đi ra một interface, hoàn thành
những bước sau đây bắt đầu trong chế độ cấu hình toàn cục.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# interface
serial 1/0
Chỉ rõ serial interface 1/0 trên
headquarter router và đưa vào chế
độ cấu hình interface
Bước 2 Hq-sanjose(config-if)# ip
access-group 102 in
Cấu hình access-list 102 đi vào
trong serial interface 1/0 trên
headquarter router.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 91
Bước 3 Hq-sanjose(config-if)# ip
access-group 102 out
Cấu hình access-list 102 đi ra ngoài
serial interface 1/0 headquarter
router.
Bước 4 Hq-sanjose(config-if)# exit
Hq-sanjose(config)#
Trở lại chế độ cấu hình toàn cục
5.4 Kiểm tra Access-list được áp dụng chính xác
Để kiểm tra cấu hình. Đưa vào lệnh Show ip interface 1/0 trong chế độ
EXEC để xác nhận access-list đã được áp dụng chính xác trên interface.
hq-sanjose# show ip interface serial 1/0
Serial1/0 is up, line protocol is up
Internet address is 172.17.2.4
Broadcast address is 255.255.255.255
Address determined by setup command
Peer address is 172.24.2.5
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is 102
Inbound access list is 102
-Display text omitted-
Kêt luận:
Trong bài viết chúng ta đã cùng nhau lướt qua cách thiết lập một VPN
trên phần mềm Cisco IOS. Thật ra đây là một cách thiết lập khá phức tạp và đòi
hỏi một kỹ năng thực hành cao, có độ hiểu biết nhất định về cấu hình router để
xác đinh được mục đích bài cấu hình.
Phần mềm Cisco IOS rất mạnh và cũng là một phần mềm chẳng đơn giản
chút nào. Có rất nhiều option trong chế độ cấu hình toàn cục, nếu bạn biết cách
phát huy hay sử dụng nó đúng thì bạn có thể trở thành một người quản trị mạng
giỏi
Tốt nhất khi thiết lập bất kỳ cấu hình nào, điều mà bạn nên nhơ đầu tiên
là có gắng đơn giản việc thiết lập để chắc chắn rằng những cái chúng ta vừa thiết
lập hoạt động chính xác.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 92
Chương 5
CẤU HÌNH VPN TRÊN WINDOWS SERVER 2003
1. Giới thiệu chung
VPN trên Windows 2003 dưới dạng Remote Access sẽ cho phép các máy
tính truy nhập đến mạng nội bộ của công ty thông qua Internet. Có thể xây dựng
một mô hình đơn giản như sau:
Modem ADSL có địa chỉ IP tĩnh. Trong trường hợp không có địa chỉ IP
tĩnh, có thể sử dụng DDNS.
01 máy tính cài hệ điều hành Windows 2003 Server. Máy tính này sử
dụng để cấu hình VPN Server. Máy tính này nên sử dụng 02 card mạng.
Máy tính từ xa sử dụng Windows XP, Windows 2000, có thể đặt kết nối
VPN để kết nối đến Server nói trên
Hình 59
2. Cài đặt VPN Server
Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet
Connection Sharing (ICS) và chuyển dịch vụ đó sang chế độ Disable (mặc định
sau khi cài là Automatic).
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 93
Chạy Services Manager bằng cách click Start->Programs-> Administrative
Tools->Services. Giao diện của Services Manager như Hình 60
Hình 60
Trong Hình 60, tìm service Windows Firewall/Internet Connection
Sharing (ICS). Chuột phải vào tên service đó, trên menu chuột phải, chọn
Properties. Xuất hiện hộp thoại Windows Firewall/Internet Connection Sharing
(ICS) Properties. (Hình 61)
Hình 61: Windows Firewall/Internet Connection Sharing (ICS) Properties
Trong Hình 61, lựa chọn Disabled trong ô Startup type. Và nhắp nút Stop
để dừng service Windows Firewall/Internet Connection Sharing (ICS).
Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing
(ICS), tiến hành cài đặt VPN Server.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 94
Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng
cách click Start->Programs->Administrative Tools-> Manager Your Server.
Hình 62: Manage Server
Trên cửa sổ Manage Your Server (hình 62), click Add or remove a role để
cài thêm các dịch vụ của Windows 2003.
Hình 63: Configure Your Server Wizard – Preliminary Steps
Trong Hình 63, click Next để tiếp tục.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 95
Hình 64: Configure Your Server Wizard – Server Role
Hình 64 cho phép lựa chọn các dịch vụ Server trên Windows 2003. Bước
này lựa chọn Remote access / VPN server, sau đó nhắp Next để tiếp tục.
Hình 65: Configure Your Server Wizard – Summary of Selections
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 96
Hình 65 đưa ra danh sách các dịch vụ của Windows 2003 Server đã được
lựa chọn ở Hình 65. Nhắp Next để tiếp
Hình 66: Routing and Remote Access Server Setup Wizard – Step 1
Hình 66 là bước đầu tiên để setup Routing and Remote Access. Nhắp
Next để tiếp tục.
Hình 67: Routing and Remote Access Server Setup Wizard – Step 2
Hình 67 cho phép lựa chọn các cấu hình của dịch vụ Routing and Remote
Access. Bước này chọn Custom configuration. Sau đó chọn Next để tiếp tục.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 97
Hình 68: Routing and Remote Access Server Setup Wizard – Step 3
Hình 68 cho phép lựa chọn các dịch vụ bên trong Routing and Remote
Access. Bước này lựa chọn VPN access và Lan routing. Sau đó nhắp Next để
tiếp tục.
Hình 69: Routing and Remote Access Server Setup Wizard – Step 4
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 98
Hình 69 kết thúc việc setup Routing and Remote Access. Nhắp Finish để kết
thúc.
Hình 70: Routing and Remote Access – Start Service
Sau khi kết thúc việc setup Routing and Remote Access, xuất hiện hộp
thoại yêu cầu start dịch vụ Routing and Remote Access, chọn Yes để xác nhận
việc start dịch vụ đó.
Hình 71: Configure Your Server Wizard – Finish
Hình 72 thông báo kết thúc Configure Your Server Wizard. Nhắp Finish
để kết thúc. Sau bước này, thực hiện việc cấu hình VPN Server.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 99
3. Cấu hình VPN Server
Hình 73: Manage Server
Sau khi cài đặt Routing and Remote Access, để cấu hình VPN Server, có
thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN
server (Hình 73). (Hoặc có thể click Start-> Programs-> Administrative Tools->
Routing and Remote Access).
3.1. Route and Remote Access Properties
Hình 74: Routing and Remote Access
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 100
Hình 74 là giao diện chính của Routing and Remote Access. Để cấu hình,
chuột phải vào tên máy (tên server trong ví dụ là FREE4VN-HOME), trên menu
chuột phải chọn Properties.
Chú ý: trên menu chuột phải có một số chức năng cần quan tâm:
Disable Routing and Remote Access: Chức năng này được sự dụng khi ta
muốn xoá cấu hình Routing and Remote Access cũ để tạo 1 cấu hình mới.
Sau khi disable, trên menu chuột phải nói trên, chọn Configure and
Enable Routing and Remote Access, để cấu hình một Routing and
Remote Access mới.
All Tasks với các chức năng con như Start, Stop, Pause, Resume, Restart
được sử dụng đối với service Enable Routing and Remote Access. Việc
này cũng tương tự như khi sử dụng Service Manager.
Hình 75: FREE4VN-HOME Properties – Tab General
Hình 75 là Properties của FREE4VN-HOME. Cần chú ý đến 3 tab là
General, Security và IP.
Trong Tab General, cần kiểm tra mục Router và Remote access server đã
được check. Mục Router cho phép định tuyến các yêu cầu từ VPN Client đến các
máy trong mạng nội bộ. Mục Remote access server cho phép các VPN client kết
nối đến được. Nên chọn LAN and demand-dial routing.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 101
Hình 76: FREE4VN-HOME Properties – Tab Security
Hình 76 là tab Security, tab này cho phép lựa chọn Authentication
provider và Accounting provider. Nếu trong mạng nội bộ có 1 máy tính cài
RADIUS, có thể lựa chọn Authentication provider và Accounting provider là
RADIUS. Trong ví dụ này, lựa chọn Windows Authentication và Windows
Accounting.
Hình 77: FREE4VN-HOME Properties – Tab IP
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 102
Hình 77 cho phép lựa chọn IP cho kết nối VPN. Bước này nên chọn Static
address pool, sau đó nhắp nút Add.
Hình 78: Tab IP – New Address Range
Trong Hình 78, nhập các giá trị vào các ô Start IP address và End IP
address. Các IP trong dải này sẽ được cấp tự động cho mỗi kết nối VPN.
3.2. Ports Properties
Trong giao diện chính của Routing and Remote Access (Hình 74), chuột
phải vào Ports, trên menu chuột phải, chọn Properties. Xuất hiện hộp thoại Ports
Properties (Hình 79).
Hình 79: Ports Properties
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 103
Trên Hình 79, có thể nhận thấy số miniport cho PPTP và L2TP đều là
128. Mỗi miniport chính là 1 kết nối VPN từ máy client đến Server. Để giảm các
số này xuống, lựa chọn vào WAN Miniport (PPTP), sau đó nhắp Configure.
Hình 80: Configure Device – WAN Miniport (PPTP)
Trong Hình 80, thay đổi tham số Maximum ports từ 128 xuống còn 5.
Thực hiện tương tự đối với WAN Miniport (L2TP). Với cấu hình này Server sẽ
chấp nhận tối đa 10 kết nối VPN, trong đó có 5 VPN Client sử dụng tunnel
PPTP, 5 VPN Client sử dụng tunnel L2TP.
Chú ý: Nếu lựa chọn số kết nối tối đã VPN lớn hơn số địa chỉ IP cấp
trong Hình 78, khi các kết nối đến VPN hết địa chỉ IP, VPN Server sẽ lấy địa chỉ
IP của 1 DHCP Server trong mạng cấp cho kết nối VPN đó. Nếu kô có DHCP
Server trên mạng, sẽ có thông báo lỗi, không cho phép kết nối.
3.3. Remote Access Policies
Bước cuối cùng là cho phép truy cập qua Remote Access Policy.
Hình 81: Remote Access Policies
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 104
Trong Hình 81, chọn Remote Access Policies. Remote Access Policies có
2 lựa chọn là Connections to Microsoft Routing and Remote Access Server và
Connections to other access server. Chuột phải vào Connections to Microsoft
Routing and Remote Access Server, trên menu chuột phải chọn Properties.
Hình 82: Connections to Microsoft Routing and Remote Access Server
Properties
Trong Hình 82, lựa chọn Grant remote access permission, sau đó nhắp
OK để xác nhận.Thực hiện công việc tương tự đối với lựa chọn Connections to
other access server.
Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối VPN.
4. Tạo User trên Windows cho phép sử dụng VPN
Như đã biết, việc tạo user trên Windows sử dụng Computer Manager. Để
chạy Computer Manager, click Start->Programs->Administrative Tools-
>Computer Manager. Giao diện chính của Computer Manager như Hình 83.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 105
Hình 83: Computer Manager – Local User and Groups
Trên Hình 83, Chọn System Tools->Local Users and Groups->Users. Sau
đó chuột phải vào user muốn cho phép dùng VPN, ví dụ user centos4. Trên
menu chuột phải, nhắp Properties.
Hình 84: User Properties
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 106
Trên Hình 84, chọn Tab Dial-in. Trong tab này, chọn Allow access. Nếu
muốn chỉ chính xác địa chỉ IP cấp cho VPN Client đối với user trên, chọn Assign
a Static IP Address. Sau đó gõ địa chỉ IP vào ô tương ứng. Địa chỉ này có thể
nằm ngoài dải IP mà ta đã chọn ở Hình 78. Tuy nhiên nó nên nằm cùng lớp với
dải IP đó.
Sau bước này, user centos4 có thể kết nối VPN đến VPN Server.
5. VPN Client trên Windows XP
Trên Windows 2000, Windows XP, có thể tạo kết nối VPN đến VPN
Server mà ta đã cài đặt và cấu hình ở các bước trên. Dưới đây sẽ hướng dẫn cách
tạo kết nối VPN đến một VPN Server trên Windows XP.
Chuột phải vào biểu tượng My Network Places trên desktop, trên menu chuột
phải click Properties. Xuất hiện hộp thoại Network Connections (xem Hình 85)
Hình 85: Network Connections (VPN Client)
Trên Hình 85 nhắp vào Create a new connection. Xuất hiện hộp thoại New
Connection Wizard với 6 bước cấu hình.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 107
Hình 86: New Connection Wizard – Step 1 (VPN Client)
Trong Hình 86, click Next để tiếp tục.
Hình 87: New Connection Wizard – Step 2(VPN Client)
Hình 87 cho phép lựa chọn các kiểu connect. Bước này chọn Connect to
the network at my workplace, sau đó nhắp Next để tiếp tục.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 108
Hình 88: New Connection Wizard – Step 3(VPN Client)
Hình 88, lựa chọn Virtual Private Network connection, sau đó click Next để tiếp
tục.
Hình 89: New Connection Wizard – Step 4(VPN Client)
Hình 89 cho phép tạo tên cho kết nối vpn, trong ví dụ này, gõ
free4vn.org, sau đó click Next để tiếp tục.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 109
Hình 90: New Connection Wizard – Step 5 (VPN Client)
Hình 90 cho phép gõ địa chỉ IP của Server được cài đặt dịch vụ VPN
Server. Có thể dùng địa chỉ IP tĩnh được gán cho Modem ADSL hoặc domain
name tương ứng.
Hình 91: New Connection Wizard – Finish (VPN Client)
Hình 91, kết thúc New Connection Wizard, click Finish để kết thúc. Sau
bước này, trong Nework Connection ở Hình 85 sẽ có thêm một connect có tên là
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 110
free4vn.org. Để kết nối đến VPN Server, nhắp đúp vào kết nối đó. Hộp thoại
Connect như Hình 92.
Hình 92: Connect to free4vn.org (VPN Client)
Trên Hình 92, để kết nối đến VPN Server cần gõ User name, Password
mà ta đã khai báo trong mục 4. Tạo User trên Windows cho phép sử dụng VPN.
Sau đó nhắp Connect để kết nối đến VPN Server. Có thể click Properties để
thêm các lựa chọn cho kết nối đó.
Hình 93: free4vn.org Properties – tab Options (VPN Client)
Trong Hình 93, tab Options, có thể sử dụng tính năng Redial if line dropped để
VPN Client tự động kết nối lại VPN Server sau khi kết nối VPN bị ngắt đoạn (có
thể do kết nối Internet lỗi). Lựa chọn này cũng cho phép người quản trị VPN
Server có thể reset kết nối giữa VPN Client và VPN Server.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 111
Khi kết nối đến VPN Server, theo cấu hình ngầm định thì máy client sẽ
dùng Gateway là VPN Server. Như vậy có thể không dùng Internet trên máy
client được. Để thay đổi điều này, lựa chọn tab Networking.
Hình 94: free4vn.org Properties – tab Networking (VPN Client)
Trong Hình 94, click vào Internet Protocol (TCP/IP), sau đó nhắp nút
Properties.
Hình 95: Internet Protocol (TCP/IP)Properties (VPN Client)
Trong Hình 95, nhắp vào Advanced.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 112
Hình 96: Advanced TCP/IP Settings – tab Genera (VPN Client)l
Trong Hình 96, bỏ chọn Use default gateway on remote network.
Sau khi Connect đến VPN Server, trên VPN Client sẽ xuất hiện thông báo
xác nhận kết nối thành công.
Hình 97: Kết nối VPN thành công (VPN Client)
Một kết nối VPN cũng như một kết nối mạng thông thường. Để xem
trạng thái của kết nối đó, chuột phải vào kết nối, trên menu chuột phải chọn
Status (xem Hình 98).
Hình 98: Menu chuột phải của Kết nối VPN (VPN Client)
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 113
Hình 99: Status của kết nối VPN (VPN Client)
Trong hộp thoại Status của kết nối VPN, chọn tab Details, chú ý địa chỉ
IP mà Client được cấp đối với kết nối VPN đó. Địa chỉ này cũng có thể được cấp
cố định với từng user và cũng có thể theo dõi trên VPN Server
6. Quản lý kết nối trên VPN Server
Trên VPN Server cũng có thể theo dõi các kết nối VPN. Khi VPN Client
cung cấp địa chỉ theo dải địa chỉ mà ta đã set ở Hình 18 hoặc đối với từ user ở
Hình 24. Để theo dõi các kết nối VPN trên Server, có thể chạy Manage Your
Server, sau đó click vào Manage this remote access/VPN server .(Hoặc có thể
click Start->Programs->Administrative Tools->Routing and Remote Access).
Hình 100: Remote Access Client
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 114
Trên Hình100, click vào Remote Access Client, trong cửa sổ bên phải sẽ
hiển thị các user đang kết nối vào VPN Server. Chuột phải vào user, trên menu
chuột phải, click Status.
Hình 101: Status của kết nối VPN trên Server
Trên Hình 101 là Status của kết nối VPN trên user centos4. Chú ý đến
phần địa chỉ IP cấp cho kết nối đó. Và chú ý đến nút Disconnect để ngắt kết nối
VPN đó.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 115
Kết luận
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết
nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông
qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn
bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ
thống mạng riêng. Giải pháp VPN "mềm" giới thiệu trong bài viết này thích hợp
cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, có thể
phải cần đến giải pháp VPN phần cứng.
Trong bài này, em đã giới thiệu các giải pháp công nghệ cho việc xây
dựng một mạng riêng ảo. Triển khai từ lý thuyết đến thực tiễn trong các vấn đề
giải quyết mạng riêng ảo nói chung, các mô hình truy cập, các phương pháp xác
thực và ứng dụng triển khai cài đặt trên các hệ thống mạng. Sau đó em đã giới
thiệu đến các giao thức VPN chủ yếu được hỗ trợ trong Windows Server và
client, giới thiệu một số vấn đề bảo mật đối với các giao thức VPN trước đó.
Mặc dù đã cố gắng hết sức, song chắc chắn không chánh khởi những
thiếu sót. Em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy
cô, các anh chị và các bạn
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 116
Tài liệu tham khảo
1. Mạng máy tính và hệ thống mở - Nguyễn Thúc Hải, NXB Giáo dục 1997
2. Cisco System “ Cisco Networking Academy CCNA semester 2 v3.0 ”
3. Cisco System “ Cisco Networking Academy CCNA semester 4 v4.0 ”.
4. Cisco IOS Enterprise VPN Configuration Guide
5. MCSA/MCSE “ Implementing and Administering Security in a Microsoft
Windows 2003 Network”
6. The Complete Cisco VPN Configuration Guide By Richard Deal
7. Webside http:\\ Quantrimang.com
8. Webside http:\\VnExpress.net
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 117
CÁC THUẬT NGỮ VIẾT TĂT
ACK Acknowledgment Tin báo nhận
AD Active Directory Thư mục hiện hành
ADSL Asymmetrical Digital
Subscriber Line
Đường thuê bao số bất đối xứng
AES Advanced Encryption Standard Chuẩn mã hoá cấp cao
AH Authentication Header Xác thực tiêu đề
ANSI American National Standard
Institute
Viện tiêu chuẩn quốc gia Hoa Kỳ
ATM Asynchronous Transfer Mode Chế độ truyền tải bất đồng bộ
CA Certificate Authority Dịch vụ cấp quyền chứng nhận.
CBC Cipher Block Chaining Ràng buộc khối mã hoá
DC Domain Controller Máy điều khiển miền
DES Data Encryption Standard Chuẩn mã hoá dữ liệu
DNS Domain Name System Hệ thống tên miền
DSS Department of Social Security Bộ an ninh xã hội
DSU Digital Service Unit Đơn vị dịch vụ dữ liệu
ESP Encapsulating Security Payload Đóng gói tải cần bảo mật
FTP File Transfer Protocol Giao thức truyền tập tin
GRE Generic Routing Encapsulation Gói định tuyến chung
ICMP Internet Control Message
Protocol
Giao thức thông điệp điều khiển
Internet
ID ID Chỉ danh
IKE Internet Key Exchange Chuyển khoá Internet
IP Internet Protocol Giao thức Internet
IPX Internet Packet Exchange Giao thức chuyển đổi gói Internet
ISA
Server
Microsoft Internet Seccurity an
Acceleration Server
Phần mềm bảo mật Internet của
Microsoft
ISAKMP Internet Security Association
and Key Management Protocol
Hệ thống bảo mật Internet và giao
thức quản lý khoá.
ISDN Integrate Services Digital
Network
Mạng tích hợp số đa dịch vụ
ISO International Standards
Organization
Tổ chức tiêu chuẩn quốc tế
IV Intitialization Vector Vectơ khởi tạo
L2F Layer 2 Forwarding Giao thức hướng lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức tạo đường hầm lớp 2
LAN Local Area Network Mạng cục bộ
LDAP Lighweight Directory Access
Protocol
Dịch vụ thư mục của IETF
MAC Medium Access Control Kiểm soát truy nhập môi trường
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 118
truyền thông
MPPE Microsoft Point to Point
Encryption
Mã hoá điểm - điểm của
Microsoft
NAS Network Access Server Máy chủ truy cập mạng
NetBEIU NetBIOS Enhanced User
Interface
Giao thức- giao diện người dùng
mở rộng trong NetBIOS
NFS Network File System Hệ thống file mạng
OSI Open Systems Interconnection Mô hình liên kết các hệ thống mở
PC Personal Computer Máy tính cá nhân
POP Point of Presence Điểm hiện diện
POP Post Office Protocol Giao thức bưu điện
PPP Point to Point Protocol Giao thức điểm - điểm
PPTP Point to Point Transfer Protocol Giao thức chuyển giao điểm -
điểm
PSTN Public – Switched Telephone
Network
Mạng điện thoại chuyển mạch
công cộng
QoS Quality of Service Chất lượng dịch vụ
RADIUS Remote Authentication Dial-In
User Service
Dịch vụ truy nhập bằng điện thoại
xác nhận từ xa
RSA Rivest, Shamir, Adleman Hệ mật mã khoá công khai
SA Security Association Tổ hợp an ninh
SDL Synchronous Data Link Liên kết dữ liệu đồng bộ
SHA Secure Hash Algorithm Thuật toán phân tách bảo mật
SMTP Simple Mail Transfer Protocol Giao thức truyền mail đơn giản
SNMP Simple Network Management
Protocol
Giao thức quản trị mạng đơn giản
SPD Security Policy Database Chính sách bảo mật cơ sở dữ liệu
SPI Security Parameters Index Danh mục các tham số bảo mật
TCP Transmission Control Protocol Giao thức điều khiển truyền thông
UDP User Datagram Protocol Giao thức gói dữ liệu người dùng
UTP Unshielded Twisted – Pair Cáp xoắn không bọc kim
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng
Các file đính kèm theo tài liệu này:
- Nghiên cứu mạng riêng ảo VPN.pdf