Проблематичная ситуация с брандмауэром ISA Server 2000 возникает, когда VPN клиент, подключенный к брандмауэру ISA Server 2000, не может соединиться с Интернетом, используя свою клиентскую конфигурацию SecureNAT по умолчанию.
Причина этого в том, что пока VPN клиент не сконфигурирован, как клиент Web-прокси или Брандмауэрный клиент брандмауэра ISA Server 2000, с которым он установил VPN связь, клиент VPN не будет способен иметь доступ к Интернету, используя свое SecureNAT клиентское соединение к ISA Server 2000 брандмауэру/VPN серверу (когда не настроен как Брандмауэрный или Web-прокси клиент ISA Server 2000 брандмауэра/VPN сервера, он по умолчанию является клиентом SecureNAT).
Это создает потенциальную проблему в безопасности, потому что многие администраторы брандмауэра ISA Server 2000 пытаются обойти это ограничение разрешением раздельного туннелирования для VPN клиентов. Установкой по умолчанию Windows VPN клиентского программного обеспечения является use default gateway on remote network (использовать шлюз по умолчанию на удаленной сети). Это подразумевает, что соединения к любой не локальной сети будут автоматически перенаправлены через VPN-интерфейс.
ПРЕДУПРЕЖДЕНИЕ:
Не позволяйте раздельное туннелирование. Никогда не разрешайте раздельное туннелирование. Вы подвергаете себя и свою сеть неоправданному риску, когда разрешаете раздельное туннелирование, поэтому никогда не разрешайте раздельное туннелирование для ваших VPN клиентов. Понимаете? Не говорите, что вас не предупреждали.
Так как Интернет не является локальной сетью, весь трафик в Интернет пересылается через VPN соединение и попытки соединений будут неудачны, потому что брандмауэр ISA Server 2000 не позволяет VPN клиентам SecureNAT клиентское соединение к «loop back» (возврат назад) через брандмауэр ISA Server 2000, которое клиент установил с помощью VPN связи.
Для компаний, которые пользовались моей помощью в этой проблеме, я конфигурировал их клиентов как Брандмауэрных и Web-прокси клиентов брандмауэра ISA Server 2000, к которому подключаются VPN клиенты. Конфигурации Брандмауэрных и Web-прокси клиентов были настроены на использование IP-адреса на внутреннем интерфейсе брандмауэра ISA Server 2000, и автоопределяемые wpad элементы были настроены в DNS на поддержку этой установки.
Это прекрасно работает и мы также получили пользу от повышенной безопасности, обеспеченной конфигурациями клиентов Брандмауэра и Web-прокси. С другой стороны стало то, что есть некоторые административные накладные расходы, и пользователи должны учиться запрещать Брандмауэрного клиента в определенных случаях, а затем снова разрешать его, когда VPN связь будет установлена.
Что было потом.
С новым брандмауэром ISA (ISA Server 2004), нам нет необходимости беспокоиться об этих проблемах. Пока я все еще рекомендую, чтобы мои клиенты всегда использовали конфигурации клиентов Брандмауэра или Web-прокси для VPN клиентов, это больше не является обязательным требованием. Новый брандмауэр ISA поддерживает соединения SecureNAT клиента к Интернету через тот же брандмауэр ISA, к которому соединяются VPN клиенты.
Я вам покажу, как повысить безопасность для ваших VPN клиентских соединений использованием конфигураций клиентов Брандмауэра и Web-прокси в будущей статье. В этой статье я покажу вам как легко сделать VPN клиентов из скромных клиентов SecureNAT, соединенных с Интернетом через тот же брандмауэр ISA, с которым они установили VPN связь, и без требований нарушить вашу VPN безопасность запрещением установки use default gateway on remote network (использовать шлюз по умолчанию на удаленной сети).
Вам следует сделать следующее:
Первый шаг — это разрешение VPN Сервера на брандмауэре ISA. Поскольку включение компонента VPN сервера очень просто, подвох может быть в мелочах. Я не хочу вдаваться в подробности лабиринта компонента VPN сервера брандмауэра ISA в этой статье. Однако, здесь есть одна загадка, которую стоит рассмотреть здесь, и это — проблема присвоения адресов.
Обычно мы имеем две возможности для присвоения адресов в ISA Server 2004 SE:
Я предпочитаю использовать DHCP, потому что это позволяет вам присваивать VPN клиентам подсетевые адреса без генерации ошибок в log’ах брандмауэра ISA. Если вы используете статическое множество адресов, которое включает подсетевые адреса, то вам необходимо удалить эти адреса из определения любой Сети брандмауэра ISA, которая может уже использовать эти адреса.
Например, допустим ваша Internet Network (Интернет Сеть) по умолчанию (заглавные «I» и «N») использует адресное пространство 192.168.1.0-192.168.1.255. Вы хотите раздать VPN клиентам адреса, используя Статическое адресное пространство в диапазоне 192.168.1.50-192.168.1.80. Чтобы это сделать вам требуется удалить адресный диапазон 192.168.1.50-192.168.1.80 из определения Internal Network по умолчанию.
ВНИМЕНИЕ:
Сети брандмауэра ISA представляют собой набором IP-адресов, доступных из определенного интерфейса. Сеть брандмауэра ISA — это Сетевой Объект в интерфейсе конфигурации брандмауэра ISA. Когда мы говорим об обычных сетях или сетях вообще, мы используем строчную букву «n». Когда ссылаемся на Network Objects (Сетевые объекты) брандмауэра ISA, то мы используем заглавную букву «N».
В этом примере мы примем, что мы используем DHCP для раздачи адресов VPN клиентам. Выполните следующие шаги для включения VPN серверного компонента брандмауэра ISA:
Это все! Настройки по умолчанию используют DHCP для раздачи адресов VPN клиентам, поэтому вам нет необходимости что-либо изменять здесь. Другие установки по умолчанию, о которых вы должны знать (Я допускаю, что вы присоединили брандмауэр ISA к домену, так как это более безопасная и гибкая конфигурация):
Как вы можете видеть, мы должны добавить Сетевое Правило, которое соединит Сеть VPN Клиентов с Интернетом. Это следующий шаг.
Брандмауэр ISA использует Сетевые Правила для соединения Сетей брандмауэра ISA между собой. Если нет Сетевого Правила, соединяющего Сети брандмауэра ISA, то никакой трафик не допустим между этими двумя сетями. Сетевые правила могут соединять Сети брандмауэра ISA двумя способами:
Так как будет лучше, если вы не собираетесь давать VPN клиентам публичные адреса, то вам следует создавать Сетевое Правило, соединяющее Сеть VPN Клиента с default External Network (Внешней Сетью по умолчанию), используя NAT.
Выполните следующие шаги для соединения Сети VPN Клиентов с default External Network, используя NAT:
Теперь, когда Сеть VPN Клиентов подключена к default External Network, мы можем создать Правило Доступа, которое позволит VPN клиентам доступ к ресурсам в Интернете. Так как мы работаем здесь с конфигурацией клиентов SecureNAT, то есть некоторые ограничения. Они включают:
Вы можете достигнуть уровня управления доступом, основанного на принципе пользователь/группа, так как соединения могут контролироваться на основе полномочий, используемых при входе в VPN серверный компонент.
В этом примере мы разрешим доступ только по протоколу HTTP. Мы не будем разрешать доступ по протоколу HTTPS (SSL), потому что исходящие SSL соединения не могут быть защищены механизмами stateful application layer inspection (инспекции уровня приложений с контролем состояния соединения) брандмауэра ISA, потому что информация скрыта в SSL тоннеле. В будущем вы можете захотеть позволить SSL соединения к определенному множеству высоконадежных сайтов, но вы никогда не должны позволять SSL доступ ко всем сайтам. Делая так, вы делаете брандмауэр ISA также не защищенным, как и обычный брандмауэр с stateful packet inspection (инспекция пакетов с учетом состояния соединения).
Выполните следующие шаги для создания Правила Доступа:
Конфигурирование программного обеспечения VPN клиента будет зависеть от версии Windows, на которой вы работаете. Почти все версии Windows, используемые на сегодняшний день, включают VPN клиента, который позволяет PPTP и L2TP/IPSec соединения. В этом примере мы не будем настраивать брандмауэр ISA для использования соединений L2TP/IPSec, поэтому мы должны использовать PPTP.
Только краткое замечание по PPTP соединениям. В прошлом я был большим сторонником PPTP и полагал, что он обеспечивает разумный уровень безопасности для большинства организаций. Я все еще думаю, что PPTP является жизнеспособным VPN протоколом. Однако, я более не использую PPTP, кроме случаев, когда я использую очень сложные пароли (такие, как 21+ символьные комбинации заглавных и строчных букв, цифр и не буквенно-цифровых символов).
Причина этого в том, что новая rainbow-табличная технология взлома может сделать сокращенные NTLM хэши для простых паролей (14 символов или менее). В действительности, для сетей, которыми я управляю, я требую авторизацию пользовательскими сертификатами или другими методами EAP пользовательской авторизации, потому что это только вопрос времени и мощности, когда NTLM авторизация станет полностью незащищена в неуправляемых сетях (например, беспроводная LAN в аэропортах).
Когда настраивается VPN клиентское программное обеспечение, вы можете использовать IP-адрес или FQDN в качестве адреса назначения. Я предпочитаю использовать FQDN, так как IP-адрес VPN серверов будет меняться время от времени и намного проще сделать обновление DNS сервера, чем переконфигурировать сотни VPN клиентов.
Выполнение Соединения
Теперь давайте выполним соединение и посмотрим, что произойдет. Запустите подключение VPN клиента к брандмауэру ISA. В этом примере мы соединимся, используя учетную запись локального администратора на брандмауэре ISA для входа посредством VPN связи. Убедитесь, что учетная запись, которую вы используете для входа на VPN брандмауэра ISA, имеет разрешения наборного доступа.
После установления VPN клиентом соединения к брандмауэру ISA, откройте консоль управления Microsoft Internet Security and Acceleration Server 2004 и щелкните на узле Monitoring (Мониторинг), затем щелкните на вкладке Sessions (Сессии). Вы увидите, что VPN клиент попал в оба списка, как клиент SecureNAT и как VPN Клиент. IP-адрес, связанный с VPN клиентом, появится на вкладке Client IP (Клиентский IP), а реальный IP-адрес компьютера VPN клиента укажется в колонке Client Host Name (Host-имя клиента).
Затем вы можете перейти к монитору log’а реального времени брандмауэра ISA и фильтровать соединения от Сети VPN Клиентов. Используйте Web-browser на VPN клиенте для посещения некоторых сайтов. Вы увидите, что соединения появляются в мониторе log’а в реальном времени.
Заметьте, что даже хотя мы не требовали авторизацию в этом правиле, имя пользователя все же появляется в этих log’ах. Прекрасно! Это одна из специальных возможностей соединений VPN клиентов — имя пользователя фиксируется брандмауэром ISA, даже когда компьютер VPN клиента не настроен как Web-прокси или Брандмауэрный клиент.
Однако, цветение розы немного не полное, так как вы будете видеть только имя пользователя от вошедшего на VPN пользователя при Web-прокси фильтрации промежуточных соединений.
В этой статье мы продемонстрировали, как клиенты удаленного VPN доступа могут получить доступ в Интернет через тот же брандмауэр ISA, к которому они установили VPN связь. Это является противоположностью по сравнению с брандмауэром ISA Server 2000, где клиенты удаленного доступа VPN должны были быть сконфигурированы как Брандмауэрные и/или Web-прокси клиенты для получения доступа к Интернету через этот же брандмауэр ISA, с которым они установили VPN связь. Мы также рассмотрели дополнительные преимущества от регистрации пользовательских имен подключившихся VPN пользователей, когда они выполняют соединения к Интернет-ресурсам (хотя это проявляется только в случае с Web-прокси фильтрацией промежуточных соединений).
www.isaserver.org
Tags: accel, dns, ISA Server, l2tp, monitoring, nat, ppp, traffic, vpn
Если это заработает..то я скопирую и вставлю в рамочку