Решение SSL VPN. Установка SSL VPN сервера Hypersocket

| К списку публикаций

Защищенный удаленный доступ посредством SSL VPN

Борис Борисенко, эксперт

ТЕХНОЛОГИЯ VPN получила широкое распространение как средство, обеспечивающее безопасный доступ сотрудника к локальной сети предприятия из некоторой физически удаленной точки. Сети VPN на основе SSL разрабатывались как вспомогательная и альтернативная технология для удаленного доступа посредством IPsec VPN. Однако стоимость и надежность организации безопасных каналов связи сделали SSL VPN весьма привлекательной технологией. SSL VPN-концентраторы располагают дополнительными (по сравнению с традиционными VPN-устройствами) возможностями. Большинство межсетевых экранов обеспечивают публикацию Веб-приложений в Интернет через порты, трансляцию сетевых адресов (NAT) и сетевую маршрутизацию, но не осуществляют криптографическую защиту данных сверх уровня, обеспечиваемого приложениями. Пользователи IPsec VPN могут установить связь с корпоративной сетью по аналогии с прямым подключением к локальной сети. При этом шифруются все данные, передаваемые между VPN-сервером и клиентом. Однако для большинства VPN устройств требуется специальная клиентская программа. В SSL VPN-концентраторах браузер используется для доступа удаленных сотрудников не только к внутренним Веб-узлам, но и приложениям и файловым серверам. Рассмотрим некоторые наиболее интересные решения по организации удаленного доступа с использованием SSL VPN.

ZyWALL SSL 10

Это шлюз виртуальных частных сетей с поддержкой SSL-шифрования, позволяющий организовать безопасный удаленный доступ к сетям и приложениям через VPN-соединение без предварительной установки клиентской части. Устройство предлагается для сетей малого и среднего бизнеса.

Для подключения к Интернету или DMZ предусмотрен WAN-интерфейс, коммутатор на четыре порта LAN, порт RS 232 DB9 - для управления через консоль (в данном устройстве предоставляется меньше возможностей, чем в том же ZyWALL 1050). ZyWALL SSL 10 поддерживает не только прямое обращение к внутрисетевым базам данных пользователей, но и работу с Microsoft Active Directory, LDAP и RADIUS. Кроме того, возможно использование двухфакторной аутентификации (с помощью брел-ков ZyWALL OTP).

Прямой доступ к ресурсам корпоративной сети обеспечивается загружаемым на компьютеры удаленных пользователей клиентом SecuExtender. После этого с разрешения администраторов определенным категориям пользователей можно будет легко организовать сетевые туннели посредством IPsec. Также администраторы могут конфигурировать политики безопасности для групп пользователей, диапазонов сетевых адресов или различных приложений.

ZyWALL SSL 10 поддерживает 10 одновременных защищенных сессий с возможностью увеличения до 25 SSL-сессий. В сети устройство можно использовать либо за существующим шлюзом (рис. 2), либо в качестве нового шлюза (рис. 3). В первом случае ZyWALL SSL 10 для повышения безопасности можно подключить к порту DMZ. Во втором -к модему, а Веб-сервер - к ZyWALL. Трафик от Веб-сервера к удаленному пользователю проходит через VPN-туннель.

Среди поддерживаемых опций можно упомянуть протокол TLS, шифрование, сертификаты - 256-битный AES, IDEA, RSA, хэширование - MD5, SHA-1. Интересной особенностью является достаточно большой выбор насадок для вилки электропитания (для любых розеток и сетей).

Netgear ProSafe SSL VPN Concentrator SSL312

Устройство позволяет одновременно работать с корпоративной сетью до 25 удаленных клиентов. Соединение производится при помощи ActiveX-компонентов, которые могут быть загружены и установлены непосредственно с устройства.

Однако клиент должен иметь доступ в систему с привилегиями администратора для установки соответствующих ActiveX-компонентов. Кроме того, в браузере должны быть установлены настройки, разрешающие использование компонентов ActiveX. Также может потребоваться установка обновлений Windows. Аппаратное обеспечение включает два порта LAN и один серийный порт. При входе в систему выбирается вариант аутентификации: база данных пользователей, домен Windows NT, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). При доступе через удаленный сервер последний должен быть доступен и до него должна быть настроена маршрутизация трафика.

Если объем DRAM-памяти одинаков и у Netgear SSL312, и у ZyWALL SSL 10, то flash-память Netgear явно уступает (16 против 128 Мб). Процессор Net-gear SSL312 также проигрывает ZyWALL (200 против 266 с криптографическим акселератором). В отличие от Netgear SSL312, ZyWALL поддерживает версию 2.0 протокола SSL.

Возможны два варианта использования устройства. В первом случае из двух Ethernet-портов Netgear SSL312 используется только один. Шлюз при этом должен осуществлять доступ к Netgear SSL312 по HTTPS. Другой вариант использования задействует оба Ethernet-порта Netgear SSL312, при этом SSL-трафик не проходит через межсетевой экран. Одному Ethernet-порту устройства назначается открытый IP-адрес, а второму - закрытый IP-адрес внутренней сети. Следует заметить, что Netgear SSL312 не выполняет функции NAT и МСЭ и не заменяет их.

Для работы с сетевыми сервисами удаленной локальной сети предусмотрено два варианта: VPN-туннель, который устанавливается между пользователем и устройством, или перенаправление портов (Port Forwarding). Оба способа имеют преимущества и недостатки. VPN-туннель позволяет организовать полноценную связь с удаленной локальной сетью, но при этом не позволяет производить отдельных настроек для каждого сервиса. Перенаправление портов позволяет работать только с TCP-соеди-нениями (UDP и другие IP-протоколы не поддерживаются), правила для каждого приложения задаются отдельно.
Динамический DNS в Netgear SSL312 не поддерживается, что также является недостатком.

SSL VPN Juniper Networks Secure Access 700

Решение для удаленного доступа при помощи SSL VPN также разработано для малых и средних компаний. Интерфейс как пользователя, так и администратора организован в виде Веб-браузера. Установка VPN-клиента на удаленный компьютер не требуется. Предусмотрены два порта RJ-45 Ethernet и один серийный порт. Juniper SA 700 автоматически проверяет удаленный компьютер и, в зависимости от результатов установленного программного обеспечения, присваивает различные права доступа.

Способен поддерживать не более 25 одновременно работающих пользователей. Среди аутентификации и авторизации возможны следующие варианты: Microsoft Active Directory/Windows NT, LDAP, NIS, RADIUS, RSA, SAML, сервер сертификатов. Устройством обеспечивается доступ к файловым ресурсам Win-dows/SMB, Unix/NFS, Веб-приложениям, в том числе использующим JavaScript, XML, Flash; поддерживаются обращения по протоколам Telnet и SSH. Доступ к корпоративной электронной почте организуется на базе обычного почтового клиента, который настраивается на безопасное подключение по протоколу SSL к Juniper SA 700. Однако для этого потребуется лицензия "Core Clientless Web Access".

Juniper SA 700 предусматривает автоматическую проверку удаленного компьютера, если на нем установлены антивирусное ПО, персональный МСЭ, другие программы, обеспечивающие безопасность. Все загрузки прокси-сервера и временные файлы, необходимые во время сессии, удаляются после окончания сеанса.

В первой части этой серии статей, посвященных настройке Windows Server 2008 в качестве сервера SSL VPN, я рассказывал о некоторых фактах истории серверов Microsoft VPN и протоколов VPN. Мы закончили предыдущую статью описанием примера сети, которую будем использовать в этой и последующих частях серии по настройке VPN шлюза, поддерживающего SSTP соединения с клиентами Vista SP1.

Прежде чем мы начнем, должен признаться, что знаю о наличии пошагового руководства по созданию SSTP соединений для Windows Server 2008, которое находится на www.microsoft.com веб-сайте. Мне показалось, что эта статья не отражает реально существующее окружение, которое используется в организациях для назначения сертификатов. Именно поэтому, и из-за некоторых проблемных моментов, которые не были затронуты в руководстве Microsoft, я решил написать эту статью. Я считаю, что вы узнаете немного нового, если будет следовать за мной в этой статье.

Я не собираюсь рассматривать все шаги, начиная с самых основ. Смею предположить, что вы установили контроллер домена и активировали DHCP, DNS и Certificate Services роли на этом сервере. Тип сертификации сервера должен быть Enterprise, и вы имеете CA в вашей сети. Сервер VPN должен быть подключен к домену, прежде чем продолжать выполнять следующие шаги. Прежде чем начинать, нужно установить пакет обновления SP1 для клиента Vista.

Нам нужно выполнить следующие процедуры для того, чтобы наше решение работало:

  • Установить IIS на VPN сервер
  • Запросить сертификат машины для сервера VPN, используя мастера запроса сертификатов IIS Certificate Request Wizard
  • Установить роль RRAS на сервере VPN
  • Активировать RRAS Server и настроить его на работу в качестве VPN и NAT сервера
  • Настроить NAT сервер на публикацию CRL
  • Настроить учетную запись (User Account) на использование dial-up соединений
  • Настроить IIS на Certificate Server, чтобы разрешить HTTP соединения для директории CRL
  • Настроить HOSTS файл для VPN клиента
  • Использовать PPTP для связи с VPN сервером
  • Получить CA Certificate из Enterprise CA
  • Настроить клиента на использование SSTP и соединение с сервером VPN с помощью SSTP

Установка IIS на VPN сервер

Возможно, вам покажется странным, что мы начинаем именно с этой процедуры, так как я рекомендую никогда не устанавливать вебсервер на устройство безопасности сети. Хорошая новость заключается в том, что нам не придется хранить вебсервер на VPN сервере, он понадобится нам лишь на некоторое время. Причина кроется в том, что регистрационный сайт, включенный в Windows Server 2008 Certificate Server, более не является полезным для запроса сертификатов компьютера. На самом деле он вообще бесполезен. Интересно то, что если вы все же решите использовать регистрационный сайт для получения сертификата компьютера, все будет выглядеть так, словно сертификат получен и установлен, однако на самом деле это не так, сертификат не установлен.

Для решения этой проблемы мы воспользуемся преимуществом того, что используем enterprise CA. При использовании Enterprise CA, можно посылать запрос на интерактивный сервер сертификации. Интерактивный запрос на получение сертификата компьютера возможен, когда вы используете мастера IIS Certificate Request Wizard и запрашиваете то, что теперь называется сертификатом домена ‘Domain Certificate’. Это возможно только в том случае, если запрашивающая машина принадлежит тому же домену, что и Enterprise CA.
Для установки роли IIS Web server на сервере VPN выполните следующие шаги:

  1. Откройте Windows 2008 Server Manager.
  2. В левой панели консоли кликните на вкладке Роли .
  1. Жмем в меню Добавить роли с правой стороны правой панели.
  2. Жмем Далее на странице Прежде чем начать .
  3. Ставим галочку напротив строкиWeb Server (IIS) на странице Выбрать роли сервера . Жмем Далее .

  1. Можете прочесть информацию на странице Web Server (IIS) , если пожелаете. Это довольно полезная общая информация об использовании IIS 7 в качестве вебсервера, но поскольку мы не собираемся использовать IIS вебсервер на VPN сервере, эта информация не совсем применима в нашей ситуации. Жмем Далее .
  2. На странице Выбрать службы ролей несколько опций уже выбраны. Однако если вы используете опции по умолчанию, вы не сможете воспользоваться мастером Certificate Request Wizard. По крайней мере, так было, когда я тестировал систему. Нет службы роли для мастера Certificate Request Wizard, поэтому я пытался ставить галочки напротив каждой опции Безопасность , и, кажется, сработало. Сделайте то же самое у себя и нажмите Далее .

  1. Просмотрите информацию на странице Подтвердить выбор установок и нажмите Установить .
  2. Нажмите Закрыть на странице Результаты установки .

Запрос сертификата машины (Machine Certificate) для VPN сервера с помощью мастера IIS Certificate Request Wizard

Следующий шаг – это запрос сертификата машины для VPN сервера. VPN серверу требуется сертификат машины для создания SSL VPN соединения с компьютером клиента SSL VPN. Общее название сертификата должно соответствовать имени, которое VPN клиент будет использовать для соединения с компьютером шлюза SSL VPN. Это означает, что вам нужно будет создать публичную DNS запись для имени на сертификате, который будет разрешать внешний IP адрес VPN сервера, или IP адрес NAT устройства перед VPN сервером, которое будет переадресовывать соединение на SSL VPN сервер.

Для запроса сертификата машины на сервер SSL VPN выполните следующие шаги:

  1. В Server Manager , разверните вкладку Роли в левой панели, а затем разверните вкладку Web Server (IIS) . Нажмите на .

  1. В консоли Internet Information Services (IIS) Manager , которая появится справа в левой панели, нажмите на имени сервера. В этом примере имя сервера будет W2008RC0-VPNGW . Нажмите на иконку Сертификаты сервера в правой панели консоли IIS.

  1. В правой панели консоли жмем на ссылку Создать сертификат домена .

  1. Введите информацию на странице Определенные свойства имени . Самым важным объектом здесь будет Общее имя . Это то имя, которое VPN клиенты будут использовать для соединения с VPN сервером. Вам также понадобится публичная DNS запись для этого имени с тем, чтобы распознавать внешний интерфейс VPN сервера, или публичный адрес NAT устройства перед VPN сервером. В этом примере мы используем общее имя sstp.msfirewall.org . Позже мы создадим записи HOSTS файла на компьютере VPN клиента, чтобы он мог распознавать это имя. Жмем Далее .

  1. На странице жмем кнопку Выбрать . В диалоговом окне Выбрать источник сертификатов , жмем на имени Enterprise CA и нажимаем OK . Вводим дружественное имя в строке Friendly name . В этом примере мы использовали имя SSTP Cert , чтобы знать, что оно используется для шлюза SSTP VPN.

  1. Жмем Закончить на странице Интерактивный источник сертификатов .

  1. Мастер будет запущен, а затем исчезнет. После этого вы увидите, как появится сертификат в консоли IIS. Кликнем дважды на сертификате и увидим общее имя в секции Назначен для , и теперь у нас есть частный ключ, соответствующий сертификату. Жмем OK , чтобы закрыть диалоговое окно Сертификат .

Теперь, когда у нас есть сертификат, мы можем установить роль RRAS Server Role. Обратите внимание на то, что очень важно установить сертификат до того, как устанавливать роль RRAS Server Role. Если вы этого не сделаете, вы наживете себе большие головные боли, поскольку вам придется использовать довольно сложную рутину командных строк, чтобы связать сертификат с клиентом SSL VPN.

Установка роли RRAS Server Role на VPN сервере

Для установки роли RRAS Server Role нужно выполнить следующие шаги:

  1. В Server Manager , нажмите на вкладку Роли в левой панели консоли.
  2. В секции Общие сведения ролей нажмите на ссылку Добавить роли .
  3. Нажмите Далее на странице Прежде чем начать .
  4. На странице Выбрать роли сервера поставьте галочку напротив строки . Нажмите Далее .

  1. Прочтите информацию на странице Политика сети и службы доступа . Большая ее часть касается Network Policy Server (который ранее назывался Internet Authentication Server и по сути был RADIUS сервером) и NAP, ни один из элементов не применим в нашем случае. Нажимаем Далее .
  2. На странице Выбрать службы роли ставим галочку напротив строки Маршрутизация и службы удаленного доступа . В результате этого будут выбраны пункты Службы удаленного доступа и Маршрутизация . Жмем Далее .

  1. Жмем Установить в окне Подтвердить выбранные установки .
  2. Жмем Закрыть на странице Результаты установки .

Активация RRAS Server и его настройка в качестве VPN и NAT сервера

Теперь, когда роль RRAS установлена, нам нужно активировать сервисы RRAS, также как мы делали это в предыдущих версиях Windows. Нам нужно активировать функцию VPN сервера и сервисы NAT. С активацией компонента VPN сервера все понятно, но вы можете поинтересоваться, зачем нужно активировать NAT сервер. Причина активации сервера NAT кроется в том, что внешние клиенты могут получать доступ к серверу сертификации (Certificate Server), чтобы соединяться с CRL. Если клиент SSTP VPN не сможет загрузить CRL, SSTP VPN соединение работать не будет.

Для того, чтобы открыть доступ к CRL, мы настроим VPN сервер в качестве NAT сервера и опубликуем CRL, используя обратимый NAT. В сетевом окружении компаний у вас, скорее всего, будут брандмауэры, например ISA Firewall, перед сервером сертификации, поэтому вы сможете публиковать CRL с помощью брандмауэров. Однако в этом примере единственный брандмауэр, которым будем пользоваться, это брандмауэр Windows Firewall на сервере VPN, поэтому в этом примере нам нужно настроить VPN сервер в качестве NAT сервера.

Для активации сервисов RRAS выполните следующие шаги:

  1. В Server Manager разверните вкладку Роли в левой панели консоли. Разверните вкладку Политика сети и Службы доступа и кликните по вкладке . Правой клавишей кликните по вкладке и нажмите Настроить и активировать маршрутизацию и удаленный доступ .

  1. Нажмите Далее в окне Welcome to the Routing and Remote Access Server Setup Wizard .
  2. На странице Конфигурация выберите опцию Доступ к виртуальным частным сетям и NAT и нажмите Далее .

  1. На странице VPN соединение выберите NIC в секции Интерфейсы сети , которая представляет внешний интерфейс VPN сервера. Затем нажмите Далее .

  1. На странице Назначение IP адресов выберите опцию Автоматически . Мы можем выбрать эту опцию, потому что у нас установлен DHCP сервер на контроллере домена за VPN сервером. Если у вас нет DHCP сервера, тогда вам нужно будет выбрать опцию Из определенного списка адресов , а затем внести список адресов, которые VPN клиенты смогут использовать при подключении к сети через шлюз VPN. Жмем Далее .

  1. На странице Управление удаленным доступом нескольких серверов выбираем Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов соединения . Эту опцию мы используем, когда недоступны NPS или RADIUS серверы. Поскольку VPN сервер является членом домена, можно аутентифицировать пользователей, используя учетные записи домена. Если VPN сервер не входит в домен, тогда только локальные учетные записи VPN сервера можно использовать, если только вы не решите использовать NPS сервер. Я напишу статью об использовании NPS сервера в будущем. Жмем Далее .

  1. Прочтите общую информацию на странице Завершение работы мастера настройки маршрутизации и удаленного доступа и нажмите Закончить .
  2. Нажмите OK в диалоговом окне Маршрутизация и удаленный доступ , которое говорит вам о том, что распределение DHCP сообщений требует агента распределения DHCP.
  3. В левой панели консоли разверните вкладку Маршрутизация и удаленный доступ и затем нажмите на вкладке Порты . В средней панели вы увидите, что WAN Miniport соединения для SSTP теперь доступны.

Настройка NAT сервера для публикации CRL

Как я говорил ранее, клиент SSL VPN должен иметь возможность загружать CRL для подтверждения того, что сертификат сервера на сервере VPN не был поврежден или отозван. Для этого нужно настроить устройство перед сервером сертификации для направления HTTP запросов о расположении CRL на Сервер сертификации.

Как узнать, к какому URL нужно подключиться SSL VPN клиенту, чтобы загрузить CRL? Эта информация содержится в самом сертификате. Если вы снова перейдете на VPN сервер и дважды кликните на сертификате в IIS консоли, как делали прежде, вы сможете найти эту информацию.

Жмем на кнопку Детали на сертификате и листаем вниз до записи Точки распределения CRL , затем жмем на эту запись. В нижней панели показаны различные точки распределения, основанные на протоколе, используемом для получения доступа к этим точкам. В сертификате, показанном на рисунке ниже, видно, что нам нужно открыть доступ клиенту SSL VPN к CRL через URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Именно поэтому нужно создавать публичные записи DNS для этого имени, чтобы внешние VPN клиенты смогли относить это имя к IP адресу или устройству, которое будет выполнять обратимый NAT или обратимый proxy для получения доступа к вебсайту сервера сертификации. В этом примере нам нужно связать win2008rc0-dc.msfirewall.org с IP адресом на внешнем интерфейсе VPN сервера. Когда соединение достигает внешнего интерфейса VPN сервера, VPN сервер перенаправит NAT соединение на сервер сертификации.

Если вы используете расширенный брандмауэр, например ISA Firewall, вы можете сделать публикацию CRL сайтов более безопасной, открывая доступ только к CRL, а не ко всему сайту. Однако в этой статье мы ограничим себя возможностью простого NAT устройства, такого, которое обеспечивает RRAS NAT.

Следует отметить, что использование имени CRL сайта по умолчанию может быть менее безопасной опцией, поскольку оно раскрывает частное имя компьютера в Интернете. Вы можете создавать пользовательскую CDP (CRL Distribution Point), чтобы этого избежать, если считаете, что раскрытие частного имени вашей CA в публичной DNS записи создает угрозу безопасности.

Для настройки RRAS NAT для направления HTTP запросов на сервер сертификации выполните следующие шаги:

  1. В левой панели Server Manager разверните вкладку Маршрутизация и удаленный доступ , а затем разверните вкладку IPv4 . Кликните по вкладке NAT .
  2. Во вкладке NAT кликните правой клавишей на внешнем интерфейсе в средней панели консоли. В данном примере имя внешнего интерфейса было Local Area Connection . Нажмите на Свойства .

  1. В диалоговом окне поставьте галочку напротив Web Server (HTTP) . Это вызовет диалоговое окно Служба редактирования . В текстовой строке Частный адрес введите IP адрес сервера сертификации во внутренней сети. Нажмите OK .

  1. Нажмите OK в диалоговом окне Свойства Local Area Connection .

Теперь, когда NAT сервер установлен и настроен, мы можем перенести наше внимание на настройку сервера CA и клиента SSTP VPN.

Заключение

В этой статье мы продолжили разговор о настройке сервера SSL VPN, используя Windows Server 2008. Мы рассмотрели установку IIS на VPN сервер, запрос и установку сертификата сервера, установку и настройку сервисов RRAS и NAT на VPN сервере. В следующей статье мы закончим рассматривать настройку CA сервера и SSTP VPN клиента. До встречи! Том.

Технология SSL VPN-Plus позволяет предоставить доступ удаленным сотрудникам к Вашему облачному ЦОДу. При этом сотрудники получают защищенный доступ только к тем ресурсам, которые считаются необходимыми для этих сотрудников, даже если доступ производится с общедоступной машины, которая находится вне контроля компании и рассматривается как «ненадежная».

В данной статье представлена информация по настройке SSL VPN-Plus .

Используемая топология:

  1. В разделе «Administration» переходим в нужный ЦОД. В появившемся меню настроек переходим во вкладку «Edge Gateways» . Выбираем нужный «vShield Edge». Нажимаем правой кнопкой мыши и в появившемся меню выбираем опцию «Edge Gateway Services» .
  1. Открываем вкладку SSL VPN-Plus , переходим на вкладку Server Settings и активируем SSL VPN server, нажав тумблер Enabled .

Затем выбираем IP адрес vShield, port – 443, отмечаем галочками все алгоритмы шифрования.

  1. На вкладке Client Configuration проверяем, что выбран Tunneling mode – Split



  1. На вкладке Users для каждого подключающегося сотрудника создаем реквизиты для подключения.

  1. На вкладке IP Pools создаем диапазон ip адресов, которые будут назначаться подключающимся компьютерам



  1. На вкладке Installation Packages создаем параметры установочного пакета клиентской программы. При обращении к IP адресу Gateway (vShield) будет происходить скачивание клиентской программы SSL VPN-Plus.


Галочками выбираем типы операционных систем, с которых будут происходить подключения. Это необходимо для предварительного формирования установочных пакетов.

  1. На вкладке Private Networks мы задаем диапазоны сетей облачного ЦОД, к которым подключаемый сотрудник будет иметь доступ

  1. На этом настройка закончена . Теперь, перейдя по ссылке https://195.211.5.130/sslvpn-plus/ и авторизовавшись, вы сможете скачать клиентскую программу SSL VPN-plus и подключиться к облачному ЦОД.
Published on Февраль 3, 2009 by · Комментариев нет

Если вы пропустили предыдущие части этой серии статей, пожалуйста прочтите:

В первых двух частях этой серии статей о том, как создавать сервер SSL VPN на базе Windows Server 2008, мы рассматривали некоторые основы построения сетей VPN и затем обсудили настройку сервера. На данном этапе мы готовы завершить выполнение некоторых мелких изменений в конфигурации Active Directory и на CA веб сайте. После того как мы выполним этим изменения, мы сконцентрируемся на конфигурации клиента VPN и в конце создадим SSL VPN соединение.

Настройка учетной записи пользователя на использование Dial-up соединений

Учетные записи пользователей требуют разрешений для доступа dial-up, прежде чем смогут подключиться к серверу Windows VPN, который входит в домен Active Directory. Самый лучший способ сделать это – это использовать сервер Network Policy Server (NPS), а также разрешение учетной записи пользователя по умолчанию, которое разрешает удаленный доступ на основе политики NPS. Однако в нашем случае мы не устанавливали сервер NPS, поэтому нам придется настраивать разрешение пользователю для доступа dial-in вручную.

Следующую статью я посвящу использованию NPS сервера и аутентификации EAP User Certificate для создания соединений с SSL VPN сервером.

Для того чтобы разрешить определенной учетной записи пользователя доступ dial-in для подключения к SSL VPN серверу, нужно выполнить следующие шаги. В этом примере мы будем активировать разрешение dial-in доступа для учетной записи администратора домена по умолчанию:

Настройка IIS на сервере сертификации (Certificate Server) для разрешения HTTP соединений для CRL Directory

По каким-то причинам, когда мастер установки устанавливает Certificate Services (службы сертификации) веб сайт, он настраивает CRL директорию на запрос SSL соединения. Хотя с точки зрения безопасности это кажется вполне хорошей идеей, проблема заключается в том, что унифицированный идентификатор ресурса (URI) на сертификате не настроен под использование SSL. Полагаю, что вы сможете самостоятельно создать CDP запись для сертификата, чтобы он смог использовать SSL, но могу поспорить, что компания Microsoft нигде не упоминала об этой проблеме. Поскольку в этой статье мы используем стандартные параметры для CDP, нам необходимо отключить требование SSL на веб сайте CA для пути CRL директории.

Чтобы дезактивировать требование SSL для директории CRL выполните следующие шаги:



Настройка HOSTS файла для VPN клиента

Теперь мы можем уделить все внимание VPN клиенту. Первое что нам необходимо сделать с клиентом, это настроить HOSTS файл, чтобы мы смогли имитировать публичную DNS инфраструктуру. Есть два имени, которые нам необходимо внести в HOSTS файл (то же самое нужно сделать и для публичного DNS сервера, который вы будете использовать в производственных сетях). Первое имя – это имя VPN сервера, как определено общим/субъектным именем сертификата, который мы привязали к SSL VPN серверу. Второе имя, которое нам нужно ввести в HOSTS файл (и публичный DNS сервер), — это имя CDP URL, которое находится на сертификате. Мы рассматривали расположение информации CDP во второй части этой серии.

Два имени, которые необходимо ввести в HOSTS файл в этом примере будут:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Для настройки HOSTS файла для Vista SP1 VPN клиента выполните следующие процедуры:


  1. Закройте файл и выберите опцию сохранить изменения .

Использование PPTP для подключения к VPN серверу

Мы постепенно приближаемся к созданию SSL VPN соединения! Следующим шагом будет создание VPN коннектора на Vista SP1 клиенте, который позволит нам создать начальное VPN соединение с VPN сервером. В нашем случае это нужно сделать, потому что компьютер клиента не является членом домена. Так как машина не является членом домена, сертификат CA не будет автоматически установлен в ее хранилище Trusted Root Certificate Authorities. Если бы машина входила в домен, автоматическая регистрация позаботилась бы за нас об этой проблеме, так как мы установили Enterprise CA.

Самый простой способ выполнить этот шаг заключается в создании PPTP подключения Vista SP1 VPN клиента к Windows Server 2008 VPN серверу. По умолчанию VPN сервер будет поддерживать PPTP соединения, и клиент сначала попробует PPTP, перед тем как пробовать L2TP/IPSec и SSTP. Для этого нам нужно создать VPN Коннектор или объект соединения.

Для создания коннектора на VPN клиенте выполните следующие шаги:









Получение CA Certificate с Enterprise CA

Клиент SSL VPN должен доверять CA, который выпустил сертификат, используемый VPN сервером. Чтобы создать это доверие, нам нужно установить CA сертификат на CA, выпустивший сертификат для VPN сервера. Мы можем это сделать, подключившись к веб сайту регистрации на CA во внутренней сети и установив сертификат VPN клиента в его хранилище Trusted Root Certification Authorities.

Для получения сертификата с сайта регистрации выполните следующие шаги:





  1. Нажимаем Закрыть в диалоговом окне .
  2. Закрываем Internet Explorer .

Теперь нам нужно установить сертификат CA в хранилище Trusted Root Certification Authorities Certificate Store машины клиента VPN. Для этого нужно сделать следующее:




  1. Закрываем консоль MMC.

Настройка клиента на использование SSTP и подключение к VPN серверу через SSTP

И вот почти все готово! Теперь нам нужно отключить VPN соединение и настроить VPN клиента на использование SSTP для VPN протокола. В производственном окружении вам не придется использовать этот шаг для пользователей, так как вы будете использовать пакет Connection Manager Administration Kit для создания VPN объекта соединения для пользователя, который будет включать клиента, использующего SSTP, или вы будете настраивать только SSTP порты на VPN сервере.

Все зависит от конфигурации окружения, поскольку вам нужно распределить время так, чтобы пользователи смогли в течение некоторого времени использовать PPTP, пока вы устанавливаете сертификаты. Конечно, вы можете установить сертификаты CA не через сеть, то есть посредством загрузки с веб сайта или по электронной почте, и в этом случае вам не придется разрешать пользователям PPTP. Но тогда, если какие-то клиенты не поддерживают SSTP, вам потребуется разрешить PPTP или L2TP/IPSec, и вы не сможете отключить все не-SSTP порты. В таком случае вам придется полагаться на ручную настройку или на обновленный пакет CMAK.

Еще одним вариантом здесь может стать привязка SSTP клиента к определенному IP адресу на RRAS сервере. В этом случае вы сможете создать пользовательский пакет CMAK, который ссылается только на IP адрес на SSL VPN сервере, прослушивающем сеть на предмет входящих SSTP соединений. Другие адреса на сервере SSTP VPN будут прослушивать сеть на предмет PPTP и/или L2TP/IPSec соединений.

Выполните следующие шаги для того, чтобы отключить PPTP сеанс и настроить объект подключения VPN клиента на использование SSTP:




Рисунок 29

Заключение

В этой заключительной части нашей серии статей о том, как собрать вместе SSL VPN сервер, используя Windows Server 2008, мы закончили настройку учетной записи пользователя, CRL веб сайта и SSL VPN клиента. Мы также закончили создание SSTP соединения и подтвердили, что оно было успешным. Благодарю!

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)

Exchange 2007

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ...

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ...

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть...