Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng (http://quantrinet.com/forum/index.php)
-   VPN Server (http://quantrinet.com/forum/forumdisplay.php?f=234)
-   -   VPN Authentication SmartCard (http://quantrinet.com/forum/showthread.php?t=3019)

hoctinhoc 23-07-2009 11:14 PM

VPN Authentication SmartCard
 
VPN Authentication SmartCard


http://msopenlab.com/uploads/thumb_smartcardigHD.jpg


Bạn đã từng triển khai VPN trên Windows Server 2003 và VPN trên ISA Firewall nhưng bạn có bao giờ nghĩ đến việc bảo mật cho hệ thống VPN bằng công nghệ thẻ thông minh (SmartCard) chưa?

Mặc dù công nghệ thẻ thông minh (SmartCard) vẫn còn là khái niệm mới mẻ ở Việt Nam, nhưng vì mục đích cập nhật công nghệ mới nên trong bài viết này tôi xin giới thiệu tính năng và cách cấu hình phương pháp chứng thực SmartCard trong hệ thống VPN

I/ Chuẩn bị :
1/ Máy Domain Controller :
- Tạo group VPN Users
- Tạo 2 user hv1&hv2
- Cấp quyền Remote Access Permission (Allow Access) cho hv1 & hv2
- Cho 2 user làm thành viên của goup VPN USERS
- Cài Enterprise Root CA tên: NhatNghe CA
- Cài Driver & toolkit của bộ SmartCard
2/ Máy ISA (Join Domain) : ISA 2004
3/ Máy VPN Client:
- Cài Driver & toolkit của bộ SmartCard

II/ Thao Tác :
1/ Máy Domain Controller :

Phát hành Certificate
- Start->Run nhập : "certsrv.msc"
- R.Click trên "Certificate Templates" chọn New->Certificate Template to Issue

http://msopenlab.com/LAB/VPN_Authent...picture001.jpg
http://msopenlab.com/LAB/VPN_Authent...picture002.jpg

- Chọn "Enrollment Agent" và "SmartCard logon" -> OK

http://msopenlab.com/LAB/VPN_Authent...picture003.jpg

http://msopenlab.com/LAB/VPN_Authent...picture004.jpg

- Xin và cài đặt certificate Enrollment Agent cho Administrator (Enrollment Agent sẽ giúp cho Admin đại diện xin certificate cho Users)

Trên IE truy cập http://localhost/certsrv chọn Request a certificate-> advanced certificate request -> Create and submit a request to this CA -> Chọn Enrollment Agent -> Submit và Install certificate

http://msopenlab.com/LAB/VPN_Authent...picture005.jpg
http://msopenlab.com/LAB/VPN_Authent...picture006.jpg

http://msopenlab.com/LAB/VPN_Authent...picture007.jpg

http://msopenlab.com/LAB/VPN_Authent...picture008.jpg

http://msopenlab.com/LAB/VPN_Authent...picture009.jpg

http://msopenlab.com/LAB/VPN_Authent...picture010.jpg

http://msopenlab.com/LAB/VPN_Authent...picture011.jpg

http://msopenlab.com/LAB/VPN_Authent...picture012.jpg

http://msopenlab.com/LAB/VPN_Authent...picture013.jpg

- Administrator xin giùm certificate SmartCard cho hv1.

Trên IE truy cập http://localhost/certsrv chọn Request a certificate-> advanced certificate request -> Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station,

http://msopenlab.com/LAB/VPN_Authent...picture014.jpg

http://msopenlab.com/LAB/VPN_Authent...picture015.jpg

http://msopenlab.com/LAB/VPN_Authent...picture016.jpg

http://msopenlab.com/LAB/VPN_Authent...picture018.jpg

http://msopenlab.com/LAB/VPN_Authent...picture019.jpg

http://msopenlab.com/LAB/VPN_Authent...picture020.jpg


- Download certificate cho VPN Clients sữ dụng : (Trong bài viết này tôi dùng USB Drive chép certificate từ máy DC sang máy VPN Client)

http://msopenlab.com/LAB/VPN_Authent...picture001.jpg

http://msopenlab.com/LAB/VPN_Authent...picture002.jpg

http://msopenlab.com/LAB/VPN_Authent...picture003.jpg

http://msopenlab.com/LAB/VPN_Authent...picture004.jpg

http://msopenlab.com/LAB/VPN_Authent...picture005.jpg

http://msopenlab.com/LAB/VPN_Authent...picture006.jpg


II/ Máy ISA Firewall

Xin và cài đặt certificate cho computer

http://msopenlab.com/LAB/VPN_Authent...picture001.jpg

http://msopenlab.com/LAB/VPN_Authent...picture002.jpg

http://msopenlab.com/LAB/VPN_Authent...picture003.jpg


http://msopenlab.com/LAB/VPN_Authent...picture004.jpg


http://msopenlab.com/LAB/VPN_Authent...picture005.jpg
http://msopenlab.com/LAB/VPN_Authent...picture006.jpg

http://msopenlab.com/LAB/VPN_Authent...picture007.jpg

http://msopenlab.com/LAB/VPN_Authent...picture008.jpg

http://msopenlab.com/LAB/VPN_Authent...picture009.jpg

http://msopenlab.com/LAB/VPN_Authent...picture010.jpg

http://msopenlab.com/LAB/VPN_Authent...picture011.jpg

- Kích hoạt và cấu hình VPN Server trên ISA 2004 Firewall

Virtual Private Networks (VPN) chọn Verify -> Enable VPN Client access


http://msopenlab.com/LAB/VPN_Authent...picture012.jpg

http://msopenlab.com/LAB/VPN_Authent...picture013.jpg

http://msopenlab.com/LAB/VPN_Authent...picture014.jpg

http://msopenlab.com/LAB/VPN_Authent...picture015.jpg


http://msopenlab.com/LAB/VPN_Authent...picture016.jpg

http://msopenlab.com/LAB/VPN_Authent...picture017.jpg

http://msopenlab.com/LAB/VPN_Authent...picture018.jpg

http://msopenlab.com/LAB/VPN_Authent...picture019.jpg

http://msopenlab.com/LAB/VPN_Authent...picture020.jpg

- Tạo Rules cho VPN clients access.

R.Click Firewall Policy chọn New->Access Rule -> đặt tên rules -> Next.


http://msopenlab.com/LAB/VPN_Authent...picture021.jpg

http://msopenlab.com/LAB/VPN_Authent...picture022.jpg

http://msopenlab.com/LAB/VPN_Authent...picture023.jpg

http://msopenlab.com/LAB/VPN_Authent...picture024.jpg

http://msopenlab.com/LAB/VPN_Authent...picture025.jpg

http://msopenlab.com/LAB/VPN_Authent...picture026.jpg

http://msopenlab.com/LAB/VPN_Authent...picture027.jpg

http://msopenlab.com/LAB/VPN_Authent...picture028.jpg

- Cấu hình Remote Access Policies

http://msopenlab.com/LAB/VPN_Authent...picture029.jpg

http://msopenlab.com/LAB/VPN_Authent...picture031.jpg

- Bạn cần có 3 thuộc tính
Authentication-Type = EAP
Tunnel-Type = Point to Point Tunneling Protocol
Windows-Group = VPN Access Group


http://msopenlab.com/LAB/VPN_Authent...picture032.jpg

http://msopenlab.com/LAB/VPN_Authent...picture033.jpg

http://msopenlab.com/LAB/VPN_Authent...picture034.jpg

http://msopenlab.com/LAB/VPN_Authent...picture035.jpg

http://msopenlab.com/LAB/VPN_Authent...picture036.jpg

http://msopenlab.com/LAB/VPN_Authent...picture037.jpg

3/ VPN Clients

- Import certificate (Certificate đã xin và lưu trong USB Drive từ bước 1)


http://msopenlab.com/LAB/VPN_Authent...picture001.jpg

http://msopenlab.com/LAB/VPN_Authent...picture002.jpg


http://msopenlab.com/LAB/VPN_Authent...picture003.jpg

http://msopenlab.com/LAB/VPN_Authent...picture004.jpg

http://msopenlab.com/LAB/VPN_Authent...picture005.jpg

http://msopenlab.com/LAB/VPN_Authent...picture006.jpg

http://msopenlab.com/LAB/VPN_Authent...picture007.jpg

http://msopenlab.com/LAB/VPN_Authent...picture008.jpg

- Tạo kết nối VPN và chọn Smartcard


http://msopenlab.com/LAB/VPN_Authent...picture009.jpg


http://msopenlab.com/LAB/VPN_Authent...picture010.jpg

http://msopenlab.com/LAB/VPN_Authent...picture011.jpg

http://msopenlab.com/LAB/VPN_Authent...picture012.jpg

http://msopenlab.com/LAB/VPN_Authent...picture013.jpg

http://msopenlab.com/LAB/VPN_Authent...picture014.jpg

http://msopenlab.com/LAB/VPN_Authent...picture015.jpg

http://msopenlab.com/LAB/VPN_Authent...picture016.jpg

- Kết nối VPN sử dụng SmartCard


http://msopenlab.com/LAB/VPN_Authent...picture018.jpg

http://msopenlab.com/LAB/VPN_Authent...picture019.jpg

http://msopenlab.com/LAB/VPN_Authent...picture020.jpg

http://msopenlab.com/LAB/VPN_Authent...picture021.jpg

http://msopenlab.com/LAB/VPN_Authent...picture022.jpg

http://msopenlab.com/LAB/VPN_Authent...picture023.jpg

http://msopenlab.com/LAB/VPN_Authent...picture024.jpg

http://msopenlab.com/LAB/VPN_Authent...picture025.jpg

http://msopenlab.com/LAB/VPN_Authent...picture026.jpg

http://msopenlab.com/LAB/VPN_Authent...picture027.jpg

By Đào Duy Hiếu
www.msopenlab.com


Bây giờ là 06:19 PM. Giờ GMT +7

Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.