http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

THỰC HÀNH THIẾT KẾ HỆ THỐNG MẠNG MÁY TÍNH

Bài viết này ðýợc gửi từ bạn Nguyễn Trần Týờng Vinh, Senior Network Instructor Gửi tới QuanTriMang.com � QuanTriMang.com.vn Email: consultant@security365.org

Track 70298 - 70299 là các môn học thiết kế và triển khai về hệ thống mạng và bảo mật, một trong những chủ ðề rất ðýợc quan tâm hiện nay. Khóa học này cung cấp cho chúng ta những kiến thức và kỹ nãng trong quá trình thiết kế hệ thống mạng an tòan nhý xây dựng hệ thống vpn server, certificate server, ipsec, isa server firewall và các phýõng pháp bảo vệ mật mã với syskey, mã hóa tập tin bằng efs cùng với các chức nãng audit hệ thống. Hoặch ðịnh và Triển khai các dịch vụ mạng cõ bản nhý DHCP, DNS...

Ðể ôn lại các khái niệm cũng nhý có một cái nhìn tổng quá về Design Network chúng ta sẽ làm 1 bài LAB cho hệ thống mạng của công ty ICB với những yêu cầu nhý sau.

ICB có 1 ðýờng truyền adsl ðể kết nối với internet thông qua vpn server tên là srv-1có 2 card mạng là:

- public nic : 15.15.15.15/8

- private nic : 192.168.1.201/24

id13855172 pdfMachine by Broadgun Software - a great PDF writer! - a great PDF creator! - http://www.pdfmachine.com http://www.broadgun.com

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

ðể có thể quản lý tài khỏan ngýời dùng 1 cách tập trung ICB xây dựng 1 hệ thống active directory trên domain controler tên srv-11 có ðịa chỉ ip là 192.168.1.1/24, domain name là icb.com.vn.

yêu cầu:

chúng ta hãy xây dựng hệ thống icb.com.vn sao cho các nhân viên kinh doanh khi công tác ở xa hoặc là việc tại nhà vẫn có thể update dữ liệu lên thý mục chia sẽ sale reports trên domain controler srv-11

Và ðảm bảo an tòan dữ liệu truyền ở mức tối ða thì bộ phận quản lý có yêu cầu các kết nối từ xa ðể truyền dữ liệu cần ðýợc chứng thực bằng certificate, mã hóa ipsecvà sử dụng giao thức tuneling L2TP.

Triển khai mô hình này chúng ta có thể dựng lab với 3 máy nhý trên hình vẽ, trong ðó client-1 là máy tính ở bên ngòai có ip là 15.15.15.20/8.

býớc 1: trên srv-11 thãng cấp lên domain controler bằng lệnh dcpromo với domain name icb.com.vn (chúng ta cần khai báo ðúng prefered dns server là 192.168.1.1)

býớc 2 : cài ðặt vpn server thông qua rras trên srv-11

A.

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

B.

C.

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

D.

E.

F.

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

G.

H.

býớc 3 : cấu hình các thộc tính của vpn server srv-1 và cho phép các user phòng ban sale nhý sale1 ðýợc phép truy cập từ xa qua dial-in tab trên domain controler srv-11

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

Chúng ta ðã cấu hình xong vpn server trên srv-1 và xây dựng domain controler srv-11, lúc này chúng ta có thể kiểm tra kết nối vpn có thành công hay không bằng cách tạo tài khỏan ngýời dùng jstacey trên DC cho phép Allow (dial-in) và tạo vpn client conection trên máy tính ở xa client-1 (15.15.15.20)

trên srv-11 :

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

Sau ðó chúng ta tạo 1 vpn client connection trên client 1 :chọn start->setting->network and dialup connection và click make new connection

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

ghi chú:15.15.15.15 là ðịa chỉ external của vpn server, trong trýờng hợp thực tế là ðịa chỉ ip ðýợc gán bởi ISP (nếu là ip ðộng thì nghiên cứu giải pháp sử dụng dyndns ở www.dyndns.org), trong trýờng hợp adsl modem không gắn trực tiếp trên vpn server thì xem cách cấu hình bridge của modem adsl trong tài liệu hýớng dẫn ði kèm với moden adsl mà các anh/chị sử dụng.

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

kiểm tra lại cấu hình của client-1 sau khi kết nối thành công chúng ta sẽ thấy ðịa chỉ vpn client ðýợc cấp phát là 192.168.1.101, dùng lệnh ping ðến 192.168.1.1 ðể kiểm tra có connect ðýợc với domain controller hay không.

tiếp theo chúng ta hãy join client-1 vào domain icb.com.vn, ðây là một quá trình ðõn giản, tuy nhiên khi gặp sự cố trong những tình huống thực tế nhớ kiểm tra dns server và quá trình phân giải tên bằng tiện ích nslookup.

sau khi quá trình join domain hòan thành hã restart lại máy tính và khởi tạo lại kết nối vpn ðến srv-1, và thử truy cập vào tài nguyênchia sẽ sale reports bằng :

srv-11sale reports

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

nhý vậy chúng ta ðã triển khai xong hệ thống vpn server cho phép các nhân viên kinh doanh có thể truy cập vào tài nguyên nội bộ thông qua vpn, tuy nhiên yêu cầu của ban giám ðốc ðòi hỏi phải sử dụng ipsec và certificate trong các kết nối này, vì vậy chúng ta phải sử dụng giao thức bảo mật L2TP. Chúng ta cần phải triển khai và cài ðặt thêm các dịch vụ sau ðây:

cài ðặt certificate service trên srv-11 thông qua add/remove program -> add / remove windows component, chúng ta sử dụng CA ðể cấp phát certificate cho domain icb.com.vn vì vậy hãy chọn chế ðộ cài ðặt enterprise CA

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

nhý vậy chúng ðã có ca server, việc tiếp theo là cài ðặt certificate trên srv-1 vpn server và client-1 vpn client.

log vào client-1 (có thể dùng run as ðể chuyển sang tài khỏan administrator) và dùng lệnh mmc ðể add vào certificate snap-in (dùng ðể xin khóa từ ca server, ngòai ra các bạn có thể xin cấp phát certificate thông qua trình duyệt web, xem lại kiến thức về ca trong bài 6).

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

dùng certificate snap in ðể cài ðặt certificate từ srv-11

ghi chú:

trong những môi trýờng ðòi hỏi tính an tòan cao nhất, thì quá trình xin cấp khòa và cài ðặt ðýợc thực hiện thông qua các yêu cầu khởi tạo từ một file và file này ðýợc gởi qua mail, sau ð1o dựa trên file này certificate sẽ ðýợc tạo ra và gởi lại cho user qua email nhý công ty bánh kẹo của Ý perfecti vanmmel , ðây cũng là phýõng pháp ðặt mua khóa từ thrid party nhý trong lab exchange server.

hãy mở certificate snap in và chọn task request new certificate

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

nhý vậy chúng ta ðã install thành công certificate trên client-1 vpn client, hãy làm týõng tự ðể install certificate cho srv-1 vpn server. sau ð1o hãy restart các máy ðã cài ðặt khóa ðể tránh các lỗi xảy ra.

cuối cùng chúng ta hãy khởi tạo kết nối vpn session bằng L2TP.

hãy log vào srv-1 mở RRAS và chọn port sau ðó click chuột phải chọn properties

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

Finish:

hãy log vào client-1 vpn client ðể hòan thành thao tác cuối cùng.mở start->setting->network and dialup connection click vào kết nối vpn ðã tạo ra ở phần trên và chọn chuộc tính properties, sau ð1o click vào networking tab và click vào mũi tên sổ xuống chọn Layer 2 Tunneling Protocol:

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

Các bạn ðã triển khai thành công hệ thống vpn server kết kợp với ca server và ipsec, ðây là một hệ thống có mức ðộ an tòan cực cao (tôi cho rằng các hacker vn chýa thể crack ðýợc các packet trong trýờng hợp này), và chúng ta ðã dựa trên hệ thống windows 2k server tãng cýờng bảo mật cho hệ thống và tiết kiệm ðýợc một khỏan chi phí khá lớn nếu mua các thiết bị phần cứng, ngòai ra chúng ta còn có thể quản lý chúng một cách dễ dàng và uyển chuyển, với kết nối này không những chúng ta có thể an tâm truy xuất dữ liệu sale reports mà còn có thể truy cập vào terminal server thông qua http (tswebsetup) mà không lo bị sniffer password.

Nguyễn Trần Týờng Vinh, Senior Network Instructor

http://www.QuanTriMang.com � http://www.QuanTriMang.com.vn

GD Công Ty Giải Pháp An Tòan