Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 12 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
12
Dung lượng
288,9 KB
Nội dung
TạoVNPSitetoSitebằngISA2006FirewallBranchOfficeConnection
Wizard –Phần1
Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn về cách cấu hình
một mạng riêng ảo (VPN) sitetositebằng cách sử dụng BranchOffice
Connectivity Wizard trong ISA2006 Firewall.
Virtual Private Network (VPN) - Mạng riêng ảo là một công nghệ cho phép
mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần
bất kì đường dây riêng nào. VPN được dùng để kết nối các chi nhánh phân
tán về mặt địa lý thành một mạng duy nhất và cho phép sử dụng từ xa các
chương trình ứng dụng dựa trên các dịch vụ trong công ty.
Kịch bản Domain Controller cho văn phòng chi nhánh
Một trong những cải tiến có trong phiên bản Enterprise của ISA2006
Firewall là Branchoffice connectivity wizard. Trong ISA 2000, chúng ta đã
có sitetosite VPN wizard để có thể tạo dễ dàng một VPN siteto site. Mặc
dù trong ISA 2004, sitetosite VPN wizard được nhiều người ưa thích này
đã biến mất, tuy nhiên mọi người sẽ không gặp bất kỳ một trở ngại nào trong
việc làm cho một VPN sitetosite làm việc giữa hai ISA Firewall. Nhóm
phát triển ISAFirewall đã có những cải tiến để chúng ta có được một siteto
site VPN wizard thú vị, BranchOffice Connectivity Wizard là tên được đặt
lại.
Branch Office Connectivity Wizard sử dụng các thông tin chứa trong cấu
hình Remote Site mà bạn tạotại văn phòng chính và sử dụng các thông tin
đó để trợ giúp cho việc tạo VPN sitetosite trở nên dễ dàng hơn. Khi kết
thúc wizard, một file sẽ được tạo để bạn có thể đưa đến ISAFirewall văn
phòng chi nhánh nhằm tạo một VPN siteto site. Ngoài việc tạo kết nối VPN
site to site, wizard còn cho phép bạn có được tùy chọn tạoISAFirewalltại
văn phòng chi nhánh một thành viên miền, đây thực sự là một cách thức tốt
nhất của ISAFirewall vì tính bảo mật toàn diện của một thành viên miền
mạnh hơn nhiều so với một ISAFirewall đứng độc lập.
Trong loạt bài về sử dụng ISAFirewallBranchOffice Connectivity Wizard
để tạo một VPN sitetosite này, đầu tiên chúng tôi sẽ giới thiệu qua quá trình
tạo một kết nối VPN sitetositebằng Wizard, sau khi tạo xong một VPN site
to site, chúng ta sẽ tạo các luật truy cập (Access Rule) cho bộ điều khiển
miền (domain controller) của văn phòng chi nhánh, các máy khách thành
viên miền tại văn phòng chi nhánh và sử dụng đặc quyền tối thiểu để thực
hiện điều này.
Hình bên dưới thể hiện một cái nhìn tổng quan về mạng lab được sử dụng
trong loạt bài này.
Hình 1
Có 5 máy tính được sử dụng trong kịch bản này:
Dedicated CSS (css2006.msfirewall.org) Một CSS chuyên dụng sẽ
được sử dụng để quản lý CSS cho các mảng tường lửa ISA Enterprise
Edition. Sẽ có hai mảng ISA Firewall: một mảng cho ISAFirewalltại
văn phòng chính và một mảng ISAFirewall cho văn phòng chi nhánh.
Chúng ta không thể đặt các ISAFirewall của văn phòng chi nhánh và
văn phòng chính trong cùng một mảng vì các địa chỉ truyền thông
mảng nội bộ cho tất cả các thành viên mảng phải nằm trên cùng một
ID mạng, và điều đó là không thể khi các thành viên mảng được đặt
tại các văn phòng chi nhánh. Mặc dù vậy, chúng ta có thể sử dụng
chính sách doanh nghiệp cho tất cả các mảng trong cùng một ISA
Firewall Enterprise.
Domain Controller (dc.msfirewall.org) Tất cả các máy tính trong
kịch bản này đều thuộc về cùng một miền, đó là msfirewall.org.
Main officeISAFirewall (isa2006se.msfirewall.org) Máy tính này
là ISAFirewall văn phòng chính và sẽ thuộc về mảng mạng có tên
Main. Máy này là một thành viên miền, và có một interface bên trong
và bên ngoài.
Branch officeISAFirewall (isa2006branch.msfirewall.org) Máy
tính này là ISAFirewall văn phòng chi nhánh và sẽ được đặt là một
thành viên miền bằngbranchoffice connectivity wizard. Windows
Server 2003 được cài đặt trên máy tính này và ban đầu nó là một máy
chủ độc lập. ISA2006 cũng sẽ được cài đặt trên máy tính này khi nó
là một máy chủ độc lập. Sau khi ISA2006 Enterprise Edition được cài
đặt trên máy, chúng ta sẽ chạy BranchOffice Connectivity Wizard
trên máy này, tạo VPN sitetosite và join vào miền. Wizard cũng sẽ
kết nối ISAFirewall văn phòng chi nhánh với mảng văn phòng chi
nhánh đã được cấu hình trên CSS văn phòng chính.
Branch office Domain Controller Đây là một Domain controller văn
phòng chi nhánh mà người dùng ở đây sẽ sử dụng để thẩm định.
Chúng ta sẽ tạo các Access Rule mang tính tùy chỉnh để cho phép DC
có thể truyền thông với DC tại văn phòng chính.
Chúng ta cũng sẽ tạo những thay đổi đối với cấu hình DNS của ISAFirewall
văn phòng nhánh để nó có thể sử dụng DC văn phòng nhánh sau khi cấu
hình hoàn tất.
Các thủ tục gồm có:
Cấu hình máy chủ DNS văn phòng chính để từ chối các nâng cấp
động, add các entry DNS tĩnh cho các mảng và ISAFirewall văn
phòng chi nhánh.
Cài đặt CSS trên máy CSS chuyên dụng (Dedicated CSS)
Cài đặt các dịch vụ của Firewall trên ISAFirewall văn phòng chính
(Main officeISA Firewall)
Cài đặt CSS nội bộ và Firewall Services trên ISAFirewall văn phòng
chi nhánh (Branch officeISA Firewall)
Tạo answer file tạiISAFirewall văn phòng chính để cho branchoffice
connectivity wizard sử dụng
Chạy BranchOffice Connectivity Wizard trên ISAFirewall văn
phòng chi nhánh
Tạo Access Rules để cho phép truyền thông trong miền giữa các DC
của văn phòng chi nhánh.
Cài đặt DC tại văn phòng chi nhánh
Tạo những thay đổi DNS tại văn phòng chi nhánh để ISAFirewall sử
dụng DC của văn phòng chi nhánh
Những lưu ý về VPN SitetoSite
Một trong những phần bận rộn nhất trên ISAserver.org phải kể đến các phần
VPN và nó thường là các vấn đề về VPN siteto site. Lý do cho điều này
theo tôi chính là nhiều người không hiểu về cách các kết nối VPN sitetosite
làm việc như thế nào và một số yêu cầu cơ bản gì cho các kết nối đó làm
việc.
VPN Gateway là một VPN Router
Khi ISAFirewall được cấu hình làm VPN gateway siteto site, ISAFirewall
sẽ trở thành một router cho các ID mạng nằm phía sau VPN gateway từ xa.
Cho ví dụ, giả sử rằng văn phòng chính nằm trên ID mạng 10.1.0.0/16 và
các địa chỉ IP của văn phòng chi nhánh nằm trên ID mạng 10.2.0.0/16. Khi
một host tại văn phòng chính cần kết nối đến một ID mạng từ xa,
10.2.0.0/16, nó phải thực hiện thông qua VPN gateway tại văn phòng chính.
Để làm việc, các máy khách trong mạng văn phòng chính phải được cấu
hình với địa chỉ cổng để biết tuyến đến ID mạng 10.2.0.0/16. ISAFirewall
biết rõ về tuyến, vì vậy các máy khách được cấu hình để sử dụng ISA
Firewall với tư cách gateway mặc định của chúng sẽ có thể truy cập đến
mạng từ xa thông qua VPN gateway của ISA Firewall.
Chúng tôi thấy có rất nhiều câu hỏi đề cập đến cách “fix” các vấn đề gặp
phải khi các site từ xa và nội bộ được đánh địa chỉ với cùng ID mạng. Họ
muốn biết liệu có cách nào có thể “fix” vấn đề này. Câu trả lời là thực sự
không có cách nào có thể “fix” vấn đề này từ quan điểm định tuyến, vì các
hệ thống máy khách kết nối với các ID mạng nội bộ sẽ không bao giờ
chuyển tiếp các kết nối đến một địa chỉ cổng. Tại sao các máy khách sẽ
chuyển tiếp các kết nối đến ID mạng nội bộ sang một gateway khi không
được yêu cầu và vi phạm tất cả các nguyên lý định tuyến tenets của TCP/IP?
Nhớ việc phân định tên
Một vấn đề khác thường gặp phải nữa với các VPN sitetosite là sự phân
định tên. Các máy khách tại văn phòng chi nhánh cần khả năng phân định
các tên máy tính tại văn phòng chính, và tại cả văn phòng chi nhánh. Để
thực hiện được điều này, cần phải có một cơ sở hạ tầng máy chủ DNS thích
hợp có thể phân định tất cả các tên. Thêm vào đó, bạn cũng cần nghĩ liệu
người dùng tại văn phòng chi nhánh có nên phân định hostname Internet một
cách trực tiếp hay phụ thuộc vào ISAFirewalltại các văn phòng chi nhánh
hoặc văn phòng chính để phân định hostname nhân danh của họ.
Có hai kịch bản chính liên quan đến việc phân định tên tại văn phòng chi
nhánh: một là có một domain controller tại văn phòng chi nhánh và hai là
không có domain controller tại văn phòng chi nhánh. Nếu công ty giữ các
DC tại văn phòng chi nhánh, các host tại văn phòng chi nhánh có thể sử
dụng domain controller nội bộ của họ để đăng nhập vào phân định tên, vì
máy tính đó có thể được cấu hình như một máy chủ DNS tích hợp Active
Directory. Trường hợp nếu không có domain controller tại văn phòng chi
nhánh, các máy khách tại các văn phòng chi nhánh có thể được cấu hình để
sử dụng máy chủ DNS tại văn phòng chính nhằm mục đích phân định tên
miền cho các máy chủ tại văn phòng chi nhánh và văn phòng chính.
Phân định hostname Internet là một vấn đề khác. Một số tổ chức thích cho
máy khách có thể tự phân định hostname Internet (quá trình được yêu cầu
cho các máy khách SecureNET), trong khi đó một số tổ chức khác lại muốn
có sự kiểm soát chặt chẽ về sự phân định hostname Internet và chỉ cho phép
ISA Firewall có thể phân định tên với tư cách các máy khách.
Có nhiều cách có thể thực hiện quá trình phân định này tuy nhiên tôi không
thể cung cấp cho bạn được một công thức nào để nhận biết về cách nào tốt
nhất. Mặc dù vậy, những gì tôi thường thực hiện là cấu hình ISAFirewall và
các host trên mạng công ty để sử dụng các máy chủ DNS tích hợp Active
Directory nhằm phân định hostname, sau đó cấu hình các máy chủ DNS này
sử dụng một bộ chuyển tiếp được điều khiển bởi công ty để phân định
hostname Internet.
Một vấn đề quan trọng trong việc phân định tên trong môi trường văn phòng
chi nhánh liên quan đến các entry WPAD. Như bạn biết, cả Web proxy và
các máy khách Firewall đều sử dụng các entry WPAD để tự động phát hiện
địa chỉ nội bộ của ISAFirewall để sử dụng cho các kết nối Web proxy và
Firewall client với ISA Firewall. Điều này có thể hơi khó hiểu khi bạn sử
dụng một cơ sở hạ tầng DNS riêng cho các văn phòng chi nhánh và văn
phòng chính, vì bạn không thể sử dụng một entry WPAD cho tất cả các địa
điểm, giả định bạn muốn các host có thể kết nối đến các ISAFirewall nội
bộ. Nói một cách khác, nếu bạn muốn tất cả các host kết nối với Internet
thông qua một mảng Firewall văn phòng chính thì bạn hoàn toàn có thể sử
dụng một entry WPAD.
Bạn có thể giải quyết vấn đề bằng cách tạo nhiều entry WPAD, một cho văn
phòng chính và một cho mỗi văn phòng chi nhánh, sau đó kích hoạt trình tự
mặt nạ mạng (netmask ordering) trên các máy chủ DNS. Khi netmask
ordering được kích hoạt, các máy chủ DNS sẽ phân định các truy vấn
WPAD để so khớp với ID mạng nhận yêu cầu. Điều đó có nghĩa rằng khi
một host tại một văn phòng chính gửi một truy vấn WPAD đến DNS, địa chỉ
được trả về sẽ là địa chỉ gần nhất với ID mạng của host tại văn phòng chính
và khi truy vấn WPAD được nhận bởi một host tại văn phòng chi nhánh, địa
chỉ được trả về sẽ là địa chỉ gần nhất với ID mạng nơi đặt host của văn
phòng chi nhánh.
Để xem thêm thông tin về cách thực hiện này, bạn có thể tham khảo thêm
bài báo của tác giả Stefaan Pouseele tại đây
.
Một vấn đề DNS cuối cùng mà bạn cần xem xét là sự ảnh hưởng của các
đăng ký DDNS cho các VPN gateway. Khi DDNS được kích hoạt trên máy
chủ DNS, giao diện RAS (RAS interface) của ISAFirewall sẽ tự đăng ký
trong DNS và sinh ra các vấn đề kết nối cho Web proxy và Firewall client,
vì chúng sẽ cố gắng kết nối đến giao diện RAS chứ không phải địa chỉ LAN
thực của ISA Firewall. Với lý do này, trong kịch bản được thảo luận trong
loạt bài này, chúng tôi sẽ vô hiệu hóa DDNS trên các máy chủ DNS khi tạo
VPN gateway và sau đó sẽ nghiên cứu tỉ mỉ xem có thể vô hiệu hóa vấn đề
đăng ký DDNS trong demand-dial interface bằng cách sử dụng giao diện
RRAS.
Các giao thức VPN
ISA Firewall hỗ trợ ba giao thức VPN cho các sitetosite VPN: IPSec tunnel
mode, L2TP/IPSec và PPTP.
Sự hỗ trợ IPSec tunnel mode được giới thiệu trong ISA 2004 để ISA
Firewall có thể được sử dụng như một sitetosite VPN gateway với các VPN
gateway của bên thứ ba. Đây chỉ là một kịch bản bạn nên sử dụng IPSec
tunnel mode, vì IPSec tunnel mode vẫn bị coi là một giao thức kém an toàn
và hiệu suất thấp hơn so với L2TP/IPSec. Thêm vào đó, sự hỗ trợ định tuyến
cho IPSec tunnel mode rất khó và bị hạn chế.
L2TP/IPSec là một giao thức sitetosite VPN khá được ưa thích khi cả hai
phía của sitetosite VPN đều đang sử dụng ISAFirewall hoặc VPN gateway
của bên thứ ba có hỗ trợ L2TP/IPSec. Do L2TP/IPSec hỗ trợ các khóa được
chia sẻ trước, trong một môi trường an toàn, nên bạn phải sử dụng sự thẩm
định chứng chỉ cho cả tài khoản máy tính và tài khoản người dùng đã được
sử dụng để thẩm định đường hầm VPN. Tuy đây là một cấu hình rất an toàn
nhưng hầu hết các công ty mà tôi bắt gặp thường sử dụng thẩm định non-
EAP cho các tài khoản người dùng với demand-dial interface và sử dụng
thẩm định chứng chỉ cho các tài khoản máy tính.
PPTP là giao thức dễ dàng nhất để hỗ trợ cho các kết nối sitetosite VPN.
Không yêu cầu chứng chỉ và hầu hết các quản trị viên ISAFirewall sẽ phát
hiện thấy ở PPTP mỗi điều là “chỉ làm việc”. Nhược điểm của PPTP là kém
an toàn hơn so với L2TP/IPSec vì những thông tin quan trọng (credentials
hash) đều được gửi trên một kênh không an toàn. Chính vì vậy, mức bảo mật
của kết nối PPTP có thể cung cấp phụ thuộc chủ yếu vào độ phức tạp của
mật khẩu. Thêm vào đó, PPTP không cung cấp các tính năng non-
repudiation (không thoái thác) và sự bảo vệ chống replay mà L2TP/IPSec
cung cấp.
Khi sử dụng IPSec tunnel mode để kết nối với các VPN gateway của bên thứ
ba, hoàn toàn không có cách thực hiện dễ dàng nào. Thứ đầu tiên mà bạn
[...]... Đây là phần đầu tiên của loạt bài về cách cấu hình sitetosite VPN bằng cách sử dụng branchoffice connectivity wizard Trong kịch bản này, sẽ có các ISAFirewall cũng như các domain controller nằm tại các văn phòng chính và chi nhánh Trong các phần tiếp theo, chúng tôi sẽ giới thiệu cách sử dụng branchoffice connectivity wizard có trong ISA2006 Enterprise Edition này cho các bạn trong việc tạo kết... chúng tôi luôn khuyến khích các quản trị viên ISAFirewall sử dụng L2TP/IPSec với thẩm định chứng chỉ máy Mặc dù vậy trong hầu hết trường hợp, trong suốt quá trình triển khai ban đầu, chúng tôi sẽ thiết lập sitetosite VPN bằng khóa chia sẻ trước, để xây dựng sự tự tin trong giải pháp và gỡ bỏ một số phức tạp cố hữu trong một PKI Sau khi giải pháp sitetosite VPN được thực hiện, chúng tôi sẽ chuyển... khác Lý do cho điều này là vì kết nối sitetosite VPN không được thiết lập Bạn có thể xác nhận điều đó bằng cách mở giao diện RRAS và kiểm tra mục Remote Access Clients trong phần panel bên trái Nếu thấy một kết nối máy khách truy cập từ xa cho VPN gateway từ xa, thì bạn sẽ biết rằng kết nối VPN của máy khách truy cập từ xa đã được tạo mà không phải kết nối sitetosite VPN Các kết nối máy khách truy... thể một nâng cấp phần mềm đã tạo sự tuân thủ RFC cho thiết bị Một vấn đề hay gặp khác đối với sitetosite VPN là các tài khoản người dùng không được cấu hình phù hợp với demand-dial interface name (Lưu ý: Interface name bên này là username bên kia!) Khi xảy ra điều này, có lúc nó có thể xuất hiện mà sitetosite VPN được kết nối, tuy nhiên không có lưu lượng từ một mạng này sang mạng khác qua các VPN... vài báo cáo về các Sonicwall firewall không làm việc với VPN gateway của ISAFirewall vì chúng không có sự tuân thủ RFC (RFC compliant) và không cho phép cổng nguồn nào đó cho IKE ngoài UDP 500 Do ISAFirewall có sự tuân thủ RFC, nên nó có thể sử dụng một cổng khác và vì vậy không kết nối đến thiết bị Sonicwall Trong trường hợp của Sonicwall, có thể một nâng cấp phần mềm đã tạo sự tuân thủ RFC cho thiết...nên thử là các thông tin về việc sử dụng ISAFirewall với các VPN gateway của bên thứ ba tại website của Microsoft Nếu hướng dẫn đó không phù hợp với kịch bản triển khai thì bạn sẽ phải quay trở lại với những hiểu biết của mình về IPSec và bảo đảm rằng tất cả các tham... connectivity wizard có trong ISA2006 Enterprise Edition này cho các bạn trong việc tạo kết nối và sau đó là tùy chỉnh các luật truy cập NDS và các tham số cấu hình khác để hỗ trợ đầy đủ cho kết nối sitetosite VPN từ văn phòng chi nhánh . Tạo VNP Site to Site bằng ISA 2006 Firewall Branch Office Connection
Wizard – Phần 1
Trong loạt bài này chúng tôi sẽ. của ISA 2006
Firewall là Branch office connectivity wizard. Trong ISA 2000, chúng ta đã
có site to site VPN wizard để có thể tạo dễ dàng một VPN site to