SpayniX Web Portal

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Рассмотрение сервера TMG 2010 Virtual Private Network Server(настройка VPN)

E-mail Печать PDF
(2 Голосов)

Обзор конфигурации VPN в TMG 2010.

Введение

На протяжении лет ISA и следующая версия TMG VPN сервера были моими лучшими друзьями в работе. С выходом ISA 2004 я знала, что Microsoft создала отличный продукт, когда речь заходила о их VPN сервере. Сервер ISA VPN был мощным решением удаленного VPN доступа, которое было крайне простым в настройке. Больше всего в нем мне нравилось то, что после того, как я перепробовала несколько VPN решений, я обнаружила, что ISA VPN сервер является одним из самых защищенных серверов на рынке. А когда речь заходит об удаленном доступе, безопасность играет решающую роль.

Должна признать, что когда моя настройка DirectAccess была выполнена и запущена в работу, я уже не так много использовала VPN. Однако возникают ситуации, когда мне нужно воспользоваться компьютером, который не поддерживает DirectAccess, поэтому я все еще полагаюсь на VPN доступ к своей сети. По этой причине в моем офисе работает TMG VPN сервер.

В этом цикле статей о сервере TMG VPN я начну с общего обзора конфигурации VPN и перейду к более подробному рассмотрению включения L2TP/IPsec и SSTP доступа. Если вы не знакомы с ISA/TMG, эта статья поможет вам ознакомиться с основами. Если вы опытный администратор ISA VPN сервера, для вас в этой части будет мало что нового. Но вам, возможно, будет полезно прочитать статью о SSTP в этом цикле. Я знаю, что Том писал статью о SSTP в бета версии брандмауэра TMG, но я надеюсь включить некоторую информацию, которую мы нашли с того времени, и которую Том не включил в свою статью о SSTP. Итак, если вы специалист по ISA VPN, вы можете смело пропустить эту первую часть. Однако нет ничего плохого в том, чтобы освежить свои знания, особенно если прошло некоторое время с того момента, когда вы в последний раз устанавливали и настраивали ISA VPN.

Итак, приступим. Открываем консоль брандмауэра TMG и переходим в узел Политика удаленного доступа (Remote Access Policy (VPN)) в левой панели консоли. В правой панели консоли в списке Задачи VPN клиентов (VPN Clients Tasks) нажимаем на ссылку Включить доступ для VPN клиентов (Enable VPN Client Access), как показано на рисунке ниже.

Рисунок 1
Рисунок 1

Ой! Если вы опытный ISA VPN администратор, который все еще с нами, вы узнаете этот диалог. Он гласит: Статический пул адресов является способом назначения адресов для VPN доступа, но здесь недостаточно IP адресов, доступных для VPN соединения. Чтобы включить VPN доступ, вам необходимо сначала настроить способ назначения адресов. (Static address pool is the selected address assignment method for VPN access, but there are not enough IP addresses available for the VPN connection. To enable VPN access, you must first configure the address assignment method). Странно, не помню, чтобы я выбирала статический пул адресов. На самом деле, я этого не делала. Однако умолчанием является выбор статического пула адресов, и по этой причине появляется данный диалог. Нажимаем OK в этом диалоге и давайте исправим проблему.

Рисунок 2
Рисунок 2

В правой панели консоли нажимаем на ссылку Определить назначение адресов (Define Address Assignments), как показано на рисунке ниже.

Рисунок 3
Рисунок 3

В диалоге свойств Remote Access Policy (VPN) Properties переходим в закладку Назначение адресов (Address Assignment). Выбираем опцию Dynamic Host Configuration Protocol (DHCP). Это настроит брандмауэр TMG на получение IP адресов для VPN клиентов (и своего RAS адаптера) с DHCP сервера. Обратите внимание, что только IP адреса получаются с VPN сервера. Вы не получите DHCP опции. Чтобы передать DHCP опции VPN клиентам, вам необходимо настроить TMG VPN сервер в качестве ретранслятора DHCP. Об этом мы поговорим в следующий раз.

Обратили внимание на раскрывающийся список Использовать следующую сеть для получения DHCP, DNS и WINS служб (Use the following network to obtain DHCP, DNS and WINS services)? Этот список содержит имена сетевых карт, установленных на брандмауэре TMG. Брандмауэр TMG будет использовать параметры DNS и WINS на сетевой карте, которую вы укажете, для предоставления этих служб VPN клиентам. Однако если вы хотите настроить конфигурацию, вы можете нажать кнопку Дополнительно (Advanced).

Рисунок 4
Рисунок 4

Это вызовет диалог Разрешение имен (Name Resolution). Параметром по умолчанию является опция Получить адреса DNS сервера, используя конфигурацию DHCP (Obtain DNS server addresses using DHCP configuration). Однако вы можете выбрать опции Использовать следующие адреса DNS серверов (Use the following DNS server addresses) иИспользовать следующие адреса WINS серверов (Use the following WINS server addresses), чтобы применить адреса, которые не являются частью конфигурации ни на одной из сетевых карт брандмауэра TMG.

Рисунок 5
Рисунок 5

Нажмите OK, а затем нажмите Применить (Apply) сверху в средней панели, чтобы применить эти изменения к политике брандмауэра (Firewall Policy).

Теперь, когда проблема с адресами решена, нажимаем Включить доступ для VPN клиентов (Enable VPN Client Access) в правой панели консоли.

Рисунок 6
Рисунок 6

Нажмите Применить (Apply) в верхней части средней панели, чтобы сохранить изменения в политике брандмауэра.

Как говорилось ранее, брандмауэр TMG получает IP адреса с DHCP сервера. Вот, как все работает: брандмауэр TMG не получает эти адреса по одному за раз. Вместо этого он запрашивает IP адреса группами по десять. Конечно, чтобы это работало, у вас в сети должен быть DHCP сервер. У меня DHCP сервер установлен на контроллере домена в моей лабораторной сети. Когда вы проверяете консоль DHCP, вы видите, что брандмауэр TMG получил десять IP адресов с DHCP сервера, как показано на рисунке ниже.

Рисунок 7

 

Рисунок 7

Нажмите на ссылку Настроить доступ для VPN клиента (Configure VPN Client Access) в правой панели консоли.

Рисунок 8
Рисунок 8

В диалоге свойств VPN Clients Properties в закладке Общие (General) видно, что опция включения доступа Enable VPN client access отмечена, и что максимальное количество разрешенных VPN клиентов (Maximum number of VPN clients allowed) установлено на 100. В версии Standard Edition вы ограничены 1000 подключений, а в версии Enterprise Edition вы вообще неограниченны (вы ограничены лишь производительностью своего программного и аппаратного обеспечения).

Рисунок 9

 

Рисунок 9

Перейдите в закладку Группы (Groups). Здесь вы можете настроить через Active Directory то, какие группы пользователей смогут подключаться к VPN серверу. Выбор групп осуществляется кнопкой Добавить (Add). Для пользовательских учетных записей, принадлежащих к этой группе домена, должен быть настроен доступ VPN в опциях ‘dial-in’ учетных записей для управления доступом через политику. В доменах Windows Server 2008 это делается по умолчанию, поэтому мне не пришлось выполнять никаких настроек в Active Directory. Если вы используете Windows Server 2003, вам нужно проверить эти параметры (думаю, если вы используете Windows Server 2003 Native, то там все должно работать).

Рисунок 10

 

Рисунок 10

Когда вы нажимаете кнопку Добавить, у вас открывается диалог выбора групп Sel ect Groups. В разделе Из этого места (Fr om this location) убедитесь, что у вас выбран домен. По умолчанию значится локальный компьютер, а это нам не подходит. В этом примере я выбрала msfirewall.org домен и позволю всем пользователям этого домена подключаться к серверу VPN, поэтому я ввела Пользователи домена (Domain Users) в текстовое поле Введите имена объектов для выбора (Enter the object names to select). Нажимаем OK, чтобы сохранить изменения.

Рисунок 11

 

Рисунок 11

Теперь группа должна появиться в закладке Groups, как показано на рисунке ниже.

Рисунок 12

 

Рисунок 12

Перейдите в закладку протоколов Protocols. Здесь можно указать, какие VPN протоколы можно использовать для подключения к TMG VPN серверу. Здесь есть следующие опции:

  • Включить PPTP
  • Включить L2TP/IPsec
  • Включить SSTP

Опция Enable PPTP включена по умолчанию и будет работать без дополнительных настроек на VPN клиентах и с минимальными дополнительными настройками на TMG VPN сервере. Однако если вы выберите L2TP/IPsec или SSTP, вам придется иметь дело с рядом вопросов, связанных с сертификатами (вы можете использовать предварительный ключ с L2TP/IPsec, но это не очень безопасно). Мы рассмотрим требования и процедуры для этих двух VPN протоколов позже.

Рисунок 13

 

Рисунок 13

В закладке Сопоставление пользователей (User Mapping) у вас есть возможность сопоставлять VPN клиентов из non-Windows пространств имен (таких, как пользователи, аутентифицирующиеся по RADIUS или EAP) с пространствами имен Windows. Это означает, что если вы не используете встроенную проверку подлинности для VPN клиентов, а используете RADIUS или EAP, вы не сможете воспользоваться группами Windows Active Directory автоматически. Таким образом, если сопоставление пользователей не включено, вам придется создавать набор пользователей на брандмауэре TMG и использовать этот набор пользователей при настройке правил брандмауэра, управляющих доступом для VPN клиентов. Конечно, чтобы это работало, брандмауэр TMG должен быть участником домена. В нашем примере мы не будем использовать сопоставление пользователей, поскольку мы не собираемся использовать RADIUS или EAP аутентификацию.

Рисунок 14

 

Рисунок 14

В закладке карантина Quarantine вы можете настроить брандмауэр на помещение пользователей в карантин, прежде чем разрешать им доступ к сети, если их компьютеры не отвечают требованиям безопасности. Это можно сделать двумя способами: первым является использование карантинного контроля удаленного доступа, а вторым является использование NAP. По сути, NAP считается более удачным решением, но должна признать, если у вас есть навыки программирования или вы используете инструмент от Winfrasoft, вы получаете гораздо больше возможностей управления с карантинным контролем удаленного доступа, чем с NAP, поскольку интегрированный NAP HSV не так надежен.

Здесь вам представляется два основных варианта на выбор после включения карантинного контроля (Enable Quarantine Control)Помещать в карантин в соответствие с политиками сервера RADIUS (Quarantine according to RADIUS server policies) и Помещать VPN клиентов в карантин в соответствие с политиками TMG (Quarantine VPN clients according to TMG policies). Первая опция – это NAP опция, а вторая – это опция карантинного контроля удаленного доступа. Обратите внимание, что здесь вы можете указать, сколько времени ждать, прежде чем отключать VPN клиентов, помещенных в карантин, а также настроить список пользователей, которые не будут подвергаться карантинному контролю. Мы не будем вдаваться в подробности карантинного контроля в этой статье, но в любом случае стоит ознакомиться с информацией об этих настройках.

Рисунок 15

 

Рисунок 15

Теперь давайте перейдем в раздел Общие настройки VPN (General VPN Configuration) в правой панели консоли. Нажимаем Выбрать сети доступа (Select Access Networks), как показано на рисунке ниже.

Рисунок 16
Рисунок 16

В закладке Сети доступа (Access Networks) выбираем сети, на которых VPN сервер будет слушать подключения. По умолчанию выбрана стандартная Внешняя Сеть (External Network). Вы можете выбрать любую другую сеть, или сочетание сетей по своему усмотрению. Обратите внимание, что вы не можете назначать определенные IP адреса; все IP адреса привязаны к сетевой карте для сети, которая по вашему выбору будет слушать входящие подключения. Есть способ указать, какой IP адрес используется, но лично я не вижу в этом смысла. Если вы разрешаете входящие подключения для VPN пользователей, не важно, какой IP адрес используется. В ограничении VPN доступа до одного IP адреса на указанном интерфейсе нет никаких преимуществ для безопасности.

Рисунок 17

 

Рисунок 17

Перейдите в закладку Назначение адресов (Address Assignment). Эта закладка должна выглядеть знакомой, поскольку мы уже в ней были. Если вы решите использовать статический пул адресов, вы можете внести изменения здесь. Примером того, когда вам нужно использовать статический пул адресов, является ситуация, когда вы настраиваете массив TMG VPN серверов. В этом случае каждый член массива должен иметь собственный набор IP адресов. Мы рассмотрим настройку массива TMG VPN серверов в следующих статьях. В этом примере у нас есть только один сервер.

Рисунок 18

 

Рисунок 18

В закладке Проверка подлинности (Authentication) вы настраиваете то, какой тип проверки подлинности будет использоваться пользователями. По умолчанию используется MS-CHAPv2. Вы также можете использовать EAP, CHAP и PAP, но, по большому счету, вы будете использовать либо MS-CHAPv2, либо EAP. Обратите внимание, что внизу есть опция для аутентификации компьютера. Когда вы отмечаете опцию Allow customer IPsec policy for L2TP, вы можете ввести предварительный ключ (pre-shared key). Это подход для «бедняков» к IPsec безопасности для L2TP/IPsec подключений, поскольку он позволяет вам создавать подключения без установки сертификатов. Мы рассмотрим установку сертификатов в следующей статье этого цикла, чтобы вы могли использовать рекомендуемый (и более надежны) подход к L2TP/IPsec.

Рисунок 19

 

Рисунок 19

В закладке RADIUS вы можете настроить RADIUS серверы, которые хотите использовать для VPN аутентификации или регистрации. Обратите внимание, что можно использовать RADIUS либо для аутентификации, либо для регистрации, либо для того и другого. В этом цикле мы не будем рассматривать RADIUS.

Рисунок 20

 

Рисунок 20

Заключение

Как и ISA, брандмауэр TMG может выступать в роли сервера удаленного доступа VPN. Если вы опытный администратор сервера ISA VPN, вы, возможно, не найдете ничего нового для себя в конфигурации TMG VPN сервера ‘ за исключением SSTP интеграции. В следующей части цикла мы рассмотрим, что нужно сделать для того, чтобы заставить L2TP/IPsec подключения работать, используя сертификаты компьютера и предварительные ключи. Мы также поговорим о тех моментах брандмауэра, которые следует принимать во внимание, если вы хотите стандартизировать конфигурацию удаленного L2TP/IPsec доступа для клиентов VPN. Увидимся! ‘Дэб.

 

Как настраивать брандмауэр на прием PPTP и L2TP/IPsec подключений.

Введение

В предыдущей части этого цикла статей, Обзор конфигурации VPN, я предоставила обзор интерфейса настройки удаленного VPN доступа брандмауэра TMG. Мы обсудили имеющиеся элементы управления и их место расположения. Теперь мы узнаем, как настраивать брандмауэр на прием PPTP и L2TP/IPsec подключений.

Если вы хотите прочитать предыдущую часть этого цикла статей, перейдите по ссылке Рассмотрение сервера TMG 2010 Virtual Private Network Server — часть 1: Обзор конфигурации VPN .

Сервер PPTP Remote Access VPN

PPTP был первым протоколом удаленного VPN доступа в сервере удаленного доступа VPN от компании Microsoft. PPTP получил не совсем хорошую репутацию в самом начале, когда была обнаружена проблема безопасности, которая сделала протокол уязвимым для атак, связанных с паролями. Проблема была решена с выходом PPTPv2, но PPTP все еще считается большинством экспертов безопасности не самым оптимальным VPN протоколом. Все это из-за того факта, что аутентификация осуществляется за пределами защищенного зашифрованного туннельного контекста.

Итак, если вы используете сложный пароль или аутентификацию на базе пользовательских сертификатов EAP/TLS для своих PPTP подключений, проблемы безопасности менее серьезные, чем считают многие. На самом деле, если вы не работаете в индустрии с самыми высокими требованиями к безопасности, или в индустрии, где правительство враждебно настроенных государств или хорошо финансируемые конкуренты с суперкомпьютерами «так и норовят взломать вашу систему», PPTP является вполне оптимальным вариантом в качестве протокола удаленного VPN доступа.

Протокол PPTP довольно популярен среди администраторов брандмауэров ISA и TMG по той лишь простой причине, что «он работает». Однако должна сказать, что аргумента «он просто работает» недостаточно. Я могу сказать, что протокол PPTP «работает в штатной конфигурации». Не могу сказать, что «он просто работает», поскольку иногда PPTP не работает, например, когда PPTP клиент или PPTP сервер расположен за NAT устройством, которое не имеет PPTP NAT редактора или имеет облегченную версию NAT редактора.

А об этом следует упомянуть, поскольку протокол PPTP, как и большинство других VPN протоколов, нельзя назвать «дружелюбным для брандмауэра». Здесь всплывает целая тема того, почему следует ждать новых методов удаленного доступа, таких как DirectAccess, вместо использования традиционного VPN. Однако, поскольку DirectAccess доступна лишь в Windows 7 клиентах и имеет ряд других требований, которые могут не позволить многим вашим клиентским компьютерам использовать решение DirectAccess, удаленный VPN доступ остается вполне пригодным и иногда необходимым решением.

Следует знать, что многие брандмауэры от сторонних производителей содержат облегченные редакторы PPTP NAT, поэтому только одно исходящее PPTP подключение можно создать из-за брандмауэра. Или в другом случае, редактор NAT настолько плохо работает, что ни один клиент не может создать подключение из-за брандмауэра с поврежденным PPTP NAT редактором. Всегда можно надеяться, что вы находитесь за RRAS NAT сервером или ISA или TMG брандмауэром, но иногда вам просто не так повезло. В этих случаях вы можете попробовать другой протокол удаленного доступа VPN или другие способы удаленного доступа, чтобы получить доступ к требуемой информации.

Если вы помните о тех моментах, которые мы рассматривали в первой части этого цикла, то вы вспомните, что мы настраивали VPN сервер на использование DHCP для получения IP адресов для клиентов удаленного доступа VPN. Мы также включили стандартные настройки протокола VPN, коим является PPTP. Брандмауэр TMG слушал на стандартной внешней сети подключения удаленного доступа от клиентов VPN и использовал стандартный метод проверки подлинности, MS-CHAPv2. Это все, что мы сделали в прошлой части ‘ и большинство используемых нами параметров было параметрами по умолчанию, поэтому нам не пришлось сильно возиться с конфигурацией.

Теперь давайте сделаем следующий шаг. Я использую клиента Windows 7, которого подключу к сети, внешней для брандмауэра TMG, а затем попытаюсь создать VPN соединение. Предположу, что вы уже знаете, как создавать объект подключения VPN (connectoid) на клиенте Windows 7, поэтому здесь мы не будем рассматривать этот процесс.

ПРИМЕЧАНИЕ: если вы не знаете как это сделать, просто откройте Центр сетевых подключений и общего доступа (Network and Sharing Center) и нажмите на ссылку Настроить новую сеть или подключение (Set up a new connection or network), после чего следуйте указаниям мастера.

Прежде чем подключиться, я бы хотела показать вам кое-что в настройке клиента VPN, что поможет вам при диагностике различных протоколов VPN. На рисунке 1 ниже показан диалог Свойства (Properties) для клиентского объекта подключения VPN. Когда вы переходите в закладку Безопасность (Security), у вас появляется раскрывающийся списокТипы VPN (Type of VPN). Когда вы открываете этот список, вы видите список VPN протоколов, поддерживаемых для удаленного доступа VPN клиентами. В этом примере мы хотим заставить VPN клиента использовать PPTP. Выбираем эту опцию и создаем подключение.

Рисунок 1
Рисунок 1

После создания подключения нужно нажать правой клавишей мыши на объекте VPN подключения в окне Сетевые подключения (Network Connections) и выбрать Состояние (Status). В диалоге Состояние (Status) перейдите в закладкуПодробно (Details), после чего вы сможете увидеть подробности PPTP подключения. Здесь видно, что используется протокол WAN Минипорт (PPTP), а также способ проверки подлинности и информацию IP адресов, как показано на рисунке 2.

Рисунок 2
Рисунок 2

В консоли брандмауэра TMG, в панели приборов (Dashboard), вы увидите это подключение в разделе Сеансы (Sessions), как показано на рисунке 3.

Рисунок 3
Рисунок 3

Когда вы переходите в узел мониторинга (Monitoring) в левой панели консоли брандмауэра TMG и нажимаете на закладкуСеансы (Sessions), вы видите подключение VPN клиента. Если ваш сервер удаленного доступа VPN находится под постоянной интенсивной нагрузкой, вы можете воспользоваться функцией фильтрации, которая находится в закладкеСеансы, и настроить фильтры так, чтобы отображались только подключения клиентов удаленного доступа VPN. Обратите внимание, что этот узел также предоставляет информацию относительно VPN протокола, используемого для подключения к серверу удаленного доступа VPN брандмауэра TMG, а также имя подключенного пользователя (рисунок 4).

Рисунок 4
Рисунок 4

Довольно просто, не так ли? Теперь вы знаете, почему администраторам нравится настраивать ISA и TMG в качестве серверов удаленного доступа VPN через протокол PPTP. Конечно, вы можете включить EAP/TLS аутентификацию, использовать RADIUS сервер, и выполнить еще ряд настроек, чтобы расширить безопасность своего сервера PPTP VPN и конфигурацию управления доступом, но если вам нужно быстрое и простое решение, PPTP будет оптимальным вариантом (по крайней мере, в настройках на стороне сервера).

Однако, подождите ‘ все что мы сделали, это настроили брандмауэр TMG в качестве VPN сервера удаленного доступа и проверили, что PPTP подключение можно создать. Но мы не попытались подключиться к каким-либо ресурсам во внутренней сети, чтобы убедиться, что подключение действительно работает.

Простым способом это проверить – это попробовать выполнить ping для контроллера домена во внутренней сети. IP адрес нашего контроллера домена 10.0.0.2. На рисунке 5 показаны результаты выполнения ping.

Рисунок 5
Рисунок 5

Ой! Что там не так? Проблема в том, что брандмауэру TMG требуется нечто большее, чем просто VPN подключение. Помните, брандмауэр TMG – это кирпич, если рассматривать его в базовой конфигурации. По умолчанию, весь трафик блокируется брандмауэром. Необходимо создать правила, которые позволять пропускать трафик через него.

Хорошо. Давайте создадим правило.

В левой панели консоли брандмауэра TMG переходим в узел Политика брандмауэра (Firewall Policy). В правой панели консоли переходим в закладку задач Tasks. В закладке задач нажимаем на ссылку Создать правило доступа (Create Access Rule), как показано на рисунке 6.

Рисунок 6
Рисунок 6

На приветственной странице мастера Welcome to the New Access Rule Wizard, показанной на рисунке 7, вводим название правила в текстовое поле Название правила доступа (Access Rule name). В этом примере мы назовем правило VPN Clients to Internal и нажмем Далее (Next).

Рисунок 7
Рисунок 7

На странице Действие правила (Rule Action), рисунок 8, выбираем опцию Разрешить (Allow), поскольку мы хотим использовать это правило для разрешения трафика из сети VPN клиентов в основную внутреннюю сеть. Нажимаем Далее.

Рисунок 8
Рисунок 8

На странице Протоколы (Protocols), рисунок 9, можно указывать, какие протоколы будут разрешены из исходной в целевую сеть (или компьютер или другой сетевой объект). В этом примере мы разрешим весь трафик из сети VPN клиентов в основную внутреннюю сеть, поэтому выбираем опцию Весь входящий трафик (All outbound traffic) из раскрывающегося списка Это правило применимо к (This rule applies to). Нажимаем Далее.

Рисунок 9
Рисунок 9

На странице Осмотр на вредоносное ПО (Malware Inspection), рисунок 10, мы выберем опцию Не включать проверку на вредоносное ПО для этого правила (Do not enable malware inspection for this rule). Причина, по которой мы выбираем эту опцию, заключается исключительно в удобстве для этого примера. В производственной среде необходимо разрешать защиту VPN клиентов от вредоносного кода, поскольку раздельные туннели отключены по умолчанию. А поскольку раздельные туннели отключены, VPN клиенты должны будут получать доступ к интернету через ресурс, который вы сделаете доступным в вашей корпоративной сети. Этот ресурс может быть другим брандмауэром TMG или веб прокси-сервером, или это может быть брандмауэр TMG, к которому VPN клиент подключается, чтобы создать сеанс удаленного VPN доступа.

В этом примере мы не будем создавать правило разрешения интернет доступа при подключении к VPN ‘ ваши собственные политики определяют, нужно ли разрешать доступ к интернету, когда VPN клиент подключен, и нужно ли разрешать разделенные туннели, когда VPN клиент подключен к серверу удаленного VPN доступа брандмауэра TMG.

Рисунок 10
Рисунок 10

На странице Источник правила доступа (Access Rule Source) нажимаем кнопку Добавить (Add) и переходим в узел Сети (Networks). Затем дважды нажимаем на сети VPN Clients Network и нажимаем Закрыть (Close) в диалоге добавления сетевых объектов (Add Network Entities), как показано на рисунке 11. Нажимаем Далее.

Рисунок 11
Рисунок 11

На странице Цель правила доступа (Access Rule Destination) нажимаем кнопку Добавить. В диалоге добавления сетевых объектов Add Network Entities, рисунок 12, переходим в узел Сети и дважды нажимаем на внутренней сети Internal. Нажимаем Закрыть в диалоге Add Network Entities. Жмем Далее.

Рисунок 12
Рисунок 12

На странице Наборы пользователей (User Sets), рисунок 13, используем стандартную запись, то есть Все пользователи (All Users). Обратите внимание, что в среде предприятия вам, возможно, потребуется ограничить то, каким пользователям будет разрешено подключаться через это правило, или создать другие правила, которые будут применяться к клиентам удаленного доступа VPN. Следует помнить, что когда компьютер подключается через соединение удаленного доступа VPN, брандмауэр TMG содержит контекст пользовательского сеанса. Это весьма полезно, поскольку VPN клиенты схожи с клиентами брандмауэра (TMG Clients) в том, что пользовательский контекст доступен для подключений, создаваемых через брандмауэр TMG, а это позволяет вам создавать правила на основе пользователей и групп, чтобы разрешать VPN клиентам подключение к ресурсам, расположенным за брандмауэром TMG.

Жмем Далее.

Рисунок 13
Рисунок 13

На заключительной странице мастера Completing the New Access Rule Wizard, рисунок 14, нажимаем Готово (Finish).

Рисунок 14
Рисунок 14

Теперь в средней панели консоли брандмауэра TMG вы увидите новое правило. Нажмите кнопку Применить (Apply), рисунок 15, чтобы сохранить изменения в политике брандмауэра.

Рисунок 15
Рисунок 15

Теперь давайте проверим эту конфигурацию с помощью ping-запроса на контроллер домена в корпоративной сети. Ура! Все получилось, поскольку на этот раз правило разрешает подключение, как показано на рисунке 16.

Рисунок 16
Рисунок 16

Что еще можно сделать? Поскольку мы разрешили все протоколы, мы можем подключиться к общему ресурсу SMB или, по крайней мере, увидеть их список на контроллере домена. Да, работает, рисунок 17.

Рисунок 17
Рисунок 17

Хорошо. Движемся далее. Теперь давайте просмотрим файлы журнала брандмауэра TMG, рисунок 18, и узнаем, что происходило. В разделе подробностей о попытке запроса ping мы видим, что правило VPN Clients to Internal разрешило выполнение этой команды на целевой адрес 10.0.0.2. Интересно то, что здесь включен контекст пользователя, чего не всегда ждешь от клиентов, не являющихся клиентами брандмауэра. Но как я говорила ранее, когда пользователь подключается в качестве VPN клиента удаленного доступа, его информация становится доступна для брандмауэра, и ее можно использовать в правилах брандмауэра. Обратите внимание, что хотя мы получаем информацию о пользователе, как и в случае с клиентами Firewall (TMG), у нас нет поддержки комплексных протоколов, как в случае с клиентами брандмауэра (TMG).

Рисунок 18
Рисунок 18

Заключение

В этой статье мы рассмотрели простое PPTP подключение удаленного VPN доступа. Мы настроили PPTP VPN сервер, а затем создали правило доступа, которое разрешает подключение между VPN клиентами и ресурсами в основной внутренней сети. Однако PPTP – это только начало. Я решила, что следует начать с более простых вещей и двигаться к более сложным настройкам, поэтому в следующей части цикла мы узнаем, как разворачивать L2TP/IPsec VPN сервер.

Это будет более сложной задачей, поскольку нам придется устанавливать сертификаты на VPN клиенте (ЦС сертификат) и брандмауэре TMG (сертификат сервера). Это может создать определенную путаницу, поскольку использование сайта веб регистрации изменилось в Windows Server 2008 R2, а это означает, что мы не сможем воспользоваться этим инструментом, чтобы с легкостью получить сертификат веб сайта. К тому же, есть трудность с RPC фильтром (если вы знали об этой трудности по предыдущим версиям брандмауэра, то, да, она все еще существует). Это создает проблемы при использовании MMC сертификатов. Но мы рассмотрим эти проблемы и найдем потенциальные решения в следующей статье. До встречи! ‘ Дэб.

 

Как настраивать брандмауэр TMG в качестве L2TP/IPsec VPN сервера.

Введение

В своей последней статье о настройке брандмауэра TMG в качестве сервера удаленного доступа VPN мы обсуждали то, как настраивать TMG в качестве сервера удаленного доступа PPTP VPN. Как мы увидели в той части, настройка брандмауэра TMG в качестве сервера удаленного доступа PPTP VPN довольно проста. На самом деле, настройка такого рабочего решения в большей части подобна подходу «включи и работай». Поэтому PPTP VPN серверы столь популярны ‘ они просто работают.

В этой части мы рассмотрим, как настраивать брандмауэр TMG в качестве L2TP/IPsec VPN сервера. Я бы хотела сказать, что настройка этого решения столь же проста, как и настройка предыдущего (включил и работай), но, к сожалению, это не так. Если вы хотите корректно настроить сервер удаленного доступа L2TP/IPsec VPN, вам придется иметь дело с сертификатами. Конечно, можно избежать всей проблемы с сертификатами, используя общий ключ (pre-shared key), однако общие ключи не слишком надежны и уж точно не так масштабны. Я покажу вам, как использовать общий ключ в конце статьи, но сначала давайте рассмотрим, как все делать правильно.

 

Чтобы заставить все работать максимально безопасным образом для L2TP/IPsec, необходимо убедиться, что следующие пункты верны:

  • Брандмауэр TMG должен иметь сертификат сервера с общим именем, которое VPN клиент будет использовать для подключения к VPN серверу. Это означает, что VPN клиент в интернете должен иметь возможность разрешать это общее имя в IP адрес внешнего интерфейса брандмауэра TMG.
  • Брандмауэр TMG имеет доверенный ЦС, издавший сертификат сервера, используемого сервером VPN. В этом примере брандмауэр TMG является членом домена, и ЦС предприятия установлен на контроллере домена, поэтому ЦС автоматически устанавливается на брандмауэр TMG, поскольку он является членом домена.
  • VPN клиент должен доверять ЦС, выпустившему сертификат сервера брандмауэра TMG, используемого в VPN конфигурации. Поскольку VPN клиент в этом примере является членом домена, на него также будет установлен сертификат ЦС в его хранилище доверенных корневых центров сертификации (Trusted Root Certification Authorities).

Настройка сервера

Давайте начнем с рассмотрения оснастки сертификатов Certificates MMC на брандмауэре TMG. Целью здесь является хранилище сертификатов машины, как показано на рисунке 1 ниже. Обратите внимание, что, кажется, на машине установлен сертификат. Однако этот сертификат машины был автоматически установлен благодаря функции автоматической регистрации (autoenrollment). Мы не можем использовать этот сертификат для L2TP/IPsec, поскольку общее имя этого сертификата не является именем, которое можно разрешить по интернету. К тому же, нам не нужно раскрывать имя брандмауэра TMG потенциальным взломщикам, и эта еще одна причина не использовать данный сертификат, даже если бы мы могли.

Рисунок 1
Рисунок 1

Поскольку мы уже здесь, давайте попробуем получить сертификат. Нажимаем правой клавишей в средней панели консоли, наводим курсор на пункт Все задачи (All Tasks) и выбираем опцию Запросить новый сертификат (Request New Certificate), как показано на рисунке 2 ниже.

 Рисунок 2
Рисунок 2

Нажмите Далее (Next) на странице Регистрация сертификата (Certificate Enrollment), как показано на рисунке 3.

Рисунок 3
Рисунок 3

На странице Выбор политики регистрации сертификата (Select Certificate Enrollment Policy), рисунок 4, нажмите Далее.

Рисунок 4
Рисунок 4

Хммм! (‘Хммм’ никогда не является добрым знаком, когда его слышишь из уст врача, сантехника или сетевого администратора). Что здесь не так? На рисунке 5 ниже показан сертификат Web Server, который представляет собой шаблон сертификата, нужного нам. Однако этот шаблон недоступнее нам. На данном этапе вы, возможно, начнете подозревать, что все вовсе не так просто, как могло показаться.

Рисунок 5
Рисунок 5

Что же теперь делать? Вы, возможно, помните, что мы использовали сайт веб регистрации во времена Windows Server 2003. Давайте попробуем. На рисунке 6 ниже видно, что я ввела URL адрес http://dc1/certsrv. Ой! Кажется, мы не установили веб сайт регистрации (Web enrollment site) на сервере сертификации.

 Рисунок 6
Рисунок 6

Итак, теперь нам нужно выяснить, что делать. Мы можем вернуться и установить сайт веб регистрации, но это не исправит проблемы по причине изменений в Windows Server 2008 и более поздних версий, которые не позволяют вам получить сертификат сервера с сайта веб регистрации, поэтому данный вариант отпадает. Мы могли бы создать новый шаблон сертификата и настроить разрешения на шаблоне так, чтобы можно было использовать оснастку Certificates MMC для получения сертификата. Но если мы это сделаем, мы обнаружим, что не сможем запросить сертификат с брандмауэра TMG, поскольку по умолчанию политика брандмауэра TMG блокирует DCOM взаимодействия, необходимые для запроса сертификата с помощью консоли MMC. Мы могли бы изменить системную политику (System Policy), чтобы включить такие взаимодействия, а затем запросить сертификат, после чего вернуть системную политику в прежнее состояние, но это слишком большой труд для меня. Мы могли бы создать автономный запрос с помощью инструмента Certutil, затем использовать его в ЦС и получить сертификат, но большинство из нас не помнит команду, и эта задача сложная для ввода.

Нам нужен простой способ получить сертификат, используя что-то, что у нас уже есть. К счастью, роль веб сервера уже установлена на контроллере домена, поскольку я собиралась использовать веб сайт для проверки подключения. Ха! Вот и решение: можно использовать IIS консоль для запроса сертификата для брандмауэра TMG, а затем скопировать его на брандмауэр, когда все будет готово. Все просто.

На рисунке 7 показана консоль Internet Information Services. Нажмите на имени компьютера в левой панели консоли. В средней панели консоли вы увидите значок сертификатов сервера (Server Certificates). Дважды нажмите на этом значке.

Рисунок 7
Рисунок 7

В правой панели консоли нажмите ссылку создания сертификата домена (Create Domain Certificate), рисунок 8.

 Рисунок 8
Рисунок 8

В результате откроется мастер создания сертификата Create Certificate. В диалоге Свойства отличительного имени (Distinguished Name Properties) самой важной записью будет запись Общего имени (Common name). Имя, которые вы вводите в это текстовое поле, должно совпадать с именем, которое будет использоваться для подключения к VPN серверу, и это имя должно разрешаться в IP адрес на внешнем интерфейсе брандмауэра TMG (или, если брандмауэр TMG расположен за NAT устройством, оно должно разрешаться в публичный адрес NAT устройства, которое принимает подключения и пересылает их на внешний интерфейс брандмауэра TMG). Остальные записи на этой странице не так важны, но вам следует заполнить их в любом случае, как показано на рисунке 9. Нажмите Далее.

 Рисунок 9
Рисунок 9

На странице Online Certificate Authority, рисунок 10, нажмите Выбрать (Select).

 Рисунок 10
Рисунок 10

У вас откроется диалог выбора ЦС (Select Certification Authority). На рисунке 11 ниже показано, что у нас есть один доступный ЦС под названием msfirewall-DC-CA. Выбираем этот ЦС и жмем OK.

 Рисунок 11
Рисунок 11

Имя ЦС появится в текстовом поле Specify Online Certificate Authority. Введите дружественное имя сертификата в текстовом поле Friendly Name. В этом примере я назначила сертификату дружественное имя L2TP Certificate, как показано на рисунке 12. Нажмите Готово (Finish).

 Рисунок 12
Рисунок 12

Когда все готово, вы увидите новый сертификат в списке сертификатов сервера (Server Certificates). На рисунке 13 ниже показан сертификат L2TP Certificate в списке.

 Рисунок 13
Рисунок 13

Чтобы получить сертификат на TMG, нам нужно его экспортировать. Нажимаем правой клавишей на сертификате L2TP Certificate и выбираем опцию Экспорт (Export), как показано на рисунке 14.

 Рисунок 14
Рисунок 14

На странице Export Certificate нажмите кнопку »’, показанную на рисунке 15.

 Рисунок 15
Рисунок 15

В текстовом поле указания имени сохраняемого файла (Specify save as file name), рисунок 16, выбираем место в левой панели, а затем вводим имя экспортируемого файла сертификата в текстовое поле Имя файла (File name) и нажимаемОткрыть (Open).

 Рисунок 16
Рисунок 16

В диалоге Export Certificate, рисунок 17, вводим пароль, подтверждаем его и нажимаем OK.

 Рисунок 17
Рисунок 17

Копируем сертификат на брандмауэр TMG. После копирования сертификата на брандмауэр TMG открываем оснастку консоли Certificates MMC и переходим к узлу Сертификаты (Локальный компьютер)\Личные\Сертификаты (Certificates (Local Computer)\Personal\Certificates) в левой панели консоли. В средней панели консоли нажимаем правой клавишей в пустой области, наводим курсор на строку Все задачи (All Tasks) и выбираем опцию Импорт (Import), как показано на рисунке 18.

 Рисунок 18
Рисунок 18

У вас откроется мастер импортирования сертификатов (Certificate Import Wizard). Нажмите Далее на приветственной странице Welcome to the Certificate Import Wizard, рисунок 19.

 Рисунок 19
Рисунок 19

На странице выбора файла для импорта (File to Import), рисунок 20, нажмите кнопку Обзор (Browse) и найдите сертификат. После этого путь и имя сертификата появится в тестовом поле Имя файла (File name). Нажмите Далее.

 Рисунок 20
Рисунок 20

На странице указания пароля (Password), показанной на рисунке 21, введите пароль, который вы задавали при экспорте сертификата. В своем примере я выбрала опцию Отметить этот ключ как экспортируемый. Это позволит вам делать резервную копию или транспортировать ключ позже (Mark this key as exportable. This will allow you to back up or transport your key at a later time). Я делаю это для удобства; это не является обязательным требованием для работы решения. Нажмите Далее.

Рисунок 21
Рисунок 21

На странице Хранилище сертификатов (Certificate Store), рисунок 22, выберите опцию Поместить все сертификаты в следующее хранилище (Place all certificates in the following store). Нажмите Далее.

 Рисунок 22
Рисунок 22

На странице Completing the Certificate Import Wizard, рисунок 23, нажмите Готово (Finish).

 Рисунок 23
Рисунок 23

Теперь нажмите OK в диалоге, информирующем о том, что импорт успешно завершен, как показано на рисунке 24.

 Рисунок 24
Рисунок 24

По окончании вы увидите сертификат в средней панели консоли, как показано на рисунке 25.

 Рисунок 25
Рисунок 25

Теперь откройте консоль брандмауэра TMG и нажмите на узле Remote Access Policy (VPN) в левой панели консоли. В правой панели консоли нажмите Настроить доступ VPN клиента (Configure VPN Client Access), как показано на рисунке 26.

Рисунок 26
Рисунок 26

На странице Свойства VPN клиента (VPN Clients Properties), рисунок 27, установите флажок для Enable L2TP/IPsec и нажмите OK.

 Рисунок 27
Рисунок 27

Нажмите Применить (Apply), чтобы сохранить изменения в политике брандмауэра, как показано на рисунке 28. Не забудьте, что вам всегда нужно применять изменения, чтобы они вошли в действие.

 Рисунок 28
Рисунок 28

Настройка клиента

Итак, сервер готов к работе, и мы наполовину выполнили конфигурацию. Теперь обратим свое внимание на клиента. Во-первых, нам необходимо убедиться, что сертификат ЦС центра сертификации, который был издан сертификатом VPN сервера, включен на странице Доверенных корневых центров сертификации (Trusted Root Certification Authorities). На рисунке 29 ниже видно, что msfirewall-DC-CA имеется в списке, поэтому здесь все в порядке.

Рисунок 29
Рисунок 29

В этом примере мы используем тот же объект подключения VPN (VPN connectoid), который использовали в предыдущей части. Однако нам нужно внести изменение, чтобы он использовал L2TP/IPsec вместо PPTP. Открываем окно Сетевые подключения (Network Connections) на клиенте Windows 7 и выбираем Свойства (Properties), как показано на рисунке 30.

 Рисунок 30
Рисунок 30

В диалоге VPN Connection Properties переходим в закладку Безопасность (Security). В закладке безопасности в раскрывающемся списке типов VPN (Type of VPN) выбираем опцию Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec) и нажимаем OK, как показано на рисунке 31. Это заставит клиента использовать L2TP/IPsec и никакие другие VPN протоколы. Нажимаем OK, чтобы сохранить изменения.

Рисунок 31
Рисунок 31

Отлично! Теперь создаем VPN подключение. После создания подключения можно проверить его подробности, нажав правой клавишей на объекте подключения VPN и выбрав опцию Состояние (Status), как показано на рисунке 32.

 Рисунок 32
Рисунок 32

В диалоге VPN Connection Status выбираем закладку Подробно (Details). На рисунке 33 видно, что используется протокол L2TP/IPsec, а также шифрование 128-bit AES.

 Рисунок 33
Рисунок 33

Когда мы возвращаемся в консоль брандмауэра TMG, в разделе Сеансы (Sessions) панели мониторинга Dashboard, рисунок 34, мы видим 1 VPN Remote Client подключение.

 Рисунок 34
Рисунок 34

Выберите узел мониторинга (Monitoring) в левой панели консоли. Здесь, на рисунке 35, показано подключение VPN клиента. Обратите внимание, что тип VPN подключения включен в список, равно как и имя подключенного пользователя. Сюда также входит информация об использовании NAP для этого подключения. В следующей части я покажу, как настраивать NAP и брандмауэр TMG так, чтобы VPN клиентам приходилось проходить проверку политики NAP, прежде чем они смогут войти в сеть.

Рисунок 35
Рисунок 35

L2TP/IPSec без сертификатов

В начале я говорила, что лучшим способом развертывания L2TP/IPsecis является использование сертификатов. Однако если вы торопитесь, или просто не можете получить PKI установку, вы можете использовать общий ключ (pre-shared key). На рисунке 36 ниже показана закладка проверки подлинности (Authentication) диалога свойств политики удаленного доступа Remote Access Policy (VPN) Properties. В нижней части этого диалога есть флажок, который гласит Разрешить пользовательскую IPsec политику для L2TP подключений (Allow custom IPsec policy for L2TP connection), а также текстовое поле под названием Pre-shared key. Обратите внимание, что общий ключ отображен чистым текстом для напоминания о том, что это не самая безопасная опция, и что лучше использовать сертификаты!!

 Рисунок 36
Рисунок 36

Клиент также должен быть настроен на использование такого ключа. В диалоге свойств Properties объекта подключения VPN перейдите в закладку Безопасность, как показано на рисунке 37. Затем нажмите кнопку Дополнительные параметры (Advanced settings). Здесь вы можете выбрать опцию использования общего ключа для проверки подлинности(Use preshared key for authentication) и ввести тот же общий ключ в текстовое поле Key. На этом данная настройка завершена ‘ решение будет работать. Практически также просто, как и с PPTP.

Рисунок 37
Рисунок 37

Заключение

В этой статье мы рассмотрели, как настраивать брандмауэр TMG в качестве L2TP/IPsec VPN сервера. Мы рассмотрели различные варианты получения сертификата сервера для TMG, а затем установили сертификат в хранилище сертификатов компьютеров брандмауэра. Мы внесли необходимые изменения в настройку брандмауэра для поддержки L2TP/IPsec, а также изменили конфигурацию клиента VPN. После этого мы создали подключение и убедились, что используется L2TP/IPsec. Этот проект был успешным! В следующей части этого цикла я покажу вам, как использовать NAP для повышения безопасности вашего VPN сервера на базе брандмауэра TMG. Увидимся! ‘Дэб.

 

Источник: www.forefront-tmg.ru

 
network monitoring tool


Поиск

Информация о профиле

Application afterLoad: 0.003 seconds, 0.53 MB
Application afterInitialise: 0.158 seconds, 3.13 MB
Application afterRoute: 0.182 seconds, 3.68 MB
Application afterDispatch: 0.433 seconds, 8.71 MB
Application afterRender: 0.757 seconds, 9.86 MB