Tìm hiểu mạng riêng ảo VPN (Phần 6)

Như đề cập ở phần trước, bảo mật của VPN còn được hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc học. Micrsoft đã tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên trách công việc này cho VPN truy cập từ xa.

EAP-TLS là chữ viết tắt của Extensible Authentication Protocol – Transport Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng – bảo mật lớp truyền dẫn). Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người sử dụng (user certificate) trên cả máy khách và máy chủ IAS của mạng VPN. Đây là cơ chế có mức độ an toàn nhất ở cấp độ người sử dụng.

Mặc dù công nghệ thẻ thông minh hay sinh trắc học vẫn còn là khái niệm mới mẻ ở Việt Nam, chúng tôi xin giới thiệu cách cài đặt để độc giả có thể hình dung những gì Windows hỗ trợ.

Mô hình thực nghiệm VPN truy cập từ xa. Ảnh: Microsoft

Mô hình thực nghiệm vẫn là 5 máy tính với các chức năng khác nhau (xem lại phần 3, 4 hoặc 5 để biết thêm chi tiết). Khi bắt tay vào cài đặt, bạn bật tất cả các máy (5 máy tính này đã kết nối trước với nhau như hình vẽ).

Máy DC1

Bạn sẽ định cấu hình để DC1 làm nhiệm vụ tiếp nhận tự động các chứng nhận về người sử dụng.

1. Nhấn menu Start > Run > gõ mmc ở dấu nhắc > OK.
2. Trên menu File, nhấn Add/Remove Snap-in > Add.
3. Dưới mục Snap-in, kích đúp vào Certificate Templates > Close > OK.
4. Trong cây chương trình, nhấn Certificate Templates. Tất cả mô hình chứng nhận sẽ được trình bày trong ô hiển thị chi tiết.
5. Trong ô hiển thị chi tiết, nhấn vào mẫu User.
6. Trên menu Action, nhấn vào Duplicate Template.
7. Trong hộp Template display name, gõ VPNUser.
8. Đánh dấu chọn trong ô Publish Certificate in Active Directory.
9. Nhấn vào thẻ Security.
10. Trong danh sách Group or user names, nhấn vào Domain Users.
11. Trong danh sách Permissions for Domain Users, đánh dấu chọn ở các ô Read, Enroll và Autoenroll để cho phép các chức năng này.
12. Nhấn vào thẻ Subject Name.
13. Bỏ dấu chọn trong các ô Include E-mail name in subject name và E-mail name. Do bạn đã không định cấu hình một tên e-mail nào cho tài khoản VPNUser nên bạn phải bỏ dấu này để “phát hành” được chứng nhận người sử dụng.
14. Nhấn OK.
15. Mở trình quản lý Certification Authority từ thư mục Administrative Tools.
16. Trong cây chương trình, mở Certification Authority > mở Example CA > Certificate Templates.
17. Trên menu Action, trỏ vào New rồi nhấn Certificate Template to Issue.
18. Nhấn VPNUser.
19. Nhấn OK.
20. Mở trình quản lý Active Directory Users and Computers.
21. Trong cây chương trình, nhấn đúp vào Active Directory Users and Computers, nhấn chuột phải vào example.com > chọn Properties.
22. Trên thẻ Group Policy, chọn Default Domain Policy > Edit.
23. Trong cây chương trình, mở User Configuration > Windows Settings > Security Settings > Public Key Policies.
24. Trong ô hiển thị chi tiết, nhấn đúp vào Autoenrollment Settings.
25. Nhấn Enroll certificates automatically. Đánh dấu chọn trong ô Renew expired certificates, update pending certificates, and remove revoked certificates và ô Certificates that use certificate templates.
26. Nhấn OK.

Một sản phẩm thẻ thông minh dùng “trạm xử lý” GlobalAdmin của hãng Realtime dùng cho VPN truy cập từ xa.
Ảnh: Realtime
 

Máy chủ IAS1

Bạn sẽ định cấu hình cho IAS1 với một chứng nhận máy tính cho thẩm định quyền truy cập EAP-TLS.

1. Khởi động lại IAS1 để đảm bảo máy này đã tự động nạp một chứng nhận máy tính.
2. Mở trình quản lý Internet Authentication Service.
3. Trong cây chương trình, nhấn Remote Access Policies.
4. Trong ô hiển thị chi tiết, nhấn đúp vào VPN remote access to Intranet. Hộp thoại VPN remote access to intranet Properties xuất hiện.
5. Nhấn vào Edit Profile, chọn thẻ Authentication.
6. Trên thẻ Authentication, chọn EAP Methods. Hộp thoại Select EAP Providers hiện ra.
7. Nhấn Add. Hộp thoại Add EAP xuất hiện.
8. Nhấn vào Smart Card or other certificate > OK.
9. Nhấn Edit. Hộp thoại Smart Card or other Certificate Properties xuất hiện.
10. Các thuộc tính của chứng nhận máy tính cho IAS1 được hiển thị. Bước này xác định rằng IAS1 có một chứng nhận máy tính được cài đặt để thực hiện quyền thẩm định truy cập theo giao thức EAP-TLS. Nhấn OK.
11. Nhấn OK để lưu lại các thay đổi đối với nhà cung cấp EAP. Nhấn OK để lưu các thay đổi về cài đặt cấu hình.
12. Khi được hỏi xem các mục trợ giúp, nhấn No. Nhấn OK để lưu các thay đổi để lưu các thay đổi đối với quy định truy cập từ xa.

Các thay đổi cấu hình này sẽ cho phép truy cập từ xa trong VPN hay truy cập từ xa trong Intranet thẩm định các kết nối VPN dùng phương pháp xác định quyền truy cập theo giao thức EAP-TLS.

Máy CLIENT1

Bạn cũng nạp một chứng nhận trên máy này rồi định cấu hình cho kết nối VPN truy cập từ xa dựa trên giao thức EAP-TLS.

1. Tắt máy CLIENT1.
2. Ngắt kết nối khỏi phân đoạn mạng Internet mô phỏng và kết nối vào phân đoạn mạng Intranet.
3. Khởi động lại máy CLIENT1 và đăng nhập bằng tài khoản VPNUser. Lúc này, máy tính và Group Policy được cập nhật tự động.
4. Tắt máy CLIENT1.
5. Ngắt CLIENT1 khỏi phana đoạn mạng Intranet và kết nối nó vào phân đoạn mạng Internet mô phỏng.
6. Khởi động lại CLIENT1 và đăng nhập vào bằng tài khoản VPNUser.
7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.
8. Trong mục Network Tasks, chọn Create a new connection.
9. Trên trang Welcome to the New Connection Wizard page của New Connection Wizard, nhấn Next.
10, Trên trang Network Connection Type, chọn Connect to the network at my workplace.
11. Nhấn Next. Trên trang Network Connection, chọn kết nối Virtual Private Network.
12. Nhấn Next. Trên trang Connection Name, gõ EAPTLStoMangcongty trong ô Company Name.
13. Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial connection.
14. Nhấn Next. Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô địa chỉ Host name or IP address.
15. Nhấn Next. Trên trang Connection Availability , nhấn Next.
16. Trên trang Completing the New Connection Wizard , nhấn Finish. Hộp thoại Connect EAPTLStoMangcongty xuất hiện.
17. Nhấn vào Properties > thẻ Security.
18. Trên thẻ Security, nhấn Advanced > Settings. Hộp thoại Advanced Security Settings xuất hiện.
19. Trong hộp thoại Advanced Security Settings, nhấn vào Use Extensible Authentication Protocol (EAP).
20. Nhấn vào Properties. Trong hộp thoại Smart Card or other Certificate Properties, nhấn Use a certificate on this computer.
21. Nhấn OK để lưu các thay đổi trong hộp thoại. Nhấn OK để lưu các thay đổi trong Advanced Security Settings. Nhấn OK để lưu các thay đổi trong thẻ Security. Kết nối ngay lập tức được khởi tạo và dùng đến chứng nhận người sử dụng vừa cài đặt. Lần đầu tiên bạn thử kết nối, máy có thể mất vài lần mới hoạt động thành công.
22. Khi kết nối thành công, bạn hãy chạy trình duyệt web.
23. Trong ô Address, gõ http://IIS1.example.com/iisstart.htm. Bạn sẽ nhìn thấy thông báo trang web đang trong quá trình xây dựng. Trên thực tế, đây phải là một tên miền thật.
24. Nhấn Start > Run, gõ \IIS1ROOT > OK. Bạn sẽ thấy nội dung của ổ nội bộ (ổ C) trên IIS1.
25. Nhấn chuột phải vào kết nối EAPTLStoMangcongty rồi nhấn Disconnect.

Các máy còn lại được cài đặt như trong phần 4.

Các lưu ý khi sử dụng quyền chứng nhận CA (Certificate Authority) của các bên phát triển thứ 3 cho cơ chế thẩm định quyền truy cập theo giao thức EAP-TLS:

Chứng nhận trên máy chủ thẩm định phải:

– Được cài đặt trong kho chứng nhận của máy tính nội bộ.
– Có một key riêng tương ứng.
– Có nhà cung cấp dịch vụ mật mã để hỗ trợ. Nếu không, chứng nhận không thể được dùng và không thể chọn được từ trình Smart Card or Other Certificate trên thẻ Authentication.
– Có mục đích chứng nhận thẩm định quyền truy cập máy chủ, còn được gọi là EKU (Enhanced Key Usage).
– Phải chứa tên miền được thẩm định đầy đủ, gọi là FQDN, của tài khoản máy tính trong Subject Alternative Name của chứng nhận.

Hơn nữa, các chứng nhận CA gốc của các CA phải được cài đặt trong kho chứng nhận Trusted Root Certification Authorities của các máy chủ thẩm định.

Chứng nhận trên các máy khách VPN phải:

– Có một key riêng tương ứng.
– Phải chứa EKU thẩm định quyền truy cập cho máy khách.
– Phải được cài đặt trong kho chứng nhận của Current User.
– Chứa tên UPN (universal principal name) của tài khoản người sử dụng trong Subject Alternative Name của chứng nhận.

Ngoài ra, các chứng nhận CA gốc của các CA (đã phát hành các chứng nhận máy tính trên máy chủ IAS) phải được cài đặt trong kho Trusted Root Certification Authorities của máy khách VPN.