Fjärråtkomst är mycket viktigt idag. Med fler människor som behöver komma åt information som lagras på hem- och arbetsdatorer, har möjligheten att komma åt den var som helst blivit kritisk. De dagar då folk sa: "Jag skickar dig den här informationen så fort jag kommer till min dator." Du behöver denna information omedelbart om du vill konkurrera i dagens affärsvärld.

I datoriseringens stenålder sättet att få fjärråtkomst Jag använde en uppringd anslutning till min dator. RAS-uppringda anslutningar drivs över vanliga POTS-linjer (Plain Old Telephone Service) med datahastigheter upp till cirka 56 kbps. Hastigheten var huvudproblemet med dessa anslutningar, men ett ännu större problem var kostnaden för anslutningen när åtkomst krävde långa avstånd.

Med internets växande popularitet har RAS-anslutningar blivit allt mindre använda. Anledningen till detta var tillkomsten av VPN-anslutningar (virtuella privata nätverk). VPN-anslutningar gav samma punkt-till-punkt-anslutning som uppringda RAS-anslutningar, men gjorde det snabbare och billigare, eftersom hastigheten på en VPN-anslutning kan vara densamma som hastigheten för en internetanslutning och kostnaden för anslutningen beror inte på destinationens plats. Det enda du behöver betala för är en internetuppkoppling.

Virtuella privata nätverk

En VPN-anslutning gör att din dator kan skapa virtuell Och privat anslutning till nätverket via Internet. Förening virtuell eftersom när en dator skapar en VPN-anslutning över Internet, fungerar datorn som skapar denna anslutning som en nod direkt ansluten till nätverket, som om den var ansluten till nätverket via en lokal kabel Ethernet-nätverk. Användaren har samma tillgång till resurser som han skulle ha om han var ansluten direkt till nätverket med en kabel. Men i fallet med en VPN-klient som ansluter till VPN-servern, anslutningen så gott som eftersom det inte finns någon giltig Ethernet-anslutning till destinationen. VPN-anslutning privat, eftersom innehållet i dataströmmen inuti denna anslutning krypterad, så att ingen på Internet kan fånga upp och läsa data som överförs via en VPN-anslutning.

Windows-servrar och -klienter har stödt VPN-anslutningar sedan Windows NT och Windows 95. Även om Windows-klienter och -servrar har stödt VPN-anslutningar i ett decennium, har typen av VPN-stöd utvecklats över tiden. Windows Vista Service Pack 1 och Windows Server 2008 stöder för närvarande tre typer VPN-anslutningar. Det här är följande typer:

L2TP/IPSec

PPTP är ett punkt-till-punkt tunnelprotokoll. PPTP är det enklaste sättet att skapa en VPN-anslutning, men tyvärr är det också det minst säkra. Anledningen till att denna typ är den minst säkra är att användaruppgifter skickas över en osäker kanal. Med andra ord börjar kryptering av VPN-anslutningar Därefter hur mandaten överfördes. Även om giltig information referenser överförs inte mellan VPN-klienter och servrar, de överförda hashvärdena kan användas av erfarna hackare för att få tillgång till VPN-servrar och ansluta till företagsnätverk.

L2TP/IPSec VPN-protokollet är mer tillförlitligt. L2TP/IPSec utvecklades gemensamt av Microsoft och Cisco. L2TP/IPSec är säkrare än PPTP eftersom en säker IPSec-session skapas innan autentiseringsuppgifter skickas över tråden. Hackare kan inte komma åt referenserna och kan därför inte stjäla dem för senare användning. Dessutom tillhandahåller IPSec ömsesidig autentisering mellan maskiner, så okända maskiner kommer inte att kunna ansluta till L2TP/IPSec VPN-kanalen. IPSec tillhandahåller ömsesidig autentisering, dataintegritet, konfidentialitet och icke-avvisande. L2TP stöder PPP- och EAP-användarautentiseringsmekanismer, som ger hög inloggningssäkerhet eftersom både maskin- och användarautentisering krävs.

Windows Vista SP1 och Windows Server 2008 stöds för närvarande ny typ VPN Secure Socket Tunneling Protocol eller SSTP använder SSL-krypterade HTTP-anslutningar för att skapa VPN-anslutningar till VPN-gateways. SSL, vilket innebär att du kan använda PPP- och EAP-autentiseringsmekanismer för att göra din SSTP-anslutning säkrare.

Privat betyder inte säkert

Det bör noteras att VPN-anslutningar är privata snarare än säkra. Även om jag inser att integritet är en grundläggande komponent i säker kommunikation, garanterar den inte i sig den säkerheten. VPN-tekniker tillhandahåller en privat komponent till din Internetanslutning som hindrar tredje part från att läsa innehållet i din kommunikation. VPN-tekniker låter dig också säkerställa att endast auktoriserade användare kan ansluta till ett givet nätverk via VPN-gatewayen. Privat komponent, autentisering och auktorisering ger dock inte heltäckande säkerhet.

Låt oss säga att du har en anställd som du har beviljat VPN-åtkomst. Eftersom ditt Windows Server 2008 VPN-protokoll stöder EAP-användarautentisering bestämmer du dig för att skapa smartkort för dina användare och använda L2TP/IPSec VPN-protokollet. Kombinationen av smartkort och L2TP/IPSec-protokoll gör att du kan kräva användarautentisering och användning av en frisk maskin. Ditt smartkort och L2TP/IPSec-lösning fungerar utmärkt och alla är nöjda.

Alla är nöjda tills en av dina användare en dag loggar in på din SQL-server för att få bokföringsinformation och börjar dela den med andra anställda. Vad hände? Var VPN-anslutningen osäker? Nej, VPN-anslutningen var tillräckligt säker för att tillhandahålla sekretesskomponenten, autentisering och auktorisering, men den gav ingen åtkomstkontroll, och åtkomstkontroll är en grundläggande komponent i datorsäkerhet. I själva verket skulle man till och med kunna hävda att utan åtkomstkontroll är alla andra säkerhetsåtgärder av relativt litet värde.

För att VPN:er verkligen ska vara säkra måste du se till att din VPN-gateway kan tillhandahålla åtkomstkontroll för användare/grupp så att du kan ge VPN-användare den nödvändiga åtkomstnivån. Mer avancerade VPN-gateways och brandväggar, som ISA-brandväggen, kan tillhandahålla sådan kontroll på VPN-anslutningar. Dessutom kan brandväggar som ISA-brandväggen tillhandahålla adresspaket- och applikationslagerinspektion på klient-VPN-anslutningar.

Även om Windows Server 2008 VPN inte tillhandahåller användar- och gruppåtkomstkontroller, finns det andra sätt att konfigurera åtkomstkontroller på själva servern om du inte vill betala för att köpa mer avancerade brandväggar och VPN-gateways. I den här artikeln fokuserar vi bara på komponenterna i VPN-servrar. Om du vill lära dig mer om ISA-brandväggar och deras möjligheter för VPN-servrar, gå till www.isaserver.org

Varför använda det nya VPN-protokollet?

Microsoft har redan skapat två fungerande VPN-protokoll som tillåter användare att ansluta till företagets nätverk, så varför skapa ett tredje? SSTP är ett bra tillägg för Windows-användare VPN eftersom SSTP inte har problem med brandväggar och NAT-enheter, till skillnad från PPTP- och L2TP/IPSec-protokollen. För att PPTP ska fungera över en NAT-enhet måste enheten stödja PPTP med en NAT-redigerare för PPTP. Om en sådan NAT-redigerare för PPTP inte är tillgänglig på denna enhet, då fungerar inte PPTP-anslutningar.

L2TP/IPSec har problem med NAT-enheter och brandväggar eftersom brandväggen måste ha en L2TP-port UDP 1701 öppen för utgående anslutningar, en IPSec IKE-port UDP 500 öppen för utgående anslutningar och en IPSec NAT-traversalport UDP 4500 öppen för utgående anslutningar ( L2TP-port krävs inte när du använder NAT-T). De flesta brandväggar finns på offentliga platser som hotell, kongresscenter, restauranger etc. ha ett litet antal portar öppna för utgående anslutningar, såsom HTTP, TCP-port 80 och HTTPS (SSL), TCP-port 443. Om du behöver stöd för mer än bara HTTP- och SSL-protokoll när du lämnar kontoret, är dina chanser en framgångsrik anslutning reduceras avsevärt. Du kanske inte får de portar som krävs för PPTP eller L2TP/IPSec.

Till skillnad från tidigare protokoll går SSTP VPN-anslutningar över en SSL-kanal med TCP-port 443. Eftersom alla brandväggar och NAT-enheter har öppen port TCP 443, du kan använda SSTP var som helst. Detta gör livet mycket enklare för resenärer som använder VPN-anslutningar för att ansluta till kontoret, och gör också livet mycket lättare för företagsadministratörer som behöver stödja resenärer, samt hjälpa anställda på offentliga platser att tillhandahålla internetåtkomst på hotell, konferenscenter, etc. .

SSTP-anslutningsprocess

SSTP VPN-klienten skapar en TCP-anslutning till SSTP VPN-gatewayen mellan en slumpmässig TCP-källport för SSTP VPN-klienten och TCP-port 443 på SSTP VPN-gatewayen.
SSTP VPN-klient skickar SSL Kund-Hej meddelande, som indikerar att han vill skapa en SSL-session med SSTP VPN-gatewayen.
SSTP VPN-gateway skickar datorcertifikat SSTP VPN-klient.
SSTP VPN-klienten validerar datorns certifikat genom att kontrollera certifikatdatabasen Trusted Root Certification Authorities för att säkerställa att CA-certifikatet som signerats av servern finns i databasen. SSTP VPN-klienten bestämmer sedan krypteringsmetoden för SSL-sessionen, genererar SSL-sessionsnyckeln och krypterar den med den offentliga gatewayens SSTP VPN-nyckel och skickar sedan den krypterade formen av SSL-sessionsnyckeln till SSTP VPN-gatewayen.
SSTP VPN-gatewayen dekrypterar den krypterade SSL-sessionsnyckeln med hjälp av den privata nyckeln för datorns certifikat. Alla efterföljande anslutningar mellan SSTP VPN-klienten och SSTP VPN-gatewayen kommer att krypteras med den överenskomna krypteringsmetoden och SSL-sessionsnyckeln.
SSTP VPN-klienten skickar ett HTTP over SSL (HTTPS)-begäranmeddelande till SSTP VPN-gatewayen.
SSTP VPN-klienten förhandlar en SSTP-kanal med SSTP VPN-gatewayen.
SSTP VPN-klienten förhandlar en PPP-anslutning med SSTP-servern. Dessa förhandlingar inkluderar autentisering av användaruppgifter med PPP-autentiseringsmetoden (eller till och med EAP-autentisering) och konfigurering av inställningar för Internet Protocol Version 4 (IPv4) eller Internet Protocol Version 6 (IPv6) trafik.
SSTP-klienten börjar skicka IPv4- eller IPv6-trafik över PPP-anslutningen.

De som är intresserade av egenskaperna hos VPN-protokollarkitekturen kan se dem i figuren nedan. Observera att SSTP har en extra header till skillnad från de andra två VPN-protokollen. Detta tack vare ytterligare HTTPS-kryptering utöver SSTP-huvudet. L2TP och PPTP har inte applikationslagerhuvuden för att kryptera anslutningen.

Bild 1

Vi tar till exempel enkelt nätverk från tre maskiner för att se hur SSTP fungerar. Namnen och egenskaperna för dessa tre maskiner är följande:

Vista Business Edition

Vista Service Pack 1

Icke-domänmedlem

W2008RC0-VPNGW:

Två nätverkskort "interna och externa

WIN2008RC-DC:

Windows Server 2008 Enterprise Edition

Domänkontrollant för MSFIREWALL.ORG-domänen

Certifikatserver (Enterprise CA)

Observera att Vista Service Pack 1 används som en VPN-klient. Även om det har förekommit diskussioner tidigare om Windows XP Service Pack 3 som stöder SSTP, kanske det inte alls är fallet. Jag installerade nyligen testversion Windows XP Service Pack 3 på en testdator och hittade inga bevis för SSTP-stöd. Och det är riktigt dåligt, eftersom alltför många bärbara datorer idag använder Windows XP, och bevisen tyder på att Vista är för långsamt för bärbara datorer att köra. Vistas prestandaproblem kan lösas med Vista Service Pack 1.

Högnivåkonfigurationen för ett exempelnätverk visas i figuren nedan.

Figur 2

Konfigurera Windows Server 2008 som en SSL VPN-server för fjärråtkomst

Jag kommer inte att täcka alla steg från grunden. Jag skulle våga anta att du har installerat en domänkontrollant och aktiverat rollerna DHCP, DNS och Certificate Services på den här servern. Servercertifieringstypen måste vara Enterprise och du har en CA i ditt nätverk. VPN-servern måste vara ansluten till domänen innan du fortsätter med följande steg. Innan du börjar måste du installera SP1 för Vista-klienten.

Vi måste följa följande procedurer för att vår lösning ska fungera:

Installera IIS på VPN-servern
Begär ett maskincertifikat för VPN-servern med hjälp av guiden för begäran av IIS-certifikat
Installera RRAS-rollen på VPN-servern
Aktivera RRAS Server och konfigurera den att fungera som en VPN- och NAT-server
Konfigurera en NAT-server för att publicera CRL
Skapa ett användarkonto för att använda uppringda anslutningar
Konfigurera IIS på certifikatservern för att tillåta HTTP-anslutningar för CRL-katalogen
Konfigurera HOSTS-fil för VPN-klient
Använd PPTP för att kommunicera med VPN-servern
Skaffa CA-certifikat från Enterprise CA
Konfigurera klienten att använda SSTP och anslut till VPN-servern med SSTP

Installera IIS på en VPN-server

Du kanske tycker att det är konstigt att vi börjar med den här proceduren, eftersom jag rekommenderar att du aldrig installerar en webbserver på en nätverkssäkerhetsapparat. Goda nyheterär att vi inte behöver lagra webbservern på VPN-server, vi behöver det bara ett tag. Anledningen är att registreringsplatsen som ingår i Windows Server 2008 Certificate Server inte längre är användbar för att begära datorcertifikat. Det är faktiskt helt värdelöst. Det intressanta är att om du bestämmer dig för att använda registreringssidan för att få ett datorcertifikat, kommer det att se ut som om certifikatet har tagits emot och installerats, men i själva verket är det inte fallet, certifikatet har inte installerats.

För att lösa detta problem kommer vi att dra fördel av det faktum att vi använder en företags-CA. När du använder Enterprise CA kan du skicka en begäran till en onlinecertifikatserver. En interaktiv begäran om ett datorcertifikat är möjlig när du använder IIS Certificate Request Wizard och begär det som nu kallas ett "Domäncertifikat". Detta är endast möjligt om den begärande maskinen tillhör samma domän som Enterprise CA.

För att installera IIS-webbserverrollen på VPN-servern, följ dessa steg:

Öppna Windows 2008 Serverhanterare.
Klicka på fliken i den vänstra panelen på konsolen Roller.

Bild 1

Klicka på menyn Lägg till roller på höger sida av den högra panelen.
Klick Nästa på sidan Innan du börjar.
Placera en bock bredvid raden Webbserver (IIS) på sidan Välj serverroller. Klick Nästa.

Figur 2

Du kan läsa informationen på sidan Webbserver (IIS), om du vill. Detta är ganska användbar allmän information om att använda IIS 7 som webbserver, men eftersom vi inte kommer att använda IIS-webbservern på en VPN-server är denna information inte helt tillämplig i vår situation. Klick Nästa.
På sidan Välj rolltjänster flera alternativ är redan valda. Men om du använder standardalternativen kommer du inte att kunna använda guiden för certifikatbegäran. Så var det i alla fall när jag testade systemet. Det finns ingen rolltjänst för Certificate Request Wizard, så jag försökte markera rutorna bredvid varje alternativ Säkerhet, och det verkar ha fungerat. Gör samma sak för dig själv och klicka Nästa.

Figur 3

Granska informationen på sidan Bekräfta val av inställningar och tryck Installera.
Klick Nära på sidan Installationsresultat.

Figur 4

Begär ett maskincertifikat för en VPN-server med hjälp av guiden för begäran av IIS-certifikat

Nästa steg är att begära ett maskincertifikat för VPN-servern. VPN-servern kräver ett maskincertifikat för att skapa en SSL VPN-anslutning med SSL VPN-klientens dator. Det gemensamma namnet på certifikatet måste matcha det namn som VPN-klienten kommer att använda för att ansluta till SSL VPN-gatewaydatorn. Detta innebär att du måste skapa en offentlig DNS-post för namnet på certifikatet som kommer att lösas till VPN-serverns externa IP-adress, eller IP-adressen för NAT-enheten framför VPN-servern som vidarebefordrar anslutningen till SSL VPN-servern.

Följ dessa steg för att begära ett maskincertifikat till SSL VPN-servern:

I Serverhanterare expandera fliken Roller i den vänstra rutan och expandera sedan fliken Webbserver (IIS). Klicka på .

Figur 5

I konsolen Internet Information Services (IIS) Manager som visas till höger i den vänstra panelen, klicka på servernamnet. I det här exemplet skulle servernamnet vara W2008RC0-VPNGW. Klicka på ikonen Servercertifikat i den högra rutan på IIS-konsolen.

Bild 6

Klicka på länken i den högra panelen på konsolen Skapa ett domäncertifikat.

Bild 7

Ange information på sidan Specifika egenskaper namn. Det viktigaste objektet här kommer att vara Vanligt namn. Detta är namnet som VPN-klienter kommer att använda för att ansluta till VPN-servern. Du behöver också en offentlig DNS-post för detta namn för att känna igen det externa gränssnittet för VPN-servern, eller den offentliga NAT-adressen för enheten framför VPN-servern. I det här exemplet använder vi det vanliga namnet sstp.msfirewall.org. Vi kommer att skapa poster senare HOSTS-fil på VPN-klientens dator så att den kan känna igen namnet. Klick Nästa.

Bild 8

Klicka på knappen på sidan Välja. I dialogrutan Välj certifikatkälla, klicka på Enterprise CA-namnet och klicka OK. Ange ett vänligt namn på raden Vänligt namn. I det här exemplet använde vi namnet SSTP-certifikat att veta att den används för SSTP VPN-gateway.

Figur 9

Klick Avsluta på sidan Certifikatkälla online.

Bild 10

Guiden startar och försvinner sedan. Du kommer då att se certifikatet visas i IIS-konsolen. Dubbelklicka på certifikatet och se det vanliga namnet i avsnittet Utnämnd till, och nu har vi den privata nyckeln som motsvarar certifikatet. Klick OK för att stänga dialogrutan Certifikat.

Bild 11

Nu när vi har certifikatet kan vi installera RRAS-serverrollen. Observera vad som är mycket viktigt installera certifikat innan du installerar RRAS-serverrollen. Om du inte gör detta kommer du att förbereda dig för stor huvudvärk eftersom du måste använda en ganska komplex rutin kommandorader för att associera certifikatet med SSL VPN-klienten.

Installera RRAS-serverrollen på VPN-servern

För att installera RRAS-serverrollen måste du slutföra följande steg:

I Serverhanterare, klicka på fliken Roller i den vänstra panelen på konsolen.
I avsnitt Allmän information roller klicka på länken Lägg till roller.
Klick Nästa på sidan Innan du börjar.
På sidan Välj serverroller markera rutan bredvid raden. Klick Nästa.

Bild 12

Läs informationen på sidan Nätverkspolicy och åtkomsttjänster. Det mesta gäller Network Policy Server (som tidigare kallades Internet Authentication Server och var i huvudsak en RADIUS-server) och NAP, inget av elementen är tillämpligt i vårt fall. Klick Nästa.
På sidan Välj rolltjänster sätta en bock bredvid raden Routing och fjärråtkomsttjänster. Som ett resultat kommer objekten att väljas Fjärråtkomsttjänster Och Routing. Klick Nästa.

Bild 13

Klick Installera i fönstret Bekräfta valda inställningar.
Klick Nära på sidan Installationsresultat.

Aktivera RRAS Server och konfigurera den som en VPN- och NAT-server

Nu när RRAS-rollen är installerad måste vi aktivera RRAS-tjänsterna, precis som vi gjorde i föregående Windows-versioner. Vi måste aktivera VPN-serverfunktionen och NAT-tjänster. Att aktivera VPN-serverkomponenten är helt klart, men du kanske undrar varför du behöver aktivera NAT-servern. Anledningen till att aktivera NAT-servern är så att externa klienter kan komma åt certifikatservern för att ansluta till CRL. Om SSTP VPN-klienten inte kan ladda ner CRL kommer SSTP VPN-anslutningen inte att fungera.

För att öppna åtkomst till CRL kommer vi att konfigurera VPN-servern som en NAT-server och publicera CRL med reversibel NAT. I en företagsnätverksmiljö kommer du sannolikt att ha brandväggar, som ISA-brandväggen, framför certifikatservern, så du kommer att kunna publicera CRL:er med hjälp av brandväggarna. Men i det här exemplet är den enda brandväggen vi kommer att använda Windows brandvägg Brandvägg på VPN-servern, så i det här exemplet måste vi konfigurera VPN-servern som en NAT-server.

För att aktivera RRAS-tjänster, följ dessa steg:

I Serverhanterare expandera fliken Roller i den vänstra rutan på konsolen. Expandera fliken Nätverkspolicy och åtkomsttjänster och klicka på fliken. Högerklicka på fliken och klicka Konfigurera och aktivera routing och fjärråtkomst.

Bild 14

Klick Nästa i fönstret Välkommen till installationsguiden för routing och fjärråtkomstserver.
På sidan Konfiguration välj alternativ Tillgång till virtuella privata nätverk och NAT och tryck Nästa.

Bild 15

På sidan VPN-anslutning välj NIC i avsnittet Nätverksgränssnitt, som representerar det externa gränssnittet för VPN-servern. Klicka sedan Nästa.

Bild 16

På sidan Tilldelning av IP-adresser välj alternativ Automatiskt. Vi kan välja det här alternativet eftersom vi har en DHCP-server installerad på domänkontrollanten bakom VPN-servern. Om du inte har en DHCP-server måste du välja alternativet Från en specifik adresslista, och ange sedan en lista över adresser som VPN-klienter kan använda när de ansluter till nätverket via VPN-gatewayen. Klick Nästa.

Bild 17

På sidan Hantera fjärråtkomst för flera servrar välja Nej, använd routing och fjärråtkomst för att autentisera anslutningsförfrågningar. Vi använder det här alternativet när NPS- eller RADIUS-servrar inte är tillgängliga. Eftersom VPN-servern är medlem i en domän kan du autentisera användare med domänkonton. Om VPN-servern inte är en del av en domän kan endast lokala VPN-serverkonton användas, om du inte väljer att använda en NPS-server. Jag kommer att skriva en artikel om att använda en NPS-server i framtiden. Klick Nästa.

Bild 18

Läsa allmän information på sidan Slutför konfigurationsguiden för routing och fjärråtkomst och tryck Avsluta.
Klick OK i dialogrutan Routing och fjärråtkomst som talar om att distribution av DHCP-meddelanden kräver en DHCP-distributionsagent.
Expandera fliken i den vänstra rutan i konsolen Routing och fjärråtkomst och klicka sedan på fliken Hamnar. I mittrutan ser du att WAN Miniport-anslutningar för SSTP nu är tillgängliga.

Bild 19

Konfigurera en NAT-server för CRL-publicering

Som jag sa tidigare måste SSL VPN-klienten kunna ladda ner en CRL för att verifiera att servercertifikatet på VPN-servern inte har skadats eller återkallats. För att göra detta måste du konfigurera enheten framför certifieringsservern för att skicka HTTP-förfrågningar om platsen för CRL:n på certifikatservern.

Hur vet jag vilken URL SSL VPN-klienten behöver ansluta till för att ladda ner CRL? Denna information finns i själva certifikatet. Om du går till VPN-servern igen och dubbelklickar på certifikatet i IIS-konsol, som du gjorde tidigare, kommer du att kunna hitta denna information.

Klicka på knappen Detaljer på certifikatet och scrolla ner till posten CRL distributionspunkter, klicka sedan på den här posten. Den nedre panelen visar de olika distributionspunkterna baserat på protokollet som används för att komma åt dessa punkter. I certifikatet som visas i bilden nedan kan vi se att vi måste tillåta SSL VPN-klienten åtkomst till CRL via en URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Bild 20

Det är därför du behöver skapa offentliga DNS-poster för detta namn så att externa VPN-klienter kan tilldela detta namn till en IP-adress eller enhet som kommer att utföra en omvänd NAT eller omvänd proxy för att komma åt certifikatserverns webbplats. I det här exemplet måste vi binda win2008rc0-dc.msfirewall.org med en IP-adress på VPN-serverns externa gränssnitt. När anslutningen når VPN-serverns externa gränssnitt kommer VPN-servern att vidarebefordra NAT-anslutningen till certifikatservern.

Om du använder en avancerad brandvägg, till exempel ISA-brandväggen, kan du göra publiceringswebbplatsens CRL:er säkrare genom att tillåta åtkomst endast till CRL, inte till hela webbplatsen. Men i den här artikeln kommer vi att begränsa oss till möjligheten till en enkel NAT-enhet, som den som tillhandahåller RRAS NAT.

Det bör noteras att användning av standardwebbplatsens CRL-namn kan vara ett mindre säkert alternativ eftersom det avslöjar datorns privata namn på Internet. Du kan skapa en anpassad CDP (CRL Distribution Point) för att undvika detta om du tror att exponera din CA:s privata namn för allmänheten DNS-poster utgör en säkerhetsrisk.

Följ dessa steg för att konfigurera RRAS NAT för att dirigera HTTP-förfrågningar till certifikatservern:

I den vänstra panelen Serverhanterare expandera fliken Routing och fjärråtkomst och expandera sedan fliken IPv4. Klicka på fliken NAT.
I fliken NAT högerklicka på det externa gränssnittet i mittpanelen på konsolen. I i detta exempel det externa gränssnittets namn var Local Area Connection. Klicka på Egenskaper.

Bild 21

Markera rutan bredvid i dialogrutan Webbserver (HTTP). Detta kommer att få upp en dialogruta Redigeringstjänst. I en textrad Privat adress Ange IP-adressen för certifieringsservern på det interna nätverket. Klick OK.

Bild 22

Klick OK i dialogrutan Lokala anslutningsegenskaper.

Bild 23

Nu när NAT-servern är installerad och konfigurerad kan vi rikta vår uppmärksamhet mot att konfigurera CA-servern och SSTP VPN-klienten.

Konfigurera ett användarkonto för att använda uppringda anslutningar

Användarkonton kräver uppringd åtkomstbehörighet innan de kan ansluta till Windows-server VPN som är en del av en domän Active Directory. Mest bästa sättet att göra detta är att använda Network Policy Server (NPS) och även behörighet konto standardanvändare som tillåter fjärråtkomst baserat på NPS-policy. Men i vårt fall installerade vi inte en NPS-server, så vi måste konfigurera användarens åtkomstbehörighet manuellt.

I nästa artikel kommer jag att fokusera på att använda NPS-servern och EAP User Certificate-autentisering för att skapa anslutningar med en SSL VPN-server.

För att tillåta uppringningsåtkomst för ett specifikt användarkonto att ansluta till en SSL VPN-server måste du utföra följande steg. I det här exemplet kommer vi att aktivera åtkomstbehörighet för uppringning för standarddomänadministratörskontot:

Öppna konsolen på domänkontrollanten Active Directory-användare och datorer från menyn.
Expandera domännamnet i den vänstra rutan på konsolen och klicka på fliken användare. Dubbelklicka på kontot Administratör.
Gå till fliken Ring in. Standardinställningen kommer att vara Åtkomstkontroll via NPS-nätverkspolicy. Eftersom vi inte har en NPS-server i det här scenariot kommer vi att ändra inställningen till Tillåt åtkomst, som visas nedan i figur 1. Klicka OK.

Bild 1

Konfigurera IIS på certifikatservern för att tillåta HTTP-anslutningar för CRL-katalogen

Av någon anledning, när installationsguiden installerar webbplatsen Certificate Services, konfigurerar den CRL-katalogen för att begära en SSL-anslutning. Även om detta verkar vara en ganska bra idé ur ett säkerhetsperspektiv, är problemet att Uniform Resource Identifier (URI) på certifikatet inte är konfigurerad för att använda SSL. Jag antar att du kan skapa en CDP-post för certifikatet själv så att det kan använda SSL, men jag slår vad om att Microsoft inte har nämnt det här problemet någonstans. Eftersom vi använder standardinställningarna för CDP i den här artikeln måste vi inaktivera SSL-kravet på CA-webbplatsen för katalogens CRL-sökväg.

Följ dessa steg för att inaktivera SSL-kravet för en CRL-katalog:

På menyn Administrationsverktygöppen chef Internet Information Services (IIS) Manager.
Expandera servernamnet i den vänstra rutan på IIS-konsolen och expandera sedan Webbplatser. Expandera fliken Standardwebbplats och klicka på fliken CertEnroll, som visas i figur 2.

Figur 2

Om du tittar på mittpanelen på konsolen kommer du att se det CRL finns i denna virtuella katalog, som visas i bilden nedan. För att se innehållet i denna virtuella katalog måste du klicka på knappen Visa innehåll längst ner på mittpanelen.

Figur 3

Klicka på knappen Visa alternativ längst ner på mittpanelen. Längst ned på mittpanelen dubbelklickar du på ikonen SSL-inställningar.

Figur 4

En sida visas i mittpanelen SSL-inställningar. Avmarkera rutan Kräv SSL. Klick Tillämpas i den högra rutan på konsolen.

Figur 5

Stäng IIS-konsolen när du ser meddelandet Ändringarna har sparats.

Bild 6

Konfigurera en HOSTS-fil för en VPN-klient

Nu kan vi ge vår fulla uppmärksamhet åt VPN-klienten. Det första vi behöver göra med klienten är att sätta upp en HOSTS-fil så att vi kan simulera en offentlig DNS-infrastruktur. Det finns två namn som vi måste ange i HOSTS-filen (samma måste göras för allmänheten DNS-server a, som du kommer att använda i produktionsnätverk). Förnamnet är namnet på VPN-servern, vilket bestäms av det gemensamma/ämnesnamnet på certifikatet som vi har associerat med SSL VPN-servern. Det andra namnet vi behöver för att ange i HOSTS-filen (och offentlig DNS-server) är CDP URL-namnet, som finns på certifikatet. Vi tittade på platsen för CDP-information i del 2 av denna serie.

De två namnen som måste anges i HOSTS-filen i det här exemplet är:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

För att konfigurera HOSTS-filen för Vista SP1 VPN-klienten, följ dessa procedurer:

På menyn Start skriva in c:\windows\system32\drivers\etc\hosts till sökfältet och tryck på ENTER.
I dialogrutan Öppna med välja Anteckningsbok.
Ange poster i HOSTS-filen i formatet som visas i bilden nedan. Se till att trycka på enter efter sista raden så att markören är under den.

Bild 7

Stäng filen och välj alternativet spara ändringar.

Använder PPTP för att ansluta till en VPN-server

Vi kommer gradvis närmare att skapa en SSL VPN-anslutning! Nästa steg är att skapa en VPN-anslutning på Vista SP1-klienten, vilket gör att vi kan skapa en första VPN-anslutning till VPN-servern. I vårt fall måste detta göras eftersom klientdatorn inte är medlem i domänen. Eftersom maskinen inte är medlem i en domän, installeras inte CA-certifikatet automatiskt i dess Trusted Root Certificate Authorities-arkiv. Om maskinen var en del av en domän, skulle automatisk registrering ha tagit hand om detta problem för oss eftersom vi installerade Enterprise CA.

Det enklaste sättet att slutföra detta steg är att skapa en PPTP-anslutning från Vista SP1 VPN-klienten till Windows Server 2008 VPN-servern. Som standard kommer VPN-servern att stödja PPTP-anslutningar, och klienten kommer att försöka PPTP först innan han försöker L2TP/IPSec och SSTP. För att göra detta måste vi skapa en VPN Connector eller ett anslutningsobjekt.

Följ dessa steg för att skapa en anslutning på VPN-klienten:

På VPN-klienten högerklickar du på nätverksikonen och klickar Nätverk och växlingscenter (delningscenter).
Klicka på länken i fönstret Switching Center Network Skapa en anslutning eller nätverk på vänster sida av fönstret.
På sidan Välj anslutningsalternativ klicka på poster Anslut till arbetsplatsen, klicka sedan Nästa.

Bild 8

På sidan Hur vill du ansluta välj alternativ Använd min internetanslutning (VPN).

Figur 9

På sidan Ange internetadressen för att ansluta ange namnet på SSL VPN-servern. Se till att detta namn och det vanliga namnet på certifikatet som används av SSL VPN-servern är samma. I detta exempel var namnet sstp.msfirewall.org. Skriva in Mottagarens namn. I det här exemplet kommer vi att använda mottagarens namn SSL VPN. Klick Nästa.

Bild 14

I fönstret Nätverk och växel, klicka på länken Visa status i avsnitt SSL VPN, som visas i figuren nedan. I dialogrutan SSL VPN-status du kommer att se att VPN-anslutningstypen är PPTP. Klick Nära i dialogrutan SSL VPN-status.

Bild 15

Öppna ett kommandotolksfönster och skicka ett ping-kommando till domänkontrollanten. I det här exemplet skulle IP-adressen för domänkontrollanten vara 10.0.0.2 . Om din VPN-anslutning lyckas får du ett pingsvar från domänkontrollanten.

Bild 16

Erhålla ett CA-certifikat från en Enterprise CA

SSL VPN-klienten måste lita på den CA som utfärdade certifikatet som används av VPN-servern. För att skapa detta förtroende måste vi installera ett CA-certifikat på den CA som utfärdade certifikatet för VPN-servern. Vi kan göra detta genom att ansluta till CA-registreringswebbplatsen på det interna nätverket och installera VPN-klientens certifikat i dess Trusted Root Certification Authorities-butik.

Följ dessa steg för att få ett certifikat från registreringswebbplatsen:

På VPN-klienten som är ansluten till VPN-servern via en PPTP-anslutning, skriv in http://10.0.0.2/certsrv i adressfältet i Internet Explorer och tryck på RETUR.
Ange användarnamnet och lösenordet som används i dialogrutan för autentiseringsuppgifter. I det här exemplet kommer vi att använda standardanvändarnamn och lösenord för domänadministratörskontot.
På sidan Hälsningar registreringssida följ länken Ladda upp ett CA-certifikat, certifikatkedja eller CRL.

Bild 17

En dialogruta som varnar dig för det En webbplats vill öppna webbinnehåll med detta program på din dator, tryck Tillåta. Klicka sedan Nära i dialogrutan Har du lagt märke till informationsfönstret?, om det visas. Nedladdningen är klar.
Stängning Internet Explorer.

Nu måste vi installera CA-certifikatet i Trusted Root Certification Authorities Certificate Store på VPN-klientmaskinen. För att göra detta måste du göra följande:

Klick Start, ange sedan mmc i sökfältet och tryck på ENTER.
Klick Fortsätta i UAC-dialogrutan.
I fönstret Konsol1 klicka på menyn Fil, och klicka sedan Lägg till/ta bort Snap-in.
I dialogrutan Lägg till eller ta bort snapin-moduler välja Certifikat på listan Tillgängliga tillbehör, tryck sedan på Tillägga.
På sidan Certifikat snap-ins välj alternativet Datorkonto och klicka Avsluta.
På sidan Välj dator välj alternativet Lokal dator och klicka Avsluta.
Klick OK i dialogrutan Lägg till eller ta bort snapin-moduler.
Expandera fliken i den vänstra panelen på konsolen Certifikat (lokal dator) och expandera sedan fliken Klicka Avsluta på sidan Slutföra importen av certifikat.
Klick OK i en dialogruta som informerar dig om att importen lyckades.
Nu kommer certifikatet att visas i konsolen som visas i bilden nedan.

Bild 24

Stäng MMC-konsolen.

Konfigurera klienten att använda SSTP och ansluta till VPN-servern via SSTP

Och nu är allt nästan klart! Nu måste vi koppla från VPN-anslutningen och konfigurera VPN-klienten att använda SSTP för VPN-protokollet. I en produktionsmiljö behöver du inte använda detta steg för användare, eftersom du kommer att använda Connection Manager Administration Kit för att skapa ett VPN-anslutningsobjekt för användaren som kommer att inkludera en klient som använder SSTP, eller så kommer du bara att konfigurera SSTP-portar på VPN-servern.

Allt beror på din miljökonfiguration, eftersom du måste schemalägga tiden så att användare kan använda PPTP under en tid medan du installerar certifikaten. Naturligtvis kan du installera CA-certifikat offline, det vill säga genom att ladda ner från en webbplats eller via e-post, i så fall behöver du inte tillåta PPTP-användare. Men sedan, om vissa klienter inte stöder SSTP, måste du aktivera PPTP eller L2TP/IPSec, och du kommer inte att kunna inaktivera alla icke-SSTP-portar. I ett sådant fall måste du lita på manuell inställning eller till det uppdaterade CMAK-paketet.

Ett annat alternativ här skulle vara att binda SSTP-klienten till en specifik IP-adress på RRAS-servern. I det här fallet kan du skapa ett anpassat CMAK-paket som endast refererar till IP-adressen på SSL VPN-servern som lyssnar på nätverket för inkommande SSTP-anslutningar. Andra adresser på SSTP VPN-servern kommer att lyssna på nätverket för PPTP- och/eller L2TP/IPSec-anslutningar.

Följ dessa steg för att inaktivera PPTP-sessionen och konfigurera VPN-klientanslutningsobjektet för att använda SSTP:

Öppna ett fönster på VPN-klientdatorn Nätverk och växel, som de gjorde tidigare.
I fönstret Nätverk och växel klicka på länken Koppla från, som finns direkt under länken Visa status. Kapitel SSL VPN försvinner från fönstret Nätverk och växel.
I fönstret Nätverk och växel klicka på länken Hantera nätverksanslutningar.
Högerklicka på länken SSL VPN och välj en flik Egenskaper.

Bild 25

I dialogrutan SSL VPN-egenskaper gå till fliken Netto. I fönstret VPN-typ klicka på nedåtpilen och välj ett alternativ Secure Socket Tunneling Protocol (SSTP), klicka sedan

Bild 29

Thomas Shinder

I den första delen av denna artikelserie om Windows-installation Server 2008 som en SSL VPN-server, jag pratade om några historiska fakta Microsofts servrar VPN och VPN-protokoll. Vi avslutade den föregående artikeln med att beskriva ett exempelnätverk som vi kommer att använda i denna och efterföljande delar av serien på VPN-inställning en gateway som stöder SSTP-anslutningar med Vista SP1-klienter.

Innan vi börjar måste jag erkänna att jag är medveten om närvaron steg för steg guide om att skapa SSTP-anslutningar för Windows Server 2008, som finns på webbplatsen www.microsoft.com. Det verkade för mig som om den här artikeln inte speglar den verkliga miljön som organisationer använder för att tilldela certifikat. Det är därför, och på grund av några problematiska problem som inte behandlades i Microsofts manual, bestämde jag mig för att skriva den här artikeln. Jag tror att du kommer att lära dig något nytt om du följer mig genom den här artikeln.

Vi måste följa följande procedurer för att vår lösning ska fungera:

Installera IIS på VPN-servern
Begär ett maskincertifikat för VPN-servern med hjälp av guiden för begäran av IIS-certifikat
Installera RRAS-rollen på VPN-servern
Aktivera RRAS Server och konfigurera den att fungera som en VPN- och NAT-server
Konfigurera en NAT-server för att publicera CRL
Skapa ett användarkonto för att använda uppringda anslutningar
Konfigurera IIS på certifikatservern för att tillåta HTTP-anslutningar för CRL-katalogen
Konfigurera HOSTS-fil för VPN-klient
Använd PPTP för att kommunicera med VPN-servern
Skaffa CA-certifikat från Enterprise CA
Konfigurera klienten att använda SSTP och anslut till VPN-servern med SSTP

Installera IIS på en VPN-server

Du kanske tycker att det är konstigt att vi börjar med den här proceduren, eftersom jag rekommenderar att du aldrig installerar en webbserver på en nätverkssäkerhetsapparat. Den goda nyheten är att vi inte behöver lagra webbservern på VPN-servern, vi behöver den bara ett tag. Anledningen är att registreringsplatsen som ingår i Windows Server 2008 Certificate Server inte längre är användbar för att begära datorcertifikat. Det är faktiskt helt värdelöst. Det intressanta är att om du bestämmer dig för att använda registreringssidan för att få ett datorcertifikat, kommer det att se ut som om certifikatet har tagits emot och installerats, men i själva verket är det inte fallet, certifikatet har inte installerats.

Öppna Windows 2008 Serverhanterare.
Klicka på fliken i den vänstra panelen på konsolen Roller.

Klicka på menyn Lägg till roller på höger sida av den högra panelen.
Klick Nästa på sidan Innan du börjar.
Placera en bock bredvid raden Webbserver (IIS) på sidan Välj serverroller. Klick Nästa.

Du kan läsa informationen på sidan Webbserver (IIS), om du vill. Detta är ganska användbar allmän information om att använda IIS 7 som webbserver, men eftersom vi inte kommer att använda IIS-webbservern på en VPN-server är denna information inte helt tillämplig i vår situation. Klick Nästa.
På sidan Välj rolltjänster flera alternativ är redan valda. Men om du använder standardalternativen kommer du inte att kunna använda guiden för certifikatbegäran. Så var det i alla fall när jag testade systemet. Det finns ingen rolltjänst för Certificate Request Wizard, så jag försökte markera rutorna bredvid varje alternativ Säkerhet, och det verkar ha fungerat. Gör samma sak för dig själv och klicka Nästa.

Granska informationen på sidan Bekräfta val av inställningar och tryck Installera.
Klick Nära på sidan Installationsresultat.

Begär ett maskincertifikat för en VPN-server med hjälp av guiden för begäran av IIS-certifikat

Följ dessa steg för att begära ett maskincertifikat till SSL VPN-servern:

I Serverhanterare expandera fliken Roller i den vänstra rutan och expandera sedan fliken Webbserver (IIS). Klicka på .

I konsolen Internet Information Services (IIS) Manager som visas till höger i den vänstra panelen, klicka på servernamnet. I det här exemplet skulle servernamnet vara W2008RC0-VPNGW. Klicka på ikonen Servercertifikat i den högra rutan på IIS-konsolen.

Klicka på länken i den högra panelen på konsolen Skapa ett domäncertifikat.

Ange information på sidan Egenskaper för definierade namn. Det viktigaste objektet här kommer att vara Vanligt namn. Detta är namnet som VPN-klienter kommer att använda för att ansluta till VPN-servern. Du behöver också en offentlig DNS-post för detta namn för att känna igen det externa gränssnittet för VPN-servern, eller den offentliga NAT-adressen för enheten framför VPN-servern. I det här exemplet använder vi det vanliga namnet sstp.msfirewall.org. Senare kommer vi att skapa HOSTS-filposter på VPN-klientens dator så att den kan känna igen detta namn. Klick Nästa.

Klicka på knappen på sidan Välja. I dialogrutan Välj certifikatkälla, klicka på Enterprise CA-namnet och klicka OK. Ange ett vänligt namn på raden Vänligt namn. I det här exemplet använde vi namnet SSTP-certifikat att veta att den används för SSTP VPN-gateway.

Klick Avsluta på sidan Certifikatkälla online.

Guiden startar och försvinner sedan. Du kommer då att se certifikatet visas i IIS-konsolen. Dubbelklicka på certifikatet och se det vanliga namnet i avsnittet Utnämnd till, och nu har vi den privata nyckeln som motsvarar certifikatet. Klick OK för att stänga dialogrutan Certifikat.

Nu när vi har certifikatet kan vi installera RRAS-serverrollen. Observera vad som är mycket viktigt installera certifikat innan du installerar RRAS-serverrollen. Om du inte gör detta kommer du att ställa dig inför stora huvudvärk eftersom du måste använda en ganska komplex kommandoradsrutin för att associera certifikatet med SSL VPN-klienten.

Installera RRAS-serverrollen på VPN-servern

För att installera RRAS-serverrollen måste du slutföra följande steg:

I Serverhanterare, klicka på fliken Roller i den vänstra panelen på konsolen.
I avsnitt Rollöversikt klicka på länken Lägg till roller.
Klick Nästa på sidan Innan du börjar.
På sidan Välj serverroller markera rutan bredvid raden. Klick Nästa.

Läs informationen på sidan Nätverkspolicy och åtkomsttjänster. Det mesta gäller Network Policy Server (som tidigare kallades Internet Authentication Server och var i huvudsak en RADIUS-server) och NAP, inget av elementen är tillämpligt i vårt fall. Klick Nästa.
På sidan Välj rolltjänster sätta en bock bredvid raden Routing och fjärråtkomsttjänster. Som ett resultat kommer objekten att väljas Fjärråtkomsttjänster Och Routing. Klick Nästa.

Klick Installera i fönstret Bekräfta valda inställningar.
Klick Nära på sidan Installationsresultat.

Aktivera RRAS Server och konfigurera den som en VPN- och NAT-server

Nu när RRAS-rollen är installerad måste vi aktivera RRAS-tjänster, precis som vi gjorde i tidigare versioner av Windows. Vi måste aktivera VPN-serverfunktionen och NAT-tjänster. Att aktivera VPN-serverkomponenten är helt klart, men du kanske undrar varför du behöver aktivera NAT-servern. Anledningen till att aktivera NAT-servern är så att externa klienter kan komma åt certifikatservern för att ansluta till CRL. Om SSTP VPN-klienten inte kan ladda ner CRL kommer SSTP VPN-anslutningen inte att fungera.

För att öppna åtkomst till CRL kommer vi att konfigurera VPN-servern som en NAT-server och publicera CRL med reversibel NAT. I en företagsnätverksmiljö kommer du sannolikt att ha brandväggar, som ISA-brandväggen, framför certifikatservern, så du kommer att kunna publicera CRL:er med hjälp av brandväggarna. Men i det här exemplet är den enda brandväggen vi kommer att använda Windows-brandväggen på VPN-servern, så i det här exemplet måste vi konfigurera VPN-servern som en NAT-server.

För att aktivera RRAS-tjänster, följ dessa steg:

I Serverhanterare expandera fliken Roller i den vänstra rutan på konsolen. Expandera fliken Nätverkspolicy och åtkomsttjänster och klicka på fliken. Högerklicka på fliken och klicka Konfigurera och aktivera routing och fjärråtkomst.

Klick Nästa i fönstret Välkommen till installationsguiden för routing och fjärråtkomstserver.
På sidan Konfiguration välj alternativ Tillgång till virtuella privata nätverk och NAT och tryck Nästa.

På sidan VPN-anslutning välj NIC i avsnittet Nätverksgränssnitt, som representerar det externa gränssnittet för VPN-servern. Klicka sedan Nästa.

På sidan Tilldelning av IP-adresser välj alternativ Automatiskt. Vi kan välja det här alternativet eftersom vi har en DHCP-server installerad på domänkontrollanten bakom VPN-servern. Om du inte har en DHCP-server måste du välja alternativet Från en specifik adresslista, och ange sedan en lista över adresser som VPN-klienter kan använda när de ansluter till nätverket via VPN-gatewayen. Klick Nästa.

På sidan Hantera fjärråtkomst för flera servrar välja Nej, använd routing och fjärråtkomst för att autentisera anslutningsförfrågningar. Vi använder det här alternativet när NPS- eller RADIUS-servrar inte är tillgängliga. Eftersom VPN-servern är medlem i en domän kan du autentisera användare med domänkonton. Om VPN-servern inte är en del av en domän kan endast lokala VPN-serverkonton användas, om du inte väljer att använda en NPS-server. Jag kommer att skriva en artikel om att använda en NPS-server i framtiden. Klick Nästa.

Läs den allmänna informationen på sidan Slutför konfigurationsguiden för routing och fjärråtkomst och tryck Avsluta.
Klick OK i dialogrutan Routing och fjärråtkomst som talar om att distribution av DHCP-meddelanden kräver en DHCP-distributionsagent.
Expandera fliken i den vänstra rutan i konsolen Routing och fjärråtkomst och klicka sedan på fliken Hamnar. I mittrutan ser du att WAN Miniport-anslutningar för SSTP nu är tillgängliga.

Konfigurera en NAT-server för CRL-publicering

Hur vet jag vilken URL SSL VPN-klienten behöver ansluta till för att ladda ner CRL? Denna information finns i själva certifikatet. Om du går tillbaka till VPN-servern och dubbelklickar på certifikatet i IIS-konsolen som du gjorde tidigare, bör du kunna hitta denna information.

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Det bör noteras att användning av standardwebbplatsens CRL-namn kan vara ett mindre säkert alternativ eftersom det avslöjar datorns privata namn på Internet. Du kan skapa en anpassad CDP (CRL Distribution Point) för att undvika detta om du tror att avslöjande av din CA:s privata namn i en offentlig DNS-post utgör en säkerhetsrisk.

Följ dessa steg för att konfigurera RRAS NAT för att dirigera HTTP-förfrågningar till certifikatservern:

I den vänstra panelen Serverhanterare expandera fliken Routing och fjärråtkomst och expandera sedan fliken IPv4. Klicka på fliken NAT.
I fliken NAT högerklicka på det externa gränssnittet i mittpanelen på konsolen. I det här exemplet var namnet på det externa gränssnittet Local Area Connection. Klicka på Egenskaper.

Markera rutan bredvid i dialogrutan Webbserver (HTTP). Detta kommer att få upp en dialogruta Redigeringstjänst. I en textrad Privat adress Ange IP-adressen för certifieringsservern på det interna nätverket. Klick OK.

Klick OK i dialogrutan Lokala anslutningsegenskaper.

Nu när NAT-servern är installerad och konfigurerad kan vi rikta vår uppmärksamhet mot att konfigurera CA-servern och SSTP VPN-klienten.

Slutsats

I den här artikeln fortsatte vi samtalet om att sätta upp en SSL VPN-server med Windows Server 2008. Vi tittade på att installera IIS på VPN-servern, begära och installera ett servercertifikat, installera och konfigurera RRAS- och NAT-tjänster på VPN-servern. I nästa artikel kommer vi att avsluta med att titta på att ställa in en CA-server och SSTP VPN-klient. Vi ses! Volym.

Publicerad den 3 februari 2009 av · Inga kommentarer

Om du missade de tidigare delarna av denna artikelserie, läs gärna:

I de två första delarna av den här serien om hur man bygger en SSL VPN-server på Windows Server 2008, täckte vi några av grunderna för att bygga VPN-nätverk och diskuterade sedan inställningen av servern. Vid det här laget är vi redo att slutföra några mindre ändringar av Active Directory-konfigurationen och CA-webbplatsen. När vi har gjort dessa ändringar kommer vi att fokusera på VPN-klientens konfiguration och slutligen skapa SSL VPN-anslutningen.

Konfigurera ett användarkonto för att använda uppringda anslutningar

Användarkonton kräver uppringd åtkomstbehörighet innan de kan ansluta till en Windows VPN-server som är en del av en Active Directory-domän. Det bästa sättet att göra detta är att använda Network Policy Server (NPS) samt standardbehörigheten för användarkontot, som tillåter fjärråtkomst baserat på NPS-policyn. Men i vårt fall installerade vi inte en NPS-server, så vi måste konfigurera användarens åtkomstbehörighet manuellt.

I nästa artikel kommer jag att fokusera på att använda NPS-servern och EAP User Certificate-autentisering för att skapa anslutningar med en SSL VPN-server.

Konfigurera IIS på certifikatservern för att tillåta HTTP-anslutningar för CRL-katalogen

Följ dessa steg för att inaktivera SSL-kravet för en CRL-katalog:

Konfigurera en HOSTS-fil för en VPN-klient

Nu kan vi ge vår fulla uppmärksamhet åt VPN-klienten. Det första vi behöver göra med klienten är att sätta upp en HOSTS-fil så att vi kan simulera en offentlig DNS-infrastruktur. Det finns två namn som vi måste ange i HOSTS-filen (samma måste göras för den offentliga DNS-servern som du kommer att använda i produktionsnätverk). Förnamnet är namnet på VPN-servern, vilket bestäms av det gemensamma/ämnesnamnet på certifikatet som vi har associerat med SSL VPN-servern. Det andra namnet vi behöver för att ange i HOSTS-filen (och offentlig DNS-server) är CDP URL-namnet, som finns på certifikatet. Vi tittade på platsen för CDP-information i del 2 av denna serie.

De två namnen som måste anges i HOSTS-filen i det här exemplet är:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

För att konfigurera HOSTS-filen för Vista SP1 VPN-klienten, följ dessa procedurer:

Stäng filen och välj alternativet spara ändringar.

Använder PPTP för att ansluta till en VPN-server

Följ dessa steg för att skapa en anslutning på VPN-klienten:

Erhålla ett CA-certifikat från en Enterprise CA

Följ dessa steg för att få ett certifikat från registreringswebbplatsen:

Klick Nära i dialogrutan.
Stängning Internet Explorer.

Nu måste vi installera CA-certifikatet i Trusted Root Certification Authorities Certificate Store på VPN-klientmaskinen. För att göra detta måste du göra följande:

Stäng MMC-konsolen.

Konfigurera klienten att använda SSTP och ansluta till VPN-servern via SSTP

Allt beror på din miljökonfiguration, eftersom du måste schemalägga tiden så att användare kan använda PPTP under en tid medan du installerar certifikaten. Naturligtvis kan du installera CA-certifikat offline, det vill säga genom att ladda ner från en webbplats eller via e-post, i vilket fall du inte behöver tillåta PPTP-användare. Men sedan, om vissa klienter inte stöder SSTP, måste du aktivera PPTP eller L2TP/IPSec, och du kommer inte att kunna inaktivera alla icke-SSTP-portar. I det här fallet måste du lita på manuell konfiguration eller ett uppdaterat CMAK-paket.

Följ dessa steg för att inaktivera PPTP-sessionen och konfigurera VPN-klientanslutningsobjektet för att använda SSTP:

Bild 29

Slutsats

I den här sista delen av vår serie om hur man sätter ihop en SSL VPN-server med Windows Server 2008, har vi slutfört konfigureringen av ett användarkonto, en webbplats CRL och en SSL VPN-klient. Vi har också skapat SSTP-anslutningen och bekräftat att den lyckades. Tack

Källa www.windowsecurity.com

Se även:

Läsarens kommentarer (inga kommentarer)

Exchange 2007

Om du vill läsa de tidigare delarna av denna artikelserie, följ länkarna: Monitoring Exchange 2007 Using System Manager...

Inledning I den här artikeln i flera delar vill jag visa dig processen jag nyligen använde för att migrera från en befintlig Exchange 2003-miljö...

Om du missade den första delen av den här serien, läs den på Använda verktyget Exchange Server Remote Connectivity Analyzer Tool (del...

| Till publikationslistan

Säker fjärråtkomst via SSL VPN

Boris Borisenko, expert

TEKNOLOGI VPN har blivit utbrett som ett sätt att ge säker anställda åtkomst till ett företags lokala nätverk från en fysiskt avlägsen punkt. SSL-baserade VPN utvecklades som en kompletterande och alternativ teknik för fjärråtkomst via IPsec VPN. Men kostnaden och tillförlitligheten för att organisera säkra kommunikationskanaler har gjort SSL VPN till en mycket attraktiv teknik. SSL VPN-koncentratorer har ytterligare möjligheter (jämfört med traditionella VPN-enheter). De flesta brandväggar tillhandahåller publicering av webbapplikationer till Internet via portar, broadcast nätverksadresser(NAT) och nätverksdirigering, men tillhandahåller inte kryptografiskt dataskydd utöver den nivå som tillhandahålls av applikationerna. IPsec VPN-användare kan upprätta en anslutning till företagets nätverk liknande en direkt anslutning till ett lokalt nätverk. Detta krypterar all data som överförs mellan VPN-servern och klienten. De flesta VPN-enheter kräver dock ett speciellt klientprogram. SSL VPN-koncentratorer använder en webbläsare för att tillåta fjärrarbetare att komma åt inte bara interna webbplatser utan även applikationer och filservrar. Låt oss titta på några av de mest intressanta lösningarna för att organisera fjärråtkomst med SSL VPN.

ZyWALL SSL 10

Detta är en virtuell privat nätverksgateway med stöd för SSL-kryptering, vilket gör att du kan organisera säker fjärråtkomst till nätverk och applikationer via en VPN-anslutning utan att först installera klientdelen. Enheten erbjuds för små och medelstora företagsnätverk.

För att ansluta till Internet eller DMZ finns det ett WAN-gränssnitt, en switch med fyra LAN-portar och en RS 232 DB9-port för styrning via konsolen (denna enhet ger färre funktioner än samma ZyWALL 1050). ZyWALL SSL 10 stöder inte bara direkt överklagande till intranätanvändardatabaser, men arbetar även med Microsoft Active Directory, LDAP och RADIUS. Dessutom går det att använda tvåfaktorsautentisering(med ZyWALL OTP nyckelbrickor).

Direkt åtkomst till företagets nätverksresurser tillhandahålls av SecuExtender-klienten, som laddas ner till fjärranvändarnas datorer. Efter detta, med tillstånd från administratörer, kan vissa kategorier av användare enkelt organisera nätverkstunnlar med hjälp av IPsec. Administratörer kan också konfigurera säkerhetspolicyer för användargrupper, nätverksadressintervall eller olika applikationer.

ZyWALL SSL 10 stöder 10 samtidiga säkra sessioner, utbyggbara till 25 SSL-sessioner. I ett nätverk kan enheten användas antingen bakom en befintlig gateway (Figur 2) eller som en ny gateway (Figur 3). I det första fallet kan ZyWALL SSL 10 anslutas till DMZ-porten för att förbättra säkerheten. I den andra - till modemet och webbservern - till ZyWALL. Trafik från webbservern till fjärranvändaren passerar genom VPN-tunneln.

Alternativ som stöds inkluderar TLS-protokoll, kryptering, certifikat - 256-bitars AES, IDEA, RSA, hashing - MD5, SHA-1. Intressant funktion Det finns ett ganska stort urval av fästen för strömkontakter (för alla uttag och nätverk).

Netgear ProSafe SSL VPN Concentrator SSL312

Enheten låter dig arbeta med ett företagsnätverk med upp till 25 fjärrklienter samtidigt. Anslutningen görs med ActiveX-komponenter, som kan laddas ner och installeras direkt från enheten.

Klienten måste dock ha administrativ åtkomst till systemet för att installera lämpliga ActiveX-komponenter. Dessutom måste din webbläsare vara konfigurerad för att tillåta användning av ActiveX-komponenter. Du kan också behöva installera Windows-uppdateringar. Hårdvara innehåller två LAN-portar och en seriell port. När du loggar in väljs autentiseringsalternativet: användardatabas, Windows-domän NT, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). När den nås via fjärrserver den senare måste vara tillgänglig och trafikdirigering måste konfigureras till den.

Om mängden DRAM-minne är densamma för både Netgear SSL312 och ZyWALL SSL 10, är Netgears flashminne klart sämre (16 mot 128 MB). Net-gear SSL312-processorn förlorar också mot ZyWALL (200 mot 266 med en kryptografisk accelerator). Till skillnad från Netgear SSL312 stöder ZyWALL version 2.0 av SSL-protokollet.

Det finns två möjliga alternativ för att använda enheten. I det första fallet används endast en av de två Netgear SSL312 Ethernet-portarna. Gatewayen måste få åtkomst till Netgear SSL312 över HTTPS. Ett annat användningsfall använder båda Netgear SSL312 Ethernet-portarna utan att SSL-trafik går genom brandväggen. En Ethernet-port på enheten tilldelas en offentlig IP-adress, och den andra är tilldelad en privat IP-adress för det interna nätverket. Det bör noteras att Netgear SSL312 inte fungerar NAT-funktioner och ITU och ersätter dem inte.

För att arbeta med nätverkstjänster på ett lokalt fjärrnätverk finns det två alternativ: en VPN-tunnel, som upprättas mellan användaren och enheten, eller portvidarebefordran. Båda metoderna har fördelar och nackdelar. VPN-tunneln låter dig organisera fullständig kommunikation med en fjärrkontroll lokalt nätverk, men det tillåter inte att du gör separata inställningar för varje tjänst. Med vidarebefordran av portar kan du endast arbeta med TCP-anslutningar (UDP och andra IP-protokoll stöds inte för varje applikation).
Dynamisk DNS Netgear stöder inte SSL312, vilket också är en nackdel.

SSL VPN Juniper Networks Secure Access 700

En fjärråtkomstlösning med SSL VPN är också designad för små och medelstora företag. Gränssnittet för både användare och administratör är organiserat i form av en webbläsare. Det finns inget behov av att installera en VPN-klient på fjärrdatorn. Det finns två RJ-45 Ethernet-portar och en seriell port. Juniper SA 700 kontrollerar automatiskt fjärrdatorn och, beroende på resultatet av den installerade programvara, tilldelar olika åtkomsträttigheter.

Kan inte stödja fler än 25 samtidiga användare. Bland autentisering och auktorisering är följande alternativ möjliga: Microsoft Active Directory/Windows NT, LDAP, NIS, RADIUS, RSA, SAML, certifikatserver. Enheten ger åtkomst till filresurser Windows/SMB, Unix/NFS, webbapplikationer, inklusive de som använder JavaScript, XML, Flash; Telnet- och SSH-protokoll stöds. Tillgången till företagets e-post är organiserad på basis av regelbunden e-postklient, som är konfigurerad att ansluta säkert över SSL till Juniper SA 700. Detta kommer dock att kräva en "Core Clientless Web Access"-licens.

Juniper SA 700 ger automatisk kontroll fjärrdator, om antivirusprogram, personlig brandvägg och andra säkerhetsprogram är installerade på den. Alla proxynedladdningar och temporära filer som krävs under sessionen raderas efter att sessionen avslutas.

Mer än ett år har gått sedan vi började arbeta med . Viss erfarenhet har samlats på att använda den beskrivna konfigurationen, dess för- och nackdelar har identifierats och vissa slutsatser har dragits. Baserat på dessa slutsatser kommer vi i denna anteckning att fortsätta att utveckla ämnet för att sätta upp säkra VPN-anslutningar och överväga de steg som är nödvändiga för att organisera förmågan att arbeta med protokollet SSTP (Secure Socket Tunneling Protocol).

Erfarenhet av användning L2TP/IPsec VPN har visat att om det finns tydliga steg-för-steg-instruktioner för att ansluta så kan de flesta användare sätta upp en sådan VPN-anslutning på egen hand utan problem. Men ändå finns det alltid individer som lyckas göra misstag även under sådana förhållanden, och därför har idén om behovet av att förenkla processen att skapa en VPN-anslutning alltid blinkat någonstans på bakgrund. Dessutom, i ett antal situationer stötte vi på problemet med att blockera vissa portar som krävs för L2TP/IPsec VPN, upptäckt på nivån av Internetleverantörer. Dessutom nådde saker ibland absurditet, när samma internetleverantör överförde L2TP/IPsec-trafik i ena änden av staden utan hinder, men i den andra änden av staden blockerades den. Vi har till och med mentalt delat in olika internetleverantörers zoner för oss själva i segment där L2TP/IPsec VPN kommer att fungera felfritt, och i zoner där det definitivt kommer att finnas problem och vi kommer att behöva tänka på alternativa alternativ tillgång till lokala företagsnätverksresurser. Dessutom fanns det fall då affärsresenärer och semesterfirare som försökte ansluta på distans via "hotellinternet" upplevde problem på grund av samma problem med att blockera nödvändiga portar. Naturligtvis, innan vi introducerade L2TP/IPsec VPN, förstod vi alla dessa risker och i de allra flesta problemsituationer fanns det någon form av lösning, men "eftersmaken" från varje sådan situation förblev obehaglig.

Jag började komma ihåg varför mitt val tidigare föll på L2TP/IPsec. Det var två avgörande faktorer - en acceptabel säkerhetsnivå och stöd för ett bredare utbud av klientoperativsystem. Jag minns att jag på den tiden var intresserad av protokollet SSTP, men det var ett par faktorer som fick mig att ta avstånd från den här tekniken. För det första hade vi på den tiden fortfarande ett tillräckligt antal kunder utifrån Microsoft Windows XP, och i detta operativsystem stöds inte SSTP-protokollet, som du vet. För det andra kunde jag inte använda det offentliga certifikatet med företag domännamn för att skydda SSTP-anslutningar, och det fanns ingen önskan att ersätta det med ett certifikat från en intern dedikerad CA, eftersom detta innebar problem i samband med att distribuera dess rotcertifikat till Internet-klienter och publicera en lista över återkallande av certifikat ( Lista över återkallelse av certifikat – CRL) på Internet.

Men tiden gick, det fanns en storleksordning färre klienter med Windows XP (att stärka företagens informationssäkerhetspolicy och aggressiva Microsoft-reklamkampanjer för OS-uppdateringar gjorde sitt jobb), och jag fick möjlighet att arbeta med ett offentligt certifikat. Dessutom stötte jag på information som på sådana OCs som Linux och Apple Mac OS X, klientprogramvara för att stödja SSTP-anslutningar, har använts ganska framgångsrikt under lång tid, trots att detta protokoll vid ett tillfälle förutspåddes vara "Win-isolerat" på grund av dess proprietära karaktär.

Därför är det definitivt dags för oss att i praktiken uppleva alla fördelar med SSTP, i synnerhet förmågan att arbeta i nästan vilken miljö som helst, varhelst det är möjligt att använda en standard Internetanslutning via HTTPS-protokollet (TCP 443). Det vill säga, när du använder SSTP, teoretiskt sett, bör du inte ha problem med en VPN-anslutning någonstans, inte hemifrån (även om du använder alla möjliga NAT:er och alla möjliga sneda lokala inställningar nätverksutrustning Internetleverantörer), inte på ett hotell (även om en proxy används) eller någon annanstans. Dessutom är proceduren för att sätta upp en VPN-anslutning med SSTP på klientsystemet otroligt förenklad och innebär ingen manipulation av digitala certifikat (förutsatt att ett offentligt certifikat används på serversidan).

Grundläggande krav till kunder och deras inställningar

Om vi pratar om klientsystem baserade på OS Microsoft Windows, då måste du ta hänsyn till att SSTP fungerar på system från Windows Vista SP1 och senare. För klientsystem under Windows Vista SP1, inklusive för fortfarande "levande mammutar" i formuläret Windows XP, liksom tidigare, antas att protokollet kommer att användas L2TP/IPsec med alla efterföljande omständigheter som jag nämnde ovan. Från att använda protokollet PPTP Eftersom det länge har äventyrats föreslås det att det helt överges. Länkar till uppdaterade instruktioner för att konfigurera en SSTP-anslutning på Windows-klientoperativsystem finns i slutet av den här artikeln.

För OS-baserade klientsystem Linux ett projekt med öppet källkod. Jag har redan förberett mig steg för steg instruktioner för inte särskilt erfarna användare av Linux-system som använder exemplet med konfiguration iUbuntu Linux 14.04 Och 15.04 /15.10 .

Angående OS-baserade klientsystem Apple MacOS Jag kan inte säga något begripligt än, eftersom jag helt enkelt inte har dem till hands. Baserat på tillgänglig ytlig information kan du använda (som ett konsolalternativ), eller så kan du använda ett paket skapat på grundval av detiSSTP styrs via ett grafiskt gränssnitt. Jag hoppas att Vitaly Jacob inom en snar framtid kommer att glädja oss med lämpliga användarinstruktioner.

Ett vanligt krav för alla klienter är att SSTP VPN-klienten måste kunna kontrollera certifikatåterkallelselistor (CRL) för att säkerställa att certifikatet som tillhandahålls av VPN-servern inte har återkallats. Denna typ av kontroll kan inaktiveras på klientsidan, men detta är inte den bästa lösningen ur säkerhetssynpunkt och bör endast användas som en sista utväg.

Grundläggande krav för en VPN-server och dess konfiguration

Serverdelen av VPN-anslutningen i vårt fall kommer att vara en förlängning till VPN-servrar baserade på Windows Server 2012 R2 med rollen Fjärråtkomst.

Ett av huvudkraven för en VPN-server, vilket förmodligen framgår av allt ovanstående, är närvaron av ett installerat certifikat på den. Du kan få ett sådant certifikat från offentliga certifikatutfärdare och som regel kostar sådana certifikat mycket pengar. Men det finns också gratisalternativ, till exempel WoSign gratis SSL-certifikat . Jag har själv ännu inte haft erfarenhet av att kommunicera med en sådan CA, och därför ska det vara intressant att lyssna på dina kommentarer i denna fråga.

VPN-servercertifikatkrav

En viktig sak för SSTP är att när du genererar en begäran om att erhålla ett certifikat från en tredje parts offentliga CA, måste du komma ihåg att det begärda certifikatet måste ha en applikationspolicy ( Utökad nyckelanvändning, EKU) - Serverautentisering (1.3.6.1.5.5.7.3.1 ). Naturligtvis måste export av den privata nyckeln tillåtas för ett sådant certifikat, eftersom vi kan behöva installera certifikatet på flera VPN-servrar om till exempel en klusterkonfiguration används.

Ett obligatoriskt krav för det resulterande certifikatet är också att certifikatets spärrlista ( CRL) som anges i certifikatet måste vara tillgänglig på Internet, eftersom i början av att skapa en SSTP-anslutning klientdator kommer att försöka kontrollera om certifikatet som tillhandahålls av VPN-servern är återkallat. Det kommer inte att finnas någon tillgänglig CRL - det kommer inte att finnas någon SSTP-anslutning.

Det resulterande certifikatet installeras på VPN-servern i certifikatarkivet Lokal dator\Personlig och måste vara bunden till den privata nyckeln för detta certifikat.

Det är också självklart att den CA som utfärdade certifikatet måste litas på inte bara av våra VPN-servrar, utan också av alla våra externa Internet-klienter som kommer att ansluta till dessa servrar med hjälp av SSTP-protokollet. Det vill säga att rotcertifikatet (det kan finnas flera av dem) måste finnas på alla datorer i certifikatarkivet Lokal dator\Pålitliga rotcertifikatutfärdare. Information om dessa krav finns i artikelnTechNet Library - Konfigurera RRAS med ett datorautentiseringscertifikat . I de flesta moderna klientoperativsystem uppdateras samlingen av publika rotcertifikat automatiskt när det finns en konstant anslutning till Internet.

Konfigurera rollen för fjärråtkomst

Öppna snapin-modulen efter att certifikatet har installerats på VPN-servern Routing och fjärråtkomst och i VPN-serveregenskaperna på fliken Säkerhet välj detta certifikat för SSTP i avsnittet SSL-certifikatbindning

Om du ändrar det här alternativet kommer du att uppmanas att automatiskt starta om RRAS-tjänster. Vi går med på att starta om tjänsterna.

Längre i avsnittet Hamnar lägga till portar SSTP. I vårt exempel är de flesta portarna allokerade för SSTP-anslutningar och en liten del av portarna är allokerade för klienter utan SSTP-stöd, till exempel Windows XP. Vi inaktiverar möjligheten att ansluta via PPTP helt.

Information om hur du korrekt inaktiverar PPTP-anslutning finns i artikelnRouting Så här...Lägger du till PPTP- eller L2TP-portar . Exempel i skärmdumpen:

Efter att ändringarna har gjorts kommer vi att kontrollera de TCP-lyssnare som körs på vår VPN-server. Bland dem bör en lyssnare dyka upp för port 443, där VPN-servern accepterar klientanslutningar via SSTP-protokollet:

netstat -na | hittastr 443

Glöm inte att konfigurera brandväggen genom att aktivera regeln som redan finns efter installation och konfigurering av fjärråtkomstrollen Secure Socket Tunneling Protocol (SSTP-In)

Dessutom kan du inaktivera tillåtelseregeln för inkommande PPTP- anslutningar per port TCP 1723(i standardkonfigurationen kallas denna regel " Routing och fjärråtkomst (PPTP-In)")

Eftersom vår VPN-server är medlem NLB-kluster måste vi dessutom skapa en regel som tillåter portbalansering TCP 443.

De gjorda inställningarna är helt tillräckliga för att vår VPN-server ska kunna acceptera SSTP-anslutningar.

Kontrollerar VPN-klientanslutningen

På en klientdator med direkt tillgång till Internet via port 443, ställ in en test-VPN-anslutning och anslut...

På serversidan ser vi till att klienten använder en av de gratis SSTP-portar vi skapade tidigare...

Instruktioner för användare

Som nämnts tidigare måste tydliga steg-för-steg-instruktioner utvecklas för användare som ansluter till företagets VPN-servrar från Internet. Jag kunde testa (och samtidigt utveckla steg-för-steg-instruktioner för användare) VPN-anslutningar som en del av följande operativsystem:

Windows XP 32-bitars RU SP3
(Instruktionerna har skrivits om med hänsyn till användningen av L2TP/IPsec, men i avsaknad av en fungerande PPTP. Begäran och installationen av certifikatet görs i två steg med olika skript)
Windows Vista Företag 32-bitars RU SP2 (SSTP)
Windows 7 Pro 32-bitars RU SP1 (SSTP)
Windows 8.1 Pro 64-bitars RU (SSTP)
Ubuntu Desktop Linux 14.04 64-bitars (SSTP)
Ubuntu Desktop Linux 15.04 64-bitars (SSTP)
Ubuntu Desktop Linux 14.10 64-bitars (SSTP)

Instruktioner i DOCX-format (samt nödvändiga körbara filer), som du om så önskas kan anpassa till din miljö, kan laddas ner från länk . En del av instruktionerna är tillgängliga för visning och diskussion online .