Настройка ISA Firewall для поддержки EAP-TLS аутентификации, основанной на сертификатах (Часть 1)

Note: Хотя в этой статье показывается конфигурационный интерфейс для ISA 2004, такие же процедуры применимы к настройке брандмауэров ISA 2006 для клиентских соединений с VPN с защищенным удаленным доступом с использованием EAP/TLS аутентификации.

Бывают моменты, когда вы можете не захотеть подсоединять ISA Firewall к домену. Хотя подсоединение ISA Firewall к домену является лучшим способом защиты, существуют сценарии, когда вам не нужно подсоединяться к домену. К примеру, когда вы используете конфигурацию back to back, существует небольшая причина для подсоединения клиентского ISA Firewall к домену. Вместо этого клиентская часть ISA Firewall представляет собой отдельную машину, в то время как серверная часть несет основную нагрузку по безопасности и подключена к пользовательскому домену. Это позволяет вам воспользоваться преимуществами свойств безопасности, регистрации и отчетности ISA Firewall. Другим сценарием, при котором вы можете не захотеть подключать ISA Firewall к домену, — это когда вы используете ISA Firewall как выделенный VPN сервер или VPN шлюз параллельно с вашим ISA Firewall контролем исходящего доступа.

Брандмауэры ISA Firewall, не являющиеся членами пользовательского домена, должны использовать механизм, отличный от аутентификации Windows для идентификации и аутентификации пользователей домена. ISA Firewall может аутентифицировать VPN пользователей, используя протокол RADIUS (Remote Access Dial In User Service). Этот протокол позволяет ISA Firewall направить пользовательские имена и пароли сервера RADIUS в сеть Интернет. Сервер RADIUS затем отправляет запрос на аутентификацию на сервер аутентификации, аналогичный контроллеру доменов Active Directory, для аутентификации.

Кроме целей аутентификации пользователей сервер IAS может использоваться для централизации политики удаленного доступа в организации. К примеру, если у вас 6 серверов ISA Firewall/VPN в вашей сети, вы можете применить одну и ту же политику удаленного доступа ко всем этим машинам, настроив ее единожды на сервере IAS.

ISA Firewall поддерживает все типы серверов RADIUS. Сервер RADIUS Microsoft является сервером IAS (Internet Authentication Services – службы аутентификации Интернет). Сервер IAS Microsoft включен во все продукты серии серверов Windows 2000 и Windows Server 2003.

Вы можете значительно улучшить уровень безопасности вашего решения VPN удаленного доступа, используя пользовательскую аутентификацию на основе сертификата EAP. EAP (Extensible Authentication Protocol – расширяемый протокол аутентификации) позволяет вам расширить число методов пользовательской аутентификации, доступных на сервере VPN. Сервер Microsoft RADIUS (IAS) также поддерживает EAP. Примерами методов пользовательской аутентификации, которые вы можете использовать в серверах ISA Firewall/VPN и RADIUS, являются аутентификация пользовательских сертификатов и аутентификация smart card. Последняя требует дополнительного аппаратного обеспечения и программного обеспечения, не включаемых в базовые продукты Windows или ISA Firewall.

Вы можете использовать встроенный сертификационный центр Microsoft Certificate Server, включаемый в продукты серии Windows 2000 и Windows Server 2003, для присвоения пользовательских сертификатов пользователям в вашей организации. Пользователи могут затем настроить свое программное обеспечение VPN клиента для представления пользовательского сертификата для аутентификации серверу VPN. Аутентификация пользовательского сертификата является более защищенной, так как ни имя пользователя, ни его пароль не передаются через Интернет. Кроме того, сертификат должен быть установлен на машине пользователя, так что VPN соединения, требующие аутентификации пользовательского сертификата, не могут быть выполнены с недоверенных машин, на которых не установлен пользовательский сертификат.

В этой двухчастной статье мы обсудим процедуры, необходимые для того, чтобы позволить VPN клиентам использовать аутентификацию RADIUS для аутентификации в домене Active Directory внутренней сети. Затем мы настроим сервер ISA Firewall/VPN для принятия аутентификации сертификатов. Наконец, мы установим сертификат на клиенте VPN и настроим клиент на предоставление сертификата для аутентификации.

Конкретные процедуры, обсуждаемые в данном документе, включают:

• Конфигурация сервера IAS
• Создание политики удаленного доступа для VPN клиентов
• Настройка разрешения удаленного доступа и функциональный уровень домена
• Включение сервера VPN на ISA Server 2004 firewall и настройка поддержки RADIUS
• Создание правила доступа для VPN клиента
• Установка сертификатов на ISA Server 2004 Firewall и VPN клиенты
• Создать соединение от L2TP/IPSec VPN клиента
• Создать соединение от PPTP VPN клиента

Требуемые машины:

• EXCHANGE2003BE – это контроллер домена и сервер RADIUS
• ISALOCAL – серверные машины ISA Firewall/VPN
• EXTERNALCLIENT – это внешний компьютер клиента VPN

Настройка сервера IAS (RADIUS)

В первую очередь нужно установить IAS сервер. Вы можете сделать это в Add/Remove Programs в Панели Управления.

После установки сервера IAS выполните следующие шаги для настройки сервера IAS:

1. Щелкните Start, наведите курсор на Administrative Tools и щелкните на Internet Authentication Services.
2. В консоли Internet Authentication Services щелкните правой кнопкой мыши на узел Internet Authentication Service (Local) в левой панели консоли. Щелкните команду Register Server in Active Directory.

   

   Рисунок 1

1. Эта настройка позволяет серверу IAS аутентифицировать пользователей в домене Active Directory. Щелкните OK в диалоговом окне Register Internet Authentication Server in Active Directory.
2. Щелкните OK в диалоговом окне Server registered:. Это диалоговое окно оповещает вас, что сервер IAS был зарегистрирован в конкретном домене и если вы хотите, чтобы этот сервер IAS читал наборные данные пользователей с других доменов, вам необходимо внести этот сервер в RAS/IAS Server Group в том домене.
3. Щелкните правой кнопкой мыши на узел RADIUS Clients в левой панели консоли и щелкните на команду New RADIUS Client.

   

   Рисунок 2

1. В диалоговом окне New RADIUS Client введите Friendly name для сервера ISA Firewall/VPN. Вы можете использовать любое имя. В этом примере мы будем использовать DNS имя хоста сервера ISA Server firewall/VPN, то есть ISALOCAL. Введите либо FQDN, либо IP адрес сервера ISA Firewall/VPN в диалоговом окне Client address (IP or DNS). Не вводите FQDN в том случае, если ваш сервер ISA Server firewall/VPN не зарегистрировал свой IP адрес внутреннего интерфейса в вашем внутреннем DNS сервере. Вы можете использовать кнопку Verify для проверки , может ли сервер IAS разрешить FQDN. Щелкните Next.

   

   Рисунок 3

1. На странице Additional Information выберите запись RADIUS Standard entry в выпадающем списке Client-Vendor. Ваш сервер ISA Server firewall/VPN будет использовать эту настройку. Введите сложный разделяемый секрет в текстовом окне Shared secret и подтвердите его в окне Confirm shared secret. Разделяемый секрет должен быть сложной строкой, состоящей из заглавных и строчных букв, чисел и специальных символов. Поставьте галочку в окне Request must contain the Message Authenticator attribute. Эта опция увеличивает надежность сообщений RADUIS, переданных между серверами ISA Server firewall/VPN и IAS. Щелкните Finish.

   

   Рисунок 4

Создание политики удаленного доступа клиентов VPN

Вы готовы создать политики удаленного доступа на сервере IAS. Политики удаленного доступа, настроенные на сервере IAS, вводятся для клиентов VPN, обращающихся к серверу ISA Firewall/VPN. Сервер Windows Server 2003 IAS server содержит мастер политики удаленного доступа, который упрощает создание надежной политики удаленного доступа для клиента VPN.

Осуществите следующие шаги для создания политики удаленного доступа для VPN клиента на сервере IAS:

1. В консоли Internet Authentication Service щелкните правой кнопкой мыши на узле Remote Access Policies и щелкните на команду New Remote Access Policy.

   

   Рисунок 5

1. Щелкните Next на странице Welcome to the New Remote Access Policy Wizard.
2. На странице Policy Configuration Method выберите опцию Use the wizard to set up a typical policy for a common scenario. В текстовом окне Policy name введите имя для политики. В данном примере мы назовем ее VPN Access Policy. Щелкните Next.

   

   Рисунок 6

1. Выберите опцию VPN на странице Access Method . Эта политика используется для всех VPN соединений. У вас также есть возможность создавать отдельные политики для VPN ссылок PPTP и L2TP/IPSec. Однако для создания отдельных политик для PPTP и L2TP/IPSec соединений вам необходимо вернуться назад в мастере и создать две политики. В данном примере мы применим одну и ту же политику для всех VPN соединений. Щелкните Next.

   

   Рисунок 7

1. Вы можете дать доступ к серверу VPN пользователю или группе. Наилучший метод контроля доступа – метод, основывающийся на группах, так как он уменьшает объем административной работы. Вы можете создать группу вроде VPN Users и дать им доступ, или доступ всем пользователям. Это зависит от того, кому вы хотите дать VPN доступ в сети. В данном примере мы выберем опцию Group и щелкнем на кнопку Add. Появится диалоговое окно Select Groups. Введите имя группы в текстовом окне Enter the object name to select и щелкните на кнопку Check namesдля подтверждения, что вы правильно ввели имя. В данном примере мы будем использовать группу Domain Users. Щелкните OK в диалоговом окне Select Groups и затем щелкните Next в диалоговом окне User or Group Access.

   

   Рисунок 8

1. Вы можете выбрать методы пользовательской аутентификации, которые могут использоваться, на странице Authentication Methods. Вы можете захотеть позволить и Microsoft Encrypted Authentication version 2, и Extensible Authentication Protocol (EAP). Оба метода надежны, поэтому мы выберем обе галочки. Щелкните на стрелку вниз в выпадающем списке Type (based on method of access and network configuration) и выберите опцию Smart Card or other certificate, затем щелкните на кнопку Configure. В диалоговом окне Smart Card or other Certificate Properties выберите сертификат, который будет использоваться сервером для его идентификации клиентами VPN. Самоподписанный сертификат появляется в выпадающем списке Certificate issued to. Этот сертификат используется для идентификации сервера, когда клиенты VPN настраиваются на подтверждение правильности сервера. Щелкните OK в диалоговом окне Smart Card or other Certificate Properties, а затем щелкните Next.

   

   Рисунок 9

   

   Рисунок 10

Замечание: Если вы не видите сертификата в диалоговом окне Smart Card or other Certificate Properties, тогда перезапустите сервер RADIUS и попробуйте снова. Сертификат должен появиться в диалоговом окне после перезапуска.

1. Выберите уровень (уровни) шифрования, которые вы хотите применять ко всем VPN соединениям. Все клиенты Microsoft поддерживают сильнейший уровень шифрования. Если у вас клиенты, не поддерживающие 128-битного шифрования, выберите более низкие уровни, но при этом вы должны понимать, что вы уменьшаете уровень безопасности, который дает метод шифрования, используемый протоколом VPN, В данном примере мы выберем только Strongest encryption (IPSec Triple DES or MPPE 128-bit). Щелкните Next.

   

   Рисунок 11

1. Просмотрите ваши настройки на странице Completing the New Remote Access Policy Wizard и щелкните Finish.

Разрешения на удаленный доступ и уровень функциональности домена

Новая политика удаленного доступа требует, чтобы соединение было виртуальным или VPN. Протокол VPN может быть либо PPTP, либо L2TP/IPSec. MS-CHAP v2 или EAP-TLS должны использоваться аутентификации, а клиент должен поддерживать наивысший уровень безопасности, доступный для протокола VPN? Используемого для соединения. Пользователь должен принадлежать к группе Domain Users в домене, указанном в политике удаленного доступа.

Следующим шагом будет настройка разрешений на удаленный доступ. Эти разрешения отличаются от политики удаленного доступа. Когда пользователь обращается к серверу ISA Server firewall/VPN, параметры соединения сравниваются с политикой (или политиками) удаленного доступа, определенными на сервере IAS. Политики удаленного доступа представляют собой иерархический список. Политики наверху списка принимаются во внимание в первую очередь, затем применяются политики на второй ступени, затем на третьей и так далее.

Параметры VPN соединения сравниваются с conditions(условиями) политики. В вышесозданной политике было два условия: тип соединения – виртуальное соединение, а пользователь является членом группы Domain Users. Если запрос на соединение удовлетворяет обоим требованиям, тогда определяются разрешения на удаленный доступ соединяющегося пользователя. Разрешения на удаленный доступ определяются по-разному, в зависимости от типа домена, к которому принадлежит аккаунт пользователя.

Домены Windows Server 2003 не используют обозначения режимов Mixed и Native, с которыми вы, может быть, знакомы по доменам Windows 2003. Windows Server 2003 поддерживает домены изменяющихся функциональных уровней. Если все доменные контроллеры в вашем домене используют Windows Server 2003, уровень функционирования по умолчанию — Windows 2000 mixed. Всем пользовательским аккаунтам отказывается в VPN доступе по умолчанию на функциональном уровне Windows 2000 Mixed. В режиме Windows 2000 Mixed Mode, вы должны настроить каждый пользовательский аккаунт на получение разрешения соединяться с сервером VPN. Причина в том, что разрешения для пользовательского аккаунта обладают большим приоритетом, чем разрешения политики удаленного доступа в доменах с режимом Mixed Mode.

Если вы хотите контролировать разрешения на удаленный доступ через политику удаленного доступа, вы должны поднять функциональный уровень домена Windows 2000 Native или Windows Server 2003. В доменах Windows 2000 Native or Windows Server 2003. по умолчанию разрешением на удаленный доступ является Control access through Remote Access Policy(контроль доступа через политику удаленного доступа). Как только вы можете использовать политику удаленного доступа для выдачи прав на VPN доступ, вы можете воспользоваться преимуществом группового членства, чтобы разрешать или запрещать доступ к VPN серверу.

Когда запрос на соединение удовлетворяет conditions в политике удаленного доступа, а пользователь получил доступ через настройки пользовательского аккаунта или политику удаленного доступа, параметры соединения сравниваются с числом настроек, определенных профилем Remote Access Profile. Если входящее соединение не соответствует настройкам в профиле , тогда применяется следующая политика удаленного доступа к соединению. Если ни одна из политик не соответствует параметрам входящего соединения, запрос на соединение с сервером ISA Server firewall/VPN отклоняется.

Политику удаленного доступа, которую вы создали раньше, включает в себя все параметры, необходимые для надежного VPN соединения. Теперь ваше решение базируется на том, как вы хотите контролировать разрешения на удаленный доступ:

• Позволить удаленный доступ на основании членства в группах: это требует, чтобы был запущен на функциональном уровне Windows 2000 Native или Windows Server 2003.
• Позволить удаленный доступ на основании пользователя: поддерживаются функциональные уровни Windows 2000 Native, Windows 2000 Mixed и Windows Server 2003.
• Позволить удаленный доступ и на основании членства в группе, и на основании пользователя: для этого требуются функциональные уровни Windows 2000 Native или Windows Server 2003; контроль доступа, основанный на пользователе, приоритетнее доступа на основании членства в группах.
• Процедуры, необходимые для разрешения пользовательского или группового доступа, включают в себя:
• Изменение разрешений для пользовательского аккаунта в Active Directory на контролирование разрешений на удаленный доступ на основании пользователя
• Изменить функциональный уровень домена для поддержки разрешений на основании политики удаленного доступа.
• Изменить настройки разрешений на политику удаленного доступа

Изменение разрешений для входящих звонков аккаунтов пользователей

Вы можете включить разрешения для входящих звонков на основе аккаунтов или создать политики удаленного доступа, которые можно настроить на включение разрешений для всех групп.

Выполните следующие шаги, если вы хотите контролировать доступ на основе пользователей:

1. Щелкните Start, наведите курсор на Administrative Tools и щелкните на Active Directory Users and Computers.
2. В консоли Active Directory Users and Computers расширьте ваше имя домена и щелкните на узел User.
3. Двойной щелчок на аккаунт Administrator в правой панели консоли. В диалоговом окне пользовательского аккаунта Properties щелкните на вкладку Dial-in. Настройка по умолчанию на аккаунте – Denyaccess(отказать в доступе). Вы можете разрешить VPN доступ для аккаунта, выбрав опцию Allow access. Настройка для пользовательского аккаунта обладает более высоким приоритетом, чем разрешения, устанавливаемые политикой удаленного доступа. Заметьте, что опция Control access through Remote Access Policy отключена. Эта опция доступна, только когда домен находится на функциональном уровне Windows 2000 или Windows Server 2003. Не делайте никаких изменений в настройке аккаунта сейчас.

   

   Рисунок 12

1. Щелкните Cancel, чтобы покинуть это диалоговое окно.

Изменение функционального уровня домена

Если вы хотите контролировать доступ на основании членства в группах, тогда вам будет нужно изменить функциональный уровень домена по умолчанию. Выполните следующие шаги, чтобы изменить функциональный уровень домена:

1. В доменном контроллере вашего домена откройте консоль Active Directory Domains and Trusts. Щелкните Start, выделите Administrative Tools и щелкните Active Directory Domains and Trusts.
2. В консоли Active Directory Domains and Trusts, щелкните правой кнопкой мыши на вашем домене и щелкните на команде Raise Domain Functional Level.

   

   Рисунок 13

1. В диалоговом окне Raise Domain Functional Level щелкните на стрелку вниз в выпадающем списке Select an available domain functional level выберите либо Windows 2000 native, либо Windows Server 2003, , в зависимости от типа функционального уровня домена, который поддерживается вашей сетью. В данном примере мы выберем опцию Windows Server 2003. Щелкните на кнопку Raise после того, как сделаете выбор.

   

   Рисунок 14

1. Щелкните OK в диалоговом окне Raise Domain Functional Level. Это диалоговое окно объясняет последствия изменений, влияющих на весь домен, и после того, как изменение осуществлено, оно не может быть отменено.
2. Щелкните OK в диалоговом окне Raise Domain Functional Level сообщающем вам о том, что функциональный уровень был успешно поднят. Обратите внимание, что вам не нужно перезагружать компьютер, чтобы изменения вступили в силу. Однако, разрешение удаленного доступа по умолчанию не будет изменено для пользовательских аккаунтов до тех пор, пока не завершится репликация Active Directory. В данном случае мы перезагрузим компьютер. Перезагрузите компьютер прямо сейчас и войдите в систему как Администратор.
3. Вернитесь к консоли Active Directory Users and Computers и сделайте двойной щелчок на пользовательском аккаунте. Щелкните на вкладку Dial-in в пользовательском диалоговом окне Properties. Обратите внимание на то, как включена опция Control access through Remote Access Policy и выбрана по умолчанию.

   

   Рисунок 15

Контролирование разрешений на удаленный доступ с помощью политики удаленного доступа

Теперь, когда вы имеете возможность контролировать доступ с помощью политики удаленного доступа, давайте посмотрим, как контроль доступа к VPN осуществляется с помощью политики удаленного доступа:

1. Щелкните Start, наведите курсор на Administrative Tools и щелкните на Internet Authentication Service.
2. Щелкните на узел Remote Access Policies в левой панели консоли. Вы увидите политику VPN Access Policy, которую вы создали, и две другие, встроенные политики удаленного доступа. Вы можете удалить эти другие политики удаленного доступа, если вам нужны только VPN соединения с вашим сервером ISA Server firewall/VPN. Щелкните правой кнопкой мыши на политику Connections to other access servers и щелкните Delete. Повторите эту процедуру с политикой Connections to Microsoft Routing and Remote Access server.

   

   Рисунок 16

1. Сделайте двойной щелчок на VPN Access Policy в правой панели консоли. В диалоговом окне VPN Access Policy Properties есть две опции, контролирующие разрешения на доступ на основании политики удаленного доступа: — Отказать в разрешении на удаленный доступ — Дать разрешение на удаленный доступ Обратите внимание: это диалоговое окно действительно информирует вас о том, что настройки пользовательского аккаунта обладают большим приоритетом, чем настройки разрешений на удаленный доступ: Пока индивидуальные разрешения на доступ указаны в пользовательском профиле, эта политика контролирует доступ к сети. Выберите Grant remote access permission, чтобы разрешить членам группы Domain Users gдоступ к VPN серверу.

   

   Рисунок 17

1. Щелкните Apply и затем щелкните OK в диалоговом окне VPN Access Policy Properties, чтобы сохранить изменения

Заключение

В этой статье мы начала наше обсуждение о том, как настроить ISA Firewall для поддержки надежной EAP/TLS аутентификации для удаленных клиентских VPN соединений. Мы начали с настройки сервера RADIUS и закончили настройкой политик удаленного доступа и изменением функционального уровня домена. В следующей статье мы ознакомимся с тем, как настроить VPN сервер ISA Firewall для поддержки наших EAP/TLS VPN соединений. Увидимся!

www.isaserver.org

• Журнал системных событий
• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?

Tags: dns, domain, Exchange, ISA Server, l2tp, nat, vpn