Đặt banner 324 x 100

Thực hiện khối hệ thống IPSec/VPN trên Windows Server 2003


nhu yếu truy vấn từ xa (ngoài văn phòng) mạng nội bộ để phỏng vấn trao đổi dữ liệu hay được sử dụng ứng dụng ngày càng phổ biến. Đó là nhu yếu thiết thực, dẫu thế do vấn đề bảo mật thông tin và tin cậy thông tin nên những Doanh Nghiệp ngại "mở" khối hệ thống mạng nội bộ của chính bản thân mình để cho phép chuyên viên truy vấn từ xa. Bài viết này trình bày chiến thuật truy vấn từ xa VPN trên Windows Server 2003 có chế độ mã hóa dựa vào giao thức IPSec nhằm đảm bảo an toàn thông báo.
VPN
VPN (virtual private network) là công nghệ thi công khối hệ thống mạng riêng ảo nhằm đáp ứng san sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy vấn từ xa vào khối hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa vào mạng điện thoại cảm ứng thông minh. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép những máy vi tính media với nhau trải qua một môi trường thiên nhiên chia sẻ như mạng Internet nhưng vẫn bảo đảm an toàn được tính riêng tư & bảo mật thông tin dữ liệu.
Để cung cấp liên kết giữa những máy vi tính, các gói thông tin được bảo phủ bằng một header có chứa các thông tin định tuyến, được cho phép dữ liệu rất có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư & bảo mật trên môi trường thiên nhiên sẻ chia này, những gói tin được mã hoá & chỉ hoàn toàn có thể giải mã với các khóa phù hợp, ngăn chặn trường hợp "trộm" gói tin trên tuyến đường truyền.

>>> Xem thêm: X11DPL-I


các trường hợp thông dụng của VPN

- Remote Access: thỏa mãn nhu cầu truy cập tài liệu và phần mềm cho người tiêu dùng ở xa, bên ngoài Công Ty thông qua Internet. Ví dụ khi người tiêu dùng muốn truy cập vào cơ sở dữ liệu hay những file server, gửi nhận Email từ những mail server nội bộ của Doanh Nghiệp.
- Site To Site: áp dụng cho các tổ chức triển khai có khá nhiều công sở Trụ sở, giữa các văn phòng cần phỏng vấn trao đổi dữ liệu với nhau. Ví dụ một Công Ty đa quốc gia có nhu cầu chia sẻ thông báo giữa những Trụ sở đặt ở Nước Sing & việt nam, có thể xây dựng một hệ thống VPN Site-to-Site liên kết hai site nước ta và Nước Sing tạo một đường truyền riêng trên mạng Internet đáp ứng quy trình truyền thông tin cậy, kết quả.

- Intranet/ Internal VPN: trong 1 số tổ chức, quy trình truyền dữ liệu giữa một trong những bộ phận cần đảm bảo an toàn tính riêng tư, cấm đoán phép những bộ phận khác truy cập. Hệ thống Intranet VPN rất có thể đáp ứng trường hợp này.
để làm một khối hệ thống VPN tất cả chúng ta cần có các phần tử cơ bản sau đây:
- User Authentication: cung cấp chế độ xác thực người dùng, chỉ cho phép người dùng hợp lệ kết nối & truy cập khối hệ thống VPN.
- Address Management: cung cấp Showroom IP hợp lệ cho người tiêu dùng sau khi gia nhập khối hệ thống VPN để có thể truy vấn khoáng sản trên mạng nội bộ

- Data Encryption: cung cấp phương án mã hoá tài liệu trong thời gian truyền nhằm bảo đảm tính riêng tư & toàn diện dữ liệu.
- Key Management: cung ứng giải pháp cai quản những khoá dùng cho quy trình mã hoá và giải mã dữ liệu.
IPSEC (IP SECURITY PROTOCOL)
Như tất cả chúng ta biết, để những máy tính xách tay trên hệ thống mạng LAN/WAN hay Internet media với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ tiếp xúc trong thế giới con người) và giao thức phổ cập lúc bấy giờ là TCP/IP.

Khi truyền các gói tin, tất cả chúng ta cần được áp dụng các cơ chế mã hóa & xác thực để bảo mật. Có không ít giải pháp để triển khai Vấn đề này, trong những số ấy chính sách mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra kết quả & tiết kiệm chi phí trong tiến trình thực hiện.
trong thời gian xác thực hay mã hóa tài liệu, IPSEC rất có thể sử dụng một hoặc cả hai giao thức bảo mật sau:
- AH (Authentication Header): header của gói tin được mã hóa & đảm bảo phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", mặc dù thế trong trường hợp này phần nội dung thông báo chính chưa được bảo đảm
- ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, chặn đứng những tình huống Hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền. Phương pháp này rất lôi cuốn được áp dụng, nhưng nếu còn muốn bảo vệ luôn cả phần header của gói tin thì phải phối kết hợp cả 2 giao thức AH & ESP.

>>> Xem thêm: X10DRL-i


IPSec/VPN trên Windows Server 2003
tất cả chúng ta tìm hiểu thêm trường hợp thực ra của Doanh Nghiệp Green Lizard Books, một Công Ty chuyên xuất bản & đáp ứng văn hoá phẩm. Nhằm mục đích tăng cường tác dụng kinh doanh, bộ phận quản lý muốn các chuyên viên kinh doanh trong quá trình công tác làm việc ở phía bên ngoài có thể truy vấn văn bản báo cáo bán hàng (Sale Reports) sẻ chia trên File Server & hoàn toàn có thể tương tác với máy tính xách tay của mình trong công sở khi thiết yếu. Bên cạnh đó, đối với các tài liệu mật, nhạy cảm như văn bản báo cáo doanh số, trong quá trình truyền hoàn toàn có thể áp dụng các chế độ mã hóa nghiêm ngặt để sâu xa độ an toàn của dữ liệu.
Green Lizard Books cần phải có một đường truyền ADSL với Địa chỉ cửa hàng IP tĩnh phục vụ cho quá trình kết nối & media giữa trong & ngoài Công Ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để du nhập khối hệ thống mạng riêng ảo của Doanh Nghiệp và được cấp phép ADD IP phù hợp để kết nối với những khoáng sản nội bộ của Công Ty.
tất cả chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN máy chủ (đặt tên là SRV-1), có một card mạng kết nối với khối hệ thống mạng nội bộ (IP: 192.168.1.1) & một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với những Dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để liên kết với bên ngoài (Internet).
Để cai trị người tiêu dùng trên khối hệ thống & tài nguyên chúng ta cần phải có 1 domain controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).

Trong mô hình này, chúng ta sử dụng một máy client bên phía ngoài chạy hệ quản lý và điều hành Windows XP, kết nối VPN với chính sách chứng thực & mã hóa tài liệu dựa vào IPSec ESP.
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)

Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi)

Bước 3: thiết đặt VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi)

Bước 4: setup VPN Client Client-1 liên kết đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)

Bước 5: liên kết VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
Bước 6: yêu cầu cấp phép chứng chỉ điện tử (certificate) cho VPN Server và Client dùng để xác thực và mã hóa.
(request_certificate_for_vpn_server_and_client.avi)

Bước 7: thiết lập kết nối VPN dùng giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)

kết luận
VPN là công nghệ được sử dụng phổ biến bây giờ nhằm mục tiêu cung cấp kết nối an toàn và hiệu quả để truy vấn khoáng sản nội bộ Doanh Nghiệp từ phía bên ngoài trải qua mạng Internet. Mặc dầu sử dụng hạ tầng mạng san sẻ nhưng chúng ta vẫn đảm bảo được xem riêng tư của dữ liệu giống như là đang truyền thông media trên một hệ thống mạng riêng. Giải pháp VPN "mềm" trình làng trong nội dung bài viết này tương thích cho số lượng người dùng nhỏ, để cung ứng số người dùng to hơn, hoàn toàn có thể phải cần đến giải pháp VPN phần cứng.

>>> Xem thêm: Card X520-DA2

nhu cầu truy vấn từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu thường được sử dụng phần mềm càng ngày càng thông dụng. Đây là nhu yếu thiết thực, mặc dù thế do vấn đề bảo mật thông tin và an toàn và đáng tin cậy thông tin nên các Công Ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép chuyên viên truy vấn từ xa. Nội dung bài viết này trình diễn chiến thuật truy vấn từ xa VPN trên Windows Server 2003 có chế độ mã hóa dựa vào giao thức IPSec nhằm mục tiêu đảm bảo an toàn thông tin.
VPN
VPN (virtual private network) là công nghệ tiên tiến xây dựng hệ thống mạng riêng ảo nhằm mục đích đáp ứng nhu cầu sẻ chia thông tin, truy cập từ xa và tiết kiệm ngân sách và chi phí. Trước đây, để truy vấn từ xa vào hệ thống mạng, người ta thường sử dụng phương pháp Remote Access quay số dựa vào mạng điện thoại cảm ứng. Phương thức này vừa tốn kém vừa rất không an toàn. VPN cho phép những laptop truyền thông media với nhau thông qua một môi trường thiên nhiên sẻ chia như mạng Internet nhưng vẫn đảm bảo an toàn được xem riêng tư & bảo mật tài liệu.
Để cung ứng kết nối giữa những laptop, các gói thông tin được phủ quanh bằng một header có chứa các thông báo định tuyến, cho phép tài liệu hoàn toàn có thể gửi từ máy truyền qua môi trường thiên nhiên mạng sẻ chia & đến được máy nhận, như truyền trên các đường ống riêng được gọi bằng tunnel. Để bảo đảm tính riêng tư và bảo mật thông tin trên môi trường xung quanh chia sẻ này, những gói tin được mã hoá và chỉ hoàn toàn có thể giải mã với những khóa phù hợp, ngăn chặn trường hợp "trộm" gói tin trên tuyến đường truyền.

>>> Xem thêm: X11DPL-I

các tình huống phổ cập của VPN
- Remote Access: thỏa mãn nhu cầu truy cập tài liệu và ứng dụng cho người tiêu dùng ở xa, bên ngoài Công Ty trải qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở tài liệu hay các file server, gửi nhận Email từ các mail server nội bộ của Công Ty.
- Site To Site: vận dụng cho những tổ chức triển khai có tương đối nhiều văn phòng chi nhánh, giữa những văn phòng cần trao đổi tài liệu với nhau. Ví dụ một Công Ty đa giang sơn có nhu cầu sẻ chia thông tin giữa các Trụ sở đặt ở Singapore & nước ta, có thể thi công một khối hệ thống VPN Site-to-Site liên kết hai site VN và Nước Singapore tạo một đường truyền riêng trên mạng Internet đáp ứng các bước media tin cậy, hiệu quả.
- Intranet/ Internal VPN: trong một số tổ chức triển khai, các bước truyền tài liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép các bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.
để làm một hệ thống VPN chúng ta cần có những phần tử căn bản sau đây:
- User Authentication: cung ứng chế độ chứng thực người tiêu dùng, chỉ cho phép người tiêu dùng hợp lệ liên kết và truy cập khối hệ thống VPN.
- Address Management: cung ứng Showroom IP hợp lệ cho người tiêu dùng sau thời điểm du nhập khối hệ thống VPN để có thể truy vấn khoáng sản trên mạng nội bộ.
- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong thời gian truyền nhằm đảm bảo an toàn tính riêng tư và trọn vẹn dữ liệu.
- Key Management: cung ứng giải pháp cai trị các khoá dùng cho quá trình mã hoá và lời giải dữ liệu.
IPSEC (IP SECURITY PROTOCOL)
Như chúng ta biết, để những laptop trên khối hệ thống mạng LAN/WAN hay Internet truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ giao tiếp trong nhân loại con người) và giao thức thịnh hành hiện nay là TCP/IP.
Khi truyền các gói tin, tất cả chúng ta rất cần phải vận dụng các cơ chế mã hóa & chứng thực để bảo mật thông tin. Có tương đối nhiều phương án để triển khai việc này, trong những số đó cơ chế mã hóa IPSEC vận động trên giao thức TCP/IP tỏ ra kết quả và tiết kiệm trong thời gian tiến hành.
trong thời gian xác thực hay mã hóa tài liệu, IPSEC có thể sử dụng một hoặc cả 2 giao thức bảo mật sau:
- AH (Authentication Header): header của gói tin được mã hóa & bảo đảm phòng chống những trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong tình huống này phần nội dung thông tin chính không được bảo đảm
- ESP (Encapsulating Security Payload): Nội dung thông báo được mã hóa, chặn lại các trường hợp tin tặc đặt chương trình nghe lén & chặn bắt tài liệu trong quá trình truyền. Phương pháp này rất hay được vận dụng, nhưng nếu như muốn đảm bảo luôn cả phần header của gói tin thì phải phối hợp cả 2 giao thức AH & ESP.

>>> Xem thêm: X10DRL-i
IPSec/VPN trên Windows Server 2003
chúng ta tham khảo tình huống thực chất của Công Ty Green Lizard Books, một Công Ty chuyên xuất bản và cung cấp văn hoá phẩm. Nhằm mục đích tăng nhanh công dụng buôn bán, bộ phận cai trị muốn các chuyên viên kinh doanh trong thời gian công tác làm việc ở bên phía ngoài có thể truy cập báo cáo bán hàng (Sale Reports) sẻ chia trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Không chỉ có thế, so với các dữ liệu mật, nhạy cảm như văn bản báo cáo lợi nhuận, trong thời gian truyền có thể áp dụng những chế độ mã hóa chặt chẽ để nâng cao độ tin cậy của tài liệu.
Green Lizard Books cần phải có một đường truyền ADSL với ADD IP tĩnh phục vụ cho tiến trình kết nối và truyền thông giữa trong và ngoài Doanh Nghiệp. Các người dùng ở xa (VPN Client) sẽ liên kết đến VPN Server để gia nhập hệ thống mạng riêng ảo của Công Ty và được cấp phép Showroom IP thích hợp để kết nối với những tài nguyên nội bộ của Công Ty.
tất cả chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN sever (đặt tên là SRV-1), có một card mạng kết nối với khối hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với những Dịch Vụ Thương Mại Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài (Internet).
Để quản lý người tiêu dùng trên khối hệ thống & tài nguyên tất cả chúng ta cần phải có 1 domain controler cài bỏ trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).
Trong loại hình này, tất cả chúng ta sử dụng một máy client bên phía ngoài chạy hệ điều hành quản lý Windows XP, liên kết VPN với chính sách chứng thực và mã hóa tài liệu dựa vào IPSec ESP.
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)
Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi)
Bước 3: thiết đặt VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi)
Bước 4: setup VPN Client Client-1 liên kết đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)
Bước 5: kết nối VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
Bước 6: nhu yếu cấp phát chứng từ điện tử (certificate) cho VPN Server & Client dùng làm xác thực và mã hóa.
(request_certificate_for_vpn_server_and_client.avi)
Bước 7: thiết đặt liên kết VPN dùng giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)
tóm lại
VPN là công nghệ được dùng thịnh hành lúc này nhằm mục tiêu cung cấp liên kết đáng tin cậy và công dụng để truy vấn khoáng sản nội bộ Công Ty từ bên ngoài trải qua mạng Internet. Mặc dầu sử dụng hạ tầng mạng chia sẻ nhưng tất cả chúng ta vẫn đảm bảo được tính riêng tư của dữ liệu như đang truyền thông trên một hệ thống mạng riêng. Phương án VPN "mềm" trình làng trong nội dung bài viết này phù hợp cho số lượng người dùng nhỏ, để cung ứng lượng người dùng lớn hơn, hoàn toàn có thể phải cần đến giải pháp VPN phần cứng.