Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 2: Cấu hình TMG Firewall làm PPTP Remote Access VPN Server Trong phần hai loạt này, chúng tơi giới thiệu cho bạn cách cấu hình tường lửa để chấp nhận kết nối PPTP L2TP/Ipsec Trong phần trước loạt này, tổng quan cấu hình VPN, chúng tơi giới thiệu cho bạn kiến thức tổng quan giao diện cấu hình VPN truy cập xa tường lửa TMG Chúng tơi giới thiệu kiểm sốt có sẵn vị trí bạn tìm thấy chúng Giờ phần này, vào tìm cách cấu hình tường lửa để chấp nhận kết nối PPTP L2TP/Ipsec PPTP Remote Access VPN Server PPTP giao thức VPN truy cập từ xa Nó có chút tiếng xấu trước người ta phát thấy có vấn đề bảo mật PPTP, lỗ hổng trước công dựa mật Vấn đề giải với phát hành PPTPv2, nhiên PPTP coi an toàn so với giao thức VPN (theo đánh giá chuyên gia bảo mật) Điều chế thẩm định diễn bên bối cảnh đường hầm mã hóa an tồn Giờ đây, sử dụng mật phức tạp sử dụng chế thẩm định dựa chứng người dùng EAP/TLS cho kết nối PPTP bạn vấn đề bảo mật dễ giải Chính trừ ngành công nghiệp bảo mật cao nơi có nguồn tài chỉnh khổng lồ với siêu máy tính khơng PPTP lựa chọn phù hợp cho giao thức VPN truy cập từ xa PPTP quản trị viên ISA TMG firewall ưa chuộng khả hoạt động Mặc dù phải nói có nhiều tình PPTP khơng làm việc, chẳng hạn PPTP client PPTP server đặt phía sau thiết bị NAT khơng có PPTP NAT editor có NAT editor độc mã Do cần đáng phải xem xét lại PPTP, khơng giống hầu hết giao thức VPN khác, khơng phải gọi “tường lửa thân thiện” Điều đặt câu hỏi không sử dụng phương pháp truy cập từ xa tương lai, chẳng hạn DirectAccess, thay cho việc dựa vào phương pháp VPN truyền thống Lý cho điều DirectAccess có sẵn máy khách Windows cần có số yêu cầu khác mà tất máy khách bạn khơng đáp ứng được, giải pháp VPN truy cập từ xa tồn lựa chọn cần thiết Bạn cần biết tường lửa hãng thứ ba có PPTP NAT editor độc mã có kết nối PPTP gửi thực thiện từ bên tường lửa Trong trường hợp khác, NAT editor có nhiều lỗi khơng máy khách có khả thiết lập kết nối từ phía sau tường lửa với PPTP NAT editor khiếm khuyết Bạn ln hy vọng phía sau RRAS NAT server ISA hay TMG firewall, nhiên may mắn lại khơng dành cho bạn Trong trường hợp đó, thử sử dụng giao thức VPN truy cập từ xa khác số phương pháp khác cho việc truy cập từ xa để lấy thông tin mà bạn cần thiết Trong phần trước loạt này, chúng tơi cấu hình máy chủ VPN sử dụng DHCP để đạt địa IP cho máy khách VPN truy cập xa Chúng tơi kích hoạt cấu hình giao thức VPN mặc định, PPTP TMG firewall lắng nghe giao diện mặc định cho kết nối máy khách VPN truy cập xa sử dụng phương pháp thẩm định mặc định, MS-CHAPv2 Giờ xem xét bước Trong thử nghiệm chúng tơi có máy khách Windows để kết nối với mạng TMG firewall, sau thử kết nối VPN Trong thử nghiệm, thừa nhận bạn biết cách tạo kết nối VPN máy khách Windows 7, khơng giới thiệu q trình Lưu ý: Nếu bạn chưa biết cách thực đó, mở Network and Sharing Center kích vào liên kết Set up a new connection or network thực theo hướng dẫn wizard Trước kết nối, muốn giới thiệu cho bạn thứ cấu hình máy khách VPN giúp bạn khắc phục cố số giao thức VPN khác Trong hình bên dưới, bạn thấy hộp thoại Properties cho kết nối máy khách VPN Khi kích tab Security, danh sách sổ xuống Type of VPN xuất Khi bạn mở danh sách này, bạn thấy danh sách giao thức VPN mà máy khách VPN truy cập xa hỗ trợ Trong ví dụ này, chúng tơi muốn bắt máy khách VPN sử dụng PPTP Chọn tùy chọn tạo kết nối Hình Sau tạo kết nối, bạn kích phải vào kết nối VPN cửa sổ Network Connections kích Status Trong hộp thoại Status, kích tab Details, bạn thấy thơng tin chi tiết kết nối PPTP Bạn thấy giao thức WAN Miniport (PPTP) sử dụng, phương pháp thẩm định thông tin địa IP, thể hình Hình Trong giao diện điều khiển TMG firewall, phần thị Dashboard, bạn thấy kết nối phần Sessions thể hiên hình bên Hình Khi chuyển sang nút Monitoring phần panel trái giao diện điều khiển TMG firewall kích tab Sessions, bạn thấy kết nối VPN client Nếu máy chủ VPN truy cập từ xa bận rộng, bạn sử dụng tính lọc có tab Sessions cấu hình lọc để hiển thị kết nối máy khách VPN truy cập xa Lưu ý nút cung cấp thơng tin có liên quan đến giao thức VPN sử dụng để kết nối máy chủ VPN truy cập xa TMG firewall username người dùng kết nối Xem thể hình bên Hình Khá dễ dàng? Giờ bạn biết quản trị viên thích cấu hình ISA TMG làm máy chủ VPN truy cập xa PPTP Bạn bị lơi kích hoạt chế thẩm định EAP/TLS, sử dụng RADIUS server thực số thứ để mở rộng bảo mật cho máy chủ PPTP VPN cấu hình kiểm sốt truy cập – nhiên bạn muốn giải pháp dễ dàng nhanh chóng, PPTP mà bạn cần chọn (chí từ trình chủ cấu hình) Tuy nhiên tất bạn thực cấu hình tường lửa TMG firewall trở thành máy chủ VPN truy cập xa thẩm định kết nối PPTP thiết lập Những chưa thực kết nối đến tài nguyên mạng nội để bảo đảm kết nối thực làm việc Một cách dễ dàng test điều xem liệu ping domain controller mạng bên không Địa IP domain controller 10.0.0.2 Hình bên thể kết hành động ping Hình Có với điều đó? TMG firewall địi hỏi nhiều kết nối VPN Hãy nhớ rằng, thiết lập tường lửa TMG firewall, theo mặc định, khơng có lưu lượng truy cập di chuyển qua tường lửa Bạn cần phải tạo quy tắc cho phép lưu lượng qua tường lửa OK, tạo quy tắc Bên phía panel bên trái giao diện điều khiển TMG firewall, kích nút Firewall Policy Trong phần panel bên phải giao diện điều khiển, kích tab Tasks Trong tab Tasks, kích liên kết Create Access Rule, thể hình Hình Trong hộp thoại Welcome to the New Access Rule Wizard, thể hình 7, nhập vào tên quy tắc hộp văn Access Rule name Trong ví dụ này, đặt tên cho quy tắc VPN Clients to Internal sau kích Next Hình Trong trang Rule Action, thể hình 8, chọn tùy chọn Allow, muốn sử dụng quy tắc phép lưu lượng từ mạng máy khách VPN đến mạng bên mặc định Kích Next Hình Trong trang Protocols, thể hình 9, bạn chọn giao thức phép từ mạng nguồn đến mạng đích (hoặc máy tính đối tượng mạng khác) Trong ví dụ này, cho phép tất lưu lượng từ mạng máy khách VPN đến mạng nội bên trong, chọn tùy chọn All outbound traffic từ danh sách sổ xuống This rule applies to Kích Next Hình Trong trang Malware Inspection, thể hình 10, chọn tùy chọn Do not enable malware inspection for this rule Lý chọn tùy chọn để thuận tiện ví dụ Lưu ý môi trường sản xuất, bạn cần bảo vệ máy khách trước malware, split tunneling (quá trình cho phép người dùng VPN từ xa truy cập mạng Internet phép truy cập tài nguyên VPN, phương pháp cho phép người dùng truy cập thiết bị từ xa chẳng hạn máy in mạng, truy cập Internet) bị vơ hiệu hóa mặc định Do split tunneling bị vơ hiệu hóa nên máy khách VPN phải truy cập Internet thông qua tài nguyên mà bạn tạo sẵn mạng cơng ty Tài ngun TMG firewall khác web proxy, TMG firewall mà máy khách VPN kết nối để thiết lập session máy khách VPN truy cập xa Trong ví dụ này, chúng tơi không tạo quy tắc cho phép truy cập Internet kết nối với VPN – sách bạn xác định xem bạn có muốn cho phép truy cập Internet máy khách VPN kết nối hay khơng có muốn cho phép split tunneling máy khách VPN kết nối với máy chủ VPN truy cập từ xa TMG hay khơng Hình 10 Trong trang Access Rule Source, kích nút Add kích nút Networks Sau kích đúp VPN Clients Network kích Close hộp thoại Add Network Entities, thể hình 11 Kích Next Hình 11 Trong trang Access Rule Destination, kích nút Add Trong hộp thoại Add Network Entities xuất hình 12, kích nút Networks, sau kích đúp Internal Network Kích Close hộp thoại Add Network Entities Kích Next Hình 12 Trong trang User Sets, thể hình 13, sử dụng entry mặc định All Users Lưu ý mơi trường sản xuất, bạn hạn chế người dùng kết nối thông qua quy tắc này, tạo quy tắc khác để áp dụng cho máy khách VPN truy cập xa Cần biết rằng, máy tính kết nối qua kết nối VPN truy cập xa, TMG firewall có ngữ cảnh người dùng session Đó điều tốt – máy khách VPN giống Firewall Clients (TMG Clients) mà ngữ cảnh người dùng có sẵn cho kết nối tạo thông qua TMG firewall cho phép bạn tạo quy tắc dựa người dùng nhóm người dùng nhằm cho phép máy khách VPN kết nối đến tài nguyên nằm phía sau TMG firewall Kích Next Hình 13 Trong trang Completing the New Access Rule Wizard, thể hình 14, kích Finish Hình 14 Trong phần panel giao diện điều khiển TMG firewall, bạn thấy xuất rule Kích nút Apply, xem hình 15, để lưu thay đổi với sách tường lửa Hình 15 Lúc test cấu hình, cách sử dụng lệnh ping đến domain controller mạng cơng ty Và kết bạn thấy hình 16 bên dưới, làm việc rule cho phép kết nối Hình 16 Chúng ta cịn phải làm nữa? Do cho phép tất lưu lượng nên kết nối đến chia sẻ SMB chí thấy danh sách chúng domain controller Tất bạn thấy hình 17 Hình 17 Cho đến thứ mà thực tốt đẹp Tiếp đến vào xem xét file ghi TMG filewall, thể hình 18, tìm xem xảy Bạn thấy thơng tin chi tiết q trình ping mà rule VPN Clients to Internal phép ping đến đích 10.0.0.2 Những thú vị có ngữ cảnh người dùng, khơng phải bạn mong đợi từ máy khách non-firewall Tuy nhiên đề cập đến từ trước, người dùng kết nối với tư cách máy khách VPN truy cập xa bạn có thông tin người dùng qua tường lửa thơng tin sử dụng rule tường lửa Lưu ý lúc nhận thông tin người dùng thực với máy khách Firewall (TMG), khơng có hỗ trợ cho giao thức phức hợp thực với máy khách Firewall (TMG) Hình 18 Kết luận Trong phần hai loạt này, giới thiệu cho bạn kết nối VPN truy cập từ xa PPTP đơn giản Chúng ta cấu hình máy chủ PPTP VPN sau tạo Access Rule phép kết nối máy khách VPN tài nguyên mạng mặc định bên Tuy nhiên PPTP bắt đầu, nghĩ bắt đầu với vài thứ đơn giản chuyển sang cấu hình phức tạp hơn, phần loạt tìm cách triển khai L2TP/IPsec VPN server Triển khai phức tạp đơi chút cần triển khai chứng cho máy khách VPN (chứng CA) TMG firewall (chứng máy chủ) Q trình địi hỏi phải có khéo léo tiện ích site kết nạp thay đổi Windows Server 2008 R2, điều có nghĩa khơng thể sử dụng cơng cụ để lấy chứng website cách dễ dàng Thêm vào đó, cịn có vấn đề với RPC filter vấn đề làm cho việc sử dụng chứng MMC trở nên khó Mặc dù chúng giới thiệu cho bạn giải pháp thích hợp để giải vấn đề phần  ... rộng bảo mật cho máy chủ PPTP VPN cấu hình kiểm sốt truy cập – nhiên bạn muốn giải pháp dễ dàng nhanh chóng, PPTP mà bạn cần chọn (chí từ trình chủ cấu hình) Tuy nhiên tất bạn thực cấu hình tường... thiết Trong phần trước loạt này, chúng tơi cấu hình máy chủ VPN sử dụng DHCP để đạt địa IP cho máy khách VPN truy cập xa Chúng tơi kích hoạt cấu hình giao thức VPN mặc định, PPTP TMG firewall lắng... lưu lượng từ mạng máy khách VPN đến mạng bên mặc định Kích Next Hình Trong trang Protocols, thể hình 9, bạn chọn giao thức phép từ mạng nguồn đến mạng đích (hoặc máy tính đối tượng mạng khác) Trong