Настройка брандмауэра ISA Firewall для поддержки аутентификации EAP-TLS, основанной на сертификатах (Часть 2)

Если вы желаете прочесть другую статью этой серии, перейдите следующей ссылке:

• Настройка брандмауэра ISA Firewall для поддержки аутентификации EAP-TLS, основанной на сертификатах (Часть 1)

Выпуск сертификата для компьютера VPN клиента

На следующем этапе необходимо выпустить сертификат для компьютера VPN клиента. В этом примере компьютер VPN клиента не является членом домена. Вы должны запросить компьютерный сертификат с помощью веб сайта корпоративного CA, а затем вручную поместить корпоративный сертификат CA в клиентское машинное хранилище сертификатов Trusted Root Certification Authorities. Самый простой способ для выполнения этой задачи заключается в том, чтобы машина VPN клиента запросила сертификат при подключении с помощью PPTP ссылки.

Примечание: В промышленной среде ненадежные клиенты не должны получать компьютерные сертификаты. Лишь управляемые компьютеры, которые являются членами домена, должны иметь разрешение на установку компьютерных сертификатов. Члены домена – это управляемые клиенты, поэтому они находятся под административным контролем организации. Компьютерный сертификат – это основа безопасности, поэтому не следует предоставлять свободный доступ для всех клиентов, которые желают подключиться с помощью VPN.

Существует несколько способов, которыми вы можете получить сертификат из хранилища CA. В этом примере мы опубликуем регистрационный веб сайт CA и получим сертификат с этого веб сайта.

Выполните следующие шаги для публикации регистрационного веб сайта корпоративного CA:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте название сервера и выберите узел Firewall Policy (политика брандмауэра).
2. На панели задач Task Pane выберите закладку Tasks (задачи). На закладке Tasks (задачи) нажмите на ссылку Publish a Web Server (опубликовать веб сервер).

   

   Рисунок 1

1. Введите название для правила публикации Web Publishing Rule на странице мастера Welcome to the New Web Publishing Rule Wizard. В этом примере мы введем название Web Enrollment Site (регистрационный веб сайт) в текстовом поле Web publishing rule name (название правила публикации). Нажмите на кнопку Next (далее).
2. Выберите параметр Allow (разрешить) на странице Select Rule Action (выбор действия для правила).
3. На странице Define Website to Publish (описание веб сайта для публикации) введите IP адрес веб сайта корпоративного CA в текстовом поле Computer name or IP address (имя компьютера или IP адрес). В этом примере IP адрес 10.0.0.2, поэтому мы введем это значение в текстовое поле. В текстовом поле Folder (папка) введите /*. Нажмите на кнопку Next (далее).

   

   Рисунок 2

1. На странице Public Name Details выберите параметр This domain name (type below) (имя этого домена ) из списка Accept request for (принять запрос для). В текстовом поле Public name (открытое имя) введите IP адрес внешнего интерфейса брандмауэра. В этом примере внешний адрес брандмауэра ISA Server 2004, расположенного в главном офисе — 192.168.1.70, поэтому мы введем это значение в текстовом поле. Введите /* в текстовое поле Path (optional) путь. Нажмите на кнопку Next (далее).

   

   Рисунок 3

1. На странице Select Web Listener (выбор веб слушателя) нажмите на кнопку New (создать).
2. На странице Welcome to the New Web Listener введите название правила в текстовом поле Web listener name (название веб слушателя). В этом примере мы назовем слушатель Listener70, чтобы таким образом отметить IP, по которому слушает слушатель. Нажмите на кнопку Next (далее).
3. На странице IP addresses поставьте галочку в поле External (внешний) и нажмите на кнопку Next (далее).

   

   Рисунок 4

1. На странице Port Specification (спецификация портов) оставьте все настройки по умолчанию. Убедитесь, что стоит галочка в поле Enable HTTP (включить HTTP), и что в текстовом поле HTTP port (HTTP порт) стоит значение 80. Нажмите на кнопку Next (далее).

   

   Рисунок 5

1. Нажмите на кнопку Finish (завершить) на странице Completing the New Web Listener Wizard.
2. Нажмите на кнопку Next (далее) на странице Select Web Listener (выбор веб слушателя).

   

   Рисунок 6

1. Оставьте значение по умолчанию All Users (все пользователи) на странице User Sets (установки пользователей) и нажмите на кнопку Next (далее).
2. Нажмите на кнопку Finish (завершить) на странице Completing the New Web Publishing Rule Wizard.
3. Нажмите на кнопку Apply (применить), чтобы сохранить все изменения и обновить политику брандмауэра.
4. Нажмите на кнопку OK в диалоговом окне Apply New Configuration (применить новую конфигурацию).

Выполните следующие шаги на машине VPN клиента, чтобы запросить сертификат и установить сертификат CA в хранилище сертификатов Trusted Root Certification Authorities на машине VPN клиента:

1. Откройте Internet Explorer. В строке Address (адрес) введите http://192.168.1.70/certsrv и нажмите на кнопку OK.
2. В диалоговом окне Enter Network Password (ввод сетевого пароля) введите Administrator в тестовом поле User Name (имя пользователя) и введите пароль для администратора в поле Password (пароль). Нажмите на кнопку OK.
3. Нажмите на ссылку Request a Certificate (запросить сертификат) на странице приветствия Welcome.
4. На странице Request a Certificate (запрос сертификата) нажмите на ссылку advanced certificate request (расширенный запрос сертификата).
5. On the Advanced Certificate Request page click the Create and submit a request to this CA link.
6. На странице Advanced Certificate Request (расширенный запрос сертификата) выберите сертификат администратора Administrator из списка Certificate Template (шаблон сертификата). Поставьте галочку в поле Store certificate in the local computer certificate store (хранить сертификат в хранилище сертификатов на локальном компьютере). Нажмите на кнопку Submit (принять).
7. Нажмите на кнопку Yes (да) в диалоговом окне Potential Scripting Violation.
8. На странице Certificate Issued (выпущенный сертификат) нажмите на ссылку Install this certificate (установить этот сертификат).
9. Нажмите на кнопку Yes (да) на странице Potential Scripting Violation.
10. Закройте браузер после просмотра страницы Certificate Installed (установленный сертификат).
11. Нажмите кнопку Start (пуск) а затем запустите команду Run (выполнить). Наберите mmc в текстовом поле Open и нажмите на кнопку OK.
12. В консоли Console1 выберите меню File (файл) и запустите команду Add/Remove Snap-in.
13. Нажмите на кнопку Add (добавить) в диалоговом окне Add/Remove Snap-in.
14. Выберите пункт Certificates (сертификаты) в списке Available Standalone Snap-ins (доступные возможности) в диалоговом окне Add Standalone Snap-in. Нажмите на кнопку Add (добавить).
15. Выберите Computer account (учетная запись компьютера) на странице Certificates snap-in.
16. Выберите Local computer (локальный компьютер) на странице Select Computer (выбор компьютера).
17. Нажмите на кнопку Close (закрыть) в диалоговом окне Add Standalone Snap-in.
18. Нажмите на кнопку OK в диалоговом окне Add/Remove Snap-in.
19. В левой панели консоли раскройте узел Certificates (Local Computer) сертификаты (локальный компьютер) и раскройте узел Personal (личный) . Выберите узел \Personal\Certificates. Дважды щелкните на сертификате администратора Administrator в правой части консоли.
20. В диалоговом окне Certificate (сертификат) выберите закладку Certification Path (путь сертификации). Наверху иерархии сертификатов, которая видна в окне Certification path (путь сертификации), располагается корневой сертификат CA. Выберите сертификат EXCHANGE2003BE, который расположен вверху списка. Нажмите на кнопку View Certificate (просмотр сертификата).
21. Диалоговом окне Certificate (сертификат) выберите закладку Details (подробно). Нажмите на кнопку Copy to File (скопировать в файл).
22. 22. Нажмите на кнопку Next (далее) на странице мастера для экспорта сертификатов Welcome to the Certificate Export Wizard.
23. На странице Export File Format (формат экспортного файла) выберите Cryptographic Message Syntax Standard – PKCS #7 Certificates (.P7B) и нажмите на кнопку Next (далее).
24. На странице File to Export (файл для экспорта) введите c:\cacert в текстовом поле File name (название файла). Нажмите на кнопку Next (далее).
25. Нажмите на кнопку Finish (завершить) на странице Completing the Certificate ExportWizard.
26. Нажмите на кнопку OK в диалоговом окне мастера по экспорту сертификатов Certificate Export Wizard.
27. Нажмите на кнопку OK в диалоговом окне Certificate (сертификат). Нажмите снова на кнопку OK в диалоговом окне Certificate.
28. В левой окне консоли раскройте узел Trusted Root Certification Authorities и выберите узел Certificates (сертификаты). Щелкните правой кнопкой мыши на узле \Trusted Root Certification Authorities\Certificates, выберите All Tasks (все задачи) и нажмите на кнопку Import (импортировать).
29. Нажмите на кнопку Next (далее) на странице мастера по импорту сертификатов Welcome to the Certificate Import Wizard.
30. На странице File to Import (файл для импорта) нажмите на кнопку Browse (обзор), чтобы указать расположение вашего сертификата CA на локальном жестком диске, а затем нажмите на кнопку Next (далее).
31. На странице Certificate Store (хранилище сертификатов) оставьте все настройки по умолчанию и нажмите на кнопку Next (далее).
32. Нажмите на кнопку Finish (завершить) на странице Completing the Certificate Import Wizard.
33. Нажмите на кнопку OK в диалоговом окне мастера по импорту сертификатов Certificate Import Wizard, которое информирует вас, что все прошло успешно.

Теперь, когда на компьютере VPN клиента установлен компьютерный сертификат, необходимо получить пользовательский сертификат, который клиент VPN сможет представить VPN серверу. Выполним следующие шаги для того, чтобы получить пользовательский сертификат:

1. Откройте браузер Internet Explorer в строке Address (адрес) введите URL http://192.168.1.70/certsrv и нажмите на кнопку ENTER.
2. Введите Administrator (администратор) в текстовом поле User Name (имя пользователя). Введите пароль администратора в текстовом поле Password (пароль). Нажмите на кнопку OK.
3. На странице приветствия Welcome регистрационного веб сайта CA нажмите на ссылку Request a certificate (запросить сертификат).
4. На странице Request a Certificate (Запрос сертификат) нажмите на ссылку User Certificate (пользовательский сертификат).
5. Нажмите на кнопку Submit (принять) на странице User Certificate – Identifying Information (пользовательский сертификат – идентифицирующая информация).
6. Нажмите на кнопку Yes (да) в диалоговом окне Potential Scripting Violation, которое информирует, что веб сайт запрашивает новый сертификат по вашему требованию.
7. На странице Certificate Issued (выпущенный сертификат) нажмите на ссылку Install this certificate (установить этот сертификат).
8. Нажмите на кнопку Yes (да) в диалоговом окне Potential Scripting Violation, которое информирует, что веб сайт добавляет один или более сертификатов.
9. Закройте Internet Explorer.

Проверка L2TP/IPSec VPN соединения

Теперь, когда на брандмауэре ISA Server 2004 и на машине VPN клиента установлены машинные сертификаты, вы можете протестировать безопасный удаленный доступ клиентского VPN соединения с брандмауэром. На первом этапе необходимо перезапустить службу маршрутизации и удаленного доступа (Routing and Remote Access Service), чтобы она смогла зарегистрировать новый сертификат.

Выполните следующие шаги, чтобы перезапустить службу маршрутизации и удаленного доступа (Routing and Remote Access Service):

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте имя сервера и выберите узел Monitoring (мониторинг).
2. В окне Details (подробно) выберите закладку Services (службы). Выберите пункт Remote Access Service (служба удаленного доступа) и нажмите на Stop (стоп).

   

   Рисунок 7

1. Снова щелкните на Remote Access Service (служба удаленного доступа) Start (запуск).

   

   Рисунок 8

На следующем этапе необходимо установить клиентское VPN соединение:

1. В окне Dial-up and Network Connections (Телефонные и сетевые подключения) во внешней сети клиента, создайте новый VPN connectoid. Настройте connectoid на IP адрес 192.168.1.70, т.к. это адрес VPN сервера.
2. Когда вы закончите с мастером подключения, вы увидите диалоговое окно Connect (подключение). Нажмите на кнопку Properties (свойства).
3. В диалоговом окне Properties (свойства) выберите закладку Security (безопасность). В закладке Security (безопасность) выберите пункт Advanced (дополнительные настройки). Выберите Settings (настройки).

   

   Рисунок 9

1. В диалоговом окне Advanced Security Settings (расширенные настройки безопасности) выберите пункт Use Extensible Authentication Protocol (EAP) . Нажмите на кнопку Properties (свойства).

   

   Рисунок 10

1. В диалоговом окне Smart Card or other Certificate Properties выберите настройку Use a certificate on this computer (использовать сертификат на этом компьютере). Поставьте галочку в поле Validate server certificate (проверить серверный сертификат). Поставьте галочку в поле Connect only if server name ends with (соединять лишь, если название сервера кончается на) и введите название домена для сервера аутентификации в текстовом поле. В этом примере название домена нашего контроллера домена Active Directory (который является сервером аутентификации в сертификате) — msfirewall.org, поэтому мы введем это название в текстовом поле. Из списка Trusted root certificate authority выберите название CA, который выпустил сертификаты. В этом примере название CA —EXCHANGE2003BE, поэтому мы выберем его. Нажмите на кнопку OK в диалоговом окне Smart Card or other Certificate Properties.

   

   Рисунок 11

1. Нажмите на кнопку OK в диалоговом окне Advanced Security Settings (расширенные настройки безопасности).
2. Нажмите на кнопку OK в диалоговом окне Properties (свойства).
3. Появится диалоговое окно Connect (подключение), которое содержит название пользовательского сертификата, который вы получили из CA. Нажмите на кнопку OK.

   

   Рисунок 12

1. Нажмите на кнопку OK в диалоговом окне Connection Complete (завершение установки соединения), которое информирует вас, что соединение было установлено.
2. Дважды щелкните на иконку соединения в системной панели.
3. В диалоговом окне ISA VPN Status (статус) выберите закладку Details (подробно). Вы увидите пункт IPSEC Encryption (шифрование IPSEC), который говорит о том, что соединение L2TP/IPSec было успешно установлено.

   

   Рисунок 13

1. Нажмите на кнопку Close (закрыть) в диалоговом окне ISA VPN Status.

Мониторинг VPN клиентов

Брандмауэр ISA Server 2004 позволяет вам проводить мониторинг соединений VPN клиентов. Выполните следующие шаги, чтобы увидеть, как вы можете просматривать соединения ваших VPN клиентов:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте название компьютера в левом окне консоли и выберите узел Virtual Private Networks (VPN) (виртуальная частная сеть). В окне задач (Task Pane) выберите закладку Tasks (задачи). Выберите ссылку Monitor VPN Clients (мониторинг VPN клиентов).

   

   Рисунок 14

1. Вы будете перемещены на закладку Sessions (сессии) в узле Monitoring (мониторинг). Здесь вы можете увидеть, что сессии были отфильтрованы, чтобы показать лишь соединения VPN клиентов.

1. Выберите закладку Dashboard (панель инструментов). Здесь вы можете увидеть в окне Sessions (сессии) соединения удаленных VPN клиентов.

   

1. Вы можете также использовать инструмент, который позволяет увидеть в реальном времени соединения, которые установлены VPN клиентами. Выберите закладку Logging (журнализация), а затем выберите закладку Tasks (задачи) в окне задач (Task Pane). Нажмите на ссылку Start Query (запуск запроса). Здесь вы сможете увидеть все соединения, проходящие через брандмауэр. Вы можете использовать возможности фильтра, чтобы сфокусироваться на определенных VPN клиентах, или лишь сетях VPN клиентов.

Проверка PPTP соединения VPN клиента

Все готово для поддержки EAP аутентификации RADIUS, основанной на сертификатах для PPTP VPN клиентов. Вы можете настроить VPN клиента на использование PPTP вместо L2TP/IPSec, настроив программное обеспечение VPN клиента на PPTP соединение. В следующем параграфе мы настроим PPTP соединение, по прежнему используя EAP пользовательскую аутентификацию пользователя на основе сертификатов.

Выполните следующие шаги для подключения VPN сервера с помощью PPTP аутентификации пользователя на основе сертификатов с использованием RADIUS:

1. В окне Network and Dial-up Connections (сетевые и телефонные соединения) щелкните правой кнопкой на VPN connectoid, который вы создали раннее и выберите Properties (свойства).
2. В диалоговом окне Properties (свойтсва) выберите закладку Networking (сеть). Из списка Type of VPN server I am calling (Тип VPN сервер) выберите пункт Point to Point Protocol (PPTP). Нажмите на кнопку OK в диалоговом Properties (свойства).
3. Дважды щелкните на VPN connectoid. Имя пользователя из сертификата появится в списке User name or certificate (имя пользователя или сертификат). Нажмите на кнопку OK.

   

1. Нажмите на кнопку OK в диалоговом окне, информирующем о том, что установлено VPN соединение.
2. Дважды щелкните на иконку VPN соединения в системной панели. В диалоговом окне Virtual Private Connection Status (статус виртуального частного соедниения) нажмите на кнопку Details (подробно). Обратите внимание, что тип аутентификации Authentication — EAP.

   

   Рисунок 17

1. На компьютере контроллера домена нажмите на кнопку Start (пуск) и выберите Administrative Tools (администрирование). Выберите Event Viewer (Редактор событий).
2. В редакторе событий Event Viewer выберите узел System в левом окне консоли. Дважды щелкните на пункт Information (информация) с источником IAS.

   

   Рисунок 18
   

1. В диалоговом окне Event Properties (свойства события) вы увидите Description (описание) записи по запросу. Информация указывает, что сервер RADIUS провел аутентификацию запроса и отправил информацию RADIUS на контроллер домена. Просмотрите эту информацию и закройте диалоговое окно Event Properties (Свойства события).

1. На компьютере с брандмауэром ISA Server 2004 /VPN сервером вы можете увидеть записи в журнале, касающиеся этого VPN соединения. Обратите внимание на PPTP и RADIUS соединение.

1. На сервере брандмауэра ISA Server 2004 /VPN сервере, вы можете увидеть сессию VPN клиента на закладке Sessions (сессии) в узле Monitoring (мониторинг) консоли управления Microsoft Internet Security and Acceleration Server 2004.

На компьютере VPN клиента закройте VPN соединение.

Заключение

Вы этой статье мы завершили на цикл, посвященный тому, как включить EAP-TLS аутентификацию с помощью пользовательских сертификатов на VPN сервере брандмауэра ISA Firewall. Я надеюсь, вы сможете воспользоваться этой информацией для настройки брандмауэра ISA Firewall для обеспечения безопасности VPN соединений. Спасибо!

www.isaserver.org

• Vpn сервер Windows 2008
• Развертывание vpn без домена
• Посмотреть фрагментацию таблиц ms sql
• Установить сертификат на компьютер
• Локальная группа размеры

Tags: accel, domain, Exchange, ISA Server, l2tp, monitoring, vpn