• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls

Collapse
This is a sticky topic.
X
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls

    Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.1)


    Một vấn đề với hệ thống tường lửa hay router tại các điểm truy cập Internet công cộng đó là chúng luôn muốn đơn giản hóa mọi thứ. Chúng sẽ không chặn các kết nối VPN bởi vì chúng không muốn phá hủy phiên truy cập của bạn.

    Xét về khả năng bảo mật và quản trị thì việc chỉ cho phép sử dụng hai giao thức HTTP và HTTPS đang được hầu hết người dùng sử dụng là rất dễ dàng. Điều này giúp khắc phục sự cố mạng dễ dàng hơn nhiều cho các nhà cung cấp dịch vụ mạng hỗ trợ kết nối Internet tại các điểm truy cập này.

    Tất nhiên, nếu chúng ta cần sử dụng kết nối VPN và đang thực hiện kết nối tại các điểm truy cập này thì sẽ rất khó khăn khi mạng đang sử dụng cần được hỗ trợ và phương pháp duy nhất để cung cấp dịch vụ đó là một kết nối VPN cấp độ mạng.

    Windows Server 2008 tích hợp giao thức SSTP VPN. Cơ bản, SSTP, Secure Socket Tunnel Protocol, là PPP (Point-To-Point Protocol – Giao thức liên kết điểm) trên SSL (Secure Sockets Layer). SSTP cho phép người dùng kết nối tới máy chủ VPN qua cổng 443 của TCP, cũng giống như những kết nối SSL khác, và nó làm việc với những Web Proxy chưa thẩm định quyền, do đó dù điểm truy cập sử dụng một hệ thống tường lửa ISA cho truy cập ngoài thì những kết nối SSTP sẽ vẫn hoạt động bình thường.

    Trong bài viết này chúng ta sẽ cấu hình máy chủ SSTP VPN và cấu hình ISA Firewall để cho phép máy trạm SSTP VPN kết nối trở lại máy chủ SSTP VPN. ISA Firewall sẽ được cấu hình với hai Publishing Rule, gồm một Server Publishing Rule cho phép kết nối trở lại máy chủ SSTP và một Web Publishing Rule cho phép thực hiện kết nối trở lại điểm phân phối CRL (CDP).

    Trước tiên chúng ta sẽ kiểm tra hệ thống mạng mẫu cho cấu hình này:


    Hình 1: Mô hình mạng.

    Chúng ta cần chú ý hai kết nối dữ liệu. Đầu tiên, một kết nối SSTP cần phải thực hiện qua ISA Firewall sẽ kết thúc tại máy chủ SSTP SSL VPN. Kết nối thứ hai cần thực hiện hai bước truyền qua hệ thống mạng (bước đầu tiên là một kết nối HTTP thực hiện qua ISA Firewall, và bước thứ hai được thực hiện qua cổng nối SSL VPN tới CDP). Để hỗ trợ tiến trình này chúng ta cần cấu hình cổng nối SSL VPN trở thành một máy chủ NAT thực hiện đảo chiều NAT để cho phép truy cập tới CDP phía sau máy chủ VPN.

    Lưu ý, máy trạm SSTP VPN phải sử dụng phiên bản Windows Vista SP1. Phiên bản Vista RTM không hỗ trợ SSTP.

    Trong ví dụ này, ISA Firewall không phải là một thành viên của miền vì thành viên miền không cần thiết trong trường hợp này. Nếu muốn kết nạp ISA Firewall làm thành viên miền chúng ta sẽ phải cấu hình ISA Firewall sử dụng một router phía sau giao tiếp nội bộ của ISA Frirewall vì giao tiếp nội bộ miền không thực hiện với các thiết bị NAT trong kết nối này. Router này sẽ được đặt cùng với máy chủ VPN, do đó giao tiếp ngoài và giao tiếp nội bộ sẽ xuất hiện trên những ID mạng phản chiếu những giao tiếp này trên hệ thống cổng nối SSTP VPN.

    Cổng nối SSTP VPN là một thành viên miền do đó chúng ta có thể tận dụng được quá trình thẩm định quyền của Windows. Nếu không muốn cổng nối SSTP VPN là một thành viên miền, chúng ta có thể cài đặt một Network Policy Server trên mạng tập thể và cấu hình máy chủ VPN sử dụng nó để thẩm định quyền và tính toán (máy chủ Network Policy Server trong Windows Server 2008 thay thế cho máy chủ ISA trong Windows Server 2003).

    Máy tính CDP trên mạng nội bộ là một Domain Controller cho miền msfirewall.org. Những máy chủ chức năng được cài đặt trên máy tính này bao gồm Active Directory Certificate Services, DHCP Server, DNS Server, Active Directory Domain Services, và tính năng WINS Server.

    Chúng ta cần phải thực hiện các bước sau:
    • Cài đặt IIS trên máy chủ VPN.
    • Yêu cầu một chứng nhận hệ thống cho máy chủ VPN sử dụng IIS Certificate Request Wizard.
    • Cài đặt máy chủ chức năng RRAS trên máy chủ VPN.
    • Kích hoạt máy chủ RRAS rồi cấu hình nó trở thành một máy chủ NAT và VPN.
    • Cấu hình máy chủ NAT xuất bản CRL.
    • Cấu hình User Account cho phép các kết nối dial-up.
    • Cấu hình IIS trên Certificate Server cho phép các kết nối HTTP cho thư mục CRL.
    • Cấu hình ISA Firewall với một máy chủ PPTP VPN, máy chủ SSL VPN và Web Publishing Rule của CDP.
    • Cấu hình file HOSTS trên máy trạm VPN.
    • Sử dụng PPTP để kết nối tới máy chủ VPN.
    • Tạo một CA Certificate từ Enterprise CA.
    • Cấu hình ISA Firewall với một Publishing Rule của máy chủ SSL VPN và CDP.
    • Cấu hình máy trạm sử dụng SSTP và kết nối tới máy chủ VPN sử dụng SSTP.

    Cài đặt IIS trên máy chủ VPN

    Thông thường chúng ta không đưa một Web Server vào một thiết bị bảo mật mạng, nhưng nếu làm như vậy chúng ta sẽ không cần phải giữ Web Server trên máy chủ VPN vì chúng ta chỉ sử dụng nó trong một thời gian ngắn. Đó là do Web Enrolment Site được tích hợp trong Certificate Server của Windows Server 2008 không còn hữu dụng trong việc yêu cầu các giấy phép của máy tính, ít nhất không còn hữu dụng trên môi trường Windows Server 2008 và Windows Vista. Tuy nhiên chúng ta vẫn có thể sử dụng Web Enrolment Site để tạo một Computer Certificate như thể đã được cài đặt nhưng trong thực tế Computer Certificate này không được cài đặt.

    Để khắc phục vấn đề này chúng ta có thể sử dụng Enterprise CA. Với Enterprise CA chúng ta có thể gửi yêu cầu tới Certificate Server trực tuyến. Yêu cầu trực tuyến cho một Computer Certificate được cho phép khi IIS Certificate Request Wizard được sử dụng và yêu cầu một Domain Certificate. Yêu cầu này chỉ có thể thực hiện khi hệ thống (gửi yêu cầu Domain Certificate) thuộc cùng một miền với Enterprise CA.

    Để cài đặt IIS Web Server chúng ta cần thực hiện các thao tác sau:

    1. Mở Windows Management Console.

    2. Trong bảng bên trái của Console này, click vào node Roles.


    Hình 2: Cửa sổ Server Manager.

    3. Click vào liên kết Add Roles trên bảng bên phải.

    4. Trên trang Before You Begin click Next.

    5. Lựa chọn hộp chọn Web Server (IIS) trên trang Select Server Roles. Nhấn Next.


    Hình 3: Trang Select Server Roles.

    6. Kiểm tra thông tin trên trang Web Server (IIS) nếu muốn. Đây là những thông tin khái quát về việc sử dụng IIS 7 như một Web Server, nhưng vì chúng ta không sử dụng IIS Web Server trên máy chủ VPN nên chúng ta sẽ bỏ qua thông tin này. Click tiếp Next.

    7. Trên trang Select Role Services một số tùy chọn đã được lựa chọn sẵn. Tuy nhiên nếu sử dụng những tùy chọn này thì chúng ta sẽ không thể sử dụng Certificate Request Wizard vì không có Role Service nào cho Certificate Request Wizard, do đó chúng ta sẽ lựa chọn mọi tùy chọn trong Security. Sau đó nhấn tiếp Next.


    Hình 4: Lựa chọn các hộp chọn trong Security trên trang Select Server Roles.

    8. Kiểm tra lại thông tin trên trang Confirm Installation Selections rồi nhấn Install.

    9. Click Close trên trang Installation Results.

    Hình 5: Hoàn thành cài đặt IIS Web Server.
    Tạo một Machine Certificate cho máy chủ VPN bằng IIS Certificate Request Wizard

    Trong bước tiếp theo chúng ta sẽ yêu cầu một Machine Certificate cho máy chủ VPN. Máy chủ VPN cần một Machine Certificate để tạo kết nối SSL VPN với máy trạm SSL VPN. Thông thường tên trên Certificate phải phù hợp với tên mà máy trạm VPN sử dụng để kết nối tới SSL VPN Gateway. Điều đó có nghĩa là chúng ta sẽ phải tạo một mục DNS công cộng cho tên của Certificate này để xử lý địa chỉ IP ngoài trên máy chủ VPN, hay địa chỉ Ip của một thiết bị NAT phía trước máy chủ VPN sẽ chuyển tiếp kết nối này tới máy chủ SSL VPN.

    Thực hiện các bước sau để yêu cầu và cài đặt Computer Certificate trên máy chủ SSL VPN:

    1. Trong Server Manager, mở rộng node Roles trong bảng bên trái, sau đó mở rộng node Web Server (IIS). Click vào Internet Information Services (IIS) Manager.


    Hình 6: Truy cập vào IIS Manager.

    2. Trong IIS Manager Console xuất hiện trong bảng bên phải, click vào tên của máy chủ này. Trong ví dụ này tên của máy chủ là W2008RC0-VPNGW. Tiếp theo click vào biểu tượng Server Certificate trong bảng bên phải của IIS Manager Console.


    Hình 7: Truy cập vào máy chủ mẫu W2008RC0-VPNGW.

    3. Tại mục Action click vào liên kết Create Domain Certificate.


    Hình 8: Trang Server Certificates.

    4. Nhập thông tin vào trang Distinguished Name Properties. Chú ý mục Common Name, tại đây nhập tên mà máy trạm VPN sử dụng để kết nối tới máy chủ VPN. Chúng ta sẽ cần một mục DNS công cộng cho tên này để nó được xử lý cho giao tiếp ngoài của máy chủ VPN hoặc địa chỉ công cộng của thiết bị NAT phía trước máy chủ VPN. Trong ví dụ này chúng ta sẽ nhập sstp.msfirewall.org vào Common Name. Sau đó chúng ta sẽ tạo những mục của file HOSTS trên máy trạm VPN để nó có thể xử lý tên này. Thực hiện xong nhấn Next.


    Hình 9: Trang Distinguished Name Properites.

    5. Trên trang Online Certification Authority, nhấn nút Select. Trong hộp thoại Select Certification Authority, click vào tên của Enterprise CA rồi click OK. Nhập tên cho cho Certificate trong hộp Friendly name. Trong ví dụ này chúng ta sẽ nhập tên cho Certificate này là SSTP Cert.


    Hình 10: Lựa chọn Certificate Authority.

    6. Click Finish trên trang Online Certification Authority.


    Hình 11: Trang Online Certification Authority.

    7. Tiếp theo Wizard này sẽ chạy và tự đóng lại. Khi đó chúng ta sẽ thấy Certificate này xuất hiện trong IIS Manager Console. Click đúp vào Certificate này sẽ thấy Common name trong vùng Issued to, và chúng ta sẽ có một Private Key phù hợp với Certificate này. Click OK để đóng hộp thoại Certificate.


    Hình 12: Trang thuộc tính Certificate.

    Khi đã có một Certificate chúng ta có thể cài đặt RRAS Server Role. Lưu ý rằng trước khi cài đặt RRAS Server Role, chúng ta sẽ phải cài đặt Certificate. Nếu không làm như vậy thì sau khi cài đặt chúng ta sẽ phải sử dụng một lệnh rất phức tạp để kết nối Certificate này tới SSL VPN Listener.

    (Còn nữa)

    Xian (Theo ISAServer)
    Last edited by ShamanKing; 14-12-2009, 11:30 PM.
    Hồ Vũ

    Số điện thoại : 0989178909
    Email :
    hovu@wifipro.org
    Thành viên nhóm R&D Group VNPRO



  • #2
    Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (Phần 1 - tiếp theo)

    Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006
    Firewalls (P1 - tt)



    Cài đặt RRAS Server Role trên máy chủ VPN

    Để cài đặt RRAS Server Role thực hiện các bước sau:

    1. Trong Server Manager, click node Role ở bảng bên trái.

    2. Trong vùng Roles Summary, click vào liên kết Add Roles.

    3. Trên trang Before You Begin, click Next.

    4. Trên trang Select Server Roles, lựa chọn hộp chọn Network Policy and Access Services rồi nhấn Next.


    Hình 13: Lựa chọn hộp chọn Network Policy an Access Services trên trang Select Server Roles.

    5. Kiểm tra thông tin trên trang Network Policy and Access Services. Hầu hết thông tin này nói về Network Policy Server mới (thường được gọi là Internet Authentication Server, là một máy chủ RADIUS) và NAP đều không được sử dụng trong trường hợp của chúng ta, rồi nhấn Next.

    6. Trên trang Select Role Services, lựa chọn hộp chọn Routing and Remote Access Services, khi đó hai hộp thoại con Remote Access ServiceRouting sẽ được lựa chọn. Tiếp theo nhấn Next.


    Hình 14: Lựa chọn hộp chọn Routing and Remote Access Services trên trang
    Select Role Services.

    7. Click Install trên trang Confirm Installation Selections.

    8. Trên trang Installation nhấn Close.

    Kích hoạt và cấu hình RRAS Server trở thành máy chủ NAT và VPN

    Giờ đây máy chủ chức năng RRAS đã được cài đặt, tiếp theo chúng ta cần kích hoạt dịch vụ RRAS và kích hoạt tính năng của máy chủ VPN. Có lẽ bạn đang đặt ra câu hỏi tại sao phải kích hoạt máy chủ NAT? Chúng ta cần phải kích hoạt máy chủ NAT để những máy trạm ngoài có thể truy cập vào Certificate Server để kết nối tới CRL. Nếu máy trạm SSL VPN không thể tải CRL thì kết nối SSTP VPN sẽ thất bại.

    Để cho phép máy trạm truy cập vào CRL chúng ta sẽ phải cấu hình máy chủ VPN như một máy chủ NAT rồi xuất bản CRL sử dụng máy chủ NAT chuyển đổi này. Máy trạm SSL VPN trước tiên sẽ kết nối tới ISA Firewall (được cấu hình với một Web Publishing Rule cho phép thực hiện kết nối URL cần thiết để truy cập CRL). Web Publishing Rule này cũng được cấu hình để chuyển tiếp yêu cầu tới giao tiếp ngoài của máy chủ NAT. Máy chủ NAT trên máy chủ VPN sẽ được cấu hình để chuyển tiếp yêu cầu HTTP tới Certificate Server chứa CRL này.

    Để kích hoạt dịch vụ RRAS chúng ta cần thực hiện các thao tác sau:

    1. Trong Server Manager, mở rộng node Role trong bảng bên trái. Sau đó mở rộng node Network Policy and Access Services rồi click vào node Routing and Remote Access. Tiếp theo phải chuột lên node Routing and Remote Access chọn Configure and Enable Routing and Remote Access.


    Hình 15: Cấu hình và kích hoạt Routing và Remote Access.

    2. Trên trang Welcome của Routing and Remote Access Server Setup Wizard, nhấn Next.

    3. Trên trang Configuration lựa chọn tùy chọn Virtual private network (VPN) access and NAT rồi nhấn Next.


    Hình 16: Lựa chọn tùy chọn Virtual private network (VPN) access and NAT
    trên trang Configuration

    4. Trên trang VPN Connection, lựa chọn NIC trong vùng Network interfaces hiển thị giao tiếp ngoài của máy chủ VPN. Nhấn tiếp Next.

    5. Trên trang IP Address Assignment, lựa chọn tùy chọn Automatically. Chúng ta có thể lựa chọn tùy chọn này vì máy chủ DHCP đã được cài đặt trên Domain Controller phía sau máy chủ VPN. Nếu không có máy chủ DHCP bạn sẽ phải lựa chọn tùy chọn From a specified range of addresses (từ một vùng địa chỉ được chỉ định) sau đó nhập danh sách địa chỉ mà máy trạm VPN có thể sử dụng khi kết nối mạng thông qua VPN Gateway. Thực hiện xong nhấn Next.


    Hình 17: Trang chỉ định địa chỉ IP.

    6. Trên trang Managing Multiple Remote Access Servers, lựa chọn tùy chọn No, use Routing and Remote Access to authenticate connection requests. Đây là tùy chọn mà chúng ta sử dụng khi không có máy chủ NPS hay RADIUS. Vì máy chủ VPN là một thành viên miền nên chúng ta có thể dùng những tài khoản miền để xác thực người dùng. Nếu máy chủ VPN không phải là một thành viên miền thì chỉ có sử dụng những tài khoản cục bộ trên máy chủ VPN nếu chúng ta không sử dụng máy chủ NPS. Sau đó nhấn Next.


    Hình 18: Quản lý nhiều mày chủ Remote Access Server.

    7. Kiểm tra lại thông tin cấu hình trên trang Completing the Routing and Remote Access Server Setup Wizard rồi nhấn Finish.

    8. Nhấn OK trên hộp thoại Routing and Remote Access thông báo cho biết quá trình chuyển tiếp mail trên DHCP cần có một tác nhân chuyển tiếp DHCP.

    9. Trong bảng bên trái, mở rộng node Routing and Remote Access rồi click vào node Ports. Khi đó bạn sẽ thấy các kết nối WAN Miniport cho SSTP đã xuất hiện.


    Hình 19: Danh sách kết nối WAN Miniport cho SSTP.


    Cấu hình máy chủ NAT xuất bản CRL

    Như đã nhắc đến ở trên, máy trạm SSL VPN cần tải CRL để xác nhận rằng Certificate Server trên máy chủ VPN không bị hủy bỏ. Để thực hiện điều này, chúng ta cần cấu hình một thiết bị phía trước Certificate Server để chuyển tiếp các yêu cầu HTTP cho địa chỉ CRL tới Certificate Server.

    Để biết URL nào mà máy trạm SSL VPN cần kết nối để tải CRL bạn hãy vào máy chủ VPN rồi click đúp lên Certificate trong IIS Console. Chọn tab Details của Certificate này rồi tìm đến mục CRL Distribution Points sau đó click vào mục này. Trong bảng phía dưới bạn sẽ thấy nhiều điểm phân phối khác nhau dựa trên giao thức sử dụng để truy cập vào các điểm này. Trong Certificate minh họa dưới đây chúng ta cần cho phép máy trạm SSL VPN truy cập vào CRL thông qua URL: http://win2008rc0-dc.msfirewall.org/...rewall.org.crl.


    Hình 20: URL mẫu mà máy trạm SSL VPN sử dụng để truy cập CRL.

    Do đó chúng ta cần tạo một mục Public DNS cho tên này để các máy trạm VPN ngoài có thể xử lý tên này cho một địa chỉ IP trên giao tiếp ngoài của ISA Firewall. Trong ví dụ này chúng ta sẽ phải xử lý win2008rc0-dc.msfirewall.org cho địa chỉ IP trên giao tiếp ngoài của ISA Firewall. Khi thực hiện kết nối tới giao tiếp ngoài của ISA Firewall thì ISA Firewall sẽ chuyển tiếp kết nối này tới máy chủ NAT trên máy chủ VPN mà sau đó sẽ thực hiện chuyển đổi NAT và gửi kết nối này tới CA lưu trữ CDP.

    Lưu ý rằng tên trang CRL mặc định có thể không bảo mật vì nó để lộ tên máy tính cá nhân trên Internet. Chúng ta có thể tạo một CDP riêng (CRL Distribution Point) để ngăn chặn điều này nếu coi việc để lộ tên máy tính cá nhân của CA trong Public DNS là một vấn đề bảo mật.

    Thực hiện các thao tác sau để cấu hình RRAS NAT chuyển tiếp các yêu cầu HTTP tới Certificate Server:

    1. Trong bảng bên trái của Server Manager, mở rộng node Routing and Remote Access rồi mở rộng node IPv4, click vào node NAT.

    2. Trong node NAT, phải chuột lên giao tiếp ngoài (Trong ví dụ này tên của giao tiếp ngoài là Local Area Connection) rồi chọn Properties.


    Hình 21: Mở cửa sổ thuộc tính của giao tiếp ngoài.

    3. Trong hộp thoại Local Area Connection Properties, lựa chọn hộp chọn Web Server (HTTP). Sau đó hộp thoại Edit Service sẽ xuất hiện. Trong hộp Private Address, nhập địa chỉ IP của Certificate Server trên mạng nội bộ. Thực hiện xong nhấn OK.


    Hình 22: Nhập địa chỉ IP của Certificate Server trên mạng nội bộ cho Provate Address.

    4. Click OK trên hộp thoại Local Area Connection Properties.

    Đến đây máy chủ NAT đã được cấu hình và cài đặt, trong phần sau chúng ta sẽ cấu hình máy chủ CA, ISA Firewall và máy trạm SSTP VPN.

    Kết luận

    Trong phần này chúng ta đã tìm hiểu qua một số nhược điểm của truy cập VPN từ xa tai jcacs điểm công cộng và phương pháp giao thức SSTP giúp khắc phục những vấn đề này bằng cách cho phép các kết nối VPN thực hiện qua một kết nối SSL qua TCP cổng 443 được cho phép qua mọi tường lửa trong những môi trường này. Sau đó chúng ta đã cài đặt dịch vụ Certificate trên máy chủ VPN để tạo một Computer Certificate. Sau khi cài đặt Certificate này trên máy chủ SSL VPN chúng ta đã cài đặt dịch vụ NAT và RRAS VPN trên VPN Gateway. Và chúng ta đã hoàn thành cấu hình máy chủ NAT trên VPN Gateway để chuyển tiếp các kết nối HTTP đến được chuyển tiếp bởi ISA Firewall để thực hiện trên CA lưu trữ CDP. Trong phần tiếp theo chúng ta sẽ cấu hình máy chủ CA, ISA Firewall và máy trạm SSTP VPN.

    Xian (Theo ISAServer)
    Last edited by ShamanKing; 14-12-2009, 05:14 PM.
    Hồ Vũ

    Số điện thoại : 0989178909
    Email :
    hovu@wifipro.org
    Thành viên nhóm R&D Group VNPRO


    Comment


    • #3
      Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (Phần 2)

      Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2)


      Trong phần đầu của loạt bài viết này chúng ta đã xem xét một số nhược điểm của truy cập VPN từ xa tại các điểm truy cập công cộng, và phương pháp sử dụng giao thức SSTP để khắc phục những vấn đề này bằng cách cho phép các kết nối VPN thực hiện qua một kết SSL cổng 443 của TCP được mọi hệ thống tường lửa cho phép trong những môi trường này.

      Sau đó chúng ta đã cài đặt các Certificate Service (dịch vụ cấp phép) trên máy chủ SSL VPN. Sau khi cài đặt giấy phép trên máy chủ VPN chúng ta cũng đã cài đặt các dịch vụ RRAS VPN và NAT trên VPN Gateway. Ngoài ra, chúng ta đã hoàn thành cấu hình máy chủ NAT trên VPN Gateway để chuyển tiếp các kết nối HTTP đến được ISA Firewall chuyển tiếp để thực hiện trên CA lưu trữ CDP.

      Trong phần này, chúng ta sẽ thực hiện cấu hình cho một tài khoản người dùng cho phép truy cập dialup, rồi cấu hình CDP này để cho phép các kết nối HTTP ẩn danh. Sau đó chúng ta sẽ hoàn thành tiến trình này bằng cách cấu hình cho ISA Firewall cho phép các kết nối cần thiết tới máy chủ VPN và CDP Website.

      Cấu hình tài khoản người dùng cho phép kết nối dial-up

      Những tài khoản người dùng cần được cấp phép để truy cập dial-up trước khi chúng có thể kết nối tới một máy chủ VPN của Windows là thành viên của một miền Active Directory. Phương pháp tốt nhất mà chúng ta có thể áp dụng là sử dụng một Network Policy Server (NPS) và sử dụng giấy phép tài khoản người dùng mặc định được sử dụng để cho phép truy cập từ xa dựa trên NPS Policy. Tuy nhiên, chúng ta vẫn chưa cài đặt một NPS trong tình huống này do đó chúng ta sẽ phải cấu hình thủ công giấy phép dial-in cho người dùng này.

      Chúng ta cần thực hiện các bước sau đây để kích hoạt giấy phép dial-in trên tài khoản người dùng mà chúng ta muốn kết nối tới máy chủ SSL VPN. Trong ví dụ này chúng ta sẽ kích hoạt truy cập dial-in cho tài khoản quản trị miền mặc định:

      1. Tại Domain Controller, mở Active Directory User and Computers Console từ menu Administrative Tools.

      2. Trong bảng bên trái của Console này, mở rộng tên miền và click vào node User. Sau đó click đúp vào tài khoản Administrator.

      3. Click vào tab Dial-in. Cài đặt mặc định trong tab này là Control access through NPS Network Policy. Vì chúng ta không có một máy chủ NPS nào trong tình huống này nên chúng ta sẽ thay đổi cài đặt này thành Allow Access như trong hình 1, sau đó nhấn OK.

      Hình 1: Hộp thoại thuộc tính của tìa khoản Administrator.

      Cấu hình IIS trên Certificate Server cho phép kết nối HTTP cho thư mục CRL

      Vì một số lí do, khi wizard cài đặt thực hiện cài đặt Certificate Services Website thì nó sẽ cấu hình cho thư mục CRL sử dụng một kết nối SSL. Xét về bảo mật thì đây là một ý tưởng khá hay, tuy nhiên vấn đề ở chỗ URI trên giấy phép này vẫn chưa được cấu hình sử dụng SSL. Vì chúng ta đang sử dụng các cài đặt mặc định cho CDP trong bài viết này nên chúng ta sẽ phải tắt yêu cầu SSL trên CA Website cho đường dẫn thư mục CRL.

      Thực hiện các bước sau để hủy bổ yêu cầu SSL cho thư mục CRL:

      1. Trong menu Administrative Tools, mở Internet Information Services (IIS) Manager.

      2. Trong bảng bên trái của IIS Console, mở rộng tên máy chủ rồi mở rộng node Sites. Mở rộng tiếp node Default Website rồi click vào node CertEnroll như trong hình 2.


      Hình 2: Truy cập vào node CertEnroll trong IIS Manager.

      3. Nếu kiểm tra trong bảng giữa của console này chúng ta sẽ thấy rằng CRL được đặt trong thư mục ảo này như trong hình 3. Để kiểm tra nội dung của thư mục ảo này chúng ta chỉ cần click vào nút Content View ở phía cuối của bảng giữa.


      Hình 3: CRL trong CertEnroll.

      4. Click vào nút Features View ở phía cuối bảng giữa, sau đó click đúp vào biểu tượng SSL Settings.


      Hình 4: Nội dung của thư mục ảo CertEnroll.

      5. Khi đó trang SSL Settings sẽ xuất hiện. Hủy chọn hộp chọn Require SSL rồi click vào liên kết Apply trong bảng phải của Console này.


      Hình 5: Trang cài đặt SSL Settings.

      6. Đóng IIS Manager Console sau khi thấy thông báo The changes have been successfully saved (những thay đổi đã được lưu thành công).


      Hình 6: Thông báo cho biết quá trình cài đặt thành công.

      Cấu hình ISA Firewall với một máy chủ PPTP VPN, SSL VPN và Web Publishing Rules của CDP

      Sau đây chúng ta sẽ tiến hành cấu hình ISA Firewall. Chúng ta cần tạo ba Publishing Rules để hỗ trợ cho tiến trình này, gồm:
      • Một Web Publishing Rule cho phép truy cấp SSL VPN tới CRL Distribution Point (CDP).
      • Một Server Publishing Rule cho phép các kết nối SSL nội bộ tới máy chủ SSTP mà cho phép kết nối SSTP được thiết lập với máy chủ VPN này.
      • Một Server Publishing Rule cho phép PPTP truy cập tới máy chủ VPN, do đó máy trạm VPN có thể truy cập vào giấy phép CA từ Enrollment Website trên mạng phía sau máy chủ VPN.

      Sau khi đã tạo các giấy phép cần thiết cho máy trạm chúng ta có thể hủy bỏ PPTP Rule. Hay chúng ta có thể để PPTP Rule hay sử dụng L2TP/IPSec thay vì PPTP cho một kết nối bảo mật hơn. Lí do chúng ta có thể để một giao thức VPN khác được kích hoạt đó là chỉ những máy trạm Windows Vista SP1 hỗ trợ cho SSTP.

      Trước khi bắt đầu tiến trình này, có thể bạn sẽ tự hỏi tại sao chúng ta lại sử dụng một Server Publishing Rule cho kết nối SSTP. Nói chung, nếu chúng ta sử dụng một Web Publishing Rule thay cho Server Publishing Rule thì chúng ta có thể kiểm soát truy cập tới máy chủ SSTP dựa trên đường dẫn và Public Name. Thậm chí chúng ta có thể thắt chặt rule này bằng cách cấu hình bộ lọc HTTP Security Filter.

      Chúng ta sẽ cấu hình Web Publishing Rule cho CDP:

      1. Trong ISA Firewall Console, click vòa node Firewall Policy rồi chọn tab Tasks trong Task Pane, sau đó click vào liên kết Publish Websites.

      2. Trên trang Welcome to the New Web Publishing Rule Wizard, nhập tên cho Rule này trong hộp Web Publishing Rule name. Trong ví dụ này chúng ta sẽ đặt tên cho Rule này là CDP Site. Sau đó nhấn Next.

      3. Trên trang Select Rule Action, lựa chọn tùy chọn Allow rồi nhấn Next.


      Hình 7: Lựa chọn hành động cho Rule trên trang Select Rule Action.

      4. Trên trang Publishing Type, lựa chọn tùy chọn Publish a single Web site or load balancer rồi nhấn Next.


      Hình 8: Trang Publishing Type của New Web Publishing Rule Wizard.

      5. Trên trang Server Connection Security, lựa chọn tùy chọn Use non-secured connection to connect the published Web server or server farm. Chúng ta lựa chọn tùy chọn này vì máy trạm SSTP VPN không sử dụng SSL để kết nối tới CDP. Sau đó nhấn tiếp Next.


      Hình 9: Trang Server Connection Security của New Web Publishing Rule Wizard.


      6. Trên trang Internal Publishing Details, nhập tên cho CDP Website vào hộp Internal site name. Vì đang sử dụng HTTP nên chúng ta có thể nhập bất cứ tên gì cho CDP Website này. Nếu có một SSL Publishing Rule, chúng ta sẽ phải nhập tên này trên Website Certificate của trang này. Lựa chọn hộp chọn Use a computer name or IP address to connect to the published server (sử dụng một tên máy tính hay địa chỉ IP để kết nối tới máy chủ đã được tạo) rồi nhập địa chỉ IP giao tiếp ngoài của máy chủ VPN. Trong trường hợp nàym địa chỉ IP trên giao tiếp ngoài của máy chủ VPN là 10.10.10.2. Địa chỉ này sẽ cho phép máy chủ NAT trên máy chủ VPN chuyển tiếp kết nối HTTP tới CDP Website. Thực hiện xong nhấn Next.


      Hình 10: Trang Internal Publishing Details của New Web Puiblishing Rule Wizard.

      7. Khi máy trạm SSTP VPN gọi CRL nó sẽ sử dụng địa chỉ trên giấy phép này. Trong phần đầu của loạt bài viết này, URL trên giấy phép này cho CRL là http://win2008rc0-dc.msfirewall.org/...rewall.org.crl. Để bảo mật cho Web Publishing Rule, chúng ta có thể giới hạn số lượng đường dẫn mà những máy trạm ngoài có thể tiếp cận qua Web Publishing Rule này. Vì chúng ta chỉ muốn trao quyền truy cập tới CRL, chúng ta sẽ nhập đường dẫn /CertEnroll/WIN2008RC0-DC.msfirewall.org.crl để ngăn chặn những người dùng ngoài vào những đường dẫn khác trên Certificate Server. Chúng ta không cần phải chuyển tiếp Host Header vì không có Host Header nào được sử dụng trên Website của Certificate Server. Sau đó nhấn Next.


      Hình 11: Trang Internal Publishing Detail của New Web Puiblishing Rule Wizard.

      8. Chúng ta có thể cố định Rule này bằng cách chỉ cho những máy trạm nhập chính xác tên máy chủ mới có thể truy cập qua Web Publishing Rule. Tên máy chủ được liệt kê trong vùng CDP của giấy phép này, trong trường hợp này là win2008rc0-dc.msfirewall.org. Trên trang Public Name Details lựa chọn tùy chọn This domain name (type below) từ danh sách thả xuống của trường Accept requests for. Trong hộp Public name, nhập win2008rc0-dc.msfirewall.org. Chúng ta không cần phải hiệu chỉnh đường dẫn này vì chúng ta đã cấu hình nó trên trang trước của wizard này. Thực hiện xong nhấn Next.


      Hình 12: Trang Public Name Details của New Web Publishing Wizard.

      9. Click vào nút New trên trang Select Web Listener.

      10. Trên trang Welcome to the New Web Listener Wizard, nhập tên cho Web Listener vào hộp Web listener name. Trong ví dụ này chúng ta sẽ nhập tên là Web Listener HTTP. Sau đó nhấn Next.

      11. Trên trang Client Connection Security, lựa chọn tùy chọn Do not require SSL secured connections with clients. Chúng ta lựa chọn tùy chọn này là do máy trạm SSTP không sử dụng SSL để truy cập vào CDP. Sau đó nhấn tiếp Next.


      Hình 13: Trang Client Connection Security của New Web Listener Definition Wizard.

      (Còn nữa)

      Xian (Theo ISAServer)
      Last edited by ShamanKing; 14-12-2009, 11:31 PM.
      Hồ Vũ

      Số điện thoại : 0989178909
      Email :
      hovu@wifipro.org
      Thành viên nhóm R&D Group VNPRO


      Comment


      • #4
        Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (Phần 2 - tiếp theo)

        Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2 - tt)


        12. Trên Listener IP Address Website, lựa chọn hộp chọn Extermal. Chúng ta không cần lựa chọn các địa chỉ IP vì trong ví dụ này chúng ta chỉ có duy nhất một địa chỉ IP trên giao tiếp ngoài của ISA Firewall. Nếu giữ nguyên các hộp chọn trong ISA Server thì dữ liệu được gửi tới máy trạm qua Web Listener này sẽ được nén khi máy trạm đang yêu cầu dữ liệu này lựa chọn tùy chọn nén. Sau đó nhấn Next.

        Hình 14: Lựa chọn hộp chọn External trên Listener IP Address Website
        của New Web Listener Definition Wizard.

        13. Trên trang Authentication Settings, lựa chọn tùy chọn No Authentication trong danh sách thả xuống Select how clients will provide credentials to the ISA Server (lựa chọn phương pháp máy trạm gửi giấy phép tới ISA Server). Máy trạm SSTP này không thể xác thực khi đang truy cập vào CDP, do đó chúng ta không được kích hoạt thẩm định quyền trên Listener này. Tuy nhiên chúng ta có thể kích hoạt nếu cần sử dụng Listener này cho các Web Publishing Rule khác, nhưng phải bảo đảm cho phép tất cả người dùng truy cập trong những trường hợp không thẩm định quyền. Sau đó nhấn tiếp Next.


        Hình 15: Trang Authentication Settings của New Web Listener Definition Wizard.

        14. Click Next trên trang Single Sign On Settings.

        15. Click Finish trên trang Completing the New Web Listener Wizard.

        16. Click Next trên trang Select Web Listener.


        Hình 16: Trang Select Web Listener của New Web Publishing Rule Wizard.

        17. Trên trang Authentication Delegation, lựa chọn tùy chọn No delegation, and client cannot authenticate directly trong danh sách thả xuống. Vì không có quá trình thẩm định quyền được thực hiện trên kết nối này nên chúng ta không cần cho phép thẩm định quyền. Sau đó nhấn Next.


        Hình 17: Trang Authentication của New Web Publishing Rule Wizard.

        18. Trên trang User Sets, giữ nguyên cài đặt mặc định. Nhấn Next.

        19. Click Finish trên trang Completing the New Web Publishing Rule Wizard.

        Tiếp theo chúng ta sẽ tạo Server Publishing Rule cho máy chủ PPTP:

        1. Trong ISA Firewall Console, click vào node Firewall Policy. Chọn tab Tasks trong Task Pane rồi click vào Publish Non-Web Server Protocols.

        2. Trên trang Welcome to the New Server Publishing Rule Wizard, nhập tên cho Rule này trong hộp Server Publishing Rule name. Trong ví dụ này chúng ta sẽ nhập tên PPTP VPN. Sau đó nhấn Next.

        3. Trên trang Select Server, nhập địa chỉ IP trên mạng ngoài của máy chủ VPN này. Trong ví dụ này giao tiếp ngoài của máy chủ VPN là 10.10.10.2, do đó chúng ta sẽ nhập địa chỉ này vào trong hộp Server IP address rồi nhấn Next.


        Hình 18: Nhập địa chỉ IP cho máy chủ trên trang Select Server.

        4. Trên trang Select Protocol, lựa chọn tùy chọn PPTP Server trong danh sách Selected protocol. Sau đó nhấn Next.


        Hình 19: Lựa chọn giao thức trên trang Select Protocol.

        5. Trên trang Network Listener IP Addresses, lựa chọn hộp chọn External rồi nhấn Next.


        Hình 20: Lựa chọn hộp chọn External trên trang Network Listener IP Addresses.

        6. Click Finish trên trang Completing the New Server Publishing Rule Wizard.

        Sau đây chúng ta sẽ hoàn thành cấu hình Publishing Rule bằng cách tạo một Server Publishing Rule cho giao thức SSTP mà thực chất là một HTTPS Server Publishing Rule:

        1. Trong ISA Firewall Console, click node Firewall Policy trong bảng bên trái, chọn tab Tasks trong Task Pane rồi click tiếp vào Publish Non-Web Server.

        2. Trên trang Welcome to the New Server Publishing Rule Wizard, nhập tên cho Server Publishing Rule trong hộp Server Publishing Rule name. Trong ví dụ này chúng ta sẽ sử dụng tên SSTP Server. Sau đó nhấn Next.

        3. Trên trang Select Server, nhập địa chỉ IP trên giao tiếp ngoài của máy chủ VPN trong hộp Server IP address. Trong ví dụ này chúng ta nhập địa chỉ 10.10.10.2. Sau đó nhấn Next.

        4. Trên trang Select Protocol, lựa chọn tùy chọn HTTPS Server từ danh sách Selected Protocol. Sau đó nhấn Next.

        Hình 21: Trang Selected Protocol của New Server Publishing Rule Wizard.

        5. Trên trang Network Listener IP Address, lựa chọn họp chọn External rồi nhấn Next.

        6. Click Finish trên trang Completing the New Server Publishing Rule Wizard.

        7. Click Apply để lưu những thay đổi và cập nhật Firewall Policy. Click OK trong hộp thoại Saving Configuration Changes.

        Kết luận

        Trong phần này chúng ta đã thực hiện cấu hình các giấy phép dial-in cho một tài khoản người dùng. Sau đó chúng ta đã di chuyển sang CDP Web Server để kết nối HTTP ẩn danh có thể kết nối qua đó. Và chúng ta tạo hai Server Publishing Rule và một Web Publishing Rule trong ISA Firewall để cho phép các kết nối tới máy chủ VPN và CRL Distribution Point. Trong phần tiếp theo cũng là phần cuối của loạt bài viết này chúng ta sẽ cấu hình máy tạm VPN kết nối tới máy chủ SSL VPN và xác nhận lại những kết nối đó bằng cách kiểm tra thông tin ngay trên máy trạm này, máy chủ VPN và tại ISA Firewall.

        Xian (Theo ISAServer)
        Last edited by ShamanKing; 14-12-2009, 05:35 PM.
        Hồ Vũ

        Số điện thoại : 0989178909
        Email :
        hovu@wifipro.org
        Thành viên nhóm R&D Group VNPRO


        Comment


        • #5
          Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (Phần 3)

          Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.3)


          Trong hai phần trước chúng ta đã tìm hiểu một số hạn chế của việc truy cập VPN từ các mạng công cộng, sau đó đã thực hiện cấu hình CDP Website và ISA Firewall. Ngoài ra chúng ta cũng đã kích hoạt tài khoản người dùng cho truy cập Dial-in.

          Trong phần ba và cũng là phần cuối của loạt bài viết này, chúng ta sẽ cấu hình cho máy trạm SSL VPN kết nối tới máy chủ SSTP SSL VPN, sau đó thẩm định lại kết nối này. Đồng thời chúng ta sẽ kiểm tra một số thông tin xác nhận trên máy trạm SSL VPN, ISA Firewall và tại máy chủ RRAS để xác nhận rằng kết nối SSTP đã thành công.

          Cấu hình file HOSTS trên máy trạm VPN

          Tiếp theo chúng ta sẽ thực hiện các thao tác còn lại trên máy trạm. Thao tác đầu tiên cần thực hiện là cấu hình file HOSTS để chúng ta có thể mô phỏng một cấu trúc DNS công cộng. Có hai tên mà chúng ta cần đưa vào file HOSTS. Tên thứ nhất là tên của máy chủ VPN (được định nghĩa bởi Subject Name trên giấy phép mà chúng ta kết nối tới máy chủ SSL VPN), tên còn lại là CDP URL (cũng xuất hiện trong giấy phép này). Thông tin về CDP đã được nhắc tới trong phần một.

          Cần nhớ rằng những tên này sẽ gắn liền với các địa chỉ IP trên giao tiếp ngoài của ISA Firewall đang tiếp nhận các kết nối đến theo như những cài đặt trong Publishing RuleListener.

          Hai tên mà chúng ta cần nhập vào file HOSTS trong ví dụ này là:
          192.168.1.72 sstp.msfirewall.org
          192.168.1.72 win2008rc0-dc.msfirewall.org
          Thực hiện các bướcc sau trên máy trạm VPN Vista SP1 để cấu hình file HOSTS:

          1. Click vào menu Start, nhập c:\windows\system32\drivers\etc\hosts vào hộp tìm kiếm rồi nhấn Enter.

          2. Trong hộp thoại Open With, lựa chọn Notepad.

          3. Nhập các mục vào file HOSTS theo định dạnh như trong hình 1.


          Hình 1: Nội dung file HOSTS trong Notepad.

          4. Sau đó lưu và đóng file này.

          Sử dụng PPTP để kết nối tới máy chủ VPN


          Bước tiếp theo chúng ta sẽ tạo một connectoid (kết nối dial-up) VPN trên máy trạm Vista SP1 để cho phép thiết lập một kết nối VPN ban đầu tới máy chủ VPN. Vì máy trạm này không phải là một thành viên miền nên giấy phép CA sẽ không được tự động cài đặt trên vùng lưu trữ giấy phép Trusted Root Certificate Authorities. Nếu máy trạm này là một thành viên miền thì tính năng tự động cài đặt giấy phép sẽ đẩm trách tiến trình này vì chúng ta đã cài đặt một Enterprise CA.

          Phương pháp đơn giản nhất để thực hiện điều này là tạo một kết nối PPTP từ máy trạm VPN Vista SP1 tới máy chủ VPN Windows Server 2008. Mặc định, máy chủ VPN sẽ hỗ trợ các kết nối PPTP và máy trạm sẽ ưu tiên kết nối PPTP hơn so với L2TP/IPSec và SSTP. Trước tiên chúng ta cần tạo một VPN connectoid hay đối tượng kết nối. Thực hiện các thao tác sau trên máy trạm VPN:

          1. Trên máy trạm VPN, phải chuột lên biểu tượng mạng rồi chọn Network and Sharing Center.

          2. Trong cửa sổ Network Sharing Center, click vào liên kết Set up a connection or network trong bảng bên trái.

          3. Trên trang Choose a connection option, chọn mục Connect to a workplace rồi nhấn Next.


          Hình 2: Lựa chọn tùy chọn kết nối cho máy trạm.


          4. Trên trang How do you want to connect, lựa chọn mục Use my Internet connection (VPN).


          Hình 3: Lựa chọn phương thức kết nối.

          5. Trên trang Type the Internet address to connect to, nhập tên của máy chủ SSL VPN. Đảm bảo rằng tên này giống với Common Name trên giấy phép được máy chủ SSL VPN sử dụng. Trong ví dụ này, tên cần nhập là sstp.msfirewall.org. Sau đó nhập tiếp một Destination Name. Trong ví dụ này chúng ta sẽ nhập SSL VPN rồi nhấn Next.


          Hình 4: Nhập địa chỉ mạng và máy chủ đích cho kết nối.

          6. Trên trang Type your user name and password, nhập User Name, PasswordDomain rồi nhấn Connect.


          Hình 5: Đăng ký tên người dùng và mật khẩu.

          7. Trên trang You are connected nhấn Close.

          Hình 6: Kết nối thành công.

          8. Lựa chọn tùy chọn Work trên trang Select a location for the “SSL VPN” network.


          Hình 7: Lựa chọn vị trí cho mạng SSL VPN.

          9. Click Continue trên thông báo của UAC.

          10. Click Close trên trang Successfully set network settings.


          Hình 8: Cài đặt mạng thành công.

          11. Trong Network and Sharing Center, click vào liên kết trạng thái View trong vùng SSL VPN như trong hình 9. Khi đó chúng ta sẽ thấy hộp thoại SSL VPN Status với kiểu kết nối VPN hiển thị là PPTP. Nhấn nút Close trên hộp thoại này.


          Hình 9: Xác nhận kiểu kết nối VPN vừa thiết lập.

          12. Mở Command Prompt rồi ping Domain Controller. Trong ví dụ này địa chỉ IP của Domain Controller là 10.0.0.2. Nếu kết nối VPN thành công chúng ta sẽ nhận được phản hồi từ Domain Controller này.


          Hình 10: Phản hồi hiển thị khi ping Domain Controller

          Tạo giấy phép CA từ Enterprise CA

          Máy trạm SSL VPN cần ủy thác CA đã phát hành giấy phép được máy chủ SSTP VPN sử dụng. Để thiết lập ủy thác này chúng ta cần cài đặt giấy phép CA của CA đã tạo giấy phép cho máy chủ VPN. Chúng ta có thể thực hiện tác vụ này bằng cách kết nối các trang tự động của CA trên mạng nội bộ và cài đặt giấy phép này trong vùng lưu trữ giấy phép Trusted Root Certification Authorities của máy trạm VPN.

          Thực hiện các bước sau để tạo giấy phép từ Web Enrollment:

          1. Trên máy trạm VPN đã kết nối tới máy chủ VPN qua liên kết PPTP, nhập http://10.0.0.2/certsrv vào thanh địa chỉ trong Internet Explorer rồi nhấn Enter.

          2. Nhập tên người dùng và mật khẩu hợp lệ vào hộp thoại Crednetials. Trong ví dụ này chúng ta sẽ sử dụng tên người dùng và mật khẩu của tài khoản quản trị miền mặc định.

          3. Trên trang Welcome của Web Enrollment, click vào liên kết Download a CA certificate, certificate chain, or CRL.

          Hình 11: Trang Welcome của Web Enrollment.

          4. Click vào nút Allow trong hộp thoại cảnh báo có nội dung như sau: A website wants to open web content using this program on your computer (Một trang Web muốn mở dữ liệu web sử dụng chương trình này trên hệ thống). Tiếp theo nhấn nút Close trên hộp thoại Did you notice the Information bar nếu nó xuất hiện.

          Hình 12: Cảnh báo xuất hiện sau khi click vào liên kết trong bước 3.

          5. Lưu ý rằng thanh thông tin thông báo cho chúng ta biết rằng trang Web này có thể không hiển thị chính xác vì ActiveX Control đã bị chặn. Tuy nhiên đây không phải là điều quan trọng và chúng ta sẽ tải giấy phép CA và sử dụng Certificates MMC để cài đặt giấy phép này. Click vào liên kết Download CA Certificate.


          Hình 13: Danh mục tải.

          6. Trong hộp thoại File Download – Security Warning, click vào nút Save và lưu giấy phép này ra màn hình.

          Hình 14: Lưu giấy phép CA ra màn hình.

          7. Nhấn nút Close trên hộp thoại Download complete rồi đóng Internet Explorer.

          (Còn nữa)

          Xian (Theo ISAServer)
          Last edited by ShamanKing; 14-12-2009, 11:33 PM.
          Hồ Vũ

          Số điện thoại : 0989178909
          Email :
          hovu@wifipro.org
          Thành viên nhóm R&D Group VNPRO


          Comment


          • #6
            Tạo máy chủ Server 2008 SSL VPN bằng ISA o2006 Firewalls (Phần 3 - tiếp theo)

            Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.3 - tt)



            Tiếp theo chúng ta cần cài đặt giấy phép CA vào vùng lưu trữ giấy phép Trusted Root Certification Authorities của máy trạm VPN. Thực hiện các bước sau:

            1. Vào menu Start, nhập mmc vào hộp Search rồi nhấn Enter.

            2. Click Continue trong hộp thoại UAC.

            3. Trong cửa sổ Console1, vào menu File rồi click vào Add/Remove Snap-in.

            4. Trong hộp thoại Add or Remove Snap-ins, click vào mục Certificates trong Available snap-ins list rồi nhấn Add.

            5. Trên trang Certificates snap-in, lựa chọn tùy chọn Computer account rồi click Finish.

            6. Trên trang Select Computer, lựa chọn tùy chọn Local computer rồi click Finish.

            7. Nhấn OK trên hộp thoại Add or Remove Snap-ins.

            8. Trong bảng bên trái của Console này, mở rộng node Certificates (Local Computer) sau đó mở rộng tiếp node Trusted Root Certification Authorities. Click vào node Certificates. Phải chuột lên node Certificates chọn All Tasks | Import.


            Hình 15: Import giấy phép vào vùng Trusted Root Certification Authorities.

            9. Nhấn Next trên trang Welcome to the Certificate Import Wizard.

            10. Trên trang File to Import, sử dụng nút Browse để tìm giấy phép này rồi nhấn Next.

            Hình 16: Tìm kiếm giấy phép cần import.

            11. Trên trang Certificate Store, xác nhận rằng tùy chọn Place all certificates in the following store đã được lựa chọn và Trusted Root Certification Authorities sẽ hiển thị trong trường Certificate Store như trong hình 17. Sau đó nhấn Next.


            Hình 17: Lựa chọn vùng lưu trữ cho giấy phép được import.

            12. Click Finish trên trang Completing the Certificate Import.

            13. Click OK trong hộp thoại thông báo quá trình import đã thành công.

            14. Sau đó giấy phép này sẽ xuất hiện trong Console1 như trong hình 18.

            Hình 18: Giấy phép hiển thị trong Console1 sau khi import thành công.


            Cấu hình máy trạm sử dụng SSTP và kết nối tới máy chủ VPN bằng SSTP

            Giờ đây chúng ta cần ngắt kết nối VPN rồi cấu hình máy trạm VPN sử dụng SSTP cho giao thức VPN. Trong môi trường sản xuất, chúng ta sẽ không làm ảnh hưởng tới công việc của người dùng nếu sử dụng Connection Manager Administration Kit để tạo VPN connectoid cho họ để cài đặt cho máy trạm sử dụng SSTP, hay chỉ cấu hình cho các cổng SSTP trên máy chủ VPN.

            Điều này tùy thuộc vào từng môi trường, vì khi chúng ta sắp xếp mọi thứ để người dùng có thể sử dụng PPTP trong khi triển khai các giấy phép. Tất nhiên, chúng ta luôn có thể triển khai giấy phép ngoài băng thông, như qua website hay email, trong những trường hợp đó chúng ta không cần phải cho phép PPTP. Tuy nhiên, khi đó nếu có một số máy trạm giáng cấp không hỗ trợ SSTP, thì chúng ta cần phải cho phép PPTP hay L2TP/IPSec, do đó chúng ta sẽ không thể hủy bỏ mọi cổng ngoài SSTP. Trong trường hợp đó, chúng ta sẽ phải cấu hình thủ công hay một phần mềm CMAK đã được cập nhật.

            Một tùy chọn khác là kết nối SSTP Listener tới một địa chỉ IP cụ thể trong máy chủ RRAS. Khi đó, chúng ta có thể tạo một gói CMAK riêng chỉ hướng tới địa chỉ IP trên máy chủ SSL VPN đang nhận những những kết nối SSTP đến. Những địa chỉ khác trên máy chủ SSTP VPN sẽ nhận những kết nối PPTP và L2TP/IPSec.

            Thực hiện các thao tác sau để ngắt kết nối phiên SSTP và cấu hình connectoid của máy trạm VPN sử dụng SSTP:

            1. Trên máy trạm VPN, mở Network and Sharing Center.

            2. Trong cửa sổ Network and Sharing Center, click vào liên kết Disconnect ở phía dưới liên kết View Status. VÙng SSL VPN sẽ biến mất khỏi Network and Sharing Center.

            3. Trong Network and Sharing Center, click vào liên kết Manage network connections.

            4. Phải chuột lên SSL VPN chọn Properties.


            Hình 19: Mở hộp thoại thuộc tính của SSL VPN.

            5. Trong hộp thoại SSL VPN Properties chọn tab Networking. Trong danh sách thả xuống của Type of VPN, chọn Secure Socket Tunneling Protocol (SSTP). Nhấn OK.

            Hình 20: Trang thuộc tính của SSL VPN.

            6. Click đúp vào SSL VPN connectoid trong cửa sổ Network Connections.

            7. Trong hộp thoại Connect SSL VPN, nhấn nút Connect.

            8. Khi kết nối hoàn thành, phỉa chuột lên SSL VPN connectoid trong cửa sổ Network Connections rồi chọn Status.

            Hình 21: Chọn Status trong menu ngữ cảnh của SSL VPN connectoid.

            9. Trong hộp thoại SSL VPN Status chúng ta có thể thấy kết nối SSTP WAN Miniport đã được thiết lập.


            Hình 22: Hộp thoại SSL VPN Status.

            10. Nếu truy cập vào máy chủ VPN rồi mở console Routing and Remote Access, chúng ta sẽ xác nhận được rằng kết nối SSTP đã được thiết lập.


            Hình 23: Xác nhận kết nối SSTP trong console Routing and Remote Access.

            Nếu kiểm tra trong ISA Firewall console, chúng ta sẽ thấy một số bản ghi của kết nối SSL VPN.


            Hình 24: Một số bản ghi trong ISA Firewall.

            Kết luận

            Trong phần cuối của loạt bài viết gồm ba phần về phương pháp tạo máy chủ SSL VPN Windows Server 2008 sử dụng ISA Firewall 2006, chúng ta đã hoàn thành cấu hình cho tài khoản người dùng, CRL Website, ISA Firewall và máy trạm SSL VPN. Chúng ta đã kết thúc loạt bài viết với việc hoàn thành kết nối SSTP và xác nhận rằng kết nối đã thành công.

            Xian (Theo ISAServer)
            Last edited by ShamanKing; 14-12-2009, 06:11 PM.
            Hồ Vũ

            Số điện thoại : 0989178909
            Email :
            hovu@wifipro.org
            Thành viên nhóm R&D Group VNPRO


            Comment


            • #8
              Excellent , good job

              Comment


              • #9
                thanks. Good job
                TechLope.com - Chuyên cung cấp bản quyền phần mềm và bán các phần mềm bản quyền
                TechLope Co., Ltd.
                611 Tôn Đức Thắng, Đà Nẵng
                (+84) 0511-3735479 (work)
                (+84) 0511-3735783 (fax)
                (+84) 906402632 (mobile)
                http://www.techlope.com

                Comment


                • #10
                  Cảm ơn mọi người đã đọc bài post của Shaman. Shaman sẽ cố gắng post những bài hữu ích chia sẻ cho mọi người
                  Hồ Vũ

                  Số điện thoại : 0989178909
                  Email :
                  hovu@wifipro.org
                  Thành viên nhóm R&D Group VNPRO


                  Comment

                  Working...
                  X