III. INFRASTRUCTURE SECURITY (AN NINH HẠ TẦNG)
9. Ứng dụng VPN bảo vệ hệ thống Wifi
Page | 82 Copyright by Tocbatdat
9. Ứng dụng VPN bảo vệ hệ thống Wifi
Page | 83 Copyright by Tocbatdat
b. Thiết lập cấu hình trên thiết bị Access Point và VPN Server 2003 - Cấu hình trên Access Point
- Cấu hình Enable tính năng VPN trên máy chủ Windows Server 2003 - Tạo kết nối VPN từ các thiết bị truy cập Wireless (Laptop).
- Tôi sử dụng Access Point của Linksys
- Thiết bị bao gồm: 1 Port ra Internet, 4 Port LAN
- Cắm dây từ Switch vào Port Internet, tôi không cần quan tâm tới 4 Port LAN
- Hoàn thành các bước trên tôi truy cập vào Access Point để bắt đầu cấu hình, sau khi truy cập vào Access Point qua giao diện Web tôi cấu hình địa chỉ IP cho Access Point.
- Port Internet trên Access Point tôi đặt địa chỉ là: 192.168.50.33, các thông số tôi thiết lập như trên Hình dưới đây.
- Địa chỉ IP làm Gateway các thiết bị Wi-Fi tôi đặt: 192.168.1.1
- Địa chỉ IP gán cho các thiết bị kết nối tới Access Point là giải: 192.168.1.0/24 - Hoàn thành các bước trên tôi cấu hình tính năng Security cho các kết nối Wi-Fi
Page | 84 Copyright by Tocbatdat Cấu hình bảo mật:
- Chọn Security Mode là: WPA2 Personal
- Chọn thuật toán mã hóa cho giao thức WPA là: TKIP+AES
- Key khi các thiết bị muốn kết nối tới mạng Wireless này là: vnexperts.net
Page | 85 Copyright by Tocbatdat - SSID tôi để là VNEXPERTS.NET
Save toàn bộ các thiết lập tôi đứng từ một máy tính kết nối Wi-Fi tới Access Point này.
Page | 86 Copyright by Tocbatdat
- Dùng chính công cụ trên Windows tìm kiếm các SSID của mạng Wireless. Tôi thấy có mạng có SSID là VNEXPERTS.NET nhấn Connect gõ key như vừa rồi vào là hoàn thành kết nối Wireless
- Nhưng sau khi kết nối chắc chắn bạn vẫn chưa truy cập được vào Internet
Gõ Key truy cập
Page | 87 Copyright by Tocbatdat Hoàn tất kết nối
Cấu hình trên máy chủ vWindows Server 2003
Page | 88 Copyright by Tocbatdat
Trong phần trước của bài viết tôi đã trình bày với các bạn chi tiết về cách thiết lập một máy chủ Windows Server 2003 thành máy chủ VPN Server qua các bước cơ bản nhất dưới đây:
Đặt địa chỉ IP cho 2 card mạng của máy chủ
Enable tính năng Routing and Remote Access
Tạo User và Group cho phép Group truy cập VPN
Tạo Remote Access Policy cho phép các kết nối VPN
Gán địa chỉ IP ảo cho các kết nối VPN.
Đặt địa chỉ IP cho hai card mạng của máy chủ như dưới đây và dựa theo hình đầu tiên của bài viết này:
- Card nối ra Internet thì đặt Gateway
- Card nối vào Internal thì không cần đặt Gateway
Enable tính năng Routing and Remote Access Start
rồi nhấn Next tới cửa sổ tiếp theo chọn Custom Configuration chọn như hình dưới đây:
Hệ thống yêu cầu có bật Service này không bạn nhấn Yes là hoàn thành quá trình
Page | 89 Copyright by Tocbatdat
Tạo User và Group cho phép truy cập VPN
- Máy chủ của tôi đã là Domain Controller (Không nhất thiết – Nếu máy chủ chưa là DC vẫn tạo user và Group bình thường). Ở đây tôi tạo user với tên “vnexperts.net” password đặt là 123456
Page | 90 Copyright by Tocbatdat
- Nhấn vào Tab Dial In kiểm tra như dưới đây là OK
Page | 91 Copyright by Tocbatdat
Sau đó tạo một Group với tên VPN rồi Add user vnexperts.net vào group này hoàn thành bước này
Tạo Remote Access Policy cho phép máy chủ thành VPN Server
- Mục đích bước này là cho phép một Group được thực hiện một kết nối VPN.
Chuột phải vào Remote Access Policy chọn New Remote Access Policy
Page | 92 Copyright by Tocbatdat
Chọn Custome rồi gõ tên của Remote Access Policy
Nhấn Next hệ thống sẽ yêu cầu điều kiện cho phép kết nối bạn nhấn Add rồi chọn tới Windows Group
Nhân Add tiếp để add Group mà bạn cho phép thực hiện kết nối VPN tới máy chủ này.
Page | 93 Copyright by Tocbatdat Add Group VPN cho phép truy cập
Nhấn OK để tiếp tục quá trình
- Chọn Grant cho phép truy cập nhấn Next rồi Finish
Page | 94 Copyright by Tocbatdat Gán địa chỉ IP cho những kết nối VPN - Chuột phải máy chủ chọn Properties
- Chuyển sang Tab IP chọn Options Static Address Pool
- Nhấn Add để gán dải địa chỉ IP cho các kết nối VPN tới tôi chọn dải 10.69.69.200 - 10.69.69.250 để gán cho các máy truy cập VPN tới máy chủ này.
Page | 95 Copyright by Tocbatdat
Nhấn OK để hoàn thành toàn bộ quá trình cấu hình trên máy chủ Routing and Remote Access.
c. Tạo kết nối VPN từ các thiết bị truy cập qua Wifi
- Bước 1 vừa rồi bạn đã kết nối thành công tới một mạng WiFi nếu không sử dụng giải pháp VPN thì Access Point của bạn cắm trực tiếp vào Modem ADSL là các kết nối đã có thể truy cập tới Internet. Nhưng như vậy sẽ không bảo mật do mới mã hóa một lần với giao thức WPA và sử dụng thuật toàn AES-TKIP. Ở đây bạn có thể sử dụng phương thức mã hóa WEP để hỗ trợ cho các kết nối không hỗ trợ giao thức WPA
- Trong giải pháp này sau khi kết nối WiFi bạn phải kết nối VPN nữa mới có thể truy cập được ra Internet. Với ứng dụng VPN sử dụng mã hóa hai lần cho một gói tin, lần 1 mã hóa với WPA lần 2 mã hóa tầng IP với PPTP hoặc IPsec
Page | 96 Copyright by Tocbatdat
- Tạo kết nối VPN cho máy kết nối Wi-Fi – Thực hiện với Windows XP Professional - Start / Control Panel / Network Connections / Chọn “New Connection Wirard”
Cửa sổ đầu tiên nhấn Next để tiếp tục quá trình.
Chọn sử dụng kết nối VPN, nhấn Next để tiếp tục quá trình
Page | 97 Copyright by Tocbatdat Lựa chọn VPN connections
Chọn tên cho kết nối tôi chọn VNEXPERTS.NET
Page | 98 Copyright by Tocbatdat
Địa chỉ IP của máy chủ VPN Server tôi gõ địa chỉ 192.168.50.1 la địa chỉ của máy chủ VPN Server vừa rồi tôi cấu hình. Nhấn Next để hoàn thành quá trình
Hoàn thành quá trình tạo một kết nối VPN trên máy tính kết nối WiFi
Page | 99 Copyright by Tocbatdat Kết nôi
- Nhấn dúp vào kết nối tôi vừa tạo gõ User “vnexperts.net” nằm trong Group VPN được phép kết nối VPN tới máy chủ VPN: 192.168.50.1 / Nhấn Connect
Quá trình Xác thực
Page | 100 Copyright by Tocbatdat
Kiểm tra Truy cập vào trang web: vnexperts.net và kết quả thật tuyệt vời
Trong bài viết này tôi giới thiệu với các bạn một giải pháp Bảo mật các kết nối Wi-Fi. Khi một hệ thống bao gồm các máy chủ với dữ liệu hết sức quan trọng nhiều doanh nghiệp không giám triển khai sử dụng giải pháp Wireless. Nhưng với ứng dụng VPN vào các kết nối Wireless hoàn toàn bạn có thể tin tưởng được bởi hệ thống đã được mã hóa hai tầng.
10. Hệ thống phát hiện và ngăn chặn truy cập bất hợp pháp IDS/IPS