Category Archives: Windows Server 2012

Remote Access trên Windows Server 2012 (Phần 1)

Ngày nay, trong thời buổi công nghệ, giới doanh nghiệp thường làm việc từ xa, Windows Server 2012 mang đến cho chúng ta nhiều trãi nghiệm mới và giải pháp truy cập từ xa cho mọi mô hình doanh nghiệp. Trong Windows Server 2008 R2, chúng ta đã thấy các vai trò của máy chủ DirectAccess, nhờ đó bạn có thể cho phép tất cả các tên miền tham gia vào máy chủ tự động kết nối với mạng công ty mà không yêu cầu người sử dụng để thiết lập kết nối VPN. Tuy nhiên, một vấn đề với DirectAccess trong Windows Server 2008 R2, nó chủ yếu là một giải pháp doanh nghiệp vì nhiều yêu cầu và độ phức tạp của nó. Doanh nghiệp vừa và nhỏ thì rất khó triển khai. Ngoài ra, nếu bạn thực sự muốn triển khai một giải pháp DirectAccess từ xa, các phiên bản Windows Server khác thì không khả thi với của DirectAccess. Do đó, bạn phải triển khai DirectAccess sử dụng Microsoft Unified Access Gateway hoặc UAG điều này làm tăng thêm độ phức tạp và chi phí.

Một sự thiếu sót rõ ràng khi Microsoft tập trung vào TMG (phụ thuộc vào UAG) và chính UAG, sẽ không có ý nghĩa gì nhiều khi tiếp tục yêu DirectAccess phải phụ thuộc vào ứng dụng khác trên server. Tin tốt lành là những tính năng mới và được cải tiến, điều mà người dùng mong đợi từ DirectAccess đã được tích hợp vào trong Windows Server 2012. Một vài tính năng có sẵn trong UAG DirectAccess thì bây giờ đã bao gồm trong Windows Server. Ngoài ra, Windows Server 2012 DirectAccess đã được điều chỉnh để tất cả các doanh nghiệp, lớn và nhỏ, có thể chọn tùy chọn triển khai phù hợp với mức độ tinh tế của hệ thống mạng.

Tuy nhiên, giải pháp remote access của Windows Server 2012 không chỉ là DirectAccess. Nó chỉ đơn giãn là mang DirecAccess vào chương trình quản lý truy cập từ xa (remote access management) và tích hợp nó vào một phần của giải pháp Routing and Remote Access trong Windows Server 2012. Có nghĩa là Remote Access VPN, Site-to-Site VPN, và DirectAccess bây giờ tất cả đều là một phần của role mới được gọi là Remote Access Server.

Chức năng mới

Một vài điều thú vị bạn sẽ tìm thấy trong Remote Access Server Role trong Windows Server 2012  bao gồm:

  • Tích hợp quản lý DirectAccess và RRAS. Bạn có thể quản lý DirectAccess và những dịch vụ VPN cơ bản khác dựa trên các dịch vụ truy cập từ xa từ một giao diện.
  • Đơn giản hóa quản lý DirectAccess cho các tổ chức vừa và nhỏ. Đơn giản hóa quản lý DirectAccess cho các tổ chức vừa và nhỏ. DirectAccess là một thứ phức tạp và khó sử dụng như phiên bản trong Windows Server 2008 R2. Yêu cầu đối với hai địa chỉ IP liên tiếp, yêu cầu IPv6 và các yêu cầu khác đã làm cho nó không thực tế cho hầu hết các công ty nhỏ khi triển khai DirectAccess.Những yêu cầu này đã được loại bỏ trong phiên bản Server 2012 và bây giờ bất cứ ai những người được kết nối với Internet thông qua một máy tính mà có thể cho phép các kết nối gửi đến cổng TCP 443 có thể tậng hưởng được lợi ích từ DirectAccess.
  • Loại bỏ các triển khai PKI như là một điều kiện tiên quyết cho DirectAccess. PKI và các yêu cầu cấu chứng chỉ cho triển khai Windows Server 2008 R2 DirectAccess thì phức và khó hiểu – và họ phải kèm theo các bài tập xử lý sự cố lâu dài và khó khăn. Với Windows Server 2012 DirectAccess, bạn không nhất thiết cần giấy chứng nhận hoặc PKI, nhờ vào khả năng sử dụng ràng buộc Kerberos.
  • Xây dựng NAT64 và DNS64 hỗ trợ truy cập vào tài nguyên chỉ IPv4. Trong phiên bản Windows Server 2008 R2 DirectAccess, bạn phải có một mạng nội bộ IPv6 có để có được nhiều kết nối DirectAccess. Vấn đề này đã được thay đổi khi triển khai UAG vì nó có dịch vụ NAT64/DNS64, trong đó loại bỏ đòi hỏi bạn phải có một mạng IPv6 có mạng nội bộ . Với Windows Server 2012, hai dịch vụ chính được thực hiện như là một phần của nền tảng Windows 2012, do đó bạn không cần phải thêm bất kỳ sản phẩm nào khác để có được DirectAccess làm việc duy nhất của bạn trên mạng IPv4.
  • Hỗ trợ các máy chủ DirectAccess sau thiết bị NAT. Một khó khăn khi triển khai cho danh nghiệp lớn và vừa đó là không thể triển khai DirectAccess nằm sau thiết bị NAT. Những doanh nghiệp lớn thường yêu cầu DirectAccess nằm sau một Firewall, những doanh nghiệp nhỏ thì lại không đủ IP public cho giải pháp này. Với Window Server 2012 DirectAccess, bạn hoàn toàn có thể đặt DirectAccess nằm sau thiết bị NAT, do đó loại bỏ được những phiền hà khi triển khai DirectAccess.
  • Đơn giản hóa chính sách an ninh mạng. Giải pháp Windows Server 2008 R2 DirectAccess sử dụng một tập hợp rất phức tạp của các quy tắc bảo mật với IPsec để tạo ra nhiều loại kết nối IPsec phục vụ các mục đích khác nhau. Làm cho DirectAccess khó khăn để triển khai và thậm chí còn khó khăn hơn để khắc phục sự cố khi một cái gì đó đã đi sai. Windows Server 2012 DirectAccess đơn giản hóa rất nhiều các chính sách an ninh mạng, mà làm cho nó dễ dàng hơn để triển khai và khắc phục sự cố.
  • Hỗ trợ load balancing. High availability là một yêu cầu quan trọng đối với bất kỳ giải pháp truy cập từ xa. Lý do là thường các giải pháp truy cập từ xa sẽ được sử dụng rất nhiều khi có một số sự kiện ngăn người dùng vào văn phòng. Trong trường hợp đó, nếu các giải pháp truy cập từ xa không phải là High availability, người sử dụng sẽ không thể nhận được bất kỳ kết nối nào, và tất nhiên đó là một tình huống không được ưa chuộng! Trong Windows Server 2008 R2 DirectAccess, để hỗ trợ High availability không phải là dễ. Để có được High availability với DirectAccess tại thời điểm đó, bạn phải triển khai UAG. Bây giờ với các giải pháp DirectAccess của Windows Server 2012, Network Load Balancing hỗ trợ cho các máy chủ DirectAccess được High availability.
  • Hỗ trợ multiple domains. Trong khi multiple domain đã được tích hợp sẵn trong Windows Server 2008 R2 DirectAccess, nó thì hơi khó khăn để triển khai. Khi triển khai Windows Server 2012 DirectAccess,hỗ trợ tốt cho multiple domains dễ dàng cài đặt và khắc phục sự cố.
  • Tích hợp NAP. Network Access Protection (NAP) là kỹ thuật điều khiển truy cập mạng yêu cầu các máy client phải thỏa mãn tình trạng an ninh trước khi truy cập mạng. Nếu client không thỏa mãn yêu cầu an ninh, chúng sẽ không được chấp nhận kết nối thông qua DirectAccess. NAP được tích hợp với DirectAccess không phải chỉ có trên phiên bản Windows có UAG mới làm việc được. Bây giờ với DirectAccess Windows Server 2012, bạn sẽ có được hỗ trợ NAP một cách nhanh chóng và tiện lợi.
  • Hỗ trợ cho OTP (chứng thực thông qua token). OTP (one-time password) bằng cách sử dụng OAuth phép bạn yêu cầu người sử dụng mật khẩu một lần để xác thực với máy chủ DirectAccess. Chức năng này trước đây chưa có sẵn trong phiên bản Windows Server, vì vậy bạn phải thêm UAG để được hỗ trợ OTP. Với Windows Server 2012, bạn sẽ có được hỗ trợ cho OTP mà không cần phải thêm cái gì hết.
  • Hỗ trợ tự động cho force tunneling. Force tunneling là một lựa chọn cấu hình trong DirectAccess, theo đó bạn có thể buộc tất cả các kết nối mạng để đi thông qua kết nối DirectAccess. Nếu DirectAccess client cần kết nối vào tài nguyên của công ty, những kết nối có phải đi qua các đường hầm DirectAccess. Nếu DirectAccess khách hàng muốn kết nối với Internet, sau đó những yêu cầu cũng phải đi qua các đường hầm DirectAccess. Force tunneling là trái ngược với split tunneling, nhờ đó mà bạn cho phép các máy khách sử dụng kết nối DirectAccess để kết nối với tài nguyên doanh nghiệp và khi các máy khách DirectAccess muốn kết nối tới tài nguyên Internet, họ kết nối trực tiếp thông qua kết nối Internet bất cứ điều gì họ có thể đã có. Vấn đề split tunneling là một mối quan tâm vào cuối năm 1990 và đầu giữa những năm 2000, nhưng ít hơn nhiều của một mối quan tâm ngày hôm nay. Cấu hình mặc định cho DirectAccess trong Windows Server 2008 R2 cho phép phân chia đường hầm, và điều này đã dẫn đến một cuộc nổi dậy nhỏ trong số các quản trị viên truy cập từ xa. Do đó, hướng dẫn được tạo ra để cho phép hiệu lực đường hầm trên phiên bản duy nhất của Windows DirectAccess, nhưng hướng dẫn là phức tạp và khó theo dõi. UAG thực hiện các quá trình rất đơn giản và đơn giản đó là một tính năng UAG hiện đã được tích hợp vào thực hiện DirectAccess của Windows Server 2012.
  • Khả năng tương tác và cải tiến hiệu suất trong IP-HTTPS. IP-HTTP là một giao thức chuyển tiếp IPv6 cho phép các máy khách DirectAccess trên Internet IPv4 để kết nối đến máy chủ DirectAccess. Các vấn đề với các phiên bản trước của giao thức IP-HTTPS là thực hiện các kết nối IPsec trong một vận chuyển TLS, tăng đáng kể trên không mã hóa cho các kết nối IP-HTTPS. Đó là lý do một số người gọi IP-HTTPS như các giao thức chuyển tiếp IPv6 cuối cùng. Tuy nhiên, các giao thức IP-HTTPS là phương pháp ưa thích cho các quản trị viên, vì nó chỉ yêu cầu rằng cổng TCP 443 được mở từ đầu đến cuối giữa máy chủ và máy khách DirectAccess. Microsoft nhận ra sự thay đổi này và thực hiện giao thức IP-HTTPS để nó sẽ có hiệu suất tốt hơn và dễ dàng hơn để quản lý.
  • Hỗ trợ Manage-out Manage-out đề cập đến khả năng kết nối với máy khách DirectAccess từ máy chủ trên mạng công ty. Điều này cho phép các nhân viên Help Desk kết nối với các máy khách DirectAccess để có thể thực hiện thay đổi cần thiết. Ngoài ra, Manage-out cho phép công ty CNTT quản lý tất cả các máy ở tất cả các điểm, dù có hoặc không nằm trên mạng công ty. Trong thực tế, nhiều tổ chức CNTT thấy rằng Manage-out là giá trị chính DirectAccess và chỉ cho phép tính năng này, và không cho phép các kết nối gửi vào mạng nội bộ thông qua DirectAccess. Manage-out đã được cải thiện và đơn giản hóa trong các giải pháp DirectAccess của Windows Server 2012.

Tổng Kết

Trong bài này, tôi bắt đầu giới thiệu sơ bộ tính năng Remote Access Server Role trong Windows Server 2012. Chúng ta cũng đã thảo luận một số các tính năng mới có trong truy cập từ xa của Windows Server 2012, tập trung vào các tính năng mới và cải tiến trong DirectAccess. Bài tiếp theo, chúng ta sẽ đào sâu hơn vào một trong những tính năng trên. Hẹn gặp lại các bạn.

10 tính năng cải tiến mới trong Windows Server 2012

Windows Server 2012 đã được phát hành chính thức từ ngày mùng 9 tháng Chín và rất nhiều chuyên gia IT và quản trị viên hệ thống đang tiến hành đánh giá trước khi triển khai phần mềm. Hệ điều hành được bổ sung thêm rất nhiều tính năng mới hữu ích cho các nhà quản trị. Hãng Microsoft cho phép tải về bản dùng thử của Windows Server 2012 vì vậy chúng ta có thể tìm hiểu những tính năng này trước khi quyết định có sử dụng hệ điều hành hay không.

Dưới đây là 10 trong số các tính năng ưu việt nhất của Windows Server 2012.

 

Tránh trùng lặp dữ liệu

Một trong những hằng số bất biến của công nghệ và ngành công nghiệp IT là các yêu cầu về bộ lưu trữ dữ liệu và những đòi hỏi này đang gia tăng cực kỳ nhanh. Từ việc phình to hộp thư điện tử cho đến tràn ngập tài liệu chia sẻ làm mọi doanh nghiệp đều có nhu cầu sử dụng bộ lưu trữ hiệu quả hơn. Đó là lý do tính năng chống trùng lặp dữ liệu (Data deduplication) xuất hiện.

Chương trình hoạt động như sau: Giả sử bạn có một số lượng lớn file VHD (virtual hard drive) cần di chuyển. Mỗi VHD đó có rất nhiều file và ứng dụng giống nhau, như trò chơi dò mìn minesweeper, Windows calculator và các ứng dụng khác trong Accessories. Data deduplication sẽ gỡ bỏ toàn bộ các bản sao ứng dụng từ các VHD đó mà chỉ giữ lại một bản. Sau đó dữ liệu còn lại được lưu tại một vị trí tách biệt trong SVI (System Volume Information) và trỏ tới những file đóng vai trò là mẫu nguồn (source template). Việc này giúp giải phóng một khối lượng lớn không gian bộ nhớ đặc biệt khi nó được áp dụng cho hàng ngàn file. Data deduplication có tác dụng với nhiều mạng máy tính khác nhau và cả máy tính chạy Windows 8 hay Windows Server 2012. Nếu bạn có nhiều file và dữ liệu cần lưu mà không đủ bộ nhớ thì đây là một tính năng thực sự hữu ích.

Tùy chọn cài đặt cho phép loại bớt GUI

Windows Server 2012 hiện tại có một tùy chọn cài đặt mặc định cho phép cài đặt server core ít GUI hơn. Người dùng cũng có thể cài đặt Windows Server 2012 với giao diện người dùng tối thiểu nhất, tức họ thậm chí có nhiều cách hơn để cài đặt chỉ những file Windows Server mình cần. Việc này giúp làm giảm không gian ổ đĩa, giảm thiểu nguy cơ tấn công từ các hacker nhờ hạn chế số lượng file cài xuống tối thiểu.

Hyper-V 3.0

Windows Server 2012 được nạp nhiều tính năng mới, nhưng có lẽ tính năng được coi là cải tiến lớn nhất chính là ảo hóa Hyper-V. Từ bỏ VMware, giờ đây Microsoft đã bổ sung cho Hyper-V một danh sách các cải tiến vô cùng ấn tượng. Một trong số đó là hỗ trợ tới 64 xử lý và 1TB RAM trên máy ảo, cũng như hỗ trợ tới 320 bộ xử lý phần cứng mức logic và 4TB RAM trên một máy chủ (host). Thông điệp là rất rõ ràng: Microsoft đang làm mọi thứ có thể để đánh đổ vị trí của VMware, sự chọn lựa nền tảng ảo hóa hàng đầu cho doanh nghiệp ở thời điểm này.

Quản lý địa chỉ IP (IPAM)

Một trong những mối lo lớn nhất của rất nhiều chuyên gia IT là giám sát các địa chỉ IP được sử dụng trên mạng của tổ chức. IPAM là một tính năng mới trong Windows Server 2012 cho phép định vị và quản lý không gian địa chỉ IP trên mạng. Người dùng cũng có thể quản lý và giám sát những server DNS và DHCP. Tính năng cũng khám phá IP tự động và cung cấp một máy chủ (host) chứa những tác vụ khác liên quan đến IP, tập trung vào quản lý, giám sát và kiểm kê.

Các thay đổi về ảo hóa mạng

Một trong những khía cạnh còn khúc mắc trong việc quản lý và cung cấp máy ảo đó là đối phó với những quy định và chế tài từ quản lý địa chỉ IP. Microsoft đang tiến hành những cải tiến lớn cho ảo hóa mạng trong Windows Server 2012, tất cả đều nhắm tới xử trí các vấn đề liên quan đến địa chỉ IP và máy ảo. Tính năng mở đường cho sự thừa nhận đám mây riêng, và cũng tháo dỡ rào chắn cho phép tiếp cận IaaS dễ dàng hơn.

Re-FS

Định dạng file hệ thống NTFS đã được sử dụng hơn một thập kỷ qua bởi Microsoft. Các yêu cầu gần đây từ ảo hóa và điện toán đám mây riêng đòi hỏi nhiều hơn từ NTFS, vì vậy Microsoft đã quyết định bổ sung những tính năng mới và gia cố những tính năng hiện tại cho NTFS. Kết quả là một bản nâng cấp NTFS được gọi là Re-FS xuất hiện.

Re-FS hỗ trợ file và kích thước thư mục lớn hơn, dọn dẹp ổ đĩa, cải thiện hiệu năng, hỗ trợ ảo hóa nâng cao…

Chuyển dịch máy ảo

Một trong những tính năng ấn tượng trên Hyper-V 3.0 là shared nothing live migration, cho phép người dùng di dời máy ảo từ máy này sang máy khác với đòi hỏi phải có bộ lưu trữ chung trước khi tiến hành chuyển nhượng. Tính năng này có lợi cho những bộ phận IT nhỏ và giúp dễ dàng hơn khi di dời các máy ảo mà không cần bộ lưu trữ chia sẻ đắt tiền. Đây là một trong những tính năng rất ấn tượng trong Windows Server 2012 và giúp cho các phòng ban IT vừa và nhỏ trở nên nhạy bén và phản ứng nhanh hơn đối với các nhu cầu của doanh nghiệp và khách hàng.

Kho lưu trữ và không gian lưu trữ

Việc sử dụng hiệu quả tất cả những dạng bộ lưu trữ tách biệt đôi khi có thể là một công việc hết sức khó khăn, đặc biệt khi nhu cầu lưu trữ ngày càng gia tăng. Microsoft đang hi vọng giúp các nhà quản trị giải quyết được vấn đề bằng cách giới thiệu hai khái niệm Storages và Spaces trong Windows Server 2012.

Kho lưu trữ (Storage Pools) tổng hợp các thiết bị lưu trữ vật lý vào những đơn vị gắn kết nhau giúp dễ dàng hơn trong việc bổ sung dung lượng bộ nhớ khi cắm thêm bộ lưu trữ. Như đã đề cập trước đó, các thiết bị lưu trong kho lưu không phải được đồng nhất về loại thiết bị hay kích thước lưu trữ. Bạn có thể kết hợp các thiết bị và kích thước lưu trữ tại đây.

Không gian lưu trữ (Storage Spaces) cho phép người dùng tạo các ổ đĩa ảo có cùng đặc điểm như thiết bị thực: Có thể được cắm, tháo, lưu dự phòng và mặt khác quản lý được như với những ổ đĩa vật lý truyền thống. Nhưng Spaces thậm chí còn có những tính năng hữu ích hơn. Chúng cũng có thêm chức năng phụ trong lưu dự phòng, khôi phục…

PowerShell 3.0

Microsoft hỗ trợ PowerShell trong Windows Server 2012. Hơn 2000 câu lệnh PowerShell (cmdlet) được bổ sung cho phép nhà quản trị quản lý môi trường Windows Server tốt hơn. Bản cập nhật mới nhất cũng cải thiện khả năng truy cập Web, hẹn lịch, hỗ trợ các phiên ngắt kết nối cùng nhiều tính năng mới khác.

 

Những thay đổi trong CHKDSK

Ứng dụng CHKDSK đã được sử dụng từ MS-DOS 1.0 và hiện đã được gia cố trong Windows Server 2012. Thay vì mất một lượng lớn thời gian kiên trì quét qua từng sector trên những ổ đĩa lớn thì CHKDSK mới bây giờ quét ổ đĩa theo hai bước: dò lỗi và ghi lại lỗi (cũng có thể chạy nền) sau đó vá lỗi dữ liệu.

Sự khác nhau giữa phiên bản CHKDSK truyền thống và phiên bản cải tiến là khá rõ nét về thời gian: Một số lượt quét có thể kéo dài 150 phút để hoàn tất thì chỉ mất 4 giây trên phiên bản cải tiến.

Theo Quản Trị Mạng

So sánh sự khác biệt giữa DirectAccess và VPN

Trong bài viết này tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPN.

DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối và bảo mật quan trọng đối với mỗi kiểu máy khách này.

Các kiểu máy khách

Để bắt đầu thảo luận này, chúng ta thừa nhận rằng có ba kiểu máy khách nói chung đó là:

  • Máy khách “bolted-in” bên trong mạng công ty
  • Máy khách VPN truy cập từ xa qua roaming
  • DirectAccess client

Máy khách “bolted-in” bên trong mạng công ty

Các máy khách “bolted-in” bên trong mạng công ty là hệ thống dù có thể hoặc không được “bolted in” đúng nghĩa nhưng nó sẽ không bao giờ tách rời khỏi mạng nội bộ của công ty (có thể hiểu là các máy khách được cột chặt trong mạng công ty). Hệ thống này là một thành viên miền, là một hệ thống luôn được quản lý và không bao giờ bị lộ diện trước các mạng khác. Sự truy cập Internet của mạng này luôn được điều khiển bởi tường lửa kiểm tra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và các khe cắm truyền thông khác đều bị khóa chặn vật lý hoặc quản trị chặt chẽ, việc truy cập cập lý đến tòa nhà, nơi các máy tính này cư trú chỉ được phép đối với nhân viên và các khách hành tin cậy. Các hệ thống này đều được cài đặt phần mềm anti-malware, được cấu hình qua Group Policy hoặc một số hệ thống quản lý khác nhằm duy trì cấu hình bảo mật mong muốn, Network Access Protection (NAP) được kích hoạt trên mạng để ngăn chặn các hệ thống giả mạo có thể kết nối vào mạng và truy cập vào tài nguyên công ty. Windows Firewall with Advanced Security được kích hoạt và cấu hình nhằm giảm rủi ro trước các mối đe dọa xuất hiện từ worm mạng.

Khái niệm máy khách “bolted-in” trong mạng công ty gần lý tưởng như ý tưởng máy khách an toàn:

  • Hệ thống không bao giờ bị lộ trước các mạng không tin cậy.
  • Luôn được quản lý.
  • Luôn nằm trong tầm kiểm soát của nhóm CNTT trong công ty.
  • Việc truy cập được hạn chế cho nhân viên và khách tin cậy.
  • Sự truy cập ngoài luồng vào hệ thống sẽ bị hạn chế bởi các cổng cắm ngoài được quản trị hoặc được vô hiệu hóa dưới góc độ vật lý.
  • Tường lửa Internet kiểm tra lớp ứng dụng chẳng hạn như TMG sẽ tránh cho người dùng download các khai thác từ Internet.
  • NAP giảm rủi ro đến từ các máy khách không được quản lý kết nối với mạng và phổ biến malware thu được từ các mạng khác.
  • Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụng các cách thức vật lý để “bolt in” máy khách với cơ sở hạ tầng vật lý.

Bạn có thể hình dung đây là một hệ thống lý tưởng dưới dạng bảo mật mạng, vậy đặc trưng này thực tế thế nào? Bạn có bao nhiêu hệ thống khách chưa bao giờ rời mạng nội bộ công ty? Và thậm chí nếu có sự kiểm soát thích hợp, các máy này có tránh các tấn công thế nào? Chúng ta cần xem xét các mặt dưới đây:

  • Social engineering là một phương pháp tấn công khá phổ biến, phương pháp tấn công này cho phép kẻ tấn công có thể tăng truy cập vật lý vào các máy tính được nào đó đã được mục tiêu hóa để cài đặt malware và Trojan vào các máy tính “bolted-in” trong mạng nội bộ.
  • Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng vẫn có thể được phép truy cập đến một số ổ đĩa quang học – trong trường hợp malware đã thu được từ một số khu vực bên ngoài có thể tìm ra cách đột nhập vào các máy khách “bolted-in” trong mạng nội bộ.
  • Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặn malware và Trojan xâm nhập vào mạng nội bộ, nhưng nếu tường lửa không thực hiện hành động kiểm tra SSL (HTTPS), nó sẽ không còn giá trị nữa vì Trojans có thể sử dụng kênh SSL an toàn (không được thanh tra) để đến được các máy trạm điều khiển của chúng. Thêm vào đó, người dùng có thể lợi dụng các proxy nặc danh qua một kết nối SSL không mong đợi.
  • Nếu Trojan đã được cài đặt vào máy khách “bolted-in” trong mạng công ty, một Trojan tinh vi sẽ sử dụng HTTP hoặc SSL để kết nối với các bộ điều khiển của nó và hầu như sẽ kết nối với site chưa được liệt vào dạng “nguy hiểm”. Thậm chí nếu tổ chức nào đó đã sử dụng phương pháp danh sách trắng để bảo mật thì kẻ tấn công vẫn có thể chiếm quyền điều khiển (DNS poisoning – giả mạo DNS) và chỉ thị cho Trojan kết nối đến site đó để nó có thể nhận các lệnh điều khiển.
  • Nhiều người dùng có thể vòng tránh quyền kiểm soát của bạn nếu họ không thể truy cập vào các site hay truy cập các tài nguyên Internet mà họ mong muốn. Nếu người dùng của bạn đang sử dụng các kết nối không dây, họ có thể dễ dàng hủy kết nối với mạng không dây công ty và kết nối trở lại mạng bằng hệ thống khác để truy cập vào các tài nguyên bị khóa theo chính sách công ty và sau đó lại kết nối trở lại với mạng công ty sau khi họ đã có được những gì mình muốn. Người dùng với kết nối dù không dây hay chạy dây cũng đều có thể cắm wireless adapter để kết nối đến một mạng không được lọc và thỏa hiệp máy tính qua một cổng khác. Trong kịch bản này, máy khách “bolted-in” của mạng công ty vô tình đã nhận một số đặc tính của máy khách truy cập từ xa qua roaming.

Thực hiện bảo mật nhờ cần cù là một bài học không hiệu quả. Những gì tỏ rõ ở đây là, thậm chí có ở trong tình huống lý tưởng đối với các máy khách “bolted in” trong mạng công ty, thì cũng vẫn có rất nhiều thứ có thể không như mong đợi diễn ra và dẫn đến những tai nạn nghiêm trọng về bảo mật. Bạn vẫn cần phải thực hiện mọi thứ để bảo đảm rằng các máy tính của mình được an toàn, cập nhật chúng một cách liên tục cũng như quản lý chúng một cách tốt nhất – tuy nhiên cần đặt mình vào phối cảnh các máy tính được cách ly như thế nào và không thể di chuyển các máy khách trong mạng công ty so với các kiểu hệ thống máy khách khác.

Cuối cùng và có lẽ quan trọng nhất, bạn cần biết rằng có hay không thì khái niệm máy khách “bolted-in” trong mạng công ty có khi chỉ là một mối quan tâm. Có bao nhiêu máy khách này tồn tại trong các mạng công ty ngày nay – đặc biệt các mạng mà ở đó đa số nhân viên là những người có kiến thức? Trong môi trường như vậy, bạn có thể cho rằng VDI là giải pháp có tính khả thi, vì các nhiệm vụ mà họ thực hiện không yêu cầu nhiều chức năng được cung cấp bởi môi trường máy tính đầy đủ, tuy nhiên các nhân viên có kiến thức cần có sự linh hoạt và sức mạnh được cung cấp bởi một nền tảng máy tính hoàn chỉnh. Thêm vào đó, ngày càng nhiều công ty nhận ra sự thuận lợi trong việc truyền thông từ xa và ngày càng nhiều nhân viên làm việc từ nhà hoặc kết nối đến mạng công ty khi đang đi trên đường. Những vấn đề này đã làm nảy sinh cho chúng ta:

Máy khách VPN truy cập từ xa qua roaming

Vào những năm 1990, việc sử dụng các máy khách “bolted-in” trong mạng công ty là một điều hay gặp. Tuy nhiên đến thập kỷ thứ hai của thế kỷ 21, các nhân viên ngày một cần phải làm việc lưu động và điều đó đã làm xuất hiện các máy khách VPN truy cập từ xa qua roaming. Nhân viên có kiến thức về máy tính có thể cầm các máy tính laptop cấu hình cao đến nơi làm việc, về nhà, đến các địa điểm của khách hàng, đến khách sạn, các cuộc hội thảo, sân bay,… có thể nói là bất cứ nơi đâu trên thế giới mà ở đó có kết nối Internet. Trong nhiều trường hợp, sau khi truy cập Internet ở nhiều địa điểm khác nhau, họ mang laptop của mình quay trở lại mạng công ty.

Các máy khách VPN truy cập từ xa qua roaming lại đặt ra một cách thức bảo mật rất khác so với các máy khách “bolted-in” trong mạng công ty. Một điểm giống như các máy khách “bolted-in” trong mạng công ty, các máy tính này là các thành viên miền, được cài đặt phần mềm chống malware, kích hoạt Windows Firewall with Advanced Security và được cấu hình đồng thuận hoàn toàn với chính sách bảo mật công ty. Lúc đầu các máy tính VPN roaming được cung cấp đến người dùng cũng an toàn như các máy khách “bolted-in” trong mạng công ty.

Tuy nhiên trạng thái bảo mật và cấu hình đó không kéo dài được lâu. Người dùng có thể không kết nối với mạng nội bộ công ty qua kết nối VPN nhiều ngày hoặc nhiều tuần. Hoặc họ có thể kết nối hàng ngày trong khoảng thời gian một hoặc hai tuần, sau đó không kết nối trong khoảng thời gian vài tháng. Trong khoảng thời gian chuyển tiếp, máy khách VPN qua roaming dần dần mất đi sự đồng thuận của mình. Chính sách nhóm Group Policy của công ty không được cập nhật, các nâng cấp chống virus, malware không được cập nhật kịp thời. Các chính sách bảo mật cũng như điều khiển được áp dụng cho các máy khách nằm trong mạng nội bộ công ty có thể không khả thi đối với các máy khách VPN truy cập từ xa qua roaming vì chúng không thể kết nối qua VPN theo cùng cách.

Việc các máy khách roaming ngày càng không bắt kịp các cấu hình cũng như chính sách an ninh của công ty nên vấn đề ngày càng trở nên nghiêm trọng vì máy tính này thường được kết nối với rất nhiều mạng không tin cậy cũng như không an toàn. Các mạng không tin cậy cũng như không an toàn này có thể có rất nhiều worm mạng cũng như các mối hiểm họa khác.

Điều gì sẽ xảy ra khi người dùng mang các máy tính này của họ truy cập trở lại với mạng công ty? Điều gì sẽ xảy ra nếu máy tính của họ bị thỏa hiệp bởi worms, viruses, Trojans hay một kiểu malware nào khác? Mối nguy hiểm có thể được hạn chế nếu bạn kích hoạt Network Access Protection trong mạng, tuy nhiên có bao nhiêu mạng đã kích hoạt NAP, dù chắc năng này đã có sẵn nhiều năm với tư cách là một phần của Windows Server 2012?

Rõ ràng người dùng không nên mang máy tính bị thỏa hiệp trở lại mạng. Giả định một người dùng nào đó đã kết nối máy tính của họ với một số mạng khác nhau và cuối cùng máy tính này đã bị thỏa hiệp. Sau ba tháng anh ta cần thay đổi mật khẩu của mình vì vậy đã thực hiện kết nối thông qua VPN để thay đổi mật khẩu. Trong trường hợp này những hậu quả bảo mật tai hại sẽ tương tự như trường hợp máy tính này được kết nối vật lý với mạng công ty.

Như những gì bạn thấy, việc roaming đã nảy sinh ra rất nhiều vấn đề bảo mật so với các máy khách “bolted in” trong mạng công ty:

  • Máy khách roaming thường được kết nối một cách không liên tục với mạng công ty – hoặc đôi khi không kết nối – do đó sẽ không bắt kịp các chính sách an ninh cũng như các hệ thống quản lý khác.
  • Bị lộ diện trước các mạng không được quản lý hoặc được quản lý giản đơn, gia tăng “bề mặt tấn công” tiềm tàng so với các máy khách không rời khỏi mạng nội bộ.
  • Có thể truy cập Internet và người dùng có thể thực hiện bất cứ thứ gì họ muốn trong khi kết nối Internet vì các máy khách này không bị kiểm tra và lọc các kết nối Internet.
  • Nếu máy khách VPN được cấu hình để vô hiệu hóa tính năng split tunneling, nó có thể bị bắt buộc sử dụng các cổng truy cập Internet công ty trong thời gian máy khách kết nối. Mặc dù vậy, khi kết nối VPN bị rớt, người dùng có thể thực hiện những gì họ muốn – có thể chia sẻ bất cứ malware hoặc trojan mà máy tính bị tiêm nhiễm trong khi hủy kết nối khỏi VPN và kết nối trở lại.
  • Người dùng có thể tránh kết nối đến VPN vì thời gian đăng nhập chập, kết nối không nhất quán và toàn bộ trải nghiệm VPN kém tối ưu, nhiều rủi ro trong việc không bắt kịp chính sách bảo mật công ty cũng như tăng rủi ro thỏa hiệp.

Máy khách VPN qua roaming vì vậy khác đáng kể so với máy khách “bolted-in” trong mạng công ty ở phối cảnh bảo mật:

  • Group policy có thể hoặc không được cập nhật kịp thời.
  • Phần mềm anti-virus có thể hay không được cập nhật kịp thời.
  • Phần mềm Anti-malware có thể hoặc không được cập nhật kịp thời.
  • Các phương pháp quản lý và điều khiển khác có thể hoặc không thể cấu hình lại máy khách kịp thời.
  • Số người có thể truy cập vật lý đến các máy tính VPN thường lớn hơn số người có thể truy cập đến các máy tính “bolted-in” trong mạng công ty, không chỉ các thành viên gia đình của người dùng và bạn bè mà còn cả những người đánh cắp máy tính.

Sự khác biệt chính giữa máy khách VPN qua roaming và máy khách “bolted-in” trong mạng công ty là, máy khách VPN thường nằm ngoài quyền kiểm soát và bị lộ diện trước một số lượng lớn các mối đe dọa. Mặc dù vậy, có nhiều cách để giảm nhẹ một số các mối đe dọa  này và nhiều công ty đã giới thiệu các phương pháp thực hiện đó, chẳng hạn như:

  • Sử dụng mã hóa đĩa (chẳng hạn như BitLocker) để nếu một máy tính nào đó bị mất, kẻ trộm sẽ không thể đọc dữ liệu trong ổ đĩa. Mã hóa đĩa cũng có thể sử dụng phương pháp truy cập bằng cách “khóa” đĩa để khi tắt máy tính người dùng sẽ không thể khởi động khi không có khóa.
  • Yêu cầu xác thực hai hệ số để đăng nhập vào máy tính, cùng với đó cũng yêu cầu hai hệ số để mở khóa máy tính cũng như đánh thức chúng.
  • Sử dụng NAP hoặc các kỹ thuật tương tự để test bảo mật trước khi máy tính được phép truy cập vào mạng công ty. Nếu máy tính không thể khắc phục, nó sẽ không được phép truy cập vào mạng công ty.
  • Không sử dụng các tài khoản quản trị để đăng nhập vào mạng, điều này nhằm ngăn chặn các tấn công nguy hiểm.
  • Đặt trung tâm dữ liệu cách biệt về mặt vật lý cũng như logic với toàn bộ máy khách.

Sử dụng một số biện pháp này sẽ giảm được nhiều mối đe dọa tiềm ẩn đối với các máy khách VPN truy cập từ xa. Tuy không thể san lấp mặt bằng so với các máy khách “bolted-in” trong mạng công ty nhưng chúng ta vẫn có một số kịch bản mà ở đó máy khách VPN truy cập từ xa qua roaming có thể giảm bớt được các rủi ro. Chúng ta sẽ đi xem xét một trong trong số phương pháp đó trong phần dưới này.

Máy khách DirectAccess

Chúng ta đang nói đến chủ đề máy khách DirectAccess. Giống như các máy khách VPN, máy tính này có thể di chuyển từ mạng công ty, đến một phòng nào đó trong khách sạn, trung tâm hội thảo, sân bay, hay bất cứ nơi đâu mà một máy tính VPN truy cập từ xa qua roaming có thể tồn tại. Máy khách DirectAccess sẽ được kết nối với cả mạng tin cậy và không tin cậy, giống như máy khách VPN truy cập từ xa, và rủi ro của việc thỏa hiệp vật lý của máy tính cũng tương tự như những gì đã thấy đối với máy khách VPN. Như vậy nếu làm phép so sánh thì máy khách DirectAccess và VPN về cơ bản là giống như trước phối cảnh bảo mật.

Mặc dù vậy, vẫn có một số khác biệt đáng kể giữa việc roaming và DirectAccess:

  • Máy khách DirectAccess luôn được quản lý. Chỉ cần được bật và được kết nối Internet, máy khách DirectAccess sẽ có kết nối với các máy chủ quản lý để cập nhật kịp thời các cấu hình bảo mật công ty.
  • Máy khách DirectAccess luôn trong trạng thái phục vụ. Nếu nhóm CNTT cần kết nối đến máy khách DirectAccess nào để thực hiện một cấu hình phần mềm gì đó hoặc khắc phục sự cố vấn đề trên máy khách này thì họ sẽ không gặp bất cứ trở ngại gì vì kết nối giữa máy khách DirectAccess và trạm quản lý CNTT luôn là kết nối hai chiều.
  • Máy khách DirectAccess sử dụng hai đường hầm riêng biệt để kết nối. Tuy nhiên nó chỉ có thể truy cập đến cơ sở hạ tầng cấu hình và quản lý qua đường hầm đầu tiên. Sự truy cập mạng nói chung không có sẵn cho tới khi người dùng đăng nhập và tạo đường hầm cơ sở hạ tầng.

Khi so sánh máy khách DirectAccess với máy khách VPN truy cập từ xa, bạn sẽ thấy ở máy khách DirectAccess xuất hiện ít mối đe dọa bảo mật hơn so với VPN, điều này là vì máy khách DirectAccess luôn nằm trong sự kiểm soát của nhóm CNTT công ty. Khác hẳn với các máy khách VPN, chúng có thể hoặc không kết nối với mạng công ty trong khoảng thời gian khá lâu, điều này rất dễ dẫn đến không bắt kịp cấu hình bảo mật chung và làm tăng rủi thỏa hiệp bảo mật. Thêm vào đó, các phương pháp làm giảm nhẹ như được đề cập ở trên được áp dụng cho các máy khách VPN truy cập xa cũng có thể được mang ra sử dụng với máy khách DirectAccess.

Đến đây chúng ta đã đạt được mục đích của mình là so sánh được các máy khách VPN truy cập xa qua roaming và các máy khách DirectAccess, rõ ràng tất cả những gì được minh chứng trong bài đã cho thấy máy khách DirectAccess cho thấy sự an toàn hơn trong vấn đề bảo mật chung của công ty so với việc thực hiện roaming.

%d bloggers like this: