Lưu trữ thẻ: #vpn

Hướng dẫn cấu hình VPN trên máy chủ Windows Server 2012

I. Tổng quan

Hiện nay, do nhu cầu phát triển và mở rộng quy mô hoạt động, việc truy cập và sử dụng dữ liệu trên Cloud ngày càng phổ biến, kèm theo đó là nguy cơ lớn về an toàn thông tin, như:

  • Dể bị tấn công phá hoại và mã hóa dữ liệu.
  • Nguy cơ bị đánh cắp dữ liệu.

Để hạn chế những nguy cơ kể trên, việc giới hạn nguồn truy cập hoặc thiết lập các kết nối an toàn hơn thông qua VPN đến server, đặc biệt là các server sử dụng hệ điều hành Windows là một yêu cầu cần thiết. Ở bài viết này, Long Vân sẽ hướng dẫn Quý khách cách cấu hình kết nối VPN Client-to-Site đến server Windows Server 2012.

II. Triển khai VPN server

  1. Cài đặt VPN

    • Đầu tiên ta khởi động Server Manager sẵn có trên các Window Server.
    • Tiến hành cài đặt VPN bằng cách Add roles and features.Chọn Next đến cửa sổ Server Role, chọn Remote Access.
    • Tiếp tục chọn Next đến cửa sổ Role Serivce, chọn Direct Acess and VPN(RAS) và  Routting. Lưu ý, khi chọn Direct Acess and VPN(RAS), hệ điều hành sẽ yêu cầu cài thêm các Feature đi kèm, chọn Add Features.
    • Tiếp tục chọn Next để tiếp tục, đến cửa sổ Confimation, nhấn Install để tiến hành cài đặt.
  2. Cấu hình VPN server.
    • Mở Routing and  Remote Access từ cửa sổ Server Manager.
    • Trong cửa sổ Routing and  Remote Access, right-click vào WIN-0N3…(phần này tên của máy chủ) –> Chọn Configure and Enable Routing and Remote Access.
    • Chọn Next –> chọn Custom configuration.

    • Chọn Next –> Chọn VPN accessLAN Routing.
    • Next –> Finish –> Cuối cùng nhấn Start service.
    • Tiến hành thêm IP LAN cho VPN. Right-click vào WIN-0N3…(tên server ) –> chọn Properties.
    • Tab IPv4 chọn Static address pool truyền dãy IP LAN vào để có thể cấp phát VPN cho từng user bên ngoài kết nối tới. Ở đây mình sẽ truyền vào từ khoảng 172.168.200.10 – 172.168.200.50. tùy vào mức độ sử dụng mà có thể điều chỉnh ở đầu và cuối dãy IP để tăng thêm user cần thiết. Sau đó Ok để lưu lại.
  3. Cấu hình Firewall.

    • Tiếp tục mở Window Power Shell để mở các port cần thiết cho VPN ta chạy thêm các dòng lệnh sau:
      • New-NetFirewallRule -DisplayName "VPNTCP" -Direction inbound -Profile Any -Action Allow -LocalPort 1723,1701,443 -Protocol TCP
      • New-NetFirewallRule -DisplayName "VPNUDP" -Direction inbound -Profile Any -Action Allow -LocalPort 500 -Protocol UDP
      • New-NetFirewallRule -DisplayName "GRE" -Direction inbound -Protocol 47 -Profile Any -Action Allow
  4. Tạo user để tiến hành kết nối VPN.

    • Ta phải chuột biểu tượng Windows –> chọn Computer Management –> User and Local Groups –>User –> New user –>Tạo user và đặt password. Lưu ý bỏ dấu tick ” User must change password at next login ” để tránh phải đổi password ở lần đăng nhập kế tiếp.
    • Sau khi tạo user xong ta tìm và nhấn Right-click vào user vừa tạo –> Properties –> Tab Dial-In –> Chọn Allow access –> Apply và OK. Tùy chọn cho phép User có thể xác thực truy cập VPN.

III. Cấu hình VPN trên máy cá nhân

  1. Tiến hành tạo kết nối VPN ở máy cá nhân (thao tác trên máy thật) để kết nối tới VPN server.
    • Biểu tượng Window –> Setting à VPN Setting.
    • Chọn Add a VPN connection –> Điền các thông tin cần thiết để tạo kết nối –> Save.
    • Sau khi tạo kết nối VPN xong –> bên phải màn hình ta chọn Change adapter options –> Card mạng VPN PPTP vừa tạo sẽ xuất hiện.
    • Right-Click vào card VPN vừa tạo, chọn Propperties –> tab Networking –> Internet Protocol Version 4( TCP/IPv4) –> Advanced –> Bỏ chọn ” Use default gateway on remote network ” . Phần này để tránh khi ta kết nối tới VPN server bên ngoài máy cá nhân sẽ mất kết nối mạng.
    • Cuối cùng tiến hành connect VPN và sau đó là kiểm tra lại remote với IP private trên server ảo lúc đầu ta đã khai báo từ 172.168.200.10-50 mặc định server VPN sẽ lấy IP private đầu tiên trong dãy và cấp phát các IP còn lại cho các client VPN kết nối đến.

Như vậy là mình đã hướng dẫn xong phần cài đặt và cấu hình VPN trên windows server 2012. Chúc các bạn thành công.

Một số biện pháp tăng cường an toàn trên Server Windows

  1. Quản lý mật khẩu.
    Trong mọi trường hợp, bạn cần thiết lập một chính sách nhất quán về mật khẩu, đảm bảo có thể áp dụng cho toàn bộ các tài khoản trên server.

    • Đảm bảo nguyên tắc về độ dài tối thiểu cho password (8-12 ký tự).
    • Mật khẩu phải được đặt phức tạp với đủ các kiểu ký tự thường, hoa, ký tự số và ký tự đặc biệt.
    • Nên có chính sách hết hạn cho mật khẩu trên server. Một mật khẩu thông thường chỉ nên tồn tại vài tuần đến vài tháng.
  2. Bảo đảm an toàn cho giao thức Remote Desktop (RDP):
    Các cuộc tấn công dò mật khẩu brute-force trên Windows thường nhắm đến giao thức RDP, do vậy việc tăng cường bảo mật cho giao thức RDP nên được ưu tiên. Các biện pháp nên được cân nhắc bao gồm:

    • Giới hạn user thực sự cần thiết sử dụng RDP.
    • Giới hạn địa chỉ IP được phép truy cập RDP bằng firewall hoặc cấu hình truy cập qua VPN.
    • Đổi port RDP, không sử dụng port mặc định của Windows (3389).
  3. Bảo vệ tài khoản Administrator trên Windows Server:
    Administrator là tài khoản người dùng mặc định trên hệ điều hành Windows đồng thời cũng là user có quyền cao nhất. Mặt khác, hầu hết các cuộc tấn công brute-force sẽ dò password của tài khoản này. Để bảo vệ tài khoản này, các bạn có thể sử dụng kết hợp các giải pháp sau:

    • Sử dụng một mật khẩu đủ mạnh với chính sách thay đổi thường xuyên.
    • Tạo một tài khoản quản trị khác và vô hiệu hóa tài khoản Administrator.
    • Đổi tên tài khoản Administrator.
    • Vô hiêu hóa truy cập từ xa sử dụng tài khoản Administrator.
  4. Cân nhắc sử dụng giao thức SMB.
    SMB (Server Message Block) là một giao thức lớp ứng dụng cho phép chia sẽ dữ liệu thông qua kiến trúc Client-Server.
    IBM được tạo ra từ năm 1984, được tính hợp vào Windows từ phiên bản Windows 95. Qua quá trình phát triển, SMB đã bộc lộ nhiều vấn đề với khá nhiều lỗ hổng bảo mật đã được phát hiện trong những năm qua. Một số trong đó đã gây ra những hậu quả nghiêm trọng trên phạm vi toàn thế giới. Các cuộc tấn công ransomware hay mã hóa dữ liệu là một minh chứng cụ thể.
    Để bảo vệ Server trước những nguy cơ từ giao thức SMB, bạn cần thực hiện các việc sau:

    • Gỡ bỏ SMBv1 trên server.
    • Sử dụng phiên bản SMB mới nhất, đồng thời giới hạn các địa chỉ IP được phép truy cập.
    • Trong trường hợp không có nhu cầu sử dụng. Bạn nên gở bỏ toàn bộ ứng dụng SMB (chặn toàn bộ truy cập đến port SMB 445).
  5. Quản lý truy cập bằng Windows Firewall.
    Đảm bảo Windows Firewall được kích hoạt và luôn hoạt động hiệu quả là việc bắc buộc nhằm đảm bảo an toàn cho server của bạn. Chủ động kiểm soát tất cả truy cập thông qua firewall, cụ thể:

    • Disable hoặc xóa toàn bộ các rule allow mặc định.
    • Cấu hình cho phép truy cập với các port hoặc ứng dụng thực sự cần thiết.
    • Giới hạn địa chỉ IP được phép truy cập.
    • Bạn có thể tham khảo hướng dẫn cấu hình Firewall trên Windows tại đây.
  6. Sử dụng ứng dụng Antivirus.
    Một ứng dụng Antivirus hoạt động hiệu quả sẽ chủ động phát hiện và ngăn chặn các mối đe dọa bên trong cũng như bên ngoài server. Qua đó bảo vệ an toàn server trước những nguy cơ từ virus hoặc malware.
    Hiện nay, có nhiều ứng dụng Antivirus trên Windows Server; hầu hết là có phí; như Kaspersky, Trend Micro, Bitdefender,…
    Ngoài ra, bạn cũng có thể cân nhắc sử dụng Windows Defender, là một ứng dụng Antivirus của Windows được tính hợp sẳn trên hệ điều hành Windows Server từ phiên bản 2016.
  7. Có kế hoạch update Windows thường xuyên.
    Microsoft thường xuyên có các bản vá bảo mật, việc cài đặt cũng khá dể dàng thông qua Windows Update sẳn có trên Windows. Nhưng để Windows Update chạy tự động hoàn toàn sẽ ảnh hưởng một phần đến hiệu suất hoạt động của server. Thay vì thế, bạn có thể lập kế hoạch chủ động thực hiện việc tìm kiếm và update các bản vá Windows hàng tháng nhằm bảo vệ server của mình trước những nguy cơ bảo mật từ bên ngoài.
  8. Sử dụng VPN cho các truy cập không an toàn.
    Khi được public ra internet, một server Windows luôn đối mặt với nhiều nguy cơ tấn cần công từ bên ngoài, đặc biệt là nguy cơ tấn công (dò password hoặc tấn công vào lỗi bảo mật) đến các dịch vụ như Remote Desktop, SQL, SMB, Sharepoint,…
    Để tránh những nguy cơ này, các bạn có thể cân nhắc sử dụng kết nối VPN để truy cập đến server. Bất kỳ kiểu kết nối VPN nào, Site-to-Site hay Client-to-Site đều có thể bảo vệ được những kết nối đến server thông qua Internet, giảm thiểu nguy cơ server bị tấn công.
    Một lựa chọn kết nối VPN các bạn có thể cân nhắc sử dụng trên Windows là VPN Remote Access.
  9. Backup hệ thống thường xuyên.
    Một server hoặc một hệ thống nói chung đã thiết lập tất cả những biệt pháp bảo mật có thể, thì nguy cơ bị tấn công vẫn luôn tồn tại.
    Là một quản trị viên server, bạn nên chuẩn bị cho một số kịch bản xấu nhất, như trong trường hợp server bị tấn công xóa mất dữ liệu hoặc bị mã hóa. Trong những kịch bản này, backup server thường xuyên là một biện pháp hữu hiệu để đảm bảo an toàn cho dữ liệu trên server. Một server backup thường xuyên sẽ dể dàng restore lại dữ liệu, nhanh chóng khắc phục sự cố.
    Ở Long Vân, các dịch vụ cloud sẽ được backup hằng ngày nhằm hỗ trợ mọi khách hàng trong những trường hợp như vậy.
    Ngoài ra, nếu bạn muốn chủ động trong việc backup dữ liệu hoặc mong muốn tần suất backup cao hơn, có thể tham khảo thêm dịch vụ Business Backup của chúng tôi.

Như vậy, Long Vân đã hoàn thành hướng dẫn quý khách một số cách để có thể nâng cao mức độ an toàn cho một server sử dụng hệ điều hành Windows. Chúc quý khách thành công!

Hướng dẫn cài đặt OpenVPN trên Ubuntu 20.04

I. OpenVPN là gì?

OpenVPN được biết tới là chương trình mã nguồn mở VPN hoàn toàn miễn phí. OpenVPN cũng được xem là giải pháp tốt nhất cho những người muốn có 1 kết nối an toàn và bảo mật giữa 2 hệ thống mạng với nhau.

Với OpenVPN cho phép các kết nối point to point an toàn trong các cấu hình được định tuyến hoặc bắc cầu và các phương tiện truy cập từ xa. Nó sử dụng giao thức bảo mật tùy chỉnh dựa trên SSL/TLS để thiết lập kết nối được mã hóa trên Internet.

II. Cài đặt OpenVPN

Yêu cầu:

  • Máy chủ Linux (Ở bài viết này mình sẽ cài đặt tren Ubuntu bản 20.04)
  • IP Public

Các bước thực hiện:

  1. Bước 1: Cập nhật hệ thống
    Chạy lệnh update để cập nhật mới hệ thống.
    root@root:~# sudo apt update

    Tiếp theo chạy lênh upgrade để cập nhật phiên bản mới nhất

    root@root:~# sudo apt upgrade
  2. Bước 2: Tải và cài đặt OpenVPN từ Script
    Đảm bảo server đã có sẳn wget, hoặc Quý khách có thể cài đặt bằng lệnh sau.
    root@root:~# apt install wget

    Tiến hành tải file cài file cài đặt.

    root@root:~# wget https://git.io/vpn -O openvpn-ubuntu-install.sh

  3. Bước 3: Tiến hành cài đặt
    • Cấp quyền run cho file cài đặt vừa download về
      root@root:~# chmod +x openvpn-ubuntu-install.sh
    • Thực hiện cài đặt với lệnh
      root@root:~# bash openvpn-ubuntu-install.sh
    • Nhập các tùy chọn theo hướng dẫn
  4. Quá trình cài đặt hoàn thành.

III. Quản lý User trong Open VPN server

  1. Tạo thêm User
    • Để tạo thêm User VPN, tiếp tục chạy lệnh
      root@root:~# bash openvpn-ubuntu-install.sh
    • Trong giao diện quản lý Open VPN, chọn tùy chọn 1) Add a new client.
    • Sau đó nhập tên của User cần tạo
    • Chờ quá trình tạo user hoàn thành.
  2. Trong giao diện quản lý Open VPN ở trên cũng có thể thực hiện việc xóa những user không còn sử dụng.

III. Cài đặt VPN Client

  1. Bước 1: Download và cài đặt ứng dụng VPN Client từ https://openvpn.net/downloads/openvpn-connect-v3-windows.msi 
  2. Bước 2: Download file OVPN, có thể thực hiện bằng hai cách:
    1. Cách 1: Sử dụng WinSCP hoặc một ứng dụng SSH có hỗ trợ download file, để download file OVPN trong folder /root/
    2. Cách 2: mở truy cập và download thông qua giao diện web.
      Lưu ý: việc mở truy cập để download file OVPN thông qua giao diện web sẽ không an toàn. Do đó, cần thiết phải giới hạn truy cập (cho phép 1 IP truy cập vào port 8000) trên firewall trước khi tiến hành.
      • Thực hiện cho phép truy cập trên firewall đối với port 8000
        root@root:~# sudo ufw allow from [IP_address] to any port 8000  

        Với [IP_address] là IP bạn đang sử dụng.

      • Bật HTTP với Open VPN bằng lệnh
        root@root:~#  cd /root && python3 -m http.server
      • Lúc này ta sẽ truy cập web bằng server-ip:8000 và tải về máy file OVPN.
  3. Bước 3: Di chuyển file OVPN vào bên trong folder C:Program FilesOpenVPN Connect trên máy client.
  4. Bước 4: Import file config bằng cách chọn File > Browse, chọn file .opvn vừa rồi, sau đó nhấn Open

  5. Bước 5: Trong cửa sổ làm việc, nhấn nhấn CONNECT để kết nối VPN.

Như vậy, Long Vân đã hoàn thành hướng dẫn cài đặt và cấu hình Open VPN trên server Ubuntu 22.04. Chúc Quý khách thành công!

 

Hướng dẫn cấu hình OpenVPN trên firewall pfSense

System-Cert. Manager

I. Tổng quan:

OpenVPN là một hệ thống mạng riêng ảo (VPN) thực hiện các kỹ thuật tạo ra các kết nối point-to-point
hoặc site-to-site an toàn. Cho phép các bên xác thực với nhau bằng cách sử dụng khóa chia sẻ (pre-shared key), chứng chỉ (certificates) hoặc tên người dùng/mật khẩu. Khi sử dụng trong cấu hình multi client-server, nó cho phép máy chủ phát hành một chứng chỉ xác thực cho mỗi client. Nó sử dụng thư viện mã hóa OpenSSL cũng như giao thức TLS một cách rộng rãi đồng thời có nhiều tính năng kiểm soát và bảo mật.

Trong bài viết này, Long Vân sẽ hướng dẫn các bạn cấu hình OpenVPN trên firewall Pfsense.

Một số lưu ý:

  • Đầu tiên cần đảm bảo firewall pfSense đã được cài đặt và hoạt động với các interface bao gồm WAN và LAN.
  • Một số thiết lập không được đề cập đến trong hướng dẫn, các bạn có thể để mặc định.
  • Hướng dẫn này sẽ sử dụng cả hai phương thức xác thực bao gồm mật khẩu và chứng chỉ.

III. Cấu hình trên pfsense server.

  1. Bước 1: Tạo một Certificate Authority – CA
    • Vào menu System > Cert. Manager
      System-Cert. Manager
    • Nhấn phím Add để tạo mới một CA.
      CAs
    • Nhập tên nhận diện cho chứng chỉ CA.
    • Đặt phương thức (Method) là Create an internal Certificate Authority
    • Chọn Key Type. (RSA, ECDSA ..)
    • Đặt độ dài của khóa Key length (2048, 4096, …)
    • Chọn thuật toán mã hóa Digest Algorithm (sha256, sha512, …)
    • Đặt tên chung Common Name (internal-ca, own-ca, …)
    • Save để lưu, như vậy CA đã được tạo hoàn tất.
  2. Bước 2: Tạo chứng chỉ cho server – Server Certificate

    • Vào menu System > Cert. Manager.
    • Truy cập tab Certificates ở sub-menu
    • Chọn Add/Sign ở bên tay phải dưới cùng
    • Điều chỉnh phương thức (Method) là  Create an internal Certificate Authority.
    • Nhâp Descriptive name.
    • Đặt Key length và Digest Algorithm giống với CA đã tạo
    • Chỉnh thời hạn Lifetime365 ngày hoặc tùy chỉnh không quá 398 ngày.
    • Đặt Common Name.
    • Thiết đặt Certificate TypeServer Certificate
    • Save để lưu, như vậy Server Certificate đã được tạo hoàn tất.
  3. Bước 3: Tạo user OpenVPN
    • Vào menu System > User Manager
    • Chọn nút Add và nhập Username Password cho người dùng của bạn
    • Nhấn Save để lưu, như vậy người dùng OpenVPN đã được tạo hoàn tất sau đó sẽ được chuyển về giao diện ban đầu.
    • Thiết lập phương thức xác thực theo chứng chỉ hoặc mật khẩu, có thể chọn cả hai (icon edit chì để chỉnh sửa)
    • Chọn Add -> User Certificate và nhập bổ sung
    • Đặt phương thức (Method -> Create an internal Certificate)
    • Chọn Key length, Type và Digest Algorithm giống với CA đã tạo trước đó.
    • Đặt thời gian hết hạn Lifetime 365 ngày.
    • Kiểm tra Certificate Type được chọn là chứng chỉ người vừa tạo (User Certificate)
    • Save để lưu và hoàn tất liên kết với chứng chỉ người dùng với OpenVPN user (User Certificate – OpenVPN user)
    • Ấn Save vậy đã hoàn tất thiết lập tạo tài khoản người dùng cho OpenVPN.
  4. Bước 4: Tạo máy chủ VPN – OpenVPN Server
    • Chọn thẻ VPNOpenVPN.
    • Chọn Add
      • Thông tin chung
        1. Server mode – chọn Remote Access (SSL/TLS + User Auth)
        2. Local port , chọn port kết nối, trong bài hướng dẫn này là 1194
        3. Nhập nội dung mô tả – Description
      • Cài đặt mật mã – Cryptographic Settings
        1. Chọn sử dụng TLS Key và tự động bật Automatically generate a TLS Key
        2. Trong Peer Certificate Authority chọn CA đã tạo trước đó.
        3. Chọn Server Certificate đã tạo.
        4. Chọn 4096 cho DH Parameter Length
        5. Thiết lập Auth digest algorithm RSA-SHA512 (512-bit)

      • Cài đặt đường hầm VPN – Tunnel Setting
        1. Tạo subnet trong IPv4 Tunnel Network 10.0.2.0/8
        2. Để trống IPv6 Tunnel Network
        3. Bật cổng chuyển hướng Redirect IPv4 Gateway
      • Cấu hình nâng cao – Advenced Configuration
        1. Bật UDP Fast I/O
        2. Chọn IPv4 Only trong Gateway creation. chọn Both nếu sử dụng IPv4, IPv6
    • Nhấn Save để lưu lai để cập nhật cấu hình
  5. Bước 5: Xác minh cấu hình máy chủ
    • Chọn menu Status > System Logs
    • Chọn tab OpenVPN
    • Kiểm tra log sẽ hiển thị Initialization Sequence Completed nếu đã hoàn thành.
  6. Bước 6: Cấu hình cho phép truy cập trong VPN
    • Chọn menu Firewall > Rules
    • Chọn OpenVPN
    • Chọn Add đầu tiên để thêm.
    • Address Family chọn chỉ IPv4
    • Protocol chọn Any
    • Source chọn Network với range IP đã thiết lập ở bước 4
    • Nhập mô tả, nhấn SaveAppy Changes để lưu lại cấu hình.
  7. Bước 7: Cấu hình cho phép truy cập vào VPN
    • Chọn menu Firewall > Rules
    • Chọn tab WAN
    • Nhấn chọn Add để thêm rule mới
    • Thiết lập Address FamilyIPv4
    • Chọn Source any
    • Chọn Protocol là UDP
    • Với Destination Port Range nhập port OpenVPN đã thiết lập trước đó là 1194
    • Nhập mô tả, nhấn Save Apply Changes để lưu lại cấu hình
  8.  Bước 8: Cài đặt tiện ích OpenVPN Client Export Utility, là tiện ích hỗ trợ export ra VPN Client

    • Chọn System > Package Manager
    • chọn Available Packages trong sub-menu
    • Tìm tiện ích mở rộng openvpn-client-export và chọn install để cài đặt
    • Nhấn chọn confirm xác nhận cài đặt.
    • Khi cài đặt hoàn thành sẽ hiển thị Success trong giao diện Package Installer
  9. Bước 9: Export gói cài đặt VPN Client
    • Chọn VPN > OpenVPN
    • Chọn Client Export ở sub-menu
    • Chọn đúng máy chủ OpenVPN cạnh Remote Access Server
    • Nếu sử dụng Dynamic DNS để truy cập mạng WAN pfSense, chọn Other và chọn Host Name Resolution (Thiết lập này cho phép truy cập mạng WAN pfSense bằng tên thay vì bằng IP, sẽ không mất quyền truy cập máy chủ OpenVPN nếu ISP thay đổi IP hay mạng WAN
    • Nếu không sử dụng hãy chọn Host Name Resulation thành Interface IP Address

    • Kéo xuống dưới đến vị trí user muốn download file cài đặt VPN Client, và chọn tải về file cài đặt phù hợp.
  10. Bước 10: Kiểm tra sử dụng kết nối OpenVPN
    • Chạy cài đặt file VPN Client đã download về.
    • Sau khi kết nối thành công tới OpenVPN

    • Thông tin network – khi kết nối đến OpenVPN

Như vậy Long Vân đã hoàn tất hướng dẫn Quý khách cấu hình OpenVPN trên firewall pfSense, Chúc Qúy khách thành công!