Triển khai hệ thống IPSec/VPN trên Windows Server 2003
ID: A0601_111
Thực hiện: Nguyễn Trần Tường Vinh

32550

[ Đóng ]
Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng dụng ngày
càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn thông tin nên các
công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa. Bài viết này
trình bày giải pháp truy cập từ xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức
IPSec nhằm đảm bảo an toàn thông tin.
VPN
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu
chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng,
người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương
thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông
qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ
liệu.
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa
những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và
đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng
tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những
khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.
Các tình huống thông dụng của VPN:
- Remote Access: Đáp ứng nhu cầu truy cập dữ
liệu và ứng dụng cho người dùng ở xa, bên ngoài
công ty thông qua Internet. Ví dụ khi người dùng
muốn truy cập vào cơ sở dữ liệu hay các file
server, gửi nhận email từ các mail server nội bộ
của công ty.

Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật. Có
nhiều giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP
tỏ ra hiệu quả và tiết kiệm chi phí trong quá trình triển khai.
Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo
mật sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống các trường hợp
"ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin
chính không được bảo vệ
- ESP (Encapsulating Security Payload): Nội dung thông
tin được mã hóa, ngăn chặn các trường hợp hacker đặt
chương trình nghe lén và chặn bắt dữ liệu trong quá trình
truyền. Phương thức này rất hay được áp dụng, nhưng
nếu muốn bảo vệ luôn cả phần header của gói tin thì phải
kết hợp cả 2 giao thức AH và ESP.
IPSec/VPN trên Windows Server 2003
Chúng ta tham khảo tình huống thực tế của công ty Green
Lizard Books, một công ty chuyên xuất bản và phân phối
văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh
trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File
Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ
liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa
chặt chẽ để nâng cao độ an toàn của dữ liệu.
Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho quá trình kết nối và
truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN
Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết
nối với các tài nguyên nội bộ của công ty.
Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1 card mạng kết
nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải
sử dụng kết hợp với các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên
ngoài (Internet).