Ngoài việc tạo kết nối VPN site to site, wizard còn cho phép bạn có được tùy chọn tạo ISA Firewall tại văn phòng chi nhánh một thành viên miền, đây thực sự là một cách thức tốt nhất của
Trang 1Tạo VNP Site to Site bằng ISA 2006 Firewall Branch Office Connection
Wizard – Phần 1
Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn về cách cấu hình một mạng riêng ảo (VPN) site to site bằng cách sử dụng Branch Office Connectivity Wizard trong ISA 2006 Firewall
Virtual Private Network (VPN) - Mạng riêng ảo là một công nghệ cho phép
mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào VPN được dùng để kết nối các chi nhánh phân
Trang 2tán về mặt địa lý thành một mạng duy nhất và cho phép sử dụng từ xa các chương trình ứng dụng dựa trên các dịch vụ trong công ty
Kịch bản Domain Controller cho văn phòng chi nhánh
Một trong những cải tiến có trong phiên bản Enterprise của ISA 2006
Firewall là Branch office connectivity wizard Trong ISA 2000, chúng ta đã
có site to site VPN wizard để có thể tạo dễ dàng một VPN site to site Mặc
dù trong ISA 2004, site to site VPN wizard được nhiều người ưa thích này
đã biến mất, tuy nhiên mọi người sẽ không gặp bất kỳ một trở ngại nào trong việc làm cho một VPN site to site làm việc giữa hai ISA Firewall Nhóm phát triển ISA Firewall đã có những cải tiến để chúng ta có được một site to site VPN wizard thú vị, Branch Office Connectivity Wizard là tên được đặt lại
Branch Office Connectivity Wizard sử dụng các thông tin chứa trong cấu hình Remote Site mà bạn tạo tại văn phòng chính và sử dụng các thông tin
đó để trợ giúp cho việc tạo VPN site to site trở nên dễ dàng hơn Khi kết thúc wizard, một file sẽ được tạo để bạn có thể đưa đến ISA Firewall văn phòng chi nhánh nhằm tạo một VPN site to site Ngoài việc tạo kết nối VPN site to site, wizard còn cho phép bạn có được tùy chọn tạo ISA Firewall tại văn phòng chi nhánh một thành viên miền, đây thực sự là một cách thức tốt nhất của ISA Firewall vì tính bảo mật toàn diện của một thành viên miền mạnh hơn nhiều so với một ISA Firewall đứng độc lập
Trong loạt bài về sử dụng ISA Firewall Branch Office Connectivity Wizard
để tạo một VPN site to site này, đầu tiên chúng tôi sẽ giới thiệu qua quá trình tạo một kết nối VPN site to site bằng Wizard, sau khi tạo xong một VPN site
to site, chúng ta sẽ tạo các luật truy cập (Access Rule) cho bộ điều khiển
miền (domain controller) của văn phòng chi nhánh, các máy khách thành
Trang 3viên miền tại văn phòng chi nhánh và sử dụng đặc quyền tối thiểu để thực hiện điều này
Hình bên dưới thể hiện một cái nhìn tổng quan về mạng lab được sử dụng trong loạt bài này
Hình 1
Có 5 máy tính được sử dụng trong kịch bản này:
Dedicated CSS (css2006.msfirewall.org) Một CSS chuyên dụng sẽ
được sử dụng để quản lý CSS cho các mảng tường lửa ISA Enterprise Edition Sẽ có hai mảng ISA Firewall: một mảng cho ISA Firewall tại văn phòng chính và một mảng ISA Firewall cho văn phòng chi nhánh Chúng ta không thể đặt các ISA Firewall của văn phòng chi nhánh và văn phòng chính trong cùng một mảng vì các địa chỉ truyền thông mảng nội bộ cho tất cả các thành viên mảng phải nằm trên cùng một
ID mạng, và điều đó là không thể khi các thành viên mảng được đặt
Trang 4tại các văn phòng chi nhánh Mặc dù vậy, chúng ta có thể sử dụng chính sách doanh nghiệp cho tất cả các mảng trong cùng một ISA Firewall Enterprise
Domain Controller (dc.msfirewall.org) Tất cả các máy tính trong
kịch bản này đều thuộc về cùng một miền, đó là msfirewall.org
Main office ISA Firewall (isa2006se.msfirewall.org) Máy tính này
là ISA Firewall văn phòng chính và sẽ thuộc về mảng mạng có tên
Main Máy này là một thành viên miền, và có một interface bên trong
và bên ngoài
Branch office ISA Firewall (isa2006branch.msfirewall.org) Máy
tính này là ISA Firewall văn phòng chi nhánh và sẽ được đặt là một thành viên miền bằng branch office connectivity wizard Windows Server 2003 được cài đặt trên máy tính này và ban đầu nó là một máy chủ độc lập ISA 2006 cũng sẽ được cài đặt trên máy tính này khi nó
là một máy chủ độc lập Sau khi ISA 2006 Enterprise Edition được cài đặt trên máy, chúng ta sẽ chạy Branch Office Connectivity Wizard trên máy này, tạo VPN site to site và join vào miền Wizard cũng sẽ kết nối ISA Firewall văn phòng chi nhánh với mảng văn phòng chi nhánh đã được cấu hình trên CSS văn phòng chính
Branch office Domain Controller Đây là một Domain controller văn
phòng chi nhánh mà người dùng ở đây sẽ sử dụng để thẩm định
Trang 5Chúng ta sẽ tạo các Access Rule mang tính tùy chỉnh để cho phép DC
có thể truyền thông với DC tại văn phòng chính
Chúng ta cũng sẽ tạo những thay đổi đối với cấu hình DNS của ISA Firewall văn phòng nhánh để nó có thể sử dụng DC văn phòng nhánh sau khi cấu hình hoàn tất
Các thủ tục gồm có:
Cấu hình máy chủ DNS văn phòng chính để từ chối các nâng cấp
động, add các entry DNS tĩnh cho các mảng và ISA Firewall văn
phòng chi nhánh
Cài đặt CSS trên máy CSS chuyên dụng (Dedicated CSS)
Cài đặt các dịch vụ của Firewall trên ISA Firewall văn phòng chính (Main office ISA Firewall)
Cài đặt CSS nội bộ và Firewall Services trên ISA Firewall văn phòng chi nhánh (Branch office ISA Firewall)
Tạo answer file tại ISA Firewall văn phòng chính để cho branch office connectivity wizard sử dụng
Chạy Branch Office Connectivity Wizard trên ISA Firewall văn
phòng chi nhánh
Trang 6
Tạo Access Rules để cho phép truyền thông trong miền giữa các DC của văn phòng chi nhánh
Cài đặt DC tại văn phòng chi nhánh
Tạo những thay đổi DNS tại văn phòng chi nhánh để ISA Firewall sử dụng DC của văn phòng chi nhánh
Những lưu ý về VPN Site to Site
Một trong những phần bận rộn nhất trên ISAserver.org phải kể đến các phần VPN và nó thường là các vấn đề về VPN site to site Lý do cho điều này theo tôi chính là nhiều người không hiểu về cách các kết nối VPN site to site làm việc như thế nào và một số yêu cầu cơ bản gì cho các kết nối đó làm việc
VPN Gateway là một VPN Router
Khi ISA Firewall được cấu hình làm VPN gateway site to site, ISA Firewall
sẽ trở thành một router cho các ID mạng nằm phía sau VPN gateway từ xa Cho ví dụ, giả sử rằng văn phòng chính nằm trên ID mạng 10.1.0.0/16 và các địa chỉ IP của văn phòng chi nhánh nằm trên ID mạng 10.2.0.0/16 Khi một host tại văn phòng chính cần kết nối đến một ID mạng từ xa,
10.2.0.0/16, nó phải thực hiện thông qua VPN gateway tại văn phòng chính
Để làm việc, các máy khách trong mạng văn phòng chính phải được cấu hình với địa chỉ cổng để biết tuyến đến ID mạng 10.2.0.0/16 ISA Firewall biết rõ về tuyến, vì vậy các máy khách được cấu hình để sử dụng ISA
Firewall với tư cách gateway mặc định của chúng sẽ có thể truy cập đến mạng từ xa thông qua VPN gateway của ISA Firewall
Trang 7Chúng tôi thấy có rất nhiều câu hỏi đề cập đến cách “fix” các vấn đề gặp phải khi các site từ xa và nội bộ được đánh địa chỉ với cùng ID mạng Họ muốn biết liệu có cách nào có thể “fix” vấn đề này Câu trả lời là thực sự không có cách nào có thể “fix” vấn đề này từ quan điểm định tuyến, vì các
hệ thống máy khách kết nối với các ID mạng nội bộ sẽ không bao giờ
chuyển tiếp các kết nối đến một địa chỉ cổng Tại sao các máy khách sẽ chuyển tiếp các kết nối đến ID mạng nội bộ sang một gateway khi không được yêu cầu và vi phạm tất cả các nguyên lý định tuyến tenets của TCP/IP?
Nhớ việc phân định tên
Một vấn đề khác thường gặp phải nữa với các VPN site to site là sự phân định tên Các máy khách tại văn phòng chi nhánh cần khả năng phân định các tên máy tính tại văn phòng chính, và tại cả văn phòng chi nhánh Để thực hiện được điều này, cần phải có một cơ sở hạ tầng máy chủ DNS thích hợp có thể phân định tất cả các tên Thêm vào đó, bạn cũng cần nghĩ liệu người dùng tại văn phòng chi nhánh có nên phân định hostname Internet một cách trực tiếp hay phụ thuộc vào ISA Firewall tại các văn phòng chi nhánh hoặc văn phòng chính để phân định hostname nhân danh của họ
Có hai kịch bản chính liên quan đến việc phân định tên tại văn phòng chi nhánh: một là có một domain controller tại văn phòng chi nhánh và hai là không có domain controller tại văn phòng chi nhánh Nếu công ty giữ các
DC tại văn phòng chi nhánh, các host tại văn phòng chi nhánh có thể sử dụng domain controller nội bộ của họ để đăng nhập vào phân định tên, vì máy tính đó có thể được cấu hình như một máy chủ DNS tích hợp Active Directory Trường hợp nếu không có domain controller tại văn phòng chi nhánh, các máy khách tại các văn phòng chi nhánh có thể được cấu hình để
Trang 8sử dụng máy chủ DNS tại văn phòng chính nhằm mục đích phân định tên miền cho các máy chủ tại văn phòng chi nhánh và văn phòng chính
Phân định hostname Internet là một vấn đề khác Một số tổ chức thích cho máy khách có thể tự phân định hostname Internet (quá trình được yêu cầu cho các máy khách SecureNET), trong khi đó một số tổ chức khác lại muốn
có sự kiểm soát chặt chẽ về sự phân định hostname Internet và chỉ cho phép ISA Firewall có thể phân định tên với tư cách các máy khách
Có nhiều cách có thể thực hiện quá trình phân định này tuy nhiên tôi không thể cung cấp cho bạn được một công thức nào để nhận biết về cách nào tốt nhất Mặc dù vậy, những gì tôi thường thực hiện là cấu hình ISA Firewall và các host trên mạng công ty để sử dụng các máy chủ DNS tích hợp Active Directory nhằm phân định hostname, sau đó cấu hình các máy chủ DNS này
sử dụng một bộ chuyển tiếp được điều khiển bởi công ty để phân định
hostname Internet
Một vấn đề quan trọng trong việc phân định tên trong môi trường văn phòng chi nhánh liên quan đến các entry WPAD Như bạn biết, cả Web proxy và các máy khách Firewall đều sử dụng các entry WPAD để tự động phát hiện địa chỉ nội bộ của ISA Firewall để sử dụng cho các kết nối Web proxy và Firewall client với ISA Firewall Điều này có thể hơi khó hiểu khi bạn sử dụng một cơ sở hạ tầng DNS riêng cho các văn phòng chi nhánh và văn phòng chính, vì bạn không thể sử dụng một entry WPAD cho tất cả các địa điểm, giả định bạn muốn các host có thể kết nối đến các ISA Firewall nội
bộ Nói một cách khác, nếu bạn muốn tất cả các host kết nối với Internet thông qua một mảng Firewall văn phòng chính thì bạn hoàn toàn có thể sử dụng một entry WPAD
Trang 9Bạn có thể giải quyết vấn đề bằng cách tạo nhiều entry WPAD, một cho văn phòng chính và một cho mỗi văn phòng chi nhánh, sau đó kích hoạt trình tự
mặt nạ mạng (netmask ordering) trên các máy chủ DNS Khi netmask
ordering được kích hoạt, các máy chủ DNS sẽ phân định các truy vấn
WPAD để so khớp với ID mạng nhận yêu cầu Điều đó có nghĩa rằng khi một host tại một văn phòng chính gửi một truy vấn WPAD đến DNS, địa chỉ được trả về sẽ là địa chỉ gần nhất với ID mạng của host tại văn phòng chính
và khi truy vấn WPAD được nhận bởi một host tại văn phòng chi nhánh, địa chỉ được trả về sẽ là địa chỉ gần nhất với ID mạng nơi đặt host của văn
phòng chi nhánh
Để xem thêm thông tin về cách thực hiện này, bạn có thể tham khảo thêm bài báo của tác giả Stefaan Pouseele tại đây
Một vấn đề DNS cuối cùng mà bạn cần xem xét là sự ảnh hưởng của các đăng ký DDNS cho các VPN gateway Khi DDNS được kích hoạt trên máy chủ DNS, giao diện RAS (RAS interface) của ISA Firewall sẽ tự đăng ký trong DNS và sinh ra các vấn đề kết nối cho Web proxy và Firewall client,
vì chúng sẽ cố gắng kết nối đến giao diện RAS chứ không phải địa chỉ LAN thực của ISA Firewall Với lý do này, trong kịch bản được thảo luận trong loạt bài này, chúng tôi sẽ vô hiệu hóa DDNS trên các máy chủ DNS khi tạo VPN gateway và sau đó sẽ nghiên cứu tỉ mỉ xem có thể vô hiệu hóa vấn đề đăng ký DDNS trong demand-dial interface bằng cách sử dụng giao diện RRAS
Các giao thức VPN
ISA Firewall hỗ trợ ba giao thức VPN cho các site to site VPN: IPSec tunnel mode, L2TP/IPSec và PPTP
Trang 10Sự hỗ trợ IPSec tunnel mode được giới thiệu trong ISA 2004 để ISA
Firewall có thể được sử dụng như một site to site VPN gateway với các VPN gateway của bên thứ ba Đây chỉ là một kịch bản bạn nên sử dụng IPSec tunnel mode, vì IPSec tunnel mode vẫn bị coi là một giao thức kém an toàn
và hiệu suất thấp hơn so với L2TP/IPSec Thêm vào đó, sự hỗ trợ định tuyến cho IPSec tunnel mode rất khó và bị hạn chế
L2TP/IPSec là một giao thức site to site VPN khá được ưa thích khi cả hai
phía của site to site VPN đều đang sử dụng ISA Firewall hoặc VPN gateway của bên thứ ba có hỗ trợ L2TP/IPSec Do L2TP/IPSec hỗ trợ các khóa được chia sẻ trước, trong một môi trường an toàn, nên bạn phải sử dụng sự thẩm định chứng chỉ cho cả tài khoản máy tính và tài khoản người dùng đã được
sử dụng để thẩm định đường hầm VPN Tuy đây là một cấu hình rất an toàn nhưng hầu hết các công ty mà tôi bắt gặp thường sử dụng thẩm định non-EAP cho các tài khoản người dùng với demand-dial interface và sử dụng thẩm định chứng chỉ cho các tài khoản máy tính
PPTP là giao thức dễ dàng nhất để hỗ trợ cho các kết nối site to site VPN
Không yêu cầu chứng chỉ và hầu hết các quản trị viên ISA Firewall sẽ phát hiện thấy ở PPTP mỗi điều là “chỉ làm việc” Nhược điểm của PPTP là kém
an toàn hơn so với L2TP/IPSec vì những thông tin quan trọng (credentials hash) đều được gửi trên một kênh không an toàn Chính vì vậy, mức bảo mật của kết nối PPTP có thể cung cấp phụ thuộc chủ yếu vào độ phức tạp của mật khẩu Thêm vào đó, PPTP không cung cấp các tính năng
non-repudiation (không thoái thác) và sự bảo vệ chống replay mà L2TP/IPSec
cung cấp
Khi sử dụng IPSec tunnel mode để kết nối với các VPN gateway của bên thứ
ba, hoàn toàn không có cách thực hiện dễ dàng nào Thứ đầu tiên mà bạn
Trang 11nên thử là các thông tin về việc sử dụng ISA Firewall với các VPN gateway của bên thứ ba tại website của Microsoft
Nếu hướng dẫn đó không phù hợp với kịch bản triển khai thì bạn sẽ phải quay trở lại với những hiểu biết của mình về IPSec và bảo đảm rằng tất cả các tham số IPSec đều đúng trên cả hai phía Thậm chí có trường hợp khi thấy các tham số IPSec đúng trên cả hai phía, bạn vẫn có thể gặp các vấn đề với các VPN gateway không có sự tuân thủ RFC (non-RFC compliant) Cho
ví dụ, có một vài báo cáo về các Sonicwall firewall không làm việc với VPN gateway của ISA Firewall vì chúng không có sự tuân thủ RFC (RFC
compliant) và không cho phép cổng nguồn nào đó cho IKE ngoài UDP 500
Do ISA Firewall có sự tuân thủ RFC, nên nó có thể sử dụng một cổng khác
và vì vậy không kết nối đến thiết bị Sonicwall Trong trường hợp của
Sonicwall, có thể một nâng cấp phần mềm đã tạo sự tuân thủ RFC cho thiết
bị
Một vấn đề hay gặp khác đối với site to site VPN là các tài khoản người
dùng không được cấu hình phù hợp với demand-dial interface name (Lưu ý:
Interface name bên này là username bên kia!) Khi xảy ra điều này, có lúc nó
có thể xuất hiện mà site to site VPN được kết nối, tuy nhiên không có lưu lượng từ một mạng này sang mạng khác qua các VPN gateway, hoặc có thể giống như các kết nối được cho phép từ một mạng, tuy nhiên không từ mạng khác Lý do cho điều này là vì kết nối site to site VPN không được thiết lập Bạn có thể xác nhận điều đó bằng cách mở giao diện RRAS và kiểm tra mục
Remote Access Clients trong phần panel bên trái Nếu thấy một kết nối máy
khách truy cập từ xa cho VPN gateway từ xa, thì bạn sẽ biết rằng kết nối VPN của máy khách truy cập từ xa đã được tạo mà không phải kết nối site to
