Normal
0
false
false
false
MicrosoftInternetExplorer4
Normal
0
false
false
false
MicrosoftInternetExplorer4
Normal
0
false
false
false
MicrosoftInternetExplorer4
Windows
Server 2008 tích hợp giao thức SSTP VPN. Cơ bản, SSTP, Secure Socket Tunnel
Protocol, là PPP (Point-To-Point Protocol – Giao thức liên kết điểm) trên SSL
(Secure Sockets Layer). SSTP cho phép người dùng kết nối tới máy chủ VPN qua
cổng 443 của TCP, cũng giống như những kết nối SSL khác, và nó làm việc với
những Web Proxy chưa thẩm định quyền, do đó dù điểm truy cập sử dụng một hệ
thống tường lửa ISA cho truy cập ngoài thì những kết nối SSTP sẽ vẫn hoạt động
bình thường.
Trong
bài viết này chúng ta sẽ cấu hình máy chủ SSTP VPN và cấu hình ISA Firewall để
cho phép máy trạm SSTP VPN kết nối trở lại máy chủ SSTP VPN. ISA Firewall sẽ
được cấu hình với hai Publishing Rule.
- một Server Publishing Rule cho phép kết nối trở lại máy
chủ SSTP
- một Web Publishing Rule cho phép thực hiện kết nối trở
lại điểm phân phối CRL (CDP).
Trước
tiên chúng ta sẽ cấu hình hệ thống mạng theo hình này:
Normal
0
false
false
false
MicrosoftInternetExplorer4
Chúng ta cần chú ý hai kết nối dữ liệu. Đầu tiên, một kết nối SSTP
cần phải thực hiện qua ISA Firewall sẽ kết thúc tại máy chủ SSTP SSL VPN. Kết
nối thứ hai cần thực hiện hai bước truyền qua hệ thống mạng (bước đầu tiên là
một kết nối HTTP thực hiện qua ISA Firewall, và bước thứ hai được thực hiện qua
cổng nối SSL VPN tới CDP). Để hỗ trợ tiến trình này chúng ta cần cấu hình cổng
nối SSL VPN trở thành một máy chủ NAT thực hiện đảo chiều NAT để cho phép truy
cập tới CDP phía sau máy chủ VPN.
Lưu
ý, máy trạm SSTP VPN phải sử dụng phiên bản Windows Vista
SP1. Phiên bản Vista RTM không hỗ trợ SSTP.
Trong ví dụ này, ISA Firewall không phải là một thành viên của miền vì thành
viên miền không cần thiết trong trường hợp này. Nếu muốn kết nạp ISA Firewall
làm thành viên miền chúng ta sẽ phải cấu hình ISA Firewall sử dụng một router
phía sau giao tiếp nội bộ của ISA Frirewall vì giao tiếp nội bộ miền không thực
hiện với các thiết bị NAT trong kết nối này. Router này sẽ được đặt cùng với
máy chủ VPN, do đó giao tiếp ngoài và giao tiếp nội bộ sẽ xuất hiện trên những
ID mạng phản chiếu những giao tiếp này trên hệ thống cổng nối SSTP VPN.
Cổng nối SSTP VPN là một thành viên miền do đó chúng ta có thể tận dụng được
quá trình thẩm định quyền của Windows. Nếu không muốn cổng nối SSTP VPN là một
thành viên miền, chúng ta có thể cài đặt một Network Policy Server trên mạng
tập thể và cấu hình máy chủ VPN sử dụng nó để thẩm định quyền và tính toán (máy
chủ Network Policy Server trong Windows Server 2008 thay thế cho máy chủ ISA
trong Windows Server 2003).
Máy tính CDP trên mạng nội bộ là một Domain Controller cho miền msfirewall.org.
Những máy chủ chức năng được cài đặt trên máy tính này bao gồm Active Directory
Certificate Services, DHCP Server, DNS Server, Active Directory Domain
Services, và tính năng WINS Server.
Chúng ta cần phải thực hiện các bước sau:
- Cài đặt IIS trên máy chủ VPN.
- Yêu cầu một chứng nhận hệ thống cho máy chủ
VPN sử dụng IIS Certificate Request Wizard.
- Cài đặt máy chủ chức năng RRAS trên máy chủ
VPN.
- Kích hoạt máy chủ RRAS rồi cấu hình nó trở
thành một máy chủ NAT và VPN.
- Cấu hình máy chủ NAT xuất bản CRL.
- Cấu hình User Account cho phép các kết nối
dial-up.
- Cấu hình IIS trên Certificate Server cho
phép các kết nối HTTP cho thư mục CRL.
- Cấu hình ISA Firewall với một máy chủ PPTP
VPN, máy chủ SSL VPN và Web Publishing Rule của CDP.
- Cấu hình file HOSTS trên máy trạm
VPN.
- Sử dụng PPTP để kết nối tới máy chủ
VPN.
- Tạo một CA Certificate từ Enterprise CA.
- Cấu hình ISA Firewall với một Publishing
Rule của máy chủ SSL VPN và CDP.
- Cấu hình máy trạm sử dụng SSTP và kết nối
tới máy chủ VPN sử dụng SSTP.
Normal
0
false
false
false
MicrosoftInternetExplorer4
Bài Lab cấu hình từng bước cụ thể các bạn xem
thêm trong file đính kèm.
Normal
0
false
false
false
MicrosoftInternetExplorer4
Kết Luận:
Normal
0
false
false
false
MicrosoftInternetExplorer4
Normal
0
false
false
false
MicrosoftInternetExplorer4
Normal
0
false
false
false
MicrosoftInternetExplorer4
Trong phần này chúng ta đã
tìm hiểu qua một số nhược điểm của truy cập VPN từ xa tại các điểm công cộng
và phương pháp giao thức SSTP giúp khắc phục những vấn đề này bằng cách cho
phép các kết nối VPN thực hiện qua một kết nối SSL qua TCP cổng 443 được cho
phép qua mọi tường lửa trong những môi trường này. Ngoài ra, chúng ta cũng nắm được các bước cấu hình cụ thể SSTP VPN Server và ISA Firewall.
Normal
0
false
false
false
MicrosoftInternetExplorer4
(Hết)
Tài Liệu Tham Khảo:
- www.3c.com.vn
Kim Phuong Tran
Normal
0
false
false
false
MicrosoftInternetExplorer4
Normal
0
false
false
false
MicrosoftInternetExplorer4
Normal
0
false
false
false
MicrosoftInternetExplorer4
Trong bài viết này, mình sẽ giới thiệu
tổng quan về SSTP, cách thức hoạt động của SSTP bao gồm 4 phần:
Phần
1: Giới thiệu
Phần
2: Vì sao sử dụng SSTP trong VPN ?
Phần
3: SSTP họat động như thế nào?
Phần
4: Ví dụ
Phần 5: Bài Lab thực hành
Như chúng ta đã được biết VPN là một
giải pháp hỗ trợ truy cập từ xa có chi phí và hiệu quả tốt nhất hiện nay cho
một hệ thống mạng doanh nghiệp. Ta có thể triển khai hệ thống VPN để phục vụ
các nhu cầu:
·
Hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ
(VPN Client-to-Gateway)
·
Kết nối các hệ thống mạng nằm ở nhiều vị trí địa
lý khác nhau (VPN Site-to-Site)
Từ trước đến nay, hệ thống VPN hỗ trợ
2 cơ chế kết nối là:
·
Point-to-Point Tunneling Protocol (PPTP)
·
Layer Two Tunneling Protocol (L2TP)
Nhưng hiện nay, ngoài 2 cơ chế PPTP và
L2TP trên Windows Server 2008 và Windows Vista Service Pack 1 còn hỗ trợ thêm
một cơ chế kết nối mới là: Secure Socket
Tunneling Protocol (SSTP).
Phần 1: Giới thiệu
SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong
Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối HTTP đã được mã
hóa SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là một giao thức rất
an toàn vì các thông tin quan trọng của người dùng không được gửi cho tới khi
có một “đường hầm” SSL an toàn được thiết lập với VPN gateway. SSTP cũng được
biết đến với tư cách là PPP trên SSL, chính vì thế nó cũng có nghĩa là bạn có
thể sử dụng các cơ chế
chứng thực PPP và EAP để bảo đảm cho các kết nối SSTP được an toàn hơn.
Phần 2: Vì sao sử dụng SSTP trong VPN ?
·
Mạng riêng ảo VPN cung cấp một cách kết nối từ
xa đến hệ thống mạng thông qua Internet. Windows Server 2003 hỗ trợ các đường
hầm VPN dựa vào PPTP và L2TP/IPSec.Nếu người dùng truy cập từ xa ở đằng sau một
Firewall,những đường hầm này đòi hỏi các port riêng biệt được mở bên trong các
firewall như các port TCP 1723 và giao thức IP GRE để cho phép kết nối PPTP.
·
Có những tình huống như nhân viên ghé thăm khách
hàng,địa điểm đối tác hoặc khách sạn mà hệ thống chỉ cho truy cập web
(HTTP,HTTPs),còn tất cả các port khác bị ngăn chặn.Kết quả,những user từ xa này
gặp phải vấn đề khi thực hiện kết nối VPN do đó làm tăng cuộc gọi nhờ trợ giúp
và giảm năng suất của nhân viên. Secure Socket Tunneling Protocol(SSTP) là một
đường hầm VPN mới được giới thiệu trong Windows Server 2008 nhằm giải quyết vấn
đề kết nối VPN này.
·
SSTP thực hiện điều này bằng cách sử dụng HTTPs
làm lớp vận chuyển sao cho các kết nối VPN có thể đi qua các firewall,NAT và
server web proxy thường được cấu hình.Bởi vì kết nối HTTPs (TCP 443) thường
được sử dụng để truy cập các site Internet được bảo vệ như các web site thương
mại,do đó HTTPs thường được mở trong các firewall và có thể đi qua các Proxy
web,router NAT.
·
VPN Server chạy trên nền Windows Server 2008 dựa
vào SSTP để lắng nghe các kết nối SSTP tùu VPN client.SSTP server phải có một
Computer Certificate được cài đặt thuộc tính Server Authentication.Computer
Certificate này được sử dụng để xác thực server SSTP với client SSTP trong quá
trình thiết lập session SSL.Client hiệu lực hóa certificate của server SSTP.Để
thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phải được
cài đặt trên client SSTP.
·
Đường hầm VPN dựa vào SSTP có chức năng như một
đường hầm peer-L2TP và dựa vào PPTP.Điều này có nghĩa PPTP được bao bọc trên
SSTP mà sao đó gửi các lưu lượng cho cho kết nối HTTPs.Như vậy,tất cả các tính
năng khác của VPN như kiểm tra sức khỏe dựa vào NAT,tải lưu lượng IPV6 trên
VPN,các thuật toán xác thực như username và smartcard...và client VPN dựa vào
trình quản lý kết nối vẫn không thay đổi đối với SSTP,PPTP và L2TP.Nó giup cho
Admin một đường dẫn di trú tốt để di chuyển từ L2TP/PPTP đến SSTP.
Phần 3: SSTP họat động như thế nào?
SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự
bảo mật thông tin và dữ liệu.SSL cũng cung cấp cơ chế xác thưc các điểm cuối
khi đuợc yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và
nó dựa vào PPP chạy trên để xác thực client với server.Nghĩa là Client xác thực
server bằng certificate và Server xác thực Client thông qua giao thức hiện có
được hỗ trợ bởi PPP.
·
Khi Client kết nối với Remote Access Server bằng
cách sử dụng SSTP làm giao tác tạo lập đường hầm,SSTP thiết lập session HTTPs
với server từ xa tại port 443 ở một địa chỉ URL riêng biệt.Các xác lập proxy
HTTP được cấu hình thông qua IE sẽ được sử dụng để thiết lập kết nối này.
·
Với session HTTPs,client đòi hỏi server cung cấp
certificate để xác thực.Khi thíết lập quan hệ SSL hòan tất,các session HTTP được
thíet lập trên đó.Sau đó,SSTP được sử dụng để thương lượng các tham số giữa
Client và Server.Khi lớp SSTP được thíêt lập,việc thương lượng SSTP được bắt
đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầm cho dữ
liệu.
Phần 4: Ví dụ
Client có địa chỉ IP 192.168.1.4 nằm đằng sau một proxy Web
có IP:192.168.1.15:8080.Thiết lập một đường hầm SSTP đến RAS server có địa chỉ
IP Public 210.245.22.113 Server được public với domain abc.com.
Các
bước thiết lập đường hầm
- Client kết nối đến VPNserver
- Yêu cầu kết nối gửi đến proxy
server.Proxy server thiết lập nối kết TCP với port 443.
- Thiết lập quan hệ kết nối SSL,nhận
và kiểm tra certificate.
- Client gửi yêu cầu HTTP đến server
để thiết lập session HTTPs.
- SSTP thương lượng các tham số trên
session HTTPs.
- PPP bắt đầu trên SSTP,cung cấp cơ
chế xác thực client và các tham số khác như IP đường hầm...
- Một Interface ảo (PPP Adapter) được
tạo trên client có IP được cấp từ Server.
- Dữ liệu được truyền đi giữa client
và server thông qua Interface ảo sẽ được tạo đường hầm đến VPN Server và
đi vào intranet bên trong.
Phần 5: Bài Lab thực hành cấu hình SSTP VPN, các bạn có thể tham khảo tại địa chỉ: http://nhatnghe.com/forum/showthread.php?t=20912 (Mục các bài viết có giá trị)
Tài Liệu tham khảo:
www.nhatnhge.com
Kim Phuong Tran