Xây dựng máy chủ VPN Trong bài này chúng tôi sẽ giới thiệu lần lượt các bước triển khai cơ bản truy cập VPN từ xa. Điều đầu tiên bạn cần quyết định trước khi xây dựng một máy chủ Window VPN là liệu có nên sử dụng hay không dịch vụ chứng thực Internet của Microsoft (IAS) để xác nhận người dùng kết nối với VPN. IAS là bổ sung RADIUS của Microshop và khi xây dựng máy chủ VPN là bạn đã có thể kiểm tra quyền truy cập hợp pháp IAS của người dùng hay có thể cho phép người dùng được chứng thực trực tiếp tới Active Directory (AD). IAS cung cấp một số tiện ích. Đầu tiên, nó có nhiều khả năng truy cập tốt hơn bao gồm gửi dữ liệu trực tiếp tới cơ sở dữ liệu SQL. Thứ hai, IAS cung cấp một đích đến tập trung để bạn chỉ tới một số máy chủ VPN khác. Điều này cho phép bảo trì một tập hợp các phương pháp truy cập từ xa mà tất cả các máy chủ VPN có thể sử dụng. Chúng ta không đi quá chi tiết về các cách truy cập từ xa trong bài này, nhưng đây được mô tả như là cách làm hiệu quả để xác định ai được phép truy cập VPN. Giả thiết rằng IAS là sự lựa chọn chứng thực của bạn, hãy xem các cấu hình của máy chủ IAS. Thực hiện theo các bước sau để cài đặt máy chủ IAS. Nếu phần cứng trên máy tính không đủ thì IAS có thể được cài đặt trên cùng một máy chủ mà bạn dùng để truy cập VPN (chú ý việc làm này không đảm bảo an toàn bảo mật). Hình 1 1. Start » Control Panel » Add or Remove Programs » Add/Remove Windows Components » Networking Services » Details » Internet Authentication Service 2. Start » Administrative Tools » Internet Authentication Service » Kích chuột phải vào Internet Authentication Service (local) » Register Server in Active Directory 3. Start » Administrative Tools » Internet Authentication Service » Remote Access Logging » Chọn tùy chọn mong muốn. 4. Start » Administrative Tools » Internet Authentication Service » kích chuột phải vào RADIUS Clients » New RADIUS Client » Nhập thông tin thích hợp cho máy chủ VPN (bạn sẽ được yêu cầu chia sẻ bí mật, chọn một và lưu để làm mã xác nhận sau này) 5. Nếu máy chủ IAS bật tường lửa thì hãy cho phép cổng UDP 1812 từ máy chủ VPN không bị chặn. Mở giao diện quản trị IAS, thực hiện theo các bước để thêm một điểm truy cập từ xa cho phép truy cập đối với người dùng trong nhóm AD đặc biệt (hai nhóm mặc định không cho phép bất kì ai truy cập vào máy chủ VPN). Hình 2 1. Start » Administrative Tools » Internet Authentication Service » kích chuột phải vào Remote Access Policies » New Remote Access Policy 2. Chọn tên » Next 3. Chọn VPN » Next 4. Kích Add 5. Kích Locations và chọn domain 6. Thêm MyVPNaccessGroup » Next 7. Giữ lại tùy chọn duy nhất MS-CHAPv2 » Next 8. Giữ lại tùy chọn duy nhất "Strongest encryption" » Next » Finish Cuối cùng bạn cần cập nhật các hướng truy cập từ xa để bảo vệ chống lại các máy tính nguy hiểm trên mạng người dùng từ xa dùng kết nối VPN theo gói thông qua máy chủ VPN. Thực hiện theo các bước sau: Start » Administrative Tools » Internet Authentication Service » Remote Access Policies » kích chuột phải vào chính sách mới và chọn properties » kích Edit Profile » chọn tab IP » Input Filters » New » OK » kích "Permit only the packets listed below" » OK » OK » OK Máy chủ IAS giờ đây đã sẵn sàng để nhận các yêu cầu chứng thực từ máy chủ VPN. Trước khi có thể cấu hình một máy chủ VPN, hãy quan tâm tới những yêu cầu thiết yếu của máy chủ VPN: 1. Thiết lập hai card giao diện mạng (NICs) trên máy chủ VPN, một card nối với mạng được bảo vệ bên nội bộ và card kia nối với DMZ hay mạng dùng chung có thể truy cập được (NIC ngoài). 2. Không cấu hình DNS hoặc WINS trên NIC ngoài. 3. Không xác định các cổng nối mặc định cho NIC trong, chỉ xác định một cổng nối duy nhất cho NIC ngoài. Sau đây là các bước cần thiết để cấu hình mới máy chủ VPN: 1. Start » Administrative Tools » Services » Dừng dịch vụ "Windows Firewall/Internet Connection Sharing" và thiết lập chế độ startup thành Disabled 2. Start » Administrative Tools » Routing and Remote Access 3. Kích phải chuột tại tên máy chủ rồi kích Configure và Enable Routing and Remote Access (dịch vụ tường lửa trong phải không được kích hoạt) 4. Chọn Remote Access » Next » chọn VPN » Next 5. Chọn NIC ngoài (Chú ý hộp kiểm "Enable security ") » Next 6. Chọn NIC trong » Next 7. Chọn "Automatically" hoặc "From a specified range of addresses" (thủ tục này theo tùy chọn thứ 2) » Next 8. Kích New » nhập một dải cho các IP » OK » Next 9. Chọn "Yes, set up this server to work with a RADIUS server" » Next 10. Nhập máy chủ IAS và chia sẻ bảo mật » Next » Finish 11. Routing and Remote Access » MAYCHUCUABAN » IP Routing » DHCP Relay Agent » Thêm địa chỉ IP của một máy chủ DHCP tới cấu hình DHCP Relay Agent (Chú ý rằng máy chủ DHCP được yêu cầu trả lại thông tin như là miềm mặc định, nhưng không nên điều khiển bất kì một địa chỉ IP nào bởi thiết lập địa chỉ tĩnh) 12. Nếu mạng nội bộ chỉ gồm có một mạng thì bạn đã thành công! Nói cách khác, một tuyến sẽ cần được thêm cho các máy khách truy cập vào các mạng trong khác. Routing and Remote Access » MAYCHUCUABAN » IP Routing » kích chuột phải vào Static Routes » New Static Route » nhập một tuyến lưu lượng bất kì mạng cấp dưới nào trong mạng. Cách đơn giản nhất là hướng tất cả các lưu lượng tới cổng nối mặc định mà NIC nội bộ đang sử dụ ng. Tiếp theo bạn cần thiết lập một kết nối VPN từ máy khách. Sau đây là các bước thực hiện trên Window XP: Start » Control Panel » Network Connections » Tạo một kết nối mới » Next » Kết nối tới mạng công ty » Next » Virtual Private Network connection » Next » Chọn tên » Next » bạn có thể muốn chọn "Do not dial the initial connection" » Next » Nhập tên máy chủ hay địa chỉ IP của máy chủ VPN » Next » chọn đối tượng tạo kết nối » Next » Finish Bạn nên kích đúp vào kết nối VPN vừa được tạo và đăng nhập bằng một tài khoản người dùng là thành viên trong nhóm được phép truy cập tới điểm truy cập từ xa đã tạo ở trên. Chú ý rằng khi kết nối với VPN bạn không thể truy cập vào Internet. Đây thực sự là vấn đề cần được xem xét và giải pháp cho vấn đề này phụ thuộc vào cấu trúc liên kết mạng. Một trở ngại là các bộ lọc IP tạo trên NIC ngoài được cấu hình theo tuyến và truy cập từ xa. B ạn có thể cấu hình chúng theo tuyến hay truy cập từ xa » MAYCHUCUABAN » IP Routing » General » kích phải chuột tại giao diện ngoài và chọn Properties » kích vào các nút Inbound Filters hoặc Outbound Filters. Hãy cẩn thận khi thay đổi các bộ lọc này khi chúng được thiết lập như một thước đo bảo mật. Sau đây là cách cấu hình tách tunnel phân tách từ một tunnel nguyên vẹn: Start » Control Panel » Network Connections » kích phải chuột tại kết nối VPN » Properties » Chọn thẻ Networking » chọn Internet Protocol (TCP/IP) » Properties » Advanced » chọn hoặc hủy chọn "Use Default Gateway On Remote Network". Chọn lại tùy chọn này sẽ tạo ra một phân chia tunnel khi bạn mới làm quen với kết nối VPN và hủy chọn sẽ tạo ra một đường hầm nguyên vẹn. Sau đây là cách bạn có thể ép các kết nối sử dụng một trong 2 tùy chọn PPTP hay L2TP/IPSec (Chú ý rằng L2TP/IPSec yêu cầu các chứng nhận) Start » Control Panel » Network Connections » kích phải chuột tại kết nối VPN » Properties » Chọn thẻ Networking » thay đổi loại VPN. Sâu đây là 2 thông tin cuối cùng giúp bạn thuận tiện khi chạy máy chủ Window VPN: 1) Các thiết lập tài khoản người dùng trên tab Dail-up của một đối tượng người dùng AD có thể ghi đè lên các thiết lập chính sách truy cập từ xa được tạo trên máy chủ IAS. 2) Phiên bản Windows Server 2003 Standard chỉ hỗ trợ dưới 1000 kết nối.  . OK » OK » OK Máy chủ IAS giờ đây đã sẵn sàng để nhận các yêu cầu chứng thực từ máy chủ VPN. Trước khi có thể cấu hình một máy chủ VPN, hãy quan tâm. xây dựng một máy chủ Window VPN là liệu có nên sử dụng hay không dịch vụ chứng thực Internet của Microsoft (IAS) để xác nhận người dùng kết nối với VPN.