Tạo VNP Site to Site bằng ISA 2006 Firewall Branch Office Connection
Wizard – Phần 1
Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn về cách cấu hình
một mạng riêng ảo (VPN) site to site bằng cách sử dụng Branch Office
Connectivity Wizard trong ISA 2006 Firewall.
Virtual Private Network (VPN) - Mạng riêng ảo là một công nghệ cho phép
mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần
bất kì đường dây riêng nào. VPN được dùng để kết nối các chi nhánh phân
tán về mặt địa lý thành một mạng duy nhất và cho phép sử dụng từ xa các
chương trình ứng dụng dựa trên các dịch vụ trong công ty.
Kịch bản Domain Controller cho văn phòng chi nhánh
Một trong những cải tiến có trong phiên bản Enterprise của ISA 2006
Firewall là Branch office connectivity wizard. Trong ISA 2000, chúng ta đã
có site to site VPN wizard để có thể tạo dễ dàng một VPN site to site. Mặc
dù trong ISA 2004, site to site VPN wizard được nhiều người ưa thích này
đã biến mất, tuy nhiên mọi người sẽ không gặp bất kỳ một trở ngại nào trong
việc làm cho một VPN site to site làm việc giữa hai ISA Firewall. Nhóm
phát triển ISA Firewall đã có những cải tiến để chúng ta có được một site to
site VPN wizard thú vị, Branch Office Connectivity Wizard là tên được đặt
lại.
Branch Office Connectivity Wizard sử dụng các thông tin chứa trong cấu
hình Remote Site mà bạn tạo tại văn phòng chính và sử dụng các thông tin
đó để trợ giúp cho việc tạo VPN site to site trở nên dễ dàng hơn. Khi kết
thúc wizard, một file sẽ được tạo để bạn có thể đưa đến ISA Firewall văn
phòng chi nhánh nhằm tạo một VPN site to site. Ngoài việc tạo kết nối VPN
site to site, wizard còn cho phép bạn có được tùy chọn tạo ISA Firewall tại
văn phòng chi nhánh một thành viên miền, đây thực sự là một cách thức tốt
nhất của ISA Firewall vì tính bảo mật toàn diện của một thành viên miền
mạnh hơn nhiều so với một ISA Firewall đứng độc lập.
Trong loạt bài về sử dụng ISA Firewall Branch Office Connectivity Wizard
để tạo một VPN site to site này, đầu tiên chúng tôi sẽ giới thiệu qua quá trình

tạo một kết nối VPN site to site bằng Wizard, sau khi tạo xong một VPN site
to site, chúng ta sẽ tạo các luật truy cập (Access Rule) cho bộ điều khiển
miền (domain controller) của văn phòng chi nhánh, các máy khách thành
viên miền tại văn phòng chi nhánh và sử dụng đặc quyền tối thiểu để thực
hiện điều này.
Hình bên dưới thể hiện một cái nhìn tổng quan về mạng lab được sử dụng
trong loạt bài này.

Hình 1
Có 5 máy tính được sử dụng trong kịch bản này:

Dedicated CSS (css2006.msfirewall.org) Một CSS chuyên dụng sẽ
được sử dụng để quản lý CSS cho các mảng tường lửa ISA Enterprise
Edition. Sẽ có hai mảng ISA Firewall: một mảng cho ISA Firewall tại
văn phòng chính và một mảng ISA Firewall cho văn phòng chi nhánh.
Chúng ta không thể đặt các ISA Firewall của văn phòng chi nhánh và
văn phòng chính trong cùng một mảng vì các địa chỉ truyền thông
mảng nội bộ cho tất cả các thành viên mảng phải nằm trên cùng một
ID mạng, và điều đó là không thể khi các thành viên mảng được đặt
tại các văn phòng chi nhánh. Mặc dù vậy, chúng ta có thể sử dụng
chính sách doanh nghiệp cho tất cả các mảng trong cùng một ISA
Firewall Enterprise.


Domain Controller (dc.msfirewall.org) Tất cả các máy tính trong
kịch bản này đều thuộc về cùng một miền, đó là msfirewall.org.


Main office ISA Firewall (isa2006se.msfirewall.org) Máy tính này
là ISA Firewall văn phòng chính và sẽ thuộc về mảng mạng có tên

Main. Máy này là một thành viên miền, và có một interface bên trong
và bên ngoài.


Branch office ISA Firewall (isa2006branch.msfirewall.org) Máy
tính này là ISA Firewall văn phòng chi nhánh và sẽ được đặt là một
thành viên miền bằng branch office connectivity wizard. Windows
Server 2003 được cài đặt trên máy tính này và ban đầu nó là một máy
chủ độc lập. ISA 2006 cũng sẽ được cài đặt trên máy tính này khi nó
là một máy chủ độc lập. Sau khi ISA 2006 Enterprise Edition được cài
đặt trên máy, chúng ta sẽ chạy Branch Office Connectivity Wizard
trên máy này, tạo VPN site to site và join vào miền. Wizard cũng sẽ
kết nối ISA Firewall văn phòng chi nhánh với mảng văn phòng chi
nhánh đã được cấu hình trên CSS văn phòng chính.


Branch office Domain Controller Đây là một Domain controller văn
phòng chi nhánh mà người dùng ở đây sẽ sử dụng để thẩm định.
Chúng ta sẽ tạo các Access Rule mang tính tùy chỉnh để cho phép DC
có thể truyền thông với DC tại văn phòng chính.
Chúng ta cũng sẽ tạo những thay đổi đối với cấu hình DNS của ISA Firewall
văn phòng nhánh để nó có thể sử dụng DC văn phòng nhánh sau khi cấu
hình hoàn tất.
Các thủ tục gồm có:

Cấu hình máy chủ DNS văn phòng chính để từ chối các nâng cấp
động, add các entry DNS tĩnh cho các mảng và ISA Firewall văn
phòng chi nhánh.



Cài đặt CSS trên máy CSS chuyên dụng (Dedicated CSS)


Cài đặt các dịch vụ của Firewall trên ISA Firewall văn phòng chính
(Main office ISA Firewall)


Cài đặt CSS nội bộ và Firewall Services trên ISA Firewall văn phòng
chi nhánh (Branch office ISA Firewall)


Tạo answer file tại ISA Firewall văn phòng chính để cho branch office
connectivity wizard sử dụng


Chạy Branch Office Connectivity Wizard trên ISA Firewall văn
phòng chi nhánh


Tạo Access Rules để cho phép truyền thông trong miền giữa các DC
của văn phòng chi nhánh.


Cài đặt DC tại văn phòng chi nhánh


Tạo những thay đổi DNS tại văn phòng chi nhánh để ISA Firewall sử
dụng DC của văn phòng chi nhánh
Những lưu ý về VPN Site to Site
Một trong những phần bận rộn nhất trên ISAserver.org phải kể đến các phần

VPN và nó thường là các vấn đề về VPN site to site. Lý do cho điều này
theo tôi chính là nhiều người không hiểu về cách các kết nối VPN site to site
làm việc như thế nào và một số yêu cầu cơ bản gì cho các kết nối đó làm
việc.
VPN Gateway là một VPN Router
Khi ISA Firewall được cấu hình làm VPN gateway site to site, ISA Firewall
sẽ trở thành một router cho các ID mạng nằm phía sau VPN gateway từ xa.
Cho ví dụ, giả sử rằng văn phòng chính nằm trên ID mạng 10.1.0.0/16 và
các địa chỉ IP của văn phòng chi nhánh nằm trên ID mạng 10.2.0.0/16. Khi
một host tại văn phòng chính cần kết nối đến một ID mạng từ xa,
10.2.0.0/16, nó phải thực hiện thông qua VPN gateway tại văn phòng chính.
Để làm việc, các máy khách trong mạng văn phòng chính phải được cấu
hình với địa chỉ cổng để biết tuyến đến ID mạng 10.2.0.0/16. ISA Firewall
biết rõ về tuyến, vì vậy các máy khách được cấu hình để sử dụng ISA
Firewall với tư cách gateway mặc định của chúng sẽ có thể truy cập đến
mạng từ xa thông qua VPN gateway của ISA Firewall.
Chúng tôi thấy có rất nhiều câu hỏi đề cập đến cách “fix” các vấn đề gặp
phải khi các site từ xa và nội bộ được đánh địa chỉ với cùng ID mạng. Họ
muốn biết liệu có cách nào có thể “fix” vấn đề này. Câu trả lời là thực sự
không có cách nào có thể “fix” vấn đề này từ quan điểm định tuyến, vì các
hệ thống máy khách kết nối với các ID mạng nội bộ sẽ không bao giờ
chuyển tiếp các kết nối đến một địa chỉ cổng. Tại sao các máy khách sẽ
chuyển tiếp các kết nối đến ID mạng nội bộ sang một gateway khi không
được yêu cầu và vi phạm tất cả các nguyên lý định tuyến tenets của TCP/IP?
Nhớ việc phân định tên
Một vấn đề khác thường gặp phải nữa với các VPN site to site là sự phân
định tên. Các máy khách tại văn phòng chi nhánh cần khả năng phân định
các tên máy tính tại văn phòng chính, và tại cả văn phòng chi nhánh. Để
thực hiện được điều này, cần phải có một cơ sở hạ tầng máy chủ DNS thích
hợp có thể phân định tất cả các tên. Thêm vào đó, bạn cũng cần nghĩ liệu

người dùng tại văn phòng chi nhánh có nên phân định hostname Internet một
cách trực tiếp hay phụ thuộc vào ISA Firewall tại các văn phòng chi nhánh
hoặc văn phòng chính để phân định hostname nhân danh của họ.
Có hai kịch bản chính liên quan đến việc phân định tên tại văn phòng chi
nhánh: một là có một domain controller tại văn phòng chi nhánh và hai là
không có domain controller tại văn phòng chi nhánh. Nếu công ty giữ các
DC tại văn phòng chi nhánh, các host tại văn phòng chi nhánh có thể sử
dụng domain controller nội bộ của họ để đăng nhập vào phân định tên, vì
máy tính đó có thể được cấu hình như một máy chủ DNS tích hợp Active
Directory. Trường hợp nếu không có domain controller tại văn phòng chi
nhánh, các máy khách tại các văn phòng chi nhánh có thể được cấu hình để
sử dụng máy chủ DNS tại văn phòng chính nhằm mục đích phân định tên
miền cho các máy chủ tại văn phòng chi nhánh và văn phòng chính.
Phân định hostname Internet là một vấn đề khác. Một số tổ chức thích cho
máy khách có thể tự phân định hostname Internet (quá trình được yêu cầu
cho các máy khách SecureNET), trong khi đó một số tổ chức khác lại muốn
có sự kiểm soát chặt chẽ về sự phân định hostname Internet và chỉ cho phép
ISA Firewall có thể phân định tên với tư cách các máy khách.
Có nhiều cách có thể thực hiện quá trình phân định này tuy nhiên tôi không
thể cung cấp cho bạn được một công thức nào để nhận biết về cách nào tốt
nhất. Mặc dù vậy, những gì tôi thường thực hiện là cấu hình ISA Firewall và
các host trên mạng công ty để sử dụng các máy chủ DNS tích hợp Active
Directory nhằm phân định hostname, sau đó cấu hình các máy chủ DNS này
sử dụng một bộ chuyển tiếp được điều khiển bởi công ty để phân định
hostname Internet.
Một vấn đề quan trọng trong việc phân định tên trong môi trường văn phòng
chi nhánh liên quan đến các entry WPAD. Như bạn biết, cả Web proxy và
các máy khách Firewall đều sử dụng các entry WPAD để tự động phát hiện
địa chỉ nội bộ của ISA Firewall để sử dụng cho các kết nối Web proxy và
Firewall client với ISA Firewall. Điều này có thể hơi khó hiểu khi bạn sử

dụng một cơ sở hạ tầng DNS riêng cho các văn phòng chi nhánh và văn
phòng chính, vì bạn không thể sử dụng một entry WPAD cho tất cả các địa
điểm, giả định bạn muốn các host có thể kết nối đến các ISA Firewall nội
bộ. Nói một cách khác, nếu bạn muốn tất cả các host kết nối với Internet
thông qua một mảng Firewall văn phòng chính thì bạn hoàn toàn có thể sử
dụng một entry WPAD.
Bạn có thể giải quyết vấn đề bằng cách tạo nhiều entry WPAD, một cho văn
phòng chính và một cho mỗi văn phòng chi nhánh, sau đó kích hoạt trình tự
mặt nạ mạng (netmask ordering) trên các máy chủ DNS. Khi netmask
ordering được kích hoạt, các máy chủ DNS sẽ phân định các truy vấn
WPAD để so khớp với ID mạng nhận yêu cầu. Điều đó có nghĩa rằng khi
một host tại một văn phòng chính gửi một truy vấn WPAD đến DNS, địa chỉ
được trả về sẽ là địa chỉ gần nhất với ID mạng của host tại văn phòng chính
và khi truy vấn WPAD được nhận bởi một host tại văn phòng chi nhánh, địa
chỉ được trả về sẽ là địa chỉ gần nhất với ID mạng nơi đặt host của văn
phòng chi nhánh.
Để xem thêm thông tin về cách thực hiện này, bạn có thể tham khảo thêm
bài báo của tác giả Stefaan Pouseele tại đây
.
Một vấn đề DNS cuối cùng mà bạn cần xem xét là sự ảnh hưởng của các
đăng ký DDNS cho các VPN gateway. Khi DDNS được kích hoạt trên máy
chủ DNS, giao diện RAS (RAS interface) của ISA Firewall sẽ tự đăng ký
trong DNS và sinh ra các vấn đề kết nối cho Web proxy và Firewall client,
vì chúng sẽ cố gắng kết nối đến giao diện RAS chứ không phải địa chỉ LAN
thực của ISA Firewall. Với lý do này, trong kịch bản được thảo luận trong
loạt bài này, chúng tôi sẽ vô hiệu hóa DDNS trên các máy chủ DNS khi tạo
VPN gateway và sau đó sẽ nghiên cứu tỉ mỉ xem có thể vô hiệu hóa vấn đề
đăng ký DDNS trong demand-dial interface bằng cách sử dụng giao diện
RRAS.
Các giao thức VPN

ISA Firewall hỗ trợ ba giao thức VPN cho các site to site VPN: IPSec tunnel
mode, L2TP/IPSec và PPTP.
Sự hỗ trợ IPSec tunnel mode được giới thiệu trong ISA 2004 để ISA
Firewall có thể được sử dụng như một site to site VPN gateway với các VPN
gateway của bên thứ ba. Đây chỉ là một kịch bản bạn nên sử dụng IPSec
tunnel mode, vì IPSec tunnel mode vẫn bị coi là một giao thức kém an toàn
và hiệu suất thấp hơn so với L2TP/IPSec. Thêm vào đó, sự hỗ trợ định tuyến
cho IPSec tunnel mode rất khó và bị hạn chế.
L2TP/IPSec là một giao thức site to site VPN khá được ưa thích khi cả hai
phía của site to site VPN đều đang sử dụng ISA Firewall hoặc VPN gateway
của bên thứ ba có hỗ trợ L2TP/IPSec. Do L2TP/IPSec hỗ trợ các khóa được
chia sẻ trước, trong một môi trường an toàn, nên bạn phải sử dụng sự thẩm
định chứng chỉ cho cả tài khoản máy tính và tài khoản người dùng đã được
sử dụng để thẩm định đường hầm VPN. Tuy đây là một cấu hình rất an toàn
nhưng hầu hết các công ty mà tôi bắt gặp thường sử dụng thẩm định non-
EAP cho các tài khoản người dùng với demand-dial interface và sử dụng
thẩm định chứng chỉ cho các tài khoản máy tính.
PPTP là giao thức dễ dàng nhất để hỗ trợ cho các kết nối site to site VPN.
Không yêu cầu chứng chỉ và hầu hết các quản trị viên ISA Firewall sẽ phát
hiện thấy ở PPTP mỗi điều là “chỉ làm việc”. Nhược điểm của PPTP là kém
an toàn hơn so với L2TP/IPSec vì những thông tin quan trọng (credentials
hash) đều được gửi trên một kênh không an toàn. Chính vì vậy, mức bảo mật
của kết nối PPTP có thể cung cấp phụ thuộc chủ yếu vào độ phức tạp của
mật khẩu. Thêm vào đó, PPTP không cung cấp các tính năng non-
repudiation (không thoái thác) và sự bảo vệ chống replay mà L2TP/IPSec
cung cấp.
Khi sử dụng IPSec tunnel mode để kết nối với các VPN gateway của bên thứ
ba, hoàn toàn không có cách thực hiện dễ dàng nào. Thứ đầu tiên mà bạn
nên thử là các thông tin về việc sử dụng ISA Firewall với các VPN gateway
của bên thứ ba tại website của Microsoft

.
Nếu hướng dẫn đó không phù hợp với kịch bản triển khai thì bạn sẽ phải
quay trở lại với những hiểu biết của mình về IPSec và bảo đảm rằng tất cả
các tham số IPSec đều đúng trên cả hai phía. Thậm chí có trường hợp khi
thấy các tham số IPSec đúng trên cả hai phía, bạn vẫn có thể gặp các vấn đề
với các VPN gateway không có sự tuân thủ RFC (non-RFC compliant). Cho
ví dụ, có một vài báo cáo về các Sonicwall firewall không làm việc với VPN
gateway của ISA Firewall vì chúng không có sự tuân thủ RFC (RFC
compliant) và không cho phép cổng nguồn nào đó cho IKE ngoài UDP 500.
Do ISA Firewall có sự tuân thủ RFC, nên nó có thể sử dụng một cổng khác
và vì vậy không kết nối đến thiết bị Sonicwall. Trong trường hợp của
Sonicwall, có thể một nâng cấp phần mềm đã tạo sự tuân thủ RFC cho thiết
bị.
Một vấn đề hay gặp khác đối với site to site VPN là các tài khoản người
dùng không được cấu hình phù hợp với demand-dial interface name (Lưu ý:
Interface name bên này là username bên kia!). Khi xảy ra điều này, có lúc nó
có thể xuất hiện mà site to site VPN được kết nối, tuy nhiên không có lưu
lượng từ một mạng này sang mạng khác qua các VPN gateway, hoặc có thể
giống như các kết nối được cho phép từ một mạng, tuy nhiên không từ mạng
khác. Lý do cho điều này là vì kết nối site to site VPN không được thiết lập.
Bạn có thể xác nhận điều đó bằng cách mở giao diện RRAS và kiểm tra mục
Remote Access Clients trong phần panel bên trái. Nếu thấy một kết nối máy
khách truy cập từ xa cho VPN gateway từ xa, thì bạn sẽ biết rằng kết nối
VPN của máy khách truy cập từ xa đã được tạo mà không phải kết nối site to
site VPN. Các kết nối máy khách truy cập từ xa sẽ không cho phép định
tuyến thông qua các VPN gateway.
Với kinh nghiệm, chúng tôi luôn khuyến khích các quản trị viên ISA
Firewall sử dụng L2TP/IPSec với thẩm định chứng chỉ máy. Mặc dù vậy
trong hầu hết trường hợp, trong suốt quá trình triển khai ban đầu, chúng tôi
sẽ thiết lập site to site VPN bằng khóa chia sẻ trước, để xây dựng sự tự tin

trong giải pháp và gỡ bỏ một số phức tạp cố hữu trong một PKI. Sau khi giải
pháp site to site VPN được thực hiện, chúng tôi sẽ chuyển sang thẩm định
chứng chỉ máy và bỏ các khóa chia sẻ trước.
Kết luận
Đây là phần đầu tiên của loạt bài về cách cấu hình site to site VPN bằng
cách sử dụng branch office connectivity wizard. Trong kịch bản này, sẽ có
các ISA Firewall cũng như các domain controller nằm tại các văn phòng
chính và chi nhánh. Trong các phần tiếp theo, chúng tôi sẽ giới thiệu cách sử
dụng branch office connectivity wizard có trong ISA 2006 Enterprise
Edition này cho các bạn trong việc tạo kết nối và sau đó là tùy chỉnh các luật
truy cập. NDS và các tham số cấu hình khác để hỗ trợ đầy đủ cho kết nối site
to site VPN từ văn phòng chi nhánh.