tìm hiểu isa 2006 và triển khai hệ thống vpn site to site trên isa 2006

ĐẠI HỌC ĐÀ NẴNG

TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU ISA 2006 VÀ TRIỂN KHAI HỆ THỐNG VPN SITE TO SITE TRÊN ISA 2006

Giảng viên hướng dẫn : NGUYỄN THẾ XUÂN LYSinh viên thực hiện: 1. LÊ BÁ LỘC

2. NGUYỄN HỒNG KÔNG

Lớp : 08NNgành : CÔNG NGHỆ MẠNG VÀ TRUYỀN THÔNGKhoá : 2008-2011

Đà Nẵng, tháng 5 năm 2011

tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006

MỞ ĐẦU

Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ công nghệ thông tin. Cùng với sự phát triển như vũ bão của các phương tiện truyền thông đại chúng, lĩnh vực truyền thông máy tính phát triển không ngừng và ngày càng lớn mạnh. Mạng máy tính toàn cầu Internet đã và đang trở thành nhu cầu bức thiết cho mọi người. Với Internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi nhiều hơn .Tuy nhiên khi Internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tăng lên. Theo thông kê, số vụ tấn công và xâm phạm tài nguyên thông tin trên Internet mỗi năm tăng lên 100% so với năm trước.

Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia Internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng…. Vấn đề này đã trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu.

Với lý do trên, em chọn đề tài “TÌM HIỂU ISA 2006 VÀ TRIỂN KHAI HỆ THỐNG VPN SITE TO SITE TRÊN ISA 2006” là đề tài nghiên cứu của em.

ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức. Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bên trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho người dùng của họ. ISA Server có thể áp đặt các chính sách bảo mật (‘security polices’) để phân phát đến ‘user’ một số cách thức truy cập Internet mà họ được phép. Đồng thời, nhiều tổ chức cũng cung cấp cho các ‘user’ ở xa (‘remote user’) một số cách thức truy cập đến các máy chủ trong mạng tổ chức

VPN (Virtual Private Network) là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng.

Nội dung của luận văn được chia làm bốn chương:

Chương 1. Tổng quan về mạng máy tínhChương 2. Tổng quan về công nghệ VPN

Chương 3. Tìm hiểu về ISA 2006Chương 4 Thiết kế và cấu hình VPN SITE TO SITE

GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông


LỜI CẢM ƠN

Để hoàn thành tốt đồ án tốt nghiệp này ngoài sự cố gắng của bản thân, em đã nhận được sự khích lệ, động viên rất nhiều từ phía nhà trường, thầy cô và bạn bè trong việc nghiên cứu thực tập. Em xin cám ơn thầy cô Trường Cao Đẳng Công Nghệ Thông Tin đã truyền đạt những kiến thức quý báu cho em trong suốt quá trình học tập để em thực hiện tốt khóa thực tập này. Đặc biệt, em xin bày tỏ lòng biết ơn chân thành nhất đến Thầy Nguyễn Thế Xuân Ly, người đã tận tình hướng dẫn và giúp đỡ em trong suốt thời gian thực hiện đồ án vừa qua..

Do lần đầu tiên được tiếp xúc với việc tìm hiểu và thực hiện đồ án,nên chúng em không tránh khỏi những thiếu sót trong quá trình tìm hiểu và trình bày, nhận xét nên rất mong nhận được sự đóng góp của thầy cô và các bạn.

Chúng em xin chân thành cảm ơn!

ĐÀ NẴNG, 05/2011

Sinh viên thực hiện

LÊ BÁ LỘC NGUYỄN HỒNG KÔNG



NHẬN XÉT

(Của giảng viên hướng dẫn : NGUYỄN THẾ XUÂN LY)

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

.............................................................................................................................

Chữ ký của GVHD



MỤC LỤC

MỞ ĐẦU

LỜI CẢM ƠN

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪNDANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC TỪ VIẾT TẮT

MỞ ĐẦU...................................................................................................................2

Nội dung của luận văn được chia làm bốn chương:...................................................2

.................................................................................................................................. 4

Hình 17 Mô hình mạng VPN cơ bản......................................................................45

27............................................................................................................................. 45

Hình 27 Giao thức IPSec.........................................................................................45

28............................................................................................................................. 45

Hình 28 Mô hình triển khai.....................................................................................45

CHƯƠNG I : TỔNG QUAN MẠNG MÁY TÍNH...................................................1

1.1 Khái niệm cơ bản.................................................................................................1

1.1.1 Định nghĩa........................................................................................................1

1.1.2 Kiến trúc mạng ................................................................................................1

1.1.2.1 Cấu trúc mạng................................................................................................1

Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nối vào một thiết

bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu đến trạm đích

với phương thức kết nối là “điểm - điểm”. ...............................................................1

................................................................................................................................... 1

Hình 2 Cấu trúc mạng dạng sao.................................................................................1

Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều được nối

vào một đường dây truyền chính (bus). Đường truyền chính này được giới hạn hai

đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu cuối để

kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một đầu nối chữ T

(T_connector) hoặc một bộ thu phát (transceiver).....................................................1

................................................................................................................................... 1

Hình 3 Cấu trúc mạng dạng tuyến.............................................................................2



Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhau thành

một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm có thể nhận

và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một.....2

................................................................................................................................... 2

Hình 4 Cấu trúc mạng dạng vòng.............................................................................2

Mạng dạng lưới (Mesh topology): một máy tính trong mạng có thể kết nối tới

nhiều máy tính...........................................................................................................2

................................................................................................................................... 2

Hinh 5 Cấu trúc mạng dạng lưới...............................................................................2

1.1.2.2 Cách thức truy cập mạng...............................................................................2

Token Ring :được định nghĩa trong tiêu chuẩn IEEE 802.5. Mạng Token Ring có

thể chạy ở tốc độ 4Mbps hoặc 16Mbps. Phương pháp truy cập dùng trong mạng

Token Ring gọi là Token passing. Token passing là phương pháp truy nhập xác

định, trong đó các xung đột được ngǎn ngừa bằng cách ở mỗi thời điểm chỉ một

trạm có thể được truyền tín hiệu. Điều này được thực hiện bằng việc truyền một bó

tín hiệu đặc biệt gọi là Token (mã thông báo) xoay vòng từ trạm này qua trạm khác.

Một trạm chỉ có thể gửi đi bó dữ liệu khi nó nhận được mã không bận.....................2

Broadcasting đề cập đến truyền một gói tin đó sẽ được nhận bằng mọi thiết bị trên

mạng . Trong thực tế, phạm vi phát sóng được giới hạn trong một miền phát

sóng . Phát sóng một thông báo là trái ngược với unicast giải quyết, trong đó tổ

chức một gửi datagrams đến một máy chủ duy nhất xác định bằng một địa chỉ IP

duy nhất.....................................................................................................................2

Broadcasting là chủ yếu chỉ khu vực địa phương mạng (LAN), đặc biệt

là Ethernet và Tocken Ring , nơi mà các tác động thực hiện phát sóng không phải là

lớn vì nó sẽ được trong một mạng diện rộng ............................................................3

1.1.3 Phân loại mạng.................................................................................................3

LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một khu

vực bán kính hẹp thông thường khoảng vài trăm mét. Kết nối được thực hiện thông

qua các môi trường truyền tốc độ cao, ví dụ cáp đồng trục hay cáp quang. LAN



thường được sử dụng trong nội bộ một cơ quan/tổ chức…, các LAN có thể kết nối

với nhau thành WAN.................................................................................................3

................................................................................................................................... 3

Hình 6 Mô hình mạng LAN......................................................................................3

MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm vi một

thành phố. Kết nối này được thực hiện thông qua các môi trường truyền thông tốc

độ cao (50-100 Mbit/s)..............................................................................................3

................................................................................................................................... 3

Hình 7 Mô hình mạng MAN.....................................................................................3

WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trong nội bộ

các quốc gia hay giữa các quốc gia trong cùng một châu lục. thông thường kết nối

này được thực hiện thông qua mạng viễn thông. Các WAN có thể được kết nối với

nhau thành GAN hay tự nó đã là GAN......................................................................3

................................................................................................................................... 4

Hình 8 Mô hình mạng WAN.....................................................................................4

GAN (Global Area Network) - Kết nối các máy tính từ các châu lục khác nhau.

Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ tinh.. . .4

1.1.4 Phương tiện truyền dẫn.....................................................................................4

1.1.4.1 Cáp................................................................................................................4

Cáp xoắn đôi (Twisted pair cable)............................................................................4

- Dùng phổ biến cho mạng LAN...............................................................................4

- Có hai loại:..............................................................................................................4

+ STP (Shield Twised Pair): cáp xoắn đôi bọc kim...................................................4

................................................................................................................................... 4

Hình 9 Cáp xoắn đôi STP..........................................................................................4

+ UTP (Unshield Twised Pair): cáp xoắn đôi không bọc kim.................................4

................................................................................................................................... 4

Hình 10 Cáp xoắn đôi UTP.......................................................................................4

Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại là cáp dày

(Thick cable) và cáp mỏng (Thin cable)....................................................................5



................................................................................................................................... 5

Hình 11 Cáp đồng trục..............................................................................................5

Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễu tốt.............5

................................................................................................................................... 5

Hình 12 Cáp quang....................................................................................................5

1.1.4.2 Thiết bị không dây.........................................................................................5

Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps......................................5

Microwave: truyền dữ liệu với băng thông rộng hơn radio.......................................5

Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu.........................5

1.1.5 Hệ điều hành mạng...........................................................................................5

Windows NT/2000: Windows NT la môt hê điêu hanh câp cao cua Windows cung

câp cac thao tac hoan toan 32-bit trên cac hê thông đơn hay đa xư ly. Hê nây xây

dưng săn cac đô an toan đap ưng đươc cac xêp loai cua chinh phu va hô trơ mang

tôi ưu đê thi hanh cac ưng dung back-end cho rât nhiêu khach (client). ...................5

Đông thơi hê điêu hanh Windows NT đươc thiêt kê đăc biêt đê phuc vu nhưng nhu

câu cua ngươi sư dung mang va cung câp hiêu năng lam viêc va đô an toan ơ câp

cao.............................................................................................................................5

LUNIX: Môt hê điêu hanh đươc dung trong nhiêu loai may tinh khac nhau, tư cac

may tinh lơn cho đên cac may tinh ca nhân, no co kha năng đa nhiêm phu hơp môt

cach ly tưong đôi vơi cac ưng dung nhiêu ngươi dung. UNIX đươc viêt băng ngôn

ngư lâp trinh rât linh đông, ngôn ngư C va cung như C, đo la thanh qua nghiên cưu

cua AT & T Bell Laboratories UNIX la môt môi trương lâp trinh toan diên, no diên

đat môt triêt ly lâp trinh duy nhât. Tuy nhiên vơi hơn 200 lênh không kê cac thông

bao lôi, va vơi nhưng cu phap lênh kho hiêu UNIX la môt ganh năng cho nhưng

ngươi không quen sư dung va không gioi ky thuât. Vơi sư phat triên cac shell cua

UNIX, hê điêu hanh nay co thê đong môt vai tro phô dung hơn trong điên toan.......5

Linux: Linux la hê điêu hanh “giông” Unix - 32 bit chay đươc trên nhiêu tram bao

gôm cac bô xư ly Intel, SPARC, PowerPC va DEC Alpha cung như nhưng hê thông

đa xư ly. Hê điêu hanh nây la miên phi, ban co thê tai no xuông tư web hay ban co

thê mua môt quyên sach co chưa môt CD-ROM vơi toan bô hê điêu hanh như:



“Linux: The Complete Reference” cua Richard Peterson (Berkeley, CA:

Osborne/McGraw-Hill, 1996)....................................................................................6

1.2 Các dịch vụ trên mạng INTERNET.....................................................................6

1.2.1 Dịch vụ truy nhập từ xa....................................................................................6

Telnet cho phép người sử dụng đăng nhập từ xa vào hệ thống từ một thiết bị đầu

cuối nào đó trên mạng. Với Telnet người sử dụng hoàn toàn có thể làm việc với hệ

thống từ xa như thể họ đang ngồi làm việc ngay trước màn hình của hệ thống. kết

nối Telnet là một kết nối TCP dùng để truyền dữ liệu với các thông tin điều khiển.. 6

1.2.2 Dịch vụ truyền tệp (FTP)..................................................................................6

Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp dữ liệu giữa các máy

tính khác nhau trên mạng. FTP hỗ trợ tất cả các dạng tệp, trên thực tế nó không

quan tâm tới dạng tệp cho dù là tệp văn bản mã ASCII hay các tệp dữ liệu dạng nhị

phân. Với cấu hình của máy phục vụ FTP, có thể quy định quyền truy cập của người

sử dụng với từng thư mục lưu trữ dữ liệu, tệp dữ liệu cũng như giới hạn số lượng

người sử dụng có khả năng cùng một lúc có thể truy nhập vào cùng một nơi lưu trữ

dữ liệu........................................................................................................................6

1.2.3 Dịch vụ Gopher................................................................................................6

Trước khi Web ra đời Gopher là dịch vụ rất được ưa chuộng. Gopher là một dịch vụ

chuyển tệp tương tự như FTP, nhưng nó hỗ trợ người dùng trong việc cung cấp

thông tin về tài nguyên. Client Gopher hiển thị một thực đơn, người dùng chỉ việc

lựa chọn cái mà mình cần. kết qủa của việc lựa chọn được thể hiện ở một thực đơn

khác. .........................................................................................................................6

Gopher bị giới hạn trong kiểu các dữ liệu. Nó chỉ hiển thị dữ liệu dưới dạng mã

ASCII mặc dù có thể chuyển dữ liệu dạng nhị phân và hiển thị nó bằng một phần

mềm khác..................................................................................................................6

1.2.4 Dịch vụ WAIS..................................................................................................6

WAIS (Wide Area Information Serves) là một dịch vụ tìm kiếm dữ liệu. WAIS

thường xuyên bắt đầu việc tìm kiếm dữ liệu tại thư mục của máy chủ, nơi chứa toàn

bộ danh mục của các máy phục vụ khác. Sau đó, WAIS thực hiện tìm kiếm máy



phục vụ thích hợp nhất. WAIS có thể thực hiện công việc của mình với nhiều loại

dữ liệu khác nhau như văn bản ASCII, GIF, điện thư…............................................6

1.2.5 Dịch vụ World Wide Web................................................................................6

World Wide Web (WWW hay Web) là một dịch vụ tích hợp, sử dụng đơn giản và

có hiệu qủa nhất trên Internet. Web tích hợp cả FTP, WAIS, Gopher. Trình duyệt

Web có thể cho phép truy nhập vào tất cả các dịch vụ trên.......................................6

Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText Markup Language)

hay còn gọi là ngôn ngữ đánh dấu siêu văn bản. Siêu văn bản là văn bản bình

thường cộng thêm một số lệnh định dạng. HTML có nhiều cách liên kết với các tài

nguyên FTP, Gopher server và Web server. Web server là máy phục vụ Web, đáp

ứng các yêu cầu về truy nhập tài liệu HTML. Web server trao đổi các tài liệu

HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay còn gọi là giao

thức truyền siêu văn bản............................................................................................7

Trình duyệt Web (Web client) là chương trình để xem các tài liệu Web. Trình duyệt

Web gửi các URL đến máy phục vụ Web sau đó nhận trang Web từ máy phục vụ

Web dịch và hiển thị chúng. Khi giao tiếp với máy phục vụ Web thì trình duyệt

Web sử dụng giao thức HTTP. Khi giao tiếp với một Gopher server thì trình duyệt

Web hoạt động như một Gopher client và sử dụng giao thức gopher. Trình duyệt

Web có thể thực hiện các công việc khác nhau như ghi trang Web vào đĩa, gửi

Email, hiển thị tệp HTTP nguồn của trang Web,…Hiện nay có hai trình duyệt Web

được sử dụng nhiều nhất là Internet Explorer và Netscape, ngoài ra còn một số trình

duyệt khác như Opera, Mozila,…..............................................................................7

1.2.6 Dịch vụ thư điện tử (E mail).............................................................................7

Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụ thông dụng nhất trong

mọi hệ thống mạng dù lớn hay nhỏ. Thư điện tử được sử dụng rộng rãi như một

phương tiện giao tiếp hàng ngày trên mạng nhờ tính linh hoạt và phố biến của nó.

Từ các trao đổi thư tín thông thường, thông tin quảng cáo, tiếp thị, đến những công

văn, báo cáo hay kể cả những bản hợp đồng thương mại, chứng từ,…tất cả đều

được trao đổi qua thư điện tử.....................................................................................7

1.3 Cơ bản an toàn mạng...........................................................................................7



1.3.1 Các hiểm họa trên mạng...................................................................................7

Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng là các

yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện

tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của

dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp

vào hệ thống. ............................................................................................................7

1.3.1.1 Các lỗ hổng loại C.........................................................................................7

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS

(Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới

chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng

dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp................................................7

1.3.1.2 Các lỗ hổng loại B.........................................................................................7

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không

cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở

mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống;

có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật...............................................7

1.3.1.3 Các lỗ hổng loại A.........................................................................................8

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất

hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống............8

Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của

hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém

hoặc không kiểm soát được cấu hình mạng. .............................................................8

1.3.2 Các phương pháp tấn công trên mạng...............................................................8

1.3.2.1 Virus..............................................................................................................8

Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và có thể phá

hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus từ đối tượng

bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng. Đối tượng bị

nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản, macro…) và môi

trường lan truyền bao gồm mạng, đường truyền và các loại bộ nhớ (RAM, đĩa cứng,

đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây



lan và tất nhiên cũng có nhiều cách phá hoại khác nhau. Virus máy tính có nhiều

chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm, Polymorphic, Hoaxes. 8

Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến hiện nay.

Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác hại gây ra bởi

virus là rất lớn và thật khó lường. .............................................................................8

1.3.2.2 Treo cứng hệ thống........................................................................................8

Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công qua những

giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao thức

SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó, tấn công

"ngập lụt" là kiểu tấn công phổ biến..........................................................................8

1.3.2.3 Từ chối dịch vụ..............................................................................................8

Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máy chủ bị

nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật này còn được

cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khi các cuộc

tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹn trước vào

cùng một thời điểm nên rất khó chống đỡ.................................................................8

1.3.2.4 Lợi dụng chương trình...................................................................................8

Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵn trong trong

một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ. Phần lớn các

phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng............................8

1.3.2.5 Giả mạo địa chỉ IP.........................................................................................8

Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IP spoofing) cho

phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến từ một địa chỉ IP

khác với địa chỉ của hacker nhằm che đậy dấu vết. Kỹ thuật này kết hợp với các

kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thông điệp.....................8

1.3.3 Các phương pháp bảo mật................................................................................9

1.3.3.1 Xác thực (Authentication) là quá trình xử lý và giám sát người sử dụng

trong quá trình logon hay truy cập bất kỳ vào tài nguyên mạng. Ta có thể xác thực

bằng các phương pháp như sử dụng mật mã (password), khóa (key), dấu vân tay

(fingerprints),….........................................................................................................9



1.3.3.2 Điều khiển truy cập (Access Control) giới hạn quyền truy cập của người

dùng vào tài nguyên hệ thống và cho phép những ai có quyền truy cập vào.............9

1.3.3.3 Mã hóa dữ liệu (Data Encryption) nhằm mục đích không cho người khác

đánh cắp dữ liệu. Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai có khóa

trùng với khóa đó mới đọc được nội dung của dữ liệu gửi tới...................................9

1.3.3.4 Chính sách (Auditing) nhằm mục đích quản lý người sử dụng trong hệ

thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một số

vấn đề khác................................................................................................................9

1.4 FIREWALL và mạng VPN.................................................................................9

1.4.1 Firewall............................................................................................................9

1.4.1.1 Khái niệm cơ bản..........................................................................................9

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn

chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật

được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các

nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.

Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng

không tin tưởng.........................................................................................................9

Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài

vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện

việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.

................................................................................................................................... 9

................................................................................................................................... 9

Hình 13 Firewall....................................................................................................9

1.4.1.2 Các kiểu firewall.........................................................................................10

Firewall dựa trên Application level gateway...........................................................10

................................................................................................................................. 10

Hình 14 Application level gateway.........................................................................10

Cổng vòng (Circuit level gateway)..........................................................................10

................................................................................................................................. 10

Hình 15 Circuit level gateway..............................................................................10



................................................................................................................................. 10

Hình16 Proxy Server Firewall.................................................................................10

1.4.2 Mạng VPN.....................................................................................................11

1.4.2.1 Định nghĩa...................................................................................................11

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để

kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung

tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra

các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa

điểm hoặc người sử dụng ở xa.................................................................................11

1.4.2.2 Thành phần: có 4 thành phần chính.............................................................11

- VPN Server...........................................................................................................11

- VPN Client............................................................................................................11

- Tunnel...................................................................................................................11

- Public Network.....................................................................................................11

1.4.2.3 Giao thức: VPN sử dụng các loại giao thức chủ yếu sau.............................11

- Point to Point Protocol (PPP)................................................................................11

- Point to Point Tunneling Protocol (PPTP).............................................................11

- Layer 2 Forwarding (L2F) protocol......................................................................11

- Layer 2 Tunneling Protocol (L2TP)......................................................................11

- IP Security (IPSec)................................................................................................11

1.4.2.4 Kiểu VPN: có 3 kiểu VPN...........................................................................11

- Remote Access VPN.............................................................................................11

- Intranet VPN.........................................................................................................11

- Extranet VPN .......................................................................................................11

CHƯƠNG 2: TỔNG QUAN VỀ CÔNG NGHỆ VPN............................................12

2.1 Khái quát chung.................................................................................................12

2.1.1 Lịch sử hình thành và phát triển.....................................................................12

Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách có

hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng

WAN. PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN



trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực

hiện nối thông. ........................................................................................................12

Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ được gọi

là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ khách

thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel

làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết bị

tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số chuyên dụng

cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản

lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp

vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu

tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ

chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ

của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng

nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ

dùng chỉ có một đôi dây, nên không thực sự linh hoạt............................................12

Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T,

MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là

SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet

và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế

cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách

có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức

độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển

sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công

ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí

nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được

gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này

tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùng

cho nghiệp vụ dữ liệu..............................................................................................12

Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của

VPN trên toàn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và



liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ

trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng

nhu cầu dịch vụ viễn thông quốc tế. Một số liên minh và công ty đa quốc gia cần có

mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại

trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý

và bảo dưỡng. Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có

hiệu quả nhu cầu của số hộ khách này. Và so với đường dây trong nước, có thể tiết

kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công ty hay

tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từ các

mạng chuyên dùng đã được thiết lập sang sử dụng VPN. Một số hộ khách thương

mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, như hiệp hội

dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích là nhằm có

thể đạt được tỷ lệ tính năng trên giá cả tốt nhất trong việc sử dụng nghiệp vụ VPN.

Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay còn gọi là VPN

toàn cầu (GPN), đã phát triển nhanh nhất................................................................12

2.1.2 Khái niệm VPN..............................................................................................13

Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ

chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn

quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên

tiết kiệm được được chi phí và thời gian.................................................................13

................................................................................................................................. 13

Hình17 Mô hình mạng VPN cơ bản........................................................................13

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính),

các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như văn phòng

tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài...........13

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là

Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ

sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số,

VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ

chức với địa điểm hoặc người sử dụng ở xa. ..........................................................13



Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network) tuỳ

thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp. Nếu xét theo góc

độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không

cố định) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng rẽ. Đối tượng

dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng

dùng riêng. ..............................................................................................................13

2.2 Phân loại VPN...................................................................................................14

Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng VPN

có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối

LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy cập

từ xa có thể kết nối người dùng từ xa tới mạng.......................................................14

2.2.1 VPN truy cập từ xa (Remote Access).............................................................14

Remote Access, hay còn gọi là virtual private dial-up network (VPDN). Cung cấp

các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ

Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến

mạng cục bộ công ty bằng dial-up. Khi công ty muốn thiết lập Remote access trên

qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết

lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến

NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công

ty. Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường

thuê bao số (DSL)....................................................................................................14

................................................................................................................................. 14

Hình 18 Mô hình VPN truy cập từ xa......................................................................14

2.2.2 VPN điểm nối điểm (Site to Site)...................................................................14

Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên

dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet.

Site to Site VPN gồm 2 loại:...................................................................................14

Các VPN nội bộ (Intranet VPN ).............................................................................14



Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN và kết

nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với nhau

thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN................14

Các VPN mở rộng ( Extranet VPN ).......................................................................14

Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác,

nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối

Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi

trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet).......................................15

................................................................................................................................. 15

Hình 19 Mô hình VPN điểm nối điểm.....................................................................15

2.3 Sản phẩm công nghệ dành cho VPN..................................................................15

Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phải cài đặt những

bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:.......................15

Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa...................15

Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX..........15

Server VPN cao cấp dành cho dịch vụ Dial-up........................................................15

NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng

từ xa.........................................................................................................................15

Mạng VPN và trung tâm quản lý. ...........................................................................15

2.3.1 Bộ xử lý trung tâm VPN.................................................................................15

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco

tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền

truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại

mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ

dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model

thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000

điểm kết nối từ xa truy cập cùng lúc). ....................................................................15

................................................................................................................................. 15

Hình 20 Bộ xử lý trung tâm VPN Cisco 3000.........................................................15

2.3.2 Router dùngcho VPN......................................................................................16



Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành

Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường

hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh nghiệp quy mô

lớn...........................................................................................................................16

................................................................................................................................. 16

Hình 21 Router Cisco..............................................................................................16

2.3.3 Tường lửa PIX của Cisco...............................................................................16

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế

dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và

chặn truy cập bất hợp pháp......................................................................................16

................................................................................................................................. 16

Hình 22 Bộ Cisco PIX Firewall...............................................................................16

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở

được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.............16

2.4 Các yêu cầu cơ bản đối với một giải pháp VPN................................................16

2.4.1 Tính tương thích.............................................................................................16

Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây

dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác

nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều

các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực

tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng

đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet

cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet

có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số

lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN

phải tương thích với các thiết bị hiện có của họ......................................................16

2.4.2 Tính bảo mật...................................................................................................17

Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng

nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu

thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng



dùng riêng do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an toàn

cần đảm bảo hai mục tiêu sau:.................................................................................17

Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử

dụng trong mạng và mã hoá dữ liệu khi truyền.......................................................17

Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho

người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ

thống........................................................................................................................17

2.4.3 Tính khả dụng.................................................................................................17

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính

bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.

Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có

khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên

quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên

quan đến cả hai vấn đề trên.....................................................................................17

2.4.4 Khả năng hoạt động tương tác........................................................................17

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu

chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện,

các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy

cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như

đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp

khác nhau liên quan đến VPN.................................................................................17

2.5 Thiết lập kết nối TUNNEL................................................................................17

2.5.1 Các loại giao thức...........................................................................................17

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng

trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp

tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung

gian theo những "đường ống" riêng (Tunnel). ........................................................17

Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các

máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và

máy chủ phải sử dụng chung một giao thức (Tunnel Protocol). .............................17



Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai

điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi

vào và đi ra trong mạng...........................................................................................17

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:................................................17

Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có

thông tin đang đi qua...............................................................................................17

Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec,

L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc................................................18

Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi

(như IPX, NetBeui, IP)............................................................................................18

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên

Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc,

họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói

khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.

................................................................................................................................. 18

2.5.2 Kỹ thuật Tunneling trong mạng VPN.............................................................18

2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa ..................................18

Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường

dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của

TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng

giữa máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý

các Tunnel và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng

VPN truy cập từ xa phụ thuộc vào PPP...................................................................18

................................................................................................................................. 18

Hình 23 Mô hình Tunneling truy cập từ xa.............................................................18

2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm..................................18

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing

Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol)

để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về

loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy



khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai

trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ

xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.. . . .18

................................................................................................................................. 19

Hình 24 Mô hình Tunneling điểm nối điểm............................................................19

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua

máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để

tới máy tính của văn phòng từ xa.............................................................................19

2.6 Các giao thức sử dụng trong VPN.....................................................................19

Hiện nay có ba giao thức chính dùng để xây dựng VPN là:....................................19

2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling

Protocol)..................................................................................................................19

Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point

Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS

(Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000,

sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình

của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã. 19

Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling

Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum.

Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và

US robotic. Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng

của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối

bảo mật giữa client và mạng riêng. Người dùng ở xa chỉ việc quay số đến nhà cung

cấp dịch cụ ISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng

của họ......................................................................................................................19

Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP

(Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung

cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet

đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic

Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho



phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI

chẳng hạn.................................................................................................................19

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ

liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2,

PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec

chỉ có thể truyền các gói IP trong đường hầm.........................................................19

................................................................................................................................. 20

Hình 25 Giao thức PPTP.........................................................................................20

2.6.2 Giao thức định đường hầm lớp 2 - L2TP (Layer 2 Tunneling Protocol).........20

Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ

thuật khoá công cộng (public key technology) để thực hiện việc xác thực người

dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so

với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá.

Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành

Windows 2000.........................................................................................................20

................................................................................................................................. 20

Hình 26 Giao thức L2TP.........................................................................................20

2.6.3 Giao thức bảo mật IP – Ipsec..........................................................................20

Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất

của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự

động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập

một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được

cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000.....20

................................................................................................................................. 20

Hình 27 Giao thức IPSec.........................................................................................20

2.7 Lợi ích của VPN................................................................................................21

2.7.1 Đối với khách hàng.........................................................................................21

Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê

riêng. Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng 60% so

với chi phí của việc dùng kênh kết nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối



với các công ty đa quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu

thời gian và đáp ứng nhu cầu làm việc trực tuyến...................................................21

+ Giảm thiểu thiết bị sử dụng và chi phí kênh kết nối đường dài............................21

+ Giảm thiểu việc thiết kế và quản lý mạng............................................................21

+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu

lượng sử dụng..........................................................................................................21

Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả

năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử dụng tư

vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh

đã trở thành một xu hướng. Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản

lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002......21

2.7.2 Đối với nhà cung cấp dịch vụ.........................................................................21

Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá

trị khác kèm theo.....................................................................................................21

Tăng hiệu quả sử dụng mạng Internet hiện tại.........................................................21

Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan

trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt

là các khách hàng lớn..............................................................................................21

Ðầu tư không lớn hiệu quả đem lại cao...................................................................21

Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho

mạng VPN...............................................................................................................21

2.8 Ưu điểm và nhược điểm....................................................................................21

2.8.1 Ưu điểm..........................................................................................................21

VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản

hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở

rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận

khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều

có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN

riêng.f......................................................................................................................21



Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê

đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa.

Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các

nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết

nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem

tập trung..................................................................................................................21

Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho

mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết

bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải

mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp. .........................22

Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch

vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần

quan tâm đến những phần phức tạp bên dưới..........................................................22

Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự

Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di

động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một

điểm kết nối cục bộ POP ........................................................................................22

2.8.2 Nhược điểm....................................................................................................22

Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp.

Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải

tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó

vẫn là một vấn để khá lớn của VPN. ......................................................................22

Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các

thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém

( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua

giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác

mạnh…....................................................................................................................22

QOS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là độ trễ

và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà đặc thù

của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán



cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn.

Thường QoS trên Internet chỉ là best effort.............................................................22

Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang

qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung

cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP)

không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng

có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các

thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết

này cũng không đảm bảo 100%...............................................................................22

CHƯƠNG III :TÌM HIỂU VỀ ISA 2006................................................................23

3.1 Giới thiệu:..........................................................................................................23

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share

Internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm

share Internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho

phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ

chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access

Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache

(Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và

máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).Ngoài ra còn

có rất nhiều tính năng khác nữa...............................................................................23

Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại

là những tính năng mà các doanh nghiệp ở VN ta ít dùng. )....................................23

3.2 Tổng quan về ISA..............................................................................................23

3.2.1 So sánh ISA 2006 và ISA 2004 .....................................................................23

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server . Về

giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng

mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế như:..............................................23

- Phát triển hỗ trợ OWA, OMA ActiveSync và RPC/http Publishing......................23

- Hỗ trợ SharePoint Portal Server ...........................................................................23

- Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listener...............................23



- Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules....................................23

Đặc điểm nổi bậc của bản 2006 so với bản 2004 là tính năng Pulishing và VPN .23

3.2.1.1 Về khả năng Pulishing Serviece..................................................................23

ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang OWA,

qua đấy hỗ trợ chứng thực kiểu form-based , chống lại các người dùng bất hợp pháp

vào trang web OWA, tính năng này được phát triển dưới dạng Add-ins . Cho phép

Public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết

nối được mã hóa trên Internet ( kể cả Password ). Block các kết nối non-encrypted

MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến

Exchange Server . Rất nhiều các Wizard cho phép người quản trị Public các Server

nội bộ ra Internet một cách an toàn. Hỗ trợ các sản phảm mới như Exchange 2007.

................................................................................................................................. 23

3.2.1.2 Khả năng kết nối VPN.................................................................................23

Cung cấp Wizard cho phép cấu hình tự động site to site VPN ở hai văn phòng riêng

biệt ( tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được ). Tích hợp

hoàn toàn Quanratine, Stateful filtering and inspection, kiểm tra đầy đủ các điều

kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,… Cho phép

Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hổ trợ PPTP,

L2TP/IPSec, IPSec Tunnel site to site.....................................................................23

3.2.1.3 Backup và Restore đơn giản........................................................................24

Cho phép ủy quyền quản trị cho các User/Group Log và Report cực tốt. Cấu hình 1

nơi, chạy ở mọi nơi (cài ISA Enterprise). Khai báo thêm server vào array dễ dàng.

Tích hợp với giải pháp quản lý của Microsoft: MOM SDK, nếu ai thích lập trình các

giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này. Có các giải pháp hardware các

tính năng khác. Hỗ trợ nhiều CPU và RAM max 32 node Network Loadbalancing.

Hỗ trợ nhiều network, không cần đong đếm cài này, ăn đứt các loại khác.

Route/NAT theo từng network Firewall rule đa dạng IDS Flood Resiliency HTTP

compression Diffserv...............................................................................................24

3.3 So sánh hai phiên bản ISA 2006........................................................................24

3.3.1 Standard Edition.............................................................................................24



ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có

quy mô trung bình...................................................................................................24

Với phiên bản này chúng ta có thể xây dựng firewall để:........................................24

- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty. .24

- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội

dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích

hợp, thời gian không thích hợp................................................................................24

- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay

remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty,

hoặc trao đổi dữ liệu giữa văn phòng và hội sở.......................................................24

- Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web

Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho

phép triển khai vùng DMZ nhằm ngăn ngừa sự tương tác trực tiếp giữa người dùng

bên trong và bên ngoài hệ thống..............................................................................24

- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có

chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc độ kết nối Internet của

mạng nội bộ.............................................................................................................24

Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security &

Aceleration..............................................................................................................24

3.3.2 Enterprise Edition:..........................................................................................24

ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng

nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những

tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ

thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng

quản lý và cung cấp tính năng Load Balancing.......................................................24

3.3.3 So sánh giữa phiên bản Standard Edition và Enterprise Edition:....................25

Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau.

................................................................................................................................. 25

Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard. ........25

- Centralized storage of configuration data ...........................................25



Trong khi bản Standard lưu thông tin về cấu hình (configuration information ->

conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của

nó trên một thư mục (directory) riêng biệt. Khi bạn cài bản Enterprise bạn phải chỉ

ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage

server). Các storage server này sử dụng ADAM (Active Directory Application

Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc

cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server.(Bạn có thể cài

ADAM lên máy khác ko có ISA hay cài lên máy ISA cũng được). Dữ liệu trên các

storage server này sẽ tự nhân bản (replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ

tốt hơn cho người quản trị. Ví dụ như bạn muốn thay đổi cấu hình của một hay

nhiều ISA server bạn chỉ việc ngồi vào một trong những storage server mà làm. Còn

với bản Standard, bạn phải đến từng máy để cấu hình.............................................25

- Support for cache Array Routing Protocol ( CARP )..................................25

Bản Enterprise cho phép ta chia sẻ việc cache giữa một dãy các ISA với nhau. Với

bản Enterprise, một dãy gồm nhiều máy ISA sẽ được cấu hình trở thành một vùng

cache đơn luận lý bằng cách kết nối khả năng cache của tất cả các ISA lại với nhau.

Để thực hiện tính năng này, ISA sử dụng CARP. Cơ chế như sau : khi một máy

client đi một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy cache lại trang

đó. Khi một máy client khác đi trang web khác, CARP chỉ định tiếp một máy ISA

khác cache lại trang web. Cứ luân phiên như thế. Khi một client bất kì đi một trang

web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó để trả

về cho máy client. CARP giúp tối ưu hóa khả năng cache......................................25

- Integration of Network Load Balancing – NLB ( Tích hợp cân bằng tải trên ISA )

................................................................................................................................. 25

NBL là một thành phần network có sẵn trong Windows 2000 Server và Windows

Server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta

sẽ có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường

truyền, tránh hiện tượng quá tải. NLB cũng là một hình thức backup, vì nếu có một

máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi



máy kia. NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống.

................................................................................................................................. 25

Với bản Standard, bạn phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB

được tích hợp vào ISA nên bạn có thể quản lý NLB từ ISA. Bạn có thể dùng ISA

Server Management Console để cấu hình, quản lý, giám sát (monitor)NLB...........25

- Dễ dàng quản lý....................................................................................................26

- Rất nhiều Wizard ..................................................................................................26

- Backup và Restore đơn giản..................................................................................26

- Cho phép ủy quyền quản trị cho các User/Group..................................................26

- Log và Report cực tốt............................................................................................26

- Khai báo thêm server và array dễ dàng.................................................................26

- Tích hợp với giải pháp quản lý của Microsoft :MOM...........................................26

-SDK.......................................................................................................................26

- Có các giải pháp hardware ...................................................................................26

3.5 Các vấn đề cần lưu ý khi cài đặt ISA 2006........................................................26

3.5.1 Cấu hình máy chủ cần thiết.............................................................................26

- CPU Intel hoặc AMD tối thiểu 773 MHz..............................................................26

- RAM tối thiểu 512 MB.........................................................................................26

- Tối thiểu 1 card mạng...........................................................................................26

- Đĩa cứng trống tối thiểu 150MB, định dạng NTFS...............................................26

- Hệ điều hành Windows Server 2003 SP 1 32 bit hoặc Windows Server 2003 SP 2

32 bit .......................................................................................................................26

- Băng thông Internet và cấu hình đề nghị tương ứng:.............................................26

- Băng thông: đến 25 Mbps.....................................................................................26

- CPU 3 đến 4 GHz..................................................................................................26

- RAM 512 MB.......................................................................................................26

- Card mạng: 10/100 Mbps......................................................................................26

- Số kết nối VPN đồng thời tối đa: 700....................................................................26

- Băng thông: đến 90 Mbps.....................................................................................26

- CPU: Dual core 2 đến 3 GHz................................................................................26



- RAM 2 GB............................................................................................................26

- Card mạng: 100/1000 Mbps..................................................................................26

- Số kết nối VPN đồng thời tối đa: 2000..................................................................26

3.5.2 Hoàn chỉnh bảng định tuyến (routing table)...................................................26

Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh

trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định ( default router )

hướng đến cổng (gateway) phù hợp và phải có đủ các mô hình mạng thông dụng,

định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên

card mạng mà ISA dùng để kết nối interner............................................................26

Theo nguyên tắc định tuyến, chỉ có thể có 1 default gateway khả dụng ( nghĩa là chỉ

có 1 định tuyến mặc định khả dụng ); vì thế, phải tạo phải tạo thêm các định tuyến

đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần

mạng trong nội bộ. Xin đơn cử một cấu trúc mạng đơn giản thông thường............27

3.5.3 Chú ý thông số DNS.......................................................................................27

Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năng phân

giải được các tên miền (DNS name) của nội bộ và của Internet. Để thoả yêu cầu

này, chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với

mạng nội bô - internal interface): ...........................................................................27

- Preferred DNS server: địa chỉ IP của máy chủ DNS nội bộ. (xem lại hình minh

hoạ)..........................................................................................................................27

- Alternate DNS server: địa chỉ IP của máy chủ DNS thứ hai (backup / secondary

DNS server) nội bộ..................................................................................................27

- Có thể tuỳ chọn tăng tốc phân giải bằng cách khai báo DNS forwarder trên máy

chủ DNS nội bộ.......................................................................................................27

Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên

của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu

trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ Internet (ISP).

Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này

sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậm chí bị thất bại.....27



Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS - nghĩa

là không có domain - thì thông số DNS được cấu hình trên card mạng nối Internet

(external interface) là địa chỉ IP máy chủ DNS của ISP..........................................27

3.5.4 Tinh chỉnh cấu hình external interface............................................................27

Để bảo đảm nhân viên bảo vệ - ISA - toàn tâm toàn ý với công việc của mình,

cần có một số quy định............................................................................................27

3.5.5 Cài ISA trên một máy chủ "sạch"...................................................................27

Cũng với mục tiêu "đào tạo" một nhân viên bảo vệ chuyên trách & để giúp nhân

viên này "vô cảm" trước "gợi ý" của những kẻ "bất chính", nên cài ISA trên một

máy sạch, nghĩa là chỉ có hệ điều hành như yêu cầu...............................................27

Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc chia sẻ hiệu suất

giành cho hoạt động định tuyến và chọn lọc thông tin............................................27

Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc gia tăng nguy cơ

chính ISA bị tấn công..............................................................................................27

Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain

Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller

cũng "tê liệt " nốt. ...................................................................................................27

3.5.6 Nên cài ISA trên stand-alone server hay domain member server?..................28

Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan hệ

luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông

qua ISA để "với tới" dịch vụ danh bạ động (Active Directory service) hay domain

controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được

domain user nếu không thông qua RADIUS server ................................................28

Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một

phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa "lộ trình" đến AD

của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ ... phức tạp hơn.. 28

Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên

domain member server. Khi cấu hình các rule với quyền của domain administrator,

có thể triển khai kiểm soát và chứng thực được domain user..................................28



Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật

với độ phức tạp cấu hình và ... túi tiền. Xét trên khả năng chặn lọc hữu hiệu của

ISA, đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn ... ngân quỹ

tức cài ISA trên domain member server..................................................................28

3.5.7 Những lưu ý rất quan trọng khi cài đặt...........................................................28

- Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có

thể truy cập Internet, nên chọn Review Release Notes và đọc release notes. Văn bản

này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta

không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham

khảo release notes, chọn Install ISA Server 2006....................................................28

- Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 không có phương thức cài

Firewall Client Installation Share trên ISA server. Do vậy, chỉ chọn Custom (trên

hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện

hành. Nếu không, chọn Next...................................................................................28

- Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ.

Giả sử hệ mạng có cấu trúc như ở đầu bài viết, cần phải khai báo 03 khoảng:

192.168.1.0 - 192.168.1.255, 192.168.2.0 - 192.168.2.255 và 192.168.3.0 -

192.168.3.255 (ISA tương thích RFC 1812). Nếu khai báo thiếu một phân đoạn

mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị

ISA xem như "người ngoài" (External). ISA xem Internal Network là một "vùng tin

cậy" (trusted zone) và dùng Internal Network trong các System Policy rule để phục

vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh

hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính

ISA..........................................................................................................................28

- Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encrypted

Firewall client connections" nếu trong LAN có các máy được cài các phiên bản

trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000.

Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi

đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006

trên các máy trạm....................................................................................................28



3.6 Cài đặt ISA 2006...............................................................................................29

Chọn Install ISA Server 2006..................................................................................29

> Chọn Next

................................................................................................................................. 29

Chọn Typical hay Custom đều được........................................................................30

................................................................................................................................. 30

>chọn Add...............................................................................................................30

................................................................................................................................. 30

Chọn card Internet là card bên trong mạng nội bộ........................................31

................................................................................................................................. 31

Next.........................................................................................................................31

................................................................................................................................. 31

> Next......................................................................................................................32

................................................................................................................................. 32

> Next......................................................................................................................32



................................................................................................................................. 32

Install

................................................................................................................................. 33

Chọn Finish để kết thúc quá trình cài đặt......................................................33

...............................................................................................................33

CHƯƠNG IV: THIẾT KẾ VÀ CẤU HÌNH VPN SITE TO SITE..........................34

4.1 Thiết kế mô hình VPN SITE TO SITE..............................................................34

4.1.1 Tình huống.....................................................................................................34

Một cơ quan có chi nhánh ở A, tất cả các dữ liệu, máy chủ như File server, Mail

server… đều đặt trụ sở B. Các nhân viên làm việc trực tiếp tại cơ quan B truy cập

vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên ở A,nhân viên đi công

tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm

lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những nhân viên này

truy cập vào hệ thống mạng một cách thuận lợi. ....................................................34

Đề tài này lấy bối cảnh là 2 chi nhánh của một công ty muốn chia sẻ tài nguyên với

nhau dựa trên cơ sở hạ tầng mạng Internet sẵn có của các nhà cung cấp dịch vụ.Giải

pháp để sử dụng cho trường hợp này là sử dụng VPN.............................................34

Mô hình VPN ở đây thường được gọi là VPN site to site. Đơn giản mà nói thì VNP

site to site cho phép người dùng từ chi nhánh bên A sử dụng được tài nguyên của

trụ sở B và ngược lại. (2 chinh nhánh A và trụ sở B là cách xa nhau về mặt địa lý.

................................................................................................................................. 34

Hơi khác với VPN client to site ở chỗ, mô hình VPN client to site cho phép từng

người dùng đơn lẻ từ các vị trí ngoài công ty (cơ quan, trụ sở) sử dụng tài khoản

VPN được cấp để kết nối tới công ty. Còn trong mô hình VPN site to site thì mỗi



chi nhánh cử ra một máy chủ để cung cấp và xác thực các tài khoản của người dùng

có được truy nhập hay không. Khi đó những người dùng ở site A có thể sử dụng tài

khoản VPN để sử dụng tài nguyên tại site B, đồng thời người dùng tại Site B cũng

có thể dùng tài khoản VPN được cấp để sử dụng tài nguyên ở site A.....................34

4.2 Phân tích và thiết kế...........................................................................................34

4.2.1 Thiết bị sử dụng..............................................................................................34

Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua

các đường truyền như Dial-up, ADSL….................................................................34

Trong công ty có các máy chủ như VPN server, Mail server, Web server…và kết

nối Internet qua Router ADSL.................................................................................34

4.2.2 Hệ điều hành và giao thức..............................................................................34

Hệ điều hành chủ yếu là Window Server 2003 .......................................................34

Giao thức dùng trong hệ thống mạng là TCP/IP......................................................34

Mô hình gồm có:.....................................................................................................34

Máy tính VPN Server cài hệ điều hành Windows Server 2003 Enterprise làm ISA

A.Máy 2 Card mạng IP như mô hình trên tương ứng với địa chỉ IP là 10.3.6.9(card

mạng ngoài) và 172.16.2.1( card mạng trong ). Cài ISA Server 2006 lên máy này.

Máy này đóng vai trò là Site B................................................................................34

.- Máy tính VPN Server cài hệ điều hành Windows Server 2003 Enterprise làm ISA

B.Máy 2 Card mạng IP như mô hình trên tương ứng với địa chỉ IP là 10.3.6.10(card

mạng ngoài) và 192.168.1.1( card mạng trong ). Cài ISA Server 2006 lên máy này.

Máy này đóng vai trò là Site A................................................................................35

- 1 máy tính Domain Controler cài hệ điều hành Windows Server 2003 Enterprise

làm client A. Nâng cấp lên Domain Controler với miền cit.udn.vn có địa chỉ IP là

172.16.2.2 Chạy DNS Server trên máy này.............................................................35

- 1 Máy Client B cài hệ điều hành Windows Server 2003 Enterprise. Máy này làm

máy client B. có địa chỉ IP là 192.168.1.2...............................................................35

4.3 Mô hình triển khai.............................................................................................35

................................................................................................................................. 35



Hình 28 Mô hình triển khai.....................................................................................35

4.4 Cấu hìnhVPN SITE TO SITE............................................................................36

4.4.1 Máy ISA A.....................................................................................................36

Máy ISA A cài window server 2003 có 2 card mạng với thông số như sau:...........36

................................................................................................................................. 36

Cài đặt ISA trên máy ISA A với thông số địa chỉ cho phần internal là 172.16.2.0/24

................................................................................................................................. 36

................................................................................................................................. 36

Sau khi cài đặt ISA trên máy server thì ta đứng ở máy client ping hay truy cập vào

máy server không được...........................................................................................36

................................................................................................................................. 37

Tuy nhiên với máy ISA A ping tới client thì rất tốt................................................37

................................................................................................................................. 37

................................................................................................................................. 37

Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng

chúng ta (172.16.2.0/24)..........................................................................................37

Bây giờ ta sẽ tiến hành cấu hình ISA sao cho các máy trong mạng có thể thấy

được nhau vào Start -> Programs -> Microsoft ISA Server -> ISA Server

Management............................................................................................................37

Nhấp phải vào Firewall Policy chọn New -> Access Rule......................................38

................................................................................................................................. 38

Đặt tên là Internal....................................................................................................38

................................................................................................................................. 38

Trong Rule Action chọn Allow...............................................................................38

Trong Protocol bạn chọn All outbound traffic và nhấp Next...................................38

Tại Access Rule Sources nhấp Add Chọn Internal trong thư mục Networks xong

nhấp Next................................................................................................................39

................................................................................................................................. 39



Tại Access Rule Destinations Add External vào rồi chọn Next.......................39

................................................................................................................................. 39

................................................................................................................................. 39

Chọn Next...............................................................................................................40

................................................................................................................................. 40

Trong Filrewall Policy ta thấy xuất hiện Rule Internal mới được tạo nhấp Apply để

thực thi Rule này.....................................................................................................40

................................................................................................................................. 40

Tại máy client A bật DNS lên sẽ thấy them host A của ISA...................................41

................................................................................................................................. 41

Ping thử cũng thấy rất tốt........................................................................................41

................................................................................................................................. 41

Đến đây chúng ta đã hoàn tất quá trình cài đặt ISA A và cấu hình cho các máy trong

mạng có thể ra được Internet...................................................................................41

4.4.2 Máy ISA B.....................................................................................................42

Chúng ta làm tương tự các bước như trên ISA A nhưng mạng của ISA B là

192.168.1.0/24 và được kết quả như sau:................................................................42

................................................................................................................................. 42

4.4.3 Tạo tài khoản trên 2 máy ISA_A và ISA_B...................................................42

Trước tiên để cho các Site có thể truy cập được với nhau thông qua VPN chúng ta

phải tạo tại mỗi Site một User và gán quyền Allow Remote Access cho User này, và

ta tạm gọi các User là VPN User. đây là tài khoản cho phép VPN..........................42

Nhấp phải vào My Computer chọn Manage và chọn Local Users and Groups........42

Nhấp phải vào Users để tạo tài khoản VPN.Trên máy ISA A tạo tài khoản là

siteB........................................................................................................................42

................................................................................................................................. 43

Và tương tự trên máy ISA B ta tạo tài khoản là siteA.............................................43



................................................................................................................................. 43

Chuột phải lần lượt vào 2 tài khoản siteA và siteB vừa tạo --> properties --> click

vào tab "Dial-in" và chọn như hình.........................................................................43

................................................................................................................................. 44

4.4.4 Cấu hình VPN site to site tại mạng 172.16.2.0/24..........................................44

Tại máy ISA A trong ISA Server chọn Virtual Private Networks (VPN) chọn tiếp

Tab Remote Sites.....................................................................................................44

Tiếp tục nhấp vào Create VPN Site-to-Site Connection .........................................44

................................................................................................................................. 44

Bạn nhập VPN User của mạng đối tác trong này chính là siteB..............................44

................................................................................................................................. 45

Chọn giao thức Point-to-Point Tunneling Protocol (PPTP).....................................45

................................................................................................................................. 45

Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ

này này chính là 10.3.6.10.......................................................................................46

................................................................................................................................. 46

Nhập chính xác VPN User của chính mạng mình vào cửa sổ Remote Authentication

................................................................................................................................. 46

................................................................................................................................. 46

Tiếp tục trong cửa sổ Network Addresses nhập nguyên dãy IP của mạng đối tác

vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng

đối tác......................................................................................................................47

................................................................................................................................. 47

Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule......................47

................................................................................................................................. 47

Enable tất cả mọi Port nên chọn là All outbound traffic..........................................48

................................................................................................................................. 48

Màn hình sau khi hoàn tất........................................................................................48

................................................................................................................................. 48



Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule.Ta phải

xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con

đường cho các truy cập từ site đối tác sang Internal Network của chúng ta............48

................................................................................................................................. 49

Chọn lại Firewall Policy ta sẽ thấy xuất hiện thêm một Access Rule mới đây chính

là quyền hạn đồng ý cho các truy cập từ site đối tác sang Internal Network của

chúng ta...................................................................................................................49

................................................................................................................................. 49

Như vậy để cho các VPN site truy cập được Internal Network với nhau trong ISA

Server của mỗi site phải tồn tại song song cả 2 Network Rule và Access Rule.......49

Tại ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN

ClientsMặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên

ta tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng

này...........................................................................................................................49

................................................................................................................................. 50

Check vào tùy chọn Enable VPN client access.lưu ý là giá trị trong ô Maximum

number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN

Client.......................................................................................................................50

như vậy đến đây chúng ta đã hoàn tất cấu hình VPN site to site nhất 172.16.2.0/24

................................................................................................................................. 50

................................................................................................................................. 50

Ở bước trên ta đã tạo ra remote site với tên là siteB bước tiếp theo ta cần thiết lập

thêm các thông số cần thiết như: add thêm site vừa tạo, nhập dải địa chỉ IP mà các

máy VPN được cấp theo các bước tiếp. ..................................................................51

Chuột phải vào Virtual Private Network chọn Properties xuất hiện cửa sổ dưới.

Chọn vào siteA vừa tạo > Apply > OK............................................................51

................................................................................................................................. 51

Tại tab Address Assignment chọn dải địa chỉ cấp phát khi các máy remote vào.....51

................................................................................................................................. 51



4.4.5 Cấu hình VPN site to site tại mạng 192.168.1.0/24........................................52

Các thao tác bạn làm tương tự như đã làm tại siteB (mạng 172.16.2.0/24).............52

Bạn nhập VPN User của mạng đối tác trong này chính là siteA..............................52

................................................................................................................................. 52

Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ

này này chính là 10.3.6.9.........................................................................................52

................................................................................................................................. 52


................................................................................................................................. 53

................................................................................................................................. 53

Tiếp tục trong cửa sổ Network Addresses ta nhập nguyên dãy IP của mạng đối tác

vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng

đối tác......................................................................................................................53

................................................................................................................................. 53

Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule......................54

................................................................................................................................. 54

Enable tất cả mọi Port nên chọn là All outbound traffic..........................................54

................................................................................................................................. 54

Màn hình sau khi hoàn tất........................................................................................55

................................................................................................................................. 55

Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule.Ta phải

xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con

đường cho các truy cập từ site đối tác sang Internal Network của chúng ta............55

................................................................................................................................. 55

................................................................................................................................. 55

Chọn lại Firewall Policy ta sẽ thấy xuất hiện thêm một Access Rule mới đây chính

là quyền hạn đồng ý cho các truy cập từ site đối tác sang Internal Network của

chúng ta...................................................................................................................56

................................................................................................................................. 56



Ta tiếp tục làm tương tự như mạng 172.16.2.0........................................................56

................................................................................................................................. 56

Check vào tùy chọn Enable VPN client access.lưu ý là giá trị trong ô Maximum

number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN

Client.......................................................................................................................56

Như vậy đến đây chúng ta đã hoàn tất cấu hình VPN site to site nhất 192.168.1.0/24

................................................................................................................................. 57

................................................................................................................................. 57

Ở bước trên ta đã tạo ra remote site với tên là siteB bước tiếp theo ta cần thiết lập

thêm các thông số cần thiết như: add thêm site vừa tạo, nhập dải địa chỉ IP mà các

máy VPN được cấp theo các bước tiếp. ..................................................................57

Chuột phải vào Virtual Private Network chọn Properties xuất hiện cửa sổ dưới. ...57

Chọn vào siteA vừa tạo > Apply > OK....................................................................57

................................................................................................................................. 57

Tại tab Address Assignment chọn dải địa chỉ cấp phát khi các máy remote vào.....58

................................................................................................................................. 58

Như vậy đến đây chúng ta đã hoàn chỉnh cấu hình VPN site to site tại mạng

192.168.1.0/24.........................................................................................................58

Để kiểm tra việc kết nối có thành công hay không ta vào phần Routing and remote

access, kiểm tra trên các interface, nếu cả hai bên ISA A và ISA B ở trạng thái

connected tức là đã thành công................................................................................58

Tại máy ISA A......................................................................................................58

................................................................................................................................. 58

Tại máy ISA B...........................................................59

................................................................................................................................. 59

Ping từ client A qua client B thành công.................................................................59

................................................................................................................................. 59

Và ngược lại từ client B ping qua client A.......................................60

................................................................................................................................. 60



..............................................................................................................60

Truy cập thành công Folder Shared.............................................60

................................................................................................................................. 60

................................................................................................................................. 61



DANH MỤC CÁC TỪ VIẾT TẮT

SỐ TT CỤM TỪ VIẾT TẮT01 Local Area Network LAN02 Metropolitan Area Network MAN03 Wide Area Network WAN04 Global Area Network GAN05 Advanced Research Projects Agency ARPA06 Transmission Control Protocol/Internet Protocol TCP/IP07 File Transfer Protocol FTP08 Wide Area Information Server/ Service WAIS09 World Wide Web WWW10 HyperText Markup Language HTML11 HyperText Transfer Protocol HTTP12 Uniform Resource Locator URL13 Mail User Agent MUA14 Message Transfer Agent MTA15 Software Defined Network SDN16 Virtual Private Network VPN17 Point of Presence POP18 Quality of Service QoS19 Internet Service Provider ISP20 Virtual Private Dial-up Network VPDN21 Enterprise Service Provider ESP22 Network Access Server NAS23 Point to Point Protocol PPP24 Layer 2 Forwarding L2F25 Point to Point Tunneling Protocol PPTP26 Layer 2 Tunneling Protocol L2TP27 Generic Routing Encapsulation GRE28 Internet Protocol Security IPSec29 Remote Authentication Dial-In User Service RADIUS30 Outlook Web Access OWA31 Lightweight Directory Access Protocol LDAP32 Remote Desktop Protocol RDP33 Secure Sockets Layer SSL34 Virtual private network VPN

35 Domain Name System DNS

36 demilitarized zone DMZ


http://www.google.com.vn/url?sa=t&source=web&cd=5&ved=0CF0QFjAE&url=http%3A%2F%2Fsearchsecurity.techtarget.com%2Fdefinition%2FSecure-Sockets-Layer-SSL&ei=SA7ETbKVEonuvQP4s5yyAQ&usg=AFQjCNFJGudq6MwG0AE0YUjRhFIWoLmEmA&sig2=XvSRcGCSyvxr8EbvEHRjxg


DANH MỤC CÁC HÌNH VẼ

SỐ TT TÊN HÌNH

01 Hình 1 Mô hình mạng cơ bản

02 Hình 2 Cấu trúc mạng dạng sao

03 Hình 3 Cấu trúc mạng dạng tuyến

04 Hình 4 Cấu trúc mạng dạng vòng

05 Hinh 5 Cấu trúc mạng dạng lưới

06 Hình 6 Mô hình mạng LAN

07 Hình 7 Mô hình mạng MAN

08 Hình 8 Mô hình mạng WAN

09 Hình 9 Cáp xoắn đôi STP

10 Hình 10 Cáp xoắn đôi UTP

11 Hình 11 Cáp đồng trục

12 Hình 12 Cáp quang

13 Hình 13 Firewall

14 Hình 14 Application level gateway

15 Hình 15 Circuit level gateway

16 Hình 16 Proxy Server Firewall

17 Hình 17 Mô hình mạng VPN cơ bản

18 Hình 18 Mô hình VPN truy cập từ xa

19 Hình 19 Mô hình VPN điểm nối điểm

20 Hình 20 Bộ xử lý trung tâm VPN Cisco 3000

21 Hình 21 Router Cisco

22 Hình 22 Bộ Cisco PIX Firewall

23 Hình 23 Mô hình Tunneling truy cập từ xa

24 Hình 24 Mô hình Tunneling điểm nối điểm

25 Hình 25 Giao thức PPTP

26 Hình 26 Giao thức L2TP

27 Hình 27 Giao thức IPSec

28 Hình 28 Mô hình triển khai


1 tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006

CHƯƠNG I : TỔNG QUAN MẠNG MÁY TÍNH

1.1 Khái niệm cơ bản

1.1.1 Định nghĩa

Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau.

Hình 1 Mô hình mạng cơ bản

1.1.2 Kiến trúc mạng

1.1.2.1 Cấu trúc mạng

Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nối vào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu đến trạm đích với phương thức kết nối là “điểm - điểm”.

Hình 2 Cấu trúc mạng dạng sao

Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều được nối vào một đường dây truyền chính (bus). Đường truyền chính này được giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một đầu nối chữ T (T_connector) hoặc một bộ thu phát (transceiver).



Hình 3 Cấu trúc mạng dạng tuyến

Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhau thành một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm có thể nhận và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một.

Hình 4 Cấu trúc mạng dạng vòng

Mạng dạng lưới (Mesh topology): một máy tính trong mạng có thể kết nối tới nhiều máy tính.

Hinh 5 Cấu trúc mạng dạng lưới

1.1.2.2 Cách thức truy cập mạng

Token Ring :được định nghĩa trong tiêu chuẩn IEEE 802.5. Mạng Token Ring có thể chạy ở tốc độ 4Mbps hoặc 16Mbps. Phương pháp truy cập dùng trong mạng Token Ring gọi là Token passing. Token passing là phương pháp truy nhập xác định, trong đó các xung đột được ngǎn ngừa bằng cách ở mỗi thời điểm chỉ một trạm có thể được truyền tín hiệu. Điều này được thực hiện bằng việc truyền một bó tín hiệu đặc biệt gọi là Token (mã thông báo) xoay vòng từ trạm này qua trạm khác. Một trạm chỉ có thể gửi đi bó dữ liệu khi nó nhận được mã không bận.

Broadcasting đề cập đến truyền một gói tin đó sẽ được nhận bằng mọi thiết bị trên mạng . Trong thực tế, phạm vi phát sóng được giới hạn trong một miền phát sóng . Phát sóng một thông báo là trái ngược với unicast giải quyết, trong đó tổ


http://translate.googleusercontent.com/translate_c?hl=vi&sl=en&tl=vi&u=http://en.wikipedia.org/wiki/Unicast&rurl=translate.google.com.vn&twu=1&usg=ALkJrhhazQCbxUXumWcsRxqGJAUuWOyP0A

http://translate.googleusercontent.com/translate_c?hl=vi&sl=en&tl=vi&u=http://en.wikipedia.org/wiki/Broadcast_domain&rurl=translate.google.com.vn&twu=1&usg=ALkJrhgU60oIAPEp1N_ggfsMBwo7Mr_yHg

http://translate.googleusercontent.com/translate_c?hl=vi&sl=en&tl=vi&u=http://en.wikipedia.org/wiki/Broadcast_domain&rurl=translate.google.com.vn&twu=1&usg=ALkJrhgU60oIAPEp1N_ggfsMBwo7Mr_yHg

http://translate.googleusercontent.com/translate_c?hl=vi&sl=en&tl=vi&u=http://en.wikipedia.org/wiki/Packet_(information_technology)&rurl=translate.google.com.vn&twu=1&usg=ALkJrhjm5djKpJhguapfS0FbNm1blZa-Pw


chức một gửi datagrams đến một máy chủ duy nhất xác định bằng một địa chỉ IP duy nhất.

Broadcasting là chủ yếu chỉ khu vực địa phương mạng (LAN), đặc biệt là Ethernet và Tocken Ring , nơi mà các tác động thực hiện phát sóng không phải là lớn vì nó sẽ được trong một mạng diện rộng .

1.1.3 Phân loại mạng

LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một khu vực bán kính hẹp thông thường khoảng vài trăm mét. Kết nối được thực hiện thông qua các môi trường truyền tốc độ cao, ví dụ cáp đồng trục hay cáp quang. LAN thường được sử dụng trong nội bộ một cơ quan/tổ chức…, các LAN có thể kết nối với nhau thành WAN.

Hình 6 Mô hình mạng LAN

MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm vi một thành phố. Kết nối này được thực hiện thông qua các môi trường truyền thông tốc độ cao (50-100 Mbit/s).

Hình 7 Mô hình mạng MAN

WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trong nội bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục. thông thường kết nối này được thực hiện thông qua mạng viễn thông. Các WAN có thể được kết nối với nhau thành GAN hay tự nó đã là GAN.


http://translate.googleusercontent.com/translate_c?hl=vi&sl=en&tl=vi&u=http://en.wikipedia.org/wiki/Wide_area_network&rurl=translate.google.com.vn&twu=1&usg=ALkJrhgUyfC1ic0q6_40vDwRKjl8gyW2LQ

http://translate.googleusercontent.com/translate_c?hl=vi&sl=en&tl=vi&u=http://en.wikipedia.org/wiki/Ethernet&rurl=translate.google.com.vn&twu=1&usg=ALkJrhhH0oGctLaGbQwUiebeSBTePdAjyw

http://translate.googleusercontent.com/translate_c?hl=vi&sl=en&tl=vi&u=http://en.wikipedia.org/wiki/Local_area_network&rurl=translate.google.com.vn&twu=1&usg=ALkJrhjKqW7tGov7ipuyfKli_yJ1OoYPew


Hình 8 Mô hình mạng WAN

GAN (Global Area Network) - Kết nối các máy tính từ các châu lục khác nhau. Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ tinh.

1.1.4 Phương tiện truyền dẫn

1.1.4.1 Cáp

Cáp xoắn đôi (Twisted pair cable)

- Dùng phổ biến cho mạng LAN.

- Có hai loại:

+ STP (Shield Twised Pair): cáp xoắn đôi bọc kim.

Hình 9 Cáp xoắn đôi STP

+ UTP (Unshield Twised Pair): cáp xoắn đôi không bọc kim.

Hình 10 Cáp xoắn đôi UTP



Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại là cáp dày (Thick cable) và cáp mỏng (Thin cable).

Hình 11 Cáp đồng trục

Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễu tốt.

Hình 12 Cáp quang

1.1.4.2 Thiết bị không dây

Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps.

Microwave: truyền dữ liệu với băng thông rộng hơn radio.

Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu.

1.1.5 Hệ điều hành mạng

Windows NT/2000: Windows NT la môt hê điêu hanh câp cao cua Windows cung câp cac thao tac hoan toan 32-bit trên cac hê thông đơn hay đa xư ly. Hê nây xây dưng săn cac đô an toan đap ưng đươc cac xêp loai cua chinh phu va hô trơ mang tôi ưu đê thi hanh cac ưng dung back-end cho rât nhiêu khach (client).

Đông thơi hê điêu hanh Windows NT đươc thiêt kê đăc biêt đê phuc vu nhưng nhu câu cua ngươi sư dung mang va cung câp hiêu năng lam viêc va đô an toan ơ câp cao.

LUNIX: Môt hê điêu hanh đươc dung trong nhiêu loai may tinh khac nhau, tư cac may tinh lơn cho đên cac may tinh ca nhân, no co kha năng đa nhiêm phu hơp môt cach ly tưong đôi vơi cac ưng dung nhiêu ngươi dung. UNIX đươc viêt băng ngôn ngư lâp trinh rât linh đông, ngôn ngư C va cung như C, đo la thanh qua nghiên cưu cua AT & T Bell Laboratories UNIX la môt môi trương lâp trinh toan diên, no diên đat môt triêt ly lâp trinh duy nhât. Tuy nhiên vơi hơn 200 lênh không kê cac thông bao lôi, va vơi nhưng cu phap lênh kho hiêu UNIX la môt ganh năng cho nhưng ngươi không quen sư dung va không gioi ky thuât. Vơi sư phat triên cac shell cua UNIX, hê điêu hanh nay co thê đong môt vai tro phô dung hơn trong điên toan.



Linux: Linux la hê điêu hanh “giông” Unix - 32 bit chay đươc trên nhiêu tram bao gôm cac bô xư ly Intel, SPARC, PowerPC va DEC Alpha cung như nhưng hê thông đa xư ly. Hê điêu hanh nây la miên phi, ban co thê tai no xuông tư web hay ban co thê mua môt quyên sach co chưa môt CD-ROM vơi toan bô hê điêu hanh như: “Linux: The Complete Reference” cua Richard Peterson (Berkeley, CA: Osborne/McGraw-Hill, 1996).

1.2 Các dịch vụ trên mạng INTERNET

1.2.1 Dịch vụ truy nhập từ xa

Telnet cho phép người sử dụng đăng nhập từ xa vào hệ thống từ một thiết bị đầu cuối nào đó trên mạng. Với Telnet người sử dụng hoàn toàn có thể làm việc với hệ thống từ xa như thể họ đang ngồi làm việc ngay trước màn hình của hệ thống. kết nối Telnet là một kết nối TCP dùng để truyền dữ liệu với các thông tin điều khiển.

1.2.2 Dịch vụ truyền tệp (FTP)

Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp dữ liệu giữa các máy tính khác nhau trên mạng. FTP hỗ trợ tất cả các dạng tệp, trên thực tế nó không quan tâm tới dạng tệp cho dù là tệp văn bản mã ASCII hay các tệp dữ liệu dạng nhị phân. Với cấu hình của máy phục vụ FTP, có thể quy định quyền truy cập của người sử dụng với từng thư mục lưu trữ dữ liệu, tệp dữ liệu cũng như giới hạn số lượng người sử dụng có khả năng cùng một lúc có thể truy nhập vào cùng một nơi lưu trữ dữ liệu.

1.2.3 Dịch vụ Gopher

Trước khi Web ra đời Gopher là dịch vụ rất được ưa chuộng. Gopher là một dịch vụ chuyển tệp tương tự như FTP, nhưng nó hỗ trợ người dùng trong việc cung cấp thông tin về tài nguyên. Client Gopher hiển thị một thực đơn, người dùng chỉ việc lựa chọn cái mà mình cần. kết qủa của việc lựa chọn được thể hiện ở một thực đơn khác.

Gopher bị giới hạn trong kiểu các dữ liệu. Nó chỉ hiển thị dữ liệu dưới dạng mã ASCII mặc dù có thể chuyển dữ liệu dạng nhị phân và hiển thị nó bằng một phần mềm khác.

1.2.4 Dịch vụ WAIS

WAIS (Wide Area Information Serves) là một dịch vụ tìm kiếm dữ liệu. WAIS thường xuyên bắt đầu việc tìm kiếm dữ liệu tại thư mục của máy chủ, nơi chứa toàn bộ danh mục của các máy phục vụ khác. Sau đó, WAIS thực hiện tìm kiếm máy phục vụ thích hợp nhất. WAIS có thể thực hiện công việc của mình với nhiều loại dữ liệu khác nhau như văn bản ASCII, GIF, điện thư…

1.2.5 Dịch vụ World Wide Web

World Wide Web (WWW hay Web) là một dịch vụ tích hợp, sử dụng đơn giản và có hiệu qủa nhất trên Internet. Web tích hợp cả FTP, WAIS, Gopher. Trình duyệt Web có thể cho phép truy nhập vào tất cả các dịch vụ trên.



Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText Markup Language) hay còn gọi là ngôn ngữ đánh dấu siêu văn bản. Siêu văn bản là văn bản bình thường cộng thêm một số lệnh định dạng. HTML có nhiều cách liên kết với các tài nguyên FTP, Gopher server và Web server. Web server là máy phục vụ Web, đáp ứng các yêu cầu về truy nhập tài liệu HTML. Web server trao đổi các tài liệu HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay còn gọi là giao thức truyền siêu văn bản.

Trình duyệt Web (Web client) là chương trình để xem các tài liệu Web. Trình duyệt Web gửi các URL đến máy phục vụ Web sau đó nhận trang Web từ máy phục vụ Web dịch và hiển thị chúng. Khi giao tiếp với máy phục vụ Web thì trình duyệt Web sử dụng giao thức HTTP. Khi giao tiếp với một Gopher server thì trình duyệt Web hoạt động như một Gopher client và sử dụng giao thức gopher. Trình duyệt Web có thể thực hiện các công việc khác nhau như ghi trang Web vào đĩa, gửi Email, hiển thị tệp HTTP nguồn của trang Web,…Hiện nay có hai trình duyệt Web được sử dụng nhiều nhất là Internet Explorer và Netscape, ngoài ra còn một số trình duyệt khác như Opera, Mozila,…

1.2.6 Dịch vụ thư điện tử (E mail)

Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụ thông dụng nhất trong mọi hệ thống mạng dù lớn hay nhỏ. Thư điện tử được sử dụng rộng rãi như một phương tiện giao tiếp hàng ngày trên mạng nhờ tính linh hoạt và phố biến của nó. Từ các trao đổi thư tín thông thường, thông tin quảng cáo, tiếp thị, đến những công văn, báo cáo hay kể cả những bản hợp đồng thương mại, chứng từ,…tất cả đều được trao đổi qua thư điện tử.

1.3 Cơ bản an toàn mạng

1.3.1 Các hiểm họa trên mạng

Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống.

1.3.1.1 Các lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.

1.3.1.2 Các lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.



1.3.1.3 Các lỗ hổng loại A

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống.

Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.

1.3.2 Các phương pháp tấn công trên mạng

1.3.2.1 Virus

Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và có thể phá hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus từ đối tượng bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng. Đối tượng bị nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản, macro…) và môi trường lan truyền bao gồm mạng, đường truyền và các loại bộ nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại khác nhau. Virus máy tính có nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm, Polymorphic, Hoaxes.

Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến hiện nay. Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác hại gây ra bởi virus là rất lớn và thật khó lường.

1.3.2.2 Treo cứng hệ thống

Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công qua những giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao thức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó, tấn công "ngập lụt" là kiểu tấn công phổ biến.

1.3.2.3 Từ chối dịch vụ

Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máy chủ bị nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật này còn được cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khi các cuộc tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹn trước vào cùng một thời điểm nên rất khó chống đỡ.

1.3.2.4 Lợi dụng chương trình

Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵn trong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ. Phần lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng.

1.3.2.5 Giả mạo địa chỉ IP

Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IP spoofing) cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến từ một địa chỉ IP khác với địa chỉ của hacker nhằm che đậy dấu vết. Kỹ thuật này kết hợp với các kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thông điệp.



1.3.3 Các phương pháp bảo mật

1.3.3.1 Xác thực (Authentication) là quá trình xử lý và giám sát người sử dụng trong quá trình logon hay truy cập bất kỳ vào tài nguyên mạng. Ta có thể xác thực bằng các phương pháp như sử dụng mật mã (password), khóa (key), dấu vân tay (fingerprints),…

1.3.3.2 Điều khiển truy cập (Access Control) giới hạn quyền truy cập của người dùng vào tài nguyên hệ thống và cho phép những ai có quyền truy cập vào.

1.3.3.3 Mã hóa dữ liệu (Data Encryption) nhằm mục đích không cho người khác đánh cắp dữ liệu. Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai có khóa trùng với khóa đó mới đọc được nội dung của dữ liệu gửi tới.

1.3.3.4 Chính sách (Auditing) nhằm mục đích quản lý người sử dụng trong hệ thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một số vấn đề khác.

1.4 FIREWALL và mạng VPN

1.4.1 Firewall

1.4.1.1 Khái niệm cơ bản

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng.

Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.

Hình 13 Firewall



1.4.1.2 Các kiểu firewall

Firewall dựa trên Application level gateway

Hình 14 Application level gateway

Cổng vòng (Circuit level gateway)

Hình 15 Circuit level gateway

Hình16 Proxy Server Firewall



1.4.2 Mạng VPN

1.4.2.1 Định nghĩa

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.

1.4.2.2 Thành phần: có 4 thành phần chính.

- VPN Server

- VPN Client

- Tunnel

- Public Network

1.4.2.3 Giao thức: VPN sử dụng các loại giao thức chủ yếu sau.

- Point to Point Protocol (PPP)

- Point to Point Tunneling Protocol (PPTP)

- Layer 2 Forwarding (L2F) protocol

- Layer 2 Tunneling Protocol (L2TP)

- IP Security (IPSec)

1.4.2.4 Kiểu VPN: có 3 kiểu VPN.

- Remote Access VPN

- Intranet VPN

- Extranet VPN



CHƯƠNG 2: TỔNG QUAN VỀ CÔNG NGHỆ VPN

2.1 Khái quát chung

2.1.1 Lịch sử hình thành và phát triển

Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng WAN. PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực hiện nối thông.

Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số chuyên dụng cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt.

Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùng cho nghiệp vụ dữ liệu.

Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của VPN trên toàn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng nhu cầu dịch vụ viễn thông quốc tế. Một số liên minh và công ty đa quốc gia cần có mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng. Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quả nhu cầu của số hộ khách này. Và so với đường dây trong nước, có thể tiết kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công ty hay



tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từ các mạng chuyên dùng đã được thiết lập sang sử dụng VPN. Một số hộ khách thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, như hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích là nhằm có thể đạt được tỷ lệ tính năng trên giá cả tốt nhất trong việc sử dụng nghiệp vụ VPN. Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay còn gọi là VPN toàn cầu (GPN), đã phát triển nhanh nhất.

2.1.2 Khái niệm VPN

Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian.

Hình17 Mô hình mạng VPN cơ bản

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.

Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp. Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng rẽ. Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng dùng riêng.


http://vnexpress.net/Search/?p=1&r=1&a=1&s=M%26%237841%3Bng%20ri%26%23234%3Bng%20%26%237843%3Bo


2.2 Phân loại VPN

Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng

2.2.1 VPN truy cập từ xa (Remote Access)

Remote Access, hay còn gọi là virtual private dial-up network (VPDN). Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến mạng cục bộ công ty bằng dial-up. Khi công ty muốn thiết lập Remote access trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công ty. Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL).

Hình 18 Mô hình VPN truy cập từ xa

2.2.2 VPN điểm nối điểm (Site to Site)

Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet. Site to Site VPN gồm 2 loại:

Các VPN nội bộ (Intranet VPN )

Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN.

Các VPN mở rộng ( Extranet VPN )



Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet).

Hình 19 Mô hình VPN điểm nối điểm

2.3 Sản phẩm công nghệ dành cho VPN

Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:

Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.

Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.

Server VPN cao cấp dành cho dịch vụ Dial-up.

NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa.

Mạng VPN và trung tâm quản lý.

2.3.1 Bộ xử lý trung tâm VPN

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).

Hình 20 Bộ xử lý trung tâm VPN Cisco 3000



2.3.2 Router dùngcho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn.

Hình 21 Router Cisco

2.3.3 Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp.

Hình 22 Bộ Cisco PIX Firewall

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.

2.4 Các yêu cầu cơ bản đối với một giải pháp VPN

2.4.1 Tính tương thích

Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ.



2.4.2 Tính bảo mật

Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:

Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền.

Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống.

2.4.3 Tính khả dụng

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên.

2.4.4 Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp khác nhau liên quan đến VPN.

2.5 Thiết lập kết nối TUNNEL

2.5.1 Các loại giao thức

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (Tunnel).

Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol).

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng.

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.



Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.

Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.

2.5.2 Kỹ thuật Tunneling trong mạng VPN

2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.

Hình 23 Mô hình Tunneling truy cập từ xa

2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.



Hình 24 Mô hình Tunneling điểm nối điểm

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.

2.6 Các giao thức sử dụng trong VPN

Hiện nay có ba giao thức chính dùng để xây dựng VPN là:

2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol)

Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã.

Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum. Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic. Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng. Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ.

Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn.

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.



Hình 25 Giao thức PPTP

2.6.2 Giao thức định đường hầm lớp 2 - L2TP (Layer 2 Tunneling Protocol)

Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000.

Hình 26 Giao thức L2TP

2.6.3 Giao thức bảo mật IP – Ipsec

Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000.

Hình 27 Giao thức IPSec



2.7 Lợi ích của VPN

2.7.1 Đối với khách hàng

Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng. Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng 60% so với chi phí của việc dùng kênh kết nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến.

+ Giảm thiểu thiết bị sử dụng và chi phí kênh kết nối đường dài

+ Giảm thiểu việc thiết kế và quản lý mạng.

+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng.

Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng. Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002.

2.7.2 Đối với nhà cung cấp dịch vụ

Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo.

Tăng hiệu quả sử dụng mạng Internet hiện tại.

Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn.

Ðầu tư không lớn hiệu quả đem lại cao.

Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN.

2.8 Ưu điểm và nhược điểm

2.8.1 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.f

Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung



Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp.

Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới.

Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP

2.8.2 Nhược điểm

Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN.

Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh…

QOS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn. Thường QoS trên Internet chỉ là best effort.

Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%.



CHƯƠNG III :TÌM HIỂU VỀ ISA 2006

3.1 Giới thiệu:

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share Internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm share Internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).Ngoài ra còn có rất nhiều tính năng khác nữa.

Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng. )

3.2 Tổng quan về ISA

3.2.1 So sánh ISA 2006 và ISA 2004

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server . Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế như:

- Phát triển hỗ trợ OWA, OMA ActiveSync và RPC/http Publishing

- Hỗ trợ SharePoint Portal Server

- Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listener.

- Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

Đặc điểm nổi bậc của bản 2006 so với bản 2004 là tính năng Pulishing và VPN

3.2.1.1 Về khả năng Pulishing Serviece

ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based , chống lại các người dùng bất hợp pháp vào trang web OWA, tính năng này được phát triển dưới dạng Add-ins . Cho phép Public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet ( kể cả Password ). Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server . Rất nhiều các Wizard cho phép người quản trị Public các Server nội bộ ra Internet một cách an toàn. Hỗ trợ các sản phảm mới như Exchange 2007.

3.2.1.2 Khả năng kết nối VPN

Cung cấp Wizard cho phép cấu hình tự động site to site VPN ở hai văn phòng riêng biệt ( tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được ). Tích hợp hoàn toàn Quanratine, Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,… Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hổ trợ PPTP, L2TP/IPSec, IPSec Tunnel site to site.



3.2.1.3 Backup và Restore đơn giản

Cho phép ủy quyền quản trị cho các User/Group Log và Report cực tốt. Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise). Khai báo thêm server vào array dễ dàng. Tích hợp với giải pháp quản lý của Microsoft: MOM SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này. Có các giải pháp hardware các tính năng khác. Hỗ trợ nhiều CPU và RAM max 32 node Network Loadbalancing. Hỗ trợ nhiều network, không cần đong đếm cài này, ăn đứt các loại khác. Route/NAT theo từng network Firewall rule đa dạng IDS Flood Resiliency HTTP compression Diffserv.

3.3 So sánh hai phiên bản ISA 2006

3.3.1 Standard Edition

ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình.

Với phiên bản này chúng ta có thể xây dựng firewall để:

- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty

- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp.

- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội sở.

- Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm ngăn ngừa sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống.

- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc độ kết nối Internet của mạng nội bộ.

Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration.

3.3.2 Enterprise Edition:

ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing.



3.3.3 So sánh giữa phiên bản Standard Edition và Enterprise Edition:

Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau.

Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard.

- Centralized storage of configuration data

Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt. Khi bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage server). Các storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server.(Bạn có thể cài ADAM lên máy khác ko có ISA hay cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẽ tự nhân bản (replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ như bạn muốn thay đổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồi vào một trong những storage server mà làm. Còn với bản Standard, bạn phải đến từng máy để cấu hình.

- Support for cache Array Routing Protocol ( CARP )

Bản Enterprise cho phép ta chia sẻ việc cache giữa một dãy các ISA với nhau. Với bản Enterprise, một dãy gồm nhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn luận lý bằng cách kết nối khả năng cache của tất cả các ISA lại với nhau. Để thực hiện tính năng này, ISA sử dụng CARP. Cơ chế như sau : khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy cache lại trang đó. Khi một máy client khác đi trang web khác, CARP chỉ định tiếp một máy ISA khác cache lại trang web. Cứ luân phiên như thế. Khi một client bất kì đi một trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó để trả về cho máy client. CARP giúp tối ưu hóa khả năng cache.

- Integration of Network Load Balancing – NLB ( Tích hợp cân bằng tải trên ISA )

NBL là một thành phần network có sẵn trong Windows 2000 Server và Windows Server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường truyền, tránh hiện tượng quá tải. NLB cũng là một hình thức backup, vì nếu có một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia. NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống.

Với bản Standard, bạn phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB được tích hợp vào ISA nên bạn có thể quản lý NLB từ ISA. Bạn có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor)NLB.



3.4 Về khả năng quản lý- Dễ dàng quản lý

- Rất nhiều Wizard

- Backup và Restore đơn giản.

- Cho phép ủy quyền quản trị cho các User/Group

- Log và Report cực tốt.

- Khai báo thêm server và array dễ dàng

- Tích hợp với giải pháp quản lý của Microsoft :MOM

-SDK

- Có các giải pháp hardware

3.5 Các vấn đề cần lưu ý khi cài đặt ISA 2006

3.5.1 Cấu hình máy chủ cần thiết

- CPU Intel hoặc AMD tối thiểu 773 MHz.

- RAM tối thiểu 512 MB

- Tối thiểu 1 card mạng

- Đĩa cứng trống tối thiểu 150MB, định dạng NTFS

- Hệ điều hành Windows Server 2003 SP 1 32 bit hoặc Windows Server 2003 SP 2 32 bit

- Băng thông Internet và cấu hình đề nghị tương ứng:

- Băng thông: đến 25 Mbps

- CPU 3 đến 4 GHz

- RAM 512 MB

- Card mạng: 10/100 Mbps

- Số kết nối VPN đồng thời tối đa: 700

- Băng thông: đến 90 Mbps

- CPU: Dual core 2 đến 3 GHz

- RAM 2 GB

- Card mạng: 100/1000 Mbps

- Số kết nối VPN đồng thời tối đa: 2000

3.5.2 Hoàn chỉnh bảng định tuyến (routing table)

Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định ( default router ) hướng đến cổng (gateway) phù hợp và phải có đủ các mô hình mạng thông dụng, định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên card mạng mà ISA dùng để kết nối interner.



Theo nguyên tắc định tuyến, chỉ có thể có 1 default gateway khả dụng ( nghĩa là chỉ có 1 định tuyến mặc định khả dụng ); vì thế, phải tạo phải tạo thêm các định tuyến đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần mạng trong nội bộ. Xin đơn cử một cấu trúc mạng đơn giản thông thường

3.5.3 Chú ý thông số DNS

Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năng phân giải được các tên miền (DNS name) của nội bộ và của Internet. Để thoả yêu cầu này, chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với mạng nội bô - internal interface):

- Preferred DNS server: địa chỉ IP của máy chủ DNS nội bộ. (xem lại hình minh hoạ).

- Alternate DNS server: địa chỉ IP của máy chủ DNS thứ hai (backup / secondary DNS server) nội bộ.

- Có thể tuỳ chọn tăng tốc phân giải bằng cách khai báo DNS forwarder trên máy chủ DNS nội bộ.

Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ Internet (ISP). Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậm chí bị thất bại.

Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS - nghĩa là không có domain - thì thông số DNS được cấu hình trên card mạng nối Internet (external interface) là địa chỉ IP máy chủ DNS của ISP.

3.5.4 Tinh chỉnh cấu hình external interface

Để bảo đảm nhân viên bảo vệ - ISA - toàn tâm toàn ý với công việc của mình, cần có một số quy định

3.5.5 Cài ISA trên một máy chủ "sạch"

Cũng với mục tiêu "đào tạo" một nhân viên bảo vệ chuyên trách & để giúp nhân viên này "vô cảm" trước "gợi ý" của những kẻ "bất chính", nên cài ISA trên một máy sạch, nghĩa là chỉ có hệ điều hành như yêu cầu.

Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc chia sẻ hiệu suất giành cho hoạt động định tuyến và chọn lọc thông tin.

Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc gia tăng nguy cơ chính ISA bị tấn công.

Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller cũng "tê liệt " nốt.



3.5.6 Nên cài ISA trên stand-alone server hay domain member server?

Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan hệ luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông qua ISA để "với tới" dịch vụ danh bạ động (Active Directory service) hay domain controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được domain user nếu không thông qua RADIUS server

Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa "lộ trình" đến AD của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ ... phức tạp hơn.

Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên domain member server. Khi cấu hình các rule với quyền của domain administrator, có thể triển khai kiểm soát và chứng thực được domain user.

Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật với độ phức tạp cấu hình và ... túi tiền. Xét trên khả năng chặn lọc hữu hiệu của ISA, đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn ... ngân quỹ tức cài ISA trên domain member server.

3.5.7 Những lưu ý rất quan trọng khi cài đặt

- Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có thể truy cập Internet, nên chọn Review Release Notes và đọc release notes. Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham khảo release notes, chọn Install ISA Server 2006.

- Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 không có phương thức cài Firewall Client Installation Share trên ISA server. Do vậy, chỉ chọn Custom (trên hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện hành. Nếu không, chọn Next.

- Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ. Giả sử hệ mạng có cấu trúc như ở đầu bài viết, cần phải khai báo 03 khoảng: 192.168.1.0 - 192.168.1.255, 192.168.2.0 - 192.168.2.255 và 192.168.3.0 - 192.168.3.255 (ISA tương thích RFC 1812). Nếu khai báo thiếu một phân đoạn mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị ISA xem như "người ngoài" (External). ISA xem Internal Network là một "vùng tin cậy" (trusted zone) và dùng Internal Network trong các System Policy rule để phục vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính ISA.

- Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encrypted Firewall client connections" nếu trong LAN có các máy được cài các phiên bản trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000. Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006 trên các máy trạm



3.6 Cài đặt ISA 2006

Chọn Install ISA Server 2006

> Chọn Next



Chọn Typical hay Custom đều được

>chọn Add



Chọn card Internet là card bên trong mạng nội bộ

Next



> Next

> Next



Install

Chọn Finish để kết thúc quá trình cài đặt



CHƯƠNG IV: THIẾT KẾ VÀ CẤU HÌNH VPN SITE TO SITE4.1 Thiết kế mô hình VPN SITE TO SITE

4.1.1 Tình huống

Một cơ quan có chi nhánh ở A, tất cả các dữ liệu, máy chủ như File server, Mail server… đều đặt trụ sở B. Các nhân viên làm việc trực tiếp tại cơ quan B truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên ở A,nhân viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những nhân viên này truy cập vào hệ thống mạng một cách thuận lợi.

Đề tài này lấy bối cảnh là 2 chi nhánh của một công ty muốn chia sẻ tài nguyên với nhau dựa trên cơ sở hạ tầng mạng Internet sẵn có của các nhà cung cấp dịch vụ.Giải pháp để sử dụng cho trường hợp này là sử dụng VPN.

Mô hình VPN ở đây thường được gọi là VPN site to site. Đơn giản mà nói thì VNP site to site cho phép người dùng từ chi nhánh bên A sử dụng được tài nguyên của trụ sở B và ngược lại. (2 chinh nhánh A và trụ sở B là cách xa nhau về mặt địa lý.

Hơi khác với VPN client to site ở chỗ, mô hình VPN client to site cho phép từng người dùng đơn lẻ từ các vị trí ngoài công ty (cơ quan, trụ sở) sử dụng tài khoản VPN được cấp để kết nối tới công ty. Còn trong mô hình VPN site to site thì mỗi chi nhánh cử ra một máy chủ để cung cấp và xác thực các tài khoản của người dùng có được truy nhập hay không. Khi đó những người dùng ở site A có thể sử dụng tài khoản VPN để sử dụng tài nguyên tại site B, đồng thời người dùng tại Site B cũng có thể dùng tài khoản VPN được cấp để sử dụng tài nguyên ở site A.

4.2 Phân tích và thiết kế

4.2.1 Thiết bị sử dụng

Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua các đường truyền như Dial-up, ADSL…

Trong công ty có các máy chủ như VPN server, Mail server, Web server…và kết nối Internet qua Router ADSL.

4.2.2 Hệ điều hành và giao thức

Hệ điều hành chủ yếu là Window Server 2003

Giao thức dùng trong hệ thống mạng là TCP/IP.

Mô hình gồm có:

- Máy tính VPN Server cài hệ điều hành Windows Server 2003 Enterprise làm ISA A.Máy 2 Card mạng IP như mô hình trên tương ứng với địa chỉ IP là 10.3.6.9(card mạng ngoài) và 172.16.2.1( card mạng trong ). Cài ISA Server 2006 lên máy này. Máy này đóng vai trò là Site B



.- Máy tính VPN Server cài hệ điều hành Windows Server 2003 Enterprise làm ISA B.Máy 2 Card mạng IP như mô hình trên tương ứng với địa chỉ IP là 10.3.6.10(card mạng ngoài) và 192.168.1.1( card mạng trong ). Cài ISA Server 2006 lên máy này. Máy này đóng vai trò là Site A.

- 1 máy tính Domain Controler cài hệ điều hành Windows Server 2003 Enterprise làm client A. Nâng cấp lên Domain Controler với miền cit.udn.vn có địa chỉ IP là 172.16.2.2 Chạy DNS Server trên máy này.

- 1 Máy Client B cài hệ điều hành Windows Server 2003 Enterprise. Máy này làm máy client B. có địa chỉ IP là 192.168.1.2.

4.3 Mô hình triển khai

Hình 28 Mô hình triển khai



4.4 Cấu hìnhVPN SITE TO SITE

4.4.1 Máy ISA A

Máy ISA A cài window server 2003 có 2 card mạng với thông số như sau:

Cài đặt ISA trên máy ISA A với thông số địa chỉ cho phần internal là 172.16.2.0/24

Sau khi cài đặt ISA trên máy server thì ta đứng ở máy client ping hay truy cập vào máy server không được.



Tuy nhiên với máy ISA A ping tới client thì rất tốt

Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta (172.16.2.0/24)

Bây giờ ta sẽ tiến hành cấu hình ISA sao cho các máy trong mạng có thể thấy được nhau vào Start -> Programs -> Microsoft ISA Server -> ISA Server Management



Nhấp phải vào Firewall Policy chọn New -> Access Rule

Đặt tên là Internal

Trong Rule Action chọn Allow

Trong Protocol bạn chọn All outbound traffic và nhấp Next



Tại Access Rule Sources nhấp Add Chọn Internal trong thư mục Networks xong nhấp Next.

Tại Access Rule Destinations Add External vào rồi chọn Next



Chọn Next

Trong Filrewall Policy ta thấy xuất hiện Rule Internal mới được tạo nhấp Apply để thực thi Rule này



Tại máy client A bật DNS lên sẽ thấy them host A của ISA

Ping thử cũng thấy rất tốt.

Đến đây chúng ta đã hoàn tất quá trình cài đặt ISA A và cấu hình cho các máy trong mạng có thể ra được Internet.



4.4.2 Máy ISA B

Chúng ta làm tương tự các bước như trên ISA A nhưng mạng của ISA B là 192.168.1.0/24 và được kết quả như sau:

4.4.3 Tạo tài khoản trên 2 máy ISA_A và ISA_B

Trước tiên để cho các Site có thể truy cập được với nhau thông qua VPN chúng ta phải tạo tại mỗi Site một User và gán quyền Allow Remote Access cho User này, và ta tạm gọi các User là VPN User. đây là tài khoản cho phép VPN.

Nhấp phải vào My Computer chọn Manage và chọn Local Users and Groups

Nhấp phải vào Users để tạo tài khoản VPN.Trên máy ISA A tạo tài khoản là siteB



Và tương tự trên máy ISA B ta tạo tài khoản là siteA

Chuột phải lần lượt vào 2 tài khoản siteA và siteB vừa tạo --> properties --> click vào tab "Dial-in" và chọn như hình



4.4.4 Cấu hình VPN site to site tại mạng 172.16.2.0/24

Tại máy ISA A trong ISA Server chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites

Tiếp tục nhấp vào Create VPN Site-to-Site Connection

Bạn nhập VPN User của mạng đối tác trong này chính là siteB



Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)



Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ này này chính là 10.3.6.10.




Tiếp tục trong cửa sổ Network Addresses nhập nguyên dãy IP của mạng đối tác vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng

đối tác.

Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule



Enable tất cả mọi Port nên chọn là All outbound traffic

Màn hình sau khi hoàn tất

Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule.Ta phải xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con đường cho các truy cập từ site đối tác sang Internal Network của chúng ta



Chọn lại Firewall Policy ta sẽ thấy xuất hiện thêm một Access Rule mới đây chính là quyền hạn đồng ý cho các truy cập từ site đối tác sang Internal Network của chúng ta

Như vậy để cho các VPN site truy cập được Internal Network với nhau trong ISA Server của mỗi site phải tồn tại song song cả 2 Network Rule và Access Rule.

Tại ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN ClientsMặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên



ta tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này.

Check vào tùy chọn Enable VPN client access.lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Client.

như vậy đến đây chúng ta đã hoàn tất cấu hình VPN site to site nhất 172.16.2.0/24



Ở bước trên ta đã tạo ra remote site với tên là siteB bước tiếp theo ta cần thiết lập thêm các thông số cần thiết như: add thêm site vừa tạo, nhập dải địa chỉ IP mà các máy VPN được cấp theo các bước tiếp.

Chuột phải vào Virtual Private Network chọn Properties xuất hiện cửa sổ dưới. Chọn vào siteA vừa tạo > Apply > OK

Tại tab Address Assignment chọn dải địa chỉ cấp phát khi các máy remote vào



4.4.5 Cấu hình VPN site to site tại mạng 192.168.1.0/24

Các thao tác bạn làm tương tự như đã làm tại siteB (mạng 172.16.2.0/24)

Bạn nhập VPN User của mạng đối tác trong này chính là siteA

Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng đối tác trong ví dụ này này chính là 10.3.6.9




Tiếp tục trong cửa sổ Network Addresses ta nhập nguyên dãy IP của mạng đối tác vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng đối tác.



Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule

Enable tất cả mọi Port nên chọn là All outbound traffic



Màn hình sau khi hoàn tất

Tiếp tục chọn Networks trong Configuration chọn tiếp Tab Network Rule.Ta phải xác nhận rằng trong này xuất hiện thêm một Network Rule mới đây chính là con đường cho các truy cập từ site đối tác sang Internal Network của chúng ta



Chọn lại Firewall Policy ta sẽ thấy xuất hiện thêm một Access Rule mới đây chính là quyền hạn đồng ý cho các truy cập từ site đối tác sang Internal Network của chúng ta

Ta tiếp tục làm tương tự như mạng 172.16.2.0.

Check vào tùy chọn Enable VPN client access.lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Client.



Như vậy đến đây chúng ta đã hoàn tất cấu hình VPN site to site nhất 192.168.1.0/24

Ở bước trên ta đã tạo ra remote site với tên là siteB bước tiếp theo ta cần thiết lập thêm các thông số cần thiết như: add thêm site vừa tạo, nhập dải địa chỉ IP mà các máy VPN được cấp theo các bước tiếp.

Chuột phải vào Virtual Private Network chọn Properties xuất hiện cửa sổ dưới.

Chọn vào siteA vừa tạo > Apply > OK



Tại tab Address Assignment chọn dải địa chỉ cấp phát khi các máy remote vào

Như vậy đến đây chúng ta đã hoàn chỉnh cấu hình VPN site to site tại mạng 192.168.1.0/24

Để kiểm tra việc kết nối có thành công hay không ta vào phần Routing and remote access, kiểm tra trên các interface, nếu cả hai bên ISA A và ISA B ở trạng thái connected tức là đã thành công.

Tại máy ISA A



Tại máy ISA B

Ping từ client A qua client B thành công



Và ngược lại từ client B ping qua client A

Truy cập thành công Folder Shared


tìm hiểu isa 2006 và triển khai hệ thống vpn site to site trên isa 2006

Documents