ĐỒ ÁN 5- VPN + FAILOVER+ ROUTING+ VLAN+ AAA

Isakmp policy này nói cho các peer khác tham số bảo mật nào phải được sử dụng trong VPN như là giao thức mã hóa, thuật toán hash, phương thức chứng thực, DH, lifetime như sau Một vài ISA

ĐỒ ÁN 5- VPN + FAILOVER+ ROUTING+ VLAN+ AAA

IPSec VPNs

Chương này sẽ nói về mạng riêng ảo VPN sử dụng giao thức Ípsec Giao thức này được đưa vào ASA

và được sử dụng để kết nối an toàn giữa các LAN xa về mặt địa lý qua một kết nối Internet (Site to Site VPN) hay cho phép các user ở xa kết nối với mạng trung tâm (Remote Access VPN) Trong chương này sẽ tập trung chính về hai loại VPN

Trước khi đi vào chi tiết cấu hình IPSec VPN, ta sẽ đi vào miêu tả ngăn gọn nguyên lý của giao thức IPSec để có cái hiểu đúng đắn về VPN

IPSec là gì?

- IP Security (IPSec) là một chuẩn mở IETF, chuẩn này cho phép mã hóa dữ liệu khi giao tiếp

Nó là một giao thức phù hợp cho việc cung cấp tính bảo mật, nguyên vẹn, xác thực dữ liệu Một mạng VPN là một kết nối bảo mật nhờ đường hầm riêng qua một đường truyền không bảo mật như Internet Vì lẽ đó IPSec là một giao thức lý tưởng để xây dựng các mạng riêng

ảo VPN qua internet

- IPSec làm việc ở tầng mạng, đóng gói và chứng thực các packet giữa ASA và các thiết bị

khác tham gia vào mạng VPN như là Router Cisco, Firewall Cisco hay VPN Client

- Những chuẩn và giao thức ÍPSec sau được sử dụng

o ESP (Encapsulation Security Payload): Đây là giao thức đầu tiên trong hai giao

thức quan tạo nên chuẩn IPSec Nó cung cấp tính nguyên vẹn, xác thực, bảo mật dữ

liệu ESP được sử dụng để mã hóa payload của gói tin IP

o AH (Authentication Header): Đây là giao thức thứ 2 trong hai giao thức quan trọng

của IPSec Nó cung cấp tính nguyên vẹn, xác thức, và dò trễ Giao thức này không cung caaos mã hóa, nhưng nó hoạt động như một chữ ký số điện để chắc chắn gói tin

không bị xâm phạm

o Internet Key Exchange (IKE): Đây là cơ chế được sử dụng bởi ASA cho việc giao

đổi khóa mã hóa một cách bí mật, xác thực các IPSec peer và thương lượng các tham

số IPSec

o DES,3DES,AES: Tất cả những cái này là cơ chế mã hóa được cung cấp bởi ASA

Firewall DES là thuật toán mã hóa yếu nhất (sử dụng key 56 bit) và AES là thuật toán mã hóa mạnh nhất (sử dụng 128,192,256 bit mã hóa) 3DES là sự lựa chọn mã

hóa tầm trung sử dụng 168 bit mã hóa

o DH (Diffie-Hellman Group): Đây là giao thức tạo public key và được sử dụng bởi IKE để thiết lập key phiên kết nối

o MD5,SHA-1: Đây là cả hai thuật toán Hash được sử dụng để chứng thực gói tin SHA mạnh hơn MD5

o SA (Security Association): Một SA là một kết nối giữa 2 IPSec peer Mỗi IPSec peer

duy trì một CSDL SA trong bộ nhớ của nó, nơi chứa các tham số SA SA được xác định duy nhất nhờ vào địa chỉ IP của peer đấy, giao thức bảo mật, và chỉ số bảo mật

(SPI) Cách làm việc của IPSec

- Có 5 bước chính sau :

o Interesting Traffic : Thiết bị IPSec nhận biết luồng dữ liệu cần bảo vệ

o Phase 1(ISAKMP) : Thiết bị IPSec thương lượng các chính sách bảo mật IKE và thiết

lập một kênh bảo mật cho liên lạc giữa các IPSec Peer

o Phase 2(IPSec) : Các thiết bị IPSec thương lượng chính sách bảo mật IPSec để bảo vệ

dữ liệu

o Data Tranfer : Data được truyền bảo mật giữ các IPSec peer dựa vào các tham số

IPSec và các key đã được thương lượng trong các Phase trước

o IPSec Tunnel Terminated : IPSec Sas ngắt kết nối khi timeout

đường hầm bảo mật qua kết nối Internet, và đẩy các traffic của LAN vào trong đường hầm này Kết quả là host trong mạng 192.168.1.0/24 có thể truy cập trực tiếp đến các host trong mạng 192.168.2.0/24 và ngược lại Đường hầm IPSec được thiết lập kết nối giữa hai địa chỉ

IP Public của 2 Firewall ASA là 100.100.100.1 và 200.200.200.1

- Remote Access VPN

Loại IPSec VPN thức 2 mà chúng nói là Remote Access VPN Remote User truy cập vào

mạng của LAN sẽ phải sử dụng Cisco VPN Client Loại VPN này cho phép remote User thiết lập kết nối bảo mật IPSec VPN qua Internet đến LAN của công ty Remote User phải có phần mềm Cisco VPN Client cài đặt trên máy tính cá nhân của user Phần mềm này cho phép bạn

thiết lập kết nối đến LAN của công ty Sau khi VPN được thiết lập giữa remote user và ASA firewall, user sẽ được chỉ định địa chỉ private IP từ một pool được định nghĩa trước, và sau đó cho phép remote user truy cập vào LAN

- Topo mạng trên ASA firewall bảo vệ mạng Corporate LAN và remote User với VPN client

thiết lập kết nối bảo mật đến ASA IP với dải 192.168.20.0/24 sẽ được cấp phát cho VPN

Client để liên lạc với Internal Corporate Network 192.168.1.0/24 Một khi Remote Access

VPN được thiết lập, remote user mặc định sẽ không có khả năng truy cập bất cứ cái gì ngoài internet ngoài trừ mạng Corporate LAN Xử lý điều này bằng cách cấu hình chức năng ”Split tunneling” trên ASA

Hướng dẫn cấu hình

- SITE-to-SITE IPSec VPN

 Bước 1: Cấu hình Interesting traffic

Đầu tiền chúng ta cần định nghĩa traffic mà chúng ta quan tâm và traffic này

sẽ được mã hóa Bằng cách sử dụng ACL chứng ta có thể xác định được traffic nào cần được quản lý bởi ASA Trong hình trên, chúng ta muốn tất cả các traffic giữa mạng 192.168.1.0/24 và 192.168.2.0/24 được mã hóa

Một vấn đề quan trọng phải xem xét là trong trường hợp sử dụng NAT trên firewall cho các truy cập Internet thông thường Bởi vì IPSec không làm việc với NAT, chúng ta cần phải loại trừ traffic IPSec khỏi NAT Sử dụng NAT 0

để giải quyết vấn đề này

 Bước 2: Cấu hình Phase 1 (ISAKMP)

Cách thức hoạt động của Phase 1 được sử dụng để thiết lập kênh giao tiếp

bảo mật cho việc truyền dữ liệu Ở phase 1, các VPN peer trao đổi key bí

mật, xác thực nhau, thương lượng các chính sách bảo mật IKE… Trong phase này chúng ta cấu hình isakmp policy, phải trùng với policy đã được cấu hình

ở peer bên kia Isakmp policy này nói cho các peer khác tham số bảo mật nào phải được sử dụng trong VPN (như là giao thức mã hóa, thuật toán hash,

phương thức chứng thực, DH, lifetime) như sau

Một vài ISAKMP POLICY có thể được cấu hình để đáo ứng một vài yêu cầu khác nhau từ các peer khác nhau Chỉ số ưu tiên xác định duy nhất mỗi

 Bước 3: Cấu hình Phase 2(IPSec)

Sau khi đường hầm bảo mật được thiết lập trong phase 1, bước tiếp theo là thiết lập VPN thương lượng các tham số bảo mật IPSec, cái mã sẽ được sử dụng để bảo vệ dữ liệu trong đường hầm Điều này được thực hiện trong Phase 2 của IPSec Trong Phase này các chức năng sau sẽ được thực hiện:

 Thương lượng các tham số bảo mật IPSec và tập các biến đổi ÍPSec

Định dạng câu lệnh cấu hình một transform set:

Những transform sau (giao thức/thuật toán) có thể được sử dụng trong transform1 và transform2

Transform Mô tả

bits

cho chứng thực

cho chứng thực

Một số chú hữu ích khi bạn chọn Transform protocols

 Để cung cấp tính bảo mật (mã hóa) thì sử dụng transform cho việc mã hóa ESP như là 5 ESP đầu tiền trong bảng

 Để chứng thực thì sử dụng MD5-HMAC hay SHA-HMAC

 SHA là mạnh hơn MD5 nhưng chậm hơn Sau khi cấu hình transform set trên cả 2 IPSEc peer, chúng ta cần phải cấu

hình crypto map, cái mà chứa tất cả các tham số Phase 2 IPSec Sau đó

Crypto map được áp dụng vào interface firewall (thường là Outside) nơi mà IPSec sẽ được thiết lập

Tham số seq-num trong crypto map được sử dụng để chỉ ra nhiều entries map

cùng tên cho mỗi trường hợp khi mà chúng ta có nhiều hơn 1 IPSec peer trên firewall (ví dụ ASA trong mô hình hub-and-spoke)

Hoàn thành cấu hình cho cả 2 firewall đối với việc thiết lập Phase 2

Bước 4 : Kiểm tra dữ liệu đã được mã hóa

- Kiểm tra đường hầm đã được thiết lập ?

Câu lệnh show crypto isakmp sa kiểm tra SA được thiết lập hay chưa ? Trạng thái của đường hầm up hay down hay đang chạy

- Kiểm tra dữ liệu có được mã hóa?

Câu lệnh show crypto ipsec sa xác nhận việc dữ liệu có được mã hóa và giải mã thành công hay không?

- Cấu hình Remote Access VPN

- Nhiều câu lệnh cấu hình tương tự như cấu hình Site-to-Site VPN, đặc biệt là IKE Phase 1 và Phase 2 Tương tự địa chỉ IP Pool phải được cấu hình trên firewall cho việc cấp phát động địa chỉ cho remote user

- Bước 1: Cấu hình IP Pool

Định dạng câu lệnh như sau:

Trong ví dụ này chúng ta muốn chỉ định địa chỉ cho remote user từ dải 192.168.20.0/24

- Bước 2: Mã hóa traffic và không NAT:

- Tương tự như Site-to-Site VPN, chúng ta cần xác định ACL từ Internal đến remote user (192.168.20.0/24) để loại bỏ khỏi NAT

- Bước 3: Cấu hình Group Policy

Group policy cho phép bạn phân tách các remote user theo cách khác nhau thành các nhóm với các thuộc tính khác nhau Ví dụ người quản trị hệ thống được chỉ định trong nhóm có truy cập fulltime 24h, trong khi remote user bình thường được chỉ định vào một nhóm khác có quyền truy cập từ 9h sáng đến 5h chiều Group policy cũng cung cấp địa chỉ DNS hoặc WINS server, lọc kết nối, thời gian timeout

Cú pháp như sau:

Ví dụ cấu hình:

Gỉa sử rằng tất cả các remote user sẽ cùng một group policy có tên gọi là policy” như được cấu hình như trên Policy này chỉ định địa chỉ DNS và WINS server để phân giải tên

“company-cpn-miền trong internal domain và hostname Nó được thiết lập thời gian timeout là 30 phút

- Bước 4: Cấu hình username cho việc chứng thực Remote Access

Khi một remote user kết nối bằng VPN Client, thì sẽ được yêu cầu nhập thông tin username

và password trên màn hình đăng nhập để chứng thực với firewall Vì lẽ đó chúng ta cần tạo ra usernames và password cho việc chứng thực này

Cú pháp:

Ví dụ cấu hình:

- Bước 5: Cấu hình Phase 1 (ISAKMP Policy)

Tương tự nhue Site-to-Site VPN

- Bước 6: Cấu hình Phase 2 (IPSec Parameters)

Bước này cũng tương tự như Site-to-Site VPN

- Bước 7: Cấu hình Tunnel Group cho Remote Access

Việc cấu hình Tunnel Group là trái tim của Remote Access VPN Nó kết hợp với nhau Group Policy được cấu hình trước đó, IP pool, pre-shared key

Cú pháp:

Group name là rất quan trọng bởi vì chúng ta sẽ phải chỉ định chính xác cùng tên khi cấu hình VPN client Software

Ví dụ cấu hình:

- Bước 8: Cấu hình VPN Client software

Sau khi cài đặt VPN Client, bật ứng dụng và chọn “New” để tạo một đối tượng kết nối mới

Tên của kết nối là vpn và miêu tả Trong textbox Host đánh ip public mặt ngoài của ASA

Nhập các thông tin username/password của Group phải giống như tunnel-group namevà shared-key từ bước 7 Trong ví dụ cấu hình này, Group Authentication Name là “vpnclient”

pre-và password (pre-shared-key) là “groupkey123” Sau đó save để lưu cấu hình

Sau khi lưu cấu hình cài đặt, trở lại Connection Entries Tab và chọn Connect để khởi tạo kết nối Remote Access VPN

Sau khi khởi tạo kết nối VPN, remote user sẽ được yêu cầu nhập thông tin username/password trên màn hình đăng nhập để chứng thực với firewall

Sau khi chứng thực thành công với firewall Một đường hầm bảo mật Remote Access được thiết lập Nếu bạn vào CMD rồi ipconfig /all trên máy tính của remote user, bạn sẽ thấy địa chỉ ip thuộc dải 192.168.20.0/25 được chỉ định tới interface VPN ảo Điều này cho phép remote user có toàn quyền truy cập đến mạng Corporate LAN

Cấu hình khả năng Firewall

Cisco ASA Firewall là thành phần quan trọng trong ất cứ hệ thống mạng nào và thường một vài dịch vụ quan trọng trong doanh nghiệp phụ thuộc vào khả năng sẵn sàng của Firewall Vì

lẽ đó tính dự phòng của Firewall phải được tích hợp

- Trong chương này chúng ta sẽ miêu tả năng chịu lỗi của firewall với chế độ Active/Standby Đây là cách thức cấu hình phổ biến nhất trong hầu hết hệ thống mạng ASA cũng cung cấp chế độ chịu lỗi kiểu Active/Active

- Mô hình Active/Standby

Trong mô hình Active/Standby, một trong hai firewall được chỉ định đóng vai trò làm Active

để giải quyết tất cả các traffic và các chức năng bảo mật Firewall còn lại duy trì chế độ chờ

và tự động đảm nhiệm giải quyết tất cả các traffic nếu Firewall Active bị lỗi

Chức năng chịu lỗi của stateful firewall đẩy các thông tin về trạng thái kết nối từ firewall Active đến firewall Standby Say đó chức năng chịu lỗi sẽ hoạt động, thông tin của kết như nhau có sẵn tại firewall standby, cái tự động trở thành active mà không ngắt kết nối của bất cứ user nào Thông tin về tình trạng kết nối được đồng bộ giữa active và standby bao gồm dải địa chỉ global pool, tình trạng kết nối và thông tin bảng NAT và tình trạng các kết nối TCP/UDP

và rất nhiều chi tiết khác

Mô hình mạng ở trên chỉ ra cặp firewall giữ chức năng failover theo chế độ Active/Standby Cổng Interface “inside” được kết vào cùng một Internal Switch và “Outside” kết nối vào cùng một External Switch Một cable chéo kết nối giữa hai thiết bị Firewall như là LAN Failover Link Trong suốt quá trình hoạt động bình thường, tất cả các traffic được đẩy thông qua Firewall Active, nơi mà xử lý tất cả các giao tiếp inbound và outbound Nếu sự kiện Active Firewall bị lỗi (ví dụ như interface bị down hay firewall bị lỗi) thì Standby Firewall sẽ đảm nhiệm bằng cách nhận địa chỉ Ip của Active Firewall để mà tất cả các traffic sẽ tiếp tục được

đi qua mà không có sự giám đoạn Tất các các thông tin về tình trạng kết nối được đồng bộ thông qua một kết nối Lan gọi là LAN Failover Link để cho Standby Firewall biết được tình trạng của Active Firewall

 Phải cùng dung lượng Flash và Ram

 Phải cùng chức năng bản quyền (loại mã hóa, số lượng context , số lượng VPN peers)

 Phải có bản quyền phần mềm để chạy chức năng failover

LAN Failover Link

Như được chỉ ra ở ví dụ hệ thống mạng trên, một kết nối vật lý LAN giũa hai firewall Điều này là yêu cầu bắt buộc đối với chức năng failover Một interface Ethernet phải được dự trữ cho LAN Failover Link Link này có thể là một cable chéo Ethernet kết nối trực tiếp giữa hai Firewall

Cấu hình Active/Standby Stateful Failover

- Bước 1: Chuẩn bị Active Firewall

Chọn một trong những firewalll làm chức năng Active Kết nối cable mạng cho mỗi Interface mà bạn sẽ sử dụng làm Active Firewall và kết nối nó đến một Switch Standby Firewall phải ngắt kết nối ngay Thiết lập interface của Active Firewall ở tốc

độ cố định Ví dụ bạn sử dụng câu lệnh Speed 100 và dulplex full ở chế độ cấu hình

Interface Tương tự cũng cho phép chức năng PortFast trên port Switch kết nối đến Interface của Firewall

Dự trữ hai địa chỉ IP cho mỗi Interface của Firewall và quyết định xem cái nào được chỉ định làm Active, cái nào làm Standby Hai địa chỉ IP cho mỗi Interface phải cùng subnet Ví dụ trong mô hình mạng trên, giả sử Inside Interface chúng ta sẽ sử dụng 192.168.1.1/24 cho Active Firewall, và 192.168.1.2 cho Standby Firewall Tương tự Outside Interface sẽ là 100.100.100.1 cho Active và 100.100.100.2 cho Standby Tương tự chọn địa chỉ mạng con cho việc sử dụng LAN Failover Link (Interface G0/2 trong ví dụ trên) Gỉa sử sẽ dùng 192.169.99.0/24

- Bước 2: Cấu hình LAN Failover Link trên Active Firewall

Trong topo trên, chúng ta sẽ sử dụng cổng Gigabit Ethernet G0/2 như là LAN Failover Link

Cú pháp như sau:

Ví dụ cấu hình:

- Bước 3: Cấu hình địa chỉ IP cho Interface của Active Firewall

- Bước 4: Cấu hình theo dõi trên Interface của Active Firewall

Một trong những sự kiện tạo ra cơ chế Failover là sự cố xảy ra trên Interface của firewall CHúng ta cần chỉ định ra Interface cần phải theo doi để mà chuyển qua chế độ Standby khi

interface đó lỗi Trong ví dụ chúng ta cần theo dõi trên cả inside và outside

- Bước 5: Cấu hình LAN Failover Link trên Standby Firewall

Sau khi Active Firewall được cấu hình, chúng ta cần phải cấu hình Standby firewall Cấu hình duy nhất được yêu cầu cho Standby Firewall là LAN Failover Link Ta khởi động Standby

Firewall lên và kết nối Interface nào đó đến Switch tương ứng Không kết nối LAN Failover Link giữa hai Firewall Chỉ kết nối bằng console cable và cấu hình như sau:

Chú ý rằng sự khác nhau duy nhất giữa hai firewall là “Secondary” Mặc dầu chúng ta đang cấu hình Standby Firewall, việc cấu hình địa chỉ IP phải giống như IP trên Active Firewall

- Bước 6: Khởi động lại Standby Firewall

Sử dụng câu lệnh write memory để lưu cấu hình Standby Firewall Kết nối LAN Failover Link giữa hai firewall và khởi động lại Standby Firewall

Sau khi Standby Firewall khởi động, cấu hình của Active Firewall sẽ được nhân bản tới Standby Firewall Những thông báo sau sẽ xuất hiện trên Active Firewall

Chúng ta cần sử dụng Write Memory trên active Firewall để lưu tất cả các cấu hình trên cả Active và Standy Firewall

Từ bây giờ, bất cứ cấu hình thêm nào được làm chỉ trên Active Firewall nó sẽ tự động nhân bản tới Standby Firewall Write memory trên Active Firewall sẽ lưu cấu hình cả hai firewall

Cuối cùng sử dụng Show failover để kiểm tra xem cơ chế failover có thực sự làm việc như

mong đợi

Authentication Authorization Accounting (AAA)

AAA là cơ chế điều khiển phù hợp được sử dụng bởi các thiết bị mạng để điều khiển việc truy cập mạng Chứng thức (Authentication) là cơ chế phổ biến nhất được sử dụng để xác định User là ai Việc cấp quyền (Authorization) được sử dụng cấp phép quyền cho User có thể được làm những gì trong mạng Accouting được sử dụng để thống kê User đã làm gì trong hệ thống, theo dõi những gì User đang thực hiện Trong phần này chúng ta sẽ tập trung hầu hết vào chứng thực (Authentication) sử dụng AAA Server như Cisco Access Control Server

- Cisco ASA có ba kiểu chứng thực

 Chứng thực User truy cập vào chính Firewall ASA

 Chứng thực User truy cập HTTP,HTTPS,Telnet và FTP thông qua ASA Phương thức chứng thực này được gọi là Cut-through-proxy

 Chứng thực User truy cập từ xa thông qua IPSec hay SSL VPN Tunnel (Tunnel Access Authentication)

ASA Firewall sử dụng Externa AAA Server Như đã nói ở trên, AAA Server là Cisco Secure

ACS Server (Access Control Server) Server này cung cấp hai giao thức chứng thức là

RADIUS và TACACS Một AAA Server cung cấp giải pháp tập trung bằng việc đưa ra dịch

vụ chứng thực đến tất cả các thiết bị trong mạng (Firewall, Router, Switch …) Lợi ích lớn

nhất của AAA Server là bạn có thể lưu trữ CSDL tập trung Username/Password vì thế bạn

không cần phải cấu hình Local Username/Password trên mỗi thiết bị mạng, vì vậy giúp giảm

thiểu tối đa chi phí quản trị và gia tăng chính sách bảo mật, chứng thực trên toàn hệ thống

Theo mô hình trên, máy trạm của người quản trị có thể truy cập firewall bằng cable console

hay thông qua việc sử dụng SSH, TELNET, HTTP Trước khi cho phép truy cập, ASA sẽ yêu

cầu user admin chứng thực quyền hạn của mình Username/Password được Admin cung cấp

và ASA gửi thông tin này đến AAA Server cho việc chứng thực Nếu việc chứng thực là hợp

lệ, AAA Server sẽ trả lời “Access Accept” để ASA cho phép Admin User truy cập

- Chú ý: Trước khi ASA Firewall có thể chứng thực TELNET, SSH hay HTTP, đầu tiên bạn

cần phải cấu hình ASA cho phép các giao thức quản lý sử dụng telnet,ssh,http

Ví dụ cấu hình:

Sử dụng truy cập SSH có thể được sử dụng trên tất cả các interface cảu firewall ASA (inside,

outside, dmz) Truy cập sử dụng Telnet chỉ được cho phép trên Inside Interface

- Cấu hình chứng thực sủ dụng External AAA Server

 Đầu tiên xác định nhóm AAA Server

 Sau đó chỉ định Server chứng thưc Bạn cần phải định nghĩa địa chỉ IP của AAA Server và pre-shared key, key này cũng phải được cấu hình trên AAA Server

 Cấu hình ASA Firewall yêu cầu chứng thực từ AAA Server

 Ví dụ :

 Chú ý: Cisco khuyến cáo nên sử dụng thêm chức năng chứng thực cục bộ (Local Authentication) trên ASA Điều này có nghĩa rằng khi AAA Server bị lỗi vì nhiều lý do thì ASA Firewall sẽ sử dụng Local Username/Password như là phương thức chứng thực phụ

- Chứng thực bằng Cut-through-Proxy cho kết nối Telnet,FTP,HTTP(S)

Chức năng Cut-through-Proxy của ASA cho phép ASA nhận biết User khi truy cập các dịch

vụ Telnet, Ftp, Http Firewall ASA đầu tiên kiểm tra phiên làm việc Telnet,Ftp,Http và chứng

thực người dùng bằng AAA Server Nếu việc chứng thực thành công, phiên làm việc của User

sẽ được chuyển tiếp đến Server đích

Từ mô hình trên, Webserver (10.0.0.1) trong DMZ được NAT tĩnh thành 50.1.1.1 trên

Outside Tương tự như vậy FTP Server (10.0.0.2) được NAT thành 50.1.1.2 trên Outside Khi

một user bên ngoài Internet cố gắng truy cập vào Webserver hay FTP Server, ASA sẽ tạo ra

một màn hình chứng thực cho User Sau khi User nhập thông tin chứng thực của mình, ASA

sẽ truy vấn AAA Server cho việc chứng thực Nếu chứng thực thành công, phiên làm việc của

User sẽ được ASA chuyển tiếp đến Server đích