Tìm hiểu mạng riêng ảo VP5
Trang 1Tìm hiểu mạng riêng ảo VPN (Phần 6)
Tác giả: www.vietnamlab.com
(VietCERT) - Như đề cập ở phần trước, bảo mật của VPN còn được
hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc học Micrsoft đã tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên trách công việc này cho VPN truy cập từ xa
EAPTLS là chữ viết tắt của Extensible Authentication Protocol -Transport Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật lớp truyền dẫn) Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người sử dụng (user certificate) trên cả máy khách và máy chủ IAS của mạng VPN Đây là cơ chế có mức độ an toàn nhất ở cấp độ người sử dụng
Mặc dù công nghệ thẻ thông minh hay sinh trắc học vẫn còn là khái niệm mới mẻ ở Việt Nam, chúng tôi xin giới thiệu cách cài đặt để độc giả có thể hình dung những gì Windows
hỗ trợ
Mô hình thực nghiệm VPN truy cập từ xa.
Mô hình thực nghiệm vẫn là 5 máy tính với các chức năng khác nhau (xem lại phần 3, 4 hoặc 5 để biết thêm chi tiết) Khi bắt tay vào cài đặt, bạn bật tất cả các máy (5 máy tính này đã kết nối trước với nhau như hình vẽ)
Máy DC1
Bạn sẽ định cấu hình để DC1 làm nhiệm vụ tiếp nhận tự động các chứng nhận về người
sử dụng
Trang 21 Nhấn menu Start > Run > gõ mmc ở dấu nhắc > OK.
2 Trên menu File, nhấn Add/Remove Snap-in > Add
3 Dưới mục Snap-in, kích đúp vào Certificate Templates > Close > OK
4 Trong cây chương trình, nhấn Certificate Templates Tất cả mô hình chứng nhận
sẽ được trình bày trong ô hiển thị chi tiết
5 Trong ô hiển thị chi tiết, nhấn vào mẫu User
6 Trên menu Action, nhấn vào Duplicate Template
7 Trong hộp Template display name, gõ VPNUser
8 Đánh dấu chọn trong ô Publish Certificate in Active Directory
9 Nhấn vào thẻ Security
10 Trong danh sách Group or user names, nhấn vào Domain Users
11 Trong danh sách Permissions for Domain Users, đánh dấu chọn ở các ô Read, Enroll và Autoenroll để cho phép các chức năng này
12 Nhấn vào thẻ Subject Name
13 Bỏ dấu chọn trong các ô Include E-mail name in subject name và E-mail name
Do bạn đã không định cấu hình một tên e-mail nào cho tài khoản VPNUser nên bạn phải bỏ dấu này để "phát hành" được chứng nhận người sử dụng
14 Nhấn OK
15 Mở trình quản lý Certification Authority từ thư mục Administrative Tools
16 Trong cây chương trình, mở Certification Authority > mở Example CA > Certificate Templates
17 Trên menu Action, trỏ vào New rồi nhấn Certificate Template to Issue
18 Nhấn VPNUser
19 Nhấn OK
20 Mở trình quản lý Active Directory Users and Computers
21 Trong cây chương trình, nhấn đúp vào Active Directory Users and Computers, nhấn chuột phải vào example.com > chọn Properties
Trang 322 Trên thẻ Group Policy, chọn Default Domain Policy > Edit.
23 Trong cây chương trình, mở User Configuration > Windows Settings > Security Settings > Public Key Policies
24 Trong ô hiển thị chi tiết, nhấn đúp vào Autoenrollment Settings
25 Nhấn Enroll certificates automatically Đánh dấu chọn trong ô Renew expired certificates, update pending certificates, and remove revoked certificates và ô Certificates that use certificate templates
26 Nhấn OK
Một sản phẩm thẻ thông minh dùng "trạm xử lý" GlobalAdmin của hãng Realtime dùng cho VPN truy cập từ xa.
Máy chủ IAS1
Bạn sẽ định cấu hình cho IAS1 với một chứng nhận máy tính cho thẩm định quyền truy cập EAP-TLS
Trang 41 Khởi động lại IAS1 để đảm bảo máy này đã tự động nạp một chứng nhận máy tính
2 Mở trình quản lý Internet Authentication Service
3 Trong cây chương trình, nhấn Remote Access Policies
4 Trong ô hiển thị chi tiết, nhấn đúp vào VPN remote access to Intranet Hộp thoại VPN remote access to intranet Properties xuất hiện
5 Nhấn vào Edit Profile, chọn thẻ Authentication
6 Trên thẻ Authentication, chọn EAP Methods Hộp thoại Select EAP Providers hiện ra
7 Nhấn Add Hộp thoại Add EAP xuất hiện
8 Nhấn vào Smart Card or other certificate > OK
9 Nhấn Edit Hộp thoại Smart Card or other Certificate Properties xuất hiện
10 Các thuộc tính của chứng nhận máy tính cho IAS1 được hiển thị Bước này xác định rằng IAS1 có một chứng nhận máy tính được cài đặt để thực hiện quyền thẩm định truy cập theo giao thức EAP-TLS Nhấn OK
11 Nhấn OK để lưu lại các thay đổi đối với nhà cung cấp EAP Nhấn OK để lưu các thay đổi về cài đặt cấu hình
12 Khi được hỏi xem các mục trợ giúp, nhấn No Nhấn OK để lưu các thay đổi để lưu các thay đổi đối với quy định truy cập từ xa
Các thay đổi cấu hình này sẽ cho phép truy cập từ xa trong VPN hay truy cập từ xa trong Intranet thẩm định các kết nối VPN dùng phương pháp xác định quyền truy cập theo giao thức EAP-TLS
Máy CLIENT1
Bạn cũng nạp một chứng nhận trên máy này rồi định cấu hình cho kết nối VPN truy cập
từ xa dựa trên giao thức EAP-TLS
1 Tắt máy CLIENT1
2 Ngắt kết nối khỏi phân đoạn mạng Internet mô phỏng và kết nối vào phân đoạn mạng Intranet
3 Khởi động lại máy CLIENT1 và đăng nhập bằng tài khoản VPNUser Lúc này, máy tính và Group Policy được cập nhật tự động
Trang 54 Tắt máy CLIENT1.
5 Ngắt CLIENT1 khỏi phana đoạn mạng Intranet và kết nối nó vào phân đoạn mạng Internet mô phỏng
6 Khởi động lại CLIENT1 và đăng nhập vào bằng tài khoản VPNUser
7 Trên CLIENT1, trong Control Panel, mở thư mục Network Connections
8 Trong mục Network Tasks, chọn Create a new connection
9 Trên trang Welcome to the New Connection Wizard page của New Connection Wizard, nhấn Next
10 Trên trang Network Connection Type, chọn Connect to the network at my workplace
11 Nhấn Next Trên trang Network Connection, chọn kết nối Virtual Private Network
12 Nhấn Next Trên trang Connection Name, gõ EAPTLStoMangcongty trong ô Company Name
13 Nhấn Next Trên trang Public Network, nhấn Do not dial the initial connection
14 Nhấn Next Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô địa chỉ Host name or IP address
15 Nhấn Next Trên trang Connection Availability , nhấn Next
16 Trên trang Completing the New Connection Wizard , nhấn Finish Hộp thoại Connect EAPTLStoMangcongty xuất hiện
17 Nhấn vào Properties > thẻ Security
18 Trên thẻ Security, nhấn Advanced > Settings Hộp thoại Advanced Security Settings xuất hiện
19 Trong hộp thoại Advanced Security Settings, nhấn vào Use Extensible Authentication Protocol (EAP)
20 Nhấn vào Properties Trong hộp thoại Smart Card or other Certificate Properties, nhấn Use a certificate on this computer
21 Nhấn OK để lưu các thay đổi trong hộp thoại Nhấn OK để lưu các thay đổi trong Advanced Security Settings Nhấn OK để lưu các thay đổi trong thẻ Security Kết
Trang 6nối ngay lập tức được khởi tạo và dùng đến chứng nhận người sử dụng vừa cài đặt Lần đầu tiên bạn thử kết nối, máy có thể mất vài lần mới hoạt động thành công
22 Khi kết nối thành công, bạn hãy chạy trình duyệt web
23 Trong ô Address, gõ http://IIS1.example.com/iisstart.htm Bạn sẽ nhìn thấy thông báo trang web đang trong quá trình xây dựng Trên thực tế, đây phải là một tên miền thật
24 Nhấn Start > Run, gõ \\IIS1\ROOT > OK Bạn sẽ thấy nội dung của ổ nội bộ (ổ C) trên IIS1
25 Nhấn chuột phải vào kết nối EAPTLStoMangcongty rồi nhấn Disconnect
Các máy còn lại được cài đặt như trong phần 4
Các lưu ý khi sử dụng quyền chứng nhận CA (Certificate Authority) của các bên phát triển thứ 3 cho cơ chế thẩm định quyền truy cập theo giao thức EAP-TLS:
Chứng nhận trên máy chủ thẩm định phải:
- Được cài đặt trong kho chứng nhận của máy tính nội bộ
- Có một key riêng tương ứng
- Có nhà cung cấp dịch vụ mật mã để hỗ trợ Nếu không, chứng nhận không thể được dùng và không thể chọn được từ trình Smart Card or Other Certificate trên thẻ Authentication
- Có mục đích chứng nhận thẩm định quyền truy cập máy chủ, còn được gọi là EKU (Enhanced Key Usage)
- Phải chứa tên miền được thẩm định đầy đủ, gọi là FQDN, của tài khoản máy tính trong Subject Alternative Name của chứng nhận
Hơn nữa, các chứng nhận CA gốc của các CA phải được cài đặt trong kho chứng nhận Trusted Root Certification Authorities của các máy chủ thẩm định
Chứng nhận trên các máy khách VPN phải:
- Có một key riêng tương ứng
- Phải chứa EKU thẩm định quyền truy cập cho máy khách
- Phải được cài đặt trong kho chứng nhận của Current User
Trang 7- Chứa tên UPN (universal principal name) của tài khoản người sử dụng trong Subject Alternative Name của chứng nhận
Ngoài ra, các chứng nhận CA gốc của các CA (đã phát hành các chứng nhận máy tính trên máy chủ IAS) phải được cài đặt trong kho Trusted Root Certification Authorities của máy khách VPN