Doanh nghiệp càng phát triển, kết quả theo đó là mạng lưới kinh doanh càng mở rộng, doanh nghiệp sẽ có nhiều chi nhánh và nhân viên, Nhu cầu kết nối với nhau càng trở nên cấp thiết, đảm bảo cho hoạt động kinh doanh một cách hiệu quả . Vì vậy yêu cầu cho hệ thống mạng phải đáp ứng được nhu cầu phát triển đó. O2Security Succendo là một thiết bị SSL VPN Gateway mạnh mẽ, nhà quản trị mạng sẽ được đáp ứng tất cả các nhu cầu về truy xuất thông tin một cách an toàn và bảo mật. Với Succendo SSL VPN, nhà quản trị có thể thiết lập kết nối VPN cho các văn phòng (offices) hay cho các nhân viên di dộng (mobile user) kết nối tới server tài nguyên của doanh nghiệp nhanh chóng chỉ với trình duyệt web. Bài sau sẽ giới thiệu về chức năng Network Connection- một chức năng làm đơn giản hóa quá trình cấu hình và cung cấp nhiều tính năng cho kết nối SSL VPN. Với NC mode cho phép remote client/site kết nối VPN-SSL tới mạng nội bộ. Khi kết nối thành công remote client/site có thể thực hiện mọi thao tác ứng dụng như 1 user trong mạng nội bộ. NC mode sẽ đóng gói dữ liệu ở layer 3.
Có thể sử dụng NC mode để tạo kết nối SSL-VPN trong những trường hợp sau:
- Remote client muốn truy xuất các ứng dụng trên server như file, http, ftp…
- Remote client truy xuất tới các ứng dụng trên server và server có tương tác ngược lại remote client.
- Client đang chạy proxy mode có thể truy cập tới Client chạy NC mode.
- 2 client trong mạng nội bộ muốn chuyển file được an toàn.
- 2 client có thể dùng kết nối peer-2-peer thông qua NC mode.
- Công ty có nhiều branch, mỗi branch cần kết nối liên tục 24/7 đảm bảo an toàn, bảo mật.
Dùng NC mode thiết lập kết nối SSL-VPN cho các remote user :
Yêu cầu topology:
- Cấu hình SSL-VPN dùng NC mode cho các remote client có thể kết nối tới các server farm an toàn, bảo mât,
- Server application với ip 10.0.0.0/24 thuộc vùng DMZ
- Range ip Succendo cấp cho các remote client khi kết nối thànt công là 192.168.1.0/24.
Các bước cấu hình: các bước cấu hình trên Succendo SSL-VPN.
Bước 1: Vào Network > IP Pool tạo pool ip, khi user chứng thực thành công thì Succendo sẽ cấp pool ip này cho card ảo của client.
Nếu không muốn dùng IP Pool, có thể dùng chứng năng Bind IP bằng cách gán ip cố định cho user.
Bước 2: Vào Network Connection > Configure Cấu hình các tham số trong NC mode:
- ARP proxy: bắt buộc chọn nếu range ip trong pool ip cùng mạng với internal ip. Khi user sử dụng NC mode, Succendo sẽ cấp ip trong ip pool cho card ảo trên remote client và xem remote client là một PC trong internal network. ARP Proxy chỉ phân giải những ip trong pool ip
- NC Statistics: Chức năng Succendo ghi nhận tất cả traffic đang dùng NC mode. Chức năng này sẽ làm tốn tài nguyên hệ thống, chỉ chọn khi cần thiết.
Bước 3: Vào Network Connection > NC Profile Cấu hình các tham số trong NC mode:
- DNS server, WINS server: các thông số của server sẽ được cấp cho card ảo của remote client khi NC thành công.
- Local IP method: lựa kiểu cấp ip cho remote client, cấp qua pool tạo trước hay cấp qua DHCP như client trong mạng cục bộ.
- Convert to static IP: nếu không chọn ip sẽ được cấp thông qua ip pool hay DHCP sẽ thực hiện tuần tự. Nếu chọn IP sẽ được cấp cố định căn cứ vào lần đầu remote client được cấp.
- Route:
- Add routes accordig services: Succendo sẽ tự động add một đường route vào trong route table của remote client. Dạng đường route này là một default route dựa vào interface kết nối với remote client. Điều này gây nên sự nhập nhằng nếu route table của remote client có một đường default route khác. Cách khắc phục:
Cách 1: Thêm route- nếu chỉ muốn remote client chỉ có một kết nối tới server;
Cách 2: chọn chức năng Block Internet, khi kết nối SSL-VPN xảy ra, Succendo sẽ xóa bỏ đường default route trong route table của remote client.
- Change Policy : có 3 option cần quan tâm
- Ignore : Succendo có tác dụng thay đổi bất kỳ route nào trong route table của remote client.
- Reconfig : khi kết nối NC đã được thiết lập thì mọi thao tác trên route table đều không có tác dụng.
- End session: Mọi cố gắng thay đổi route table của client đều làm ngắt kết nối SSL-VPN.
- Address Map: chỉ dùng trong kết nối SSL-VPN site-2-site, chức năng này giúp Succendo chuyển sang dãy ip khác để tránh đụng độ ip nếu ip của 2 mạng local và remote trùng nhau.
- User Information: các user hoạt động với mode NC này. Thiết lập trong Account > User Account.
- Group Information: các group user nào hoạt động với mode NC này. Thiết lập trong Account > Group.
Bước 4: Vào Service > Service tạo service là NC , Các thông số:
- Name: Tên của dịch vụ server cung cấp.
- Access Mode: dạng kết nối với server là NC
- Application server: Tên hay địa chỉ IP của server trong vùng DMZ.Nếu dùng tên thì cần tạo trong Network > Name Resolve bao gồm tên và IP tương ứng.
- Service Type: Loại dịch vụ server cung cấp (http, ftp….)
- Group: Nhóm truy xuất cho dịch vụ ( ở đây dùng là FTP)
- Protocol: Loại dịch vụ và port server cung cấp.
- Role Information: lựa chọn role nào đi với service NC.
- Client Applicaton: Remote client dùng đang sử dụng application được chọn có thể thực hiện SSL-VPN với NC.
Bước 5: Tạo role trong Authorization > Role : các user kết nối vào Succendo dựa vào các role cung cấp cho user. Các thông số cần quan tâm:
- Name : tên role.
- Attribute: Các chính sách bảo mật cho user và dịch vụ.
- Service Information: gán service NC đã tạo ở bước 5 vào role
- Condition Information: gán các điều kiện vào cho services và user
- User Information: gán các user có thể sử dụng service NC.
Bước 6: Vào Authentication lựa chọn server để lưu trữ các user chứng thực với Succendo.
Bước 7: Vào Account > User Account tạo user bao gồm user name/ pass hay chứng thực qua certificate file .Khi user truy cập vào Succendo, yêu cầu user chứng thực thành công user mới có thể truy xuất tới mạng cục bộ thông quan NC mode. Và add user vừa tạo vào role.
Bước 8: Thực hiện SSL-VPN
Cách 1: download software Succendo Client , cài đặt và đăng nhập
|
|
Cách 2: dùng trình duyệt IE hay Firefox (yêu cầu dùng IE).
Sau khi chứng thực thành công, Succendo sẽ kiểm tra remote client.
Nếu thõa mãn các điều kiện đã thiết đặt. Kết nối với NC mode thành công.
Dùng NC mode thiết lập SSL-VPN kết nối site-2-site
Yêu cầu topology:
- Cấu hình SSL-VPN site-2-site kết nối LAN1 thuộc branch với LAN2 thuộc HQ.
- IP của LAN1 được chuyển sang mạng 20.0.0.0/24
- IP của LAN2 được chuyển sang mạng 30.0.0.0/24
Các bước cấu hình:
Bước 1: Cấu hình Succendo site-2-site server tại headquarter:
cấu hình NC (network connection): đây là SSL – VPN làm server cho các SSL VPN client tạo kết nối và chứng thực với nó. Các tham số cần quan tâm:
- Ip pool : là range ip mà SSL -VPN server sẽ cấp cho các client remote khi kết nối thành công
- Route: Đường route về mạng local nối với SSL – VPN server (20.0.0.0/24)
- User Information: tạo một user để chứng thực cho các SSL- VPN kết nối tới.
- Map address: chuyển range địa chỉ local sang một range khác tránh trường hợp địa chỉ 2 mạng local và remote cùng địa chỉ gây đụng độ.
Bước 2: Cấu hình Site-2-Site client: cấu hình này trên các branch để kết nối tới các headquarter.
- Remote Site: IP của Succendo là SSL – VPN server
- Username/password: dùng để chứng thực với SSL – VPN server
- Route: Trỏ về địa chỉ range ip local (30.0.0.0/24).
- Map address: chức năng tương tự như trên.
Sau cấu hình xong, 2 sites LAN 1 và LAN 2 có thết kết nối với nhau, truy xuất lẫn nhau như mạng cục bộ.