Обезбедете далечински пристап преку SSL VPN. Инструкции за корисниците

VPN мрежите навлегоа во нашите животи многу сериозно, и мислам дека долго време. Оваа технологија се користи и во организациите за обединување на канцелариите во една подмрежа или за обезбедување пристап до внатрешни информации за мобилните корисници, и дома кога пристапувате на Интернет преку провајдер. Слободно може да се каже дека секој од администраторите сигурно поставил VPN, исто како што секој корисник на компјутер со пристап до Интернет ја користел оваа технологија.

Всушност, во моментов, технологијата IPSec VPN е многу распространета. За тоа се напишани многу различни написи, технички и рецензио-аналитички. Но, релативно неодамна се појави SSL VPN технологијата, која сега е многу популарна во западните компании, но во Русија сè уште не обрнале големо внимание на тоа. Во оваа статија, ќе се обидам да опишам како IPSec VPN се разликува од SSL VPN и какви предности дава употребата на SSL VPN во една организација.

IPSecVPN - неговите предности и недостатоци

Најпрво Би сакал да привлечам внимание на дефиницијата за VPN, најчестата е „VPN е технологија која поврзува доверливи мрежи, домаќини и корисници преку отворени мрежи на кои не им се верува“ (© Check Point Software Technologies).

Навистина, во случај на доверливи домаќини, користењето на IPsec VPN е најисплатливиот начин. На пример, за поврзување на мрежи на оддалечени канцеларии во една корпоративна мрежа, не е потребно поставување или изнајмување наменски линии, туку користи Интернет. Како резултат на градење безбедни тунели помеѓу доверливи мрежи, се формира единствен IP простор.

Но, кога се организира далечински пристап за вработените, решенијата IPsec се користат за ограничен број само доверливи уреди, на пример, за лаптопи на корпоративни корисници. За да користите IPsec VPN, ИТ услугата мора да инсталира и конфигурира VPN клиент на секој доверлив уред (од кој е потребен далечински пристап) и да ја поддржува работата на оваа апликација. При инсталирање решенија IPsec, неопходно е да се земат предвид нивните „скриени“ трошоци поврзани со поддршка и одржување, бидејќи за секој тип на мобилен клиент (лаптоп, PDA, итн.) и секој тип на мрежна околина (пристап преку интернет провајдер , пристап од мрежата на компанијата -клиент, пристап со помош на превод на адреса) бара оригинална конфигурација на клиентот IPsec.

Покрај поддршката, постојат неколку многу важни проблеми:

  • Не сите доверливи мобилни уреди што ги користи компанијата имаат VPN клиенти;
  • Во различните подмрежи од кои е направен пристапот (на пример, корпоративната мрежа на партнер или клиент), потребните порти може да се затворат и потребно е дополнително одобрение за нивно отворање.

Вакви проблеми не се јавуваат при користење на SSL VPN.

SSLVPN – кориснички алгоритам

Да претпоставиме дека сте на службено патување, а вашата компанија не можела да ви обезбеди лаптоп за време на службеното патување. Но, ви треба:

  • За време на вашето отсуство од канцеларија, не испаѓајте од работниот процес;
  • Испраќајте и примајте е-пошта;
  • Користете податоци од сите деловни системи што работат во вашата компанија.

На дофат на раката, во најдобар случај, е компјутер на мрежата на организацијата каде што сте на службено патување, со пристап до интернет само преку http/https протоколот во најлош случај, обично интернет кафе во вашиот хотел;

SSL VPN успешно ги решава сите овие проблеми, а нивото на безбедност ќе биде доволно за работа со критични информации од интернет кафе...
Во суштина го правите следново:

  • Потребен ви е само интернет прелистувач (Internet Explorer, FireFox, итн.);
  • Во интернет прелистувачот, напишете ја адресата на уредот SSL VPN;
  • Следно, Java аплет или компонента ActiveX автоматски се презема и стартува, што ве поттикнува да се автентицирате;
  • По автентикацијата, автоматски се применуваат соодветните безбедносни политики:
    • се врши проверка за злонамерен код (ако е откриен, тој е блокиран);
    • се создава затворена средина за обработка на информации - сите податоци (вклучувајќи привремени датотеки) пренесени од внатрешната мрежа ќе бидат избришани од компјутерот од кој е направен пристап по завршувањето на сесијата;
    • Исто така за време на сесијата се користат дополнителни средства за заштита и контрола;
  • По успешното завршување на безбедносните процедури, сите потребни врски ви стануваат достапни „со еден клик“:
    • Пристап до сервери за датотеки со можност за пренос на датотеки на серверот;
    • Пристап до веб-апликации на компанијата (на пример, внатрешен портал, Outlook Web Access итн.);
    • Пристап до терминалот (MS, Citrix);
    • Алатки за администратори (на пример, ssh конзола);
    • И, се разбира, можност за полноправна VPN преку протоколот https (без потреба од претходно инсталирање и конфигурирање VPN клиент) - конфигурацијата се пренесува директно од канцеларијата, во согласност со податоците за автентикација.

Така, користењето на SSL VPN решава неколку проблеми:

  • Значително поедноставување на процесот на администрација и поддршка на корисниците;
  • Организирање безбеден пристап до критични информации од недоверливи јазли;
  • Можност за користење на било кои мобилни уреди, како и на кој било компјутер (вклучувајќи и интернет киосци) со пристап до Интернет (без прелиминарни инсталации и поставки на специјален софтвер).

SSLVPN - производители и можности

На пазарот на SSL VPN доминираат хардверски решенија. Меѓу добавувачите на SSL VPN решенија се сите познати производители на активна мрежна опрема:

  • Cisco
  • Huawei
  • Џунипер
  • Nokia
  • итн.

Меѓу имплементациите на софтверот, специјалистите на Alatus истакнуваат решение засновано на SSL Explorerкомпании 3SP Ltd, кој најблиску ги задоволува барањата на клиентите.

Исто така, би сакал да дадам табела со споредување на можностите на IPSec VPN и SSL VPN:

Карактеристично

IPSec VPN

Поддршка за апликација

Поддршка за деловни апликации

Поддршка за HTTP апликација

Поддршка за пристап до сервери за датотеки

Поддршка за пристап до терминал

Мрежна архитектура

Корпоративен компјутер

Мобилен компјутер

Работа од мрежа од трета страна (зад заштитен ѕид)

-
(Потребни се порти за отворање)

+
(Работете преку https)

Јавен компјутер (интернет кафе)

-
(Потребна е инсталација на клиентот)

PDA, комуникатор

-+
(Уредот мора да има VPN клиент)

Обезбедување заштита

Силна способност за автентикација

+ (Во повеќето случаи)

Веб едно најавување

-

Автоматска примена на безбедносни политики во зависност од видот на објектот и корисникот

-
(Потребни се дополнителни решенија)

дополнително

Технологија без клиент

+
(Интернет експлорер е доволен)

Леснотија на имплементација

Зависи од решението

Леснотија на конфигурација

Зависи од решението

Леснотија на поддршка

Зависи од решението

SSL VPN во Русија

До денес, во Русија веќе се имплементирани доста голем број проекти за воведување далечински пристап базиран на SSL VPN технологија во компаниите. Но, како што беше споменато претходно, оваа технологија сè уште не добила популарност во Русија, додека производителите на овие решенија известуваат за многу голема побарувачка за нив кај западните компании.

Во првиот дел од оваа серија за поставување на Windows Server 2008 како SSL VPN сервер, опфатив дел од историјата на Microsoft VPN серверите и VPN протоколите. Претходната статија ја завршивме со опис на примерот на мрежата што ќе ја користиме во овој и во следните делови од серијата за да конфигурираме порта VPN што поддржува SSTP конекции со клиентите на Vista SP1.

Пред да започнеме, морам да признаам дека сум свесен дека постои чекор-по-чекор водич за создавање SSTP конекции за Windows Server 2008, кој се наоѓа на веб-страницата www.microsoft.com. Ми се чинеше дека овој напис не ја одразува реалната животна средина што организациите ја користат за доделување сертификати. Затоа, и поради некои проблематични прашања кои не беа опфатени во прирачникот на Microsoft, решив да ја напишам оваа статија. Верувам дека ќе научите малку ново ако ме следите низ оваа статија.

Нема да ги опфатам сите чекори почнувајќи од самите основи. Ќе се осмелам да претпоставам дека сте инсталирале контролер на домен и сте ги овозможиле улогите на DHCP, DNS и услуги за сертификати на овој сервер. Типот на сертификација на серверот мора да биде Enterprise и имате CA на вашата мрежа. Серверот VPN мора да биде поврзан со доменот пред да продолжите со следните чекори. Пред да започнете, треба да инсталирате SP1 за клиентот Vista.

Треба да ги следиме следниве постапки за да функционира нашето решение:

  • Инсталирајте IIS на VPN сервер
  • Побарајте машински сертификат за серверот VPN користејќи го Волшебникот за барање сертификат IIS
  • Инсталирајте ја улогата RRAS на серверот VPN
  • Активирајте го RRAS Server и конфигурирајте го да работи како VPN и NAT сервер
  • Конфигурирајте NAT сервер да објавува CRL
  • Поставете корисничка сметка за користење на dial-up врски
  • Конфигурирајте IIS на серверот за сертификати за да дозволите HTTP конекции за директориумот CRL
  • Конфигурирајте ја датотеката HOSTS за VPN клиент
  • Користете PPTP за да комуницирате со серверот VPN
  • Добијте CA сертификат од Enterprise CA
  • Конфигурирајте го клиентот да користи SSTP и поврзете се со серверот VPN користејќи SSTP

Инсталирање IIS на VPN сервер

Можеби ќе ви биде чудно што започнуваме со оваа постапка, бидејќи препорачувам никогаш да не инсталирате веб-сервер на мрежен безбедносен уред. Добрата вест е дека нема да мораме да го складираме веб-серверот на серверот VPN, туку ќе ни треба само некое време. Причината е што локацијата за регистрација вклучена со серверот за сертификати на Windows Server 2008 повеќе не е корисна за барање компјутерски сертификати. Всушност, тоа е сосема бескорисно. Интересното е што ако сепак одлучите да ја користите страницата за регистрација за да добиете сертификат за компјутер, ќе изгледа како да е примен и инсталиран сертификатот, но всушност тоа не е така, сертификатот не е инсталиран.

За да го решиме овој проблем, ќе го искористиме фактот што користиме CA на претпријатието. Кога користите Enterprise CA, можете да испратите барање до онлајн сервер за сертификати. Интерактивно барање за компјутерски сертификат е можно кога го користите Волшебникот за барање сертификат IIS и го барате она што сега се нарекува „Домен сертификат“. Ова е можно само ако машината што бара припаѓа на истиот домен како и Enterprise CA.
За да ја инсталирате улогата на веб-серверот IIS на серверот VPN, следете ги овие чекори:

  1. Отворете Windows 2008 Сервер менаџер.
  2. Во левиот панел на конзолата, кликнете на јазичето Улоги.
  1. Кликнете на менито Додадете улогина десната страна на десниот панел.
  2. Кликнете ПонатамуНа страницата Пред да започнете.
  3. Ставете ознака за проверка до линијата Веб-сервер (IIS)На страницата Изберете улоги на серверот. Кликнете Понатаму.

  1. Можете да ги прочитате информациите на страницата Веб-сервер (IIS), ако сакате. Ова се доста корисни општи информации за користење на IIS 7 како веб-сервер, но бидејќи нема да го користиме веб-серверот IIS на сервер VPN, оваа информација не е целосно применлива во нашата ситуација. Кликнете Понатаму.
  2. На страницата Изберете услуги за улогинеколку опции се веќе избрани. Меѓутоа, ако ги користите стандардните опции, нема да можете да го користите Волшебникот за барање сертификат. Барем така беше кога го тестирав системот. Нема услуга за улоги за Волшебникот за барање сертификат, затоа се обидов да ги проверам полињата до секоја опција Безбедност, и се чини дека успеа. Направете го истото за себе и кликнете Понатаму.

  1. Прегледајте ги информациите на страницата Потврдете го изборот на поставкии притиснете Инсталирајте.
  2. Кликнете ЗатвориНа страницата Резултати од инсталацијата.

Побарајте машински сертификат за VPN сервер користејќи го Волшебникот за барање сертификат IIS

Следниот чекор е да побарате машински сертификат за VPN серверот. VPN серверот бара машински сертификат за да создаде SSL VPN врска со компјутерот на клиентот SSL VPN. Заедничкото име на сертификатот мора да одговара на името што VPN клиентот ќе го користи за да се поврзе со SSL VPN портал компјутер. Ова значи дека ќе треба да креирате јавен DNS запис за името на сертификатот што ќе се реши на надворешната IP адреса на VPN серверот или на IP адресата на уредот NAT пред серверот VPN што ќе ја препрати врската на SSL VPN серверот.

За да побарате машински сертификат на серверот SSL VPN, следете ги овие чекори:

  1. ВО Сервер менаџер, проширете ја картичката Улогиво левиот панел и потоа проширете го јазичето Веб-сервер (IIS). Притиснете .

  1. Во конзолата Менаџер на Интернет информативни услуги (IIS).што се појавува десно во левиот панел, кликнете на името на серверот. Во овој пример името на серверот би било W2008RC0-VPNGW. Кликнете на иконата Серверски сертификативо десниот панел на конзолата IIS.

  1. Во десниот панел на конзолата, кликнете на врската Направете сертификат за домен.

  1. Внесете информации на страницата Дефинирани својства на името. Најважниот објект овде ќе биде Заедничко име. Ова е името што VPN клиентите ќе го користат за да се поврзат со серверот VPN. Ќе ви треба и јавен DNS запис за ова име за да го препознаете надворешниот интерфејс на серверот VPN или јавната NAT адреса на уредот пред серверот VPN. Во овој пример го користиме заедничкото име sstp.msfirewall.org. Подоцна ќе создадеме записи на датотеки HOSTS на компјутерот на клиентот VPN за да може да го препознае ова име. Кликнете Понатаму.

  1. Кликнете на копчето на страницата Изберете. Во полето за дијалог Изберете извор на сертификат, кликнете на името Enterprise CA и кликнете добро. Внесете пријателско име во редот Пријателско име. Во овој пример го користевме името SSTP сертификатда знаете дека се користи за SSTP VPN портата.

  1. Кликнете ЗавршиНа страницата Извор на онлајн сертификат.

  1. Волшебникот ќе започне, а потоа ќе исчезне. Потоа ќе видите дека сертификатот се појавува во конзолата на IIS. Кликнете двапати на сертификатот и видете го заедничкото име во делот Назначен за, и сега го имаме приватниот клуч што одговара на сертификатот. Кликнете доброза да го затворите полето за дијалог Сертификат.

Сега кога го имаме сертификатот, можеме да ја инсталираме улогата на серверот RRAS. Ве молиме имајте предвид што е многу важно инсталирај сертификатпред да ја инсталирате улогата на серверот RRAS. Ако не го направите ова, ќе се подготвите за големи главоболки бидејќи ќе треба да користите прилично сложена рутина на командната линија за да го поврзете сертификатот со клиентот SSL VPN.

Инсталирање на улогата на серверот RRAS на серверот VPN

За да ја инсталирате улогата на серверот RRAS, треба да ги завршите следните чекори:

  1. ВО Сервер менаџер, кликнете на јазичето Улогиво левиот панел на конзолата.
  2. Во делот Преглед на улогикликнете на врската Додадете улоги.
  3. Кликнете ПонатамуНа страницата Пред да започнете.
  4. На страницата Изберете улоги на серверотштиклирајте го полето до линијата. Кликнете Понатаму.

  1. Прочитајте ги информациите на страницата Мрежна политика и услуги за пристап. Повеќето се однесуваат на серверот за мрежна политика (кој претходно се нарекуваше сервер за автентикација на Интернет и во суштина беше сервер RADIUS) и NAP, ниту еден од елементите не е применлив во нашиот случај. Кликнете Понатаму.
  2. На страницата Изберете услуги за улогиставете ознака за проверка до линијата Услуги за рутирање и далечински пристап. Како резултат на тоа, ставките ќе бидат избрани Услуги за далечински пристапИ Рутирање. Кликнете Понатаму.

  1. Кликнете Инсталирајтево прозорецот Потврдете ги избраните поставки.
  2. Кликнете ЗатвориНа страницата Резултати од инсталацијата.

Активирање на серверот RRAS и негово конфигурирање како сервер VPN и NAT

Сега кога е инсталирана улогата RRAS, треба да ги овозможиме услугите RRAS, исто како што правевме во претходните верзии на Windows. Треба да ја активираме функцијата VPN сервер и NAT услугите. Активирањето на компонентата на серверот VPN е јасно, но можеби се прашувате зошто треба да го активирате серверот NAT. Причината за овозможување на серверот NAT е така што надворешните клиенти можат да пристапат до серверот за сертификати за да се поврзат со CRL. Ако клиентот SSTP VPN не успее да ја преземе CRL, врската SSTP VPN нема да работи.

За да го отвориме пристапот до CRL, ќе го конфигурираме VPN-серверот како NAT-сервер и ќе го објавиме CRL користејќи реверзибилен NAT. Во опкружување на корпоративна мрежа, најверојатно ќе имате заштитни ѕидови, како што е ISA Firewall, пред серверот за сертификати, така што ќе можете да објавувате CRL користејќи ги заштитните ѕидови. Меѓутоа, во овој пример единствениот заштитен ѕид што ќе го користиме е Windows Firewall на VPN серверот, така што во овој пример треба да го конфигурираме VPN серверот како NAT сервер.

За да ги активирате услугите RRAS, следете ги овие чекори:

  1. ВО Сервер менаџерпрошири го јазичето Улогиво левиот панел на конзолата. Проширете го јазичето Мрежна политика и услуги за пристапи кликнете на јазичето. Десен-клик на јазичето и кликнете Конфигурирајте и овозможете рутирање и далечински пристап.

  1. Кликнете Понатамуво прозорецот Добре дојдовте во Волшебникот за поставување сервер за рутирање и далечински пристап.
  2. На страницата Конфигурацијаизберете опција Пристап до виртуелни приватни мрежи и NATи притиснете Понатаму.

  1. На страницата VPN конекцијаизберете NIC во делот Мрежни интерфејси, кој го претставува надворешниот интерфејс на VPN серверот. Потоа кликнете Понатаму.

  1. На страницата Доделување на IP адресиизберете опција Автоматски. Можеме да ја избереме оваа опција затоа што имаме инсталиран DHCP сервер на контролерот на доменот зад серверот VPN. Ако немате DHCP сервер, тогаш ќе треба да ја изберете опцијата Од одредена листа со адреси, а потоа внесете список со адреси што VPN клиентите можат да ги користат кога се поврзуваат на мрежата преку портата VPN. Кликнете Понатаму.

  1. На страницата Управување со далечински пристап до повеќе сервериизберете Не, користете рутирање и далечински пристап за автентикација на барањата за поврзување. Ја користиме оваа опција кога серверите NPS или RADIUS не се достапни. Бидејќи серверот VPN е член на домен, можете да ги автентикувате корисниците користејќи сметки на домен. Ако VPN серверот не е дел од домен, тогаш може да се користат само локални сметки на VPN сервер, освен ако не изберете да користите NPS сервер. Во иднина ќе напишам статија за користење на NPS сервер. Кликнете Понатаму.

  1. Прочитајте ги општите информации на страницата Завршување на Волшебникот за конфигурација на рутирање и далечински пристапи притиснете Заврши.
  2. Кликнете доброво полето за дијалог Рутирање и далечински пристапшто ви кажува дека дистрибуцијата на пораките DHCP бара агент за дистрибуција на DHCP.
  3. Во левиот панел на конзолата, проширете го јазичето Рутирање и далечински пристапа потоа кликнете на јазичето Пристаништа. Во средното окно ќе видите дека WAN Miniport конекциите за SSTP сега се достапни.

Конфигурирање на NAT сервер за објавување на CRL

Како што реков претходно, клиентот SSL VPN мора да може да преземе CRL за да потврди дека сертификатот за серверот на серверот VPN не е оштетен или отповикан. За да го направите ова, треба да го конфигурирате уредот пред серверот за сертификација да испраќа HTTP барања за локацијата на CRL до серверот за сертификати.

Како да знам на која URL-адреса треба да се поврзе клиентот SSL VPN за да се преземе CRL? Оваа информација е содржана во самиот сертификат. Ако се вратите на серверот VPN и кликнете двапати на сертификатот во конзолата IIS како што правевте претходно, треба да можете да ги најдете овие информации.

Кликнете на копчето Деталина сертификатот и скролувајте надолу до записот Точки за дистрибуција на CRL, потоа кликнете на овој запис. Долниот панел ги прикажува различните точки на дистрибуција врз основа на протоколот што се користи за пристап до тие точки. Во сертификатот прикажан на сликата подолу, можеме да видиме дека треба да му дозволиме на клиентот SSL VPN пристап до CRL преку URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Ова е причината зошто треба да креирате јавни записи DNS за ова име, така што надворешните VPN клиенти можат да го доделат ова име на IP адреса или уред што ќе изврши обратен NAT или обратен прокси за да пристапи до веб-страницата на серверот за сертификати. Во овој пример треба да се поврземе win2008rc0-dc.msfirewall.orgсо IP адреса на надворешниот интерфејс на VPN серверот. Кога врската ќе стигне до надворешниот интерфејс на серверот VPN, серверот VPN ќе ја препрати NAT врската до серверот за сертификати.

Ако користите напреден заштитен ѕид, како што е заштитниот ѕид на ISA, можете да ги направите CRL-овите на сајтовите за објавување побезбедни со дозволување пристап самона CRL, а не на целата локација. Сепак, во оваа статија ќе се ограничиме на можноста за едноставен NAT уред, како што е оној што обезбедува RRAS NAT.

Треба да се забележи дека користењето на стандардното име CRL на страницата може да биде помалку безбедна опција бидејќи го открива приватното име на компјутерот на Интернет. Можете да креирате приспособена CDP (CRL Distribution Point) за да го избегнете ова ако мислите дека откривањето на приватното име на вашиот CA во јавен запис за DNS претставува безбедносен ризик.

За да го конфигурирате RRAS NAT да ги насочува барањата за HTTP до серверот за сертификати, следете ги овие чекори:

  1. Во левиот панел Сервер менаџерпрошири го јазичето Рутирање и далечински пристап, а потоа проширете го јазичето IPv4. Кликнете на јазичето NAT.
  2. Во табот NATкликнете со десното копче на надворешниот интерфејс во средниот панел на конзолата. Во овој пример, името на надворешниот интерфејс беше Поврзување на локалната област. Притиснете Својства.

  1. Во полето за дијалог, проверете го полето до Веб-сервер (HTTP). Ова ќе се појави прозорец за дијалог Услуга за уредување. Во текстуална линија Приватна адресаВнесете ја IP адресата на серверот за сертификација на внатрешната мрежа. Кликнете добро.

  1. Кликнете доброво полето за дијалог Својства за поврзување со локална област.

Сега кога NAT серверот е инсталиран и конфигуриран, можеме да го свртиме нашето внимание на конфигурирање на CA серверот и SSTP VPN клиентот.

Заклучок

Во оваа статија, го продолживме разговорот за поставување SSL VPN сервер користејќи Windows Server 2008. Разгледавме инсталирање IIS на серверот VPN, барање и инсталирање сертификат за сервер, инсталирање и конфигурирање на RRAS и NAT услугите на серверот VPN. Во следната статија ќе го завршиме разгледувањето на поставувањето CA сервер и SSTP VPN клиент. Се гледаме! Волумен.

SSL VPN-Plus технологијави овозможува да им обезбедите на далечинските вработени пристап до вашиот центар за податоци во облак. Ова осигурува дека вработените имаат сигурен пристап само до ресурсите кои се сметаат за неопходни за тие вработени, дури и ако пристапот е од јавна машина што е надвор од контрола на компанијата и се смета за „недоверлива“.

Оваа статија дава информации за поставување SSL VPN-Plus.

Користена топологија:

  1. Во поглавјето "Администрација"одете до саканиот центар за податоци. Во менито за поставки што се појавува, одете на јазичето „Edge Gateways“. Изберете го саканиот „vShield Edge“. Кликнете со десното копче и изберете ја опцијата од менито што се појавува „Услуги на Edge Gateway“.
  1. Отворете го јазичето SSL VPN-Plus, одете на картичката Поставки на сервероти активирајте го SSL VPN серверот со притискање на прекинувачот Овозможено.

Потоа изберете ја IP адресата vShield, порта – 443, проверете ги полињата за сите алгоритми за шифрирање.

  1. На јазичето Конфигурација на клиентотпроверете дали е избрано Режим на тунелирање - Сплит



  1. На јазичето КориснициНие создаваме детали за поврзување за секој вработен што се поврзува.

  1. На јазичето IP базеникреирајте опсег на IP адреси кои ќе бидат доделени на поврзување на компјутери



  1. На јазичето Инсталациони пакетикреирајте параметри за инсталациониот пакет на клиентска програма. Кога пристапувате до IP адресата на Gateway (vShield), ќе се преземе клиентската програма SSL VPN-Plus.


Користете ги полињата за избор за да изберете типови на оперативни системи од кои ќе се поврзуваат. Ова е неопходно за прелиминарното генерирање на инсталациони пакети.

  1. На јазичето Приватни мрежиги поставуваме опсезите на мрежите на облак центрите за податоци до кои ќе има пристап поврзаниот вработен

  1. На овој поставувањето е завршено. Сега, следејќи ја врската https://195.211.5.130/sslvpn-plus/ и најавувајќи се, можете да ја преземете клиентската програма SSL VPN-plus и да се поврзете со центарот за податоци на облак.

Далечинскиот пристап е многу важен денес. Со оглед на тоа што повеќе луѓе имаат потреба од пристап до информации зачувани на домашните и работните компјутери, можноста за пристап до нив од каде било стана критична. Помина времето кога луѓето велеа: „Ќе ви ги испратам овие информации веднаш штом ќе дојдам до мојот компјутер“. Оваа информација ви треба веднаш ако сакате да се натпреварувате во денешниот деловен свет.

Во каменото доба на компјутеризацијата, начинот да се добие далечински пристап до вашиот компјутер беше да се користи dial-up конекција. RAS dial-up конекциите функционираат преку редовни линии POTS (Обична стара телефонска услуга) со брзина на пренос на податоци до приближно 56 kbps. Брзината беше главниот проблем со овие врски, но уште поголем проблем беше цената на врската кога пристапот бараше долги растојанија.

Со зголемената популарност на Интернет, RAS конекциите стануваат сè помалку користени. Причината за ова беше појавата на VPN (виртуелна приватна мрежа) конекции. VPN конекциите ја обезбедуваа истата конекција од точка до точка како и Dial-up RAS конекциите, но го направија тоа побрзо и поевтино, бидејќи брзината на VPN конекцијата може да биде иста како брзината на интернет конекцијата и цената на врската не зависи од локацијата на дестинацијата. Единственото нешто што треба да го платите е интернет конекција.

Виртуелно приватно вмрежување

VPN-врската му овозможува на вашиот компјутер да креира виртуеленИ приватенповрзување со мрежата преку Интернет. Соединение виртуеленбидејќи кога компјутерот создава VPN конекција преку Интернет, компјутерот што ја создава врската делува како јазол директно поврзан на мрежата, како да е поврзан на мрежата преку Ethernet LAN-кабел. Корисникот има ист пристап до ресурсите што би го имал доколку би бил поврзан директно на мрежата користејќи кабел. Меѓутоа, во случај на VPN клиент кој се поврзува со серверот VPN, врската виртуелнобидејќи нема валидна етернет врска со дестинацијата. VPN конекција приватен, бидејќи содржината на протокот на податоци во оваа врска шифрирана, така што никој на Интернет не може да пресретнува и чита податоци пренесени преку VPN конекција.

Серверите и клиентите на Windows поддржуваат VPN конекции уште од времето на Windows NT и Windows 95. Иако клиентите и серверите на Windows поддржуваат VPN конекции веќе една деценија, типот на поддршка за VPN еволуираше со текот на времето. Windows Vista Service Pack 1 и Windows Server 2008 моментално поддржуваат три типа VPN конекции. Ова се следниве типови:

  • L2TP/IPSec

PPTP е протокол на тунел од точка до точка. PPTP е најлесниот начин да се создаде VPN конекција, но, за жал, тој е и најмалку безбеден. Причината зошто овој тип е најмалку безбеден е затоа што корисничките акредитиви се испраќаат преку небезбеден канал. Со други зборови, започнува шифрирањето на VPN конекцијата После тоакако биле префрлени мандатите. Иако вистинските информации за ингеренциите не се пренесуваат помеѓу VPN клиентите и серверите, пренесените хаш вредности може да ги користат софистицирани хакери за да добијат пристап до серверите VPN и да се поврзат со корпоративната мрежа.

Протоколот L2TP/IPSec VPN е посигурен. L2TP/IPSec беше заеднички развиен од Microsoft и Cisco. L2TP/IPSec е побезбеден од PPTP бидејќи се креира безбедна IPSec сесија пред да се испратат ингеренциите преку жицата. Хакерите не можат да пристапат до ингеренциите и затоа не можат да ги украдат за подоцнежна употреба. Покрај тоа, IPSec обезбедува меѓусебна автентикација помеѓу машините, така што непознатите машини нема да можат да се поврзат на каналот L2TP/IPSec VPN. IPSec обезбедува меѓусебна автентикација, интегритет на податоците, доверливост и неотфрлање. L2TP поддржува PPP и EAP механизми за автентикација на корисници, кои обезбедуваат висока безбедност за најавување бидејќи се потребни и машински и кориснички автентикации.

Windows Vista SP1 и Windows Server 2008 сега поддржуваат нов тип на VPN протокол, Secure Socket Tunneling Protocol или SSTP користи SSL-шифрирани HTTP конекции за создавање VPN конекции со VPN портите додека не се отвори безбеден SSL тунел за поврзување со портата VPN SSTP е исто така познат како PPP преку SSL, што значи дека можете да ги користите механизмите за автентикација на PPP и EAP за да ја направите вашата SSTP врска.

Приватно не значи безбедно

Треба да се напомене дека VPN конекциите се приватни наместо безбедни. Иако признавам дека приватноста е основна компонента на безбедните комуникации, таа сама по себе не ја обезбедува таа безбедност. VPN-технологиите обезбедуваат приватна компонента на вашата интернет конекција која спречува трети страни да ја читаат содржината на вашите комуникации. VPN технологиите исто така ви овозможуваат да се осигурате дека само овластени корисници можат да се поврзат на дадена мрежа преку VPN портата. Сепак, приватната компонента, автентикацијата и овластувањето не обезбедуваат сеопфатна безбедност.

Да речеме дека имате вработен на кого сте му дале пристап до VPN. Бидејќи вашиот Windows Server 2008 VPN протокол поддржува автентикација на корисникот EAP, вие одлучувате да креирате паметни картички за вашите корисници и да го користите протоколот L2TP/IPSec VPN. Комбинацијата на паметни картички и протоколот L2TP/IPSec ви овозможува да барате автентикација на корисникот и употреба на здрава машина. Вашата паметна картичка и решението L2TP/IPSec функционираат одлично и сите се задоволни.

Сите се среќни додека еден ден еден од вашите корисници не се најави на вашиот SQL сервер за да добие сметководствени информации и не почне да ги споделува со другите вработени. Што се случи? Дали VPN-врската беше небезбедна? Не, VPN-врската беше доволно безбедна за да обезбеди компонента за приватност, автентикација и овластување, но не обезбеди контрола на пристап, а контролата на пристап е основна компонента на компјутерската безбедност. Всушност, може да се тврди дека без контрола на пристап, сите други безбедносни мерки се од релативно мала вредност.

За VPN-овите да бидат навистина безбедни, треба да се осигурате дека вашата порта VPN е способна да обезбеди контрола на пристап на корисници/групи за да можете да го дадете потребното ниво на пристап на корисниците на VPN. Понапредните VPN порти и заштитни ѕидови, како што е ISA Firewall, можат да обезбедат таква контрола на VPN конекциите. Плус, заштитните ѕидови како што е ISA Firewall може да обезбедат проверка на адресните пакети и слојот на апликацијата на VPN конекции на клиентот.

Иако Windows Server 2008 VPN не обезбедува кориснички и групни контроли за пристап, постојат и други начини на кои можете да ги конфигурирате контролите за пристап на самиот сервер ако не сакате да плаќате за да купите понапредни заштитни ѕидови и VPN порти. Во оваа статија, го фокусираме нашето внимание само на компонентите на VPN серверите. Ако сакате да дознаете повеќе за заштитните ѕидови на ISA и нивните способности за VPN сервери, одете на www.isaserver.org

Зошто да го користите новиот протокол VPN?

Мајкрософт веќе создаде два остварливи VPN протоколи кои им овозможуваат на корисниците да се поврзат на корпоративната мрежа, па зошто да се создаде трет? SSTP е одличен додаток за корисниците на Windows VPN бидејќи SSTP нема проблеми со заштитните ѕидови и NAT уредите што ги имаат PPTP и L2TP/IPSec. За PPTP да работи преку NAT уред, уредот мора да поддржува PPTP користејќи NAT уредник за PPTP. Ако нема таков NAT уредник за PPTP на овој уред, тогаш PPTP-врските нема да работат.

L2TP/IPSec има проблеми со NAT уредите и заштитните ѕидови бидејќи заштитниот ѕид треба да има отворена порта L2TP UDP 1701 за појдовни конекции, IPSec IKE порта UDP 500 отворена за појдовни врски и IPSec NAT порта за премин UDP 4500 отворена за појдовни врски ( L2TP портата не е потребна кога се користи NAT-T). Повеќето заштитни ѕидови се на јавни места како што се хотели, конгресни центри, ресторани итн. имајте мал број на порти отворени за излезни врски, како што се HTTP, TCP порта 80 и HTTPS (SSL), TCP порта 443. Ако ви треба поддршка за повеќе од само HTTP и SSL протоколи кога ќе ја напуштите канцеларијата, вашите шанси за успешното поврзување се значително намалени . Можеби нема да ги добиете портите потребни за PPTP или L2TP/IPSec.

За разлика од претходните протоколи, SSTP VPN конекциите одат преку SSL канал користејќи TCP порта 443. Бидејќи сите заштитни ѕидови и NAT уреди имаат отворен TCP 443, можете да користите SSTP насекаде. Ова им го олеснува животот на патниците кои користат VPN конекции за да се поврзат со канцеларијата, а исто така им го олеснува животот на корпоративните администратори кои треба да ги поддржуваат патниците, како и да им помогнат на вработените на јавни места да обезбедат пристап до Интернет во хотели, конференциски центри итн. .

Процес на поврзување SSTP

  1. SSTP VPN клиентот создава TCP конекција со SSTP VPN портата помеѓу случајната TCP изворна порта на SSTP VPN клиентот и TCP портата 443 на SSTP VPN портата.
  2. SSTP VPN клиентот испраќа SSL Клиент-Здравопорака, што покажува дека сака да создаде SSL сесија со SSTP VPN портата.
  3. SSTP VPN портал испраќа компјутерски сертификат SSTP VPN клиент.
  4. Клиентот SSTP VPN го потврдува сертификатот на компјутерот со проверка на базата на сертификати на Trusted Root Certification Authorities за да се осигура дека сертификатот CA потпишан од серверот е во таа база на податоци. Клиентот SSTP VPN потоа го одредува методот на шифрирање за SSL сесијата, го генерира клучот за сесија SSL и го шифрира со SSTP VPN клучот на јавниот портал, а потоа ја испраќа шифрираната форма на клучот за сесија SSL до SSTP VPN портата.
  5. Портата SSTP VPN го дешифрира шифрираниот клуч за сесија на SSL користејќи го приватниот клуч од сертификатите на компјутерот. Сите последователни врски помеѓу клиентот SSTP VPN и SSTP VPN портата ќе бидат шифрирани со користење на договорениот метод за шифрирање и клучот за сесија SSL.
  6. Клиентот SSTP VPN испраќа порака за барање HTTP преку SSL (HTTPS) до SSTP VPN портата.
  7. SSTP VPN клиентот преговара за SSTP канал со SSTP VPN портата.
  8. SSTP VPN клиентот преговара за PPP врска со SSTP серверот. Овие преговори вклучуваат автентикација на кориснички акредитиви со користење на стандардниот метод за автентикација на PPP (или дури и автентикација EAP) и конфигурирање на поставките за сообраќајот на Интернет протокол верзија 4 (IPv4) или Интернет протокол верзија 6 (IPv6).
  9. Клиентот SSTP започнува да испраќа сообраќај IPv4 или IPv6 преку PPP конекцијата.

Оние кои се заинтересирани за карактеристиките на архитектурата на протоколот VPN може да ги видат на сликата подолу. Ве молиме имајте предвид дека SSTP има дополнително заглавие за разлика од другите два VPN протоколи. Ова е благодарение на дополнителното HTTPS шифрирање покрај заглавието SSTP. L2TP и PPTP немаат заглавија на слојот на апликацијата за шифрирање на врската.

Слика 1

Ќе земеме едноставна мрежа од три машини како пример за да видиме како функционира SSTP. Имињата и карактеристиките на овие три машини се како што следува:

Vista Business Edition

Виста сервисен пакет 1

Член кој не е домен

W2008RC0-VPNGW:

Два NIC „Внатрешна и надворешна

WIN2008RC-DC:

Windows Server 2008 Enterprise Edition

Контролер на домен на доменот MSFIREWALL.ORG

Сервер за сертификати (Enterprise CA)

Ве молиме имајте предвид дека Vista Service Pack 1 се користи како VPN клиент. Иако во минатото имаше дискусии за Windows XP Service Pack 3 кој поддржува SSTP, тоа можеби воопшто не е случај. Неодамна инсталирав пробна верзија на Windows XP Service Pack 3 на тест компјутер и не најдов докази за поддршка на SSTP. И тоа е навистина лошо, бидејќи премногу лаптопи денес користат Windows XP, а доказите сугерираат дека Vista е премногу бавен за лаптопите да работат. Проблемите со перформансите на Vista може да се решат со Vista Service Pack 1.

Конфигурацијата на високо ниво на пример мрежа е прикажана на сликата подолу.

Слика 2

Конфигурирање на Windows Server 2008 како SSL VPN сервер за далечински пристап

Нема да ги опфатам сите чекори почнувајќи од самите основи. Ќе се осмелам да претпоставам дека сте инсталирале контролер на домен и сте ги овозможиле улогите на DHCP, DNS и услуги за сертификати на овој сервер. Типот на сертификација на серверот мора да биде Enterprise и имате CA на вашата мрежа. Серверот VPN мора да биде поврзан со доменот пред да продолжите со следните чекори. Пред да започнете, треба да инсталирате SP1 за клиентот Vista.

Треба да ги следиме следниве постапки за да функционира нашето решение:

  • Инсталирајте IIS на VPN сервер
  • Побарајте машински сертификат за серверот VPN користејќи го Волшебникот за барање сертификат IIS
  • Инсталирајте ја улогата RRAS на серверот VPN
  • Активирајте го RRAS Server и конфигурирајте го да работи како VPN и NAT сервер
  • Конфигурирајте NAT сервер да објавува CRL
  • Поставете корисничка сметка за користење на dial-up врски
  • Конфигурирајте IIS на серверот за сертификати за да дозволите HTTP конекции за директориумот CRL
  • Конфигурирајте ја датотеката HOSTS за VPN клиент
  • Користете PPTP за да комуницирате со серверот VPN
  • Добијте CA сертификат од Enterprise CA
  • Конфигурирајте го клиентот да користи SSTP и поврзете се со серверот VPN користејќи SSTP

Инсталирање IIS на VPN сервер

Можеби ќе ви биде чудно што започнуваме со оваа постапка, бидејќи препорачувам никогаш да не инсталирате веб-сервер на мрежен безбедносен уред. Добрата вест е дека нема да мораме да го складираме веб-серверот на серверот VPN, туку ќе ни треба само некое време. Причината е што локацијата за регистрација вклучена со серверот за сертификати на Windows Server 2008 повеќе не е корисна за барање компјутерски сертификати. Всушност, тоа е сосема бескорисно. Интересното е што ако сепак одлучите да ја користите страницата за регистрација за да добиете сертификат за компјутер, ќе изгледа како да е примен и инсталиран сертификатот, но всушност тоа не е така, сертификатот не е инсталиран.

За да го решиме овој проблем, ќе го искористиме фактот што користиме CA на претпријатието. Кога користите Enterprise CA, можете да испратите барање до онлајн сервер за сертификати. Интерактивно барање за компјутерски сертификат е можно кога го користите Волшебникот за барање сертификат IIS и го барате она што сега се нарекува „Домен сертификат“. Ова е можно само ако машината што бара припаѓа на истиот домен како и Enterprise CA.

За да ја инсталирате улогата на веб-серверот IIS на серверот VPN, следете ги овие чекори:

  1. Отворете Windows 2008 Сервер менаџер.
  2. Во левиот панел на конзолата, кликнете на јазичето Улоги.

Слика 1

  1. Кликнете на менито Додадете улогина десната страна на десниот панел.
  2. Кликнете ПонатамуНа страницата Пред да започнете.
  3. Ставете ознака за проверка до линијата Веб-сервер (IIS)На страницата Изберете улоги на серверот. Кликнете Понатаму.

Слика 2

  1. Можете да ги прочитате информациите на страницата Веб-сервер (IIS), ако сакате. Ова се доста корисни општи информации за користење на IIS 7 како веб-сервер, но бидејќи нема да го користиме веб-серверот IIS на сервер VPN, оваа информација не е целосно применлива во нашата ситуација. Кликнете Понатаму.
  2. На страницата Изберете услуги за улогинеколку опции се веќе избрани. Меѓутоа, ако ги користите стандардните опции, нема да можете да го користите Волшебникот за барање сертификат. Барем така беше кога го тестирав системот. Нема услуга за улоги за Волшебникот за барање сертификат, затоа се обидов да ги проверам полињата до секоја опција Безбедност, и се чини дека успеа. Направете го истото за себе и кликнете Понатаму.

Слика 3

  1. Прегледајте ги информациите на страницата Потврдете го изборот на поставкии притиснете Инсталирајте.
  2. Кликнете ЗатвориНа страницата Резултати од инсталацијата.

Слика 4

Побарајте машински сертификат за VPN сервер користејќи го Волшебникот за барање сертификат IIS

Следниот чекор е да побарате машински сертификат за VPN серверот. VPN серверот бара машински сертификат за да создаде SSL VPN врска со компјутерот на клиентот SSL VPN. Заедничкото име на сертификатот мора да одговара на името што VPN клиентот ќе го користи за да се поврзе со SSL VPN портал компјутер. Ова значи дека ќе треба да креирате јавен DNS запис за името на сертификатот што ќе се реши на надворешната IP адреса на VPN серверот или на IP адресата на уредот NAT пред серверот VPN што ќе ја препрати врската на SSL VPN серверот.

За да побарате машински сертификат на серверот SSL VPN, следете ги овие чекори:

  1. ВО Сервер менаџер, проширете ја картичката Улогиво левиот панел и потоа проширете го јазичето Веб-сервер (IIS). Притиснете .

Слика 5

  1. Во конзолата Менаџер на Интернет информативни услуги (IIS).што се појавува десно во левиот панел, кликнете на името на серверот. Во овој пример името на серверот би било W2008RC0-VPNGW. Кликнете на иконата Серверски сертификативо десниот панел на конзолата IIS.

Слика 6

  1. Во десниот панел на конзолата, кликнете на врската Направете сертификат за домен.

Слика 7

  1. Внесете информации на страницата Дефинирани својства на името. Најважниот објект овде ќе биде Заедничко име. Ова е името што VPN клиентите ќе го користат за да се поврзат со серверот VPN. Ќе ви треба и јавен DNS запис за ова име за да го препознаете надворешниот интерфејс на серверот VPN или јавната NAT адреса на уредот пред серверот VPN. Во овој пример го користиме заедничкото име sstp.msfirewall.org. Подоцна ќе создадеме записи на датотеки HOSTS на компјутерот на клиентот VPN за да може да го препознае ова име. Кликнете Понатаму.

Слика 8

  1. Кликнете на копчето на страницата Изберете. Во полето за дијалог Изберете извор на сертификат, кликнете на името Enterprise CA и кликнете добро. Внесете пријателско име во редот Пријателско име. Во овој пример го користевме името SSTP сертификатда знаете дека се користи за SSTP VPN портата.

Слика 9

  1. Кликнете ЗавршиНа страницата Извор на онлајн сертификат.

Слика 10

  1. Волшебникот ќе започне, а потоа ќе исчезне. Потоа ќе видите дека сертификатот се појавува во конзолата на IIS. Кликнете двапати на сертификатот и видете го заедничкото име во делот Назначен за, и сега го имаме приватниот клуч што одговара на сертификатот. Кликнете доброза да го затворите полето за дијалог Сертификат.

Слика 11

Сега кога го имаме сертификатот, можеме да ја инсталираме улогата на серверот RRAS. Ве молиме имајте предвид што е многу важно инсталирај сертификатпред да ја инсталирате улогата на серверот RRAS. Ако не го направите ова, ќе се подготвите за големи главоболки бидејќи ќе треба да користите прилично сложена рутина на командната линија за да го поврзете сертификатот со клиентот SSL VPN.

Инсталирање на улогата на серверот RRAS на серверот VPN

За да ја инсталирате улогата на серверот RRAS, треба да ги завршите следните чекори:

  1. ВО Сервер менаџер, кликнете на јазичето Улогиво левиот панел на конзолата.
  2. Во делот Преглед на улогикликнете на врската Додадете улоги.
  3. Кликнете ПонатамуНа страницата Пред да започнете.
  4. На страницата Изберете улоги на серверотштиклирајте го полето до линијата. Кликнете Понатаму.

Слика 12

  1. Прочитајте ги информациите на страницата Мрежна политика и услуги за пристап. Повеќето се однесуваат на серверот за мрежна политика (кој претходно се нарекуваше сервер за автентикација на Интернет и во суштина беше сервер RADIUS) и NAP, ниту еден од елементите не е применлив во нашиот случај. Кликнете Понатаму.
  2. На страницата Изберете услуги за улогиставете ознака за проверка до линијата Услуги за рутирање и далечински пристап. Како резултат на тоа, ставките ќе бидат избрани Услуги за далечински пристапИ Рутирање. Кликнете Понатаму.

Слика 13

  1. Кликнете Инсталирајтево прозорецот Потврдете ги избраните поставки.
  2. Кликнете ЗатвориНа страницата Резултати од инсталацијата.

Активирање на серверот RRAS и негово конфигурирање како сервер VPN и NAT

Сега кога е инсталирана улогата RRAS, треба да ги овозможиме услугите RRAS, исто како што правевме во претходните верзии на Windows. Треба да ја активираме функцијата VPN сервер и NAT услугите. Активирањето на компонентата на серверот VPN е јасно, но можеби се прашувате зошто треба да го активирате серверот NAT. Причината за овозможување на серверот NAT е така што надворешните клиенти можат да пристапат до серверот за сертификати за да се поврзат со CRL. Ако клиентот SSTP VPN не успее да ја преземе CRL, врската SSTP VPN нема да работи.

За да го отвориме пристапот до CRL, ќе го конфигурираме VPN-серверот како NAT-сервер и ќе го објавиме CRL користејќи реверзибилен NAT. Во опкружување на корпоративна мрежа, најверојатно ќе имате заштитни ѕидови, како што е ISA Firewall, пред серверот за сертификати, така што ќе можете да објавувате CRL користејќи ги заштитните ѕидови. Меѓутоа, во овој пример единствениот заштитен ѕид што ќе го користиме е Windows Firewall на VPN серверот, така што во овој пример треба да го конфигурираме VPN серверот како NAT сервер.

За да ги активирате услугите RRAS, следете ги овие чекори:

  1. ВО Сервер менаџерпрошири го јазичето Улогиво левиот панел на конзолата. Проширете го јазичето Мрежна политика и услуги за пристапи кликнете на јазичето. Десен-клик на јазичето и кликнете Конфигурирајте и овозможете рутирање и далечински пристап.

Слика 14

  1. Кликнете Понатамуво прозорецот Добре дојдовте во Волшебникот за поставување сервер за рутирање и далечински пристап.
  2. На страницата Конфигурацијаизберете опција Пристап до виртуелни приватни мрежи и NATи притиснете Понатаму.

Слика 15

  1. На страницата VPN конекцијаизберете NIC во делот Мрежни интерфејси, кој го претставува надворешниот интерфејс на VPN серверот. Потоа кликнете Понатаму.

Слика 16

  1. На страницата Доделување на IP адресиизберете опција Автоматски. Можеме да ја избереме оваа опција затоа што имаме инсталиран DHCP сервер на контролерот на доменот зад серверот VPN. Ако немате DHCP сервер, тогаш ќе треба да ја изберете опцијата Од одредена листа со адреси, а потоа внесете список со адреси што VPN клиентите можат да ги користат кога се поврзуваат на мрежата преку портата VPN. Кликнете Понатаму.

Слика 17

  1. На страницата Управување со далечински пристап до повеќе сервериизберете Не, користете рутирање и далечински пристап за автентикација на барањата за поврзување. Ја користиме оваа опција кога серверите NPS или RADIUS не се достапни. Бидејќи серверот VPN е член на домен, можете да ги автентикувате корисниците користејќи сметки на домен. Ако VPN серверот не е дел од домен, тогаш може да се користат само локални сметки на VPN сервер, освен ако не изберете да користите NPS сервер. Во иднина ќе напишам статија за користење на NPS сервер. Кликнете Понатаму.

Слика 18

  1. Прочитајте ги општите информации на страницата Завршување на Волшебникот за конфигурација на рутирање и далечински пристапи притиснете Заврши.
  2. Кликнете доброво полето за дијалог Рутирање и далечински пристапшто ви кажува дека дистрибуцијата на пораките DHCP бара агент за дистрибуција на DHCP.
  3. Во левиот панел на конзолата, проширете го јазичето Рутирање и далечински пристапа потоа кликнете на јазичето Пристаништа. Во средното окно ќе видите дека WAN Miniport конекциите за SSTP сега се достапни.

Слика 19

Конфигурирање на NAT сервер за објавување на CRL

Како што реков претходно, клиентот SSL VPN мора да може да преземе CRL за да потврди дека сертификатот за серверот на серверот VPN не е оштетен или отповикан. За да го направите ова, треба да го конфигурирате уредот пред серверот за сертификација да испраќа HTTP барања за локацијата на CRL до серверот за сертификати.

Како да знам на која URL-адреса треба да се поврзе клиентот SSL VPN за да се преземе CRL? Оваа информација е содржана во самиот сертификат. Ако се вратите на серверот VPN и кликнете двапати на сертификатот во конзолата IIS како што правевте претходно, треба да можете да ги најдете овие информации.

Кликнете на копчето Деталина сертификатот и скролувајте надолу до записот Точки за дистрибуција на CRL, потоа кликнете на овој запис. Долниот панел ги прикажува различните точки на дистрибуција врз основа на протоколот што се користи за пристап до тие точки. Во сертификатот прикажан на сликата подолу, можеме да видиме дека треба да му дозволиме на клиентот SSL VPN пристап до CRL преку URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Слика 20

Ова е причината зошто треба да креирате јавни записи DNS за ова име, така што надворешните VPN клиенти можат да го доделат ова име на IP адреса или уред што ќе изврши обратен NAT или обратен прокси за да пристапи до веб-страницата на серверот за сертификати. Во овој пример треба да се поврземе win2008rc0-dc.msfirewall.orgсо IP адреса на надворешниот интерфејс на VPN серверот. Кога врската ќе стигне до надворешниот интерфејс на серверот VPN, серверот VPN ќе ја препрати NAT врската до серверот за сертификати.

Ако користите напреден заштитен ѕид, како што е заштитниот ѕид на ISA, можете да ги направите CRL-овите на сајтовите за објавување побезбедни со дозволување пристап самона CRL, а не на целата локација. Сепак, во оваа статија ќе се ограничиме на можноста за едноставен NAT уред, како што е оној што обезбедува RRAS NAT.

Треба да се забележи дека користењето на стандардното име CRL на страницата може да биде помалку безбедна опција бидејќи го открива приватното име на компјутерот на Интернет. Можете да креирате приспособена CDP (CRL Distribution Point) за да го избегнете ова ако мислите дека откривањето на приватното име на вашиот CA во јавен запис за DNS претставува безбедносен ризик.

За да го конфигурирате RRAS NAT да ги насочува барањата за HTTP до серверот за сертификати, следете ги овие чекори:

  1. Во левиот панел Сервер менаџерпрошири го јазичето Рутирање и далечински пристап, а потоа проширете го јазичето IPv4. Кликнете на јазичето NAT.
  2. Во табот NATкликнете со десното копче на надворешниот интерфејс во средниот панел на конзолата. Во овој пример, името на надворешниот интерфејс беше Поврзување на локалната област. Притиснете Својства.

Слика 21

  1. Во полето за дијалог, проверете го полето до Веб-сервер (HTTP). Ова ќе се појави прозорец за дијалог Услуга за уредување. Во текстуална линија Приватна адресаВнесете ја IP адресата на серверот за сертификација на внатрешната мрежа. Кликнете добро.

Слика 22

  1. Кликнете доброво полето за дијалог Својства за поврзување со локална област.

Слика 23

Сега кога NAT серверот е инсталиран и конфигуриран, можеме да го свртиме нашето внимание на конфигурирање на CA серверот и SSTP VPN клиентот.

Конфигурирање на корисничка сметка за користење на Dial-up врски

Корисничките сметки бараат дозволи за пристап од dial-up пред да можат да се поврзат со Windows VPN сервер кој е дел од домен на Active Directory. Најдобар начин да го направите ова е да го користите серверот за мрежна политика (NPS), како и стандардната дозвола за корисничка сметка, која овозможува далечински пристап врз основа на политиката NPS. Меѓутоа, во нашиот случај, ние не инсталиравме NPS сервер, така што ќе мораме рачно да ја конфигурираме дозволата за пристап со dial-in на корисникот.

Во следната статија ќе се фокусирам на користење на NPS серверот и автентикацијата на корисничкиот сертификат EAP за создавање врски со SSL VPN сервер.

За да дозволите бирање на одредена корисничка сметка да се поврзе со SSL VPN сервер, треба да ги завршите следните чекори. Во овој пример, ќе овозможиме дозвола за пристап за бирање за стандардната сметка на администратор на домен:

  1. На контролорот на доменот, отворете ја конзолата Корисници и компјутери на Active Directoryод менито.
  2. Во левиот панел на конзолата, проширете го името на доменот и кликнете на јазичето корисници. Кликнете двапати на сметката Администратор.
  3. Одете на јазичето Dial-in. Стандардната поставка ќе биде Контрола на пристап преку мрежна политика на NPS. Бидејќи немаме сервер NPS во ова сценарио, ќе ја промениме поставката во Дозволи пристап, како што е прикажано подолу на Слика 1. Кликнете добро.

Слика 1

Конфигурирање на IIS на серверот за сертификати за да се дозволи HTTP конекции за директориумот CRL

Поради некоја причина, кога волшебникот за инсталација ја инсталира веб-страницата за услуги за сертификати, го конфигурира директориумот CRL за да побара SSL врска. Иако ова изгледа како прилично добра идеја од безбедносна перспектива, проблемот е што Uniform Resource Identifier (URI) на сертификатот не е конфигуриран да користи SSL. Претпоставувам дека можете сами да креирате CDP запис за сертификатот за да може да користи SSL, но се обложувам дека Microsoft никаде не го спомнал ова прашање. Бидејќи ги користиме стандардните поставки за CDP во овој напис, треба да го оневозможиме барањето за SSL на веб-страницата на CA за патеката CRL на директориумот.

За да го оневозможите барањето SSL за директориумот CRL, следете ги овие чекори:

  1. На менито Административни алаткиотворен менаџер Менаџер на Интернет информативни услуги (IIS)..
  2. Во левиот панел на конзолата IIS, проширете го името на серверот, а потоа проширете го Веб-страници. Проширете го јазичето Стандардна веб-локацијаи кликнете на јазичето CertEnroll, како што е прикажано на слика 2.

Слика 2

  1. Ако го погледнете средниот панел на конзолата, ќе го видите тоа CRLсе наоѓа во овој виртуелен директориум, како што е прикажано на сликата подолу. За да ја видите содржината на овој виртуелен директориум, треба да кликнете на копчето Погледнете ја содржинатана дното на средниот панел.

Слика 3

  1. Кликнете на копчето Прикажи ги опциитена дното на средниот панел. На дното на средниот панел, кликнете двапати на иконата Поставки за SSL.

Слика 4

  1. Во средниот панел ќе се појави страница Поставки за SSL. Отштиклирајте го полето Потребен е SSL. Кликнете Пријавете сево десниот панел на конзолата.

Слика 5

  1. Затворете ја конзолата на IIS откако ќе го видите известувањето Промените беа успешно зачувани.

Слика 6

Поставување датотека HOSTS за VPN клиент

Сега можеме целосно да го посветиме нашето внимание на клиентот VPN. Првото нешто што треба да го направиме со клиентот е да поставиме датотека HOSTS за да можеме да симулираме јавна DNS инфраструктура. Има две имиња што треба да ги внесеме во датотеката HOSTS (истото треба да се направи и за јавниот DNS сервер што ќе го користите во производствените мрежи). Првото име е името на серверот VPN, како што е определено со заедничкото/предметното име на сертификатот што го поврзавме со серверот SSL VPN. Второто име што треба да го внесеме во датотеката HOSTS (и јавниот DNS-сервер) е името на CDP URL-то, кое е на сертификатот. Ја разгледавме локацијата на информациите за CDP во Дел 2 од оваа серија.

Двете имиња што треба да се внесат во датотеката HOSTS во овој пример би биле:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

За да ја конфигурирате датотеката HOSTS за клиентот Vista SP1 VPN, следете ги овие постапки:

  1. На менито Започнетевнесете c:\windows\system32\drivers\etc\hostsво лентата за пребарување и притиснете ENTER.
  2. Во полето за дијалог Да се ​​отвори соизберете Тетратка.
  3. Внесете записи во датотеката HOSTS во формат како што е прикажано на сликата подолу. Внимавајте да притиснете enter по последната линија, така што курсорот е под него.


Слика 7

  1. Затворете ја датотеката и изберете ја опцијата зачувај промени.

Користење на PPTP за поврзување со VPN сервер

Постепено сме се поблиску до создавање SSL VPN конекција! Следниот чекор е да создадеме VPN конектор на клиентот Vista SP1, кој ќе ни овозможи да создадеме почетна VPN конекција со VPN серверот. Во нашиот случај, ова треба да се направи бидејќи клиентскиот компјутер не е член на доменот. Бидејќи машината не е членка на домен, сертификатот CA нема автоматски да се инсталира во продавницата на Trusted Root Certificate Authorities. Ако машината беше дел од домен, автоматската регистрација ќе се погрижеше за овој проблем за нас откако го инсталиравме Enterprise CA.

Најлесен начин да се заврши овој чекор е да се создаде PPTP врска од клиентот Vista SP1 VPN до серверот Windows Server 2008 VPN. Стандардно, серверот VPN ќе поддржува PPTP конекции, а клиентот прво ќе проба PPTP пред да ги проба L2TP/IPSec и SSTP. За да го направите ова, треба да создадеме VPN конектор или објект за поврзување.

За да креирате конектор на клиентот VPN, следете ги овие чекори:

  1. На клиентот VPN, кликнете со десното копче на иконата на мрежата и кликнете Центар за мрежа и префрлување (Центар за споделување).
  2. Во прозорецот за префрлување центар мрежа, кликнете на врската Создадете врска или мрежана левата страна на прозорецот.
  3. На страницата Изберете опции за поврзувањекликнете на записите Поврзете се на работното место, потоа кликнете Понатаму.

Слика 8

  1. На страницата Како сакате да се поврзетеизберете опција Користете ја мојата интернет-врска (VPN).

Слика 9

  1. На страницата Внесете ја интернет адресата за да се поврзетевнесете го името на серверот SSL VPN. Проверете дали ова име и заедничкото име на сертификатот што го користи серверот SSL VPN се исти. Во овој пример името беше sstp.msfirewall.org. Внесете Име на примачот. Во овој пример ќе го користиме името на примачот SSL VPN. Кликнете Понатаму.

Слика 14

  1. Во прозорецот Мрежа и комутациски центар, кликнете на врската Прикажи статусВо поглавјето SSL VPN, како што е прикажано на сликата подолу. Во полето за дијалог Статус на SSL VPNќе видите дека типот на VPN конекција е PPTP. Кликнете Затвориво полето за дијалог Статус на SSL VPN.

Слика 15

  1. Отворете прозорец на командната линија и испратете команда за пинг до контролорот на доменот. Во овој пример, IP адресата на контролорот на доменот би била 10.0.0.2 . Ако вашата VPN врска е успешна, ќе добиете пинг одговор од контролорот на доменот.

Слика 16

Добивање CA сертификат од CA на претпријатие

Клиентот SSL VPN мора да има доверба во CA што го издала сертификатот што го користи серверот VPN. За да ја создадеме оваа доверба, треба да инсталираме сертификат CA на CA што го издала сертификатот за серверот VPN. Можеме да го направиме ова со поврзување на веб-локацијата за регистрација на CA на внатрешната мрежа и инсталирање на сертификатот на клиентот VPN во продавницата на Trusted Root Certification Authorities.

За да добиете сертификат од местото за регистрација, следете ги овие чекори:

  1. На клиентот VPN поврзан со серверот VPN преку PPTP конекција, внесете http://10.0.0.2/certsrvво лентата за адреси во Internet Explorer и притиснете ENTER.
  2. Внесете ги корисничкото име и лозинката што се користат во полето за дијалог за ингеренциите. Во овој пример, ќе ги користиме стандардното корисничко име и лозинка за администраторската сметка на доменот.
  3. На страницата поздравсајт за регистрација следете ја врската Поставете сертификат CA, синџир на сертификати или CRL.

Слика 17

  1. Дијалошко поле што ве предупредува за тоа Веб-локација сака да отвори веб-содржини користејќи ја оваа програма на вашиот компјутер, притиснете Дозволи. Потоа кликнете Затвориво полето за дијалог Дали го забележавте прозорецот со информации?, ако се појави. Преземањето е завршено.
  2. Затворање Internet Explorer.

Сега треба да го инсталираме сертификатот CA во продавницата за сертификати на Trusted Root Certification Authorities на машината за клиент VPN. За да го направите ова, треба да го направите следново:

  1. Кликнете Започнете, потоа внесете mmcво лентата за пребарување и притиснете ENTER.
  2. Кликнете Продолживо полето за дијалог UAC.
  3. Во прозорецот Конзола 1кликнете на менито Датотека, а потоа кликнете Додај/Отстрани Snap-in.
  4. Во полето за дијалог Додадете или отстраните приклучоциизберете Сертификатина списокот Достапни додатоци, потоа притиснете Додадете.
  5. На страницата Приклучоци за сертификатизберете ја опцијата Компјутерска сметкаи кликнете Заврши.
  6. На страницата Изберете компјутеризберете ја опцијата Локален компјутери кликнете Заврши.
  7. Кликнете доброво полето за дијалог Додавање или отстранување на приклучоци.
  8. Во левиот панел на конзолата, проширете го јазичето Сертификати (локален компјутер)а потоа проширете го табот Кликнете ЗавршиНа страницата Завршување на увозот на сертификати.
  9. Кликнете доброво дијалог прозорец кој ве известува дека увозот бил успешен.
  10. Сега сертификатот ќе се појави во конзолата како што е прикажано на сликата подолу.

Слика 24

  1. Затворете ја MMC конзолата.

Конфигурирање на клиентот да користи SSTP и поврзување со серверот VPN преку SSTP

И сега сè е речиси подготвено! Сега треба да ја исклучиме VPN конекцијата и да го конфигурираме VPN клиентот да користи SSTP за протоколот VPN. Во производствено опкружување, нема да морате да го користите овој чекор за корисници, бидејќи ќе го користите административниот комплет за управување со конекции за да креирате објект за поврзување VPN за корисникот кој ќе вклучува клиент кој користи SSTP или ќе ги конфигурирате само SSTP портите на серверот VPN.

Сè зависи од конфигурацијата на вашата околина, бидејќи треба да го закажете времето за да можат корисниците да користат PPTP некое време додека ги инсталирате сертификатите. Се разбира, можете да инсталирате сертификати CA офлајн, односно со преземање од веб-локација или преку е-пошта, во тој случај нема да мора да дозволувате корисници на PPTP. Но, тогаш, ако некои клиенти не поддржуваат SSTP, ќе треба да овозможите PPTP или L2TP/IPSec и нема да можете да ги оневозможите сите порти што не се SSTP. Во овој случај, ќе мора да се потпрете на рачна конфигурација или ажуриран CMAK пакет.

Друга опција овде би била да се поврзе клиентот SSTP со одредена IP адреса на серверот RRAS. Во овој случај, можете да креирате прилагоден CMAK пакет кој се однесува само на IP адресата на серверот SSL VPN што ја слуша мрежата за дојдовни SSTP конекции. Другите адреси на SSTP VPN серверот ќе ја слушаат мрежата за PPTP и/или L2TP/IPSec конекции.

Следете ги овие чекори за да ја оневозможите сесијата PPTP и да го конфигурирате објектот за поврзување со клиент VPN за да користи SSTP:

  1. На клиентскиот компјутер VPN, отворете прозорец Мрежа и комутациски центар, како што правеа порано.
  2. Во прозорецот Мрежа и комутациски центаркликнете на врската Исклучете се, кој се наоѓа директно под врската Прикажи статус. Поглавје SSL VPNќе исчезне од прозорецот Мрежа и комутациски центар.
  3. Во прозорецот Мрежа и комутациски центаркликнете на врската Управување со мрежни врски.
  4. Десен клик на врската SSL VPNи изберете јазиче Својства.

Слика 25

  1. Во полето за дијалог Својства на SSL VPNодете на јазичето Нето. Во прозорецот Вип VPNкликнете на стрелката надолу и изберете опција Протокол за тунелирање на безбеден приклучок (SSTP), потоа кликнете

Слика 29

Томас Шиндер

Три дена и три ноќи се занимавав со SSL VPN, барајќи софтверски опции без клиенти. И дури најдов некоја прекрасна верзија на Hypersocket, позиционирајќи се како .

Но, кога ја читав прибелешката на Sourceforge, кликнав реченица која вели дека основачите не се под притисок да обезбедат пристап од прелистувачот. Значи, ова е SSL VPN што работи на ниво на апликација, но, за жал, заснован на сопствен клиент, кој го користи Java моторот за работа и е вчитан со посебен додаток што ја иницијализира врската. Но, и покрај неговата очигледна едноставност, тој не работи со еден клик и треба да се помешате за да поставите врски, бидејќи главната предност на клиентот е што пробива во портата 443 на VPN серверот и може да се користи во секоја измачена инфраструктура каде параноичните администратори ги хакираат сите излезни порти.

Достапна е во потполно бесплатна верзија 1.1 понудена на Sourceforge и комерцијална верзија 2.0.5 која е дадена од off-site во форма на целосно функционална пробна верзија за 30 дена. И ова прашање не ми е целосно јасно, бидејќи воопшто не најдов никакви цени на страницата. Тоа е, тие очигледно го пуштаат кога веќе сте конфигурирале и поврзале сè, за да не го напуштите веднаш нивниот производ.

Пред да започнеш со инсталацијата, треба да се збуниш од страната, затоа што не ги најдов барањата, но верзијата 1.1 јаде околу 450 Мб во стандардната инсталација, па не можев да разберам зошто на евтиниот VPS за 200 рубли мојот сервер постојано беше преоптоварен со какви било промени. Со 1Gb меморија, сè беше веќе исклучително стабилно и без ниту еден прекин. Втората верзија користи речиси 600 Mb RAM меморија.

Се инсталира едноставно, освен за стандардните танци со Oracle Java. , ги регистрираме сите потребни патеки, по што или инсталираме бесплатен сервер од 2015 година:
# wget https://sourceforge.net/projects/hypersocket-vpn/files/1.1.0-2269/hypersocket-vpn-gpl-linux-1.1.0-2269.rpm/download

или регистрирајте се на официјалната веб-страница и добијте од нив hypersocket-one-linux-2.0.5-3110.rpm

Потоа го инсталираме пакетот
# rpm -i хиперсокет-one-linux-2.0.5-3110.rpm

После ова, или ја започнуваме првата верзија на пакетот
стартување на сервисниот хиперсокет
и поврзете се на https://IP:443 со најава admin:admin каде веднаш се фаќаме за работа

или вториот
хиперсокет-една-конзола
или на https://IP:443 ја завршуваме веб-инсталацијата, поставуваме лозинки за системот и ја внесуваме претходно преземената датотека за лиценца

По што можете да влезете внатре и да поставите пристапи и така натаму. Втората верзија, според мене, е побрза и малку попромислена од првата.

Овој VPN сервер, како што веќе реков, не е особено погоден за мене, бидејќи претпоставува присуство на клиент од страната на далечинскиот корисник, но во исто време има и куп интересни дополнителни функции, како што е пристап до датотеки на виртуелен датотечен систем преку кои можете да допрете до споделување на Windows, ftp содржина, NFS волумени, HTTP датотеки итн.; издавач на веб-страници за оддалечени веб-сервери; еден куп секакви безбедносни карактеристики од PIN-кодови до еднократни лозинки; управување со корисници преку Muscle, AS400, Google Business, LDAP.



ПОВРЗАНИ СТАТИИ