Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 14-08-2009, 10:35 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Publish TS Gateway và ISA Server
Publish TS Gateway và ISA Server


***


I. Giới thiệu
Tiếp tục chủ đề TS Gateway, trong bài viết này ta sẽ dùng ISA Server (v. 2004 hoặc 2006) với TS Gateway để nâng cao mức bảo mật cho TS Gateway server bằng cách cấu hình ISA Server làm một thiết bị cầu nối SSL (SSL bridging device). Khi SSL bridging được sử dụng, ISA Server có thể kết thúc các phiên làm việc SSL, kiểm tra các gói tin, và thiết lập lại phiên làm việc SSL. ISA Server nâng cao mức bảo mật bằng cách giải mã các gói SSL đi vào, kiểm tra mã độc hại, và sau đó khóa kết nối chứa các gói tin độc hại (hoặc nghi ngờ độc hại). ISA Server cũng thực hiện lọc HTTP giúp kiểm tra nội dung ứng dụng HTTP.
Ba kịch bản kết hợp ISA Server và TS Gateway server để nâng cao mức bảo mật các kết nối từ xa tới mạng nội bộ:
· ISA Server làm SSL bridging device (Web proxy). ISA Server cung cấp SSL bridging giữa Terminal Services client và TS Gateway server.
· ISA Server làm firewall và SSL bridging device. ISA Server làm firewall thực hiện lọc port, lọc gói tin, và SSL bridging.
· ISA Server làm firewall thực hiện lọc port (server publishing). ISA Server làm firewall ngoài lọc gói tin và chỉ cho phép dữ liệu qua port 443.
Trong bài lab này ta sẽ dùng ISA Server như một Web proxy (kịch bản thứ nhất). Bài lab gồm các bước sau:
1. Xuất certificate của TS Gateway server và copy vào ISA Server
2. Nhập certificate của TS Gateway server lên ISA Server
3. Chép và cài đặt root certificate lên ISA Server
4. Tạo Web publishing rule trên ISA Server
5. Tắt/bật HTTPs/HTTP bridging trên TS Gateway server
6. Cấu hình client và kiểm tra kết nối
II. Chuẩn bị
<!--[if !vml]--><!--[endif]-->
Mô hình gồm 4 máy:
- Máy DC (W2K3 hoặc W2K8)
- Máy TS Gateway server (W2K8)
- Máy ISA Server 2006 (W2K3)
- Máy Terminal Services client (Vista SP1 hoặc W2K8)

+----+ 172.16.1.0/24
| DC |------------------
+----+ 1.42 | 1.41 +---------+ 192.168.1.0/24 +--------+
|------| ISA |------------------| Client |
+----+ | +---------+ 1.41 1.49 +--------+
| TS |------------------
+----+ 1.43

Nhắc lại các ý chính cần thực hiện trước khi kết hợp TS Gateway với ISA Server:
(i) Trên máy DC (pc42.nhatnghe42.local)
- Tạo user account u1 (password=123)
- Tạo group TS Gateway
- Add user u1 vào group Remote Desktop Users và TS Gateway
- Enable Remote Desktop
- Chỉnh Default Domain Controllers Policy -> User Rights Assignment: Add group Remote Desktop Users vào policy Allow log on through Terminal Services
- tạo alias ts1 chỉ tới máy TS Gateway server (pc43.nhatnghe42.local)

(ii) Trên máy TS Gateway server (pc43.nhatnghe42.local)
- Install Stand-alone root CA
- Request và install Server Authentication certificate cho máy TS Gateway server (nhớ export certificate sang Local Computer store). Certificate tên ts1.nhatnghe42.local.
<!--[if !vml]--><!--[endif]-->
- Install TS Gateway role service
III. Thực hiện
<!--[if !supportLists]-->1. <!--[endif]-->Xuất certificate của TS Gateway server và copy vào ISA Server (thực hiện trên máy TS Gateway server)
B1: Right click certificate ts1.nhatnghe42.local -> All Tasks -> Export -> Next
<!--[if !vml]--><!--[endif]-->

B2: Chọn Yes, export the private key -> Next
<!--[if !vml]--><!--[endif]-->

B3: Chọn Include all certificates in the certificate path if possible -> Next
<!--[if !vml]--><!--[endif]-->

B4: Nhập password và confirm password -> Next
<!--[if !vml]--><!--[endif]-->

B5: Nhập tên file (vd C:\ts1.pfx) -> Next
<!--[if !vml]--><!--[endif]-->

B6: Chọn Finish -> OK
<!--[if !vml]--><!--[endif]-->

B7: Chép file certificate của TS Gateway server (C:\ts1.pfx) sang máy ISA Server (máy pc41.nhatnghe42.local)

<!--[if !supportLists]-->2. <!--[endif]-->Nhập certificate của TS Gateway server lên ISA Server (thực hiện trên máy ISA Server)
B1: Mở Certificates snap-in console -> Certificates (Local Computer) -> Right click Personal -> All Tasks -> Import -> Next
<!--[if !vml]--><!--[endif]-->

B2: Nhập tên file chứa certificate của TS Gateway server vừa mới chép sang -> Next
<!--[if !vml]--><!--[endif]-->

B3: Nhập password -> chọn Mark this key as exportable -> Next
<!--[if !vml]--><!--[endif]-->

B4: Chọn Automatically select the certificate store based on the type of certificate -> Next
<!--[if !vml]--><!--[endif]-->

B5: Click Finish -> OK
<!--[if !vml]--><!--[endif]-->

<!--[if !vml]--><!--[endif]-->

<!--[if !supportLists]-->3. <!--[endif]-->Chép và cài đặt root certificate lên ISA Server (thực hiện trên máy ISA Server)
Không cần thiết nếu khi import certificate ở bước trước ta đã chọn “Automatically select the certificate store based on the type of certificate”.
<!--[if !vml]--><!--[endif]-->

<!--[if !supportLists]-->4. <!--[endif]-->Tạo Web publishing rule trên ISA Server (thực hiện trên máy ISA Server)
B1: Right click Firewall Policy -> New -> Web Site Publishing Rule
<!--[if !vml]--><!--[endif]-->

B2: Nhập tên rule (vd: Publish TS Gateway server) -> Next
<!--[if !vml]--><!--[endif]-->

B3: Chọn Allow -> Next
<!--[if !vml]--><!--[endif]-->

B4: Chọn Publish a single Web site or load balancer -> Next
<!--[if !vml]--><!--[endif]-->

B5: Chọn Use SSL to connect to the published Web server or server farm -> Next
<!--[if !vml]--><!--[endif]-->

B6: Mục Internal site name nhập tên của TS Gateway server (vd: ts1.nhatnghe42.local) -> Next
<!--[if !vml]--><!--[endif]-->

B7: Click Next
<!--[if !vml]--><!--[endif]-->

B8: Mục Public name nhâp tên của TS Gateway server (vd: ts1.nhatnghe42.local) -> Next
<!--[if !vml]--><!--[endif]-->

B9: Click New
<!--[if !vml]--><!--[endif]-->

B10: Mục Web listener name nhập tên của Web listener (vd WL443)
<!--[if !vml]--><!--[endif]-->

B11: Chọn Require SSL secured connections with clients -> Next
<!--[if !vml]--><!--[endif]-->

B12: Click External -> Next
<!--[if !vml]--><!--[endif]-->

B13: Click Select Certificate -> Chọn certificate -> Select -> Next
<!--[if !vml]--><!--[endif]-->

B14: Chọn No Authentication -> Next -> Next -> Finish
<!--[if !vml]--><!--[endif]-->

B15: Xác nhận web listener đã được chọn -> Next
<!--[if !vml]--><!--[endif]-->

B16: Chọn No delegation, and client cannot authenticate directly -> Next
<!--[if !vml]--><!--[endif]-->

B17: Click Next -> Finish -> Apply -> OK
<!--[if !vml]--><!--[endif]-->

B18: Kiểm tra rule đã được tạo
<!--[if !vml]--><!--[endif]-->

<!--[if !supportLists]-->5. <!--[endif]-->Tắt/bật HTTPs/HTTP bridging trên TS Gateway server (thực hiện trên máy TS Gateway server)
<!--[if !vml]--><!--[endif]-->

<!--[if !supportLists]-->6. <!--[endif]-->Cấu hình client và kiểm tra kết nối (thực hiện trên máy client)
B1: Chỉnh host file
<!--[if !vml]--><!--[endif]-->

B2: Chạy Remote Desktop Connection -> Kết nối thành công
<!--[if !vml]--><!--[endif]-->
<!--[if !vml]--><!--[endif]-->

<!--[if !vml]--><!--[endif]-->



Nguồn: Châu Tuấn (Nhất Nghệ)
  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 11:17 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.