Giải Pháp Quản Lý Mạng Từ Xa Cho Microsoft
Tư vấn công nghệ – Một trong những vấn đề nan giải mà các nhà quản trị Microsoft đang đương đầu là làm sao quản lý hệ thống từ xa theo cách an toàn hơn? Trong thế giới UNIX thì câu trả lời khá đơn giản: dùng giao thức SSH. Nhờ có SSH, chúng ta có thể quản lý những hệ thống từ xa không những trong chế độ văn bản (text mode), mà còn có thể chạy những trình ứng dụng X-Window từ xa bằng cách dùng kỹ thuật đường hầm giao thức (protocol tunneling). Và tất cả những cái đó đều dùng mật mã vững chắc để bảo vệ việc truyền dữ liệu đi từ việc truy cập trái phép.
Không may, để bảo vệ an toàn việc truy cập từ xa đến hệ thống MS Windows thì không dễ dàng một chút nào. Tại sao? Thứ nhất, chỉ có NT Terminal Server, 2000 Server và XP được trang bị những dịch vụ quản lý từ xa (Terminal Services). Thứ hai, giải pháp quản lý hệ thống MS Windows có khả năng là không mã hoá dữ liệu truyền đi (giống như VNC), hoặc là sự bổ sung của họ thường đi liền với những chi phí thêm vào khá đáng kể.
Bài viết này sẽ mô tả phương pháp chung cho việc quản lý từ xa mà có thể được dùng để quản lý hầu hết tất cả hệ thống của MS Windows: từ Windows 95 lên đến XP. Phương pháp này không những chỉ dùng chí phí thấp nhất, mà còn có sự bảo mật tương đối cao hơn.
Giải Pháp
=======
Những đặc điểm nào mà giải pháp quản lý mạng từ xa nên có? Thứ nhất, là phải thiết thực. Mặc dầu trong trường hợp của hệ thống Unix, việc sử dụng phương pháp này để quản lý MS Windows khá xa vời ý tưởng trên. Bởi vì MS Windows là một hệ thống dựa trên môi trường đồ hoạ, việc quản lý từ xa cũng nên thực hiện trong một chế độ đồ hoạ. Bên cạnh đó cũng phải an toàn hơn. Giải pháp này không những cung cấp sự thẩm quyền cho người sử dụng, mà còn phải đảm bảo tính cẩn mật và toàn vẹn hơn cho việc truyền dữ liệu.
Trong giải pháp này, tất cả những yêu cầu trên sẽ được gặp ở đây bằng cách dùng phần mềm có mã nguồn mở sau:
+ VNC – VNC (Virtual Network Computing) cung cấp sự quản lý đồ họa cho những hệ thống từ xa. Ở trường hợp của chúng ta, phần mềm VNC sẽ là phần “cốt lõi” của toàn bộ giải pháp này. Nó sẽ cũng cấp một bàn giao tiếp đồ họa (graphic console) đến hệ thống MS Windows từ xa.
+ Stunnel – Mục đích chính của tiện ích Stunnel là tạo ra những đường hầm SSL để truyền dữ liệu, thường là những giao thức không mã hoá. Ở giải pháp đang miêu tả ở đây, công cụ này sẽ được dùng để bảo vệ giao thức VNC. Nhờ có Stunnel, nó không những bảo đảm được tính cẩn mật và toàn vẹn trong việc truyền dữ liệu, mà còn xác thực máy khách của và máy chủ VNC.
+ OpenSSL – OpenSSL là một thư viện mã hoá mà có thể được dùng để nâng cao những ứng dụng bởi chức năng mã hoá dữ liệu. Dùng OpenSSL chúng ta cũng có thể tạo ra, ký hiệu và huỷ bỏ chứng nhận mà có thể được dùng trong giải pháp dựa trên kiến trúc khóa công cộng (public key infrastructure). Ở phương pháp bên dưới công cụ này sẽ được dùng để tạo và ký hiệu chứng nhận cần thiết để xác thực cả máy khách lẫn máy chủ của VNC.
Hình sau đây cho thấy cách mà phần mềm đề cập ở trên được dùng để cung cấp sự quản lý vững chắc mạng từ xa:
Bây giờ, hãy thực hành giải pháp được miêu tả ở đây.
Cài đặt phần mềm
Giai đoạn đầu tiên của việc quản lý an toàn từ xa là phải cài đặt phần mềm.
VNC
Để dùng VNC, ta phải tải về (www.uk.research.att.com/vnc/ ) và cài đặt nó trên máy chủ mà ta muốn quản lý ở xa mà sẽ được đề cập dưới đây. Tiếp theo, ta phải đăng ký dịch vụ VNC (Start Menu ® RealVNC ® VNC Server ® Register VNC Server Service) và khởi động lại hệ thống.
Sau khi khởi động lại hệ thống, ta phải đặt vài tham số cơ bản của dịch vụ VNC. Quan trọng nhất là gõ một mật khẩu phù hợp để bảo vệ dịch vụ VNC chống lại sự truy cập trái phép. Bước tiếp theo là tắt tuỳ chọn “Enable Java Viewer” (nó không được sử dụng kể từ khi tuỳ chọn này yêu cầu hai đường hầm SSL riêng biệt), theo như hình bên dưới.
Sau khi định xong cấu hình cho máy chủ VNC, ta nên tải phần mềm máy khách VNC (vncviewer.exe) và đặt nó ở máy chủ mà nó sẽ là máy khách của VNC.
Ở điểm này ta nên kiểm tra nếu máy khách VNC có thể thiết lập một nối kết đến máy chủ VNC. Nếu những chương trình có thể liên lạc lẫn nhau được, thì ta hoàn thành việc định cấu hình.
Bởi vì máy chủ VNC chỉ có khả năng truy cập bởi một Stunnel cục bộ, những mục nhập theo sau nên được thêm vào Windows Registry trên máy chủ VNC:
CODE
Key: HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3Name: LoopbackOnly
Type: REG_DWORD
Value: 1
Những mục nhập ở trên làm cho nó có khả năng dùng kết nối loopback, và chỉ giới hạn listen ở cổng 5900/tcp đến localhost (127.0.0.1). Nhờ đó, máy chủ VNC sẽ không bị truy cập trực tiếp từ mạng máy tính. Nếu ta không muốn người sử dụng tắt dịch vụ VNC trên host của máy chủ VNC, thì nhập vào Registry:
CODE
Key: HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default
Name: AllowShutdown
Type: REG_DWORD
Value: 0
Để kích hoạt những sự thay đổi ở trên, ta phải khởi động lại dịch vụ VNC.
Stunnel
Bước tiếp theo là cài đặt tiện ích Stunnel. Để cài đặt, ta tải xuống và đặt nó trên máy chủ và máy khách của VNC, trong thư mục: C:\Program Files\Stunnel. Ta cũng nên tải thêm hai thư viện của Stunnel: libeay32.dll, libssl32.dll.
Nếu ta muốn cho Stunnel tự động bắt đầu khi hệ thống khởi động, thì thêm vào Windows Registry mục sau:
CODE
Key: HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
Name: Stunnel
Type: REG_SZ
Value: “C:\Program Files\Stunnel\stunnel-4.04.exe”
OpenSSL
Lúc này thư viện OpenSSL phần lớn được cài đặt như mặc định trong hầu hết Linux phân phối, bời vì nó phụ thuộc vào OpenSSH. Tuy nhiên, một vài người biết rằng có phiên bản OpenSSL cho MS Windows có chức năng gần như giống nhau. Bởi vì bài viết dành cho nền tảng MS Windows, nên ta sẽ sử dụng phiên bản OpenSSL này.