Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn
cách cấu hình tường lửa để chấp nhận các kết nối PPTP và
L2TP/Ipsec.
Trong phần trước của loạt bài này, tổng quan về cấu hình VPN, chúng tôi
đã giới thiệu cho các bạn các kiến thức tổng quan về giao diện cấu hình
VPN truy cập xa của tường lửa TMG. Chúng tôi cũng đã giới thiệu về sự
kiểm soát có sẵn và vị trí các bạn có thể tìm thấy chúng. Giờ đây trong
phần tiếp theo này, chúng ta sẽ đi vào tìm cách cấu hình tường lửa để
chấp nhận các kết nối PPTP và L2TP/Ipsec.
15 trang |
Chia sẻ: oanh_nt | Lượt xem: 1585 | Lượt tải: 0
Nội dung tài liệu Kiểm tra máy chủ mạng riêng ảo TMG 2010 -Phần 2: Cấu hình TMG Firewall làm PPTP Remote Access VPN Server, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 2: Cấu hình
TMG Firewall làm PPTP Remote Access VPN Server
Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn
cách cấu hình tường lửa để chấp nhận các kết nối PPTP và
L2TP/Ipsec.
Trong phần trước của loạt bài này, tổng quan về cấu hình VPN, chúng tôi
đã giới thiệu cho các bạn các kiến thức tổng quan về giao diện cấu hình
VPN truy cập xa của tường lửa TMG. Chúng tôi cũng đã giới thiệu về sự
kiểm soát có sẵn và vị trí các bạn có thể tìm thấy chúng. Giờ đây trong
phần tiếp theo này, chúng ta sẽ đi vào tìm cách cấu hình tường lửa để
chấp nhận các kết nối PPTP và L2TP/Ipsec.
PPTP Remote Access VPN Server
PPTP là giao thức VPN truy cập từ xa đầu tiên. Nó có một chút tiếng xấu
trước đây khi người ta phát hiện thấy có một vấn đề bảo mật đối với
PPTP, đó là lỗ hổng trước các tấn công dựa trên mật khẩu. Vấn đề này đã
được giải quyết với phát hành PPTPv2, tuy nhiên PPTP vẫn được coi là
kém an toàn hơn so với giao thức VPN (theo đánh giá của các chuyên gia
bảo mật). Điều này là vì cơ chế thẩm định diễn ra bên ngoài bối cảnh
đường hầm mã hóa an toàn.
Giờ đây, nếu sử dụng mật khẩu phức tạp hoặc sử dụng cơ chế thẩm định
dựa trên chứng chỉ người dùng EAP/TLS cho các kết nối PPTP của bạn
thì các vấn đề bảo mật sẽ dễ giải quyết hơn. Chính vì vậy trừ khi ở trong
một ngành công nghiệp bảo mật cao hoặc một nơi có nguồn tài chỉnh
khổng lồ với những siêu máy tính bằng không PPTP vẫn là một lựa chọn
phù hợp cho giao thức VPN truy cập từ xa.
PPTP được các quản trị viên ISA và TMG firewall ưa chuộng vì khả năng
hoạt động của nó. Mặc dù vậy vẫn phải nói rằng có nhiều tình huống
PPTP không làm việc, chẳng hạn như PPTP client hoặc PPTP server
được đặt phía sau thiết bị NAT không có PPTP NAT editor hoặc có một
NAT editor độc mã.
Do đó vậy cần đáng phải xem xét lại vì PPTP, không giống như hầu hết
các giao thức VPN khác, không phải là những gì vẫn được gọi là “tường
lửa thân thiện”. Điều này đặt ra câu hỏi là tại sao chúng ta không sử dụng
các phương pháp truy cập từ xa tương lai, chẳng hạn như DirectAccess,
thay cho việc chỉ dựa vào phương pháp VPN truyền thống. Lý do cho
điều này là DirectAccess chỉ có sẵn trong các máy khách Windows 7 và
nó cần có một số các yêu cầu khác mà tất cả các máy khách của bạn có
thể không đáp ứng được, khi đó giải pháp VPN truy cập từ xa vẫn tồn tại
và là một lựa chọn cần thiết.
Bạn cần biết rằng tường lửa của các hãng thứ ba chỉ có PPTP NAT editor
độc mã vì vậy chỉ có một kết nối PPTP gửi đi được thực thiện từ bên
trong tường lửa. Trong các trường hợp khác, NAT editor có quá nhiều lỗi
đến nỗi không máy khách nào có khả năng thiết lập kết nối từ phía sau
tường lửa với PPTP NAT editor khiếm khuyết. Bạn có thể luôn hy vọng
rằng ở phía sau RRAS NAT server hoặc một ISA hay TMG firewall, tuy
nhiên đôi khi sự may mắn đó lại không dành cho bạn. Trong các trường
hợp đó, có thể thử sử dụng giao thức VPN truy cập từ xa khác hoặc một
số phương pháp khác cho việc truy cập từ xa để lấy được các thông tin
mà bạn cần thiết.
Trong phần trước của loạt bài này, chúng tôi đã cấu hình máy chủ VPN
sử dụng DHCP để đạt được các địa chỉ IP cho các máy khách VPN truy
cập xa. Chúng tôi cũng đã kích hoạt cấu hình giao thức VPN mặc định,
đó là PPTP. TMG firewall đang lắng nghe trên giao diện ngoài mặc định
cho các kết nối máy khách VPN truy cập xa và sử dụng phương pháp
thẩm định mặc định, MS-CHAPv2.
Giờ đây chúng ta hãy đi xem xét các bước tiếp theo. Trong thử nghiệm
chúng tôi có một máy khách Windows 7 để kết nối với mạng ở ngoài
TMG firewall, sau đó sẽ thử một kết nối VPN. Trong thử nghiệm, chúng
tôi đã thừa nhận rằng các bạn đã biết cách tạo kết nối VPN trên máy
khách Windows 7, vì vậy sẽ không giới thiệu quá trình đó ở đây.
Lưu ý: Nếu bạn chưa biết cách thực hiện đó, hãy mở Network and
Sharing Center và kích vào liên kết Set up a new connection or
network và thực hiện theo các hướng dẫn trong wizard.
Trước khi kết nối, chúng tôi muốn giới thiệu cho bạn một thứ trong cấu
hình máy khách VPN có thể giúp bạn khắc phục sự cố một số giao thức
VPN khác nhau. Trong hình 1 bên dưới, bạn có thể thấy hộp thoại
Properties cho kết nối máy khách VPN. Khi kích tab Security, danh
sách sổ xuống Type of VPN sẽ xuất hiện. Khi bạn mở danh sách này, bạn
sẽ thấy một danh sách các giao thức VPN mà máy khách VPN truy cập xa
hỗ trợ. Trong ví dụ này, chúng tôi muốn bắt máy khách VPN sử dụng
PPTP. Chọn tùy chọn đó và tạo kết nối.
Hình 1
Sau khi tạo kết nối, bạn có thể kích phải vào kết nối VPN trong cửa sổ
Network Connections và kích Status. Trong hộp thoại Status, kích tab
Details, ở đây bạn sẽ thấy các thông tin chi tiết của kết nối PPTP. Bạn có
thể thấy giao thức WAN Miniport (PPTP) được sử dụng, phương pháp
thẩm định và các thông tin địa chỉ IP, như thể hiện trong hình 2.
Hình 2
Trong giao diện điều khiển TMG firewall, phần chỉ thị Dashboard, bạn
có thể thấy kết nối trong phần Sessions như thể hiên trong hình 3 bên
dưới.
Hình 3
Khi chuyển sang nút Monitoring trong phần panel trái của giao diện điều
khiển TMG firewall và kích tab Sessions, bạn sẽ thấy kết nối VPN client.
Nếu máy chủ VPN truy cập từ xa bận rộng, bạn có thể sử dụng tính năng
lọc có trong tab Sessions và cấu hình bộ lọc để chỉ hiển thị các kết nối
máy khách VPN truy cập xa. Lưu ý rằng nút này cũng cung cấp các thông
tin có liên quan đến giao thức VPN được sử dụng để kết nối máy chủ
VPN truy cập xa của TMG firewall cũng như username của người dùng
được kết nối. Xem thể hiện trong hình 4 bên dưới.
Hình 4
Khá dễ dàng? Giờ đây bạn đã biết tại sao các quản trị viên thích cấu hình
ISA và TMG làm các máy chủ VPN truy cập xa PPTP. Bạn có thể bị lôi
cuốn và kích hoạt cơ chế thẩm định EAP/TLS, sử dụng RADIUS server
và thực hiện một số thứ để mở rộng bảo mật cho máy chủ PPTP VPN và
cấu hình kiểm soát sự truy cập – tuy nhiên nếu bạn chỉ muốn một giải
pháp dễ dàng và nhanh chóng, PPTP chính là cái mà bạn cần chọn (chí ít
là từ trình chủ của cấu hình).
Tuy nhiên tất cả những gì bạn thực hiện cho đến đây là cấu hình tường
lửa TMG firewall trở thành một máy chủ VPN truy cập xa và thẩm định
rằng kết nối PPTP có thể được thiết lập. Những gì chúng ta chưa thực
hiện là kết nối đến các tài nguyên trong mạng nội bộ để bảo đảm rằng kết
nối thực sự làm việc.
Một cách dễ dàng có thể test điều này là xem liệu chúng ta có thể ping
một domain controller trên mạng bên trong được không. Địa chỉ IP của
domain controller là 10.0.0.2. Hình 5 bên dưới thể hiện kết quả của hành
động ping.
Hình 5
Có gì với điều đó? TMG firewall đòi hỏi nhiều kết nối VPN. Hãy nhớ
rằng, khi thiết lập tường lửa TMG firewall, theo mặc định, không có lưu
lượng truy cập có thể di chuyển qua tường lửa. Bạn cần phải tạo ra quy
tắc cho phép lưu lượng đi qua tường lửa.
OK, chúng ta hãy đi tạo các quy tắc đó.
Bên phía panel bên trái của giao diện điều khiển TMG firewall, kích nút
Firewall Policy. Trong phần panel bên phải của giao diện điều khiển,
kích tab Tasks. Trong tab Tasks, kích liên kết Create Access Rule, như
thể hiện trong hình 6.
Hình 6
Trong hộp thoại Welcome to the New Access Rule Wizard, thể hiện
trong hình 7, hãy nhập vào tên của quy tắc trong hộp văn bản Access
Rule name. Trong ví dụ này, chúng tôi đã đặt tên cho quy tắc là VPN
Clients to Internal và sau đó kích Next.
Hình 7
Trong trang Rule Action, thể hiện trong hình 8, chọn tùy chọn Allow, do
chúng ta muốn sử dụng quy tắc này để cho phép lưu lượng từ mạng các
máy khách VPN đến mạng bên trong mặc định. Kích Next.
Hình 8
Trong trang Protocols, thể hiện trong hình 9, bạn có thể chọn giao thức
nào được phép từ mạng nguồn đến mạng đích (hoặc máy tính hoặc đối
tượng mạng khác). Trong ví dụ này, chúng ta cho phép tất cả lưu lượng từ
mạng các máy khách VPN đến mạng nội bộ bên trong, vì vậy hãy chọn
tùy chọn All outbound traffic từ danh sách sổ xuống This rule applies
to. Kích Next.
Hình 9
Trong trang Malware Inspection, thể hiện trong hình 10, chúng ta sẽ
chọn tùy chọn Do not enable malware inspection for this rule. Lý do
chúng ta chọn tùy chọn này là để thuận tiện trong ví dụ này. Lưu ý rằng
trong môi trường sản xuất, bạn cần bảo vệ các máy khách trước malware,
vì split tunneling (quá trình cho phép người dùng VPN từ xa truy cập
mạng Internet khi được phép truy cập tài nguyên trên VPN, phương pháp
này cho phép người dùng có thể truy cập các thiết bị từ xa chẳng hạn như
máy in trong mạng, trong khi đó vẫn có thể truy cập Internet) bị vô hiệu
hóa mặc định. Do split tunneling bị vô hiệu hóa nên các máy khách VPN
sẽ phải truy cập Internet thông qua tài nguyên mà bạn tạo sẵn trên mạng
công ty. Tài nguyên đó có thể là một TMG firewall khác hoặc web proxy,
hoặc nó có thể là TMG firewall mà máy khách VPN đang kết nối để thiết
lập session máy khách VPN truy cập xa.
Trong ví dụ này, chúng tôi sẽ không đi tạo quy tắc cho phép truy cập
Internet khi kết nối với VPN – các chính sách của bạn sẽ xác định xem
bạn có muốn cho phép truy cập Internet trong khi máy khách VPN được
kết nối hay không và có muốn cho phép split tunneling khi máy khách
VPN được kết nối với máy chủ VPN truy cập từ xa TMG hay không.
Hình 10
Trong trang Access Rule Source, kích nút Add và kích nút Networks.
Sau đó kích đúp VPN Clients Network và kích Close trong hộp thoại
Add Network Entities, như thể hiện trong hình 11. Kích Next.
Hình 11
Trong trang Access Rule Destination, kích nút Add. Trong hộp thoại
Add Network Entities xuất hiện như trong hình 12, kích nút Networks,
sau đó kích đúp Internal Network. Kích Close trong hộp thoại Add
Network Entities. Kích Next.
Hình 12
Trong trang User Sets, thể hiện trong hình 13, sử dụng entry mặc định là
All Users. Lưu ý rằng trong môi trường sản xuất, bạn có thể hạn chế
người dùng nào kết nối thông qua quy tắc này, hoặc tạo các quy tắc khác
để áp dụng cho các máy khách VPN truy cập xa. Cần biết rằng, khi một
máy tính kết nối qua kết nối VPN truy cập xa, TMG firewall sẽ có ngữ
cảnh người dùng của session. Đó là một điều tốt – vì các máy khách VPN
đều giống Firewall Clients (TMG Clients) mà ở đó ngữ cảnh người dùng
có sẵn cho các kết nối được tạo thông qua TMG firewall và cho phép bạn
tạo các quy tắc dựa trên người dùng hoặc nhóm người dùng nhằm cho
phép các máy khách VPN kết nối đến tài nguyên nằm phía sau TMG
firewall.
Kích Next.
Hình 13
Trong trang Completing the New Access Rule Wizard, thể hiện trong
hình 14, kích Finish.
Hình 14
Trong phần panel ở giữa của giao diện điều khiển TMG firewall, bạn sẽ
thấy xuất hiện một rule mới. Kích nút Apply, xem trong hình 15, để lưu
các thay đổi với chính sách tường lửa.
Hình 15
Lúc này chúng ta hãy đi test cấu hình, bằng cách sử dụng lệnh ping đến
domain controller trên mạng công ty. Và kết quả như những gì các bạn
thấy trong hình 16 bên dưới, nó đã làm việc vì rule đã cho phép kết nối.
Hình 16
Chúng ta còn phải làm những gì nữa? Do chúng ta đã cho phép tất cả các
lưu lượng nên có thể kết nối đến chia sẻ SMB hoặc chí ít cũng là thấy
danh sách chúng trên domain controller. Tất cả những gì bạn thấy sẽ như
trong hình 17.
Hình 17
Cho đến đây mọi thứ mà chúng ta đã thực hiện đều tốt đẹp. Tiếp đến
chúng ta hãy đi vào xem xét các file bản ghi của TMG filewall, thể hiện
trong hình 18, và tìm xem những gì xảy ra ở đây. Bạn có thể thấy các
thông tin chi tiết về quá trình ping mà rule VPN Clients to Internal được
phép ping đến đích 10.0.0.2. Những gì thú vị nhất ở đây là có ngữ cảnh
người dùng, đó không phải là những gì bạn mong đợi từ các máy khách
non-firewall. Tuy nhiên như chúng tôi đã đề cập đến từ trước, khi người
dùng kết nối với tư cách một máy khách VPN truy cập xa thì bạn sẽ có
các thông tin người dùng qua tường lửa và các thông tin này có thể được
sử dụng trong các rule của tường lửa. Lưu ý rằng lúc nhận được thông tin
người dùng khi thực hiện với máy khách Firewall (TMG), chúng ta sẽ
không có sự hỗ trợ cho các giao thức phức hợp như vẫn thực hiện với
máy khách Firewall (TMG).
Hình 18
Kết luận
Trong phần hai của loạt bài này, chúng tôi đã giới thiệu cho các bạn một
kết nối VPN truy cập từ xa PPTP đơn giản. Chúng ta đã cấu hình máy
chủ PPTP VPN sau đó tạo một Access Rule để cho phép kết nối giữa máy
khách VPN và tài nguyên trên mạng mặc định bên trong. Tuy nhiên PPTP
mới chỉ là bắt đầu, chúng tôi nghĩ chúng ta sẽ bắt đầu với một vài thứ đơn
giản và chuyển sang những cấu hình phức tạp hơn, vì vậy trong phần tiếp
theo của loạt bài này chúng ta sẽ tìm ra cách triển khai L2TP/IPsec VPN
server.
Triển khai này sẽ phức tạp hơn đôi chút vì chúng ta cần triển khai các
chứng chỉ cho cả máy khách VPN (chứng chỉ CA) và TMG firewall
(chứng chỉ máy chủ). Quá trình này đòi hỏi phải có sự khéo léo vì tiện ích
của site kết nạp đã thay đổi đối với Windows Server 2008 R2, điều đó có
nghĩa chúng ta sẽ không thể sử dụng công cụ đó để lấy các chứng chỉ
website một cách dễ dàng. Thêm vào đó, còn có một vấn đề với RPC
filter và vấn đề này làm cho việc sử dụng các chứng chỉ MMC trở nên
khó hơn. Mặc dù vậy chúng tôi chúng tôi sẽ giới thiệu cho các bạn các
giải pháp thích hợp để giải quyết các vấn đề đó trong phần tiếp theo.
Các file đính kèm theo tài liệu này:
- quan_tri_mang_10_4125.pdf