(+84) 463.28.7979

Cấu hình TMG Beta 3 cho các kết nối SSTP VPN phần 1


Làm sao để cấu hình TMG Beta 3 cho các kết nối SSTP VPN trong một thí nghiệm.

>> Cấu hình TMG Beta 3 cho các kết nối SSTP VPN phần 2

Test Lab Exercise

Trước đây, chúng ta đã từng làm quen với tường lửa ISA cũng như giải pháp an ninh edge được ưu tiên và chúng ta đã dùng nó như là một cách truy cập từ xa server VPN, gateway VPN từ site đến site, đảo ngược proxy Web và giải pháp publish server an ninh. Bởi vì ưu thế của tường lửa ISA là xét duyệt layer application và kiểm soát truy cập dựa trên người dùng/ nhóm, tường lửa ISA là giải pháp ưu tiên cho truy cập từ xa.

Khi Threat Management Gateway RTM sắp ra mắt và Unified Access Gateway (UAG, phiên bản tiếp theo của IAG), chúng ta sẽ thấy TMG, đầu tiên như là một giải pháp truy cập outbound Unified Threat Management (UTM) và UAG sẽ là giải pháp ưu tiên cho truy cập outbound.

Không có nghĩa là khả năng truy cập inbound trong ISA đã bị bỏ khởi TMG. Chúng vẫn có trong TMG, nhưng tôi thấy bạn cần tìm hiểu về chúng.

Với tính năng inbound mới, bạn cần xem xét UAG sắp ra mắt. Phiên bản tiếp theo của IAG sẽ có cả khả năng đảo ngược proxy Web đã củng cố và thực hiện xét duyệt layer application cao cấp cho một số sản phẩm của Microsoft và non-Microsoft Web. UAG sẽ tiếp tục dùng Network Connector cho network cấp SSL VPN, nhưng nó cũng sẽ hỗ trợ những giao thức VPN khác như PPTP, L2TP/IPsec và giao thức mới SSTP VPN, lúc đầu đã từng được giới thiệu với Windows Server 2008 và Vista SP1. Chắc hẳn tính năng thú vị nhất truy cập inbound/ truy cập từ xa có trong UAG chính là hỗ trợ toàn diện nhất cho DirectAccess, kể cả việc cảng cố chức năng NLB và DNS64 và NAT64 để dẫu cho cấu trúc network hiện hành của bạn không hoàn toàn kích hoạt IPv6, bạn vẫn có thể run nhanh chóng với DirectAccess.

UAG là một giải pháp hay cho truy cập từ xa/ truy cập inbound, nhưng nó không có nghĩa là bạn không thể dùng tường lửa TMG làm giải pháp truy cập inbound của mình. UAG sẽ thích hợp nhất cho các doanh nghiệp, công ty vừa và giá cả của nó cũng nhắm đến đối tượng này. Vì UAG giá khá cao, tường lửa TMG chắn hẳn sẽ được các doanh nghiệp vừa ưa chuộng. Nếu doanh nghiệp của bạn vào cỡ vừa, từơng lửa TMG sắp ra mắt sẽ là một đề xuất hay.

Tin tốt là trong khi không nhiều tiền bạc được đầu tư cho việc kiểm soát truy cập inbound và công nghệ, với tường lửa TMG sắp có mặt, vẫn có điểm sáng đáng chú ý và quan tâm. Đó là việc hỗ trợ đầy đủ cho kết nối truy cập từ xa VPN dùng SSTP. Với SSTP đã được thêm vào toolset VPN của tường lửa TMG, abnj sẽ có các lựa chọn PPTP, L2TP/IPsec hay SSTP cho các kết nối client truy cập từ xa VPN.

Sao lại dùng Secure Socket Tunneling Protocol (SSTP)?

Tại sao lại giới thiệu giao thức VPN mới? chúng ta đã dùng PPTP và L2TP/IPsec lâu năm và chúng làm việc rất tốt. Cả hai giao thức này đều làm việc với Windows RRAS và tường lửa ISA trong cả thập kỉ qua và chúng ta cũng đã quen dùng chúng. Chúng ta biết cách cài đặt chúng, người dùng biết cách tạo các connectoids hay dùng cách connectoids chúng ta cung cấp trong các gói CMAK, và chúng ta cũng biết những vấn đề hỗ trợ và hoàn toàn hiểu hỗ trợ VPN.

Nếu đã làm những việc này với PPTP và L2TP/IPsec, hẳn sẽ rõ ràng vì sao chúng ta lại cần đến một giao thức VPN mới. Đã bao nhiêu lần những người dùng của bạn kẹt cứng trong một khách sạn hay một trung tâm hội nghị, một quán café hay bất kì nơi đâu mà chẳng thể nhận được các outbound là HTTP và HTTPS? Hay có khi chính bạn cũng gặp cảnh tương tự. Bạn sẽ làm gì? Nếu vấn đề là truy cập email, phần lớn chúng ta phụ thuộc vào OWA. Nếu yêu cầu truy cập network, thì khó khăn hơn nhiều, và thỉnh thoảng chẳng có cách nào khác là đổi khách sạn và hay vọng kết nối sẽ tốt hơn. Đây là việc làm tốn kém, mất thời gian và thật sự phức tạp.

Đó là lý do tại sao SSTP lại là một món quà cho quản trị tường lửa TMG. SSTP là Secure Socket Tunnel Protocol, các kết nối PPP tunnel qua một SSL đã mã hoá kết nối HTTP. Bởi vì application layer transport ở HTTP, nó có thể đi quan các tường lửa chỉ cho phép các outbound cổng TCP 80 và 443, hay khi chỉ proxy Web outbound là mục duy nhất cho truy cập Internet. Đúng vậy SSP làm việc thông qua các proxy Web. Tuy nhiên, thiết bị proxy Web trước clinet SSTP VPN phải không yêu cầu chứng thực,vì không có cách nào cấu hình client SSTP VPN để gởi các chứng nhận đến proxy server Web.

SSTP chỉ yêu cầu:

• SSTP chỉ làm việc với Vista SP1 và các hệ điều hành client trở lên (gồm Vista SP2 and Windows 7).

• Windows Server 2008 và Windows Server 2008 R2 có thể cũng đóng vai trò là các client SSTP VPN

• SSTP không có sẵn cho các kết nối site to site VPN.

• Các server SSTP VPN, kể cả tường lửa TMG, yêu cầu một chứng nhận Web site để kết nối đến SSTP Web Listener

• Client SSTP VPN phải kiểm tra Certificate Revocation List (CRL) để xác nhận rằng chứng nhận Web site nối đến SSTP Web Listener không hiện ra (kiểm tra CRL có thể tắt trên client, nhưng không nên làm thế)

• Tường lửa TMG cũng có thể kiểm tra CRL tìm chứng nhận Web site do SSTP Web Listener dùng. Có một System Policy Rule sẽ cho phép điều này. Nếu nó không được kích hoạt mặc định lúc TMG thực hiện thì RTM không được đảm bảo vào lúc này, do đó bạn nên kiểm tra vào lúc khác.

• Chỉ có Windows Server 2008 và Windows Server 2008 R2 có thể đóng vai trò làm các server SSTP VPN. Đây không phải là vấn đề trong việc quản trị tường lửa TMB RTM, bởi vì TMG RTM chỉ chạy trong Windows Server 2008 hay Windows Server 2008 R2 64 bit.

Một điều cần chú ý cho quản trị tường lửa TMG đó là khi bạn cấu hình tường lửa chấp nhận các kết nối SSTP, bạn thật sự đã tạo ra một Web Listener để chấp nhận các kết nối. Web Listener này được cấu hình để cho phép các kết nối vô danh. Bạn cần dành ra một địa chỉ IP cho Web Listener, bởi vì đây là một kết nối SSL với một chứng nhận nối đến listener này. Nếu bạn muốn publish bất kì site SSL nào dùng cùng tường lửa TMG, bạn cần thêm các địa chỉ IP để hỗ trợ những kết nối này. Bạn sẽ không thể dùng cùng Web Listener mà bạn muốn để cấu hình tường lửa để pre-authenticate các dịch vụ Web server. Như vậy, phần lớn các site SSL publish nên được bảo vệ với pre-authentication, bạn sẽ cần nhiều hơn một địa chỉ IP trên giao diện external của tường lửa TMG nếu bạn muốn vừa hỗ trợ SSTP vừa pre-authenticate SSL Web Publishing Rules.

Vậy còn VPN Reconnect?

Tường lửa TMG sẽ hỗ trọ 3 giao thức VPN sau dùng trong Windows Server 2008 and Windows Server 2008 R2 RRAS:

• PPTP
• L2TP/IPsec
• SSTP

Sẽ chính xác hơn khi nói rằng TMG cung cấp hỗ trợ tích hợp sẵn cho 3 giao thức VPN này, nghĩa là các kết nối dùng những giao thức này và được cấu hình trong console tường lửa TMG sẽ được trình diện đến gói stateful và xét duyệt layer application và các nguyên tắc tường lửa có thể được tạo ra để kích hoạt strong source/destination/user/group dựa trên kiểm soát truy cập. Các kết nối client sẽ được bảo mật như bất kì kết nối nào đi vào hay ra khỏi tường lửa.

Trong Windows Server 2008, RRAS sẽ hỗ trợ một giao thức VPN khác gọi là VPN Reconnect. VPN Reconnect dùng tunnel-mode IPsec với Internet Key Exchange phiên 2 (IKEv2), đã được mô tả trong RFC 4306, đặc biệt là tận dụng tính linh hoạt của IKEv2 và phần mở rộng multi-homing (MOBIKE) mô tả trong RFC 4555.

VPN Reconnect thật sự là một giao thức VPN rất hay và hữu dụng. Trong tất cả chúng ta muốn triển khai DirectAccess nhanh nhất có thể, vẫn có một số bất tiện trên con đường DirectAccess biến giấc mơ DirectAccess của bạn thành cơn ác mộng network, và bạn sẽ nghĩa khác về toàn bộ DirectAccess. Nếu bạn không sẵn sàng cho DirectAccess, đừng có thử nó. Lúc này hãy dùng đến kiến thức network hay IPv6 của bạn. Và hãy tận dụng ưu điểm của VPN Reconnect. Nó cho bạn sự rõ ràng cũng như DirectAccess đem lại, nhưng không quá rắc rối như IPv6.

VPN Reconnect được thiết kế để làm cuộc sống dễ dàng hơn cho những người dùng kết nối WWAN, thỉnh thoảng được gọi là “air cards” hay “wireless broadband”. Hãy tưởng tượng bạn đang dùng một kết nối WWAN trên xe lửa hay tàu điện ngầm. Bạn vào mạng công ty vui vẻ gởi mail, kết nối các site cục bộ và làm tất những việc bạn làm khi kết nói với mạng công ty qua VPN. Sau đó bùm! Bạn vào một tunnel và kết nối VPN bị rớt. Chắc chắn là connectoid VPN được cấu hình tự động để redial lại kết nối, nhưng bạn nhìn thấy một hộp dialog và thấy đồng hồ nhảy ngược và bạn sẽ thấy điều này vài lần khi cố gắng kết nối lại.

Với VPN cố kết nối lại, hệ thống xem kết nối như bị “gián đoạn” mà không phải là ngắt kết nối. Do đó, khi bạn ra khỏi tunnel, dữ liệu bắt đầu fowl lại, nhưng hệ thống không bao giờ xem là kết nối bị rớt. Điều này là một trải nghiệm thú vị hơn so với PPTP, L2TP/IPsec và kết nối VPN truy cập từ xa SSTP.

Pages: 1 2

Leave a Reply

Your email address will not be published. Required fields are marked *