Thiết lập máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls -phần 2

Trong phần đầu của loạt bài viết này chúng ta đã xem xét một số nhược điểm của truy cập VPN từ xa tại các điểm truy cập công cộng, và phương pháp sử dụng giao thức SSTP để khắc phục những vấn đề này bằng cách cho phép các kết nối VPN thực hiện qua một kết SSL cổng 443 của TCP được mọi hệ thống tường lửa cho phép trong những môi trường này. 

Sau đó chúng ta đã cài đặt các Certificate Service (dịch vụ cấp phép) trên máy chủ SSL VPN. Sau khi cài đặt giấy phép trên máy chủ VPN chúng ta cũng đã cài đặt các dịch vụ RRAS VPN và NAT trên VPN Gateway. Ngoài ra, chúng ta đã hoàn thành cấu hình máy chủ NAT trên VPN Gateway để chuyển tiếp các kết nối HTTP đến được ISA Firewall chuyển tiếp để thực hiện trên CA lưu trữ CDP.

Trong phần này, chúng ta sẽ thực hiện cấu hình cho một tài khoản người dùng cho phép truy cập dialup, rồi cấu hình CDP này để cho phép các kết nối HTTP ẩn danh. Sau đó chúng ta sẽ hoàn thành tiến trình này bằng cách cấu hình cho ISA Firewall cho phép các kết nối cần thiết tới máy chủ VPN và CDP Website.

Cấu hình tài khoản người dùng cho phép kết nối dial-up

Những tài khoản người dùng cần được cấp phép để truy cập dial-up trước khi chúng có thể kết nối tới một máy chủ VPN của Windows là thành viên của một miền Active Directory. Phương pháp tốt nhất mà chúng ta có thể áp dụng là sử dụng một Network Policy Server (NPS) và sử dụng giấy phép tài khoản người dùng mặc định được sử dụng để cho phép truy cập từ xa dựa trên NPS Policy. Tuy nhiên, chúng ta vẫn chưa cài đặt một NPS trong tình huống này do đó chúng ta sẽ phải cấu hình thủ công giấy phép dial-in cho người dùng này.

Chúng ta cần thực hiện các bước sau đây để kích hoạt giấy phép dial-in trên tài khoản người dùng mà chúng ta muốn kết nối tới máy chủ SSL VPN. Trong ví dụ này chúng ta sẽ kích hoạt truy cập dial-in cho tài khoản quản trị miền mặc định:

1. Tại Domain Controller, mở Active Directory User and Computers Console từ menu Administrative Tools.

2. Trong bảng bên trái của Console này, mở rộng tên miền và click vào node User. Sau đó click đúp vào tài khoản Administrator.

3. Click vào tab Dial-in. Cài đặt mặc định trong tab này là Control access through NPS Network Policy. Vì chúng ta không có một máy chủ NPS nào trong tình huống này nên chúng ta sẽ thay đổi cài đặt này thànhAllow Access như trong hình 1, sau đó nhấn OK.
 

Cấu hình IIS trên Certificate Server cho phép kết nối HTTP cho thư mục CRL

Vì một số lí do, khi wizard cài đặt thực hiện cài đặt Certificate Services Website thì nó sẽ cấu hình cho thư mục CRL sử dụng một kết nối SSL. Xét về bảo mật thì đây là một ý tưởng khá hay, tuy nhiên vấn đề ở chỗ URI trên giấy phép này vẫn chưa được cấu hình sử dụng SSL. Vì chúng ta đang sử dụng các cài đặt mặc định cho CDP trong bài viết này nên chúng ta sẽ phải tắt yêu cầu SSL trên CA Website cho đường dẫn thư mục CRL.

Thực hiện các bước sau để hủy bổ yêu cầu SSL cho thư mục CRL:

1. Trong menu Administrative Tools, mở Internet Information Services (IIS) Manager.

2. Trong bảng bên trái của IIS Console, mở rộng tên máy chủ rồi mở rộng node Sites. Mở rộng tiếp nodeDefault Website rồi click vào node CertEnroll như trong hình 2.
 

3. Nếu kiểm tra trong bảng giữa của console này chúng ta sẽ thấy rằng CRL được đặt trong thư mục ảo này như trong hình 3. Để kiểm tra nội dung của thư mục ảo này chúng ta chỉ cần click vào nút Content View ở phía cuối của bảng giữa.
 

4. Click vào nút Features View ở phía cuối bảng giữa, sau đó click đúp vào biểu tượng SSL Settings.
 

5. Khi đó trang SSL Settings sẽ xuất hiện. Hủy chọn hộp chọn Require SSL rồi click vào liên kết Apply trong bảng phải của Console này.
 

6. Đóng IIS Manager Console sau khi thấy thông báo The changes have been successfully saved (những thay đổi đã được lưu thành công).
 

Sau đây chúng ta sẽ tiến hành cấu hình ISA Firewall. Chúng ta cần tạo ba Publishing Rules để hỗ trợ cho tiến trình này, gồm:

• Một Web Publishing Rule cho phép truy cấp SSL VPN tới CRL Distribution Point (CDP).
   
• Một Server Publishing Rule cho phép các kết nối SSL nội bộ tới máy chủ SSTP mà cho phép kết nối SSTP được thiết lập với máy chủ VPN này.
   
• Một Server Publishing Rule cho phép PPTP truy cập tới máy chủ VPN, do đó máy trạm VPN có thể truy cập vào giấy phép CA từ Enrollment Website trên mạng phía sau máy chủ VPN.

Sau khi đã tạo các giấy phép cần thiết cho máy trạm chúng ta có thể hủy bỏ PPTP Rule. Hay chúng ta có thể để PPTP Rule hay sử dụng L2TP/IPSec thay vì PPTP cho một kết nối bảo mật hơn. Lí do chúng ta có thể để một giao thức VPN khác được kích hoạt đó là chỉ những máy trạm Windows Vista SP1 hỗ trợ cho SSTP.

Trước khi bắt đầu tiến trình này, có thể bạn sẽ tự hỏi tại sao chúng ta lại sử dụng một Server Publishing Rule cho kết nối SSTP. Nói chung, nếu chúng ta sử dụng một Web Publishing Rule thay cho Server Publishing Rule thì chúng ta có thể kiểm soát truy cập tới máy chủ SSTP dựa trên đường dẫn và Public Name. Thậm chí chúng ta có thể thắt chặt rule này bằng cách cấu hình bộ lọc HTTP Security Filter.

Chúng ta sẽ cấu hình Web Publishing Rule cho CDP:

1. Trong ISA Firewall Console, click vòa node Firewall Policy rồi chọn tab Tasks trong Task Pane, sau đó click vào liên kết Publish Websites.

2. Trên trang Welcome to the New Web Publishing Rule Wizard, nhập tên cho Rule này trong hộp Web Publishing Rule name. Trong ví dụ này chúng ta sẽ đặt tên cho Rule này là CDP Site. Sau đó nhấn Next.

3. Trên trang Select Rule Action, lựa chọn tùy chọn Allow rồi nhấn Next.
 

4. Trên trang Publishing Type, lựa chọn tùy chọn Publish a single Web site or load balancer rồi nhấn Next.
 

5. Trên trang Server Connection Security, lựa chọn tùy chọn Use non-secured connection to connect the published Web server or server farm. Chúng ta lựa chọn tùy chọn này vì máy trạm SSTP VPN không sử dụng SSL để kết nối tới CDP. Sau đó nhấn tiếp Next.
 

Xian (Theo ISAServer)