Monday, December 11th, 2017

Разрешение Доступа в Интернет для VPN Клиентов, подключенных к брандмауэру ISA

Published on Февраль 12, 2009 by   ·   Один комментарий

Проблематичная ситуация с брандмауэром ISA Server 2000 возникает, когда VPN клиент, подключенный к брандмауэру ISA Server 2000, не может соединиться с Интернетом, используя свою клиентскую конфигурацию SecureNAT по умолчанию.

Причина этого в том, что пока VPN клиент не сконфигурирован, как клиент Web-прокси или Брандмауэрный клиент брандмауэра ISA Server 2000, с которым он установил VPN связь, клиент VPN не будет способен иметь доступ к Интернету, используя свое SecureNAT клиентское соединение к ISA Server 2000 брандмауэру/VPN серверу (когда не настроен как Брандмауэрный или Web-прокси клиент ISA Server 2000 брандмауэра/VPN сервера, он по умолчанию является клиентом SecureNAT).

Это создает потенциальную проблему в безопасности, потому что многие администраторы брандмауэра ISA Server 2000 пытаются обойти это ограничение разрешением раздельного туннелирования для VPN клиентов. Установкой по умолчанию Windows VPN клиентского программного обеспечения является use default gateway on remote network (использовать шлюз по умолчанию на удаленной сети). Это подразумевает, что соединения к любой не локальной сети будут автоматически перенаправлены через VPN-интерфейс.

ПРЕДУПРЕЖДЕНИЕ:
Не позволяйте раздельное туннелирование. Никогда не разрешайте раздельное туннелирование. Вы подвергаете себя и свою сеть неоправданному риску, когда разрешаете раздельное туннелирование, поэтому никогда не разрешайте раздельное туннелирование для ваших VPN клиентов. Понимаете? Не говорите, что вас не предупреждали.

Так как Интернет не является локальной сетью, весь трафик в Интернет пересылается через VPN соединение и попытки соединений будут неудачны, потому что брандмауэр ISA Server 2000 не позволяет VPN клиентам SecureNAT клиентское соединение к «loop back» (возврат назад) через брандмауэр ISA Server 2000, которое клиент установил с помощью VPN связи.

Разрешить vpn в брандмауре

Для компаний, которые пользовались моей помощью в этой проблеме, я конфигурировал их клиентов как Брандмауэрных и Web-прокси клиентов брандмауэра ISA Server 2000, к которому подключаются VPN клиенты. Конфигурации Брандмауэрных и Web-прокси клиентов были настроены на использование IP-адреса на внутреннем интерфейсе брандмауэра ISA Server 2000, и автоопределяемые wpad элементы были настроены в DNS на поддержку этой установки.

Это прекрасно работает и мы также получили пользу от повышенной безопасности, обеспеченной конфигурациями клиентов Брандмауэра и Web-прокси. С другой стороны стало то, что есть некоторые административные накладные расходы, и пользователи должны учиться запрещать Брандмауэрного клиента в определенных случаях, а затем снова разрешать его, когда VPN связь будет установлена.

Разрешить vpn в брандмауре

Что было потом.

С новым брандмауэром ISA (ISA Server 2004), нам нет необходимости беспокоиться об этих проблемах. Пока я все еще рекомендую, чтобы мои клиенты всегда использовали конфигурации клиентов Брандмауэра или Web-прокси для VPN клиентов, это больше не является обязательным требованием. Новый брандмауэр ISA поддерживает соединения SecureNAT клиента к Интернету через тот же брандмауэр ISA, к которому соединяются VPN клиенты.

Разрешение о доступе к интернет

Я вам покажу, как повысить безопасность для ваших VPN клиентских соединений использованием конфигураций клиентов Брандмауэра и Web-прокси в будущей статье. В этой статье я покажу вам как легко сделать VPN клиентов из скромных клиентов SecureNAT, соединенных с Интернетом через тот же брандмауэр ISA, с которым они установили VPN связь, и без требований нарушить вашу VPN безопасность запрещением установки use default gateway on remote network (использовать шлюз по умолчанию на удаленной сети).

Вам следует сделать следующее:

  • Разрешить и настроить VPN Сервер брандмауэра ISA
  • Создать Сетевое Правило, соединяющее Сеть VPN Клиентов с Внешней Сетью
  • Создать Правило Доступа, позволяющее членам Сети VPN Клиентов доступ в Интернет
  • Настроить программное обеспечение VPN клиентов для подключения к брандмауэру ISA
  • Выполнить подключение

Разрешение и Настройка VPN Сервера Брандмауэра ISA

Первый шаг — это разрешение VPN Сервера на брандмауэре ISA. Поскольку включение компонента VPN сервера очень просто, подвох может быть в мелочах. Я не хочу вдаваться в подробности лабиринта компонента VPN сервера брандмауэра ISA в этой статье. Однако, здесь есть одна загадка, которую стоит рассмотреть здесь, и это — проблема присвоения адресов.

Обычно мы имеем две возможности для присвоения адресов в ISA Server 2004 SE:

  • DHCP
  • Статическое множество адресов

Я предпочитаю использовать DHCP, потому что это позволяет вам присваивать VPN клиентам подсетевые адреса без генерации ошибок в log’ах брандмауэра ISA. Если вы используете статическое множество адресов, которое включает подсетевые адреса, то вам необходимо удалить эти адреса из определения любой Сети брандмауэра ISA, которая может уже использовать эти адреса.

Например, допустим ваша Internet Network (Интернет Сеть) по умолчанию (заглавные «I» и «N») использует адресное пространство 192.168.1.0-192.168.1.255. Вы хотите раздать VPN клиентам адреса, используя Статическое адресное пространство в диапазоне 192.168.1.50-192.168.1.80. Чтобы это сделать вам требуется удалить адресный диапазон 192.168.1.50-192.168.1.80 из определения Internal Network по умолчанию.

ВНИМЕНИЕ:
Сети брандмауэра ISA представляют собой набором IP-адресов, доступных из определенного интерфейса. Сеть брандмауэра ISA — это Сетевой Объект в интерфейсе конфигурации брандмауэра ISA. Когда мы говорим об обычных сетях или сетях вообще, мы используем строчную букву «n». Когда ссылаемся на Network Objects (Сетевые объекты) брандмауэра ISA, то мы используем заглавную букву «N».

В этом примере мы примем, что мы используем DHCP для раздачи адресов VPN клиентам. Выполните следующие шаги для включения VPN серверного компонента брандмауэра ISA:

  1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2004, раскройте узел с именем сервера и затем щелкните на узле Virtual Private Networks (VPN) (Виртуальные Личные Сети).
  2. На Панели Задач нажмите вкладку Tasks (Задачи) и затем щелкните ссылку Enable VPN Client Access (Разрешить Доступ VPN Клиентам).
  3. Нажмите OK в диалоговом окне Apply New Configuration (Применить Новую Конфигурацию).
  4. Перегрузите устройство брандмауэра ISA.

Это все! Настройки по умолчанию используют DHCP для раздачи адресов VPN клиентам, поэтому вам нет необходимости что-либо изменять здесь. Другие установки по умолчанию, о которых вы должны знать (Я допускаю, что вы присоединили брандмауэр ISA к домену, так как это более безопасная и гибкая конфигурация):

  • Разрешено пять соединений VPN клиентов
  • Все пользователи, которые имеют свои настройки дозвона, настроены на разрешение установки соединения удаленного VPN доступа к брандмауэру ISA
  • PPTP и L2TP/IPSec являются допустимыми VPN протоколами
  • VPN соединения разрешены только из host’ов, расположенных на default External Network (Внешняя Сеть по умолчанию) (Заглавные буквы «E» и «N»)
  • Распределение адресов производится через DHCP и DHCP сервер считается расположенным на default Internal Network (Внутренней Сети по умолчанию)
  • Пользователи будут использовать MS-CHAPv2 для их PPP протокола авторизации пользователей.
  • Сетевое Правило определяет Маршрутное отношение между Сетью VPN Клиентов и Internal Network (Внутренней Сетью)

Как вы можете видеть, мы должны добавить Сетевое Правило, которое соединит Сеть VPN Клиентов с Интернетом. Это следующий шаг.

Создание Сетевого Правила, Соединяющего Сеть VPN Клиентов с Default External Network (Внешней Сетью по умолчанию)

Брандмауэр ISA использует Сетевые Правила для соединения Сетей брандмауэра ISA между собой. Если нет Сетевого Правила, соединяющего Сети брандмауэра ISA, то никакой трафик не допустим между этими двумя сетями. Сетевые правила могут соединять Сети брандмауэра ISA двумя способами:

  • NAT
  • Route (Маршрут)

Так как будет лучше, если вы не собираетесь давать VPN клиентам публичные адреса, то вам следует создавать Сетевое Правило, соединяющее Сеть VPN Клиента с default External Network (Внешней Сетью по умолчанию), используя NAT.

Выполните следующие шаги для соединения Сети VPN Клиентов с default External Network, используя NAT:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте узел с именем сервера и затем раскройте узел Configuration (Конфигурация) на левой части консоли.
  2. Щелкните узел Networks (Сети). В узле Networks щелкните вкладку Network Rules (Сетевые Правила) на панели детализации.
  3. Щелкните вкладку Tasks (Задачи) в Панели Задач и нажмите ссылку Create a New Network Rule (Создать Новое Сетевое Правило).
  4. На странице Welcome to the New Network Rule Wizard (Добро пожаловать в Мастер Нового Сетевого Правила) введите имя для Сетевого Правила в поле Network rule name (Имя сетевого правила). В этом примере мы будет использовать VPN Clients Network to Internet, и нажмите Next (Далее).
  5. На странице Network Traffic Sources (Источник сетевого Трафика) нажмите Add (Добавить). В диалоговом окне Add Network Entities (Добавление сетевых объектов) щелкните папку Networks (Сети) и затем дважды щелкните элемент VPN Clients (VPN клиенты). Нажмите Close (Закрыть).
  6. Нажмите Next на странице Network Traffic Sources (Источник Сетевого Трафика)

    Разрешение на интернет

  7. На странице Network Traffic Destinations (Получатели Сетевого Трафика) нажмите Add (Добавить). В диалоговом окне Add Network Entities (Добавление Сетевых Объектов) щелкните папку Networks (Сети) и затем выполните двойной щелчок на элементе External (Внешний). Нажмите Close (Закрыть).
  8. Нажмите Next на странице Network Traffic Destinations.
  9. На странице Network Relationship (Сетевое отношение) выберете опцию Network Address Translation (NAT) (Трансляция Сетевого Адреса) и нажмите Next.

    Разрешение на интернет

  10. Нажмите Finish (Финиш) на странице Completing the New Network Rule Wizard (Завершение Мастера Нового Сетевого Правила).

Создание Правила Доступа, Позволяющего Членам Сети VPN Клиентов Доступ в Интернет

Теперь, когда Сеть VPN Клиентов подключена к default External Network, мы можем создать Правило Доступа, которое позволит VPN клиентам доступ к ресурсам в Интернете. Так как мы работаем здесь с конфигурацией клиентов SecureNAT, то есть некоторые ограничения. Они включают:

  • Клиенты SecureNAT не поддерживают сложные протоколы без помощи фильтров приложений. Если нет фильтра приложения, вам требуется клиент Брандмауэра
  • Приложения клиентов VPN, используемые для доступа в Интернет, не фиксируются в log’ах брандмауэра ISA
  • Снижение безопасности, потому что вы не можете контролировать доступ, основанный на приложениях, используемых компьютером VPN клиента

Вы можете достигнуть уровня управления доступом, основанного на принципе пользователь/группа, так как соединения могут контролироваться на основе полномочий, используемых при входе в VPN серверный компонент.

В этом примере мы разрешим доступ только по протоколу HTTP. Мы не будем разрешать доступ по протоколу HTTPS (SSL), потому что исходящие SSL соединения не могут быть защищены механизмами stateful application layer inspection (инспекции уровня приложений с контролем состояния соединения) брандмауэра ISA, потому что информация скрыта в SSL тоннеле. В будущем вы можете захотеть позволить SSL соединения к определенному множеству высоконадежных сайтов, но вы никогда не должны позволять SSL доступ ко всем сайтам. Делая так, вы делаете брандмауэр ISA также не защищенным, как и обычный брандмауэр с stateful packet inspection (инспекция пакетов с учетом состояния соединения).

Выполните следующие шаги для создания Правила Доступа:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 откройте узел с именем сервера и затем щелкните на узеле Firewall Policy (Политика Брандмауэра).
  2. На узле Firewall Policy щелкните вкладку Tasks (Задачи) на Панели Задач и затем щелкните ссылку Create New Access Rule (Создать Новое Правило Доступа).
  3. На странице Welcome to the New Access Rule Wizard (Добро пожаловать в Мастер Нового Правила Доступа) введите имя для правила в поле Access Rule name (Имя Правила Доступа). В этом примере мы назовем это правило VPN Clients to Internet. Нажмите Next (Далее).
  4. На странице Rule Action (Действие правила) выберете опцию Allow (Разрешить) и нажмите Next.
  5. На странице Protocols (Протоколы) выберете опцию Selected protocols (Выбранные протоколы) из списка This rule applies to (Это правило применяется к). Нажмите Add (Добавить).
  6. В диалоговом окне Add Protocols (Добавить протокол) щелкните папку Common Protocols (Основные протоколы) и затем дважды щелкните протокол HTTP. Нажмите Close (Закрыть).

    Разрешение доступ интернета server 2008

  7. Нажмите Next на странице Protocols (Протоколы).
  8. На странице Access Rule Sources (Источники Правила Доступа) нажмите кнопку Add. В диалоговом окне Add Network Entities (Добавить Сетевой Объект) щелкните папку Networks (Сети) и затем дважды щелкните элемент VPN Clients (VPN Клиенты). Нажмите Close.
  9. Нажмите Next на странице Access Rule Sources.
  10. На странице Access Rule Destinations (Получатели Правила Доступа) нажмите кнопку Add. В диалоговом окне Add Network Entities щелкните папку Networks (Сети) и затем дважды щелкните элемент External (Внешний). Нажмите Close.
  11. Нажмите Next на странице Access Rule Destinations.
  12. На странице User Sets (Множества Пользователей) примите значение по умолчанию, All Users (Все пользователи), и нажмите Next.
  13. Нажмите Finish (Финиш) на странице Completing the New Access Rule Wizard (Завершение Мастера Нового Правила Доступа).
  14. Нажмите Apply (Применить) для сохранения изменений и обновления политики брандмауэра.

    Раздача интернета по vpn

  15. Нажмите OK в диалоговом окне Apply New Configuration (Применить Новую Конфигурацию).

Конфигурирование Программного обеспечения VPN Клиента для Соединения к Брандмауэру ISA

Конфигурирование программного обеспечения VPN клиента будет зависеть от версии Windows, на которой вы работаете. Почти все версии Windows, используемые на сегодняшний день, включают VPN клиента, который позволяет PPTP и L2TP/IPSec соединения. В этом примере мы не будем настраивать брандмауэр ISA для использования соединений L2TP/IPSec, поэтому мы должны использовать PPTP.

Только краткое замечание по PPTP соединениям. В прошлом я был большим сторонником PPTP и полагал, что он обеспечивает разумный уровень безопасности для большинства организаций. Я все еще думаю, что PPTP является жизнеспособным VPN протоколом. Однако, я более не использую PPTP, кроме случаев, когда я использую очень сложные пароли (такие, как 21+ символьные комбинации заглавных и строчных букв, цифр и не буквенно-цифровых символов).

Причина этого в том, что новая rainbow-табличная технология взлома может сделать сокращенные NTLM хэши для простых паролей (14 символов или менее). В действительности, для сетей, которыми я управляю, я требую авторизацию пользовательскими сертификатами или другими методами EAP пользовательской авторизации, потому что это только вопрос времени и мощности, когда NTLM авторизация станет полностью незащищена в неуправляемых сетях (например, беспроводная LAN в аэропортах).

Когда настраивается VPN клиентское программное обеспечение, вы можете использовать IP-адрес или FQDN в качестве адреса назначения. Я предпочитаю использовать FQDN, так как IP-адрес VPN серверов будет меняться время от времени и намного проще сделать обновление DNS сервера, чем переконфигурировать сотни VPN клиентов.

Раздача интернета по vpn

Выполнение Соединения

Теперь давайте выполним соединение и посмотрим, что произойдет. Запустите подключение VPN клиента к брандмауэру ISA. В этом примере мы соединимся, используя учетную запись локального администратора на брандмауэре ISA для входа посредством VPN связи. Убедитесь, что учетная запись, которую вы используете для входа на VPN брандмауэра ISA, имеет разрешения наборного доступа.

После установления VPN клиентом соединения к брандмауэру ISA, откройте консоль управления Microsoft Internet Security and Acceleration Server 2004 и щелкните на узле Monitoring (Мониторинг), затем щелкните на вкладке Sessions (Сессии). Вы увидите, что VPN клиент попал в оба списка, как клиент SecureNAT и как VPN Клиент. IP-адрес, связанный с VPN клиентом, появится на вкладке Client IP (Клиентский IP), а реальный IP-адрес компьютера VPN клиента укажется в колонке Client Host Name (Host-имя клиента).

Программный vpn сервер

Затем вы можете перейти к монитору log’а реального времени брандмауэра ISA и фильтровать соединения от Сети VPN Клиентов. Используйте Web-browser на VPN клиенте для посещения некоторых сайтов. Вы увидите, что соединения появляются в мониторе log’а в реальном времени.

Заметьте, что даже хотя мы не требовали авторизацию в этом правиле, имя пользователя все же появляется в этих log’ах. Прекрасно! Это одна из специальных возможностей соединений VPN клиентов — имя пользователя фиксируется брандмауэром ISA, даже когда компьютер VPN клиента не настроен как Web-прокси или Брандмауэрный клиент.

Правила vpn подключений через isa для

Однако, цветение розы немного не полное, так как вы будете видеть только имя пользователя от вошедшего на VPN пользователя при Web-прокси фильтрации промежуточных соединений.

Заключение

В этой статье мы продемонстрировали, как клиенты удаленного VPN доступа могут получить доступ в Интернет через тот же брандмауэр ISA, к которому они установили VPN связь. Это является противоположностью по сравнению с брандмауэром ISA Server 2000, где клиенты удаленного доступа VPN должны были быть сконфигурированы как Брандмауэрные и/или Web-прокси клиенты для получения доступа к Интернету через этот же брандмауэр ISA, с которым они установили VPN связь. Мы также рассмотрели дополнительные преимущества от регистрации пользовательских имен подключившихся VPN пользователей, когда они выполняют соединения к Интернет-ресурсам (хотя это проявляется только в случае с Web-прокси фильтрацией промежуточных соединений).

www.isaserver.org




Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Один комментарий)

  1. Алексей:

    Если это заработает..то я скопирую и вставлю в рамочку




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]