Technologia SSL VPN-Plus pozwala zapewnić zdalnym pracownikom dostęp do centrum danych w chmurze. Jednocześnie pracownicy otrzymują bezpieczny dostęp tylko do tych zasobów, które są uważane za niezbędne dla tych pracowników, nawet jeśli dostęp jest uzyskiwany z publicznej maszyny, która jest poza kontrolą firmy i jest uważana za „zawodną”.

Ten artykuł zawiera informacje o konfiguracji. SSL VPN-Plus.

Zastosowana topologia:

1. W sekcji "Podawanie" przejdź do żądanego centrum danych. W wyświetlonym menu ustawień przejdź do karty „Edge Gateways”. Wybierz żądaną „vShield Edge”. Kliknij prawym przyciskiem myszy i wybierz opcję z wyświetlonego menu. „Usługi Edge Gateway”.

1. Otwórz zakładkę SSL VPN-Plusprzejdź do zakładki Ustawienia serwera i aktywuj serwer SSL VPN, naciskając przełącznik Włączone.

Następnie wybieramy adres IP vShield, port - 443, sprawdzamy wszystkie algorytmy szyfrowania.

1. Patka Konfiguracja klienta sprawdź, czy wybrano Tryb tunelowania - Split

1. Patka Użytkownicy dla każdego łączącego się pracownika tworzymy szczegóły połączenia.

1. Patka Pule IP utwórz zakres adresów IP, które zostaną przypisane do podłączanych komputerów

1. Patka Pakiety instalacyjne utwórz parametry pakietu instalacyjnego programu klienckiego. Podczas uzyskiwania dostępu do adresu IP bramy (vShield) zostanie pobrany program klienta SSL VPN-Plus.

Znaczniki wyboru wskazują typy systemów operacyjnych, z których będą nawiązywane połączenia. Jest to konieczne do wstępnego tworzenia pakietów instalacyjnych.

1. Patka Sieci prywatne ustalamy zakresy sieci centrów danych w chmurze, do których podłączony pracownik będzie miał dostęp

1. Na to konfiguracja jest zakończona. Teraz, korzystając z łącza https://195.211.5.130/sslvpn-plus/ i logując się, możesz pobrać program klienta SSL VPN-plus i połączyć się z centrum danych w chmurze.

Opublikowano 3 lutego 2009 r. Przez · Brak komentarzy

Jeśli pominąłeś poprzednie części tej serii artykułów, przeczytaj:

W pierwszych dwóch częściach tej serii artykułów na temat tworzenia serwera SSL VPN opartego na systemie Windows Server 2008 przyjrzeliśmy się niektórym z podstaw budowania sieci VPN, a następnie omówiliśmy konfigurację serwera. Na tym etapie jesteśmy gotowi do wprowadzenia drobnych zmian w konfiguracji Active Directory i witrynie CA. Po wprowadzeniu tych zmian skoncentrujemy się na konfiguracji klienta VPN i wreszcie stworzymy połączenie SSL VPN.

Konfigurowanie konta użytkownika do korzystania z połączeń telefonicznych

Konta użytkowników wymagają uprawnień telefonicznych, zanim będą mogły połączyć się z serwerem Windows VPN, który jest członkiem domeny Active Directory. Najlepszym sposobem na to jest użycie Network Policy Server (NPS), a także domyślnych uprawnień konta użytkownika, które umożliwiają zdalny dostęp oparty na NPS. Jednak w naszym przypadku nie zainstalowaliśmy serwera NPS, więc będziemy musieli ręcznie skonfigurować uprawnienia użytkownika do dostępu telefonicznego.

W następnym artykule użyję serwera NPS i uwierzytelnienia certyfikatu użytkownika EAP, aby utworzyć połączenia z serwerem SSL VPN.

Aby zezwolić konkretnemu użytkownikowi na dostęp telefoniczny do połączenia z serwerem SSL VPN, musisz wykonać następujące kroki. W tym przykładzie aktywujemy uprawnienia do telefonowania dla domyślnego konta administratora domeny:

Skonfiguruj usługi IIS na serwerze certyfikatów, aby zezwalać na połączenia HTTP dla katalogu CRL

Z jakiegoś powodu, gdy kreator instalacji instaluje witrynę usług certyfikatów, konfiguruje katalog CRL, aby żądać połączenia SSL. Chociaż z punktu widzenia bezpieczeństwa wydaje się to dobrym pomysłem, problem polega na tym, że identyfikator URI (Unified Resource Identifier) \u200b\u200bna certyfikacie nie jest skonfigurowany do używania protokołu SSL. Uważam, że możesz sam utworzyć rekord CDP dla certyfikatu, aby mógł on używać protokołu SSL, ale założę się, że Microsoft nigdzie nie wspomniał o tym problemie. Ponieważ w tym artykule używamy domyślnych ustawień CDP, musimy wyłączyć wymaganie SSL w witrynie urzędu certyfikacji dla ścieżki katalogu CRL.

Aby dezaktywować wymaganie SSL dla katalogu CRL, wykonaj następujące kroki:

Konfigurowanie pliku HOSTS dla klienta VPN

Teraz możemy zwrócić całą uwagę na klienta VPN. Pierwszą rzeczą, którą musimy zrobić z klientem, jest skonfigurowanie pliku HOSTS, abyśmy mogli symulować publiczną infrastrukturę DNS. Istnieją dwie nazwy, które musimy dodać do pliku HOSTS (to samo należy zrobić dla publicznego serwera DNS, którego będziesz używać w sieciach produkcyjnych). Imię to nazwa serwera VPN, zgodnie z nazwą pospolitą / podmiotową certyfikatu, który powiązaliśmy z serwerem SSL VPN. Drugą nazwą, którą musimy wprowadzić w pliku HOSTS (i publicznym serwerze DNS) jest nazwa adresu URL CDP, który znajduje się na certyfikacie. Przyjrzeliśmy się lokalizacji informacji CDP w drugiej części tej serii.

Dwie nazwy, które musisz wprowadzić w pliku HOSTS w tym przykładzie to:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Aby skonfigurować plik HOSTS dla klienta VPN Vista SP1, wykonaj następujące czynności:

1. Zamknij plik i wybierz opcję zapisz zmiany.

Korzystanie z PPTP do łączenia się z serwerem VPN

Stopniowo zbliżamy się do utworzenia połączenia SSL VPN! Następnym krokiem jest utworzenie łącznika VPN na kliencie Vista SP1, który pozwoli nam utworzyć początkowe połączenie VPN z serwerem VPN. W naszym przypadku należy to zrobić, ponieważ komputer kliencki nie jest członkiem domeny. Ponieważ komputer nie jest członkiem domeny, certyfikat CA nie zostanie automatycznie zainstalowany w magazynie Zaufanych głównych urzędów certyfikacji. Jeśli komputer był częścią domeny, automatyczna rejestracja rozwiązałaby ten problem, ponieważ zainstalowaliśmy Enterprise CA.

Najprostszym sposobem na wykonanie tego kroku jest utworzenie połączenia PPTP klienta VPN Vista SP1 z serwerem VPN systemu Windows Server 2008. Domyślnie serwer VPN będzie obsługiwał połączenia PPTP, a klient najpierw spróbuje PPTP, zanim spróbuje L2TP / IPSec i SSTP. Aby to zrobić, musimy utworzyć łącznik VPN lub obiekt połączenia.

Aby utworzyć łącznik na kliencie VPN, wykonaj następujące kroki:

Uzyskiwanie certyfikatu CA z Enterprise CA

Klient SSL VPN musi ufać urzędowi certyfikacji, który wystawił certyfikat używany przez serwer VPN. Aby utworzyć to zaufanie, musimy zainstalować certyfikat CA w urzędzie certyfikacji, który wystawił certyfikat dla serwera VPN. Możemy to zrobić, łącząc się z witryną rejestracyjną urzędu certyfikacji w sieci wewnętrznej i instalując certyfikat VPN klienta w repozytorium Zaufanego głównego urzędu certyfikacji.

Aby uzyskać certyfikat z witryny rejestracji, wykonaj następujące kroki:

1. Pchać Blisko w oknie dialogowym.
2. Blisko Internet Explorer.

Teraz musimy zainstalować certyfikat CA w magazynie certyfikatów zaufanych głównych urzędów certyfikacji na komputerze klienta VPN. Aby to zrobić, wykonaj następujące czynności:

1. Zamknij konsolę MMC.

Konfigurowanie klienta do korzystania z SSTP i łączenie się z serwerem VPN za pośrednictwem SSTP

I prawie wszystko jest gotowe! Teraz musimy rozłączyć połączenie VPN i skonfigurować klienta VPN do używania SSTP dla protokołu VPN. W środowisku produkcyjnym nie musisz wykonywać tego kroku dla użytkowników, ponieważ użyjesz zestawu administracyjnego Menedżera połączeń, aby utworzyć obiekt połączenia VPN dla użytkownika, który obejmie klienta korzystającego z SSTP, lub skonfigurujesz tylko porty SSTP na serwerze VPN.

Wszystko zależy od konfiguracji środowiska, ponieważ musisz rozdzielić czas, aby użytkownicy mogli używać PPTP przez pewien czas podczas instalowania certyfikatów. Oczywiście certyfikatów CA można instalować nie przez sieć, tzn. Pobierając je ze strony internetowej lub e-mailem, w którym to przypadku nie trzeba zezwalać użytkownikom PPTP. Ale jeśli niektórzy klienci nie obsługują SSTP, konieczne będzie włączenie PPTP lub L2TP / IPSec i nie będzie można wyłączyć wszystkich portów innych niż SSTP. W takim przypadku będziesz musiał polegać na ręcznej konfiguracji lub zaktualizowanym pakiecie CMAK.

Inną opcją może być powiązanie klienta SSTP z określonym adresem IP na serwerze RRAS. W takim przypadku możesz utworzyć niestandardowy pakiet CMAK, który odnosi się tylko do adresu IP na serwerze SSL VPN nasłuchującym w sieci dla połączeń przychodzących SSTP. Inne adresy na serwerze SSTP VPN będą nasłuchiwać w sieci dla połączeń PPTP i / lub L2TP / IPSec.

Wykonaj następujące kroki, aby rozłączyć sesję PPTP i skonfigurować obiekt połączenia klienta VPN do korzystania z SSTP:

Rycina 29

Wniosek

W ostatniej części naszej serii artykułów na temat montażu serwera SSL VPN przy użyciu systemu Windows Server 2008 zakończyliśmy konfigurację konta użytkownika, listy CRL witryny i klienta SSL VPN. Zakończyliśmy także tworzenie połączenia SSTP i potwierdziliśmy, że się udało. Dziękuję Ci

Źródło www.windowsecurity.com

Zobacz też:

Komentarze czytelników (bez komentarzy)

Exchange 2007

Jeśli chcesz przeczytać poprzednie części tej serii artykułów, skorzystaj z linków: Monitorowanie programu Exchange 2007 za pomocą Menedżera systemu ...

Wprowadzenie W tym wieloczęściowym artykule chcę pokazać proces, który niedawno przeprowadziłem do migracji z istniejącego środowiska Exchange 2003 ...

Jeśli przegapiłeś pierwszą część tej serii, przeczytaj link Korzystanie z narzędzia Exchange Server Remote Connectivity Analyzer Tool (część ...

Istnieją obecnie dwa typy VPN użytkowników:
SSL VPN i IPSec VPN a każdy z nich ma swoje zalety i wady.

Główną zaletą SSL VPN jest łatwość implementacji: wszystkie przeglądarki obsługują SSL, wszyscy dostawcy dopuszczają i nie ograniczają SSL.
Niektóre rodzaje dostępu przez SSL VPN można uzyskać dosłownie w dowolnej przeglądarce i na dowolnej platformie.

IPSec VPN jest uważany za bezpieczniejszy protokół.

SSL i TLS

Bardzo często w literaturze technicznej można znaleźć pojęcia dotyczące SSL i TLS.

Oba protokoły są protokoły kryptograficznezapewnianie bezpiecznego transferu danych przez Internet (e-mail, przeglądanie stron internetowych, komunikatory internetowe).
Protokoły zapewniają poufność, integralność i usługi uwierzytelniania.
SSL i TLS działają na poziomie Warstwa sesji Modele OSI lub nowsze.
Można używać protokołów infrastruktura klucza publicznego (PKI) a także certyfikaty do uwierzytelniania i przesyłania kluczy symetrycznych między sobą.
Podobnie jak IPSec używają kluczy symetrycznych do szyfrowania danych.

Najbezpieczniejsze transfery w przeglądarce odbywają się przez SSL lub TLS.
Pierwotnie pojawił się SSL, został opracowany przez Netscape.
TLS to dalszy rozwój protokołu SSL, a także standard opracowany przez Internet Engineering Task Force (IETF).
Na przykład protokół TLS 1.0 jest oparty na protokole SSL 3.0.
O tym, jakie dokładnie użycie SSL lub TLS decydują same przeglądarki: TLS jest preferowane, ale przejście na SSL jest również możliwe.

Dlatego ważne jest, aby zrozumieć, że używając terminu SSL rozumiemy SSL lub TLS.
Na przykład Cisco SSL VPN naprawdę używa TLS.

Operacje SSL

Dlatego SSL jest używany w większości usług online, które wymagają bezpieczeństwa.
Przyjrzyjmy się krok po kroku, co się dzieje, gdy klient łączy się z serwerem bankowym za pomocą protokołu SSL:

• Klient inicjuje połączenie z serwerem przy użyciu adresu IP i portu 443. Adres IP klienta jest używany jako źródło, a port jest wyższy niż 1023
• Standardowy proces połączenia TCP przy użyciu potrójny uścisk dłoni
• Klient odmawia połączenia przez SSL, a serwer odpowiada, wysyłając swój cyfrowy certyfikat, który zawiera klucz publiczny ten serwer.
• Po otrzymaniu certyfikatu klient musi zdecydować, czy zaufać temu certyfikatowi, czy nie.
  W tym miejscu zaczynają działać mechanizmy PKI.
  Jeśli certyfikat cyfrowy jest podpisany przez urząd certyfikacji, któremu ufa klient + ważny certyfikat według daty + numer seryjny certyfikatu nie jest wymieniony w lista odwołania certyfikatów (CRL) - klient może zaufać certyfikatowi i korzystać z niego klucz publiczny ten certyfikat.
• Klient generuje klucz symetryczny wspólny sekret, który będzie używany do szyfrowania danych między klientem a serwerem. Następnie klient szyfruje wspólny sekret za pomocą klucz publiczny i przekazuje to do serwera.
• Serwer używa twojego prywatny klucz, odszyfrowuje otrzymany klucz symetryczny wspólny sekret.
• Obie strony teraz wiedzą wspólny sekret i może szyfrować sesję SSL.

Typy SSL VPN

SSL VPN można podzielić na dwa typy:

• VPN Clientless SSL - nazywane również Sieć VPN. Nie wymaga instalacji klienta. Ograniczone możliwości
• Pełny klient Cisco AnyConnect Secure Mobility Client SSL VPN Client - pełnoprawny klient SSL, wymagający instalacji oprogramowania na kliencie, zapewniający pełny dostęp do sieci korporacyjnej

Skonfiguruj SSL VPN

1. Skopiuj plik PKG Anyconnect.
   W naszym przypadku to anyconnect-win-3.1.08009-k9.pkg
2. Wskaż plik pkg i włącz usługę Webvpn Anyconnect.
   

   webvpn anyconnect obraz dysk0: /anyconnect-win-3.1.08009-k9.pkg 1 włączenie poza 2 włączenie anyconnect

3. Wykluczamy (wyłączamy) ruch SSL WebVPN z kontroli zewnętrzny interfejs ACL. Musimy wprowadzić reguły zezwoleń w liście ACL lub użyć polecenia:
   

   msk-asa-01 (config) # sysopt pozwolenie na połączenie-VPN

4. Dla wygody skonfiguruj przekierowanie z 80 na 443:
   

   przekierowanie http poza 2 80

5. Stwórz Pula adresów IP. Adresy te będą wydawane użytkownikom zdalnym.
   

   ip local pool vpnpool_pool 192.168.93.10-192.168.93.254 maska \u200b\u200b255.255.255.0

6. Stwórz Zwolnienie z NAT dla ruchu między Sieć LAN i sieć VPN. Robimy ten wyjątek, ponieważ zaszyfrowany ruch nie powinien przechodzić przez NAT. Ten krok jest konieczny, jeśli ten NAT jest skonfigurowany na ASA.
   obiektowa sieć vpnpool_obj

   obiekt sieć vpnpool_obj podsieć 192.168.92.0 255.255.255.0 obiekt-sieć sieć RFC1918_objg obiekt-sieć 192.168.0.0 255.255.0.0 obiekt-sieć 172.16.0.0 255.240.0.0 obiekt-sieć 10.0.0.0 255.0.0.0 nat (wewnątrz, na zewnątrz) źródło statyczny RFC1918_objg RFC1918_objg miejsce docelowe statyczne vpnpool_obj vpnpool_obj brak proxy-arp wyszukiwanie trasy

7. Tworzymy ACL Split-Tunnel, to ustawienie pozwoli użytkownikom na jednoczesne korzystanie z Internetu podczas łączenia przez VPN. Bez tego ustawienia cały ruch zostanie zawinięty w tunelu.
   

   lista dostępu split-tunnel_acl standardowe zezwolenie 192.168.10.0 255.255.255.0

   To ustawienie zawinie ruch tunelowy tylko w tej samej sieci RFC1918.

8. Stwórz Zasady grupy.
   Możemy utworzyć kilka zasad grupy, aw każdym z nich skonfigurować atrybuty sieciowe, takie jak adresy serwerów DNS, ustawienia tunelowania podzielonego, domena domyślna, protokół (SSL lub IPSec) itp.

   group-policy anyconnect_gp wewnętrzne zasady grupy anyconnect_gp atrybuty dns-server wartość 192.168.10.5 VPN-tunel-protokół ssl-klient ssl-bez klienta podzielony-tunel-polityka tunel określony określony split-tunel-lista-wartości-wartości split-tunnel_acl webvpn anyconnect keep-installer zainstalowany anyconnect klient-interwał dpd 20 anyconnect nie pytaj żaden domyślny anyconnect

9. Stwórz Grupa tuneli.
   Grupa tuneli w interfejsie ASDM nazywa się Profil połączenia.
   Grupa tuneli powinna zawierać nowo skonfigurowane zasady grupy i łączyć je z pulą adresów IP.
   Możemy utworzyć kilka takich grup, a użytkownik przy logowaniu może wybrać dla siebie niezbędną grupę tuneli ze wszystkimi niezbędnymi cechami: odziedziczone parametry z zasad grupy + pula adresów

   grupa-tunelowa vpn-users_tg typ dostęp zdalny grupa-tunelowa vpn-users_tg ogólne atrybuty pula adresów vpnpool_pool domyślna-grupa-polityka anyconnect_gp grupa tunelowa vpn-users_tg webvpn-atrybuty alias grupy vpn_users-alias włącz webvpn grupa tuneli Włącz listę

   Ostatnie polecenie pozwala użytkownikom wybrać grupę tuneli dla siebie.
   Dla użytkowników ta grupa będzie wyglądać jak „vpn_users-alias”

Anyconnect powinien już działać - możesz zalogować się na koncie administratora.

Monitorowanie SSL VPN

• ASDM: Monitorowanie\u003e VPN\u003e Statystyki VPN\u003e Sesje
• Z interfejsu CLI:
  

  vPN # pokaż uauth Obecnie najczęściej obserwowani uwierzytelnieni użytkownicy 1 1 Authen In Progress 0 0 Użytkownik zdalny dostęp VPN „vpn_video_user1” na 192.168.92.25, lista uwierzytelnionego dostępu # ACSACL # -IP-video_dacl-54ddc357 (*)

  vPN # pokaż listę dostępu listy logów ACL buforowane listy dostępu: łącznie 0, odmowa 0 (odmowa-przepływu-max 4096) interwał alertu 300 lista dostępu split-tunnel_acl; 1 elementy; nazwa hash: 0xb6fb0e lista dostępu split-tunnel_acl linia 1 standardowe zezwolenie 192.168.10.0 255.255.255.0 (hitcnt \u003d 0) 0x13482529 lista dostępu # ACSACL # -IP-video_dacl-54ddc357; 1 elementy; nazwa hash: 0x6c7d7b7f (dynamiczna) lista dostępu # ACSACL # -IP-video_dacl-54ddc357 linia 1 rozszerzone zezwolenie ip any4 host 192.168.10.45 (hitcnt \u003d 0) 0x4ce5deb8

  Patrzymy, kto jest zalogowany

  pokaż podsumowanie sesji VPN

  pokaż vpn-sessiond anyconnect

  Wyrzuć użytkownika z VPN:

  vpn-sessiondb nazwa wylogowania langemakj

Sieci VPN wkroczyły w nasze życie bardzo poważnie i myślę od dawna. Technologia ta jest wykorzystywana zarówno w organizacjach do łączenia biur w jednej podsieci lub w celu zapewnienia dostępu do wewnętrznych informacji użytkowników mobilnych, jak i w domu podczas uzyskiwania dostępu do Internetu za pośrednictwem usługodawcy internetowego. Możemy śmiało powiedzieć, że każdy z administratorów z pewnością skonfigurował VPN, tak jak każdy użytkownik komputera z dostępem do Internetu korzystał z tej technologii.

W tej chwili technologia IPSec VPN jest bardzo powszechna. Napisano o niej wiele różnych artykułów, zarówno technicznych, jak i analitycznych. Jednak stosunkowo niedawno pojawiła się technologia SSL VPN, która jest obecnie bardzo popularna w zachodnich firmach, ale w Rosji jeszcze nie zwróciły na nią szczególnej uwagi. W tym artykule postaram się opisać, w jaki sposób IPSec VPN różni się od SSL VPN i jakie są zalety korzystania z SSL VPN w organizacji.

IPsecVPN - jego zalety i wady

Pierwszy esej chciałbym zwrócić uwagę na definicję VPN, najczęściej stosowaną - „VPN to technologia, która łączy zaufane sieci, węzły i użytkowników poprzez otwarte sieci, które nie są zaufane” (© Check Point Software Technologies).

Rzeczywiście, w przypadku zaufanych hostów korzystanie z IPsec VPN jest najbardziej ekonomicznym sposobem. Na przykład, aby połączyć sieci zdalnych biur w jedną sieć korporacyjną, nie są wymagane ani dzierżawione dzierżawione linie, ale używany jest Internet. W wyniku budowania bezpiecznych tuneli między zaufanymi sieciami powstaje pojedyncza przestrzeń IP.

Ale podczas organizowania zdalnego dostępu dla pracowników rozwiązania IPsec są używane dla ograniczonej liczby tylko zaufanych urządzeń, na przykład dla laptopów dla użytkowników korporacyjnych. Aby korzystać z IPsec VPN, usługa IT musi zainstalować i skonfigurować klienta VPN na każdym zaufanym urządzeniu (z którego wymagany jest dostęp zdalny) i obsługiwać tę aplikację. Podczas instalowania rozwiązań IPsec należy wziąć pod uwagę ich „ukryty” koszt związany z obsługą i konserwacją, ponieważ dla każdego rodzaju klienta mobilnego (laptop, PDA itp.) I każdego rodzaju środowiska sieciowego (dostęp przez dostawcę Internetu, dostęp z sieci firmowej - dostęp klienta za pomocą translacji adresów) wymaga oryginalnej konfiguracji klienta IPsec.

Oprócz wsparcia istnieje kilka bardzo ważnych kwestii:

• Nie wszystkie zaufane urządzenia mobilne używane w firmie mają klientów VPN;
• W różnych podsieciach, z których uzyskuje się dostęp (na przykład sieć korporacyjna partnera lub klienta), niezbędne porty można zamknąć i wymagana jest dodatkowa zgoda na ich otwarcie.

Takie problemy nie występują podczas korzystania z SSL VPN.

SSLVPN - algorytm pracy użytkownika

Załóżmy, że jesteś w podróży służbowej, a firma nie może zapewnić Ci laptopa na czas podróży. Ale musisz:

• Podczas nieobecności w biurze nie wypaść z przepływu pracy;
• Wysyłaj i odbieraj wiadomości e-mail;
• Używaj danych z dowolnych systemów biznesowych działających w Twojej firmie.

W najlepszym razie masz na wyciągnięcie ręki komputer w sieci organizacji, w której udałeś się w podróż służbową z dostępem do Internetu tylko za pośrednictwem protokołu http / https, w najgorszym przypadku zwykłą kawiarenkę internetową w hotelu.

SSL VPN z powodzeniem rozwiązuje wszystkie te problemy, a poziom bezpieczeństwa wystarczy do pracy z krytycznymi informacjami z kafejki internetowej ...
W rzeczywistości wykonujesz następujące czynności:

• Potrzebujesz tylko przeglądarki internetowej (Internet Explorer, FireFox itp.);
• W przeglądarce internetowej wpisz adres SSL VPN urządzenia;
• Następnie aplet Java lub komponent ActiveX, który oferuje uwierzytelnianie, jest automatycznie pobierany i uruchamiany;
• Po uwierzytelnieniu automatycznie stosowane są odpowiednie zasady bezpieczeństwa:
  • sprawdza złośliwy kod (w przypadku wykrycia, który jest blokowany);
  • tworzone jest zamknięte środowisko przetwarzania informacji - wszystkie dane (w tym pliki tymczasowe) przesyłane z sieci wewnętrznej zostaną usunięte z komputera, z którego dostęp został zakończony po sesji;
  • Ponadto podczas sesji wykorzystywane są dodatkowe środki ochrony i kontroli;
• Po pomyślnym zakończeniu procedur bezpieczeństwa wszystkie niezbędne linki „jednym kliknięciem myszy” stają się dostępne:
  • Dostęp do serwerów plików z możliwością przesyłania plików na serwer;
  • Dostęp do aplikacji internetowych firmy (na przykład portal wewnętrzny, Outlook Web Access itp.);
  • Dostęp do terminali (MS, Citrix);
  • Narzędzia dla administratorów (na przykład konsola ssh);
  • I oczywiście możliwość pełnego VPN za pośrednictwem protokołu https (bez potrzeby wstępnej instalacji i konfiguracji klienta VPN) - konfiguracja jest przesyłana bezpośrednio z biura, zgodnie z danymi uwierzytelniającymi.

Zatem użycie SSL VPN rozwiązuje kilka problemów:

• Znaczące uproszczenie procesu administrowania i wsparcia użytkownika;
• Organizacja bezpiecznego dostępu do krytycznych informacji z niezaufanych węzłów;
• Możliwość aplikacji na dowolnym urządzeniu mobilnym, a także na dowolnym komputerze (w tym kiosku internetowym) z dostępem do Internetu (bez wstępnych ustawień i specjalnych ustawień oprogramowania).

SSLVPN - producenci i funkcje

Rozwiązania sprzętowe dominują na rynku SSL VPN. Wśród dostawców rozwiązań SSL VPN są wszyscy znani producenci aktywnych urządzeń sieciowych:

• Cisco
• Huawai
• Jałowiec
• Nokia
• Itp.

Wśród wdrożeń oprogramowania specjaliści Alatus wyróżniają rozwiązanie oparte na Eksplorator SSL Firma 3SP Ltdktóry najbardziej odpowiada wymaganiom klientów.

Chciałbym również przedstawić tabelę porównującą możliwości IPSec VPN i SSL VPN:

Charakterystyka	IPSec VPN
Wsparcie aplikacji
Obsługa aplikacji biznesowych
Obsługa aplikacji HTTP
Wsparcie dostępu do serwerów plików
Obsługa dostępu do terminali
Architektura sieci
Komputer firmowy
Mobilny komputer
Praca z sieci innej firmy (za firewallem)	- (Wymaga otwierania portów)	+ (Praca przez https)
Komputer publiczny (kawiarnia internetowa)	- (Wymaga instalacji klienta)
PDA, komunikator	-+ (Musi istnieć klient VPN dla urządzenia)
Bezpieczeństwo
Silne uwierzytelnianie	+ (W większości przypadków)
Pojedyncze logowanie do sieci	-
Automatycznie stosuj zasady bezpieczeństwa w zależności od typu obiektu i użytkownika	- (Wymaga dodatkowych rozwiązań)
dodatkowo
Technologia bez klienta		+ (wystarczająca liczba Internet Explorera)
Łatwość wdrożenia	Zależy od decyzji
Łatwość konfiguracji	Zależy od decyzji
Łatwość wsparcia	Zależy od decyzji

SSL VPN w Rosji

Do tej pory w Rosji wdrożono już dość dużą liczbę projektów mających na celu wprowadzenie zdalnego dostępu do firm opartych na technologii SSL VPN. Ale jak wspomniano wcześniej, podczas gdy ta technologia w Rosji nie zyskała na popularności, podczas gdy producenci tych rozwiązań zgłaszają bardzo wysokie zapotrzebowanie na nie wśród zachodnich firm.

W pierwszej części tej serii artykułów na temat konfigurowania systemu Windows Server 2008 jako serwera SSL VPN opowiedziałem o kilku faktach dotyczących historii serwerów Microsoft VPN i protokołów VPN. Poprzedni artykuł zakończyliśmy opisem przykładu sieci, której będziemy używać w tej i kolejnych częściach serii, aby skonfigurować bramę VPN, która obsługuje połączenia SSTP z klientami Vista SP1.

Zanim zaczniemy, muszę przyznać, że wiem o instruktażu tworzenia połączeń SSTP dla systemu Windows Server 2008, który można znaleźć na stronie www.microsoft.com. Wydawało mi się, że ten artykuł nie odzwierciedla rzeczywistego środowiska, w którym organizacje przypisują certyfikaty. Właśnie dlatego i z powodu pewnych problematycznych problemów, które nie zostały omówione w podręczniku Microsoft, postanowiłem napisać ten artykuł. Wierzę, że nauczysz się czegoś nowego, jeśli będziesz śledzić mnie w tym artykule.

Nie zamierzam rozważać wszystkich kroków, poczynając od samych podstaw. Odważę się założyć, że zainstalowałeś kontroler domeny i aktywowałeś role DHCP, DNS i usług certyfikatów na tym serwerze. Typem certyfikatu serwera musi być Enterprise, a w sieci znajduje się urząd certyfikacji. Serwer VPN musi być podłączony do domeny przed kontynuowaniem poniższych kroków. Zanim zaczniesz, musisz zainstalować dodatek SP1 dla klienta Vista.

Aby nasze rozwiązanie działało, musimy wykonać następujące procedury:

• Zainstaluj IIS na serwerze VPN
• Poproś o certyfikat maszyny dla serwera VPN za pomocą Kreatora żądania certyfikatów IIS
• Zainstaluj rolę RRAS na serwerze VPN
• Aktywuj serwer RRAS i skonfiguruj go do pracy jako serwer VPN i NAT
• Skonfiguruj serwer NAT, aby publikował listę CRL
• Skonfiguruj konto użytkownika, aby korzystać z połączeń telefonicznych
• Skonfiguruj usługi IIS na serwerze certyfikatów, aby zezwalały na połączenia HTTP dla katalogu CRL
• Skonfiguruj plik HOSTS dla klienta VPN
• Użyj PPTP do komunikacji z serwerem VPN
• Uzyskaj certyfikat CA od Enterprise CA
• Skonfiguruj klienta do korzystania z SSTP i połącz się z serwerem VPN za pomocą SSTP

Zainstaluj IIS na serwerze VPN

Może ci się wydawać dziwne, że zaczynamy od tej procedury, ponieważ zalecam, aby nigdy nie instalować serwera sieciowego na urządzeniu zabezpieczającym sieć. Dobra wiadomość jest taka, że \u200b\u200bnie musimy przechowywać serwera internetowego na serwerze VPN, potrzebujemy go tylko przez chwilę. Powodem jest to, że witryna rejestracji zawarta w serwerze certyfikatów systemu Windows Server 2008 nie jest już przydatna do żądania certyfikatów komputerowych. W rzeczywistości jest ogólnie bezużyteczny. Ciekawe jest to, że jeśli nadal decydujesz się na skorzystanie z witryny rejestracyjnej w celu uzyskania certyfikatu komputerowego, wszystko będzie wyglądać tak, jakby certyfikat został otrzymany i zainstalowany, ale tak naprawdę nie jest, certyfikat nie jest zainstalowany.

Aby rozwiązać ten problem, skorzystamy z użycia korporacyjnego urzędu certyfikacji. Korzystając z Enterprise CA, możesz wysłać zapytanie do interaktywnego serwera certyfikacji. Interaktywne żądanie certyfikatu komputera jest możliwe, gdy korzystasz z Kreatora żądania certyfikatów IIS i żądasz czegoś, co nazywa się teraz Certyfikatem Domeny Certyfikatu ”. Jest to możliwe tylko wtedy, gdy żądający komputer należy do tej samej domeny co Enterprise CA.
Aby zainstalować rolę serwera sieci Web IIS na serwerze VPN, wykonaj następujące czynności:

1. Otwórz Windows 2008 Menedżer serwera
2. W lewym okienku konsoli kliknij kartę Role.

1. Kliknij menu Dodaj role po prawej stronie prawego panelu.
2. Kliknij Dalej Na stronie Zanim zaczniesz.
3. Umieść tyknięcie przed linią Serwer WWW (IIS) Na stronie Wybierz role serwera. Kliknij Dalej.

1. Możesz przeczytać informacje na stronie Serwer WWW (IIS)Jeśli chcesz. Jest to dość użyteczna ogólna informacja o używaniu IIS 7 jako serwera WWW, ale ponieważ nie zamierzamy używać serwera internetowego IIS na serwerze VPN, informacje te nie mają pełnego zastosowania w naszej sytuacji. Kliknij Dalej.
2. Na stronie Wybierz usługi ról Kilka opcji jest już wybranych. Jeśli jednak użyjesz opcji domyślnych, nie będziesz mógł użyć Kreatora żądania certyfikatu. Przynajmniej wtedy testowałem system. Nie ma usługi roli dla Kreatora żądania certyfikatu, więc próbowałem zaznaczyć pola obok każdej opcji Bezpieczeństwoi wydaje się, że zadziałało. Zrób to samo dla siebie i kliknij Dalej.

1. Zobacz informacje na stronie Potwierdź wybór i naciśnij zainstalować.
2. Kliknij Blisko Na stronie Wyniki instalacji.

Poproś o certyfikat maszyny dla serwera VPN za pomocą Kreatora żądania certyfikatów IIS

Następnym krokiem jest zażądanie certyfikatu komputera dla serwera VPN. Serwer VPN wymaga certyfikatu komputera, aby utworzyć połączenie SSL VPN z komputerem klienckim SSL VPN. Wspólna nazwa certyfikatu musi być zgodna z nazwą, której klient VPN będzie używał do łączenia się z komputerem bramy SSL VPN. Oznacza to, że musisz utworzyć publiczny rekord DNS dla nazwy na certyfikacie, który rozpozna zewnętrzny adres IP serwera VPN lub adres IP urządzenia NAT przed serwerem VPN, który przekieruje połączenie do serwera SSL VPN.

Aby zażądać certyfikatu komputera od serwera SSL VPN, wykonaj następujące czynności:

1. W Menedżer serwerarozwiń kartę Role w lewym okienku, a następnie rozwiń kartę Serwer WWW (IIS). Naciśnij .

1. W konsoli Menedżer internetowych usług informacyjnych (IIS), który pojawia się po prawej stronie w lewym panelu, kliknij nazwę serwera. W tym przykładzie nazwą serwera będzie W2008RC0-VPNGW. Kliknij ikonę Certyfikaty serwera w prawym panelu konsoli IIS.

1. W prawym panelu konsoli kliknij link Utwórz certyfikat domeny.

1. Wprowadź informacje na stronie Zdefiniowane właściwości nazw. Najważniejszym przedmiotem tutaj będzie Nazwa zwyczajowa. Jest to nazwa, której będą używać klienci VPN do łączenia się z serwerem VPN. Potrzebny będzie również publiczny rekord DNS dla tej nazwy, aby rozpoznać zewnętrzny interfejs serwera VPN lub publiczny adres NAT urządzenia przed serwerem VPN. W tym przykładzie używamy wspólnej nazwy sstp.msfirewall.org. Później utworzymy wpisy pliku HOSTS na komputerze klienckim VPN, aby mógł rozpoznać tę nazwę. Kliknij Dalej.

1. Na stronie kliknij przycisk Wybierz. W oknie dialogowym Wybierz źródło certyfikatu, kliknij nazwę Enterprise CA i kliknij Ok. Wpisz przyjazną nazwę w wierszu Przyjazne imię. W tym przykładzie użyliśmy nazwy SSTP Certaby wiedzieć, że jest on używany w bramie SSTP VPN.

1. Kliknij Skończyć Na stronie Interaktywne źródło certyfikatu.

1. Kreator uruchomi się, a następnie zniknie. Następnie zobaczysz, jak certyfikat pojawia się w konsoli IIS. Kliknij dwukrotnie certyfikat i zobacz nazwę pospolitą w sekcji Przypisane do, a teraz mamy klucz prywatny zgodny z certyfikatem. Kliknij Okaby zamknąć okno dialogowe Certyfikat.

Teraz, gdy mamy certyfikat, możemy zainstalować rolę roli serwera RRAS. Pamiętaj, że jest to bardzo ważne zainstaluj certyfikat przed zainstalowaniem roli roli serwera RRAS. Jeśli tego nie zrobisz, będziesz mieć duże problemy, ponieważ będziesz musiał użyć dość skomplikowanej procedury wiersza poleceń, aby powiązać certyfikat z klientem SSL VPN.

Instalowanie roli roli serwera RRAS na serwerze VPN

Aby zainstalować rolę roli serwera RRAS, wykonaj następujące kroki:

1. W Menedżer serwerakliknij zakładkę Role w lewym okienku konsoli.
2. W sekcji Przegląd ról Kliknij w link Dodaj role.
3. Kliknij Dalej Na stronie Zanim zaczniesz.
4. Na stronie Wybierz role serwera zaznacz pole obok linii. Kliknij Dalej.

1. Przeczytaj informacje na stronie Zasady sieciowe i usługi dostępu. Większość z nich dotyczy serwera zasad sieciowych (który wcześniej był nazywany serwerem uwierzytelniania internetowego i był zasadniczo serwerem RADIUS) oraz ochrony dostępu do sieci, żaden z elementów nie ma zastosowania w naszym przypadku. Pchać Dalej.
2. Na stronie Wybierz usługi ról zaznacz linię Usługi routingu i dostępu zdalnego. W wyniku tego zostaną wybrane elementy. Usługi zdalnego dostępu i Wytyczanie. Kliknij Dalej.

1. Kliknij zainstalować w oknie Potwierdź wybrane ustawienia.
2. Kliknij Blisko Na stronie Wyniki instalacji.

Aktywuj serwer RRAS i skonfiguruj go jako serwer VPN i NAT

Teraz, gdy rola RRAS jest zainstalowana, musimy aktywować usługi RRAS, podobnie jak w poprzednich wersjach systemu Windows. Musimy aktywować funkcję serwera VPN i usługi NAT. Po aktywacji komponentu serwera VPN wszystko jest jasne, ale możesz się zastanawiać, dlaczego musisz aktywować serwer NAT. Powodem aktywacji serwera NAT jest to, że klienci zewnętrzni mogą uzyskać dostęp do serwera certyfikatów, aby połączyć się z listą CRL. Jeśli klient SSTP VPN nie może załadować listy CRL, połączenie SSTP VPN nie będzie działać.

Aby otworzyć dostęp do listy CRL, skonfigurujemy serwer VPN jako serwer NAT i opublikujemy listę CRL przy użyciu odwracalnego NAT. W środowisku sieciowym firmy najprawdopodobniej będziesz mieć zapory ogniowe, takie jak ISA Firewall, przed serwerem certyfikacji, dzięki czemu możesz publikować listy CRL za pomocą zapór ogniowych. Jednak w tym przykładzie jedyną zaporą ogniową, której użyjemy, jest Zapora systemu Windows na serwerze VPN, dlatego w tym przykładzie musimy skonfigurować serwer VPN jako serwer NAT.

Aby aktywować usługi RRAS, wykonaj następujące kroki:

1. W Menedżer serwera rozwiń kartę Role w lewym okienku konsoli. Rozwiń kartę Zasady sieciowe i usługi dostępu i kliknij kartę. Kliknij zakładkę prawym przyciskiem myszy i kliknij Skonfiguruj i włącz routing i dostęp zdalny.

1. Kliknij Dalej w oknie Witamy w Kreatorze instalacji serwera routingu i dostępu zdalnego.
2. Na stronie Konfiguracja Wybierz opcję Dostęp do wirtualnych sieci prywatnych i NAT i naciśnij Dalej.

1. Na stronie Połączenie VPN wybierz NIC w sekcji Interfejsy sieciowe, który reprezentuje zewnętrzny interfejs serwera VPN. Następnie kliknij Dalej.

1. Na stronie Przypisanie adresu IP Wybierz opcję Automatycznie. Możemy wybrać tę opcję, ponieważ mamy serwer DHCP zainstalowany na kontrolerze domeny za serwerem VPN. Jeśli nie masz serwera DHCP, musisz wybrać opcję Z określonej listy adresów, a następnie sporządzić listę adresów, z których klienci VPN mogą korzystać podczas łączenia się z siecią przez bramę VPN. Kliknij Dalej.

1. Na stronie Zarządzaj zdalnym dostępem dla wielu serwerów wybierać Nie, używaj routingu i zdalnego dostępu do uwierzytelniania żądań połączeń. Korzystamy z tej opcji, gdy serwery NPS lub RADIUS są niedostępne. Ponieważ serwer VPN jest członkiem domeny, możesz uwierzytelniać użytkowników przy użyciu kont domeny. Jeśli serwer VPN nie należy do domeny, można używać tylko lokalnych kont serwera VPN, chyba że zdecydujesz się na serwer NPS. W przyszłości napiszę artykuł o korzystaniu z serwera NPS. Kliknij Dalej.

1. Przeczytaj informacje ogólne na stronie Kończenie pracy Kreatora konfiguracji routingu i dostępu zdalnego i naciśnij Skończyć.
2. Kliknij Ok w oknie dialogowym Routing i dostęp zdalny, który informuje, że dystrybucja komunikatów DHCP wymaga agenta dystrybucji DHCP.
3. W lewym okienku konsoli rozwiń kartę Routing i dostęp zdalny a następnie kliknij kartę Porty. W środkowym okienku zobaczysz, że połączenia WAN Miniport dla SSTP są już dostępne.

Skonfiguruj serwer NAT do publikowania listy CRL

Jak powiedziałem wcześniej, klient SSL VPN musi mieć możliwość pobrania listy CRL, aby potwierdzić, że certyfikat serwera na serwerze VPN nie został uszkodzony lub unieważniony. Aby to zrobić, skonfiguruj urządzenie przed serwerem certyfikacji, aby wysyłało żądania HTTP dotyczące lokalizacji listy CRL do serwera certyfikatów.

Skąd mam wiedzieć, który adres URL musi połączyć klient SSL VPN, aby pobrać listę CRL? Informacje te są zawarte w samym certyfikacie. Jeśli ponownie przejdziesz do serwera VPN i klikniesz dwukrotnie certyfikat w konsoli IIS, tak jak poprzednio, możesz znaleźć te informacje.

Kliknij przycisk Detale na certyfikacie i przewiń w dół do rekordu Punkty dystrybucji CRL, a następnie kliknij ten wpis. Dolny panel pokazuje różne punkty dystrybucji oparte na protokole używanym do uzyskania dostępu do tych punktów. Certyfikat pokazany na poniższym rysunku pokazuje, że musimy otworzyć dostęp do klienta SSL VPN do listy CRL za pośrednictwem adresu URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Dlatego musisz utworzyć publiczne rekordy DNS dla tej nazwy, aby zewnętrzni klienci VPN mogli przypisać tę nazwę do adresu IP lub urządzenia, które wykona zwrotny NAT lub zwrotny serwer proxy w celu uzyskania dostępu do strony internetowej serwera certyfikacji. W tym przykładzie musimy powiązać win2008rc0-dc.msfirewall.org z adresem IP na zewnętrznym interfejsie serwera VPN. Kiedy połączenie osiągnie zewnętrzny interfejs serwera VPN, serwer VPN przekieruje połączenie NAT do serwera certyfikacji.

Jeśli używasz zaawansowanej zapory ogniowej, takiej jak zapora ISA, możesz zwiększyć bezpieczeństwo publikowania stron CRL, zezwalając na dostęp tylko do listy CRL, a nie do całej witryny. Jednak w tym artykule ograniczymy się do możliwości prostego urządzenia NAT, które zapewnia RRAS NAT.

Należy zauważyć, że użycie domyślnej nazwy listy CRL witryny może być mniej bezpieczną opcją, ponieważ ujawnia prywatną nazwę komputera w Internecie. Możesz utworzyć niestandardowy CDP (punkt dystrybucji CRL), aby tego uniknąć, jeśli uważasz, że ujawnienie prywatnej nazwy urzędu certyfikacji w publicznym rekordzie DNS stanowi zagrożenie bezpieczeństwa.

Aby skonfigurować RRAS NAT do przekazywania żądań HTTP do serwera certyfikacji, wykonaj następujące kroki:

1. W lewym okienku Menedżer serwera rozwiń kartę Routing i dostęp zdalnya następnie rozwiń kartę IPv4. Kliknij zakładkę NAT.
2. W zakładce NAT kliknij prawym przyciskiem myszy interfejs zewnętrzny w środkowym panelu konsoli. W tym przykładzie nazwa zewnętrznego interfejsu to Połączenie lokalne. naciśnij Nieruchomości.

1. W oknie dialogowym zaznacz pole obok Serwer WWW (HTTP). Spowoduje to wyświetlenie okna dialogowego. Usługa edycji. W linii tekstu Prywatny adres wprowadź adres IP serwera certyfikacji w sieci wewnętrznej. Kliknij Ok.

1. Kliknij Ok w oknie dialogowym Właściwości połączenia lokalnego.

Teraz, gdy serwer NAT jest zainstalowany i skonfigurowany, możemy przenieść naszą uwagę na konfigurację serwera CA i klienta SSTP VPN.

Wniosek

W tym artykule nadal rozmawialiśmy o konfigurowaniu serwera SSL VPN za pomocą systemu Windows Server 2008. Przyjrzeliśmy się instalacji IIS na serwerze VPN, żądaniu i instalowaniu certyfikatu serwera, instalowaniu i konfigurowaniu usług RRAS i NAT na serwerze VPN. W następnym artykule zakończymy przeglądanie serwera CA i klienta VPN SSTP. Do zobaczenia! Tomek.