SSL VPN on samm edasi VPN-tehnoloogias. NAT-serveri konfigureerimine CRL-i avaldamiseks

VPN-tehnoloogia kujunes keerukaks asenduseks spetsiaalsetele patenteeritud võimalustele andmete edastamiseks kaugvõrkude vahel. Arendajate eesmärk oli vabaneda telekommunikatsioonifirmade kallitest teenustest ning pakkuda võimalust saata privaatseid andmeid läbi virtuaaltunnelite üle interneti. Krüpteerimisega pakutav tunneli turvalisus on peaaegu sama hea kui rendilingid, praktiliselt ilma pideva kuluta. See kokkuhoid kompenseerib VPN-i seadistamiseks vajaliku märkimisväärse jõupingutuse, mis nõuab kallist riistvara, tüütut konfigureerimist ja kohandatud IP VPN-protokollide läbirääkimist ettevõtte tulemüüriga.

Tänapäeval on VPN-idest saanud omavahel ühendatud ettevõtete võrkude de facto standard. Neid kasutatakse väga edukalt omavahelistes ühendustes. Kahjuks on traditsioonilise VPN-tehnoloogia keerukus aja jooksul kasvanud, kuna VPN-i tootearendajad püüavad teenindada muid rakendusi, sealhulgas sissehelistamis-, lairiba- ja traadita ühenduse kasutajaid. Kohandatavate valikute arv kasvab plahvatuslikult ja seetõttu on VPN-i seadistamine muutumas väljakutseks isegi kogenud võrguinseneridele. Üksikud kaugkasutajad peavad installima spetsiaalse klientprogrammi, mis mõnikord segab võrgu normaalset tööd ning mille seadistamine ja kasutamine on üsna keeruline. Asja teeb hullemaks see, et mõned Interneti-teenuse pakkujad blokeerivad VPN-protokolle, nagu Cisco Generic Routing Encapsulation (GRE) ja Layer 2 Tunneling Protocol (L2TP), võttes nende kasutamise eest lisatasusid.

Lõpuks leidsid VPN-i pakkujad lahenduse: SSL-põhised VPN-id. Lihtsamal tasemel vajab kasutaja SSL VPN-iga ühenduse loomiseks ainult brauserit. VPN töötab standardse SSL-pordi 443 kaudu, mis sobib suurepäraselt tulemüüride ja Interneti-teenuse pakkujatega töötamiseks ilma erikonfiguratsiooni ja lisatasudeta. Täiustatud SSL VPN-tooted pakuvad aga peaaegu täielikku IPSec VPN-i funktsionaalsust ja veelgi detailsemat poliitikahaldust. Kõikidel SSL VPN toodetel on üks ühine joon – paigaldamise ja hooldamise lihtsus, mille eest olete tugipersonalile eriti tänulik.

Et mõista, kuidas IPSec-i maitse asemel SSL-i VPN-e kasutada, peate teadma tootevalikut ja nende rakendatavaid erinevaid funktsioonikomplekte. Selle kategooria toodete loend on toodud tabelis "SSL VPN-i turu peamised osalejad" . Mõned SSL VPN-tooted töötavad üldse ilma klientideta, samas kui teised kasutavad väikeseid Java aplette või ActiveX-mooduleid, mis laaditakse automaatselt veebist alla. Mõned tooted kasutavad lihtsat kasutaja ID/parooli autentimist; teised kasutavad väga tugevaid digisertifikaate ja/või kahefaktorilist autentimist. Mõned tooted võimaldavad ühendatud kasutajatele täielikku juurdepääsu võrgule; teistes võib juurdepääsu piirata poliitikatega määratletud ressurssidega. Selline on pilt turul.

Tööpõhimõtted

Et mõista, kuidas SSL VPN töötab, vaatame IPseci põhitõdesid üksikute kaugkasutajate jaoks, kelle jaoks näib hostmasin olevat otse ühendatud ettevõtte tulemüüri taga asuva privaatvõrguga. IPsec saavutab selle efekti, luues virtuaalse võrguliidese otse lõppkasutaja arvutisse, tunneldades IPseci lüüsi (kas eraldiseisva seadme või ettevõtte tulemüüri sisse ehitatud). See virtuaalne liides käitub ja näeb välja nagu mis tahes muu LAN- või WAN-adapter; Tegelikult näevad enamik IPSec VPN-e välja nagu Etherneti kaardid, millel on oma IP-aadress ja marsruutimistabeli kirjed. Kui IPSec-tunnel on loodud, saavad kaugkasutajad oma privaatseid IP-aadresse kasutades vabalt juurde pääseda kõigile võrguressurssidele tunneli teises otsas.

Erinevalt traditsioonilistest VPN-idest ei loo SSL VPN-id tingimata virtuaalset võrguliidest. Kaugkasutaja algatab SSL VPN-ühenduse, suunates brauseri SSL VPN-lüüsile, mis võib olla spetsiaalne seade või server, mis töötab SSL VPN-programmi, näiteks Microsoft Forefront Unified Access Gateway (UAG) 2010. Ühendus krüpteeritakse kasutades SSL/TLS-protokolli ja selle tulemusena saab kasutada erinevaid SSL-i toetatud autentimismehhanisme. Kasutaja autentimist SSL VPN-is saab läbi viia olemasoleva kataloogi infrastruktuuri kaudu, olgu selleks siis Active Directory (AD) või avatud standardne kerge kataloogipääsu protokoll (LDAP). Selle tulemusena ei pea kasutajad täiendavat parooli meeles pidama ja välistatakse üks sisenemispunktidest, mille lisamist / eemaldamist tuleb jälgida.

Pärast seda, kui kasutaja alustab SSL VPN-brauseri seanssi, toimib SSL VPN-lüüs ettevõtte võrku siseneva HTTP ja HTTP Secure (HTTPS) liikluse vahendajana. SSL VPN-i veebijuurdepääsu võimalused üllatavad traditsiooniliste SSL-veebiserveritega harjunud administraatoreid. Selle asemel, et lihtsalt ühendada kasutajad ühe SSL-iga ühilduva veebiserveriga, suunab SSL VPN Gateway kasutajad mis tahes sisevõrgu veebirakendusse, isegi kui need rakendused ise pole mõeldud SSL-iga kasutamiseks. See piirab paljude kasutajate vajadusi kaugjuurdepääsu järele.

Kui SSL VPN-i võimalused sellega piirduksid, piisaks sellest. Kuid need on laiemad. Erinevalt tavalistest IPseci VPN-idest, mis ühendavad kaugkasutajad otse ettevõtte LAN-iga väheste piirangutega või ilma piiranguteta, võimaldab SSL VPN-lüüs kontrollida, milliste siseserveritega saab iga kasutaja ühenduse luua. Mõne lüüsiga saate isegi juhtida juurdepääsu URL-i tasemel, määratledes, millised rakenduste osad on kaugkasutajatele saadaval. Selline juhtimistäpsus pole IPseci VPN-i toodetes iga hinna eest saadaval.

Kui kasutajad vajavad võrgutasandil täielikku kaugjuurdepääsu, saab sellise virtuaalse võrguliidese, nagu traditsioonilise VPN-i loodud liidese ja ettevõtte kohalike IP-aadresside abil saavutada tootespetsiifilise "virtuaalse IPseci" konnektorirakenduse kaudu. Need rakendused suhtlevad kasutaja operatsioonisüsteemiga samamoodi nagu IPsec, luues virtuaalse võrguliidese. Kuid erinevalt IPsecist ei vaja need rakendused keerulist konfigureerimist, kuna need ei paku kasutajale valikuvõimalusi. SSL VPN-lüüsi administraator haldab kogu konfiguratsiooni, määrates lüüsile erinevad juurdepääsupoliitikad. Seega saate anda ühele kasutajale FTP-juurdepääsu finantsosakonna serverile, teisele kasutajale võimaluse saata SMTP-kirju ja kolmandale keelata need mõlemad toimingud.

SSL VPN-i täiustatud funktsioonid on tarnijati erinevad, kuid kuna kasutajad ei pea tarkvara installima, pole ühilduvusprobleeme. Kõik, mida pead tegema, on välja selgitada, kas müüja toetab kasutajate kasutatavaid operatsioonisüsteeme. Kõik tooted ei ühildu kõigi operatsioonisüsteemidega, kuid kõik toetavad Windowsi ja Internet Explorerit (IE), mille kasutajad moodustavad peamise nõudluse SSL VPN-i järele. Kuid lisaks ühilduvusele operatsioonisüsteemiga on vaja arvestada peamiste kategooriatega, millesse SSL VPN-tooted jagunevad: lihtne, hübriid, multifunktsionaalne ja multifunktsionaalne hübriid.

SSL VPN-i tüübid

Lihtne värav. Simple Gateway pakub minimaalset SSL VPN-i funktsioonide komplekti, mis on tegelikult üsna lai: HTTP- ja HTTPS-puhverserver, peeneteraline IP-taseme juurdepääsukontroll, parooli ja sertifikaadi autentimine, juurdepääsuarvestus ja auditi haldamine. Peaaegu iga brauseri kasutaja pääseb ligi lihtsale lüüsile, kuna sellega pole kaasatud ühtegi rakendust ega ActiveX-juhtelementi. Simple Gateway paigutatakse ettevõtte tulemüüri taha, kohtvõrku või DMZ-i ja liiklus suunatakse läbi pordi 443. Simple Gateway ei ole mõeldud tulemüürina toimima ja paljudel juhtudel ühendub ühe Etherneti pordiga, mis toimib SSL VPN-i seanssidena. mis pärineb WAN-ist ja kasutajaliiklus on suunatud kohalikku võrku.

Lihtsa lüüsi oluline eelis IPSec-i põhiühenduse ees on see, et sisevõrk ei ole avatud mitmesugustele lõppkasutaja protokollidele. See kaitseb viiruste ja häkkerite rünnakute eest. Siiski on lihtsate lüüsidega seotud üks turvaprobleem, nagu näidatakse järgmises jaotises.

Hübriidvärav. Hübriidlüüs toetab nii SSL-i kui ka IPsec VPN-i, pakkudes kogu kaugjuurdepääsu jaoks ühte juhtimispunkti. Sellel pole lisafunktsioone, kuid SSL VPN-i võimalusi saab sageli hankida IPseci lüüsi uuendamisega. IPseci lüüsi omanikud peaksid esmalt kaaluma sellelt müüjalt SSL VPN-i ostmist, kuna enamasti on lihtsam suhelda ühe tarnijaga kui kahega.

Multifunktsionaalne värav. Funktsioonirohke lüüs toetab enamat kui lihtsalt VPN-teenust. Seda saab kasutada piiripealse tulemüürina, kasutada ettevõtte veebiportaali majutamiseks, volitamata juurdepääsukatsete tuvastamiseks ja tõkestamiseks, viirusliikluse filtreerimiseks ja muude funktsioonide täitmiseks. Funktsioonirikka lüüsi jaoks pole selgeid kriteeriume ega nende olemasoluks muud mõjuvat põhjust peale ostmise ja haldamise lihtsuse. Võib-olla on targem eraldada SSL VPN muudest võrguturbeprotsessidest; säilitades samas tootevabaduse tulevikus ning lihtsustades SSL VPN-i esmast juurutamist ja diagnostikat.

Multifunktsionaalne hübriidvärav. Multifunktsionaalsed hübriidtooted ühendavad hübriid- ja multifunktsionaalsete väravate omadused. Nende mitmekülgsed võimalused võivad olla kasulikud suurtele ettevõtetele, kuid tõenäoliselt on see tavalise võrguadministraatori õlgadele raske koorem. Seega olge nende mitmekülgsete toodete valimisel ettevaatlik.

Teadaolevad haavatavused

On lihtne uskuda, et mis tahes VPN-ühenduse loomisega lahendatakse kõik kaugkasutajate turvaprobleemid kohe. Kuid nagu IPseci kasutajad hästi teavad, pole see alati nii. Valesti juurutatud VPN võib olla sama ohtlik kui tulemüürita Internetti ühendatud kohtvõrk. Kui kaugvõrk või lõppkasutaja on ohustatud (viirus, nuhkvara või sissetungija), võib VPN (traditsiooniline või SSL) muutuda kanaliks pahatahtlike agentide tungimiseks ettevõtte sisevõrku.

Sellega seoses on SSL-i VPN-id vähem ohtlikud, kuna need jõustavad automaatselt lõpp-punktipõhiseid juurdepääsupoliitikaid ja enamik ka rakendusepõhiseid juurdepääsupoliitikaid. Kui tõeline virtuaalne võrguliides pole lubatud, eraldatakse SSL VPN-ühendused üksikutele rakendustele, mis vähendab oluliselt haavatavust rünnakute suhtes. Võimalus piirata kasutaja interaktsioone URL-i tasemel tagab veelgi täpsema poliitikakontrolli. Kuid nagu traditsioonilised VPN-id, on üksikasjalikud eeskirjad kasulikud ainult siis, kui hoolitsete nende seadistamise eest.

SSL VPN-idel on aga mitmeid turvaauke, mida tavapärastel VPN-idel pole. Lihtsus, millega kasutajad saavad luua SSL VPN-ühenduse (ainult brauseris), on ahvatlev looma ühendust ohtlikest kohtadest, nagu turvamata sülearvutid ja lauaarvutid, ning isegi avalikest Interneti-kioskitest. See on ohtlik, kuna arvuti võib olla nakatunud programmiga, mis peatab klahvivajutused või ekraanipilte. Vaatamata rangematele eeskirjadele saab ründaja näha ja teha kõike, mida lõppkasutaja ohustatud tööjaamas näeb ja teeb.

Enamik SSL-i VPN-lüüsidest ühendab VPN-tunneli aktiivse töötamise ajal automaatselt lahti kaugkasutajad avalikust Internetist, sundides kasutajaid selle kaudu Internetti juurde pääsema. See väldib jagatud võrgu rünnakuid, mille käigus ründaja saab VPN-tunneli kaudu reaalajas juurdepääsu ettevõtte kohalikule võrgule. SSL VPN-is suunatakse selliste ohtude eest kaitsmiseks kogu brauseri juurdepääs lihtsalt VPN-i kaudu ja muud Interneti-protokollid on blokeeritud. Kuid jagatud võrk on vaid üks ohtudest.

Teine oht on veelgi salakavalam. Tänapäeval pole sellele vastumürki, teada on vaid lahendus. Selle tulemusena võib ründaja kasutaja arvuti täielikult üle võtta; selle põhjuseks on programmi halb rakendamine, mille paljud tooted installivad SSL VPN-i seansi alguses. Kui Java- või Active X-rakendusel on funktsioon kohaliku programmi (nt klientrakenduse) käitamiseks kasutaja arvutis, võib ründaja käivitada pahatahtliku programmi, eelkõige lihtsa (kuid väga ohtliku) klahvivajutuste logija. Üldiselt on see funktsioon lõppkasutajatele mugav: kohaliku programmi automaatne käivitamine, näiteks tellimuste sisestamiseks, lihtsustab kasutaja tööd. Selle probleemi lahendamiseks peate rakenduse käivitaja funktsiooni keelama.

Kolmas ohtude klass on viirus- ja nuhkvaranakkus, mis võib viia ohtlike programmide sissetoomiseni tulemüüri taha. Pahavara võib tungida e-posti manuste ja edastatud failide kaudu või (kui kasutatakse SSL VPN-protokolli konnektoreid) mis tahes TCP/IP-protokolli kaudu. Selliseid ohte nimetatakse mõnikord passiivseteks ohtudeks, kuna need ei ole sihitud ja püüavad lihtsalt levida kõikidesse võrgus olevatesse arvutitesse. Tänu SSL-ile muutuvad haavatavused väiksemaks, kuid need ei kao.

Tegelikult on kahe viimase ohu vastu ainult üks kaitse: VPN-ile juurdepääsuks kasutatavate arvutite range kontroll. Selleks peate regulaarselt otsima viiruseid ja nuhkvara, vältima kaugarvutite kasutamist turvamata võrkudes ja selgitama kasutajatele riske, mis on seotud turbepoliitikast mööda hiilimisega. Mõned SSL-i VPN-lüüsid kasutavad pahavarakaitseprogramme, mis kontrollivad enne võrguga ühenduse loomist kasutaja süsteemi terviklikkust, tuvastavad volitamata juurdepääsu katsed ja keelavad kaugliikluse.

Lisaks tavalisele ühesuunalisele SSL-autentimisele peaksite määrama kahesuunalise autentimise nii kaugkasutajale kui ka sihtkoha VPN-ile. Lihtsaim viis seda teha on digitaalsete sertifikaatidega, mida levitatakse PKI infrastruktuurist. Õnneks toetavad seda autentimist kõik peale kõige lihtsamate lüüside ja SSL VPN-ide. Veel üks tähelepanuväärne turvafunktsioon on kahefaktoriline autentimine. Lisaks tavapärasele kasutajanimele ja paroolile on registreerimiseks vaja teise taseme parooli, mis on sisestatud spetsiaalse seadme või USB-draivi või spetsiaalse sidekanali kaudu. Viimase väga edukaks variandiks on lüüs, mis saadab kaugkasutaja mobiiltelefoni SMS-sõnumi, mis sisaldab ühekordset parooli, mille kasutaja peab juurdepääsu saamiseks sisestama.

SSL VPN pakett

Valdav enamus SSL VPN-lüüsidest on spetsiaalsed seadmed, kuid on ka UNIX-i või Windowsi serverite jaoks mõeldud tarkvaratooteid. Nii riist- kui tarkvaratoodete hinna määrab peamiselt kasutajate arv. Riistvaraseadmetes võib see piirang sõltuda riistvara omadustest või rangelt määratletud piirangust kasutajate arvule. Tarkvaratooted, sealhulgas Microsoft Forefront UAG, nõuavad sageli iga kasutaja jaoks eraldi litsentsi ostmist.

Paljudel riistvaratulemüüridel on täiustatud SSL VPN-i funktsioonid, mille saab hankida lisalitsentsi ostmisel, tavaliselt 30-päevase prooviperioodiga. Pange tähele, et SSL VPN-i krüpteerimisprotsessid võivad ettevõtte tulemüüri oluliselt koormata, kui seadmel puudub spetsiaalne riistvaraline krüpteerimisüksus. Sellegipoolest võib SSL-i VPN-liiklus segada krüptimata liiklust, näiteks VoIP-i, mistõttu võib olla parem rakendada SSL VPN-i eraldi seadmes või serveris. Nagu sisseehitatud videosalvestusvõimalustega telerite puhul, võib SSL VPN-i manustamine raskendada tulevasi uuenduskatseid nii tulemüüri kui ka lüüsiseadme SSL VPN-i komponendi jaoks.

Lõpuks, kui vaatate ainult tarkvarapõhiseid SSL VPN-e, pidage meeles, et ilma spetsiaalsete krüpteerimisseadmeteta teenindavad need tooted piiratud arvu kasutajaid. Litsentside ostmine kasutajapõhiselt on sageli atraktiivne, kui ostate toote 200 või enama koha jaoks ning SSL VPN-i teenuseid osutatakse mõnikord olemasoleva litsentsi tingimuste alusel, kuid vähesed valmisserverid pakuvad sellest isegi murdosa. samaaegsete VPN-tunnelite arv.

Enne proovi, siis osta

Olles teadlik traditsiooniliste VPN-ide ja SSL VPN-ide erinevustest ning kasutuslihtsuse eelistest, võite hakata valima SSL VPN-lüüsi. Arvestage kindlasti kasutajate vajadusi ja valige piisavate võimalustega toode, et kaitsta kasutajate kogukonna ees seisvate ohtude eest. Enamik VPN-tooteid, sealhulgas riistvaraseadmed, on saadaval odavate valikutega, vaid mõnesaja dollari eest. Neid saab testida enne raha kulutamist ettevõtte terviklahendusele. Hea on see, et SSL VPN-i toodetel ei ole infrastruktuuri ühilduvusprobleeme, nii et saate kohe testima hakata.

Mel Beckman([e-postiga kaitstud]) on System iNEWSi vanem tehniline toimetaja. Väga skaleeritavate lairibavõrkude tehnilise nõustamisettevõtte Beckman Software Engineering president

Kaugjuurdepääs on tänapäeval väga oluline. Kuna üha rohkem inimesi vajab juurdepääsu oma kodu- ja tööarvutisse salvestatud teabele, on sellele kõikjalt juurdepääsemine muutunud kriitiliseks. Möödas on ajad, mil inimesed ütlesid: "Ma saadan teile selle teabe niipea, kui arvuti juurde jõuan." Seda teavet vajate kohe, kui soovite konkureerida tänapäeva ärimaailmas.

Arvutite kiviajastul oli viis arvutile kaugjuurdepääsu saamiseks kasutada sissehelistamisühendust. RAS-i sissehelistamisühendused töötasid tavaliste POTS-liinide kaudu (Plain Old Telephone Service) andmeedastuskiirusega kuni umbes 56 kbit/s. Kiirus oli selliste ühenduste peamine probleem, kuid veelgi suurem probleem oli ühenduse maksumus, kui juurdepääs nõudis pikki vahemaid.

Interneti populaarsuse kasvuga on RAS-ühendusi kasutatud üha vähem. Selle põhjuseks oli VPN (Virtual Private Network) ühenduste tekkimine. VPN-ühendused pakkusid sama punkt-punkti ühenduvust kui sissehelistamis-RAS-ühendused, kuid nad tegid seda kiiremini ja odavamalt, kuna VPN-ühenduse kiirus võib olla sama kui Interneti-ühenduse kiirus ja ühenduse maksumus ei sõltu sihtkoha asukohast. Ainus asi, mille eest peate maksma, on Interneti-ühendus.

Virtuaalsed privaatvõrgud (virtuaalne privaatvõrk)

VPN-ühendus võimaldab arvutil luua virtuaalne Ja privaatne võrguühendus Interneti kaudu. Ühend virtuaalne sest kui arvuti loob VPN-ühenduse Interneti kaudu, toimib ühenduse loov arvuti otse võrku ühendatud hostina, nagu oleks see võrku ühendatud Etherneti LAN-kaabli kaudu. Kasutajal on sama juurdepääs ressurssidele, mis tal oleks kaabli abil võrguga otseühenduses. VPN-kliendi ühenduse korral VPN-serveriga aga ühendus virtuaalselt kuna sihtkohaga puudub kehtiv Etherneti ühendus. VPN-ühendus privaatne, kuna selles ühenduses oleva andmevoo sisu krüpteeritud, nii et keegi Internetis ei saa VPN-ühenduse kaudu edastatavaid andmeid pealt kuulata ega lugeda.

Windowsi serverid ja kliendid on VPN-ühendusi toetanud alates opsüsteemidest Windows NT ja Windows 95. Kuigi Windowsi kliendid ja serverid on VPN-ühendusi toetanud juba kümme aastat, on VPN-i toe tüüp aja jooksul muutunud. Windows Vista Service Pack 1 ja Windows Server 2008 toetavad praegu kolme tüüpi VPN-ühendusi. Need on järgmised tüübid:

  • L2TP/IPSec

PPTP on punktist punkti tunneldamise protokoll. PPTP on lihtsaim viis VPN-ühenduse loomiseks, kuid kahjuks on see ka kõige vähem turvaline. Põhjus, miks see tüüp on kõige vähem turvaline, on see, et kasutaja mandaadid edastatakse ebaturvalise kanali kaudu. Teisisõnu algab VPN-ühenduse krüpteerimine Pärast seda kuidas mandaadid üle anti. Kuigi tegelikku mandaaditeavet VPN-i klientide ja serverite vahel ei edastata, saavad kogenud häkkerid kasutada edastatud räsiväärtusi VPN-serveritele juurdepääsu saamiseks ja ettevõtte võrguga ühenduse loomiseks.

Usaldusväärsem on L2TP/IPSec VPN-protokoll. L2TP/IPSec töötasid ühiselt välja Microsoft ja Cisco. L2TP/IPSec on turvalisem kui PPTP, kuna enne piletite saatmist luuakse turvaline IPSec-seanss. Häkkerid ei pääse mandaatidele juurde ega saa seetõttu varastada neid hilisemaks kasutamiseks. Lisaks pakub IPSec vastastikust masina autentimist, nii et tundmatud masinad ei saa L2TP/IPSec VPN-lingiga ühendust luua. IPSec pakub vastastikust autentimist, andmete terviklikkust, konfidentsiaalsust ja tagasilükkamatust. L2TP toetab PPP- ja EAP-kasutajate autentimismehhanisme, mis tagavad kõrge sisselogimisturvalisuse, kuna nõutakse nii masina kui ka kasutaja autentimist.

Windows Vista hoolduspakett SP1 ja Windows Server 2008 toetavad nüüd uut tüüpi VPN-protokolli nimega Secure Socket Tunneling Protocol ehk SSTP. SSTP kasutab VPN-lüüsidega VPN-ühenduste loomiseks SSL-krüptitud HTTP-ühendusi kuni turvalise SSL-i tunnelini VPN-lüüsiga ühenduse loomiseks. on avatud.SSTP on tuntud ka kui PPP over SSL, mis tähendab, et saate oma SSTP-ühenduse turvalisemaks muutmiseks kasutada PPP ja EAP autentimismehhanisme.

Privaatne ei tähenda turvalist

Tuleb märkida, et VPN-ühendused on rohkem privaatsed kui turvalised. Kuigi ma tunnistan, et privaatsus on sideturbe oluline komponent, ei taga see iseenesest seda turvalisust. VPN-tehnoloogiad pakuvad Interneti kaudu ühenduse loomisel privaatset komponenti, mis takistab volitamata isikutel teie suhtluse sisu lugemist. VPN-tehnoloogiad võimaldavad teil olla ka kindel, et VPN-lüüsi kaudu saavad antud võrguga ühenduse luua ainult volitatud kasutajad. Privaatkomponent, autentimine ja autoriseerimine ei taga aga igakülgset turvalisust.

Oletame, et teil on töötaja, kellele olete avanud VPN-i juurdepääsu. Kuna teie Windows Server 2008 VPN-protokoll toetab EAP-kasutaja autentimist, otsustate luua oma kasutajatele kiipkaardid ja kasutada VPN-protokolli L2TP/IPSec. Kiipkaartide ja L2TP/IPSec-protokolli kombinatsioon võimaldab nõuda kasutaja autentimist ja terve masina kasutamist. Teie kiipkaart ja L2TP/IPSec lahendus töötavad suurepäraselt ja kõik on rahul.

Kõik on õnnelikud, kuni ühel päeval logib üks teie kasutajatest sisse teie SQL-serverisse, et saada raamatupidamisteavet ja hakkab seda teiste töötajatega jagama. Mis juhtus? Kas VPN-ühendus oli ebaturvaline? Ei, VPN-ühendus oli piisavalt turvaline, et pakkuda privaatset (privaatset) komponenti, autentimist ja autoriseerimist, kuid see ei võimaldanud juurdepääsu kontrolli ning juurdepääsu kontroll on arvutiturbe üks põhikomponente. Tegelikult võib isegi öelda, et ilma juurdepääsukontrollita on kõik muud turvameetmed suhteliselt väikese väärtusega.

Selleks, et VPN-id oleksid tõeliselt turvalised, peate veenduma, et teie VPN-lüüs suudab pakkuda kasutajale/rühmale juurdepääsu juhtimist, et saaksite anda VPN-i kasutajatele vajaliku juurdepääsutaseme. Täiustatud VPN-lüüsid ja tulemüürid, nagu ISA tulemüür, võivad pakkuda seda VPN-ühenduste juhtimist. Lisaks võivad tulemüürid, nagu ISA tulemüür, pakkuda VPN-kliendi ühenduste aadressipakettide ja rakenduskihtide kontrolli.

Kuigi Windows Server 2008 VPN-server ei paku kasutajate ja rühmade juurdepääsu juhtimist, on ka muid viise, kuidas saate juurdepääsu kontrolli serveris endas konfigureerida, kui te ei soovi paremate tulemüüride ja VPN-lüüside eest maksta. Selles artiklis keskendume ainult VPN-serverite komponentidele. Kui soovite lisateavet ISA tulemüüride ja nende VPN-serveri võimaluste kohta, külastage veebisaiti www.isaserver.org

Miks kasutada uut VPN-protokolli?

Microsoft on juba loonud kaks elujõulist VPN-protokolli, mis võimaldavad kasutajatel luua ühenduse ettevõtte võrguga, miks siis luua kolmas? SSTP on suurepärane lisa Windows VPN-i kasutajatele, kuna erinevalt PPTP-st ja L2TP/IPSec-ist pole SSTP-l tulemüüride ja NAT-seadmetega probleeme. Et PPTP töötaks läbi NAT-seadme, peab seade toetama PPTP-d kasutades PPTP NAT-redaktorit. Kui selles seadmes pole PPTP jaoks sellist NAT-redaktorit, siis PPTP-ühendused ei tööta.

L2TP/IPSecil on probleeme NAT-seadmete ja tulemüüridega, kuna tulemüüril peab olema väljaminevate ühenduste jaoks avatud L2TP UDP-port 1701, väljaminevate ühenduste jaoks avatud IPSec IKE-port UDP 500 ja väljuvate ühenduste jaoks avatud IPSec NAT-i läbipääsuport UDP 4500 (L2TP-port on pole NAT-T kasutamisel vajalik). Enamik tulemüüre avalikes kohtades, nagu hotellid, konverentsikeskused, restoranid jne. väljaminevate ühenduste jaoks on avatud väike arv porte, näiteks HTTP, TCP-port 80 ja HTTPS (SSL), TCP-port 443. Kui vajate kontorist lahkumisel tuge rohkema kui HTTP- ja SSL-protokolli jaoks, on teie eduvõimalused ühendus on oluliselt vähenenud. Te ei pruugi saada PPTP või L2TP/IPSec protokollide jaoks vajalikke porte.

Erinevalt eelmistest protokollidest käivad SSTP VPN-ühendused üle SSL-i, kasutades TCP-porti 443. Kuna kõigil tulemüüridel ja NAT-seadmetel on avatud TCP-port 443, saate SSTP-protokolli kasutada kõikjal. See muudab elu palju lihtsamaks reisijate jaoks, kes kasutavad kontoriga ühenduse loomiseks VPN-ühendusi, ja muudab elu palju lihtsamaks ka ettevõtete administraatorite jaoks, kes peavad toetama reisijaid ja aitama töötajatel avalikes kohtades pakkuda Interneti-juurdepääsu hotellides, konverentsikeskustes jne.

SSTP-ühenduse protsess

  1. SSTP VPN-klient loob TCP-ühenduse SSTP VPN-lüüsiga SSTP VPN-kliendi juhusliku lähtekoodi TCP-pordi ja SSTP VPN-lüüsi TCP-pordi 443 vahel.
  2. SSTP VPN-klient saadab SSL-i Klient - Tere teade, mis näitab, et ta soovib luua SSTP VPN-lüüsiga SSL-seansi.
  3. SSTP VPN lüüs saadab arvuti sertifikaat SSTP VPN klient.
  4. SSTP VPN-klient kinnitab arvuti sertifikaadi, kontrollides Trusted Root Certification Authorities sertifikaatide andmebaasi ja veendumaks, et serveri allkirjastatud CA-sertifikaat on selles andmebaasis. Seejärel määrab SSTP VPN-klient SSL-seansi krüpteerimismeetodi, genereerib SSL-seansi võtme ja krüpteerib selle avaliku lüüsi SSTP VPN-võtmega ning saadab seejärel SSL-seansi võtme krüptitud vormi SSTP VPN-lüüsile.
  5. SSTP VPN-lüüs dekrüpteerib krüptitud SSL-seansi võtme, kasutades arvuti sertifikaatide privaatvõtit. Kõik järgnevad ühendused SSTP VPN-kliendi ja SSTP VPN-lüüsi vahel krüpteeritakse määratud krüpteerimismeetodi ja SSL-seansi võtmega.
  6. SSTP VPN-klient saadab SSTP VPN-lüüsile HTTP üle SSL (HTTPS) päringusõnumi.
  7. SSTP VPN-klient peab SSTP VPN-lüüsiga läbirääkimisi SSTP-kanali üle.
  8. SSTP VPN-klient peab läbirääkimisi PPP-ühenduse loomiseks SSTP-serveriga. Need läbirääkimised hõlmavad kasutaja mandaatide autentimist standardse PPP autentimismeetodiga (või isegi EAP autentimisega) ja Interneti-protokolli versiooni 4 (IPv4) või Interneti-protokolli versiooni kuue (IPv6) liikluse sätete konfigureerimist.
  9. SSTP-klient hakkab IPv4- või IPv6-liiklust PPP-ühenduse kaudu saatma.

Need, kes on huvitatud VPN-protokollide arhitektuuri omadustest, näevad neid alloleval joonisel. Pange tähele, et erinevalt kahest teisest VPN-protokollist on SSTP-l lisapäis. Selle põhjuseks on täiendav HTTPS-i krüptimine SSTP päise peal. L2TP-l ja PPTP-l pole ühenduse krüptimiseks rakenduskihi päiseid.

Pilt 1

Toome näitena lihtsa kolme masinaga võrgu, et näha, kuidas SSTP töötab. Nende kolme masina nimed ja omadused on järgmised:

Vista Business Edition

Vista hoolduspakett 1

domeeniväline liige

W2008RC0-VPNGW:

Kaks võrgukaarti "sisemine ja välimine

WIN2008RC-DC:

Windows Server 2008 Enterprise Edition

Domeeni MSFIREWALL.ORG domeenikontroller

Sertifikaadi server (ettevõtte CA)

Pange tähele, et VPN-kliendina kasutatakse Vista Service Pack 1. Kuigi varem on arutletud selle üle, et Windows XP Service Pack 3 toetab SSTP-d, ei pruugi asjad nii lõppeda. Installisin hiljuti testmasinasse Windows XP Service Pack 3 prooviversiooni ja ei leidnud ühtegi tõendit SSTP toe kohta. Ja see on tõesti halb, sest tänapäeval on liiga palju Windows XP-ga sülearvuteid ja tõsiasi on see, et Vista on sülearvutite töötamiseks liiga aeglane. Vista jõudlusprobleeme saab lahendada Vista Service Pack 1 abil.

Eeskujuliku võrgu kõrgetasemeline konfiguratsioon on näidatud alloleval joonisel.

Joonis 2

Windows Server 2008 konfigureerimine kaugjuurdepääsu SSL VPN-serverina

Ma ei hakka käsitlema kõiki samme, alustades põhitõdedest. Eeldan, et installisite domeenikontrolleri ja lubasite selles serveris DHCP, DNS-i ja sertifikaaditeenuste rollid. Serveri sertifikaadi tüüp peab olema Enterprise ja teie võrgus peab olema CA. Enne järgmiste sammudega jätkamist peab VPN-server olema domeeniga ühendatud. Enne alustamist peate installima Vista kliendi hoolduspaketi SP1.

Meie lahenduse toimimiseks peame järgima järgmisi protseduure:

  • Installige IIS VPN-serverisse
  • IIS-i sertifikaadipäringu viisardi abil taotlege VPN-serveri masinasertifikaati
  • Installige VPN-serverisse RRAS-i roll
  • Aktiveerige RRAS-server ja konfigureerige see töötama VPN- ja NAT-serverina
  • Seadistage NAT-server CRL-i avaldamiseks
  • Seadistage sissehelistamisühenduste kasutamiseks kasutajakonto
  • Konfigureerige IIS sertifikaadiserveris, et lubada HTTP-ühendusi CRL-i kataloogi jaoks
  • Konfigureerige VPN-kliendi jaoks HOSTS-fail
  • Kasutage VPN-serveriga suhtlemiseks PPTP-d
  • Hankige ettevõtte CA-lt CA-sertifikaat
  • Konfigureerige klient SSTP-d kasutama ja ühendage VPN-serveriga SSTP-d kasutades

IIS-i installimine VPN-serverisse

Teile võib tunduda kummaline, et alustame sellest protseduurist, kuna soovitan mitte kunagi installida veebiserverit võrguturbeseadmesse. Hea uudis on see, et me ei pea veebiserverit VPN-serverisse salvestama, vaid vajame seda vaid korraks. Põhjus on selles, et Windows Server 2008 sertifikaadiserveriga kaasas olev registreerimissait pole enam arvutisertifikaatide taotlemiseks kasulik. Tegelikult on see täiesti kasutu. Huvitav on see, et kui otsustate arvutisertifikaadi hankimiseks kasutada registreerimissaiti, siis näib, et sertifikaat on vastu võetud ja installitud, kuid tegelikult pole see nii, sertifikaati pole installitud.

Selle probleemi lahendamiseks kasutame ära asjaolu, et kasutame ettevõtte CA-d. Enterprise CA kasutamisel saate saata päringu interaktiivsele sertifikaadiserverile. Arvuti sertifikaadi interaktiivne taotlus on võimalik, kui kasutate IIS-i sertifikaadipäringu viisardit ja taotlete seda, mida nüüd nimetatakse "domeeni sertifikaadiks". See on võimalik ainult siis, kui taotlev masin kuulub ettevõtte CA-ga samasse domeeni.

IIS-i veebiserveri rolli installimiseks VPN-serverisse toimige järgmiselt.

  1. Avage Windows 2008 serverihaldur.
  2. Klõpsake konsooli vasakpoolsel paneelil vahekaarti Rollid.

Pilt 1

  1. Klõpsake menüül Lisage rolle parema paneeli paremal küljel.
  2. Klõpsake Edasi Lehel Enne kui alustad.
  3. Pange rea kõrvale linnuke Veebiserver (IIS) Lehel Valige serverirollid. Klõpsake Edasi.

Joonis 2

  1. Infot saab lugeda lehelt Veebiserver (IIS) kui soovid. See on üsna kasulik üldteave IIS 7 veebiserverina kasutamise kohta, kuid kuna me ei kavatse VPN-serveris IIS-i veebiserverit kasutada, siis see teave meie olukorra kohta tegelikult ei kehti. Klõpsake Edasi.
  2. Lehel Valige Rolliteenused mitu valikut on juba valitud. Kui aga kasutate vaikevalikuid, ei saa te sertifikaadipäringu viisardit kasutada. Vähemalt see oli nii, kui ma süsteemi testisin. Sertifikaadipäringu viisardil pole rolliteenust, seega proovisin iga suvandi märgistada Ohutus, ja tundub, et see töötas. Tehke sama enda jaoks ja klõpsake Edasi.

Joonis 3

  1. Vaadake teavet lehel Kinnitage oma seadete valik ja vajutage Installige.
  2. Klõpsake Sulge Lehel Paigaldamise tulemused.

Joonis 4

Masina sertifikaadi taotlemine VPN-serveri jaoks IIS-i sertifikaadipäringu viisardi abil

Järgmine samm on VPN-serveri masinasertifikaadi taotlemine. VPN-server nõuab SSL VPN-i kliendiarvutiga SSL VPN-ühenduse loomiseks masinasertifikaati. Serdi üldnimi peab ühtima nimega, mida VPN-klient kasutab SSL VPN-lüüsi arvutiga ühenduse loomiseks. See tähendab, et peate looma avaliku DNS-kirje sertifikaadi nime jaoks, mis lahendab VPN-serveri välise IP-aadressi, või VPN-serveri ees oleva NAT-seadme IP-aadressi, mis ühendust edastab. SSL VPN-serverisse.

Masina sertifikaadi taotlemiseks SSL VPN-serverile toimige järgmiselt.

  1. IN serverihaldur, laiendage vahekaarti Rollid vasakul paanil ja seejärel laiendage vahekaarti Veebiserver (IIS). Vajutage .

Joonis 5

  1. Konsoolis Interneti-teabeteenuste (IIS) haldur mis kuvatakse vasakpoolsel paanil paremal, klõpsake serveri nimel. Selles näites oleks serveri nimi W2008RC0-VPNGW. Klõpsake ikoonil Serveri sertifikaadid IIS-i konsooli paremal paanil.

Joonis 6

  1. Klõpsake konsooli paremas paneelis lingil Looge domeeni sertifikaat.

Joonis 7

  1. Sisestage lehele teave Määratletud nime omadused. Siin saab olema kõige olulisem objekt üldnimetus. See on nimi, mida VPN-kliendid VPN-serveriga ühenduse loomiseks kasutavad. VPN-serveri välise liidese või VPN-serveri ees oleva seadme avaliku NAT-aadressi tuvastamiseks vajate selle nime jaoks ka avalikku DNS-i kirjet. Selles näites kasutame üldnimetust sstp.msfirewall.org. Hiljem loome VPN-kliendi masinasse HOSTS failikirjed, et see saaks selle nime ära tunda. Klõpsake Edasi.

Joonis 8

  1. Klõpsake lehel nuppu Vali. Dialoogiboksis Valige sertifikaadi allikas, klõpsake ettevõtte CA nimel ja klõpsake nuppu Okei. Sisestage reale sõbralik nimi sõbralik nimi. Selles näites oleme kasutanud nime SSTP sertifikaat teada, et seda kasutatakse SSTP VPN-lüüsi jaoks.

Joonis 9

  1. Klõpsake lõpetama Lehel Online-sertifikaadi allikas.

Joonis 10

  1. Nõustaja käivitub ja siis kaob. Seejärel näete sertifikaati IIS-i konsoolis. Topeltklõpsake sertifikaadil ja vaadake jaotises üldnimetust Määratud, ja nüüd on meil sertifikaadile vastav privaatvõti. Klõpsake Okei dialoogi sulgemiseks tunnistus.

Joonis 11

Nüüd, kui meil on sertifikaat, saame installida RRAS-i serveri rolli. Pöörake tähelepanu sellele, mis on väga oluline installi sertifikaat enne RRAS-i serverirolli installimist. Kui te seda ei tee, valmistate endale palju peavalu, kuna peate sertifikaadi SSL VPN-kliendiga seostamiseks kasutama üsna keerulist käsurea rutiini.

RRAS-i serveri rolli installimine VPN-serverisse

RRAS-i serverirolli installimiseks toimige järgmiselt.

  1. IN serverihaldur, klõpsake vahekaardil Rollid konsooli vasakul paanil.
  2. Jaotises Rollide ülevaade klõpsake lingil Lisage rolle.
  3. Klõpsake Edasi Lehel Enne kui alustad.
  4. Lehel Valige serverirollid märkige rea kõrval olev ruut. Klõpsake Edasi.

Joonis 12

  1. Loe infot lehelt Võrgupoliitika ja juurdepääsuteenused. Suurem osa sellest puudutab Network Policy Serverit (mida varem nimetati Interneti-autentimise serveriks ja mis oli sisuliselt RADIUS-server) ja NAP-i, meie puhul ei ole ükski element rakendatav. Klõpsake Edasi.
  2. Lehel Valige rolliteenused märkige rea kõrval olev ruut Marsruutimise ja kaugjuurdepääsu teenused. Selle tulemusena valitakse üksused välja Kaugjuurdepääsu teenused Ja Marsruutimine. Klõpsake Edasi.

Joonis 13

  1. Klõpsake Installige aknas Kinnitage valitud sätted.
  2. Klõpsake Sulge Lehel Paigaldamise tulemused.

RRAS-serveri aktiveerimine ja selle VPN- ja NAT-serverina konfigureerimine

Nüüd, kui RRAS-i roll on installitud, peame lubama RRAS-i teenused, nagu tegime Windowsi eelmistes versioonides. Peame lubama VPN-serveri funktsiooni ja NAT-teenused. VPN-serveri komponendi aktiveerimisega on kõik selge, kuid võite küsida, miks peate NAT-serveri aktiveerima. NAT-serveri aktiveerimise põhjus on see, et väliskliendid saaksid CRL-iga ühenduse loomiseks juurdepääsu sertifikaadiserverile. Kui SSTP VPN-kliendil ei õnnestu CRL-i alla laadida, siis SSTP VPN-ühendus ebaõnnestub.

CRL-i paljastamiseks konfigureerime VPN-serveri NAT-serverina ja avaldame CRL-i pöörduva NAT-i abil. Ettevõtte võrgukeskkonnas on teil suure tõenäosusega sertifikaadiserveri ees tulemüürid, näiteks ISA tulemüür, nii et saate tulemüüride kaudu CRL-e avaldada. Kuid selles näites on ainus tulemüür, mida me kasutame, VPN-serveri Windowsi tulemüür, nii et selles näites peame VPN-serveri konfigureerima NAT-serverina.

RRAS-teenuste lubamiseks toimige järgmiselt.

  1. IN serverihaldur vahekaarti laiendada Rollid konsooli vasakul paanil. Laienda vahekaarti Võrgupoliitika ja juurdepääsuteenused ja klõpsake vahekaarti. Paremklõpsake vahekaarti ja klõpsake nuppu Konfigureerige ja lubage marsruutimine ja kaugjuurdepääs.

Joonis 14

  1. Klõpsake Edasi aknas Tere tulemast marsruutimise ja kaugjuurdepääsu serveri häälestusviisardisse.
  2. Lehel Seadistamine valige suvand Juurdepääs virtuaalsetele privaatvõrkudele ja NAT-ile ja vajutage Edasi.

Joonis 15

  1. Lehel VPN-ühendus valige jaotises NIC Võrgu liidesed, mis esindab VPN-serveri välist liidest. Seejärel klõpsake Edasi.

Joonis 16

  1. Lehel IP-aadresside määramine valige suvand Automaatselt. Saame selle valiku valida, kuna meil on VPN-serveri taga asuvasse domeenikontrollerisse installitud DHCP-server. Kui teil pole DHCP-serverit, peate selle valiku tegema Konkreetsest aadresside loendist ja seejärel loetlege aadressid, mida VPN-kliendid saavad VPN-lüüsi kaudu võrguga ühenduse loomisel kasutada. Klõpsake Edasi.

Joonis 17

  1. Lehel Kaugjuurdepääsu juhtimine mitmele serverile vali Ei, kasutage ühenduse taotluste autentimiseks marsruutimist ja kaugjuurdepääsu. Kasutame seda valikut, kui NPS- või RADIUS-serverid pole saadaval. Kuna VPN-server on domeeni liige, on võimalik kasutajaid autentida domeenikontode abil. Kui VPN-server ei asu domeenis, saab kasutada ainult kohalikke VPN-serveri kontosid, välja arvatud juhul, kui otsustate kasutada NPS-serverit. Kirjutan edaspidi artikli NPS-serveri kasutamisest. Klõpsake Edasi.

Joonis 18

  1. Loe üldist teavet lehelt Marsruutimise ja kaugjuurdepääsu konfigureerimise viisardi lõpuleviimine ja vajutage lõpetama.
  2. Klõpsake Okei dialoogiboksis Marsruutimine ja kaugjuurdepääs, mis ütleb teile, et DHCP-sõnumite levitamiseks on vaja DHCP-jaotusagenti.
  3. Laiendage konsooli vasakpoolsel paanil vahekaarti Marsruutimine ja kaugjuurdepääs ja seejärel klõpsake vahekaarti Sadamad. Keskmisel paanil näete, et WAN Miniporti ühendused SSTP jaoks on nüüd saadaval.

Joonis 19

NAT-serveri konfigureerimine CRL-i avaldamiseks

Nagu ma varem ütlesin, peab SSL VPN-klient saama CRL-i alla laadida, et kontrollida, kas VPN-serveris olev serverisertifikaat pole rikutud ega tühistatud. Selleks peate konfigureerima sertifitseerimisserveri ees oleva seadme, et see saadaks sertifitseerimisserverisse CRL-i asukoha HTTP-päringuid.

Kuidas ma tean, millise URL-iga peab SSL VPN-klient CRL-i allalaadimiseks ühenduse looma? See teave sisaldub sertifikaadis endas. Kui lähete tagasi VPN-serverisse ja topeltklõpsate IIS-i konsoolis sertifikaadil nagu varem, peaksite selle teabe leidma.

Klõpsake nuppu Üksikasjad tunnistusel ja kerige allapoole kirjeni CRL-i jaotuspunktid, seejärel klõpsake sellel kirjel. Alumine paneel näitab erinevaid jaotuspunkte, mis põhinevad nendele jaotuspunktidele juurdepääsuks kasutataval protokollil. Alloleval joonisel näidatud sertifikaadil näete, et peame avaldama CRL-i SSL VPN-kliendile URL-i kaudu:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Joonis 20

Seetõttu peate selle nime jaoks looma avalikud DNS-kirjed, et välised VPN-i kliendid saaksid määrata selle nime IP-aadressiks või seadmeks, mis teeb sertifikaadiserveri veebisaidile juurdepääsuks vastupidise NAT-i või pöördpuhverserveri. Selles näites peame linkima win2008rc0-dc.msfirewall.org IP-aadressiga VPN-serveri välisliideses. Kui ühendus jõuab VPN-serveri välisliideseni, NAT-i VPN-server ühenduse sertifikaadiserveriga.

Kui kasutate täiustatud tulemüüri, näiteks ISA tulemüüri, saate muuta saidi CRL-ide avaldamise turvalisemaks, lubades ainult CRL-ile, mitte kogu saidile. Kuid selles artiklis piirdume lihtsa NAT-seadme võimalusega, nagu see, mida pakub RRAS NAT.

Pange tähele, et saidi CRL-i vaikenime kasutamine võib olla vähem turvaline, kuna see paljastab Internetis arvuti privaatnime. Selle vältimiseks saate luua kohandatud CDP (CRL-i jaotuspunkti), kui arvate, et CA privaatnime avaldamine avalikus DNS-i kirjes tekitab turvariski.

RRAS NAT-i konfigureerimiseks HTTP-päringuid sertifikaadiserverisse suunama toimige järgmiselt.

  1. Vasakpoolses paneelis serverihaldur vahekaarti laiendada Marsruutimine ja kaugjuurdepääs ja seejärel laiendage vahekaarti IPv4. Klõpsake vahekaardil NAT.
  2. Vahekaardil NAT paremklõpsake konsooli keskmisel paanil välist liidest. Selles näites oli välise liidese nimi Kohalik ühendus. Vajutage Omadused.

Joonis 21

  1. Märkige dialoogiboksis kõrval olev ruut Veebiserver (HTTP). See avab dialoogi Redigeerimisteenus. Tekstireal privaatne aadress sisestage sisevõrgus oleva sertifitseerimisserveri IP-aadress. Klõpsake Okei.

Joonis 22

  1. Klõpsake Okei dialoogiboksis Kohaliku ühenduse omadused.

Joonis 23

Nüüd, kui NAT-server on installitud ja konfigureeritud, saame pöörata tähelepanu CA-serveri ja SSTP VPN-kliendi konfigureerimisele.

Kasutajakonto konfigureerimine sissehelistamisühenduste kasutamiseks

Kasutajakontod vajavad enne Active Directory domeeni kuuluva Windowsi VPN-serveriga ühenduse loomist sissehelistamispõhise juurdepääsu õigusi. Parim viis selleks on kasutada võrgupoliitika serverit (NPS) ja vaikimisi kasutajakonto luba, mis võimaldab NPS-i poliitikal põhinevat kaugjuurdepääsu. Kuid meie puhul me NPS-serverit ei installinud, seega peame käsitsi sissehelistamisõiguse kasutaja loa konfigureerima.

Järgmises artiklis keskendun NPS-serveri ja EAP-i kasutajasertifikaadi autentimise kasutamisele ühenduste loomiseks SSL VPN-serveriga.

Konkreetse kasutajakonto sissehelistamisjuurdepääsu võimaldamiseks SSL VPN-serveriga ühenduse loomiseks järgige alltoodud samme. Selles näites lubame domeeni administraatori vaikekonto jaoks sissehelistamisõiguse:

  1. Avage domeenikontrolleris konsool Active Directory kasutajad ja arvutid menüüst.
  2. Laiendage konsooli vasakpoolsel paanil domeeninime ja klõpsake vahekaarti kasutajad. Topeltklõpsake kontol Administraator.
  3. Liikuge vahekaardile sissehelistamine. Vaikeseade on Juurdepääsu kontroll NPS-i võrgupoliitika kaudu. Kuna meil ei ole selle stsenaariumi korral NPS-serverit, muudame seade väärtuseks Luba juurdepääs, nagu on näidatud alloleval joonisel 1. Klõpsake Okei.

Pilt 1

IIS-i konfigureerimine sertifikaadiserveris lubama HTTP-ühendusi CRL-kataloogi jaoks

Mingil põhjusel seadistab häälestusviisard sertifikaaditeenuste veebisaidi installimisel CRL-i kataloogi SSL-ühenduse taotlemiseks. Kuigi see tundub turvalisuse seisukohast hea mõte, on probleem selles, et sertifikaadi ühtne ressursiidentifikaator (URI) ei ole konfigureeritud SSL-i kasutama. Oletan, et saate sertifikaadi jaoks ise luua CDP-kirje, et see saaks kasutada SSL-i, kuid vean kihla, et Microsoft pole seda probleemi kuskil maininud. Kuna me kasutame selles artiklis CDP vaikesätteid, peame CA veebisaidil kataloogi CRL-i tee jaoks keelama SSL-i nõude.

CRL-kataloogi SSL-i nõude keelamiseks toimige järgmiselt.

  1. Menüüs Haldustööriistad avatud haldur Interneti-teabeteenuste (IIS) haldur.
  2. Laiendage IIS-konsooli vasakpoolsel paanil serveri nime ja seejärel vahekaarti saidid. Laienda vahekaarti Vaikimisi veebisait ja klõpsake vahekaarti CertRegistreeru nagu on näidatud joonisel 2.

Joonis 2

  1. Kui vaatate konsooli keskmist paneeli, näete seda CRL asub selles virtuaalses kataloogis, nagu on näidatud alloleval joonisel. Selle virtuaalse kataloogi sisu vaatamiseks peate klõpsama nuppu Vaata sisu keskmise paneeli allservas.

Joonis 3

  1. Klõpsake nuppu Kuva seaded keskmise paneeli allservas. Topeltklõpsake keskmise paneeli allosas ikooni SSL-i seaded.

Joonis 4

  1. Leht ilmub keskmisele paanile. SSL-i seaded. Tühjendage rida Nõua SSL-i. Klõpsake Rakenda konsooli paremal paanil.

Joonis 5

  1. Pärast teatise nägemist sulgege IIS-i konsool Muudatused salvestati edukalt.

Joonis 6

HOSTS-faili seadistamine VPN-kliendi jaoks

Nüüd saame pöörata tähelepanu VPN-kliendile. Esimene asi, mida peame kliendiga tegema, on HOSTS-faili seadistamine, et saaksime jäljendada avalikku DNS-i infrastruktuuri. Peame faili HOSTS sisestama kaks nime (sama tuleb teha ka avaliku DNS-serveri puhul, mida kasutate tootmisvõrkudes). Eesnimi on VPN-serveri nimi, mille määrab SSL VPN-serveriga seostatud sertifikaadi üld-/subjektinimi. Teine nimi, mille peame HOSTS-faili (ja avalikku DNS-serverisse) sisestama, on sertifikaadil olev CDP URL-i nimi. Vaatasime CDP teabe asukohta selle seeria teises osas.

Kaks nime, mis tuleb selles näites faili HOSTS sisestada, on järgmised:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Vista SP1 VPN-kliendi HOSTS-faili konfigureerimiseks toimige järgmiselt.

  1. Menüüs Alusta sisenema c:\windows\system32\drivers\etc\hosts otsinguribale ja vajutage ENTER.
  2. Dialoogiboksis Koos avamiseks vali Märkmik.
  3. Sisestage HOSTS-faili kirjed alloleval joonisel näidatud vormingus. Pärast viimast rida vajutage kindlasti sisestusklahvi, et kursor oleks selle all.


Joonis 7

  1. Sulgege fail ja valige suvand Salvesta muudatused.

PPTP kasutamine VPN-serveriga ühenduse loomiseks

Jõuame järk-järgult lähemale SSL VPN-ühenduse loomisele! Järgmine samm on luua Vista SP1 kliendis VPN-pistik, mis võimaldab meil luua VPN-serveriga esialgse VPN-ühenduse. Meie puhul peame seda tegema, kuna klientarvuti ei ole domeeni liige. Kuna masin ei ole domeeni liige, ei installita CA sertifikaati automaatselt selle usaldusväärsete juursertifikaadi asutuste poodi. Kui masin oleks domeeni liige, lahendaks selle probleemi meie eest automaatne registreerimine, kuna installisime ettevõtte CA.

Lihtsaim viis selle sammu lõpuleviimiseks on luua PPTP-ühendus Vista SP1 VPN-kliendist Windows Server 2008 VPN-serveriga. Vaikimisi toetab VPN-server PPTP-ühendusi ja klient proovib enne L2TP/IPSec-i ja SSTP-d esmalt PPTP-d. Selleks peame looma VPN Connectori või ühendusobjekti.

VPN-kliendis konnektori loomiseks toimige järgmiselt.

  1. Paremklõpsake VPN-kliendis võrguikoonil ja klõpsake nuppu Võrgu- ja kommutatsioonikeskus (jagamiskeskus).
  2. Klõpsake aknas Switching Center Network linki Looge ühendus või võrk akna vasakus servas.
  3. Lehel Valige ühenduse valikud klõpsake kirjetel Ühendage töökohaga, seejärel vajutage Edasi.

Joonis 8

  1. Lehel Kuidas soovite ühendust luua valige suvand Kasuta minu Interneti-ühendust (VPN).

Joonis 9

  1. Lehel Sisestage ühenduse loomiseks Interneti-aadress sisestage SSL VPN-serveri nimi. Veenduge, et see nimi ja SSL VPN-serveri kasutatava sertifikaadi üldnimi on samad. Selles näites oli nimi sstp.msfirewall.org. Sisenema Sihtkoha nimi. Selles näites kasutame adressaadi nime SSL VPN. Klõpsake Edasi.

Joonis 14

  1. Aknas Võrgu- ja kommutatsioonikeskus, klõpsake lingil Kuva olek Peatükis SSL VPN nagu on näidatud alloleval joonisel. Dialoogiboksis SSL VPN-i olek näete, et VPN-ühenduse tüüp on PPTP. Klõpsake Sulge dialoogiboksis SSL VPN-i olek.

Joonis 15

  1. Avage käsuviiba aken ja saatke domeenikontrollerile pingi käsk. Selles näites oleks domeenikontrolleri IP-aadress 10.0.0.2 . Kui teie VPN-ühendus on edukas, saate domeenikontrollerilt pingi vastuse.

Joonis 16

CA sertifikaadi saamine ettevõtte CA-ga

SSL VPN-klient peab usaldama VPN-serveri kasutatava sertifikaadi väljastanud CA-d. Selle usalduse loomiseks peame installima CA-sertifikaadi VPN-serveri sertifikaadi väljastanud CA-sse. Saame seda teha, luues ühenduse sisevõrgus CA registreerimisveebisaidiga ja installides kliendi VPN-sertifikaadi selle Trusted Root Certification Authorities poodi.

Registreerimissaidilt sertifikaadi saamiseks toimige järgmiselt.

  1. Sisestage PPTP-ühenduse kaudu VPN-serveriga ühendatud VPN-kliendis http://10.0.0.2/certsrv Internet Exploreri aadressiribal ja vajutage ENTER.
  2. Sisestage mandaatide dialoogiboksi kasutatav kasutajanimi ja parool. Selles näites kasutame vaikedomeeni administraatori konto kasutajanime ja parooli.
  3. Lehel Tervitused Registreerimissaidil järgige linki Laadige üles CA sertifikaat, sertifikaadiahel või CRL.

Joonis 17

  1. Dialoogiboksis, mis hoiatab teid selle eest Veebisait soovib selle programmi abil teie arvutis veebisisu avada, klõpsake Lubama. Seejärel klõpsake Sulge dialoogiboksis Kas märkasite infoakent kui see ilmub.Allalaadimine on lõpetatud.
  2. Sulge Internet Explorer.

Nüüd peame installima CA-sertifikaadi VPN-kliendi masina usaldusväärsete juursertifitseerimisasutuste sertifikaatide poodi. Selleks tehke järgmist.

  1. Klõpsake Alusta, seejärel sisestage mmc otsinguribale ja vajutage ENTER.
  2. Klõpsake Jätka UAC dialoogiboksis.
  3. Aknas Konsool 1 vajutage menüüd Fail ja seejärel klõpsake Lisa/eemalda klõps.
  4. Dialoogiboksis Lisa või eemalda lisandmoodulid vali Sertifikaadid nimekirjas Saadaolevad lisandmoodulid, seejärel vajutage Lisama.
  5. Lehel Snap sertifikaadid valige suvand Arvuti konto ja klõpsake lõpetama.
  6. Lehel Valige arvuti valige suvand kohalik arvuti ja klõpsake lõpetama.
  7. Klõpsake Okei dialoogiboksis Lisage või eemaldage lisandmoodulid.
  8. Laiendage konsooli vasakpoolsel paneelil vahekaarti Sertifikaadid (kohalik arvuti) ja seejärel laiendage vahekaarti Klõpsake lõpetama Lehel Sertifikaatide impordi lõpuleviimine.
  9. Klõpsake Okei dialoogiboksis, mis teavitab teid importimise õnnestumisest.
  10. Sertifikaat kuvatakse nüüd konsoolis, nagu on näidatud alloleval joonisel.

Joonis 24

  1. Sulgege MMC-konsool.

Kliendi konfigureerimine SSTP-d kasutama ja VPN-serveriga ühenduse loomiseks SSTP kaudu

Ja nüüd on peaaegu kõik valmis! Nüüd peame VPN-ühenduse keelama ja VPN-kliendi konfigureerima VPN-protokolli jaoks SSTP-d kasutama. Tootmiskeskkonnas ei pea te seda sammu kasutajate jaoks kasutama, kuna kasutate ühendusehalduri halduskomplekti, et luua kasutajale VPN-ühendusobjekt, mis sisaldab SSTP-d kasutavat klienti, või konfigureerite ainult SSTP-porte. VPN-serveris.

Kõik sõltub keskkonna konfiguratsioonist, kuna peate selle ajastama, et kasutajad saaksid sertifikaatide installimise ajal mõnda aega PPTP-d kasutada. Loomulikult saate CA-sertifikaate installida võrguühenduseta, st veebisaidilt või e-posti teel alla laadides, sel juhul ei pea te PPTP-kasutajaid lubama. Kui aga mõned kliendid SSTP-d ei toeta, peate lubama PPTP või L2TP/IPSec ja te ei saa keelata kõiki mitte-SSTP-porte. Sellisel juhul peate tuginema käsitsi konfigureerimisele või värskendatud CMAK-paketile.

Teine võimalus siin oleks siduda SSTP-klient RRAS-serveris kindla IP-aadressiga. Sel juhul saate luua kohandatud CMAK-i, mis viitab ainult IP-aadressile SSL VPN-serveris, mis kuulab võrgus sissetulevaid SSTP-ühendusi. Teised SSTP VPN-serveri aadressid kuulavad võrgus PPTP- ja/või L2TP/IPSec-ühendusi.

PPTP-seansi keelamiseks ja VPN-kliendi ühenduse objekti SSTP-d kasutama konfigureerimiseks tehke järgmised toimingud.

  1. Avage VPN-kliendi arvutis aken Võrgu- ja kommutatsioonikeskus, nagu me varem tegime.
  2. Aknas Võrgu- ja kommutatsioonikeskus klõpsake lingil Katkesta ühendus, mis asub otse lingi all Kuva olek. Peatükk SSL VPN kaovad aknast Võrgu- ja kommutatsioonikeskus.
  3. Aknas Võrgu- ja kommutatsioonikeskus klõpsake lingil Võrguühenduse haldus.
  4. Paremklõpsake lingil SSL VPN ja valige vahekaart Omadused.

Joonis 25

  1. Dialoogiboksis SSL VPN-i atribuudid minge vahekaardile Net. Aknas VPN-i tüüp vajutage allanoolt ja valige suvand Secure Socket Tunneling Protocol (SSTP), seejärel vajutage

Joonis 29

Thomas Shinder

| Väljaannete nimekirja

Turvaline kaugjuurdepääs SSL VPN-i kaudu

Boriss Borisenko, asjatundja

TEHNOLOOGIA VPN on muutunud laialt levinud vahendina, mis tagab töötajale turvalise juurdepääsu ettevõtte kohtvõrku mõnest füüsiliselt kaugel asuvast punktist. SSL-põhised VPN-id töötati välja abi- ja alternatiivtehnoloogiana IPsec VPN-i kaudu kaugjuurdepääsuks. Turvaliste sidekanalite loomise hind ja usaldusväärsus on aga muutnud SSL VPN-i väga atraktiivseks tehnoloogiaks. SSL VPN-i koondajatel on (võrreldes traditsiooniliste VPN-seadmetega) lisafunktsioonid. Enamik tulemüüre pakub veebirakenduste avaldamist Internetti portide, võrguaadresside tõlkimise (NAT) ja võrgu marsruutimise kaudu, kuid ei paku krüptoandmete kaitset kõrgemal tasemel, kui rakenduste pakutav tase. IPsec VPN-i kasutajad saavad ettevõtte võrguga ühenduse luua sarnaselt LAN-i otseühendusega. See krüpteerib kõik VPN-serveri ja kliendi vahel edastatavad andmed. Enamik VPN-seadmeid nõuab aga spetsiaalset kliendiprogrammi. SSL VPN-i jaoturid kasutavad brauserit, et võimaldada kaugtöölistel juurde pääseda mitte ainult sisemistele veebisaitidele, vaid ka rakendustele ja failiserveritele. Vaatame mõningaid kõige huvitavamaid SSL VPN-i kasutavaid kaugjuurdepääsu lahendusi.

ZyWALL SSL 10

See on SSL-krüptimisega virtuaalne privaatvõrgu lüüs, mis võimaldab VPN-ühenduse kaudu korraldada turvalist kaugjuurdepääsu võrkudele ja rakendustele ilma kliendiosa esmalt installimata. Seadet pakutakse väikeste ja keskmise suurusega ettevõtete võrkudele.

Interneti või DMZ-ga ühenduse loomiseks on ette nähtud WAN-liides, lüliti nelja LAN-pordi jaoks, RS 232 DB9 port konsooli kaudu juhtimiseks (see seade pakub vähem võimalusi kui sama ZyWALL 1050). ZyWALL SSL 10 ei toeta mitte ainult otsest juurdepääsu sisevõrgu kasutajate andmebaasidele, vaid töötab ka Microsoft Active Directory, LDAP ja RADIUSega. Lisaks on võimalik kasutada kahefaktorilist autentimist (kasutades ZyWALL OTP võtmehoidjaid).

Otsejuurdepääsu ettevõtte võrguressurssidele pakub kaugkasutajate arvutitesse alla laaditud SecuExtenderi klient. Pärast seda saavad teatud kasutajakategooriad administraatorite loal hõlpsasti IPseci abil võrgutunneleid korraldada. Administraatorid saavad konfigureerida ka kasutajarühmade, võrguaadressivahemike või erinevate rakenduste turvapoliitikaid.

ZyWALL SSL 10 toetab 10 samaaegset turvalist seanssi koos võimalusega suurendada kuni 25 SSL-seanssi. Võrgus saab seadet kasutada kas olemasoleva lüüsi taga (joonis 2) või uue lüüsina (joonis 3). Esimesel juhul saab ZyWALL SSL 10 turvalisuse suurendamiseks ühendada DMZ-porti. Teises - modemile ja veebiserverile - ZyWALLile. Liiklus veebiserverist kaugkasutajale toimub VPN-tunneli kaudu.

Toetatud valikud hõlmavad TLS-protokolli, krüptimist, sertifikaate - 256-bitine AES, IDEA, RSA, räsimist - MD5, SHA-1. Huvitav omadus on üsna suur valik pistiku düüse (mis tahes pistikupesade ja võrkude jaoks).

Netgear ProSafe SSL VPN Concentrator SSL312

Seade võimaldab teil samaaegselt töötada ettevõtte võrguga kuni 25 kaugkliendiga. Ühenduse loomiseks kasutatakse ActiveX komponente, mida saab otse seadmest alla laadida ja installida.

Kliendil peab aga asjakohaste ActiveX-komponentide installimiseks olema süsteemile juurdepääs administraatoriõigustega. Lisaks peavad brauseri sätted olema seadistatud nii, et need lubaksid kasutada ActiveX-i komponente. Võimalik, et peate installima ka Windowsi värskendused. Riistvara sisaldab kahte LAN-porti ja ühte jadaporti. Sisselogimisel valitakse autentimisvõimalus: kasutajate andmebaas, Windows NT domeen, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). Kaugserveri kaudu juurdepääsemisel peab viimane olema saadaval ja enne seda peab olema konfigureeritud liikluse suunamine.

Kui DRAM-mälu maht on nii Netgear SSL312 kui ka ZyWALL SSL 10 puhul sama, siis Netgeari välkmälu on selgelt kehvem (16 versus 128 MB). Ka Net-gear SSL312 protsessor kaotab ZyWALLile (200 versus 266 krüptograafilise kiirendiga). Erinevalt Netgear SSL312-st toetab ZyWALL SSL-protokolli versiooni 2.0.

Seadme kasutamiseks on kaks võimalust. Esimesel juhul kasutatakse ainult ühte kahest Netgear SSL312 Etherneti pordist. Seejärel peab lüüs HTTPS-i kaudu juurde pääsema Netgeari SSL312-le. Teine kasutusjuhtum on kasutada mõlemat Netgear SSL312 Etherneti porti ilma, et SSL-liiklus tulemüüri läbiks. Seadme ühele Etherneti pordile on määratud avalik IP-aadress ja teisele sisevõrgus privaatne IP-aadress. Pange tähele, et Netgear SSL312 ei täida ega asenda NAT-i ja ITU-funktsioone.

Kaugkohavõrgus võrguteenustega töötamiseks on kaks võimalust: VPN-tunnel, mis luuakse kasutaja ja seadme vahel, või pordi suunamine. Mõlemal meetodil on eelised ja puudused. VPN-tunnel võimaldab teil korraldada täieõigusliku ühenduse kaugkohavõrguga, kuid see ei võimalda teil teha iga teenuse jaoks eraldi seadeid. Pordiedastus võimaldab töötada ainult TCP-ühendustega (UDP-d ja teisi IP-protokolle ei toetata), iga rakenduse reeglid määratakse eraldi.
Netgear SSL312 ei toeta dünaamilist DNS-i, mis on samuti puudus.

SSL VPN Juniper Networks Secure Access 700

SSL VPN kaugjuurdepääsu lahendus on mõeldud ka väikestele ja keskmise suurusega ettevõtetele. Nii kasutaja kui ka administraatori liides on korraldatud veebibrauserina. VPN-kliendi installimine kaugarvutisse pole vajalik. Kaasas on kaks RJ-45 Etherneti porti ja üks jadaport. Juniper SA 700 kontrollib automaatselt kaugarvutit ja sõltuvalt installitud tarkvara tulemustest määrab erinevaid juurdepääsuõigusi.

Võimalik toetada kuni 25 samaaegset kasutajat. Autentimis- ja autoriseerimisvalikud hõlmavad järgmist: Microsoft Active Directory/Windows NT, LDAP, NIS, RADIUS, RSA, SAML, sertifikaadiserver. Seade võimaldab juurdepääsu Windowsi/SMB, Unixi/NFS failiressurssidele, veebirakendustele, sh JavaScripti, XML-i, Flashi kasutavatele; Toetatud on Telneti ja SSH protokollid. Ettevõtte meilile pääseb juurde tavalise e-posti kliendi abil, mis on konfigureeritud SSL-i kaudu turvaliselt ühenduse loomiseks Juniper SA 700-ga. Selleks on aga vaja litsentsi "põhikliendita veebijuurdepääs".

Juniper SA 700 võimaldab kaugarvuti automaatset skannimist, kui sellele on installitud viirusetõrjetarkvara, isiklik tulemüür ja muud turvaprogrammid. Kõik seansi ajal vajalikud puhverserveri allalaadimised ja ajutised failid kustutatakse pärast seansi lõppu.

Koostöö alustamisest on möödas üle aasta . Kirjeldatud konfiguratsiooni kasutamise kogemus on kogunenud, selle plussid ja miinused on välja selgitatud ning tehtud järeldused. Nendele järeldustele tuginedes jätkame selles märkuses turvaliste VPN-ühenduste seadistamise teema arendamist ja kaalume vajalikke samme protokolliga töötamise võimaluse korraldamiseks. SSTP (Secure Socket Tunneling Protocol).

Kasutajakogemus L2TP/IPsec VPN on näidanud, et selgete samm-sammult ühendamise juhiste abil saab enamik kasutajaid sellise VPN-ühenduse ilma probleemideta iseseisvalt seadistada. Kuid ikkagi on alati inimesi, kellel õnnestub isegi sellistes tingimustes vigu teha, ja seetõttu on kusagil taustal alati vilkunud idee vajadusest VPN-ühenduse loomise protsessi lihtsustada. Lisaks tekkis paljudes olukordades probleem mõne L2TP / IPsec VPN-i jaoks vajalike portide blokeerimisel, mis tuvastati ISP tasemel. Ja mõnikord jõudis see absurdini, kui sama Interneti-teenuse pakkuja L2TP / IPsec-liiklus edastati vabalt ühes linna otsas ja blokeeriti teises linna otsas. Oleme isegi mõtteliselt jaotanud erinevate Interneti-pakkujate tsoonid segmentideks, kus L2TP / IPsec VPN töötab laitmatult, ja tsoonideks, kus on kindlasti probleeme ja peame mõtlema alternatiivsetele võimalustele juurdepääsuks kohalikele ettevõtte võrguressurssidele. Lisaks on olnud juhtumeid, kui ärireisijad ja "puhkajad", kes üritasid eemalt "hotelli Interneti" kaudu ühendust saada, kogesid probleeme samade probleemide tõttu vajalike portide blokeerimisega. Muidugi mõistsime enne L2TP/IPsec VPN-i juurutamist kõiki neid riske ja valdavas enamuses probleemsetest olukordadest oli mingi lahendus, kuid iga sellise olukorra "setted" jäid ebameeldivaks.

Hakkasin meenutama, miks varem langes minu valik L2TP / IPsec-ile. Määravaid tegureid oli kaks – vastuvõetav turvalisuse tase ja tugi laiemale hulgale kliendi operatsioonisüsteemidele. Mäletan, et tol ajal huvitas mind protokoll SSTP, kuid paar tegurit panid mind sellest tehnoloogiast eemalduma. Esiteks oli meil sel ajal veel piisavalt palju Microsoft Windows XP-l põhinevaid kliente ja nagu teate, pole selles OS-is SSTP-d toetatud. Teiseks ei olnud mul võimalust kasutada SSTP-ühenduste turvamiseks avalikku sertifikaati ettevõtte domeeninimedega ning ma ei soovinud seda sisemise spetsiaalse CA-sertifikaadiga asendada, kuna sellega kaasnes probleeme selle juursertifikaadi levitamisega Interneti-kliendid ja sertifikaatide tühistamise nimekirja avaldamine ( Sertifikaatide tühistamise loendCRL) Internetis.

Kuid aeg läks, Windows XP-ga kliente oli suurusjärgu võrra vähem (ettevõtte infoturbepoliitika tugevdamine ja Microsofti agressiivsed reklaamifirmad OS-i uuendamiseks tegid oma töö) ja sain võimaluse töötada avaliku sertifikaadiga. Lisaks sattusin teabele, et sellistes operatsioonisüsteemides nagu Linux ja Apple Mac OS X on SSTP-ühendusi toetavat klienttarkvara juba ammu üsna edukalt ära kasutatud, hoolimata sellest, et omal ajal kuulutati sellele protokollile ette "Win-isolation" selle varaline olemus.

Seega on meil kindlasti aeg praktikas kogeda kõiki SSTP eeliseid, eelkõige võimalust töötada peaaegu igas keskkonnas, kus iganes on võimalus kasutada standardset Interneti-ühendust HTTPS-protokolli (TCP 443) abil. See tähendab, et SSTP-d kasutades ei tohiks VPN-ühendusega teoreetiliselt probleeme tekkida kuskil, ei kodust (isegi kui kasutate kõikvõimalikke NAT-e ja kõikvõimalikke kohalike Interneti-pakkujate võrguseadmete kõveraid sätteid) ega hotellis (isegi puhverserveri kasutamise tingimusel) või mujal. Lisaks on klientsüsteemis SSTP-d kasutades VPN-ühenduse seadistamise protseduur häbiväärselt lihtsustatud ja see ei hõlma digitaalsete sertifikaatidega manipuleerimist (eeldusel, et serveri poolel kasutatakse avalikku sertifikaati).

Peamised nõuded klientidele ja nende seadistusele

Kui me räägime OS-il põhinevatest kliendisüsteemidest Microsoft Windows, siis peate arvestama, et SSTP töötab süsteemides alates Windows Vista hoolduspakett SP1 ja hiljem. Windows Vista hoolduspaketist SP1 alla kuuluvate klientsüsteemide jaoks, sealhulgas vormis veel "elusate mammutite" jaoks Windows XP, nagu varemgi, eeldatakse, et kasutatakse protokolli L2TP/IPsec koos kõigi sellest tulenevate asjaoludega, mida eespool mainisin. Protokolli kasutamisest PPTP, nagu juba pikka aega kompromissitud, tehakse ettepanek sellest täielikult keelduda. Lingid värskendatud juhistele SSTP-ühenduse seadistamiseks Windowsi kliendi operatsioonisüsteemides leiate selle artikli lõpust.

OS-põhiste klientsüsteemide jaoks Linux Avatud lähtekoodiga projekt näitab end üsna elujõulisena. Olen juba ette valmistanud samm-sammult juhised Linuxi süsteemide mitte eriti kogenud kasutajatele, kasutades seadistamise näidetUbuntu Linux 14.04 Ja 15.04 /15.10 .

OS-põhiste kliendisüsteemide kohta Apple MacOS Ma ei oska veel midagi arusaadavat öelda, kuna mul pole neid lihtsalt käepärast. Vastavalt olemasolevale pinnainfole saate kasutada (konsoolivalikuna) või saate kasutada selle alusel loodud pakettiiSSTP juhitakse graafilise liidese kaudu. Loodan, et lähitulevikus rõõmustab Vitaly Yakob meid vastava kasutusjuhendiga.

Üldine nõue kõigile klientidele on, et SSTP VPN-klient peab saama kontrollida sertifikaatide tühistamise loendeid (CRL-e), et kinnitada, et VPN-serveri pakutud sertifikaati pole tühistatud. Seda tüüpi kontrolli saab kliendi poolel keelata, kuid see ei ole parim turvalahendus ja seda tuleks kasutada ainult viimase abinõuna.

Põhinõuded VPN-serverile ja selle konfiguratsioonile

Meie puhul on VPN-ühenduse serveri osa laienduseks VPN-serveritel põhinev Windows Server 2012 R2 rolliga kaugjuurdepääs.

VPN-serveri peamistest nõuetest, nagu ülaltoodust ilmselt selgub, on sellele installitud sertifikaadi olemasolu. Sellise sertifikaadi saate avalikest CA-dest ja reeglina maksavad sellised sertifikaadid palju raha. Aga on ka näiteks tasuta võimalusi WoSigni tasuta SSL-sertifikaadid . Mul endal pole sellise CA-ga veel kogemusi olnud ja seetõttu on huvitav kuulda teie kommentaare selle teema kohta.

VPN-serveri sertifikaadi nõuded

SSTP jaoks on oluline, et kolmanda osapoole avalikult CA-lt sertifikaadipäringu genereerimisel peate meeles pidama, et taotletav sertifikaat peab sisaldama rakendusepoliitikat ( Laiendatud võtmekasutus, EKU) - Serveri autentimine (1.3.6.1.5.5.7.3.1 ). Loomulikult tuleks sellise sertifikaadi puhul lubada privaatvõtme eksporti, kuna näiteks klastri konfiguratsiooni kasutamisel võib tekkida vajadus sertifikaadi installida mitmesse VPN-serverisse.

Saadud sertifikaadi kohustuslik nõue on ka see, et sertifikaadi kehtetuks tunnistamise nimekiri ( CRL) peab olema Internetis kättesaadav, kuna SSTP-ühenduse loomise alguses proovib klientarvuti kontrollida, kas VPN-serveri antud sertifikaat on tühistatud. CRL pole saadaval – SSTP-ühendus puudub.

Saadud sertifikaat installitakse sertifikaadisalve VPN-serverisse kohalik arvuti\Isiklik ja see peab olema seotud selle sertifikaadi privaatvõtmega.

Samuti on ütlematagi selge, et väljastanud CA-d peavad usaldama mitte ainult meie VPN-serverid, vaid ka kõik meie välised Interneti-kliendid, kes loovad ühenduse nende serveritega SSTP kaudu. See tähendab, et juursertifikaat (neid võib olla mitu) peab olema kõigis sertifikaadisalve arvutites kohalik arvuti\Usaldusväärsed Juursertimiskeskused. Teavet nende nõuete kohta leiate artiklistTechNeti raamatukogu – RRAS-i konfigureerimine arvuti autentimissertifikaadiga . Enamikus kaasaegsetes kliendi operatsioonisüsteemides uuendatakse avalike juursertifikaatide kogu automaatselt Interneti-püsiühenduse olemasolul.

Kaugjuurdepääsu rolli konfigureerimine

Kui sertifikaat on VPN-serverisse installitud, avage lisandmoodul Marsruutimine ja kaugjuurdepääs ja vahekaardil VPN-serveri atribuutides turvalisus valige jaotises SSTP jaoks see sertifikaat SSL-sertifikaadi sidumine

Selle valiku muutmisel palutakse teil RRAS-teenused automaatselt taaskäivitada. Nõustume teenuste taaskäivitusega.

Edasi rubriigis Sadamad lisa porte SSTP. Meie näites on enamik porte eraldatud SSTP-ühenduste jaoks ja väike osa portidest on eraldatud klientidele, kellel puudub SSTP tugi, näiteks Windows XP. PPTP-protokolli kaudu ühenduse loomise võimalus on täielikult keelatud.

Lisateavet PPTP-ühenduse õige keelamise kohta leiate artiklistMarsruutimine Kuidas... PPTP- või L2TP-pordi lisamine . Ekraanipildi näide:

Pärast muudatuste tegemist kontrollime meie VPN-serveris töötavaid TCP-kuulajaid (TCP-kuulajaid). Nende hulgas peaks ilmuma pordi 443 kuulaja, millel VPN-server aktsepteerib kliendiühendusi SSTP-protokolli kaudu:

netstat -na | leia tänav 443

Ärge unustage tulemüüri konfigureerida, lubades reegli, mis on pärast kaugjuurdepääsu rolli installimist ja konfigureerimist juba olemas Secure Socket Tunneling Protocol (SSTP-In)

Lisaks saate sissetuleva lubamise reegli keelata PPTP- ühendused pordi kohta TCP 1723(vaikekonfiguratsioonis nimetatakse seda reeglit " Marsruutimine ja kaugjuurdepääs (PPTP-sisend)")

Kuna meie VPN-server on liige NLB-klastri, peame lisaks looma reegli, mis võimaldab pordi tasakaalustamist TCP 443.

Tehtud sätetest piisab, et meie VPN-server saaks SSTP-ühendusi edukalt vastu võtta.

VPN-kliendi ühenduse kontrollimine

Kliendimasinas, millel on pordi 443 kaudu otsene juurdepääs Internetile, seadistame test VPN-ühenduse ja ühendame ...

Serveri poolel jälgime samal ajal, et klient kasutaks üht meie varem loodud tasuta SSTP-portidest ...

Juhised kasutajatele

Nagu varem märgitud, tuleks ettevõtte VPN-serveritega Interneti kaudu ühenduse loovate kasutajate jaoks välja töötada selged samm-sammult juhised. Sain testida (ja paralleelselt arendada kasutajatele samm-sammult juhiseid) VPN-ühendusi järgmistes operatsioonisüsteemides:

  • Windows XP 32-bitine RU SP3
    (Juhend on ümber kirjutatud võttes arvesse L2TP / IPsec kasutamist, kuid töötava PPTP puudumisel. Sertifikaadi küsimine ja installimine toimub kahes etapis erinevate skriptidega)
  • Windows Vista äri 32-bitine RU SP2 (SSTP)
  • Windows 7 Pro 32-bitine RU SP1 (SSTP)
  • Windows 8.1 Pro 64-bitine RU (SSTP)
  • Ubuntu töölaua Linux 14.04 64-bitine (SSTP)
  • Ubuntu töölaua Linux 15.04 64-bitine (SSTP)
  • Ubuntu töölaua Linux 14.10 64-bitine (SSTP)

DOCX-vormingus juhised (ja ka vajalikud käivitatavad failid), mida saate soovi korral oma keskkonnaga kohandada, saab alla laadida aadressilt link . Mõned juhised on saadaval veebis vaatamiseks ja aruteluks. .

SSL VPN-Plus tehnoloogia võimaldab pakkuda kaugtöötajatele juurdepääsu teie pilvandmekeskusele. See annab töötajatele turvalise juurdepääsu ainult neile ressurssidele, mida peetakse nende töötajate jaoks vajalikuks, isegi kui juurdepääs pärineb avalikust masinast, mis on väljaspool ettevõtte kontrolli ja mida peetakse ebausaldusväärseks.

See artikkel sisaldab teavet seadistamise kohta SSL VPN Plus.

Kasutatud topoloogia:

  1. Peatükis Administreerimine minge soovitud andmekeskusesse. Ilmuvas seadete menüüs minge vahekaardile "Edge Gateways". Valige soovitud "vShield Edge". Paremklõpsake ja valige kuvatavast menüüst suvand. Edge Gateway teenused.
  1. Vahekaardi avamine SSL VPN Plus, minge vahekaardile Serveri seaded ja aktiveerige SSL VPN-server, vajutades lülituslülitit Lubatud.

Seejärel valige vShieldi IP-aadress, port - 443, kontrollige kõiki krüpteerimisalgoritme.

  1. Vahekaardil Kliendi konfiguratsioon kontrollige, mis on valitud Tunneldamisrežiim – poolitatud



  1. Vahekaardil Kasutajad iga ühendava töötaja jaoks loome ühendamiseks üksikasjad.

  1. Vahekaardil IP basseinid looge IP-aadresside vahemik, mis määratakse ühendatavatele arvutitele



  1. Vahekaardil Paigalduspaketid luua kliendiprogrammi installipaketi sätted. Gateway (vShield) IP-aadressile juurdepääsul laaditakse alla SSL VPN-Plus klientprogramm.


Valige linnukeste abil operatsioonisüsteemide tüübid, millest ühendused luuakse. See on vajalik paigalduspakettide esialgseks moodustamiseks.

  1. Vahekaardil Privaatvõrgud määrame pilvandmekeskuste võrkude vahemikud, millele ühendatud töötajal on juurdepääs

  1. Sellel seadistamine lõpetatud. Nüüd saate linki https://195.211.5.130/sslvpn-plus/ järgides ja sisse logides alla laadida SSL VPN-plus klientprogrammi ja luua ühenduse pilvandmekeskusega.