Tìm hiểu mạng riêng ảo VPN (Phần 8)

Phần này sẽ giới thiệu cách cài đặt VPN kiểu LAN nối LAN theo giao thức L2TP/IPSec. Đây là giao thức có mức độ bảo mật cao nhất dành cho mạng riêng ảo vì cả người sử dụng và máy tính đều phải qua giai đoạn kiểm định quyền truy cập.

Các công cụ kiểm định là Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) Version 2 hoặc Extensible Authentication Protocol (EAP). Cơ chế này có mức độ bảo mật cao hơn PPTP hay IPSec Tunnel Mode vì chúng không có phần thẩm định quyền truy cập đối với người sử dụng.

Bạn có thể chọn một trong 2 phương pháp thẩm định đối với máy tính là chứng nhận (certificate) hoặc mật khẩu chung, trong đó phương pháp chứng nhận an toàn hơn. Tuy nhiên, dùng mật khẩu chung là lựa chọn hợp lý nếu bạn không thể cung cấp các chứng nhận cho gateway của VPN. Trước khi quyết định dùng cách này, cần chú ý những điểm sau:

– Tất cả các máy khách và gateway phải dùng một mã chia sẻ duy nhất.
– Nếu mật khẩu này được thay đổi để đảm bảo bí mật (thường thì các mật khẩu nên thay thường xuyên), bạn phải đổi bằng tay trên mỗi máy tính sử dụng nó để kết nối tới gateway VPN.
– Mật khẩu chung này hiển thị trong giao diện cấu hình của máy chủ ISA và trong registry, giúp xác định ai đã truy cập vào ISA. Nhưng nếu một chứng nhận được cài đặt lên máy này, nó không được cấu hình truy xuất thông tin; do đó, kẻ đột nhập chỉ có thể dùng chứng nhận khi kiểm soát được cả máy tính.
– Dải mã Unicode của mật khẩu được chuyển đổi sang mã nhị phân ASCII và mã này được dùng đến nếu kết nối thành công. Khi mật khẩu dùng mã ASCII không thể gửi được đi, quá trình sẽ thay thế bằng dải mã Unicode. Tuy nhiên, các thiết bị không theo chuẩn Unicode có thể từ chối, khiến cho kết nối không thực hiện được.

Tình huống thực nghiệm

Ví dụ: Công ty XYZ có văn phòng chính ở Hà Nội và chi nhánh tại TP HCM, muốn liên kết với nhau bằng mạng riêng ảo theo giao thức L2TP, dùng mật khẩu chung. Giao thức L2TP cũng yêu cầu đầy đủ các máy tính như khi kết nối VPN điểm-nối-điểm PPTP, nhưng các công đoạn có sự khác biệt.

Mô hình thực nghiệm có 2 tường lửa (firewall), một ở văn phòng chính, một ở chi nhánh; một máy kiểm soát DC chạy Exchange 2003; một máy khách nằm sau tường lửa ISA của chi nhánh. Tường lửa này chạy Windows Server 2003 SP1 và bản ISA Firewall 2006.

Quy trình tạo lập mạng VPN bao gồm 7 bước như sau:

– Tạo mạng LAN kết nối ở xa (TP HCM) tại văn phòng chính (Hà Nội).
– Tạo tài khoản gọi ở Gateway VPN tại văn phòng Hà Nội.
– Tạo mạng LAN kết nối ở xa tại văn phòng TP HCM.
– Tạo Network Rule ở văn phòng TP HCM.
– Tạo Access Rules ở văn phòng TP HCM.
– Tạo tài khoản gọi ở Gateway VPN tại văn phòng TP HCM.
– Kích hoạt kết nối giữa các LAN.

Kỳ 1: Tạo mạng LAN TP HCM tại ISA Firewall ở văn phòng Hà Nội

1. Trên ISA Firewall tại văn phòng Hà Nội, mở cây chương trình Microsoft Internet Security and Acceleration Server 2006 và mở đến tên máy chủ. Chọn biểu tượng Virtual Private Networks.

2. Nhấn vào thẻ Remote Sites trong ô Details > chọn thẻ Tasks trong ô Task > nhấn vào Add Remote Site Network.

3. Trên trang Welcome to the Create VPN Site to Site Connection Wizard, gõ tên của mạng khách trong ô Site to site network name. Ở ví dụ này, gõ VPN_TPHCM. Nhấn Next.

4. Trên trang VPN Protocol, bạn có 3 lựa chọn về giao thức, chọn Layer Two Tunneling Protocol (L2TP) over IPSec. Nhấn Next.

5. Một hộp thoại xuất hiện, thông báo rằng bạn cần phải tạo một tài khoản người sử dụng trên firewall của ISA tại văn phòng Hà Nội. Tài khoản này sẽ được firewall của ISA tại TP HCM sử dụng để thẩm định quyền truy cập cho firewall của trụ sở.

Tài khoản này phải trùng tên với mạng khách đã tạo ra trong bước 3 ở trên. Vì vậy, bạn cũng nhập tên VPN_TPHCM. Nhấn OK.

6. Trên trang Connection Owner, chọn máy trong danh sách làm định danh kết nối. Lựa chọn này chỉ có thể thấy trong bản ISA Enterprise Edition chứ không có trong Standard Edition. Nếu có cân bằng tải (NLB) trên dãy máy, bạn không cần tự chỉ định máy kết nối vì quá trình NLB sẽ tự động chọn.

Trong ví dụ này chúng ta không dùng NLB vì chỉ có một máy trong dãy. Vì vậy, hãy dùng cổng mặc định là tên firewall ở văn phòng chính VPN_Hanoi. Nhấn Next.

7. Trên trang Remote Site Gateway, gõ địa chỉ IP hoặc tên miền đầy đủ cho máy chủ VPN mạng khách. Chú ý đây là tính năng mới trong ISA firewall 2006; ở bản cũ bạn chỉ có thể nhập địa chỉ IP. Tính năng này tỏ ra hữu ích khi nhiều văn phòng chi nhánh phải dùng IP động; do đó, cách duy nhất để kết nối chắc chắn nhất là thông qua dịch vụ tên miền. Ví dụ, trong trường hợp này là tphcm.xyz.com.vn Nhấn Next.

8. Trên trang Remote Authentication, đánh dấu vào ô Local site can initiate connections to remote site using these credentials. Gõ tên tài khoản mà bạn sẽ tạo trên firewall ở văn phòng TP HCM để cho phép văn phòng Hà Nội truy cập. Trong ví dụ này, nhập tên VPN_Hanoi vào ô User name.

Domain là tên của firewall ISA Server 2006 tại chi nhánh TP HCM, trong ví dụ này là ISA2006VPN_TPHCM. Nếu firewall này cũng là máy chủ quản lý domain (domain controller), bạn sẽ dùng tên miền thay cho tên máy. Gõ mật khẩu và xác nhận lại trong hai ô tiếp theo. Nhấn Next.

9. Trên trang L2TP/IPSec Outgoing Authentication, chọn phương pháp bạn muốn dùng để thẩm định quyền truy cập đối với firewall ở văn phòng TP HCM. Trong thực nghiệm này, chúng ta chọn Pre-shared key authentication (mật khẩu chung) rồi gõ mật khẩu vào ô tương ứng. Nhấn Next.

10. Nhấn vào mục Add Range trên trang Network Address. Trong hộp thoại IP Address Range Properties, gõ địa chỉ 10.0.1.0 vào ô Starting address. Gõ 10.0.1.255 vào ô Ending address. Nhấn OK. 

11. Nhấn Next trên trang Network Addresses.

12. Trên trang Remote NLB, kiểm tra NLB có được dùng ở firewall này không. Nếu có, đánh dấu vào ô The remote site is enabled for Network Load Balancing. Sau đó, thêm địa chỉ IP vào dãy NLB của chi nhánh TP HCM bằng cách nhấn vào nút Add Range.

Thực nghiệm này không dùng NLB nên bạn bỏ dấu trong ô The remote site is enabled for Network Load Balancing. Nhấn Next.

13. Trên trang Site to Site Network Rule, bạn có thể cấu hình một Network Rule để kết nối văn phòng chính với chi nhánh. Chú ý rằng firewall ISA luôn yêu cầu bạn có Network Rule để kết nối các mạng với nhau. Ngay cả khi đã tạo ra các mạng và Access Rules, kết nối vẫn không thành công cho đến khi bạn tạo Network Rule.

Firewall ISA mới đã giải quyết được trục trặc mà nhiều người gặp phải khi dùng bản cũ, như ISA 2004, là họ thường quên hoặc không biết tới vai trò của Network Rule. Bản 2006 sẽ yêu cầu bạn làm việc này ngay trong wizard.

Chọn Create a Network Rule specifying a route relationship để chấp nhận tên mặc định. (Chú ý: bạn có thể chọn I’ll create a Network Rule later nếu muốn tự tạo một Network Rule. Chú ý rằng lựa chọn mặc định dùng để kết nối mạng của văn phòng chính và chi nhánh). Nhấn OK. 

14. Một tính năng nổi bật nữa trong bản 2006 là trang Site to Site Network Access Rule. Tại đây, bạn có thể cấu hình một Access Rule để cho phép các kết nối từ trụ sở đến chi nhánh.

Khi chọn Create an allow Access Rule. This rule will allow traffic cetween the Internal Network and the new site to site Network for all users, bạn có 3 lựa chọn từ menu xổ xuống Apply the rule to these protocols.

All outbound traffic: dùng khi bạn muốn cho phép tất cả các truy cập từ văn phòng chính đến chi nhánh.
Selected protocols: Mục này được dùng khi bạn muốn kiểm soát các truy cập từ trụ sở tới chi nhánh. Nếu muốn hạn chế kết nối trong một số giao thức, chọn mục này rồi nhấn vào nút Add cho tất cả các giao thức. Chú ý: lúc này bạn không thể khóa việc sử dụng giao thức ở phía người sử dụng. Bạn phải đợi cho đến khi wizard này kết thúc rồi tới mục Firewall Policy để thay đổi sau.
All outbound traffic except selected: Lựa chọn này giúp bạn cho phép tất cả các truy cập nhưng giới hạn giao thức. Nhấn nút Add để thiết lập các giao thức bạn muốn khóa.

Ở thực nghiệm này, chúng ta chọn All outbound traffic. Nhấn Next.

15. Nhấn Finish trên trang Completing the New Site to Site Network Wizard.

16. Hộp thoại Remaining VPN Site to Site Tasks hiện ra báo bạn cần phải tạo một tài khoản với cái tên VPN_TPHCM. Nhấn OK.

17. Chọn Remote Site Network và nhấn vào đường liên kết Edit Selected Network trong cửa sổ Task.

18. Trong hộp thoại VPN_TPHCM Properties, thẻ General cung cấp thông tin về Remote Site Network. Bạn có thể tắt hoặc bật kết nối VPN điểm-nối-điểm từ thẻ này.

19. Trên thẻ Server, người dùng có thể thay đổi máy định danh kết nối cho kiểu VPN điểm-nối-điểm. Bạn chỉ có thể chỉ định một máy duy nhất khi NLB không được bật trên giao diện mở rộng của tường lửa ISA.

Nếu NLB được bật trên giao diện này, nó sẽ tự động chỉ định máy kết nối cho bạn. Chú ý rằng bạn có thể tạo ra các dãy gateway VPN mà không cần bật NLB. Tuy nhiên, trong hầu hết các trường hợp, bạn nên dùng đến cân bằng tải.

20. Trên thẻ Address, bạn có thể thay đổi hay thêm địa chỉ mạng khách.

21. Trên thẻ Remote NLB, bạn xác định các địa chỉ IP được chỉ định trên gateway VPN ở mạng khách. Bạn chỉ cần cấu hình các địa chỉ IP nếu gateway VPN ở mạng khách có sử dụng NLB.

Ở thực nghiệm này, chúng ta không thêm các địa chỉ mới vì NLB không được bật lên ở tường lửa ISA tại mạng văn phòng TP HCM.

22. Trên thẻ Authentication, chọn giao thức thẩm định quyền truy cập mà bạn muốn trên tường lửa ISA để dùng khi làm việc với gateway ở mạng chi nhánh. Mặc định ở đây là Microsoft CHAP Version 2.

Lựa chọn an toàn nhất là EAP nhưng phương pháp này yêu cầu bạn chỉ định chứng nhận (certificate) của người dùng cho các tài khoản.

23. Trên thẻ Protocol, cấu hình giao thức VPN mà bạn muốn để tạo ra tunnel truyền dẫn cho mạng riêng ảo. Người dùng có thể thay đổi mật mã chung ở đây.

24. Trên thẻ Connection, bạn có thể thay đổi các thuộc tính cho gateway VPN của mạng khách. Người dùng sẽ thay đổi được thời gian duy trì kết nối VPN trong khi không làm việc với máy (trạng thái idle). Mặc định là Never drop the connection. Đóng hộp thoại VPN_TPHCM Properties.

25. Nhấn phải chuột vào Remote Site Network > Site to Site Summary command. Trong hộp thoại, bạn sẽ thấy các thông tin cài đặt trên mạng chính và Required site to site settings for the other end of this tunnel (yêu cầu cài đặt đối với mạng khách).

26. Hoàn thành công đoạn cấu hình bằng cách nhấn vào Apply để lưu các thay đổi. Nhấn OK trong hộp thoại Apply New Configuration.