Прерывание VPN соединения перед ISA Firewall (часть 1)

Published on Февраль 11, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Включение нового ISA Firewall в вашу сеть может быть сопряжено с проблемами. С одной стороны, вы хотите получить новые возможности и преимущества в защищенности, предоставляемые новым брандмауэром, но с другой стороны, вы не хотите дезорганизовать вашу сетевую инфраструктуру, так как подобные действия несут в себе потенциальную угрозу прерывания работы служб.

Пожалуй наиболее легким способом установить новый брандмауэр является метод Rip and Replace (Удалить и Заменить), когда вы настраиваете новый брандмауэр так же, как и предыдущий, после чего удаляете более старый и устанавливаете новый. Хоть это может показаться легким на бумаге, в реальности организации часто несут «невозместимые издержки», связанные с брандмауэрами и хотят, чтобы текущая инфраструктура окупила себя до своей замены.

Еще одним важным соображением является то, что новый брандмауэр может задействовать совсем другие методы управления и политику, которая может не согласоваться с тем, что было ранее.

По этим и другим причинам я часто рекомендую при установке нового ISA firewall использовать преимущества имеющейся инфраструктуры вместо подхода Rip and Replace (Удалить и Заменить). Хотя есть несколько возможных решений, которые вы можете использовать, наиболее защищенный вариант – использовать для брандмауэров конфигурацию «back to back».

В подобном случае компания сохраняет свой текущий брандмауэр как внешний и помещает ISA Firewall позади него. Таким образом, брандмауэр ISA будет размещен наиболее близко к тем ресурсам, для защиты которых он предназначен.

Установка ISA Firewall на заданную инфраструктуру сети VPN с удаленным доступом

Я часто сталкиваюсь с подобным дизайном инфраструктуры и проблемами настройки, связанными с ним. Часто поднимающимся вопросом является следующий – что делать с соединениями удаленного доступа к корпоративной сети клиентов VPN? Большинство компаний с уже существующей инфраструктурой начинают использовать старый брандмауэр как сервер VPN и иногда пользуются особой, несовместимой с RFC программой-клиентом VPN, что подключается исключительно к брандмауэру поставщика. Эти компании желают сохранить их существующую инфраструктуру VPN, но при этом хотят разрешить VPN клиентам доступ к ресурсам, расположенным в корпоративной сети под защитой ISA Firewall.

Другим весьма распространенным случаем является такой, когда при уже существующем сервере VPN с удаленным доступом компания использует какое-либо «широкополосное» NAT устройство для подключения к Интернет, и хочет поставить ISA Firewall как внутренний брандмауэр. Наиболее часто встречающиеся ситуации для данного типа конфигурации таковы — компания должна использовать PPPoE для подключения к сети DSL, или же использовать DHCP для того, чтобы получить открытый адрес кабельной сети.

Во втором случае, где устройство NAT находится перед ISA Firewall, часто используется SBS 2003 Service Pack 1 с брандмауэром ISA, установленным на нем, а сервер SBS присоединяется к нескольким физическим линиям. Хоть я никогда не видел в этом особого смысла, пользователи часто хотят прерывать свои VPN соединения к устройству NAT, расположенному перед сервером SBS, но все еще хотят иметь доступ к ресурсам, расположенным на компьютерах под управлением SBS и к ресурсам, расположенными в корпоративной сети за сервером SBS.

В обоих случаях, и с SBS/внешним устройством NAT, и с корпоративным внешним брандмауэром, компания хочет прервать соединение удаленного доступа VPN на устройстве перед ISA Firewall, а не в ISA Firewall, и каким-либо образом разрешить удаленным клиентам VPN доступ к ресурсам, расположенным позади внутреннего ISA Firewall. Это именно то, на что о чем я буду говорить в этой серии статей.

ПРИМЕЧАНИЕ:
Хоть положения и процедуры, что я обсуждаю в этой серии статей и относятся к SBS 2003 Service Pack 1 с используемым ISA 2004, я не буду подробно описывать все шаги, необходимые для работы данной конфигурации в таком окружении. Оставим подробности профессионалам SBS.

В этой статье мы сосредоточим наше внимание на следующих вопросах:

  • Прерывание VPN соединения у внешнего брандмауэра. Возможные проблемы, нуждающиеся в рассмотрении, при прерывании соединений удаленного доступа клиентов VPN перед ISA Firewall
  • Настройка IP адресации для VPN клиентов внешнего VPN сервера. Для VPN клиентов должна быть назначена IP адресация, позволяющая им подключаться к зоне DMZ между внешним брандмауэром или устройством NAT и ISA Firewall, и разрешающая подключения к корпоративной сети, расположенной за ISA Firewall.
  • Настройка ISA Firewall. Настройка ISA Firewall будет включать в себя также настройку новой сети ISA Firewall Network для зоны DMZ между брандмауэрами, настройку правила Network Rule и политики Access Policy, контролирующих трафик, проходящий через ISA Firewall к удаленным VPN клиентам и от них.
  • Создание сети FE DMZ Network. Мы создадим новую сеть ISA Firewall Network из диапазона адресов с сетевым идентификатором для сегмента сети между внешним брандмауэром и внутренним ISA Firewall.
  • Настройка правила Network Rule для пространства между внутренней сетью и сетью FE DMZ Network. После того, как новая сеть ISA Firewall Network создана, мы создадим маршрут между зоной DMZ и внутренней сетью, расположенной за ISA Firewall.
  • Настройка политики ISA Firewall для FE DMZ VPN клиентов. Должна быть настроена политика брандмауэра, контролирующая, какой трафик может проходить сквозь ISA Firewall к удаленным VPN клиентам и от них. Также необходимы правила DNS для разрешения имен для удаленных клиентов VPN.
  • Настройка программы-клиента VPN. Программа-клиент должна быть настроена для VPN соединения удаленного доступа. При необходимости это означает и настройку VPN протокола и поддержку раздельного туннелирования. Возможно, что удаленный VPN клиент может выступать в качестве одного или нескольких типов клиентов ISA Firewall во время соединения.
  • Поддержка Web Proxy. Удаленный VPN клиент может поддерживать подключения Web proxy клиента к брандмауэру ISA Firewall во время VPN сеанса. Мы посмотрим, какие затруднения тут могут встретиться, и рассмотрим образец конфигурации.
  • Поддержка клиента брандмауэра. В этом случае, подобная поддержка недоступна. Мы изучим спорные вопросы и увидим, что вы теряете в плане безопасности при обрыве соединения у внешнего брандмауэра вместо ISA Firewall.
  • Поддержка SecureNAT. Удаленные VPN клиенты де-факто являются SecureNAT клиентами брандмауэра ISA Firewall. Мы обсудим достоинства и недостатки такой ситуации.
  • Проверка соединений. Все проверяется на практике. В этой части мы изучим, что происходит во время подключений удаленных VPN клиентов, когда они получают доступ к Интернет и ресурсам в корпоративной сети позади ISA Firewall (или же на самом ISA Firewall).

Прерывание VPN соединения у внешнего брандмауэра или NAT устройства

Прежде чем углубляться в подробности конфигурации, связанные с установкой VPN с удаленным доступом и пунктом прерывания перед ISA Firewall, вы должны иметь общее представление о сетевой архитектуре, маршрутизации и путях запроса/отклика для различных типов соединений, создаваемых при удаленном VPN подключении.

На рисунке 1 продемонстрирована основная сетевая структура, при которой удаленный VPN клиент прерывает VPN соединение у брандмауэра или устройства NAT, размещенного перед ISA Firewall. Зеленой линией на рисунке показано удаленное VPN подключение к брандмауэру или внешнему интерфейсу NAT устройства.

Внутренний интерфейс внешнего брандмауэра или устройства NAT подключен к общему хабу или свитчу, с которым соединен внешний интерфейс ISA Firewall. Вы также можете использовать этот сегмент сети для подключения веб, FTP или других серверов, к которым вы предоставляете анонимный доступ из Интернет.

Внешний интерфейс ISA Firewall подключен к общему хабу/свитчу, с которым соединен внутренний интерфейс внешнего брандмауэра или устройства NAT, равно как и другие серверы, которые могут быть помещены в зону DMZ. Заметьте, что независимый свитч или хаб не понадобится. У многих брандмауэров и устройств NAT есть множество LAN портов. В таком случае, вы можете присоединить внешний интерфейс к одному из LAN портов устройства и а также подключить любой сервер с анонимным доступом к тому же устройству.

ВНИМАНИЕ:
Весьма важно не допускать прямых соединений из защищенной сети позади ISA firewall и сети DMZ или Интернет. ISA Firewall должен быть подключен, чтобы контролировать весь входящий и исходящий трафик корпоративной сети. Чуть позже в этой статье я расскажу о том, что я называю кошмарным сценарием, где это требование не соблюдено.

Причиной, по которой в зоне DMZ между внешним интерфейсом ISA Firewall и внешним брандмауэром или устройством NAT стоит размещать лишь серверы с анонимным доступом, является то, что вы полностью зависите от защиты, обеспечиваемой устройством NAT или простым брандмауэром, чтобы защитить линии связи, ведущие внутрь сегмента DMZ и из него.

По этой причине не нужно размещать важные корпоративные ресурсы в этой зоне DMZ. Для этого принципа можно сделать исключение, если использовать два брандмауэра ISA Firewall, внешний и внутренний. Или же если вы используете брандмауэр с высоким уровнем защиты, схожим с ISA Firewall, как например Check Point c технологией «Application intelligence».

Dmz vpn

Рисунок 1

Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT

Ключевым для этого решения является понимание отношений маршрутизации для коммуникации с удаленным VPN клиентом. На рисунке 2 показаны отношения маршрутизации между различными сетями:

  • Отношения ROUTE между внутренней сетью позади ISA Firewall и сегментом DMZ между ISA Firewall и брандмауэром/устройством NAT. Это позволяет нам создавать и правила публикации и правила доступа для контроля трафика между удаленными клиентами VPN и корпоративной сетью
  • Отношения ROUTE между внутренней сетью, размещенной позади ISA Firewall, и Интернет. Правило Network Rule, устанавливающее отношения маршрутизации между внутренней сетью и внешней создается автоматически, когда вы устанавливаете ISA Firewall на устройство, подключенное к нескольким линиям связи, также вводятся в действие отношения ROUTE между внутренней сетью и Интернет
  • Отношения ROUTE между удаленным клиентом VPN и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. ISA Firewall не осведомлен об этом и не должен быть, так как это не влияет на его настройки
  • Отношения ROUTE между внутренней сетью и удаленным клиентом VPN. Причиной этому служит то, что мы должны провести маршрут между внутренней сетью и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. Поскольку для удаленного клиента VPN будет назначен IP адрес с тем же самым сетевым идентификатором, что используется в сегменте DMZ, отношения маршрутизации между внутренней сетью позади ISA Firewall и удаленными клиентами VPN будут такими же, как и отношения маршрутизации между внутренней сетью и зоной DMZ, то есть ROUTE.

    Vpn сквозь isa server

    Рисунок 2

Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT и отношения маршрутизации между сетями

Теперь, когда вы знаете о ключевых отношениях маршрутизации для всех линий связи, относящихся к подключениям удаленных клиентов VPN, следующим шагом в понимании того, как именно работает данное решение, будет обзор путей запроса/отклика касательно линий связи для удаленных клиентов VPN.

На рисунке 3 показаны четыре пути запроса/отклика:

  1. Это путь запроса/отклика для соединений между удаленными клиентами VPN и внутренней сетью под защитой ISA Firewall. Отношения маршрутизации, управляющие этими соединениями, позволяют вам использовать и правила доступа и правила публикации для контроля уровня доступа удаленных клиентов при подключении к внутренней сети позади ISA Firewall.
  2. Это путь запроса/отклика для соединений между удаленными клиентами VPN и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. Контроль уровня доступа для подключений клиентов VPN определяется возможностями внешнего брандмауэра/устройства NAT. Если у вас нечто более продвинутое, вы сможете осуществлять контроль доступа с фильтрацией пакетов или даже контроль пользователей. Если же у вас лишь простой брандмауэр с поточной проверкой трафика или устройство NAT вы почти не будете контролировать, к чему удаленные клиенты VPN получают доступ в сети DMZ.
  3. Это путь запроса/отклика для подключений к ресурсам Интернет. Это один из двух случаев, зависящих от возможностей вашего внешнего брандмауэра или устройства NAT. Если он не поддерживает обратную передачу в Интернет, чтобы позволить удаленным клиентам VPN подключение к ресурсам Интернет, тогда вы можете настроить программу удаленного доступа VPN для включения раздельного туннелирования. Хотя раздельное туннелирование обычно считается рискованным с точки зрения безопасности, это единственная возможность предоставить удаленным клиентам VPN доступ к Интернет, если ваш внешний брандмауэр или устройство NAT не поддерживает обратную передачу через внешний интерфейс.
  4. Это путь запроса/отклика для подключений к Интернет ресурсам. Это второй случай, где ваш внешний брандмауэр или устройство NAT позволяет удаленным VPN клиентам доступ к Интернет ресурсам путем обратной передачи через устройство. Это устраняет необходимость включения раздельного туннелирования и заодно предоставляет вам потенциальную возможность ввести какой-либо вид корпоративной политики брандмауэра для удаленных клиентов VPN при подключении к VPN серверу. Подобная конфигурация имеет свои преимущества в предотвращении проблем защищенности, связанных с раздельным туннелированием, но ее недостатком является то, что удаленные клиенты VPN используют пропускную способность корпоративной сети при подключении к Интернет.

    Межсетевой экран брандмауэр картинки

    Рисунок 3

Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT и пути запроса/отклика для корпоративной сети и подключений Web Proxy к Интернет

На рисунке 4 показаны пути запроса/отклика, доступные, если использовать конфигурацию, при которой удаленные VPN клиенты используют ISA Firewall как устройство Web proxy при подключении к удаленному серверу VPN:

  1. Этот путь запроса/отклика используется для всех не-HTTP/HTTPS соединений, если внешний брандмауэр не поддерживает обратную передачу через устройство для подключения к Интернет.
  2. Этот путь запроса/отклика используется для всех не-HTTP/HTTPS соединений, если внешний брандмауэр поддерживает обратную передачу через устройство для подключения к Интернет.
  3. Этот путь запроса/отклика используется для всех HTTP/HTTPS/HTTP туннелированных FTP запросов, если удаленный клиент VPN настроен для использования ISA Firewall как сервер Web proxy server при подключении к серверу VPN. Возможность это сделать зависит от вашей программы-клиента VPN и ее интеграции с Windows.

Например, если вы используете «родную» программу-клиент VPN, которая поставляется вместе с Windows XP Service Pack 2, вы можете подключиться к внешнему брандмауэру или устройству NAT, используя VPN протоколы PPTP, L2TP/IPSec и L2TP/IPSec NAT-T. После этого вы можете настроить клиент VPN для использования ISA Firewall как устройства Web proxy при подключении к серверу VPN, расположенному перед ISA Firewall. Это позволит вам ввести политику ISA Firewall policy и фильтрацию содержимого для удаленного клиента VPN при подключении к серверу VPN.

Эта конфигурация также позволяет вам вести всеобъемлющие записи обо всех сайтах и их содержанию, к которым получил доступ пользователь, включая имя пользователя в файлах записей, которое может быть использовано в отчетах об активности пользователя в Интернете. Настройка клиента Web proxy автоматически останавливается, когда клиент отключается от VPN сервера, размещенного перед ISA Firewall. Поддержка настройки клиента Web proxy зависит от программы-клиента VPN, которую вы используете.

Адресация в сетях

Рисунок 4

Кошмарный сценарий

На рисунке 5 показано то, что я называю кошмарным сценарием (nightmare scenario), и то, что чаще всего вижу в SBS сети, установленной кем-либо, кто незнаком с моделью безопасности ISA Firewall и сетевой безопасностью вообще. Я также наблюдал попытки сделать подобное у пользователей, незнающих о сетях TCP/IP.

В данном случае есть способ, позволяющий подключения между корпоративной сетью, зоной DMZ и Интернет, минующие ISA Firewall. Наиболее часто люди получают подобный вариант, поставив между хаб или свитч между внешним интерфейсом ISA Firewall и внешним брандмауэром/устройством NAT и подключив внешний интерфейс ISA Firewall и внутренний интерфейс внешнего брандмауэра/устройства NAT к одному и тому же хабу/свитчу. В дополнение к этому, они подключают этот хаб/свитч к другому, расположенному внутри корпоративной сети. Это обеспечивает обходной маршрут мимо ISA Firewall.

Этот сценарий я назвал кошмарным по следующим причинам:

  1. Он предоставляет обходной маршрут, который позволяет злонамеренным пользователям обойти ISA Firewall.
  2. Он не будет работать. Внутренний и внешний интерфейсы ISA Firewall должны быть в сетях с разными идентификаторами. Внешний интерфейс должен быть в той же самой сети, что и LAN интерфейс внешнего брандмауэра/устройства NAT. Поскольку внешний интерфейс ISA Firewall должен находиться в разных сетях с внутренним интерфейсом, LAN интерфейс внешнего брандмауэра/устройства NAT должен быть подключен не к той сети, где находится внутренний интерфейс ISA Firewall, что, как минимум, означает, что хосты, расположенные в подсетях внутренней сети, размещены не в той сети, к которой подключен LAN интерфейс внешнего брандмауэра/устройства NAT.

Конечно, вы можете схитрить и изменить IP адрес и шлюз, принадлежащий хосту во внутренней сети, так, что этот IP адрес будет в сети с тем же самым идентификатором, что и та сеть, куда подключен LAN интерфейс внешнего брандмауэра/устройства NAT, а потом настроить шлюз клиента под IP адрес LAN интерфейса внешнего брандмауэра/устройства NAT. Это позволит злонамеренному пользователю полностью обойти ISA Firewall, чтобы подключиться к Интернет, а злонамеренному внешнему пользователю получить доступ к корпоративной сети.

Вы играете с огнем, когда позволяете пользователям обходить ISA Firewall, как им вздумается. По этой причине, название кошмарный вполне подходит этого сценария.

Маршрутизация в сетях

Рисунок 5

Заключение

В этой статье мы обсудили вопросы внедрения ISA Firewall в уже существующую инфраструктуру брандмауэра и сети VPN с удаленным доступом. Есть несколько вариантов, и наиболее защищенные из них принуждают все подключения внутрь и извне корпоративной сети проходить через ISA Firewall. Чтобы получить более глубокое представление о том, как работает данное решение, мы изучили используемые отношения маршрутизации, а также пути запроса/отклика для удаленных клиентов VPN. Во второй части этой серии статей, мы перейдем к деталям конфигурации и рассмотрим особенности каждой опции настройки.

www.isaserver.org




Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]