Professional Documents
Culture Documents
Chapter7 - Remote Access Services
Chapter7 - Remote Access Services
KHÓA HỌC
3 4
Machine Translated by Google
Cấu trúc Còn được gọi là mạng vành đai hoặc Cấu trúc truyền lưu lượng truy cập trực tiếp giữa ISP và bộ
mạng mẫu mạng mẫu định tuyến NAT.
các mạng con được sàng lọc.
Máy chủ và tài nguyên trong DMZ có thể truy cập Các công nghệ chặng cuối phổ biến:
o Đường dây thuê bao số (DSL): sử dụng mạng điện
được từ internet ( và/hoặc mạng LAN)
thoại.
(Ví dụ: máy chủ web, email, DNS, FTP và proxy.),
o Cáp băng thông rộng: sử dụng mạng cáp truyền
nhưng phần còn lại của mạng LAN nội bộ vẫn không
hình.
thể truy cập được.
o Mạng quang thụ động Gigabit (GPON): sử dụng cáp
Cung cấp một lớp bảo mật bổ sung cho mạng LAN
vì nó hạn chế khả năng của hacker truy cập trực quang.
o Wi-Fi tầm xa: sử dụng sóng vô tuyến, thường sử
tiếp vào máy chủ nội bộ và dữ liệu từ internet.
dụng các bộ phát không dây được đặt trong tầm
5 nhìn. 6
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
IPrc: DA SA
Riêng tư
209.165.201.1 192.168.10.10
7 số 8
Machine Translated by Google
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
209.165.200.226 209.165.200.226
SA DA
SA DA
209.165.201.1:80 209.165.200.226:1555
192.168.10.10:1555 209.165.201.1:80
SA DA
SA DA
209.165.201.1:80 192.168.10.10:1555
209.165.200.226:1555 209.165.201.1:80
SA DA
SA DA
209.165.202.129:80 192.168.10.11:1331
209.165.200.226:1331 209.165.202.129:80
SA DA
SA DA
209.165.202.129:80 209.165.200.226:1331
192.168.10.11:1331 209.165.202.129:80
(PAT) (PAT)
11 12
Machine Translated by Google
Các thành viên của tổ chức cần kết nối với các tài nguyên được lưu trữ trên Cung cấp quyền truy cập vào các tài nguyên này
các máy chủ trong DMZ từ bên ngoài tổ chức. Ví bằng công nghệ truy cập từ
dụ: khi một giám đốc điều hành hoặc thành viên nhóm bán hàng cần truy cập xa. Ít nhất một máy chủ trong DMZ của bạn
các tệp công việc trên máy chủ tệp trong tổ chức khi đi công tác. phải được cấu hình làm máy chủ truy cập từ
xa chấp nhận yêu cầu từ các máy khách truy
cập từ xa trên Internet.
- Sở của – Mạng, 14
FETEL,VNUHCM-US
13/5069
Nguyễn Việt Hà, TS. Viễn thông
Cung cấp quyền truy cập vào các tài nguyên này Ngoài ra, các tổ chức có thể kết nối trực tiếp
bằng công nghệ truy cập từ các máy chủ truy cập từ xa tới một ranh giới.
xa. Ít nhất một máy chủ trong DMZ của bạn
(1a. NAT: phải được cấu hình làm máy chủ truy cập từ
Máy chủ truy cập từ xa phải có hai giao diện mạng.
1.2.3.4 xa chấp nhận yêu cầu từ các máy khách truy
172.16.0.50) cập từ xa trên Internet. Một được kết nối với
ranh giới.
Bộ định tuyến NAT thường chứa các khả năng quản lý và bảo mật bổ sung, Microsoft cung cấp ba công nghệ truy cập từ xa chính có thể được sử
chẳng hạn như điều tiết lưu lượng, ngăn chặn xâm nhập và lọc phần mềm dụng để có được quyền truy cập vào máy chủ trong DMZ từ khắp Internet:
độc hại. Thường được gọi là Tường lửa thế hệ tiếp theo (NGFW).
Mạng riêng ảo (VPN)
Mỗi công nghệ truy cập từ xa này cung cấp các giao thức riêng cũng như
hỗ trợ các loại xác thực và mã hóa khác nhau.
Một số NGFW có chức năng máy chủ truy cập từ xa tích hợp sẵn , loại bỏ
nhu cầu về máy chủ truy cập từ xa riêng biệt.
An ninh: An ninh:
Bảo mật Bảo mật
oĐảm bảo rằng chỉ những người dùng được ủy quyền mới có thể đọc oMã hóa: Mã hóa đối xứng
được tin nhắn. Nếu tin nhắn bị chặn, nó không thể được giải mã
trong một khoảng thời gian hợp lý.
An ninh: An ninh:
Bảo mật Bảo mật
oMã hóa: Mã hóa đối xứng oMã hóa: Mã hóa bất đối xứng
An ninh: An ninh:
Bảo mật Bảo mật
oMã hóa: Mã hóa bất đối xứng • oMã hóa: Mã hóa bất đối xứng
Các thuật toán mã hóa bất đối xứng nổi tiếng : Diffie-Hellman:
- DH sử dụng những con số rất lớn trong tính toán của mình.
• Cực kỳ chậm đối với bất kỳ loại mã hóa hàng loạt nào.
Mã hóa bất đối xứng thường được sử dụng làm Xác thực
hoặc Trao đổi khóa an toàn.
25 26
An ninh: An ninh:
Bảo mật Tính toàn vẹn dữ liệu
oMã hóa: Mã hóa bất đối xứng oĐảm bảo rằng tin nhắn không bị thay đổi. Mọi thay đổi đối với dữ
Diffie-Hellman: liệu đang truyền sẽ được phát hiện.
oĐảm bảo rằng tin nhắn không phải là giả mạo và thực sự
đến từ người mà nó nói.
Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
VPN là công nghệ truy cập từ xa cung cấp mã hóa cho dữ liệu được gửi qua Internet VPN cung cấp một kênh (hoặc “đường hầm”) được mã hóa
giữa máy khách truy cập từ xa và giữa các hệ thống trên mạng, chúng thường được gọi là
máy chủ. đường hầm VPN.
Mạng “ảo” được tạo giữa máy khách truy cập từ xa và máy chủ được sử dụng ngoài Mỗi đầu của đường hầm VPN được thể hiện bằng một
mạng vật lý cơ bản. oCòn được gọi là mạng lớp phủ. giao diện mạng ảo
được cấu hình bằng địa chỉ IP.
động
và chỉ có thể được giải mã bởi máy chủ
hoặc máy khách truy cập từ xa.
Quả sung.
Đường hầm VPN giữa máy khách
Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
Cổng mặc định được định cấu hình trong giao diện mạng Theo mặc định, tất cả lưu lượng truy cập sẽ đi qua
VPN trên máy khách truy cập từ xa được tự động đặt máy chủ truy cập từ xa.
thành 0.0.0.0
Để đảm bảo rằng tất cả các gói được tạo bởi máy
Tuy nhiên, nếu máy khách truy cập từ xa định cấu hình
khách đều được mã hóa và gửi trên VPN đến máy chủ
đường hầm phân chia, chúng sẽ có thể:
truy cập từ xa.
Truy cập DMZ của họ trong tổ chức qua đường hầm
tài nguyên
Quả sung.
Đường hầm VPN giữa máy khách Quả sung.
Đường hầm VPN giữa máy khách
truy cập từ xa và máy chủ 35 truy cập từ xa và máy chủ 36
Machine Translated by Google
Các loại VPN: VPN Site-to-Site Các loại VPN: VPN Site-to-Site
VPN cũng có thể
VPN giữa các bộ định tuyến cũng có thể được sử dụng để mã hóa lưu lượng máy chủ
được sử dụng để
đi qua Internet giữa các vị trí khác nhau.
mã hóa lưu
Ví dụ:
lượng IP đi qua
Internet giữa hai oBản sao Active Directory giữa các bộ điều khiển miền.
bộ định tuyến ở oNội dung thư mục được đồng bộ hóa giữa các máy chủ tệp bằng cách sử dụng
các vị trí khác nhau bản sao DFS.
trong
một tổ chức.
Các máy chủ nội Hầu hết các tổ chức sử dụng bộ định tuyến dựa trên phần cứng hoặc thiết bị NGFW
bộ không để cung cấp VPN giữa các vị trí khác nhau trong tổ chức.
biết rằng VPN đang Tuy nhiên, thay vào đó, bạn có thể định cấu hình hệ thống Windows Server làm bộ
Đường hầm
Quả sung.
được sử dụng. định tuyến cung cấp VPN giữa các vị trí.
VPN giữa hai bộ định
tuyến
Nhiều công nghệ VPN khác nhau đã được phát triển từ những năm 1990 và mỗi công nghệ IPsec
VPN sử dụng một giao thức VPN cụ thể để tạo lưu lượng truy cập đường hầm. Tiêu chuẩn oIETF (Lực lượng đặc nhiệm kỹ thuật Internet).
triển bởi một nhóm các nhà cung cấp bao gồm Microsoft oEncrypts dữ liệu oIPsec không bị ràng buộc bởi bất kỳ quy tắc cụ thể nào để đảm bảo an toàn
thông tin liên lạc.
bằng cách sử dụng Microsoft Point-to-Point Encryption (MPPE). Hỗ trợ
độ dài khóa mã hóa từ 40 đến 128 bit. Hệ điều hành Tính linh hoạt của khung này cho phép IPsec dễ dàng tích hợp các công
nghệ bảo mật mới mà không cần cập nhật các tiêu chuẩn IPsec hiện có .
Windows chứa khóa đăng ký ngăn chặn việc sử dụng khóa MPPE dưới 128 bit
theo mặc định.
IPsec IPsec
o Đóng gói định tuyến chung (GRE) là giao thức đường hầm VPN site-to-
site không an toàn .
Không hỗ trợ mã hóa.
oNó có thể đóng gói các giao thức lớp mạng khác nhau.
oA IPsec VPN tiêu chuẩn (không phải GRE) chỉ có thể tạo đường hầm an toàn triển bởi Microsoft và Cisco.
cho lưu lượng đơn hướng.
Ví dụ: Các giao thức định tuyến sẽ không trao đổi thông tin định oDựa vào Bảo mật IP (IPSec) để mã hóa các gói dữ liệu. Khóa mã hóa có
tuyến qua IPsec VPN.
độ dài từ 56 đến 256 bit.
- Đóng gói lưu lượng giao thức định tuyến bằng gói GRE, sau đó
đóng gói gói GRE thành gói IPsec để chuyển tiếp nó một cách an
oMáy khách và máy chủ truy cập từ xa xác thực lẫn nhau.
toàn đến cổng VPN đích.
Định cấu hình cùng một khóa (mật khẩu) chia sẻ trước hoặc cài đặt
chứng chỉ mã hóa IPSec trên cả máy khách và máy chủ truy cập từ xa.
Internet Key Exchange phiên bản 2 (IKEv2) oMột cải Giao thức đường hầm ổ cắm an toàn (SSTP)
tiến cho IPSec cung cấp đường hầm VPN với tốc độ nhanh hơn so với L2TP. oDữ liệu đường hầm thông qua các gói HTTPS trên mạng.
o Ban đầu nó sử dụng mã hóa lớp Cổng bảo mật (SSL) với
oNó sử dụng khóa mã hóa 256-bit Khóa 128 bit.
oYêu cầu máy khách và máy chủ truy cập từ xa xác thực với nhau bằng chứng oViệc triển khai SSTP hiện đại sử dụng khóa 256 bit cùng với mã hóa Bảo
chỉ mã hóa IPSec hoặc khóa chia sẻ trước. mật lớp vận chuyển (TLS) . Đôi khi được
thuật ngữ này thường được sử dụng thay thế cho nhau.
oĐể sử dụng SSTP, máy chủ truy cập từ xa phải chứa HTTPS
chứng chỉ mã hóa.
Giao thức đường hầm ổ cắm an toàn (SSTP) Trước khi có thể thiết lập đường hầm VPN, máy khách truy cập từ xa trước tiên
oTLS hoạt động ở lớp 4 (OSI) phải xác thực với máy chủ truy cập từ xa bằng thông tin xác thực.
Máy chủ truy cập từ xa xác thực thông tin xác thực đã nhận trước khi cung cấp Sử dụng RADIUS
Truy cập từ xa.
Bạn có thể tùy ý cấu hình
điều khiển từ xa để
truy máy chủ
Trong miền Active Directory
cập chuyển tiếp thông tin
Máy chủ truy cập từ xa sẽ chuyển tiếp thông tin đăng nhập tới bộ điều
xác thực mà nó nhận được
khiển miền trong DMZ.
từ máy khách truy cập từ
Nếu khớp và được cấp quyền quay số, bộ điều khiển miền sẽ cho phép kết xa tới máy chủ Dịch vụ
nối truy cập từ xa và trả lại vé Kerberos cho người dùng đến máy chủ truy dùng xác thực người
cập từ xa. quay số truy cập từ xa
Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos đến (RADIUS) thay vì bộ điều
máy khách truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN đến DMZ khiển miền.
để cho phép truy cập tài nguyên.
Sử dụng RADIUS
Sau khi máy chủ RADIUS nhận được thông tin xác thực từ máy chủ truy cập
từ xa, nó sẽ chuyển tiếp chúng đến bộ điều khiển miền để xác thực.
Sau khi bộ điều khiển miền xác thực thông tin đăng nhập và quyền quay số,
Sau đó, máy chủ RADIUS sẽ kiểm tra các chính sách truy cập từ xa của nó
để đảm bảo rằng người dùng đáp ứng các yêu cầu cần thiết trước khi cho
3 TRUY CẬP TRỰC TIẾP
phép kết nối truy cập từ xa và chuyển tiếp vé Kerberos đến máy chủ truy
cập từ xa.
Sau đó , máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos đến
máy khách truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN đến DMZ
để cho phép truy cập tài nguyên.
Người dùng từ xa VPN phải khởi tạo kết nối VPN theo cách thủ công mỗi lần họ Để xác định xem chúng có nằm trên mạng bên ngoài tổ chức hay không, mỗi máy
muốn kết nối với các tài nguyên trong tổ chức của mình. khách truy cập từ xa tham gia DirectAccess đều chứa dịch vụ Trợ lý Kết nối
Mạng.
Đối với các tổ chức triển khai máy tính xách tay được kết nối với miền Active
Directory , quyền truy cập từ xa an toàn cho các máy tính này có thể được tự Kiểm tra vị trí của máy chủ bằng HTTPS mỗi khi giao diện mạng của chúng
động hóa bằng DirectAccess. được kích hoạt trên mạng.
oNếu máy khách DirectAccess có thể kết nối với Vị trí mạng
Khi máy tính xách tay kết nối với Máy chủ (NLS), nó phải nằm trong mạng công ty.
mạng bên ngoài tổ chức, DirectAccess
sẽ tự động khởi tạo đường hầm oNếu không được thì nó phải ở ngoài mạng công ty.
IPSec có chức năng giống như VPN
để cung cấp quyền truy cập từ xa
Theo mặc định, NLS được cài đặt trên máy chủ cho
truyDirectAccess.
cập từ xa được cấu hình
vào DMZ của tổ chức.
Nếu máy khách truy cập từ xa xác định rằng nó nằm trên mạng bên ngoài tổ Máy chủ truy cập từ xa DirectAccess sử dụng HTTPS để xác thực người dùng với Active
Nó tự động tạo một đường hầm IPSec tới máy chủ truy cập từ xa sau khi khi người dùng nhập thông tin xác thực Active Directory của họ, thông tin xác thực sẽ được
nhắc người dùng đăng nhập vào miền Active Directory, nếu cần. lưu vào bộ đệm để sử dụng với các kết nối truy cập từ xa trong tương lai.
Vì DirectAccess sử dụng cả HTTPS và IPSec nên khi định cấu hình ngoại lệ
tường lửa, chuyển tiếp cổng hoặc proxy ngược, bạn phải chỉ định số cổng
cho SSTP và L2TP/IKEv2 nếu công cụ cấu hình cho tường lửa, bộ định tuyến
NAT hoặc NGFW không cho phép bạn để chỉ định giao thức DirectAccess theo
tên.
Máy khách truy cập từ xa sử dụng IPv6 khi liên hệ với máy chủ định vị
mạng hoặc xác thực với máy chủ truy cập từ xa bằng DirectAccess.
Các gói IPv6 này sẽ tự động được đặt trong các gói IPv4 khi
được gửi qua mạng IPv4.
Máy tính từ xa sử dụng một phương pháp khác để đạt được quyền truy cập từ xa so Sau khi máy khách truy cập từ xa có được phiên máy tính để bàn đồ họa, chúng có
với VPN và DirectAccess. thể chạy các chương trình trên máy chủ truy cập từ xa và truy cập tài nguyên
trên mạng DMZ mà máy chủ truy cập từ xa được kết nối.
Nói cách khác, Remote Desktop cho phép máy khách truy cập từ xa truy cập vào
Máy khách truy cập từ xa sử dụng ứng dụng Máy tính từ xa để đăng nhập vào máy
máy tính để bàn đồ họa đang chạy trong DMZ của tổ chức để cung cấp quyền truy
chủ truy cập từ xa nhằm có được phiên máy tính để bàn đồ họa trên điều khiển từ xa
cập vào tài nguyên của tổ chức.
truy cập vào chính máy chủ (được
gọi là triển khai máy tính để bàn
Ứng dụng Máy tính Từ xa sử dụng Giao thức Máy tính Từ xa (RDP) để truyền đồ họa Có các ứng dụng Remote Desktop dành cho máy khách truy cập từ xa Windows, macOS,
trên máy tính, tổ hợp phím và chuyển động chuột đến và từ máy chủ truy cập từ Linux, UNIX, Android và iOS.
xa.
Ứng dụng Remote Desktop có sẵn theo mặc định trên hệ thống Windows được gọi
là Remote Desktop Connection.
Các chương trình chạy trong phiên Máy tính Từ xa được thực thi trên máy chủ
truy cập từ xa và có thể truy cập các thư mục và máy in được chia sẻ trên
Thay vì chạy một màn hình đồ họa đầy đủ, các máy khách truy cập từ xa có
mạng tổ chức cũng như các ổ đĩa và máy in được cài đặt trên máy khách truy
thể sử dụng RemoteApp để truy cập một chương trình duy nhất (ví dụ:
cập từ xa cơ bản, nếu được định cấu hình.
Microsoft Outlook) chạy trên máy chủ truy cập từ xa bằng Remote Desktop.
Do đó, người dùng truy cập từ xa có thể sử dụng File Explorer trong phiên Remote Chương trình này cũng có thể được cấu hình để xuất hiện dưới dạng lối tắt
trên menu Bắt đầu. Khi máy khách truy cập từ xa nhấp vào phím tắt này,
Desktop của họ để truyền tệp từ tổ chức sang máy tính cục bộ của họ để sử dụng
sau hoặc in tài liệu trong Microsoft Word trên máy chủ truy cập từ xa tới máy chương trình sẽ thực thi trên máy chủ truy cập từ xa và chuyển cửa sổ chương
in được cài đặt trên máy chủ của họ máy tính cục bộ . trình, tổ hợp phím và chuyển động chuột đến và từ máy khách truy cập từ xa.
Các dịch vụ có sẵn cho vai trò máy chủ dịch vụ Máy tính Từ xa Các dịch vụ có sẵn cho vai trò máy chủ dịch vụ Máy tính Từ xa
Nếu bạn triển khai nhiều máy chủ truy cập từ xa Máy chủ phiên máy tính Nhiều quản trị viên máy chủ cài đặt Remote Desktop Connection Broker
từ xa hoặc Máy chủ ảo hóa máy tính từ xa trong DMZ của mình thì bạn có khi chỉ có một máy chủ truy cập từ xa chứa dịch vụ vai trò Remote
thể cài đặt một máy chủ duy nhất chứa Trình môi giới kết nối máy tính Desktop Session Host hoặc Remote Desktop Virtualization Host.
từ xa để phân phối các yêu cầu RDP trên tất cả các máy chủ truy cập từ
xa.
Nếu sau đó, các máy chủ bổ sung được cài đặt với dịch vụ vai trò Máy
Trong trường hợp này, máy khách truy cập từ xa sẽ kết nối với máy chủ chủ phiên máy tính từ xa hoặc Máy chủ ảo hóa máy tính từ xa, chúng sẽ
Remote Desktop Connection Broker. Hơn nữa, máy chủ lưu trữ Nhà môi giới tự động được liên kết với Nhà môi giới kết nối máy tính từ xa và không
kết nối máy tính từ xa cũng có thể lưu trữ các dịch vụ vai trò Cấp phép cần thêm tường lửa, chuyển tiếp cổng hoặc cấu hình proxy ngược.
máy tính từ xa, Truy cập web máy tính từ xa và Cổng máy tính từ xa để
cung cấp cấp phép, RemoteApp và mã hóa HTTPS cho tất cả các máy chủ
truy cập từ xa trong DMZ.