Tạo VNP Site to Site bằng ISA 2006 Firewall Branch Office Connection Wizard – Phần 1

Quản trị mạngTrong loạt bài này chúng tôi sẽ giới thiệu cho các bạn về cách cấu hình một mạng riêng ảo (VPN) site to site bằng cách sử dụng Branch Office Connectivity Wizard trong ISA 2006 Firewall.

Virtual Private Network (VPN) - Mạng riêng ảo là một công nghệ cho phép mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào. VPN được dùng để kết nối các chi nhánh phân tán về mặt địa lý thành một mạng duy nhất và cho phép sử dụng từ xa các chương trình ứng dụng dựa trên các dịch vụ trong công ty.

Kịch bản Domain Controller cho văn phòng chi nhánh

Một trong những cải tiến có trong phiên bản Enterprise của ISA 2006 Firewall là Branch office connectivity wizard. Trong ISA 2000, chúng ta đã có site to site VPN wizard để có thể tạo dễ dàng một VPN site to site. Mặc dù trong ISA 2004, site to site VPN wizard được nhiều người ưa thích này đã biến mất, tuy nhiên mọi người sẽ không gặp bất kỳ một trở ngại nào trong việc làm cho một VPN site to site làm việc giữa hai ISA Firewall. Nhóm phát triển ISA Firewall đã có những cải tiến để chúng ta có được một site to site VPN wizard thú vị, Branch Office Connectivity Wizard là tên được đặt lại.

Branch Office Connectivity Wizard sử dụng các thông tin chứa trong cấu hình Remote Site mà bạn tạo tại văn phòng chính và sử dụng các thông tin đó để trợ giúp cho việc tạo VPN site to site trở nên dễ dàng hơn. Khi kết thúc wizard, một file sẽ được tạo để bạn có thể đưa đến ISA Firewall văn phòng chi nhánh nhằm tạo một VPN site to site. Ngoài việc tạo kết nối VPN site to site, wizard còn cho phép bạn có được tùy chọn tạo ISA Firewall tại văn phòng chi nhánh một thành viên miền, đây thực sự là một cách thức tốt nhất của ISA Firewall vì tính bảo mật toàn diện của một thành viên miền mạnh hơn nhiều so với một ISA Firewall đứng độc lập.

Trong loạt bài về sử dụng ISA Firewall Branch Office Connectivity Wizard để tạo một VPN site to site này, đầu tiên chúng tôi sẽ giới thiệu qua quá trình tạo một kết nối VPN site to site bằng Wizard, sau khi tạo xong một VPN site to site, chúng ta sẽ tạo các luật truy cập (Access Rule) cho bộ điều khiển miền (domain controller) của văn phòng chi nhánh, các máy khách thành viên miền tại văn phòng chi nhánh và sử dụng đặc quyền tối thiểu để thực hiện điều này.

Hình bên dưới thể hiện một cái nhìn tổng quan về mạng lab được sử dụng trong loạt bài này.


Hình 1

Có 5 máy tính được sử dụng trong kịch bản này:

  • Dedicated CSS (css2006.msfirewall.org) Một CSS chuyên dụng sẽ được sử dụng để quản lý CSS cho các mảng tường lửa ISA Enterprise Edition. Sẽ có hai mảng ISA Firewall: một mảng cho ISA Firewall tại văn phòng chính và một mảng ISA Firewall cho văn phòng chi nhánh. Chúng ta không thể đặt các ISA Firewall của văn phòng chi nhánh và văn phòng chính trong cùng một mảng vì các địa chỉ truyền thông mảng nội bộ cho tất cả các thành viên mảng phải nằm trên cùng một ID mạng, và điều đó là không thể khi các thành viên mảng được đặt tại các văn phòng chi nhánh. Mặc dù vậy, chúng ta có thể sử dụng chính sách doanh nghiệp cho tất cả các mảng trong cùng một ISA Firewall Enterprise.
  • Domain Controller (dc.msfirewall.org) Tất cả các máy tính trong kịch bản này đều thuộc về cùng một miền, đó là msfirewall.org.
  • Main office ISA Firewall (isa2006se.msfirewall.org) Máy tính này là ISA Firewall văn phòng chính và sẽ thuộc về mảng mạng có tên Main. Máy này là một thành viên miền, và có một interface bên trong và bên ngoài.
  • Branch office ISA Firewall (isa2006branch.msfirewall.org) Máy tính này là ISA Firewall văn phòng chi nhánh và sẽ được đặt là một thành viên miền bằng branch office connectivity wizard. Windows Server 2003 được cài đặt trên máy tính này và ban đầu nó là một máy chủ độc lập. ISA 2006 cũng sẽ được cài đặt trên máy tính này khi nó là một máy chủ độc lập. Sau khi ISA 2006 Enterprise Edition được cài đặt trên máy, chúng ta sẽ chạy Branch Office Connectivity Wizard trên máy này, tạo VPN site to site và join vào miền. Wizard cũng sẽ kết nối ISA Firewall văn phòng chi nhánh với mảng văn phòng chi nhánh đã được cấu hình trên CSS văn phòng chính.
  • Branch office Domain Controller Đây là một Domain controller văn phòng chi nhánh mà người dùng ở đây sẽ sử dụng để thẩm định. Chúng ta sẽ tạo các Access Rule mang tính tùy chỉnh để cho phép DC có thể truyền thông với DC tại văn phòng chính.

Chúng ta cũng sẽ tạo những thay đổi đối với cấu hình DNS của ISA Firewall văn phòng nhánh để nó có thể sử dụng DC văn phòng nhánh sau khi cấu hình hoàn tất.

Các thủ tục gồm có:

  • Cấu hình máy chủ DNS văn phòng chính để từ chối các nâng cấp động, add các entry DNS tĩnh cho các mảng và ISA Firewall văn phòng chi nhánh.
  • Cài đặt CSS trên máy CSS chuyên dụng (Dedicated CSS)
  • Cài đặt các dịch vụ của Firewall trên ISA Firewall văn phòng chính (Main office ISA Firewall)
  • Cài đặt CSS nội bộ và Firewall Services trên ISA Firewall văn phòng chi nhánh (Branch office ISA Firewall)
  • Tạo answer file tại ISA Firewall văn phòng chính để cho branch office connectivity wizard sử dụng
  • Chạy Branch Office Connectivity Wizard trên ISA Firewall văn phòng chi nhánh
  • Tạo Access Rules để cho phép truyền thông trong miền giữa các DC của văn phòng chi nhánh.
  • Cài đặt DC tại văn phòng chi nhánh
  • Tạo những thay đổi DNS tại văn phòng chi nhánh để ISA Firewall sử dụng DC của văn phòng chi nhánh

Những lưu ý về VPN Site to Site

Một trong những phần bận rộn nhất trên ISAserver.org phải kể đến các phần VPN và nó thường là các vấn đề về VPN site to site. Lý do cho điều này theo tôi chính là nhiều người không hiểu về cách các kết nối VPN site to site làm việc như thế nào và một số yêu cầu cơ bản gì cho các kết nối đó làm việc.

VPN Gateway là một VPN Router

Khi ISA Firewall được cấu hình làm VPN gateway site to site, ISA Firewall sẽ trở thành một router cho các ID mạng nằm phía sau VPN gateway từ xa. Cho ví dụ, giả sử rằng văn phòng chính nằm trên ID mạng 10.1.0.0/16 và các địa chỉ IP của văn phòng chi nhánh nằm trên ID mạng 10.2.0.0/16. Khi một host tại văn phòng chính cần kết nối đến một ID mạng từ xa, 10.2.0.0/16, nó phải thực hiện thông qua VPN gateway tại văn phòng chính.

Để làm việc, các máy khách trong mạng văn phòng chính phải được cấu hình với địa chỉ cổng để biết tuyến đến ID mạng 10.2.0.0/16. ISA Firewall biết rõ về tuyến, vì vậy các máy khách được cấu hình để sử dụng ISA Firewall với tư cách gateway mặc định của chúng sẽ có thể truy cập đến mạng từ xa thông qua VPN gateway của ISA Firewall.

Chúng tôi thấy có rất nhiều câu hỏi đề cập đến cách “fix” các vấn đề gặp phải khi các site từ xa và nội bộ được đánh địa chỉ với cùng ID mạng. Họ muốn biết liệu có cách nào có thể “fix” vấn đề này. Câu trả lời là thực sự không có cách nào có thể “fix” vấn đề này từ quan điểm định tuyến, vì các hệ thống máy khách kết nối với các ID mạng nội bộ sẽ không bao giờ chuyển tiếp các kết nối đến một địa chỉ cổng. Tại sao các máy khách sẽ chuyển tiếp các kết nối đến ID mạng nội bộ sang một gateway khi không được yêu cầu và vi phạm tất cả các nguyên lý định tuyến tenets của TCP/IP?

Nhớ việc phân định tên

Một vấn đề khác thường gặp phải nữa với các VPN site to site là sự phân định tên. Các máy khách tại văn phòng chi nhánh cần khả năng phân định các tên máy tính tại văn phòng chính, và tại cả văn phòng chi nhánh. Để thực hiện được điều này, cần phải có một cơ sở hạ tầng máy chủ DNS thích hợp có thể phân định tất cả các tên. Thêm vào đó, bạn cũng cần nghĩ liệu người dùng tại văn phòng chi nhánh có nên phân định hostname Internet một cách trực tiếp hay phụ thuộc vào ISA Firewall tại các văn phòng chi nhánh hoặc văn phòng chính để phân định hostname nhân danh của họ.

Có hai kịch bản chính liên quan đến việc phân định tên tại văn phòng chi nhánh: một là có một domain controller tại văn phòng chi nhánh và hai là không có domain controller tại văn phòng chi nhánh. Nếu công ty giữ các DC tại văn phòng chi nhánh, các host tại văn phòng chi nhánh có thể sử dụng domain controller nội bộ của họ để đăng nhập vào phân định tên, vì máy tính đó có thể được cấu hình như một máy chủ DNS tích hợp Active Directory. Trường hợp nếu không có domain controller tại văn phòng chi nhánh, các máy khách tại các văn phòng chi nhánh có thể được cấu hình để sử dụng máy chủ DNS tại văn phòng chính nhằm mục đích phân định tên miền cho các máy chủ tại văn phòng chi nhánh và văn phòng chính.

Phân định hostname Internet là một vấn đề khác. Một số tổ chức thích cho máy khách có thể tự phân định hostname Internet (quá trình được yêu cầu cho các máy khách SecureNET), trong khi đó một số tổ chức khác lại muốn có sự kiểm soát chặt chẽ về sự phân định hostname Internet và chỉ cho phép ISA Firewall có thể phân định tên với tư cách các máy khách.

Có nhiều cách có thể thực hiện quá trình phân định này tuy nhiên tôi không thể cung cấp cho bạn được một công thức nào để nhận biết về cách nào tốt nhất. Mặc dù vậy, những gì tôi thường thực hiện là cấu hình ISA Firewall và các host trên mạng công ty để sử dụng các máy chủ DNS tích hợp Active Directory nhằm phân định hostname, sau đó cấu hình các máy chủ DNS này sử dụng một bộ chuyển tiếp được điều khiển bởi công ty để phân định hostname Internet.

Một vấn đề quan trọng trong việc phân định tên trong môi trường văn phòng chi nhánh liên quan đến các entry WPAD. Như bạn biết, cả Web proxy và các máy khách Firewall đều sử dụng các entry WPAD để tự động phát hiện địa chỉ nội bộ của ISA Firewall để sử dụng cho các kết nối Web proxy và Firewall client với ISA Firewall. Điều này có thể hơi khó hiểu khi bạn sử dụng một cơ sở hạ tầng DNS riêng cho các văn phòng chi nhánh và văn phòng chính, vì bạn không thể sử dụng một entry WPAD cho tất cả các địa điểm, giả định bạn muốn các host có thể kết nối đến các ISA Firewall nội bộ. Nói một cách khác, nếu bạn muốn tất cả các host kết nối với Internet thông qua một mảng Firewall văn phòng chính thì bạn hoàn toàn có thể sử dụng một entry WPAD.

Bạn có thể giải quyết vấn đề bằng cách tạo nhiều entry WPAD, một cho văn phòng chính và một cho mỗi văn phòng chi nhánh, sau đó kích hoạt trình tự mặt nạ mạng (netmask ordering) trên các máy chủ DNS. Khi netmask ordering được kích hoạt, các máy chủ DNS sẽ phân định các truy vấn WPAD để so khớp với ID mạng nhận yêu cầu. Điều đó có nghĩa rằng khi một host tại một văn phòng chính gửi một truy vấn WPAD đến DNS, địa chỉ được trả về sẽ là địa chỉ gần nhất với ID mạng của host tại văn phòng chính và khi truy vấn WPAD được nhận bởi một host tại văn phòng chi nhánh, địa chỉ được trả về sẽ là địa chỉ gần nhất với ID mạng nơi đặt host của văn phòng chi nhánh.

Để xem thêm thông tin về cách thực hiện này, bạn có thể tham khảo thêm bài báo của tác giả Stefaan Pouseele tại đây.

Một vấn đề DNS cuối cùng mà bạn cần xem xét là sự ảnh hưởng của các đăng ký DDNS cho các VPN gateway. Khi DDNS được kích hoạt trên máy chủ DNS, giao diện RAS (RAS interface) của ISA Firewall sẽ tự đăng ký trong DNS và sinh ra các vấn đề kết nối cho Web proxy và Firewall client, vì chúng sẽ cố gắng kết nối đến giao diện RAS chứ không phải địa chỉ LAN thực của ISA Firewall. Với lý do này, trong kịch bản được thảo luận trong loạt bài này, chúng tôi sẽ vô hiệu hóa DDNS trên các máy chủ DNS khi tạo VPN gateway và sau đó sẽ nghiên cứu tỉ mỉ xem có thể vô hiệu hóa vấn đề đăng ký DDNS trong demand-dial interface bằng cách sử dụng giao diện RRAS.


Các giao thức VPN

ISA Firewall hỗ trợ ba giao thức VPN cho các site to site VPN: IPSec tunnel mode, L2TP/IPSec và PPTP.

Sự hỗ trợ IPSec tunnel mode được giới thiệu trong ISA 2004 để ISA Firewall có thể được sử dụng như một site to site VPN gateway với các VPN gateway của bên thứ ba. Đây chỉ là một kịch bản bạn nên sử dụng IPSec tunnel mode, vì IPSec tunnel mode vẫn bị coi là một giao thức kém an toàn và hiệu suất thấp hơn so với L2TP/IPSec. Thêm vào đó, sự hỗ trợ định tuyến cho IPSec tunnel mode rất khó và bị hạn chế.

L2TP/IPSec là một giao thức site to site VPN khá được ưa thích khi cả hai phía của site to site VPN đều đang sử dụng ISA Firewall hoặc VPN gateway của bên thứ ba có hỗ trợ L2TP/IPSec. Do L2TP/IPSec hỗ trợ các khóa được chia sẻ trước, trong một môi trường an toàn, nên bạn phải sử dụng sự thẩm định chứng chỉ cho cả tài khoản máy tính và tài khoản người dùng đã được sử dụng để thẩm định đường hầm VPN. Tuy đây là một cấu hình rất an toàn nhưng hầu hết các công ty mà tôi bắt gặp thường sử dụng thẩm định non-EAP cho các tài khoản người dùng với demand-dial interface và sử dụng thẩm định chứng chỉ cho các tài khoản máy tính.

PPTP là giao thức dễ dàng nhất để hỗ trợ cho các kết nối site to site VPN. Không yêu cầu chứng chỉ và hầu hết các quản trị viên ISA Firewall sẽ phát hiện thấy ở PPTP mỗi điều là “chỉ làm việc”. Nhược điểm của PPTP là kém an toàn hơn so với L2TP/IPSec vì những thông tin quan trọng (credentials hash) đều được gửi trên một kênh không an toàn. Chính vì vậy, mức bảo mật của kết nối PPTP có thể cung cấp phụ thuộc chủ yếu vào độ phức tạp của mật khẩu. Thêm vào đó, PPTP không cung cấp các tính năng non-repudiation (không thoái thác) và sự bảo vệ chống replay mà L2TP/IPSec cung cấp.

Khi sử dụng IPSec tunnel mode để kết nối với các VPN gateway của bên thứ ba, hoàn toàn không có cách thực hiện dễ dàng nào. Thứ đầu tiên mà bạn nên thử là các thông tin về việc sử dụng ISA Firewall với các VPN gateway của bên thứ ba tại website của Microsoft.

Nếu hướng dẫn đó không phù hợp với kịch bản triển khai thì bạn sẽ phải quay trở lại với những hiểu biết của mình về IPSec và bảo đảm rằng tất cả các tham số IPSec đều đúng trên cả hai phía. Thậm chí có trường hợp khi thấy các tham số IPSec đúng trên cả hai phía, bạn vẫn có thể gặp các vấn đề với các VPN gateway không có sự tuân thủ RFC (non-RFC compliant). Cho ví dụ, có một vài báo cáo về các Sonicwall firewall không làm việc với VPN gateway của ISA Firewall vì chúng không có sự tuân thủ RFC (RFC compliant) và không cho phép cổng nguồn nào đó cho IKE ngoài UDP 500. Do ISA Firewall có sự tuân thủ RFC, nên nó có thể sử dụng một cổng khác và vì vậy không kết nối đến thiết bị Sonicwall. Trong trường hợp của Sonicwall, có thể một nâng cấp phần mềm đã tạo sự tuân thủ RFC cho thiết bị.

Một vấn đề hay gặp khác đối với site to site VPN là các tài khoản người dùng không được cấu hình phù hợp với demand-dial interface name (Lưu ý: Interface name bên này là username bên kia!). Khi xảy ra điều này, có lúc nó có thể xuất hiện mà site to site VPN được kết nối, tuy nhiên không có lưu lượng từ một mạng này sang mạng khác qua các VPN gateway, hoặc có thể giống như các kết nối được cho phép từ một mạng, tuy nhiên không từ mạng khác. Lý do cho điều này là vì kết nối site to site VPN không được thiết lập. Bạn có thể xác nhận điều đó bằng cách mở giao diện RRAS và kiểm tra mục Remote Access Clients trong phần panel bên trái. Nếu thấy một kết nối máy khách truy cập từ xa cho VPN gateway từ xa, thì bạn sẽ biết rằng kết nối VPN của máy khách truy cập từ xa đã được tạo mà không phải kết nối site to site VPN. Các kết nối máy khách truy cập từ xa sẽ không cho phép định tuyến thông qua các VPN gateway.

Với kinh nghiệm, chúng tôi luôn khuyến khích các quản trị viên ISA Firewall sử dụng L2TP/IPSec với thẩm định chứng chỉ máy. Mặc dù vậy trong hầu hết trường hợp, trong suốt quá trình triển khai ban đầu, chúng tôi sẽ thiết lập site to site VPN bằng khóa chia sẻ trước, để xây dựng sự tự tin trong giải pháp và gỡ bỏ một số phức tạp cố hữu trong một PKI. Sau khi giải pháp site to site VPN được thực hiện, chúng tôi sẽ chuyển sang thẩm định chứng chỉ máy và bỏ các khóa chia sẻ trước.

Kết luận

Đây là phần đầu tiên của loạt bài về cách cấu hình site to site VPN bằng cách sử dụng branch office connectivity wizard. Trong kịch bản này, sẽ có các ISA Firewall cũng như các domain controller nằm tại các văn phòng chính và chi nhánh. Trong các phần tiếp theo, chúng tôi sẽ giới thiệu cách sử dụng branch office connectivity wizard có trong ISA 2006 Enterprise Edition này cho các bạn trong việc tạo kết nối và sau đó là tùy chỉnh các luật truy cập. NDS và các tham số cấu hình khác để hỗ trợ đầy đủ cho kết nối site to site VPN từ văn phòng chi nhánh.

Thứ Năm, 25/03/2010 09:40
31 👨 4.506
0 Bình luận
Sắp xếp theo