Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2)
Trong phần đầu của loạt bài viết này chúng ta đã xem xét một số nhược điểm của truy cập VPN từ xa tại các điểm truy cập công cộng, và phương pháp sử dụng giao thức SSTP để khắc phục những vấn đề này bằng cách cho phép các kết nối VPN thực hiện qua một kết SSL cổng 443 của TCP được mọi hệ thống tường lửa cho phép trong những môi trường này.
Sau đó chúng ta đã cài đặt các Certificate Service (dịch vụ cấp phép) trên máy chủ SSL VPN. Sau khi cài đặt giấy phép trên máy chủ VPN chúng ta cũng đã cài đặt các dịch vụ RRAS VPN và NAT trên VPN Gateway. Ngoài ra, chúng ta đã hoàn thành cấu hình máy chủ NAT trên VPN Gateway để chuyển tiếp các kết nối HTTP đến được ISA Firewall chuyển tiếp để thực hiện trên CA lưu trữ CDP.
Trong phần này, chúng ta sẽ thực hiện cấu hình cho một tài khoản người dùng cho phép truy cập dialup, rồi cấu hình CDP này để cho phép các kết nối HTTP ẩn danh. Sau đó chúng ta sẽ hoàn thành tiến trình này bằng cách cấu hình cho ISA Firewall cho phép các kết nối cần thiết tới máy chủ VPN và CDP Website.
Cấu hình tài khoản người dùng cho phép kết nối dial-up
Những tài khoản người dùng cần được cấp phép để truy cập dial-up trước khi chúng có thể kết nối tới một máy chủ VPN của Windows là thành viên của một miền Active Directory. Phương pháp tốt nhất mà chúng ta có thể áp dụng là sử dụng một Network Policy Server (NPS) và sử dụng giấy phép tài khoản người dùng mặc định được sử dụng để cho phép truy cập từ xa dựa trên NPS Policy. Tuy nhiên, chúng ta vẫn chưa cài đặt một NPS trong tình huống này do đó chúng ta sẽ phải cấu hình thủ công giấy phép dial-in cho người dùng này.
Chúng ta cần thực hiện các bước sau đây để kích hoạt giấy phép dial-in trên tài khoản người dùng mà chúng ta muốn kết nối tới máy chủ SSL VPN. Trong ví dụ này chúng ta sẽ kích hoạt truy cập dial-in cho tài khoản quản trị miền mặc định:
1. Tại Domain Controller, mở Active Directory User and Computers Console từ menu Administrative Tools.
2. Trong bảng bên trái của Console này, mở rộng tên miền và click vào node User. Sau đó click đúp vào tài khoản Administrator.
3. Click vào tab Dial-in. Cài đặt mặc định trong tab này là Control access through NPS Network Policy. Vì chúng ta không có một máy chủ NPS nào trong tình huống này nên chúng ta sẽ thay đổi cài đặt này thành Allow Access như trong hình 1, sau đó nhấn OK.
 |
Hình 1: Hộp thoại thuộc tính của tìa khoản Administrator.
Cấu hình IIS trên Certificate Server cho phép kết nối HTTP cho thư mục CRLVì một số lí do, khi wizard cài đặt thực hiện cài đặt Certificate Services Website thì nó sẽ cấu hình cho thư mục CRL sử dụng một kết nối SSL. Xét về bảo mật thì đây là một ý tưởng khá hay, tuy nhiên vấn đề ở chỗ URI trên giấy phép này vẫn chưa được cấu hình sử dụng SSL. Vì chúng ta đang sử dụng các cài đặt mặc định cho CDP trong bài viết này nên chúng ta sẽ phải tắt yêu cầu SSL trên CA Website cho đường dẫn thư mục CRL.
Thực hiện các bước sau để hủy bổ yêu cầu SSL cho thư mục CRL:
1. Trong menu
Administrative Tools, mở
Internet Information Services (IIS) Manager.
2. Trong bảng bên trái của
IIS Console, mở rộng tên máy chủ rồi mở rộng node
Sites. Mở rộng tiếp node
Default Website rồi click vào node
CertEnroll như trong hình 2.
Hình 2: Truy cập vào node CertEnroll trong IIS Manager.
3. Nếu kiểm tra trong bảng giữa của console này chúng ta sẽ thấy rằng CRL được đặt trong thư mục ảo này như trong hình 3. Để kiểm tra nội dung của thư mục ảo này chúng ta chỉ cần click vào nút
Content View ở phía cuối của bảng giữa.
Hình 3: CRL trong CertEnroll.
4. Click vào nút
Features View ở phía cuối bảng giữa, sau đó click đúp vào biểu tượng
SSL Settings.
Hình 4: Nội dung của thư mục ảo CertEnroll.
5. Khi đó trang
SSL Settings sẽ xuất hiện. Hủy chọn hộp chọn
Require SSL rồi click vào liên kết
Apply trong bảng phải của Console này.
Hình 5: Trang cài đặt SSL Settings.
6. Đóng
IIS Manager Console sau khi thấy thông báo The changes have been successfully saved (những thay đổi đã được lưu thành công).
Hình 6: Thông báo cho biết quá trình cài đặt thành công.
Cấu hình ISA Firewall với một máy chủ PPTP VPN, SSL VPN và Web Publishing Rules của CDP
Sau đây chúng ta sẽ tiến hành cấu hình ISA Firewall. Chúng ta cần tạo ba Publishing Rules để hỗ trợ cho tiến trình này, gồm:
- Một Web Publishing Rule cho phép truy cấp SSL VPN tới CRL Distribution Point (CDP).
- Một Server Publishing Rule cho phép các kết nối SSL nội bộ tới máy chủ SSTP mà cho phép kết nối SSTP được thiết lập với máy chủ VPN này.
- Một Server Publishing Rule cho phép PPTP truy cập tới máy chủ VPN, do đó máy trạm VPN có thể truy cập vào giấy phép CA từ Enrollment Website trên mạng phía sau máy chủ VPN.
Sau khi đã tạo các giấy phép cần thiết cho máy trạm chúng ta có thể hủy bỏ PPTP Rule. Hay chúng ta có thể để PPTP Rule hay sử dụng L2TP/IPSec thay vì PPTP cho một kết nối bảo mật hơn. Lí do chúng ta có thể để một giao thức VPN khác được kích hoạt đó là chỉ những máy trạm Windows Vista SP1 hỗ trợ cho SSTP.
Trước khi bắt đầu tiến trình này, có thể bạn sẽ tự hỏi tại sao chúng ta lại sử dụng một Server Publishing Rule cho kết nối SSTP. Nói chung, nếu chúng ta sử dụng một Web Publishing Rule thay cho Server Publishing Rule thì chúng ta có thể kiểm soát truy cập tới máy chủ SSTP dựa trên đường dẫn và Public Name. Thậm chí chúng ta có thể thắt chặt rule này bằng cách cấu hình bộ lọc HTTP Security Filter.
Chúng ta sẽ cấu hình Web Publishing Rule cho CDP:
1. Trong
ISA Firewall Console, click vòa node
Firewall Policy rồi chọn tab
Tasks trong
Task Pane, sau đó click vào liên kết
Publish Websites.
2. Trên trang
Welcome to the New Web Publishing Rule Wizard, nhập tên cho Rule này trong hộp
Web Publishing Rule name. Trong ví dụ này chúng ta sẽ đặt tên cho Rule này là CDP Site. Sau đó nhấn
Next.
3. Trên trang
Select Rule Action, lựa chọn tùy chọn
Allow rồi nhấn
Next.
Hình 7: Lựa chọn hành động cho Rule trên trang Select Rule Action.
4. Trên trang
Publishing Type, lựa chọn tùy chọn
Publish a single Web site or load balancer rồi nhấn
Next.
Hình 8: Trang Publishing Type của New Web Publishing Rule Wizard.
5. Trên trang
Server Connection Security, lựa chọn tùy chọn
Use non-secured connection to connect the published Web server or server farm. Chúng ta lựa chọn tùy chọn này vì máy trạm SSTP VPN không sử dụng SSL để kết nối tới CDP. Sau đó nhấn tiếp
Next.
Hình 9: Trang Server Connection Security của New Web Publishing Rule Wizard. 6. Trên trang
Internal Publishing Details, nhập tên cho
CDP Website vào hộp
Internal site name. Vì đang sử dụng HTTP nên chúng ta có thể nhập bất cứ tên gì cho CDP Website này. Nếu có một SSL Publishing Rule, chúng ta sẽ phải nhập tên này trên Website Certificate của trang này. Lựa chọn hộp chọn
Use a computer name or IP address to connect to the published server (sử dụng một tên máy tính hay địa chỉ IP để kết nối tới máy chủ đã được tạo) rồi nhập địa chỉ IP giao tiếp ngoài của máy chủ VPN. Trong trường hợp nàym địa chỉ IP trên giao tiếp ngoài của máy chủ VPN là 10.10.10.2. Địa chỉ này sẽ cho phép máy chủ NAT trên máy chủ VPN chuyển tiếp kết nối HTTP tới CDP Website. Thực hiện xong nhấn
Next.
Hình 10: Trang Internal Publishing Details của New Web Puiblishing Rule Wizard.
7. Khi máy trạm SSTP VPN gọi CRL nó sẽ sử dụng địa chỉ trên giấy phép này. Trong phần đầu của loạt bài viết này, URL trên giấy phép này cho CRL là http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl. Để bảo mật cho Web Publishing Rule, chúng ta có thể giới hạn số lượng đường dẫn mà những máy trạm ngoài có thể tiếp cận qua Web Publishing Rule này. Vì chúng ta chỉ muốn trao quyền truy cập tới CRL, chúng ta sẽ nhập đường dẫn /CertEnroll/WIN2008RC0-DC.msfirewall.org.crl để ngăn chặn những người dùng ngoài vào những đường dẫn khác trên Certificate Server. Chúng ta không cần phải chuyển tiếp Host Header vì không có Host Header nào được sử dụng trên Website của Certificate Server. Sau đó nhấn
Next.
Hình 11: Trang Internal Publishing Detail của New Web Puiblishing Rule Wizard.
8. Chúng ta có thể cố định Rule này bằng cách chỉ cho những máy trạm nhập chính xác tên máy chủ mới có thể truy cập qua Web Publishing Rule. Tên máy chủ được liệt kê trong vùng CDP của giấy phép này, trong trường hợp này là win2008rc0-dc.msfirewall.org. Trên trang
Public Name Details lựa chọn tùy chọn
This domain name (type below) từ danh sách thả xuống của trường
Accept requests for. Trong hộp
Public name, nhập win2008rc0-dc.msfirewall.org. Chúng ta không cần phải hiệu chỉnh đường dẫn này vì chúng ta đã cấu hình nó trên trang trước của wizard này. Thực hiện xong nhấn
Next.
Hình 12: Trang Public Name Details của New Web Publishing Wizard.
9. Click vào nút
New trên trang
Select Web Listener.
10. Trên trang
Welcome to the New Web Listener Wizard, nhập tên cho
Web Listener vào hộp
Web listener name. Trong ví dụ này chúng ta sẽ nhập tên là Web Listener HTTP. Sau đó nhấn
Next.
11. Trên trang
Client Connection Security, lựa chọn tùy chọn
Do not require SSL secured connections with clients. Chúng ta lựa chọn tùy chọn này là do máy trạm SSTP không sử dụng SSL để truy cập vào CDP. Sau đó nhấn tiếp
Next.
Hình 13: Trang Client Connection Security của New Web Listener Definition Wizard. 12. Trên
Listener IP Address Website, lựa chọn hộp chọn
Extermal. Chúng ta không cần lựa chọn các địa chỉ IP vì trong ví dụ này chúng ta chỉ có duy nhất một địa chỉ IP trên giao tiếp ngoài của ISA Firewall. Nếu giữ nguyên các hộp chọn trong ISA Server thì dữ liệu được gửi tới máy trạm qua Web Listener này sẽ được nén khi máy trạm đang yêu cầu dữ liệu này lựa chọn tùy chọn nén. Sau đó nhấn
Next.
Hình 14: Lựa chọn hộp chọn External trên Listener IP Address Website
của New Web Listener Definition Wizard.
13. Trên trang
Authentication Settings, lựa chọn tùy chọn
No Authentication trong danh sách thả xuống
Select how clients will provide credentials to the ISA Server (lựa chọn phương pháp máy trạm gửi giấy phép tới ISA Server). Máy trạm SSTP này không thể xác thực khi đang truy cập vào CDP, do đó chúng ta không được kích hoạt thẩm định quyền trên Listener này. Tuy nhiên chúng ta có thể kích hoạt nếu cần sử dụng Listener này cho các Web Publishing Rule khác, nhưng phải bảo đảm cho phép tất cả người dùng truy cập trong những trường hợp không thẩm định quyền. Sau đó nhấn tiếp
Next.
Hình 15: Trang Authentication Settings của New Web Listener Definition Wizard.
14. Click
Next trên trang
Single Sign On Settings.
15. Click
Finish trên trang
Completing the New Web Listener Wizard.
16. Click
Next trên trang
Select Web Listener.
Hình 16: Trang Select Web Listener của New Web Publishing Rule Wizard.
17. Trên trang
Authentication Delegation, lựa chọn tùy chọn
No delegation, and client cannot authenticate directly trong danh sách thả xuống. Vì không có quá trình thẩm định quyền được thực hiện trên kết nối này nên chúng ta không cần cho phép thẩm định quyền. Sau đó nhấn
Next.
Hình 17: Trang Authentication của New Web Publishing Rule Wizard.
18. Trên trang
User Sets, giữ nguyên cài đặt mặc định. Nhấn
Next.
19. Click
Finish trên trang
Completing the New Web Publishing Rule Wizard. Tiếp theo chúng ta sẽ tạo Server Publishing Rule cho máy chủ PPTP:
1. Trong
ISA Firewall Console, click vào node
Firewall Policy. Chọn tab
Tasks trong
Task Pane rồi click vào
Publish Non-Web Server Protocols.
2. Trên trang
Welcome to the New Server Publishing Rule Wizard, nhập tên cho Rule này trong hộp
Server Publishing Rule name. Trong ví dụ này chúng ta sẽ nhập tên PPTP VPN. Sau đó nhấn
Next.
3. Trên trang
Select Server, nhập địa chỉ IP trên mạng ngoài của máy chủ VPN này. Trong ví dụ này giao tiếp ngoài của máy chủ VPN là 10.10.10.2, do đó chúng ta sẽ nhập địa chỉ này vào trong hộp
Server IP address rồi nhấn
Next.
Hình 18: Nhập địa chỉ IP cho máy chủ trên trang Select Server.
4. Trên trang
Select Protocol, lựa chọn tùy chọn
PPTP Server trong danh sách
Selected protocol. Sau đó nhấn
Next.
Hình 19: Lựa chọn giao thức trên trang Select Protocol.
5. Trên trang
Network Listener IP Addresses, lựa chọn hộp chọn
External rồi nhấn
Next.
Hình 20: Lựa chọn hộp chọn External trên trang Network Listener IP Addresses.
6. Click
Finish trên trang
Completing the New Server Publishing Rule Wizard.
Sau đây chúng ta sẽ hoàn thành cấu hình Publishing Rule bằng cách tạo một Server Publishing Rule cho giao thức SSTP mà thực chất là một HTTPS Server Publishing Rule:
1. Trong
ISA Firewall Console, click node
Firewall Policy trong bảng bên trái, chọn tab
Tasks trong
Task Pane rồi click tiếp vào
Publish Non-Web Server.
2. Trên trang
Welcome to the New Server Publishing Rule Wizard, nhập tên cho Server Publishing Rule trong hộp
Server Publishing Rule name. Trong ví dụ này chúng ta sẽ sử dụng tên SSTP Server. Sau đó nhấn
Next.
3. Trên trang
Select Server, nhập địa chỉ IP trên giao tiếp ngoài của máy chủ VPN trong hộp
Server IP address. Trong ví dụ này chúng ta nhập địa chỉ 10.10.10.2. Sau đó nhấn
Next.
4. Trên trang
Select Protocol, lựa chọn tùy chọn
HTTPS Server từ danh sách
Selected Protocol. Sau đó nhấn
Next.
Hình 21: Trang Selected Protocol của New Server Publishing Rule Wizard.
5. Trên trang
Network Listener IP Address, lựa chọn họp chọn
External rồi nhấn
Next.
6. Click
Finish trên trang
Completing the New Server Publishing Rule Wizard.
7. Click
Apply để lưu những thay đổi và cập nhật Firewall Policy. Click
OK trong hộp thoại
Saving Configuration Changes.
Kết luậnTrong phần này chúng ta đã thực hiện cấu hình các giấy phép dial-in cho một tài khoản người dùng. Sau đó chúng ta đã di chuyển sang CDP Web Server để kết nối HTTP ẩn danh có thể kết nối qua đó. Và chúng ta tạo hai Server Publishing Rule và một Web Publishing Rule trong ISA Firewall để cho phép các kết nối tới máy chủ VPN và CRL Distribution Point. Trong phần tiếp theo cũng là phần cuối của loạt bài viết này chúng ta sẽ cấu hình máy tạm VPN kết nối tới máy chủ SSL VPN và xác nhận lại những kết nối đó bằng cách kiểm tra thông tin ngay trên máy trạm này, máy chủ VPN và tại ISA Firewall.