Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường truyền. Vì thế VPN Virtural Private Network được sử dụng như một giải pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của tổ chức đó. Chúng em chọn đề tài Tìm hiểu về mạng VPN truy cập từ xa, xây dựng cài đặt mạng VPN loại này theo giao thức Tunneling L2TP dùng hệ điều hành Windows XP cho máy truy cập từ xa và Windows Server 2003 cho các máy chủ.
Trang 1NHẬN XÉT CỦA GIÁO VIÊN
Trang 2
MỤC LỤC
NHẬN XÉT CỦA GIÁO VIÊN 1
MỤC LỤC 2
DANH MỤC CÁC HÌNH VẼ VÀ BẢNG 5
LỜI NÓI ĐẦU 6
Chương 1: Hệ thống mạng VPN truy cập từ xa 7
1.1 Giới thiệu 7
1.2 Các thành phần của mạng VPN truy cập từ xa 9
1.2.1 VPN client 10
1.2.1.1 Trình quản lý kết nối 12
1.2.1.1.1 Connection Manager 12
1.2.1.1.2 Connection Manager Administration Kit 13
1.2.1.1.3 Connection Point Services 13
1.2.1.2 Đăng nhập một lần 14
1.2.1.3 Những điều cần lưu ý khi cấu hình một VPN client 14
1.2.2 Cơ sở hạ tầng mạng Internet 15
1.2.2.1 Tên của VPN server 15
1.2.2.2 Khả năng kết nối đến VPN server 16
1.2.2.3 Các VPN server và cấu hình firewall 16
1.2.3 Các giao thức xác thực 17
1.2.4 Các giao thức VPN 18
1.2.4.1 Point-to-Point Tunneling Protocol 18
1.2.4.2 Layer Two Tunneling Protocol with IPSec 19
1.2.4.3 Lựa chọn giữa PPTP và L2TP 19
1.2.5 VPN server 20
Trang 31.2.6 Hạ tầng mạng Intranet 22
1.2.6.1 Chuyển đổi tên 23
1.2.6.2 Chuyển đổi tên để truy cập đến các tài nguyên 24
1.2.7 Routing 25
1.2.7.1 Đinh tuyến và các VPN server đa năng 26
1.2.7.2 Hạ tầng dịch vụ định tuyến 28
1.2.8 Hạ tầng dịch vụ AAA 29
1.2.8.1 Các chính sách truy cập từ xa 30
1.2.8.2 Ngăn chặn truyền thông phát đi từ VPN client 31
1.2.8.3 Một số điều cần lưu ý đối với hạ tầng dịch vụ AAA 33
Chương 2: Xây dựng cài đặt mạng VPN truy cập từ xa theo giao thức Tunneling L2TP 34
2.1 Triển khai hạ tầng dịch vụ thẻ chứng nhận 34
2.1.1 Triển khai các thẻ chứng nhận máy 34
2.1.2 Triển khai hệ thống smart card 35
2.1.3 Triển khai các thẻ chứng nhận người sử dụng 35
2.2 Triển khai hạ tầng dịch vụ Internet 36
2.2.1 Đặt các VPN server vào hệ thống mạng bao quát của Internet 36
2.2.2 Cài đặt Windows 2003 Server trên VPN server và cấu hình các kết nối Internet 37
2.2.3 Bổ sung các bản ghi vào Internet DNS 37
2.3 Triển khai hạ tầng dịch vụ AAA 37
2.3.1 Cấu hình dịch vụ Active Directory cho các account người sử dụng hay các nhóm làm việc 38
2.3.2 Cấu hình IAS server chính trên một trình điều khiển domain 38
2.3.3 Cấu hình một IAS server thữ cấp trên một trình điều khiển domain khác 39 2.4 Triển khai các VPN Server 39
2.4.1 Cấu hình kết nối của VPN server với mạng nội bộ 40
Trang 42.4.2 Chạy trình Routing and Remote Access Server Setup Wizard 40
2.5 Hạ tầng hệ thống mạng Intranet 41
2.5.1 Cấu hình cho việc định tuyến của VPN server 42
2.5.2 Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào mạng nội bộ của tổ chức không 42
2.5.3 Cấu hình việc định tuyến cho nhóm các địa chỉ nằm ngoài dải của subnet 42 2.6 Triển khai các VPN Client 42
2.6.1 Trực tiếp cấu hình các VPN client 43
2.6.2 Cấu hình các gói tin CM với trình CMAK 43
KẾT LUẬN 43
TÀI LIỆU THAM KHẢO 45
Trang 5Bảng 1: Thông tin về tính tương thích của hai kỹ thuật
PPTP và L2TP với các hệ điều hành của MS
Hình 3: Mô hình VPN server trong hệ thống mạng bao
quát của Internet
36
Trang 6LỜI NÓI ĐẦU
Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầukhông thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các
cơ quan nhà nước và tổ chức kinh doanh Để đáp ứng được nhu cầu traođổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độchóng mặt Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càngtăng Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đườngtruyền
Vì thế VPN - Virtural Private Network được sử dụng như một giảipháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cholưu thông và giao dịch trong mạng VPN cho phép truy cập từ xa an toànđến các nguồn tài nguyên trong mạng bên trong của công ty Việc đảmbảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn làvấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của
tổ chức đó
Chúng em chọn đề tài Tìm hiểu về mạng VPN truy cập từ xa, xây
dựng cài đặt mạng VPN loại này theo giao thức Tunneling L2TP dùng
hệ điều hành Windows XP cho máy truy cập từ xa và Windows Server
2003 cho các máy chủ.
Trong quá trình thực hiện đề tài nhóm em không khỏi mắc phảithiếu sót Mong thầy đóng góp ý kiến để chúng em có thể hoàn thiện tốthơn trong những đề tài sau này
Chúng em xin chân thành cảm ơn!
Sinh viên thực hiện:
Nguyễn Văn Quân Phạm Xuân Sang Trần Ngọc Thơ Mai Văn Trọng
Đỗ Văn Tiền Nguyễn Như Tỉnh
Trang 7Để giả lập một liên kết point-to-point, dữ liệu sẽ được đóng gói vớiphần header mang các thông tin định tuyến Các thông tin nay giúp cho
dữ liệu có thể được truyền qua các hệ thống mạng chung hoặc mạng côngcộng để đến điểm nhận Để giả lập một liên kết riêng, dữ liệu được đónggói với mục đích chống truy cập không hợp lệ Các gói tin bị chặn bắttrên mạng chung thường là không thể giải mã được nếu không có cáckhóa mã hóa Liênkết mà trong đó dữ liệu riêng được đóng gói và mã hóađược gọi là một liên kết của mạng riêng ảo.Ta có thể thấy trong hình dướiđây một mô hình liên kết logic tương đương với một liên kết VPN
Những người sử dụng có thể sử dụng các liên kết VPN ngay tại nhàmình hay trên đường đi làm để có thể thiết lập một phiên truy cập từ xađến một máy chủ nào đó với một hạ tầng truyền thông là một mạng chunghay Internet Xột trên phương diện người sử dụng, liên kết VPN là mộtliên kết kiểu point-to-point giữa một máy tính (VPN Client) và một máychủ của một tổ chức nào đó (VPN Server) Kiến trúc hạ tầng cụ thể củamạng chung hay mạng công cộng ở đây không được xét tới bởi vì, vềphương diện logic, ta có thể thấy dữ liệu được gửi qua một liên kết riêngchuyên biệt
Các tổ chức cũng có thể sử dụng các liên kết VPN để thiết lập cácliên kết được định tuyến giữa các văn phòng ở xa nhau hay với các tổchức khác thông qua một hệ thống mạng công cộng mà vẫn có thể đảmbảo an toàn cho các phiên liên lạc Xét về mặt logic, một liênkết VPN có
Trang 8định tuyến sử dụng mạng Internet hoạt động như một liên kết chuyên biệtcủa mạng diện rộng.
Hình 1: Mô hình tổng quát của mạng VPN
Có hai loại công nghệ thực hiện tính năng truy cập từ xa được thựchiện trong hệ điều hành Windows 2003, đó là:
Giao thức tuyến truyền Point-to-Point (Point-to-Point TunnelingProtocol -PPTP) PPTP sử dụng các phương thức xác thực giao thứcPPP ở mức người sử dụng và dịch vụ mã hóa Point-to-Point củaMicrosoft (Microsoft Point-to-Point Encryption - MPPE) để mã hóa
dữ liệu
Giao thức tuyến truyền ở tầng thứ 2 (Layer Two Tunneling Protocol
- L2TP) sử dụng dịch vụ an ninh của giao thức IP (IPSec) L2TP sửdụng các phương thức xác thực ở mức người sử dụng của giao thứcPPP và dịch vụ IPSec để thực hiện xác thực trong đó có dụng đếncác phương thức chứng nhận, xác thực, toàn vẹn và mã hóa dữ liệu
Một client từ xa có thể tạo một liên kết theo kiểu truy cập từ xa đếnmột server Đồng thời, để đảm bảo việc xác thực ở cả hai phía, servercũng tự xác thực mình đối với client Máy tính chạy các hệ điều hành
Trang 9Windows XP, Windows 2000, Windows NT version 4.0, WindowsMillennium Edition (ME), Windows 98, và Windows 95 có thể tạo cácliên kết đến một server VPN chạy hệ điều hành Windows Server 2003.Các VPN client cũng có thể là bất kể một client không thuoc kiểu PPTPhay L2TP của Microsoft nhưng có sử dụng dịch vụ IPSec.
Để thực hiện mã hóa, ta có thể dụng cả mã hóa theo liên kết và mãhóa theo các điểm đầu cuối Phương thức mã hóa theo liên kết chỉ mã hóa
dữ liệu được truyền qua liên kết giữa VPN client và VPN server
Đối với các liên kết PPTP, ta phải sử dụng dịch vụ mã hóa MPPEcùng với các dịch vụ xác thực khác của Microsoft như MS-CHAP,MS-CHAP v2, hay EAP-TLS
Phương thức mã hóa theo kiểu End-to-End mã hóa dữ liệu từ máytruyền đến máy nhận Ta có thể sử dụng dịch vụ IPSec sau khi cácliên kết VPN được thiết lập để mã hóa dữl iệu được gửi đi từ máytruyền đến máy nhận
1.2 Các thành phần của mạng VPN truy cập
từ xa
Dưới đây là sơ đồ thể hiện các thành phần của mạng VPN truy cập
từ xa:
Trang 11IPSec Bảng dưới đây cho ta các thông tin về tính tương thích của hai kỹthuật PPTP và L2TP với các hệ điều hành của MS.
VPN Tunneling Protocol Các hệ điều hành của MS
Windows 2000, Windows NTversion 4.0, Windows ME,Windows 98, Windows 95 (withthe Windows Dial-Up Networking1.3 or later Performance & SecurityUpdate)
L2TP/IPSec Windows 2003, Windows XP,
Windows 2000
Bảng 1: Thông tin về tính tương thích của hai kỹ thuật PPTP và L2TP với
các hệ điều hành của MS
Một số loại VPN client tiêu biểu mà ta thường gặp là:
Người sử dụng các mày táchxỏc tay nối vào các mạng nội bộ củacác tổ chức để lấy email hoặc các tài nguyên khác trong khi không
ở một chỗ cố định
Những người làm việc theo kiểu “từ xa”, họ sử dụng Internet đểtruy cập vào tài nguyên của các tổ chức từ nhà của mình Nghĩa là,các công việc có thể được tiến hành tại nhà mà không cần đến côngsở
Các VPN client của Micrsoft có thể cấu hình các liên kết VPN mộtcách thủ công hoặc sử dụng các dịch vụ quản lý kết nối mà Windows XPcung cấp Để có thể tự cấu hình một VPN client trên Windows XP, ta có
thể sử dụng tính năng Make New Connection trong thư mục Network and Dial-up Connections, để tạo một liên kết VPN đến địa chỉ IP hay tên DNS
của một VPN server trên Internet
1.2.1.1 Trình quản lý kết nối
Khi thực hiện mở rộng cấu trúc của các liên kết VPN cho phạm vitoàn doanh nghiệp, ta thường gặp phải những vấn đề sau:
Trang 12 Thủ tục cụ thể để cấu hình một liên kết VPN thay đổi tuỳ hteo phiênbản của hệ điều hành Windows trên máy client.
Để tránh các lỗi cấu hình, doanh nghiệp cần phải có một nhóm nhânviên kỹ thuật thay vì để những người sử dụng các công việc cấuhình này
Một phương thức cấu hình nhất thiết phải có khả năng mở rộng đểđảm bảo cho hàng trăm, thậm chí hàng ngàn máy trong một doanhnghiệp lớn
Một liên kết VPN cớ thể cần một cấu hình double-dial, trong đó,người sử dụng phải quay số để vào Internet trước khi tạo ra một liênkết VPN với mạng Intranet của tổ chức nào đó
Giải pháp mà Microsoft đề xuất cho việc cấu hình các liên kết VPNtrong phạm vi một doanh nghiệp là công cụ Connection Manager Công
cụ này có các thành phần như sau:
Connection Manager (CM)
Connection Manager Administration Kit (CMAK)
Connection Point Services (CPS)
Sau đây, ta sẽ tìm hiều sâu hơn về các thành phần này
1.2.1.1.1 Connection Manager
Connection Manager là một trình quay số của client được tích hợptrong Windows XP Trình này cho ta những hỗ trợ kết nối cục bộ hoặc kếtnối từ xa đến các dịch vụ dữ liệu mạng tại điểm truy cập kiểu như cácdịch vụ toàn cầu (Worldwide) mà các nhà cung cấp dịch vụ Internet (ISP)cung cấp
1.2.1.1.2 Connection Manager Administration Kit
Một người quản trị mạng có thể chỉnh sửa hình thức và phương thứchoạt động của một kết nối được tạo bởi CM bằng việc sử dụng CMAK.Với CMAK, người quản trị mạng có thể xây dựng một trình quay số ởphía client và một phần mềm kết nối cho phép người sử dụng có thể kếtnối đến mạng đó bằng cách chỉ sử dụng các tính năng mà người quản trị
Trang 13mạng đã định ra cho họ CM hỗ trợ rất nhiều tính năng có thể hỗ trợ cảviệc làm đơn giản hoá hoặc tăng cường khả năng hỗ trợ kết nối cho người
sử dụng Hầu hết các tính năng này là tương thích đối với CMAK
CMAK cho phép ta xây dựng các đặc tả tuỳ chọn đối với các gói càiđặt, qua đó, CM có thể chỉ ra định danh của tổ chức tương ứng Điều nàycho phép ta xác định xem những thuộc tính và chức năng nào mà bạnmuốn có Như vậy CMAK giúp ta xây dựng các đặc tả dịch vụ theo tuỳchọn
1.2.1.1.3 Connection Point Services
CPS cho phép ta tự động phân phát và cập nhật danh bạ liên lạc.Các danh bạ này có chứa một hay nhiều mục có tên là Point of Presence(POP) Mỗi POP cho ta một số điện thoại mà qua đó ta có được các truycập và Internet thông qua thủ tục quay số với số điện thoại đó Các danh
bạ có thể cung cấp cho người sử dụng toàn bộ thông tin về POP Như vậy,trong khi di chuyển, người sử dụng có thể kết nốt đến nhiều điểm truy cậpkhác nhau thay vì bị hạn chế với một POP duy nhất
Nếu không thể cập nhật sổ danh bạ này (đây là chức năng mà CPSthực hiện tự động), người sử dụng phải liên hệ đến nhân viên hỗ trợ kỹthuật để có được những thông tin về sự thay đổi thông tin của POP và cóthể cấu hình lại phần mềm quay số client của họ
CPS có hai thành phần:
Phone Book Administrator: Đây là một công cụ được sử dụng đểtạo và duy trì cơ sở dữ liệu của các danh bạ và để tạo ra các thôngtin mới về danh bạ cho cụng cụ Phone Book Service
Phone Book Service: Đây là một phần mở rộng của MicrosoftInternet Information Services (IIS) chạy trên phiên bản Windows
NT Server 4.0 hoặc mới hơn (cngf với IIS) Phone Book Service tựđộng kiểm tra danh bạ của các thuê bao hoặc những nhân viên cóthể công tác và khi đó, nếu cần thì tải thông tin về các danh bạ nàyxuống và thực hiện cập nhật
Trang 141.2.1.2. Đăng nhập một lần
Đăng nhập một lần (Single sign-on) là khả năng cho phép mộtngười dùng truy cập từ xa có thể tạo một domain bằng cách sử dụng cùngmột mức uỷ nhiệm Đối với những hệ thống nền dựa trên domain,username và password được sử dụng để vừa thực hiện xác thực và phânquyền đối với một kết nối từ xa và cũng là để đăng nhập vào một domaincủa Windows
Đối với các kết nối VPN, người sử dụng trước tiên phải kết nối vàoInternet, sau đó mới có thể tạo được một kết nối VPN Sau khi kết nốiInternet được tạo ra, người sử dụng có thể thực hiện tạo một kết nối vàđăng nhập vào một domain nào đó
Nếu có một account riêng mà ISP cung cấp để truy cập vào Internet,người sử dụng có thể tạo một liên kết thông qua thủ tục quay số vớinhững uỷ quyền mà ISP đã xác lập Sau đó, ta có thể cấu hình cho kết nốiVPN của mình để quay số qua kết nối mà ISP cung cấp, sau đó, ta mới cómột liên kết VPN Trong quá trình cấu hình này, người sử dụng sẽ khôngbao giờ phải gõ vào những uỷ quyền của ISP khi cần đăng nhập vào mộtdomain Sự kết hợp giữa kết nối của ISP và kết nối VPN có thể được cấuhình trực tiếp hoặc thông qua CM
1.2.1.3. Những điều cần lưu ý khi cấu hình một
Trang 15 Nếu ta đang sử dụng các VPN client trên Windows XP hayWindows 2000 và tạo các kết nối theo giao thức L2TP, trước tiên taphải thiết lập một chứng nhận trên máy VPN client.
1.2.2 Cơ sở hạ tầng mạng Internet
Để tạo một kết nối VPN đến một VPN server qua Internet, có một
số điểm sau đây mà ta cần lưu ý:
Phải có được tên của VPN server
Phải truy cập được đến VPN server
Truyền thông VPN phải được cho phép theo chiều đến và đi khỏiVPN server
1.2.2.1 Tên của VPN server
Trong hầu hết các trường hợp, ta thường tham chiếu đến VPNserver thông qua tên của nó chứ không phải là địa IP Đơn giản là vì têncủa server sẽ dễ nhớ hơn nhiều Chỉ có một điều cần phải đảm bảo là, cho
dù ta có sử dụng bất kỳ tên nào cho máy chủ đi nữa thì tại đó cũng phảiđược chuyển đổi thành một địa chỉ IP sử dụng nền tảng DNS cho Internet
Khi ta sử dụng tên thay cho các địa chỉ IP, ta có thể có được nhữngtiện lợi mà DNS cung cấp trong việc cân bằng tải trong trường hợp cónhiều VPN server có cùng tên Với DNS, ta có thể tạo nhiều bản ghi lưumột tên nào đó nhưng có thể ứng với nhiều địa chỉ IP khác nhau Trongtrường hợp này, các DNS server sẽ gửi trở lại tất cả các địa chỉ có liên hệđến một tên DNS đã được yêu cầu và sẽ thực hiện ngẫu nhiên hoá thứ tựcủa các yêu cầu liên tiếp Do hầu hết các DNS client sử dụng địa chỉ đầutiên trong các phản hồi cho các yêu cầu gửi đến DNS server, kết quả làcác kết nối VPN client có mức phân bố đều nhau trên các VPN server
Trang 161.2.2.2. Khả năng kết nối đến VPN server
Để các VPN client có thể kết nối đến VPN server phải được gánmột địa chỉ IP chung Thông qua địa chỉ này, các gói tin được truyền tiếpbằng các chức năng định tuyến của Internet Nếu ta được sử dụng một địachỉ IP tĩnh do một ISP cung cấp thì điều này không còn là vấn đề đángngại Trong một số phương thức cấu hình, VPN server được cấu hình vớimột địa chỉ IP riêng và có một địa chỉ IP tĩnh được công bố rộng rãi trênInternet Một thiết bị trung gian giữa mạng Internet và VPN server thựchiện chuyển đổi địa chỉ IP tĩnh trên Internet thành địa chỉ IP thực sự củaVPN trong các gói tin được truyền đến và đi khỏi VPN server
Trong một số trường hợp, nền tảng routing đó có và hoạt động tốtnhưng các client vẫn không thể nối đến VPN server, điều này có thể là docác firewall, các router lọc gói tin, các bộ dịch địa chỉ mạng, các gatewaybảo mật hay các thiết bị khác ngăn không cho các gói tinh đươc truyền vànhận bởi VPN server
1.2.2.3. Các VPN server và cấu hình firewall
Có hai phương thức sử dụng firewall để bảo vệ một VPN server:
VPN server được kết nối trực tiếp vào Internet và firewallnằm ở giữ VPN server và mạng Intranet của tổ chức Trongphương thức cấu hình này, VPN server phải được cấu hìnhvới các bộ lọc gói tin Các bộ lọc này phải đảm bảo là chỉ chophép truyền và nhận các gói tin đi và đến trong giao thức củaIntranet Firewall có thể được cấu hình để cho phép một sốhình thức truy cập từ xa nhất định
Firewall được kết nối vào Internet và VPN server sẽ nằm giữaFirewall và mạng Intranet của tổ chức Trong cách cấu hìnhnày, cả firewall và VPN server được gắn với một phần củamạng được gọi là mạng vòng ngoài cả firewall và VPNserver phải được cấu hình với các bộ lọc gói tin để chỉ chophép các lưu thông VPN truyền vào và nhận từ Internet
Trang 171.2.3 Các giao thức xác thực
Để có thể xác thực người sử dụng khi họ muốn tạo một liên kếtPPP, Windows XP và Windows Server 2003 hỗ trợ rất nhiều giao thứcxác thực, trong đó, ta có thể kể đến:
Password Authentication Protocol (PAP)
Challenge-Handshake Authentication Protocol (CHAP)
Microsoft Challenge Handshake Authentication Protocol(MS-CHAP)
MS-CHAP version 2 (MS-CHAP v2)
Extensible Authentication Protocol-Message Digest 5 MD5)
(EAP- Extensible Authentication Protocol-Transport Level Protocol(EAP-TLS)
Đối với các kết nối PPTP, ta phải sử dụng MS-CHAP, MS-CHAPv2, hay EAP-TLS Chỉ có ba giao thức này cung cấp các cơ chế để tạo ramột khóa mã hóa giống nhau cho cả VPN client và VPN server MPPE sửdụng các khóa mã hóa này để mã hóa tất cả dữ liệu được truyền trong liênkết VPN kiểu PPTP MS-CHAP và MS-CHAP v2 là các giao thức xácthực dựa trên mật khẩu
Nếu không có các thẻ chứng nhận kiểu smart card, MS-CHAP v2được coi là một giao thức xác thực mạnh hơn MS-CHAP và có khả năngthực hiện xác thực ở cả hai phía Qua đó, VPN client được xác thực bởiVPN server và ngược lại, VPN server được xác thực bởi VPN client
Đối với các kết nối L2TP/IPSec, bất kỳ giao thức xác thực nào đều
có thể được sử dụng vì việc xác thực diễn ra sau khi VPN client và VPNserver đã thiết lập được một kênh truyền an toàn để thực hiện liên lạc, cáckênh này được gọi là các mối liên kết an toàn của IPSec Tuy nhiên, việc
sử dụng MS-CHAP và MS-CHAP v2 vẫn được khuyến khích do tínhnăng xác thực cao hơn
Lựa chọn phương thức xác thực:
Ta nên chú ý đến các yếu tố sau khi lựa chọn một phương thức xácthực cho các kết nối VPN:
Trang 18 Nếu người sử dụng dựng các smart card hay có một thẻ chứngnhận thì ta nên dựng giao thức xác thực EAP-TLS cho cả cáckết nối kiểu PPTP và kết nối kiểu L2TP.
Nếu ta phải sử dụng một giao thức xác thực sử dụng mậtkhẩu, hãy sử dụng MS-CHAP v2 và dung những mật khẩu đủmạnh cùng với các chính sách nhóm MS-CHAP v2 được hỗtrợ bởi Windows Server 2003, Windows XP, Windows 2000,Windows NT 4.0 (với Service Pack 4 hay các phiênbạn saunày), Windows ME, Windows 98, và Windows 95 (vớiWindows Dial-Up Networking 1.3 hay các phiên bản saunày)
1.2.4 Các giao thức VPN
Windows Server 2003, Windows XP hỗ trợ hai giao thứcVPN truy cập từ xa là:
Point-to-Point Tunneling Protocol
Layer Two Tunneling Protocol
Sau đây, ta sẽ tìm hiểu hai giao thức này
1.2.4.1. Point-to-Point Tunneling Protocol
Được công bố cùng Windows NT 4.0, PPTP cho phép thực hiện xácthực người sử dụng trong giao thức PPP và MPPE để đóng gói và mã hóacác gói tin truyền trong giao thức IP, IPX và NetBEUI Khi MS-CHAP v2được công bố với tính năng cung cấp mật khẩu rất tốt, PPTP là một côngnghệ VPN an toàn EAP-TLS có thể được sử dụng với Windows Server
2003, Windows XP để hỗ trợ smart card Nói chung, PPTP là một giaothức được hỗ trợ rộng rãi, dễ triển khai và có thể dùng trong các bộ dịchđịa chỉ mạng
1.2.4.2. Layer Two Tunneling Protocol with IPSec
Trang 19L2TP cho phép xác thực người sử dụng trong giao thức PPP và chophép mã hoó theo dịch vụ IPSec để đóng gói và mã hóa các gói tin truyềntrong giao thức IP, IPX và NetBEUI Sù kết hợp này hình thành một giaothức được gọi là L2TP/IPSec Giao thức này sử dụng việc xác thực địnhdanh các máy có dựng thẻ chứng nhận để tạo các liên kết an toàn, đồngthời thực hiện xác thực người sử dụng dựa trên giao thức PPP.
L2TP/IPSec cho phép ta đảm bảo sự toàn vẹn dữ liệu, xác thực dữliệu đối với mỗi gói tin Tuy nhiên, L2TP/IPSec, cần một nền tảng về cácthẻ chứng nhận đẻ phân bổ các thẻ chứng nhận đến các máy và chỉ được
hỗ trợ bởi các VPN client chạy Windows XP and Windows 2000
Các liên kết VPN dựa trên PPTP cho ta tính năng toàn vẹnthông tin Tuy nhiên, các kết nối VPN trong PPTP không cho
ta tính năng toàn vẹn dữ liệu xác thực dữ liệu
Các máy PPTP VPN client có thể được định vị thông qua mộtNAT Nếu NAT có chứa một công cụ chỉ sửa có khả năng xácđịnh được phương thức chuyển đổi dữ liệu trên các tuyếntruyền PPTP một cách chính xác Hầu hết các NAT sử dụngmọt địa chỉ IP chugn duy nhất, nó bao gồm ICS và thành phầngiao thức định tuyến NAT, thành phần này có thể được cấuhình để cho phép truyền thụng dựa trên các địa chỉ IP và TCP
Các máy L2TP VPN client không thể được đặt sau một NAT
vì đó có một giao thức Trao đổi khoá Internet (Internet KeyExchange - IKE) Giao thức này được sử dụng để thoả thuậncác liên kết an toàn của dịch vụ IPSec trên Windows Server
Trang 202003 Dữ liệu được bảo vệ bởi IPSec là không thể chuyển đổiđược.
L2TP chỉ có thể được sử dụng với Windows XP và Windows
2000 Nó hỗ trợ các thẻ chứng nhận như là phương thức mãhóa đối với IPSec Việc xác thực các thẻ chứng nhận cần phải
có một hạ tầng các thẻ xác nhận để phát hành các thẻ xácnhận cho VPN server và tất cả các VPN client
Thông qua việc sử dụng IPSec, các liên kết VPN kiểu L2TP
có khả năng đảm bảo toàn vẹn và an toàn dữ liệu, đồng thời,dịch vụ này còn cho ta khả năng xác thực dữ liệu và bảo vệtrước các cuộc tấn công kiểu replay
PTP và L2TP không phải là hai giao thức mà ta nhất thiết lựachọn một trong số chúng Một Windows 2003 VPN server hỗtrợ đồng thời PTP và L2TP Ta có thể sử dụng PPTP cho mộtliên kết VPN truy cập từ xa nào đó trên các máy không cài đặtWindows XP hoặc Windows 2000 và khụgn có các thẻ chứngnhận đã cài đặt sẵn Mặt khác, ta có thể sử dụng giao thứcL2TP để thực hiện các kết nối VPN từ xa từ một máy VPNclient chạy Windows XP hoặc Windows 2000 và đã cài đặtthẻ chứng nhận
Nếu sử dụng cả PPTP và L2TP, ta có thể tạo ra các chính sáchtruy cập khác nhau, các chính sách này sẽ định ra các tham sốkết nối khác nhau trong hai giao thức
1.2.5 VPN server
Một VPN server là một máy tính chạy hệ điều hành WindowsServer 2003, trên máy này có cài đặt dịch vụ định tuyến và truy cập từ xa.Các công việc của VPN server gồm có:
Lắng nghe các yêu cầu kết nối của giao thức PPTP hoặc cácthoả thuận về liên kết an toàn của dịch vụ IPSec để thiết lậpcác liên kết L2TP
Xác thực và cấp thẩm quyền cho các liên kết VPN trước khicho phép truyền dữ liệu
Đóng vai trò của một router chuyển tiếp dữ liệu giữa các VPNclient và các tài nguyên có trong mạng cục bộ của tổ chức
Trang 21 Đóng vai trò của một điểm cuối trên tuyến truyền VPN đi từphía client.
Đóng vai trò điểm cuối của điểm cuối trong một kết nối VPN
từ phía VPN client
Thông thường, các VPN server thường được cài đặt thêm hai béadapter, một bộ để nối với mạng Internet, cái còn lại được nối với hệthống mạng cục bộ của tổ chức Khi ta thực hiện cấu hình và cho phépdịch vụ định tuyến và truy cập từ xa, ta cần phải thiết lập thông tin về vaitrò mà mày VPN cần phải đảm nhận Đối với các VPN server, ta nênchọn Virtual private network (VPN) server Với lựa chọn này, Routingand Remote Access server sẽ hoạt động với vai trò của server với khảnăng hỗ trợ dịch vụ truy cập từ xa và các kết nối VPN theo kiểu router-to-router Đối với các kết nối VPN truy cập từ xa, người sử dụng phần mềmVPN client và khởi tạo một liên kết từ xa để truy cập tới một server Đốivới các liên kết VPN kiểu router-to-router, một router sẽ khởi tạo một liênkết đến một router khác
Cấu hình cho VPN Server:
Khi cấu hình một VPN server, ta phải chú ý đến một số điểm sau:
Những giao thức nào sẽ được hỗ trợ trên các kết nối VPN:
Dịch vụ định tuyến và truy cập từ xa có thể chuyển tiếp cácgói tin của giao thức IP, IPX, và NetBEUI qua các liên kết sửdụng công nghệ của giao thức PPTP và L2TP
Liên kết nào tới VPN server đươc thực hiện qua Internet:
Thông thường, các VPN server loại kết nối vao Internetthường có it nhất 2 kết nối và mạng LAN: Một kết nối là vàmạng Internet và một là kết nối và mạng nội bộ của tổ chức
Liệu VPN server có thể là một DHCP client không: VPN
server phải được cấu hình trực tiếp khi kết nối với Internet.Trong khi đó, MS lại không khuyến khích việc để một VPNserver cũng đồng thời là một DHCP client trong mạngIntranet Do yêu cầu của việc định tuyến đối với VPN server,địa chỉa IP, subnet mask, DNS server và WINS server phảiđược cấu hình trực tiếp, tuy nhiên nhưng không được cấu hìnhmột gateway mặc định Tuy nhiên, vẫn có thể thực hiện cấuhình trực tiếp cho TCP/IP của VPN server nhưng lại có thểdùng DHCP để thu được địa chỉ IP cho các VPN client
Trang 22 Cách thức các địa chỉ IP được phân bổ cho các VPN client truy cập từ xa: VPN server có thể được cấu hình để có khả
năng thu được các địa chỉ IP từ DHCP hay trong một giới hạnđịa chỉ được cấu hình trực tiếp Sử dụng DHCP để thu thậpcác địa chỉ IP sẽ làm đơn giản hoá việc cấu hình Tuy nhiên,
ta phải đảm bảo được rằng, phạm vi DHCP cho subnet màqua đó kết nối nội bộ của VPN server được thực hiện phải có
đủ số địa chỉ cho tất cả các máy tính được kết nối vật lý vàosubnet và phải đáp ứng được số cổng PPTP và L2TP tối đa
Ví dụ, nếu subnet có 50 DHCP client thì cấu hình mặc địnhcho VPN server phải đạp bảo có được ít nhất 307 địa chỉ (50máy + 128 PPTP client + 128 L2TP client + 1 VPN server).Nếu không có đủ số địa chỉ IP thì những VPN client kết nốivào với địa chỉ VPN nằm ngoài phạm vi cho phép sẽ khôngthể truy cập tới các tài nguyên trong mạng cục bộ
Liệu sẽ có nghiều VPN server hay không: Nếu cần có nhiều
VPN server, ta cần tạo các một bản ghi cho DNS để có thểphân biệt được cùng tên một tên của VPN server nhưng lạiứng với nhiều địa chỉ IP khác nhau của các VPN server riêngbiệt
1.2.6 Hạ tầng mạng Intranet
Hạ tầng mạng intranet là một yếu tố quan trọng trong việc thực hiện
mô hình VPN Nếu không được thiết kế đúng, các VPN client sẽ khôngthể có được các điạ chỉ IP chính xác và không thể phân biệt được các tạimáy sử dụng trong mạng intranet mà nó được kết nối Hơn nữa, các góitin cũng sẽ không được chuyển tiếp giữa VPN client và các tài nguyên cótrong mạng nội bộ
1.2.6.1. Chuyển đổi tên
