Dưới đây là 3 case study hướng dẫn từng bước cấu hình SSL-VPN cho mạng các doanh nghiệp sử dụng O2security Succendo. Trong case study này bao gồm:
Case study 1 Enterprise Network: Hướng dẫn cấu hình SSL-VPN cho hệ thống mạng enterprise với nhiều branch kết nối tới HQ và các remote user thường xuyên truy xuất thông tin tới các branch và HQ.
Case study 2 LAN wireless security: Hướng dẫn cấu hình SSL-VPN cho các client sử dụng mạng wireless công cộng để truy xuất tới các branch hay HQ để đảm bảo tính bảo mật và an toàn dữ liệu.
Case study 3 Multi-located Branches: Hướng dẫn cấu hình cho các branch kết nối SSL-VPN tới các HQ liên tục 24/7, đảm bảo hệ thống mạng luôn trạng thái sẵn sàng.
Enterprise :
ªThực trạng:
- Hệ thống mạng công ty đang dùng server farm với các server exchange, web, FTP…..
- Branch của công ty đang dùng lease line để kết nối đến hệ thống mạng với chi phí cao và việc kết nối không thuận lợi với các nhân viên thường làm việc ngoài công ty.
- Các remote user dùng DSL line kết nối tới công ty như down/up file, nhận/gửi mail…..không đảm bảo an toàn khi dùng mạng internet công cộng.
- Công việc đòi hỏi IT Staff và nhân viên phải kết nối 24/7 tới server và với chi phí duy trì cao.
- Việc download và upload tài liệu lên server chưa thực sự bảo mật.
ªGiải pháp:
- Giải pháp dành cho các user làm việc ngoài công ty như các reporter user hay home user: sử dụng SSL VPN Succendo làm VPN gateway.
- Giải pháp dành cho các branch dùng Succendo làm VPN SSL kết nối site-2-site đảm bảo an toàn dữ liệu khi kết nối tới HQ.
Ø Ưu điểm: Với kết nối VPN dựa vào nền tảng là SSL, giải quyết được vấn đề sau:
- Vẫn duy trì một kết nối bảo mật như lease line tránh các nguy cơ tìm ẩn từ internet đồng thời đảm bảo cho các user kết nối mọi lúc mọi nơi với một chi phí duy trì thấp.
- Download hay upload dữ liệu từ các server đảm bảo mật cao.
- Kết nối dễ dàng với một ứng dụng web browser không phải thay đổi bất cứ cấu hình trên máy tính.
- Hỗ trợ lưu trữ tập trung chứng thực các user.
Ø Cấu hình: các bước cấu hình trên Succendo SSL-VPN.
Bước 1: Vào Service > Service tạo các services mà các server cung cấp (FTP , HTTP, terminalserver, exchange….) để các user có thể truy xuất.
Các thông số:
- Name: Tên của dịch vụ server cung cấp.
- Access Mode: dạng kết nối với server (proxy ,NC, FilePass, Udesk)
- Application server: Tên hay địa chỉ IP của server trong vùng DMZ.
- Service Type: Loại dịch vụ server cung cấp (http, ftp….)
- Group: Nhóm truy xuất cho dịch vụ ( ở đây dùng là web)
- Protocol: Loại dịch vụ và port server cung cấp.
Bước 2: Tạo role trong Authorization > Role : các user kết nối vào Succendo dựa vào các role cung cấp cho user. Các thông số cần quan tâm:
- Name : tên role.
- Attribute: Các chính sách bảo mật cho user và dịch vụ (xem bước 6).
- Service Information: gán các service đã tạo ở bước 1 vào role
- Condition Information: gán các điều kiện vào cho services và user
- User Information: gán các user có thể sử dụng services.
Bước 3: Vào Authentication lựa chọn server để lưu trữ các user chứng thực với Succendo.
Bước 4: Tạo user bao gồm user name/ pass hay chứng thực qua certificate file .Khi user truy cập vào Succendo, yêu cầu user chứng thực thành công user mới có thể truy xuất các dịch vụ. Và add user vừa tạo vào role.
Như vậy với mỗi user chỉ có thể truy cập tới các server nhất định được cấu hình trog role.
LAN wireless security :
ªThực trạng:
- Mạng wireless hỗ trợ xác thực user đơn giản, dễ dàng bị xâm nhập, bẻ khóa.
- Tài nguyên truy xuất qua mạng wireless nguy cơ tìm ẩn mất mác dữ liệu.
- Chưa có cơ chế quản lý tài nguyên cần truy cập.
ªGiải pháp:
- Sử dụng kết nối SSL-VPN để truy xuất một cách bảo mật.
- Chứng thực user quan các server như LDAP, AD, RADIUS, certificate server……
- Tài nguyên trên các server được quản lý.
- Ngoài cơ chế chứng thực, cung cấp cơ chế “Client Security” để tăng độ bảo mật cho user.
Ø Các bước cấu hình:
Ngoài những bước cấu hình bên trên cấu hình thêm các bước:
Bước 5: Cấu hình trong Client Security :
- Host check: Kiểm tra xem client có sử dụng các phần mềm như : anti-virus, os, spyware…
- Server certificate: dùng để chứng thực qua certificate, chỉ những client nào có key (private key) được cung cấp bởi server certificate mới có thể truy cập vào SSL-VPN.
- ARL: Danh sách các IP/ range IP truy cập hay cấm truy cập.
- Cache clean : Thực hiện xóa các temporary files, sub registry, excute object sau khi ngắt kết nối SSL-VPN.
- Host protect: Cho phép hay cấm các ứng dụng chạy khi kết nối SSL-VPN đang diễn ra.
- Credential : Điều kiện chứng thực user password hay certificate đảm bảo bảo mật hơn.
Bước 6: Cấu hình Authorization > Attribute
- Re-authentication: Thực hiện chứng thực với Succendo khi muốn truy cập lại.
- Block Internet : Ngắt kết nối internet khi SSL-VPN đang diễn ra.
- Valid Time: Thời gian để Succendo ngắt kết nối SSL-VPN.
- Host binding : Kiểm tra Serial Number HDD hay Mac address để tránh PC khác sử dụng SSL-VPN
Multi-located Branches:
ªThực trạng:
- Để kết nối nhiều branch office đến một HQ (headquarter). Hệ thống mạng đang sử dụng dạng kế nối dạng lease line hay IPsec VPN.
- Kết nối dung nhiều thiết bị bảo mật hay thuê đường truyền lease line nên chi phí duy trì cao.
- Mỗi branch cần tạo kết nối riêng lẻ tới headquarter tăng chi phí quản lý
- Tài nguyên trên server bị phân tán, riêng lẻ không chưa có cơ chế quản lý tập trung , phân quyền truy cập.
ªGiải pháp: Sử dụng SSL VPN site-2-site:
- Tài nguyên được quản lý tập trung phân quyền truy cập.
- Tạo kết nối qua web browser đơn giản, bảo mật và không yêu cầu bất cứ cấu hình nào từ client.
- Chi phí duy trì thấp.
ØCác bước cấu hình:
Bước 1: Cấu hình Succendo site-2-site server tại headquater:
cấu hình NC (network connection): đây là SSL – VPN làm server cho các SSL VPN client tạo kết nối và chứng thực với nó. Các tham số cần quan tâm:
- Ip pool : là range ip mà SSL = VPN server sẽ cấp cho các client remote khi kết nối thành công
- Route: Đường route về mạng local nối với SSL – VPN server (headquarter)
- User Information: tạo một user để chứng thực cho các SSL- VPN kết nối tới.
- Map address: chuyển range địa chỉ local sang một range khác tránh trường hợp địa chỉ 2 mạng local và remote cùng địa chỉ gây đụng độ.
Bước 2: Cấu hình Site-2-Site client: cấu hình này trên các branch để kết nối tới các headquater.
- Remote Site: IP của Succendo là SSL – VPN server
- Username/password: dùng để chứng thực với SSL – VPN server
- Route: Trỏ về địa chỉ range ip local.
- Map address: chức năng tương tự như trên.
PLANET