Monday, December 11th, 2017

Использование RADIUS-авторизации ISA Server 2004 для правил Web публикаций (Часть 1)

Published on Февраль 16, 2009 by   ·   Комментариев нет

Главной особенностью любой системы сетевой защиты является способность распознать пользователя, прежде чем пропустить его к серверам за пределами системы. Сервер ISA – это одна из немногих систем сетевой защиты, которая обеспечивает эту функцию для любых WEB-серверов, но прежде эта функция применялась, лишь когда сервер ISA был членом домена с доступом к Active Directory. В ISA Server 2004 были применены дополнительные методы распознавания, один из которых позволяет серверу ISA идентифицировать пользователей в Active Directory, не требуя, чтобы при этом сервер ISA был членом какой-либо Active Directory.  Механизм, который это использует, называется RADIUS – протокол, возможно, более известный в связи с доступом VPN и модемной связью.

Введение

Remote Authentication Dial-In User Service (сокращенно — RADIUS)  — служба удаленной идентификации пользователей – стандартный протокол, описанный в RFC2865. Протокол описывает связь между клиентом RADIUS и сервером RADIUS.

Обычно клиент RADIUS – это удаленный серверы, VPN-серверы или точки беспроводного доступа, которые посылают разрешения и другие детали соединения серверу RADIUS. В нашем случае клиент RADIUS – это сервер ISA, который пытается авторизовать пользователя на допуск к открытому WEB-сайту.

Сервер RADIUS проверяет запрос клиента и отправляет обратно ответ, который будет или разрешением, или запретом. Сервер RADIUS не только проверяет доступ (проверяет, существует ли такой логин и верен ли пароль), но также проверяет соответствие пользователя политике RADIUS. Сервер RADIUS в нашем случае будет членом домена Windows – сервером с работающей службой Internet Authentication Service (IAS), которая может подтвердить подлинность пользователя в Active Directory.

В этой, первой, части статьи мы будем обсуждать сервер RADIUS: IAS – это версия сервера RADIUS в исполнении Microsoft, и она должна быть сконфигурирована не только для принятия запросов от нашего сервера ISA, но и с учетом политики авторизации, настроенной специально для этой цели. Также мы изучим конфигурацию пользователя в Active Directory, вопросы безопасности и этапы работы при использовании RADIUS.

Во второй части статьи мы сконфигурируем правила публикаций WEB на сервере ISA, которые будут использовать RADIUS для авторизации пользователей. Также мы рассмотрим функцию ISA Server 2004, которая может “подстроить” авторизацию до уровня сайтов.

RADIUS предназначен в основном для того, чтобы разрешать серверам ISA, не принадлежащим домену, подтверждать подлинность пользователей из домена; но есть по крайней мере один аргумент для использования RADIUS даже в том случае, если сервер ISA Server принадлежит домену. Это будет обсуждаться дальше в статье.

Установка Internet Authentication Service

Возможно, у Вас уже установлена IAS для поддержки доступа VPN, но если нет, то нашим первым шагом будет установка Internet Authentication Service на сервер Windows, который будет работать как сервер RADIUS. Многие администраторы для этого будут использовать свои контроллеры домена, и установят IAS на несколько серверов, чтобы она работала как резерв. Когда Вы решите, на каком сервере (или серверах) будет работать IAS, откройте в Панели Управления закладку Установка/Удаление программ на этом сервере и нажмите ссылку Установка /Удаление компонентов Windows.

Когда откроется  Мастер компонентов Windows (Windows Components Wizard), прокрутите список компонент, найдите Сетевые службы, выберите ее и нажмите Состав (Options). Найдите здесь компоненту IAS, выберите ее, нажмите OK и Next для установки (возможно, нужно будет вставить установочный диск).

Mac radius ias

После установки в разделе “Администрирование” появится консоль Internet Authentication Service. Откройте ее. Справка, доступная здесь, предоставляет полезную информацию, и поэтому не надо забывать о ней, но сейчас наша задача – предоставить нашему новому серверу RADIUS доступ к пользовательским свойствам модемной связи в Active Directory. Нажмите на Action, затем на Register Server in Active Directory и завершите, нажав OK в появившихся диалоговых окнах.

Что такое radius server?

Этот процесс добавит сервер в группу RAS and IAS Servers в домене. Если Вы установили IAS на контроллер домена, этот шаг не являлся необходимым, но и вреда от него не было. Если у Вас несколько доменов, надо добавить IAS в группу RAS and IAS Servers каждого домена, в котором ей будет необходим доступ к информации о пользователях.

Конфигурирование клиентов RADIUS в IAS

IAS должна знать, с какими клиентами RADIUS ей позволено общаться. Нам нужно включит сервер ISA в этот список, поэтому начните процесс нажатием Radius Clients в левой области окна Internet Authentication Service и выберите New RADIUS Client в меню, открытое правой кнопкой мыши, в правой области окна (или меню Action).

Что такое radius server?

Откроется мастер New RADIUS Client. На первой странице введите удобное имя (в этом примере — ‘Firewall’) и внутренний IP-адрес сервера ISA. Для продолжения нажмите Next.

Из выпадающего списка Client-Vendor выберите Microsoft. Следующие настройки затрагивают вопросы безопасности, поэтому мы рассмотрим их более подробно. Shared secret – своего рода пароль, известный клиенту RADIUS и серверу: он используется в процессе кодирования некоторых подробностей в сообщениях RADIUS (таких, как пароли пользователя). В дополнение к этому вы выберем опцию Request must contain the Message Authenticator attribute: это потребует от клиента посчитать хэш-код содержания в сообщении RADIUS, используя Shared secret, и включить его в сообщение. Наш сервер RADIUS/IAS сравнит этот хэш с тем, который посчитан им самим по тому алгоритму, чтобы убедиться, что содержание получено от известного источника и что оно не было изменено.

Все это выглядит очень безопасным, но любую совместно используемую информацию следует считать слабо защищенной. Чтобы избежать раскрытия секретов “грубыми” методами – перехватом пакетов, в настоящее время рекомендуется, чтобы Shared secret был не менее 22 символов в длину и отвечал строгим требованиям к паролю (смешанный регистр с числовыми символами и знаками препинания): даже при этом рекомендуется часто изменять его!

Насколько настороженным следует быть, зависит от того, насколько Вы доверяете тем, кто имеет доступ к соединению между клиентом RADIUS (Ваш сервер ISA) и сервером RADIUS(Ваш сервер, на котором работает IAS). Помните, что на кону – пароли пользователей; если Вас беспокоит безопасность, то следует подключить IPSec с ESP-шифрованием.

Все эти методы обеспечения безопасности применяются лишь для обмена сообщениями между клиентом RADIUS и сервером RADIUS. Безопасность связи через общую сеть между WEB-клиентом и сервером ISA (нашим клиентoм RADIUS) в нашем случае будет обеспечиваться с использованием SSL (HTTPS).

Так заканчивается конфигурирование клиентов RADIUS в IAS. Если Вам нужно что-то поменять в настройках, которые Вы только что создали для этого клиента, это можно сделать через его свойства.

Конфигурирование политик удаленной связи в IAS

Политика удалённых соединений определяет, кто получит доступ, а кто — нет. Если Вы уже установили IAS, то, возможно, создали политику для доступа VPN или другой цели и теперь захотите изменить ее под нашу задачу. Это не очень хорошая идея: идентификация в ISA RADIUS для доступа к Web использует некоторые весьма осторожные настройки, которые могут привести к более строгим условиям для других задач, позволяющих передачу паролей через общую сеть. Условия политики, которой мы сейчас займемся, лучше хранить в отдельной политике.

Проблема с изоляцией политик удаленного доступа друг от друга в том, что правила основаны на условии “соответствует этому” и нет условий “не соответствует этому”. Наша политика для работы с запросами ISA RADIUS на идентификацию для доступа к Web не может быть полностью отделена от непреднамеренного использования только с помощью одной политики; мы сделаем все что сможем, но затем все равно понадобится доработать.

Нажмите на значке “политики удаленного доступа” в левой части панели. Здесь Вы увидите пару правил запрета по умолчанию (этот пример – из Windows 2003). Выберите из меню правой кнопки или  Action-меню опцию New Remote Access Policy  (новая политика удаленного доступа).

Что такое radius client?

Откроется  New Remote Access Policy Wizard (Мастер новой политики удаленного доступа); нажмите Next на страничке приветствия, выберите Set up a custom policy на странице Policy Configuration Method и дайте имя новой политике.

Приминение система radius

На страничке Policy Conditions нажмите Add. Выберите Authentication-Type и нажмите Add.

В диалоговом окне Authentication-Type выберите PAP и нажмите Add перед нажатием OK. ISA Server 2004 использует лишь PAP и незашифрованные сообщения RADIUS в методе идентификации RADIUS для доступа к Web: это наиболее нежелательно для любой другой формы идентификации RADIUS (например, VPN), поэтому мы так осторожны при использовании и изоляции этой политики. За исключением небольшого шанса, что при конфигурировании VPN можно воспользоваться этой политикой, что приведет к страшным последствиям, PAP идеален для идентификации доступа к Web, потому что удаленный клиент будет использовать HTTP с SSL (HTTPS) для сохранения в безопасности паролей и зашифрованных данных в общей сети.

Вернитесь на страничку Policy Conditions и снова нажмите Add, на этот раз выберите NAS-IP-Address из списка типов атрибутов и нажмите Add. В диалоговом окне введите IP-адрес для сервера ISA.

И, наконец, повторите шаг и выберите тип атрибута Windows-Groups. Диалоговому окну, которое при этом откроется, требуется группа защиты Windows (используйте кнопку Add). Здесь мы добавили группу пользователей домена, но Вы можете выбрать другую, более ограниченную группу.

Вернувшись на страничку Policy Conditions, Вы увидите что-то наподобие:

Идентификация по radius

Условия политики, которую мы только что настроили, должны гарантировать, что только наш сервер ISA может посылать запросы RADIUS на идентификацию, которые удовлетворяют этой политике; любой другой клиент RADIUS, который Вы могли настроить, не будет соответствовать IP-адресу. Тем не менее, как упоминалось выше, если наш сервер ISA является также и сервером VPN или сервером удаленного доступа, мы должны корректно настроить его, чтобы избежать использования клиентом VPN простых текстовых паролей и PAP в общей сети.

Нажмите Next и выберите Grant remote access permission на странице Permissions перед нажатием Next.

Потом появится страница мастера Profile. Условия политики, настроенные выше, определили критерий соответствия идентификации запроса RADIUS в этой политике. Учетная запись определяет параметры связи в этой политике, которые будут установлены при соответствии условиям. Иногда может казаться, что они повторяют сами себя!

Совет: чтобы просмотреть атрибуты, доступные для ввода в условиях политики, включите регистрацию идентификационных запросов в журнале системных событий. Вы можете сделать это из страниц свойств IAS, нажав правую кнопку на Internet Authentication Service (Local) в консоли IAS.

Нажмите кнопку Edit Profile чтобы открыть диалоговое окно Edit Dial-in Profile. В следующих двух шагах мы обеспечим то, чтобы любые совпадающие запросы RADIUS, требующие шифровки, отклонялись этой политикой. Выберите вкладку Authentication, удалите все проверки на этой странице и выберите только Unencrypted authentication (PAP, SPAP). Помните, что наши условия политики определяют только PAP, поэтому другие проверки здесь не сработают.

Выберите вкладку Encryption. Удалите все проверки по умолчанию, оставив лишь No Encryption. НажмитеOK.

Нажмите No в ответ на предложение открыть справку. Вы вернетесь на страницу Profileмастера. Нажмите Next, затем Finish на последней странице мастера.

Если Вам понадобится проверить или изменить политику, которую Вы только что создали, все настройки, которые Вы только что изменяли, доступны в свойствах политики.

Дальнейшая изоляция политики

Если Вы были осторожны при настройке Вашего сервера ISA для других задач RADIUS, таких как авторизация VPN, то указанная выше конфигурация достаточна для изоляции нашей политики. Тем не менее,  если Вы недовольны тем, что сделали для предотвращения чьего-либо VPN или другого доступа, который воспользуется недостатком в системе безопасности, то можно пойти дальше:

Создайте политику с названием, например, ‘Connections by legacy VPN clients’. В Policy Conditions включите тип атрибута Authentication-type и сделайте так, чтобы он снова соответствовал PAP. Также включите тип атрибута NAS-Port-Type и сделайте его соответствующим Virtual (VPN), а также любые другие, которые могут Вас волновать (сервер ISA не устанавливает этот атрибут для доступа к Web, поэтому эти запросы никогда не будут соответствовать политике). На следующей странице выберите Deny remote access permission и завершите настройку, нажав Next и Finish на последующих страницах (учетная запись является несоответствующей в политике запрета). Само собой, Вы можете добавить другие условия, чтобы ужесточить политику.

Убедитесь в том, что эта политика запрета упорядочена выше (порядковый номер меньше) первой политики, которую мы создали, используя Action-меню или меню правой кнопки, если необходимо.

Настройка удаленного доступа для пользователей домена

Нам нужно сделать обзор тех пользователей, которым будет открыт доступ к Web-сайтам, контролируемым сервером that ISA Server с помощью механизма RADIUS.

На рабочей станции или сервере, где установлены подходящие инструменты, войдите в папку “Администрирование” и откройте панель Active Directory Users and Computers. Выберите пользователя, откройте окно свойств и укажите вкладку Dial-in.

Под ссылкой Remote Access Permission по умолчанию будет выбрана опция Control access through Remote Access Policy. Этот выбор идеален и в нашем случае, и в большинстве случаев. Возможно, у Вас есть пользователи, которым Вы запретили удаленный доступ, но помните что в нашем случае эта настройка закроет им доступ и к WEB-сайтам. Более дружественный подход администратора может заключаться в том, чтобы создать группы безопасности, которые имеют или не имеют доступа, и использовать эти группы для разрешения или запрета в политиках удаленного доступа.

Radius сервер active directory сервер

Конфигурирование блокировки удаленного доступа

Наш последний шаг настройки сервера RADIUS является рискованным и необязательным. Он вовлечет в себя редактирование реестра нашего сервера RADIUS/IAS и Вам нужно знать о возможных повреждениях, которые могут быть причинены неправильным выполнением инструкций. Всегда делайте выгрузки перед работой с реестром.

Весьма вероятно, что у Вас есть политика блокировки учетной записи вашего домена, которая блокирует учетную запись после нескольких неудачных попыток войти. Есть вероятность, что сомнительная личность, знающая имя пользователя, попытается проникнуть на Web-сайт и вводить неверные пароли, пока сам пользователь отключен. Это может стать атакой, которая приведет к отказу службы. Если у Вас нет этой политики, то Вы будете открыты для большего числа таких личностей, пытающихся проникнуть в Вашу систему с использованием словарей паролей для атаки.

К счастью, есть механизм, который смягчит этот вид атаки. Он предусматривает второй счетчик блокировки и задержку для политик удаленного доступа, которая, если настроена правильно, предотвратит запуск политики блокировки домена. Это не поможет пользователю, если он отсутствует, но позволит безболезненно перенести атаку, когда он находится в офисе.

Этот механизм может послужить аргументом для того, чтобы использовать идентификацию RADIUS для доступа к Web, даже если Ваш сервер ISA является членом домена!

Настройки реестра можно поменять с помощью Regedit.exe, и настройки находятся в:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Настроек – две; MaxDenials и ResetTime (mins). MaxDenials по по умолчанию равен нулю, что означает его бездействие, но может быть переопределён на значение между 1 и Account Lockout Threshold в политике блокировки учетных записей Вашего домена. Например, если Ваше значение Account Lockout Threshold равно 5, установите MaxDenials равным 3. ResetTime (mins) по умолчанию установлены аж на 48, но могут быть установлены на что-либо большее чем Reset account lockout counter after в политике блокировки учетных записей домена.

Разблокировка учетной записи для удаленного доступа до окончания ResetTime довольно трудна и требует, чтобы Вы вручную удалили ключ, находящийся в реестре в указанном выше месте и с форматом названия DOMAIN:username. Лучше достигнуть равновесия между защищенностью и применимостью, установив такое значение ResetTime, которое избавит от необходимости снова выполнять эту процедуру.

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]