hồ sơ các bộ lọc gói, ta có thể cấu hình lưu lượng IP được cho phép nhận từ các Client truy cập từ xa(Bộ lọc đầu vào) hoặc được gửi tới Client từ xa (Bộ lọc đầu ra) + Các thiết lập xác thực có thể định nghĩa giao thức Client VPN phải sử dụng để gửi giấy uỷ nhiệm của nó và cấu hình của các loại EAP, chẳng hạn EAP-TLS. Việc ngăn chặn các luồng lưu lượng được định tuyến từ Client VPN Một khi Client VPN thiết lập thành công một kết nối PPTP hoặc L2TP, theo ngầm định bất kỳ gói nào gửi qua kết đều nhận được bởi máy chủ mạng riêng ảo và chuyển tiếp chúng. Các gói gửi qua kết nối có thể bao gồm: - Các gói có nguồn gốc từ máy tính Client truy cập từ xa - Các gói gửi tới máy Client truy cập từ xa bởi các máy khác Lúc máy Client truy cập từ xa tạo ra kết nối mạng riêng ảo, theo ngầm định nó tạo một đường định tuyến mặc định vì vậy tất cả luồng lưu lượng phù hợp với đường định tuyến mặc định được gửi qua kết nối mạng riêng ảo. Nếu các máy tính khác đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa, xem các máy Client truy cập từ xa như một Router, mà luồng lưu lượng cũng được chuyển tiếp qua kết nối mạng riêng ảo. Đây là một vấn đề an toàn vì máy chủ mạng riêng ảo không xác thực các máy tính đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa 8. Cơ sở hạ tầng chứng chỉ số Để thực hiện việc xác thực dựa trên chứng chỉ cho các kết nối L2TP hoặc xác thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP- TLS, một cơ sở hạ tầng, được biết đến như cơ sở hạ tầng khoá công khai (PKI), dùng để phát hành các chứng chỉ để đệ trình trong quá trình xác thực và để xác nhận tính hợp lệ của chúng chỉ đang được đệ trình. Như vậy ta thấy, các kết nối mạng riêng ảo truy cập từ xa gồm nhiều thành phần. Client VPN phải được cấu hình để tạo kết nối mạng riêng ảo tới máy chủ VPN. Cơ sở hạ tầng mạng phải hỗ trợ khả năng kết nối tới được giao diện máy chủ mạng riêng ảo trên mạng Intranet và hỗ trợ xử lý tên DNS của máy chủ mạng riêng ảo. Ta phải xác định giao thức xác thực và giao thức mạng riêng ảo để sử dụng. Cơ sở hạ tầng mạng Intranet phải hỗ trợ xử lý đặt tên của các tài nguyên trong Intranet, định tuyến tới các Client truy cập từ xa và các tài nguyên cách ly. Cơ sở hạ tầng AAA phải được cấu hình để cung cấp tính năng xác thực sử dụng Domain, xác thực sử dụng các chính sách truy cập từ xa, và kiểm toán các kết nối mạng riêng ảo truy cập từ xa. Với các kết nối L2TP/IPSec hoặc lúc sử dụng xác thực EAP-TLS, một cơ sở hạ tầng chứng chỉ phải được sử dụng để phát hành chứng chỉ người dùng và chứng chỉ máy tính 6.2. Triển khai mạng riêng ảo truy cập từ xa 6.2.1. Triển khai truy cập từ xa dựa trên PPTP hoặc L2TP/IPSec Nhiều thủ tục triển khai truy cập từ xa là giống nhau khi ta sử dụng PPTP hoặc L2TP/IPSec, nhưng ta cần xem xét một số điểm khác biệt nổi bật trong khi thiết lập, tuỳ thuộc vào cái nào được sử dụng. Không kể tập hợp giao thức mà ta sử dụng, việc triển khai các kết nối mạng riêng ảo truy cập từ xa bao gồm các bước sau: - Triển khai một cơ sở hạ tầng chứng chỉ số - Triển khai một cơ sở hạ tầng Internet - Triển khai một cơ sở hạ tầng xác thực, cấp quyền và kiểm toán - Triển khai các máy chủ mạng riêng ảo - Triển khai một cơ sở hạ tầng Intranet - Triển khai các Client VPN Sau đây ta sẽ thảo luận chi tiết hơn về các phần 6.2.1.1. Triển khai một cơ sở hạ tầng chứng chỉ số Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ là cần thiết chỉ khi ta đang sử dụng các chứng chỉ người dùng được cài đặt cục bộ và xác thực EAP-TLS, mới L2TP/IPSec, cơ sở hạ tầng chứng chỉ số là điều bắt buộc. Nếu đang sử dụng chỉ một giao thức xác thực dựa trên mật khẩu như MS-CHAP v2), thì không đòi hỏi cơ sở hạ tầng chứng chỉ và cơ sở hạ tầng này cũng không được dùng cho việc tạo kết nối mạng riêng ảo. Ta có thể lựa chọn việc sử dụng mật khẩu, miễn là các chứng chỉ cho phép xác thực 2 nhân tố và sẽ cho phép ta sử dụng các công nghệ an toàn của IPSec. Để sử dụng một cơ sở hạ tầng chứng chỉ cho các kết nối mạng riêng ảo dựa trên PPTP, ta phải cài đặt một chứng chỉ máy tính trên máy chủ xác thực (Máy chủ mạng riêng ảo hoặc máy chủ RADIUS) và phân phối tới Client VPN hoặc một chứng chỉ người dùng trên mỗi máy Client VPN. 6.2.1.2. Triển khai một cơ sở hạ tầng Internet Bây giờ ta đã có tất cả các dịch vụ cấp chứng chỉ đã triển khai, hãy chuyển sang khai thác hệ thống mạng riêng ảo đã cấu hình và triển khai. Bước thứ nhất là triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo truy cập từ xa sẽ xử lý tất cả các yêu cầu kết nối và truy cập đến tới và từ Internet. Triển khai cơ sở hạ tầng Internet bao gồm: - Đặt máy chủ mạng riêng ảo trong một mạng vành đai hoặc trên Internet - Cấu hình giao diện Internet - Bổ sung địa chỉ vào máy chủ hệ thống tên miền Internet 1. Đặt máy chủ mạng riêng ảo trong mạng vành đai hoặc trên Internet Quyết định nơi đặt máy chủ liên quan đến Firewall Intranet của ta. Trong cấu hình thông dụng nhất, máy chủ mạng riêng ảo được đặt sau Firewall trên mạng vành đai giữa Intranet và Internet. Cấu hình này cho phép Firewall xử lý nhiều tác vụ bảo mật, chẳng hạn như xem xét các tấn công và lọc các luồng lưu lượng không mong muốn bên ngoài, cho phép máy chủ mạng riêng ảo xử lý luồng lưu lượng mạng riêng ảo truy cập từ xa. Nếu đang sử dụng một Firewall trước máy chủ mạng riêng ảo, cấu hình bộ lọc gói trên Firewall để cho phép luồng lưu lượng PPTP hoặc L2TP/IPSec khi được yêu cầu tới và từ địa chỉ IP của các giao diện mạng vành đai của máy chủ mạng riêng ảo. 2. Cấu hình giao diện Internet Kết nối máy chủ mạng riêng ảo tới mạng vành đai với một card mạng và kết nối tới mạng Intranet với một card mạng khác. Cấu hình máy chủ mạng riêng ảo để chuyển tiếp các gói IP giữa Internet và Intranet, chẳng hạn nếu dùng hệ điều hành Windows thì dùng dịch vụ Routing anhd Remote Access Server Với các kết nối kết nối tới Internet hoặc mạng vành đai, cấu hình giao thức TCP/IP với một địa chỉ IP công cộng, một subnet mask và cổng kết nối mặc định của hoặc Firewall(nếu Firewal được đặt trong một mạng vành đai) hoặc một Router của ISP(nếu máy chủ mạng riêng ảo được kế nối trực tiếp tới Internet và không có Firewall giữa máy chủ mạng riêng ảo và Router của ISP) 3. Bổ sung địa chỉ vào máy chủ DNS internet Với các thiết bị mạng riêng ảo để thực hiện chức năng, người dùng sẽ cần phải có khả năng tìm thấy máy chủ mạng riêng ảo từ bất kỳ nơi nào trên Internet, vì vậy, ta cần thông báo tên máy chủ một cách đúng đắn. Để đảm bảo rằng tên của máy chủ mạng riêng ảo(ví dụ, vpn.fis.com) có thể được xử lý với các địa chỉ IP thích hợp của nó theo một trong 2 thủ tục sau. Bạn có thể bổ sung địa chỉ DNS vào máy chủ DNS nếu đang cung cấp dịch vụ phân giải tên DNS cho người dùng Internet(Nếu là trường hợp này, đảm bảo rằng ISP của ta biết nó và rằng máy chủ DNS của ta có thể phản hồi yêu cầu bởi các máy chủ DNS của ISP). Như một sự lựa chọn, ta có thể bổ sung vào ISP của ta một bản ghi DNS tới máy chủ DNS nếu ISP đang cung cấp dịch vụ phân giải tên DNS cho người dùng Internet. Kiểm tra lại tên của máy chủ mạng riêng ảo có thể được xử lý với địa chỉ IP công cộng lúc kết nối tới Internet hay không 6.2.1.3. Triển khai một cơ sở hạ tầng AAA Một khi ta làm cho tên máy chủ mạng riêng ảo có thể xử lý trên Internet, ta muốn chắc chắn rằng chỉ những người dùng mà ta đồng ý cấp quyền truy cập tới các dịch vụ mạng riêng ảo. Bước kế tiếp là triển khai hệ thống định danh, được xem như là các dịch vụ AAA. Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo truy cập từ xa bao gồm - Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm - Cấu hình máy chủ xác thực Internet IAS chính - Cấu hình IAS với các Client RADIUS - Cấu hình chính sách mạng riêng ảo truy cập từ xa Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm Dịch vụ thư mục là trung tâm bảo mật của mạng riêng ảo + Phải đảm bảo rằng tất cả người dùng tạo kết nối truy cập từ xa có một tài khoản tương ứng + Thiết lập mức cho phép truy cập từ xa trên tài khoả để cho phép truy cập hay từ chối truy cập để quản lý truy câp từ xa theo người dùng hoặc theo nhóm thông qua chính sách truy cập từ xa + Tổ chức những người dùng từ xa thành nhóm thích hợp để thuận tiện trong việc áp dụng chính sách truy cập từ xa theo nhóm Cấu hình máy chủ IAS chính Máy chủ IAS sẽ cho phép ta xử lý tất các các liên lạc liên quan tới xác thực và cấp quyền. Đây sẽ là nguồn tài nguyên máy chủ sống còn và việc mất các dịch vụ xác thực có thể làm dừng hoạt động của toàn mạng, Vì vậy cần thiết phải có IAS thứ 2 để dự phòng Máy chủ IAS chính phải có khả năng truy cập các thuộc tính tài khoản trong các Domain thích hợp. Nếu IAS đang được cài trên một máy điều khiển miền, không yêu cầu phải cấu hình cho IAS truy cập các thuộc tính tài khoản trong Domain mà nó thuộc. Nếu IAS không được cài trên một máy điều khiển miền, ta phải cấu hình máy chủ IAS chính để nó có thể đọc các thuộc tính của tài khoản người dùng trong Domain Nếu máy chủ IAS xác thực và cấp quyền cho các nổ lực kết nối mạng riêng ảo với các tài khoản người dùng trong các Domain khác, kiểm tra lại xem các Domain khac có quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là thành viên hay không. . cơ sở hạ tầng Internet - Triển khai một cơ sở hạ tầng xác thực, cấp quyền và kiểm toán - Triển khai các máy chủ mạng riêng ảo - Triển khai một cơ sở hạ tầng Intranet - Triển khai các Client. truy cập từ xa bao gồm - Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm - Cấu hình máy chủ xác thực Internet IAS chính - Cấu hình IAS với các Client RADIUS - Cấu hình chính sách. Triển khai cơ sở hạ tầng Internet bao gồm: - Đặt máy chủ mạng riêng ảo trong một mạng vành đai hoặc trên Internet - Cấu hình giao diện Internet - Bổ sung địa chỉ vào máy chủ hệ thống tên miền