Trong phần trước của loạt bài này, tổng quan về cấu hình VPN, chúng tôi đã giới thiệu cho các bạn các kiến thức tổng quan về giao diện cấu hình VPN truy cập xa của tường lửa TMG. Chúng tôi cũng đã giới thiệu về sự kiểm soát có sẵn và vị trí các bạn có thể tìm thấy chúng. Giờ đây trong phần tiếp theo này, chúng ta sẽ đi vào tìm cách cấu hình tường lửa để chấp nhận các kết nối PPTP và L2TP/Ipsec.
PPTP Remote Access VPN Server
PPTP là giao thức VPN truy cập từ xa đầu tiên. Nó có một chút tiếng xấu trước đây khi người ta phát hiện thấy có một vấn đề bảo mật đối với PPTP, đó là lỗ hổng trước các tấn công dựa trên mật khẩu. Vấn đề này đã được giải quyết với phát hành PPTPv2, tuy nhiên PPTP vẫn được coi là kém an toàn hơn so với giao thức VPN (theo đánh giá của các chuyên gia bảo mật). Điều này là vì cơ chế thẩm định diễn ra bên ngoài bối cảnh đường hầm mã hóa an toàn.
Giờ đây, nếu sử dụng mật khẩu phức tạp hoặc sử dụng cơ chế thẩm định dựa trên chứng chỉ người dùng EAP/TLS cho các kết nối PPTP của bạn thì các vấn đề bảo mật sẽ dễ giải quyết hơn. Chính vì vậy trừ khi ở trong một ngành công nghiệp bảo mật cao hoặc một nơi có nguồn tài chỉnh khổng lồ với những siêu máy tính bằng không PPTP vẫn là một lựa chọn phù hợp cho giao thức VPN truy cập từ xa.
PPTP được các quản trị viên ISA và TMG firewall ưa chuộng vì khả năng hoạt động của nó. Mặc dù vậy vẫn phải nói rằng có nhiều tình huống PPTP không làm việc, chẳng hạn như PPTP client hoặc PPTP server được đặt phía sau thiết bị NAT không có PPTP NAT editor hoặc có một NAT editor độc mã.
Do đó vậy cần đáng phải xem xét lại vì PPTP, không giống như hầu hết các giao thức VPN khác, không phải là những gì vẫn được gọi là “tường lửa thân thiện”. Điều này đặt ra câu hỏi là tại sao chúng ta không sử dụng các phương pháp truy cập từ xa tương lai, chẳng hạn như DirectAccess, thay cho việc chỉ dựa vào phương pháp VPN truyền thống. Lý do cho điều này là DirectAccess chỉ có sẵn trong các máy khách Windows 7 và nó cần có một số các yêu cầu khác mà tất cả các máy khách của bạn có thể không đáp ứng được, khi đó giải pháp VPN truy cập từ xa vẫn tồn tại và là một lựa chọn cần thiết.
Bạn cần biết rằng tường lửa của các hãng thứ ba chỉ có PPTP NAT editor độc mã vì vậy chỉ có một kết nối PPTP gửi đi được thực thiện từ bên trong tường lửa. Trong các trường hợp khác, NAT editor có quá nhiều lỗi đến nỗi không máy khách nào có khả năng thiết lập kết nối từ phía sau tường lửa với PPTP NAT editor khiếm khuyết. Bạn có thể luôn hy vọng rằng ở phía sau RRAS NAT server hoặc một ISA hay TMG firewall, tuy nhiên đôi khi sự may mắn đó lại không dành cho bạn. Trong các trường hợp đó, có thể thử sử dụng giao thức VPN truy cập từ xa khác hoặc một số phương pháp khác cho việc truy cập từ xa để lấy được các thông tin mà bạn cần thiết.
Trong phần trước của loạt bài này, chúng tôi đã cấu hình máy chủ VPN sử dụng DHCP để đạt được các địa chỉ IP cho các máy khách VPN truy cập xa. Chúng tôi cũng đã kích hoạt cấu hình giao thức VPN mặc định, đó là PPTP. TMG firewall đang lắng nghe trên giao diện ngoài mặc định cho các kết nối máy khách VPN truy cập xa và sử dụng phương pháp thẩm định mặc định, MS-CHAPv2.
Giờ đây chúng ta hãy đi xem xét các bước tiếp theo. Trong thử nghiệm chúng tôi có một máy khách Windows 7 để kết nối với mạng ở ngoài TMG firewall, sau đó sẽ thử một kết nối VPN. Trong thử nghiệm, chúng tôi đã thừa nhận rằng các bạn đã biết cách tạo kết nối VPN trên máy khách Windows 7, vì vậy sẽ không giới thiệu quá trình đó ở đây.
Lưu ý: Nếu bạn chưa biết cách thực hiện đó, hãy mở Network and Sharing Center và kích vào liên kết Set up a new connection or network và thực hiện theo các hướng dẫn trong wizard.
Trước khi kết nối, chúng tôi muốn giới thiệu cho bạn một thứ trong cấu hình máy khách VPN có thể giúp bạn khắc phục sự cố một số giao thức VPN khác nhau. Trong hình 1 bên dưới, bạn có thể thấy hộp thoạiProperties cho kết nối máy khách VPN. Khi kích tab Security, danh sách sổ xuống Type of VPN sẽ xuất hiện. Khi bạn mở danh sách này, bạn sẽ thấy một danh sách các giao thức VPN mà máy khách VPN truy cập xa hỗ trợ. Trong ví dụ này, chúng tôi muốn bắt máy khách VPN sử dụng PPTP. Chọn tùy chọn đó và tạo kết nối.
Sau khi tạo kết nối, bạn có thể kích phải vào kết nối VPN trong cửa sổ Network Connections và kích Status. Trong hộp thoại Status, kích tab Details, ở đây bạn sẽ thấy các thông tin chi tiết của kết nối PPTP. Bạn có thể thấy giao thức WAN Miniport (PPTP) được sử dụng, phương pháp thẩm định và các thông tin địa chỉ IP, như thể hiện trong hình 2.
Trong giao diện điều khiển TMG firewall, phần chỉ thị Dashboard, bạn có thể thấy kết nối trong phầnSessions như thể hiên trong hình 3 bên dưới.
Khi chuyển sang nút Monitoring trong phần panel trái của giao diện điều khiển TMG firewall và kích tabSessions, bạn sẽ thấy kết nối VPN client. Nếu máy chủ VPN truy cập từ xa bận rộng, bạn có thể sử dụng tính năng lọc có trong tab Sessions và cấu hình bộ lọc để chỉ hiển thị các kết nối máy khách VPN truy cập xa. Lưu ý rằng nút này cũng cung cấp các thông tin có liên quan đến giao thức VPN được sử dụng để kết nối máy chủ VPN truy cập xa của TMG firewall cũng như username của người dùng được kết nối. Xem thể hiện trong hình 4 bên dưới.
Khá dễ dàng? Giờ đây bạn đã biết tại sao các quản trị viên thích cấu hình ISA và TMG làm các máy chủ VPN truy cập xa PPTP. Bạn có thể bị lôi cuốn và kích hoạt cơ chế thẩm định EAP/TLS, sử dụng RADIUS server và thực hiện một số thứ để mở rộng bảo mật cho máy chủ PPTP VPN và cấu hình kiểm soát sự truy cập – tuy nhiên nếu bạn chỉ muốn một giải pháp dễ dàng và nhanh chóng, PPTP chính là cái mà bạn cần chọn (chí ít là từ trình chủ của cấu hình).
Tuy nhiên tất cả những gì bạn thực hiện cho đến đây là cấu hình tường lửa TMG firewall trở thành một máy chủ VPN truy cập xa và thẩm định rằng kết nối PPTP có thể được thiết lập. Những gì chúng ta chưa thực hiện là kết nối đến các tài nguyên trong mạng nội bộ để bảo đảm rằng kết nối thực sự làm việc.
Một cách dễ dàng có thể test điều này là xem liệu chúng ta có thể ping một domain controller trên mạng bên trong được không. Địa chỉ IP của domain controller là 10.0.0.2. Hình 5 bên dưới thể hiện kết quả của hành động ping.
Có gì với điều đó? TMG firewall đòi hỏi nhiều kết nối VPN. Hãy nhớ rằng, khi thiết lập tường lửa TMG firewall, theo mặc định, không có lưu lượng truy cập có thể di chuyển qua tường lửa. Bạn cần phải tạo ra quy tắc cho phép lưu lượng đi qua tường lửa.
OK, chúng ta hãy đi tạo các quy tắc đó.
Bên phía panel bên trái của giao diện điều khiển TMG firewall, kích nút Firewall Policy. Trong phần panel bên phải của giao diện điều khiển, kích tab Tasks. Trong tab Tasks, kích liên kết Create Access Rule, như thể hiện trong hình 6.
Trong hộp thoại Welcome to the New Access Rule Wizard, thể hiện trong hình 7, hãy nhập vào tên của quy tắc trong hộp văn bản Access Rule name. Trong ví dụ này, chúng tôi đã đặt tên cho quy tắc là VPN Clients to Internal và sau đó kích Next.
.jpg)
Trong trang Rule Action, thể hiện trong hình 8, chọn tùy chọn Allow, do chúng ta muốn sử dụng quy tắc này để cho phép lưu lượng từ mạng các máy khách VPN đến mạng bên trong mặc định. Kích Next.
Trong trang Protocols, thể hiện trong hình 9, bạn có thể chọn giao thức nào được phép từ mạng nguồn đến mạng đích (hoặc máy tính hoặc đối tượng mạng khác). Trong ví dụ này, chúng ta cho phép tất cả lưu lượng từ mạng các máy khách VPN đến mạng nội bộ bên trong, vì vậy hãy chọn tùy chọn All outbound traffic từ danh sách sổ xuống This rule applies to. Kích Next.
Trong trang Malware Inspection, thể hiện trong hình 10, chúng ta sẽ chọn tùy chọn Do not enable malware inspection for this rule. Lý do chúng ta chọn tùy chọn này là để thuận tiện trong ví dụ này. Lưu ý rằng trong môi trường sản xuất, bạn cần bảo vệ các máy khách trước malware, vì split tunneling (quá trình cho phép người dùng VPN từ xa truy cập mạng Internet khi được phép truy cập tài nguyên trên VPN, phương pháp này cho phép người dùng có thể truy cập các thiết bị từ xa chẳng hạn như máy in trong mạng, trong khi đó vẫn có thể truy cập Internet) bị vô hiệu hóa mặc định. Do split tunneling bị vô hiệu hóa nên các máy khách VPN sẽ phải truy cập Internet thông qua tài nguyên mà bạn tạo sẵn trên mạng công ty. Tài nguyên đó có thể là một TMG firewall khác hoặc web proxy, hoặc nó có thể là TMG firewall mà máy khách VPN đang kết nối để thiết lập session máy khách VPN truy cập xa.
Văn Linh (Theo Isaserver)
Không một gia đình nào là hoàn hảo… vẫn có cãi vã, vẫn có chiến tranh, thậm chí là sự lạnh lùng trong một thời gian rất dài, nhưng cho đến cuối cùng, gia đình vẫn là gia đình… nơi tình yêu luôn luôn hiện hữu.
“Cái gọi là duyên phận, chính là trong ngàn vạn người gặp được người cần gặp là anh, trong ngàn vạn năm, giữa mênh mông hoang hoải vô tận của thời gian, không sớm một bước cũng không muộn một bước.”
Internet di động tiếp tục phát triển rất nhanh chóng. Những hướng dẫn này sẽ giúp bạn tạo ra hoặc cải thiện trải nghiệm người sử dụng điện thoại di động của bạn.
Từ khóa trong một chiến dịch quảng cáo Google adwords quyết định đến 60% sự thành công và giá tiền click chuột của chiến dịch đó. Nhưng nhiều người lại chưa hiểu và chưa ứng dụng đúng quy tắc từ khóa nên kết quả của quảng cáo không đạt hiệu quả cao.
Là một trong những tập đoàn công nghệ hùng mạnh thế giới, mỗi năm Google thu được lợi nhuận khổng lồ bằng cách chi phối những gì chúng ta tìm kiếm nhờ vào độ phủ sóng rộng lớn trên Internet.
