Kiểm tra máy chủ mạng riêng ảo TMG 2010 -Phần 2: Cấu hình TMG Firewall làm PPTP Remote Access VPN Server

Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 2: Cấu hình TMG Firewall làm PPTP Remote Access VPN Server Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình tường lửa để chấp nhận các kết nối PPTP và L2TP/Ipsec. Trong phần trước của loạt bài này, tổng quan về cấu hình VPN, chúng tôi đã giới thiệu cho các bạn các kiến thức tổng quan về giao diện cấu hình VPN truy cập xa của tường lửa TMG. Chúng tôi cũng đã giới thiệu về sự kiểm soát có sẵn và vị trí các bạn có thể tìm thấy chúng. Giờ đây trong phần tiếp theo này, chúng ta sẽ đi vào tìm cách cấu hình tường lửa để chấp nhận các kết nối PPTP và L2TP/Ipsec. PPTP Remote Access VPN Server PPTP là giao thức VPN truy cập từ xa đầu tiên. Nó có một chút tiếng xấu trước đây khi người ta phát hiện thấy có một vấn đề bảo mật đối với PPTP, đó là lỗ hổng trước các tấn công dựa trên mật khẩu. Vấn đề này đã được giải quyết với phát hành PPTPv2, tuy nhiên PPTP vẫn được coi là kém an toàn hơn so với giao thức VPN (theo đánh giá của các chuyên gia bảo mật). Điều này là vì cơ chế thẩm định diễn ra bên ngoài bối cảnh đường hầm mã hóa an toàn. Giờ đây, nếu sử dụng mật khẩu phức tạp hoặc sử dụng cơ chế thẩm định dựa trên chứng chỉ người dùng EAP/TLS cho các kết nối PPTP của bạn thì các vấn đề bảo mật sẽ dễ giải quyết hơn. Chính vì vậy trừ khi ở trong một ngành công nghiệp bảo mật cao hoặc một nơi có nguồn tài chỉnh khổng lồ với những siêu máy tính bằng không PPTP vẫn là một lựa chọn phù hợp cho giao thức VPN truy cập từ xa. PPTP được các quản trị viên ISA và TMG firewall ưa chuộng vì khả năng hoạt động của nó. Mặc dù vậy vẫn phải nói rằng có nhiều tình huống PPTP không làm việc, chẳng hạn như PPTP client hoặc PPTP server được đặt phía sau thiết bị NAT không có PPTP NAT editor hoặc có một NAT editor độc mã. Do đó vậy cần đáng phải xem xét lại vì PPTP, không giống như hầu hết các giao thức VPN khác, không phải là những gì vẫn được gọi là “tường lửa thân thiện”. Điều này đặt ra câu hỏi là tại sao chúng ta không sử dụng các phương pháp truy cập từ xa tương lai, chẳng hạn như DirectAccess, thay cho việc chỉ dựa vào phương pháp VPN truyền thống. Lý do cho điều này là DirectAccess chỉ có sẵn trong các máy khách Windows 7 và nó cần có một số các yêu cầu khác mà tất cả các máy khách của bạn có thể không đáp ứng được, khi đó giải pháp VPN truy cập từ xa vẫn tồn tại và là một lựa chọn cần thiết. Bạn cần biết rằng tường lửa của các hãng thứ ba chỉ có PPTP NAT editor độc mã vì vậy chỉ có một kết nối PPTP gửi đi được thực thiện từ bên trong tường lửa. Trong các trường hợp khác, NAT editor có quá nhiều lỗi đến nỗi không máy khách nào có khả năng thiết lập kết nối từ phía sau tường lửa với PPTP NAT editor khiếm khuyết. Bạn có thể luôn hy vọng rằng ở phía sau RRAS NAT server hoặc một ISA hay TMG firewall, tuy nhiên đôi khi sự may mắn đó lại không dành cho bạn. Trong các trường hợp đó, có thể thử sử dụng giao thức VPN truy cập từ xa khác hoặc một số phương pháp khác cho việc truy cập từ xa để lấy được các thông tin mà bạn cần thiết. Trong phần trước của loạt bài này, chúng tôi đã cấu hình máy chủ VPN sử dụng DHCP để đạt được các địa chỉ IP cho các máy khách VPN truy cập xa. Chúng tôi cũng đã kích hoạt cấu hình giao thức VPN mặc định, đó là PPTP. TMG firewall đang lắng nghe trên giao diện ngoài mặc định cho các kết nối máy khách VPN truy cập xa và sử dụng phương pháp thẩm định mặc định, MS-CHAPv2. Giờ đây chúng ta hãy đi xem xét các bước tiếp theo. Trong thử nghiệm chúng tôi có một máy khách Windows 7 để kết nối với mạng ở ngoài TMG firewall, sau đó sẽ thử một kết nối VPN. Trong thử nghiệm, chúng tôi đã thừa nhận rằng các bạn đã biết cách tạo kết nối VPN trên máy khách Windows 7, vì vậy sẽ không giới thiệu quá trình đó ở đây. Lưu ý: Nếu bạn chưa biết cách thực hiện đó, hãy mở Network and Sharing Center và kích vào liên kết Set up a new connection or network và thực hiện theo các hướng dẫn trong wizard. Trước khi kết nối, chúng tôi muốn giới thiệu cho bạn một thứ trong cấu hình máy khách VPN có thể giúp bạn khắc phục sự cố một số giao thức VPN khác nhau. Trong hình 1 bên dưới, bạn có thể thấy hộp thoại Properties cho kết nối máy khách VPN. Khi kích tab Security, danh sách sổ xuống Type of VPN sẽ xuất hiện. Khi bạn mở danh sách này, bạn sẽ thấy một danh sách các giao thức VPN mà máy khách VPN truy cập xa hỗ trợ. Trong ví dụ này, chúng tôi muốn bắt máy khách VPN sử dụng PPTP. Chọn tùy chọn đó và tạo kết nối. Hình 1 Sau khi tạo kết nối, bạn có thể kích phải vào kết nối VPN trong cửa sổ Network Connections và kích Status. Trong hộp thoại Status, kích tab Details, ở đây bạn sẽ thấy các thông tin chi tiết của kết nối PPTP. Bạn có thể thấy giao thức WAN Miniport (PPTP) được sử dụng, phương pháp thẩm định và các thông tin địa chỉ IP, như thể hiện trong hình 2. Hình 2 Trong giao diện điều khiển TMG firewall, phần chỉ thị Dashboard, bạn có thể thấy kết nối trong phần Sessions như thể hiên trong hình 3 bên dưới. Hình 3 Khi chuyển sang nút Monitoring trong phần panel trái của giao diện điều khiển TMG firewall và kích tab Sessions, bạn sẽ thấy kết nối VPN client. Nếu máy chủ VPN truy cập từ xa bận rộng, bạn có thể sử dụng tính năng lọc có trong tab Sessions và cấu hình bộ lọc để chỉ hiển thị các kết nối máy khách VPN truy cập xa. Lưu ý rằng nút này cũng cung cấp các thông tin có liên quan đến giao thức VPN được sử dụng để kết nối máy chủ VPN truy cập xa của TMG firewall cũng như username của người dùng được kết nối. Xem thể hiện trong hình 4 bên dưới. Hình 4 Khá dễ dàng? Giờ đây bạn đã biết tại sao các quản trị viên thích cấu hình ISA và TMG làm các máy chủ VPN truy cập xa PPTP. Bạn có thể bị lôi cuốn và kích hoạt cơ chế thẩm định EAP/TLS, sử dụng RADIUS server và thực hiện một số thứ để mở rộng bảo mật cho máy chủ PPTP VPN và cấu hình kiểm soát sự truy cập – tuy nhiên nếu bạn chỉ muốn một giải pháp dễ dàng và nhanh chóng, PPTP chính là cái mà bạn cần chọn (chí ít là từ trình chủ của cấu hình). Tuy nhiên tất cả những gì bạn thực hiện cho đến đây là cấu hình tường lửa TMG firewall trở thành một máy chủ VPN truy cập xa và thẩm định rằng kết nối PPTP có thể được thiết lập. Những gì chúng ta chưa thực hiện là kết nối đến các tài nguyên trong mạng nội bộ để bảo đảm rằng kết nối thực sự làm việc. Một cách dễ dàng có thể test điều này là xem liệu chúng ta có thể ping một domain controller trên mạng bên trong được không. Địa chỉ IP của domain controller là 10.0.0.2. Hình 5 bên dưới thể hiện kết quả của hành động ping. Hình 5 Có gì với điều đó? TMG firewall đòi hỏi nhiều kết nối VPN. Hãy nhớ rằng, khi thiết lập tường lửa TMG firewall, theo mặc định, không có lưu lượng truy cập có thể di chuyển qua tường lửa. Bạn cần phải tạo ra quy tắc cho phép lưu lượng đi qua tường lửa. OK, chúng ta hãy đi tạo các quy tắc đó. Bên phía panel bên trái của giao diện điều khiển TMG firewall, kích nút Firewall Policy. Trong phần panel bên phải của giao diện điều khiển, kích tab Tasks. Trong tab Tasks, kích liên kết Create Access Rule, như thể hiện trong hình 6. Hình 6 Trong hộp thoại Welcome to the New Access Rule Wizard, thể hiện trong hình 7, hãy nhập vào tên của quy tắc trong hộp văn bản Access Rule name. Trong ví dụ này, chúng tôi đã đặt tên cho quy tắc là VPN Clients to Internal và sau đó kích Next. Hình 7 Trong trang Rule Action, thể hiện trong hình 8, chọn tùy chọn Allow, do chúng ta muốn sử dụng quy tắc này để cho phép lưu lượng từ mạng các máy khách VPN đến mạng bên trong mặc định. Kích Next. Hình 8 Trong trang Protocols, thể hiện trong hình 9, bạn có thể chọn giao thức nào được phép từ mạng nguồn đến mạng đích (hoặc máy tính hoặc đối tượng mạng khác). Trong ví dụ này, chúng ta cho phép tất cả lưu lượng từ mạng các máy khách VPN đến mạng nội bộ bên trong, vì vậy hãy chọn tùy chọn All outbound traffic từ danh sách sổ xuống This rule applies to. Kích Next. Hình 9 Trong trang Malware Inspection, thể hiện trong hình 10, chúng ta sẽ chọn tùy chọn Do not enable malware inspection for this rule. Lý do chúng ta chọn tùy chọn này là để thuận tiện trong ví dụ này. Lưu ý rằng trong môi trường sản xuất, bạn cần bảo vệ các máy khách trước malware, vì split tunneling (quá trình cho phép người dùng VPN từ xa truy cập mạng Internet khi được phép truy cập tài nguyên trên VPN, phương pháp này cho phép người dùng có thể truy cập các thiết bị từ xa chẳng hạn như máy in trong mạng, trong khi đó vẫn có thể truy cập Internet) bị vô hiệu hóa mặc định. Do split tunneling bị vô hiệu hóa nên các máy khách VPN sẽ phải truy cập Internet thông qua tài nguyên mà bạn tạo sẵn trên mạng công ty. Tài nguyên đó có thể là một TMG firewall khác hoặc web proxy, hoặc nó có thể là TMG firewall mà máy khách VPN đang kết nối để thiết lập session máy khách VPN truy cập xa. Trong ví dụ này, chúng tôi sẽ không đi tạo quy tắc cho phép truy cập Internet khi kết nối với VPN – các chính sách của bạn sẽ xác định xem bạn có muốn cho phép truy cập Internet trong khi máy khách VPN được kết nối hay không và có muốn cho phép split tunneling khi máy khách VPN được kết nối với máy chủ VPN truy cập từ xa TMG hay không. Hình 10 Trong trang Access Rule Source, kích nút Add và kích nút Networks. Sau đó kích đúp VPN Clients Network và kích Close trong hộp thoại Add Network Entities, như thể hiện trong hình 11. Kích Next. Hình 11 Trong trang Access Rule Destination, kích nút Add. Trong hộp thoại Add Network Entities xuất hiện như trong hình 12, kích nút Networks, sau đó kích đúp Internal Network. Kích Close trong hộp thoại Add Network Entities. Kích Next. Hình 12 Trong trang User Sets, thể hiện trong hình 13, sử dụng entry mặc định là All Users. Lưu ý rằng trong môi trường sản xuất, bạn có thể hạn chế người dùng nào kết nối thông qua quy tắc này, hoặc tạo các quy tắc khác để áp dụng cho các máy khách VPN truy cập xa. Cần biết rằng, khi một máy tính kết nối qua kết nối VPN truy cập xa, TMG firewall sẽ có ngữ cảnh người dùng của session. Đó là một điều tốt – vì các máy khách VPN đều giống Firewall Clients (TMG Clients) mà ở đó ngữ cảnh người dùng có sẵn cho các kết nối được tạo thông qua TMG firewall và cho phép bạn tạo các quy tắc dựa trên người dùng hoặc nhóm người dùng nhằm cho phép các máy khách VPN kết nối đến tài nguyên nằm phía sau TMG firewall. Kích Next. Hình 13 Trong trang Completing the New Access Rule Wizard, thể hiện trong hình 14, kích Finish. Hình 14 Trong phần panel ở giữa của giao diện điều khiển TMG firewall, bạn sẽ thấy xuất hiện một rule mới. Kích nút Apply, xem trong hình 15, để lưu các thay đổi với chính sách tường lửa. Hình 15 Lúc này chúng ta hãy đi test cấu hình, bằng cách sử dụng lệnh ping đến domain controller trên mạng công ty. Và kết quả như những gì các bạn thấy trong hình 16 bên dưới, nó đã làm việc vì rule đã cho phép kết nối. Hình 16 Chúng ta còn phải làm những gì nữa? Do chúng ta đã cho phép tất cả các lưu lượng nên có thể kết nối đến chia sẻ SMB hoặc chí ít cũng là thấy danh sách chúng trên domain controller. Tất cả những gì bạn thấy sẽ như trong hình 17. Hình 17 Cho đến đây mọi thứ mà chúng ta đã thực hiện đều tốt đẹp. Tiếp đến chúng ta hãy đi vào xem xét các file bản ghi của TMG filewall, thể hiện trong hình 18, và tìm xem những gì xảy ra ở đây. Bạn có thể thấy các thông tin chi tiết về quá trình ping mà rule VPN Clients to Internal được phép ping đến đích 10.0.0.2. Những gì thú vị nhất ở đây là có ngữ cảnh người dùng, đó không phải là những gì bạn mong đợi từ các máy khách non-firewall. Tuy nhiên như chúng tôi đã đề cập đến từ trước, khi người dùng kết nối với tư cách một máy khách VPN truy cập xa thì bạn sẽ có các thông tin người dùng qua tường lửa và các thông tin này có thể được sử dụng trong các rule của tường lửa. Lưu ý rằng lúc nhận được thông tin người dùng khi thực hiện với máy khách Firewall (TMG), chúng ta sẽ không có sự hỗ trợ cho các giao thức phức hợp như vẫn thực hiện với máy khách Firewall (TMG). Hình 18 Kết luận Trong phần hai của loạt bài này, chúng tôi đã giới thiệu cho các bạn một kết nối VPN truy cập từ xa PPTP đơn giản. Chúng ta đã cấu hình máy chủ PPTP VPN sau đó tạo một Access Rule để cho phép kết nối giữa máy khách VPN và tài nguyên trên mạng mặc định bên trong. Tuy nhiên PPTP mới chỉ là bắt đầu, chúng tôi nghĩ chúng ta sẽ bắt đầu với một vài thứ đơn giản và chuyển sang những cấu hình phức tạp hơn, vì vậy trong phần tiếp theo của loạt bài này chúng ta sẽ tìm ra cách triển khai L2TP/IPsec VPN server. Triển khai này sẽ phức tạp hơn đôi chút vì chúng ta cần triển khai các chứng chỉ cho cả máy khách VPN (chứng chỉ CA) và TMG firewall (chứng chỉ máy chủ). Quá trình này đòi hỏi phải có sự khéo léo vì tiện ích của site kết nạp đã thay đổi đối với Windows Server 2008 R2, điều đó có nghĩa chúng ta sẽ không thể sử dụng công cụ đó để lấy các chứng chỉ website một cách dễ dàng. Thêm vào đó, còn có một vấn đề với RPC filter và vấn đề này làm cho việc sử dụng các chứng chỉ MMC trở nên khó hơn. Mặc dù vậy chúng tôi chúng tôi sẽ giới thiệu cho các bạn các giải pháp thích hợp để giải quyết các vấn đề đó trong phần tiếp theo.