Mạng riêng ảo

(VPN - Virtual Private Network)

1. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO
Virtual Private Networks (VPN) hay gọi là Mạng Riêng Ảo, cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet. Kỹ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN. Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.  Quan điểm: Nếu trong mạng toàn cầu có hai chỗ kết nối đang trao đổi thông tin thì việc bảo đảm tính bí mật và tính toàn vẹn của dữ liệu đang truyền đi trên mạng, cần xây dựng một kênh ngầm ảo mà việc kết nối vào nó của các quan sát viên bên ngoài dạng tích cực hay thụ động là cực kỳ khó khăn. Thuật ngữ ảo chỉ ra rằng việc kết nối giữa hai nút trên mạng như vậy không phải là cứng mà chỉ tồn tại trong thời gian xuất hiện đường dẫn trên mạng.
-

2. CHỨC NĂNG CỦA MẠNG RIÊNG ẢO - Chức năng:
• Bảo mật thông tin trong quá trình truyền trên các kênh liên lạc mở • Bảo đảm các mạng cục bộ và các máy lẻ được kết nối với các kênh công khai khỏi các can thiệp trái phép từ bên ngoài.

Mô hình mạng riêng ảo

CƠ SỞ HẠ TẦNG KỸ THUẬT ĐỂ XÂY DỰNG MẠNG RIÊNG ẢO  Kỹ thuật mật mã Cơ sở hạ tầng khoá công khai Các giao thức an toàn và bảo mật .3.

Điều này dựa trên nguyên tắc là một thông báo được mã hoá với một khoá mã xác định và chỉ có thể được giẩi mã bởi người biết khoá ngược tương ứng.3. Như chúng ta đã biết các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và xuyên tạc thông báo. .1 KỸ THUẬT MẬT MÃ  Vai trò của kỹ thuật mật mã trong bảo vệ thông tin:  1. Nó đ ư ợ c dùng để che dấu thông tin mật được đặt trong hệ thống.

Từ đó người nhận có thể suy ra rằng người gửi của thông báo có khoá mã tương ứng. Như vậy nếu các khoá được giữ bí mật thì việc giải mã thành công sẽ xác thực thông báo được đến từ một người gửi xác định. Nó được dùng để hỗ trợ cơ chế truyền thông xác thực giữa các cặp người dùng hợp pháp mà ta gọi là người uỷ nhiệm (Principal).1 KỸ THUẬT MẬT MÃ  2. Một người uỷ nhiệm sau khi giải mã thành công một thông báo bằng cách dùng một khoá dịch xác định có thể thừa nhận rằng thông báo được xác thực nếu nó chứa một vài giá trị mong muốn.3. .

Khả năng để cung cấp một chữ ký số dựa trên nguyên tắc là có những việc chỉ có người uỷ nhiệm là người gửi thực sự mới có thể làm còn những người khác thì không thể.3. Điều này có thể đạt được bằng việc đòi hỏi một thành viên thứ ba tin cậy mà anh ta có bằng chứng định danh của người yêu cầu để mã thông báo hoặc để mã một dạng ngắn của thông báo được gọi là digest tương tự như một checksum.1 KỸ THUẬT MẬT MÃ  3. Chữ ký số có vai trò như một chữ ký thông thường trong việc xác nhận với một thành viên thứ ba rằng một thông báo là một bản sao không bị thay đổi của một thông báo được tạo bởi một người uỷ nhiệm đặc biệt. Nó được dùng để cài đặt một cơ chế chữ ký số. Thông báo hoặc digest được mã đóng vai trò như một chữ ký đi kèm với thông báo. .

Mô hình của hệ thống bảo mật thông tin trên mạng dùng kỹ thuật mật mã .

Mật mã khoá bí mật Trong mật mã khoá bí mật. các khoá được dùng cho lập mã và giải mã thông báo là như nhau .

khoá bí mật và khoá công khai. . Chúng ta có thể phân loại việc dùng hệ thống mật mã khoá công khai thành ba loại :  .Mã và giải mã : Người gửi mã thông báo bằng khoá công khai của người nhận.Chữ ký số : Người gửi ký một thông báo với khoá bí mật của mỡnh. người gửi hoặc dùng khoá công khai của người nhận hoặc dùng khoá bí mật của người gửi hoặc cả hai để tiến hành một vài thao tác đối với hàm mật mã.  Trao đổi khoá : Hai đối tượng truyền thông hợp tác để trao đổi khoá phiên.  . Chữ ký thu được bởi một thuật toán mật mã được thao tác trên thông báo hoặc một khối nhỏ của dữ liệu tạo từ thông báo. Tuỳ thuộc vào ứng dụng.Mật mã khoá công khai  Hệ thống mật mã khoá công khai được đặc trưng bởi việc dùng một thuật toán mã với hai khoá.

CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI – PKI (Public Key Infrastructure)  Vấn đề nảy sinh khi sử dụng mật mã khóa công khai? Tránh giả mạo khoá công khai Xác thực người dùng Tránh giả mạo chữ kí …  Giải quyết … Xây dựng cơ sở hạ tầng khoá công khai ! Trung tâm xác thực Các thành viên tham gia hệ thống Các chỉ dẫn mạng .3.2.

Định nghĩa Dựa trên nền tảng là mật mã khoá công khai và chữ ký số Thành phần Chính sách bảo mật (Security Policy) Xác nhận chứng chỉ (Certificate Authority-CA) Xác nhận đăng ký (Registration Authority-RA) Hệ thống phân phối chứng chỉ (Certificate Distribution System) Môi trường ứng dụng PKI (PKI-enabled Applications) .

các tổ chức này khi đưa ra các mã bảo mật cần được xác nhận để được có quyền đưa ra các mã cho các khoá mật .Các thành phần của PKI Security Policy Ngoài những điều khoản bảo mật và định nghĩa của các tổ chức đứng đầu về bảo mật thông tin.

Sẽ loại bỏ trong danh sách khoá cho những trường hợp chứng chỉ không đúng. không tường minh. quản lý khoá chung trong mọi tình huống. Thời hạn sử dụng cho các chứng chỉ đó. .Các thành phần của PKI Certificate Authority (CA) Hệ thống CA là trung tâm có độ tin cậy cao nhất của PKI. Đưa ra được các chứng chỉ và tập hợp lại thành đặc điểm riêng của người sử dụng hoặc hệ thống tạo thành khóa chung với mã số.

đưa qua CA. xác định sẽ thuộc mức độ tin cậy nào trên từng chứng chỉ. Certificate Distribution System Chứng chỉ có thể được phân bổ theo số tuỳ thuộc vào kiến trúc của môi trường PKI. . Xử lý các tính chất riêng biệt của từng nhận dạng. cũng như hệ thống. tiếp nhận và nhận dạng những đặc điểm của người sử dụng.Các thành phần của PKI Registration Authority (RA) Cung cấp giao diện giữa người sử dụng và CA.

Các thành phần của PKI PKI-enabled applications PKI theo một nghĩa thực chất đó chính là điểm cuối. như: Web servers và browsers E-mail Chuyển dữ liệu điện tử (Electronic Data Interchange .VPNs) .EDI) Thẻ tín dụng chuyển trên Internet (Credit card transactions over the Internet) Mạng riêng ảo (Virtual Private Networks . nó sẽ tuỳ thuộc vào môi trường ứng dụng mà hệ thống chạy.

Ứng dụng PKI • Mạng riêng ảo . portals) • Các ứng dụng khác . dữ liệu (Files signing) • Các ứng dụng Web – Enterprise. web applications (Intranet..bảo mật đường truyền (Server authentication . Extranet. tài liệu. xác thực user (Secure E-mail.. Client authentication) • Xác thực Server .IPSec Virtual Private Network (VPNs) • Thư bảo đảm. .SSL) • Chứng thực số cho phát triển phần mềm (Code signing) • Ký và mã hoá văn bản.

4. . Hướng dẫn thiết lập W2K VPN server Hệ điều hành Windows 2000 Server cho phép thiết lập VPN server bằng cách sử dụng RRAS (Remote Routing Access Service). Sau khi thiết lập một server thành VPN server thì các clients có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ hay còn gọi là LAN như là đang kết nối trực tiếp với network đó.

Kết nối theo dạng này còn được gọi là “Non-Virtual” kết nối không ảo ở tầng datalink. . client có thể sử dụng giao thức PPP này một lần nữa để thiết lập một kết nối ảo với VPN server và từ đây nó có thể trở thành một node hay một máy trạm trong hệ thống LAN. Hoạt động giữa client và server: Cách đơn giản và thông dụng nhất là client khởi tạo một kết nối với ISP bằng giao thức PPP (Point to Point Protocol). Ngay cả server cũng có thể là VPN clients.VPN Clients VPN clients có thể là bất kì một computer nào sử dụng hệ điều hành từ Win9x. Windows NT Workstation hay là Windows 2000 Professional.

4. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable.1 Cài đặt VPN Server Bước 1: Enable Routing and Remote Access Service (RRAS). cho nên để enable RRAS có thể làm theo các bước sau đây: . Bước này không cần phải cài đặt vì nó đã được cài đặt sẵn khi cài đặt hệ điều hành Windows.

3:Sau đó RRAS Wizard sẽ khởi động. right click tên server của bạn. chọn Administrative Tools. 2:Trong Routing and Remote Access console. . chọn Routing and Remote Access (RRAS). Sau khi chọn như ở trên nó cần khoảng vài giây để activate. chọn Programs. và chọn Enable Routing and Remote Access. nên chọn mục Manually configured server và click Next theo hình dưới đây. Trong phần này.Bước 1: Enable Routing and Remote Access Service (RRAS). 1:Chọn start.

. 5:Sau khi hoàn tất phần enable RRAS cần phải restart service. và cuối cùng là chọn Finish để hoàn tất phần enable RRAS.Bước 1: Enable Routing and Remote Access Service (RRAS). bạn chỉ chọn Yes. 4:Cứ tiếp tục làm theo sự chỉ dẫn trên wizard cho tới khi hoàn tất phần wizard.

. Khi RRAS bắt đầu làm việc thì sẽ thấy như hình dưới đây.Bước 1: Enable Routing and Remote Access Service (RRAS).

Chọn thêm mục Remote access server. Trong phần này. Phần làm việc của mục router này là route traffic trực tiếp giữa mạng LAN và những máy truy cập thông qua kết nối theo dạng demand-dial. chọn mục Router và luôn cả mục LAN and demand-dial routing.Bước 2: ThiÕt lËp cÊu h×nh (Phần General Tab ) Right click vào server name và chọn Properties. Nếu muốn VPN theo dạng gateway-to-gateway VPN. chọn mục Router vì computer của bạn sẽ chịu trách nhiệm chuyển tải những yêu cầu từ VPN clients với lại mạng nội bộ LAN. Nếu không chọn mục này thì VPN client không thể gọi vào được. .

Mục Allow IP-based remote access and demand-dial connections phải được enable để các clients có thể được cấp phát địa chỉ IP khi client truy cập.Bước 3: ThiÕt lËp cÊu h×nh (Phần Server "IP" Tab ) Chọn vào mục Enable IP routing. Tiếp theo cần phải quyết định số IP cấp phát cho VPN clients như thế nào. mục này cho phép clients được quyền truy cập vào mạng nội bộ. Static Address Pool .IP Tĩnh . Bạn có hai cách cấp phát IP Dynamic Host Configuration Protocol (DHCP) . nếu không chọn mục này thì các clients chỉ có thể truy cập vào VPN server mà thôi.IP động.

right click on Ports -> Properties. .Bước 4: ThiÕt lËp cÊu h×nh VPN Ports Trong RRAS Console.

nên bắt đầu bằng cách chọn WAN Miniport (PPTP) sau đó nhấn vào mục Configure.Bước 4: Thiết lập cấu hình VPN Ports Trong phần Ports Properties. ví dụ như bạn muốn enable giao thức PPTP để client có thể tạo kết nối với mạng VPN. . Chọn VPN interface mà bạn muốn enable. giao thức PPTP tương đối là đơn giản.

Trong hộp Phone number for this device. Mục Demand-dial routing connections (inbound and outbound) cho phép RRAS server được phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-dial routers.Trong phần configure WAN Miniport (PPTP). nhập vào địa chỉ IP của VPN server interface. nên chọn mục Remote access connections (inbound only) để clients có thể tạo kết nối với VPN server. Bước 4: Thiết lập cấu hình VPN Ports .

Bước 5: Cho phép truy cập qua Remote Access Policy . bên tay phải bạn right click vào mục Allow access if dial-in permission is enable chọn properties như hình dưới.Chọn vào thư mục Remote Access Policy.

Mục này cho phép users truy cập bất cứ lúc nào miễn là khớp với điều kiện đặt ra của Policy Change the If a user matches the conditions setting to Grant remote access permission Bước 5: Cho phép truy cập qua Remote Access Policy . chọn vào mục Grant remote access permission.Trong phần Allow access if dial-in permission is enable Properties.

chọn Properties. sau đó click Next . Right click vào My Network Places. double click vào Make New Connection.4.2 Cài đặt VPN Client 1.

Chọn vào Connect to private network through the Internet theo hình dưới đây .4.2 Cài đặt VPN Client 2.

2 Cài đặt VPN Client 3. nếu bạn đã kết nối rồi thì nên chọn Do not dial the initial connection theo hình dưới đây và Click Next .4. Nếu bạn chưa kết nối với internet thì bạn có thể chọn mục Automatically dial this initial connection.

4. bạn có thể nhập vào server name của bạn hoặc nếu bạn không có tên miền thì bạn có thể nhập vào địa chỉ IP address như hình dưới đây. .2 Cài đặt VPN Client 4. Trong phần host name or IP.

4. Nếu bạn cho phép các users khác được phép sử dụng kết nối này của bạn để truy cập VPN thì chọn mục For all users.2 Cài đặt VPN Client 5. còn không thì chọn Only for myself .

4. Trong hình dưới đây bạn chỉ việc nhập vào user name và password để kết nối .2 Cài đặt VPN Client 6.

4.2 Cài đặt VPN Client 7. Khi mới thiết lập và làm quen với VPN. . bạn nên sử dụng giao thức PPTP. vì giao thức này là giao thức đơn giản nhất trong 3 giao thức vì nó không đòi hỏi certificate hay là PKI (Public Key Infrastructure) như L2TP.

3 Tạo Tài khoản truy nhập VPN Khởi tạo công cụ quản trị Users trên DC Chọn Action/New/ Users .4.

Nhập các thông tin về tài khoản cần tạo: tên đăng nhập.3 Tạo Tài khoản truy nhập VPN 3 .4.... . mật khẩu ..

3 Tạo Tài khoản truy nhập VPN  3.4. Cho phép tài khoản truy nhập VPN:  Chọn tài khoản  Action/Properties/  Chọn thẻ Dial–in  Chọn mục Allow access .

 .4. dùng lệnh ping đến DC để kiểm tra có connect được với domain controller hay không. sau khi kết nối thành công chúng ta sẽ thấy địa chỉ vpn client được cấp phát.4 Khởi tạo kết nối VPN  kiểm tra lại cấu hình của client.

 Sau khi quá trình join domain hoàn thành hãy restart lại máy tính và khởi tạo lại kết nối vpn đến Server. và thử truy cập vào tài nguyên chia sẽ trªn Server .4 Kết nối Client vào Domain  Hãy join client vào domain.4.

2 Windows XP IP: 192.1.1. firewal 1 Ip int: 10.200 Gateway.0.201 Gateway.1 Gateway.2.168.254 WinXP IP: 10. firewall 3 Ip int: 192.254 .100 Default gateway: 192.3.254 Ip ext: 200.3. firewall 2 Ip int: 192.3.0.168.254 Ip ext: 200.1.0.2.168.168.100 Default gateway: 192.3 Windows XP IP: 192.1.0.1.168.1.168.0.5 Thực hành thiết kế mạng VPN Windows XP IP: 10.0.254 Ip ext: 200.2.4.

Sign up to vote on this title
UsefulNot useful