Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 1: Tổng quan về cấu hình VPN Trong phần một của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các kiến thức tổng quan về cấu hình VPN
Trang 1Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 1: Tổng quan về cấu hình VPN
Trong phần một của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các kiến thức tổng quan về cấu hình VPN trong TMG 2010
Nhiều năm qua ISA và sau đó là máy chủ TMG VPN đã là người bạn thân thiết của các quản trị viên bất cứ khi nào họ rời văn phòng mình Với ISA 2004, Microsoft đã có một thành công thực sự khi nói đến máy chủ VPN của họ ISA VPN server là một giải pháp VPN truy cập từ xa mạnh
mẽ và dễ dàng cấu hình Những gì các bạn có thể cảm thấy thích nhất về ISA VPN server vì nó là một trong những giải pháp an toàn nhất trên thị trường Khi nó đến truy cập từ xa, vấn đề bảo mật của nó là hoàn toàn đảm bảo
Mặc dù vậy cần phải thừa nhận rằng khi cấu hình DirectAccess của mình được thiết lập và chạy, các bạn sẽ không sử dụng VPN nhiều Tuy nhiên
sẽ có nhiều lần ai đó cần sử dụng máy tính mà không có DirectAccess, vì vậy chúng ta vẫn phụ thuộc vào truy cập VPN để vào mạng của mình Đó
là lý do tại sao chúng ta vẫn cần có máy chủ TMG VPN trong văn phòng
Trong loạt bài về máy chủ TMG VPN này, chúng tôi sẽ bắt đầu bằng giới thiệu tổng quan về cấu hình VPN, sau đó đi vào một số vấn đề cụ thể để kích hoạt sự truy cập L2TP/IPsec và SSTP Nếu bạn hoàn toàn cảm thấy mới mẻ với ISA/TMG, thì phần này sẽ cung cấp cho bạn những kiến thức
cơ bản về những gì đang diễn ra
Chúng ta hãy bắt đầu bằng cách mở giao diện TMG firewall và kích nút Remote Access Policy (VPN) trong phần panel bên trái Trong phần panel bên phải, trong danh sách VPN Clients Tasks, kích liên kết Enable VPN Client Access, như thể hiện trong hình bên dưới
Hình 1
Trang 2Nếu là một quản trị viên ISA VPN có kinh nghiệm thì chắc chắn bạn sẽ nhận ra hộp thoại này Kích OK trong hộp thoại này và sửa vấn đề
Hình 2
Trong phần panel bên phải của giao diện điều khiển, kích liên kết Define Address Assignments, xem thể hiện như hình bên dưới
Hình 3
Trong hộp thoại Remote Access Policy (VPN) Properties, kích tab Address Assignment Chọn tùy chọn Dynamic Host Configuration Protocol (DHCP) Thao tác này sẽ cấu hình tường lửa TMG để thu được
các địa chỉ IP cho các máy khách VPN (và adapter RAS của chính nó) từ máy chủ DHCP Lưu ý rằng chỉ thu được các địa chỉ IP từ máy chủ VPN Bạn sẽ không có các tùy chọn DHCP Để cung cấp các tùy chọn DHCP đến các máy khách VPN, bạn cần cấu hình máy chủ TMG VPN làm DHCP relay Chúng tôi sẽ giới thiệu về cách thực hiện này trong một phần khác
Lưu ý danh sách sổ xuống Use the following network to obtain DHCP, DNS and WINS services Danh sách này gồm có tên của NIC đã được
cài đặt trên TMG firewall TMG firewall sẽ sử dụng các thiết lập DNS và các WINS trên NIC mà bạn chọn nhằm cung cấp các dịch vụ này cho máy khách VPN Mặc dù vậy, nếu muốn tùy chỉnh cấu hình, bạn có thể
kích nút Advanced
Trang 3Hình 4
Lúc này bạn sẽ thấy xuất hiện hộp thoại Name Resolution Thiết lập mặc định là Obtain DNS server addresses using DHCP configuration Mặc
dù vậy, bạn có thể chọn các tùy chọn Use the following DNS server addresses và Use the following WINS server addresses để sử dụng các
địa chỉ không có trong cấu hình trên các NIC trên TMG firewall
Trang 4Hình 5
Kích OK, sau đó kích Apply ở phía trên trong panel ở giữa để áp dụng
những thay đổi cho Firewall Policy
Lưu ý rằng vấn đề đánh địa chỉ cần được xử lý, vì vậy kích liên kết
Enable VPN Client Access trong phần panel bên phải của giao diện điều
khiển
Hình 6
Kích Apply ở phía trên trong phần panel giữa để lưu các thay đổi đối với Firewall Policy
Như được đề cập từ trước, TMG firewall sẽ thu được địa chỉ IP từ DHCP server Đây là cách nó làm việc: TMG firewall không thu được các địa chỉ này tại một thời điểm mà thay vào đó, nó yêu cầu các địa chỉ IP trong các nhóm 10 Rõ ràng bạn cần phải có một DHCP server trên mạng để thực hiện công việc này Chúng tôi đã cài đặt một DHCP server trên domain controller trong mạng thử nghiệm của mình Khi kiểm tra giao
Trang 5diện điều khiển DHCP, bạn sẽ thấy TMG firewall đã “chộp” được 10 địa chỉ IP từ DHCP server, xem thể hiện trong hình bên dưới
Hình 7
Kích liên kết Configure VPN Client Access trong phần panel bên phải
của giao diện
Hình 8
Trong hộp thoại VPN Clients Properties, trong tab General, bạn sẽ thấy hộp kiểm Enable VPN client access đã được tích và Maximum number
of VPN clients allowed được thiết lập là 100 Với Standard Edition, bạn
sẽ bị hạn chế ở 1000 kết nối, với Enterprise Edition bạn sẽ không bị hạn chế (có thể chỉ bị hạn chế về phần cứng và mạng hỗ trợ)
Trang 6Hình 9
Kích tab Groups Ở đây bạn có thể cấu hình thông qua Active Directory
nhóm người dùng nào có thể kết nối đến VPN server Bạn chọn các nhóm
bằng cách sử dụng nút Add Các tài khoản User thuộc về các nhóm miền
này cần phải được cấu hình truy cập VPN trong các tùy chọn tài khoản
“dial-in” được thiết lập để kiểm soát sự truy cập thông qua chính sách Điều này được thiết lập mặc định cho các miền của Windows Server
2008, chính vì vậy chúng ta không cần thực hiện bất cứ thứ gì trong Active Directory để bảo đảm cho nó làm việc Tuy nhiên nếu sử dụng Windows Server 2003, bạn nên kiểm tra các thiết lập đó
Trang 7Hình 10
Khi kích nút Add, hộp thoại Select Groups sẽ xuất hiện Trong phần From this location, bảo đảm rằng bạn đã chọn miền Mặc định sẽ là máy
tính nội bộ, và bạn không cần phải chọn cho điều đó Trong ví dụ này,
chúng tôi đã chọn miền msfirewall.org và cho phép tất cả người dùng trong miền có thể kết nối đến VPN, vì vậy sẽ phải nhập Domain Users trong hộp văn bản Enter the object names to select Kích OK để lưu các
thay đổi
Hình 11
Trang 8Lúc này bạn có thể thấy nhóm xuất hiện trong danh sách trên tab Groups,
như thể hiện trong hình bên dưới
Hình 12
Kích tab Protocols Ở đây bạn có thể chọn giao thức VPN nào có thể
được sử dụng để kết nối đến máy chủ TMG VPN Các tùy chọn gồm có:
Enable PPTP
Enable L2TP/IPsec
Enable SSTP
Tùy chọn Enable PPTP được kích hoạt mặc định và sẽ làm việc không
cần cấu hình bổ sung nào trên các máy khách VPN, chỉ cần cấu hình bổ sung tối thiểu trên máy chủ TMG VPN Mặc dù vậy, nếu chọn tùy chọn L2TP/IPsec hoặc SSTP, bạn sẽ cần xử lý một số vấn đề có liên quan đến các chứng chỉ (về vấn đề này bạn có thể sử dụng khóa tiền chia sẻ với L2TP/Ipsec, nhưng đó là cách làm không an toàn) Chúng ta sẽ đi vào các yêu cầu cấu hình và các thủ tục cho hai giao thức VPN này sau
Trang 9Hình 13
Trong tab User Mapping, bạn có một tùy chọn cho phép bạn bản đồ hóa
các máy khách VPN từ các không gian tên non-Windows (chẳng hạn như những người dùng đã được thẩm định RADIUS hoặc EAP) đến không gian tên Windows Điều này có nghĩa rằng nếu không tích hợp sự thẩm định cho các máy khách VPN, sử dụng RADIUS hoặc EAP, thì bạn không thể lợi dụng các nhóm Windows Active Directory một cách tự động Vì vậy, nếu việc bản đồ hóa người dùng không được kích hoạt, bạn
sẽ phải tạo một tập người dùng trên TMG firewall và sử dụng người dùng thông thường đã được thiết lập khi cấu hình rule tường lửa để kiểm soát
sự truy cập các máy khách VPN Rõ ràng, để làm việc, TMG firewall phải là một thành viên miền Chúng tôi sẽ không sử dụng User Mapping trong ví dụ này vì không sử dụng thẩm định RADIUS hoặc EAP
Trang 10Hình 14
Trong tab Quarantine, bạn có thể cấu hình TMG firewall để cách ly
người dùng trước khi cho phép truy cập vào mạng nếu các máy tính của
họ không có đủ các yêu cầu về bảo mật Có hai cách bạn có thể thực hiện điều này: đầu tiên là sử dụng điều khiển cách ly truy cập từ xa và thứ hai
là sử dụng NAP Nhìn chung, NAP được cho là giải pháp tốt hơn, tuy nhiên chúng tôi phải thừa nhận rằng nếu bạn có một chút kiến thức về lập trình, hoặc sử dụng công cụ từ Winfrasoft thì bạn sẽ có rất nhiều khả năng kiểm soát thông qua sự kiểm soát cách ly truy cập từ xa so với những gì bạn có với NAP, vì NAP HSV có bên trong không phải là một tính năng mạnh
Có hai lựa chọn chính ở đây sau khi bạn kích hoạt điều khiển cách ly: Quarantine according to RADIUS server policies and Quarantine VPN clients according to TMG policies Đầu tiên là tùy chọn NAP và
sau đó là tùy chọn kiểm soát cách ly truy cập từ xa Lưu ý rằng bạn cũng
có các tùy chọn cho việc điều khiển thời gian đợi là bao lâu trước khi hủy kết nối các máy khách VPN được cách ly và cũng có thể cấu hình danh sách người dùng được miễn giám sát cách ly Chúng tôi sẽ không đi sâu vào giới thiệu các chi tiết kiểm soát cách ly trong phần này mà sẽ giới thiệu sau
Trang 11Hình 15
Lúc này hãy chuyển sang phần General VPN Configuration trong panel phải của giao diện điều khiển Kích liên kết Select Access Networks, như
thể hiện trong hình bên dưới
Hình 16
Trong tab Access Networks, chọn Networks mà trong mạng đó bạn
muốn VPN server lắng nghe các kết nối Mặc định, tùy chọn default External Network sẽ được chọn Tuy nhiên bạn có thể sử dụng các tùy chọn khác hoặc kết hợp các tùy chọn mà bạn thích Lưu ý rằng bạn không thể gán các địa chỉ IP cụ thể; tất cả các địa chỉ IP của NIC cho mạng bạn chọn sẽ lắng nghe các kết nối gửi đến Nếu bạn cho phép các kết nối gửi vào cho người dùng VPN, điều đó không có nghĩa rằng địa chỉ IP sẽ được
Trang 12sử dụng Không có một sự thuận lợi bảo mật thực sự nào cho việc hạn chế truy cập VPN đối với một địa chỉ IP trên một giao diện cụ thể
Hình 17
Kích tab Address Assignment Khi đó bạn sẽ gặp một cửa sổ khá quen
vì chúng ta đã thấy trước đó Nếu quyết định sử dụng địa chỉ tĩnh, bạn có thể tạo thay đổi vấn đề đó ở đây Một ví dụ cho việc thay đổi địa chỉ tĩnh
là khi bạn muốn cấu hình mảng các máy chủ TMG VPN Trong trường hợp đó, mỗi thành viên của mảng cần có một bộ sưu tập riêng các địa chỉ
IP Chúng tôi sẽ giới thiệu cách cấu hình mảng TMG VPN server trong các phần sau Trong ví dụ này, chúng ta chỉ có một máy chủ
Trang 13Hình 18
Trong tab Authentication, bạn có thể cấu hình kiểu thẩm định người
dùng Thiết lập mặc định là MS-CHAPv2 Mặc định bạn có thể sử dụng
EAP, CHAP và PAP, nhưng nhìn chung chỉ có một số tùy chọn mà bạn chắc sẽ muốn sử dụng là MS-CHAPv2 hoặc EAP Lưu ý rằng có một tùy
chọn thẩm định máy tính ở phía dưới Khi tích vào hộp kiểm Allow customer IPsec policy for L2TP, bạn sẽ có thể nhập vào khóa tiền chia
sẻ Đây là phương pháp “con nhà nghèo” cho việc bảo vệ Ipsec với các kết nối L2TP/Ipsec, nó cho phép bạn có thể thiết lập kết nối mà không cần triển khai chứng chỉ Chúng tôi sẽ giới thiệu cách triển khai các chứng chỉ trong phần tiếp theo của loạt bài này để bạn có thể sử dụng phương pháp được tiến cử (an toàn hơn) cho L2TP/IPsec
Trang 14Hình 19
Trong tab RADIUS, bạn có thể cấu hình các máy chủ RADIUS sử dụng
cho việc thẩm định VPN hoặc ghi chép Lưu ý rằng bạn có thể sử dụng RADIUS để thẩm định hoặc ghi chép, hoặc cả hai Chúng tôi sẽ không giới thiệu thẩm định RADIUS server hoặc việc ghi chép trong loạt bài này
Trang 15Hình 20
Kết luận
Giống như ISA, TMG firewall có thể đóng vai trò như một máy chủ VPN truy cập xa Nếu là một quản trị viên ISA VPN server có nhiều kinh nghiệm thì rất có thể các bạn sẽ không thấy nhiều điểm mới trong cấu hình máy chủ TMG VPN – ngoại trừ sự tích hợp SSTP Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu những gì bạn cần thực hiện
để làm cho các kết nối L2TP/Ipsec hoạt động, sử dụng các chứng chỉ máy tính và các khóa tiền chia sẻ Trong phần sau chúng tôi cũng sẽ giới thiệu một số vấn đề tường lửa mà bạn biết nếu muốn chuẩn hóa cấu hình máy khách VPN truy cập từ xa L2TP/Ipsec
