|
Nhu cầu truy vấn cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay tiêu dùng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn thông tin nên những nhà hàng ngại "mở" hệ thống mạng nội bộ của mình để cho phép viên chức truy nã cập từ xa. Bài viết này thể hiện biện pháp truy vấn cập từ xa VPN trên Windows Server 2003 với cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo an toàn thông tin. VPN
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy vấn cập từ xa và hà tằn hà tiện chi phí. Trước đây, để truy hỏi cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép những máy tính truyền thông với nhau duyệt y 1 môi trường san sớt như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.
Để cung cấp kết nối giữa các máy tính, các gói thông báo được bao bọc bằng một header sở hữu chứa những thông tin định tuyến, cho phép dữ liệu với thể gửi từ máy truyền qua môi trường mạng san sẻ và tới được máy nhận, như truyền trên những đường ống riêng được gọi là tunnel. Để đảm bảo tính riêng tư và bảo mật trên môi trường chia sẻ này, những gói tin được mã hoá và chỉ sở hữu thể giải mã có những khóa thích hợp, ngăn phòng ngừa trường hợp "trộm" gói tin trên đường truyền. >>> Xem thêm: Bán máy chủ Dell T130
Các tình huống thông dụng của VPN:
- Remote Access: Đáp ứng nhu cầu truy nã cập dữ liệu và áp dụng cho người dùng ở xa, bên bên cạnh nhà hàng chuẩn y Internet. Ví dụ khi người tiêu dùng muốn truy hỏi cập vào cơ sở dữ liệu hay những file server, gửi nhận email từ những mail server nội bộ của công ty.
- Site To Site: Áp dụng cho các công ty mang phổ biến văn phòng chi nhánh, giữa những văn phòng buộc phải thảo luận dữ liệu có nhau. Ví dụ một nhà hàng đa nhà nước mang nhu cầu san sớt thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, sở hữu thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet dùng cho quá trình truyền thông an toàn, hiệu quả. - Intranet/ Internal VPN: Trong 1 số tổ chức, giai đoạn truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép các phòng ban khác truy nã cập. Hệ thống Intranet VPN mang thể đáp ứng tình huống này.
Để khai triển một hệ thống VPN chúng ta buộc phải mang những thành phần căn bản sau đây:
- User Authentication: cung ứng cơ chế chứng thực người dùng, chỉ cho phép người tiêu dùng hợp lệ kết nối và tróc nã cập hệ thống VPN.
- Address Management: cung ứng địa chỉ IP hợp lệ cho người sử dụng sau lúc gia nhập hệ thống VPN để có thể truy tìm cập tài nguyên trên mạng nội bộ. - Data Encryption: cung ứng biện pháp mã hoá dữ liệu trong công đoạn truyền nhằm bảo đảm tính riêng tư và vẹn toàn dữ liệu.
- Key Management: sản xuất giải pháp quản lý những khoá dùng cho giai đoạn mã hoá và giải mã dữ liệu.
IPSEC (IP SECURITY PROTOCOL)
Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông sở hữu nhau, chúng buộc phải dùng cùng 1 giao thức (giống như ngôn ngữ giao dịch trong thế giới con người) và giao thức phổ biến bây giờ là TCP/IP. Khi truyền các gói tin, chúng ta bắt buộc buộc phải áp dụng những cơ chế mã hóa và chứng thực để bảo mật. Có rộng rãi giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu quả và tần tiện chi phí trong giai đoạn triển khai.
Trong giai đoạn chứng nhận hay mã hóa dữ liệu, IPSEC với thể tiêu dùng một hoặc cả hai giao thức bảo mật sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống các ví như "ip spoofing" hay "man in the midle attack", ngoại giả trong giả dụ này phần nội dung thông tin chính không được bảo vệ
- ESP (Encapsulating Security Payload): Nội dung thông báo được mã hóa, ngăn chặn những giả dụ hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong công đoạn truyền. Phương thức này vô cùng hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì bắt buộc hài hòa cả 2 giao thức AH và ESP. >>> Xem thêm: bán máy chủ dell T640
IPSec/VPN trên Windows Server 2003
Chúng ta tham khảo tình huống thực tế của doanh nghiệp Green Lizard Books, một nhà hàng chuyên xuất bản và phân phối văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh, phòng ban quản lý muốn những nhân viên kinh doanh trong quá trình công tác ở bên ngoài với thể tróc nã cập báo cáo bán hàng (Sale Reports) san sẻ trên File Server và sở hữu thể thúc đẩy có máy tính của họ trong văn phòng khi buộc phải thiết. Ngoài ra, đối sở hữu những dữ liệu mật, nhạy cảm như báo cáo doanh số, trong công đoạn truyền sở hữu thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.
Green Lizard Books phải mang một đường truyền ADSL với shop IP tĩnh chuyên dụng cho cho công đoạn kết nối và truyền thông giữa trong và không tính công ty. Các người tiêu dùng ở xa (VPN Client) sẽ kết nối tới VPN Server để gia nhập hệ thống mạng riêng ảo của nhà hàng và được cấp phát shop IP ưng ý để kết nối sở hữu những tài nguyên nội bộ của công ty.
Chúng ta sẽ tiêu dùng 1 máy Windows Server 2003 khiến VPN Sever (đặt tên là SRV-1), mang một card mạng kết nối có hệ thống mạng nội bộ (IP: 192.168.1.1) và 1 card ADSL (IP tĩnh, trường hợp dùng IP động thì nên dùng hài hòa sở hữu các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối sở hữu bên ngoài (Internet).
Để quản lý người dùng trên hệ thống và tài nguyên chúng ta nên sở hữu một domain controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).
Trong mô hình này, chúng ta tiêu dùng một máy client bên không tính chạy hệ điều hành Windows XP, kết nối VPN có cơ chế chứng nhận và mã hóa dữ liệu dựa trên IPSec ESP.
Ở đây tôi chỉ trình bày những buớc chính trong công đoạn triển khai, yếu tố cài đặt và cấu hình những bạn sở hữu thể tham khảo các tập tin video
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi) Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi) Bước 3: cài đặt VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi) Bước 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi) Bước 5: Kết nối VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
Bước 6: Yêu cầu cấp phát chứng chỉ điện tử (certificate) cho VPN Server và Client dùng để chứng thực và mã hóa.
(request_certificate_for_vpn_server_and_client.avi) Bước 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi) KẾT LUẬN
VPN là khoa học được sử dụng đa dạng ngày nay nhằm cung ứng kết nối an toàn và hiệu quả để tầm nã cập tài nguyên nội bộ doanh nghiệp từ bên ko kể thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Giải pháp VPN "mềm" giới thiệu trong bài viết này yêu thích cho số lượng người tiêu dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, có thể nên nên tới biện pháp VPN phần cứng. >>> Xem thêm: bán máy chủ dell R640
| 
Thời gian đăng: 13/9/2019 16:32:44
Chia sẻ
