В настоящее время существует два типа пользовательских VPN:
SSL VPN и IPSec VPN и каждая из них имеет свои преимущества и недостатки.

Основное преимущество SSL VPN есть простота его внедрения: все браузеры поддерживают SSL, все провайдеры пропускают и не ограничивают SSL.
Некоторые виды доступа через SSL VPN можно осуществить буквально любым браузером и на любой платформе.

IPSec VPN считается более безопасным протоколом.

SSL и TLS

Очень часто в технической литературе можно встретить понятия SSL и TLS.

Оба протокола являются cryptographic protocols , обеспечивающие безопасную передачу данных поверх интернет(e-mail, web browsing, instant messaging).
Протоколы обеспечивают confidentiality, integrity, authentication services.
SSL и TLS работают на уровне Session Layer модели OSI или выше.
Протоколы могут использовать public key infrastructure (PKI) а также сертификаты для аутентификации и передачи друг другу симметричных ключей.
Также как и IPSec для шифрования данных они используют симметричные ключи.

Большинство безопасных передач на браузере производятся через SSL или TLS.
Изначально появился SSL, его разработала компания Netscape.
TLS является дальнейшим развитием SSL, а также стандартом, разработанным Internet Engineering Task Force (IETF) .
Например TLS 1.0 основан на SSL3.0.
Что конкретно использовать SSL или TLS решают сами браузеры: предпочтителен TLS но возможно переключение и на SSL.

Таким образом, важно понимать, что используя термин SSL мы подразумеваем SSL или TLS.
К примеру Cisco SSL VPN реально использует TLS.

Операции SSL

Итак, SSL используется в большинстве онлайновых сервисах, требующих безопасности.
Давайте рассмотрим пошагово, что происходит когда клиент подключается к банковскому серверу, использующему SSL:

• Клиент инициализирует подключение к серверу на его IP адрес и порт 443. В качестве источника используется соответственно IP клиента и порт выше чем 1023
• Происходит стандартный процесс TCP подключения, использующий three-way handshake
• Клиент запращивает подключение по SSL и сервер отвечает высылая свой digital certificate, который содержит public key этого сервера.
• Получив сертификат, клиент должен решить: доверять этому сертификату или нет.
  Здесь начинают работать механизмы PKI.
  Если digital certificate подписан CA, которой клиент доверяет + сертификат валидный по дате + серийник сертификата не числится в certificate revocation list (CRL) - клиент может доверять сертификату и использовать public key этого сертификата.
• Клиент генерирует симметричный ключ shared secret , который будет использоваться для шифрования данных между клиентом и сервером. Далее клиент шифрует shared secret с использованием public key и передает это серверу.
• Сервер, используя свой private key , расшифровывает полученный симметричный ключ shared secret .
• Обе стороны теперь знают shared secret и могут шифровать SSL Session.

Типы SSL VPN

SSL VPN можно разделить на два вида:

• Clientless SSL VPN - также называется Web VPN . Не требует установки клиента. Ограниченные возможности.
• Full Cisco AnyConnect Secure Mobility Client SSL VPN Client - полноценный SSL клиент, требующий установки на клиента ПО, обеспечивающее полноценный доступ к корпоративной сети

Настройка SSL VPN

1. Копируем файл Anyconnect PKG.
   В нашем случае это anyconnect-win-3.1.08009-k9.pkg
2. Указываем на файл pkg, и включаем сервис Webvpn Anyconnect service.
   

   webvpn anyconnect image disk0:/anyconnect-win-3.1.08009-k9.pkg 1 enable outside2 anyconnect enable

3. Исключаем (exempt) трафик SSL WebVPN от проверок на outside interface ACL . Нам нужно либо сделать в ACL правила permit, либо использовать команду:
   

   msk-asa-01(config)# sysopt connection permit-vpn

4. Для удобства настроим перенаправление с 80 на 443:
   

   http redirect outside2 80

5. Создадим IP address pool . Эти адреса будут выдаваться удалённым пользователям.
   

   ip local pool vpnpool_pool 192.168.93.10-192.168.93.254 mask 255.255.255.0

6. Создаём NAT exemption для трафика между LAN Network и сетью vpnpool. Мы делаем данное исключение, поскольку шифрованный трафик не должен проходить через NAT. Данный шаг необходим в случае если на ASA настроен этот NAT.
   object network vpnpool_obj

   object network vpnpool_obj subnet 192.168.92.0 255.255.255.0 object-group network RFC1918_objg network-object 192.168.0.0 255.255.0.0 network-object 172.16.0.0 255.240.0.0 network-object 10.0.0.0 255.0.0.0 nat (inside,outside) source static RFC1918_objg RFC1918_objg destination static vpnpool_obj vpnpool_obj no-proxy-arp route-lookup

7. Создаём Split-Tunnel ACL, данная настройка позволит пользователям при подключении по VPN одновременно пользоваться интернетом. Без этой настройки в туннель будет заворачиваться весь трафик.
   

   access-list split-tunnel_acl standard permit 192.168.10.0 255.255.255.0

   Данная настройка будет заворачивать в туннель только трафик в сети той же RFC1918.

8. Создаём Group Policy .
   Мы можем создать несколько Group Policy, и в каждой настроить сетевые атрибуты типа DNS server addresses, split-tunneling settings, default domain, протокол(SSL или IPSec) и т.д.

   group-policy anyconnect_gp internal group-policy anyconnect_gp attributes dns-server value 192.168.10.5 vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel_acl webvpn anyconnect keep-installer installed anyconnect dpd-interval client 20 anyconnect ask none default anyconnect

9. Создадим Tunnel Group .
   Tunnel Group в интерфейсе ASDM называется как Connection Profile.
   Tunnel Group должна в себя включать только что нами настроенную Group Policy и объединяет её с IP address pool.
   Мы можем создать несколько таких групп, а пользователь при логине может выбрать для себя нужную Tunnel Group со всеми нужными характеристиками: наследуемые параметры из Group Policy + address-pool

   tunnel-group vpn-users_tg type remote-access tunnel-group vpn-users_tg general-attributes address-pool vpnpool_pool default-group-policy anyconnect_gp tunnel-group vpn-users_tg webvpn-attributes group-alias vpn_users-alias enable webvpn tunnel-group-list enable

   Последняя команда позволяет пользователям выбирать для себя tunnel-group.
   Для пользователей данная группа будет выглядеть с именем "vpn_users-alias"

Anyconnect уже должно заработать, - можно заходить под админской учёткой.

Мониторинг SSL VPN

• ASDM: Monitoring > VPN > VPN Statistics > Sessions
• Из CLI:
  

  vpn# show uauth Current Most Seen Authenticated Users 1 1 Authen In Progress 0 0 remote access VPN user "vpn_video_user1" at 192.168.92.25, authenticated access-list #ACSACL#-IP-video_dacl-54ddc357 (*)

  vpn# show access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list split-tunnel_acl; 1 elements; name hash: 0xb6fb0e access-list split-tunnel_acl line 1 standard permit 192.168.10.0 255.255.255.0 (hitcnt=0) 0x13482529 access-list #ACSACL#-IP-video_dacl-54ddc357; 1 elements; name hash: 0x6c7d7b7f (dynamic) access-list #ACSACL#-IP-video_dacl-54ddc357 line 1 extended permit ip any4 host 192.168.10.45 (hitcnt=0) 0x4ce5deb8

  Смотрим кто залогинен

  show vpn-sessiond summary

  show vpn-sessiond anyconnect

  Выкинуть юзера из впн:

  vpn-sessiondb logoff name langemakj

Удаленный доступ (Remote Access) на сегодняшний день очень важен. С ростом числа людей, нуждающихся в доступе к информации, хранящейся на домашних и рабочих компьютерах, возможность получать такой доступ из любой точки стала решающей. Прошли те дни, когда люди говорили: «я отправлю вам эту информацию, как только доберусь до своего компьютера». Вам нужна эта информация немедленно, если вы хотите достойно конкурировать в сегодняшнем деловом мире.

В каменном веке компьютеризации способом получения удаленного доступа к своему компьютеру было использование dial-up соединения. RAS dial-up соединения работали через обычные POTS (Простая старая телефонная служба - Plain Old Telephone Service) линии при скорости передачи данных примерно до 56kbps. Скорость была основной проблемой таких соединений, но еще более серьезной проблемой была цена соединения, когда получение доступа требовало больших расстояний.

С ростом популярности сети Интернет, соединения RAS стали использоваться все реже. Причиной этого стало появление соединений по VPN (виртуальная частная сеть). Соединения VPN обеспечивали такую же подключаемость точек между собой, как и соединения dial-up RAS, но делали это быстрее и дешевле, поскольку скорость VPN соединения может быть одинаковой со скоростью подключения к Интернет, а стоимость соединения не зависит от расположения места назначения. Единственное, за что приходится платить, это подключение к Интернет.

Виртуальные частные сети (Virtual Private Networking)

Соединение VPN позволяет компьютеру создавать виртуальное и частное подключение к сети через Интернет. Соединение виртуальное , потому что когда компьютер создает VPN подключение через Интернет, то создающий это подключение компьютер выполняет функцию узла, напрямую подключенного к сети, как если бы он был соединен с сетью посредством кабеля локальных сетей Ethernet. Пользователь имеет такой же доступ к ресурсам, какой он имел бы при прямом подключении к сети с помощью кабеля. Однако в случае VPN подключения клиента к VPN серверу соединение виртуально , поскольку нет действительного подключения Ethernet с местом назначения. VPN соединение частное , поскольку содержание потока данных внутри этого соединения зашифровано , поэтому никто в Интернет не может перехватить и прочесть данные, передаваемые посредством VPN соединения.

Серверы Windows Servers и клиенты поддерживали VPN соединения со времен Windows NT и Windows 95. Хотя клиенты и серверы Windows поддерживают VPN соединения на протяжении десятилетия, тип поддержки VPN эволюционировал со временем. Windows Vista Service Pack 1 и Windows Server 2008 на сегодняшний день поддерживают три типа VPN соединений. Это следующие типы:

• L2TP/IPSec

PPTP - это туннельный протокол от точки к точке. PPTP - это самый простой способ создания VPN соединения, но, к сожалению, он и наименее безопасен. Причина, по которой этот тип наименее безопасный, заключается в том, что мандаты пользователя передаются по небезопасному каналу. Говоря другими словами, шифрование VPN соединения начинается после того , как мандаты были переданы. Хотя действительная информация мандатов не передается между клиентами и серверами VPN, переданные значения хэш-функции могут использоваться опытными хакерами для получения доступа к VPN серверам и подключения к корпоративной сети.

Более надежным является VPN протокол L2TP/IPSec. L2TP/IPSec был совместно разработан компаниями Microsoft и Cisco. L2TP/IPSec более безопасен чем PPTP, поскольку безопасная сессия IPSec создается до того, как мандаты пересылаются по проводам. Хакеры не могут получить доступ к мандатам, а, следовательно, не смогут украсть их, чтобы впоследствии использовать. Более того, IPSec обеспечивает взаимную аутентификацию машин, поэтому неизвестные машины не смогут соединиться с каналом L2TP/IPSec VPN. IPSec обеспечивает взаимную аутентификацию, целостность данных, конфиденциальность и невозможность отказа от авторства. L2TP поддерживает PPP и EAP механизмы аутентификации пользователей, которые обеспечивают высокую безопасность входа, поскольку требуется аутентификация как машины, так и пользователя.

Windows Vista SP1 и Windows Server 2008 на сегодняшний день поддерживают новый тип VPN протокола " Secure Socket Tunneling Protocol или SSTP. SSTP использует зашифрованные в SSL HTTP соединения, чтобы создавать VPN подключения к VPN шлюзам. SSTP безопасен, так как мандаты пользователя не передаются до тех пор, пока безопасный туннель SSL для соединения с VPN шлюзом не будет открыт. SSTP также известен как PPP через SSL, это означает, что вы можете использовать PPP и EAP механизмы аутентификации, чтобы сделать ваше SSTP соединение более безопасным.

Приватный не значит безопасный

Следует отметить, что VPN соединения скорее частные, чем безопасные. Хотя я и признаю, что приватность является основным компонентом безопасности коммуникаций, однако сама по себе не обеспечивает этой безопасности. Технологии VPN обеспечивают частный компонент при соединении через Интернет, который не позволяет посторонним лицам читать содержимое вашей коммуникации. Технологии VPN также позволяют вам быть уверенными в том, что только авторизированные пользователи могут подключаться к данной сети через шлюз VPN. Однако частный компонент, аутентификация и авторизация не обеспечивают всеобъемлющей безопасности.

Допустим, у вас есть сотрудник, которому вы открыли доступ VPN. Поскольку ваш Windows Server 2008 VPN протокол поддерживает EAP аутентификацию пользователя, вы решили создать смарт-карты для ваших пользователей и использовать L2TP/IPSec VPN протокол. Комбинация смарт-карт и протокола L2TP/IPSec позволяет требовать аутентификации пользователя и использования здоровой машины. Ваше решение по использованию смарт-карт и протокола L2TP/IPSec работает отлично, и все довольны.

Все довольны до тех пор, пока однажды один из ваших пользователей не заходит на ваш SQL сервер, чтобы получить бухгалтерскую информацию, и начинает делиться ею с другими сотрудниками. Что произошло? Разве соединение VPN было небезопасным? Нет, VPN соединение было безопасным ровно настолько, чтобы обеспечить частный (приватный) компонент, аутентификацию и авторизацию, но оно не обеспечивало контроля над доступом, а контроль над доступом является одним из основополагающих компонентов компьютерной безопасности. На самом деле можно даже говорить о том, что без контроля над доступом все остальные меры безопасности представляют сравнительно малую ценность.

Для VPN, чтобы быть на самом деле безопасными, вам нужно убедиться в том, что ваш VPN шлюз способен обеспечить контроль над доступом пользователей/групп с тем, чтобы вы смогли открывать необходимый уровень доступа пользователям VPN. Более совершенные VPN шлюзы и брандмауэры, такие как ISA Firewall, могут обеспечивать такой контроль на VPN соединениях. Плюс ко всему, такие брандмауэры, как ISA Firewall, могут обеспечивать проверку адресных пакетов и уровня приложений на клиентских VPN соединениях.

Хотя сервер Windows Server 2008 VPN не обеспечивает контроль над доступом пользователей и групп, есть другие способы, посредством которых вы можете настраивать контроль доступа на самом сервере, если вы не хотите платить за приобретение более совершенных брандмауэров и VPN шлюзов. В данной статье мы заостряем наше внимание только на компонентах VPN серверов. Если вы хотите узнать больше о брандмауэрах ISA и их возможностях для VPN серверов, перейдите по ссылке www.isaserver.org

Зачем использовать новый VPN протокол?

Microsoft уже создали два жизнеспособных протокола VPN, позволяющих пользователям соединяться с корпоративной сетью, так зачем же создавать третий? SSTP - это отличное дополнение для пользователей Windows VPN, поскольку SSTP не имеет проблем с брандмауэрами и устройствами NAT в отличие от протоколов PPTP и L2TP/IPSec. Для того чтобы PPTP работал через устройство NAT, это устройство должно поддерживать PPTP с помощью редактора NAT для PPTP. Если такой NAT редактор для PPTP отсутствует на данном устройстве, то PPTP соединения не будут работать.

L2TP/IPSec имеет проблемы с устройствами NAT и брандмауэрами, поскольку брандмауэру необходимо иметь L2TP порт UDP 1701, открытый для исходящих соединений, IPSec IKE порт, UDP 500 открытый для исходящих соединений, и IPSec NAT порт просмотра-обхода, UDP 4500 открыт для исходящих соединений (порт L2TP не требуется при использовании NAT-T). Большинство брандмауэров в общественных местах, таких как гостиницы, центры конференций, рестораны и т.д. имеют малое количество портов, открытых для исходящих соединений, например, HTTP, TCP порт 80 и HTTPS (SSL), TCP порт 443. Если вам нужна поддержка не только протоколов HTTP и SSL, когда вы покидаете офис, ваши шансы на успешное соединение значительно снижаются. Вы можете и не получить порты, требуемые для протоколов PPTP или L2TP/IPSec.

В отличие от предыдущих протоколов, SSTP VPN соединения проходят по каналу SSL, используя TCP порт 443. Поскольку все брандмауэры и устройства NAT имеют открытый порт TCP 443, вы сможете использовать протокол SSTP где угодно. Это значительно облегчает жизнь путешественникам, которые используют VPN соединения для подключения к офису, а также значительно облегчает жизнь корпоративных администраторов, которым нужно поддерживать путешественников, а также помогать служащим в общественных местах обеспечивать доступ к Интернет в гостиницах, конференц-центрах и т.д.

Процесс соединения SSTP

1. SSTP VPN клиент создает TCP соединение с SSTP VPN шлюзом между случайным TCP портом источника клиента SSTP VPN и TCP портом 443 шлюза SSTP VPN.
2. SSTP VPN клиент отправляет SSL Client-Hello сообщение, указывая на то, что он хочет создать SSL сеанс с SSTP VPN шлюзом.
3. SSTP VPN шлюз отправляет сертификат компьютера клиенту SSTP VPN.
4. Клиент SSTP VPN подтверждает сертификат компьютера, проверяя базу сертификатов Trusted Root Certification Authorities, чтобы убедиться в том, что CA сертификат, подписанный сервером, находится в этой базе. Затем SSTP VPN клиент определяет способ шифрования для SSL сеанса, генерирует ключ SSL сеанса и шифрует его с помощью SSTP VPN ключа публичного шлюза, после чего отправляет зашифрованную форму ключа SSL сеанса на SSTP VPN шлюз.
5. Шлюз SSTP VPN расшифровывает зашифрованный ключ SSL сеанса с помощью личного ключа сертификатов компьютера. Все последующие соединения между SSTP VPN клиентом и SSTP VPN шлюзом будут зашифрованы оговоренным методом шифрования и ключа SSL сеанса.
6. SSTP VPN клиент отправляет HTTP через SSL (HTTPS) сообщение запроса на SSTP VPN шлюз.
7. SSTP VPN клиент обсуждает SSTP канал с SSTP VPN шлюзом.
8. SSTP VPN клиент обсуждает PPP соединение с SSTP сервером. Эти переговоры включают аутентификацию мандатов пользователя посредством стандартного PPP метода аутентификации (или даже EAP аутентификации) и конфигурирование настроек для трафика Интернет протокола четвертой версии (IPv4) или Интернет протокола шестой версии (IPv6).
9. Клиент SSTP начинает отправку IPv4 или IPv6 трафика через PPP соединение.

Те, кому интересны характеристики архитектуры VPN протоколов, могут посмотреть их на рисунке ниже. Обратите внимание, что SSTP имеет дополнительный заголовок в отличие от двух других VPN протоколов. Это благодаря дополнительному HTTPS шифрованию, помимо заголовка SSTP. L2TP и PPTP не имеют заголовков уровня приложений для шифровки соединения.

Рисунок 1

Мы возьмем для примера простую сеть из трех машин, чтобы посмотреть, как работает SSTP. Названия и характеристики этих трех машин следующие:

Vista Business Edition

Vista Service Pack 1

Non-domain member

W2008RC0-VPNGW:

Two NICs " Internal and External

WIN2008RC-DC:

Windows Server 2008 Enterprise Edition

Domain Controller of MSFIREWALL.ORG domain

Certificate Server (Enterprise CA)

Обратите внимание, что Vista Service Pack 1 используется в качестве VPN клиента. Хотя в прошлом были обсуждения по поводу Windows XP Service Pack 3, поддерживающей SSTP, дело может закончиться совсем не так. Я недавно установил пробную версию Windows XP Service Pack 3 на тестовый компьютер и не нашел никаких доказательств поддержки SSTP. И это действительно плохо, поскольку на сегодняшний день слишком много ноутбуков используют ОС Windows XP, а факты говорят о том, что Vista слишком медлительна для работы ноутбуков. Возможно, проблемы производительности Vista будут решены с помощью пакета обновления Vista Service Pack 1.

Высокоуровневая конфигурация примерной сети показана на рисунке ниже.

Рисунок 2

Конфигурирование Windows Server 2008 в качестве сервера Remote Access SSL VPN Server

Я не собираюсь рассматривать все шаги, начиная с самых основ. Смею предположить, что вы установили контроллер домена и активировали DHCP, DNS и Certificate Services роли на этом сервере. Тип сертификации сервера должен быть Enterprise, и вы имеете CA в вашей сети. Сервер VPN должен быть подключен к домену, прежде чем продолжать выполнять следующие шаги. Прежде чем начинать, нужно установить пакет обновления SP1 для клиента Vista.

Нам нужно выполнить следующие процедуры для того, чтобы наше решение работало:

• Установить IIS на VPN сервер
• Запросить сертификат машины для сервера VPN, используя мастера запроса сертификатов IIS Certificate Request Wizard
• Установить роль RRAS на сервере VPN
• Активировать RRAS Server и настроить его на работу в качестве VPN и NAT сервера
• Настроить NAT сервер на публикацию CRL
• Настроить учетную запись (User Account) на использование dial-up соединений
• Настроить IIS на Certificate Server, чтобы разрешить HTTP соединения для директории CRL
• Настроить HOSTS файл для VPN клиента
• Использовать PPTP для связи с VPN сервером
• Получить CA Certificate из Enterprise CA
• Настроить клиента на использование SSTP и соединение с сервером VPN с помощью SSTP

Установка IIS на VPN сервер

Возможно, вам покажется странным, что мы начинаем именно с этой процедуры, так как я рекомендую никогда не устанавливать вебсервер на устройство безопасности сети. Хорошая новость заключается в том, что нам не придется хранить вебсервер на VPN сервере, он понадобится нам лишь на некоторое время. Причина кроется в том, что регистрационный сайт, включенный в Windows Server 2008 Certificate Server, более не является полезным для запроса сертификатов компьютера. На самом деле он вообще бесполезен. Интересно то, что если вы все же решите использовать регистрационный сайт для получения сертификата компьютера, все будет выглядеть так, словно сертификат получен и установлен, однако на самом деле это не так, сертификат не установлен.

Для решения этой проблемы мы воспользуемся преимуществом того, что используем enterprise CA. При использовании Enterprise CA, можно посылать запрос на интерактивный сервер сертификации. Интерактивный запрос на получение сертификата компьютера возможен, когда вы используете мастера IIS Certificate Request Wizard и запрашиваете то, что теперь называется сертификатом домена "Domain Certificate". Это возможно только в том случае, если запрашивающая машина принадлежит тому же домену, что и Enterprise CA.

Для установки роли IIS Web server на сервере VPN выполните следующие шаги:

1. Откройте Windows 2008 Server Manager.
2. В левой панели консоли кликните на вкладке Роли .

Рисунок 1

1. Жмем в меню Добавить роли с правой стороны правой панели.
2. Жмем Далее на странице Прежде чем начать .
3. Ставим галочку напротив строкиWeb Server (IIS) на странице Выбрать роли сервера . Жмем Далее .

Рисунок 2

1. Можете прочесть информацию на странице Web Server (IIS) , если пожелаете. Это довольно полезная общая информация об использовании IIS 7 в качестве вебсервера, но поскольку мы не собираемся использовать IIS вебсервер на VPN сервере, эта информация не совсем применима в нашей ситуации. Жмем Далее .
2. На странице Выбрать службы ролей несколько опций уже выбраны. Однако если вы используете опции по умолчанию, вы не сможете воспользоваться мастером Certificate Request Wizard. По крайней мере, так было, когда я тестировал систему. Нет службы роли для мастера Certificate Request Wizard, поэтому я пытался ставить галочки напротив каждой опции Безопасность , и, кажется, сработало. Сделайте то же самое у себя и нажмите Далее .

Рисунок 3

1. Просмотрите информацию на странице Подтвердить выбор установок и нажмите Установить .
2. Нажмите Закрыть на странице Результаты установки .

Рисунок 4

Запрос сертификата машины (Machine Certificate) для VPN сервера с помощью мастера IIS Certificate Request Wizard

Следующий шаг - это запрос сертификата машины для VPN сервера. VPN серверу требуется сертификат машины для создания SSL VPN соединения с компьютером клиента SSL VPN. Общее название сертификата должно соответствовать имени, которое VPN клиент будет использовать для соединения с компьютером шлюза SSL VPN. Это означает, что вам нужно будет создать публичную DNS запись для имени на сертификате, который будет разрешать внешний IP адрес VPN сервера, или IP адрес NAT устройства перед VPN сервером, которое будет переадресовывать соединение на SSL VPN сервер.

Для запроса сертификата машины на сервер SSL VPN выполните следующие шаги:

1. В Server Manager , разверните вкладку Роли в левой панели, а затем разверните вкладку Web Server (IIS) . Нажмите на .

Рисунок 5

1. В консоли Internet Information Services (IIS) Manager , которая появится справа в левой панели, нажмите на имени сервера. В этом примере имя сервера будет W2008RC0-VPNGW . Нажмите на иконку Сертификаты сервера в правой панели консоли IIS.

Рисунок 6

1. В правой панели консоли жмем на ссылку Создать сертификат домена .

Рисунок 7

1. Введите информацию на странице Определенные свойства имени . Самым важным объектом здесь будет Общее имя . Это то имя, которое VPN клиенты будут использовать для соединения с VPN сервером. Вам также понадобится публичная DNS запись для этого имени с тем, чтобы распознавать внешний интерфейс VPN сервера, или публичный адрес NAT устройства перед VPN сервером. В этом примере мы используем общее имя sstp.msfirewall.org . Позже мы создадим записи HOSTS файла на компьютере VPN клиента, чтобы он мог распознавать это имя. Жмем Далее .

Рисунок 8

1. На странице жмем кнопку Выбрать . В диалоговом окне Выбрать источник сертификатов , жмем на имени Enterprise CA и нажимаем OK . Вводим дружественное имя в строке Friendly name . В этом примере мы использовали имя SSTP Cert , чтобы знать, что оно используется для шлюза SSTP VPN.

Рисунок 9

1. Жмем Закончить на странице Интерактивный источник сертификатов .

Рисунок 10

1. Мастер будет запущен, а затем исчезнет. После этого вы увидите, как появится сертификат в консоли IIS. Кликнем дважды на сертификате и увидим общее имя в секции Назначен для , и теперь у нас есть частный ключ, соответствующий сертификату. Жмем OK , чтобы закрыть диалоговое окно Сертификат .

Рисунок 11

Теперь, когда у нас есть сертификат, мы можем установить роль RRAS Server Role. Обратите внимание на то, что очень важно установить сертификат до того, как устанавливать роль RRAS Server Role. Если вы этого не сделаете, вы наживете себе большие головные боли, поскольку вам придется использовать довольно сложную рутину командных строк, чтобы связать сертификат с клиентом SSL VPN.

Установка роли RRAS Server Role на VPN сервере

Для установки роли RRAS Server Role нужно выполнить следующие шаги:

1. В Server Manager , нажмите на вкладку Роли в левой панели консоли.
2. В секции Общие сведения ролей нажмите на ссылку Добавить роли .
3. Нажмите Далее на странице Прежде чем начать .
4. На странице Выбрать роли сервера поставьте галочку напротив строки . Нажмите Далее .

Рисунок 12

1. Прочтите информацию на странице Политика сети и службы доступа . Большая ее часть касается Network Policy Server (который ранее назывался Internet Authentication Server и по сути был RADIUS сервером) и NAP, ни один из элементов не применим в нашем случае. Нажимаем Далее .
2. На странице Выбрать службы роли ставим галочку напротив строки Маршрутизация и службы удаленного доступа . В результате этого будут выбраны пункты Службы удаленного доступа и Маршрутизация . Жмем Далее .

Рисунок 13

1. Жмем Установить в окне Подтвердить выбранные установки .
2. Жмем Закрыть на странице Результаты установки .

Активация RRAS Server и его настройка в качестве VPN и NAT сервера

Теперь, когда роль RRAS установлена, нам нужно активировать сервисы RRAS, также как мы делали это в предыдущих версиях Windows. Нам нужно активировать функцию VPN сервера и сервисы NAT. С активацией компонента VPN сервера все понятно, но вы можете поинтересоваться, зачем нужно активировать NAT сервер. Причина активации сервера NAT кроется в том, что внешние клиенты могут получать доступ к серверу сертификации (Certificate Server), чтобы соединяться с CRL. Если клиент SSTP VPN не сможет загрузить CRL, SSTP VPN соединение работать не будет.

Для того, чтобы открыть доступ к CRL, мы настроим VPN сервер в качестве NAT сервера и опубликуем CRL, используя обратимый NAT. В сетевом окружении компаний у вас, скорее всего, будут брандмауэры, например ISA Firewall, перед сервером сертификации, поэтому вы сможете публиковать CRL с помощью брандмауэров. Однако в этом примере единственный брандмауэр, которым будем пользоваться, это брандмауэр Windows Firewall на сервере VPN, поэтому в этом примере нам нужно настроить VPN сервер в качестве NAT сервера.

Для активации сервисов RRAS выполните следующие шаги:

1. В Server Manager разверните вкладку Роли в левой панели консоли. Разверните вкладку Политика сети и Службы доступа и кликните по вкладке . Правой клавишей кликните по вкладке и нажмите Настроить и активировать маршрутизацию и удаленный доступ .

Рисунок 14

1. Нажмите Далее в окне Welcome to the Routing and Remote Access Server Setup Wizard .
2. На странице Конфигурация выберите опцию Доступ к виртуальным частным сетям и NAT и нажмите Далее .

Рисунок 15

1. На странице VPN соединение выберите NIC в секции Интерфейсы сети , которая представляет внешний интерфейс VPN сервера. Затем нажмите Далее .

Рисунок 16

1. На странице Назначение IP адресов выберите опцию Автоматически . Мы можем выбрать эту опцию, потому что у нас установлен DHCP сервер на контроллере домена за VPN сервером. Если у вас нет DHCP сервера, тогда вам нужно будет выбрать опцию Из определенного списка адресов , а затем внести список адресов, которые VPN клиенты смогут использовать при подключении к сети через шлюз VPN. Жмем Далее .

Рисунок 17

1. На странице Управление удаленным доступом нескольких серверов выбираем Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов соединения . Эту опцию мы используем, когда недоступны NPS или RADIUS серверы. Поскольку VPN сервер является членом домена, можно аутентифицировать пользователей, используя учетные записи домена. Если VPN сервер не входит в домен, тогда только локальные учетные записи VPN сервера можно использовать, если только вы не решите использовать NPS сервер. Я напишу статью об использовании NPS сервера в будущем. Жмем Далее .

Рисунок 18

1. Прочтите общую информацию на странице Завершение работы мастера настройки маршрутизации и удаленного доступа и нажмите Закончить .
2. Нажмите OK в диалоговом окне Маршрутизация и удаленный доступ , которое говорит вам о том, что распределение DHCP сообщений требует агента распределения DHCP.
3. В левой панели консоли разверните вкладку Маршрутизация и удаленный доступ и затем нажмите на вкладке Порты . В средней панели вы увидите, что WAN Miniport соединения для SSTP теперь доступны.

Рисунок 19

Настройка NAT сервера для публикации CRL

Как я говорил ранее, клиент SSL VPN должен иметь возможность загружать CRL для подтверждения того, что сертификат сервера на сервере VPN не был поврежден или отозван. Для этого нужно настроить устройство перед сервером сертификации для направления HTTP запросов о расположении CRL на Сервер сертификации.

Как узнать, к какому URL нужно подключиться SSL VPN клиенту, чтобы загрузить CRL? Эта информация содержится в самом сертификате. Если вы снова перейдете на VPN сервер и дважды кликните на сертификате в IIS консоли, как делали прежде, вы сможете найти эту информацию.

Жмем на кнопку Детали на сертификате и листаем вниз до записи Точки распределения CRL , затем жмем на эту запись. В нижней панели показаны различные точки распределения, основанные на протоколе, используемом для получения доступа к этим точкам. В сертификате, показанном на рисунке ниже, видно, что нам нужно открыть доступ клиенту SSL VPN к CRL через URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Рисунок 20

Именно поэтому нужно создавать публичные записи DNS для этого имени, чтобы внешние VPN клиенты смогли относить это имя к IP адресу или устройству, которое будет выполнять обратимый NAT или обратимый proxy для получения доступа к вебсайту сервера сертификации. В этом примере нам нужно связать win2008rc0-dc.msfirewall.org с IP адресом на внешнем интерфейсе VPN сервера. Когда соединение достигает внешнего интерфейса VPN сервера, VPN сервер перенаправит NAT соединение на сервер сертификации.

Если вы используете расширенный брандмауэр, например ISA Firewall, вы можете сделать публикацию CRL сайтов более безопасной, открывая доступ только к CRL, а не ко всему сайту. Однако в этой статье мы ограничим себя возможностью простого NAT устройства, такого, которое обеспечивает RRAS NAT.

Следует отметить, что использование имени CRL сайта по умолчанию может быть менее безопасной опцией, поскольку оно раскрывает частное имя компьютера в Интернете. Вы можете создавать пользовательскую CDP (CRL Distribution Point), чтобы этого избежать, если считаете, что раскрытие частного имени вашей CA в публичной DNS записи создает угрозу безопасности.

Для настройки RRAS NAT для направления HTTP запросов на сервер сертификации выполните следующие шаги:

1. В левой панели Server Manager разверните вкладку Маршрутизация и удаленный доступ , а затем разверните вкладку IPv4 . Кликните по вкладке NAT .
2. Во вкладке NAT кликните правой клавишей на внешнем интерфейсе в средней панели консоли. В данном примере имя внешнего интерфейса было Local Area Connection . Нажмите на Свойства .

Рисунок 21

1. В диалоговом окне поставьте галочку напротив Web Server (HTTP) . Это вызовет диалоговое окно Служба редактирования . В текстовой строке Частный адрес введите IP адрес сервера сертификации во внутренней сети. Нажмите OK .

Рисунок 22

1. Нажмите OK в диалоговом окне Свойства Local Area Connection .

Рисунок 23

Теперь, когда NAT сервер установлен и настроен, мы можем перенести наше внимание на настройку сервера CA и клиента SSTP VPN.

Настройка учетной записи пользователя на использование Dial-up соединений

Учетные записи пользователей требуют разрешений для доступа dial-up, прежде чем смогут подключиться к серверу Windows VPN, который входит в домен Active Directory. Самый лучший способ сделать это - это использовать сервер Network Policy Server (NPS), а также разрешение учетной записи пользователя по умолчанию, которое разрешает удаленный доступ на основе политики NPS. Однако в нашем случае мы не устанавливали сервер NPS, поэтому нам придется настраивать разрешение пользователю для доступа dial-in вручную.

Следующую статью я посвящу использованию NPS сервера и аутентификации EAP User Certificate для создания соединений с SSL VPN сервером.

Для того чтобы разрешить определенной учетной записи пользователя доступ dial-in для подключения к SSL VPN серверу, нужно выполнить следующие шаги. В этом примере мы будем активировать разрешение dial-in доступа для учетной записи администратора домена по умолчанию:

1. На контроллере домена откройте консоль Active Directory пользователи и компьютеры из меню .
2. В левой панели консоли разверните имя домена и кликните по вкладке пользователи . Дважды кликните на учетной записи Администратор .
3. Перейдите по вкладке Dial-in . Параметром по умолчанию будет Контроль доступа через NPS политику сети . Поскольку у нас нет NPS сервера в этом сценарии, мы изменим параметр на Разрешить доступ , как показано ниже на рисунке 1. Жмем OK .

Рисунок 1

Настройка IIS на сервере сертификации (Certificate Server) для разрешения HTTP соединений для CRL Directory

По каким-то причинам, когда мастер установки устанавливает Certificate Services (службы сертификации) веб сайт, он настраивает CRL директорию на запрос SSL соединения. Хотя с точки зрения безопасности это кажется вполне хорошей идеей, проблема заключается в том, что унифицированный идентификатор ресурса (URI) на сертификате не настроен под использование SSL. Полагаю, что вы сможете самостоятельно создать CDP запись для сертификата, чтобы он смог использовать SSL, но могу поспорить, что компания Microsoft нигде не упоминала об этой проблеме. Поскольку в этой статье мы используем стандартные параметры для CDP, нам необходимо отключить требование SSL на веб сайте CA для пути CRL директории.

Чтобы дезактивировать требование SSL для директории CRL выполните следующие шаги:

1. В меню Инструменты администрирования откройте менеджера Internet Information Services (IIS) Manager .
2. В левой панели консоли IIS разверните имя сервера, а затем разверните вкладку Сайты . Разверните вкладку Веб сайт по умолчанию и кликните на вкладке CertEnroll , как показано на рисунке 2.

Рисунок 2

1. Если вы посмотрите на среднюю панель консоли, вы увидите, что CRL находится в этой виртуальной директории, как показано на рисунке ниже. Чтобы посмотреть содержимое этой виртуальной директории, вам нужно нажать кнопку Посмотреть содержимое в нижней части средней панели.

Рисунок 3

1. Нажмите на кнопку Просмотр параметров внизу средней панели. Внизу средней панели дважды кликните на иконке Параметры SSL .

Рисунок 4

1. В средней панели появится страница Параметры SSL . Уберите галочку в строке Требовать SSL . Нажмите Применить в правой панели консоли.

Рисунок 5

1. Закройте консоль IIS после того, как увидите уведомление Изменения были успешно сохранены .

Рисунок 6

Настройка HOSTS файла для VPN клиента

Теперь мы можем уделить все внимание VPN клиенту. Первое что нам необходимо сделать с клиентом, это настроить HOSTS файл, чтобы мы смогли имитировать публичную DNS инфраструктуру. Есть два имени, которые нам необходимо внести в HOSTS файл (то же самое нужно сделать и для публичного DNS сервера, который вы будете использовать в производственных сетях). Первое имя - это имя VPN сервера, как определено общим/субъектным именем сертификата, который мы привязали к SSL VPN серверу. Второе имя, которое нам нужно ввести в HOSTS файл (и публичный DNS сервер), - это имя CDP URL, которое находится на сертификате. Мы рассматривали расположение информации CDP во второй части этой серии.

Два имени, которые необходимо ввести в HOSTS файл в этом примере будут:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Для настройки HOSTS файла для Vista SP1 VPN клиента выполните следующие процедуры:

1. В меню Пуск введите c:\windows\system32\drivers\etc\hosts в строку поиска и нажмите ENTER.
2. В диалоговом окне Открыть с помощью выберите Блокнот .
3. Введите записи в HOSTS файл в формате, как показано на рисунке ниже. Обязательно нажмите enter после последней строки, чтобы курсор находился под ней.

Рисунок 7

1. Закройте файл и выберите опцию сохранить изменения .

Использование PPTP для подключения к VPN серверу

Мы постепенно приближаемся к созданию SSL VPN соединения! Следующим шагом будет создание VPN коннектора на Vista SP1 клиенте, который позволит нам создать начальное VPN соединение с VPN сервером. В нашем случае это нужно сделать, потому что компьютер клиента не является членом домена. Так как машина не является членом домена, сертификат CA не будет автоматически установлен в ее хранилище Trusted Root Certificate Authorities. Если бы машина входила в домен, автоматическая регистрация позаботилась бы за нас об этой проблеме, так как мы установили Enterprise CA.

Самый простой способ выполнить этот шаг заключается в создании PPTP подключения Vista SP1 VPN клиента к Windows Server 2008 VPN серверу. По умолчанию VPN сервер будет поддерживать PPTP соединения, и клиент сначала попробует PPTP, перед тем как пробовать L2TP/IPSec и SSTP. Для этого нам нужно создать VPN Коннектор или объект соединения.

Для создания коннектора на VPN клиенте выполните следующие шаги:

1. На VPN клиенте кликните правой клавишей на иконке сети и нажмите Сеть и коммутационный центр (Sharing Center) .
2. В окне Сеть коммутационного центра нажмите на ссылке Создать соединение или сеть в левой части окна.
3. На странице Выбрать опции подключения нажмите на записи Подключиться к рабочему месту , затем нажмите Далее .

Рисунок 8

1. На странице Как вы хотите подключиться выберите опцию Использовать мое Интернет соединение (VPN) .

Рисунок 9

1. На странице Введите Интернет адрес для подключения введите имя SSL VPN сервера. Убедитесь в том, что это имя и общее имя на сертификате, используемом сервером SSL VPN, одинаковое. В этом примере имя было sstp.msfirewall.org . Введите Имя адресата . В этом примере мы будем использовать имя адресата SSL VPN . Нажмите Далее .

Рисунок 14

1. В окне Сеть и коммутационный центр , нажмите на ссылку Показать статус в разделе SSL VPN , как показано на рисунке ниже. В диалоговом окне Статус SSL VPN вы увидите, что тип соединения VPN - это PPTP. Нажмите Закрыть в диалоговом окне Статус SSL VPN .

Рисунок 15

1. Откройте окно командной строки и отправьте команду ping на контроллер домена. В этом примере IP адрес контроллера домена будет 10.0.0.2 . Если ваше VPN соединение успешное, вы получите ping ответ с контроллера домена.

Рисунок 16

Получение CA Certificate с Enterprise CA

Клиент SSL VPN должен доверять CA, который выпустил сертификат, используемый VPN сервером. Чтобы создать это доверие, нам нужно установить CA сертификат на CA, выпустивший сертификат для VPN сервера. Мы можем это сделать, подключившись к веб сайту регистрации на CA во внутренней сети и установив сертификат VPN клиента в его хранилище Trusted Root Certification Authorities.

Для получения сертификата с сайта регистрации выполните следующие шаги:

1. На клиенте VPN, подключенном к VPN серверу через PPTP соединение, введите http://10.0.0.2/certsrv в строке адреса в обозревателе Internet Explorer и нажмите ENTER.
2. Введите имя пользователя и пароль, используемый в мандатном диалоговом окне. В этом примере мы будем использовать имя пользователя и пароль учетной записи администратора домена по умолчанию.
3. На странице Приветствие сайта регистрации перейдите по ссылке Загрузить сертификат CA, цепь сертификатов или CRL .

Рисунок 17

1. В диалоговом окне, предупреждающем вас о том, что Веб сайт хочет открыть веб содержимое, используя эту программу на вашем компьютере , нажмите Разрешить . Затем нажмите Закрыть в диалоговом окне Вы заметили информационное окно , если оно появится.Загрузка завершена .
2. Закрываем Internet Explorer .

Теперь нам нужно установить сертификат CA в хранилище Trusted Root Certification Authorities Certificate Store машины клиента VPN. Для этого нужно сделать следующее:

1. Жмем Пуск , затем вводим mmc в строку поиска и нажимаем ENTER.
2. Жмем Продолжить в диалоговом окне UAC.
3. В окне Консоль1 жмем меню Файл , а затем жмем Добавить/Удалить оснастку .
4. В диалоговом окне Добавить или Удалить оснастки выбираем Сертификаты в списке Доступные оснастки , затем нажимаем Добавить .
5. На странице Оснастки сертификатов выбираем опцию Учетная запись компьютера и жмем Закончить .
6. На странице Выбрать компьютер выбираем опцию Локальный компьютер и жмем Закончить .
7. Жмем OK в диалоговом окне Добавить или удалить оснастки .
8. В левой панели консоли разворачиваем вкладку Сертификаты (Локальный компьютер) и затем разворачиваем вкладку Жмем Закончить на странице Завершение импорта сертификатов .
9. Жмем OK в диалоговом окне, информирующем о том, что импорт прошел успешно.
10. Теперь в консоли появится сертификат, как показано на рисунке ниже.

Рисунок 24

1. Закрываем консоль MMC.

Настройка клиента на использование SSTP и подключение к VPN серверу через SSTP

И вот почти все готово! Теперь нам нужно отключить VPN соединение и настроить VPN клиента на использование SSTP для VPN протокола. В производственном окружении вам не придется использовать этот шаг для пользователей, так как вы будете использовать пакет Connection Manager Administration Kit для создания VPN объекта соединения для пользователя, который будет включать клиента, использующего SSTP, или вы будете настраивать только SSTP порты на VPN сервере.

Все зависит от конфигурации окружения, поскольку вам нужно распределить время так, чтобы пользователи смогли в течение некоторого времени использовать PPTP, пока вы устанавливаете сертификаты. Конечно, вы можете установить сертификаты CA не через сеть, то есть посредством загрузки с веб сайта или по электронной почте, и в этом случае вам не придется разрешать пользователям PPTP. Но тогда, если какие-то клиенты не поддерживают SSTP, вам потребуется разрешить PPTP или L2TP/IPSec, и вы не сможете отключить все не-SSTP порты. В таком случае вам придется полагаться на ручную настройку или на обновленный пакет CMAK.

Еще одним вариантом здесь может стать привязка SSTP клиента к определенному IP адресу на RRAS сервере. В этом случае вы сможете создать пользовательский пакет CMAK, который ссылается только на IP адрес на SSL VPN сервере, прослушивающем сеть на предмет входящих SSTP соединений. Другие адреса на сервере SSTP VPN будут прослушивать сеть на предмет PPTP и/или L2TP/IPSec соединений.

Выполните следующие шаги для того, чтобы отключить PPTP сеанс и настроить объект подключения VPN клиента на использование SSTP:

1. На компьютере VPN клиента откройте окно Сеть и коммутационный центр , как делали ранее.
2. В окне Сеть и коммутационный центр нажмите на ссылку Разъединить , которая находиться прямо под ссылкой Показать статус . Раздел SSL VPN исчезнет из окна Сеть и коммутационный центр .
3. В окне Сеть и коммутационный центр нажмите на ссылку Управление сетевыми подключениями .
4. Правой клавишей кликните по ссылке SSL VPN и выберите вкладку Свойства .

Рисунок 25

1. В диалоговом окне Свойства SSL VPN перейдите по вкладке Сеть . В окне Тип VPN нажмите стрелку вниз и выберите опцию Secure Socket Tunneling Protocol (SSTP) , затем нажмите

Рисунок 29

Томас Шиндер (Thomas Shinder)

В первой части этой серии статей, посвященных настройке Windows Server 2008 в качестве сервера SSL VPN, я рассказывал о некоторых фактах истории серверов Microsoft VPN и протоколов VPN. Мы закончили предыдущую статью описанием примера сети, которую будем использовать в этой и последующих частях серии по настройке VPN шлюза, поддерживающего SSTP соединения с клиентами Vista SP1.

Прежде чем мы начнем, должен признаться, что знаю о наличии пошагового руководства по созданию SSTP соединений для Windows Server 2008, которое находится на www.microsoft.com веб-сайте. Мне показалось, что эта статья не отражает реально существующее окружение, которое используется в организациях для назначения сертификатов. Именно поэтому, и из-за некоторых проблемных моментов, которые не были затронуты в руководстве Microsoft, я решил написать эту статью. Я считаю, что вы узнаете немного нового, если будет следовать за мной в этой статье.

Я не собираюсь рассматривать все шаги, начиная с самых основ. Смею предположить, что вы установили контроллер домена и активировали DHCP, DNS и Certificate Services роли на этом сервере. Тип сертификации сервера должен быть Enterprise, и вы имеете CA в вашей сети. Сервер VPN должен быть подключен к домену, прежде чем продолжать выполнять следующие шаги. Прежде чем начинать, нужно установить пакет обновления SP1 для клиента Vista.

Нам нужно выполнить следующие процедуры для того, чтобы наше решение работало:

• Установить IIS на VPN сервер
• Запросить сертификат машины для сервера VPN, используя мастера запроса сертификатов IIS Certificate Request Wizard
• Установить роль RRAS на сервере VPN
• Активировать RRAS Server и настроить его на работу в качестве VPN и NAT сервера
• Настроить NAT сервер на публикацию CRL
• Настроить учетную запись (User Account) на использование dial-up соединений
• Настроить IIS на Certificate Server, чтобы разрешить HTTP соединения для директории CRL
• Настроить HOSTS файл для VPN клиента
• Использовать PPTP для связи с VPN сервером
• Получить CA Certificate из Enterprise CA
• Настроить клиента на использование SSTP и соединение с сервером VPN с помощью SSTP

Установка IIS на VPN сервер

Возможно, вам покажется странным, что мы начинаем именно с этой процедуры, так как я рекомендую никогда не устанавливать вебсервер на устройство безопасности сети. Хорошая новость заключается в том, что нам не придется хранить вебсервер на VPN сервере, он понадобится нам лишь на некоторое время. Причина кроется в том, что регистрационный сайт, включенный в Windows Server 2008 Certificate Server, более не является полезным для запроса сертификатов компьютера. На самом деле он вообще бесполезен. Интересно то, что если вы все же решите использовать регистрационный сайт для получения сертификата компьютера, все будет выглядеть так, словно сертификат получен и установлен, однако на самом деле это не так, сертификат не установлен.

Для решения этой проблемы мы воспользуемся преимуществом того, что используем enterprise CA. При использовании Enterprise CA, можно посылать запрос на интерактивный сервер сертификации. Интерактивный запрос на получение сертификата компьютера возможен, когда вы используете мастера IIS Certificate Request Wizard и запрашиваете то, что теперь называется сертификатом домена ‘Domain Certificate’. Это возможно только в том случае, если запрашивающая машина принадлежит тому же домену, что и Enterprise CA.
Для установки роли IIS Web server на сервере VPN выполните следующие шаги:

1. Откройте Windows 2008 Server Manager.
2. В левой панели консоли кликните на вкладке Роли .

1. Жмем в меню Добавить роли с правой стороны правой панели.
2. Жмем Далее на странице Прежде чем начать .
3. Ставим галочку напротив строкиWeb Server (IIS) на странице Выбрать роли сервера . Жмем Далее .

1. Можете прочесть информацию на странице Web Server (IIS) , если пожелаете. Это довольно полезная общая информация об использовании IIS 7 в качестве вебсервера, но поскольку мы не собираемся использовать IIS вебсервер на VPN сервере, эта информация не совсем применима в нашей ситуации. Жмем Далее .
2. На странице Выбрать службы ролей несколько опций уже выбраны. Однако если вы используете опции по умолчанию, вы не сможете воспользоваться мастером Certificate Request Wizard. По крайней мере, так было, когда я тестировал систему. Нет службы роли для мастера Certificate Request Wizard, поэтому я пытался ставить галочки напротив каждой опции Безопасность , и, кажется, сработало. Сделайте то же самое у себя и нажмите Далее .

1. Просмотрите информацию на странице Подтвердить выбор установок и нажмите Установить .
2. Нажмите Закрыть на странице Результаты установки .

Запрос сертификата машины (Machine Certificate) для VPN сервера с помощью мастера IIS Certificate Request Wizard

Следующий шаг – это запрос сертификата машины для VPN сервера. VPN серверу требуется сертификат машины для создания SSL VPN соединения с компьютером клиента SSL VPN. Общее название сертификата должно соответствовать имени, которое VPN клиент будет использовать для соединения с компьютером шлюза SSL VPN. Это означает, что вам нужно будет создать публичную DNS запись для имени на сертификате, который будет разрешать внешний IP адрес VPN сервера, или IP адрес NAT устройства перед VPN сервером, которое будет переадресовывать соединение на SSL VPN сервер.

Для запроса сертификата машины на сервер SSL VPN выполните следующие шаги:

1. В Server Manager , разверните вкладку Роли в левой панели, а затем разверните вкладку Web Server (IIS) . Нажмите на .

1. В консоли Internet Information Services (IIS) Manager , которая появится справа в левой панели, нажмите на имени сервера. В этом примере имя сервера будет W2008RC0-VPNGW . Нажмите на иконку Сертификаты сервера в правой панели консоли IIS.

1. В правой панели консоли жмем на ссылку Создать сертификат домена .

1. Введите информацию на странице Определенные свойства имени . Самым важным объектом здесь будет Общее имя . Это то имя, которое VPN клиенты будут использовать для соединения с VPN сервером. Вам также понадобится публичная DNS запись для этого имени с тем, чтобы распознавать внешний интерфейс VPN сервера, или публичный адрес NAT устройства перед VPN сервером. В этом примере мы используем общее имя sstp.msfirewall.org . Позже мы создадим записи HOSTS файла на компьютере VPN клиента, чтобы он мог распознавать это имя. Жмем Далее .

1. На странице жмем кнопку Выбрать . В диалоговом окне Выбрать источник сертификатов , жмем на имени Enterprise CA и нажимаем OK . Вводим дружественное имя в строке Friendly name . В этом примере мы использовали имя SSTP Cert , чтобы знать, что оно используется для шлюза SSTP VPN.

1. Жмем Закончить на странице Интерактивный источник сертификатов .

1. Мастер будет запущен, а затем исчезнет. После этого вы увидите, как появится сертификат в консоли IIS. Кликнем дважды на сертификате и увидим общее имя в секции Назначен для , и теперь у нас есть частный ключ, соответствующий сертификату. Жмем OK , чтобы закрыть диалоговое окно Сертификат .

Теперь, когда у нас есть сертификат, мы можем установить роль RRAS Server Role. Обратите внимание на то, что очень важно установить сертификат до того, как устанавливать роль RRAS Server Role. Если вы этого не сделаете, вы наживете себе большие головные боли, поскольку вам придется использовать довольно сложную рутину командных строк, чтобы связать сертификат с клиентом SSL VPN.

Установка роли RRAS Server Role на VPN сервере

Для установки роли RRAS Server Role нужно выполнить следующие шаги:

1. В Server Manager , нажмите на вкладку Роли в левой панели консоли.
2. В секции Общие сведения ролей нажмите на ссылку Добавить роли .
3. Нажмите Далее на странице Прежде чем начать .
4. На странице Выбрать роли сервера поставьте галочку напротив строки . Нажмите Далее .

1. Прочтите информацию на странице Политика сети и службы доступа . Большая ее часть касается Network Policy Server (который ранее назывался Internet Authentication Server и по сути был RADIUS сервером) и NAP, ни один из элементов не применим в нашем случае. Нажимаем Далее .
2. На странице Выбрать службы роли ставим галочку напротив строки Маршрутизация и службы удаленного доступа . В результате этого будут выбраны пункты Службы удаленного доступа и Маршрутизация . Жмем Далее .

1. Жмем Установить в окне Подтвердить выбранные установки .
2. Жмем Закрыть на странице Результаты установки .

Активация RRAS Server и его настройка в качестве VPN и NAT сервера

Теперь, когда роль RRAS установлена, нам нужно активировать сервисы RRAS, также как мы делали это в предыдущих версиях Windows. Нам нужно активировать функцию VPN сервера и сервисы NAT. С активацией компонента VPN сервера все понятно, но вы можете поинтересоваться, зачем нужно активировать NAT сервер. Причина активации сервера NAT кроется в том, что внешние клиенты могут получать доступ к серверу сертификации (Certificate Server), чтобы соединяться с CRL. Если клиент SSTP VPN не сможет загрузить CRL, SSTP VPN соединение работать не будет.

Для того, чтобы открыть доступ к CRL, мы настроим VPN сервер в качестве NAT сервера и опубликуем CRL, используя обратимый NAT. В сетевом окружении компаний у вас, скорее всего, будут брандмауэры, например ISA Firewall, перед сервером сертификации, поэтому вы сможете публиковать CRL с помощью брандмауэров. Однако в этом примере единственный брандмауэр, которым будем пользоваться, это брандмауэр Windows Firewall на сервере VPN, поэтому в этом примере нам нужно настроить VPN сервер в качестве NAT сервера.

Для активации сервисов RRAS выполните следующие шаги:

1. В Server Manager разверните вкладку Роли в левой панели консоли. Разверните вкладку Политика сети и Службы доступа и кликните по вкладке . Правой клавишей кликните по вкладке и нажмите Настроить и активировать маршрутизацию и удаленный доступ .

1. Нажмите Далее в окне Welcome to the Routing and Remote Access Server Setup Wizard .
2. На странице Конфигурация выберите опцию Доступ к виртуальным частным сетям и NAT и нажмите Далее .

1. На странице VPN соединение выберите NIC в секции Интерфейсы сети , которая представляет внешний интерфейс VPN сервера. Затем нажмите Далее .

1. На странице Назначение IP адресов выберите опцию Автоматически . Мы можем выбрать эту опцию, потому что у нас установлен DHCP сервер на контроллере домена за VPN сервером. Если у вас нет DHCP сервера, тогда вам нужно будет выбрать опцию Из определенного списка адресов , а затем внести список адресов, которые VPN клиенты смогут использовать при подключении к сети через шлюз VPN. Жмем Далее .

1. На странице Управление удаленным доступом нескольких серверов выбираем Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов соединения . Эту опцию мы используем, когда недоступны NPS или RADIUS серверы. Поскольку VPN сервер является членом домена, можно аутентифицировать пользователей, используя учетные записи домена. Если VPN сервер не входит в домен, тогда только локальные учетные записи VPN сервера можно использовать, если только вы не решите использовать NPS сервер. Я напишу статью об использовании NPS сервера в будущем. Жмем Далее .

1. Прочтите общую информацию на странице Завершение работы мастера настройки маршрутизации и удаленного доступа и нажмите Закончить .
2. Нажмите OK в диалоговом окне Маршрутизация и удаленный доступ , которое говорит вам о том, что распределение DHCP сообщений требует агента распределения DHCP.
3. В левой панели консоли разверните вкладку Маршрутизация и удаленный доступ и затем нажмите на вкладке Порты . В средней панели вы увидите, что WAN Miniport соединения для SSTP теперь доступны.

Настройка NAT сервера для публикации CRL

Как я говорил ранее, клиент SSL VPN должен иметь возможность загружать CRL для подтверждения того, что сертификат сервера на сервере VPN не был поврежден или отозван. Для этого нужно настроить устройство перед сервером сертификации для направления HTTP запросов о расположении CRL на Сервер сертификации.

Как узнать, к какому URL нужно подключиться SSL VPN клиенту, чтобы загрузить CRL? Эта информация содержится в самом сертификате. Если вы снова перейдете на VPN сервер и дважды кликните на сертификате в IIS консоли, как делали прежде, вы сможете найти эту информацию.

Жмем на кнопку Детали на сертификате и листаем вниз до записи Точки распределения CRL , затем жмем на эту запись. В нижней панели показаны различные точки распределения, основанные на протоколе, используемом для получения доступа к этим точкам. В сертификате, показанном на рисунке ниже, видно, что нам нужно открыть доступ клиенту SSL VPN к CRL через URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Именно поэтому нужно создавать публичные записи DNS для этого имени, чтобы внешние VPN клиенты смогли относить это имя к IP адресу или устройству, которое будет выполнять обратимый NAT или обратимый proxy для получения доступа к вебсайту сервера сертификации. В этом примере нам нужно связать win2008rc0-dc.msfirewall.org с IP адресом на внешнем интерфейсе VPN сервера. Когда соединение достигает внешнего интерфейса VPN сервера, VPN сервер перенаправит NAT соединение на сервер сертификации.

Если вы используете расширенный брандмауэр, например ISA Firewall, вы можете сделать публикацию CRL сайтов более безопасной, открывая доступ только к CRL, а не ко всему сайту. Однако в этой статье мы ограничим себя возможностью простого NAT устройства, такого, которое обеспечивает RRAS NAT.

Следует отметить, что использование имени CRL сайта по умолчанию может быть менее безопасной опцией, поскольку оно раскрывает частное имя компьютера в Интернете. Вы можете создавать пользовательскую CDP (CRL Distribution Point), чтобы этого избежать, если считаете, что раскрытие частного имени вашей CA в публичной DNS записи создает угрозу безопасности.

Для настройки RRAS NAT для направления HTTP запросов на сервер сертификации выполните следующие шаги:

1. В левой панели Server Manager разверните вкладку Маршрутизация и удаленный доступ , а затем разверните вкладку IPv4 . Кликните по вкладке NAT .
2. Во вкладке NAT кликните правой клавишей на внешнем интерфейсе в средней панели консоли. В данном примере имя внешнего интерфейса было Local Area Connection . Нажмите на Свойства .

1. В диалоговом окне поставьте галочку напротив Web Server (HTTP) . Это вызовет диалоговое окно Служба редактирования . В текстовой строке Частный адрес введите IP адрес сервера сертификации во внутренней сети. Нажмите OK .

1. Нажмите OK в диалоговом окне Свойства Local Area Connection .

Теперь, когда NAT сервер установлен и настроен, мы можем перенести наше внимание на настройку сервера CA и клиента SSTP VPN.

Заключение

В этой статье мы продолжили разговор о настройке сервера SSL VPN, используя Windows Server 2008. Мы рассмотрели установку IIS на VPN сервер, запрос и установку сертификата сервера, установку и настройку сервисов RRAS и NAT на VPN сервере. В следующей статье мы закончим рассматривать настройку CA сервера и SSTP VPN клиента. До встречи! Том.

Технология VPN возникла как сложная замена специализированным фирменным вариантам передачи данных между удаленными сетями. Целью разработчиков было избавиться от дорогостоящих услуг телекоммуникационных компаний и обеспечить возможность пересылки частных данных через виртуальные туннели по Интернету. Безопасность туннелей, обеспечиваемая шифрованием, почти столь же высока, как у выделенных каналов при практически полном отсутствии текущих затрат. Такая экономия компенсирует существенные усилия, необходимые для организации VPN, требующей дорогостоящего оборудования, утомительной настройки и согласования специализированных IP-протоколов VPN с брандмауэром компании.

Сегодня сети VPN стали фактическим стандартом для взаимосвязанных корпоративных сетей. Они очень удачно применяются в межсетевых соединениях. К сожалению, сложность традиционной технологии VPN со временем повышается, поскольку разработчики VPN-продуктов пытаются обслуживать другие приложения, в том числе пользователей коммутируемых, широкополосных и беспроводных соединений. Количество настраиваемых параметров стремительно растет, и в результате настройка VPN превращается в испытание даже для опытных сетевых инженеров. Индивидуальные удаленные пользователи должны установить специальную клиентскую программу, которая порой мешает обычной работе сети и достаточно сложна в настройке и эксплуатации. Положение усугубляется тем, что некоторые Интернет-провайдеры блокируют протоколы VPN, такие как Cisco Generic Routing Encapsulation (GRE) и Layer 2 Tunneling Protocol (L2TP), взимая дополнительную плату за их использование.

В конце концов поставщики VPN придумали обходной прием: VPN на основе SSL. На самом простом уровне для подключения SSL VPN пользователю требуется лишь браузер. VPN функционирует через стандартный порт SSL-порт 443, отлично приспособленный для работы с брандмауэрами и Интернет-провайдерами без особых настроек и дополнительной платы. Тем не менее, передовые продукты SSL VPN обеспечивают почти полную функциональность IPSec VPN и даже более детализированное управление политиками. У всех продуктов SSL VPN есть одна отличительная черта - простота установки и обслуживания, за что вам будет особенно благодарен персонал службы поддержки.

Чтобы понять, как использовать сети SSL VPN вместо IPSec-разно­видности, необходимо знать спектр продуктов и различные реализованные в них наборы функций. Список продуктов данной категории приведен в таблице «Основные участники рынка SSL VPN» . Одни продукты SSL VPN функционируют совсем без клиентов, а в других используются небольшие апплеты Java или модули ActiveX, автоматически загружаемые из Web. В ряде продуктов применяется простая проверка подлинности с идентификатором пользователя/паролем; в других же используются очень надежные цифровые сертификаты и/или двухфакторная проверка подлинности. В некоторых продуктах подключенным пользователям предоставляется полный доступ к сети; в других доступ можно ограничить только ресурсами, определенными политиками. Такова картина на рынке.

Принципы действия

Чтобы разобраться в принципах действия SSL VPN, рассмотрим основы IPsec для индивидуальных удаленных пользователей, для которых хост-компьютер выглядит напрямую подключенным к частной сети за брандмауэром компании. В IPsec этот эффект достигается благодаря созданию виртуального интерфейса сети непосредственно на компьютере конечного пользователя, связанного туннелем со шлюзом IPsec (автономным устройством или встроенным в брандмауэр компании). Поведение и вид этого виртуального интерфейса похоже на любой другой адаптер локальной или распределенной сети; в действительности, большинство IPSec VPN выглядят как Ethernet-платы с собственным IP-адресом и записями в таблице маршрутов. После того, как установлен туннель IPSec, удаленные пользователи могут свободно обращаться ко всем сетевым ресурсам на другом конце туннеля с использованием своих частных IP-адресов.

В отличие от традиционных VPN, сети SSL VPN не обязательно создают виртуальный интерфейс сети. Удаленный пользователь инициирует соединение SSL VPN, направляя браузер на шлюз SSL VPN, который может быть специализированным устройством или сервером с программой SSL VPN, такой как Microsoft Forefront Unified Access Gateway (UAG) 2010. Соединение шифруется с использованием протокола SSL/TLS, и в результате могут применяться различные механизмы проверки подлинности, поддерживаемые SSL. Проверка подлинности пользователей в SSL VPN может выполняться через существующую инфраструктуру каталогов, будь то Active Directory (AD) или открытый стандарт Lightweight Directory Access Protocol (LDAP). В результате пользователям не приходится запоминать дополнительный пароль и исключается одна из точек входа, добавление/удаление которой нужно отслеживать.

После того как пользователь начинает сеанс браузера SSL VPN, шлюз SSL VPN играет роль посредника для трафика HTTP и HTTP Secure (HTTPS), поступающего в сеть компании. Возможности веб-доступа SSL VPN удивят администраторов, привычных к традиционному SSL веб-серверов. Вместо того чтобы просто подключать пользователей к единственному SSL-совместимому веб-серверу, шлюз SSL VPN обеспечивает маршрутизацию пользователей к любому веб-приложению внутренней сети, даже если сами эти приложения не предназначены для применения с SSL. Этим и ограничиваются потребности многих пользователей в удаленном доступе.

Если бы этим ограничивались и возможности SSL VPN, этого было бы достаточно. Но они шире. В отличие от базовых IPsec VPN, через которые удаленные пользователи подключаются напрямую к локальной сети компании с немногими ограничениями или без них, шлюз SSL VPN обеспечивает возможность управления тем, к каким внутренним серверам может подключиться каждый пользователь. С помощью некоторых шлюзов можно даже управлять доступом на уровне URL-адресов, определяя части приложений, доступные удаленным пользователям. Такая точность управления недоступна в продуктах IPsec VPN с любой ценой.

Если пользователям требуется полный дистанционный доступ на сетевом уровне, то применение виртуального сетевого интерфейса, подобного созданному традиционной VPN, и локальных для компании IP-адресов позволяет добиться этого через специфический для каждого продукта приложения-коннектора «виртуальный IPsec». Эти приложения взаимодействуют с операционной системой пользователя таким же образом, как IPsec, путем создания виртуального сетевого интерфейса. Но в отличие от IPsec, этим приложениям не требуется сложная настройка, так как пользователю не предоставляются параметры для выбора. Администратор шлюза SSL VPN выполняет все настройки, назначая различные политики доступа для шлюза. Таким образом, можно предоставить одному пользователю доступ по протоколу FTP к серверу финансового отдела, другому - возможность отправлять почту SMTP и третьему запретить оба этих действия.

Расширенные возможности SSL VPN зависят от поставщика, но, поскольку пользователям не нужно устанавливать никаких программ, проблем совместимости не возникает. Требуется лишь выяснить, поддерживает ли поставщик операционные системы, с которыми работают пользователи. Не все продукты совместимы со всеми операционными системами, но все поддерживают Windows и Internet Explorer (IE), пользователи которых формируют основной спрос на SSL VPN. Но кроме совместимости с операционной системой необходимо учитывать основные категории, на которые делятся продукты SSL VPN: простые, гибридные, многофункциональные и многофункциональные гибридные.

Разновидности SSL VPN

Простой шлюз. Простой шлюз обеспечивает минимальный набор функций SSL VPN, который в действительности достаточно широк: proxy HTTP и HTTPS, детальное управления доступом на уровне IP-адресов, проверка подлинности с использованием пароля и сертификата, учет доступа и управление аудитом. Пользователь почти любого браузера может обратиться к простому шлюзу, так как не применяется никаких приложений или элементов управления ActiveX. Простой шлюз размещается за брандмауэром компании, в локальной сети или демилитаризованной зоне, а трафик следует через порт 443. Простой шлюз не предназначен для функционирования в качестве брандмауэра и во многих случаях подключается к одному порту Ethernet, обслуживающему как сеансы SSL VPN, исходящие из глобальной сети, так и направляемый в локальную сеть пользовательский трафик.

Существенное преимущество простого шлюза перед базовым подключением IPSec заключается в том, что внутренняя сеть не открыта для разнообразных протоколов конечных пользователей. Это обеспечивает уровень защиты от вирусов и атак хакеров. Однако есть одна проблема безопасности, связанная с простыми шлюзами, как будет показано в следующем разделе.

Гибридный шлюз. Гибридный шлюз поддерживает как SSL, так и IPsec VPN, обеспечивая единую точку управления всем удаленным доступом. Он не располагает дополнительной функциональностью, но возможности SSL VPN часто можно получить путем модернизации шлюза IPsec. Обладателям шлюза IPsec следует в первую очередь подумать о приобретении SSL VPN у данного поставщика, так как в большинстве случаев проще иметь дело с одним поставщиком, чем с двумя.

Многофункциональный шлюз. Многофункциональный шлюз поддерживает не просто службу VPN. Он может служить пограничным брандмауэром, использоваться для размещения веб-портала компании, обнаруживать и предотвращать попытки несанкционированного доступа, фильтровать вирусный трафик и выполнять другие функции. Нет четких критериев многофункционального шлюза, как и веской причины для их существования, помимо удобства приобретения и администрирования. Возможно, разумнее отделить SSL VPN от других процессов безопасности сети; при этом сохраняется свобода выбора продукта в будущем и упрощается начальное развертывание и диагностика SSL VPN.

Многофункционально-гибридный шлюз. В многофункционально-гибридных продуктах сочетаются характеристики гибридных и многофункциональных шлюзов. Их разносторонние возможности могут быть полезны для крупных компаний, но, скорее всего, лягут тяжелой ношей на плечи рядового сетевого администратора. Поэтому будьте осторожны, выбирая эти универсальные продукты.

Известные уязвимые места

Легко поверить, что с установкой любого VPN-подключения немедленно решаются все проблемы безопасности для удаленных пользователей. Но, как хорошо известно пользователям IPsec, это не всегда так. От неправильно развернутой VPN может исходить такая же опасность, как от локальной сети, подключенной к Интернету без брандмауэра. Если удаленная сеть или конечный пользователь скомпрометированы (вирусом, шпионской программой или взломщиком), то VPN (традиционная или SSL) может стать каналом для проникновения вредоносных агентов во внутреннюю сеть компании.

В этом отношении SSL VPN менее опасны, так как в них автоматически применяются политики доступа, специфические для конечных точек, а в большинстве действуют также политики доступа для приложений. Если не активизировать истинный интерфейс виртуальной сети, соединения SSL VPN будут предназначены для отдельных приложений, что существенно снижает уязвимость для атаки. Возможность ограничить взаимодействия пользователей на уровне URL-адресов обеспечивает еще более детальное управление с применением политик. Но, как и в традиционных VPN, детальные политики принесут пользу, только если позаботиться об их настройке.

Однако у SSL VPN есть несколько уязвимых мест, которых нет в традиционных VPN. Простота, с которой пользователи могут установить соединение SSL VPN (только через браузер), вызывает соблазн подключаться из опасных мест, например с незащищенных ноутбуков и настольных компьютеров и даже из общедоступных интернет-киосков. Это опасно, так как компьютер может быть заражен программой, перехватывающей нажатия на клавиши или снимки экрана. Несмотря на более строгие политики, злоумышленник сможет увидеть и сделать все, что видит и делает конечный пользователь на скомпрометированной рабочей станции.

Большинство шлюзов SSL VPN автоматически отключают удаленных пользователей от общедоступного Интернета, пока активен туннель VPN, вынуждая пользователей обращаться в Интернет через него. Таким образом удается избежать атак типа split-network, в ходе которых взломщик получает доступ в реальном времени к локальной сети компании через туннель VPN. В SSL VPN для защиты от подобных угроз все обращения к браузеру просто направляются через VPN, а другие Интернет-протоколы блокированы. Но split-network - лишь одна из угроз.

Вторая угроза еще более коварна. На сегодня для нее не существует противоядия, известен только обходной прием. В результате взломщик может полностью завладеть компьютером пользователя; причина в неудачной реализации программы, устанавливаемой многими продуктами в начале сеанса SSL VPN. Если в приложении Java или Active X есть функция для запуска на компьютере пользователя локальной программы, например клиентского приложения, то взломщик сможет запустить вредную программу, в частности простой (но очень опасный) регистратор нажатий на клавиши. В целом эта функция удобна для конечных пользователей: автоматический запуск локальной программы, например для ввода заказов, упростит работу пользователя. Чтобы обойти эту проблему, необходимо отключить функцию запуска приложений.

Третий класс угроз - заражение вирусами и шпионскими программами, что может привести к внедрению опасных программ за брандмауэром. Вредные программы могут проникнуть вместе с вложенными файлами электронной почты и пересылаемыми файлами или (если используются коннекторы протоколов SSL VPN) через любой протокол TCP/IP. Такие угрозы иногда называют пассивными, так как они не направлены на конкретную цель и просто пытаются распространиться на все доступные компьютеры в сети. Благодаря SSL уязвимых мест становится меньше, но они не исчезают.

В действительности от двух последних угроз существует лишь одна защита: строгий контроль компьютеров, используемых для доступа к VPN. Для этого необходимо регулярно выполнять поиск вирусов и шпионских программ, запретить использование удаленных компьютеров в незащищенных сетях и объяснить пользователям риски, связанные с попытками обхода политик безопасности. В некоторых шлюзах SSL VPN для защиты от вредных программ применяются программы, которые проверяют целостность системы пользователя до подключения к сети, обнаруживают попытки несанкционированного доступа и запрещают удаленный трафик.

В дополнение к обычной односторонней проверке подлинности SSL следует назначить двустороннюю проверку как удаленного пользователя, так и VPN назначения. Проще всего сделать это с помощью цифровых сертификатов, распространяемых из инфраструктуры PKI. К счастью, все, кроме простейших шлюзов и SSL VPN, поддерживают такую проверку подлинности. Еще одно заслуживающее внимания средство безопасности - двухфакторная проверка подлинности. Наряду с обычным именем пользователя и паролем для регистрации требуется пароль второго уровня, вводимый через особое устройство или USB-накопитель или по специализированному каналу связи. Очень удачная разновидность последнего - шлюз, который передает на сотовый телефон удаленного пользователя SMS-сообщение, содержащее разовый пароль, который пользователь должен ввести, чтобы получить доступ.

Пакет SSL VPN

Подавляющее большинство шлюзов SSL VPN представляют собой специализированные устройства, но есть и программные продукты для серверов UNIX или Windows. Цена как аппаратных, так и программных продуктов определяется в основном количеством пользователей. В аппаратных устройствах это ограничение может зависеть от характеристик оборудования или строго заданного предельного числа пользователей. Для программных продуктов, в том числе Microsoft Forefront UAG, часто требуется отдельно покупать лицензии каждому пользователю.

Во многих аппаратных брандмауэрах имеются расширенные функции SSL VPN, которые можно получить, приобретая дополнительную лицензию, обычно с 30?дневным пробным периодом. Учтите, что процессы шифрования SSL VPN могут создать существенную нагрузку на брандмауэр компании, если в устройстве нет специализированного блока аппаратного шифрования. Даже в этом случае трафик SSL VPN может мешать незашифрованному трафику, например VoIP, поэтому может быть предпочтительно реализовать SSL VPN на отдельном устройстве или сервере. Как и в случае с телевизорами со встроенными функциями видеозаписи, встраивание SSL VPN может осложнить попытки модернизации в будущем как брандмауэра, так и компонента SSL VPN шлюзового устройства.

Наконец, рассматривая исключительно программные SSL VPN, помните, что без специальных устройств шифрования эти продукты обслуживают ограниченное количество пользователей. Приобретение лицензий из расчета на одного пользователя часто привлекательно при закупке продукта для 200 и более рабочих мест, а услуги SSL VPN иногда предоставляются по условиям существующей лицензии, но немногие готовые серверы обеспечивают даже часть такого числа одновременных VPN-туннелей.

Сначала пробуй, затем покупай

Вооружившись пониманием различий между традиционными VPN и SSL VPN и знанием преимуществ простоты использования, можно приступать к выбору шлюза SSL VPN. Обязательно учитывайте потребности пользователей и выбирайте продукт с достаточными возможностями для защиты от угроз, возникающих перед сообществом пользователей. Большинство VPN-продуктов, в том числе аппаратных устройств, предоставляются в недорогих вариантах ценой всего несколько сотен долларов. Их можно опробовать, прежде чем потратить деньги на полноценное решение для компании. Очень хорошо, что у продуктов SSL VPN нет проблемы совместимости с инфраструктурой, поэтому приступить к тестированию можно безотлагательно.

Мел Бекман ([email protected]) - старший технический редактор System iNEWS. Президент компании Beckman Software Engineering, специализирующейся на техническом консалтинге в области высокомасштабируемых широкополосных сетей

Технология SSL VPN-Plus позволяет предоставить доступ удаленным сотрудникам к Вашему облачному ЦОДу. При этом сотрудники получают защищенный доступ только к тем ресурсам, которые считаются необходимыми для этих сотрудников, даже если доступ производится с общедоступной машины, которая находится вне контроля компании и рассматривается как «ненадежная».

В данной статье представлена информация по настройке SSL VPN-Plus .

Используемая топология:

1. В разделе «Administration» переходим в нужный ЦОД. В появившемся меню настроек переходим во вкладку «Edge Gateways» . Выбираем нужный «vShield Edge». Нажимаем правой кнопкой мыши и в появившемся меню выбираем опцию «Edge Gateway Services» .

1. Открываем вкладку SSL VPN-Plus , переходим на вкладку Server Settings и активируем SSL VPN server, нажав тумблер Enabled .

Затем выбираем IP адрес vShield, port – 443, отмечаем галочками все алгоритмы шифрования.

1. На вкладке Client Configuration проверяем, что выбран Tunneling mode – Split

1. На вкладке Users для каждого подключающегося сотрудника создаем реквизиты для подключения.

1. На вкладке IP Pools создаем диапазон ip адресов, которые будут назначаться подключающимся компьютерам

1. На вкладке Installation Packages создаем параметры установочного пакета клиентской программы. При обращении к IP адресу Gateway (vShield) будет происходить скачивание клиентской программы SSL VPN-Plus.

Галочками выбираем типы операционных систем, с которых будут происходить подключения. Это необходимо для предварительного формирования установочных пакетов.

1. На вкладке Private Networks мы задаем диапазоны сетей облачного ЦОД, к которым подключаемый сотрудник будет иметь доступ

1. На этом настройка закончена . Теперь, перейдя по ссылке https://195.211.5.130/sslvpn-plus/ и авторизовавшись, вы сможете скачать клиентскую программу SSL VPN-plus и подключиться к облачному ЦОД.