• Thứ Năm, 28/01/2010 17:24 (GMT+7)

    SSL VPN - Bảo mật truy cập nội bộ từ xa

    Giải pháp VPN mà doanh nghiệp có thể tự xây dựng, chủ động trong quản lý hệ thống với các trang thiết bị dễ tìm mua, dễ cấu hình và có nhiều cấp độ bảo mật.

    Hiện nay, doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên khá phổ biến. Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đến tận người dùng. Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn tài nguyên (ERP) có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa.

    Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn, bảo mật. Để giải quyết vấn đề này, nhiều doanh nghiệp đã chọn giải pháp mạng riêng ảo VPN (Virtual Private Network).

    Trên thị trường hiện nay có khá nhiều giải pháp bảo mật truy cập nội bộ từ xa VPN, chẳng hạn giải pháp của nhà cung cấp đường truyền, giải pháp sử dụng thiết bị chuyên dụng VPN trên nền tảng hệ thống hiện hữu. Việc thiết lập hạ tầng mạng, hệ thống có thể thông qua nhà cung cấp dịch vụ hoặc tự doanh nghiệp xây dựng cho riêng mình. Bài viết này sẽ đề cập đến giải pháp VPN mà doanh nghiệp có thể tự xây dựng, chủ động trong quản lý hệ thống với các trang thiết bị dễ tìm mua, dễ cấu hình và có nhiều cấp độ bảo mật.

                                                                           Hình 1: Mô hình kết nối tổng quan

    Chúng ta biết rằng VPN dùng để tạo kết nối (hay còn gọi đường hầm) bảo mật giữa các điểm (site) cố định hoặc di động. Và đặc điểm quan trọng trong bảo mật VPN đó là xác thực (authentication), mã hóa (encryption). Giải pháp VPN thường được triển khai dựa trên kỹ thuật IPsec (Internet Protocol Security) hoặc SSL (Secure Socket Layer). Vậy nhà quản trị nên chọn giải pháp kỹ thuật nào?

    Thật sự, IPSec VPN và SSL VPN không loại trừ lẫn nhau, tùy theo yêu cầu sử dụng mà nhà quản trị lựa chọn cho phù hợp. Với những điểm cố định, kết nối liên tục, IPSec là lựa chọn tốt, ngược lại nếu người dùng hay di chuyển, kết nối không thường xuyên thì SSL phù hợp hơn. Ngoài ra, việc thiết lập, cấu hình, truy cập bằng SSL VPN khá đơn giản và dễ dàng; nhà quản trị không phải cài đặt phần mềm cho người dùng từ xa (client), cũng như không phải cấu hình nhiều thông số phức tạp trên thiết bị tường lửa như IPsec. Với SSL VPN, người dùng đơn giản mở trình duyệt web, truy cập (tham khảo cách thiết lập IPSec VPN tại ID: A0601_111).

    Bài viết này sẽ minh họa việc cấu hình, thiết lập truy cập, bảo mật SSL VPN dựa trên trải nghiệm thực tế. Các thiết bị dùng minh họa đều đã được Test Lab giới thiệu, đánh giá trong các số báo trước.

    Giả sử doanh nghiệp ngành dược có đội ngũ 100 trình dược viên “rải” đều khắp thành phố. Mỗi trình dược viên đều được cung cấp một máy tính sổ tay (netbook) và Internet USB – cho phép truy cập Internet bất kỳ đâu. Doanh nghiệp có hệ thống ERP với máy chủ ứng dụng web cho phép trình dược viên truy cập từ xa hệ thống để theo dõi lượng hàng tồn kho và cập nhật đơn hàng mới. Hệ thống mạng hiện tại của doanh nghiệp - gồm tường lửa O2Security SifoWorks U210A (ID: A0902_56), đường truyền Internet IP thật (do ISP cung cấp), máy chủ ứng dụng web truy xuất dữ liệu từ máy chủ cơ sở dữ liệu của hệ thống ERP - đang hoạt động ổn định. Doanh nghiệp tiến hành trang bị thêm thiết bị O2Security Succendo SSL VPN 502 (tham khảo ID: A0905_61) - hỗ trợ 200 người dùng kết nối đồng thời - để thiết lập kết nối VPN từ xa vừa bảo mật, vừa đảm bảo an toàn dữ liệu và đặc biệt không làm thay đổi kết cấu hạ tầng mạng hiện có.


    Hình 2:

    Điểm nổi bật của giải pháp này là máy chủ ứng dụng web hoàn toàn không “lộ mặt” ra bên ngoài Internet và O2Security Succendo SSL VPN 502 (Succendo SSL VPN) là/pcworld/info/media/A1001_UD_92bL(1).jpgnút chặn, chốt kiểm soát toàn bộ tiến trình giao tiếp với bên ngoài cùng với sự hỗ trợ của tường lửa O2Security SifoWorks U210A. Để truy cập vào máy chủ ứng dụng web, trước tiên client phải đăng nhập vào Succendo SSL VPN. Sau khi Succendo SSL VPN kiểm tra, nếu hợp lệ, thiết bị sẽ tạo một đường hầm bảo mật với người dùng. Kể từ lúc này, mọi thông tin, dữ liệu client truy xuất từ máy chủ ứng dụng web đều được thực hiện bên trong đường hầm.


    Hình 3

    Succendo SSL VPN được lắp đặt sau tường lửa và nằm ngang hàng với các thiết bị/ tài nguyên trong hệ thống hiện hữu (dạng Outline) như Hình 1.

    Việc trước tiên, bạn cần làm là mở cổng TCP/443 trên tường lửa để cho phép client đăng nhập vào Succendo SSL VPN.


    Hình 4

    Trên tường lửa O2Security SifoWorks U210A, bạn vào mục Service>Pre-defined để kiểm tra giao thức, cổng dịch vụ TCP/443 (xem hình 2)

    Tiếp theo, vào mục Virtual Server >Server 1, mở cổng 443 cho phép bên ngoài Internet truy cập đến địa chỉ IP nội bộ 192.168.1.100 của Succendo SSL VPN (xem hình 3).


    Hình 5

    Sau đó chúng ta tiến hành các bước cấu hình SSL VPN và các chế độ bảo mật trên Succendo SSL VPN. Đầu tiên, bạn mở trình duyệt web và đăng nhập vào Succendo SSL VPN qua địa chỉ IP nội bộ mặc định của thiết bị, ví dụ https://192.168.1.100, ID đăng nhập mặc định là Admin. Trên màn hình đăng nhập, bạn sẽ thấy vùng mã (Code) được cấp phát ngẫu nhiên để xác minh người dùng. Đây là tính năng mã xác minh đăng nhập (Login Validate Code) giúp ngăn chặn tấn công dạng người đứng giữa (Middle-man Attacks), xem hình 4.


    Hình 6

    Sau khi đăng nhập thành công, các bước tiếp theo bạn cần làm là tạo tài khoản người dùng (user account), mở dịch vụ cho phép người dùng truy cập vào máy chủ ứng dụng web (service), cấp quyền truy cập dịch vụ (role).

    Tạo tài khoản cho người dùng truy cập từ xa, vào mục Account> User Account chọn Authentication Server là Localpass. Tạo tài khoản, ví dụ với Name: user, Password: 123456. Nhấn Save để lưu thông tin (xem hình 5)


    Hình 7

    Tiếp theo ta tạo dịch vụ cho phép người dùng truy cập từ xa vào máy chủ ứng dụng web của chương trình ERP. Bạn vào mục Service> Service nhấn Add, nhập các thông số:

    Name: Web_Server (tên service tự đặt)
    Access Mode: Proxy


    Hình 8

    Application Server: 192.168.1.2 (địa chỉ IP nội bộ của máy chủ ứng dụng web).
    Services Type: http (truy cập máy chủ ứng dụng web)
    Group: web


    Hình 9

    Protocol: TCP

    Sau đó nhấn Save để lưu cấu hình. Lưu ý các ô có * là thông tin bắt buộc (xem hình 6).

    Thiết lập quyền truy cập máy chủ ứng dụng web. Vào mục Authorization> Role nhấn Add nhập các thông số:

    Name: Role_User (tên Role).


    Hình 10
    Attribute: chọn default attribute
    Services Information: chọn Web_Server (tên service ta vừa tạo ở trên).
    Condition Information: chọn default condition
    User Information: chọn user (tài khoản user chịu sự quản lý của Role).


    Hình 11
    Nhấn save để lưu cấu hình (xem hình 7)

    Sau khi thiết lập xong tài khoản, người dùng từ xa đã có thể truy cập vào hệ thống - đơn giản bằng cách mở trình duyệt web, nhập địa chỉ https://203.162.16.18, nhập tài khoản đăng nhập (xem hình 8).


    Hình 12

    Khi đăng nhập thành công, client nhấn chuột vào “Web_Server” để truy xuất đến máy chủ ứng dụng web (xem hình 9).

    Tuy nhiên, netbook của người dùng từ xa đôi khi không đảm bảo an toàn, do đó bạn cần thiết lập chế độ kiểm tra máy tính người dùng. Chẳng hạn, thiết lập việc kiểm tra trên client có cài đặt chương trình chống virus hay không? Ở đây, do vấn đề an toàn dữ liệu, doanh nghiệp cần tiến hành mua bản quyền phần mềm chống virus và triển khai đồng bộ trên tất cả các client. Điều này giúp nhà quản trị mạng dễ kiểm soát an toàn dữ liệu cũng như thiết lập các chính sách chung cho toàn hệ thống. Trong bài viết này, chúng tôi dùng chương trình chống virus AVG Internet Security (xem ID: A0812_98).

    Để thiết lập kiểm tra máy tính người dùng, bạn cần tạo luật kiểm tra (rule), chính sách kiểm tra (policy), điều kiện kiểm tra (condition), và bổ sung role đã thiết lập trước đó.

    Tạo Rule.


    Hình 13

    Vào Client Security> Host Check chọn Rule nhấn Add
    Rule Name: AVG Internet Security (tên rule)
    HostCheck type: Firewall
    Check type: Excute Object
    Sub type: Process
    OS type: Windows All

    Check value: avgcsvx.exe (giá trị hoặc chương trình muốn kiểm tra)
    Condition: Process status
    Judging Standard: = =
    Attribute: Exist
    Nhấn Add

    Sau đó nhấn save để lưu thông tin (xem hình 10)

    Tạo policy


    Hình 14

    Vào Client Security> Host Check chọn Policy, chọn Add
    Name: Check AVG Internet Security (tên policy)
    Policy Type: After Login (kiểm tra sau khi người dùng login)
    Rule Information: chọn AVG Internet Security
    Nhấn save để lưu cấu hình (xem hình 11).

    Tạo condition


    Hình 15

    Name: Condition AVG Internet Security (tên của condition)
    Host Check Information: chọn AVG Internet Security
    Nhấn save để lưu cấu hình (xem hình 12)

    Bổ sung role.


    Hình 16

    Vào mục Authorization> Role chọn Role_User nhập các thông số:
    Condition Information: chọn Condition AVG Internet Security
    Nhấn save để lưu cấu hình (xem hình 13)

    Sau khi nhà quản trị thiết lập xong việc kiểm tra máy tính của người dùng từ xa trên Succendo SSL VPN. Nếu máy tính người dùng có cài đặt AVG Internet Security thì được quyền truy cập hệ thống. Nếu không có AVG Internet Security, hệ thống sẽ cảnh báo và yêu cầu người dùng từ xa truy cập lại (xem hình 14).


    Hình 17

    Ngoài ra, nhà quản trị có thể thiết lập thêm các chế độ kiểm soát truy cập từ xa chặt chẽ hơn. Chẳng hạn kiểm tra máy tính đăng nhập đúng máy được phép hay không? Trên Succendo SSL VPN, nhà quản trị có thể dùng tính năng Host Binding để thực hiện việc kiểm tra này. Đăng nhập vào Succendo SSL VPN https://192.168.1.100. Chọn Authorization> Attribute nhấn Add để tạo

    Host Binding. Điền đầy đủ các thông tin có đánh * như:
    Name: HostBinding
    Check chọn Host Binding.


    Hình 18

    Nhấn save để lưu thông tin (xem hình 15)

    Bổ sung Role đã tạo trước đó: chọn Authorization> Role chọn Role_User.

    Trong Role_User, tại Attribute chọn HostBinding. Nhấn save để lưu thông tin (xem hình 16)


    Hình 19

    Sau đó, nhà quản trị cần cho máy netbook - sẽ cấp cho người dùng từ xa - đăng nhập lần đầu vào Succendo SSL VPN để thiết bị ghi nhận thông tin (xem hình 17, 18)

    Về sau, client có thể truy cập bình thường. Nếu client sử dụng máy tính khác truy cập thì Succendo SSL VPN sẽ kiểm tra và ngăn không cho truy nhập (xem hình 19).


    Hình 20

    Ngoài ra, nhà quản trị có thể thiết lập thêm một số tính năng để nâng cao khả năng bảo mật. Chẳng hạn “đóng băng” tài khoản người dùng (Lock Users) nếu nhập sai mật khẩu 3 lần – nhằm ngăn chặn tình trạng cố tình xâm nhập vào hệ thống bằng cách đoán password hay sử dụng các chương trình tự động dò tìm password (Brute force). Truy cập vào mục System> Security chọn Login Try Times là 3 (xem hình 20).

    Hơn nữa, nhà quản trị còn có thể dùng tính năng xóa thông tin lưu trữ (Clear Cache) để xóa tất cả thông tin trong suốt quá trình trao đổi dữ liệu khi phiên giao dịch (session) giữa máy client và máy chủ ứng dụng web kết thúc gồm: các tài liệu HTML đã tải về, các tài liệu và hình ảnh đã tải về, cookies, địa chỉ website. Để thực hiện, bạn vào mục Client> Cache Clean (xem hình 21).


    Hình 21

    Trên đây là các hướng dẫn để bạn đọc có thể nhanh chóng cấu hình thành công giải pháp SSL VPN bảo mật cho doanh nghiệp mình. Ngoài ra, để nâng cao mức độ an toàn cũng như việc quản lý tài khoản người dùng linh hoạt, nhà quản trị có thể cấu hình thiết bị kết hợp với máy chủ Active Directory, Radius, LDAP…

    Tóm lại, giải pháp SSL VPN thật sự rất hữu ích với các doanh nghiệp trong việc đảm bảo an toàn thông tin cho các kết nối từ xa. Thông qua thiết bị SSL VPN phần cứng, nhà quản trị có thể triển khai, cấu hình đường hầm bảo mật một cách dễ dàng, nhanh chóng với nhiều cơ chế bảo mật, đặc biệt không làm thay đổi kết cấu hạ tầng mạng hiện hữu. Và việc truy cập cơ sở dữ liệu thật trở nên thuận lợi, an toàn hơn.

    Quốc Dũng

    ID: A1001_92