Quản trị mạng – Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách máy khách Web Proxy cung cấp những thuận lợi khác biệt trong bảo mật và hiệu suất khi truy cập TMG web proxy server.
Trong Forefront Threat Management Gateway (TMG) 2010, có ba kiểu máy khách - SecureNAT, Web Proxy và TMG Firewall. Máy khách truy cập tài nguyên thông qua TMG firewall có thể là bất cứ máy khách nào trong số trên hoặc có thể là cả ba vì chúng không loại trừ lẫn nhau. Mặc dù vậy mỗi kiểu máy khách đều có những ưu điểm và nhược điểm riêng.
Nhiều chuyên gia mạng chọn máy khách SecureNAT khi thiết kế triển khai TMG firewall vì chúng dễ cấu hình. Tất cả những gì được yêu cầu là tạo một thay đổi đối với gateway mặc định của máy trạm và bảng định tuyến trong mạng. Mặc dù máy khách SecureNAT dễ cấu hình, nhưng chúng cũng có một số hạn chế nghiêm trọng trong bảo mật và hiệu suất. Không thể xác thực vì chúng không có cơ chế xác thực trong các gói IP. Thêm vào đó, máy khách SecureNAT cũng tiêu tốn rất nhiều tài nguyên hệ thống, làm giảm lưu lượng một TMG firewall có thể xử lý.
Từ góc nhìn bảo mật và hiệu suất, máy khách Web Proxy là một lựa chọn lý tưởng. Khi các máy khách được cấu hình để sử dụng TMG firewall như một web proxy server, chúng sẽ giúp tăng khả năng xác thực người dùng và giảm được nhu cầu tài nguyên hệ thống trên tường lửa. Tuy nhiên nhược điểm ở đây là yêu cầu thay đổi cấu hình máy khách.
Cấu mình máy khách Web Proxy
Tuy nhiên việc cấu hình một máy khách Web Proxy rất đơn giản. Có thể sử dụng Internet Explorer để thực hiện điều đó, mở trình duyệt web và từ menu, chọn Tools/Internet Options/Connections/LAN Settings. Tích tùy chọn Use a proxy server for your LAN và nhập vào hostname hay địa chỉ IP của TMG proxy, sau đó chỉ định cổng được cấu hình web proxy listener (mặc định là cổng 8080).
Hình 1
Khi hoàn toàn việc cấu hình, trình duyệt sẽ gửi một yêu cầu trực tiếp đến web proxy server được chỉ định. Với cấu hình máy khách này, chúng ta có thể xác thực người dùng và nhóm người dùng, giảm được tải trọng trên TMG firewall.
Cấu hình máy khách và Automatic Web Proxy Discovery
Việc cấu hình thủ công các thiết lập web proxy trên mỗi máy khách có thể tiêu tốn nhiều thời gian và công sức nếu tổ chức có số lượng máy khách. Trong hầu hết các trường hợp, bạn cần phải sử dụng phương pháp khác để thực hiện hiệu quả hơn cũng như khả năng cấu hình tự động. Giải pháp ở đây là sử dụng Web Proxy Auto Discovery (WPAD). WPAD là phương pháp mà ở đó máy khách Web Proxy sẽ tìm proxy server mà không yêu cầu cấu hình thủ công. Hầu hết các trình duyệt web hiện hành đều được cấu hình cho phép tự động phát hiện proxy mặc định.
Hình 2
WPAD có thể được cấu hình bằng sử dụng một trong hai cơ chế - DNS hoặc DHCP. Khi máy khách Web Proxy được cấu hình để tự động phát hiện proxy server, nó sẽ cố gắng tìm ra web proxy server trước bằng cách tìm kiếm option 252 trong thiết lập nhận được từ DHCP server, sau đó bằng cách truy vấn DNS để tìm host có tên WPAD như thể hiện trong công cụ giám sát mạng bên dưới.
Hình 3
Khi máy khách tìm ra proxy server, nó sẽ kết nối và lấy về kịch bản cấu hình tự động, một file có tên WPAD.DAT, từ TMG firewall tại địa chỉ IP mà WPAD phân giải. Kịch bản cấu hình tự động này sẽ có thông tin về các proxy server được cấu hình và cách xử lý yêu cầu. Thông tin chứa trong kịch bản này được xây dựng động từ thiết lập web proxy và cấu hình mạng thiết lập trong TMG management console. Kịch bản cấu hình không cư trú trên hệ thống file của TMG firewall. Nó chỉ được lưu trong bộ nhớ và được nâng cấp động bất cứ khi nào quản trị viên tạo thay đổi đối với cấu hình TMG firewall.
Kích hoạt Auto Discovery
Để kích hoạt chế độ tự động tìm kiếm proxy, mở TMG management console, chọn nút the Web Access Policy trong cây giao diện, sau đó kích liên kết Configure Web Proxy trong panel nhiệm vụ.
Hình 4
Chọn tab Auto Discovery và tích hộp kiểm bên cạnh Publish automatic discovery information for this network. Nếu có kế hoạch sử dụng DNS cho WPAD, bạn phải để cổng mặc định là 80. Cổng mặc định này có thể bị thay đổi nếu sử dụng DHCP cho WPAD.
Hình 5
WPAD bằng DNS
Sử dụng DNS cho WPAD là tùy chọn phát hiện tự động đơn giản nhất cho máy khách Web Proxy. Trên phía DNS server, tạo bản ghi tài nguyên A có tên WPAD trỏ đến địa chỉ IP của giao diện mạng bên trong TMG firewall của bạn. Nếu có một mảng tường lửa phục vụ như một web proxy server, bạn có thể tạo bản ghi CNAME mang tên WPAD trỏ đến các bản ghi tài nguyên A cho mỗi mảng, hoặc có thể tạo nhiều bản ghi tài nguyên A để phân giải địa chỉ IP bên trong của mỗi mảng.
Hình 6
Trong hầu hết các trường hợp, mặc định DNS server sẽ không đáp trả các truy vấn về bản ghi WPAD. Đây là tính năng bảo mật có bên trong Windows Server 2008 và 2008 R2 được thiết kế để ngăn chặn tấn công “man-in-the-middle”, kiểu tấn công mà kẻ tấn công có thể cấu hình proxy server giả mạo trên mạng và lén đăng ký tên WPAD bằng DNS động hoặc các chiêu thức khác. Tính năng này cũng được kích hoạt trong các máy chủ DNS Windows Server 2003 đã cài đặt nâng cấp MS09-008.
Để cho phép máy chủ DNS Windows Server 2008 hoặc 2008 R2 đáp trả các truy vấn WPAD, mở nhắc lệnh trên máy chủ DNS và nhập vào lệnh dưới đây:
dnscmd /config /globalqueryblocklist isatap
Lưu ý: Nếu đã cấu hình và triển khai DirectAccess, ISATAP có thể bị yêu cầu trong môi trường. Nếu vậy, hãy bỏ qua ISATAP từ lệnh trước.
Để cho phép máy chủ DNS Windows Server 2003 đã cài đặt bản nâng cấp bảo mật MS09-009 đáp trả với các truy vấn WPAD, chỉnh sửa khóa registry dưới đây và gỡ mục WPAD:
HKLM\System\CurrentControlServer\Services\DNS\Parameters\GlobalQueryBlockList
Sử dụng DNS cho WPAD làm việc tốt trên các mạng chỉ có một gateway. Nếu có nhiều gateway trên mạng, DNS có thể vẫn làm việc nhưng yêu cầu dịch vụ cân bằng tải trọng theo địa lý (ví dụ như F5 Global Traffic Manager).
WPAD bằng DHCP
Với các mạng phức tạp có nhiều gateway hoặc điểm vào ra, DHCP sẽ là lựa chọn tốt hơn so với DNS. Lúc này người dùng sẽ được cấu hình sử dụng proxy server gần nhất với vị trí địa lý của họ.
Để cấu hình WPAD bằng DHCP, mở DHCP management console, kích phải vào IPv4, sau đó chọn Set Predefined Options….
Hình 7
Chọn lớp DHCP Standard Options và chọn Add…. Nhập tên WPAD, chọn kiểu dữ liệu String, chỉ định mã 252 và nhập vào phần mổ tả Web Proxy Auto Discovery.
Hình 8
Chọn một DHCP để cấu hình WPAD, kích phải Scope Options sau đó chọn Configure Options….
Hình 9
Tìm phía bên dưới danh sách và chọn Option 252 WPAD. Với String value: nhập vào tên của web proxy server thích hợp hoặc mảng các mạng con theo định dạng sau:
http://<tmg_hostname:port>/wpad.dat
Lặp lại các bước này cho mỗi DHCP trong mạng.
Hình 10
Cấu hình tự động máy khách TMG Firewall
Ngoài những vấn đề được nêu trên, các máy khách TMG Firewall cũng có thể sử dụng Active Directory (AD) marker. Tùy chọn cấu hình tự động AD marker tỏ ra an toàn hơn việc sử dụng DNS hoặc DHCP, nhưng nó có nhiều hạn chế đối với máy khách TMG Firewall. Bạn có thể tham khảo tại đây để có thêm thông tin cấu hình Active Directory marker.
Kết luận
Máy khách Web Proxy cung cấp nhiều ưu điểm khác biệt về mặt bảo mật cũng như hiệu suất khi truy cập TMG web proxy server. Mặc dù vậy, với những thay đổi đối với thiết lập trình duyệt trên mỗi desktop cần truy cập Internet thì việc cấu hình tự động sử dụng DNS hoặc DHCP có thể đơn giản hóa triển khai cũng như loại trừ nhu cầu can thiệp thủ công. Với các mạng chỉ có một điểm truy cập, kích hoạt WPAD bằng DNS là một cách làm hiệu quả trong việc cấu hình máy khách Web Proxy. Với các mạng phức tạp có nhiều điểm truy cập, kích hoạt WPAD bằng cách sử dụng DHCP sẽ cho phép quản trị viên định nghĩa nhiều gateway cho các mạng con khác nhau, bảo đảm các máy khách sử dụng web proxy server gần nhất mà không cần quan tâm đến vị trí của chúng.