Giới thiệu về UAG DirectAccess – Phần 1
Trong bài viết này chúng tôi sẽ cung cấp một kiến thức tổng quan về những gì
DirectAccess có thể thực hiện và những giá trị mà nó cung cấp cho cả quản trị viên
lẫn người dùng.
DirectAccess là một kỹ thuật truy cập từ xa mới có trong Windows 7 và Windows Server
2008 R2, kỹ thuật này cho phép người dùng có thể kết nối với mạng công ty bất cứ thời
điểm nào. Từ quan điểm của người dùng, trải nghiệm họ có được là hoàn toàn giống nhau
mà không bị phụ thuộc vào địa điểm kết nối. Người dùng có thể di chuyển từ mạng công
ty sang mạng của một khách sạn, một quán cà phê hay trung tâm hội thảo nào đó có cung
cấp kết nối không dây. Chỉ cần được kết nối Internet, họ có thể truy cập được các tài
nguyên trong mạng nội bộ, như thể đang truy cập trực tiếp đến các tài nguyên đó thông
qua kết nối Ethernet hoặc kết nối không dây 802.11.
Khía cạnh “always-on” của DirectAccess được cho là phần quan trọng nhất của giải pháp
này. Người dùng không cần khởi tạo kết nối VPN; họ không cần nhớ URL của SSL VPN
gateway (thậm chí SSL VPN gateway là một UAG server). Họ không cần thực hiện bất
cứ thứ gì – chỉ cần kích các liên kết trong email hoặc trên desktop hay đánh vào tên máy
chủ muốn sử dụng, sau đó thực hiện kết nối. Một kết nối xuyên suốt như vậy chắc chắn
sẽ tạo năng suất cho công việc.
Mặc dù vậy, DirectAccess còn cung cấp nhiều hơn như những gì được giới thiệu ở trên.
Do kết nối DirectAccess là liên kết hai chiều, bạn – quản trị viên mạng – sẽ có khả năng
kết nối với các máy khách DirectAccess qua Internet. Bất cứ khi nào một máy khách
DirectAccess được bật, bạn đều có thể kết nối và quản lý máy khách này. Người dùng
không cần phải đăng nhập để bạn có thể kết nối với các máy khách DirectAccess từ bên
trong mạng công ty. Điều này có nghĩa rằng, cơ sở hạ tầng quản lý mà bạn sử dụng để
điều khiển và cấu hình các host trên mạng công ty lúc này sẽ luôn trong tình trạng sẵn có
(available) đối với việc quản lý các máy tính được kết nối thông qua DirecDtAccess.
DirectAccess làm việc như thế nào
Cùng với DirectAccess, người dùng Windows 7 và Windows Server 2008 R2 sẽ gặp một
số công nghệ mới của các hệ điều hành này. Một số công nghệ này có thể mới có, một số
có thể đã được biết đến từ lâu. Mặc dù vậy, dù đang làm việc với công nghệ cũ hay mới
thì tất cả chúng đều không quá phức tạp. Cần tránh một số quan điểm cho rằng
DirectAccess không đáng với những gì phức tạp mà người dùng nó phải nỗ lực vượt qua.
Nhận thức này là vì trước khi UAG 2010 được phát hành, chỉ có một cách duy nhất có
thể triển khai DirectAccess là sử dụng giải pháp Windows DirectAccess đi kèm. Giải
pháp này tồn tại một số hạn chế so với giải pháp của UAG DirectAccess:
Windows DirectAccess hỗ trợ hạn chế khả năng sẵn có cao, cơ chế thường dùng
liên quan đến việc sử dụng Hyper-V và Windows failover cluster nhằm cung cấp khả
năng stand-by tốt. Bên cạnh đó cũng không có sự hỗ trợ cho việc cân bằng tải trọng trong
mạng (Network Load Balancing).
Windows DirectAccess không hỗ trợ các mảng DirectAccess. Nếu muốn thiết lập
nhiều máy chủ Windows DirectAccess, bạn cần cấu hình và quản lý chúng một cách
riêng biệt. Trái ngược lại, các máy chủ UAG DirectAccess lại có thể được cấu hình theo
mảng.
Máy chủ Windows DirectAccess không hỗ trợ các máy chủ chỉ hỗ trợ IPv4 (IPv4
only). Máy khách DirectAccess trên Internet cũng không thể kết nối với các máy chủ
dạng này. Điều đó có nghĩa rằng, nếu muốn sử dụng giải pháp Windows DirectAccess,
bạn cần nâng cấp các máy chủ của mình lên Windows Server 2008 hoặc mới hơn. Ngược
lại, giải pháp UAG DirectAccess lại hỗ trợ đầy đủ các máy chủ IPv4 trong mạng công ty.
Nếu có kế hoạch triển khai DirectAccess trong mạng công ty của mình, cách tốt nhất để
thực hiện điều đó là sử dụng giải pháp UAG DirectAccess.
Kết nối máy khách DirectAccess
IPv6 chính là vẫn đề cốt lõi của giải pháp DirectAccess, đây là một trong những lý do
khiến nhiều quản trị viên có cảm giác không thể triển khai giải pháp vào thời điểm này.
IPv6 rõ ràng phức tạp hơn và với sự cắt giảm kinh phí lẫn nhân lực CNTT thì đây quả
thực là một trở ngại. Mặc dù vậy, với UAG, bạn không cần phải trở thành một chuyên gia
IPv6, giải pháp UAG DirectAccess sẽ tự động triển khai cơ sở hạ tầng IPv6 cần thiết.
Khi máy khách DirectAccess được kết nối với Internet, nó sẽ cố gắng thiết lập hai tunnel
Ipsec đến máy chủ UAG DirectAccess. Hai tunnel này sẽ sử dụng chế độ IPsec tunnel và
giao thức Encapsulating Security Payload (ESP) cùng mã hóa AES 192bit để bảo vệ sự
riêng tư.
Hai kiểu tunnel ở đây là:
Infrastructure tunnel: Infrastructure tunnel bắt đầu khi máy tính khởi động
nhưng trước lúc người dùng đăng nhập. Máy tính DirectAccess luôn là một thành viên
miền và tài khoản của nó được sử dụng để đăng nhập thông qua chứng chỉ máy tính và
xác thực NTLMv2. Thêm vào đó, nó phải thuộc nhóm bảo mật dành riêng cho các máy
khách DirectAccess. tunnel này có kết nối hai chiều và các tác nhân quản lý trên máy
khách có thể gọi đến máy chủ quản lý trên mạng công ty. Máy chủ quản lý có thể khởi
tạo các kết nối đến máy khách DirectAccess khi tunnel Infrastructure tunnel được thiết
lập. Máy khách DirectAccess chỉ có thể kết nối thông qua tunnel này để truy cập các máy
chủ mà bạn chỉ định. tunnel này không cho phép truy cập mở đối với toàn bộ mạng nội
bộ.
Intranet tunnel: Intranet tunnel được thiết lập sau khi người dùng đăng nhập.
tunnel này cũng được mã hóa bằng ESP và AES 192. Việc xác thực được thực hiện bằng
chứng chỉ máy tính (giống infrastructure tunnel) và xác thực Kerberos cho tài khoản
người dùng. Intranet tunnel cho phép người dùng có thể truy cập tới bất cứ tài nguyên
nào nằm trong mạng nội bộ mà họ có thẩm quyền.
Có hai kiểu truy nhập bạn có thể sử dụng khi kích hoạt các máy khách DirectAccess để
kết nối đến mạng nội bộ. Bạn có thể chọn “end to edge” hoặc “end to end” tùy ý. Chúng
ta hãy đi xem xét hai kiểu này:
End to Edge: Khi sử dụng kiểu kết nối “end to edge”, máy khách DirectAccess sẽ
thiết lập một liên kết ở chế độ IPsec tunnel xác thực đến máy chủ UAG DirectAccess.
Sau khi hoàn thành kết nối Ipsec tại máy chủ DirectAccess, việc chuyển rời lưu lượng từ
máy chủ DirectAccess đến các máy chủ trong mạng nội bộ được xác thực hoặc được mã
hóa ở mức mạng.
End to End: Kiểu bảo mật mạng “end to end” cho phép bảo mật các kết nối với
Ipsec một cách xuyên suốt. Kết nối giữa máy khách và máy chủ DirectAccess sẽ được mã
hóa và được xác thực bằng chế độ IPsec tunnel. Sau khi lưu lượng rời máy chủ
DirectAccess để đến máy chủ khác trong mạng nội bộ, kết nối đó sẽ được chuyển qua
mạng nội bộ bằng chế độ IPsec transport. Mặc dù vậy, thiết lập mặc định chỉ xác thực
cho điểm kết cuối; kết nối ở chế độ transport không được mã hóa để IDS mạng và các
thiết bị bảo mật khác có thể đánh giá chúng trên mạng. Điều này sẽ làm giảm một số xử
lý không đáng có (overhead) liên quan đến kết nối Ipsec.
Ngoài chứng chỉ máy tính, tài khoản máy tính (NTLMv2) và xác thực tài khoản người
dùng được sử dụng trong quá trình tạo các tunnel DirectAccess, bạn cũng có tùy chọn
buộc người dùng phải sử dụng xác thực Smart Card để thiết lập intranet tunnel, nâng cao
khả năng bảo mật cho giải pháp. Nếu xác thực bằng thẻ thông minh không đủ an toàn so
với yêu cầu, bạn có thể thực thi một số chính sách trên máy khách DirectAccess bằng
NAP, lúc này máy khách không đủ điều kiện sẽ bị cách ly trước khi cho phép thiết lập
các tunnel infrastructure tunnel và intranet tunnel.
Một điều quan trọng cần lưu ý ở đây là kết nối End to Edge hỗ trợ tất cả các mạng, điều
này không bắt buộc bạn phải có các host hỗ trợ IPv6 trong mạng nội bộ. Mặc dù vậy, nếu
muốn triển khai bảo mật “end to end” với chế độ IPsec tunnel và IPsec transport thì bạn
cần phải có các máy chủ Windows Server 2008 phía sau máy chủ DirectAccess. Ngoài
ra, bạn có thể sử dụng lẫn các kiểu kết nối End to Edge và End to End; chúng không loại
trừ lẫn nhau.
Tất cả lưu lượng di chuyển giữa máy khách và máy chủ DirectAccess đều là lưu lượng
IPv6. Ngụ ý ở đây là rằng, dù các máy chủ phía sau UAG DirectAccess không nhận biết
IPv6 (IPv6 aware) thì các ứng dụng máy khách phải hỗ trợ giao thức này. Để đáp ứng
điều đó, bạn cần đảm bảo các ứng dụng máy khách tương thích IPv6 trước khi triển khai
DirectAccess.
Lưu ý:
Chúng ta cần làm rõ các thuật ngữ như “IPv6 aware”, “IPv6 capable”, “IPv6 only” và
“native IPv6”. Khi nói đến các mạng “native IPv6”, chúng ta cần hiểu rằng tất cả cơ sở hạ
tầng mạng ở đây (routers, DNS, DHCP,…) cũng như các máy khách và máy chủ hỗ trợ
IPv6 một cách hoàn chỉnh. Ngược lại, thuật ngữ “IPv6 aware” nói đến việc không sử
dụng IPv6 một cách xuyên suốt, chỉ có các ứng dụng máy khách và máy chủ có thể lợi
dụng ưu điểm của các kỹ thuật chuyển tiếp IPv6 để có thể làm việc trên các mạng IPv4.
Trong khi đó các mạng “IPv6 capable” có các host hỗ trợ the Intra-Site Automatic Tunnel
Addressing Protocol (ISATAP) để các tin nhắn IPv6 có thể được gửi qua mạng IPv6. Khi
cài đặt UAG làm máy chủ DirectAccess, nó sẽ tự cấu hình một ISATAP router để các tin
nhắn IPv6 được chuyển đi bên trong một header Ipv4 qua mạng IPv4, chính vì vậy không
cần nâng cấp router và switch DNS cũng như DHCP server để làm việc với kết nối IPv6.
Kết luận
Trong phần một của loạt bài này, chúng tôi đã cung cấp cho các bạn kiến thức tổng quan
về những gì DirectAccess có thể thực hiện, những giá trị nó có thể cung cấp cho cả bạn
và người dùng. Chúng ta đã thấy cách DirectAccess thiết lập hai tunnel, intranet tunnel và
infrastructure tunnel. Thêm vào đó là hai chế độ triển khai: end to edge và end to end.
Trong phần tiếp theo của loạt bài, chúng tôi sẽ giới thiệu một số thông tin chi tiết về kỹ
thuật chuyển tiếp IPv6 được sử dụng bởi UAG DirectAccess.