Khi người dùng từ xa kết nối đến VPN gateway sử dụng Office Mode, sau khi chứng thực thành công, gateway gán cho máy từ xa một địa chỉ IP. Địa chỉ IP này có thể từ một dải IP được cấu hình trước (IP Pool) hoặc được cấp phát từ một máy chủ
DHCP. Tùy vào yêu cầu, có thể cấu hình để tất cả người dùng hoặc chỉ một nhóm nào
đó mới có quyền sử dụng Office Mode để truy cập VPN.
Để bật chức năng VPN cho thiết bị người dùng phải mở cửa sổ CheckPoint Gateway bằng cách kích đúp vào biểu tượng thiết bị trong mục Network Objects - Check Point. Trong thẻ General Properties, mục Check Point Products, đánh dấu vào ô VPN.
Hình 13. Check Point Gateway – General Properties
Các bước cấu hình VPN truy cập từ xa qua chế độ Office sử dụng IP Pool được thực hiện như sau:
Trước tiên, tạo một đối tượng đại diện IP pool, bằng cách chọn Manage | Network Objects | New | Network.
Trong Network Properties, chọn tab General. Để thiết lập dải địa chỉ IP pool, nhập tên dải trong trường Name, nhập địa chỉ đầu tiên của dải trong trường Network Address sau đó nhập subnet mask tùy theo lượng địa chỉ muốn sử dụng trong trường Net Mask. Phần Broadcast Address và thẻ NAT không cần cấu hình.
Hình 14. Tạo Network Object
Mở cửa sổ Check Point Gateway, chọn thẻ Remote Access | Office Mode. Đánh dấu mục Allow Office Mode to all users.
Đánh dấu mục Using one of following method, chọn Manual (using IP Pool) và chọn dải IP Pool vừa tạo ở trên.
Mục Multiple Interfaces: hỗ trợ định tuyến gói tin khi thiết bị có nhiều cổng kết nối ra bên ngoài.
Chọn Anti-Spoofing cho phép thiết bị kiểm tra các gói Office Mode để tránh trường hợp giả mạo gói tin.
File ipassignment.conf được sử dụng để thực thi tính năng IP-per-user. Tính năng này cho phép người quản trị gán một địa chỉ cụ thể cho một người dùng xác định, hoặc một dải địa chỉ cho một nhóm khi kết nối với Office Mode.
Hình 15. Cấu hình Office Mode
Bước tiếp theo là tạo người dùng để truy cập VPN, phần này sẽ trình cách tạo người dùng VPN trong cơ sở dữ liệu của VPN gateway còn phần tích hợp với máy chủ
LDAP sẽ trình bay ở phần sau.
Vào Manager | User and administrator…, chọn New. Trong tab General, điền tên người dùng ở ô Login Name.
Trong tab Authentication, chọn CheckPoint Password, sau đó nhập mật khẩu và nhấn ok .
Hình 16. Tạo User
Vào tab VPN Manager, nhấn chuột vào biểu tượng RemoteAccess. Trong Participating Gateways, nhấn Add để thêm thiết bị vào. Trong Participant User Groups, có thể thêm người dùng, nhóm hoặc All Users để cho phép tất cả người dùng.
Hình 17. Remote Access Community Properties
Vào tab Security thiết lập một luật cho phép truy cập từ xa với các trường như
sau (luật trên cùng):
Hình 18. Remote Access Rule
Bước cuối cùng là thực hiện Install để áp dụng các thiết lập lên thiết bị.
Ngoài ra còn có rất nhiều các tùy chọn khác để người dùng cấu hình. Nhưđịnh nghĩa VPN Domain trong Check Point Gateway | Topology để giới hạn các đối tượng mạng tham gia vào VPN, người dùng từ xa sau khi kết nối VPN mạng chỉ có thể giao tiếp với các đối tượng thuộc VPN Domain. Hoặc các thiết lập trong Policy | Global Properties | Remote Access như các tùy chọn về cập nhật tôpô mạng, hỗ trợ IKE qua TCP…
6.2.2.Truy cập VPN từ xa sử dụng SecuRemote/SecureClient
SecuRemote/SecureClient là công cụ máy khách cung cấp chức năng truy cập VPN Check Point cho người dùng và bảo vệ các thông tin nhạy cảm khi giao tiếp với mạng nội bộ và các server qua đường hầm VPN. Người dùng VPN được quản lý bằng cơ sở dữ liệu bên trong của VPN-1 Pro Gateway hoặc bằng một máy chủ LDAP riêng.
SecureClient cải tiến hơn so với SecuRemote nhờ có thêm một số tính năng.
Bảo mật:
- Chính sách bảo mật desktop - Ghi log và thông báo
- Thẩm định cấu hình bảo mật Kếtnối: - Office Mode - Client Mode - Hub Mode Quản lý: - Phân phối phần mềm tựđộng
- Các tùy chọn phân phối và đóng gói nâng cao - Các công cụ chẩn đoán
Sau đây khóa luận sẽ hướng dẫn sử dụng SecureClient để kết nối đến VPN gateway thiết lập Office Mode.
Ứng dụng SecureClient khi cài đặt xong sẽ hiển thị một biểu tượng trên khay công cụ. Khởi động SecureClient. Nếu chưa có site nào được tạo, chương trình yêu cầu người dùng tạo một site mới. Nhập địa chỉ của VPN gateway vào ô Server Address or Name rồi nhấn Next.
Hình 19. Server Address
Tiếp theo là chọn phương thức xác thực. Đánh dấu vào tùy chọn User name and Password. Nhấn Next. Sau đó nhập tên và mật khẩu truy cập VPN.
Sau khi nhập tên và mật khẩu, bước tiếp theo chọn kiểu kết nối Advanced.
Hình 21. Connectivity Settings
Sau đó các tùy chọn nâng cao hiện ra. Chọn Perform IKE over TCP (tùy vào thiết lập tại VPN gateway).
SecureClient kết nối đến VPN gateway và nhận được một Certificate Authority
để người dùng kiểm tra xem đã kết nối đến đúng site chưa.
Hình 23. Validate Site
Nếu tạo site thành công, chương trình sẽ hiển thị thông báo cho người dùng. Nhấn Finish để kết thúc. Sau đó chương trình hiển thị ra giao diện dùng để kết nối.
Nhập password rồi nhấn Connect. SecureClient giao tiếp với VPN gateway và thực hiện xác thực. Nếu xác thực thành công chương trình sẽ hiển thị thông báo cho người dùng đồng thời tải về các thông tin về tôpô mạng và các thiết lập Profile. Lúc này người dùng đã được phép truy cập vào mạng nội bộ giống như một máy nằm trong mạng.
Tạo Profile: Vào Option, chọn Setting. Cửa sổ cấu hình SecureClient hiện ra. Tại đây người dùng có thể tạo một Site, Profile mới, xóa hoặc sửa đổi thuộc tính của Site, Profile. Profile được tạo ra để sử dụng trong các điều kiện kết nối khác nhau. Để
tạo một Profile mới, chọn New | Profile. Xuất hiện cửa sổ Profile Properties. Trong tab General, người dùng có thể đặt tên cho Profile, xác định địa chỉ site, gateway kết nối
đến. Trong tab Advanced người dùng có thể cấu hình tùy chọn Office Mode, các tùy chọn cải thiện kết nối và cấu hình Hub Mode.
Cập nhật Site: Nếu VPN gateway đặt cấu hình tự động cập nhật thì sau một khoảng thời gian, SecureClient sẽ tự tải về các thông tin tôpô và Profile. Người dùng cũng có thể tự cập nhật Site bằng cách vào cửa sổ cấu hình, nhấn chuột phải lên Site và chọn Update Site.
CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP