Tweet
VPN Blocking
Ngày nay, không quá khó để những người dùng internet không cẩn thận trở thành con mồi của nhiều loại virus máy tính và phần mềm độc hại. Điều này có thể gây ra chi phí đáng kể về năng suất và tài sản bị mất. Do đó, các tổ chức triển khai tường lửa với việc kiểm tra gói tin sâu là một phương pháp hay nhất.
Khi nhiều lưu lượng truy cập trên internet được mã hóa, phần mềm độc hại và các lưu lượng không mong muốn khác cũng vậy. Điều này khiến các thiết bị an ninh mạng, chẳng hạn như tường lửa, khó phân tách lưu lượng truy cập bình thường và độc hại. Ví dụ: một tùy chọn là sử dụng phần mềm bảo vệ máy khách cuối (chống vi-rút) bổ sung, nhưng cũng có những phần mềm khác.
Một số tổ chức chọn kiểm tra tất cả lưu lượng truy cập trong mạng của họ - chẳng hạn như để ngăn người dùng tải xuống phần mềm độc hại.
Điều này có thể ảnh hưởng đến lưu lượng được mã hóa, như kết nối HTTPS hoặc VPN:
· Các kết nối trực tiếp bị chặn; sử dụng máy chủ proxy là bắt buộc.
· Lưu lượng truy cập được định tuyến thông qua thiết bị tường lửa " next-generation ", đóng giả máy chủ đích và cho phép nó giải mã lưu lượng
Trong trường hợp cuối cùng, bạn có thể phải cài đặt thêm root CA hoặc định cấu hình ghim chứng chỉ trên máy khách.
Ghim chứng chỉ hướng dẫn hệ thống tin cậy một chứng chỉ nhất định cho một máy chủ được chỉ định, bất kể phân cấp ký chứng chỉ là gì. Nói một cách đơn giản, nó là một cách để tin cậy chứng chỉ của máy chủ lưu trữ theo cách thủ công.
Các biện pháp này là bắt buộc vì đối với các ứng dụng, thiết lập này trông giống hệt như một cuộc tấn công trung gian. Đổi lại, các ứng dụng sẽ từ chối kết nối do nhận dạng máy chủ sai. Nếu bạn gặp phải trường hợp này, bạn thường sẽ thấy các thông báo lỗi như chứng chỉ máy chủ không khớp và những thứ tương tự.
Tools for Troubleshooting Connectivity Issues
Vì kết nối mạng có thể bị gián đoạn theo nhiều cách khác nhau, bạn sẽ phải sử dụng các công cụ khác nhau để xác định vị trí và khắc phục sự cố.
Đối mặt với sự cố kết nối, bạn nên tạo một kế hoạch khắc phục sự cố:
Kế hoạch này chỉ là một ví dụ. Bạn cũng có thể tạo của riêng bạn. Mục đích của kế hoạch là giúp bạn theo dõi những gì bạn đã kiểm tra và danh sách các nguyên nhân có thể còn lại để kiểm tra.
Một kế hoạch tốt có thể cắt giảm đáng kể thời gian bạn cần để xác định vấn đề. Bắt đầu bằng cách xác minh rằng độ phân giải tên là một lựa chọn tốt, vì bạn muốn chắc chắn rằng bạn đang kết nối với máy chủ phù hợp.
Xác minh DNS
Bạn có thể kiểm tra độ phân giải tên DNS bằng hai lệnh sau:
· nslookup : Hiển thị địa chỉ IP đã phân giải (nếu có), cho phép bạn đảm bảo rằng bạn đang kết nối với đúng địa chỉ. Nếu có lỗi DNS, công cụ này cũng cho phép bạn kiểm tra nội bộ của hệ thống DNS.
· ping : Cũng hiển thị địa chỉ IP đã phân giải. Ngoài ra, ping thành công đến địa chỉ IPv4 có nghĩa là các điểm cuối có kết nối IPv4 cơ bản giữa chúng.
PS C:\> ping dns.google
Pinging dns.google [8.8.4.4] with 32 bytes of data:
Reply from 8.8.4.4: bytes=32 time=39ms TTL=52
<... output omitted ...>
Nhiều kỹ sư mạng đã dựa vào công cụ ping để khắc phục sự cố và với lý do chính đáng. Ban đầu là viết tắt của Packet INternet Groper, lệnh ping có sẵn trên tất cả các thiết bị và hệ điều hành chính. Nó sử dụng một loạt các bản tin ICMP echo request và ICMP echo response để xác định xem máy chủ từ xa đang hoạt động hay không hoạt động, thời gian khứ hồi (RTT/ round-trip time) trong giao tiếp với máy chủ và (nếu có) mất gói. Lệnh ping đầu tiên sẽ gửi một gói yêu cầu tiếng vọng đến một địa chỉ, sau đó chờ phản hồi. Ping chỉ thành công nếu yêu cầu tiếng vọng đến được đích và đích có thể gửi phản hồi tiếng vọng đến nguồn trong một khoảng thời gian định trước được gọi là thời gian chờ. Giá trị mặc định của thời gian chờ này là hai giây trên các thiết bị của Cisco.
Như bạn có thể thấy trong đầu ra lệnh, ping cũng đo thời gian khứ hồi. Bạn có thể sử dụng nó như một phép đo độ trễ gần đúng. Hơn nữa, xem xét thời gian thay đổi như thế nào sẽ cung cấp cho bạn ước tính sơ bộ về jitter, là phương sai của độ trễ thời gian trong các gói trên mạng.
Do đó, ping sẽ cho phép bạn thực hiện nhiều lần kiểm tra với một lệnh duy nhất. Về kết nối, nếu ping thành công, bạn biết rằng cả bước nhảy đầu tiên và đường dẫn đầy đủ đến đích đều hoạt động. Mặt khác, nếu lệnh ping không thành công, điều đó có thể không thực sự cho bạn biết nhiều điều. Vì một số quản trị viên chọn tắt chức năng ping trên máy chủ của họ, bạn không thể phân biệt trường hợp này với kết nối bị hỏng.
Nếu ping không thành công, bạn sẽ phải xác minh kết nối theo một cách khác và việc xác minh bước tiếp theo là hợp lý.
Ngày nay, không quá khó để những người dùng internet không cẩn thận trở thành con mồi của nhiều loại virus máy tính và phần mềm độc hại. Điều này có thể gây ra chi phí đáng kể về năng suất và tài sản bị mất. Do đó, các tổ chức triển khai tường lửa với việc kiểm tra gói tin sâu là một phương pháp hay nhất.
Khi nhiều lưu lượng truy cập trên internet được mã hóa, phần mềm độc hại và các lưu lượng không mong muốn khác cũng vậy. Điều này khiến các thiết bị an ninh mạng, chẳng hạn như tường lửa, khó phân tách lưu lượng truy cập bình thường và độc hại. Ví dụ: một tùy chọn là sử dụng phần mềm bảo vệ máy khách cuối (chống vi-rút) bổ sung, nhưng cũng có những phần mềm khác.
Một số tổ chức chọn kiểm tra tất cả lưu lượng truy cập trong mạng của họ - chẳng hạn như để ngăn người dùng tải xuống phần mềm độc hại.
Điều này có thể ảnh hưởng đến lưu lượng được mã hóa, như kết nối HTTPS hoặc VPN:
· Các kết nối trực tiếp bị chặn; sử dụng máy chủ proxy là bắt buộc.
· Lưu lượng truy cập được định tuyến thông qua thiết bị tường lửa " next-generation ", đóng giả máy chủ đích và cho phép nó giải mã lưu lượng
Trong trường hợp cuối cùng, bạn có thể phải cài đặt thêm root CA hoặc định cấu hình ghim chứng chỉ trên máy khách.
Ghim chứng chỉ hướng dẫn hệ thống tin cậy một chứng chỉ nhất định cho một máy chủ được chỉ định, bất kể phân cấp ký chứng chỉ là gì. Nói một cách đơn giản, nó là một cách để tin cậy chứng chỉ của máy chủ lưu trữ theo cách thủ công.
Các biện pháp này là bắt buộc vì đối với các ứng dụng, thiết lập này trông giống hệt như một cuộc tấn công trung gian. Đổi lại, các ứng dụng sẽ từ chối kết nối do nhận dạng máy chủ sai. Nếu bạn gặp phải trường hợp này, bạn thường sẽ thấy các thông báo lỗi như chứng chỉ máy chủ không khớp và những thứ tương tự.
Tools for Troubleshooting Connectivity Issues
Vì kết nối mạng có thể bị gián đoạn theo nhiều cách khác nhau, bạn sẽ phải sử dụng các công cụ khác nhau để xác định vị trí và khắc phục sự cố.
Đối mặt với sự cố kết nối, bạn nên tạo một kế hoạch khắc phục sự cố:
- Verify DNS
- Verify first hop
- Verify path connectivity
- Check firewalls
- Verify traffic reaching host
Kế hoạch này chỉ là một ví dụ. Bạn cũng có thể tạo của riêng bạn. Mục đích của kế hoạch là giúp bạn theo dõi những gì bạn đã kiểm tra và danh sách các nguyên nhân có thể còn lại để kiểm tra.
Một kế hoạch tốt có thể cắt giảm đáng kể thời gian bạn cần để xác định vấn đề. Bắt đầu bằng cách xác minh rằng độ phân giải tên là một lựa chọn tốt, vì bạn muốn chắc chắn rằng bạn đang kết nối với máy chủ phù hợp.
Xác minh DNS
Bạn có thể kiểm tra độ phân giải tên DNS bằng hai lệnh sau:
· nslookup : Hiển thị địa chỉ IP đã phân giải (nếu có), cho phép bạn đảm bảo rằng bạn đang kết nối với đúng địa chỉ. Nếu có lỗi DNS, công cụ này cũng cho phép bạn kiểm tra nội bộ của hệ thống DNS.
· ping : Cũng hiển thị địa chỉ IP đã phân giải. Ngoài ra, ping thành công đến địa chỉ IPv4 có nghĩa là các điểm cuối có kết nối IPv4 cơ bản giữa chúng.
PS C:\> ping dns.google
Pinging dns.google [8.8.4.4] with 32 bytes of data:
Reply from 8.8.4.4: bytes=32 time=39ms TTL=52
<... output omitted ...>
Nhiều kỹ sư mạng đã dựa vào công cụ ping để khắc phục sự cố và với lý do chính đáng. Ban đầu là viết tắt của Packet INternet Groper, lệnh ping có sẵn trên tất cả các thiết bị và hệ điều hành chính. Nó sử dụng một loạt các bản tin ICMP echo request và ICMP echo response để xác định xem máy chủ từ xa đang hoạt động hay không hoạt động, thời gian khứ hồi (RTT/ round-trip time) trong giao tiếp với máy chủ và (nếu có) mất gói. Lệnh ping đầu tiên sẽ gửi một gói yêu cầu tiếng vọng đến một địa chỉ, sau đó chờ phản hồi. Ping chỉ thành công nếu yêu cầu tiếng vọng đến được đích và đích có thể gửi phản hồi tiếng vọng đến nguồn trong một khoảng thời gian định trước được gọi là thời gian chờ. Giá trị mặc định của thời gian chờ này là hai giây trên các thiết bị của Cisco.
Như bạn có thể thấy trong đầu ra lệnh, ping cũng đo thời gian khứ hồi. Bạn có thể sử dụng nó như một phép đo độ trễ gần đúng. Hơn nữa, xem xét thời gian thay đổi như thế nào sẽ cung cấp cho bạn ước tính sơ bộ về jitter, là phương sai của độ trễ thời gian trong các gói trên mạng.
Do đó, ping sẽ cho phép bạn thực hiện nhiều lần kiểm tra với một lệnh duy nhất. Về kết nối, nếu ping thành công, bạn biết rằng cả bước nhảy đầu tiên và đường dẫn đầy đủ đến đích đều hoạt động. Mặt khác, nếu lệnh ping không thành công, điều đó có thể không thực sự cho bạn biết nhiều điều. Vì một số quản trị viên chọn tắt chức năng ping trên máy chủ của họ, bạn không thể phân biệt trường hợp này với kết nối bị hỏng.
Nếu ping không thành công, bạn sẽ phải xác minh kết nối theo một cách khác và việc xác minh bước tiếp theo là hợp lý.