Triển khai Network Access Quarantine Control (phần 1)

Một cách dễ dàng và phổ biến được nhiều người coi như một cách thức để chống lại các phần mềm
nguy hiểm hay các người dùng trên Internet truy cập trái phép vào hệ thống mạng của bạn nếu hệ
thống không có Firewall, hay chống lại các tấn công mật khẩu, và tất cả những vấn đề có thể xảy ra
trong hệ thống mạng của bạn. Nhưng người dùng thường xuyên phải đi lại, và họ vẫn muốn truy cập
vào dữ liệu của công ty trong khi họ vẫn trên đường.

Vấn đề cần được quan tâm ở đây là: Hầu hết người dùng từ xa chỉ được xác thực bởi các nhận dạng
cơ bản về họ; không cần kiểm tra phần mềm hay phần cứng cần thiết để cho quá trình xác thực này.
Người dùng từ xa có thể làm việc tất cả mọi ngày, để đảm bảo cho cho quá trình truy cập hệ thống
được bảo mật yêu cầu người dùng cần phải có các yếu tố sau:

- Service Pack và các bản vá lỗi cần được luôn luôn cập nhật bản mới nhất.

- Chương trình diệt virus phải được cài đặt và luôn luôn chạy ở chế độ automatic, đảm bảo phần mềm
diệt virus đó cũng phải luôn cập nhật bản mới nhất.

- Internet hay Network routing phải được "disable"

- Windows XP có ICF hay các phần mềm firewall phải được cài đặt, và ở chế độ active, chỉ mở các
cổng cần thiết còn lại là đóng tất.

Bạn cũng phải đặt các chính sách cho các máy tính trong hệ thống mạng của bạn, đối với người dùng
từ xa đó là trường hợp bất đắc dĩ. Tuy nhiên, Windows Server 2003 co một tính năng mới trong
Resource Kit, gọi là "Network Access Quarantine Control", nó cho phép bạn cấm các người dùng từ
xa truy cập vào hệ thống mạng của bạn mà với các phần mềm không được update cũng như cấu hình
bảo mật.

Network Access Quarantine Làm việc như thế nào.

Network Access Quarantine Control, hay viết tắt là NAQC, chống lại tự do truy cập tới tài nguyên
mạng từ các ngwoif dùng từ xa đến khi máy tính từ xa được kiểm tra và chắc chắn rằng các máy tính
đó thoả mãn những yêu cầu về bảo mật và thoả mãn những chính sách đã được đặt ra.

Sử dụng NAQC, các máy tính truy cập từ xa phải chạy một trong những phiên bản Windows 98
Second Edition, Windows ME, Windows 2000, hay Windows XP Home hay Professional. Đây là các
phiên bản hỗ trợ một kết nối, bao gồm thông tin về kết nối đó, cũng như baselining script và các thành
phần như notifier, và nó có thể sử dụng bởi Connection Manager Administrator Kit (CMAK) trong máy
chủ Windows Server 2003. Thêm vào nữa là bạn cần phải có ít nhất một máy chạy Windows Server
2003 dùng để chạy một ứng dụng để nghe từ các thành phần của máy client; với bài viết này chúng ta
cần một máy tính cài Windows Server 2003 Resource Kit chạy với dịch vụ Remote Access Quarantine
Agent (RQC.EXE). Cuối cùng cần một NAQC – tích hợp với máy chủ RADIUS, ví như trong Windows
Server 2003 có Internet Authentication Service, nó có thể dùng để cấm các truy cập trái phép.

Từng bước miêu tả tổng quan về NAQC.

Sau đây là cụ thể từng bước và làm thế nào để thực hiện với các kết nối và sau đó thực hiện quá
trình cách lý (để kiểm tra), bạn sử dụng RQC.EXE trên máy client từ CMAK và RQS.EXE trong máy
Resource Kit.

1. Một người dùng từ xa truy cập vào máy tính của họ sử dụng một quarantine CM profile, để thực
hiện việc cách ly các kết nối, phải sử dụng một máy tính với dịch vụ Routing and Remote Access
Service (RRAS).

2. Người dùng được xác thực.

3. Máy chủ RRAS gửi một thông tin RADIUS Access-Request tới máy chủ RADIUS, trong trường hợp
này máy chủ RADIUS là máy chủ chạy dịch vụ Internet Authentication Service (IAS).

4. Máy chủ IAS kiểm tra các điều kiện của người dùng từ xa và kiểm tra các chính sách đã được thiết
lập. Kết nối trên cố gắng kiểm tra trong các chính sách cách ly đã được cấu hình.
5. Khi kết nối được cho phép, nhưng nó bị cấm bởi nằm trong các chính sách của vùng cách ly
(quarantine). Máy chủ IAS gửi một RADIUS Access-Accept, bao gồm MS-Quarantine-IPFilter và MS-
Quarantine-Session-Timeout tới máy chủ RRAS.

6. Người dùng từ xa nhận được sự đồng ý cho kết nối với máy chủ RRAS, bao gồm địa chỉ IP mà
người dùng từ xa yêu cầu được kết nối để truy cập lấy dữ liệu hay các thao tác khác.

7. Máy chủ RRAS cấu hình thiết lập MS-Quarantine-IPFilter và MS-Quarantine-Session-Timeout cho
các kết nối, ở trong chế độ cách ly. Một điểm là người dùng từ xa chỉ có thể truyền thông tin để kiểm
tra quá trình lọc trong chế độ cách ly, MS-Quarantine-Session-Timeout cần được cung cấp trước tiên
và một baselining script cần được chạy và lấy kết quả tới máy chủ RRAS.

8. CMAK profile chạy quarantine script, hiện nay với định nghĩa như "post-connect action".

9. Khi quarantine script được chạy và kiểm tra các máy client xem có thoả mãn những tiêu chuẩn đã
được đặt ra không. Nếu script được chạy RQC.EXE với môi trường dòng lệnh, kết quả sẽ bao gồm
các đoạn văn bản cho biết phiên bản của quarantine script được sử dụng.

10. RQC.EXE gửi kết quả kiểm tra của nó cho máy chủ RRAS, với gói tin thong báo script đã được
chạy xong.

11. Kết quả được nhận với RQS.EXE.

12. Tính năng nghe trên máy chủ RRAS sẽ kiểm tra phiên bản của script trong đoạn dữ liệu nhận
được với phiên bản đã được cấu hình lưu lại trong registry của nó và sẽ xác nhận xem phiên bản của
script đó có thoả mãn hay không thoả mãn.

13. Nếu phiên bản của script được đồng ý, RQS.EXE sẽ truy vấn chương trình
MprAdminConnectionRemoveQuarantine () API, nó bao gồm thời gian để xoá các thông tin nhận
được từ MS-Quarantine-IPFilter và MS-Quarantine-Session-Timeout từ các kết nối, và tiếp tục thực
hiện việc kiểm tra truy cập với tài nguyên hệ thống.

14. Khi thoả mãn được tất cả các yêu cầu kiểm tra thì người dùng từ xa có thể truy cập vào tài
nguyên mạng một cách bình thường.

15. RQS.EXE tạo ra một event log miêu ta quá trình kết nối quarantine trong System Event Log.

Triển khai thực hiện với NAQC

Trong phần này, tôi sẽ cung cấp cái nhìn trực tiếp từ việc triển khai NQAC trên hệ thống mạng của
bạn. Với 6 bước và mỗi bước được miêu tả bằng một phần dưới đây.

1. Tạo Quarantined Resources

Trong bước đầu tiên là tạo tài nguyên kiểm tra cho phép truy cập trong qúa trình lọc quarantine, phần
này được tạo ra cho các máy remote client. Ví dụ tài nguyên này bao gồm DNS server và DHCP
Server bởi địa chỉ IP và các thôn tin kết nối khi đó mới có thể thực hiện, file server để cho phép tải về
những bản cập nhật như service pack các bản vá lỗi cho hệ điều hành và các phần mềm, máy chủ
Web miêu tả quá trình quarantine bao gồm thông báo cho phép người dùng từ xa truy gửi mail cho
người quản trị hay hỗ trợ trực tuyến về những lỗi gặp phải. Cụ thể với tài nguyên được tạo ra quan
trọng nhất là các file server khi quá trình lọc quarantine được thực hiện máy client không thoả mãn
nhưng yêu cầu về bảo mật cũng như các phiên bản phần mềm cần phải được nâng cấp trước khi có
thể truy cập được vào tài nguyên mạng, khi đó người dùng kết nối với máy chủ file server tải các bản
nâng cấp phần mềm vào cài đặt xong và thực hiện lại quá trình kiểm tra các điều kiện bảo mật cần
thiết cho quá trình đăng nhập.

Có hai phương pháp cho phép sử dụng tài nguyên được cách lý "quarantined. Đầu tiên bạn phải xác
định xem những máy chủ nào của bạn là tài nguyên cho vùng cách ly "quarantine resource", khác với
mạng mà người dùng từ xa cần truy cập. Nó cho phép bạn sử dụng các máy chủ hiện tại thành tài
nguyên cho vùng bị cách ly, nhưng bạn cũng sẽ tạo những chính sách lọc gói tin cho các phiên giao
tiếp từ máy client tới các máy chủ.
Bạn thực hiện quá trình giới hạn chỉ cụ thể những địa chỉ IP với subnet nào sẽ được truy cập vào tài
nguyên dành riêng cho vùng cách ly. Bằng phương thức này bạn cần có một bộ lọc gói tin cho quá
trình giao tiếp với các người dùng từ xa. Tuy nhiên quá trình lọc gói tin này ở mức rất đơn giản. Ví
như bạn cần mở port 7250 của giao thức TCP cho quá trình truyền tải các kết quả kiếm tra của các
script, một cho giao tiếp DHCP từ source UDP port 68 tới destination UDP port 67, và tất cả những
ports cho quá trình giao tiếp cần thiết cho quá trình thiết lập quarantine resource.

2. Viết Baselining Script

Bước tiếp theo bạn phải viết đoạn baslining script cho phép chạy trên máy client để lấy các thông tin
cần thiết cho máy chủ RRAS để thực hiện quá trình kiểm tra xem máy client có thoả mãn các điều
kiện cần thiết để đăng nhập vào hệ thống hay không. Các yêu cầu phụ thuộc vào từng tổ chức khác
nhau nhưng tất cả các script phải chạy file RQC.EXE để đảm bảo quá trình kiểm tra được thực hiện
đầy đủ, dưới đây là cấu trúc của script:

rqc ConnName TunnelConnName TCPPort Domain Username ScriptVersion

Các giá trị tham số với ý nghĩa và cách thay đổi chúng:

· Tham số ConnName là tên của connection ID trên máy client ở xa và hầu hết được sử dụng từ dial-
up với profile là %DialRasEntry%.

· Tham số TunnelConnName là tên của tunnel connection ID trên máy client ơởxa và hầu hết các
connect id ở dạng dial-in nên nó có dạng %TunnelRasEntry%.

· Tham số TCPPort là cổng được sử dụng để gửi các thông tin truyền được từ máy client đến máy
chủ RRAS mặc định là cổng 7250

· Tham số Domain là sử dụng tài khoản của người dùng trong domain cho quá trình đăng nhập từ xa
và bình thường mọi người hay sử dụng dial-in để truy cập từ xa sẽ có tham số %Domain%.

· Tham số Username bạn có thể sử dụng %UserName%.

· Tham số ScriptVersion bao gồm phiên bản của script bạn sử dụng sẽ được kiểm tra trên máy chủ
RRAS nếu trùng khớp thì máy chủ RRAS sẽ kiểm tra các điều kiện khác nhau bạn có thể sử dụng bất
kỳ ký tự nào trên bàn phím ngoại trừ ký tự /0.

3. Thiết lập Listening Components

Dịch vụ Remote Access Quarantine Agent service được hiểu một cách khác là RQS.EXE sẽ phải
được thiết lập trên máy chủ Windows Server 2003 để cho phép các gói tin đến máy chủ RRAS. RQS
được tích hợp trong Windows Server 2003 Resource Kit Tool:

http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-
b18c4790cffd&DisplayLang=en

Một cái mà bạn cần phải cài đặt là Command Shell từ startu menu bạn chạy RQS_SETUP /INSTALL
từ môi trường dòng lệnh. Với cấu trúc này nó sẽ copy các tham số nhị phân vào
WindowsRoot\System32\RAS trong thư mục của hệ thống và no chỉnh sửa các dịch vụ và trong các
thiết lập registry để sao cho quá trình nghe này sẽ được khởi động cùng với hệ thống.

Đây là một bước cần thiết tuy nhiên bạn muốn chỉnh sửa cụ thể phiên bản của đoạn này cho phù hợp
với phiên bản của baselining script. Dịch vụ listener kiểm tra phiển bản của script được nhận từ máy
client truyền đến và so sánh với phiên bản mà bạn thiết lập trên máy chủ RRAS sao cho hai phiên bản
này trùng nhau bạn có thể thực hiện từ việc chạy RQS_SETUP từ công cụ bạn download được từ
trang web.

1. Mở Registry Editor.

2. Chuyển đến HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rqs key.

3. Chuột phải chọn New String.

4. Tên của string: AllowedValue.

5. Sau đó kick đúp vào cái key vừa tạo ra viết phiên bản của script cho máy chủ RRAS

Một phương pháp khác bạn có thể chỉnh sửa trong RQS_SETUP batch file, để cho các lần sau được
tự độngt thực hiện

1. Mở RQS_SETUP.BAT trong Notepad.

2. Vào Find từ menu Edit.

3. trong Find what, gõ Version1\0, chọn OK. Con trỏ sẽ chỉ đến giòng:

REM REG ADD %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d Version1\0Version1a\0Test

4. Để thêm vào phiên bản cho phép , delete "REM" tại đầu của dòng trên

5. Tiếp theo thay đoạn "Version1\0Version1a\0Test" thành phiên bản của đoạn script mà bạn sử dụng
trong RQC.EXE.

6. Nếu bạn muốn thêm vào nhiều phiển bản script khác nhau mà máy chủ RRAS có thể nghe được
các thông tin đó từ máy client bạn thay đoạn "Version1\0Version1a\0Test" với mỗi phiên bản script bạn
kết thúc bằng đoạn "\0".

7. Save file, thoát khỏi Notepad.

Có hai chú ý: RQS được thiết lập phụ thuộc vào máy chủ RRAS, tuy nhiên khi máy chủ RRAS khởi
động lại RQS không tự dộng khởi động lại, bạn cần phải khởi động lại trong trường hợp phải tắt
RRAS bằng tay. Tuy nhiên mặc định RQS.EXE sẽ các gói tin được truyền đến trên cổng TCP port
7250. Để thay đổi cổng mặc định này bạn truy cập vào:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs\ key, tạo ra một REG_DWORD
với tên Port và thiết lập nó sử dụng một port nào khác.

4. Tạo ra một Quarantined Connection Profile

Bước tiếp theo bạn phải tạo ra một profile để sử dụng cho việc quản lý kết nối tới vùng bị cách biệt.
Bạn cần phải chắc chắn một điều là đoạn script sẽ phải được chạy trên máy client và chạy lại khi có
lỗi nào đó chạy ra sẽ phản hồi lại quá trình chạy script đó có được thực hiện tốt hay không cho máy
chủ RRAS.

Trong phần này bạn phải tạo ra một tuỳ chọn với CMAK Wizard.

1. trong Custom Actions screen

Figure 1: The Custom Actions screen of the CMAK Wizard

2. Chọn Post-Connect từ Action type drop-down box, chọn New button thêm vào một action. The New
Custom Action sẽ hiển thị như dưới đây:

Figure 2: the New Custom Action dialog box

3. Dạng này miêu tả post-connection action trong hộp thoại Description . Trong Program để chạy, gõ
tên của baselining script. Bạn cũng có thể chọn nút Browse button để tìm kiếm cần thiết. Gõ dòng lệnh
command-line switches với các tham số cụ thể

4. chọn OK, và bạn có thể trở lại giao diện Custom Actions screen. chọn Next. Tiếp tục thực hiện với
wizard và thêm vào các File:

Figure 3: the CMAK wizard Additional Files screen

5. Chọn add và nhấn RQC.EXE chọn next. Bạn có thể sử dụng nút browse để tìm kiếm những file cụ
thể. Sau đó kick ok để trở lại giao diện Addition File sau đó bạn sẽ nhìn thấy file RQC.EXE chọn Next

6. Hoàn thành bước cấu hình

Trong phần tiếp theo

Trong phần 2 của bài viết này tôi sẽ cung cấp các thông tin về new profile cho người dùng từ xa, thiết
lập các chính sách thực tế trong triển khai việc cách ly mạng, và làm thể nào để cấm người dùng truy
cập bằng cách cấu hình trong quarantine, và các sử dụng công nghệ trong Microsoft ISA Server 2004
để thực hiện việc này.

Triển khai Network Access Quarantine Control, (phần 2)

Trong phần trước của bài viết tôi đã giới thiệu với các bạn cách thức làm việc của Network Access
Quarantine Control (NAQC) và cụ thể cách thức từng phiên làm việc trong quá trình này. Trong phần
hai của bài viết tôi sẽ giới thiệu với các bạn các bước tiếp theo trong 6 bước triển khai NAQC, và tôi
sẽ giới thiệu cách thức làm việc với ISA Server 2004 cho ứng dụng NAQC, cũng như cách triển khai
với ISA Server.

5. Cung cấp Profile cho Remote Users

Profile bạnd đã tạo được trong phần trước của bài viết là việc chạy một file mà bạn cung cấp cho các
máy tính từ xa sẽ chạy trong quá trình khởi động của hệ thống, tạo ra một profile khác với thêm vào
những sự can thiệp khác. Có vài cách thức để bạn có thể chạy một file trên máy tính của người dùng
từ xa.

Bạn có thể gửi file chạy đó bằng cách gửi file đính kèm trong một bức thư điện tử, hay một đường link
gửi đến máy tính cá nhân và khi họ vào đường link đó sẽ download trực tiếp và chạy file đó. Trong
files gửi kèm theo thư điện tử bạn còn có thể bao gồm những file cung cấp cho quá trình đăng nhập
trong tương lai của người dùng. Bạn có thể chạy như một phần của quá trình logon hay logoff, nhưng
bạn cũng phải cần một tài khoản người dùng đăng nhập vào hệ thống từ xa qua kết nối dial-up, hoặc
đợi đến khi người dùng từ xa trở về hệ thống mạng của họ và kết nối từ xa tới mạng của hệ thống
trung tâm.

Không quan tâm đến cách thức bạn chọn lựa để gửi một profile cho người dùng, bạn cần phải chắc
chắn một điều phiên bản mới nhất của profile được cài đặt trên các tài nguyên trong vùng cách ly
"quarantined resource", bởi các máy client sẽ không thể qua được quá trình kiểm tra sử dụng script
và khi phiên bản mới nhất được cập nhật trên máy client mà các phiên bản trên máy chủ lại chưa
được cập nhật thì khi đó các thông tin đến máy chủ sẽ bị bỏ qua bởi so sánh phiên bản của script
không có trong cơ sở dữ liệu trên máy chủ.

6. Cấu hình chính sách cho Quarantine

Bước cuối cùng trong việc triển khai NAQC là việc cấu hình các chính sách thực tế với máy chủ
RRAS. Trong phần này, tôi sẽ tạo ra một chính sách cách ly "quarantine policy" với máy chủ RRAS,
với điều kiện bạn đã cung cấp các profile trên máy chủ web và máy chủ đó như một tài nguyên bị
cách ly được cung cấp cho các client ở xa.

Nếu máy chủ RRAS được cấu hình để sử dụng phương thức xác thực của Windows, sau đó sử dụng
Active Directory hay từ một domain của Windows NT để cung cấp xác thực cho người dùng và nhìn
các đặc tính của tài khoản đó. Nếu máy chủ RRAS được cấu hình để sử dụng RADIUS, thì sau đó
máy chủ RADIUS phải là một máy chủ cài Windows Server 2003 với dịch vụ IAS được cài đặt và chạy
trên đó. Tiện đây tôi xin nói là IAS cũng sử dụng Active Directory để cung cấp xác thực cho người
dùng bằng cách tìm kiếm trong cơ sở dữ liệu và xét các đặc tính của tài khoản đó.

6.1. Cấu hình máy chủ RRAS

1. Mở RRAS Manager.

2. Chuột phải vào Remote Access Policies, Sau đó chọn New Remote Access Policy từ menu chọn
Next.

3. Trang Policy Configuration Method sẽ xuất hiện. Điền tên của các kết nối truy cập cho chính sách
này được hiển thị dưới hình sau, sau đó bạn chọn next và finish
Hình 4. The Policy Configuration Method screen

4. Trong cửa sổ Access Method chọn VPN sau đó chọn Next.

5. Trên cửa sổ User or Group Accessc chọn Group sau đó chọn Add

6. Trong dạng của group bạn phải cho phép VNP truy cập vào hệ thống mạng của bạn. Nếu toàn bộ
domain users đều có thể thì bạn lựa chọn group là "Everyone or Authenticated Users. Tôi sẽ gọi group
đó là VPNUsers trong domain có quyền truy cập vào hệ thống mạng từ xa, sau chọn group bạn cần
thiết lập nhấn OK.

7. Bạn sẽ trở lại trang User or Group Access, và bạn sẽ nhìn thấy group mà bạn vừa add vào để thiết
lập chính sách thể hiện ở hình dưới đây.
Hình 5: the User or Group Access screen.

8. Cửa sổ Authentication Methods sẽ xuất hiện. Để cho việc ví dụ đơn giản tôi sử dụng phương giao
thức xác thực MS-CHAP v2 authentication protocol, nó là lựa chọn mặc định chọn Next.

9. Trong cửa sổ Policy Encryption Level, chắc chắn cho bảo mật chọn chỉ chọn thiết lập Strongest
Encryption được thể hiện dưới hình sau, sau đó bạn chọn Next:

Hình 6: the Policy Encryption Level screen

10. Để hoàn thành bước này chọn Finish.

6.2. Cấu hình thuộc tính cho quarantined.

Bây giờ bạn cần phải cấu hình thuộc tính sẽ được gán trực tiếp cho các phiên kết nối quarantine.

1. Vào RRAS Manager, chuột phải new Quarantined VPN remote access connections policy, chọn
Properties từ menu được thả xuống.

2. Chọn tab Advanced, chọn Add bao gồm các đặc tính dưới đây.

3. Trong hộp thoại Add Attribute được hiển thị dưới hình sau:

Hình 7: The Add Attribute dialog box

4. Chọn MS-Quarantine-Session-Timeout, chọn Add.

5. Trong hộp thoại Attribute Information, cung cập dạng của phiên kết nối quarantine trong tham biến
thời gian của thông số Attribute. Sử dụng trong ví dụ này là 60 có nghĩa là nó được tính bởi giây (60
giây) chọn OK và chọn tiếp OK trong tab Advanced.

6. Chọn Add trong danh sách của Attribute chọn MS-Quarantine-IPFilter, sau đó chọn Add lần nữa
bạn sẽ thấy IP Filter Attribute Information hiển thị dưới đây:
Hình 8: the IP Filter Attribute Information dialog box

7. Chọn nút Input Filters, Sẽ hiển thị hộp thoại Inbound Filters.

8. Chọn New để add filter đầu tiên. Trong hộp thoại Add IP Filter được hiển thị. Trong Protocol chọn
TCP, trong Destination chọn cổng 7250 chọn OK.

9. Bây giờ bạn trở lại cửa sổ Inbound Filters screen, chọn Permit chỉ cho phép các gói tin trong danh
sách dưới đây, được hiển thị trong hình dưới đây.

Hình 9: the completed Inbound Filters screen

10. Chọn New sau đó thêm vào các filters cho DHCP, DNS, và WINS, với mỗi giao thức trên bạn cần
sử dụng những ports cụ thể cho mỗi ứng dụng
11. Chọn New sau đó add một input filter cho một quarantine resource, ví như một Web server, nơi
bạn để các profile được cài đặt. Cụ thể địa chỉ IP của các tài nguyên đó trong Destination Network
trong Add IP Filter được thể hiện dưới hình sau:

Hình 10: The Add IP Filter box, adding a quarantined Web resource

12. Để hoàn thành bạn chọn OK trong hộp thoại Inbound Filters để save danh sách filter.

13. Trong hộp thoại Edit Dial-in Profile chọn OK để lưu các thay đổi trong thiết lập profile

14. Sau khi lưu các thay đổi trong chính sách bạn chọn OK, và thực hiện tiếp theo sẽ hoàn thành các
bước

Tạo ra một Rule ngoại lệ

Bên trên là thiết lập cho toàn bộ các users kết nối qua phiên quarantined cho đến khi cấu hình của họ
được kiểm tra, nhưng nó có thể tiềm ẩn những lỗi logic hay những khả năng chưa lường được hết
trong khi thực hiện. Bằng một cách đơn giản là bạn tạo ra những security group trong Active Directory.
Một số lượng group có thể có, có thể không trong quá trình quarantining.

Sử dụng các group khác nhau bạn có thể tạo ra những chính sách khác nhau áp dụng cho những
người dùng trong group đó riêng. Với mỗi group sẽ có những chính sách MS-Quarantine-IPFilter hay
the MS-Quarantine-Session-Timeout riêng. Mỗi chính sách được tạp ra sẽ được áp dụng cho một
group cụ thể nào đó trước khi nó thực hiện trong group everyone.

Mở rộng tính năng này với ISA Server 2004

Quarantine Control của ISA Server 2004 làm việc víơ Routing and Remote Access Service, đã được
miêu tả bên trên của bài viết này. Sự khác nhau lớn nhất của chúng là thực tế thường hay làm việc
với ISA Server hơn là làm việc chỉ với RRAS server, bạn có thể cần một máy client gán chúng vào
trong vùng Quarantined VPN Client network trong ISA, với các chính sách trong firewall được thực
hiện trước tiên, cho đến khi Connection Manager chạy trên máy client vượt qua các điều kiện trong
ISA máy chủ sẽ chuyển đến các quá trình kiểm tra tiếp theo, ví như sử dụng cách thức của NAQC,
ISA thực hiện quá trình cách ly bằng cách chuyển giao trên Connection Manager profile và yêu cầu
cần thiết một baseline script cần phải được thiết lập cho môi trường của bạn.
Với ISA Server 2004 bạn có hai tuỳ chọn để cấu hình trong các thành phần của quarantine: bạn có thể
sử dụng quy trình cách ly sử dụng RRAS, nó cần thiết trong máy Windows Server 2003. Sử dụng
phương thức này các lients sẽ thực hiện xác thức bình thường với các chính sách trên máy chủ ISA
khi chúng kết nối đến mạng VPN Clients network, trong máy card mạng của máy chủ ISA, chỉ khi các
clients qua được quá trình kiểm tra trên máy chủ ISA nó mới được thực hiện các bước tiếp theo. Bạn
cũng có thể thực hiện việc cách ly trực tiếp trên máy chủ ISA Server, và các client có thể được kết nối
với mạng Quarantined VPN Clients và tất cả các chính sách được gán cho mạng này. Trong thực tế
và một cách triển khai mang tính bảo mật cao cũng như đảm bảo được hiệu năng là bạn có thể sử
dụng quá trình cách ly trên máy chủ ISA Server, và không cần thiết phải một máy khác cài Windows
Server 2003.

ISA Server hỗ trợ tính năng mạnh mẽ trong timeout, cho phép các clients kết nối lại vào mạng
Quarantined VPN Clients trong một khoảng thời gian xác định trước khi nó bị ngắt kết nối, và nó cũng
hộ trợ một danh sách ngoại lệ, nó cho pép bạn nhận dạng các người dùng thông qua Active Directory
hay RADIUS server.

Quá trình nghe các tín hiệu từ các máy client hỗ trợ trong ISA Server 2004 Resource Kit, bạn có thể
download được tại:

http://www.microsoft.com/downloads/details.aspx?FamilyId=3396C852-717F-4B2E-AB4D-
1C44356CE37A&displaylang=en

Để thực hiện tính năng cách ly (quarantining) với máy chủ ISA Server.

1. Mở ISA Server Management.

2. Chọn Virtual Private Networks (VPN).

3. Bên tay phải chọn tab Tasks, và sau đó chọn Enable VPN Client Access.

4. Bây giờ mở Configuration chọn Networks.

5. chọn Networks tab.

6. Nhất dúp chuột lên Quarantined VPN Clients để mở hộp thoại properties của nó

7. Chọn đến Quarantine tab. Được hiển thị dưới hình 11.

8. Chọn 'Enable quarantine control' checkbox để cho phép quá trình cách ly được thực hiện. Một cảnh
báo sẽ hiện ra để bạn chắc chắn là đã hiểu về nó và cách thiết lập quarantined trên các máy client

9. Chọn quarantine bởi các chính sách trong RADIUS server hay các chính sách trong ISA Server
policies.

10. Thiết lập thời gian time-out cho các clients trong mạng quarantined trong hộp thoại Disconnect
quarantined users.

11. Thiết lập các trường hợp ngoại lệ trong hộp thoại 'Exempt these users from Quarantine Control'.

12. Chọn OK, sau đó Apply trong ISA Server Management console, để cung cấp các thiết lập đã được
thay đổi
Hình 11. Quarantined VPN Clients in ISA Server 2004

Khi bạn đã hoàn thành các bước, từ máy chủ ISA Server 2004 Resource Kit bạn tìm
ConfigureRQSforISA.vbs script và chạy nó. Nó sẽ tự động tạo ra một rule với ISA và nó tự động cho
phép các client truy cập và vượt qua được cổng 7250 trogn mạng VPN Clients và Quarantined VPN
Clients tới mạng Local Host network. Đây là chính sách cần được thiết lập để các client có thể giao
tiếp với quá trình kiểm tra trong máy chủ ISA bởi cổng 7250 là cho quá trình chuyển các thông tin của
máy client để thực hiện NAQC.

Bạn cũng cần phải quan tâm đến các rule cho Quarantined VPN Client dưới đây:

- Allow transmissions tới tất cả các LDAP servers (đây là máy chủ AD) trong mạng internal network.

- Allow traffic tới các domain controllers.

- Allow DNS, DHCP, and WINS đến các DNS servers, có thể ở trong vùng DMZ

- Allow traffic tới các máy chủ có các bộ nâng cấp các phần mềm như antivirus…

Kết luận

Trong bài viết này tôi đã giới thiệu với các bạn về mạng cách ly sử dụng các dịch vụ trong Windows
Server 2003 và các tính năng trong Resource Kit của nó, tôi cũng giới thiệu với các bạn cách sử dụng
NAQC trên máy chủ ISA Server 2004. Ý nghĩa của việc áp dụng của nó trong môi trường mạng, tôi hy
vọng bài viết này sẽ có ý nghĩa với các bạn trong việc triển khai mạng VPN. Ngăn cấm các kết nối
không được xác thực hay các client không đủ điều kiện bảo mật cần thiết truy cập vào tài nguyên của
hệ thống.