Riešenie SSL VPN. Inštalácia servera Hypersocket SSL VPN

| Na zoznam publikácií

Zabezpečený vzdialený prístup prostredníctvom SSL VPN

Boris Borisenko, odborník

TECHNOLÓGIA VPN sa stala rozšírenou ako spôsob, ako poskytnúť zamestnancovi bezpečný prístup k miestnej sieti podniku z nejakého fyzicky vzdialeného bodu. SSL VPN boli vyvinuté ako príslušenstvo a alternatívna technológia pre vzdialený prístup cez IPsec VPN. Náklady a spoľahlivosť poskytovania bezpečných komunikačných kanálov však urobili z SSL VPN atraktívnu technológiu. Koncentrátory VPN SSL ponúkajú ďalšie možnosti oproti tradičným zariadeniam VPN. Väčšina brán firewall poskytuje publikovanie webových aplikácií na internete prostredníctvom portov, vysielania sieťové adresy(NAT) a sieťové smerovanie, ale neposkytuje kryptografickú ochranu nad úroveň poskytovanú aplikáciami. Používatelia IPsec VPN sa môžu pripojiť k podnikovej sieti podobne ako priame pripojenie k sieti LAN. Tým sa zašifrujú všetky údaje prenášané medzi serverom VPN a klientom. Väčšina zariadení VPN však vyžaduje vyhradený klientsky program. Koncentrátory SSL VPN používajú prehliadač na to, aby vzdialeným pracovníkom umožnili prístup nielen k interným webovým stránkam, ale aj k aplikáciám a súborovým serverom. Zvážte niektoré z najviac zaujímavé riešenia na organizovanie vzdialeného prístupu pomocou SSL VPN.

ZyWALL SSL 10

Je to brána VPN so zabezpečeným šifrovaním SSL vzdialený prístup k sieťam a aplikáciám prostredníctvom pripojenia VPN bez predchádzajúcej inštalácie klientskej časti. Zariadenie je ponúkané pre siete malých a stredných firiem.

Na pripojenie k internetu alebo DMZ je k dispozícii rozhranie WAN, prepínač pre štyri porty LAN, port RS 232 DB9 - na ovládanie prostredníctvom konzoly (v toto zariadenie je k dispozícii menej možností ako v tom istom ZyWALL 1050). ZyWALL SSL 10 podporuje nielen priamy prístup k intranetovým databázam používateľov, ale funguje aj s Microsoft Active Directory, LDAP a RADIUS. Okrem toho je možné použiť dvojfaktorovú autentifikáciu (pomocou kľúčov ZyWALL OTP).

Priamy prístup k zdrojom podnikovej siete poskytuje klient SecuExtender stiahnutý do počítačov vzdialených používateľov. Potom bude možné s povolením správcov pre určité kategórie používateľov jednoducho organizovať sieťové tunely pomocou protokolu IPsec. Správcovia môžu tiež konfigurovať zásady zabezpečenia pre skupiny používateľov, rozsahy sieťových adries alebo rôzne aplikácie.

ZyWALL SSL 10 podporuje 10 súbežných zabezpečených relácií, rozšíriteľných na 25 relácií SSL. V sieti môže byť zariadenie použité buď za existujúcou bránou (obrázok 2), alebo ako novú bránu (obrázok 3). V prvom prípade môže byť ZyWALL SSL 10 pripojený k portu DMZ kvôli zvýšeniu bezpečnosti. V druhom k modemu a webovému serveru k ZyWALL. Premávka z webového servera na server vzdialený používateľ prechádza tunelom VPN.

Medzi podporované možnosti patrí TLS, šifrovanie, certifikáty - 256 -bitové AES, IDEA, RSA, hašovanie - MD5, SHA -1. Zaujímavou funkciou je pomerne veľký výber trysiek pre napájaciu zástrčku (pre všetky zásuvky a siete).

Koncentrátor VPN Netgear ProSafe SSL VPN SSL312

Zariadenie vám umožňuje súčasne pracovať s podnikovou sieťou až 25 vzdialení klienti... Pripojenie sa vykonáva pomocou komponentov ActiveX, ktoré je možné stiahnuť a nainštalovať priamo zo zariadenia.

Na nainštalovanie príslušných komponentov ActiveX však musí mať klient prístup do systému s oprávneniami správcu. Okrem toho musí byť prehliadač nakonfigurovaný tak, aby umožňoval používanie komponentov ActiveX. Môže to tiež vyžadovať inštaláciu aktualizácií systému Windows. Hardvér obsahuje dva porty LAN a jeden sériový port. Pri prihlasovaní je vybratá možnosť autentifikácie: databáza užívateľov, doména Windows NT, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). Pri prístupe cez vzdialený server musí byť tento server dostupný a musí byť pred ním nakonfigurované smerovanie prevádzky.

Ak je množstvo pamäte DRAM rovnaké pre Netgear SSL312 aj pre ZyWALL SSL 10, potom je flash pamäť Netgearu výrazne nižšia (16 oproti 128 MB). Procesor Net-gear SSL312 tiež prehráva so ZyWALL (200 oproti 266 s kryptografickým urýchľovačom). Na rozdiel od Netgear SSL312, ZyWALL podporuje SSL verzie 2.0.

Existujú dve možnosti použitia zariadenia. V prvom prípade je z dvoch ethernetových portov Netgear SSL312 použitý iba jeden. Brána potom musí pristupovať k serveru Netgear SSL312 cez HTTPS. Ďalší prípad použitia používa oba ethernetové porty Netgear SSL312 bez toho, aby prechádzala SSL prevádzka POŽARNE dvere... Jednému ethernetovému portu zariadenia je priradená verejná IP adresa a druhému je priradená súkromná IP adresa vo vnútornej sieti. Je potrebné poznamenať, že Netgear SSL312 nepôsobí ako NAT alebo ITU a nenahrádza ich.

Na prácu so sieťovými službami vzdialenej lokálnej siete existujú dve možnosti: tunel VPN, ktorý je vytvorený medzi používateľom a zariadením, alebo presmerovanie portov (presmerovanie portov). Obe metódy majú výhody aj nevýhody. Tunel VPN vám umožňuje zorganizovať plnohodnotné pripojenie pomocou diaľkového ovládača miestna sieť, ale zároveň neumožňuje vykonať samostatné nastavenia pre každú službu. Presmerovanie portov vám umožňuje pracovať iba s pripojeniami TCP (protokoly UDP a iné IP nie sú podporované), pravidlá pre každú aplikáciu sa nastavujú oddelene.
Dynamické DNS v Netgear SSL312 nie je podporované, čo je tiež nevýhoda.

SSL VPN Juniper Networks Secure Access 700

Riešenie vzdialeného prístupu SSL VPN je navrhnuté aj pre malé a stredné podniky. Rozhranie používateľa a správcu je organizované vo forme webového prehliadača. Na vzdialený počítač nie je potrebné inštalovať klienta VPN. K dispozícii sú dva ethernetové porty RJ-45 a jeden sériový port. Juniper SA 700 automaticky kontroluje vzdialený počítač a v závislosti od výsledkov nainštalovaného softvér, priradí rôzne prístupové práva.

Schopný podporovať maximálne 25 súbežných používateľov. Medzi možnosťami autentifikácie a autorizácie sú nasledujúce možnosti: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, certifikačný server. Zariadenie poskytuje prístup k súborovým zdrojom Win-dows / SMB, Unix / NFS, webových aplikácií vrátane aplikácií používajúcich JavaScript, XML, Flash; Podporované hovory prostredníctvom protokolov Telnet a SSH. Prístup k firemnému e-mail organizované na základe obvyklých poštový klient ktorý je nakonfigurovaný pre zabezpečené pripojenie SSL k Juniper SA 700. Na to je však potrebná licencia „Core Clientless Web Access“.

Juniper SA 700 poskytuje automatická kontrola vzdialený počítač ak je v ňom nainštalovaný antivírusový softvér, osobná ITU a ďalšie bezpečnostné programy. Po skončení relácie sa odstránia všetky sťahovania serverov proxy a dočasné súbory potrebné počas relácie.

V prvej časti tejto série na Nastavenie systému Windows Server 2008 ako server SSL VPN, zdieľal som niekoľko faktov o histórii serverov Microsoft VPN a protokoloch VPN. Predchádzajúci článok sme ukončili ukážkovou sieťou, ktorú použijeme v tejto a nasledujúcich častiach série o konfigurácii brány VPN, ktorá podporuje pripojenia SSTP ku klientom Vista SP1.

Kým začneme, musím sa priznať, že o prítomnosti viem návod krok za krokom Pozrite sa, ako vytvoriť pripojenia SSTP pre Windows Server 2008, ktorý sa nachádza na webovej stránke www.microsoft.com. Zdá sa mi, že tento článok neodráža prostredie v skutočnom svete, ktoré organizácie používajú na prideľovanie certifikátov. Preto som sa kvôli niektorým problematickým bodom, ktoré neboli zahrnuté v príručke spoločnosti Microsoft, rozhodol napísať tento článok. Verím, že sa dozvieš trochu nového, ak ma budeš v tomto článku sledovať.

Nebudem prechádzať všetky kroky od úplných základov. Budem predpokladať, že ste nainštalovali radič domény a aktivovali ste na tomto serveri roly DHCP, DNS a certifikačnej služby. Typ certifikácie servera musí byť Enterprise a vo svojej sieti máte CA. Pred pokračovaním v ďalších krokoch musí byť server VPN pripojený k doméne. Než začnete, musíte si nainštalovať Vista Client SP1.

Aby naše riešenie fungovalo, musíme dokončiť nasledujúce postupy:

  • Nainštalujte IIS na server VPN
  • Požiadajte o certifikát počítača pre server VPN pomocou sprievodcu žiadosťou o certifikát IIS
  • Nainštalujte rolu RRAS na server VPN
  • Aktivujte server RRAS a nakonfigurujte ho tak, aby fungoval ako server VPN a NAT
  • Nakonfigurujte server NAT na publikovanie zoznamov CRL
  • Nakonfigurujte používateľský účet na používanie telefonického pripojenia
  • Nakonfigurujte IIS na certifikačnom serveri tak, aby povoľoval pripojenia HTTP pre adresár CRL
  • Nakonfigurujte súbor HOSTS pre klienta VPN
  • Na pripojenie k serveru VPN použite protokol PPTP
  • Získajte certifikát CA od Enterprise CA
  • Nakonfigurujte klienta tak, aby používal SSTP, a pripájajte sa k serveru VPN pomocou SSTP

Inštalácia služby IIS na server VPN

Možno vám príde divné, že začíname týmto konkrétnym postupom, pretože vám odporúčam, aby ste nikdy neinštalovali webový server na zariadenie na zabezpečenie siete. Dobrou správou je, že webový server nemusíme ukladať na server VPN, potrebujeme ho iba na chvíľu. Dôvodom je, že registračná stránka, ktorá je súčasťou certifikačného servera Windows Server 2008, už nie je užitočná na vyžiadanie počítačových certifikátov. V skutočnosti je to spravidla zbytočné. Je zaujímavé, že ak sa napriek tomu rozhodnete použiť registračnú stránku na získanie certifikátu pre počítač, všetko bude vyzerať, ako keby bol certifikát prijatý a nainštalovaný, ale v skutočnosti nie je, certifikát nie je nainštalovaný.

Na vyriešenie tohto problému využijeme skutočnosť, že používame podnikovú CA. Pri použití Enterprise CA môžete odoslať požiadavku na certifikačný server online. Interaktívna žiadosť o počítačový certifikát je možná, keď použijete sprievodcu žiadosťou o certifikát IIS a požiadate o to, čo sa teraz nazýva „certifikát domény“. To je možné iba vtedy, ak žiadajúci počítač patrí do tej istej domény ako Enterprise CA.
Ak chcete nainštalovať rolu webového servera IIS na server VPN, postupujte nasledovne:

  1. Otvorte Windows 2008 Správca servera.
  2. Na ľavej table konzoly kliknite na kartu Role.
  1. Kliknite na ponuku Pridajte roly na pravej strane pravej tably.
  2. Stlačíme Ďalej Na stránke Predtým ako začneš.
  3. Zaškrtli sme pred čiaru Webový server(IIS) Na stránke Vyberte položku Roly servera... Stlačíme Ďalej.

  1. Informácie si môžete prečítať na stránke Web Server (IIS) Ak si budete priať. Je to veľmi užitočná všeobecná informácia o používaní IIS 7 ako webového servera, ale keďže nebudeme používať webový server IIS na serveri VPN, tieto informácie v našej situácii skutočne neplatia. Stlačíme Ďalej.
  2. Na stránke Vyberte Služby rolí už bolo vybratých niekoľko možností. Ak však použijete predvolené možnosti, nebudete môcť použiť sprievodcu žiadosťou o certifikát. Tak to aspoň bolo, keď som testoval systém. Sprievodca žiadosťou o certifikát nemá žiadnu službu rolí, a tak som sa pokúsil začiarknuť políčka vedľa jednotlivých možností Zabezpečenie a zdá sa, že to fungovalo. To isté urobte pre seba a kliknite Ďalej.

  1. Prečítajte si informácie na stránke Potvrďte výber nastavení a stlačte Inštalácia.
  2. Kliknite na Zavrieť Na stránke Výsledky inštalácie.

Žiadosť o strojový certifikát pre server VPN pomocou sprievodcu žiadosťou o certifikát IIS

Ďalším krokom je vyžiadanie strojového certifikátu pre server VPN. Server VPN vyžaduje na vytvorenie pripojenia SSL VPN ku klientskemu počítaču SSL VPN strojový certifikát. Bežný názov certifikátu sa musí zhodovať s názvom, ktorý klient VPN použije na pripojenie k počítaču brány SSL VPN. To znamená, že pre meno na certifikáte budete musieť vytvoriť verejný záznam DNS, ktorý vyrieši externú adresu IP servera VPN alebo adresu IP zariadenia NAT pred serverom VPN, ktorý bude posielať ďalej pripojenie k serveru SSL VPN.

Ak chcete požiadať o strojový certifikát server SSL VPN, postupujte takto:

  1. V. Správca servera, rozbaľte kartu Role na ľavom paneli a potom rozbaľte kartu Web Server (IIS)... Stlačte.

  1. V konzole Správca internetových informačných služieb (IIS) ktorá sa zobrazí vpravo na ľavom paneli, kliknite na názov servera. V tomto prípade bude názov servera W2008RC0-VPNGW... Kliknite na ikonu Certifikáty servera na pravom paneli konzoly IIS.

  1. Na pravom paneli konzoly kliknite na odkaz Vytvorte certifikát domény.

  1. Zadajte informácie na stránku Špecifické vlastnosti názvu... Najdôležitejším objektom tu bude Spoločný názov... Toto je názov, ktorý budú klienti VPN používať na pripojenie k serveru VPN. K tomuto názvu budete potrebovať aj verejný záznam DNS, aby ste rozpoznali externé rozhranie servera VPN alebo verejnú adresu zariadenia NAT pred serverom VPN. V tomto prípade používame bežný názov sstp.msfirewall.org... Neskôr vytvoríme záznamy Súbor HOSTS na počítačová VPN klienta, aby mohol rozpoznať toto meno. Stlačíme Ďalej.

  1. Na stránke stlačte tlačidlo Vyberte... V dialógovom okne Vyberte zdroj certifikátov, kliknite na názov Enterprise CA a kliknite na OK... Do riadka zadajte priateľské meno Priateľské meno... V tomto prípade sme použili názov Certifikát SSTP vedieť, že sa používa pre bránu SSTP VPN.

  1. Stlačíme Dokončiť Na stránke Online zdroj certifikátov.

  1. Sprievodca sa spustí a potom zmizne. Potom sa v konzole IIS zobrazí certifikát. Dvakrát kliknite na certifikát a v sekcii sa zobrazí bežný názov Vymenovaný za a teraz máme súkromný kľúč zodpovedajúci certifikátu. Stlačíme OK zatvorte dialógové okno Osvedčenie.

Teraz, keď máme certifikát, môžeme nainštalovať rolu servera RRAS. Všimnite si, čo je veľmi dôležité inštalačný certifikát pred inštaláciou role servera RRAS. Ak to neurobíte, bude vás bolieť hlava, pretože budete musieť používať pomerne komplikovanú rutinu. príkazové riadky priradiť certifikát ku klientovi SSL VPN.

Inštalácia role servera RRAS na server VPN

Ak chcete nainštalovať rolu servera RRAS, postupujte nasledovne:

  1. V. Správca servera, kliknite na kartu Role na ľavom paneli konzoly.
  2. V sekcii Všeobecné informácie rolí kliknite na odkaz Pridajte roly.
  3. Kliknite na Ďalej Na stránke Predtým ako začneš.
  4. Na stránke Vyberte položku Roly servera začiarknite políčko vedľa riadka. Kliknite na Ďalej.

  1. Prečítajte si informácie na stránke Zásady siete a prístupové služby... Väčšina z nich sa týka servera Network Policy Server (ktorý sa predtým volal Internet Authentication Server a v zásade to bol server RADIUS) a NAP, pričom žiadny z nich nie je v našom prípade použiteľný. Tlačiť Ďalej.
  2. Na stránke Vyberte Služby rolí začiarknite pred riadkom Služby smerovania a vzdialeného prístupu... V dôsledku toho budú položky vybrané Služby vzdialeného prístupu a Smerovanie... Stlačíme Ďalej.

  1. Stlačíme Inštalácia v okne Potvrďte vybrané nastavenia.
  2. Stlačíme Zavrieť Na stránke Výsledky inštalácie.

Aktivácia servera RRAS a jeho konfigurácia ako servera VPN a NAT

Teraz, keď je nainštalovaná rola RRAS, musíme aktivovať služby RRAS, rovnako ako sme to urobili v predchádzajúce verzie Windows. Musíme aktivovať funkciu servera VPN a služby NAT. S aktiváciou komponentu servera VPN je všetko jasné, ale možno sa čudujete, prečo je potrebné aktivovať server NAT. Dôvodom aktivácie servera NAT je, že externí klienti majú prístup k certifikačnému serveru a môžu sa pripojiť k CRL. Ak sa klientovi SSTP VPN nepodarí stiahnuť zoznam CRL, pripojenie SSTP VPN nebude fungovať.

Aby sme otvorili prístup k CRL, nakonfigurujeme server VPN ako server NAT a zverejníme CRL pomocou reverzibilného NAT. V prostredí podnikovej siete budete s najväčšou pravdepodobnosťou mať pred certifikačným serverom brány firewall, ako napríklad ISA Firewall, aby ste CRL mohli publikovať pomocou brán firewall. V tomto prípade je však jediným firewallom, ktorý budeme používať Windows firewall Firewall na serveri VPN, takže v tomto prípade musíme nakonfigurovať server VPN ako server NAT.

Ak chcete aktivovať služby RRAS, postupujte takto:

  1. V. Správca servera rozbaľte kartu Role na ľavom paneli konzoly. Rozbaľte kartu Zásady siete a prístupové služby a kliknite na kartu. Kliknite pravým tlačidlom myši na kartu a stlačte Konfigurujte a aktivujte smerovanie a vzdialený prístup.

  1. Kliknite na Ďalej v okne Vitajte v sprievodcovi nastavením servera smerovania a vzdialeného prístupu.
  2. Na stránke Konfigurácia vyberte možnosť Prístup k VPN a NAT a stlačte Ďalej.

  1. Na stránke Pripojenie VPN v časti vyberte NIC Sieťové rozhrania ktorý predstavuje externé rozhranie servera VPN. Potom stlačte Ďalej.

  1. Na stránke Priradenie adries IP vyberte možnosť Automaticky... Túto možnosť môžeme zvoliť, pretože na radiči domény za serverom VPN máme nainštalovaný server DHCP. Ak nemáte server DHCP, budete musieť túto možnosť vybrať Z konkrétneho zoznamu adries a potom pridajte zoznam adries, ktoré môžu klienti VPN používať pri pripájaní k sieti prostredníctvom brány VPN. Stlačíme Ďalej.

  1. Na stránke Diaľkové ovládanie viacerých serverov vyber si Nie, na overenie požiadaviek na pripojenie použite smerovanie a vzdialený prístup... Túto možnosť používame, ak nie sú k dispozícii servery NPS alebo RADIUS. Keďže server VPN je členom domény, používateľov môžete autentifikovať pomocou doménových účtov. Ak server VPN nie je členom domény, pokiaľ sa nerozhodnete používať server NPS, môžete použiť iba miestne účty servera VPN. V budúcnosti napíšem článok o používaní servera NPS. Stlačíme Ďalej.

  1. Prečítajte si všeobecné informácie na stránke Dokončenie sprievodcu konfiguráciou smerovania a vzdialeného prístupu a stlačte Dokončiť.
  2. Kliknite na OK v dialógovom okne Smerovanie a vzdialený prístup ktorý vám hovorí, že distribúcia DHCP vyžaduje agenta distribúcie DHCP.
  3. Na ľavej table konzoly rozbaľte kartu Smerovanie a vzdialený prístup a potom kliknite na kartu Prístavy... Na strednom paneli uvidíte, že teraz je k dispozícii pripojenie WAN Miniport pre SSTP.

Konfigurácia servera NAT na publikovanie CRL

Ako som už povedal, klient SSL VPN musí byť schopný stiahnuť CRL, aby potvrdil, že certifikát servera na serveri VPN nebol poškodený alebo odvolaný. Ak to chcete urobiť, musíte nakonfigurovať zariadenie pred certifikačným serverom na odosielanie HTTP požiadavky o umiestnení CRL na certifikačnom serveri.

Ako zistím, ku ktorej adrese URL sa musí klient SSL VPN pripojiť, aby si mohol stiahnuť zoznam CRL? Tieto informácie sú uvedené v samotnom certifikáte. Ak znova prejdete na server VPN a dvakrát kliknete na certifikát v konzole IIS, mali by ste tieto informácie nájsť.

Kliknite na tlačidlo Podrobnosti na certifikáte a posuňte zobrazenie nadol Distribučné body CRL, potom kliknite na tento záznam. Dolný panel zobrazuje rôzne distribučné body na základe protokolu použitého na prístup k týmto bodom. Na certifikáte zobrazenom na obrázku nižšie vidíte, že musíme otvoriť klienta SSL VPN do zoznamu CRL prostredníctvom adresy URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Z tohto dôvodu musíte pre tento názov vytvoriť verejné záznamy DNS, aby externí klienti VPN mohli tento názov namapovať na adresu IP alebo zariadenie, ktoré bude vykonávať reverzibilný preklad NAT alebo reverzibilný server proxy na prístup na web certifikačného servera. V tomto prípade potrebujeme prepojenie win2008rc0-dc.msfirewall.org s IP adresou na externom rozhraní servera VPN. Keď sa pripojenie dostane na externé rozhranie servera VPN, server VPN presmeruje pripojenie NAT na certifikačný server.

Ak používate pokročilý firewall, akým je napríklad ISA Firewall, môžete publikovanie stránok CRL zvýšiť tak, že povolíte iba do CRL, nie do celého webu. V tomto článku sa však obmedzíme na jednoduché zariadenie NAT, aké poskytuje RRAS NAT.

Je potrebné poznamenať, že používanie predvoleného názvu zoznamu CRL stránok môže byť menej bezpečná možnosť, pretože na Internete sa zobrazuje názov súkromného počítača. Môžete si vytvoriť vlastný distribučný bod CDP (CRL Distribution Point), aby ste tomu zabránili, ak si myslíte, že zverejnenie súkromného mena vašej CA vo verejnom zázname DNS predstavuje bezpečnostné riziko.

Ak chcete nakonfigurovať RRAS NAT na smerovanie požiadaviek HTTP na certifikačný server, postupujte nasledovne:

  1. Na ľavom paneli Správca servera rozbaľte kartu Smerovanie a vzdialený prístup a potom rozbaľte kartu IPv4... Kliknite na kartu NAT.
  2. V záložke NAT kliknite pravým tlačidlom myši na externé rozhranie v strednom paneli konzoly. V. tento príklad názov frontendu bol Lokálne sieťové pripojenie... Stlačte Vlastnosti.

  1. V dialógovom okne začiarknite políčko vedľa položky Webový server (HTTP)... Zobrazí sa dialógové okno Editačná služba... V textovom riadku Súkromná adresa zadajte IP adresu certifikačného servera vo vnútornej sieti. Kliknite na OK.

  1. Kliknite na OK v dialógovom okne Vlastnosti pripojenia k miestnej sieti.

Teraz, keď je server NAT nainštalovaný a nakonfigurovaný, môžeme presunúť našu pozornosť na konfiguráciu servera CA a klienta SSTP VPN.

Záver

V tomto článku sme pokračovali v rozhovore o konfigurácii servera SSL VPN pomocou systému Windows Server 2008. Pokúsili sme sa nainštalovať IIS na server VPN, vyžiadať a nainštalovať certifikát servera, nainštalovať a nakonfigurovať služby RRAS a NAT na serveri VPN. V nasledujúcom článku sa skončíme s konfiguráciou servera CA a klienta SSTP VPN. Vidíme sa! Objem.

Technológia SSL VPN-Plus vám umožňuje poskytnúť vzdialeným zamestnancom prístup do vášho cloudového dátového centra. Zamestnanci tým získajú zabezpečený prístup iba k tým zdrojom, ktoré sa pre týchto zamestnancov považujú za nevyhnutné, aj keď je prístup z verejného počítača, ktorý je mimo kontroly spoločnosti a považuje sa za „nedôveryhodný“.

Tento článok poskytuje informácie o nastavení SSL VPN-Plus.

Použitá topológia:

  1. V kapitole "Administrácia" prejdite do požadovaného dátového centra. V zobrazenej ponuke nastavení prejdite na kartu „Okrajové brány“... Vyberte požadovaný „vShield Edge“. Tlačiť kliknite pravým tlačidlom myši myšou a v zobrazenej ponuke vyberte možnosť Služby Edge Gateway.
  1. Otvorte kartu SSL VPN-Plus, prejdite na kartu Nastavenia servera a aktivujte server SSL VPN stlačením prepínača Povolené.

Potom vyberieme IP adresu vShield, port - 443, začiarkneme všetky šifrovacie algoritmy.

  1. V záložke Konfigurácia klienta skontrolujte, či je vybratá Režim tunelovania - rozdelený



  1. V záložke Používatelia pre každého pripojeného zamestnanca vytvoríme podrobnosti o pripojení.

  1. V záložke IP bazény vytvorte rozsah adries IP, ktoré budú priradené k pripojeniu počítačov



  1. V záložke Inštalačné balíky vytvorte parametre inštalačného balíka klientskeho programu. Pri prístupe na IP adresu brány (vShield) sa stiahne klientsky program SSL VPN-Plus.


Začiarkavacie políčka vyberajú typy operačných systémov, z ktorých bude nadväzovať spojenie. To je nevyhnutné pre predbežné generovanie inštalačných balíkov.

  1. V záložke Súkromné ​​siete nastavíme rozsahy sietí cloudových dátových centier, ku ktorým bude mať pripojený zamestnanec prístup

  1. Na toto nastavenie dokončené... Teraz si pomocou odkazu https://195.211.5.130/sslvpn-plus/ a prihlásenia si môžete stiahnuť klientsky program SSL VPN-plus a pripojiť sa k cloudovému dátovému centru.
Publikované 3. februára 2009 bez komentárov

Ak ste zmeškali predchádzajúce diely tejto série článkov, prečítajte si:

V prvých dvoch častiach tejto série o tom, ako vytvoriť server SSL VPN v systéme Windows Server 2008, sme si prešli niektoré základy vytvárania sietí VPN a potom sme diskutovali o konfigurácii servera. V tomto momente sme pripravení vykonať niekoľko drobných zmien v konfigurácii služby Active Directory a na webovej stránke CA. Po vykonaní týchto zmien sa zameriame na konfiguráciu klienta VPN a nakoniec vytvoríme pripojenie SSL VPN.

Nastavenie používateľského účtu na používanie telefonického pripojenia

Užívateľské účty vyžadujú povolenie na telefonické pripojenie, aby sa mohli pripojiť k serveru Windows VPN, ktorý je súčasťou domény Active Directory. Najlepším spôsobom, ako to urobiť, je použiť server Network Policy Server (NPS) a tiež povoliť účet predvolený používateľ, ktorý umožňuje vzdialený prístup na základe politiky NPS. V našom prípade sme však nenainštalovali server NPS, takže budeme musieť manuálne nakonfigurovať používateľské povolenie na prístup cez telefonické pripojenie.

Nasledujúci článok sa budem venovať používaniu servera NPS a Autentifikácia EAP Užívateľský certifikát na vytváranie spojení so serverom SSL VPN.

Aby ste mohli konkrétnemu používateľskému kontu povoliť prístup k telefonickému pripojeniu k serveru SSL VPN, postupujte podľa týchto krokov. V tomto prípade povolíme telefonický prístup pre predvolený účet správcu domény:

Konfigurácia služby IIS na certifikačnom serveri tak, aby povoľovala pripojenia HTTP pre adresár CRL

Z nejakého dôvodu, keď sprievodca inštaláciou nainštaluje webovú stránku certifikačných služieb, nakonfiguruje adresár CRL tak, aby požadoval pripojenie SSL. Aj keď sa to z bezpečnostného hľadiska zdá ako dobrý nápad, problémom je, že identifikátor URI (Uniform Resource Identifier) ​​v certifikáte nie je nakonfigurovaný na používanie SSL. Predpokladám, že si môžete vytvoriť záznam CDP k certifikátu sami, aby mohol používať SSL, ale stavím sa, že Microsoft tento problém nikde neuviedol. Pretože v tomto článku používame predvolené parametre pre CDP, musíme vypnúť požiadavku SSL na webovej stránke CA pre cestu k adresáru CRL.

Ak chcete deaktivovať požiadavku SSL na zoznam CRL, postupujte takto:



Konfigurácia súboru HOSTS pre klienta VPN

Teraz sa môžeme klientovi VPN naplno venovať. Prvá vec, ktorú musíme s klientom urobiť, je nastaviť súbor HOSTS, aby sme mohli simulovať verejnú infraštruktúru DNS. Do súboru HOSTS musíme vložiť dva názvy (to isté platí pre verejný server DNS, ktorý budete používať v produkčných sieťach). Krstné meno je názov servera VPN určený spoločným / predmetným názvom certifikátu, ktorý sme viazali na server SSL VPN. Druhé meno, ktoré musíme zadať do súboru HOSTS (a verejného servera DNS), je názov URL adresy CDP, ktorá sa nachádza na certifikáte. Umiestnenie informácií o CDP sme pokryli v druhej časti tejto série.

V tomto prípade budú do súboru HOSTS vložené dva názvy:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Pri konfigurácii súboru HOSTS pre klienta VPN Vista SP1 postupujte nasledovne:


  1. Zatvorte súbor a vyberte možnosť uložiť zmeny.

Pripojenie k serveru VPN pomocou protokolu PPTP

Postupne sa dostávame bližšie k vytváraniu SSL VPN pripojenia! Ďalším krokom je vytvorenie konektora VPN na klientovi Vista SP1, ktorý nám umožní vytvoriť počiatočné pripojenie VPN k serveru VPN. V našom prípade to treba urobiť, pretože klientsky počítač nie je členom domény. Pretože zariadenie nie je členom domény, certifikát CA sa automaticky nenainštaluje do jeho úložiska Trusted Root Certificate Authorities. Ak by bol počítač členom domény, o tento problém by sa za nás postarala automatická registrácia, pretože sme nainštalovali Enterprise CA.

Najľahší spôsob, ako dokončiť tento krok, je vytvoriť pripojenie PPTP z klienta VPN Vista SP1 na server Windows Server 2008 VPN. Server VPN bude v predvolenom nastavení podporovať pripojenia PPTP a klient najskôr vyskúša protokol PPTP a až potom vyskúša protokoly L2TP / IPSec a SSTP. Na to musíme vytvoriť konektor VPN alebo objekt pripojenia.

Pri vytváraní konektora klienta VPN postupujte nasledovne:









Získanie certifikátu CA od Enterprise CA

Klient SSL VPN musí dôverovať CA, ktorá vydala certifikát používaný serverom VPN. Na vytvorenie tejto dôveryhodnosti musíme nainštalovať certifikát CA na CA, ktorá vydala certifikát pre server VPN. Môžeme to urobiť pripojením sa na webovú stránku registrácie CA na intranete a nainštalovaním certifikátu klienta VPN do jeho obchodu Trusted Root Certification Authorities.

Ak chcete získať certifikát z registračného webu, postupujte takto:





  1. Tlačiť Zavrieť v dialógovom okne.
  2. Zavrieť internet Explorer.

Teraz musíme nainštalovať certifikát CA do skladu certifikátov dôveryhodných koreňových certifikačných autorít klientskeho počítača VPN. Ak to chcete urobiť, musíte urobiť nasledujúce:




  1. Zatvorte konzolu MMC.

Konfigurácia klienta na používanie SSTP a pripojenie na server VPN prostredníctvom SSTP

A teraz ste takmer hotoví! Teraz musíme odpojiť pripojenie VPN a nakonfigurovať klienta VPN tak, aby používal protokol SSTP pre protokol VPN. V produkčnom prostredí tento krok nemusíte používať pre používateľov, pretože pomocou sady Connection Manager Administration Kit vytvoríte objekt pripojenia VPN pre používateľa, ktorý bude zahŕňať klienta používajúceho SSTP, alebo budete konfigurovať iba porty SSTP na serveri VPN.

Všetko závisí od konfigurácie prostredia, pretože je potrebné vyhradiť čas tak, aby používatelia mohli počas inštalácie certifikátov určitý čas používať protokol PPTP. Certifikáty CA môžete samozrejme inštalovať mimo siete, to znamená stiahnutím z webu alebo e -mailom, v takom prípade nemusíte povoľovať používateľov PPTP. Ak však niektorí klienti nepodporujú SSTP, budete musieť povoliť PPTP alebo L2TP / IPSec a nebudete môcť zakázať všetky porty, ktoré nie sú SSTP. V takom prípade sa budete musieť spoľahnúť na manuálnu konfiguráciu alebo aktualizovaný balík CMAK.

Ďalšou možnosťou je naviazať klienta SSTP na konkrétnu adresu IP na serveri RRAS. V takom prípade môžete vytvoriť vlastný paket CMAK, ktorý bude odkazovať iba na adresu IP na serveri SSL VPN, ktorý v sieti počúva prichádzajúce pripojenia SSTP. Ostatné adresy na serveri SSTP VPN budú v sieti počúvať pripojenia PPTP a / alebo L2TP / IPSec.

Ak chcete odpojiť reláciu PPTP a nakonfigurovať objekt pripojenia klienta VPN na používanie SSTP, postupujte takto:




Obrázok 29

Záver

V tejto záverečnej časti našej série o tom, ako zostaviť server SSL VPN pomocou systému Windows Server 2008, sme dokončili nastavenie používateľského účtu, CRL webovej stránky a klienta SSL VPN. Dokončili sme tiež vytváranie pripojenia SSTP a potvrdili, že bolo úspešné. Vďaka!

Zdroj www.windowsecurity.com


Pozri tiež:

Komentáre čitateľov

Výmena 2007

Ak si chcete prečítať predchádzajúce časti tejto série článkov, kliknite na odkazy: Monitorovanie Exchange 2007 pomocou Správcu systému ...

Úvod V tomto viacdielnom článku vám chcem ukázať proces, ktorý som nedávno použil na migráciu z existujúceho prostredia Exchange 2003 ...

Ak ste zmeškali prvú časť tejto série, prečítajte si ju v časti Používanie nástroja na vzdialenú analýzu servera Exchange Server (časť ...