Trong nhiều năm hoạt động không ngừng phát triển, Hệ thống kinh doanh của doanh nghiệp mở rộng bao gồm nhiều chi nhánh nhỏ (Branches) và chi nhánh chính (HeadQuarter). Yêu cầu trong hoạt động kinh doanh, HQ lưu trữ tập trung toàn bộ dữ liệu và điều phối thông tin của doanh nghiệp, các Branches truy xuất tới HQ để lấy thông tin, gửi báo cáo….. đồng thời các Branches còn trao đổi với nhau đảm bảo sự liên kết, liên lạc hỗ trợ trong hoạt động kinh doanh. Với mô hình kinh doanh như vậy, Doanh nghiệp đã hình thành một mạng lưới mạng (Mesh Network Topology).
Dựa vào yêu cầu của hệ thống mạng và nhu cầu thực tế của doanh nghiệp cần thông tin thông suốt, an toàn, bảo mật, đảm bảo nhưng với chi phí hợp lý và có khả năng mở rộng sau này. Chúng tôi đề xuất xử dụng thiết bị O2security SifoWorks UTM- một thiết bị mạnh mẽ, hoàn toàn đáp ứng yêu cầu trên của doanh nghiệp. Ngoài chứng năng tạo kết nối VPN, SifoWork UTM còn có chức năng Firewall, giúp nhà quản trị dễ dàng bảo vệ hệ thống mạng tại các Branches và HQ.
Yêu cấu topology:
- Hệ thống mạng doanh nghiệp gồm HeadQuarter và 2 Branch 1 và 2.
- IP WAN 1 ra internet của mỗi mạng và IP Local như sau hình vẽ
- Các Branch 1 và 2 cần kết nối tới HeadQuarter để thực hiện up/down file. Đảm bảo an toàn, bảo mật.
- Giữa các Branch cũng có thể truy xuất thông tin lẫn nhau một cách an toàn và bảo mật.
Giải pháp:
Sử dụng SifoWorks UTM hỗ trợ cấu hình IPSec VPN và PPTP VPN cho các remote user có thể truy xuất vào mạng cục bộ từ bên ngoài internet.
- Kết nối giữa HeadQuarter và Branch dùng kết nối IPSec VPN đảm bảo độ bảo mật tin cậy thông tin.
- Kết nối giữa các Branch dùng PPTP VPN đảm bảo tốc độ nhanh và bảo mật thông tin.
Các bước cấu hình:
ªCấu hình kết nối VPN sử dụng IPSec VPN:
§Chức năng One-Step IPSec: chức năng này giúp Sifowork UTM cấu hình IPSec VPN một cách dễ dàng nhanh chóng.
Cấu hình HeadQuarter: kết nối tới Branch 1
Cấu hình Branch 1: kết nối tới HeadQuarter.
Name: Tên của IPSec VPN.
From Local: cấu hình các thông số cho nguồn của kết nối IPSec VPN
Wan interface: đường ra internet của mạng cục bộ khi kết nối IPSec VPN.
Subnet/Mask: Lựa chọn subnet trong mạng LAN hay DMZ tham gia vào kết nối IPSec VPN.
To Remote: cấu hình các thông số cho đích đến của kết nối IPSec VPN.
- Remote gateway: sử dụng Fixed IP (IP tĩnh) hay sử dụng Domain Name.
- Subnet/Mask: Xác định IP của subnet và netmask tương ứng tại mạng đích.
Preshared Key: Key dùng cho mỗi peer của kết nối VPN chứng thực với nhau, bắt buộc cả 2 site tham gia kết nối IPSec VPN phải giống nhau.
Sau khi cấu hình thành công, UTM sẽ tự động tạo các thông số trong
IPSec AutoKey: Tự động hoàn tất các thông số của VPN như:
- Mode: Main mode
- Authentication Method: Preshare
- ISAKMP Algorithm: DES + MD5 + Group 1
- IPSec Algorithm: DES + MD5
Policies: Tự động tạo Rule cho phép traffic IPSec VPN vừa tạo có thể ra đi ngoài và bên ngoài có thể vào trong incomming và Outgoing.
Tunnel: Xem trạng thái của những đường kết nối IPSec VPN
§Chức năng IPSec VPN với chức năng IPSec AutoKey. Với chức năng này, administrator có thể lựa chọn nhiều tham số cho kết nối VPN IPSec, tùy biến các thuật toán chứng thực, mã hóa….làm cho kết nối IPSec VPN bảo mật hơn.
Bước 1: Cấu hình hết nối tại HeadQuater và Branch 2:
Cấu hình HeadQuarter: vào Policy Object > VPN > IPSec Autokey:
Cấu hình Branch 2:
Các tham số tương tự trong chức năng One-Step VPN. Ngoài ra còn có:
Remote Gateway or Client – Dynamic IP: Nếu Remote Site/ Client sử dụng IP động, chú ý 1 trong 2 Site/Client phải dùng IP tĩnh hay domain.
Encapsulation : Lựa chọn các thuật toán đóng gói.
IPSec Algorithm: các thuật toán liên quan IPSec dùng mã hóa và chứng thực
Option Item: các thông số phụ (không cần cấu hình nếu không cần thiết)
Chú ý: các thông số cả 2 site phải giống nhau.
Bước 2: Tạo Tunnel kết nối giữa 2 site HeadQuarter và Branch 2.
Cấu hình HeadQuarter: vào Policy Objects > VPN > Tunnel tạo Tunnel như sau:
Cấu hình Branch 2: Vào Policy Objects > VPN > Tunnel tạo Tunnel như sau:
Các thông số tương tự trong One-Step VPN. Ngoài ra:
Remote Client: Dùng cho chức năng tạo IPSec VPN cho các remote client (người dùng di động).
Keep alive IP: IP dùng đê kiểm tra trạng thái của Tunnel. Nên dùng IP của server trong remote LAN.
IPSec / PPTP Setting: lựa chọn kết nối VPN cần sử dụng
Bước 3: Vào Policy > Incoming tạo policy incoming và outgoing cho traffic VPN.
Cấu hình HeadQuarter:
Incomming policy:
Outgoing Policy:
Cấu hình Branch 2: Tương tự.
ªCấu hình kết nối VPN site-2-site sử dụng PPTP VPN
Bước 1: Cấu hình tại Branh 1 và Branch 2:
Cấu hình Branch 1 :Vào Policy Object > VPN > PPTP server: click Modify để cấu hình PPTP Server Setting:
document.pptp.encryption.checked = 1; Encryption: Mã hóa dữ liệu trên đường truyền kết nối PPTP
Client IP range: range IP sẽ cấp cho client khi kết nối PPTP xảy ra.
Allow PPTP client to connect to the Internet.: khi kết nối VPN PPTP xảy ra client sẽ không truy xuất được internet nếu chọn
Tạo account cho các PPTP client kết nối đến.
Client IP assigned by :
IP range: range IP đã định nghĩa tại PPTP setting
Fixed: Cấp IP cố định cho client.
Cấu hình Branh 2: Vào Policy Object > VPN > PPTP Client.:
Username/password: là username chứng thực với PPTP server.
Server IP or Domain Name: Sử dụng IP tĩnh hay domain của PPTP gateway tại Branch 1
Bước 2: Vào Policy Objects > VPN > Tunnel tạo Tunnel như sau:
Cấu hình Branch 1: thiết lập Tunnel như sau
Cấu hình Branch 2: thiết lập Tunnel như sau:
Bước 3: Vào Policy > Incoming tạo policy incoming và outgoing cho traffic VPN PPTP tại branch 1 và Branch 2 tương tự như trên.