DirectAccess - Phần 1: Tổng quan về các giải pháp truy cập từ xa hiện hành.

Thomas Shinder

Quản trị mạng – Loạt bài này chúng tôi sẽ giới thiệu cho các bạn về DirectAccess, giải pháp VPN mới nhất của Microsoft và việc đánh giá các giải pháp truy cập từ xa hiện có.

Giới thiệu

Tuy Windows Server 2008 đã được phát hành vào năm ngoái và chắc chắn vẫn còn rất nhiều vấn đề mà bạn có thể chưa biết hết về hệ điều hành máy chủ này. Nhưng giờ đây, chúng ta lại đang hướng về các hệ điều hành máy chủ và máy khách thế hệ tiếp theo, Windows 7 và Windows Server 2008 R2. Hệ điều hành máy chủ và máy khách mới này có những tính năng mới rất đáng để nâng cấp.

Không hẳn tất cả các hệ điều hành mới đều được công chúng chấp thuận, ví dụ như Windows Vista. Chúng tôi không cho rằng trường hợp này cũng xảy ra đối với Windows 7 và Windows Server 2008 R2. Có rất nhiều tổ chức đã quyết định không nâng cấp lên Windows Vista mà vẫn sử dụng hệ điều hành Windows XP. Tuy nhiên các dần thì công ty này cũng đã nhận ra rằng họ không thể sử dụng một hệ điều hành đã đến 10 năm tuổi mãi như vậy và có một lý do khác nữa đó chính là ấn tượng mạnh của hệ điều hành Windows 7. Với những cải thiện về hiệu suất, những yêu cầu về phần cứng thấp, những nâng cao về bảo mật đặc biệt nên đó là những lý do khiến họ muốn nâng cấp lên hệ điều hành mới này. Windows Server 2008 R2 có khác biệt đôi chút, tuy nhiên cũng giống như phát hành R2 trước đó, nó cũng có một số tính năng mới nhưng thực sự không nhiều như những gì có trong Windows 7.

Câu trả lời cho sự khác biệt lớn nhất diễn ra trong hai hệ điều hành mới này chính là DirectAccess. DirectAccess là một giải pháp VPN mới của Microsoft được dự định sẽ thay đổi cách bạn làm việc và suy nghĩ về kết nối VPN. Trong thực tế, Microsoft không muốn bạn coi DirectAccess là một giải pháp VPN vì họ nghĩ rằng bạn đã trải nghiệm những thứ không mấy thú vị với các mạng riêng ảo (VPN) trong những năm qua, chính những điều đó đã khiến người dùng không mấy bị lôi cuốn về công nghệ mới này.

Các VPN mang đến cho người dùng khả năng kết nối các tài nguyên trên mạng công ty bằng cách cung cấp một kết nối mạng ảo (mức 2). Điều này nghe có vẻ khá thú vị - về mặt lý tưởng các VPN cần phải mang đến cho người dùng trong mạng cùng một trải nghiệm giống nhau khi họ kết nối vào mạng công ty dù đó có thể là kết nối Ethernet hoặc kết nối không dây.

Vậy vấn đề thực sự ở đây là gì? Những vấn đề gì đã phát sinh trong các VPN mức mạng truyền thống?

  • Các thiết bị tường lửa và Web proxy thường không cho với máy chủ VPN có các kết nối gửi đi.
  • Các thiết bị NAT yêu cầu các NAT editor cung cấp một số giao thức VPN. Tuy nhiên các NAT editor lại thường thiếu hoặc thực thi một cách nghèo nàn (chẳng hạn như NAT editor PPTP của Linksys). Thêm vào đó, các VPN Ipsec lại phải hứng chịu một hậu quả là các hãng không thực thi theo nguyên tắc chung RFC, ví dụ như sự thực thi Ipsec trong một số máy chủ VPN của SonicWall.
  • Không có cách nào để bảo đảm rằng các mạng nguồn và mạng đích thực sự nằm trên các ID mạng khác nhau vì người dùng thường sử dụng các không gian địa chỉ riêng. Khi ID mạng nguồn và đích giống nhau, lúc đó người dùng sẽ không thể kết nối vào mạng công ty vì lúc này sẽ xuất hiện xung đột subnet.
  • Người dùng cần phải tự khởi tạo kết nối VPN và tạo thêm phức tạp trong quá trình sử dụng đối với người dùng và tăng số lượng cuộc gọi đến bộ phận trợ giúp kỹ thuật.
  • Do các kết nối VPN phải được khởi tạo bởi người dùng nên các máy tính của người dùng không thể truy cập vào tài nguyên CNTT cho tới khi họ tạo một kết nối. Việc đặt các máy tính không được kết nối ngoài sự kiểm soát sẽ làm cho việc quản lý các thiết bị trở nên khó khăn hơn rất nhiều, bên cạnh đó là những phát sinh khác trong vấn đề bảo mật công ty và các chính sách quản lý.

Với tất cả những vấn đề được nói trên nhưng thật ngạc nhiên là chúng ta vẫn sử dụng tất cả chúng. Trong thực tế, các VPN mức mạng (network-level) được sử dụng ít hơn khi các giải pháp truy cập từ xa được thực thi. Các giải pháp này không chỉ đơn giản hơn cho người dùng mà chúng còn tỏ ra an toàn hơn bằng cách thi hành một nguyên tắc bảo mật với đặc quyền tối thiểu. Với đặc quyền tối thiểu, người dùng chỉ có thể truy cập vào các dịch vụ và dữ liệu mà họ cần để hoàn thành công việc của họ.

Ví dụ, hãy xem xét các công nghệ dưới đây:

  • Outlook Web Access (OWA): OWA cho phép người dùng có thể truy cập vào các dịch vụ Exchange bằng một kết nối trình duyệt web qua HTTPS. Người dùng không cần truy cập mức mạng để kết nối đến mail và các thông tin lịch biểu.
  • Outlook RPC/HTTP: Giao thức RPC/HTTP cho phép người dùng phát huy những thế mạnh máy khách Outlook mà không cần đến mức truy cập mạng hoàn chỉnh (được kích hoạt bởi kết nối VPN lớp mạng). Quá trình truyền thông Outlook RPC/MAPI được bọc trong một kết nối HTTP và được mã hóa SSL.
  • Terminal Services Gateway: Thay vì cho phép truy cập mức mạng hoàn chỉnh để cho phép các kết nối desktop từ xa đến hệ điều hành máy chủ đầu cuối hoặc máy trạm trên mạng công ty, bạn có thể lợi dụng ưu điểm của TSG để đóng gói các kết nối RDP trong đường hầm HTTP, sau đó mã hóa bằng SSL. Bên cạnh đó cũng không cần kết nối mức mạng hoàn chỉnh để cho phép người dùng kết nối các dịch vụ kết cuối mà họ yêu cầu.

Rõ ràng, việc phơi bày các dịch vụ này trên Internet sẽ cho thấy một thiết kế yếu kém về bảo mật, lý do ở đây là các dịch vụ này có thể cho phép truy cập trái phép vào các máy chủ ứng dụng front-end của bạn. Vậy cần phải có một giải pháp để bảo vệ các máy chủ front-end. Hai trong số các giải pháp thường được sử dụng là tường lửa nâng cao với những tập tính năng proxy tường lửa và mạng kết hợp, bên cạnh đó là SSL VPN gateway.

Hai giải pháp nói trên gồm có:

  • Forefront Threat Management Gateway 2010: Forefront TMG (TMG) là một tường lửa mức mạng và proxy được kết hợp có sự bảo vệ spam toàn diện, bảo vệ malware và các tính năng IDS/IPS nâng cao. Thêm vào tập các tính năng tường lửa mức mạng và Web proxy, tường lửa này còn cung cấp khả năng bắc cầu SSL gửi đến khá tinh vi, chính vì vậy tường lửa TMG có thể được sử dụng để tiền thẩm định và thanh tra các kết nối gửi đến các máy chủ ứng dụng front-end. Cách thức này đã giảm một cách đáng kể những rủi ro trong việc phơi bày máy chủ ứng dụng front-end trước những kẻ tấn công trên Internet.
  • Intelligent Application Gateway 2007 (IAG) và Unified Access Gateway (UAG): IAG và UAG là các giải pháp SSL VPN toàn diện, cho phép bạn bảo vệ các máy chủ ứng dụng front-end tránh những kẻ tấn công từ Internet. IAG 2007 và UAG cung cấp nhiều công nghệ SSL VPN để bảo vệ truy cập từ xa đến các thông tin tên mạng công ty. IAG 2007 và UAG có thêm tính năng bảo mật được cung cấp bởi các công nghệ tường lửa như Forefront TMG bằng cách trang bị thêm các bộ lọc logic positive và negative nâng cao nhằm khóa các kết nối tồi và các tấn công zero day tiền ẩn, cung cấp các tùy chọn thẩm định trên những gì mà giải pháp SSL VPN gateway khác có thể cung cấp.

Tuy các công nghệ máy chủ ứng dụng front end và các gateway bảo mật tỏ ra rất hữu dụng trong việc giảm rủi ro và sự phức tạp so với các giải pháp VPN lớp mạng truyền thống nhưng vẫn còn có rất nhiều công việc cần phải thực hiện. Bạn phải thiết lập máy chủ ứng dụng, sau đó thiết lập máy chủ ứng dụng front-end (cần phải đặt trong một DMZ) và sau đó cấu hình tường lửa hoặc SSL VPN gateway phía trước các máy chủ front-end. Bạn phải thiết lập sự điều khiển phù hợp giữa tất cả các vùng bảo mật và cần phải kiểm tra tất cả các kết nối giữa các vùng bảo mật khác nhau. Một lỗi xuất hiện ở đâu đó trong “chuỗi ngờ vực” có thể làm sập toàn bộ hệ thống.

Giải cứu nhờ DirectAccess

Liệu có một cách tốt hơn phụ thuộc vào máy khách mà bạn đang làm việc. Với những máy khách unmanaged client trong cấu hình bảo mật không nhận biết (unknown), bạn nên sử dụng các kết nối front-end cho các máy chủ ứng dụng để có được sự bảo vệ từ các tường lửa nâng cao hoặc SSL VPN gateway. Không có cách nào có thể làm kết nối VPN mức mạng để các host này có thể an toàn. Đặc quyền tối thiểu lúc này chính là công cụ mạnh nhất mà bạn có khi nói đến các unmanaged host và các giải pháp tường lửa cũng như gateway chính là những cách tốt nhất để thực thi đặc quyền tối thiểu.

Vậy với những managed host thì sao? Với người dùng có laptop của công ty thì sao? Bạn phải tạo một kiến trúc bảo mật cho mỗi một laptop đó và bất cứ khi nào người dùng kết nối với LAN công ty, họ sẽ nhận được các nâng cấp về chính sách và được kiểm tra về điều kiện bảo mật mới nhất lẫn các nâng cấp của ứng dụng trước khi được phép kết nối.

Tuy nhiên vấn đề ở đây là những người dùng này có thể sẽ không bao giờ quay trở lại mạng công ty. Khi đó bạn có thể tạo một kiến trúc mới và gửi máy tính đến người dùng trong một nước khác hoặc một Châu lục khác. Trong trường hợp này, máy tính đó sẽ nằm ngoài tầm kiểm soát của bạn cho tới khi người dùng quay trở lại mạng LAN công ty, có thể là trụ sở văn phòng, văn phòng chi nhánh hoặc có thể sử dụng VPN truyền thống.

DirectAccess thực sự giúp bạn rất nhiều. Khi bạn có các máy khách Windows 7 và máy chủ Windows Server 2008 R2 DirectAccess, máy khách Windows 7 sẽ tự động gọi máy chủ DirectAccess khi khởi động. Máy khách sử dụng Ipsec để bảo vệ kết nối và sử dụng IPv6 trong kết nối đến các máy chủ trên mạng công ty. Tuy nhiên các máy khách nằm phía sau các thiết bị NAT sẽ hoạt động theo giao thức Internet IPv4. Những máy khách Windows 7 có thể sử dụng một số NAT Traversal và các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủ DirectAccess, sau đó đến các máy chủ trên mạng công ty.

Lưu ý rằng người dùng không cần đăng nhập vẫn có thể thiết lập kết nối DirectAccess. Điều này có nghĩa rằng bạn có thể quản lý các máy tính đó ngay khi chúng được bật. Kết nối DirectAccess là kết nối hai chiều, chính vì vậy bạn có thể kết nối, kiểm kê, sử dụng các chính sách bảo mật và quản lý cho các máy tính đó giống như chúng đã được kết nối với mạng của bạn.

Khi người dùng đăng nhập, một kết nối VPN thứ cấp sẽ được thiết lập. Mặc dù vậy, không giống như PPTP, L2TP/IPsec hoặc SSTP VPN điển hình, người dùng sẽ đăng nhập vào DirectAccess VPN một cách hoàn toàn tự động. Họ không cần phải tích dấu kiểm vào hộp kiểm; không cần kích vào nút “connect to corpnet” (kết nối đến mạng công ty). Thêm vào đó họ cũng không cần phải lo lắng về phía sau tường lửa hoặc proxy vì tường lửa và proxy chỉ cho phép các truy cập HTTPS gửi đi. Do SSL là cổng tường lửa phổ dụng, nên người dùng sẽ không bao giờ thấy các vấn đề trong kết nối đến các máy chủ DirectAccess.

Bên cạnh đó:

  • Người dùng có thể mở Outlook và làm việc bình thường vì máy khách có kết nối mạng ảo với các máy IPv6 trên mạng.
  • Người dùng không cần sử dụng OWA vì các kết nối MAPI đến Exchange nguyên bản của họ được kích hoạt một cách dễ dàng trên DirectAccess VPN.
  • Khi một người dùng nào đó nhận một email có chứa các liên kết đến máy chủ file hoặc SharePoint trên mạng nội bộ, họ chỉ cần kích vào liên kết và làm việc. Bạn không cần phải suy nghĩ về việc publish các tài nguyên ngày lên mạng nội bộ và xử lý các vấn đề DNS có liên quan đến việc bản đồ hóa tên từ mạng nội bộ sang Internet.
  • Các máy tính sẽ được đánh giá một cách tự động bởi NAP và được điều đình lại dựa trên chính sách công ty. Thao tác này xảy bất cứ khi nào máy tính khởi động và tự động kết nối với DirectAccess VPN. Điều này có nghĩa rằng các máy tính được quản lý (managed) của bạn luôn luôn tuân thủ những nguyên tắc hoạt động đặt ra.

Rõ ràng DirectAccess không chỉ là một giải pháp VPN truy cập từ xa rất hoàn hảo mà nó còn có thể thay đổi cách bạn tiếp cận toàn bộ khái niệm VPN trong tương lai.

Kết luận

Cần phải lưu ý rằng ở đây chúng tôi đang nói về các máy tính được quản lý (managed). Mặc dù vậy lại có nhiều máy tính thành viên miền nằm ngoài phạm vi này. Chính vì vậy bạn cần phải có những ngoại lệ cho các máy tính đó. Như những gì bạn thấy, DirectAccess cho phép bạn nhận ra các ngoại lệ cao cho các máy tính này mà không cần quan tâm đến vị trí đặt của chúng. DirectAccess cho phép mở rộng sự quản lý và sự kiểm soát chính sách bảo mật đối với tất cả các máy tính trong cương vị quản lý của bạn, thực thi ngay lập tức khi các máy tính đó được khởi động, thậm chí cả khi người dùng không đăng nhập vào máy.

Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu chi tiết hơn về DirectAccess và các thủ tục cũng như các giao thức, bên cạnh đó là kiến thức mà bạn cần có để làm việc với giải pháp DirectAccess.

Thứ Bảy, 18/07/2009 11:38
32 👨 5.237
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp