TỔNG QUAN SSTP TRONG WINDOWS SERVER 2K8
Normal
0
false
false
false
MicrosoftInternetExplorer4
Trong bài viết này, mình sẽ giới thiệu
tổng quan về SSTP, cách thức hoạt động của SSTP bao gồm 4 phần:
Phần
1: Giới thiệu
Phần
2: Vì sao sử dụng SSTP trong VPN ?
Phần
3: SSTP họat động như thế nào?
Phần
4: Ví dụ
Phần 5: Bài Lab thực hành
Như chúng ta đã được biết VPN là một
giải pháp hỗ trợ truy cập từ xa có chi phí và hiệu quả tốt nhất hiện nay cho
một hệ thống mạng doanh nghiệp. Ta có thể triển khai hệ thống VPN để phục vụ
các nhu cầu:
·
Hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ
(VPN Client-to-Gateway)
·
Kết nối các hệ thống mạng nằm ở nhiều vị trí địa
lý khác nhau (VPN Site-to-Site)
Từ trước đến nay, hệ thống VPN hỗ trợ
2 cơ chế kết nối là:
·
Point-to-Point Tunneling Protocol (PPTP)
·
Layer Two Tunneling Protocol (L2TP)
Nhưng hiện nay, ngoài 2 cơ chế PPTP và
L2TP trên Windows Server 2008 và Windows Vista Service Pack 1 còn hỗ trợ thêm
một cơ chế kết nối mới là: Secure Socket
Tunneling Protocol (SSTP).
Phần 1: Giới thiệu
SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong
Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối HTTP đã được mã
hóa SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là một giao thức rất
an toàn vì các thông tin quan trọng của người dùng không được gửi cho tới khi
có một “đường hầm” SSL an toàn được thiết lập với VPN gateway. SSTP cũng được
biết đến với tư cách là PPP trên SSL, chính vì thế nó cũng có nghĩa là bạn có
thể sử dụng các cơ chế
chứng thực PPP và EAP để bảo đảm cho các kết nối SSTP được an toàn hơn.
Phần 2: Vì sao sử dụng SSTP trong VPN ?
·
Mạng riêng ảo VPN cung cấp một cách kết nối từ
xa đến hệ thống mạng thông qua Internet. Windows Server 2003 hỗ trợ các đường
hầm VPN dựa vào PPTP và L2TP/IPSec.Nếu người dùng truy cập từ xa ở đằng sau một
Firewall,những đường hầm này đòi hỏi các port riêng biệt được mở bên trong các
firewall như các port TCP 1723 và giao thức IP GRE để cho phép kết nối PPTP.
·
Có những tình huống như nhân viên ghé thăm khách
hàng,địa điểm đối tác hoặc khách sạn mà hệ thống chỉ cho truy cập web
(HTTP,HTTPs),còn tất cả các port khác bị ngăn chặn.Kết quả,những user từ xa này
gặp phải vấn đề khi thực hiện kết nối VPN do đó làm tăng cuộc gọi nhờ trợ giúp
và giảm năng suất của nhân viên. Secure Socket Tunneling Protocol(SSTP) là một
đường hầm VPN mới được giới thiệu trong Windows Server 2008 nhằm giải quyết vấn
đề kết nối VPN này.
·
SSTP thực hiện điều này bằng cách sử dụng HTTPs
làm lớp vận chuyển sao cho các kết nối VPN có thể đi qua các firewall,NAT và
server web proxy thường được cấu hình.Bởi vì kết nối HTTPs (TCP 443) thường
được sử dụng để truy cập các site Internet được bảo vệ như các web site thương
mại,do đó HTTPs thường được mở trong các firewall và có thể đi qua các Proxy
web,router NAT.
·
VPN Server chạy trên nền Windows Server 2008 dựa
vào SSTP để lắng nghe các kết nối SSTP tùu VPN client.SSTP server phải có một
Computer Certificate được cài đặt thuộc tính Server Authentication.Computer
Certificate này được sử dụng để xác thực server SSTP với client SSTP trong quá
trình thiết lập session SSL.Client hiệu lực hóa certificate của server SSTP.Để
thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phải được
cài đặt trên client SSTP.
·
Đường hầm VPN dựa vào SSTP có chức năng như một
đường hầm peer-L2TP và dựa vào PPTP.Điều này có nghĩa PPTP được bao bọc trên
SSTP mà sao đó gửi các lưu lượng cho cho kết nối HTTPs.Như vậy,tất cả các tính
năng khác của VPN như kiểm tra sức khỏe dựa vào NAT,tải lưu lượng IPV6 trên
VPN,các thuật toán xác thực như username và smartcard...và client VPN dựa vào
trình quản lý kết nối vẫn không thay đổi đối với SSTP,PPTP và L2TP.Nó giup cho
Admin một đường dẫn di trú tốt để di chuyển từ L2TP/PPTP đến SSTP.
Phần 3: SSTP họat động như thế nào?
SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự
bảo mật thông tin và dữ liệu.SSL cũng cung cấp cơ chế xác thưc các điểm cuối
khi đuợc yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và
nó dựa vào PPP chạy trên để xác thực client với server.Nghĩa là Client xác thực
server bằng certificate và Server xác thực Client thông qua giao thức hiện có
được hỗ trợ bởi PPP.
·
Khi Client kết nối với Remote Access Server bằng
cách sử dụng SSTP làm giao tác tạo lập đường hầm,SSTP thiết lập session HTTPs
với server từ xa tại port 443 ở một địa chỉ URL riêng biệt.Các xác lập proxy
HTTP được cấu hình thông qua IE sẽ được sử dụng để thiết lập kết nối này.
·
Với session HTTPs,client đòi hỏi server cung cấp
certificate để xác thực.Khi thíết lập quan hệ SSL hòan tất,các session HTTP được
thíet lập trên đó.Sau đó,SSTP được sử dụng để thương lượng các tham số giữa
Client và Server.Khi lớp SSTP được thíêt lập,việc thương lượng SSTP được bắt
đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầm cho dữ
liệu.
Phần 4: Ví dụ
Client có địa chỉ IP 192.168.1.4 nằm đằng sau một proxy Web
có IP:192.168.1.15:8080.Thiết lập một đường hầm SSTP đến RAS server có địa chỉ
IP Public 210.245.22.113 Server được public với domain abc.com.
Các
bước thiết lập đường hầm
- Client kết nối đến VPNserver
- Yêu cầu kết nối gửi đến proxy
server.Proxy server thiết lập nối kết TCP với port 443.
- Thiết lập quan hệ kết nối SSL,nhận
và kiểm tra certificate.
- Client gửi yêu cầu HTTP đến server
để thiết lập session HTTPs.
- SSTP thương lượng các tham số trên
session HTTPs.
- PPP bắt đầu trên SSTP,cung cấp cơ
chế xác thực client và các tham số khác như IP đường hầm...
- Một Interface ảo (PPP Adapter) được
tạo trên client có IP được cấp từ Server.
- Dữ liệu được truyền đi giữa client
và server thông qua Interface ảo sẽ được tạo đường hầm đến VPN Server và
đi vào intranet bên trong.
Phần 5: Bài Lab thực hành cấu hình SSTP VPN, các bạn có thể tham khảo tại địa chỉ: http://nhatnghe.com/forum/showthread.php?t=20912 (Mục các bài viết có giá trị)
Tài Liệu tham khảo:
www.nhatnhge.com
Kim Phuong Tran