DIRECT ACCESS
Tỷ lệ nhân viên sử dụng các hình thức làm việc di động ngày càng tăng cao. Hình thức làm việc từ xà cũng càng ngày càng trở nên phổ biến hơn. Năm 2008, lần đầu tiên doanh số máy tính xách tay bán ra đã ngang bằng với máy tính để bàn.
Với việc hình thức làm việc đã mở rộng, nhu cầu kết nối đến tài nguyên của mọt doanh nghiệp ở bất kỳ nơi nào trên thế giới đã trở nên thiết yếu. Microsoft, một trong những tổ chức dẫn đầu về công nghệ đã đưa ra một số công nghệ để có thể hiện thực hóa điều này.
Sử dụng mạng riêng ảo VPN có thể giải quyết vấn đề kết nối cho các client tới mạng lưới của công tý, và Network Policy Server sẽ đảm bảo cho các kết nối từ xa có tính an toàn và bảo mật. Trong phiên bản Windows Server 2008 R2, Micrsoft đã cải thiện các dịch vụ này với một số tính năng mới, đồng thời giới thiệu một dịch vụ kết nối từ xa mới giữa Windows Server 2008 R2 và Windows 7, có tên là DirectAccess.
I. DIRECTACCESS LÀ GÌ?
Với mô hình VPN, khi client thực hiện kết nối từ xa đến server cần phải thông qua 1 quá trình gọi là tunneling để đóng gói dữ liệu trong những gói tin bình thường để truyền qua Internet. DirectAccess có phương thức hoạt động tương tự như VPN nhưng được dành riêng cho Windows Server 2008 R2 và Windows 7 nhưng được cải thiện ở rất nhiều mặt khác nhau.
Đối với kết nối thông qua VPN, mỗi khi người dùng cần kết nối với hệ thống mạng của công ty thì người dùng phải thực hiện bằng tay, và quá trình diễn ra tương tự như thực hiện một kết nối dial-up. Server sẽ tiến hành xác thực người dùng và sau đó mới cho phép truy cập. Tùy theo chính sách được cài đặt trên các server mà quá trình này có thể diễn ra trong vài phút. Nếu client bị mất kết nối Internet thì sẽ phải thực hiện lại từ đầu quá trình này.
Ngược lại, đối với DirectAccess, kết nối đến công ty được thực hiện một cách hoàn toàn tự động, bất cứ lúc nào máy tính người dùng được kết nối với mạng Internet là kết nối với hệ thống mạng công ty cũng đồng thời được khởi tạo. Đối với phương diện người dùng, họ có thế truy cập tài nguyên của công ty bất cứ lúc nào, giống như đang ngồi trực tiếp tại công ty. Tiến trình kết nối này được chạy ngầm trong hệ thống, và người dùng có thể kiểm tra email hay truy cập cơ sở dữ liệu của công ty ngay khi họ mở máy tính và kết nối Internet.
DirectAccess không chỉ đơn giản hóa quá trình kết nối, nó còn đem đến những lợi ích đối với người quản trị. Kết nói DirectAccess là kết nối 2 chiều, máy client sử dụng Windows 7 sẽ mở kết nối đến server trước cả khi người dùng login vào hệ thống, Điều này cho phép người quản trị có thể truy cập và áp dụng Group Policy, vá lỗi (patch) hoặc thực hiện những tác vụ nâng cấp và bảo trì bất cứ lúc nào trên máy client.
Một số những tính năng khác của DirectAccess:
· Intranet detecion: Direct Access Client có thể nhận biết khi nào máy tính được kết nối trực tiếp với mạng công ty, khi nào kết nối được hiện từ xa để có những ứng xử phù hợp.
· Dual Authentication: Direct Access Client thực hiện xác thực thiết bị thông qua quá trình khởi động (xác thực với server), và xác thực người dùng thông qua quá trình logon của user. Người dùng có thể xác thực với smart card hoặc các thiết bị sinh trắc học.
· Data Encryption: Mọi luồng dữ liệu truyền giữa client và server đều được mã hóa sử dụng giao thức IPsec.
· Selective Authorization: Người quản trị có thể cung cấp cho client những quyền hạn truy cập hệ thống ở mức độ khác nhau.
· Health Verification: Sử dụng Network Access Protection (NAP) và Network Policy Server (NPS), người quản trị có thể cấu hình để yêu cầu thiết bị của client phải đáp ứng đủ một số yêu cầu (ví dụ như phiên bản cập nhật và các cấu hình hoặc các chương trình diệt virus) để có thể truy cập vào tài nguyên của công ty.
· Protocol Flexibility: DirectAccess hỗ trợ đồng thời nhiều giao thức khác nhau, cho phép chạy IPv6 và IPv4.
· Traffic Separation: Trong mạng VPN, tất cả lường traffic của client để được gửi tới intranet thông qua tunnel, kể cả những dữ liệu đi Internet. Trong DirectAccess thì chỉ những traffic tới intranet của công ty mới đi qua tunnel, còn những traffic đi Internet sẽ đi trực tiếp ra Internet. Đây gọi là split-tunnel routing.
II. IPV6 VÀ IPSEC
So với địa chỉ IPv4 chỉ có 32 bit địa chỉ thì IPv6 có tới 128 bit địa chỉ, cho phép dải địa chỉ có thể cấp được cho các thiết bị được mở rộng rất nhiều lần. Trong IPv6, một thiết bị có thể gán tĩnh được 1 địa chỉ IPv6, do vậy DirectAccess lệ thuộc vào IPv6 để có thể triển khai những kết nối. Tuy nhiên, hiện nay IPv4 còn được sử dụng rất phổ biến, do vậy DirectAccess có hỗ trợ một số những phương thức chuyển đổi địa chỉ, bao gồm:
· 6to4: Cung cấp kết nối IPv6 over IPv4 cho những host và site có địa chỉ IP public.
· Teredo: Cung cấp kết nối IPv6 over IPv4 cho những host và site có địa chỉ IP private và được đặt sao các router có cấu hình Network Address Translation (NAT).
· IP-HTTPS: Cho phép những hệ thông không thể chạy 6to4 và Teredo có thể trao đổi những gói tin IPv6 bằng cách sử dụng Secure Socket Layer (SSL) tunnel.
· Intra-Site Automatic Tunnel Addressing Protocol (ISATAP): Cung cấp kết nối IPv6 cho các DirectAccess Server và application Server trên một hệ thống mạng IPv4.
· Network Address Translation–Protocol Translation (NAT-PT): Các thiết bị phần cúng cho phép DirectAccess Client truy cập những ứng dụng không hỗ trợ IPv6.
Internet Protocol Security (IPsec) là một tập những extension cho giao thức IP cho phép các máy tính trao đổi dữ liệu một cách bảo mật sử dụng các tính năng authentication (xác thực), data integrity (toàn vẹn dữ liệu), encryption (mã hóa) trước khi truyền. DirectAccess sử dụng IPsec để xác thực giữa client và server, để đảm bảo những dữ liệu riêng tư trong hệ thống mạng intranet mặc dù được truyền thông qua Internet vẫn giữ được tính riêng tư. IPsec là một hình thức bảo mật end-to-end, có nghĩa là chỉ có các hệ thống đầu và cuối có thể đọc được thông tin đã được mã hóa. Điều đó cũng đồng nghĩa với việc những hệ thống trung gian – các router đảm nhận việc chuyển tiếp các gói tin – không cần phải hỗ trợ IPsec.
Khi client thực hiện kết nối đến DirectAccess Server, nó mở 2 đường tunnel IPsec riêng biệt. Đường kết nối đầu tiên mang theo certificate và cho phép client kết nối đến Domain Name System (DNS) server và Active Directory Domain Services (AD DS) domain controller trong mạng intranet. Bằng kết nối này, client có thể tải về các Group Policy để bắt đầu quá trình xác thực user. Trên kết nối IPsec thứ 2 thì client sẽ thực hiện xác thực user và truy cập tài nguyên trong mạng intranet.
IPsec hỗ trợ 2 giao thức con là Authenticated Header (AH) và Encapsulating Security Payload (ESP), 2 mode hoạt động là transport mode và tunnel mode.
Transport mode: IPsec thực hiện các cơ chế bảo vệ đối với phần payload của gói tin IP.
Tunnel mode: IPsec bảo vệ toàn bộ gói tin IP, bao gồm cả phần header và payload.
III. QUÁ TRÌNH KẾT NỐI DIRECTACCESS
Quá trình kết nối giữa clien và server trong mạng intranet diễn ra ngầm trong hệ thống và hoàn toàn “vô hình” đối với người sử dụng. DirectAccess Server xử lý các yêu cầu kết nối của client, xác thực thiết bị và người dùng, sau đó cấp phép cho người dùng có thể truy cập các tài nguyên trong mạng. Tiến trình cụ thể được trình bày dưới đây:
1. Client cố gắng kết nối đến một Webserver được chỉ định trước trong mạng Intranet. Nếu kết nối thực hiện thành công, Client hiểu rằng client đang nằm trong mạng intranet. Ngược lại, nếu kết nối không thành công thì client sẽ hiểu rằng nó đang nằm ở ngòi mạng công ty, do đó sẽ tiến hành khởi tạo một kết nối DirectAccess tới mạng này.
2. Client mở kết nối đầu tiên tới DirectAccess Server trong mạng Intranet. Mặc định thì kết nối này sẽ sử dụng IPv6 và IPsec, tuy nhiên nếu kết nối IPv6 không khả dụng (ví dụ như khi client đang được kết nối với mạng Internet sử dụng IPv4) thì sẽ sử dụng 6to4 hay Teredo tunnel , tùy thuộc vào địa chỉ IP đang có là public hay private address. Nếu client không thể sử dụng 2 cách thức này do cài đặt trên proxy hay firewall thì nó sẽ sử dụng IP-HTTPS để khởi tạo kết nối thông qua cổng SSL.
3. Khi client đã kết nối được với DirectAccess Server thì quá trình xác thực giữa 2 máy sẽ được thực hiện thông qua các certificate. Một khi quá trình này hoàn tất, client sẽ truy cập tới domain controller và DNS server trong mạng intranet. Lưu ý: các bước 1, 2 và 3 được thực hiện trước khi user đăng nhập vào máy tính client.
4. Đường kết nối thức 2 tới DirectAccess Server được mở, sử dụng các thông tin có được ở bước 3 để xác thực AD DS. Giao thức xác thực được sử dụng là NTLMv2 hay Kerberos V5.
5. DirectAccess Server kiểm tra AD DS group membership của máy tính và người dùng.
6. Nếu server có cấu hình kiểm tra cấu hình máy client thì client sẽ gửi một health certificate tới NPS, mang thông số của thiết bị.
7. Quá trình kết nối hoàn tất.
IV. TRIỂN KHAI DIRECTACCESS
a. Lựa chọn Access Model:
Ở bước này sẽ quyết định quá trình mã hóa IPsec sẽ kết thúc ở đâu và luồng traffic sẽ được xử lý như thế nào. Thông thường, client sẽ kết nối tới DirectAccess server thông qua môi trường Internet, sau đó thông quá server này để truy cập những tài nguyên trong mạng nội bộ được bảo vệ bởi tường lửa:
Cụ thể, có 3 mô hình kết nối như sau:
1. End-to-end: Trong mô hình này, traffic từ client đến server và từ DirectAccess Server đến Application server đều được mã hóa ESP. Mô hình này đảm bảo về vấn đề an toàn thông tin, tuy nhiên nó yêu cầu tất cả các application server đều phải hỗ trợ các kết nối IPsec trên nền IPv6. Điều này có nghĩa là các application server phải được cài đặt Windows Server 2008 hoặc Windows Server 2008 R2 và được cấu hình để sử dụng cả IPv6 và IPsec.
2. End-to-edge: Trong mô hình này, kết nỗi giữa Client và DirectAccess Server được mã hóa với IPsec, tuy nhiên kết nối giữa DirectAccess Server và application server lại không được bảo vệ bằng IPsec.
3. Modified end-to-edge: Mô hình này hoạt động tương tự như mô hình end-to-edge, tùy nhiên nó sử dụng thêm một đường hầm IPsec nữa để xác thức client trên Application Server. Lưu ý, trong mô hình này Application Server phải được cài đặt Windows Server 2008 R2.
Trong cả 3 mô hình trên, Application Server đều phải hỗ trợ kết nối IPv6 tới DirectAccess Server. Tuy nhiên, nếu chúng không hỗ trợ thì có thể triển khai các hình thức chuyển đỗi giữa IPv4 và IPv6 như ISATAP hay NAT-PT.
Ghi chú: Windows Server 2003 có hỗ trợ IPv6, tuy nhiên một số ứng dụng và dịch vụ lại không hỗ trợ đày đủ. Windows Server 2003 cũng hỗ trợ IPsec, nhưng lại không hỗ trợ kết hợp IPsec trên IPv6. Nếu những ứng dụng và dịch vụ được cài đặt trên server chạy Windows Server 2003 hỗ trợ IPv6 thì có thể triển khải mô hình end-toedge hay modified end-to-edge. Nếu ứng dụng và dịch vụ chỉ hỗ trợ IPv4 thì cần phải có thêm thiết bị NAT-PT.
b. Các yêu cầu về DirectAccess Server
Các server hoạt động với vai trò là DirectAccess Server phải được cài đặt hệ điều hành Windows Server 2008 R2 và phải thỏa mãn những yêu cầu sau đây:
Member Server: Phải là thành viên của một AD DS domain.
Có ít nhất 2 cổng kết nối mạng, một kết nối tới internet, 1 kết nối vào mạng nội bộ.
2 địa chỉ IPv4: để hỗ trợ Teredo, server phải được gán tĩnh 2 địa chỉ IPv4 public và có thể được phân giải bằng các server DNS trên mạng Internet.
Được kết nối trực tiếp với Internet không thông qua NAT.
c. Yêu cầu về DirectAccess Client
Máy tính hoạt động với cai trò là DirectAccess Client phải được cài đặt hệ điều hành Windows 7 Enterprise hoặc Ultimate Edition hoặc hệ điều hành Windows Server 2008 R2. Client phải nằm chung domain với DirectAccess Server. Điều này có nghĩa là trước khi client có thể sử dụng DirectAccess để kết nối tới mạng nội bộ thì phải được triển khai trong mạng nội bộ để có thể nhận certifucate và các cấu hình Group Policy.
d. Yêu cầu về hệ thống cho DirectAccess
Ngoài các yêu cầu về DirectAccess Server và DirectAccess Client thì mạng nội bộ của công ty cũng phải được cài đặt các dịch vụ và chính sách sau để DirectAccess có thể hoạt dộng:
· Active Directory Domain Services: Mạng intranet cần phải có AD DS domain với ít nhất 1 DNS server và 1 domain controller chạy Windows Server 2008 R2.
· Group Policy: DirectAccess client phải là thành viên của một security group để có thể nhận được các thiết lập DirectAccess thông qua Group Policy.
· Public Key Infrastructure (PKI): mạng intranet phải có CA (Certification Authority) để cung cấp certificate cho client và server.
· Designated Web Server: DirectAccess yêu cầu 1 website chỉ có thể truy cập từ mạng nội bộ để client có thể xác định liệu nó đang nằm trong mạng nội bộ hay không.
· Certificate Revocation List (CRL): một CRL dùng cho SSL certificate.
· Chính sách về ICMPv6: Để những DirectAccess Client có thể truy cập vào mạng nội bộ thông qua Internet sử dụng Teredo, DirectAccess Server phải cấu hình các chính sách firewall để cho phép những gói tin Internet Control Message Protcol version 6 (ICMPv6) có thể đi qua.
· IPv6 và các hình thức chuyển đổi: DirectAccess Client phải kết nối được đến DirectAccess Server, domain controller, Application Server trong mạng nội bộ bằng các kết nối IPv6 hoặc các công nghệ chuyển đổi 6to4, Teredo, IP-HTTPS, ISATAP, NAT-PT.
· Cấu hình Firewall: Để các client có thể kết nối đến DirectAccess Server thì firewall phải được cấu hình để cho phép các luồng dữ liệu này có thể đi qua trên những port nhất định.
haidinhtuan's Blog 