Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình tường lửa để chấp nhận các kết nối PPTP và L2TP/Ipsec.. Trong phần trước của loạt bài này, chúng tôi đ
Trang 1Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình tường lửa để chấp nhận các kết nối PPTP và
L2TP/Ipsec
Trong phần trước của loạt bài này, tổng quan về cấu hình VPN, chúng tôi
đã giới thiệu cho các bạn các kiến thức tổng quan về giao diện cấu hình VPN truy cập xa của tường lửa TMG Chúng tôi cũng đã giới thiệu về sự kiểm soát có sẵn và vị trí các bạn có thể tìm thấy chúng Giờ đây trong phần tiếp theo này, chúng ta sẽ đi vào tìm cách cấu hình tường lửa để chấp nhận các kết nối PPTP và L2TP/Ipsec
PPTP Remote Access VPN Server
PPTP là giao thức VPN truy cập từ xa đầu tiên Nó có một chút tiếng xấu trước đây khi người ta phát hiện thấy có một vấn đề bảo mật đối với PPTP, đó là lỗ hổng trước các tấn công dựa trên mật khẩu Vấn đề này đã được giải quyết với phát hành PPTPv2, tuy nhiên PPTP vẫn được coi là kém an toàn hơn so với giao thức VPN (theo đánh giá của các chuyên gia bảo mật) Điều này là vì cơ chế thẩm định diễn ra bên ngoài bối cảnh đường hầm mã hóa an toàn
Giờ đây, nếu sử dụng mật khẩu phức tạp hoặc sử dụng cơ chế thẩm định dựa trên chứng chỉ người dùng EAP/TLS cho các kết nối PPTP của bạn thì các vấn đề bảo mật sẽ dễ giải quyết hơn Chính vì vậy trừ khi ở trong một ngành công nghiệp bảo mật cao hoặc một nơi có nguồn tài chỉnh khổng lồ với những siêu máy tính bằng không PPTP vẫn là một lựa chọn phù hợp cho giao thức VPN truy cập từ xa
PPTP được các quản trị viên ISA và TMG firewall ưa chuộng vì khả năng hoạt động của nó Mặc dù vậy vẫn phải nói rằng có nhiều tình huống PPTP không làm việc, chẳng hạn như PPTP client hoặc PPTP server được đặt phía sau thiết bị NAT không có PPTP NAT editor hoặc có một NAT editor độc mã
Do đó vậy cần đáng phải xem xét lại vì PPTP, không giống như hầu hết các giao thức VPN khác, không phải là những gì vẫn được gọi là “tường lửa thân thiện” Điều này đặt ra câu hỏi là tại sao chúng ta không sử dụng các phương pháp truy cập từ xa tương lai, chẳng hạn như DirectAccess, thay cho việc chỉ dựa vào phương pháp VPN truyền thống Lý do cho điều này là DirectAccess chỉ có sẵn trong các máy khách Windows 7 và
nó cần có một số các yêu cầu khác mà tất cả các máy khách của bạn có
Trang 2thể không đáp ứng được, khi đó giải pháp VPN truy cập từ xa vẫn tồn tại
và là một lựa chọn cần thiết
Bạn cần biết rằng tường lửa của các hãng thứ ba chỉ có PPTP NAT editor độc mã vì vậy chỉ có một kết nối PPTP gửi đi được thực thiện từ bên trong tường lửa Trong các trường hợp khác, NAT editor có quá nhiều lỗi đến nỗi không máy khách nào có khả năng thiết lập kết nối từ phía sau tường lửa với PPTP NAT editor khiếm khuyết Bạn có thể luôn hy vọng rằng ở phía sau RRAS NAT server hoặc một ISA hay TMG firewall, tuy nhiên đôi khi sự may mắn đó lại không dành cho bạn Trong các trường hợp đó, có thể thử sử dụng giao thức VPN truy cập từ xa khác hoặc một
số phương pháp khác cho việc truy cập từ xa để lấy được các thông tin
mà bạn cần thiết
Trong phần trước của loạt bài này, chúng tôi đã cấu hình máy chủ VPN
sử dụng DHCP để đạt được các địa chỉ IP cho các máy khách VPN truy cập xa Chúng tôi cũng đã kích hoạt cấu hình giao thức VPN mặc định,
đó là PPTP TMG firewall đang lắng nghe trên giao diện ngoài mặc định cho các kết nối máy khách VPN truy cập xa và sử dụng phương pháp thẩm định mặc định, MS-CHAPv2
Giờ đây chúng ta hãy đi xem xét các bước tiếp theo Trong thử nghiệm chúng tôi có một máy khách Windows 7 để kết nối với mạng ở ngoài TMG firewall, sau đó sẽ thử một kết nối VPN Trong thử nghiệm, chúng tôi đã thừa nhận rằng các bạn đã biết cách tạo kết nối VPN trên máy khách Windows 7, vì vậy sẽ không giới thiệu quá trình đó ở đây
Lưu ý: Nếu bạn chưa biết cách thực hiện đó, hãy mở Network and
Sharing Center và kích vào liên kết Set up a new connection or
network và thực hiện theo các hướng dẫn trong wizard
Trước khi kết nối, chúng tôi muốn giới thiệu cho bạn một thứ trong cấu hình máy khách VPN có thể giúp bạn khắc phục sự cố một số giao thức VPN khác nhau Trong hình 1 bên dưới, bạn có thể thấy hộp thoại
Properties cho kết nối máy khách VPN Khi kích tab Security, danh sách sổ xuống Type of VPN sẽ xuất hiện Khi bạn mở danh sách này, bạn
sẽ thấy một danh sách các giao thức VPN mà máy khách VPN truy cập xa
hỗ trợ Trong ví dụ này, chúng tôi muốn bắt máy khách VPN sử dụng PPTP Chọn tùy chọn đó và tạo kết nối
Trang 3Sau khi tạo kết nối, bạn có thể kích phải vào kết nối VPN trong cửa sổ
Network Connections và kích Status Trong hộp thoại Status, kích tab Details, ở đây bạn sẽ thấy các thông tin chi tiết của kết nối PPTP Bạn có thể thấy giao thức WAN Miniport (PPTP) được sử dụng, phương pháp
thẩm định và các thông tin địa chỉ IP, như thể hiện trong hình 2
Trang 4Hình 2
Trong giao diện điều khiển TMG firewall, phần chỉ thị Dashboard, bạn
có thể thấy kết nối trong phần Sessions như thể hiên trong hình 3 bên
dưới
Hình 3
Khi chuyển sang nút Monitoring trong phần panel trái của giao diện điều khiển TMG firewall và kích tab Sessions, bạn sẽ thấy kết nối VPN client
Nếu máy chủ VPN truy cập từ xa bận rộng, bạn có thể sử dụng tính năng
lọc có trong tab Sessions và cấu hình bộ lọc để chỉ hiển thị các kết nối
máy khách VPN truy cập xa Lưu ý rằng nút này cũng cung cấp các thông tin có liên quan đến giao thức VPN được sử dụng để kết nối máy chủ VPN truy cập xa của TMG firewall cũng như username của người dùng được kết nối Xem thể hiện trong hình 4 bên dưới
Trang 5Khá dễ dàng? Giờ đây bạn đã biết tại sao các quản trị viên thích cấu hình ISA và TMG làm các máy chủ VPN truy cập xa PPTP Bạn có thể bị lôi cuốn và kích hoạt cơ chế thẩm định EAP/TLS, sử dụng RADIUS server
và thực hiện một số thứ để mở rộng bảo mật cho máy chủ PPTP VPN và cấu hình kiểm soát sự truy cập – tuy nhiên nếu bạn chỉ muốn một giải pháp dễ dàng và nhanh chóng, PPTP chính là cái mà bạn cần chọn (chí ít
là từ trình chủ của cấu hình)
Tuy nhiên tất cả những gì bạn thực hiện cho đến đây là cấu hình tường lửa TMG firewall trở thành một máy chủ VPN truy cập xa và thẩm định rằng kết nối PPTP có thể được thiết lập Những gì chúng ta chưa thực hiện là kết nối đến các tài nguyên trong mạng nội bộ để bảo đảm rằng kết nối thực sự làm việc
Một cách dễ dàng có thể test điều này là xem liệu chúng ta có thể ping một domain controller trên mạng bên trong được không Địa chỉ IP của
domain controller là 10.0.0.2 Hình 5 bên dưới thể hiện kết quả của hành
động ping
Hình 5
Trang 6Có gì với điều đó? TMG firewall đòi hỏi nhiều kết nối VPN Hãy nhớ rằng, khi thiết lập tường lửa TMG firewall, theo mặc định, không có lưu lượng truy cập có thể di chuyển qua tường lửa Bạn cần phải tạo ra quy tắc cho phép lưu lượng đi qua tường lửa
OK, chúng ta hãy đi tạo các quy tắc đó
Bên phía panel bên trái của giao diện điều khiển TMG firewall, kích nút
Firewall Policy Trong phần panel bên phải của giao diện điều khiển, kích tab Tasks Trong tab Tasks, kích liên kết Create Access Rule, như
thể hiện trong hình 6
Hình 6
Trong hộp thoại Welcome to the New Access Rule Wizard, thể hiện trong hình 7, hãy nhập vào tên của quy tắc trong hộp văn bản Access Rule name Trong ví dụ này, chúng tôi đã đặt tên cho quy tắc là VPN Clients to Internal và sau đó kích Next
Trang 7Trong trang Rule Action, thể hiện trong hình 8, chọn tùy chọn Allow, do
chúng ta muốn sử dụng quy tắc này để cho phép lưu lượng từ mạng các
máy khách VPN đến mạng bên trong mặc định Kích Next
Hình 8
Trang 8Trong trang Protocols, thể hiện trong hình 9, bạn có thể chọn giao thức
nào được phép từ mạng nguồn đến mạng đích (hoặc máy tính hoặc đối tượng mạng khác) Trong ví dụ này, chúng ta cho phép tất cả lưu lượng từ mạng các máy khách VPN đến mạng nội bộ bên trong, vì vậy hãy chọn
tùy chọn All outbound traffic từ danh sách sổ xuống This rule applies
to Kích Next
Hình 9
Trong trang Malware Inspection, thể hiện trong hình 10, chúng ta sẽ chọn tùy chọn Do not enable malware inspection for this rule Lý do
chúng ta chọn tùy chọn này là để thuận tiện trong ví dụ này Lưu ý rằng trong môi trường sản xuất, bạn cần bảo vệ các máy khách trước malware,
vì split tunneling (quá trình cho phép người dùng VPN từ xa truy cập
mạng Internet khi được phép truy cập tài nguyên trên VPN, phương pháp này cho phép người dùng có thể truy cập các thiết bị từ xa chẳng hạn như máy in trong mạng, trong khi đó vẫn có thể truy cập Internet) bị vô hiệu
hóa mặc định Do split tunneling bị vô hiệu hóa nên các máy khách VPN
sẽ phải truy cập Internet thông qua tài nguyên mà bạn tạo sẵn trên mạng công ty Tài nguyên đó có thể là một TMG firewall khác hoặc web proxy, hoặc nó có thể là TMG firewall mà máy khách VPN đang kết nối để thiết lập session máy khách VPN truy cập xa
Trong ví dụ này, chúng tôi sẽ không đi tạo quy tắc cho phép truy cập Internet khi kết nối với VPN – các chính sách của bạn sẽ xác định xem
Trang 9Hình 10
Trong trang Access Rule Source, kích nút Add và kích nút Networks Sau đó kích đúp VPN Clients Network và kích Close trong hộp thoại Add Network Entities, như thể hiện trong hình 11 Kích Next
Trang 10Hình 11
Trong trang Access Rule Destination, kích nút Add Trong hộp thoại Add Network Entities xuất hiện như trong hình 12, kích nút Networks, sau đó kích đúp Internal Network Kích Close trong hộp thoại Add Network Entities Kích Next
Trang 11Trong trang User Sets, thể hiện trong hình 13, sử dụng entry mặc định là All Users Lưu ý rằng trong môi trường sản xuất, bạn có thể hạn chế
người dùng nào kết nối thông qua quy tắc này, hoặc tạo các quy tắc khác
để áp dụng cho các máy khách VPN truy cập xa Cần biết rằng, khi một máy tính kết nối qua kết nối VPN truy cập xa, TMG firewall sẽ có ngữ cảnh người dùng của session Đó là một điều tốt – vì các máy khách VPN đều giống Firewall Clients (TMG Clients) mà ở đó ngữ cảnh người dùng
có sẵn cho các kết nối được tạo thông qua TMG firewall và cho phép bạn tạo các quy tắc dựa trên người dùng hoặc nhóm người dùng nhằm cho phép các máy khách VPN kết nối đến tài nguyên nằm phía sau TMG firewall
Kích Next
Trang 12Hình 13
Trong trang Completing the New Access Rule Wizard, thể hiện trong hình 14, kích Finish
Hình 14
Trang 13Hình 15
Lúc này chúng ta hãy đi test cấu hình, bằng cách sử dụng lệnh ping đến domain controller trên mạng công ty Và kết quả như những gì các bạn thấy trong hình 16 bên dưới, nó đã làm việc vì rule đã cho phép kết nối
Hình 16 Chúng ta còn phải làm những gì nữa? Do chúng ta đã cho phép tất cả các lưu lượng nên có thể kết nối đến chia sẻ SMB hoặc chí ít cũng là thấy danh sách chúng trên domain controller Tất cả những gì bạn thấy sẽ như trong hình 17
Hình 17
Trang 14Cho đến đây mọi thứ mà chúng ta đã thực hiện đều tốt đẹp Tiếp đến chúng ta hãy đi vào xem xét các file bản ghi của TMG filewall, thể hiện trong hình 18, và tìm xem những gì xảy ra ở đây Bạn có thể thấy các
thông tin chi tiết về quá trình ping mà rule VPN Clients to Internal được phép ping đến đích 10.0.0.2 Những gì thú vị nhất ở đây là có ngữ cảnh
người dùng, đó không phải là những gì bạn mong đợi từ các máy khách non-firewall Tuy nhiên như chúng tôi đã đề cập đến từ trước, khi người dùng kết nối với tư cách một máy khách VPN truy cập xa thì bạn sẽ có các thông tin người dùng qua tường lửa và các thông tin này có thể được
sử dụng trong các rule của tường lửa Lưu ý rằng lúc nhận được thông tin người dùng khi thực hiện với máy khách Firewall (TMG), chúng ta sẽ không có sự hỗ trợ cho các giao thức phức hợp như vẫn thực hiện với máy khách Firewall (TMG)
Hình 18
Kết luận
Trong phần hai của loạt bài này, chúng tôi đã giới thiệu cho các bạn một kết nối VPN truy cập từ xa PPTP đơn giản Chúng ta đã cấu hình máy chủ PPTP VPN sau đó tạo một Access Rule để cho phép kết nối giữa máy khách VPN và tài nguyên trên mạng mặc định bên trong Tuy nhiên PPTP mới chỉ là bắt đầu, chúng tôi nghĩ chúng ta sẽ bắt đầu với một vài thứ đơn giản và chuyển sang những cấu hình phức tạp hơn, vì vậy trong phần tiếp theo của loạt bài này chúng ta sẽ tìm ra cách triển khai L2TP/IPsec VPN server
Trang 15của site kết nạp đã thay đổi đối với Windows Server 2008 R2, điều đó có nghĩa chúng ta sẽ không thể sử dụng công cụ đó để lấy các chứng chỉ website một cách dễ dàng Thêm vào đó, còn có một vấn đề với RPC filter và vấn đề này làm cho việc sử dụng các chứng chỉ MMC trở nên khó hơn Mặc dù vậy chúng tôi chúng tôi sẽ giới thiệu cho các bạn các giải pháp thích hợp để giải quyết các vấn đề đó trong phần tiếp theo