Tải bản đầy đủ (.pdf) (8 trang)

Tài liệu Tạo VPN Site-to-site trên ISA 2006 (Phần 1) doc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (288.01 KB, 8 trang )

Tạo VPN Site-to-site trên ISA 2006 (Phần 1)
Ngu

n:quantrimang.com
Cấu hình một mạng riêng ảo VPN Site-to-site, sử dụng chương trình kết nối
Branch Office Connection Wizard như thế nào.

Branch Office Domain Controller

Một trong những cải tiến nâng cao ở phiên bản Enterprise Edition của ISA
Firewall là chương trình Branch Office Connectivity Wizard (dùng để kết nối chi
nhánh với trụ sở chính cho các công ty). Trong ISA 2000, chương trình Site to
Site VPN Wizard đã được tích hợp, giúp bạn dễ dàng tạo mạng riêng ảo Site-to-
site. Nhưng ISA 2004 lại bỏ qua chức năng này, khiến việ
c tạo VPN site-to-site
giữa hai tường lửa ISA Firewall trở nên khó khăn. May mắn là phiên bản mới
nhất, ISA 2006 đã tích hợp lại thành phần này dưới cái tên Branch Office
Connectivity Wizard.

Branch Office Connectivity Wizard sử dụng thông tin nằm trong cấu hình Remote
Site tại trụ sở chính, giúp bạn dễ dàng hơn khi tạo mạng riêng ảo VPN Site to
Site. Khi làm việc với Wizard, một file sẽ được tạo giúp bạn có thể dùng ISA
Firewall ở văn phòng chi nhánh trong việc hình thành mạng riêng ảo VPN site-to-
site. Wizard còn cung cấp tùy chọn tạo ISA Firewall Domain Member Branch
Office (ISA Firewall cho văn phòng chi nhánh thành viên mi
ền), là ISA Firewall
thực tế nhất. Vấn đề bảo mật của domain member ISA Firewall đã mạnh hơn rất
nhiều, có thể đứng riêng thành một ISA Firewall độc lập.

Trong loạt bài về sử dụng ISA Firewall Branch Office Connectivity Wizard để tạo
mạng riêng ảo site-to-site này, phần đầu tiên chúng tôi sẽ giới thiệu về quá trình


tạo kết nối VPN site to site sử dụng Wizard. Sau đó sẽ là tạo các Access Rule
(tức các quy tắc được sử dụng), cho phép máy chủ qu
ản lý miền hoặc máy
khách thành viên miền được đặt vị trí tại văn phòng chi nhánh và dùng đặc
quyền tối thiểu nhất để trong việc này.

Hình bên dưới minh họa khái quát ở mức cao của mạng thí nghiệm dùng trong
loạt bài của chúng ta.

Hình 1
Có 5 máy được dùng:

• Dedicated CSS (css2006.msfirewall.org): một CSS chuyên dụng sẽ được
dùng để cung cấp chỗ trú CSS cho các mảng tường lửa ISA Enterprise Edition.
Có hai mảng ISA Firewall: một dành cho mảng ISA Firewall tại trụ sở chính và
một dành cho văn phòng chi nhánh. Chúng ta không thể đặt tường lửa ISA
Firewall cho trụ sở chính và văn phòng chi nhánh vào cùng một mảng, vì các
phương tiện liên lạc bên trong dành cho tất cả thành viên phải trên cùng một ID
mạng. Điều này không thể thực hiện được khi thành viên mảng n
ằm trên văn
phòng chi nhánh. Tuy nhiên bạn có thể áp dụng chính sách doanh nghiệp này
cho tất cả các mảng trong cùng một ISA Firewall Enterprise.

• Domain Controller (dc.msfirewall.org): Tất cả các máy trong trường hợp này
đều thuộc cùng một domain, là msfirewall.org.

• Main office ISA Firewall (isa2006se.msfirewall.org): máy này là ISA Firewall
ở trụ sở chính và thuộc về một mảng có tên Main. Đây là một thành viên miền,
có giao diện nội bộ và ngoại diên.


• Branch office ISA Firewall (isa2006branch.msfirewall.org): Máy này là ISA
Firewall ở văn phòng chi nhánh, là thành viên của domain sử dụng Branch Office
Connectivity Wizard. Máy này sử dụng Windows Server 2003 và ban đầu là một
server
độc lập. ISA 2006 sẽ được cài đặt trên máy khi nó là một server độc lập.
Sau khi cài đặt xong ISA 2006 Enterprise Edition, chúng ta sẽ chạy Branch
Office Connectivity Wizard cũng trên máy này để tạo mạng riêng ảo VPN site-to-
site và kết hợp máy vào domain. Wizard cũng sẽ kết nối ISA Firewall branch
office vào mảng chi nhánh văn phòng cấu hình trên CSS tại trụ sở chính.

• Branch office Domain Controller: Đây là máy chủ điều khiển miền (Domain
Controller - DC) ở chi nhánh văn phòng. Người dùng ở các chi nhánh đó sẽ sử
dụng để chứng thực thông tin. Chúng ta sẽ tạo các Access Rule tùy biến cho
phép DC liên kết với DC ở trụ sở
chính.

Chúng ta cũng sẽ tạo các thay đổi cho cấu hình DNS (Domain Name System -
Hệ thống tên miền) của ISA Firewall văn phòng chi nhánh để có thể dùng branch
office DC sau khi cấu hình hoàn tất.
Site-to-site Bằng việc sử
dụng một thiết bị chuyên dụng
và cơ chế bảo mật diện rộng,
mỗi công ty có thể tạo kết nối
với rất nhiều các site qua một
mạng công cộng như Internet.

Site-to-site VPN có thể thuộc
một trong hai dạng sau:

- Intranet VPN

Áp dụng trong trường hợp
công ty có một hoặc nhiều địa
điểm ở xa, mỗi địa điểm đều
đã có một mạng cục bộ LAN.
Khi đó họ có thể xây dựng một
mạng riêng ảo để kết nối các
mạng cục bộ vào một mạng
riêng thống nhất.

- Extranet VPN
Khi một công ty có một mối
quan hệ mật thiết với một
công ty khác (ví dụ như, một
đối tác, nhà hỗ trợ hay khách
hàng), họ có thể xây dựng một
mạng extranet VPN để kết nối
kiểu mạng Lan với mạng LAN
Các thủ tục bao gồm:

• Cấu hình DNS server trụ sở chính để loại bỏ
các bản update động và thêm các điểm vào
DNS tĩnh cho tên mảng và ISA Firewall văn phòng chi nhánh.

• Cài đặt CSS trên máy CSS chuyên dụng.

• Cài đặt các dịch vụ Firewall trên ISA Firewall trụ sở chính.

• Cài đặt CSS cục bộ và các Firewall Service trên ISA Firewall nhánh văn phòng.

• Tạo file trả lời tại ISA Firewall main office, sẽ được dùng trong Branch Office

Connectivity Wizard.

• Chạy Branch Office Connectivity Wizard trên ISA Firewall branch office.

• Tạo các Access Rule cho phép liên lạc bên trong miền giữa các domain
controller ở trụ sở chính và văn phòng chi nhánh.

• Cài đặ
t DC ở văn phòng chi nhánh.

• Tạo các thay đổi DNS tại văn phòng chi nhánh để ISA Firewall sử dụng DC
branch office.

Một số điểm cần chú ý về các VPN Site to Site

Một trong những khu vực nhộn nhịp nhất của website ISA server.org là các
mảng về VPN. Trong đó, vấn đề được đề cập đến nhiều nhất là kết nối VPN site
to site. Lý do chắc hẳn là vì nhiều người không hiểu cách thức hoạt động của
chúng ra sao và không biết một s
ố điều kiện tiên quyết cơ bản khi muốn tạo ra
chúng là như thế nào.

VPN Gateway chính là Router cho mạng riêng ảo.

Khi ISA Firewall được cấu hình như một cổng vào (gateway) cho VPN site to
site, nó trở thành một router với các ID mạng đặt sau cổng vào VPN từ xa. Ví dụ,
giả sử trụ sở chính được đặt ở ID mạng là 10.1.0.0/16 và các địa chỉ IP của văn
phòng chi nhánh được đặt trên ID mạng 10.2.0.0/16. Khi một host ở trụ sở chính
cần k
ết nối tới ID mạng từ xa 10.2.0.0/16, nó phải thực hiện qua cổng vào mạng

riêng ảo tại trụ sở chính.

Để thực hiện việc này, các máy khách trên mạng ở trụ sở chính phải được cấu
và cho phép các công ty đó có
thể làm việc trong một môi
trường có chia sẻ tài nguyên.
hình với một địa chỉ cổng vào biết định hướng tới ID mạng 10.2.0.0/16. ISA
Firewall hoàn hoàn có thể thực hiện được chức năng này nên các client được
cấu hình sử dụng ISA Firewall như một cổng vào mặc định. Với các hệ thống
client không dùng ISA Firewall mặc định, các host phải được cấu hình sử dụng
rounter LAN với chức năng định tuyến điểm vào bảng để gửi các kết nối tới ID
mạng 10.2.0.0/16 và địa chỉ IP mạng LAN của ISA Firewall.

Tôi thấy có rất nhiều câu hỏi liên quan đến cách làm thế nào “sửa chữa” được
vấn đề gặp phải khi lớp cục bộ và lớp từ xa có cùng một ID mạng. Nhiều người
thắc mắc liệu có cách nào xử lý được vấn đề này không. Câu trả lời là KHÔNG,
dưới góc độ định tuyến. Vì các hệ thống client thực hiện kết nối với ID của m
ạng
cục bộ sẽ không bao giờ gửi kết nối tới địa chỉ cổng vào. Vậy tại sao các client
vẫn gửi kết nối tới ID mạng cục bộ và các gateway dù không được yêu cầu và vi
phạm tất cả nguyên lý của các quy tắc định tuyến TCP/IP?

Giải pháp tên

Một vấn đề phổ biến khác trong các mạng riêng ảo theo lớp là giải pháp tên. Các
client ở văn phòng chi nhánh cần xử lý được các tên máy tính ở
trụ sở chính, và
thông thường cả ở chi nhánh nữa. Muốn thực hiện được điều đó cần phải có cơ
sở hạ tầng server DNS phù hợp, có thể xử lý được tất cả các tên. Ngoài ra bạn
cần phải xem xét, liệu người dùng ở văn phòng nhánh có thể xử lý được tên host

Internet trực tiếp không, hay phụ thuộc vào ISA Firewall ở trụ sở chính hoặc
ngay ở chi nhánh.

Có hai vấn đề chính liên quan đế
n giải pháp tên ở mức chi nhánh văn phòng: có
hoặc không có Domain Controller (DC). Nếu công ty sử dụng DC tại các branch
office, các host tại văn phòng nhánh có thể dùng Domain Controller cục bộ để
đăng nhập và xử lý tên. Các máy có thể được cấu hình như một Active Directory
tích hợp server DNS. Nếu không có DC tại văn phòng nhánh, các client tại văn
phòng đó có thể được cấu hình để sử dụng server DNS của trụ sở chính, xử lý
tên cho các server ở cả văn phòng chính và văn phòng nhánh.

Xử lý tên host Internet là vấn
đề riêng biệt. Một số tổ chức vui vẻ cho phép các
máy khách tự xử lý tên host Internet (dành cho các client SecureNET). Trong khi
đó một số tổ chức khác muốn có khả năng kiểm soát vấn đề này chỉ cho phép
ISA Firewall xử lý tên trên danh nghĩa của các máy khách.

Có nhiều phương thức xử lý tên host Internet và thật khó để nói được phương
thức nào là tốt nhất. Cách thức hay được dùng nhất là thực hiện cấu hình ISA
Firewall và host trên mạng hợp nhất, sử dụng Active Directory tích hợp v
ới
server DNS. Đầu tiên sẽ là xử lý tên máy, sau đó cấu hình Active Directory tích
hợp DNS sử dụng bộ gửi do công ty điều khiển.

Một vấn đề quan trọng trong xử lý tên ở môi trường văn phòng nhánh là các
điểm vào WPAD. Như bạn đã biết, cả Web proxy và Firewall client đều dùng
điểm vào WPAD để tự động phát hiện địa chỉ cục bộ của ISA Firewall, dùng cho
Web proxy và các kết nối client Firewall tới ISA Firewall. Vấn đề này có thể trở
nên nan giải khi bạn dùng một cơ sở hạ tầng DNS đơn cho cả văn phòng chi

nhánh và trụ sở chính, vì bạn không thể dùng
điểm vào WPAD đơn cho tất cả
mọi khu vực dù bạn muốn các host kết nối tới ISA Firewall cục bộ. Nhưng nếu
muốn kết nối các host vào Internet qua một mảng Firewall ở trụ sở chính, bạn có
thể dùng điểm vào WPAD đơn.

Bạn có thể xử lý vấn đề bằng cách tạo đa điểm vào WPAD, một cho trụ sở chính
và mỗi cái còn lại cho từng văn phòng nhánh, sử d
ụng trật tự netmask trên các
server DNS. Khi trật tự netmask được phép sử dụng, các DNS server sẽ xử lý
truy vấn WPAD để khớp với ID mạng từ nơi yêu cầu được gửi đến. Có nghĩa là,
khi một host ở trụ sở chính gửi truy vấn WPAD tới DNS, địa chỉ trả về là địa chỉ
nằm gần ID mạng của host tại trụ sở chính nhất. Khi truy vấn WPAD được một
host ở văn phòng nhánh nh
ận, địa chỉ trả về sẽ là địa chỉ gần ID mạng của văn
phòng nhánh đó nhất.

Vấn đề cuối cùng liên quan đến DNS bạn cần xem xét là tác động của các đăng
ký DDNS cho cổng vào mạng riêng ảo (VPN). Khi DDNS được sử dụng trên
DNS server, giao diện RAS của Firewall sẽ tự đăng ký trong DNS và tạo các vấn
đề kết nối cho Web proxy và Firewall cleint. Chúng sẽ cố gắng kết nối tới giao
diện RAS mà không phải là đị
a chỉ mạng LAN thực của ISA Firewall. Vì lý do đó,
trong các vấn đề thảo luận tới ở loạt bài này, chúng tôi sẽ ngắt chức năng DDNS
trên server DNS khi tạo cổng vào VPN. Chúng tôi cũng sẽ kiểm tra xem liệu có
thể ngắt phần đăng ký DDNS trong giao diện demail-dial dùng console RRAS
hay không.

Các giao thức VPN


ISA Firewall hỗ trợ ba giao thức VPN cho mạng riêng ảo site-to-site: IPSec
tunnel mode, L2TP/IPSec và PPTP.

IPSec tunnel mode được giới thiệu cùng ISA 2004. Với giao thức này, ISA
Firewall có thể được dùng như một cổng vào VPN site-to-site cùng với các cổng
vào VPN thu
ộc nhóm thứ ba. Điều này chỉ thực hiện được với các IPSec tunnel
mode, vì mô hình này vốn bị xem là kém an toàn và khả năng thực thi thấp hơn
so với L2TP/IPSec. Ngoài ra, hỗ trợ định tuyến cho mô hình IPSec tunnel mode
là rất khó, nặng nề và bị giới hạn.

L2TP/IPSec là giao thức VPN site to site được yêu thích hơn vì cả hai mặt của
mạng riêng ảo site-to-site đều dùng ISA Firewall và cổng vào VPN thuộc nhóm
thứ ba hỗ trợ L2TP/IPSec. L2TP/IPSec hỗ trợ các khóa pre-shared nên trong
môi trường sản xuất an toàn, bạn có thể dùng thông tin thẩm định chứng chỉ cho
cả tài khoản máy và tài khoản người dùng để chứng thực “đường hầm” mạng
riêng ảo (VPN tunnel). Đây là kiểu cấu hình rất an toàn, nhưng hầu hết các công
ty đều thích dùng chế độ thẩm định non-EAP cho tài khoản người dùng giao diện
deman-dial và thẩm định ch
ứng chỉ cho tài khoản máy.

PPTP là giao thức hỗ trợ các kết nối VPN site to site dễ dàng nhất. Không cần
chứng chỉ, PPTP “chỉ làm việc và làm việc”. Có một điểm hạn chế là PPTP kém
an toàn hơn L2TP/IPSec vì hàm băm thông tin thẩm định được gửi qua kênh
không được mã hóa. Do đó, mức bảo mật kết nối PPTP cung cấp phụ thuộc lớn
vào độ phức tạp của mật khẩu. PPTP không cung cấp các chức năng từ ch
ối và
bảo vệ trong quá trình lặp lại như ở L2TP/IPSec.

Sử dụng IPSec tunnel mode để kết nối tới cổng vào mạng riêng ảo của nhóm

thứ ba là cách dễ nhất. Việc đầu tiên là bạn nên xem xét thông tin sử dụng ISA
Firewall với các cổng vào VPN của nhóm thứ ba tại website của Microsoft.

Nếu phần hướng dẫn này không giải quyết được vấn đề, bạn cần phải xem xét
đến IPSec. Hãy đảm bảo chắc chắ
n rằng các tham số IPSec đã chính xác trên
cả hai mặt. Ngay cả khi đã có các tham số chính xác, bạn vẫn có thể gặp phải
vấn đề với cổng vào VPN phụ thuộc non-RFC. Ví dụ, tôi đã từng nghe nói đến
một số báo cáo về tường lửa Sonicwall không làm việc với cổng vào ISA Firewall
VPN. Lý do bởi chúng không phải là bản thể của RFC và không cho phép IKE sử
dụng cổng nguồn thay vì UDP 500. Do ISA Firewall là một bản thể của RFC, nó
có thể dùng một cổng luân phiên và do
đó, không cần kết nối tới thiết bị
Sonicwall. Với Sonicwall, bạn có thể dùng bản update phần mềm để biến thiết bị
thành kiểu RFC.

Một vấn đề phổ biến khác là các tài khoản người dùng VPN site-to-site không
được cấu hình chính xác phù hợp với tên giao diện demand-dial. Khi điều này
diễn ra (có một số lần xuất hiện cả lúc mạng riêng ảo đã được kết nối), không có
bất kỳ lưu l
ượng nào đi qua được cổng vào VPN từ mạng này tới mạng khác.
Hoặc có thể bạn sẽ thấy dường như các kết nối được phép thực hiện, nhưng
không phải từ mạng khác. Lý do là bởi kết nối VPN site-to-site không được thiết
lập. Bạn có thể kiểm chứng điều này bằng cách mở console RRAS và kiểm tra
nút Remote Access Clients ở khung bên trái. Nếu bạn thấy có một kết nối client
truy cập t
ừ xa cho cổng vào VPN từ xa, chứng tỏ kết nối VPN client truy cập từ
xa đã được thực hiện chứ không phải là kết nối VPN site to site. Các kết nối
client truy cập từ xa sẽ không cho phép định tuyến qua cổng vào VPN.


Vì những lý do đó, tôi luôn khuyến cáo các admin quản trị ISA Firewall nên sử
dụng L2TP/IPSec với một máy thẩm định chứng chỉ. Tuy nhiên hầu hết các
trường hợp triển khai ban đầu đều cài đặt mạng riêng ảo site-to-site dùng khóa
“tiền chia sẻ” nhằm xây dựng khả năng đáng tin cậy vào giải pháp và loại bỏ một
số thừa kế phức tạp trong PKI. Sau khi giải pháp VPN site to site hoàn chỉnh thời
gian thử nghiệm cuối cùng, bạn nên chuyển khách hàng sang máy có cơ chế
thẩm định chứng chỉ
và nói lời tạm biệt với các khóa tiền chia sẻ.

Tóm tắt

Đây là phần đầu tiên trong loạt bài cấu hình mạng riêng ảo site-to-site (VPN site
to site) sử dụng chương trình Branch Office Connectivity Wizard. Với mô hình
này, một ISA Firewall sẽ được thiết lập ở văn phòng của trụ sở chính và văn
phòng chi nhánh, bên cạnh các Domain Controller. Trong phần sau, chúng ta sẽ
xem xét cách sử dụng Branch Office Connectivity Wizard trong ISA 2006
Enterprise Edition để tạo kết nối và sau đó là tùy biến các Access Rule, DNS
cùng một số tham số cấu hình khác, h
ỗ trợ đầy đủ kết nối VPN site to site từ văn
phòng chi nhánh.

×