Active Member
- Bài viết
- 2,378
- Điểm tương tác
- 0
- Điểm
- 36
[font=sans-serif, Arial, Verdana,]yêu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi tài liệu hay được dùng phần mềm càng ngày càng phổ cập. Đây là yêu cầu thiết thực, dẫu thế do vấn đề bảo mật thông tin & an toàn và đáng tin cậy thông báo nên các Doanh Nghiệp ngại "mở" hệ thống mạng nội bộ của bản thân để được cho phép chuyên viên truy vấn từ xa. Bài viết này trình bày chiến thuật truy cập từ xa VPN trên Windows Server 2003 có chính sách mã hóa dựa trên giao thức IPSec nhằm bảo đảm an toàn thông tin.
VPN
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm mục đích đáp ứng sẻ chia thông báo, truy cập từ xa và tiết kiệm ngân sách. Trước đó, để truy vấn từ xa vào hệ thống mạng, người ta thường sử dụng phương pháp Remote Access quay số dựa trên mạng Smartphone. Cách thức này vừa tốn kém vừa nguy hiểm. VPN cho phép những máy tính media với nhau thông qua một môi trường xung quanh san sẻ như mạng Internet nhưng vẫn bảo đảm an toàn được tính riêng tư và bảo mật dữ liệu.
Để cung cấp kết nối giữa các máy tính, các gói thông báo được bảo phủ bằng một header có chứa những thông tin định tuyến, được chấp nhận dữ liệu hoàn toàn có thể gửi từ máy truyền qua môi trường xung quanh mạng sẻ chia & đến được máy nhận, như truyền trên những đường ống riêng được gọi là tunnel. Để đảm bảo an toàn tính riêng tư & bảo mật thông tin trên môi trường chia sẻ này, các gói tin được mã hoá & chỉ rất có thể lời giải với các khóa phù hợp, ngăn ngừa tình huống "trộm" gói tin trên phố truyền.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X11DPL-I[/font]
[font=sans-serif, Arial, Verdana,]
những tình huống phổ biến của VPN[/font]
[font=sans-serif, Arial, Verdana,]- Remote Access: thỏa mãn nhu cầu truy vấn tài liệu và phần mềm cho người tiêu dùng ở xa, bên phía ngoài Doanh Nghiệp thông qua Internet. Ví dụ khi người dùng muốn truy vấn vào cơ sở tài liệu hay những file server, gửi nhận Thư điện tử từ những mail server nội bộ của Doanh Nghiệp.
- Site To Site: vận dụng cho các tổ chức có khá nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một Doanh Nghiệp đa non sông mong muốn chia sẻ thông tin giữa các chi nhánh đặt ở Nước Singapore và VN, rất có thể thiết kế một khối hệ thống VPN Site-to-Site liên kết hai site việt nam & Nước Singapore tạo một đường truyền riêng trên mạng Internet phục vụ các bước truyền thông media an toàn, kết quả.[/font]
[font=sans-serif, Arial, Verdana,]- Intranet/ Internal VPN: trong 1 số tổ chức triển khai, quy trình truyền dữ liệu giữa một trong những bộ phận cần bảo đảm an toàn tính riêng tư, không cho phép những bộ phận khác truy cập. Khối hệ thống Intranet VPN hoàn toàn có thể đáp ứng tình huống này.
để triển khai một hệ thống VPN tất cả chúng ta cần có những thành phần cơ bản sau đây:
- User Authentication: cung ứng chính sách xác thực người dùng, chỉ cho phép người tiêu dùng hợp lệ liên kết và truy vấn khối hệ thống VPN.
- Address Management: cung ứng ADD IP hợp lệ cho người tiêu dùng sau thời điểm gia nhập hệ thống VPN để có thể truy cập khoáng sản trên mạng nội bộ[/font]
[font=sans-serif, Arial, Verdana,]- Data Encryption: cung cấp giải pháp mã hoá tài liệu trong quá trình truyền nhằm mục tiêu đảm bảo an toàn tính riêng tư & toàn vẹn tài liệu.
- Key Management: cung ứng phương án cai quản những khoá dùng cho quy trình mã hoá & giải thuật tài liệu.
IPSEC (IP SECURITY PROTOCOL)
Như tất cả chúng ta biết, để những máy vi tính trên khối hệ thống mạng LAN/WAN hay Internet media với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ tiếp xúc trong quả đât con người) và giao thức thịnh hành lúc bấy giờ là TCP/IP.[/font]
[font=sans-serif, Arial, Verdana,]Khi truyền những gói tin, tất cả chúng ta rất cần được vận dụng những chính sách mã hóa và xác nhận để bảo mật. Có tương đối nhiều giải pháp để tiến hành Vấn đề này, trong đó chính sách mã hóa IPSEC chuyển động trên giao thức TCP/IP tỏ ra hiệu quả & tiết kiệm ngân sách và chi phí trong thời gian triển khai.
trong quá trình xác thực hay mã hóa tài liệu, IPSEC rất có thể sử dụng một hoặc cả hai giao thức bảo mật thông tin sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo đảm phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", mặc dù thế trong trường hợp này phần nội dung thông tin chính không được bảo đảm
- ESP (Encapsulating Security Payload): Nội dung thông báo được mã hóa, chặn lại các trường hợp Hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền. Phương pháp này rất hấp dẫn được áp dụng, nhưng nếu như muốn bảo vệ luôn cả phần header của gói tin thì phải phối kết hợp cả 2 giao thức AH & ESP.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X10DRL-i[/font]
[font=sans-serif, Arial, Verdana,]
IPSec/VPN trên Windows Server 2003
chúng ta tìm hiểu thêm trường hợp thực chất của Công Ty Green Lizard Books, một Doanh Nghiệp chuyên xuất bản & cung cấp văn hoá phẩm. Nhằm mục đích đẩy mạnh hiệu quả kinh doanh, bộ phận cai trị muốn các chuyên viên buôn bán trong quá trình công tác ở bên phía ngoài hoàn toàn có thể truy vấn văn bản báo cáo bán hàng (Sale Reports) san sẻ trên File Server & có thể tương tác với máy vi tính của họ trong văn phòng khi thiết yếu. Không những thế, đối với những dữ liệu mật, nhạy cảm như văn bản báo cáo doanh thu, trong tiến trình truyền rất có thể vận dụng những cơ chế mã hóa ngặt nghèo để chuyên sâu độ đáng tin cậy của tài liệu.
Green Lizard Books cần phải có một đường truyền ADSL với Showroom IP tĩnh phục vụ cho các bước kết nối & truyền thông media giữa trong & ngoài Công Ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để du nhập khối hệ thống mạng riêng ảo của Công Ty và đã được cấp phát Địa chỉ cửa hàng IP tương thích để liên kết với những khoáng sản nội bộ của Công Ty.
tất cả chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN máy chủ (đặt tên là SRV-1), có 1 card mạng liên kết với khối hệ thống mạng nội bộ (IP: 192.168.1.1) & một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết phù hợp với các Thương Mại & Dịch Vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để liên kết với bên ngoài (Internet).
Để cai trị người dùng trên hệ thống và khoáng sản tất cả chúng ta cần có 1 domain controler cài đặt lên trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).[/font]
[font=sans-serif, Arial, Verdana,]Trong mô hình này, chúng ta sử dụng một máy client bên phía ngoài chạy hệ điều hành và quản lý Windows XP, liên kết VPN với chính sách chứng thực & mã hóa tài liệu dựa vào IPSec ESP.
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 3: setup VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 4: thiết đặt VPN Client Client-1 liên kết đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 5: liên kết VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
Bước 6: nhu yếu cấp phát chứng chỉ điện tử (certificate) cho VPN Server & Client dùng làm chứng thực & mã hóa.
(request_certificate_for_vpn_server_and_client.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 7: setup kết nối VPN dùng giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)[/font]
[font=sans-serif, Arial, Verdana,]Kết luận
VPN là công nghệ được sử dụng thông dụng hiện nay nhằm mục đích cung cấp liên kết đáng tin cậy & hiệu quả để truy cập tài nguyên nội bộ Doanh Nghiệp từ bên phía ngoài thông qua mạng Internet. Mặc dù sử dụng cơ sở hạ tầng mạng san sẻ nhưng tất cả chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như là đang truyền thông trên một hệ thống mạng riêng. Chiến thuật VPN "mềm" ra mắt trong bài viết này phù hợp cho số lượng người dùng nhỏ, để đáp ứng số người dùng to hơn, có thể phải cần đến phương án VPN phần cứng.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: Card X520-DA2[/font]
[font=sans-serif, Arial, Verdana,]nhu yếu truy vấn từ xa (ngoài văn phòng) mạng nội bộ để trao đổi tài liệu hay sử dụng ứng dụng ngày càng phổ cập. Đấy là nhu cầu thiết thực, mặc dù thế do vấn đề bảo mật và an toàn và đáng tin cậy thông báo nên những Công Ty ngại "mở" khối hệ thống mạng nội bộ của mình để cho phép chuyên viên truy cập từ xa. Bài viết này trình bày phương án truy vấn từ xa VPN trên Windows Server 2003 có chế độ mã hóa dựa vào giao thức IPSec nhằm mục tiêu bảo đảm thông tin.
VPN
VPN (virtual private network) là công nghệ xây dựng khối hệ thống mạng riêng ảo nhằm thỏa mãn nhu cầu chia sẻ thông tin, truy vấn từ xa & tiết kiệm ngân sách. Trước đây, để truy vấn từ xa vào khối hệ thống mạng, người ta thường sử dụng cách thức Remote Access quay số dựa trên mạng điện thoại thông minh. Phương pháp này vừa tốn kém vừa nguy hiểm. VPN được chấp nhận các máy vi tính truyền thông media với nhau thông qua một môi trường thiên nhiên san sẻ như mạng Internet nhưng vẫn bảo đảm được tính riêng tư và bảo mật dữ liệu.
Để cung ứng liên kết giữa những máy tính, các gói thông báo được bảo phủ bằng một header có chứa các thông tin định tuyến, được chấp nhận dữ liệu hoàn toàn có thể gửi từ máy truyền qua môi trường xung quanh mạng san sẻ & đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm an toàn tính riêng tư và bảo mật trên môi trường thiên nhiên chia sẻ này, các gói tin được mã hoá và chỉ hoàn toàn có thể giải thuật với những khóa phù hợp, ngăn chặn trường hợp "trộm" gói tin trên tuyến đường truyền.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X11DPL-I[/font]
[font=sans-serif, Arial, Verdana,]những tình huống phổ biến của VPN[/font]
[font=sans-serif, Arial, Verdana,]- Remote Access: đáp ứng truy cập dữ liệu và phần mềm cho người tiêu dùng ở xa, bên phía ngoài Doanh Nghiệp thông qua Internet. Ví dụ khi người dùng muốn truy vấn vào cơ sở tài liệu hay các file server, gửi nhận Email từ các mail server nội bộ của Doanh Nghiệp.
- Site To Site: áp dụng cho những tổ chức có rất nhiều văn phòng chi nhánh, giữa các văn phòng cần phỏng vấn trao đổi tài liệu với nhau. Ví dụ một Công Ty đa quốc gia mong muốn sẻ chia thông báo giữa các Trụ sở đặt tại Singapore & việt nam, có thể xây đắp một hệ thống VPN Site-to-Site kết nối hai site VN & Nước Sing tạo một đường truyền riêng trên mạng Internet phục vụ tiến trình truyền thông media tin cậy, công dụng.[/font]
[font=sans-serif, Arial, Verdana,]- Intranet/ Internal VPN: trong một số tổ chức triển khai, tiến trình truyền dữ liệu giữa một trong những bộ phận cần đảm bảo tính riêng tư, cấm đoán phép những bộ phận khác truy vấn. Khối hệ thống Intranet VPN hoàn toàn có thể đáp ứng trường hợp này.
để gia công một khối hệ thống VPN tất cả chúng ta cần có các thành phần cơ bản sau đây:
- User Authentication: cung ứng chính sách xác thực người tiêu dùng, chỉ được chấp nhận người dùng hợp lệ liên kết & truy vấn hệ thống VPN.
- Address Management: cung ứng ADD IP hợp lệ cho người dùng sau khi gia nhập khối hệ thống VPN để hoàn toàn có thể truy cập khoáng sản trên mạng nội bộ.[/font]
[font=sans-serif, Arial, Verdana,]- Data Encryption: cung ứng giải pháp mã hoá tài liệu trong quá trình truyền nhằm bảo đảm an toàn tính riêng tư & trọn vẹn dữ liệu.
- Key Management: cung cấp giải pháp cai trị những khoá dùng cho quá trình mã hoá & giải thuật tài liệu.
IPSEC (IP SECURITY PROTOCOL)
Như chúng ta biết, để những máy vi tính trên khối hệ thống mạng LAN/WAN hay Internet media với nhau, chúng phải sử dụng cùng một giao thức (giống như ngữ điệu tiếp xúc trong nhân loại con người) và giao thức thông dụng bây giờ là TCP/IP.[/font]
[font=sans-serif, Arial, Verdana,]Khi truyền những gói tin, tất cả chúng ta cần được vận dụng những cơ chế mã hóa và chứng thực để bảo mật. Có rất nhiều giải pháp để tiến hành việc này, trong số ấy chế độ mã hóa IPSEC chuyển động trên giao thức TCP/IP tỏ ra tác dụng và tiết kiệm trong quá trình triển khai.
trong thời gian xác thực hay mã hóa tài liệu, IPSEC rất có thể sử dụng một hoặc cả 2 giao thức bảo mật sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo đảm phòng chống những tình huống "ip spoofing" hay "man in the midle attack", dẫu thế trong trường hợp này phần nội dung thông tin chính chưa được bảo vệ
- ESP (Encapsulating Security Payload): Nội dung thông báo được mã hóa, chặn lại những tình huống tin tặc đặt chương trình nghe lén và chặn bắt tài liệu trong quá trình truyền. Cách thức này rất lôi cuốn được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải phối kết hợp cả hai giao thức AH & ESP.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X10DRL-i[/font]
[font=sans-serif, Arial, Verdana,]
IPSec/VPN trên Windows Server 2003
chúng ta tìm hiểu thêm tình huống thực chất của Doanh Nghiệp Green Lizard Books, một Doanh Nghiệp chuyên xuất bản và đáp ứng văn hoá phẩm. Nhằm mục tiêu tăng cường tác dụng kinh doanh, bộ phận cai quản muốn những chuyên viên buôn bán trong tiến trình công tác làm việc ở bên phía ngoài rất có thể truy cập báo cáo bán hàng (Sale Reports) san sẻ trên File Server và hoàn toàn có thể tương tác với máy vi tính của mình trong công sở khi cần thiết. Ngoài ra, so với các dữ liệu mật, nhạy cảm như văn bản báo cáo doanh thu, trong thời gian truyền có thể áp dụng các chế độ mã hóa nghiêm ngặt để sâu xa độ tin cậy của tài liệu.
Green Lizard Books cần có một đường truyền ADSL với Địa Chỉ IP tĩnh đáp ứng cho quá trình kết nối và media giữa trong và ngoài Doanh Nghiệp. Các người tiêu dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để du nhập khối hệ thống mạng riêng ảo của Công Ty và được cấp phép Showroom IP tương thích để liên kết với các tài nguyên nội bộ của Công Ty.
tất cả chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN máy chủ (đặt tên là SRV-1), có một card mạng liên kết với hệ thống mạng nội bộ (IP: 192.168.1.1) & một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với những Thương Mại & Dịch Vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên phía ngoài (Internet).
Để cai quản người tiêu dùng trên khối hệ thống và tài nguyên chúng ta cần có 1 domain controler cài bỏ lên trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).[/font]
[font=sans-serif, Arial, Verdana,]Trong mô hình này, chúng ta sử dụng một máy client phía bên ngoài chạy hệ quản lý và điều hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa vào IPSec ESP.
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 3: thiết đặt VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 4: setup VPN Client Client-1 kết nối đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 5: kết nối VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
Bước 6: yêu cầu cấp phát chứng từ điện tử (certificate) cho VPN Server và Client dùng để làm xác nhận & mã hóa.
(request_certificate_for_vpn_server_and_client.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 7: thiết đặt liên kết VPN dùng giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)[/font]
[font=sans-serif, Arial, Verdana,]tóm lại
VPN là công nghệ tiên tiến được dùng thông dụng bây giờ nhằm mục tiêu cung cấp kết nối đáng tin cậy và công dụng để truy vấn tài nguyên nội bộ Công Ty từ phía bên ngoài thông qua mạng Internet. Mặc dù sử dụng cơ sở hạ tầng mạng san sẻ nhưng tất cả chúng ta vẫn bảo đảm an toàn được tính riêng tư của dữ liệu giống như là đang media trên một hệ thống mạng riêng. Chiến thuật VPN "mềm" reviews trong bài viết này thích hợp cho số lượng người dùng nhỏ, để cung ứng rất nhiều người dùng to hơn, có thể phải cần đến giải pháp VPN phần cứng.[/font]
VPN
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm mục đích đáp ứng sẻ chia thông báo, truy cập từ xa và tiết kiệm ngân sách. Trước đó, để truy vấn từ xa vào hệ thống mạng, người ta thường sử dụng phương pháp Remote Access quay số dựa trên mạng Smartphone. Cách thức này vừa tốn kém vừa nguy hiểm. VPN cho phép những máy tính media với nhau thông qua một môi trường xung quanh san sẻ như mạng Internet nhưng vẫn bảo đảm an toàn được tính riêng tư và bảo mật dữ liệu.
Để cung cấp kết nối giữa các máy tính, các gói thông báo được bảo phủ bằng một header có chứa những thông tin định tuyến, được chấp nhận dữ liệu hoàn toàn có thể gửi từ máy truyền qua môi trường xung quanh mạng sẻ chia & đến được máy nhận, như truyền trên những đường ống riêng được gọi là tunnel. Để đảm bảo an toàn tính riêng tư & bảo mật thông tin trên môi trường chia sẻ này, các gói tin được mã hoá & chỉ rất có thể lời giải với các khóa phù hợp, ngăn ngừa tình huống "trộm" gói tin trên phố truyền.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X11DPL-I[/font]
[font=sans-serif, Arial, Verdana,]
những tình huống phổ biến của VPN[/font]
[font=sans-serif, Arial, Verdana,]- Remote Access: thỏa mãn nhu cầu truy vấn tài liệu và phần mềm cho người tiêu dùng ở xa, bên phía ngoài Doanh Nghiệp thông qua Internet. Ví dụ khi người dùng muốn truy vấn vào cơ sở tài liệu hay những file server, gửi nhận Thư điện tử từ những mail server nội bộ của Doanh Nghiệp.
- Site To Site: vận dụng cho các tổ chức có khá nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một Doanh Nghiệp đa non sông mong muốn chia sẻ thông tin giữa các chi nhánh đặt ở Nước Singapore và VN, rất có thể thiết kế một khối hệ thống VPN Site-to-Site liên kết hai site việt nam & Nước Singapore tạo một đường truyền riêng trên mạng Internet phục vụ các bước truyền thông media an toàn, kết quả.[/font]
[font=sans-serif, Arial, Verdana,]- Intranet/ Internal VPN: trong 1 số tổ chức triển khai, quy trình truyền dữ liệu giữa một trong những bộ phận cần bảo đảm an toàn tính riêng tư, không cho phép những bộ phận khác truy cập. Khối hệ thống Intranet VPN hoàn toàn có thể đáp ứng tình huống này.
để triển khai một hệ thống VPN tất cả chúng ta cần có những thành phần cơ bản sau đây:
- User Authentication: cung ứng chính sách xác thực người dùng, chỉ cho phép người tiêu dùng hợp lệ liên kết và truy vấn khối hệ thống VPN.
- Address Management: cung ứng ADD IP hợp lệ cho người tiêu dùng sau thời điểm gia nhập hệ thống VPN để có thể truy cập khoáng sản trên mạng nội bộ[/font]
[font=sans-serif, Arial, Verdana,]- Data Encryption: cung cấp giải pháp mã hoá tài liệu trong quá trình truyền nhằm mục tiêu đảm bảo an toàn tính riêng tư & toàn vẹn tài liệu.
- Key Management: cung ứng phương án cai quản những khoá dùng cho quy trình mã hoá & giải thuật tài liệu.
IPSEC (IP SECURITY PROTOCOL)
Như tất cả chúng ta biết, để những máy vi tính trên khối hệ thống mạng LAN/WAN hay Internet media với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ tiếp xúc trong quả đât con người) và giao thức thịnh hành lúc bấy giờ là TCP/IP.[/font]
[font=sans-serif, Arial, Verdana,]Khi truyền những gói tin, tất cả chúng ta rất cần được vận dụng những chính sách mã hóa và xác nhận để bảo mật. Có tương đối nhiều giải pháp để tiến hành Vấn đề này, trong đó chính sách mã hóa IPSEC chuyển động trên giao thức TCP/IP tỏ ra hiệu quả & tiết kiệm ngân sách và chi phí trong thời gian triển khai.
trong quá trình xác thực hay mã hóa tài liệu, IPSEC rất có thể sử dụng một hoặc cả hai giao thức bảo mật thông tin sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo đảm phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", mặc dù thế trong trường hợp này phần nội dung thông tin chính không được bảo đảm
- ESP (Encapsulating Security Payload): Nội dung thông báo được mã hóa, chặn lại các trường hợp Hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền. Phương pháp này rất hấp dẫn được áp dụng, nhưng nếu như muốn bảo vệ luôn cả phần header của gói tin thì phải phối kết hợp cả 2 giao thức AH & ESP.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X10DRL-i[/font]
[font=sans-serif, Arial, Verdana,]
IPSec/VPN trên Windows Server 2003
chúng ta tìm hiểu thêm trường hợp thực chất của Công Ty Green Lizard Books, một Doanh Nghiệp chuyên xuất bản & cung cấp văn hoá phẩm. Nhằm mục đích đẩy mạnh hiệu quả kinh doanh, bộ phận cai trị muốn các chuyên viên buôn bán trong quá trình công tác ở bên phía ngoài hoàn toàn có thể truy vấn văn bản báo cáo bán hàng (Sale Reports) san sẻ trên File Server & có thể tương tác với máy vi tính của họ trong văn phòng khi thiết yếu. Không những thế, đối với những dữ liệu mật, nhạy cảm như văn bản báo cáo doanh thu, trong tiến trình truyền rất có thể vận dụng những cơ chế mã hóa ngặt nghèo để chuyên sâu độ đáng tin cậy của tài liệu.
Green Lizard Books cần phải có một đường truyền ADSL với Showroom IP tĩnh phục vụ cho các bước kết nối & truyền thông media giữa trong & ngoài Công Ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để du nhập khối hệ thống mạng riêng ảo của Công Ty và đã được cấp phát Địa chỉ cửa hàng IP tương thích để liên kết với những khoáng sản nội bộ của Công Ty.
tất cả chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN máy chủ (đặt tên là SRV-1), có 1 card mạng liên kết với khối hệ thống mạng nội bộ (IP: 192.168.1.1) & một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết phù hợp với các Thương Mại & Dịch Vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để liên kết với bên ngoài (Internet).
Để cai trị người dùng trên hệ thống và khoáng sản tất cả chúng ta cần có 1 domain controler cài đặt lên trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).[/font]
[font=sans-serif, Arial, Verdana,]Trong mô hình này, chúng ta sử dụng một máy client bên phía ngoài chạy hệ điều hành và quản lý Windows XP, liên kết VPN với chính sách chứng thực & mã hóa tài liệu dựa vào IPSec ESP.
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 3: setup VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 4: thiết đặt VPN Client Client-1 liên kết đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 5: liên kết VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
Bước 6: nhu yếu cấp phát chứng chỉ điện tử (certificate) cho VPN Server & Client dùng làm chứng thực & mã hóa.
(request_certificate_for_vpn_server_and_client.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 7: setup kết nối VPN dùng giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)[/font]
[font=sans-serif, Arial, Verdana,]Kết luận
VPN là công nghệ được sử dụng thông dụng hiện nay nhằm mục đích cung cấp liên kết đáng tin cậy & hiệu quả để truy cập tài nguyên nội bộ Doanh Nghiệp từ bên phía ngoài thông qua mạng Internet. Mặc dù sử dụng cơ sở hạ tầng mạng san sẻ nhưng tất cả chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như là đang truyền thông trên một hệ thống mạng riêng. Chiến thuật VPN "mềm" ra mắt trong bài viết này phù hợp cho số lượng người dùng nhỏ, để đáp ứng số người dùng to hơn, có thể phải cần đến phương án VPN phần cứng.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: Card X520-DA2[/font]
[font=sans-serif, Arial, Verdana,]nhu yếu truy vấn từ xa (ngoài văn phòng) mạng nội bộ để trao đổi tài liệu hay sử dụng ứng dụng ngày càng phổ cập. Đấy là nhu cầu thiết thực, mặc dù thế do vấn đề bảo mật và an toàn và đáng tin cậy thông báo nên những Công Ty ngại "mở" khối hệ thống mạng nội bộ của mình để cho phép chuyên viên truy cập từ xa. Bài viết này trình bày phương án truy vấn từ xa VPN trên Windows Server 2003 có chế độ mã hóa dựa vào giao thức IPSec nhằm mục tiêu bảo đảm thông tin.
VPN
VPN (virtual private network) là công nghệ xây dựng khối hệ thống mạng riêng ảo nhằm thỏa mãn nhu cầu chia sẻ thông tin, truy vấn từ xa & tiết kiệm ngân sách. Trước đây, để truy vấn từ xa vào khối hệ thống mạng, người ta thường sử dụng cách thức Remote Access quay số dựa trên mạng điện thoại thông minh. Phương pháp này vừa tốn kém vừa nguy hiểm. VPN được chấp nhận các máy vi tính truyền thông media với nhau thông qua một môi trường thiên nhiên san sẻ như mạng Internet nhưng vẫn bảo đảm được tính riêng tư và bảo mật dữ liệu.
Để cung ứng liên kết giữa những máy tính, các gói thông báo được bảo phủ bằng một header có chứa các thông tin định tuyến, được chấp nhận dữ liệu hoàn toàn có thể gửi từ máy truyền qua môi trường xung quanh mạng san sẻ & đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm an toàn tính riêng tư và bảo mật trên môi trường thiên nhiên chia sẻ này, các gói tin được mã hoá và chỉ hoàn toàn có thể giải thuật với những khóa phù hợp, ngăn chặn trường hợp "trộm" gói tin trên tuyến đường truyền.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X11DPL-I[/font]
[font=sans-serif, Arial, Verdana,]những tình huống phổ biến của VPN[/font]
[font=sans-serif, Arial, Verdana,]- Remote Access: đáp ứng truy cập dữ liệu và phần mềm cho người tiêu dùng ở xa, bên phía ngoài Doanh Nghiệp thông qua Internet. Ví dụ khi người dùng muốn truy vấn vào cơ sở tài liệu hay các file server, gửi nhận Email từ các mail server nội bộ của Doanh Nghiệp.
- Site To Site: áp dụng cho những tổ chức có rất nhiều văn phòng chi nhánh, giữa các văn phòng cần phỏng vấn trao đổi tài liệu với nhau. Ví dụ một Công Ty đa quốc gia mong muốn sẻ chia thông báo giữa các Trụ sở đặt tại Singapore & việt nam, có thể xây đắp một hệ thống VPN Site-to-Site kết nối hai site VN & Nước Sing tạo một đường truyền riêng trên mạng Internet phục vụ tiến trình truyền thông media tin cậy, công dụng.[/font]
[font=sans-serif, Arial, Verdana,]- Intranet/ Internal VPN: trong một số tổ chức triển khai, tiến trình truyền dữ liệu giữa một trong những bộ phận cần đảm bảo tính riêng tư, cấm đoán phép những bộ phận khác truy vấn. Khối hệ thống Intranet VPN hoàn toàn có thể đáp ứng trường hợp này.
để gia công một khối hệ thống VPN tất cả chúng ta cần có các thành phần cơ bản sau đây:
- User Authentication: cung ứng chính sách xác thực người tiêu dùng, chỉ được chấp nhận người dùng hợp lệ liên kết & truy vấn hệ thống VPN.
- Address Management: cung ứng ADD IP hợp lệ cho người dùng sau khi gia nhập khối hệ thống VPN để hoàn toàn có thể truy cập khoáng sản trên mạng nội bộ.[/font]
[font=sans-serif, Arial, Verdana,]- Data Encryption: cung ứng giải pháp mã hoá tài liệu trong quá trình truyền nhằm bảo đảm an toàn tính riêng tư & trọn vẹn dữ liệu.
- Key Management: cung cấp giải pháp cai trị những khoá dùng cho quá trình mã hoá & giải thuật tài liệu.
IPSEC (IP SECURITY PROTOCOL)
Như chúng ta biết, để những máy vi tính trên khối hệ thống mạng LAN/WAN hay Internet media với nhau, chúng phải sử dụng cùng một giao thức (giống như ngữ điệu tiếp xúc trong nhân loại con người) và giao thức thông dụng bây giờ là TCP/IP.[/font]
[font=sans-serif, Arial, Verdana,]Khi truyền những gói tin, tất cả chúng ta cần được vận dụng những cơ chế mã hóa và chứng thực để bảo mật. Có rất nhiều giải pháp để tiến hành việc này, trong số ấy chế độ mã hóa IPSEC chuyển động trên giao thức TCP/IP tỏ ra tác dụng và tiết kiệm trong quá trình triển khai.
trong thời gian xác thực hay mã hóa tài liệu, IPSEC rất có thể sử dụng một hoặc cả 2 giao thức bảo mật sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo đảm phòng chống những tình huống "ip spoofing" hay "man in the midle attack", dẫu thế trong trường hợp này phần nội dung thông tin chính chưa được bảo vệ
- ESP (Encapsulating Security Payload): Nội dung thông báo được mã hóa, chặn lại những tình huống tin tặc đặt chương trình nghe lén và chặn bắt tài liệu trong quá trình truyền. Cách thức này rất lôi cuốn được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải phối kết hợp cả hai giao thức AH & ESP.[/font]
[font=sans-serif, Arial, Verdana,]>>> Xem thêm: X10DRL-i[/font]
[font=sans-serif, Arial, Verdana,]
IPSec/VPN trên Windows Server 2003
chúng ta tìm hiểu thêm tình huống thực chất của Doanh Nghiệp Green Lizard Books, một Doanh Nghiệp chuyên xuất bản và đáp ứng văn hoá phẩm. Nhằm mục tiêu tăng cường tác dụng kinh doanh, bộ phận cai quản muốn những chuyên viên buôn bán trong tiến trình công tác làm việc ở bên phía ngoài rất có thể truy cập báo cáo bán hàng (Sale Reports) san sẻ trên File Server và hoàn toàn có thể tương tác với máy vi tính của mình trong công sở khi cần thiết. Ngoài ra, so với các dữ liệu mật, nhạy cảm như văn bản báo cáo doanh thu, trong thời gian truyền có thể áp dụng các chế độ mã hóa nghiêm ngặt để sâu xa độ tin cậy của tài liệu.
Green Lizard Books cần có một đường truyền ADSL với Địa Chỉ IP tĩnh đáp ứng cho quá trình kết nối và media giữa trong và ngoài Doanh Nghiệp. Các người tiêu dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để du nhập khối hệ thống mạng riêng ảo của Công Ty và được cấp phép Showroom IP tương thích để liên kết với các tài nguyên nội bộ của Công Ty.
tất cả chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN máy chủ (đặt tên là SRV-1), có một card mạng liên kết với hệ thống mạng nội bộ (IP: 192.168.1.1) & một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với những Thương Mại & Dịch Vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên phía ngoài (Internet).
Để cai quản người tiêu dùng trên khối hệ thống và tài nguyên chúng ta cần có 1 domain controler cài bỏ lên trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).[/font]
[font=sans-serif, Arial, Verdana,]Trong mô hình này, chúng ta sử dụng một máy client phía bên ngoài chạy hệ quản lý và điều hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa vào IPSec ESP.
Bước 1: Tạo domain controler
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 2: Đưa SRV-1 (VPN Server) vào domain
(join_srv-1_server_to_domain.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 3: thiết đặt VPN Server trên SRV-1
(install_vpn_server_on_srv-1.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 4: setup VPN Client Client-1 kết nối đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 5: kết nối VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
Bước 6: yêu cầu cấp phát chứng từ điện tử (certificate) cho VPN Server và Client dùng để làm xác nhận & mã hóa.
(request_certificate_for_vpn_server_and_client.avi)[/font]
[font=sans-serif, Arial, Verdana,]Bước 7: thiết đặt liên kết VPN dùng giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)[/font]
[font=sans-serif, Arial, Verdana,]tóm lại
VPN là công nghệ tiên tiến được dùng thông dụng bây giờ nhằm mục tiêu cung cấp kết nối đáng tin cậy và công dụng để truy vấn tài nguyên nội bộ Công Ty từ phía bên ngoài thông qua mạng Internet. Mặc dù sử dụng cơ sở hạ tầng mạng san sẻ nhưng tất cả chúng ta vẫn bảo đảm an toàn được tính riêng tư của dữ liệu giống như là đang media trên một hệ thống mạng riêng. Chiến thuật VPN "mềm" reviews trong bài viết này thích hợp cho số lượng người dùng nhỏ, để cung ứng rất nhiều người dùng to hơn, có thể phải cần đến giải pháp VPN phần cứng.[/font]
