Hạ tầng dịch vụ AAA

Một phần của tài liệu Tìm hiểu về VPN và triển khai hệ thống mạng VPN truy cập từ xa (Trang 70 - 75)

Các dịch vụ xác thực(authentication), phân quyền (authorization), và thống kê (accounting) là các dịch vụ nền thực hiện các chức năng sau:

• Xác thực các thẻ chứng nhận cảu các VPN client

• Phân quyền cho các liên kết VPN

• Ghi lại quá trình tạo và kết thúc các kết nối VPN Hạ tầng dịch vụ AAA gồm có:

• VPN server

• Một RADIUS server

• Một domain controller

Như đó nếu trước đây, Windows 2000 VPN server có thể được cấu hình với các máy khác chạy Windows hay RADIUS như là một phía cung cấp tính năng thống kê và xác thực. RADIUS cung cấp một dịch vụ AAA tập trung hoá khi ta có nhiều VPN server

Khi ta cấu hình cho Windows như là một công cụ cung cấp chức năng xác thực, VPN server sẽ thực hiện tính năng xác thực của mình đối với các liên kết VON với một bộ điều khiên domain có sử dụng kênh an toàn gọi các thủ tục từ xa và tiến hành xác thực các yêu cầu kết nè khác qua các thuộc tính đăng nhập của account người sử dụng và các cách thức truy nhập từ xa đã được cấu hình trong phạm vi cục bộ.

Khi ta cấu hình cho RADIUS như là một công cụ cung cấp chức năng xác thực, VPN server sẽ dựa vào RADIUS server để thực hiện cả chức năng xác thực và chức năng phân quyền. Khi một kết nối VPN chuẩn bị được thực hiện, các thẻ chứng nhận của VPN client và các tham số kết nối khác được sử dụng để tạo các khác điệp yêu cầu truy cập (Access-Request), các khác điệp này được gửi đến cho RADIUS server. Nếu yêu cầu kết nối được xác thực và phân quyền thì RADIUS server sẽ gửi lại một thụng điờp chấp nhận truy cập (RADIUS Access-Accept). Nếu yêu cầu kết nối không được xác thực hoặc không được phân quyền thì RADIUS sẽ gửi về một khác điệp từ chối truy cập (Access-Reject).

Nếu tả sử dụng RADIUS và, một domain Window như một cơ sở dữ liệu lưu account của người sử dụng mà qua đó để kiểm tra các thẻ chứng nhận của người sử dụng và thu thập các thuộc tính đăng nhập, ta nên sử dụng dịch vụ xác thực trên Internet (Internet Authentication Service - IAS) của Windows 2000. Khi được sử dụng như một RADIUS server, IAS thực hiện các chức năng sau:

• IAS thực hiện chức năng xác thực đối với các kết nối VPN bằng cách liênlỏc với một bộ điều khiển domain sử dung một kênh an toàn gọi thủ tục từ xa. Nó thực hiện chức năng xác thực của mình khác qua các thuộc tính đăng nhập của account người sử ụng và các chính sách truy cập từ xa đã được cấu hình trên IAS server.

• IAS lưu tất cả các khác tin thống kê RADIUS trong một file theo mặc định có đường dẫn là SystemRoot\System32\Logfiles\Logfile.log.

1.29.1. Các chính sách truy cập từ xa

Các chính sách truy cập từ xa là một tập có thứ tự các luật quy định các thức các kết được chấp thuận hay từ chối. Đối với các kết nối được chập thuận, các chính sách truy cập từ xa còn định ra cac hạn chế về kết nối. Đối với mỗi luận, có thể có một hay nhiều điều kiện, một tập các thiết lập có sẵn và một thiết lập về sự cho phép truy nhập. Các

yờu cầ kết nối được đối sánh với các chính sách truy cập theo thứ tự để xác định xem yêu cầu kết nối có đáp ứng đủ các điều kiện ứng với mỗi chính sách hay không. Nếu yêu cầu kết nối không đáp ứng được các điều kiện của bất kỳ chính sách nào thì yêu cầu này sẽ bị từ chối.

Nếu một kết nối đáp ứng đầy đủ tất cả các điều kiện của chính sách truy cập từ xa và nó được cấp thẩm quyển để thực hiện truy nhập Êy, các đặc tả về chính sách truy cập từ xa cũng sẽ định ra một số hạn chế kết nối. Thuộc tính đăng nhập trong account của ngườ sử dụng cung cho ra một số hạn chế nào đó. Khi có thể dùng được, các hạn chế theo account người sử dụng sẽ thay thế các hạn chế kết nối trong đặc tả về chính sách truy cập.

Các chính sách kết nối gồm có các thành phần sau:

• Các điều kiện

• Các quyền cho phép

• Các thiết lập định sẵn

Các yếu tố này sẽ không được đề cập kỹ ở đây. Ta sẽ tiếp tục xem xét tiếp một số vấn đề có liên quan sau đây.

1.29.2. Ngăn chặn truyền khác phát đi từ VPN client

Khi một VPN client đã thiết lập thành công một kết nối PPTP hay L2TP, theo mặc định thì tất cả các gói tin được gửi đi qua kết nối sẽ được VPN server nhận và chuyển tiếp.

Các gói tin được gửi qua kết nối này có thể là:

• Các gói táchxuất phát từ máy client truy cập từ xa

• Các gói tin được gửi đến cho client truy cập từ xa bởi các máy khác

Khi một client truy cập từ xa tạo ra một kếtnối VPN, theo mặc định, nó tạo ra mụt tuyến truyền ngầm định để tất cả các thụgn tin truyền khác phù hợp với tuyến truyền ngầm định có thể được gửi qua kết nối VPN. Nếu các máy khác đang chuyển tiếp các khác tin đến cho VPN client truy cập từ xa, coi client truy cập từ xa là một router, thì toàn bộ khác tin truyền khác cũng sẽ được truyền khác qua kết nối VPN. Đây là một vấn đè bảo mật bởi vì các máy thực hiện chuyển tiếp khác tin đến client truy cập từ xa không được

xác thực bởi VPN server. Các máy thực hiện chuyển tiếp khác tin có cựng quyền truy cập như VPN client truy cập từ xa.

Để ngăn VPN server không gửi các gói tin khác qua các kết nối VPN đến cho các máy tính không phải là các VPN client đã được xác thực, ta phải thiết lập các chính sách truy ccpạ từ xa trên các bộ lọc gói tin để lọc khác tin trên các liên kết VPN.

Bảng dưới đây cho ta các khác số thiết lập đối với khác tin được truyền đi từ client.

IP Packet Filter Thiết lập

Source Address User address

Source Network Mask User mask

stination Address Bất kỳ

Destination Network Mask Bất kỳ

Protocol Bất kỳ

Bảng dưới đây cho ta các khác số thiết lập đối với việc lọc gói tin truyền đến VPN client.

IP Packet Filter Thiết lập

Source Address Bất kỳ

Source Network Mask Bất kỳ

Destination Address User address

Destination Network Mask User mask

Protocol Bất kỳ

1.29.3. Một số điều cần lưu ý đối với hạ tầng dịch vụ AAA

Khi cấu hình hạ tầng các dịch vụ AAA cho các liên kết VPN, ta phải xét đến một số yếu tố sau đây:

• Nếu ta có nhiều VPN server và ta muốn tập trung dịch vụ AAA, hãy sử dụng một RADIUS server và cấu hình VPN server để nó thực hiện chức năng của máy cung cấp dịch vụ xác thực và thống kê.

• Nếu ta sử dụng một cơ sở dữ liệu cho account của người sử dụng thì nên dùng IAS như một RADIUS server. Nếu sử dụng IAS, ta phải cài đặt IAS trên một bộ điều khiển domain để có được hiệu suất cao nhất. Ta cần phải cài Ýt nhất là 2 IAS trên các server để đảm bảo khả năng chỉ lỗi.

• Các chính sách truy cập từ xa để xác thực các kết nối VPN bất kể là được cấu hình trong phạm vi cục bộ hay là trên một IAS server, đều phải được định ra các ràng buộc kết nối.

• Để ngăn các VPN client không được truyền tiến các khác tin đã được định tuyến, ta phải cấu hình cho các bộ lọc gói tin để nó loại bỏ tất cả các khác tin được truyền đi trên các kết nối VPN ngoại trừ các khác tin được truyền đến và đi khỏi client.

• Các trường khác tin quan trọng của các khác điệp RADIUS như mật khẩu và các khóa ma hoá phải được mã hoá với cấu hình bảo mật chung trên VPN server và RADIUS server.

Triển khai hệ thống truy cập từ xa PPTP

Quá trình triển khai một hệ thống truy cập từ xa PPTP trên Windows 2000 bao gồm những việc sau đây:

• Triển khai hạ tầng dịch vụ thẻ chứng nhận

• Triển khai hạ tầng dịch vụ Internet

• Triển khai hạ tầng dịch vụ AAA

• Triển khai VPN server

• Triển khai hạ tầng mạng nội bộ

• Triển khai VPN client

Một phần của tài liệu Tìm hiểu về VPN và triển khai hệ thống mạng VPN truy cập từ xa (Trang 70 - 75)

Tải bản đầy đủ (DOC)

(91 trang)
w