(+84) 463.28.7979

Khai tử VPN


Mạng riêng ảo (VPN) là một cách tân đầy thú vị về mạng từ xa; nó cho phép những người dùng từ xa có thể kết nối đến một mạng nội bộ(LAN) thông qua Internet, thay vì phải dial trực tiếp đến một server truy cập từ xa.

vpn-type

Bằng cách tạo một tunnel mã hoá, VPN cung cấp một cách để giao tiếp bảo mật thông qua mạng public. Tuy nhiên, VPN truyền thống cũng có mặt hạn chế: chậm và không liền mạch cho người dùng, và một số mạng, do những khách sạn cung cấp, sẽ khoá các traffic VPN.

DirectAccess là một tính năng mới trong Windows Server 2008 R2 và client Windows 7, những server này cũng có mục đích như mạng cá nhân ảo truyền thống mà không có yếu tố phức tạp xuất hiện như khi cài đặt dùng kết nối VPN. DirectAccess cũng không cần đến các giao thức VPN như PPTP và L2TP. Nó dùng IPsec/IPv6 để tạo một kết nối bảo mật, trực tiếp giữa một máy tính từ xa và LAN ở công ty. Trong bài này, chúng ta sẽ tìm hiểu kĩ hơn về tính năng mạng mới này: cách thức hoạt động, cần gì để sử dụng nó và nó đem lại điều gì cho tổ chức của bạn.

Cách thức hoạt động

DirectAccess phụ thuộc vào 2 chuẩn Internet đã được công nhận: IPv6 và IPsec. IPsec được dùng để chứng nhận cả người dùng và máy tính. Nó cung cấp thêm sự bảo mật, và cũng kích hoạt quản lý máy tính ngay cả khi người dùng không log on. IPsec cũng mã hoá dữ liệu gởi qua kết nối DirectAccess, dùng AES hay 3DES. Nếu bạn đã quen với IPsec, bạn sẽ biết rằng nó làm việc trong 2 chế độ: mode transport (host to host) và mode tunnel. Mode tunnel IPsec từ lâu đã là phương pháp thay thế cho việc tạo ra VPN. Trong mode tunnel, dữ liệu và header IP được mã hoá và gói trong một gói IP mới với header mới.

Tuy nhiên, dùng IPsec cho VPN cũng gây ra một số vấn đề, về cả quan điểm tiện lợi và khả năng quản lý. Nó không liền mạch cho người dùng, quản trị viên không thể quản lý máy tính trừ khi người dùng kết nối bằng tay đến gateway VPN.

Với DirectAccess, các tunnel IPsec được tạo ra giữa client DA và server DA. Dẫu cho traffic trong tunnel dùng IPv6, nó cũng có thể di chuyển qua IPv4 Internet. Server DA sau đó cung cấp client khả năng truy cập đến LAN công ty. Có 2 tunnel thật sự được thiết lập, cả hai đều dùng giao thức Encapsulating Security Payload (ESP): một tunnel chỉ dùng chứng nhận máy và cái kia dùng cả chứng nhận máy và chứng thực người dùng. Tunnel đầu tiên cho phép máy tính client truy cập đến server DNS và domain controller. Cái thứ hai chứng nhận người dùng và cho phép người dùng được truy cập đến các server ứng dụng như là Exchange, và những tài nguyên khác trên LAN. Server DA hoạt động như là gateway IPsec hoặc điểm cuối mode tunnel.
Bạn cần gì

Để triển khai DirectAccess, network của bạn cần đáp ứng những yêu cầu sau:

• DirectAccess Server chạy Windows Server 2008 R2.

• DA Server phải có 2 NICs: một kết nối với Internet với ít nhất 2 địa chỉ IPv4 public liên tiếp gán cho nó và một kết nối với intranet (LAN).

• Domain controller và server DNS chạy Windows Server 2008 SP2 hay R2.

• Máy tính client chạy Windows 7 Enterprise hay phiên bản Ultimate.

• Public Key Infrastructure (PKI) với sở hữu chứng nhận (CA) để đưa ra chứng nhận.

Bạn cũng cần dùng đến các công nghệ chuyển giao như Teredo và 6to4 trên server DirectAccess, để cho phép các gói IPv6 được chuyển qua network Ipv4.

DirectAccess hỗ trợ cả bảo mật IPsec end-to-end và end-to-edge đều được. End-to-end cung cấp mức độ bảo mật cao nhất nhưng yêu cầu các server ứng dụng phải chạy Windows Server 2008 hay 2008 R2. End-to-edge có thể dùng với bất kì server ứng dụng nào có dùng IPv6.

Chú ý: Bạn nên xem qua về yêu cầu phần cứng, bởi vì mã hoá IPsec có thể là một quá trình kéo dài. Điều này không phải là vấn đề cho các máy tính client, nhưng server DA đang quản lý một số lớn các kết nối IPsec, bạn sẽ cần đến một bộ xử lý cao hơn và một giải pháp như các thành tố mạng của Intel offload cấu trúc máy mã hoá vào controller LAN. Offload tải làm việc của IPsec đến phần cứng có thể củng cố mạnh mẽ hoạt động.

Những cái lợi của DirectAccess

Sau khi đã nói đến những yêu cầu triển khai, tiếp theo chúng ta sẽ nói về những cái lợi mà DirectAccess đem lại và vì sao bạn nên thử thay thế các kết nối VPN bằng nó. Sau đây là những lý do:

• Thân thiện với người dùng: Khi một người dùng kết nối với một VPN, họ phải đi qua một vài bước để thiết lập được một kết nối và sau đó là chờ chứng thực, check health, vv…Nếu mất kết nối Internet, họ phải làm lại quá trình này để thiết lập lại kết nối VPN. Còn với DirectAccess, kết nối được liền mạch hơn nhiều. Luôn là kết nối được mở sẵn thiết lập tự động bất kì khi nào người dùng kết nối vào Internet. Người dùng còn có thể kết nối ngay sau một tường lửa. Cấu hình client được phân bổ thông qua Group Policy nên người dùng không cần lo đến setup và cấu hình.

• Dễ quản lý: các quản trị viên network có thể quản lý các máy tính client DA ngay cả khi người dùng không log on, chừng nào các máy tính còn được kết nối với Internet. Bạn có thể quản lý các máy tính ở xa, triển khai các update… Cài đặt trên một hay nhiều server DA cũng dễ dàng qua wizard DirectAccess.

• Bảo mật: Chứng thực và mã hoá IPsec cung cấp một kết nối bảo mật, và để đảm bảo hơn, DA hỗ trợ chứng thực smart card và tích hợp với Network Access Protection (NAP) nên bạn có thể đảm bảo là tất cả các client đang kết nối với server DA đáp ứng các nguyên tắc an toàn (update, anti-virus…). Server DA có thể cung cấp truy cập đến intranet đầy đủ hoặc nó có thể được cấu hình để hạn chế các server và các ứng dụng người dùng được phép truy cập.

• Nhanh chóng: Với DirectAccess, người dùng không cần phải đợi để thiết lập VPN, có thể tốn từ vài giây đến vài phút, và hoạt động Internet cũng không chậm vì cả traffic Internet và intranet đều phải đi qua một VPN.

• Các nguyên tắc: các nguyên tắc DirectAccess cho các client, các server ứng dụng, các domain controller/ server DNS và cổng IPsec được cấu hình để dùng wizard DirectAccess.

CT (Theo windowsecurity)

Leave a Reply

Your email address will not be published. Required fields are marked *