Triển Khai Hệ Thống IPSec/VPN
An Toàn Thông Tin Cho Remote User
Bảo mật thông tin là một vấn đề được rất nhiều người quan tâm, theo đánh giá của IDG
thì nhu cấu về các chuyên gia bảo mật sẽ bùng nổ trong năm 2006, vì vậy để nâng cao
khả năng nắm bắt cơ hội ngề nghiệp thì các bạn trẻ, sinh viên cần trang bị cho mình
những kiến thức tốt cho vấn đề bảo mật thông tin. Đặt biệt là lĩnh vực IPSec/VPN - một
trong những chủ đề thường được đề cập trong các cuộc phỏng vấn.
Hiện nay, phần lớn các công ty chưa có một hệ thống bảo mật chuyên nghiệp và chặt chẽ
cho tổ chức củamình, phần lớn là do điều kiện chi phí và chưa nhận thức rõ các mối nguy
hiểm từ các nhân tố bên ngòai như virus, haacker/attacker và cả những mối nguy hiểm
nội bộ như sniffer attacker Vì vậy hầu hết đều dừng lại ở việc trang bị cho mình các hệ
thống Anti Virus và xây dựng các bức tường lữa (firewall). Trong khi đó nhu cầu truy
cập và quản lý dữ liệu từ xa thông qua các kết nối remote access thường ít được quan tâm
và ứng dụng. Vì vậy trong chuyên mục hôm nay tôi sẽ trình bày một giải pháp đáp ứng
các nhu cầu chia sẽ dữ liệu, cập nhật thông tin và sử dụng/quản lý ứng dụng từ xa thông
qua kết nối VPN với cơ chế mã hóa dựa trên giao thức IPSec.
IPSEC/VPN LÀ GÌ – TẠI SAO CẦN CÓ IPSEC/VPN
1.VPN
VPN (virtual private network) là công nghệ xây dựng một hệ thống mạng riêng ảo nhằm
đáp ứng nhu cầu bảo mật trong việc chia sẽ thông tin và tiết kiệm chi phí. Thông thường,
để hổ trợ cho các nhân viên truy cập vào tài nguyên của tổ chức các doanh nghiệp thường
xây dựng các hệ thống Remote Access quay số dựa trên hệ thống điện thọai, điều này sẽ
làm cho chi phí dial-up tăng lên khi người dùng phải truy cập dữ liệu ở những vùng cách
xa nhau, vì vậy chúng ta nên triển khai hệ thống các VPN để giảm thiểu chi phí này và
nâng cao độ an tòan trong quá trình truy cập ứng dụng.
Ví dụ trong một công ty, quá trình truy cập giữa các nhân viên trong bộ phận kinh doanh
cần được bảo đảm an tòan, và các nhân viên của những phòng ban khác không có thẩm
quyền sẽ không được tương tác vào dữ liệu truyền của bộ phận kinh doanh. Hoặc chúng
ta muốn hổ trợ cho các nhânviên marketing, chuyên viên quản trị hệ thống có thể truy cập
vào tài nguyên chia sẽ Sale Reports để báo cáo kết quả họat động, truy cập vào máy tính
các nhân của mình trong văn phòng từ bên ngòai công ty hay ở nhà hoặc hổ trợ các

- TRANSPORT MODE
Và trong quá trìnhchứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một trong hai
hoặc cả 2 giao thức bảo mật sau đây:
- AH : Athentication Header, trong trường hợp này header của packet sẽ được mã hóa và
bảo vệ chặt chẽ phòng chống các trường hợp ip spoofing hay man in the midle attack, tuy
nhiên trong trường hợp này phần data payload không được bảo vệ
- ESP: Encapsulation Payload, khi áp dụng esp thì nội dung của dữ liệu (phần payload) sẽ
được mã hóa, ngăn chặn các trường hợp hacker/attacker đặtcác chương trình nghe lén và
chặn bắt dữ liệu trong quá trình truyền thông, nhằm đảm bảo tính riêng tư của dữ liệu. Vì
vậy trường hợp này rất hay được áp dụng, nhưng nếu muốn bảo vệ luốn cả phần header
của packet thì chúng ta phải kết hợp cả 2 giao thức AH và ESP.
3. Triển khai IPSEC/VPN trên hệ thống Windwos Server 2003 cho công ty Green Lizard
Books
a. step 1: Xây dựng hệ thống domain controler cho công ty
(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)
b. step 2 : join srv-1 (vpn server) vào domain
(join_srv-1_server_to_domain.avi)
c. step 3 : cài đặt VPN server trên srv-1
(install_vpn_server_on_srv-1.avi)
d. step 4 : Thiết lập kết nối cho VPN Client Client-1 và conect đến VPN Server
(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)
e. step 5 : join VPN Client Client-1 vào domain
(join-vpn-client-1-to-greenlizardbooks_domain.avi)
f. step 6 : Yêu cầu cấp phát Chúng chỉ điện tử (certificate) cho VPN Server và Client
dùng để chứng thực và mã hóa.
(request_certificate_for_vpn_server_and_client.avi )
g. step 7 : Thiết lập kết nối VPN dựa trên giao thức L2TP/IPSEC
(establish_L2TP_VPN_connection.avi)