Bài giảng An toàn Mạng riêng ảo

i chuyển, họ thường sử dụng một máy xách tay để truy cập Intranet của tổ chức. Điển hình là họ sử dụng kết nối mạng riêng ảo để truy cập email và một số các tài nguyên cần thiết khác. Nhóm nhân viên làm việc tại nhà truy cập Intranet của tổ chức với thời gian ngắn và các tài nguyên giới hạn - Các yêu cầu truy cập và kết nối: Bước tiếp theo là xác định các yêu cầu kết nối và truy cập mạng của mỗi loại người dùng VPN. Ta cần xác định kiểu kết nối mạng WAN có thể được cung cấp theo ngân quỹ của ta và các ràng buộc hiệu suất của nó. Ta cũng cần xác định tốc độ dữ liệu trung bình được yêu cầu cho những loại kết nối và những người dùng khác nhau - Các yêu cầu an toàn: An toàn trong một thiết lập dựa trên màng riêng ảo đòi hỏi tính bí mật, toàn vẹn và xác thực. Để đảm bảo tất cả những yếu tố này trong các giao dịch mạng riêng ảo của ta, cần phải thực thi các phương tiện an toàn khác nhau, chẳng hạn như các cơ chế mã hoá, các cơ chế xác thực và cả các giải pháp an toàn dựa trên phần cứng như RADIUS, AAA, TACACS, Firewall, NAT, Ta không thể chọn tuỳ tiện bất kỳ một phương tiện nào trong số trên, mà cần phân tích các yêu cầu của tổ chức để hiểu giải pháp nào nên được thực thi. Sự lựa chọn giải pháp bảo mật thích hợp cũng tuỳ thuộc vào mức bảo mật và toàn vẹn được yêu cầu bởi luồng lưu lượng mạng. Ví dụ, nếu tổ chức đề cập đến dữ liệu nhạy cảm trong giao dịch thương mại điẹn tử, ta sẽ cần thực thi một hoặc nhiều giải pháp an toàn để đảm bảo tính bí mật, toàn vẹn và xác thực thích hợp của dữ liệu 5.3.2. Lựa chọn các sản phẩm và nhà cung cấp dịch vụ Sau khi ta đã phân tích và hiểu rõ các yêu cầu của tổ chức và những mong muốn của người dùng, lúc này ta tiến hành chọn lựa các sản phẩm để thực thi mạng riêng ảo. Việc này không phải dễ dàng đưa ra quyết định vì có nhiều sản phẩm phần cứng và phần mềm mạng riêng ảo hiện có. Xem xét các ràng buộc về ngân sách, phương pháp tốt nhất để chọn các sản phẩm là đáp ứng các yêu cẩu của ta và khả năng tài chính. Một số tham số sẽ giúp ta chọn lựa các sản phẩm phần cứng cũng như phần mềm thích hợp cho mạng riêng ảo là: - Các tham số liên quan đến hiệu suất, như thông lượng được duy trỳ liên tục mức cao nhất và thời gian phản hồi thấp nhất - Các tham số liên quan đến an toàn, như các cơ chế mã hoá và xác thực được hỗ trợ - Các tham số liên quan đến phiên làm việc, như tốc độ tuyền dữ liệu cao nhất - Số lượng kết nối đồng thời được hỗ trợ Chú ý  Ta phải cẩn thận trong khi lựa chọn các cơ chế mã hoá và xác thực. Mặc dù chúng nâng cao tính an toàn, nhưng chúng cần nhiều CPU để tính toán và như vậy có thể làm giảm hiệu suất toàn phần của mạng. Kết quả là, nên dung hoà giữa tính an toàn và hiệu suất. Vì ta vẫn còn chưa xong pha thực thi, đây là điểm mà trong đó ta có thể quyết định giải pháp tận dụng dựa trên các phân tích sản phẩm và cơ sở của ta. Nhà cung cấp dịch vụ sẽ có yêu cầu về khả năng kỹ thuật và kinh nghiệm được yêu để thiết kế và thực thi một giải pháp mạng riêng ảo thích ứng với các yêu cầu của tổ chức. Hơn nữa, giải pháp tận dụng cũng sẽ dẫn đến gánh nặng trong việc quản lý và giám sát lên vay chúng ta. Tuy nhiên, hạn chế ở đây là việc xử lý an toàn của tổ chức qua một tổ chức bên ngoài (người ngoài cuộc). Điều này không thể chấp nhận được với các tổ chức và người quản trị. Vì vậy, ta nên phân tích chi tiết SLA mà nhà cung cấp dịch vụ đem lại cho ta. Một sự hiểu biết sâu sắc mỗi điểm trong SLA cũng sẽ giúp ta xác minh rằng nhà cung cấp dịch vụ đang cung cấp mức dịch vụ đúng như trong SLA 5.3.3. Kiểm thử kết quả Nếu quyết định được áp dụng thực thi trong một nhóm của thiết lập mạng riêng ảo, ta sẽ cần kiểm tra và đánh giá mỗi sản phẩm mạng riêng ảo mà ta đã chọn. Điều này sẽ giúp ta đảm bảo tính đúng đắn trước khi bắt đầu lựa chọn các sản phẩm phần cứng và phần mềm tương thích với mỗi sản phẩm khác. Thông thường, việc kiểm thử được thực hiện với một phạm vi nhỏ thí điểm có kết hợp nhiều nhóm người dùng khác nhau. Mỗi khía cạnh của mạng riêng ảo nên được kiểm thử và ta nên xem cách mỗi sản phẩm sẽ hoạt động trong môi trường thực. Thí nghiệm này cũng đảm bảo rằng các sản phẩm được cấu hình đúng và được thự thi trên các đặc tính kỹ thuật Nếu ta đã quyết định sử dụng các dịch vụ của nhà cung cấp, một thí nghiệm nhỏ để kiểm thử và xác minh giải pháp đưa ra bởi nhà cung cấp dịch vụ trong môi trường thực được khuyến cáo. Nếu thí nghiệm xẩy ra lỗi, ta sẽ cần thay thế các sản phẩm không đáp ứng đầy đủ các yêu cầu hoặc cấu hình lại chúng. 5.3.4. Thiết kế và thực thi giải pháp Ta hoàn tất để sang pha thiết kế và thực thi chỉ sau khi pha kiểm thử thành công. Trong pha thiết kế và thực thi, ta sẽ thực thi giải pháp mạng riêng ảo mềm dẻo theo kế hoạch của tổ chức Sau khi giải pháp đã được thực thi thành công, ta cần kiểm thử lại toàn bộ thiết lập. Sau khi kiểm thử thành công, ta cũng có thể cần tinh chỉnh giải pháp để tối ưu hoá tính an toàn và hiệu suất của nó 5.3.5. Giám sát và quản trị Việc quản lý và duy trì mạng là một quá trình liên tục. Đển giám sát một thiết lập mạng riêng ảo phạm vi lớn là rất phức tạp. Vì vậy cần vạch ra một chiến lược để quản lý và giám sát mạng của ta Những thói quen sau sẽ giúp ta đảm bảo rằng mạng riêng ảo luôn tối ưu - Thu thập cách sử dụng và thống kê hiệu suất đều đặn - Duy trì file nhật ký chi tiết mỗi hành động liên quan đến mạng riêng ảo, kể cả các hành động thành công. Một sự am hiểu sâu sắc về cách mà nhà cung cấp dịch vụ thực thi giải pháp mạng riêng ảo cung giữ một vai trò quan trọng trong việc giám sát và đánh giá hiệu suất, hiệu quả và tính đầy đủ của giải pháp được cung cấp. Công nghệ mạng đang phát triển rất nhanh chónh, công nghệ mạng riêng ảo cũng vậy. Vì thế, thỉnh thoảng ta phải cần cập nhật cho thiết lập mạng riêng ảo của ta, ta cũng cần di trú tới các nền và các môi trường khác nhau để thích ứng với sự phát triển trong tương lại của tổ chức cũng như các yêu cầu của tổ chức Hầu hết nhứng người thiết kế và quản trị mạng sẽ chỉ cho ta, công việc của ta không kết thúc với sự thực thi một giải pháp. Ta cần phải quản lý và giám sát giải pháp, và như vậy nó cung cấp hiệu suất như hợp đồng. Thi thoảng, ta cũng cần định danh, hỗ trợ và giải quyết bất kỳ vấn đề nào có thể nảy sinh Tổng kết Trong chương này, chúng ta đã xem xét các vấn đề khác nhau cần phải lưu ý lúc thiết kế một giải pháp dựa trên mạng riêng ảo cho một tổ chức. Chương này đã nghiên cứu vấn đề thiết kế mạng riêng ảo, như tính an toàn, đánh địa chỉ và định tuyến, hiệu suất, tính mền dẻo và khả năng liên tác. Các vấn đề khác liên quan đến việc thực thi của các Firewall, NAT, DNS, mức đọ tin cậy trong Intranet và phân phối khoá được đề cập Ta cũng đã nghiên cứu một cách riêng lẻ mỗi môi trường mạng riêng ảo – Remote access, Intranet và Extranet để hiểu rõ các vấn đề và các khả năng khác nhau mà ta có thể phải lập kế hoạch lúc thực thi mạng riêng ảo trong mỗi môi trường này. Cuối cùng, ta đã xem xét về 5 bước tổng quát trong việc thực thi một giải pháp bảo mật dựa trên mạng riêng ảo cho mạng Intraneet của một tổ chức. Các bước này bao gồm pha nghiên cứu để xác định yêu cầu của tổ chức và những người dùng cuối của hệ thống, một pha lựa chọn để chọn các sản phẩm và nhà cung cấp dịch vụ, một pha kiểm thử để kiểm tra các sản phẩm và nhà cung cấp dịch vụ được chọn, một pha thiết kế và thực thi, và một pha giám sát và quản trị để đánh giá hiệu suất và các khía cạnh khác của mạng riêng ảo một cách đều đặn. Chương VI Xây dựng mạng riêng ảo truy cập từ xa 6.1. Các thành phần trong mạng riêng ảo truy cập từ xa 6.1.1. Giới thiệu chung Việc triển khai một mạng riêng ảo có nhiều dịch vụ và chức năng cần phải làm việc cùng nhau một cách trôi chảy và dễ dàng, vì vậy những người dùng truy cập từ xa có thể được định danh và xác thực; các được hầm có thể được tạo lập, duy trì và quản lý cho hàng trăm người dùng; việc định tuyến có thể kiểm soát tất cả luồng lưu lượng qua Gateway, và trong khi tất các những thứ này đang tiếp tục, hiệu suất và sự an toàn cần được duy trì. Các thành phầm phải được cài đặt để tạo ra một hệ thống mạng riêng ảo hoạt động đúng đắn. Để đưa ra quyết định đúng lúc triển khai các kết nối mạng riêng ảo truy cập từ xa, ta phải hiểu tất cả các thành phần liên quan. Trong chương “Tổng quan về mạng riêng ảo” chúng ta đã thảo luận về kiểu kịch bản mạng riêng ảo truy cập từ xa, trong đó nhiều Client truy cập tới một cổng kết nối đơn vào các tài nguyên trong mạng Intranet. Trong phần này ta sẽ mô tả các thành phần của các kết nối mạng riêng ảo truy cập từ xa và các quan điểm thiết kế gắn với chúng Hình 6.1. Các thành phần của một mạng riêng ảo truy cập từ xa Các thành phần chính là - Các Client VPN - Hạ tầng mạng Internet - Server VPN, và các thiết bị khác như Gateway - Hạ tầng mạng Intranet - Máy chủ AAA - Hạ tầng cấp phát chứng chỉ số 6.1.2. Các thành phần 1. Các Client VPN Client VPN có thể là một máy tính hoặc thiết bị có khả năng tạo một kết nối PPTP hoặc L2TP Các Client VPN có nhiều loại, nhiều dạng và nhiều kích cỡ. Một số Client VPN điển hành được sử dụng rộng rãi ngày nay là: - Người dùng Laptop kết nối tới Intranet của tổ chức đề truy cập email và các tài nguyên khác - Những người quản trị từ xa sử dụng Internet để kết nối tới mạng của tổ chức để cấu hình mạng hoặc các dịch vụ ứng dụng. - Nhiều người dùng khác tận dụng ưu điểm về khả năng kỹ thuật của giải pháp truy cập từ xa, chẳng hạn như các giải pháp truy cập mạng không giây, các hệ thống kiểm soát từ xa, các mạng truyền thông Trong khuôn khổ của giáo trình này, sẽ tập trung vào các Client thông dụng nhất, chẳng hạn như Client sử dụng hệ điều hành WinXP và Windows 2000 Pro của Microsoft. Các Client VPN có thể cấu hình các kết nối mạng riêng ảo một cách thủ công bằng việc tạo các kết nối trên hệ điều hành, hoặc người quản trị hệ thống có thể đơn giản hoá bằng các công cụ sẵn có trên hệ điều hành. 2. Hạ tầng mạng Internet Trong các thảo luận của chúng ta về giải pháp truy cập từ xa với mạng riêng ảo, chúng ta sẽ làm việc với các kết nối qua Internet. Điều này có nghĩa là chúng ta dựa vào Internet, nó là mạng trung gian, cung cấp các dịch vụ và phương tiện truyền thông tới người dùng. Để tạo một kết nối mạng riêng ảo tới một máy chủ mạng riêng ảo qua Internet, ta cần kiểm chứng các mục sau trước khi bất kỳ kết nối nào được tạo - Tên máy chủ mạng riêng ảo phải có khả năng giải quyết: Đảm bảo rằng tên DNS của máy chủ mạng riêng ào khó khả năng xử lý từ Internet bằng việc đặt một bản ghi DNS thích hợp hoặc trên máy chủ DNS Internet hoặc trên máy chủ DNS của ISP. Kiểm thử khả năng xử lý bằng công cụ Ping để ping tới tên của mỗi máy chủ mạng riêng ảo - Máy chủ mạng riêng ảo phải có khả năng kết nối tới: Đảm bảo rằng các địa chỉ IP của máy chủ mạng riêng ảo có khả năng kết nối tới từ Internet - Luồng lưu lượng VPN phải được phép từ máy chủ mạng riêng ảo: Cấu hình bộ lọc gói cho luồng lưu lượng PPTP, L2TP hoặc cả hai kiểu trên các Firewall và giao diện máy chủ mạng riêng ảo thích hợp đang kết nối tới Internet và mạng vành đai 3. Các giao thức xác thực Để xác thực người dùng, các giao thức xác thực thường được sử dụng là: - Giao thức xác thực mật khẩu (PAP) - Giao thức xác có thăm dò trước (CHAP) - Giao thức xác thực có thăm dò trước của Microsoft (MS-CHAP) - Giao thức MS-CHAP phiên bản 2 (MS-CHAP v2) - Giao thức xác thực – hàm băm thông điệp MD5 mở rộng (EAP-MD5) - Giao thức xác thực - bảo mật tầng vận tải mở rộng (EAP-TLS) Với các kết nối PPTP, có thể sử dụng MS-CHAP, MS-CHAP v2, hoặc EAP-TLS. Chỉ 3 giao thức này cung cấp một cơ chế để tạo khoá mã hoá giống nhau trên cả Client và Server. MPPE sử dụng khoá mã hoá này để mã hoá tất cả dữ liệu PPTP trên kết nối mạng riêng ảo. MS-CHAP and MS- CHAP v2 là các giao thức xác thực dựa vào mật khẩu. Với các kết nối L2TP, bất kỳ giao thức xác thực nào cũng có thể được dùng vì việc xác thực xuất hiện sau khi Client VPN và Server VPN thiết lập một kênh liên lạc an toàn, chẳng hạn như ta đã biết đó là liên kết an toàn IPSec (SA). Tuy nhiên, nhưng giao thức có khả năng xác thực mạnh được khuyến cáo sử dụng. 4. Các giao thức định đường hầm mạng riêng ảo Cùng với việc quyết định một giao thức xác thực, ta cần quyết định giao thức đường hầm nào sẽ dùng cho việc triển khai mạng riêng ảo. Hai giao thức định đường hầm mạng riêng ảo truy cập từ xa thông dụng là - Giao thức định đường hầm điểm - tới - điểm (PPTP) - Giao thức định đường hầm tầng 2 với IPSec (L2TP/IPSec) 5. Máy chủ mạng riêng ảo Máy chủ mạng riêng ảo là trung tâm của toàn bộ hoạt động mạng riêng ảo. Máy chủ mạng riêng ảo thực hiện các công việc sau: - Lắng nghe kết nối PPTP và các thương lượng SA IPSec cho kết nối L2TP - Xác thực và cấp quyền cho các kết nối mạng riêng ảo trước khi cho phép dữ liệu lưu chuyển - Hoạt động như một Router chuyển tiếp dữ liệu giữa các Client VPN và các tài nguyên trên Intranet - Hoạt động như một điểm cuối của đường hầm mạng riêng ảo Máy chủ mạng riêng ảo thường có 2 hoặc nhiều hơn 2 cardmang để kết nối tới Internet và cả Intranet 6. Hạ tầng mạng Intranet Hạ tầng mạng của Intranet là một phần tử quan trọng của thiết kế mạng riêng ảo. Không có thiết kế thích đáng, các Client VPN không có khả năng thu được các địa chỉ IP và xử lý các tên trong mạng cục bộ, và các gói không thể được chuyển tiếp giữa các Client và các tài nguyên mạng Intranet, các Client sẽ không có khả năng truy cập tới bất kỳ tài nguyên nào trên mạng Intranet Giải quyết vấn đề đặt tên Nếu ta sử dụng DSN để xử lý các tên máy chủ trong mạng Intranet, đảm bảo rằng máy chủ mạng riêng ảo được cấu hình với các địa chi IP của DNS bên trong thích hợp. Để đảm bảo việc xử lý tên với các tài nguyên bên ngoài mạng Intranet, cấu hình DNS bên trong để truy vấn các máy chủ ISP bên ngoài. Đây là điều quan trọng, nếu không thực hiện như vậy, các Client VPN sẽ không thực hiện chức năng một cách đúng đắn. Máy chủ VPN nên được cấu hình DNS một cách thủ công. Như một phần của quá trình thương lượng PPP, các Client VPN nhận địa chỉ IP của DNS. Theo ngầm định các Client VPN kết thừa các địa chỉ DNS đã cấu hình trên máy chủ mạng riêng ảo 7. Cơ sở hạ tầng AAA Cơ sở hạ tầng cho việc xác thực, cấp quyền và kiểm toán là một phần sống còn của cơ sở hạ tầng mạng riêng ảo vì nó là hệ thống giữ cho tính năng an toàn thực hiện trên giải pháp truy cập từ xa. AAA kiểm soát tất cả truy cập tới Gateway; xử lý tất cả các đăng nhập một lần và vấn đề truy cập tài nguyên. Cơ sở hạ tầng AAA tồn tại để: - Xác thực giấy uỷ nhiệm của các Client VPN - Cấp quyền cho các kết nối mạng riêng ảo - Ghi lại việc tạo ra và kết thúc kết nối mạng riêng ảo cho chức năng kiểm toán Cơ sở hạ tầng AAA bao gồm - Máy chủ mạng riêng ảo - Một máy chủ RADIUS - Một máy điều khiển tên miền Các chính sách truy cập từ xa Các chính sách truy cập từ xa là một tập có thứ tự các luật định nghĩa những kết nối nào được chấp nhận hay từ chối. Với các kết nối được chấp nhận, các chính sách truy cập từ xa cũng có thể định nghĩa để các hạn chế kết nối. Với mỗi luật, có một hoạc nhiều hơn các điều kiện, một tập các thiết lập hồ sơ và một tập các thiết lập mức cho phép truy cập từ xa. Các nỗ lực kết nối được đánh giá dựa vào các chính sách truy cập từ xa, nó cố gắng xác định kết nối nào phù hợp tất cả các điều kiện của mỗi chính sách. Nếu nổ lực kết nối không phù hợp với tất cả các điều kiện của bất kỳ một chính sách nào, thì nó sẽ bị từ chối. Nếu một kết nối phù hợp với tất cả các điều kiện của một chính sách truy cập từ xa và được cấp phát mức cho phép truy cập từ xa, hồ sơ chính sách truy cập từ xa xác định một tập các hạn chế kết nối. Các đặc tính quay số của tài khoản người dùng cũng cung cấp một tập các hạn chế. Chính sách truy câp từ xa bao gồm các phần tử sau: - Các điều kiện: Các điều kiện chính sách truy cập từ xa là một hoặc nhiều thuộc tính mà được so sánh với các thiết lập của nổ lực kết nối. Nếu có nhiều điều kiện, tất cả các điều kiện phải phù hợp với thiết lập của nổ lực kết nối để cho nó phù hợp với chính sách. Với các kết nối mạng riêng ảo, ta thường sử dụng các điều kiện sau: + Loại cổng NAS: Bằng việc thiết lập điều kiện này với mạng riêng ảo, ta có thể xác định tất cả các kết nối mạng riêng ảo. + Kiểu đường hầm: Với điều kiện này, ta có thể chỉ rõ các chính sách khác nhau với các kết nối PPTP và L2TP + Nhóm: Với các nhóm, ta có thể cấp quyền hoặc từ chối truy cập theo nhóm thành viên - Mức cho phép: Ta có thể dùng các thiết lập mức cho phép để cấp quyền hoặc từ chối truy cập từ xa nếu mức cho phép truy cập từ xa của tài khoản người dùng được thiết lập để kiểm soát truy cập qua chính sách truy cập từ xa. Trường hợp khac, thiết lập mức cho phép trên tài khoản người dùng xác định mức cho phép truy cập từ xa. - Các thiết lập hồ sơ: Một hồ sơ chính sách truy cập là một tập các thuộc tính được áp dụng với một kết nối lúc nó được xác thực. Với các kết nối mạng riêng ảo, ta có thể sử dụng các thiết lập hồ sơ như sau: + Các ràng buộc quay số có thể được dùng để định nghĩa bao lâu thì kết nối có thể tồn tại trước khi bị kết thúc bởi máy chủ mạng riêng ảo. + Mặc dù sử dụng các bộ lọc gói IP, việc thiết lập IP có thể định nghĩa các loại lưu lượng IP được cho phép với các kết nối mạng riêng ảo truy cập từ xa. Với hồ sơ các bộ lọc gói, ta có thể cấu hình lưu lượng IP được cho phép nhận từ các Client truy cập từ xa(Bộ lọc đầu vào) hoặc được gửi tới Client từ xa (Bộ lọc đầu ra) + Các thiết lập xác thực có thể định nghĩa giao thức Client VPN phải sử dụng để gửi giấy uỷ nhiệm của nó và cấu hình của các loại EAP, chẳng hạn EAP-TLS. Việc ngăn chặn các luồng lưu lượng được định tuyến từ Client VPN Một khi Client VPN thiết lập thành công một kết nối PPTP hoặc L2TP, theo ngầm định bất kỳ gói nào gửi qua kết đều nhận được bởi máy chủ mạng riêng ảo và chuyển tiếp chúng. Các gói gửi qua kết nối có thể bao gồm: - Các gói có nguồn gốc từ máy tính Client truy cập từ xa - Các gói gửi tới máy Client truy cập từ xa bởi các máy khác Lúc máy Client truy cập từ xa tạo ra kết nối mạng riêng ảo, theo ngầm định nó tạo một đường định tuyến mặc định vì vậy tất cả luồng lưu lượng phù hợp với đường định tuyến mặc định được gửi qua kết nối mạng riêng ảo. Nếu các máy tính khác đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa, xem các máy Client truy cập từ xa như một Router, mà luồng lưu lượng cũng được chuyển tiếp qua kết nối mạng riêng ảo. Đây là một vấn đề an toàn vì máy chủ mạng riêng ảo không xác thực các máy tính đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa 8. Cơ sở hạ tầng chứng chỉ số Để thực hiện việc xác thực dựa trên chứng chỉ cho các kết nối L2TP hoặc xác thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-TLS, một cơ sở hạ tầng, được biết đến như cơ sở hạ tầng khoá công khai (PKI), dùng để phát hành các chứng chỉ để đệ trình trong quá trình xác thực và để xác nhận tính hợp lệ của chúng chỉ đang được đệ trình. Như vậy ta thấy, các kết nối mạng riêng ảo truy cập từ xa gồm nhiều thành phần. Client VPN phải được cấu hình để tạo kết nối mạng riêng ảo tới máy chủ VPN. Cơ sở hạ tầng mạng phải hỗ trợ khả năng kết nối tới được giao diện máy chủ mạng riêng ảo trên mạng Intranet và hỗ trợ xử lý tên DNS của máy chủ mạng riêng ảo. Ta phải xác định giao thức xác thực và giao thức mạng riêng ảo để sử dụng. Cơ sở hạ tầng mạng Intranet phải hỗ trợ xử lý đặt tên của các tài nguyên trong Intranet, định tuyến tới các Client truy cập từ xa và các tài nguyên cách ly. Cơ sở hạ tầng AAA phải được cấu hình để cung cấp tính năng xác thực sử dụng Domain, xác thực sử dụng các chính sách truy cập từ xa, và kiểm toán các kết nối mạng riêng ảo truy cập từ xa. Với các kết nối L2TP/IPSec hoặc lúc sử dụng xác thực EAP-TLS, một cơ sở hạ tầng chứng chỉ phải được sử dụng để phát hành chứng chỉ người dùng và chứng chỉ máy tính 6.2. Triển khai mạng riêng ảo truy cập từ xa 6.2.1. Triển khai truy cập từ xa dựa trên PPTP hoặc L2TP/IPSec Nhiều thủ tục triển khai truy cập từ xa là giống nhau khi ta sử dụng PPTP hoặc L2TP/IPSec, nhưng ta cần xem xét một số điểm khác biệt nổi bật trong khi thiết lập, tuỳ thuộc vào cái nào được sử dụng. Không kể tập hợp giao thức mà ta sử dụng, việc triển khai các kết nối mạng riêng ảo truy cập từ xa bao gồm các bước sau: - Triển khai một cơ sở hạ tầng chứng chỉ số - Triển khai một cơ sở hạ tầng Internet - Triển khai một cơ sở hạ tầng xác thực, cấp quyền và kiểm toán - Triển khai các máy chủ mạng riêng ảo - Triển khai một cơ sở hạ tầng Intranet - Triển khai các Client VPN Sau đây ta sẽ thảo luận chi tiết hơn về các phần 6.2.1.1. Triển khai một cơ sở hạ tầng chứng chỉ số Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ là cần thiết chỉ khi ta đang sử dụng các chứng chỉ người dùng được cài đặt cục bộ và xác thực EAP-TLS, mới L2TP/IPSec, cơ sở hạ tầng chứng chỉ số là điều bắt buộc. Nếu đang sử dụng chỉ một giao thức xác thực dựa trên mật khẩu như MS-CHAP v2), thì không đòi hỏi cơ sở hạ tầng chứng chỉ và cơ sở hạ tầng này cũng không được dùng cho việc tạo kết nối mạng riêng ảo. Ta có thể lựa chọn việc sử dụng mật khẩu, miễn là các chứng chỉ cho phép xác thực 2 nhân tố và sẽ cho phép ta sử dụng các công nghệ an toàn của IPSec. Để sử dụng một cơ sở hạ tầng chứng chỉ cho các kết nối mạng riêng ảo dựa trên PPTP, ta phải cài đặt một chứng chỉ máy tính trên máy chủ xác thực (Máy chủ mạng riêng ảo hoặc máy chủ RADIUS) và phân phối tới Client VPN hoặc một chứng chỉ người dùng trên mỗi máy Client VPN. 6.2.1.2. Triển khai một cơ sở hạ tầng Internet Bây giờ ta đã có tất cả các dịch vụ cấp chứng chỉ đã triển khai, hãy chuyển sang khai thác hệ thống mạng riêng ảo đã cấu hình và triển khai. Bước thứ nhất là triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo truy cập từ xa sẽ xử lý tất cả các yêu cầu kết nối và truy cập đến tới và từ Internet. Triển khai cơ sở hạ tầng Internet bao gồm: - Đặt máy chủ mạng riêng ảo trong một mạng vành đai hoặc trên Internet - Cấu hình giao diện Internet - Bổ sung địa chỉ vào máy chủ hệ thống tên miền Internet 1. Đặt máy chủ mạng riêng ảo trong mạng vành đai hoặc trên Internet Quyết định nơi đặt máy chủ liên quan đến Firewall Intranet của ta. Trong cấu hình thông dụng nhất, máy chủ mạng riêng ảo được đặt sau Firewall trên mạng vành đai giữa Intranet và Internet. Cấu hình này cho phép Firewall xử lý nhiều tác vụ bảo mật, chẳng hạn như xem xét các tấn công và lọc các luồng lưu lượng không mong muốn bên ngoài, cho phép máy chủ mạng riêng ảo xử lý luồng lưu lượng mạng riêng ảo truy cập từ xa. Nếu đang sử dụng một Firewall trước máy chủ mạng riêng ảo, cấu hình bộ lọc gói trên Firewall để cho phép luồng lưu lượng PPTP hoặc L2TP/IPSec khi được yêu cầu tới và từ địa chỉ IP của các giao diện mạng vành đai của máy chủ mạng riêng ảo. 2. Cấu hình giao diện Internet Kết nối máy chủ mạng riêng ảo tới mạng vành đai với một card mạng và kết nối tới mạng Intranet với một card mạng khác. Cấu hình máy chủ mạng riêng ảo để chuyển tiếp các gói IP giữa Internet và Intranet, chẳng hạn nếu dùng hệ điều hành Windows thì dùng dịch vụ Routing anhd Remote Access Server Với các kết nối kết nối tới Internet hoặc mạng vành đai, cấu hình giao thức TCP/IP với một địa chỉ IP công cộng, một subnet mask và cổng kết nối mặc định của hoặc Firewall(nếu Firewal được đặt trong một mạng vành đai) hoặc một Router của ISP(nếu máy chủ mạng riêng ảo được kế nối trực tiếp tới Internet và không có Firewall giữa máy chủ mạng riêng ảo và Router của ISP) 3. Bổ sung địa chỉ vào máy chủ DNS internet Với các thiết bị mạng riêng ảo để thực hiện chức năng, người dùng sẽ cần phải có khả năng tìm thấy máy chủ mạng riêng ảo từ bất kỳ nơi nào trên Internet, vì vậy, ta cần thông báo tên máy chủ một cách đúng đắn. Để đảm bảo rằng tên của máy chủ mạng riêng ảo(ví dụ, vpn.fis.com) có thể được xử lý với các địa chỉ IP thích hợp của nó theo một trong 2 thủ tục sau. Bạn có thể bổ sung địa chỉ DNS vào máy chủ DNS nếu đang cung cấp dịch vụ phân giải tên DNS cho người dùng Internet(Nếu là trường hợp này, đảm bảo rằng ISP của ta biết nó và rằng máy chủ DNS của ta có thể phản hồi yêu cầu bởi các máy chủ DNS của ISP). Như một sự lựa chọn, ta có thể bổ sung vào ISP của ta một bản ghi DNS tới máy chủ DNS nếu ISP đang cung cấp dịch vụ phân giải tên DNS cho người dùng Internet. Kiểm tra lại tên của máy chủ mạng riêng ảo có thể được xử lý với địa chỉ IP công cộng lúc kết nối tới Internet hay không 6.2.1.3. Triển khai một cơ sở hạ tầng AAA Một khi ta làm cho tên máy chủ mạng riêng ảo có thể xử lý trên Internet, ta muốn chắc chắn rằng chỉ những người dùng mà ta đồng ý cấp quyền truy cập tới các dịch vụ mạng riêng ảo. Bước kế tiếp là triển khai hệ thống định danh, được xem như là các dịch vụ AAA. Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo truy cập từ xa bao gồm - Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm - Cấu hình máy chủ xác thực Internet IAS chính - Cấu hình IAS với các Client RADIUS - Cấu hình chính sách mạng riêng ảo truy cập từ xa Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm Dịch vụ thư mục là trung tâm bảo mật của mạng riêng ảo +