Accesul la distanță este foarte important astăzi. Având în vedere că mai mulți oameni au nevoie să acceseze informațiile stocate pe computerele de acasă și de la serviciu, capacitatea de a le accesa de oriunde a devenit critică. S-au dus vremurile în care oamenii spuneau: „Îți voi trimite aceste informații de îndată ce ajung la computerul meu”. Aveți nevoie imediat de aceste informații dacă doriți să concurați în lumea afacerilor de astăzi.

În epoca de piatră a computerizării modalitatea de a obține acces de la distanță Am folosit o conexiune dial-up la computerul meu. Conexiunile dial-up RAS operau pe linii obișnuite POTS (Serviciul telefonic vechi simplu) la rate de date de până la aproximativ 56 kbps. Viteza a fost principala problemă cu aceste conexiuni, dar o problemă și mai mare a fost costul conexiunii atunci când accesul necesita distanțe lungi.

Odată cu popularitatea în creștere a internetului, conexiunile RAS au devenit din ce în ce mai puțin utilizate. Motivul pentru aceasta a fost apariția conexiunilor VPN (rețea privată virtuală). Conexiunile VPN au oferit aceeași conectivitate punct la punct ca și conexiunile RAS prin dial-up, dar au făcut-o mai rapid și mai ieftin, deoarece viteza unei conexiuni VPN poate fi aceeași cu viteza unei conexiuni la Internet și costul conexiunii. nu depinde de locația destinației. Singurul lucru pentru care trebuie să plătiți este o conexiune la internet.

Rețea privată virtuală

O conexiune VPN permite computerului dvs. să creeze virtualȘi privat conexiune la rețea prin Internet. Compus virtual deoarece atunci când un computer creează o conexiune VPN prin Internet, computerul care creează această conexiune acționează ca un nod conectat direct la rețea, ca și cum ar fi conectat la rețea printr-un cablu local Rețele Ethernet. Utilizatorul are același acces la resurse pe care l-ar avea dacă ar fi conectat direct la rețea folosind un cablu. Cu toate acestea, în cazul unui client VPN care se conectează la serverul VPN, conexiunea practic deoarece nu există o conexiune Ethernet validă la destinație. conexiune VPN privat, deoarece conținutul fluxului de date din această conexiune criptat, astfel încât nimeni de pe Internet nu poate intercepta și citi datele transmise printr-o conexiune VPN.

Serverele și clienții Windows au suportat conexiuni VPN încă de pe vremea Windows NT și Windows 95. Deși clienții și serverele Windows au suportat conexiuni VPN timp de un deceniu, tipul de suport VPN a evoluat de-a lungul timpului. Windows Vista Service Pack 1 și Windows Server 2008 acceptă în prezent trei tipuri conexiuni VPN. Acestea sunt următoarele tipuri:

• L2TP/IPSec

PPTP este un protocol de tunel punct la punct. PPTP este cel mai simplu mod de a crea o conexiune VPN, dar, din păcate, este și cel mai puțin sigur. Motivul pentru care acest tip este cel mai puțin sigur este că acreditările utilizatorului sunt trimise pe un canal nesigur. Cu alte cuvinte, începe criptarea conexiunii VPN După care cum au fost transferate mandatele. Deși informațiile reale de acreditări nu sunt transmise între clienții VPN și servere, valorile hash transmise pot fi folosite de hackeri sofisticați pentru a obține acces la serverele VPN și a se conecta la rețeaua corporativă.

Protocolul VPN L2TP/IPSec este mai fiabil. L2TP/IPSec a fost dezvoltat în comun de Microsoft și Cisco. L2TP/IPSec este mai sigur decât PPTP, deoarece o sesiune IPSec sigură este creată înainte ca acreditările să fie trimise prin cablu. Hackerii nu pot accesa acreditările și, prin urmare, nu le pot fura pentru o utilizare ulterioară. Mai mult, IPSec oferă autentificare reciprocă între mașini, astfel încât mașinile necunoscute nu se vor putea conecta la canalul VPN L2TP/IPSec. IPSec oferă autentificare reciprocă, integritate a datelor, confidențialitate și non-repudiere. L2TP acceptă mecanismele de autentificare a utilizatorilor PPP și EAP, care oferă o securitate ridicată de conectare, deoarece sunt necesare atât autentificarea mașinii, cât și a utilizatorului.

Windows Vista SP1 și Windows Server 2008 acceptă acum un nou tip de protocol VPN, Secure Socket Tunneling Protocol sau SSTP. SSTP folosește conexiuni HTTP criptate SSL pentru a crea conexiuni VPN la gateway-uri VPN. SSTP este sigur deoarece acreditările utilizatorului nu sunt transmise până când până când se deschide un tunel SSL securizat pentru conectarea la gateway-ul VPN. SSTP este cunoscut și sub numele de PPP peste SSL, ceea ce înseamnă că puteți utiliza mecanisme de autentificare PPP și EAP pentru a vă face conexiunea SSTP mai sigură.

Privat nu înseamnă sigur

Trebuie remarcat faptul că conexiunile VPN sunt mai degrabă private decât sigure. Deși recunosc că confidențialitatea este o componentă fundamentală a comunicațiilor securizate, ea în sine nu asigură această securitate. Tehnologiile VPN oferă o componentă privată a conexiunii dumneavoastră la Internet care împiedică terții să citească conținutul comunicațiilor dumneavoastră. Tehnologiile VPN vă permit, de asemenea, să vă asigurați că numai utilizatorii autorizați se pot conecta la o anumită rețea prin gateway-ul VPN. Cu toate acestea, componenta privată, autentificarea și autorizarea nu oferă securitate completă.

Să presupunem că aveți un angajat căruia i-ați acordat acces VPN. Deoarece protocolul VPN Windows Server 2008 acceptă autentificarea utilizatorului EAP, decideți să creați carduri inteligente pentru utilizatorii dvs. și să utilizați protocolul VPN L2TP/IPSec. Combinația de carduri inteligente și protocolul L2TP/IPSec vă permite să solicitați autentificarea utilizatorului și utilizarea unei mașini sănătoase. Cardul dvs. inteligent și soluția L2TP/IPSec funcționează excelent și toată lumea este fericită.

Toată lumea este fericită până când, într-o zi, unul dintre utilizatorii tăi se conectează la serverul tău SQL pentru a obține informații contabile și începe să le partajeze cu alți angajați. Ce s-a întâmplat? Conexiunea VPN a fost nesigură? Nu, conexiunea VPN a fost suficient de sigură pentru a oferi componenta de confidențialitate, autentificare și autorizare, dar nu a asigurat controlul accesului, iar controlul accesului este o componentă fundamentală a securității computerului. De fapt, s-ar putea chiar argumenta că, fără controlul accesului, toate celelalte măsuri de securitate au o valoare relativ mică.

Pentru ca VPN-urile să fie cu adevărat sigure, trebuie să vă asigurați că gateway-ul VPN este capabil să ofere controlul accesului utilizatorilor/grupurilor, astfel încât să puteți acorda nivelul necesar de acces utilizatorilor VPN. Gateway-uri și firewall-uri VPN mai avansate, cum ar fi ISA Firewall, pot oferi un astfel de control asupra conexiunilor VPN. În plus, firewall-urile precum ISA Firewall pot oferi pachete de adrese și inspecție la nivel de aplicație pe conexiunile VPN client.

Deși Windows Server 2008 VPN nu oferă controale de acces pentru utilizatori și grupuri, există și alte modalități prin care puteți configura controalele de acces pe server în sine dacă nu doriți să plătiți pentru a achiziționa firewall-uri și gateway-uri VPN mai avansate. În acest articol, ne concentrăm atenția doar asupra componentelor serverelor VPN. Dacă doriți să aflați mai multe despre firewall-urile ISA și capacitățile acestora pentru serverele VPN, accesați www.isaserver.org

De ce să folosiți noul protocol VPN?

Microsoft a creat deja două protocoale VPN viabile care permit utilizatorilor să se conecteze la rețeaua corporativă, așa că de ce să creați un al treilea? SSTP este un plus excelent pentru utilizatorii de Windows VPN deoarece SSTP nu are probleme cu firewall-urile și dispozitivele NAT, spre deosebire de protocoalele PPTP și L2TP/IPSec. Pentru ca PPTP să funcționeze pe un dispozitiv NAT, dispozitivul trebuie să accepte PPTP folosind un editor NAT pentru PPTP. Dacă nu există un astfel de editor NAT pentru PPTP pe acest dispozitiv, atunci conexiunile PPTP nu vor funcționa.

L2TP/IPSec are probleme cu dispozitivele NAT și firewall-urile, deoarece firewall-ul trebuie să aibă un port L2TP UDP 1701 deschis pentru conexiunile de ieșire, un port IPSec IKE UDP 500 deschis pentru conexiunile de ieșire și un port traversal IPSec NAT UDP 4500 deschis pentru conexiunile de ieșire ( Portul L2TP nu este necesar când utilizați NAT-T). Majoritatea firewall-urilor sunt în locuri publice, cum ar fi hoteluri, centre de convenții, restaurante etc. au un număr mic de porturi deschise pentru conexiuni de ieșire, cum ar fi HTTP, portul TCP 80 și HTTPS (SSL), portul TCP 443. Dacă aveți nevoie de suport pentru mai mult decât protocoalele HTTP și SSL atunci când părăsiți biroul, șansele dvs. de un conexiunea de succes sunt reduse semnificativ. Este posibil să nu primiți porturile necesare pentru PPTP sau L2TP/IPSec.

Spre deosebire de protocoalele anterioare, conexiunile VPN SSTP trec pe un canal SSL folosind portul TCP 443. Deoarece toate firewall-urile și dispozitivele NAT au port deschis TCP 443, puteți utiliza SSTP oriunde. Acest lucru face viața mult mai ușoară pentru călătorii care folosesc conexiuni VPN pentru a se conecta la birou și, de asemenea, face viața mult mai ușoară pentru administratorii corporativi care trebuie să sprijine călătorii, precum și să îi ajute pe angajații din locuri publice să ofere acces la Internet în hoteluri, centre de conferințe etc. .

Procesul de conectare SSTP

1. Clientul SSTP VPN creează o conexiune TCP la gateway-ul SSTP VPN între un port sursă TCP aleatoriu al clientului SSTP VPN și portul TCP 443 al gateway-ului SSTP VPN.
2. Clientul VPN SSTP trimite SSL Client-Salut mesaj, indicând că dorește să creeze o sesiune SSL cu gateway-ul VPN SSTP.
3. Trimite gateway VPN SSTP certificat de calculator Client VPN SSTP.
4. Clientul VPN SSTP validează certificatul computerului verificând baza de date de certificate Trusted Root Certification Authorities pentru a se asigura că certificatul CA semnat de server se află în acea bază de date. Clientul VPN SSTP determină apoi metoda de criptare pentru sesiunea SSL, generează cheia de sesiune SSL și o criptează cu cheia VPN SSTP a gateway-ului public și apoi trimite forma criptată a cheii de sesiune SSL către poarta VPN SSTP.
5. Gateway-ul VPN SSTP decriptează cheia de sesiune SSL criptată utilizând cheia privată a certificatelor computerului. Toate conexiunile ulterioare dintre clientul VPN SSTP și gateway-ul VPN SSTP vor fi criptate folosind metoda de criptare convenită și cheia de sesiune SSL.
6. Clientul VPN SSTP trimite un mesaj de solicitare HTTP peste SSL (HTTPS) către gateway-ul VPN SSTP.
7. Clientul VPN SSTP negociază un canal SSTP cu gateway-ul VPN SSTP.
8. Clientul VPN SSTP negociază o conexiune PPP cu serverul SSTP. Aceste negocieri includ autentificarea acreditărilor utilizatorului folosind metoda standard de autentificare PPP (sau chiar autentificarea EAP) și configurarea setărilor pentru traficul Internet Protocol Version 4 (IPv4) sau Internet Protocol Version 6 (IPv6).
9. Clientul SSTP începe să trimită trafic IPv4 sau IPv6 prin conexiunea PPP.

Cei care sunt interesați de caracteristicile arhitecturii protocolului VPN le pot vedea în figura de mai jos. Vă rugăm să rețineți că SSTP are un antet suplimentar, spre deosebire de celelalte două protocoale VPN. Acest lucru se datorează criptării suplimentare HTTPS pe lângă antetul SSTP. L2TP și PPTP nu au antete de nivel de aplicație pentru a cripta conexiunea.

Poza 1

Vom lua ca exemplu o rețea simplă cu trei mașini pentru a vedea cum funcționează SSTP. Numele și caracteristicile acestor trei mașini sunt următoarele:

Vista Business Edition

Vista Service Pack 1

Non-membru de domeniu

W2008RC0-VPNGW:

Două NIC-uri „Interne și Externe

WIN2008RC-DC:

Windows Server 2008 Enterprise Edition

Controller de domeniu al domeniului MSFIREWALL.ORG

Server de certificate (Enterprise CA)

Vă rugăm să rețineți că Vista Service Pack 1 este utilizat ca client VPN. Deși au existat discuții în trecut despre Windows XP Service Pack 3 care acceptă SSTP, este posibil să nu fie deloc cazul. Am instalat recent o versiune de probă a Windows XP Service Pack 3 pe un computer de testare și nu am găsit nicio dovadă a suportului SSTP. Și asta este foarte rău, pentru că prea multe laptopuri folosesc astăzi Windows XP, iar dovezile sugerează că Vista este prea lent pentru ca laptopurile să ruleze. Problemele de performanță Vista pot fi rezolvate cu Vista Service Pack 1.

Configurația de nivel înalt a unui exemplu de rețea este prezentată în figura de mai jos.

Figura 2

Configurarea Windows Server 2008 ca server VPN SSL cu acces la distanță

Nu voi acoperi toți pașii pornind de la elementele de bază. M-aș aventura să presupun că ați instalat un controler de domeniu și ați activat rolurile DHCP, DNS și Servicii de certificate pe acest server. Tipul de certificare a serverului trebuie să fie Enterprise și aveți un CA în rețea. Serverul VPN trebuie să fie conectat la domeniu înainte de a continua cu următorii pași. Înainte de a începe, trebuie să instalați SP1 pentru clientul Vista.

Pentru ca soluția noastră să funcționeze, trebuie să urmăm următoarele proceduri:

• Instalați IIS pe serverul VPN
• Solicitați un certificat de mașină pentru serverul VPN utilizând Expertul de solicitare de certificat IIS
• Instalați rolul RRAS pe serverul VPN
• Activați serverul RRAS și configurați-l să funcționeze ca server VPN și NAT
• Configurați un server NAT pentru a publica CRL
• Configurați un cont de utilizator pentru a utiliza conexiuni dial-up
• Configurați IIS pe serverul de certificate pentru a permite conexiuni HTTP pentru directorul CRL
• Configurați fișierul HOSTS pentru clientul VPN
• Utilizați PPTP pentru a comunica cu serverul VPN
• Obțineți certificatul CA de la Enterprise CA
• Configurați clientul pentru a utiliza SSTP și conectați-vă la serverul VPN folosind SSTP

Instalarea IIS pe un server VPN

S-ar putea să vi se pare ciudat că începem cu această procedură, deoarece vă recomand să nu instalați niciodată un server web pe un dispozitiv de securitate de rețea. Vești bune este că nu trebuie să stocăm serverul web pe serverul VPN, avem nevoie doar de el pentru o perioadă. Motivul este că site-ul de înregistrare inclus cu Windows Server 2008 Certificate Server nu mai este util pentru solicitarea de certificate de computer. De fapt, este complet inutil. Lucrul interesant este că, dacă decideți să utilizați site-ul de înregistrare pentru a obține un certificat de computer, va apărea ca și cum certificatul a fost primit și instalat, dar de fapt nu este cazul, certificatul nu a fost instalat.

Pentru a rezolva această problemă, vom profita de faptul că folosim un CA de întreprindere. Când utilizați Enterprise CA, puteți trimite o solicitare către un server de certificate online. O solicitare interactivă pentru un certificat de computer este posibilă atunci când utilizați Expertul de solicitare de certificat IIS și solicitați ceea ce acum se numește „Certificat de domeniu”. Acest lucru este posibil numai dacă mașina solicitantă aparține aceluiași domeniu cu CA Enterprise.

Pentru a instala rolul de server web IIS pe serverul VPN, urmați acești pași:

1. Deschideți Windows 2008 Manager server.
2. În panoul din stânga al consolei, faceți clic pe fila Roluri.

Poza 1

1. Faceți clic pe meniu Adăugați roluriîn partea dreaptă a panoului din dreapta.
2. Clic Mai departe Pe pagina Inainte sa incepi.
3. Puneți o bifă lângă linie Server web (IIS) Pe pagina Selectați rolurile de server. Clic Mai departe.

Figura 2

1. Puteți citi informațiile de pe pagină Server web (IIS), daca doresti. Acestea sunt informații generale destul de utile despre utilizarea IIS 7 ca server web, dar din moment ce nu vom folosi serverul web IIS pe un server VPN, aceste informații nu sunt aplicabile în totalitate în situația noastră. Clic Mai departe.
2. Pe pagina Selectați servicii de rol mai multe opțiuni sunt deja selectate. Cu toate acestea, dacă utilizați opțiunile implicite, nu veți putea utiliza Expertul de solicitare de certificat. Cel puțin așa a fost când am testat sistemul. Nu există niciun serviciu de rol pentru Expertul de solicitare de certificat, așa că am încercat să bifez casetele de lângă fiecare opțiune Siguranță, și se pare că a funcționat. Faceți același lucru pentru dvs. și faceți clic Mai departe.

Figura 3

1. Consultați informațiile de pe pagină Confirmați selecția setărilorși apăsați Instalare.
2. Clic Închide Pe pagina Rezultatele instalării.

Figura 4

Solicitați un certificat de mașină pentru un server VPN utilizând Expertul de solicitare de certificat IIS

Următorul pas este să solicitați un certificat de mașină pentru serverul VPN. Serverul VPN necesită un certificat de mașină pentru a crea o conexiune VPN SSL cu computerul clientului VPN SSL. Numele comun al certificatului trebuie să se potrivească cu numele pe care clientul VPN îl va folosi pentru a se conecta la computerul gateway VPN SSL. Aceasta înseamnă că va trebui să creați o înregistrare DNS publică pentru numele de pe certificat care se va rezolva la adresa IP externă a serverului VPN sau adresa IP a dispozitivului NAT în fața serverului VPN care va redirecționa conexiunea. la serverul VPN SSL.

Pentru a solicita un certificat de mașină către serverul SSL VPN, urmați acești pași:

1. ÎN Manager server, extindeți fila Roluriîn panoul din stânga și apoi extindeți fila Server web (IIS). Presa .

Figura 5

1. În consolă Manager Internet Information Services (IIS). care apare în partea dreaptă în panoul din stânga, faceți clic pe numele serverului. În acest exemplu, numele serverului ar fi W2008RC0-VPNGW. Faceți clic pe pictogramă Certificate de serverîn panoul din dreapta al consolei IIS.

Figura 6

1. În panoul din dreapta al consolei, faceți clic pe link Creați un certificat de domeniu.

Figura 7

1. Introduceți informații pe pagină Proprietăți specifice Nume. Cel mai important obiect de aici va fi Denumirea comună. Acesta este numele pe care clienții VPN îl vor folosi pentru a se conecta la serverul VPN. De asemenea, veți avea nevoie de o înregistrare DNS publică pentru acest nume pentru a recunoaște interfața externă a serverului VPN sau adresa NAT publică a dispozitivului în fața serverului VPN. În acest exemplu folosim numele comun sstp.msfirewall.org. Vom crea intrări mai târziu Fișierul HOSTS pe computerul clientului VPN, astfel încât acesta să poată recunoaște numele. Clic Mai departe.

Figura 8

1. Faceți clic pe butonul de pe pagină Alege. În caseta de dialog Selectați sursa certificatului, faceți clic pe numele Enterprise CA și faceți clic Bine. Introduceți un nume prietenos în rând Nume prietenos. În acest exemplu am folosit numele Cert SSTP să știți că este folosit pentru gateway-ul VPN SSTP.

Figura 9

1. Clic finalizarea Pe pagina Sursa certificatului online.

Figura 10

1. Vrăjitorul va porni și apoi va dispărea. Veți vedea apoi că certificatul va apărea în consola IIS. Faceți dublu clic pe certificat și vedeți numele comun în secțiune Numit la, iar acum avem cheia privată corespunzătoare certificatului. Clic Bine pentru a închide caseta de dialog Certificat.

Figura 11

Acum că avem certificatul, putem instala RRAS Server Role. Vă rugăm să rețineți ce este foarte important certificat de instalareînainte de a instala rolul de server RRAS. Dacă nu faci asta, te vei pregăti pentru dureri de cap majore, deoarece va trebui să folosești o rutină destul de complicată linii de comandă pentru a asocia certificatul cu clientul VPN SSL.

Instalarea rolului de server RRAS pe serverul VPN

Pentru a instala rolul de server RRAS, trebuie să parcurgeți următorii pași:

1. ÎN Manager server, faceți clic pe filă Roluriîn panoul din stânga consolei.
2. In sectiune Informații generale roluri apasa pe link Adăugați roluri.
3. Clic Mai departe Pe pagina Inainte sa incepi.
4. Pe pagina Selectați rolurile de server bifați caseta de lângă linie. Clic Mai departe.

Figura 12

1. Citiți informațiile de pe pagină Politică de rețea și servicii de acces. Cea mai mare parte se referă la Network Policy Server (care se numea anterior Internet Authentication Server și era în esență un server RADIUS) și NAP, niciunul dintre elemente nu este aplicabil în cazul nostru. Clic Mai departe.
2. Pe pagina Selectați servicii de rol puneți o bifă lângă linie Servicii de rutare și acces la distanță. Ca rezultat, articolele vor fi selectate Servicii de acces la distanțăȘi Dirijare. Clic Mai departe.

Figura 13

1. Clic Instalare La fereastră Confirmați setările selectate.
2. Clic Închide Pe pagina Rezultatele instalării.

Activarea serverului RRAS și configurarea acestuia ca server VPN și NAT

Acum că rolul RRAS este instalat, trebuie să activăm serviciile RRAS, la fel cum am făcut și în precedentul versiuni Windows. Trebuie să activăm funcția de server VPN și serviciile NAT. Activarea componentei server VPN este clară, dar s-ar putea să vă întrebați de ce trebuie să activați serverul NAT. Motivul pentru activarea serverului NAT este astfel încât clienții externi să poată accesa serverul de certificat pentru a se conecta la CRL. Dacă clientul VPN SSTP nu reușește să descarce CRL, conexiunea VPN SSTP nu va funcționa.

Pentru a deschide accesul la CRL, vom configura serverul VPN ca server NAT și vom publica CRL folosind NAT reversibil. Într-un mediu de rețea corporativă, probabil că veți avea firewall-uri, cum ar fi ISA Firewall, în fața serverului de certificate, astfel încât veți putea publica CRL-uri folosind firewall-urile. Cu toate acestea, în acest exemplu, singurul firewall pe care îl vom folosi este Firewall Windows Firewall pe serverul VPN, așa că în acest exemplu trebuie să configuram serverul VPN ca server NAT.

Pentru a activa serviciile RRAS, urmați acești pași:

1. ÎN Manager server extinde fila Roluriîn panoul din stânga consolei. Extinde fila Politică de rețea și servicii de accesși faceți clic pe filă. Faceți clic dreapta pe filă și faceți clic Configurați și activați rutarea și accesul de la distanță.

Figura 14

1. Clic Mai departe La fereastră Bun venit la Expertul de configurare a serverului de rutare și acces la distanță.
2. Pe pagina Configurare selectați opțiunea Acces la rețele private virtuale și NATși apăsați Mai departe.

Figura 15

1. Pe pagina conexiune VPN selectați NIC în secțiune Interfețe de rețea, care reprezintă interfața externă a serverului VPN. Apoi apasa Mai departe.

Figura 16

1. Pe pagina Atribuirea adreselor IP selectați opțiunea Automat. Putem selecta această opțiune deoarece avem un server DHCP instalat pe controlerul de domeniu din spatele serverului VPN. Dacă nu aveți un server DHCP, atunci va trebui să selectați opțiunea Dintr-o anumită listă de adrese, apoi introduceți o listă de adrese pe care clienții VPN le pot folosi atunci când se conectează la rețea prin gateway-ul VPN. Clic Mai departe.

Figura 17

1. Pe pagina Gestionarea accesului de la distanță la mai multe servere alege Nu, utilizați rutarea și accesul de la distanță pentru a autentifica solicitările de conexiune. Folosim această opțiune atunci când serverele NPS sau RADIUS nu sunt disponibile. Deoarece serverul VPN este membru al unui domeniu, puteți autentifica utilizatorii folosind conturi de domeniu. Dacă serverul VPN nu face parte dintr-un domeniu, atunci pot fi utilizate numai conturile de server VPN locale, cu excepția cazului în care alegeți să utilizați un server NPS. Voi scrie un articol despre utilizarea unui server NPS în viitor. Clic Mai departe.

Figura 18

1. Citit Informații generale Pe pagina Finalizarea asistentului de configurare pentru rutare și acces la distanțăși apăsați finalizarea.
2. Clic Bineîn caseta de dialog Rutare și acces la distanță care vă spune că distribuirea mesajelor DHCP necesită un agent de distribuție DHCP.
3. În panoul din stânga al consolei, extindeți fila Rutare și acces la distanțăși apoi faceți clic pe tab Porturi. În panoul din mijloc veți vedea că conexiunile WAN Miniport pentru SSTP sunt acum disponibile.

Figura 19

Configurarea unui server NAT pentru publicarea CRL

După cum am spus mai devreme, clientul VPN SSL trebuie să poată descărca un CRL pentru a verifica dacă certificatul de server de pe serverul VPN nu a fost corupt sau revocat. Pentru a face acest lucru, trebuie să configurați dispozitivul în fața serverului de certificare pentru a trimite solicitări HTTP despre locația CRL pe serverul de certificate.

Cum știu la ce URL trebuie să se conecteze clientul VPN SSL pentru a descărca CRL? Aceste informații sunt conținute în certificatul în sine. Dacă reveniți la serverul VPN și faceți dublu clic pe certificat în consola IIS așa cum ați făcut înainte, ar trebui să puteți găsi aceste informații.

Faceți clic pe butonul Detalii pe certificat și derulați în jos până la intrare puncte de distribuție CRL, apoi faceți clic pe această intrare. Panoul de jos arată diferitele puncte de distribuție în funcție de protocolul utilizat pentru a accesa acele puncte. În certificatul prezentat în imaginea de mai jos, putem vedea că trebuie să permitem accesul clientului VPN SSL la CRL printr-o adresă URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Figura 20

Acesta este motivul pentru care trebuie să creați înregistrări DNS publice pentru acest nume, astfel încât clienții VPN externi să poată atribui acest nume unei adrese IP sau unui dispozitiv care va efectua un NAT invers sau un proxy invers pentru a accesa site-ul web al serverului de certificate. În acest exemplu trebuie să legăm win2008rc0-dc.msfirewall.org cu o adresă IP pe interfața externă a serverului VPN. Când conexiunea ajunge la interfața externă a serverului VPN, serverul VPN va transmite conexiunea NAT către serverul de certificate.

Dacă utilizați un firewall avansat, cum ar fi ISA Firewall, puteți face mai sigure CRL-urile site-ului de publicare permițând accesul numai către CRL, nu către întregul site. Cu toate acestea, în acest articol ne vom limita la posibilitatea unui dispozitiv NAT simplu, precum cel care oferă RRAS NAT.

Trebuie remarcat faptul că utilizarea numelui CRL implicit al site-ului poate fi o opțiune mai puțin sigură, deoarece dezvăluie numele privat al computerului pe Internet. Puteți crea un CDP personalizat (Punctul de distribuție CRL) pentru a evita acest lucru dacă credeți că expunerea numelui privat al CA dvs. la public înregistrări DNS prezintă un risc de securitate.

Pentru a configura RRAS NAT să direcționeze cererile HTTP către serverul de certificate, urmați acești pași:

1. În panoul din stânga Manager server extinde fila Rutare și acces la distanță, apoi extindeți fila IPv4. Faceți clic pe filă NAT.
2. În fila NAT faceți clic dreapta pe interfața externă din panoul din mijloc al consolei. ÎN în acest exemplu numele interfeței externe era Conexiune locală. presa Proprietăți.

Figura 21

1. În caseta de dialog, bifați caseta de lângă Server web (HTTP). Aceasta va afișa o casetă de dialog Serviciu de editare. Într-o linie de text Adresă privată Introduceți adresa IP a serverului de certificare din rețeaua internă. Clic Bine.

Figura 22

1. Clic Bineîn caseta de dialog Proprietăți de conexiune locală.

Figura 23

Acum că serverul NAT este instalat și configurat, ne putem îndrepta atenția către configurarea serverului CA și a clientului VPN SSTP.

Configurarea unui cont de utilizator pentru a utiliza conexiunile dial-up

Conturile de utilizator necesită permisiuni de acces dial-up înainte de a se putea conecta server Windows VPN care face parte dintr-un domeniu Director activ. Cel mai bun mod de a face acest lucru este să utilizați Network Policy Server (NPS) și, de asemenea, să permiteți cont utilizator implicit care permite accesul de la distanță pe baza politicii NPS. Totuși, în cazul nostru, nu am instalat un server NPS, așa că va trebui să configuram manual permisiunea de acces prin apelare a utilizatorului.

În articolul următor mă voi concentra pe utilizarea serverului NPS și a autentificării certificatului de utilizator EAP pentru a crea conexiuni cu un server VPN SSL.

Pentru a permite unui anumit cont de utilizator acces prin apelare să se conecteze la un server VPN SSL, trebuie să parcurgeți următorii pași. În acest exemplu, vom activa permisiunea de acces prin apelare pentru contul implicit de administrator de domeniu:

1. Pe controlerul de domeniu, deschideți consola Utilizatori și computere Active Directory din meniu.
2. În panoul din stânga al consolei, extindeți numele domeniului și faceți clic pe filă utilizatorii. Faceți dublu clic pe cont Administrator.
3. Accesați fila Dial-in. Setarea implicită va fi Controlul accesului prin politica de rețea NPS. Deoarece nu avem un server NPS în acest scenariu, vom schimba setarea la Permite accesul, așa cum se arată mai jos în Figura 1. Faceți clic Bine.

Poza 1

Configurarea IIS pe serverul de certificate pentru a permite conexiuni HTTP pentru directorul CRL

Din anumite motive, atunci când expertul de instalare instalează site-ul Web Certificate Services, configurează directorul CRL pentru a solicita o conexiune SSL. Deși pare o idee destul de bună din punct de vedere al securității, problema este că identificatorul uniform de resurse (URI) de pe certificat nu este configurat pentru a utiliza SSL. Bănuiesc că ați putea crea singur o înregistrare CDP pentru certificat, astfel încât să poată folosi SSL, dar pariez că Microsoft nu a menționat această problemă nicăieri. Deoarece utilizăm setările standard pentru CDP în acest articol, trebuie să dezactivăm cerința SSL pe site-ul CA pentru calea directorului CRL.

Pentru a dezactiva cerința SSL pentru un director CRL, urmați acești pași:

1. În meniu Instrumente de administrare manager deschis Manager Internet Information Services (IIS)..
2. În panoul din stânga al consolei IIS, extindeți numele serverului, apoi extindeți Site-uri web. Extinde fila Site implicitși faceți clic pe filă CertEnroll, așa cum se arată în Figura 2.

Figura 2

1. Dacă te uiți la panoul din mijloc al consolei, vei vedea asta CRL se află în acest director virtual, așa cum se arată în figura de mai jos. Pentru a vizualiza conținutul acestui director virtual, trebuie să faceți clic pe butonul Vizualizați conținutulîn partea de jos a panoului din mijloc.

Figura 3

1. Faceți clic pe butonul Vizualizați opțiunileîn partea de jos a panoului din mijloc. În partea de jos a panoului din mijloc, faceți dublu clic pe pictogramă Setări SSL.

Figura 4

1. Va apărea o pagină în panoul din mijloc Setări SSL. Debifați caseta Necesită SSL. Clic aplicaîn panoul din dreapta al consolei.

Figura 5

1. Închideți consola IIS după ce vedeți notificarea Modificările au fost salvate cu succes.

Figura 6

Configurarea unui fișier HOSTS pentru un client VPN

Acum ne putem acorda toată atenția clientului VPN. Primul lucru pe care trebuie să-l facem cu clientul este configurarea unui fișier HOSTS, astfel încât să putem simula o infrastructură DNS publică. Există două nume pe care trebuie să le introducem în fișierul HOSTS (același lucru trebuie făcut pentru public server DNS a, pe care îl veți folosi în rețelele de producție). Prenumele este numele serverului VPN, așa cum este determinat de numele comun/subiect al certificatului pe care l-am asociat cu serverul VPN SSL. Al doilea nume pe care trebuie să îl introducem în fișierul HOSTS (și în serverul DNS public) este numele URL-ului CDP, care se află pe certificat. Am analizat locația informațiilor CDP în partea 2 a acestei serii.

Cele două nume care trebuie introduse în fișierul HOSTS din acest exemplu ar fi:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Pentru a configura fișierul HOSTS pentru clientul VPN Vista SP1, urmați aceste proceduri:

1. În meniu start introduce c:\windows\system32\drivers\etc\hosts la bara de căutare și apăsați ENTER.
2. În caseta de dialog Pentru a deschide cu Selectați Caiet.
3. Introduceți intrările în fișierul HOSTS în formatul prezentat în imaginea de mai jos. Asigurați-vă că apăsați enter după ultima linie, astfel încât cursorul să fie sub ea.

Figura 7

1. Închideți fișierul și selectați opțiunea salvează modificările.

Utilizarea PPTP pentru a vă conecta la un server VPN

Ne apropiem treptat de crearea unei conexiuni VPN SSL! Următorul pas este crearea unui conector VPN pe clientul Vista SP1, care ne va permite să creăm o conexiune VPN inițială la serverul VPN. În cazul nostru, acest lucru trebuie făcut deoarece computerul client nu este membru al domeniului. Deoarece echipamentul nu este membru al unui domeniu, certificatul CA nu va fi instalat automat în magazinul său Autorități de certificare rădăcină de încredere. Dacă mașina ar fi făcut parte dintr-un domeniu, înregistrarea automată s-ar fi ocupat de această problemă pentru noi, de când am instalat Enterprise CA.

Cel mai simplu mod de a finaliza acest pas este de a crea o conexiune PPTP de la clientul VPN Vista SP1 la serverul VPN Windows Server 2008. În mod implicit, serverul VPN va accepta conexiuni PPTP, iar clientul va încerca PPTP mai întâi înainte de a încerca L2TP/IPSec și SSTP. Pentru a face acest lucru, trebuie să creăm un conector VPN sau un obiect de conexiune.

Pentru a crea un conector pe clientul VPN, urmați acești pași:

1. Pe clientul VPN, faceți clic dreapta pe pictograma rețelei și faceți clic Centru de rețea și comutare (Centrul de partajare).
2. În fereastra Switching Center Network, faceți clic pe link Creați o conexiune sau o rețeaîn partea stângă a ferestrei.
3. Pe pagina Selectați opțiunile de conectare faceți clic pe intrări Conectați-vă la locul de muncă, apoi apasa Mai departe.

Figura 8

1. Pe pagina Cum vrei să te conectezi selectați opțiunea Folosește-mi conexiunea la internet (VPN).

Figura 9

1. Pe pagina Introdu adresa de internet pentru a te conecta introduceți numele serverului VPN SSL. Asigurați-vă că acest nume și numele comun de pe certificatul utilizat de serverul VPN SSL sunt aceleași. În acest exemplu, numele a fost sstp.msfirewall.org. introduce Numele destinatarului. În acest exemplu vom folosi numele destinatarului VPN SSL. Clic Mai departe.

Figura 14

1. La fereastră Rețea și centru de comutare, apasa pe link Arată stareaÎn capitolul VPN SSL, după cum se arată în figura de mai jos. În caseta de dialog Stare VPN SSL veți vedea că tipul de conexiune VPN este PPTP. Clic Închideîn caseta de dialog Stare VPN SSL.

Figura 15

1. Deschideți o fereastră de prompt de comandă și trimiteți o comandă ping controlerului de domeniu. În acest exemplu, adresa IP a controlerului de domeniu ar fi 10.0.0.2 . Dacă conexiunea VPN reușește, veți primi un răspuns ping de la controlerul de domeniu.

Figura 16

Obținerea unui certificat CA de la un CA Enterprise

Clientul VPN SSL trebuie să aibă încredere în CA care a emis certificatul utilizat de serverul VPN. Pentru a crea această încredere, trebuie să instalăm un certificat CA pe CA care a emis certificatul pentru serverul VPN. Putem face acest lucru conectându-ne la site-ul web de înregistrare CA din rețeaua internă și instalând certificatul clientului VPN în magazinul său Trusted Root Certification Authorities.

Pentru a obține un certificat de la site-ul de înregistrare, urmați acești pași:

1. Pe clientul VPN conectat la serverul VPN printr-o conexiune PPTP, introduceți http://10.0.0.2/certsrvîn bara de adrese din Internet Explorer și apăsați ENTER.
2. Introduceți numele de utilizator și parola utilizate în caseta de dialog de acreditări. În acest exemplu, vom folosi numele de utilizator și parola implicite ale contului de administrator de domeniu.
3. Pe pagina Salutari site-ul de înregistrare urmați linkul Încărcați un certificat CA, un lanț de certificate sau un CRL.

Figura 17

1. O casetă de dialog care vă avertizează că Un site web dorește să deschidă conținut web folosind acest program pe computer, presa Permite. Apoi apasa Închideîn caseta de dialog Ai observat fereastra de informații?, dacă apare.Descărcare completă.
2. Închidere Internet Explorer.

Acum trebuie să instalăm certificatul CA în Magazinul de certificate Trusted Root Certification Authorities al mașinii client VPN. Pentru a face acest lucru, trebuie să faceți următoarele:

1. Clic start, apoi intrați mmcîn bara de căutare și apăsați ENTER.
2. Clic Continuaîn caseta de dialog UAC.
3. La fereastră Consola 1 faceți clic pe meniu Fişier, apoi faceți clic Adăugați/Eliminați Snap-in.
4. În caseta de dialog Adăugați sau eliminați snap-in-uri alege Certificate pe listă Accesorii disponibile, apoi apăsați Adăuga.
5. Pe pagina Snap-in-uri pentru certificat selectați opțiunea Cont de calculatorși faceți clic finalizarea.
6. Pe pagina Selectați computerul selectați opțiunea Computer local și faceți clic finalizarea.
7. Clic Bineîn caseta de dialog Adăugați sau eliminați snap-in-uri.
8. În panoul din stânga al consolei, extindeți fila Certificate (calculator local) apoi extindeți fila Faceți clic finalizarea Pe pagina Finalizarea importului de certificate.
9. Clic Bineîntr-o casetă de dialog care vă informează că importul a avut succes.
10. Acum, certificatul va apărea în consolă, așa cum se arată în imaginea de mai jos.

Figura 24

1. Închideți consola MMC.

Configurarea clientului pentru a utiliza SSTP și conectarea la serverul VPN prin SSTP

Și acum totul este aproape gata! Acum trebuie să deconectam conexiunea VPN și să configuram clientul VPN să utilizeze SSTP pentru protocolul VPN. Într-un mediu de producție, nu va trebui să utilizați acest pas pentru utilizatori, deoarece veți utiliza kitul de administrare Connection Manager pentru a crea un obiect de conexiune VPN pentru utilizator care va include un client care utilizează SSTP, sau veți configura doar porturi SSTP pe serverul VPN.

Totul depinde de configurația mediului dvs., deoarece trebuie să programați ora astfel încât utilizatorii să poată utiliza PPTP pentru o perioadă de timp în timp ce instalați certificatele. Desigur, puteți instala certificate CA offline, adică prin descărcarea de pe un site web sau prin e-mail, caz în care nu va trebui să permiteți utilizatorilor PPTP. Dar apoi, dacă unii clienți nu acceptă SSTP, va trebui să activați PPTP sau L2TP/IPSec și nu veți putea dezactiva toate porturile non-SSTP. Într-un astfel de caz va trebui să vă bazați setare manuală sau la pachetul CMAK actualizat.

O altă opțiune aici ar fi să legați clientul SSTP la o anumită adresă IP pe serverul RRAS. În acest caz, puteți crea un pachet CMAK personalizat care se referă numai la adresa IP de pe serverul VPN SSL care ascultă rețeaua pentru conexiunile SSTP de intrare. Alte adrese de pe serverul SSTP VPN vor asculta rețeaua pentru conexiuni PPTP și/sau L2TP/IPSec.

Urmați acești pași pentru a dezactiva sesiunea PPTP și a configura obiectul conexiunii client VPN pentru a utiliza SSTP:

1. Pe computerul client VPN, deschideți o fereastră Rețea și centru de comutare, așa cum au făcut înainte.
2. La fereastră Rețea și centru de comutare apasa pe link Deconectat, care se află direct sub link Arată starea. Capitol VPN SSL va dispărea de pe fereastră Rețea și centru de comutare.
3. La fereastră Rețea și centru de comutare apasa pe link Gestionarea conexiunilor la rețea.
4. Faceți clic dreapta pe link VPN SSLși selectați o filă Proprietăți.

Figura 25

1. În caseta de dialog Proprietăți VPN SSL accesați fila Net. La fereastră tip VPN faceți clic pe săgeata în jos și selectați o opțiune Secure Socket Tunneling Protocol (SSTP), apoi apasa

Figura 29

Thomas Shinder

În prima parte a acestei serii de articole despre Configurare Windows Server 2008 ca server VPN SSL, am vorbit despre câteva fapte din istorie servere Microsoft Protocoale VPN și VPN. Am încheiat articolul anterior descriind un exemplu de rețea pe care o vom folosi în această și părțile ulterioare ale seriei pe Configurare VPN un gateway care acceptă conexiuni SSTP cu clienții Vista SP1.

Înainte de a începe, trebuie să mărturisesc că sunt conștient de prezență ghid pas cu pas despre crearea conexiunilor SSTP pentru Windows Server 2008, care se află pe site-ul web www.microsoft.com. Mi s-a părut că acest articol nu reflectă mediul de viață real pe care organizațiile îl folosesc pentru a atribui certificate. De aceea, și din cauza unor probleme problematice care nu au fost abordate în manualul Microsoft, am decis să scriu acest articol. Cred că veți învăța ceva nou dacă mă urmăriți prin acest articol.

Nu voi acoperi toți pașii pornind de la elementele de bază. M-aș aventura să presupun că ați instalat un controler de domeniu și ați activat rolurile DHCP, DNS și Servicii de certificate pe acest server. Tipul de certificare a serverului trebuie să fie Enterprise și aveți un CA în rețea. Serverul VPN trebuie să fie conectat la domeniu înainte de a continua cu următorii pași. Înainte de a începe, trebuie să instalați SP1 pentru clientul Vista.

Pentru ca soluția noastră să funcționeze, trebuie să urmăm următoarele proceduri:

• Instalați IIS pe serverul VPN
• Solicitați un certificat de mașină pentru serverul VPN utilizând Expertul de solicitare de certificat IIS
• Instalați rolul RRAS pe serverul VPN
• Activați serverul RRAS și configurați-l să funcționeze ca server VPN și NAT
• Configurați un server NAT pentru a publica CRL
• Configurați un cont de utilizator pentru a utiliza conexiuni dial-up
• Configurați IIS pe serverul de certificate pentru a permite conexiuni HTTP pentru directorul CRL
• Configurați fișierul HOSTS pentru clientul VPN
• Utilizați PPTP pentru a comunica cu serverul VPN
• Obțineți certificatul CA de la Enterprise CA
• Configurați clientul pentru a utiliza SSTP și conectați-vă la serverul VPN folosind SSTP

Instalarea IIS pe un server VPN

S-ar putea să vi se pare ciudat că începem cu această procedură, deoarece vă recomand să nu instalați niciodată un server web pe un dispozitiv de securitate de rețea. Vestea bună este că nu va trebui să stocăm serverul web pe serverul VPN, vom avea nevoie de el doar pentru o perioadă. Motivul este că site-ul de înregistrare inclus cu Windows Server 2008 Certificate Server nu mai este util pentru solicitarea de certificate de computer. De fapt, este complet inutil. Lucrul interesant este că, dacă decideți să utilizați site-ul de înregistrare pentru a obține un certificat de computer, va apărea ca și cum certificatul a fost primit și instalat, dar de fapt nu este cazul, certificatul nu a fost instalat.

Pentru a rezolva această problemă, vom profita de faptul că folosim un CA de întreprindere. Când utilizați Enterprise CA, puteți trimite o solicitare către un server de certificate online. O solicitare interactivă pentru un certificat de computer este posibilă atunci când utilizați Expertul de solicitare de certificat IIS și solicitați ceea ce acum se numește „Certificat de domeniu”. Acest lucru este posibil numai dacă mașina solicitantă aparține aceluiași domeniu cu CA Enterprise.
Pentru a instala rolul de server web IIS pe serverul VPN, urmați acești pași:

1. Deschideți Windows 2008 Manager server.
2. În panoul din stânga al consolei, faceți clic pe fila Roluri.

1. Faceți clic pe meniu Adăugați roluriîn partea dreaptă a panoului din dreapta.
2. Clic Mai departe Pe pagina Inainte sa incepi.
3. Puneți o bifă lângă linie Server web (IIS) Pe pagina Selectați rolurile de server. Clic Mai departe.

1. Puteți citi informațiile de pe pagină Server web (IIS), daca doresti. Acestea sunt informații generale destul de utile despre utilizarea IIS 7 ca server web, dar din moment ce nu vom folosi serverul web IIS pe un server VPN, aceste informații nu sunt aplicabile în totalitate în situația noastră. Clic Mai departe.
2. Pe pagina Selectați servicii de rol mai multe opțiuni sunt deja selectate. Cu toate acestea, dacă utilizați opțiunile implicite, nu veți putea utiliza Expertul de solicitare de certificat. Cel puțin așa a fost când am testat sistemul. Nu există niciun serviciu de rol pentru Expertul de solicitare de certificat, așa că am încercat să bifez casetele de lângă fiecare opțiune Siguranță, și se pare că a funcționat. Faceți același lucru pentru dvs. și faceți clic Mai departe.

1. Consultați informațiile de pe pagină Confirmați selecția setărilorși apăsați Instalare.
2. Clic Închide Pe pagina Rezultatele instalării.

Solicitați un certificat de mașină pentru un server VPN utilizând Expertul de solicitare de certificat IIS

Următorul pas este să solicitați un certificat de mașină pentru serverul VPN. Serverul VPN necesită un certificat de mașină pentru a crea o conexiune VPN SSL cu computerul clientului VPN SSL. Numele comun al certificatului trebuie să se potrivească cu numele pe care clientul VPN îl va folosi pentru a se conecta la computerul gateway VPN SSL. Aceasta înseamnă că va trebui să creați o înregistrare DNS publică pentru numele de pe certificat care se va rezolva la adresa IP externă a serverului VPN sau adresa IP a dispozitivului NAT în fața serverului VPN care va redirecționa conexiunea. la serverul VPN SSL.

Pentru a solicita un certificat de mașină către serverul SSL VPN, urmați acești pași:

1. ÎN Manager server, extindeți fila Roluriîn panoul din stânga și apoi extindeți fila Server web (IIS). Presa .

1. În consolă Manager Internet Information Services (IIS). care apare în partea dreaptă în panoul din stânga, faceți clic pe numele serverului. În acest exemplu, numele serverului ar fi W2008RC0-VPNGW. Faceți clic pe pictogramă Certificate de serverîn panoul din dreapta al consolei IIS.

1. În panoul din dreapta al consolei, faceți clic pe link Creați un certificat de domeniu.

1. Introduceți informații pe pagină Proprietăți ale numelui definite. Cel mai important obiect de aici va fi Denumirea comună. Acesta este numele pe care clienții VPN îl vor folosi pentru a se conecta la serverul VPN. De asemenea, veți avea nevoie de o înregistrare DNS publică pentru acest nume pentru a recunoaște interfața externă a serverului VPN sau adresa NAT publică a dispozitivului în fața serverului VPN. În acest exemplu folosim numele comun sstp.msfirewall.org. Mai târziu vom crea intrări de fișier HOSTS pe computerul clientului VPN, astfel încât acesta să poată recunoaște acest nume. Clic Mai departe.

1. Faceți clic pe butonul de pe pagină Alege. În caseta de dialog Selectați sursa certificatului, faceți clic pe numele Enterprise CA și faceți clic Bine. Introduceți un nume prietenos în rând Nume prietenos. În acest exemplu am folosit numele Cert SSTP să știți că este folosit pentru gateway-ul VPN SSTP.

1. Clic finalizarea Pe pagina Sursa certificatului online.

1. Vrăjitorul va porni și apoi va dispărea. Veți vedea apoi că certificatul va apărea în consola IIS. Faceți dublu clic pe certificat și vedeți numele comun în secțiune Numit la, iar acum avem cheia privată corespunzătoare certificatului. Clic Bine pentru a închide caseta de dialog Certificat.

Acum că avem certificatul, putem instala RRAS Server Role. Vă rugăm să rețineți ce este foarte important certificat de instalareînainte de a instala rolul de server RRAS. Dacă nu faceți acest lucru, vă veți pregăti pentru dureri de cap majore, deoarece va trebui să utilizați o rutină de linie de comandă destul de complexă pentru a asocia certificatul cu clientul VPN SSL.

Instalarea rolului de server RRAS pe serverul VPN

Pentru a instala rolul de server RRAS, trebuie să parcurgeți următorii pași:

1. ÎN Manager server, faceți clic pe filă Roluriîn panoul din stânga consolei.
2. In sectiune Prezentare generală a rolurilor apasa pe link Adăugați roluri.
3. Clic Mai departe Pe pagina Inainte sa incepi.
4. Pe pagina Selectați rolurile de server bifați caseta de lângă linie. Clic Mai departe.

1. Citiți informațiile de pe pagină Politică de rețea și servicii de acces. Cea mai mare parte se referă la Network Policy Server (care se numea anterior Internet Authentication Server și era în esență un server RADIUS) și NAP, niciunul dintre elemente nu este aplicabil în cazul nostru. Clic Mai departe.
2. Pe pagina Selectați servicii de rol puneți o bifă lângă linie Servicii de rutare și acces la distanță. Ca rezultat, articolele vor fi selectate Servicii de acces la distanțăȘi Dirijare. Clic Mai departe.

1. Clic Instalare La fereastră Confirmați setările selectate.
2. Clic Închide Pe pagina Rezultatele instalării.

Activarea serverului RRAS și configurarea acestuia ca server VPN și NAT

Acum că rolul RRAS este instalat, trebuie să activăm serviciile RRAS, la fel cum am făcut în versiunile anterioare de Windows. Trebuie să activăm funcția de server VPN și serviciile NAT. Activarea componentei server VPN este clară, dar s-ar putea să vă întrebați de ce trebuie să activați serverul NAT. Motivul pentru activarea serverului NAT este astfel încât clienții externi să poată accesa serverul de certificat pentru a se conecta la CRL. Dacă clientul VPN SSTP nu reușește să descarce CRL, conexiunea VPN SSTP nu va funcționa.

Pentru a deschide accesul la CRL, vom configura serverul VPN ca server NAT și vom publica CRL folosind NAT reversibil. Într-un mediu de rețea corporativă, probabil că veți avea firewall-uri, cum ar fi ISA Firewall, în fața serverului de certificate, astfel încât veți putea publica CRL-uri folosind firewall-urile. Cu toate acestea, în acest exemplu, singurul firewall pe care îl vom folosi este Windows Firewall pe serverul VPN, așa că în acest exemplu trebuie să configuram serverul VPN ca server NAT.

Pentru a activa serviciile RRAS, urmați acești pași:

1. ÎN Manager server extinde fila Roluriîn panoul din stânga consolei. Extinde fila Politică de rețea și servicii de accesși faceți clic pe filă. Faceți clic dreapta pe filă și faceți clic Configurați și activați rutarea și accesul de la distanță.

1. Clic Mai departe La fereastră Bun venit la Expertul de configurare a serverului de rutare și acces la distanță.
2. Pe pagina Configurare selectați opțiunea Acces la rețele private virtuale și NATși apăsați Mai departe.

1. Pe pagina conexiune VPN selectați NIC în secțiune Interfețe de rețea, care reprezintă interfața externă a serverului VPN. Apoi apasa Mai departe.

1. Pe pagina Atribuirea adreselor IP selectați opțiunea Automat. Putem selecta această opțiune deoarece avem un server DHCP instalat pe controlerul de domeniu din spatele serverului VPN. Dacă nu aveți un server DHCP, atunci va trebui să selectați opțiunea Dintr-o anumită listă de adrese, apoi introduceți o listă de adrese pe care clienții VPN le pot folosi atunci când se conectează la rețea prin gateway-ul VPN. Clic Mai departe.

1. Pe pagina Gestionarea accesului de la distanță la mai multe servere alege Nu, utilizați rutarea și accesul de la distanță pentru a autentifica solicitările de conexiune. Folosim această opțiune atunci când serverele NPS sau RADIUS nu sunt disponibile. Deoarece serverul VPN este membru al unui domeniu, puteți autentifica utilizatorii folosind conturi de domeniu. Dacă serverul VPN nu face parte dintr-un domeniu, atunci pot fi utilizate numai conturile de server VPN locale, cu excepția cazului în care alegeți să utilizați un server NPS. Voi scrie un articol despre utilizarea unui server NPS în viitor. Clic Mai departe.

1. Citiți informațiile generale de pe pagină Finalizarea asistentului de configurare pentru rutare și acces la distanțăși apăsați finalizarea.
2. Clic Bineîn caseta de dialog Rutare și acces la distanță care vă spune că distribuirea mesajelor DHCP necesită un agent de distribuție DHCP.
3. În panoul din stânga al consolei, extindeți fila Rutare și acces la distanțăși apoi faceți clic pe tab Porturi. În panoul din mijloc veți vedea că conexiunile WAN Miniport pentru SSTP sunt acum disponibile.

Configurarea unui server NAT pentru publicarea CRL

După cum am spus mai devreme, clientul VPN SSL trebuie să poată descărca un CRL pentru a verifica dacă certificatul de server de pe serverul VPN nu a fost corupt sau revocat. Pentru a face acest lucru, trebuie să configurați dispozitivul în fața serverului de certificare pentru a trimite cereri HTTP pentru locația CRL către serverul de certificate.

Cum știu la ce URL trebuie să se conecteze clientul VPN SSL pentru a descărca CRL? Aceste informații sunt conținute în certificatul în sine. Dacă reveniți la serverul VPN și faceți dublu clic pe certificat în consola IIS așa cum ați făcut înainte, ar trebui să puteți găsi aceste informații.

Faceți clic pe butonul Detalii pe certificat și derulați în jos până la intrare puncte de distribuție CRL, apoi faceți clic pe această intrare. Panoul de jos arată diferitele puncte de distribuție în funcție de protocolul utilizat pentru a accesa acele puncte. În certificatul prezentat în imaginea de mai jos, putem vedea că trebuie să permitem accesul clientului VPN SSL la CRL printr-o adresă URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Acesta este motivul pentru care trebuie să creați înregistrări DNS publice pentru acest nume, astfel încât clienții VPN externi să poată atribui acest nume unei adrese IP sau unui dispozitiv care va efectua un NAT invers sau un proxy invers pentru a accesa site-ul web al serverului de certificate. În acest exemplu trebuie să legăm win2008rc0-dc.msfirewall.org cu o adresă IP pe interfața externă a serverului VPN. Când conexiunea ajunge la interfața externă a serverului VPN, serverul VPN va transmite conexiunea NAT către serverul de certificate.

Dacă utilizați un firewall avansat, cum ar fi ISA Firewall, puteți face mai sigure CRL-urile site-ului de publicare permițând accesul numai către CRL, nu către întregul site. Cu toate acestea, în acest articol ne vom limita la posibilitatea unui dispozitiv NAT simplu, precum cel care oferă RRAS NAT.

Trebuie remarcat faptul că utilizarea numelui CRL implicit al site-ului poate fi o opțiune mai puțin sigură, deoarece dezvăluie numele privat al computerului pe Internet. Puteți crea un CDP (CRL Distribution Point) personalizat pentru a evita acest lucru dacă credeți că dezvăluirea numelui privat al CA într-o înregistrare DNS publică prezintă un risc de securitate.

Pentru a configura RRAS NAT să direcționeze cererile HTTP către serverul de certificate, urmați acești pași:

1. În panoul din stânga Manager server extinde fila Rutare și acces la distanță, apoi extindeți fila IPv4. Faceți clic pe filă NAT.
2. În fila NAT faceți clic dreapta pe interfața externă din panoul din mijloc al consolei. În acest exemplu, numele interfeței externe a fost Conexiune locală. presa Proprietăți.

1. În caseta de dialog, bifați caseta de lângă Server web (HTTP). Aceasta va afișa o casetă de dialog Serviciu de editare. Într-o linie de text Adresă privată Introduceți adresa IP a serverului de certificare din rețeaua internă. Clic Bine.

1. Clic Bineîn caseta de dialog Proprietăți de conexiune locală.

Acum că serverul NAT este instalat și configurat, ne putem îndrepta atenția către configurarea serverului CA și a clientului VPN SSTP.

Concluzie

În acest articol, am continuat conversația despre configurarea unui server VPN SSL folosind Windows Server 2008. Am analizat instalarea IIS pe serverul VPN, solicitarea și instalarea unui certificat de server, instalarea și configurarea serviciilor RRAS și NAT pe serverul VPN. În următorul articol vom termina de analizat configurarea unui server CA și a unui client VPN SSTP. Te văd! Volum.

Publicat la 3 februarie 2009 de · Fără comentarii

Dacă ați ratat părțile anterioare ale acestei serii de articole, vă rugăm să citiți:

În primele două părți ale acestei serii despre cum să construiți un server VPN SSL pe Windows Server 2008, am abordat câteva dintre elementele de bază ale construirii rețelelor VPN și apoi am discutat despre configurarea serverului. În acest moment, suntem gata să finalizăm câteva modificări minore la configurația Active Directory și site-ul CA. Odată ce am făcut aceste modificări, ne vom concentra pe configurația clientului VPN și, în sfârșit, vom crea conexiunea SSL VPN.

Configurarea unui cont de utilizator pentru a utiliza conexiunile dial-up

Conturile de utilizator necesită permisiuni de acces dial-up înainte de a se putea conecta la un server VPN Windows care face parte dintr-un domeniu Active Directory. Cel mai bun mod de a face acest lucru este să utilizați Network Policy Server (NPS), precum și permisiunea implicită pentru contul de utilizator, care permite accesul de la distanță pe baza politicii NPS. Totuși, în cazul nostru, nu am instalat un server NPS, așa că va trebui să configuram manual permisiunea de acces prin apelare a utilizatorului.

În articolul următor mă voi concentra pe utilizarea serverului NPS și a autentificării certificatului de utilizator EAP pentru a crea conexiuni cu un server VPN SSL.

Pentru a permite unui anumit cont de utilizator acces prin apelare să se conecteze la un server VPN SSL, trebuie să parcurgeți următorii pași. În acest exemplu, vom activa permisiunea de acces prin apelare pentru contul implicit de administrator de domeniu:

Configurarea IIS pe serverul de certificate pentru a permite conexiuni HTTP pentru directorul CRL

Din anumite motive, atunci când expertul de instalare instalează site-ul Web Certificate Services, configurează directorul CRL pentru a solicita o conexiune SSL. Deși pare o idee destul de bună din punct de vedere al securității, problema este că identificatorul uniform de resurse (URI) de pe certificat nu este configurat pentru a utiliza SSL. Bănuiesc că ați putea crea singur o înregistrare CDP pentru certificat, astfel încât să poată folosi SSL, dar pariez că Microsoft nu a menționat această problemă nicăieri. Deoarece utilizăm setările standard pentru CDP în acest articol, trebuie să dezactivăm cerința SSL pe site-ul CA pentru calea directorului CRL.

Pentru a dezactiva cerința SSL pentru un director CRL, urmați acești pași:

Configurarea unui fișier HOSTS pentru un client VPN

Acum ne putem acorda toată atenția clientului VPN. Primul lucru pe care trebuie să-l facem cu clientul este configurarea unui fișier HOSTS, astfel încât să putem simula o infrastructură DNS publică. Există două nume pe care trebuie să le introducem în fișierul HOSTS (același lucru trebuie făcut pentru serverul DNS public pe care îl veți folosi în rețelele de producție). Prenumele este numele serverului VPN, așa cum este determinat de numele comun/subiect al certificatului pe care l-am asociat cu serverul VPN SSL. Al doilea nume pe care trebuie să îl introducem în fișierul HOSTS (și în serverul DNS public) este numele URL-ului CDP, care se află pe certificat. Am analizat locația informațiilor CDP în partea 2 a acestei serii.

Cele două nume care trebuie introduse în fișierul HOSTS din acest exemplu ar fi:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Pentru a configura fișierul HOSTS pentru clientul VPN Vista SP1, urmați aceste proceduri:

1. Închideți fișierul și selectați opțiunea salvează modificările.

Utilizarea PPTP pentru a vă conecta la un server VPN

Ne apropiem treptat de crearea unei conexiuni VPN SSL! Următorul pas este crearea unui conector VPN pe clientul Vista SP1, care ne va permite să creăm o conexiune VPN inițială la serverul VPN. În cazul nostru, acest lucru trebuie făcut deoarece computerul client nu este membru al domeniului. Deoarece echipamentul nu este membru al unui domeniu, certificatul CA nu va fi instalat automat în magazinul său Autorități de certificare rădăcină de încredere. Dacă mașina ar fi făcut parte dintr-un domeniu, înregistrarea automată s-ar fi ocupat de această problemă pentru noi, de când am instalat Enterprise CA.

Cel mai simplu mod de a finaliza acest pas este de a crea o conexiune PPTP de la clientul VPN Vista SP1 la serverul VPN Windows Server 2008. În mod implicit, serverul VPN va accepta conexiuni PPTP, iar clientul va încerca PPTP mai întâi înainte de a încerca L2TP/IPSec și SSTP. Pentru a face acest lucru, trebuie să creăm un conector VPN sau un obiect de conexiune.

Pentru a crea un conector pe clientul VPN, urmați acești pași:

Obținerea unui certificat CA de la un CA Enterprise

Clientul VPN SSL trebuie să aibă încredere în CA care a emis certificatul utilizat de serverul VPN. Pentru a crea această încredere, trebuie să instalăm un certificat CA pe CA care a emis certificatul pentru serverul VPN. Putem face acest lucru conectându-ne la site-ul web de înregistrare CA din rețeaua internă și instalând certificatul clientului VPN în magazinul său Trusted Root Certification Authorities.

Pentru a obține un certificat de la site-ul de înregistrare, urmați acești pași:

1. Clic Închideîn caseta de dialog.
2. Închidere Internet Explorer.

Acum trebuie să instalăm certificatul CA în Magazinul de certificate Trusted Root Certification Authorities al mașinii client VPN. Pentru a face acest lucru, trebuie să faceți următoarele:

1. Închideți consola MMC.

Configurarea clientului pentru a utiliza SSTP și conectarea la serverul VPN prin SSTP

Și acum totul este aproape gata! Acum trebuie să deconectam conexiunea VPN și să configuram clientul VPN să utilizeze SSTP pentru protocolul VPN. Într-un mediu de producție, nu va trebui să utilizați acest pas pentru utilizatori, deoarece veți utiliza kitul de administrare Connection Manager pentru a crea un obiect de conexiune VPN pentru utilizator care va include un client care utilizează SSTP, sau veți configura doar porturi SSTP pe serverul VPN.

Totul depinde de configurația mediului dvs., deoarece trebuie să programați ora astfel încât utilizatorii să poată utiliza PPTP pentru o perioadă de timp în timp ce instalați certificatele. Desigur, puteți instala certificate CA offline, adică prin descărcarea de pe un site web sau prin e-mail, caz în care nu va trebui să permiteți utilizatorilor PPTP. Dar apoi, dacă unii clienți nu acceptă SSTP, va trebui să activați PPTP sau L2TP/IPSec și nu veți putea dezactiva toate porturile non-SSTP. În acest caz, va trebui să vă bazați pe configurarea manuală sau pe un pachet CMAK actualizat.

O altă opțiune aici ar fi să legați clientul SSTP la o anumită adresă IP pe serverul RRAS. În acest caz, puteți crea un pachet CMAK personalizat care se referă numai la adresa IP de pe serverul VPN SSL care ascultă rețeaua pentru conexiunile SSTP de intrare. Alte adrese de pe serverul SSTP VPN vor asculta rețeaua pentru conexiuni PPTP și/sau L2TP/IPSec.

Urmați acești pași pentru a dezactiva sesiunea PPTP și a configura obiectul conexiunii client VPN pentru a utiliza SSTP:

Figura 29

Concluzie

În această parte finală a seriei noastre despre cum să construim un server VPN SSL folosind Windows Server 2008, am terminat de configurat un cont de utilizator, un site CRL și un client VPN SSL. De asemenea, am terminat de creat conexiunea SSTP și am confirmat că a avut succes. Mulțumesc

Sursa www.windowsecurity.com

Vezi si:

Comentariile cititorilor (Fără comentarii)

Schimb 2007

Dacă doriți să citiți părțile anterioare ale acestei serii de articole, vă rugăm să urmați linkurile: Monitorizarea Exchange 2007 utilizând System Manager...

Introducere În acest articol cu ​​mai multe părți, vreau să vă arăt procesul pe care l-am folosit recent pentru a migra dintr-un mediu Exchange 2003 existent...

Dacă ați ratat prima parte a acestei serii, vă rugăm să o citiți la Utilizarea instrumentului Exchange Server Instrument de analiză de conectivitate la distanță (partea...

| La lista publicațiilor

Acces la distanță securizat prin VPN SSL

Boris Borisenko, expert

TEHNOLOGIE VPN a devenit larg răspândită ca mijloc de a oferi angajaților acces securizat la rețeaua locală a unei întreprinderi dintr-un punct la distanță fizică. VPN-urile bazate pe SSL au fost dezvoltate ca o tehnologie complementară și alternativă pentru acces la distanță prin VPN IPsec. Cu toate acestea, costul și fiabilitatea organizării canalelor de comunicații securizate au făcut SSL VPN o tehnologie foarte atractivă. Concentratoarele VPN SSL au capacități suplimentare (comparativ cu dispozitivele VPN tradiționale). Majoritatea firewall-urilor oferă publicarea aplicațiilor Web pe Internet prin porturi, difuzare adrese de rețea(NAT) și rutarea rețelei, dar nu asigură protecția datelor criptografice peste nivelul oferit de aplicații. Utilizatorii VPN IPsec pot stabili o conexiune la rețeaua corporativă similară unei conexiuni directe la o rețea locală. Aceasta criptează toate datele transmise între serverul VPN și client. Cu toate acestea, majoritatea dispozitivelor VPN necesită un program client special. Concentratorii VPN SSL folosesc browserul pentru a permite lucrătorilor la distanță să acceseze nu numai site-uri web interne, ci și aplicații și servere de fișiere. Să ne uităm la unele dintre cele mai interesante soluții pentru organizarea accesului la distanță folosind SSL VPN.

ZyWALL SSL 10

Acesta este un gateway de rețea privată virtuală cu suport pentru criptarea SSL, care vă permite să organizați accesul securizat de la distanță la rețele și aplicații printr-o conexiune VPN fără a instala mai întâi partea client. Dispozitivul este oferit pentru rețelele de afaceri mici și mijlocii.

Pentru a vă conecta la Internet sau DMZ, există o interfață WAN, un comutator cu patru porturi LAN și un port RS 232 DB9 pentru control prin consolă (acest dispozitiv oferă mai puține funcții decât același ZyWALL 1050). ZyWALL SSL 10 nu numai că acceptă recurs direct la bazele de date de utilizatori intranet, dar lucrează și cu Microsoft Active Directory, LDAP și RADIUS. În plus, este posibil să se utilizeze autentificare cu doi factori(folosind chei ZyWALL OTP).

Accesul direct la resursele rețelei corporative este oferit de clientul SecuExtender, care este descărcat pe computerele utilizatorilor la distanță. După aceasta, cu permisiunea administratorilor, anumite categorii de utilizatori pot organiza cu ușurință tuneluri de rețea folosind IPsec. Administratorii pot configura, de asemenea, politici de securitate pentru grupuri de utilizatori, intervale de adrese de rețea sau diferite aplicații.

ZyWALL SSL 10 acceptă 10 sesiuni securizate simultane, extensibile la 25 de sesiuni SSL. Într-o rețea, dispozitivul poate fi utilizat fie în spatele unui gateway existent (Figura 2), fie ca un nou gateway (Figura 3). În primul caz, ZyWALL SSL 10 poate fi conectat la portul DMZ pentru a îmbunătăți securitatea. În al doilea - la modem și serverul Web - la ZyWALL. Traficul de la serverul Web la utilizatorul de la distanță trece prin tunelul VPN.

Opțiunile acceptate includ protocol TLS, criptare, certificate - AES pe 256 de biți, IDEA, RSA, hashing - MD5, SHA-1. Caracteristică interesantă Există o selecție destul de mare de atașamente pentru prize de alimentare (pentru orice priză și rețea).

Netgear ProSafe SSL VPN Concentrator SSL312

Dispozitivul vă permite să lucrați simultan cu o rețea corporativă de până la 25 de clienți la distanță. Conexiunea se face folosind componente ActiveX, care pot fi descărcate și instalate direct de pe dispozitiv.

Cu toate acestea, clientul trebuie să aibă acces administrativ la sistem pentru a instala componentele ActiveX corespunzătoare. În plus, browserul dumneavoastră trebuie să fie configurat pentru a permite utilizarea componentelor ActiveX. De asemenea, poate fi necesar să instalați Actualizări Windows. Hardware include două porturi LAN și un port serial. La conectare, este selectată opțiunea de autentificare: baza de date utilizatori, domeniul Windows NT, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). Când este accesat prin server la distanta acesta din urmă trebuie să fie accesibil și rutarea traficului trebuie configurată la acesta.

Dacă cantitatea de memorie DRAM este aceeași atât pentru Netgear SSL312, cât și pentru ZyWALL SSL 10, atunci memoria flash Netgear este clar inferioară (16 față de 128 MB). Procesorul Net-gear SSL312 pierde și în fața ZyWALL (200 față de 266 cu un accelerator criptografic). Spre deosebire de Netgear SSL312, ZyWALL acceptă versiunea 2.0 a protocolului SSL.

Există două opțiuni posibile pentru utilizarea dispozitivului. În primul caz, este utilizat doar unul dintre cele două porturi Ethernet Netgear SSL312. Gateway-ul trebuie să acceseze Netgear SSL312 prin HTTPS. Un alt caz de utilizare utilizează ambele porturi Ethernet Netgear SSL312 fără trafic SSL să treacă prin firewall. Unului port Ethernet al dispozitivului i se atribuie o adresă IP publică, iar celui de-al doilea i se atribuie o adresă IP privată a rețelei interne. Trebuie remarcat faptul că Netgear SSL312 nu funcționează Funcții NATși ITU și nu le înlocuiește.

Pentru a lucra cu servicii de rețea într-o rețea locală la distanță, există două opțiuni: un tunel VPN, care este stabilit între utilizator și dispozitiv, sau redirecționare porturi. Ambele metode au avantaje și dezavantaje. Tunelul VPN vă permite să organizați o comunicare completă cu o telecomandă retea locala, dar nu vă permite să faceți setări separate pentru fiecare serviciu. Redirecționarea portului vă permite să lucrați numai cu conexiuni TCP (UDP și alte protocoale IP nu sunt acceptate); regulile pentru fiecare aplicație sunt stabilite separat.
DNS dinamic nu este acceptat în Netgear SSL312, ceea ce este, de asemenea, un dezavantaj.

SSL VPN Juniper Networks Secure Access 700

O soluție de acces la distanță care utilizează VPN SSL este concepută și pentru companiile mici și mijlocii. Interfața atât pentru utilizator, cât și pentru administrator este organizată sub forma unui browser Web. Nu este nevoie să instalați un client VPN pe computerul de la distanță. Există două porturi Ethernet RJ-45 și un port serial. Juniper SA 700 verifică automat computerul de la distanță și, în funcție de rezultatele instalate software, atribuie diferite drepturi de acces.

Capabil să accepte nu mai mult de 25 de utilizatori concurenți. Printre autentificare și autorizare, sunt posibile următoarele opțiuni: Microsoft Active Directory/Windows NT, LDAP, NIS, RADIUS, RSA, SAML, server de certificate. Dispozitivul oferă acces la resurse de fișiere Windows/SMB, Unix/NFS, aplicații Web, inclusiv cele care utilizează JavaScript, XML, Flash; Sunt acceptate protocoalele Telnet și SSH. Accesul la e-mailul corporativ este organizat în mod regulat client de mail, care este configurat să se conecteze în siguranță prin SSL la Juniper SA 700. Cu toate acestea, aceasta va necesita o licență „Core Clientless Web Access”.

Juniper SA 700 asigură verificare automată computer la distanță, dacă pe el sunt instalate software antivirus, firewall personal și alte programe de securitate. Toate descărcările proxy și fișierele temporare necesare în timpul sesiunii sunt șterse după încheierea sesiunii.

A trecut mai bine de un an de când am început să lucrăm cu . S-a acumulat o anumită experiență în utilizarea configurației descrise, au fost identificate avantajele și dezavantajele acesteia și s-au tras anumite concluzii. Pe baza acestor concluzii, în această notă vom continua să dezvoltăm subiectul instalării conexiunilor VPN securizate și să luăm în considerare pașii necesari pentru a organiza capacitatea de a lucra folosind protocolul SSTP (Protocolul de tunelare a prizei securizate).

Experienta de utilizare L2TP/IPsec VPN a arătat că, dacă există instrucțiuni clare pas cu pas pentru conectare, majoritatea utilizatorilor pot configura o astfel de conexiune VPN singuri, fără probleme. Dar totuși, există întotdeauna persoane care reușesc să greșească chiar și în astfel de condiții și, prin urmare, ideea necesității de a simplifica procesul de creare a unei conexiuni VPN a fulgerat mereu undeva. fundal. În plus, într-o serie de situații ne-am confruntat cu problema blocării unor porturi necesare VPN L2TP/IPsec, detectate la nivelul furnizorilor de internet. Mai mult, uneori lucrurile ajungeau la absurd, când același furnizor de internet transmitea trafic L2TP/IPsec la un capăt al orașului fără piedici, dar la celălalt capăt al orașului era blocat. Chiar și mental am împărțit pentru noi înșine zonele diferiților furnizori de internet în segmente în care VPN L2TP/IPsec va funcționa impecabil și în zone în care cu siguranță vor fi probleme și va trebui să ne gândim la opțiuni alternative de accesare a resurselor rețelei corporative locale. . În plus, au existat cazuri în care călătorii de afaceri și turiștii care încercau să se conecteze de la distanță prin „Internetul hotelului” au întâmpinat probleme din cauza acelorași probleme cu blocarea porturilor necesare. Desigur, înainte de a introduce VPN L2TP/IPsec, am înțeles toate aceste riscuri și în marea majoritate a situațiilor problematice a existat un fel de soluție, dar „postgustarea” din fiecare astfel de situație a rămas neplăcută.

Am început să-mi amintesc de ce mai devreme alegerea mea a căzut pe L2TP/IPsec. Au fost doi factori determinanți - un nivel acceptabil de securitate și suport pentru o gamă mai largă de sisteme de operare client. Îmi amintesc că la vremea aceea mă interesa protocolul SSTP, dar au existat câțiva factori care m-au făcut să mă distanțez de această tehnologie. În primul rând, la acel moment încă mai aveam un număr suficient de clienți pe bază Microsoft Windows XP, iar în acest sistem de operare protocolul SSTP, după cum știți, nu este acceptat. În al doilea rând, nu am putut folosi certificatul public cu corporative nume de domenii pentru a proteja conexiunile SSTP și nu a existat nicio dorință de a-l înlocui cu un certificat de la un CA intern dedicat, deoarece aceasta a implicat probleme asociate cu distribuirea certificatului său rădăcină către clienții de Internet și publicarea unei liste de revocare a certificatelor ( Lista de revocare a certificatelor – CRL) în internet.

Dar timpul a trecut, au existat un ordin de mărime mai puțini clienți cu Windows XP (întărirea politicii de securitate a informațiilor corporative și campaniile agresive de publicitate Microsoft pentru actualizările sistemului de operare și-au făcut treaba) și am avut ocazia să lucrez cu un certificat public. În plus, am găsit informații că, pe sisteme de operare precum Linux și Apple Mac OS X, software-ul client pentru a susține conexiunile SSTP a fost mult timp folosit cu succes, în ciuda faptului că la un moment dat se prevedea că acest protocol ar fi „Win-izolation”. " datorită naturii sale de proprietate.

Astfel, este cu siguranță timpul să experimentăm în practică toate avantajele SSTP, în special capacitatea de a lucra în aproape orice mediu, oriunde este posibil să folosim o conexiune standard la Internet prin protocolul HTTPS (TCP 443). Adică, atunci când utilizați SSTP, teoretic, nu ar trebui să aveți probleme cu o conexiune VPN oriunde, nu de acasă (chiar dacă utilizați tot felul de NAT-uri și tot felul de setări locale strâmbe echipamente de retea furnizori de internet), nu într-un hotel (chiar dacă se folosește un proxy) sau oriunde altundeva. În plus, procedura de configurare a unei conexiuni VPN folosind SSTP pe sistemul client este incredibil de simplificată și nu implică manipularea certificatelor digitale (cu condiția ca pe partea serverului să fie utilizat un certificat public).

Cerințe primare către clienți și configurația acestora

Dacă vorbim de sisteme client bazate pe OS Microsoft Windows, atunci trebuie să țineți cont de faptul că SSTP funcționează pe sisteme începând de la Windows Vista SP1Și mai târziu. Pentru sistemele client sub Windows Vista SP1, inclusiv pentru „mamuți în viață” în formular Windows XP, ca și până acum, se presupune că se va folosi protocolul L2TP/IPsec cu toate circumstanțele pe care le-am menționat mai sus. Din utilizarea protocolului PPTP, deoarece a fost de mult compromisă, se propune abandonarea lui cu totul. Link-uri către instrucțiuni actualizate pentru configurarea unei conexiuni SSTP pe sistemele de operare client Windows pot fi găsite la sfârșitul acestui articol.

Pentru sistemele client bazate pe OS Linux un proiect cu deschis cod sursa. Am pregătit deja instrucțiuni pas cu pas pentru utilizatorii care nu au o experiență deosebită ai sistemelor Linux, folosind exemplul de configurare înUbuntu Linux 14.04Și 15.04 /15.10 .

În ceea ce privește sistemele client bazate pe OS Apple MacOSÎncă nu pot spune nimic inteligibil, pentru că pur și simplu nu le am la îndemână. Pe baza informațiilor superficiale disponibile, puteți utiliza (ca opțiune de consolă), sau puteți utiliza un pachet creat pe baza acestuiaiSSTP controlat printr-o interfață grafică. Sper că în viitorul apropiat Vitaly Jacob ne va mulțumi cu instrucțiunile de utilizare corespunzătoare.

O cerință comună pentru toți clienții este ca clientul VPN SSTP să poată verifica listele de revocare a certificatelor (CRL) pentru a se asigura că certificatul furnizat de serverul VPN nu a fost revocat. Acest tip de verificare poate fi dezactivat din partea clientului, dar aceasta nu este cea mai bună soluție din punct de vedere al securității și ar trebui folosită doar ca ultimă soluție.

Cerințe de bază pentru un server VPN și configurația acestuia

Partea de server a conexiunii VPN în cazul nostru va fi o extensie a Servere VPN bazate pe Windows Server 2012 R2 cu rolul Acces de la distanță.

Una dintre cerințele principale pentru un server VPN, așa cum este probabil clar din toate cele de mai sus, este prezența unui certificat instalat pe acesta. Puteți obține un astfel de certificat de la CA publice și, de regulă, astfel de certificate costă mulți bani. Dar există și opțiuni gratuite, de exemplu Certificate SSL gratuite WoSign . Eu însumi nu am avut încă nicio experiență în comunicarea cu o astfel de CA și, prin urmare, va fi interesant să aud comentariile dumneavoastră în această privință.

Cerințe pentru certificatul serverului VPN

Un lucru important pentru SSTP este că, atunci când se generează o cerere de obținere a unui certificat de la o CA publică terță parte, trebuie să rețineți că certificatul solicitat trebuie să aibă o politică de aplicație ( Utilizare extinsă a cheilor, EKU) - Autentificare server (1.3.6.1.5.5.7.3.1 ). Desigur, exportul cheii private trebuie permis pentru un astfel de certificat, deoarece poate fi necesar să instalăm certificatul pe mai multe servere VPN dacă, de exemplu, este utilizată o configurație de cluster.

O cerință obligatorie pentru certificatul rezultat este, de asemenea, ca lista de revocare a certificatelor ( CRL) specificate în certificat trebuie să fie disponibile pe Internet, deoarece chiar la începutul creării unei conexiuni SSTP, computerul client va încerca să verifice dacă certificatul furnizat de serverul VPN este revocat. Nu va exista niciun CRL disponibil - nu va exista nicio conexiune SSTP.

Certificatul rezultat este instalat pe serverul VPN din depozitul de certificate Computer local\Personalși trebuie să fie legat de cheia privată a acestui certificat.

De asemenea, este de la sine înțeles că CA care a emis certificatul trebuie să aibă încredere nu numai de serverele noastre VPN, ci și de toți clienții noștri externi de Internet care se vor conecta la aceste servere folosind protocolul SSTP. Adică, certificatul rădăcină (pot fi mai multe dintre ele) trebuie să fie prezent pe toate computerele din depozitul de certificate Computer local\Autorități de certificare rădăcină de încredere. Informații despre aceste cerințe pot fi găsite în articolBiblioteca TechNet - Configurați RRAS cu un certificat de autentificare pe computer . În majoritatea sistemelor de operare client moderne, colecția de certificate rădăcină publice este actualizată automat atunci când există o conexiune constantă la Internet.

Configurarea rolului Acces la distanță

După ce certificatul este instalat pe serverul VPN, deschideți snap-in-ul Rutare și acces la distanțăși în proprietățile serverului VPN din filă Securitate selectați acest certificat pentru SSTP în secțiune Legarea certificatului SSL

Schimbarea acestei opțiuni vă va cere să reporniți automat serviciile RRAS. Suntem de acord să repornim serviciile.

Mai departe in sectiune Porturi adăugați porturi SSTP. În exemplul nostru, cele mai multe dintre porturi sunt alocate pentru conexiuni SSTP și o mică parte din porturi este alocată clienților fără suport SSTP, de exemplu Windows XP. Dezactivăm complet capacitatea de conectare prin PPTP.

Informații despre cum să dezactivați corect conectivitatea PPTP pot fi găsite în articolCum se rutează... Adăugați porturi PPTP sau L2TP . Exemplu din captura de ecran:

După ce au fost făcute modificările, vom verifica ascultătorii TCP care rulează pe serverul nostru VPN. Printre acestea, ar trebui să apară un ascultător pentru portul 443, pe care serverul VPN va accepta conexiuni client prin protocolul SSTP:

netstat -na | findstr 443

Nu uitați să configurați firewall-ul activând regula care există deja după instalarea și configurarea rolului Acces la distanță Secure Socket Tunneling Protocol (SSTP-In)

În plus, puteți dezactiva regula de autorizare pentru intrare PPTP- conexiuni pe port TCP 1723(în configurația implicită această regulă se numește " Rutare și acces la distanță (PPTP-In)")

Deoarece serverul nostru VPN este membru NLB-cluster, va trebui să creăm suplimentar o regulă care să permită echilibrarea porturilor TCP 443.

Setările efectuate sunt destul de suficiente pentru ca serverul nostru VPN să poată accepta cu succes conexiuni SSTP.

Verificarea conexiunii clientului VPN

Pe o mașină client cu acces direct la Internet prin portul 443, configurați o conexiune VPN de testare și conectați...

Pe partea de server, ne asigurăm că clientul folosește unul dintre porturile SSTP gratuite pe care le-am creat mai devreme...

Instrucțiuni pentru utilizatori

După cum sa menționat mai devreme, trebuie dezvoltate instrucțiuni clare pas cu pas pentru utilizatorii care se conectează la serverele VPN corporative de pe Internet. Am putut testa (și în același timp să dezvolt instrucțiuni pas cu pas pentru utilizatori) conexiuni VPN ca parte a următoarelor sisteme de operare:

• Windows XP RU SP3 pe 32 de biți
  (Instrucțiunile au fost rescrise ținând cont de utilizarea L2TP/IPsec, dar în absența unui PPTP funcțional. Solicitarea și instalarea certificatului se fac în două etape folosind scripturi diferite)
• Windows Vista Afaceri RU SP2 pe 32 de biți (SSTP)
• Windows 7 Pro RU SP1 pe 32 de biți (SSTP)
• Windows 8.1 Pro RU pe 64 de biți (SSTP)
• Ubuntu Desktop Linux 14.04 64 de biți (SSTP)
• Ubuntu Desktop Linux 15.04 64 de biți (SSTP)
• Ubuntu Desktop Linux 14.10 64 de biți (SSTP)

Instrucțiunile în format DOCX (precum și fișierele executabile necesare), pe care, dacă doriți, le puteți adapta mediului dumneavoastră, pot fi descărcate de pe legătură . O parte din instrucțiuni este disponibilă pentru vizualizare și discuție online .