Sunday, October 21st, 2018

Вывод VPN-пользователей из карантина с помощью VPN-Q 2006

Published on Февраль 11, 2009 by   ·   Комментариев нет

Как средство VPN-Q 2006 устраняет значительный недостаток в карантине серверов ISA 2004/2006.

Даже после выхода сервера ISA 2004 администраторы VPN ISA-сервера, которые хотели получить все преимущества использования карантина, были в замешательстве, пытаясь разобраться и защитить исполняемые сценарии для выполнения необходимых задач. Использование области карантина для недоверенных клиентов и систем, чья правомочность не может быть гарантирована, является естественной практикой. Однако, во время конечной проверки правомочности и последующем выводе пользователей из карантина возникали проблемы.

Компания Microsoft опубликовала несколько простых примеров шаблонов сценариев, разработанных для объяснения того, как можно выполнить элементарные конечные проверки правомочности, после прохождения которых клиенты выводятся из карантина. К сожалению, для того, чтобы это решение действительно работало, администраторам ISA-сервера необходимо было провести значительные доработки, чтобы эти примеры можно было использовать как настоящие утилиты проверки. После этого нужно было вручную создать профиль менеджера соединений и убедиться, что все настройки верны.

И, наконец, если, по счастливой случайности, вам удалось разработать и внедрить такое решение, оставалась еще одна серьезная проблема: механизм, используемый для вывода клиента из карантина, в явном виде встроен в незащищенный исполняемый сценарий. Все, что нужно удаленному пользователю (из не совсем надежной системы), это запустить команду RQC.EXE с несколькими параметрами, и он может увидеть то, что ненадежно скрыто внутри сценария, и получить полный доступ к сети без прохождения каких-либо проверок!

Да, что нужно администраторам ISA-сервера, так это выполнение обещаний о работе карантина для VPN-клиентов удаленного доступа. Сейчас выходит так, что средство VPN-Q, вместе с активным кэшированием, точкой контроля доступа H.323 и контролем пропускной способности, почти предано забвению. Средство VPN-Q, как и все остальные технологии, было прекрасной идеей, но Microsoft так и не завершила работу. Все эти средства были брошены и забыты наполовину выполненными.

Но, может быть не все еще потеряно для карантина VPN-клиентов удаленного доступа? Может, есть решение, которое позволяет выполнять то, для чего разрабатывалось VPN-Q, и отказаться от привлечения дорогих консультантов для разработки дорогого одноразового решения, за которое нужно будет платить каждый раз при обновлении наших систем?

Одним из таких решений является VPN-Q 2006 от компании Winfrasoft. Это совместимое с .NET приложение выполняет набор сложных проверок безопасности на рабочей станции клиента, и только после того, как все проверки пройдут, клиент получит полный VPN-доступ. Ключевыми проверками, нужные каждой организации, являются проверки на то, что все заплатки и обновления установлены, и что на удаленной системе установлен актуальный антивирусный пакет.

VPN-Q работает с десятком самых популярных и доступных антивирусов и персональных брандмауэров и вставляется и в серверы обновлений Microsoft, расположенные в Интернете, и в локальные WSUS-серверы, так что вы можете быть уверены, что удаленные пользователи соответствуют внутренней политики обновлений. Центральное администрирование дает администраторам возможность определять, какие проверки должны пройти на компьютере клиента до того, как он будет выведен из карантина.

Самое важное, все это не требует написания никаких сценариев. СОВСЕМ. Также закрывается брешь в безопасности, связанная с ручным запуском RQC.EXE.

Что еще входит в VPN-Q 2006

Что же еще может делать VPN-Q помимо проверки антивирусов, брандмауэра и обновлений? Средство расширяет стандартные службы карантина в область соответствия, предоставляя детальные журналы и обладая такими функциями, как предусмотренные законом уведомления. Вот список возможностей, взятый с сайта средства:

Проверка безопасности \ Версия Бесплатная Стандартная Корпоративная
Минимум операционной системы и уровень пакета обновлений да да да
Статус IP-маршрутизации Windows нет да да
Установки безопасности хранителя экрана нет да да
Статус брандмауэра Windows нет да да
Статус персонального брандмауэра стороннего производителя нет да да
Статус исключения на брандмауэре совместного использования файлов и принтеров Windows нет да да
Статус совместного подключения к Интернету нет да да
Статус антивирусного сканера да да да
Проверка обновлений антивирусного статуса да да да
Статус автоматических обновлений (настройки обновлений) нет да да
Статус обновлений системы безопасности (отсутствующие обновления) нет да да
Использование службы обновлений Windows (Windows Software Update Services — WSUS) нет да да
Другие возможности \ Версия Бесплатная Стандартная Корпоративная
Работа на Windows Vista! (SP2) да да да
Работа клиента и сервера на мультиязыковых платформах (SP2) да да да
Ручная и автоматическая загрузка совместно используемых ключей для IPSec (SP2) нет да да
Централизованное журналирование нет нет да
Централизованное управление политиками (GPO) нет нет да
Предусмотренные законом уведомления и оповещения о политиках нет нет да
Возможности исправления нет ограничено да
AES-шифрование (Клиент<-> Сервер данные о состоянии) 56 бит 128 бит 256 бит

Установка

Установка и серверной, и клиентской части проста до безобразия. На сервере программа установки VPN-Q устанавливает необходимые службы Windows, создает необходимые правила доступа с помощью мастера и включает сеть Карантина. Единственное, что вам нужно сделать до установки, это включить обычный VPN-доступ к ISA-серверу обычным способом.

Мастер администрирования сервера

Мастер настройки разрешает доступ к ресурсам из карантина. Он управляет доступом к службам инфраструктуры, таким как DNS для разрешения имен внутренних серверов и Active Directory для разрешения групповых политик, а также WSUS-серверам для проверки политик обновления. Правила, создаваемые мастером, достаточно строги, например, правило для WSUS разрешает только определенные адреса URL на основе указанного вами имени сервера, создать правило для всех нельзя.

Вы можете создать собственные правила для разрешения доступа пользователей к вашей сети из карантина. Например, для разрешения доступа к серверу обновлений антивирусного программного обеспечения.

Vpn пользователи в карантине

Рисунок 1

Vpn q 2006

Рисунок 2

Vpn пользователи в карантине

Рисунок 3

VPN-клиент

VPN-клиент создается из консоли Server Administration (Администрирование сервера). Когда я говорю о создании VPN-клиента, я имею в виду внедрение в exe-файл установки клиента пакета менеджера соединений (CMAK), содержащего все данные о карантине и ваши личные настройки. Установка клиента крайне проста, все, что нужно сделать пользователю, это принять лицензионной соглашение, и VPN-соединение будет установлено. Здесь нет никаких программ от стороннего производителя, используется стандартное CMAK-соединение Windows. И, что самое замечательно, вам не нужно иметь права локального администратора для установки или запуска!

Что еще радует, так это такие вещи, как использование логотипа карантина, ассоциированного с соединением и именем вашей организации в имени соединения. Насколько я знаю, в дальнейших версиях настройка имени организации будет еще более развита.

Vpn q 2006

Рисунок 4

Интерфейс проверки безопасности клиента

Что мне больше всего понравилось в программе, так это то, что она отлично интегрируется с Windows. Прохождение проверки безопасности очень просто отследить по разноцветным иконкам. Если компьютер клиента не пройдет какую-либо проверку, появится объяснение, что нужно сделать для того, чтобы в будущем тесты проходили без проблем. Корпоративная версия VPN-Q 2006 позволяет направлять пользователей для исправления ошибок на нужные URL, например, на страницу внутренней службы поддержки.

Vpn пользователи в карантине

Рисунок 5

Те, кто хочет видеть детальное описание проверки, может зайти на соответствующую вкладку.

Vpn q 2006

Рисунок 6

Корпоративная версия VPN-Q 2006 позволяет вам настроить любую политику по вашему желанию через Групповую политику (Group Policy). Вы можете отключить некоторые проверки или изменить результаты проверок. Вы можете даже определить поведение программы при разных уровнях критичности обновлений Microsoft, хотя настроек по умолчанию вполне достаточно.

Выводы

Средство VPN-Q 2006 заполняет серьезный пробел в карантине серверов ISA 2004/2006. VPN-Q 2006 предоставляет удобства тем администраторам ISA-сервера, которые заботятся об уровне безопасности систем удаленных пользователей, а также не хотят нарушать существующие политики. Больше не нужно разбираться в примерах сценариев, являющихся бесполезными и ошибочными решениями, которые вообще не нужно внедрять в ваше окружение. Компании Winfrasoft удалось найти баланс между простой в использовании системой и технически мощным решением для администраторов.

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]