Sunday, July 22nd, 2018

Использование ISA-сервера для контроля сложного доступа клиентов виртуальной частной сети (VPN) (Часть 1)

Published on Февраль 9, 2009 by   ·   Комментариев нет

Одна из функций ISA-сервера не получает того внимания, которого заслуживает. Это серверный компонент удаленного доступа виртуальной частной сети (VPN). VPN-сервер ISA-сервера может предоставить необычно высокий уровень безопасности для удаленных соединений VPN, поскольку он использует для соединений VPN те же устойчивые изменяемые пакеты и функции проверки уровня приложений, что и для других соединений, проходящих через ISA-сервер. Это отличает серверный компонент удаленного доступа VPN ISA-сервера от брандмауэров, использующих обычные изменяемые пакеты проверки, в которых пользователи VPN имеют тот же уровень доступа к корпоративной сети, что и узел, напрямую к ней присоединенный.

Использование серверного компонента удаленного доступа VPN ISA-сервера для доступа удаленных пользователей к ресурсам корпоративной сети дает много преимуществ. Вот некоторые из них:

  • Отличное решение для возможности удаленного доступа к совместно используемым файлам и ресурсам Web. Обычно организации используют VPN для доступа пользователей к файловым серверам корпоративной сети. Разрешение прямых соединений для доступа к общим файлам по протоколам SMB/CIFS (SMB — Server Message Block — блок серверных сообщений; CIFS -Common Internet File System — общий протокол доступа к файлам Интернет) из сети Интернет повсеместно считается небезопасным. ISA-сервер может быть сконфигурирован для предоставления безопасного удаленного доступа к совместно используемым файлам на уровне для пользователя/для группы, и вы можете дать пользователям доступ только к тем файловым серверам, которые им нужны на уровне для пользователя/для группы. Это не дает пользователям VPN, которым не позволено использовать протоколы SMB/CIFS, соединяться по этому протоколу с неавторизированными серверами, и не дает пользователям, которым позволено использовать протоколы SMB/CIFS, соединяться с серверами, отличных от тех, где они авторизированны.
  • Удаленный доступ к протоколам, не поддерживающим NAT (network address translation — преобразование сетевых адресов). Многие приложения не поддерживают NAT-соединения между источником и адресатом. Приложения VoIP (Voice over IP — передача голоса по IP-протоколу) являются примером ограниченной поддержки NAT-соединений. Поэтому приходится маршрутизировать связь источника и адресата. Клиенты VPN, соединяясь с ISA-сервером, используют сетевые правила, которые определяют маршрутизацию между членами сети VPN-клиентов и корпоративной сети.
  • Принудительная аутентификация пользователей протоколов, для которых Вы бы создавались правила серверных публикаций, не поддерживающих пользователей с пред-аутентификацией. Правила серверных публикаций позволяют предоставлять удаленный доступ для не-web протоколов. Примером таких протоколов служат RPC, SQL, SMTP, POP3, RDP, IMAP4 и Telnet. В отличии от правил web-публикаций для web-протоколов, Вы не можете принудительно установить пред-аутентификацию на ISA-сервере для протоколов, использующих правила серверных публикаций. Удаленный доступ VPN предлагает идеальную инфраструктуру для пользователей с пред-аутентификацией для доступа по протоколам, для которых Вы бы сделали анонимный доступ (как минимум на ISA-сервер) посредством правил серверных публикаций. Пользователи удаленного доступа VPN аутентифицируются на ISA-сервере и получают доступ к серверам, используя специфические протоколы, только в том случае, если пользователь прошел аутентификацию для связи со специфическим сервером по специфическому протоколу.
  • Уменьшение возможностей атак на ISA-сервер и на потоковые сервера (сервера, располагающиеся в корпоративной сети) путем уменьшения числа правил web-публикаций и серверных публикаций, созданных для удаленного доступа. По умолчанию, ISA-сервер является одним из кирпичиков, составляющих сеть. После его установки не разрешены никакие соединения ни к нему, ни через него. Не разрешены соединения к или от ISA сервера, кроме позволенных системными политиками, которые можно изменить для дальнейшего закрытия устройств ISA-сервера и запрета соединений через ISA-сервер до создания правил доступа или правил публикаций.
  • Карантин удаленного доступа по VPN. В ISA-сервер компактно встроена поддержка карантина удаленного доступа по VPN. Карантин удаленного доступа по VPN позволяет помещать клиентов VPN в карантин до прохождения клиентами тестов их состояния для определения конфигурации безопасности устройств VPN-клиентов. К сожалению, для этого требуется написание дополнительных сценариев и программ. К тому же дополнительным барьером, создаваемым требованием этих приложений, является время, затрачиваемое на изучение проблем и конфигурацию установки жизнеспособного решения для карантина удаленного доступа. Например, подумайте, как Ваша антивирусная программа зарегистрирует номер версии и обновления. Это не так просто сделать. Я считаю, что карантин удаленного доступа ISA-сервера это продвинутое средство, которое представляет из себя платформу для развития, полностью укомплектованную средствами защиты. Однако, если Вы заинтересованы в цельном решении, которое усилит встроенную поддержку карантина удаленного доступа ISA-сервера, прочтите статью Федерика Эснауфа «Набор программ для безопасного карантина» (Quarantine Security Suite (QSS)) по адресу: http://www.esnouf.net/qss_main.htm

Сценарий удаленного доступа VPN, рассматриваемый в данной статье

В этой статье мы рассмотрим сценарий, включающий следующие ключевые моменты:

  • ISA-сервер — член домена. Мое строгое и обдуманное мнение состоит в том, что присоединенный к домену ISA-сервер гораздо более защищен, чем отдельный ISA-сервер, установленный в рабочей группе. По этой причине я рекомендую Вам всегда устанавливать ISA-сервер членом домена; исключение может быть сделано, когда нет никаких преимуществ в членстве в домене, например, когда ISA-сервер используется как внешний брандмауэр в конфигурации из нескольких брандмауэров, и сегмент сети между ними является областью анонимного доступа. Есть серьезные, часто повторяемые, хорошо используемые и постоянно демонстрируемые причины того, почему членство в домене ISA-сервера увеличивает уровень безопасности, который может предоставить ISA-сервер. В то время как существуют лишь теории, которые даже самые авторитетные специалисты по безопасности не могут подтвердить, того, чтобы ISA-сервер был членом рабочей группы (кроме варианта с внешним ISA-сервером, о котором я сказал выше). ISA-сервер будет использовать встроенную аутентификацию Windows для аутентификации и авторизации доступа пользователей VPN к VPN-серверу, серверам и сервисам корпоративной сети.
  • Группа пользователей протокола RDP (Remote Desktop Protocol — протокол удаленного рабочего стола) VPN для доступа к северу терминалов по протоколу RDP. Мы создадим группу RDP на ISA-сервере, и будем ее использовать для правил доступа, позволяющих администраторам доступ к корпоративной сети по протоколу RDP.
  • Группа VPN для совместного использования файлов на файловом сервере. Мы создадим группу File Shares на ISA-сервере, и будем ее использовать для правил доступа, позволяющих пользователям заходить на файловый сервер, используя протоколы Windows для общих файлов.
  • Группа администраторов UNIX для доступа к UNIX-серверам по протоколу Telnet. Мы создадим на ISA-сервере группу Unix Admins для правил доступа, позволяющих пользователям заходить на Unix-сервера корпоративной сети с использованием протокола Telnet.
  • Группа пользователей Outlook для полного клиентского доступа пользователей Outlook по протоколу MAPI к серверу Exchange. Мы создадим группу MAPI Outlook для использования ее в правилах доступа, позволяющим пользователям соединяться с сервером Exchange по протоколу MAPI.
  • Создание пользователей user1, user2, user3 and user4. Добавим каждого из этих пользователей в созданные ранее группы.

Обратите внимание, что после создания каждого из этих правил доступа, пользователи будут иметь доступ к определенному протоколу, и они будут использовать этот протокол только для связи с определенным сервером. Если пользователь попытается получить доступ к протоколу, который ему не предназначен, соединение будет невозможно. Если пользователь имеет доступ к протоколу, но использует его для соединения с сервером, на котором он не авторизован для использования этого протокола, соединение будет невозможно.

Еще одно важное замечание. Вы можете добавить пользователей домена в любую группу ISA-сервера. Например, Вы создаете на ISA-сервере группу VPN File Share Users, а затем добавляете в нее членов домена. Или же Вы можете создать глобальную группу VPN File Share Users на контроллере домена, добавить пользователей в нее, а затем добавить ее в группу VPN File Share Users ISA-сервера. Это будет большим преимуществом, если инфраструктура групп сети (которая управляет ISA-сервером) не дает права управлять пользователями и группами в Active Directory.

Рисунок ниже показывает высокоуровневую схему компьютеров в примерной сети, используемой в статье

Сервер контроля безопасного доступа

Рисунок 1

В этой статье мы выполним следующие процедуры для достижения целей контроля сложного доступа пользователей VPN:

  • Включение серверных компонентов VPN на ISA-сервере. Серверный компонент VPN по умолчанию не включен на ISA-сервере. Первое, что мы сделаем, это включим его и сконфигурируем VPN-сервер на ISA-сервере, а затем сделаем доступными соединения удаленного доступа VPN.
  • Создание сложных правил доступа на ISA-сервере. После включения и настройки серверных компонентов VPN на ISA-сервере, следующим шагом будет создание правил доступа для пользователя/группы/протокола/сервера. Цель этих правил следующая: 1. требовать аутентификацию на ISA-сервере до предоставления доступа к сетевым серверам и сервисам и 2. Предоставлять пользователям VPN доступ только к тем ресурсам, которые им нужны при соединении к VPN-серверу. Это воплощение принципа минимальной привилегии. Всегда следует иметь его в виду при настройке политик брандмауэра.
  • Установка CMAK (Connection Manager Administration Kit — администраторский пакет мастера подключений) и создание профиля CMAK для использования его пользователями. CMAK позволяет Вам создавать пакеты мастера подключений, которые используются пользователями, содержащие все настройки соединений VPN. Пользователям не нужно понимать как настраивается VPN или знать об адресах и протоколах VPN. Они просто должны скачать файлы мастера подключений, который Вы создадите для них, и дважды щелкнуть на них. Поскольку у пользователей никогда не возникает проблем с двойным щелканьем по файлу, установка VPN-клиента не требует мозговых усилий. Все, что требуется от пользователя, это ввести свое имя и пароль.
  • Распространение профиля CMAK и установка его на компьютер клиента VPN. После создания профиля CMAK, мы распространим его пользователям посредством размещения его на web-сайте для дальнейшего скачивания. Пользователи могут установить файл оттуда.
  • Проверка и просмотр файлов журнала ISA-сервера. Мы закончим статью проверкой соединений и просмотром файлов журнала ISA-сервера, чтобы узнать, что происходит с различными пользователями при доступе к различным ресурсам по различным протоколам.

Включение серверного компонента VPN на ISA-сервере

Первый шаг — включение серверного компонента VPN на ISA-сервере. Мы произведем следующие действия для этого:

По умолчанию, серверный компонент VPN отключен. Сначала включим его и настроим серверный компонент VPN.

Для включения и конфигурации VPN-сервера ISA Server 2004 произведем следующие действия:

  1. В консоли ISA-сервера раскроем имя сервера. Щелкаем на узел Virtual Private Networks (виртуальная частная сеть)e.
  2. Щелкните Tasks (задания) в панели заданий. Нажмите Enable VPN Client Access (включить доступ клиентам VPN)

    Rdp на isa server 2006

    Рисунок 2

  3. Щелкните Configure VPN Client Access (настроить доступ для клиентов VPN)
  4. На вкладке General (общие) измените значение Maximum number of VPN clients allowed (максимально возможное число клиентов VPN) с 5 до 10, только для примера. Вы можете ввести любое число до 1000, которое является пределом VPN соединений для ISA Server 2004 Standard Edition. ISA Server 2004 Enterprise Edition поддерживает неограниченное количество VPN-подключений (пределом являются пропускная способность и оборудование).

    Контроль за пользователями на isa сервере

    Рисунок 3

  5. Выберите закладку Groups (группы) и нажмите кнопку Add (добавить)
  6. В диалоговом окне Select Groups (выбор групп) нажмите кнопку Locations (расположение). В диалоговом окне Locations (Расположение) выберите msfirewall.org и нажмите OK.
  7. В диалоговом окне Select Group (Выбор групп) в текстовом окне Enter the object names to select (Ввод выбранного имени объекта) введите Domain Users (пользователи домена). Нажмите кнопку Check Names (проверить имена). После обнаружения в Active Directory имя группы станет подчеркнутым. Это значение используется в политиках удаленного доступа управляемых ISA-сервером. Эта опция обычно смущает администраторов, поскольку предполагает, что если Вы введете в диалоговом окне имя группы, ей будет даны права удаленного доступа на ISA-сервер. Но это необязательно так. Этим пользователям будет позволено только устанавливать VPN-соединения с ISA-сервером, если их учетные данные позволяют им использовать удаленный доступ посредством политик удаленного доступа. Это установки по умолчанию для домена Windows Server 2003 или Windows 2000. Однако если Вы используете менее функциональный уровень домена, Вам придется настраивать учетные записи индивидуально для предоставления им прав удаленного доступа. Если у Вас есть смешанный режим Windows 2000, установки на закладке Groups (Группы) не будут действовать до тех пор, пока Вы не настроите вручную учетные записи для контроля прав удаленного доступа посредством политик удаленного доступа. Нажмите OK.

    Isa ограничение доступа для vpn пользователя

    Рисунок 4

  8. Выберите закладку Protocols (Протоколы). На ней отметьте опцию Enable L2TP/IPSec (Разрешить L2TP/IPSec). Заметьте, что Вам придется выдать сертификат ISA-серверу и клиентам VPN до использования протоколов L2TP/IPSec. Альтернативой этому является использование ключа, заранее сделанного совместно используемым, для отношений безопасности по протоколу IPSec, но это не обязательно и менее безопасно и менее расширяемо. Когда отмечены обе опции, пользователи могут соединятся с VPN-сервером ISA-сервера по протоколам PPTP или L2TP/IPSec. Нажмите Apply (Применить).

    Добавление в группу пользователей isa

    Рисунок 5

  9. Выберите закладку User Mapping (Присоединение пользователей). Мы не будем делать никаких изменений на этой закладке, поскольку мы используем встроенную аутентификацию Windows. Присоединение пользователей полезно при использовании аутентификации по протоколам EAP или RADIUS. Нажмите OK.

    Сервер контроля безопасного доступа

    Рисунок 6

  10. На закладке Tasks (Задания) нажмите Select Access Networks (Выбор сетей доступа).

    Виртуальная часть vpn

    Рисунок 7

  11. В диалоговом окне Virtual Private Networks (VPN) Properties (Свойства VPN) выберите закладку Access Networks (Доступ к сетям). Обратите внимание, что опция External (Внешняя) выбрана по умолчанию. Это говорит о том, что внешний интерфейс прослушивает входящие подключения VPN-клиентов с адресами, опознанными по умолчанию внешней сетью. Вы можете выбрать другие интерфейсы, например внутренний или интерфейс экстранет если хотите дать доступ VPN-сервисам в доверенные узлы и сети. Не делайте никаких изменений на закладке Access Networks.

    Удаленный ИСА сервер

    Рисунок 8

  12. Выберите закладку Address Assignment (Назначение адресов). Выберите внутренний интерфейс из списка Use the following network to obtain DHCP, DNS and WINS services (Использовать следующую сеть для сервисов DHCP, DNS и WINS). Эта настройка очень критична, поскольку она определяет сеть, в которой сделан доступ к DHCP-серверу. Заметьте, что в нашем примере мы используем DHCP-сервер по умолчанию во внутренней сети для назначения адресов VPN-клиентам. DHCP-сервер не будет назначать адреса VPN-клиентам, если на ISA-сервере не установлен компонент DHCP Relay Agent. У Вас есть возможность создать область статических адресов IP для назначения их VPN-клиентам. Если Вы используете статические адреса, Вы не сможете использовать DHCP для этих узлов. Также если Вы выбираете статические адреса, вам следует использовать идентификатор для чужих подсетей. Если Вы не будете его использовать, Вам нужно удалить адреса из определений подсети ISA-сервера.

    Isa ограничение доступа для vpn пользователя

    Рисунок 9

  13. Выберите закладку Authentication (Аутентификация). Обратите внимание, что по умолчанию включен только метод Microsoft encrypted authentication version 2 (MS-CHAPv2). Можете использовать установки по умолчанию, если у Вас нет клиентов, неподдерживающих этот протокол. Также Вы можете использовать аутентификацию EAP, но мы не будем обсуждать эту опцию в нашей статье. Обратите внимание на опцию Allow custom IPSec policy for L2TP connection (Разрешить политику IPSec для соединений по протоколу L2TP). Если Вы не хотите создавать публичный ключ или процесс его создания еще не закончен, Вы можете включить эту опцию и весть предварительный общественный ключ. VPN-клиенты должны быть настроены на использование одинаковых предварительных ключей. Обратите внимание, что предварительные ключи хранятся в пользовательских интерфейсах в текстовом виде и видны всем, у кого есть доступ к консоли ISA-сервера. Также эти ключи хранятся в реестре компьютера в явном виде и могут быть просмотрены оснасткой ipsecmon при активном соединении L2TP/IPSec. Я настоятельно рекомендую использовать компьютерный сертификат для поддержки соединений VPN по протоколам L2TP/IPSec.

    Контроль за пользователями на isa сервере

    Рисунок 10

  14. Выберите закладку RADIUS. Здесь Вы можете сконфигурировать VPN-сервер ISA-сервера на использование аутентификации RADIUS. Используйте аутентификации RADIUS, если Вы вынуждены не включать ISA-сервер в домен. Поскольку мы следуем передовым методам настройки ISA-сервера, мы включили ISA-сервер в домен, и не обязаны искать компромиссов в аутентификации RADIUS.

    1C rdp vpn

    Рисунок 11

  15. Нажмите Apply (Применить) в диалоговом окне Virtual Private Networks (VPN) Properties (Свойства VPN), а затем OK.
  16. Нажмите Apply (Применить) для сохранения изменений и обновления политик сервера
  17. Нажмите OK в диалоговом окне Apply New Configuration (Применить новую конфигурацию)
  18. Перезапустите ISA-сервер

После перезагрузки сервер получает блок IP-адресов от DHCP-сервера внутренней сети по умолчанию (где расположен наш DHCP-сервер). Обратите внимание, что в сети, где DHCP-сервер расположен в удаленном от ISA-сервера сегменте, все маршрутизаторы между ними должны иметь включенными ретрансляторы BOOTP или DHCP, чтобы запросы DHCP от ISA-сервера достигали удаленных DHCP-серверов.

Резюме

В первой части статьи о максимизировании безопасности VPN с использованием серверного компонента VPN ISA-сервера мы начали обсуждать, как VPN-сервер ISA-сервера предоставляет повышенную безопасность VPN-соединениям, в отличие от брандмауэров/VPN-серверов с обычными изменяемыми пакетами проверки. Статья заканчивается детальным описанием включения серверного компонента VPN ISA-сервера. Во второй части мы обсудим сложные правила доступа, требуемые для ограничения удаленного доступа пользователей VPN к корпоративной сети.

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]