VnExperts - Đào tạo, học, thi chứng chỉ Quốc tế Cisco CCNA, CCNP, Microsoft MCP, MCSA, MCITP, Linux, Security+, CEH

5. Cung cấp Profile cho Remote Users

Profile bạnd đã tạo được trong phần trước của bài viết là việc chạy một file mà bạn cung cấp cho các máy tính từ xa sẽ chạy trong quá trình khởi động của hệ thống, tạo ra một profile khác với thêm vào những sự can thiệp khác. Có vài cách thức để bạn có thể chạy một file trên máy tính của người dùng từ xa.

Bạn có thể gửi file chạy đó bằng cách gửi file đính kèm trong một bức thư điện tử, hay một đường link gửi đến máy tính cá nhân và khi họ vào đường link đó sẽ download trực tiếp và chạy file đó. Trong files gửi kèm theo thư điện tử bạn còn có thể bao gồm những file cung cấp cho quá trình đăng nhập trong tương lai của người dùng. Bạn có thể chạy như một phần của quá trình logon hay logoff, nhưng bạn cũng phải cần một tài khoản người dùng đăng nhập vào hệ thống từ xa qua kết nối dial-up, hoặc đợi đến khi người dùng từ xa trở về hệ thống mạng của họ và kết nối từ xa tới mạng của hệ thống trung tâm.

Không quan tâm đến cách thức bạn chọn lựa để gửi một profile cho người dùng, bạn cần phải chắc chắn một điều phiên bản mới nhất của profile được cài đặt trên các tài nguyên trong vùng cách ly "quarantined resource", bởi các máy client sẽ không thể qua được quá trình kiểm tra sử dụng script và khi phiên bản mới nhất được cập nhật trên máy client mà các phiên bản trên máy chủ lại chưa được cập nhật thì khi đó các thông tin đến máy chủ sẽ bị bỏ qua bởi so sánh phiên bản của script không có trong cơ sở dữ liệu trên máy chủ.

6. Cấu hình chính sách cho Quarantine

Bước cuối cùng trong việc triển khai NAQC là việc cấu hình các chính sách thực tế với máy chủ RRAS. Trong phần này, tôi sẽ tạo ra một chính sách cách ly "quarantine policy" với máy chủ RRAS, với điều kiện bạn đã cung cấp các profile trên máy chủ web và máy chủ đó như một tài nguyên bị cách ly được cung cấp cho các client ở xa.

Nếu máy chủ RRAS được cấu hình để sử dụng phương thức xác thực của Windows, sau đó sử dụng Active Directory hay từ một domain của Windows NT để cung cấp xác thực cho người dùng và nhìn các đặc tính của tài khoản đó. Nếu máy chủ RRAS được cấu hình để sử dụng RADIUS, thì sau đó máy chủ RADIUS phải là một máy chủ cài Windows Server 2003 với dịch vụ IAS được cài đặt và chạy trên đó. Tiện đây tôi xin nói là IAS cũng sử dụng Active Directory để cung cấp xác thực cho người dùng bằng cách tìm kiếm trong cơ sở dữ liệu và xét các đặc tính của tài khoản đó.

6.1. Cấu hình máy chủ RRAS

1. Mở RRAS Manager.

2. Chuột phải vào Remote Access Policies, Sau đó chọn New Remote Access Policy từ menu chọn Next.

3. Trang Policy Configuration Method sẽ xuất hiện. Điền tên của các kết nối truy cập cho chính sách này được hiển thị dưới hình sau, sau đó bạn chọn next và finish

Hình 4. The Policy Configuration Method screen

4. Trong cửa sổ Access Method chọn VPN sau đó chọn Next.

5. Trên cửa sổ User or Group Accessc chọn Group sau đó chọn Add

6. Trong dạng của group bạn phải cho phép VNP truy cập vào hệ thống mạng của bạn. Nếu toàn bộ domain users đều có thể thì bạn lựa chọn group là "Everyone or Authenticated Users. Tôi sẽ gọi group đó là VPNUsers trong domain có quyền truy cập vào hệ thống mạng từ xa, sau chọn group bạn cần thiết lập nhấn OK.

7. Bạn sẽ trở lại trang User or Group Access, và bạn sẽ nhìn thấy group mà bạn vừa add vào để thiết lập chính sách thể hiện ở hình dưới đây.

Hình 5: the User or Group Access screen.

8. Cửa sổ Authentication Methods sẽ xuất hiện. Để cho việc ví dụ đơn giản tôi sử dụng phương giao thức xác thực MS-CHAP v2 authentication protocol, nó là lựa chọn mặc định chọn Next.

9. Trong cửa sổ Policy Encryption Level, chắc chắn cho bảo mật chọn chỉ chọn thiết lập Strongest Encryption được thể hiện dưới hình sau, sau đó bạn chọn Next:

Hình 6: the Policy Encryption Level screen

10. Để hoàn thành bước này chọn Finish.

6.2. Cấu hình thuộc tính cho quarantined.

Bây giờ bạn cần phải cấu hình thuộc tính sẽ được gán trực tiếp cho các phiên kết nối quarantine.

1. Vào RRAS Manager, chuột phải new Quarantined VPN remote access connections policy, chọn Properties từ menu được thả xuống.

2. Chọn tab Advanced, chọn Add bao gồm các đặc tính dưới đây.

3. Trong hộp thoại Add Attribute được hiển thị dưới hình sau:

Hình 7: The Add Attribute dialog box

4. Chọn MS-Quarantine-Session-Timeout, chọn Add.

5. Trong hộp thoại Attribute Information, cung cập dạng của phiên kết nối quarantine trong tham biến thời gian của thông số Attribute. Sử dụng trong ví dụ này là 60 có nghĩa là nó được tính bởi giây (60 giây) chọn OK và chọn tiếp OK trong tab Advanced.

6. Chọn Add trong danh sách của Attribute chọn MS-Quarantine-IPFilter, sau đó chọn Add lần nữa bạn sẽ thấy IP Filter Attribute Information hiển thị dưới đây:

Hình 8: the IP Filter Attribute Information dialog box

7. Chọn nút Input Filters, Sẽ hiển thị hộp thoại Inbound Filters.

8. Chọn New để add filter đầu tiên. Trong hộp thoại Add IP Filter được hiển thị. Trong Protocol chọn TCP, trong Destination chọn cổng 7250 chọn OK.

9. Bây giờ bạn trở lại cửa sổ Inbound Filters screen, chọn Permit chỉ cho phép các gói tin trong danh sách dưới đây, được hiển thị trong hình dưới đây.

Hình 9: the completed Inbound Filters screen

10. Chọn New sau đó thêm vào các filters cho DHCP, DNS, và WINS, với mỗi giao thức trên bạn cần sử dụng những ports cụ thể cho mỗi ứng dụng

11. Chọn New sau đó add một input filter cho một quarantine resource, ví như một Web server, nơi bạn để các profile được cài đặt. Cụ thể địa chỉ IP của các tài nguyên đó trong Destination Network trong Add IP Filter được thể hiện dưới hình sau:

Hình 10: The Add IP Filter box, adding a quarantined Web resource

12. Để hoàn thành bạn chọn OK trong hộp thoại Inbound Filters để save danh sách filter.

13. Trong hộp thoại Edit Dial-in Profile chọn OK để lưu các thay đổi trong thiết lập profile

14. Sau khi lưu các thay đổi trong chính sách bạn chọn OK, và thực hiện tiếp theo sẽ hoàn thành các bước

Tạo ra một Rule ngoại lệ

Bên trên là thiết lập cho toàn bộ các users kết nối qua phiên quarantined cho đến khi cấu hình của họ được kiểm tra, nhưng nó có thể tiềm ẩn những lỗi logic hay những khả năng chưa lường được hết trong khi thực hiện. Bằng một cách đơn giản là bạn tạo ra những security group trong Active Directory. Một số lượng group có thể có, có thể không trong quá trình quarantining.

Sử dụng các group khác nhau bạn có thể tạo ra những chính sách khác nhau áp dụng cho những người dùng trong group đó riêng. Với mỗi group sẽ có những chính sách MS-Quarantine-IPFilter hay the MS-Quarantine-Session-Timeout riêng. Mỗi chính sách được tạp ra sẽ được áp dụng cho một group cụ thể nào đó trước khi nó thực hiện trong group everyone.

Mở rộng tính năng này với ISA Server 2004

Quarantine Control của ISA Server 2004 làm việc víơ Routing and Remote Access Service, đã được miêu tả bên trên của bài viết này. Sự khác nhau lớn nhất của chúng là thực tế thường hay làm việc với ISA Server hơn là làm việc chỉ với RRAS server, bạn có thể cần một máy client gán chúng vào trong vùng Quarantined VPN Client network trong ISA, với các chính sách trong firewall được thực hiện trước tiên, cho đến khi Connection Manager chạy trên máy client vượt qua các điều kiện trong ISA máy chủ sẽ chuyển đến các quá trình kiểm tra tiếp theo, ví như sử dụng cách thức của NAQC, ISA thực hiện quá trình cách ly bằng cách chuyển giao trên Connection Manager profile và yêu cầu cần thiết một baseline script cần phải được thiết lập cho môi trường của bạn.

Với ISA Server 2004 bạn có hai tuỳ chọn để cấu hình trong các thành phần của quarantine: bạn có thể sử dụng quy trình cách ly sử dụng RRAS, nó cần thiết trong máy Windows Server 2003. Sử dụng phương thức này các lients sẽ thực hiện xác thức bình thường với các chính sách trên máy chủ ISA khi chúng kết nối đến mạng VPN Clients network, trong máy card mạng của máy chủ ISA, chỉ khi các clients qua được quá trình kiểm tra trên máy chủ ISA nó mới được thực hiện các bước tiếp theo. Bạn cũng có thể thực hiện việc cách ly trực tiếp trên máy chủ ISA Server, và các client có thể được kết nối với mạng Quarantined VPN Clients và tất cả các chính sách được gán cho mạng này. Trong thực tế và một cách triển khai mang tính bảo mật cao cũng như đảm bảo được hiệu năng là bạn có thể sử dụng quá trình cách ly trên máy chủ ISA Server, và không cần thiết phải một máy khác cài Windows Server 2003.

ISA Server hỗ trợ tính năng mạnh mẽ trong timeout, cho phép các clients kết nối lại vào mạng Quarantined VPN Clients trong một khoảng thời gian xác định trước khi nó bị ngắt kết nối, và nó cũng hộ trợ một danh sách ngoại lệ, nó cho pép bạn nhận dạng các người dùng thông qua Active Directory hay RADIUS server.

Quá trình nghe các tín hiệu từ các máy client hỗ trợ trong ISA Server 2004 Resource Kit, bạn có thể download được tại:

http://www.microsoft.com/downloads/details.aspx?FamilyId=3396C852-717F-4B2E-AB4D-1C44356CE37A&displaylang=en

Để thực hiện tính năng cách ly (quarantining) với máy chủ ISA Server.

1. Mở ISA Server Management.

2. Chọn Virtual Private Networks (VPN).

3. Bên tay phải chọn tab Tasks, và sau đó chọn Enable VPN Client Access.

4. Bây giờ mở Configuration chọn Networks.

5. chọn Networks tab.

6. Nhất dúp chuột lên Quarantined VPN Clients để mở hộp thoại properties của nó

7. Chọn đến Quarantine tab. Được hiển thị dưới hình 11.

8. Chọn 'Enable quarantine control' checkbox để cho phép quá trình cách ly được thực hiện. Một cảnh báo sẽ hiện ra để bạn chắc chắn là đã hiểu về nó và cách thiết lập quarantined trên các máy client

9. Chọn quarantine bởi các chính sách trong RADIUS server hay các chính sách trong ISA Server policies.

10. Thiết lập thời gian time-out cho các clients trong mạng quarantined trong hộp thoại Disconnect quarantined users.

11. Thiết lập các trường hợp ngoại lệ trong hộp thoại 'Exempt these users from Quarantine Control'.

12. Chọn OK, sau đó Apply trong ISA Server Management console, để cung cấp các thiết lập đã được thay đổi

Hình 11. Quarantined VPN Clients in ISA Server 2004

Khi bạn đã hoàn thành các bước, từ máy chủ ISA Server 2004 Resource Kit bạn tìm ConfigureRQSforISA.vbs script và chạy nó. Nó sẽ tự động tạo ra một rule với ISA và nó tự động cho phép các client truy cập và vượt qua được cổng 7250 trogn mạng VPN Clients và Quarantined VPN Clients tới mạng Local Host network. Đây là chính sách cần được thiết lập để các client có thể giao tiếp với quá trình kiểm tra trong máy chủ ISA bởi cổng 7250 là cho quá trình chuyển các thông tin của máy client để thực hiện NAQC.

Bạn cũng cần phải quan tâm đến các rule cho Quarantined VPN Client dưới đây:

- Allow transmissions tới tất cả các LDAP servers (đây là máy chủ AD) trong mạng internal network.

- Allow traffic tới các domain controllers.

- Allow DNS, DHCP, and WINS đến các DNS servers, có thể ở trong vùng DMZ

- Allow traffic tới các máy chủ có các bộ nâng cấp các phần mềm như antivirus…

Kết luận

Trong bài viết này tôi đã giới thiệu với các bạn về mạng cách ly sử dụng các dịch vụ trong Windows Server 2003 và các tính năng trong Resource Kit của nó, tôi cũng giới thiệu với các bạn cách sử dụng NAQC trên máy chủ ISA Server 2004. Ý nghĩa của việc áp dụng của nó trong môi trường mạng, tôi hy vọng bài viết này sẽ có ý nghĩa với các bạn trong việc triển khai mạng VPN. Ngăn cấm các kết nối không được xác thực hay các client không đủ điều kiện bảo mật cần thiết truy cập vào tài nguyên của hệ thống.

Theo Securityfocus