Lab Windows Server 2008 + Vista
Posted in Vietnamese Articles by kissdeath on April 4th, 2009
Archive for the ‘Vietnamese Articles’ Category
Basic Config Windows 2008 Server Core
Posted in Tips-Thủ thuật, Vietnamese Articles by kissdeath on March 17th, 2009
Tags: Windows Server 2008
Đôi điều về ứng dụng SSTP trong VPN
Posted in Vietnamese Articles by kissdeath on February 15th, 2009
Các bạn đã tham khảo bài viết ỨNG DỤNG SSTP VỚI HỆ THỐNG VPN.Bây giờ chúng ta tìm hiểu rõ hơn tại sao sử dụng SSTP và cơ chế hoạt động của nó.
1.Vì sao sử dụng SSTP trong VPN ?
- Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng thông qua Internet.
Windows Server 2003 hỗ trợ các đường hầm VPN dựa vào PPTP và L2TP/IPSec.Nếu người dùng truy cập từ xa ở đằng sau một Firewall,những đường hầm này đòi hỏi các port riêng biệt được mở bên trong các firewall như các port TCP 1723 và giao thức IP GRE để cho phép kết nối PPTP.
-Có những tình huống như nhân viên ghé thăm khách hàng,địa điểm đối tác hoặc khách sạn mà hệ thống chỉ cho truy cập web (HTTP,HTTPs),còn tất cả các port khác bị ngăn chặn.Kết quả,những user từ xa này gặp phải vấn đề khi thực hiện kết nối VPN do đó làm tăng cuộc gọi nhờ trợ giúp và giảm năng suất của nhân viên.
- Secure Socket Tunneling Protocol(SSTP) là một đường hầm VPN mới được giới thiệu trong Windows Server 2008 nhằm giải quyết vấn đề kết nối VPN này.
SSTP thực hiện điều này bằng cách sử dụng HTTPs làm lớp vận chuyển sao cho các kết nối VPN có thể đi qua các firewall,NAT và server web proxy thường được cấu hình.Bởi vì kết nối HTTPs (TCP 443) thường được sử dụng để truy cập các site Internet được bảo vệ như các web site thương mại,do đó HTTPs thường được mở trong các firewall và có thể đi qua các Proxy web,router NAT.
- VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng nghe các kết nối SSTP tùu VPN client.SSTP server phải có một Computer Certificate được cài đặt thuộc tính Server Authentication.Computer Certificate này được sử dụng để xác thực server SSTP với client SSTP trong quá trình thiết lập session SSL.Client hiệu lực hóa certificate của server SSTP.Để thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phải được cài đặt trên client SSTP.
- Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peer-L2TP và dựa vào PPTP.Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao đó gửi các lưu lượng cho cho kết nối HTTPs.Như vậy,tất cả các tính năng khác của VPN như kiểm tra sức khỏe dựa vào NAT,tải lưu lượng IPV6 trên VPN,các thuật toán xác thực như username và smartcard…và client VPN dựa vào trình quản lý kết nối vẫn không thay đổi đối với SSTP,PPTP và L2TP.Nó giup cho Admin một đường dẫn di trú tốt để di chuyển từ L2TP/PPTP đến SSTP.
2.SSTP họat động như thế nào?
-SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thông tin và dữ liệu.SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên để xác thực client với server.Nghĩa là Client xác thực server bằng certificate và Server xác thực Client thông qua giao thức hiện có được hỗ trợ bởi PPP.
-Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giao tác tạo lập đường hầm,SSTP thiết lập session HTTPs với server từ xa tại port 443 ở một địa chỉ URL riêng biệt.Các xác lập proxy HTTP được cấu hình thông qua IE sẽ được sử dụng để thiết lập kết nối này.
Với session HTTPs,client đòi hỏi server cung cấp certificate để xác thực.Khi thíết lập quan hệ SSL hòan tất,các session HTTP được thíet lập trên đó.Sau đó,SSTP được sử dụng để thương lượng các tham số giữa Client và Server.Khi lớp SSTP được thíêt lập,việc thương lượng SSTP được bắt đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầm cho dữ liệu.
3.Ví dụ:
Client có địa chỉ IP 192.168.1.10 nằm đằng sau một proxy Web có IP:192.168.1.100:8080.Thiết lập một đường hầm SSTP đến RAS server có địa chỉ IP Public 210.245.22.171.Server được public với domain nhatnghe.com.
*Các bước thiết lập đường hầm
1.Client kết nối đến VPNserver
2. Yêu cầu kết nối gửi đến proxy server.Proxy server thiết lập nối kết TCP với port 443
3.Thiết lập quan hệ kết nối SSL,nhận và kiểm tra certificate.
4.Client gửi yêu cầu HTTP đến server để thiết lập session HTTPs
5.SSTP thương lượng các tham số trên session HTTPs
6.PPP bắt đầu trên SSTP,cung cấp cơ chế xác thực client và các tham số khác như IP đường hầm…
7.Một Interface ảo (PPP Adapter) được tạo trên client có IP được cấp từ Server
8.Dữ liệu được truyền đi giữa client và server thông qua Interface ảo sẽ được tạo đường hầm đến VPN Server và đi vào intranet bên trong.
Một vài điểm trên có thể giúp các bạn hiểu rõ hơn về SSTP.
Chúc các bạn thành công!
__________________
Nhất Nghệ Support Team
Nguyễn Văn Cơ
Nhất Nghệ Support Team
Nguyễn Văn Cơ
Triển khai cài đặt Office từ xa sử dụng file MST
Posted in Vietnamese Articles by kissdeath on February 12th, 2009
Microsoft Office là bộ ứng dụng văn phòng rất phổ biến,có nhiều công cụ để User làm việc: Word, Exel, Outlook, Visio… Thông thường mọi máy tính trong 1 hệ thống yêu cầu được cài đặt Office hoặc 1 số Users yêu cầu : ngồi trên bất kì máy tính nào phải có Office để làm việc.
Cách cài đặt đơn giản nhất: người IT trong hệ thống phải mang CD Sources càiđặt đến từng máy để cài cho User. Như vậy việc triển khai Office cho nhiều Users sẽ mất nhiều thời gian, gây ảnh hưởng đến tiến độ làm việc của Users.
Lựa chọn triển khai thứ 2: sử dụng GPO trong môi trường Domain Network. Chỉcần tạo GPO trên Domain Controller và quá trình cài đặt sẽ diễn ra 1 cách tựđộng, Yêu cầu source cài đặt phải có file *.MSI
Ưu điểm :không cần đến từng máy tính thực hiện việc cài đặt và quá trình cài đặtdiển ra hoàn toàn tự động khi Users Log on vào làm việc.
Nhược điểm : Users phải nhập Product Key mới có thể sử dụng chương trình.
Để khắc phục nhược điểm này, khi deploy chúng ta sẽ kết hợp file *.MST để hổtrợ Users, khi đó User không cần nhập Product Key vẫn có thể chạy được mọiứng dụng trong bộ Office. Office
Setting Up Secure Wireless Access – Part1
Posted in Vietnamese Articles by kissdeath on February 8th, 2009
SETTING UP SECURE WIRELESS ACCESS WITH PEAP-MS-CHAP v2 AUTHENTICATION
I. Giới Thiệu:
Nhu cầu triển khai hệ thống mạng không dây ngày càng phát triển. Mạng không dây hổ trợ cho người dùng sự tiện lợi ( có thể kết nối vào hệ thống mạng Lan, Wan ở bất cứ vị trí nào ) và đạt hiệu quả cao trong vấn đề thẩm mỹ… Tuy nhiên, vấn đề cần quan tâm ở đây là vì sự tiện lơi cho nên bất kỳ một máy tính hoặc thiết bị… chỉ cần có Wireless Card thì cũng có thể kết nối vào hệ thống mạng của bạn thông qua sóng WIFI. Để tăng mức độ an toàn, bảo mật cho hệ thống mạng không dây các nhà sản xuất đã đưa vào Access Point nhiều tính năng bảo mật như: WEP, WPA, WPA-PSk, 802.1X … hoặc Filter theo MAC Address. Với bài viết này tôi xin trình bày cho các bạn giải pháp triển khai Secure Wireless Access với sự chứng thực của PEAP-MS-CHAP v2.
II. Mô Hình:
Tags: Network Security, Wireless
Setting Up Secure Wireless Access – Part2
Posted in Vietnamese Articles by kissdeath on February 8th, 2009
SETTING UP SECURE WIRELESS ACCESS WITH EAP-TLS AUTHENTICATION
I. Giới Thiệu:
Sau khi hoàn thành bài Lab Secure Wireless Access With PEAP-MS-CHAP v2 Authentication ở phần 1 chúng ta sẽ tiếp tục phần 2 với EAP-TLS Authentication.
II. Mô Hình:
Tags: Network Security, Wireless