Публикация сервера Windows Server 2008 SSL VPN с помощью брандмауэров ISA 2006 Firewalls (часть 3)

В первой части этой серии статей о том, как публиковать сервер Windows Server 2008 SSTP SSL VPN, мы начали с обсуждения трудностей удаленного VPN доступа из гостиниц и того, как SSTP протокол помогает решить эти проблемы, позволяя VPN соединениям занять место SSL соединений через TCP порт 443, который открыт для доступа всеми брандмауэрами в этих окружениях. Затем мы установили службы сертификации на VPN сервер с тем, чтобы получить сертификат компьютера. После установки сертификата на SSL VPN сервер мы установили RRAS VPN и NAT службы для шлюза VPN. Закончили мы настройкой NAT сервера на VPN шлюзе для направления входящих HTTP соединений, передаваемых брандмауэром ISA Firewall для блокировки на CA хостинге CDP.

В этой части мы настроим учетную запись пользователя на разрешение dial-up доступа, а затем настроим CDP на разрешение анонимных HTTP соединений. После этого мы настроим ISA Firewall на разрешение требуемых соединений с VPN сервером и CDP веб сайтом.

Настройка пользовательской учетной записи на разрешение Dial-up соединений

Пользовательской учетной записи требуется разрешение для dial-up доступа, прежде чем она сможет подключаться к серверу Windows VPN, который является членом домена Active Directory. Самым лучшим способом для достижения этой задачи будет использование сервера Network Policy Server (NPS) и использования стандартных разрешений учетной записи пользователя, которые дают удаленный доступ на основе политики NPS. Однако мы не устанавливали NPS сервер в этом сценарии, поэтому нам придется настраивать разрешение dial-in для пользователя вручную.

Я планирую написать статью о том, как можно использовать сервер NPS и аутентификацию EAP User Certificate для создания соединений с SSL VPN сервером.

Выполните следующие шаги, чтобы активировать разрешение dial-in для учетной записи пользователя, которую вы хотите подключить к SSL VPN серверу. В данном примере мы активируем dial-in доступ для стандартной учетной записи администратора домена:

1. На контроллере домена открываем консоль Пользователи и компьютеры Active Directory из меню Administrative Tools (инструменты администрирования).
2. В левой панели консоли разворачиваем вкладку с именем домена и переходим по вкладке Пользователи. Дважды жмем по учетной записи Администратор.
3. Переходим по вкладке Dial-in. Параметром по умолчанию будет Контролировать доступ с помощью NPS Network Policy. Поскольку у нас нет NPS сервера в этом сценарии, мы поменяем этот параметр на Разрешить доступ, как показано на рисунке ниже. Жмем OK.

   

   Рисунок 1

Настройка IIS на сервере сертификации (Certificate Server) для разрешения HTTP соединений CRL Directory

По каким-то причинам, когда мастер установки устанавливает Certificate Services веб сайт, он настраивает директорию CRL так, что она требует SSL соединений. И хотя с точки зрения безопасности это вполне разумно, проблема заключается в том, что URI на сертификате не настроен на использование SSL. Полагаю, что вы можете создать пользовательскую CDP запись для сертификата, чтобы она смогла использовать SSL, но готов поспорить, что компания Microsoft нигде не упомянула об этой проблеме. Так как мы используем стандартные параметры для CDP в этой статье, нам нужно отключить требование SSL на веб сайте CA для пути директории CRL.

Выполните следующие шаги, чтобы отключить SSL требование для директории CRL:

1. В меню Инструменты администрирования откройте Internet Information Services (IIS) Manager.
2. В левой панели консоли IIS разверните имя сервера, а затем разверните вкладку Сайты. Разверните вкладку Веб сайты по умолчанию и перейдите по вкладке CertEnroll, как показано на рисунке ниже.

   

   Рисунок 2

1. Если вы посмотрите на среднюю панель консоли, то увидите, что CRL расположен в этой виртуальной директории, как показано на рисунке ниже. Чтобы посмотреть содержимое этой виртуальной директории, нужно нажать кнопку Показать содержимое в нижней части средней панели.

   

   Рисунок 3

1. Нажмите на кнопку Показать параметрыв нижней части средней панели. Внизу на средней панели дважды кликните на иконке SSL Параметры.

   

   Рисунок 4

1. В средней панели появится страница SSL Параметры. Уберите галочку напротив строчки Требовать SSL. Нажмите на ссылку Применить в правой панели консоли.

   

   Рисунок 5

1. Закройте консоль IIS после того, как увидите предупреждение Изменения были успешно сохранены.

   

   Рисунок 6

Настройка брандмауэра ISA Firewall с PPTP VPN Server, SSL VPN Server и CDP Web Publishing правилами

Теперь мы готовы настраивать брандмауэр ISA Firewall. Нам нужно создать три правила публикации для поддержки решения:

• Правило веб публикации (Web Publishing Rule), которое дает SSL VPN доступ к CRL Distribution Point (CDP).
• Правило публикации сервера (Server Publishing Rule), которое разрешает входящие SSL соединения с SSTP сервером, который в свою очередь позволяет создавать SSTP соединения с VPN сервером.
• Публикация сервера, которая позволяет PPTP для VPN сервера с тем, чтобы VPN клиент имел доступ к CA сертификату с сайта Web Enrollment в сети за VPN сервером.

После того, как ваши клиенты получили сертификаты, вы можете отключить правило PPTP. Или вы можете оставить это правило, или же использовать L2TP/IPSec вместо PPTP для более безопасных соединений. Причина, по которой вы можете оставить альтернативный VPN протокол включенным, заключается в том, что только клиенты Windows Vista SP1 поддерживают протокол SSTP. Windows XP SP3 возможно тоже поддерживает его, но на данный момент мне кажется, что это не так, поскольку я установил предварительную версию Windows XP SP3 и не обнаружил никаких признаков поддержки SSTP на его VPN клиенте.

Прежде чем мы продолжим, вы, возможно, зададитесь вопросом, зачем использовать правило публикации сервера для SSTP соединения. В конце концов, если бы мы использовали правило веб публикации вместо правила публикации сервера, мы смогли бы контролировать доступ к SSTP серверу на основе пути и общего имени. Мы могли бы даже надежнее обезопасить правило, настроив фильтр безопасности HTTP. К сожалению, я не обнаружил способа того, как заставить такой сценарий работать.

Однако это вовсе не значит, что такой сценарий не работает. Из того, что я прочел о SSTP на блоге RRAS Team Blog, стало понятно, что, по крайней мере, в теории возможно заблокировать SSL соединение на ISA Firewall и направить его на SSTP VPN шлюз. Однако когда я попытался это сделать, я обнаружил в журнале событий ISA Firewall, что соединение было создано, а затем немедленно заблокировано брандмауэром ISA Firewall.

Если вы все же решите попытаться, вам нужно будет расшифровать инструкции файла RRAS Team Blog о том, как заставить соединение SSL и HTTP работать с ISA Firewall. И хотя SSL с SSL было бы более безопасно, я был бы рад увидеть, что можно заставить работать хотя бы соединение между SSL и HTTP.

Мы начнем с правила веб публикации для CDP:

1. В консоли ISA Firewall жмем по вкладке Политика брандмауэра. Выбираем вкладку Задачи в панели заданий и переходим по ссылке Опубликовать веб сайты.
2. На приветственной странице мастера Welcome to the New Web Publishing Rule Wizard вводим имя правила в текстовой строке Имя правила веб публикаций. В этом примере мы назовем правило CDP Site. Жмем Далее.
3. На странице Выбрать действие для правила выбираем опцию Разрешить и жмем Далее.

   

   Рисунок 7

1. На странице Тип публикации выбираем опцию Опубликовать один веб сайт или компенсатор нагрузки и жмем Далее.

   

   Рисунок 8

1. На странице Безопасность соединений сервера выбираем опцию Использовать незащищенное соединение для подключения к опубликованному веб серверу или среде серверов. Мы выбираем эту опцию, так как SSTP VPN клиент не использует SSL для подключения к CDP. Жмем Далее.

   

   Рисунок 9

1. На странице Детали внутренней публикации вводим имя для веб сайта CDP в текстовую строку Имя внутреннего сайта. Поскольку мы используем HTTP, не важно, какое имя мы введем в эту строку. Будь это правило SSL публикации, нам бы пришлось вводить имя сертификата веб сайта, присвоенного этому сайту. Ставим галочку напротив строки Использовать имя компьютера или IP адрес для подключения к опубликованному серверу, а затем вводим IP адрес внешнего интерфейса VPN сервера. В этом случае IP адрес внешнего интерфейса VPN сервера следующий 10.10.10.2. Это позволит серверу NAT на VPN сервере направлять HTTP соединение на веб сайт CDP. Жмем Далее.

   

   Рисунок 10

1. Когда клиент SSTP VPN запрашивает CRL, он использует адрес, прописанный на сертификате. Как мы видели в первой части этой серии статей, URL на сертификате для CRL будет http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl. Чтобы сделать наше правило веб публикации более безопасным, мы можем ограничить пути, которых могут достичь внешние клиенты посредством этого правила. Так как мы хотим дать доступ лишь к CRL, мы введем путь /CertEnroll/WIN2008RC0-DC.msfirewall.org.crl. Это не позволит внешним пользователям ‘блуждать’ по различным путям на нашем сервере сертификации. Нам не нужно беспокоиться о направлении заголовка хоста, поскольку мы не используем никаких средств контроля заголовка хоста (Host Header controls) на веб сайте сервера сертификации. Жмем Далее.

   

   Рисунок 11

• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Sip сервер Windows
• Политика безопасности контроллера домена

Tags: ISA Server, l2tp, nat, vpn, Windows Vista, Windows XP