Публикация сервера Windows Server 2008 SSL VPN с помощью брандмауэров ISA 2006 Firewalls (часть 3)

Published on Февраль 12, 2009 by   ·   Комментариев нет

В первой части этой серии статей о том, как публиковать сервер Windows Server 2008 SSTP SSL VPN, мы начали с обсуждения трудностей удаленного VPN доступа из гостиниц и того, как SSTP протокол помогает решить эти проблемы, позволяя VPN соединениям занять место SSL соединений через TCP порт 443, который открыт для доступа всеми брандмауэрами в этих окружениях. Затем мы установили службы сертификации на VPN сервер с тем, чтобы получить сертификат компьютера. После установки сертификата на SSL VPN сервер мы установили RRAS VPN и NAT службы для шлюза VPN. Закончили мы настройкой NAT сервера на VPN шлюзе для направления входящих HTTP соединений, передаваемых брандмауэром ISA Firewall для блокировки на CA хостинге CDP.

В этой части мы настроим учетную запись пользователя на разрешение dial-up доступа, а затем настроим CDP на разрешение анонимных HTTP соединений. После этого мы настроим ISA Firewall на разрешение требуемых соединений с VPN сервером и CDP веб сайтом.

Настройка пользовательской учетной записи на разрешение Dial-up соединений

Пользовательской учетной записи требуется разрешение для dial-up доступа, прежде чем она сможет подключаться к серверу Windows VPN, который является членом домена Active Directory. Самым лучшим способом для достижения этой задачи будет использование сервера Network Policy Server (NPS) и использования стандартных разрешений учетной записи пользователя, которые дают удаленный доступ на основе политики NPS. Однако мы не устанавливали NPS сервер в этом сценарии, поэтому нам придется настраивать разрешение dial-in для пользователя вручную.

Я планирую написать статью о том, как можно использовать сервер NPS и аутентификацию EAP User Certificate для создания соединений с SSL VPN сервером.

Выполните следующие шаги, чтобы активировать разрешение dial-in для учетной записи пользователя, которую вы хотите подключить к SSL VPN серверу. В данном примере мы активируем dial-in доступ для стандартной учетной записи администратора домена:

  1. На контроллере домена открываем консоль Пользователи и компьютеры Active Directory из меню Administrative Tools (инструменты администрирования).
  2. В левой панели консоли разворачиваем вкладку с именем домена и переходим по вкладке Пользователи. Дважды жмем по учетной записи Администратор.
  3. Переходим по вкладке Dial-in. Параметром по умолчанию будет Контролировать доступ с помощью NPS Network Policy. Поскольку у нас нет NPS сервера в этом сценарии, мы поменяем этот параметр на Разрешить доступ, как показано на рисунке ниже. Жмем OK.

    Isa server 2008 и ыукмук 2008

    Рисунок 1

Настройка IIS на сервере сертификации (Certificate Server) для разрешения HTTP соединений CRL Directory

По каким-то причинам, когда мастер установки устанавливает Certificate Services веб сайт, он настраивает директорию CRL так, что она требует SSL соединений. И хотя с точки зрения безопасности это вполне разумно, проблема заключается в том, что URI на сертификате не настроен на использование SSL. Полагаю, что вы можете создать пользовательскую CDP запись для сертификата, чтобы она смогла использовать SSL, но готов поспорить, что компания Microsoft нигде не упомянула об этой проблеме. Так как мы используем стандартные параметры для CDP в этой статье, нам нужно отключить требование SSL на веб сайте CA для пути директории CRL.

Выполните следующие шаги, чтобы отключить SSL требование для директории CRL:

  1. В меню Инструменты администрирования откройте Internet Information Services (IIS) Manager.
  2. В левой панели консоли IIS разверните имя сервера, а затем разверните вкладку Сайты. Разверните вкладку Веб сайты по умолчанию и перейдите по вкладке CertEnroll, как показано на рисунке ниже.

    Windows vpn публикация

    Рисунок 2

  1. Если вы посмотрите на среднюю панель консоли, то увидите, что CRL расположен в этой виртуальной директории, как показано на рисунке ниже. Чтобы посмотреть содержимое этой виртуальной директории, нужно нажать кнопку Показать содержимое в нижней части средней панели.

    Windows vpn публикация

    Рисунок 3

  1. Нажмите на кнопку Показать параметрыв нижней части средней панели. Внизу на средней панели дважды кликните на иконке SSL Параметры.

    Windows server 2008 ssl

    Рисунок 4

  1. В средней панели появится страница SSL Параметры. Уберите галочку напротив строчки Требовать SSL. Нажмите на ссылку Применить в правой панели консоли.

    Windows server 2008 ssl

    Рисунок 5

  1. Закройте консоль IIS после того, как увидите предупреждение Изменения были успешно сохранены.

    HTTP ssl vpn сервер

    Рисунок 6

Настройка брандмауэра ISA Firewall с PPTP VPN Server, SSL VPN Server и CDP Web Publishing правилами

Теперь мы готовы настраивать брандмауэр ISA Firewall. Нам нужно создать три правила публикации для поддержки решения:

  • Правило веб публикации (Web Publishing Rule), которое дает SSL VPN доступ к CRL Distribution Point (CDP).
  • Правило публикации сервера (Server Publishing Rule), которое разрешает входящие SSL соединения с SSTP сервером, который в свою очередь позволяет создавать SSTP соединения с VPN сервером.
  • Публикация сервера, которая позволяет PPTP для VPN сервера с тем, чтобы VPN клиент имел доступ к CA сертификату с сайта Web Enrollment в сети за VPN сервером.

После того, как ваши клиенты получили сертификаты, вы можете отключить правило PPTP. Или вы можете оставить это правило, или же использовать L2TP/IPSec вместо PPTP для более безопасных соединений. Причина, по которой вы можете оставить альтернативный VPN протокол включенным, заключается в том, что только клиенты Windows Vista SP1 поддерживают протокол SSTP. Windows XP SP3 возможно тоже поддерживает его, но на данный момент мне кажется, что это не так, поскольку я установил предварительную версию Windows XP SP3 и не обнаружил никаких признаков поддержки SSTP на его VPN клиенте.

Прежде чем мы продолжим, вы, возможно, зададитесь вопросом, зачем использовать правило публикации сервера для SSTP соединения. В конце концов, если бы мы использовали правило веб публикации вместо правила публикации сервера, мы смогли бы контролировать доступ к SSTP серверу на основе пути и общего имени. Мы могли бы даже надежнее обезопасить правило, настроив фильтр безопасности HTTP. К сожалению, я не обнаружил способа того, как заставить такой сценарий работать.

Однако это вовсе не значит, что такой сценарий не работает. Из того, что я прочел о SSTP на блоге RRAS Team Blog, стало понятно, что, по крайней мере, в теории возможно заблокировать SSL соединение на ISA Firewall и направить его на SSTP VPN шлюз. Однако когда я попытался это сделать, я обнаружил в журнале событий ISA Firewall, что соединение было создано, а затем немедленно заблокировано брандмауэром ISA Firewall.

Если вы все же решите попытаться, вам нужно будет расшифровать инструкции файла RRAS Team Blog о том, как заставить соединение SSL и HTTP работать с ISA Firewall. И хотя SSL с SSL было бы более безопасно, я был бы рад увидеть, что можно заставить работать хотя бы соединение между SSL и HTTP.

Мы начнем с правила веб публикации для CDP:

  1. В консоли ISA Firewall жмем по вкладке Политика брандмауэра. Выбираем вкладку Задачи в панели заданий и переходим по ссылке Опубликовать веб сайты.
  2. На приветственной странице мастера Welcome to the New Web Publishing Rule Wizard вводим имя правила в текстовой строке Имя правила веб публикаций. В этом примере мы назовем правило CDP Site. Жмем Далее.
  3. На странице Выбрать действие для правила выбираем опцию Разрешить и жмем Далее.

    Подключение не использует сжатие ssl

    Рисунок 7

  1. На странице Тип публикации выбираем опцию Опубликовать один веб сайт или компенсатор нагрузки и жмем Далее.

    Подключение не использует сжатие ssl

    Рисунок 8

  1. На странице Безопасность соединений сервера выбираем опцию Использовать незащищенное соединение для подключения к опубликованному веб серверу или среде серверов. Мы выбираем эту опцию, так как SSTP VPN клиент не использует SSL для подключения к CDP. Жмем Далее.

    Подключение не использует сжатие ssl

    Рисунок 9

  1. На странице Детали внутренней публикации вводим имя для веб сайта CDP в текстовую строку Имя внутреннего сайта. Поскольку мы используем HTTP, не важно, какое имя мы введем в эту строку. Будь это правило SSL публикации, нам бы пришлось вводить имя сертификата веб сайта, присвоенного этому сайту. Ставим галочку напротив строки Использовать имя компьютера или IP адрес для подключения к опубликованному серверу, а затем вводим IP адрес внешнего интерфейса VPN сервера. В этом случае IP адрес внешнего интерфейса VPN сервера следующий 10.10.10.2. Это позволит серверу NAT на VPN сервере направлять HTTP соединение на веб сайт CDP. Жмем Далее.

    Подключение не использует сжатие ssl

    Рисунок 10

  1. Когда клиент SSTP VPN запрашивает CRL, он использует адрес, прописанный на сертификате. Как мы видели в первой части этой серии статей, URL на сертификате для CRL будет http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl. Чтобы сделать наше правило веб публикации более безопасным, мы можем ограничить пути, которых могут достичь внешние клиенты посредством этого правила. Так как мы хотим дать доступ лишь к CRL, мы введем путь /CertEnroll/WIN2008RC0-DC.msfirewall.org.crl. Это не позволит внешним пользователям ‘блуждать’ по различным путям на нашем сервере сертификации. Нам не нужно беспокоиться о направлении заголовка хоста, поскольку мы не используем никаких средств контроля заголовка хоста (Host Header controls) на веб сайте сервера сертификации. Жмем Далее.

    Подключение не использует сжатие ssl

    Рисунок 11

  • Мы можем заблокировать это правило, сделав так, что только клиенты, которые вводят правильное имя хоста, могут подключиться с помощью этого правила. Имя хоста прописано в CDP разделе сертификата, и в нашем случае это будет win2008rc0-dc.msfirewall.org. На странице Детали публичных имен выбираем опцию Имя этого домена (напечатать ниже) из списка Принимать запросы для. В текстовой строке Публичное имя вводим win2008rc0-dc.msfirewall.org. Нам не нужно вносить никаких изменений в путь, так как мы настроили его на последней странице мастера. Жмем Далее.

    Подключение не использует сжатие ssl

    Рисунок 12

    1. Жмем кнопку Новый на странице Выбрать новый веб приемник.
    2. На приветственной странице мастера Welcome to the New Web Listener Wizard вводим имя для веб приемника (Web Listener) в текстовой строке Имя веб приемника. В этом примере мы назовем приемник HTTP. Жмем Далее.
    3. На странице Безопасность подключения клиента выбираем опцию Не запрашивать защищенное SSL соединение с клиентами. Причина выбора этой опции заключается в том, что SSTP не использует SSL для получения доступа к CDP. Жмем Далее.

      Ssl

      Рисунок 13

    1. На странице IP адрес веб приемника ставим галочку напротив строки Внешний. Нам не нужно выбирать IP адреса, так как в этом примере у нас есть только один IP адрес на внешнем интерфейсе брандмауэра ISA Firewall. Вы можете оставить галочку в строке ISA Server будет сжимать содержимое, передаваемое клиенту через веб приемник, если клиенты требуют поддержки сжатия содержимого. Жмем Далее.

      Ssl

      Рисунок 14

    1. На странице Параметры аутентификации выбираем опцию Без аутентификации из списка Выберите, как клиенты будут предоставлять мандаты брандмауэру ISA Server. SSTP клиент не может аутентифицироваться при получении доступа к CDP, поэтому нам нельзя активировать аутентификацию на этом приемнике. Вы можете по желанию активировать аутентификацию, если вам нужно использовать этот приемник для других правил веб публикации, но нам нужно обеспечить доступ всем пользователям, а в этом случае аутентификация не используется. Жмем Далее.

      Ssl

      Рисунок 15

    1. Жмем Далее на странице Одна подпись для параметров.
    2. Жмем Закончить на странице завершения работы мастера Completing the New Web Listener Wizard.
    3. Жмем Далее на странице Выбор веб приемника.

      Публикация веб сервера 2008

      Рисунок 16

    1. На странице Делегация аутентификации выбираем опцию Без делегации, и клиенты не могут аутентифицироваться напрямую из списка Выбор метода, используемого ISA Server для аутентификации опубликованного веб сервера. Поскольку здесь нет никакой аутентификации, то и нет смысла разрешать ее. Жмем Далее.

      Публикация веб сервера 2008

      Рисунок 17

    1. На странице Список пользователей принимаем опцию по умолчанию Все пользователи и жмем Далее.
    2. Жмем Закончить на странице завершения работы мастера Completing the New Web Publishing Rule Wizard.

    Теперь давайте создадим правило публикации сервера (Server Publishing Rule) для PPTP сервера:

    1. В консоли ISA Firewall жмем по вкладке Политика брандмауэра. Переходим по вкладке Задания в панели задач и жмем Опубликовать протоколы не веб сервера.
    2. На приветственной странице мастера Welcome to the New Server Publishing Rule Wizard вводим название правила в текстовой строке Имя правила публикации сервера. В этом примере мы использовали имя PPTP VPN. Жмем Далее.
    3. На странице Выбор сервера вводим IP адрес внешнего интерфейса VPN сервера. В этом примере, внешний интерфейс сервера VPN будет 10.10.10.2, поэтому мы вводим его в текстовую строку IP адрес сервера. Жмем Далее.

      Публикация server2008

      Рисунок 18

    1. На странице Выбор протокола выбираем опцию PPTP сервер из списка Выбранные протоколы. Жмем Далее.

      Публикация server2008

      Рисунок 19

    1. На странице IP адрес приемника сети ставим галочку напротив строки Внешний. Жмем Далее.

      Отключить ssl в iis xp

      Рисунок 20

    1. Жмем Закончить на странице завершения работы мастера Completing the New Server Publishing Rule Wizard.

    Теперь мы закончим работу с нашим правилом и создадим правило публикации сервера для SSTP протокола, в результате чего у нас получится правило HTTPS Server Publishing Rule:

    1. В консоли ISA Firewall жмем по вкладке Политика брандмауэра в левой панели консоли. Жмем Задания в панели задач и выбираем Опубликовать не веб сервер.
    2. На приветственной странице мастера Welcome to the New Server Publishing Rule Wizard вводим название правила публикации сервера в текстовой строке Имя правила публикации сервера. В этом примере мы назовем правило SSTP сервер. Жмем Далее.
    3. На странице Выбор сервера вводим IP адрес внешнего интерфейса VPN сервера в текстовой строке IP адрес сервера. В этом примере мы введем 10.10.10.2. Жмем Далее.
    4. На странице Выбор протокола выбираем опцию HTTPS сервер из списка Выбранный протокол. Жмем Далее.

      Отключить ssl в iis xp

      Рисунок 21

    1. На странице IP адреса приемника сети ставим галочку напротив строки Внешний. Жмем Далее.
    2. Жмем Закончить на странице завершения работы мастера Completing the New Server Publishing Rule Wizard.
    3. Жмем Применить, чтобы сохранить изменения и обновить политику брандмауэра. Жмем OK в диалоговом окне Сохранение изменений конфигурации.

    Заключение

    В этой части нашей серии статей о публикации Windows Server 2008 SSTP SSL VPN сервера, мы начали с настройки dial-in разрешений для пользовательской учетной записи. Затем мы перешли к CDP Web серверу, чтобы настроить разрешение анонимных HTTP соединений с ним. После этого мы работали с ISA Firewall и создали два правила публикации сервера и одно правило веб публикации, которые требуются для разрешения подключений к VPN серверу и CRL Distribution Point. В следующей, заключительной части этой серии статей мы настроим VPN клиента на подключение к SSL VPN серверу и подтверждение соединений путем просмотра информации на клиенте, VPN сервере и брандмауэре ISA Firewall.

    www.isaserver.org


    Смотрите также:

    Tags: , , , , ,

    Readers Comments (Комментариев нет)




    Да человек я, человек! =)




    Exchange 2007

    Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

    Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

    Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

    Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

    Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

    Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

    Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

    Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

    Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

    Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

    Установка и настройка Exchange 2007 из командной строки (Часть 3)

    If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

    Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

    Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

    Развертывание сервера Exchange 2007 Edge Transport (часть 5)

    Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

    Установка и настройка Exchange 2007 из командной строки (часть 2)

    Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

    Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

    Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]