Triển khai hệ thống IPSec/VPN trên Windows Server 2003
Ngu
ồn : quantrimang.com 
Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử
dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn
đề bảo mật và an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ
của mình để cho phép nhân viên truy cập từ xa. Bài viết này trình bày giải pháp
truy cập từ xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao
thức IPSec nhằm đảm bảo an toàn thông tin.

VPN

VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo
nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí.
Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng
phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức
này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông
với nhau thông qua một môi trường chia sẻ
như mạng Internet nhưng vẫn đảm
bảo được tính riêng tư và bảo mật dữ liệu.

Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một
header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy
truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên
các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bả
o mật
trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với
những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.

Các tình huống thông dụng của VPN:


đây:

- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép
người dùng hợp lệ kết nối và truy cập hệ thống VPN.

- Address Management: cung cấp địa chỉ
IP hợp lệ cho người dùng sau khi gia
nhập hệ thống VPN để có thể truy cập
tài nguyên trên mạng nội bộ.

- Data Encryption: cung cấp giải pháp
mã hoá dữ liệu trong quá trình truyền
nhằm bảo đảm tính riêng tư
và toàn vẹn
dữ liệu.

- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã
hoá và giải mã dữ liệu.

IPSEC (IP SECURITY PROTOCOL)

Như chúng ta biết, để các máy tính trên hệ
thống mạng LAN/WAN hay Internet truyền
thông với nhau, chúng phải sử dụng cùng một
giao thức (giống như ngôn ngữ giao tiếp trong
thế giới con người) và giao thức phổ biến hiện
nay là TCP/IP. Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng

Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ
cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người
dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để gia nhập hệ th
ống mạng
riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài
nguyên nội bộ của công ty.

Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-
1), có 1 card mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một
card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ
Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài
(Internet).

Để quản lý người dùng trên h
ệ thống và tài nguyên chúng ta cần có 1 domain
controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).

Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều
hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa
trên IPSec ESP.

Ở đây tôi chỉ trình bày những buớc chính trong quá trình triển khai, chi tiết cài
đặt và cấu hình các bạn có thể tham khảo các tập tin video (.avi) tải về ở website
www.pcworld.com.vn.

Bước 1: Tạo domain controler

(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)