Tìm hiểu mạng riêng ảo VPN (Phần 6)
Tác giả: www.vietnamlab.com
(VietCERT) - Như đề cập ở phần trước, bảo mật của VPN còn được
hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc học. Micrsoft đã
tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên
trách công việc này cho VPN truy cập từ xa.
EAP-TLS là chữ viết tắt của Extensible Authentication Protocol -
Transport Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật
lớp truyền dẫn). Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người sử dụng
(user certificate) trên cả máy khách và máy chủ IAS của mạng VPN. Đây là cơ chế có mức
độ an toàn nhất ở cấp độ người sử dụng.
Mặc dù công nghệ thẻ thông minh hay sinh trắc học vẫn còn là khái niệm mới mẻ ở Việt
Nam, chúng tôi xin giới thiệu cách cài đặt để độc giả có thể hình dung những gì Windows
hỗ trợ.
Mô hình thực nghiệm VPN truy cập từ xa.
Mô hình thực nghiệm vẫn là 5 máy tính với các chức năng khác nhau (xem lại phần 3, 4
hoặc 5 để biết thêm chi tiết). Khi bắt tay vào cài đặt, bạn bật tất cả các máy (5 máy tính này
đã kết nối trước với nhau như hình vẽ).
Máy DC1
Bạn sẽ định cấu hình để DC1 làm nhiệm vụ tiếp nhận tự động các chứng nhận về người sử
dụng.
1. Nhấn menu Start > Run > gõ mmc ở dấu nhắc > OK.
2. Trên menu File, nhấn Add/Remove Snap-in > Add.
3. Dưới mục Snap-in, kích đúp vào Certificate Templates > Close > OK.
4. Trong cây chương trình, nhấn Certificate Templates. Tất cả mô hình chứng nhận sẽ
được trình bày trong ô hiển thị chi tiết.
5. Trong ô hiển thị chi tiết, nhấn vào mẫu User.
6. Trên menu Action, nhấn vào Duplicate Template.
7. Trong hộp Template display name, gõ VPNUser.
8. Đánh dấu chọn trong ô Publish Certificate in Active Directory.
9. Nhấn vào thẻ Security.

1. Khởi động lại IAS1 để đảm bảo máy này đã tự động nạp một chứng nhận máy tính.
2. Mở trình quản lý Internet Authentication Service.
3. Trong cây chương trình, nhấn Remote Access Policies.
4. Trong ô hiển thị chi tiết, nhấn đúp vào VPN remote access to Intranet. Hộp thoại
VPN remote access to intranet Properties xuất hiện.
5. Nhấn vào Edit Profile, chọn thẻ Authentication.
6. Trên thẻ Authentication, chọn EAP Methods. Hộp thoại Select EAP Providers hiện
ra.
7. Nhấn Add. Hộp thoại Add EAP xuất hiện.
8. Nhấn vào Smart Card or other certificate > OK.
9. Nhấn Edit. Hộp thoại Smart Card or other Certificate Properties xuất hiện.
10. Các thuộc tính của chứng nhận máy tính cho IAS1 được hiển thị. Bước này xác
định rằng IAS1 có một chứng nhận máy tính được cài đặt để thực hiện quyền thẩm
định truy cập theo giao thức EAP-TLS. Nhấn OK.
11. Nhấn OK để lưu lại các thay đổi đối với nhà cung cấp EAP. Nhấn OK để lưu các
thay đổi về cài đặt cấu hình.
12. Khi được hỏi xem các mục trợ giúp, nhấn No. Nhấn OK để lưu các thay đổi để lưu
các thay đổi đối với quy định truy cập từ xa.
Các thay đổi cấu hình này sẽ cho phép truy cập từ xa trong VPN hay truy cập từ xa trong
Intranet thẩm định các kết nối VPN dùng phương pháp xác định quyền truy cập theo giao
thức EAP-TLS.
Máy CLIENT1
Bạn cũng nạp một chứng nhận trên máy này rồi định cấu hình cho kết nối VPN truy cập từ
xa dựa trên giao thức EAP-TLS.
1. Tắt máy CLIENT1.
2. Ngắt kết nối khỏi phân đoạn mạng Internet mô phỏng và kết nối vào phân đoạn
mạng Intranet.
3. Khởi động lại máy CLIENT1 và đăng nhập bằng tài khoản VPNUser. Lúc này,
máy tính và Group Policy được cập nhật tự động.
4. Tắt máy CLIENT1.

23. Trong ô Address, gõ Bạn sẽ nhìn thấy thông
báo trang web đang trong quá trình xây dựng. Trên thực tế, đây phải là một tên
miền thật.
24. Nhấn Start > Run, gõ \\IIS1\ROOT > OK. Bạn sẽ thấy nội dung của ổ nội bộ (ổ C)
trên IIS1.
25. Nhấn chuột phải vào kết nối EAPTLStoMangcongty rồi nhấn Disconnect.
Các máy còn lại được cài đặt như trong phần 4.
Các lưu ý khi sử dụng quyền chứng nhận CA (Certificate Authority) của các bên phát triển
thứ 3 cho cơ chế thẩm định quyền truy cập theo giao thức EAP-TLS:
Chứng nhận trên máy chủ thẩm định phải:
- Được cài đặt trong kho chứng nhận của máy tính nội bộ.
- Có một key riêng tương ứng.
- Có nhà cung cấp dịch vụ mật mã để hỗ trợ. Nếu không, chứng nhận không thể
được dùng và không thể chọn được từ trình Smart Card or Other Certificate trên thẻ
Authentication.
- Có mục đích chứng nhận thẩm định quyền truy cập máy chủ, còn được gọi là EKU
(Enhanced Key Usage).
- Phải chứa tên miền được thẩm định đầy đủ, gọi là FQDN, của tài khoản máy tính
trong Subject Alternative Name của chứng nhận.
Hơn nữa, các chứng nhận CA gốc của các CA phải được cài đặt trong kho chứng nhận
Trusted Root Certification Authorities của các máy chủ thẩm định.
Chứng nhận trên các máy khách VPN phải:
- Có một key riêng tương ứng.
- Phải chứa EKU thẩm định quyền truy cập cho máy khách.
- Phải được cài đặt trong kho chứng nhận của Current User.
- Chứa tên UPN (universal principal name) của tài khoản người sử dụng trong
Subject Alternative Name của chứng nhận.
Ngoài ra, các chứng nhận CA gốc của các CA (đã phát hành các chứng nhận máy tính trên
máy chủ IAS) phải được cài đặt trong kho Trusted Root Certification Authorities của máy
khách VPN.