P. 1
VPN TongQuan

VPN TongQuan

|Views: 221|Likes:
Được xuất bản bởiHoang Tran

More info:

Published by: Hoang Tran on Mar 27, 2012
Bản quyền:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPT, PDF, TXT or read online from Scribd
See more
See less

08/11/2013

pdf

text

original

Mạng riêng ảo

(VPN - Virtual Private Network)

1. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO
Virtual Private Networks (VPN) hay gọi là Mạng Riêng Ảo, cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet. Kỹ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN. Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.  Quan điểm: Nếu trong mạng toàn cầu có hai chỗ kết nối đang trao đổi thông tin thì việc bảo đảm tính bí mật và tính toàn vẹn của dữ liệu đang truyền đi trên mạng, cần xây dựng một kênh ngầm ảo mà việc kết nối vào nó của các quan sát viên bên ngoài dạng tích cực hay thụ động là cực kỳ khó khăn. Thuật ngữ ảo chỉ ra rằng việc kết nối giữa hai nút trên mạng như vậy không phải là cứng mà chỉ tồn tại trong thời gian xuất hiện đường dẫn trên mạng.
-

2. CHỨC NĂNG CỦA MẠNG RIÊNG ẢO - Chức năng:
• Bảo mật thông tin trong quá trình truyền trên các kênh liên lạc mở • Bảo đảm các mạng cục bộ và các máy lẻ được kết nối với các kênh công khai khỏi các can thiệp trái phép từ bên ngoài.

Mô hình mạng riêng ảo

3. CƠ SỞ HẠ TẦNG KỸ THUẬT ĐỂ XÂY DỰNG MẠNG RIÊNG ẢO  Kỹ thuật mật mã Cơ sở hạ tầng khoá công khai Các giao thức an toàn và bảo mật .

Điều này dựa trên nguyên tắc là một thông báo được mã hoá với một khoá mã xác định và chỉ có thể được giẩi mã bởi người biết khoá ngược tương ứng. .3. Nó đ ư ợ c dùng để che dấu thông tin mật được đặt trong hệ thống.1 KỸ THUẬT MẬT MÃ  Vai trò của kỹ thuật mật mã trong bảo vệ thông tin:  1. Như chúng ta đã biết các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và xuyên tạc thông báo.

.1 KỸ THUẬT MẬT MÃ  2. Nó được dùng để hỗ trợ cơ chế truyền thông xác thực giữa các cặp người dùng hợp pháp mà ta gọi là người uỷ nhiệm (Principal). Từ đó người nhận có thể suy ra rằng người gửi của thông báo có khoá mã tương ứng.3. Như vậy nếu các khoá được giữ bí mật thì việc giải mã thành công sẽ xác thực thông báo được đến từ một người gửi xác định. Một người uỷ nhiệm sau khi giải mã thành công một thông báo bằng cách dùng một khoá dịch xác định có thể thừa nhận rằng thông báo được xác thực nếu nó chứa một vài giá trị mong muốn.

Khả năng để cung cấp một chữ ký số dựa trên nguyên tắc là có những việc chỉ có người uỷ nhiệm là người gửi thực sự mới có thể làm còn những người khác thì không thể. Nó được dùng để cài đặt một cơ chế chữ ký số.1 KỸ THUẬT MẬT MÃ  3. Điều này có thể đạt được bằng việc đòi hỏi một thành viên thứ ba tin cậy mà anh ta có bằng chứng định danh của người yêu cầu để mã thông báo hoặc để mã một dạng ngắn của thông báo được gọi là digest tương tự như một checksum.3. Chữ ký số có vai trò như một chữ ký thông thường trong việc xác nhận với một thành viên thứ ba rằng một thông báo là một bản sao không bị thay đổi của một thông báo được tạo bởi một người uỷ nhiệm đặc biệt. Thông báo hoặc digest được mã đóng vai trò như một chữ ký đi kèm với thông báo. .

Mô hình của hệ thống bảo mật thông tin trên mạng dùng kỹ thuật mật mã .

Mật mã khoá bí mật Trong mật mã khoá bí mật. các khoá được dùng cho lập mã và giải mã thông báo là như nhau .

 Trao đổi khoá : Hai đối tượng truyền thông hợp tác để trao đổi khoá phiên. khoá bí mật và khoá công khai.  . Chữ ký thu được bởi một thuật toán mật mã được thao tác trên thông báo hoặc một khối nhỏ của dữ liệu tạo từ thông báo. . người gửi hoặc dùng khoá công khai của người nhận hoặc dùng khoá bí mật của người gửi hoặc cả hai để tiến hành một vài thao tác đối với hàm mật mã.Mật mã khoá công khai  Hệ thống mật mã khoá công khai được đặc trưng bởi việc dùng một thuật toán mã với hai khoá.Mã và giải mã : Người gửi mã thông báo bằng khoá công khai của người nhận.Chữ ký số : Người gửi ký một thông báo với khoá bí mật của mỡnh. Tuỳ thuộc vào ứng dụng. Chúng ta có thể phân loại việc dùng hệ thống mật mã khoá công khai thành ba loại :  .

CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI – PKI (Public Key Infrastructure)  Vấn đề nảy sinh khi sử dụng mật mã khóa công khai? Tránh giả mạo khoá công khai Xác thực người dùng Tránh giả mạo chữ kí …  Giải quyết … Xây dựng cơ sở hạ tầng khoá công khai ! Trung tâm xác thực Các thành viên tham gia hệ thống Các chỉ dẫn mạng .2.3.

Định nghĩa Dựa trên nền tảng là mật mã khoá công khai và chữ ký số Thành phần Chính sách bảo mật (Security Policy) Xác nhận chứng chỉ (Certificate Authority-CA) Xác nhận đăng ký (Registration Authority-RA) Hệ thống phân phối chứng chỉ (Certificate Distribution System) Môi trường ứng dụng PKI (PKI-enabled Applications) .

các tổ chức này khi đưa ra các mã bảo mật cần được xác nhận để được có quyền đưa ra các mã cho các khoá mật .Các thành phần của PKI Security Policy Ngoài những điều khoản bảo mật và định nghĩa của các tổ chức đứng đầu về bảo mật thông tin.

quản lý khoá chung trong mọi tình huống. Đưa ra được các chứng chỉ và tập hợp lại thành đặc điểm riêng của người sử dụng hoặc hệ thống tạo thành khóa chung với mã số. . Sẽ loại bỏ trong danh sách khoá cho những trường hợp chứng chỉ không đúng. không tường minh. Thời hạn sử dụng cho các chứng chỉ đó.Các thành phần của PKI Certificate Authority (CA) Hệ thống CA là trung tâm có độ tin cậy cao nhất của PKI.

tiếp nhận và nhận dạng những đặc điểm của người sử dụng. xác định sẽ thuộc mức độ tin cậy nào trên từng chứng chỉ. Certificate Distribution System Chứng chỉ có thể được phân bổ theo số tuỳ thuộc vào kiến trúc của môi trường PKI.Các thành phần của PKI Registration Authority (RA) Cung cấp giao diện giữa người sử dụng và CA. Xử lý các tính chất riêng biệt của từng nhận dạng. . đưa qua CA. cũng như hệ thống.

nó sẽ tuỳ thuộc vào môi trường ứng dụng mà hệ thống chạy.Các thành phần của PKI PKI-enabled applications PKI theo một nghĩa thực chất đó chính là điểm cuối.EDI) Thẻ tín dụng chuyển trên Internet (Credit card transactions over the Internet) Mạng riêng ảo (Virtual Private Networks . như: Web servers và browsers E-mail Chuyển dữ liệu điện tử (Electronic Data Interchange .VPNs) .

Extranet. portals) • Các ứng dụng khác .. Client authentication) • Xác thực Server . tài liệu.bảo mật đường truyền (Server authentication . .Ứng dụng PKI • Mạng riêng ảo .SSL) • Chứng thực số cho phát triển phần mềm (Code signing) • Ký và mã hoá văn bản.IPSec Virtual Private Network (VPNs) • Thư bảo đảm.. xác thực user (Secure E-mail. dữ liệu (Files signing) • Các ứng dụng Web – Enterprise. web applications (Intranet.

4. . Sau khi thiết lập một server thành VPN server thì các clients có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ hay còn gọi là LAN như là đang kết nối trực tiếp với network đó. Hướng dẫn thiết lập W2K VPN server Hệ điều hành Windows 2000 Server cho phép thiết lập VPN server bằng cách sử dụng RRAS (Remote Routing Access Service).

client có thể sử dụng giao thức PPP này một lần nữa để thiết lập một kết nối ảo với VPN server và từ đây nó có thể trở thành một node hay một máy trạm trong hệ thống LAN. Windows NT Workstation hay là Windows 2000 Professional. Kết nối theo dạng này còn được gọi là “Non-Virtual” kết nối không ảo ở tầng datalink. Hoạt động giữa client và server: Cách đơn giản và thông dụng nhất là client khởi tạo một kết nối với ISP bằng giao thức PPP (Point to Point Protocol). . Ngay cả server cũng có thể là VPN clients.VPN Clients VPN clients có thể là bất kì một computer nào sử dụng hệ điều hành từ Win9x.

1 Cài đặt VPN Server Bước 1: Enable Routing and Remote Access Service (RRAS). Bước này không cần phải cài đặt vì nó đã được cài đặt sẵn khi cài đặt hệ điều hành Windows. cho nên để enable RRAS có thể làm theo các bước sau đây: .4. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable.

chọn Administrative Tools.Bước 1: Enable Routing and Remote Access Service (RRAS). . Sau khi chọn như ở trên nó cần khoảng vài giây để activate. 3:Sau đó RRAS Wizard sẽ khởi động. chọn Programs. right click tên server của bạn. nên chọn mục Manually configured server và click Next theo hình dưới đây. và chọn Enable Routing and Remote Access. Trong phần này. chọn Routing and Remote Access (RRAS). 1:Chọn start. 2:Trong Routing and Remote Access console.

. và cuối cùng là chọn Finish để hoàn tất phần enable RRAS.Bước 1: Enable Routing and Remote Access Service (RRAS). bạn chỉ chọn Yes. 5:Sau khi hoàn tất phần enable RRAS cần phải restart service. 4:Cứ tiếp tục làm theo sự chỉ dẫn trên wizard cho tới khi hoàn tất phần wizard.

.Bước 1: Enable Routing and Remote Access Service (RRAS). Khi RRAS bắt đầu làm việc thì sẽ thấy như hình dưới đây.

chọn mục Router và luôn cả mục LAN and demand-dial routing. Nếu không chọn mục này thì VPN client không thể gọi vào được. Trong phần này.Bước 2: ThiÕt lËp cÊu h×nh (Phần General Tab ) Right click vào server name và chọn Properties. . Chọn thêm mục Remote access server. Phần làm việc của mục router này là route traffic trực tiếp giữa mạng LAN và những máy truy cập thông qua kết nối theo dạng demand-dial. Nếu muốn VPN theo dạng gateway-to-gateway VPN. chọn mục Router vì computer của bạn sẽ chịu trách nhiệm chuyển tải những yêu cầu từ VPN clients với lại mạng nội bộ LAN.

Static Address Pool . nếu không chọn mục này thì các clients chỉ có thể truy cập vào VPN server mà thôi. Tiếp theo cần phải quyết định số IP cấp phát cho VPN clients như thế nào. Bạn có hai cách cấp phát IP Dynamic Host Configuration Protocol (DHCP) . mục này cho phép clients được quyền truy cập vào mạng nội bộ.IP động.Bước 3: ThiÕt lËp cÊu h×nh (Phần Server "IP" Tab ) Chọn vào mục Enable IP routing.IP Tĩnh . Mục Allow IP-based remote access and demand-dial connections phải được enable để các clients có thể được cấp phát địa chỉ IP khi client truy cập.

right click on Ports -> Properties.Bước 4: ThiÕt lËp cÊu h×nh VPN Ports Trong RRAS Console. .

.Bước 4: Thiết lập cấu hình VPN Ports Trong phần Ports Properties. Chọn VPN interface mà bạn muốn enable. giao thức PPTP tương đối là đơn giản. nên bắt đầu bằng cách chọn WAN Miniport (PPTP) sau đó nhấn vào mục Configure. ví dụ như bạn muốn enable giao thức PPTP để client có thể tạo kết nối với mạng VPN.

nhập vào địa chỉ IP của VPN server interface. Mục Demand-dial routing connections (inbound and outbound) cho phép RRAS server được phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-dial routers. Trong hộp Phone number for this device. nên chọn mục Remote access connections (inbound only) để clients có thể tạo kết nối với VPN server.Trong phần configure WAN Miniport (PPTP). Bước 4: Thiết lập cấu hình VPN Ports .

Bước 5: Cho phép truy cập qua Remote Access Policy . bên tay phải bạn right click vào mục Allow access if dial-in permission is enable chọn properties như hình dưới.Chọn vào thư mục Remote Access Policy.

Trong phần Allow access if dial-in permission is enable Properties. Mục này cho phép users truy cập bất cứ lúc nào miễn là khớp với điều kiện đặt ra của Policy Change the If a user matches the conditions setting to Grant remote access permission Bước 5: Cho phép truy cập qua Remote Access Policy . chọn vào mục Grant remote access permission.

sau đó click Next . Right click vào My Network Places. chọn Properties.4.2 Cài đặt VPN Client 1. double click vào Make New Connection.

4. Chọn vào Connect to private network through the Internet theo hình dưới đây .2 Cài đặt VPN Client 2.

4.2 Cài đặt VPN Client 3. nếu bạn đã kết nối rồi thì nên chọn Do not dial the initial connection theo hình dưới đây và Click Next . Nếu bạn chưa kết nối với internet thì bạn có thể chọn mục Automatically dial this initial connection.

Trong phần host name or IP. . bạn có thể nhập vào server name của bạn hoặc nếu bạn không có tên miền thì bạn có thể nhập vào địa chỉ IP address như hình dưới đây.4.2 Cài đặt VPN Client 4.

4.2 Cài đặt VPN Client 5. còn không thì chọn Only for myself . Nếu bạn cho phép các users khác được phép sử dụng kết nối này của bạn để truy cập VPN thì chọn mục For all users.

4. Trong hình dưới đây bạn chỉ việc nhập vào user name và password để kết nối .2 Cài đặt VPN Client 6.

2 Cài đặt VPN Client 7. .4. bạn nên sử dụng giao thức PPTP. Khi mới thiết lập và làm quen với VPN. vì giao thức này là giao thức đơn giản nhất trong 3 giao thức vì nó không đòi hỏi certificate hay là PKI (Public Key Infrastructure) như L2TP.

3 Tạo Tài khoản truy nhập VPN Khởi tạo công cụ quản trị Users trên DC Chọn Action/New/ Users .4.

mật khẩu ...4... . Nhập các thông tin về tài khoản cần tạo: tên đăng nhập.3 Tạo Tài khoản truy nhập VPN 3 .

Cho phép tài khoản truy nhập VPN:  Chọn tài khoản  Action/Properties/  Chọn thẻ Dial–in  Chọn mục Allow access .3 Tạo Tài khoản truy nhập VPN  3.4.

4.  .4 Khởi tạo kết nối VPN  kiểm tra lại cấu hình của client. sau khi kết nối thành công chúng ta sẽ thấy địa chỉ vpn client được cấp phát. dùng lệnh ping đến DC để kiểm tra có connect được với domain controller hay không.

 Sau khi quá trình join domain hoàn thành hãy restart lại máy tính và khởi tạo lại kết nối vpn đến Server. và thử truy cập vào tài nguyên chia sẽ trªn Server .4.4 Kết nối Client vào Domain  Hãy join client vào domain.

168.2.168.1.254 WinXP IP: 10.0.0.3 Windows XP IP: 192. firewall 3 Ip int: 192.1.0.100 Default gateway: 192.200 Gateway.3.168.2.1.4.5 Thực hành thiết kế mạng VPN Windows XP IP: 10.254 Ip ext: 200.168.168.100 Default gateway: 192. firewall 2 Ip int: 192.2 Windows XP IP: 192.0.168.1.0.3.254 Ip ext: 200. firewal 1 Ip int: 10.1 Gateway.254 .201 Gateway.2.254 Ip ext: 200.3.1.1.0.

You're Reading a Free Preview

Tải về
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->