SSL VPN-PLUS Technology Ti consente di fornire accesso ai dipendenti remoti al tuo regoma del cloud. Allo stesso tempo, i dipendenti ricevono accesso sicuro solo alle risorse ritenute necessarie per questi dipendenti, anche se l'accesso è fatto da un'auto disponibile pubblicamente, che è fuori dal controllo della società ed è considerata "inaffidabile".

Questo articolo fornisce informazioni sulla configurazione. SSL VPN-PLUS.

Topologia usata:

1. Nel capitolo "Amministrazione" Vai al data center desiderato. Nel menu Impostazioni che appare, vai alla scheda. "Gateway Edge". Scegli il "Vshield Edge" desiderato. Premere il tasto destro del mouse e selezionare l'opzione nel menu "Edge Gateway Services".

1. Apri la scheda SSL VPN-PLUS, vai alla scheda Impostazioni del server e attiva il server VPN SSL premendo la tabella Abilitato..

Quindi selezionare l'indirizzo IP VShield, Porta - 443, contrassegnare tutti gli algoritmi di crittografia.

1. Sulla scheda Configurazione del client. Controlla quello selezionato Modalità Tunneling - Split

1. Sulla scheda Utenti. Per ogni dipendente connesso, creare dettagli per il collegamento.

1. Sulla scheda Piscine IP. Creare una gamma di indirizzi IP che verranno assegnati ai computer collegati.

1. Sulla scheda Pacchetti di installazione. Creare le impostazioni del pacchetto di installazione del programma client. Quando si accede al gateway indirizzo IP (VShield), il programma client SSL VPN-PLUS verrà scaricato.

Zecche Scegli i tipi sistemi operativiCon cui si verificherà le connessioni. Questo è necessario per pre-formando i pacchetti di installazione.

1. Sulla scheda Reti private. Impostiamo le gamme delle reti di dati cloud in cui il dipendente collegato avrà accesso

1. Su questo setup completato. Ora, cliccando su https://195.211.5.130/SSLVPN-PLUS/ e loggato, è possibile scaricare il programma client SSL VPN-PLUS e connettersi al codice nuvoloso.

Pubblicato il 3 febbraio 2009 per · Nessun commento

Se hai perso le parti precedenti di questa serie di articoli, leggi:

Nelle prime due parti di questa serie di articoli su come creare un server VPN SSL basato su Windows Server 2008, abbiamo considerato alcune basi per l'edilizia delle reti VPN e quindi hanno discusso l'impostazione del server. In questa fase, siamo pronti per completare l'esecuzione di alcune modifiche minori nella configurazione di Active Directory e sul sito Web CA. Dopo che soddisfiamo queste modifiche, ci concentreremo sulla configurazione del client VPN e alla fine creerà una connessione VPN SSL.

Configurare l'account utente per utilizzare le connessioni dial-up

Gli account utente richiedono le autorizzazioni per il dial-up, prima di connettersi a windows Server. VPN, che è incluso in dominio attivo. Directory. Il modo migliore per farlo è utilizzare il server Network Policy Server (NPS), nonché il resolve dell'account utente predefinito accesso remoto In base alle politiche NPS. Tuttavia, nel nostro caso, non abbiamo installato il server NPS, quindi dovremo personalizzare la risoluzione dell'utente per accedere manualmente il dial-in.

Dedicherò il seguente articolo utilizzando il server NPS e l'autenticazione del certificato utente EAP per creare connessioni con un server VPN SSL.

Per consentire a un account utente specifico Account utente Accesso per connettersi a un server SSL VPN, è necessario eseguire i seguenti passaggi. In questo esempio, attivaremo l'autorizzazione del dial-in accesso per l'account amministratore di dominio predefinito:

Impostazione dell'IIS sul server dei certificati (server certificato) per abilitare le connessioni HTTP per la directory CRL

Per qualche motivo, quando la procedura guidata di installazione installa i servizi di certificati del sito Web, configura la directory CRL sulla connessione SSL. Sebbene in termini di sicurezza, sembra una buona idea, il problema è che l'identificativo delle risorse unificate (URI) sul certificato non è configurato per utilizzare SSL. Credo che tu possa creare indipendentemente un record CDP per un certificato in modo che possa usare SSL, ma posso sostenere che Microsoft non ha menzionato questo problema. Poiché in questo articolo usiamo parametri standard per CDP, dobbiamo disabilitare il requisito SSL sul sito Web CA per il percorso della directory CRL.

Per disattivare il requisito SSL per la directory CRL, attenersi alla seguente procedura:

Impostazione del file host per VPN del client

Ora possiamo pagare tutta l'attenzione del client VPN. La prima cosa che dobbiamo fare con il client è configurare il file host in modo che possiamo imitare l'infrastruttura DNS pubblica. Esistono due nomi che dobbiamo contribuire al file host (la stessa necessità da fare per il server DNS pubblico che utilizzerai nelle reti di produzione). Il nome è il nome del server VPN, come definito dal nome comune / soggetto del certificato, che abbiamo legato al server VPN SSL. Il secondo nome che dobbiamo entrare nel file host (e il server DNS pubblico) è il nome dell'URL CDP, che è sul certificato. Abbiamo visto la posizione delle informazioni di CDP nella seconda parte di questa serie.

I due nomi che devono essere inseriti nel file host in questo esempio saranno:

192.168.1.73 Sstsp.msFirewall.org.

192.168.1.73 win2008rc0-dc.msFirewall.org.

Per configurare il file host per Vista SP1 VPN client, seguire queste procedure:

1. Chiudi il file e seleziona l'opzione. salvare le modifiche.

Usando PPTP per connettersi a un server VPN

Avviamo gradualmente affrontando la creazione di connessioni VPN SSL! Il passo successivo sarà la creazione di un connettore VPN sul client VISTA SP1, che ci consentirà di creare una connessione VPN iniziale al server VPN. Nel nostro caso, deve essere fatto perché il computer del cliente non è membro del dominio. Poiché la macchina non è membro del dominio, il certificato CA non verrà automaticamente installato nelle sue autorità di certificazione di radice affidabili. Se l'auto è stata inclusa nel dominio, la registrazione automatica ci si prenderà cura di questo problema, dal momento che abbiamo installato Enterprise Ca.

Il modo più semplice per eseguire questo passaggio è creare una connessione PPTP del client VPN VSTA SP1 a Windows Server 2008 VPN Server. Per impostazione predefinita, il server VPN supporterà le connessioni PPTP e il client proverà prima PPTP prima di provare L2TP / IPSec e SStP. Per fare ciò, dobbiamo creare un connettore VPN o un oggetto di connessione.

Per creare un connettore su un client VPN, attenersi alla seguente procedura:

Ottieni il certificato CA con Enterprise Ca

Il client SSL VPN deve fidarsi di CA, che ha rilasciato un certificato utilizzato dal server VPN. Per creare questa fiducia, è necessario installare un certificato CA su CA, che ha emesso un certificato per un server VPN. Possiamo farlo collegando al sito Web della registrazione sulla CA nella rete interna e installando il certificato VPN del cliente nelle sue autorità di certificazione di root affidabili.

Per ottenere un certificato dal sito di registrazione, attenersi alla seguente procedura:

1. stampa Vicino Nella finestra di dialogo.
2. Vicino Internet Explorer. .

Ora dobbiamo installare il certificato CA nell'autorità di certificazione delle autorità di certificazione di radice affidabile del client VPN. Per fare ciò, effettuare le seguenti operazioni:

1. Chiudi console MMC.

Configurare il client per utilizzare SSTP e connessione a un server VPN tramite SSTP

E quasi tutto è pronto! Ora dobbiamo disabilitare la connessione VPN e configurare il VPN del client per utilizzare SSTP per il protocollo VPN. Nell'ambiente di produzione non è necessario utilizzare questo passaggio per gli utenti, poiché utilizzerai il pacchetto Kit di amministrazione Gestione connessione per creare un oggetto di connessione VPN per un utente che includerà un client utilizzando SSTP, oppure configurerai solo le porte SSTP un server VPN.

Tutto dipende dalla configurazione dell'ambiente, dal momento che è necessario distribuire l'ora in modo che gli utenti possano utilizzare PPTP per un po 'di tempo fino a quando non si installano certificati. Naturalmente, è possibile installare CA Certificati non tramite la rete, cioè scaricando da un sito Web o via e-mail, e in questo caso non è necessario autorizzare gli utenti PPTP. Ma poi, se alcuni client non supportano SSTP, è necessario risolvere PPTP o L2TP / IPsec e non è possibile disattivare tutte le porte non SSTP. In questo caso, dovrai contare su impostazione manuale o sul pacchetto CMAK aggiornato.

Un'altra opzione qui può essere un legame SSTP client su un indirizzo IP specifico sul server RRAS. In questo caso, è possibile creare un pacchetto personalizzato CMAK che si riferisce solo all'indirizzo IP sul server VPN SSL, ascoltando la rete per le connessioni SSTP in entrata. Altri indirizzi sul server VPN SSTP ascolteranno la rete per le connessioni PPTP e / o L2TP / IPSec.

Effettuare i seguenti passaggi per disabilitare la sessione PPTP e configurare l'oggetto Connection VPN client per utilizzare SSTP:

Figura 29.

Conclusione

In questa parte finale della nostra serie di articoli su come raccogliere un server VPN SSL utilizzando Windows Server 2008, abbiamo completato la configurazione dell'account utente, il sito Web CRL e il client SSL. Abbiamo anche completato la creazione del composto SSTP e ha confermato che ha avuto successo. Grazie!

Source www.windowsecurity.com.

Guarda anche:

Commenti dei lettori (nessun commento)

Exchange 2007.

Se si desidera leggere parti precedenti di questa serie di articoli, segui i collegamenti: conducendo il monitoraggio di Exchange 2007 utilizzando il gestore di sistema ...

Introduzione In questo articolo, da diverse parti, voglio mostrarti il \u200b\u200bprocesso che è stato recentemente usato per andare ambiente esistente Exchange 2003 ...

Se hai perso la prima parte di questa serie, leggilo per riferimento utilizzando lo strumento Analizzatore Remote Connectivity Exchange Server (parte ...

Attualmente ci sono due tipi di VPN personalizzati:
SSL VPN. e IPSEC VPN. E ognuno di loro ha i suoi vantaggi e svantaggi.

Il vantaggio principale della VPN SSL è la semplicità della sua implementazione: tutti i browser supportano SSL, tutti i provider passano e non limitano la SSL.
Alcuni tipi di accesso tramite SSL VPN possono essere eseguiti letteralmente da qualsiasi browser e su qualsiasi piattaforma.

IPSec VPN è considerato un protocollo più sicuro.

SSL e TLS.

Molto spesso nella letteratura tecnica è possibile soddisfare i concetti di SSL e TLS.

Entrambi i protocolli sono. protocolli crittograficiFornire trasmissione di dati sicure su Internet (e-mail, navigazione web, messaggistica istantanea).
I protocolli forniscono riservatezza, integrità, servizi di autenticazione.
SSL e TLS funzionano a livello Strato di sessione. Modelli OSI o superiore.
I protocolli possono utilizzare infrastruttura chiave pubblica (PKI) Così come i certificati per l'autenticazione e il trasferimento a vicenda tasti simmetrici.
Oltre a IPsec per crittografare i dati, usano le chiavi simmetriche.

La maggior parte dei programmi del browser sicuri sono realizzati tramite SSL o TLS.
Inizialmente, è apparso SSL, Netscape è stato sviluppato.
TLS è l'ulteriore sviluppo di SSL, così come lo standard sviluppato da Task Force di ingegneria Internet (IETF).
Ad esempio, TLS 1.0 è basato su SSL3.0.
Ciò che specificamente utilizzare SSL o TLS risolve i browser stessi: TLS è preferito, ma è possibile passare a SSL.

Pertanto, è importante capire che l'utilizzo del termine SSL, implica SSL o TLS.
Ad esempio, Cisco SSL VPN utilizza effettivamente TLS.

Operazioni SSL.

Quindi, SSL viene utilizzato nella maggior parte dei servizi online che richiedono sicurezza.
Consideriamo passo dopo passo, che sta accadendo quando il client si connette al server bancario utilizzando SSL:

• Il client inizializza la connessione al server al suo indirizzo IP e alla porta 443. Il client e la porta del client e della porta vengono utilizzati rispettivamente come sorgente.
• C'è una connessione di processo TCP standard utilizzando stretta di mano a tre vie
• Il client dona la connessione SSL e il server risponde inviando il suo certificato digitale, che contiene chiave pubblica. Questo server.
• Dopo aver ricevuto un certificato, il cliente deve decidere: fidarsi di questo certificato o meno.
  I meccanismi PKI iniziano a lavorare qui.
  Se il certificato digitale è firmato da CA, che il client si fida di + certificato valido per data + certificato seriale non è elencato in elenco di revoca del certificato (CRL) - Il cliente può fidarsi del certificato e dell'uso chiave pubblica. Questo certificato.
• Il client genera chiave simmetrica segreto condiviso.che verrà utilizzato per crittografare i dati tra il client e il server. Quindi, il cliente è crittografato segreto condiviso. usando chiave pubblica. E trasferisce questo al server.
• Server usando il tuo. chiave privata., decrittografa la chiave simmetrica risultante segreto condiviso..
• Entrambi i lati ora sanno segreto condiviso. E può crittografare la sessione SSL.

Tipi SSL VPN.

SSL VPN può essere diviso in due tipi:

• VPN SSL senza client. - chiamato anche Web VPN.. Non richiede l'installazione del client. Opportunità limitate.
• CESCO CISCO completo Client Secure Mobility client SSL VPN client - Cliente SSL completo che richiede l'installazione su un software client che fornisce accesso a pieno regime alla rete aziendale

Impostazione della VPN SSL.

1. Copia il file PKG AnyConnect.
   Nel nostro caso, è anyConnect-win-3.1.08009-k9.pkg
2. Specifichiamo il file PKG e attiva il servizio di servizio WebVPN AnyConnect.
   

   webVPN AnyConnect Image Disk0: /anyConnect-Win-3.1.08009-K9.pkg 1 Abilita ESTRALE 2 Abilita Abilita

3. Tranne (esenti) SSL WebVPN traffico dai controlli interfaccia esterna ACL.. Abbiamo bisogno di creare regole di autorizzazione in ACL o utilizzare il comando:
   

   mSK-ASA-01 (config) sysopt Connection Permet-VPN

4. Per comodità, regolare il reindirizzamento da 80 a 443:
   

   http reindirizza fuori2 80

5. Creare Pool di indirizzo IP.. Questi indirizzi saranno rilasciati agli utenti remoti.
   

   iP Piscina locale VPNPool_Pool 192.168.93.10-192.168.93.10.254 Mask 255.255.255.0

6. Creare Esenzione NAT Per il traffico tra LAN Network. e la rete VPNPool. Facciamo questa eccezione, dal momento che il traffico crittografato non dovrebbe passare attraverso Nat. Questo passaggio è necessario se questo NAT è configurato su ASA.
   Rete dell'oggetto VPNPool_obj.

   Network Network VpnPool_obj Subnet 192.168.92.0 255.168.92.0 255.255.25.0 Object-Group Network RFC1918_objg Network-Object 192.168.0.0 255.255.0.0 Network-oggetto 172.16.0.0 255.240.0.0 Network-oggetto 10.0.0.0 255.0.0.0 NAT (interno, esterno) Sorgente statica RFC1918_Objg RFC1918_Objg Destinazione VPNPOol_obj VPNPool_obj No-Proxy-ARP Route-Lookup

7. Creare ACL di Split-Tunnel, questa impostazione consentirà agli utenti quando collegati tramite VPN utilizzano simultaneamente Internet. Senza questa impostazione, tutto il traffico sarà avvolto nel tunnel.
   

   elenco di accesso SPLIT-TUNNEL_ACL Permesso standard 192.168.10.0 255.255.255.0

   Questa impostazione sarà avvolta nel traffico del tunnel solo sulla rete dello stesso RFC1918.

8. Creare Politica di gruppo.
   Possiamo creare più criteri di gruppo e in ogni configurazione di attributi di rete, come gli indirizzi del server DNS, le impostazioni di tunneling diviso, il dominio predefinito, il protocollo (SSL o IPsec), ecc.

   politica di gruppo AnyConnect_GP Policy di gruppo interno AnyConnect_GP Attributi DNS-Server Valore 192.168.10.5 VPN-Tunnel-Protocollo SSL-client SSL-SSL-Spalato-Tunnel-Policy TunnelsPecificato Split-Tunnel-Elenco di rete Valore Split-Tunnel_ACL WebVPN AnyConnect Keep-installer Installato AnyConnect DPD-Interval Client 20 AnyConnect Chiedi Nessuno Default AnyConnect

9. Creare Gruppo del tunnel..
   Gruppo del tunnel nell'interfaccia ASDM è chiamato entrambi i profili di connessione.
   Il gruppo Tunnel dovrebbe includere un criterio di gruppo configurato e combinarlo con un pool di indirizzi IP.
   Possiamo creare diversi gruppi di questo tipo e l'utente al momento del login può scegliere te stesso il gruppo del tunnel desiderato con tutte le caratteristiche necessarie: parametri ereditari da Criteri di gruppo + Piscina all'indirizzo

   tunnel-Group VPN-Users_tg Tipo Tunnel di accesso remoto-Gruppo VPN-Users_tg Attributi generali-Attributi indirizzi-pool VPNPOol_Pool-Group-Group-Policy AnyConnect_GP Tunnel-Group VPN-Users_tg WebVPN-Attributi Group-Alias \u200b\u200bVPN_USERS-ALIAS Abilita WebVPN Tunnel-Group- Elenco ENABLE.

   L'ultimo comando consente agli utenti di scegliere il gruppo del tunnel.
   Per gli utenti, questo gruppo guarderà con il nome "VPN_USERS-ALIAS"

AnyConnect deve già guadagnare, - puoi andare sotto la contabilità amministratore.

Monitoraggio SSL VPN.

• Asdm: Monitoraggio\u003e VPN\u003e Statistiche VPN\u003e Sessioni
• Da CLI:
  

  vPN # mostra Uauth. Attuale Utenti autenticati più visti 1 1 auten in corso 0 0 Accesso remoto VPN Utente "VPN_Video_User1" a 192.168.92.25, Elenco di accesso autenticato # ACSACL # -IP-VIDEO_DACL-54DC357 (*)

  vPN # mostra l'elenco degli accessi Access-list Flussi di registro ACL memorizzati nella cache: Totale 0, negato 0 (Deny-flow-max 4096) Intervallo di avviso 300 Elenco di accesso Split-Tunnel_ACL; 1 elementi; Nome hash: 0xb6fb0e list-list-list Split-tunnel_acl linea 1 Permesso standard 192.168.10.0 255.255.255.0 (HITCNT \u003d 0) 0x13482529 Elenco di accesso # ACSACL # -P-Video_DACL-54DC357; 1 elementi; Nome hash: 0x6c7d7b7f (dinamico) list-list # ACSACL # -IP-VIDEO_DACL-54DDC357 LINEA 1 LINEA AMMORY IP Any4 Host 192.168.10.45 (HITCNT \u003d 0) 0x4CE5Deb8

  Guardiamo lo slavinen

  mostra riepilogo VPN-Sessiond

  mostra VPN-SessionD AnyConnect

  Getta un utente da VPN:

  vPN-SessionDB Nome disconnessione Langemakjj

Le reti VPN sono entrate nella nostra vita molto sul serio, e penso per molto tempo. Questa tecnologia viene utilizzata sia nelle organizzazioni di combinare uffici in un'unica sottorete o per fornire accesso alle informazioni interne degli utenti mobili ea casa quando si entra in Internet attraverso il fornitore. Si può dire con la fiducia che ciascuno degli amministratori è stato necessariamente impegnato a configurare una VPN, come ogni utente del computer con accesso a Internet utilizzato questa tecnologia.

Infatti, la tecnologia IPSec VPN è molto comune. Sono scritti molti articoli diversi di tecnica che di sorveglianza e analitica. Ma la tecnologia SSL VPN è apparsa relativamente recente, che ora è molto popolare nelle aziende occidentali, ma in Russia non hanno prestato molta attenzione ad esso. In questo articolo, cercherò di descrivere ciò che il VPN IPSEC differisce da SSL VPN e quali vantaggi utilizzano VPN SSL all'interno dell'organizzazione.

IPSec.VPN - I suoi vantaggi e svantaggi

Nella prima parte vorrei attirare l'attenzione sulla definizione di VPN, la più comune "VPN è una tecnologia che combina reti, nodi e utenti fidati attraverso reti aperte che non sono fiducia" (© Check Point Software Technologies).

Infatti, in caso di nodi attendibili, l'applicazione di IPSec VPN è il modo più economico. Ad esempio, per collegare gli uffici remoti a una singola rete aziendale, è richiesta una guarnizione o un noleggio di righe selezionate e Internet viene utilizzato. Come risultato della costruzione di tunnel protetti tra reti attendibili, viene formato un singolo spazio IP.

Ma quando si organizza l'accesso remoto ai dipendenti IPSec, le soluzioni vengono utilizzate per limitare solo i dispositivi affidabili, come i laptop dell'utente aziendale. Per applicare IPSec VPN, il servizio IT deve installare e configurare ciascun dispositivo attendibile (che si desidera fornire l'accesso remoto) un client VPN e mantenere il funzionamento di questa applicazione. Quando si installano soluzioni IPSec, è necessario tenere conto del loro costo "nascosto" associato a supporto e supporto, poiché per ciascun tipo di client mobile (laptop, PDA, ecc.) E ogni tipo di ambiente di rete (accesso tramite il fornitore Internet , Accesso dalla rete della società -clin, accesso tramite la traduzione degli indirizzi) richiede la configurazione del client IPSec originale.

Oltre al supporto, ci sono diversi problemi molto importanti:

• Non per tutti i dispositivi mobili fidati utilizzati in azienda ci sono clienti VPN;
• In vari sottoreti, da cui l'accesso (ad esempio, rete aziendale I porti necessari partner o cliente) possono essere chiusi e è richiesto un ulteriore coordinamento della loro apertura.

Non ci sono tali problemi quando si utilizza SSL VPN.

SSL.VPN - Algoritmo da lavoro utente

Supponiamo che tu sia in viaggio d'affari, non potresti darti un laptop durante la tua azienda. Ma hai bisogno:

• Durante la tua assenza in ufficio, non cadere dal flusso di lavoro;
• Trasmettere e ricevere e-mail;
• Utilizzare i dati da qualsiasi sistema aziendale che operano nella tua azienda.

Alla tua mano, al meglio, il computer nella rete dell'organizzazione, dove sei arrivato su un viaggio di lavoro, con accesso a Internet solo sul protocollo HTTP / HTTPS, nel peggiore dei casi - il solito Internet Cafe del tuo hotel.

SSL VPN risolve con successo tutte queste attività e il livello di sicurezza sarà sufficiente per lavorare con informazioni critiche da Internet Cafe ...
In effetti, esegui le seguenti azioni:

• Hai solo bisogno di un browser Internet (Internet Explorer, Firefox, ecc.);
• Nel browser Internet, digitare il dispositivo SSL VPN indirizzi;
• Avanti automaticamente i download e inizia Applet Java. o componente ActiveX che ti offre autenticati;
• Dopo l'autenticazione, applicano automaticamente le politiche di sicurezza appropriate:
  • controllo del codice dannoso (in caso di rilevamento che è bloccato);
  • viene creata un ambiente di elaborazione delle informazioni chiuse - tutti i dati (compresi i file temporanei) trasmessi dalla rete interna, dopo che la sessione è completata, verrà eliminato dal computer da cui è stato effettuato l'accesso;
  • Anche durante la sessione è usato mezzi aggiuntivi protezione e controllo;
• Dopo le procedure di sicurezza di successo, tutti i collegamenti necessari "in un unico clic del mouse" stanno diventando disponibili:
  • Accesso a file server. con la possibilità di trasferire file sul server;
  • Accesso alle applicazioni Web aziendali (ad esempio, portale interno, accesso Web Outlook, ecc.);
  • Accesso terminale (MS, Citrix);
  • Strumenti di amministrazione (ad esempio, console SSH);
  • E, naturalmente, la possibilità di un VPN a pieno titolo tramite il protocollo HTTPS (senza la necessità di pre-installare e configurare un client VPN) - la configurazione viene trasmessa direttamente dall'ufficio, in conformità con i dati di autenticazione.

Pertanto, l'uso di SSL VPN risolve diverse attività:

• Semplificazione significativa del processo di amministrazione e del supporto utente;
• Organizzazione di accesso protetto a informazioni critiche da nodi non affidabili;
• Opportunità di utilizzare su qualsiasi dispositivi mobili, così come su qualsiasi computer (compresi i chioschi Internet) con accesso a Internet (senza impostazioni precedenti e impostazioni software speciali).

SSL.VPN - Produttori e opportunità

Il mercato VPN SSL domina soluzioni hardware. Tra i fornitori SSL VPN Solutions sono tutti noti produttori di attrezzature di rete attive:

• Cisco.
• Huawai.
• Ginepro
• Nokia.
• Eccetera.

Tra le implementazioni del software, gli specialisti Alatus assegnano una decisione sulla base di SSL Explorer. Aziende 3SP Ltd.che è accuratamente conforme alle esigenze dei clienti.

Vorrei anche dare un tavolo che confronta le funzionalità di IPSec VPN e SSL VPN:

Caratteristica	IPSEC VPN.
Supporto per l'applicazione
Supporto per applicazione aziendale.
Supporta applicazioni HTTP.
Supporta l'accesso ai file server
Supporto Accesso terminale
Architettura di rete
PC aziendale
PC mobile
Lavora da una rete di terze parti (per un firewall)	- (Richiede porte di apertura)	+ (Lavora tramite https)
Computer pubblico (Internet cafe)	- (Richiede l'installazione del client)
PCC, Communicator.	-+ (Per il dispositivo dovrebbe esserci un client VPN)
Fornire protezione
Capacità di rigorosa autenticazione	+ (Nella maggior parte dei casi)
Web Single Sign-On	-
Applicazione automatica delle politiche di sicurezza a seconda del tipo di oggetto e dell'utente	- (Richiede decisioni aggiuntive)
Inoltre
Tecnologia chiara		+ (Sufficiente Explorer Internet)
Facile implementazione	Dipende dalla soluzione
Facile configurazione	Dipende dalla soluzione
Facilità di supporto	Dipende dalla soluzione

SSL VPN in Russia

Ad oggi, un numero sufficientemente elevato di progetti è già stato attuato in Russia, sull'attuazione dell'accesso remoto basato sulla tecnologia SSL VPN. Ma come accennato in precedenza questa tecnologia In Russia, non ha acquisito la sua popolarità, mentre le decisioni dei produttori di dati riportano una domanda molto elevata per loro tra le aziende occidentali.

Nella prima parte di questa serie di articoli sulla configurazione di Windows Server 2008 come server VPN SSL, ho parlato di alcuni fatti della cronologia dei server Microsoft VPN e dei protocolli VPN. Abbiamo completato il precedente articolo da una descrizione dell'esempio di rete, che verrà utilizzato in questa e parti successive della serie VPN-to-Configuration che supporta la connessione SSTP con i client VISTA SP1.

Prima di iniziare, devo ammettere che io conosco la presenza di un manuale passo-passo per la creazione di connessioni SSTP per Windows Server 2008, che si trova sul sito www.microsoft.com. Mi è sembrato che questo articolo non rifletta un ambiente reale utilizzato nelle organizzazioni per assegnare i certificati. Ecco perché, e a causa di alcuni punti problematici che non sono stati interessati nel manuale Microsoft, ho deciso di scrivere questo articolo. Credo che imparerai un po 'nuovo se mi seguirai in questo articolo.

Non ho intenzione di prendere in considerazione tutti i passaggi da quando le basi. Dare di supporre che tu abbia installato il controller di dominio e i ruoli DHCP, DNS e dei servizi di certificazione attivati \u200b\u200bsu questo server. Il tipo di certificazione del server deve essere Enterprise e hai ca sulla rete. Il server VPN deve essere collegato al dominio prima di continuare a svolgere i seguenti passaggi. Prima di iniziare, è necessario installare il pacchetto di aggiornamento SP1 per il client Vista.

Dobbiamo soddisfare le seguenti procedure per la nostra soluzione al lavoro:

• Installa IIS sul server VPN
• Richiedi un certificato del server VPN tramite IIS Certificato Richiesta procedura guidata guidata guidata
• Imposta il ruolo delle RRAS sul server VPN
• Attiva il server RRAS e configuralo per funzionare come server VPN e NAT
• Configura il server NAT per pubblicare CRL
• Configura account (account utente) per utilizzare le connessioni dial-up
• Configura IIS sul server dei certificati per consentire alle connessioni HTTP per la directory CRL
• Configura il file host per il client VPN
• Utilizzare PPTP per comunicare con un server VPN
• Ottieni il certificato CA da Enterprise Ca
• Configurare il client per utilizzare SSTP e connettersi a un server VPN utilizzando SSTP

Installazione IIS su un server VPN

Forse sembrerà strano che iniziamo con questa procedura, dal momento che consiglio di non installare mai un server Web sulla sicurezza della rete. Buone notizie è che non dobbiamo memorizzare un server Web Server VPN, sarà necessario per noi solo per un po '. La ragione è nel fatto che il sito di registrazione incluso nel server certificato Windows Server 2008 non è più utile per una richiesta di certificato del computer. In effetti, è generalmente inutile. È interessante notare che se si decide comunque di utilizzare il sito di registrazione per ricevere un certificato del computer, tutto sembrerà il certificato è ottenuto e installato, ma in realtà non è così, il certificato non è impostato.

Per risolvere questo problema, usiamo il vantaggio di ciò che utilizza l'impresa CA. Quando si utilizza Enterprise CA, è possibile inviare una richiesta a un server di certificazione interattivo. Una richiesta interattiva per un certificato del computer è possibile quando si utilizza la procedura guidata guidata richiesta di certificato IIS e richiedere ciò che è ora chiamato il certificato di dominio del certificato di dominio. Questo è possibile solo se la macchina richiedente appartiene allo stesso dominio di Enterprise Ca.
Per installare il server Web IIS sul server VPN, attenersi alla seguente procedura:

1. Apri Windows 2008. Server Manager.
2. Nel riquadro sinistro della console, fare clic sulla scheda Ruolo.

1. Clicca sul menu Aggiungi un ruolo Sul lato destro del pannello di destra.
2. Zhmem. Ulteriore Sulla pagina Prima che inizi.
3. Metti un segno di spunta davanti alla stringa Server Web (IIS) Sulla pagina Seleziona i ruoli del server. Zhmem. Ulteriore.

1. Puoi leggere le informazioni sulla pagina. Server Web (IIS)Se desideri. Questa è un'informazione generale abbastanza utile sull'utilizzo di IIS 7 come server Web, ma poiché non utilizziamo il server Web IIS sul server VPN, questa informazione non è del tutto applicabile nella nostra situazione. Zhmem. Ulteriore.
2. Sulla pagina Scegli il ruolo dei ruoli Diverse opzioni sono già selezionate. Tuttavia, se si utilizzano le opzioni predefinite, non sarà possibile utilizzare la procedura guidata guidata Richiesta di certificato. Almeno era quando ho testato il sistema. Nessun ruolo di servizio per la procedura guidata di richiesta del certificato principale, quindi ho provato a mettere le zecche di fronte ad ogni opzione SicurezzaE sembra, ha funzionato. Fai lo stesso a te stesso e fai clic Ulteriore.

1. Controlla le informazioni sulla pagina Confermare la selezione delle installazioni e stampa Impostato.
2. Clic Vicino Sulla pagina Risultati di installazione.

Richiesta di certificato della macchina per server VPN con richiesta guidata richiesta di certificato IIS

Il prossimo passo è quello di richiedere un certificato di certificato per un server VPN. Un server VPN richiede un certificato di macchina per creare una connessione VPN SSL con un computer client VPN SSL. Il nome generale del certificato deve adattarsi al nome che il client VPN utilizzerà per connettersi al computer gateway SSL VPN. Ciò significa che è necessario creare una voce DNS pubblica per il nome su un certificato che consentirà l'indirizzo IP esterno del server VPN o il dispositivo IP Indirizzo NAT prima del server VPN che verrà reindirizzato nella connessione al SSL Server VPN.

Per interrogare il certificato della macchina al server VPN SSL, attenersi alla seguente procedura:

1. NEL Server Manager.Distribuire la scheda Ruolo Nel riquadro di sinistra, quindi distribuire la scheda Server Web (IIS). Stampa .

1. In console Internet Information Services (IIS) ManagerQuesto apparirà sulla destra nel riquadro di sinistra, fai clic sul nome del server. In questo esempio, il nome del server sarà W2008RC0-VPNGW.. Clicca sull'icona Certificati del server. Nel pannello a destra della console IIS.

1. Nel riquadro destro della console, clicca sul link Creare un certificato di dominio.

1. Inserisci le informazioni sulla pagina Determinate proprietà nome.. L'oggetto più importante qui sarà Nome comune. Questo è il nome che i client VPN utilizzeranno per connettersi al server VPN. Avrai anche bisogno di una voce DNS pubblica per questo nome per riconoscere l'interfaccia server VPN esterna o l'indirizzo pubblico del dispositivo NAT prima del server VPN. In questo esempio, usiamo il nome comune sstp.msfirewall.org.. Successivamente creeremo un host di file record su un computer VPN client in modo che possa riconoscere questo nome. Zhmem. Ulteriore.

1. Sulla pagina del campo Scegliere. Nella finestra di dialogo Seleziona i certificati di origineFare clic sul nome Enterprise CA e fai clic su OK.. Inseriamo un nome amichevole nella stringa Nome amichevole.. In questo esempio, abbiamo usato il nome SSTP Cert.Per sapere che è usato per il gateway VPN SSTP.

1. Zhmem. finire Sulla pagina Fonte interattiva dei certificati.

1. La procedura guidata verrà lanciata e quindi scomparire. Dopodiché, vedrai come verrà visualizzato il certificato nella console IIS. Fai clic due volte su un certificato e vedere il nome comune nella sezione Nominato perE ora abbiamo una chiave privata che corrisponda al certificato. Zhmem. OK.Per chiudere la finestra di dialogo Certificato.

Ora che abbiamo un certificato, possiamo impostare il ruolo del ruolo del server RRAS. Si noti che è molto importante installare il certificato Prima di stabilire il ruolo del ruolo del server RRAAS. Se non lo fai, ti delrai di te stesso grandi mal di testa perché devi usare una routine piuttosto complicata linee di comandoPer associare un certificato con il client SSL VPN.

Installazione del ruolo di ruolo del server RRAAS su un server VPN

Per installare il ruolo del ruolo del server RRAS, è necessario eseguire i seguenti passaggi:

1. NEL Server Manager.Clicca sulla scheda Ruolo Nel riquadro di sinistra della console.
2. Nella sezione Generale Ruoli clicca il link Aggiungi un ruolo.
3. Clic Ulteriore Sulla pagina Prima che inizi.
4. Sulla pagina Seleziona i ruoli del server Metti la casella di controllo davanti alla stringa. Clic Ulteriore.

1. Leggi le informazioni sulla pagina. Politica di rete e servizio di accesso. La maggior parte riguarda il server di politica di rete (che è stato precedentemente chiamato il server di autenticazione Internet ed era essenzialmente un server raggio) e un pisolino, nessuno degli elementi si applicano nel nostro caso. stampa Ulteriore.
2. Sulla pagina Scegli un servizio di ruolo Metti un segno di spunta davanti alla stringa Servizi di routing e accesso remoto. Di conseguenza, gli articoli saranno selezionati Servizi di accesso remoto e Routing. Zhmem. Ulteriore.

1. Zhmem. Impostato nella finestra Confermare le impostazioni selezionate.
2. Zhmem. Vicino Sulla pagina Risultati di installazione.

Attivazione del server RRAS e della sua configurazione come server VPN e NAT

Ora che il ruolo di RRAS è installato, abbiamo bisogno di attivare i servizi RRAAS, così come abbiamo fatto nel precedente versioni di Windows.. Abbiamo bisogno di attivare il server VPN e i servizi NAT. Con l'attivazione del componente VPN del server, tutto è chiaro, ma puoi chiedere perché è necessario attivare il server NAT. La ragione per l'attivazione del server NAT sta nel fatto che i client esterni possono accedere al server dei certificati per connettersi al CRL. Se il client VPN SSTP non può caricare CRL, la connessione VPN SSTP non funzionerà.

Per aprire l'accesso a CRL, configueremo il server VPN come server NAT e pubblicheremo un CRL utilizzando un NAT reversibile. Nell'ambiente di rete delle aziende, molto probabilmente avrai i firewall, come ISA Firewall, prima del server di certificazione, in modo da poter pubblicare CRL con l'aiuto dei firewall. Tuttavia, in questo esempio, l'unico firewall, che verrà utilizzato, è firewall di Windows Firewall su un server VPN, quindi in questo esempio dobbiamo configurare il server VPN come server NAT.

Per attivare i servizi RRAS, attenersi alla seguente procedura:

1. NEL Server Manager. Espandi la scheda. Ruolo Nel riquadro di sinistra della console. Espandi la scheda Politica di rete e servizio di accesso E fare clic sulla scheda. Fare clic con il tasto destro del mouse sulla scheda e fai clic su Configurare e attivare il routing e l'accesso remoto.

1. Clic Ulteriore nella finestra Benvenuti nella procedura guidata di installazione del server di routing e Accesso remoto.
2. Sulla pagina Configurazione Seleziona l'opzione. Accesso a reti private virtuali e NAT e stampa Ulteriore.

1. Sulla pagina Connessione VPN. Seleziona NIC in sezione Interfacce di reteche rappresenta un'interfaccia server VPN esterna. Quindi fare clic Ulteriore.

1. Sulla pagina Assegnazione di indirizzi IP. Seleziona l'opzione. Automaticamente. Possiamo scegliere questa opzione perché disponiamo di un server DHCP sul controller di dominio per il server VPN. Se non si dispone di un server DHCP, è necessario scegliere l'opzione Da una lista degli indirizzi specificiE quindi aggiungere un elenco di indirizzi che i client VPN saranno in grado di utilizzare quando sono collegati alla rete tramite un gateway VPN. Zhmem. Ulteriore.

1. Sulla pagina Gestione del remoto Accesso più server Scegliere No, utilizzare il routing e l'accesso remoto per autenticare le connessioni. Utilizziamo questa opzione quando i server NPS o Radius non sono disponibili. Poiché il server VPN è membro del dominio, è possibile autenticare gli utenti utilizzando account di dominio. Se un server VPN non è incluso nel dominio, è possibile utilizzare solo gli account server VPN locali, a meno che non si decida di utilizzare il server NPS. Scriverò un articolo sull'uso del server NPS in futuro. Zhmem. Ulteriore.

1. Leggi le informazioni generali sulla pagina. Completamento del routing wizard e della procedura guidata di accesso remoto e stampa finire.
2. Clic OK. Nella finestra di dialogo Routing e accesso remotoCiò dice che la distribuzione dei messaggi DHCP richiede un agente di distribuzione DHCP.
3. Nel pannello di canna sinistro, espandere la scheda Routing e accesso remoto Quindi clicca sulla scheda Porti. Nel pannello centrale, vedrai che le connessioni Miniport WAN per SSTP sono ora disponibili.

Impostazione del server NAT per pubblicare CRL

Come ho detto in precedenza, il client SSL VPN dovrebbe essere in grado di caricare CRL per confermare che il certificato del server sul server VPN non è stato danneggiato o richiamato. Per fare ciò, configurare il dispositivo davanti al server di certificazione per inviare richieste di localizzazione CRL HTTP al server di certificazione.

Come scoprire quale URL ha bisogno di connettere un VPN SSL al client per scaricare CRL? Questa informazione è contenuta nel certificato stesso. Se si va per la prima volta al server VPN e fai doppio clic sul certificato nella console IIS, come prima, puoi trovare queste informazioni.

Clicca sul pulsante Dettagli Sul certificato e foglia giù per scrivere Punti di distribuzione CRL., quindi fare clic su questo record. Il pannello inferiore mostra i diversi punti di distribuzione in base al protocollo utilizzato per accedere a questi punti. Il certificato mostrato nella figura seguente mostra che dobbiamo aprire l'accesso al client SSL VPN a CRL tramite l'URL:

http://win2008rc0-dc.msFirewall.org/certenroll/win2008RC0-dc.msFirewall.org.crl.

Questo è il motivo per cui è necessario creare voci DNS pubbliche per questo nome in modo che i client VPN esterni possano attirare questo nome all'indirizzo IP o al dispositivo che eseguirà un proxy NAT o reversibile reversibile per accedere al sito Web di certificazione Server. In questo esempio, dobbiamo legare win2008rc0-dc.msfirewall.org. Con indirizzo IP sull'interfaccia server VPN esterna. Quando la connessione raggiunge l'interfaccia esterna del server VPN, il server VPN reindirizza la connessione NAT al server di certificazione.

Se si utilizza un firewall esteso, come ISA Firewall, è possibile effettuare i siti di pubblicazione CRL più sicuri, l'accesso all'accesso. solo a CRL, non a tutti il \u200b\u200bsito. Tuttavia, in questo articolo, ci limitiamo la possibilità di un semplice dispositivo NAT, tale che fornisce RRAS NAT.

Va notato che l'uso del sito predefinito del CRL può essere un'opzione meno sicura perché descrive il nome del computer privato su Internet. È possibile creare un CDP personalizzato (Punto di distribuzione CRL) per evitare questo se si ritiene che la divulgazione del nome privato della tua CA nel record DNS pubblico crea una minaccia per la sicurezza.

Per configurare RRAS NT Per inviare richieste HTTP al server di certificazione, attenersi alla seguente procedura:

1. Nel pannello di sinistra Server Manager. Espandi la scheda. Routing e accesso remotoe quindi distribuire la scheda IPv4.. Clicca sulla scheda Nat..
2. Nella scheda Nat. Fare clic sul tasto destro sull'interfaccia esterna nel riquadro centrale della console. NEL questo esempio Il nome dell'interfaccia esterna era Connessione locale.. stampa Proprietà.

1. Nella finestra di dialogo, selezionare la casella opposta Server Web (http). Ciò causerà una finestra di dialogo. Servizio di modifica. In una stringa di testo Indirizzo privato Immettere l'indirizzo IP del server di certificazione nella rete interna. Clic OK..

1. Clic OK. Nella finestra di dialogo Proprietà del collegamento dell'area locale.

Ora che il NAT Server è installato e configurato, possiamo trasferire la nostra attenzione per impostare il server CA e il client VPN SSTP.

Conclusione

In questo articolo, abbiamo continuato a parlare di configurazione del server VPN SSL utilizzando Windows Server 2008. Abbiamo esaminato l'installazione di IIS sul server VPN, la richiesta e l'installazione del certificato del server, l'installazione e la configurazione dei servizi RRAS e NAT su il server VPN. Nel prossimo articolo, finiremo per prendere in considerazione l'impostazione del client CA Server e SSTP VPN. Ci vediamo! Tom.