Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
1. TỔNG QUAN
Dịch vụ truy cập từ xa cho phép người dùng từ xa có thể truy cập từ một
máy tính qua môi trường mạng truyền dẫn đến một mạng riêng như thể
máy tính đó được kết nối trức tiếp trong mạng đó. Người dùng từ xa kết
nối tới mạng thông qua một máy chủ dịch vụ gọi là máy chủ truy cập
(Access server). Khi đó người dùng từ xa có thể sử dụng tài nguyên trên
mạng như là một máy tình kết nối trực tiếp trên mạng đó. Dịch vụ truy cập
từ xa cũng tạo lập một kết nối WAN thông qua các mạng phương tiện
truyền dẫn giá thành thấp như mạng thoại công cộng. Dịch vụ truy cập từ
xa cũng là cầu nối để một máy tính hay một mạng máy tính thông qua nó
được nối đến internet theo cách được coi là hợp lý với chi phí không cao,
phù hợp với các doanh nghiệp, tổ chức với quy mô vừa và nhỏ. Khi lựa
chọn và thiết kế giải pháp truy cập từ xa, cần quan tâm tới vấn đề sau

Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
1. TỔNG QUAN
-
Số lượng kết nối tối đa có thể phục vụ người dùng từ xa
-
Các nguồn tài nguyên mà người dùng từ xa muốn truy cập
-
Công nghệ, phương thức và thông lượng kết nối
-
Các phương thức an toàn cho truy cập từ xa, phương thức xác thực
người dùng, phương thức mã hoá dữ liệu
-
Các giao thức mạng sử dụng để kết nối


Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
2. KẾT NỐI TRUY CẬP TỪ XA
Cơ chế làm việc của PPP:
-
Để thiết lập truyền thông mỗi đầu cuối của liên kết PPP phải gửi các gói
LCP (link control protocol) để thiết lập và kiểm tra liên kết dữ liệu
-
PPP gửi các gói NCP (network control protocol) để lựa chọn hoặc cấu
hình một hoặc nhiều giao thức lớp mạng
-
Liên kết tồn tại cho tới khi các gói LCP hoặc NCP đóng kết nối hoặc đến
khi một sự kiện bên ngoài xải ra

Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
2. KẾT NỐI TRUY CẬP TỪ XA
PPP có nhiều tính năng giúp nó mềm dẻo và linh hoạt:
-
Ghép nối với các giao thức lớp mạng
-
Lập cấu hình liên kết
-
Kiểm tra chất lượng liên kết
-
Nhận thực
-
Nén các thông tin kết đầu
-

Phương thức xác thực có thể được sử dụng với các hình thức kiểm tra
cơ sở dữ liệu địa phương (lưu trữ các thông tin về username và pass
ngay trên mày chủ). Hoặc là gửi các yêu cầu xác thực tới một server khác
để xác thực thường là các RADIUS server
-
Sau khi kiểm tra các thông tin gửi lại từ địa phương hoặc từ Radius
server. Nếu hợp lệ tiến trình PPP sẽ khởi tạo một kết nối, nếu không yêu
cầu của kết nối sẽ bị từ chối
-Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
3. AN TOÀN TRONG TRUY NHẬP TỪ XA
3.1 Các phương thức xác thực kết nối
Giao thức xác thực PAP:
-
Phương thức xác thực kết nối không an toàn, nếu sử dụng một chương
trình phân tích gói tin ta sẽ nhìn thấy username và pass dưới dạng đọc
được. Thông tin không được mã hoã -> đợc được
Giao thức xác thực CHAP
-
Sau khi thoả thận giao thức xác thực CHAP trên liên kết PPP giữa các
đầu cuối, máy chủ truy cập gửi một “chanllenge” tới người dùng từ xa.
Người dùng từ xa phúc đáp lại một giá trị được tính toán sử dụng tiến
trình xử lý một chiều (hash), máy chủ truy cập kiểm tra và so sánh thông
tin phúc đáp với giá trị hash mà nó vừa tính được. Nếu gía trị bằng nhau,
xác thực thành công, ngược lại kết nối sẽ bị huỷ bỏ.
-
Chap cung cấp cơ chế an toàn thông qua việc sử dụng giá trị chanllenge

3.1 Các phương thức mã hoá dữ liệu
Dịch vụ truy cập từ xa cung cấp cơ chế an toàn bằng việc mã hoá và giải
mã dữ liệu truyền giữa người dùng truy cập từ xa và máy chủ truy cập:
-
Phương pháp mã hoá đối xứng: thông tin ở dạng đọc được, được mã
hoá sử dụng khoá bí mật tạo thành thông tin đã được mã hoá. ở phía
nhận, thông tin mã hoá được giải mã cùng với khoá bí mật thành dạng
gốc ban đầu. Yếu điểm: cần trao đổi khoá bí mật -> dể lộ khoá bí mật
-
Phương pháp mã hoá phi đối xứng: Sử dụng một cặp khoá. Một khoá
công khai và một khoá bí mật có quan hệ toán học với nhau. Khoá bí mật
không cần trao đổi trên mạng, khoá công khai mọi. Thông tin được mã
hoá bằng khoá công khai chỉ có thể giải mã bằng khoá bí mật tương ứng. Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
4. TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA
4.1 Kết nối gọi vào và kết nối gọi ra
Cấu hình máy chủ truy cập để tạo lập các kết nối gọi vào cho phép người
dùng từ xa truy cập vào mạng. Các thông số cơ bản thường được cấu
hình khi tạo lập các kết nối gọi vào bao gồm các phương thức xác thực
người dùng mã hoá hay không mã hoá dữ liệu Các phương thức mã hoá
dữ liệu nếu yêu cầu, các giao thức mạng sẽ được sử dụng cho truy cập
từ xa, mức độ được phép truy cập như thế nào.
Kết nối gọi ra có thể được thiết lập để gọi ra tới một mạng dùng riêng hoặc
tới một ISP. Trong Window 2000 hỗ trợ các hình thức kết nối sau:

Nối tới mạng dùng riêng: ta phải cung cấp số điện thoại nơi sẽ kết nối đến


đang nối đến máy chủ truy cập. Bộ chính sách điều kiện đầu tiên này
tương ứng với các thông số của yêu cầu kết nối gọi đến được xử lý đối
với sự cho phép truy cập và cấu hình.

Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
4. TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA
4.2 Các chính sách thiết lập cho dịch vụ truy nhập từ xa
Sự cho phép (Permission): Các kết nối truy nhập từ xa được cho phép và
gán trực tiếp tới mỗi người dùng bởi các thiết đặt trong các chính sách truy
nhập từ xa. Ví dụ một chính sách có thể gán tất cả người dùng trong một
nhóm nào đấy quyền truy cập chỉ trong giờ làm việc hành chính từ 8:00
A.M đến 5:00 P.M, hay đồng thời gán cho một nhóm người dùng khác
quyền truy cập liên tục 24/24.
Profile: Mỗi chính sách đều bao gồm một thiết đặt của profile áp dụng
cho kết nối như là các thủ tục xác thực hay mã hóa. Các thiết đặt trong
profile
được thi hành ngay tới các kết nối. Ví dụ: nếu một profile thiết đặt cho một
kết
nối mà người dùng chỉ được phép sử dụng trong 30 phút mỗi lần thì người
dùng sẽ bị ngắt kết nối tới máy chủ truy cập trong sau 30 phút.
Quá trình thực thi các chính sách truy cập từ xa được mô tả bằng hình
dưới

Chương 7:
DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS)
4. TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA
4.2 Các chính sách thiết lập cho dịch vụ truy nhập từ xa

Chương 7: