الوصول البعيد المحمي عبر SSL VPN. الوصول البعيد المحمي عبر SSL VPN لماذا تستخدم بروتوكول VPN الجديد

في الجزء الأول من هذه السلسلة من المقالات عن تكوين Windows Server 2008 كخادم SSL VPN، تحدثت عن بعض الحقائق من سجلات خوادم Microsoft VPN وبروتوكولات VPN. لقد أكملنا المقالة السابقة من خلال وصف مثال الشبكة، والتي سيتم استخدامها في هذه الأجزاء اللاحقة من سلسلة VPN-To-Configuration التي تدعم اتصال SSTP مع عملاء Vista SP1.

قبل أن نبدأ، يجب أن أعترف أنني أعرف عن وجود دليل خطوة بخطوة لإنشاء اتصالات SSTP لنظام التشغيل Windows Server 2008، والذي يقع على موقع www.microsoft.com. بدا لي أن هذه المقالة لا تعكس بيئة حقيقية تستخدم في المنظمات لتعيين الشهادات. لهذا السبب، وبسبب بعض النقاط التي لم تتأثر في دليل Microsoft، قررت كتابة هذه المقالة. أعتقد أنك سوف تتعلم قليلا جديدة إذا كنت تتبعني في هذه المقالة.

لن أعتبر كل الخطوات منذ الأساسيات. أجرؤ على افتراض أنك قمت بتثبيت تحكم المجال وأدوار DHCP و DNS وخدمات الشهادات المنشط على هذا الخادم. يجب أن يكون نوع شهادة الخادم مؤسسة، ولديك CA على شبكتك. يجب توصيل خادم VPN بالمجال قبل الاستمرار في تنفيذ الخطوات التالية. قبل البدء، تحتاج إلى تثبيت حزمة تحديث SP1 لعميل Vista.

نحن بحاجة إلى تحقيق الإجراءات التالية من أجل حلنا للعمل:

  • تثبيت IIS على خادم VPN
  • طلب شهادة خادم VPN باستخدام معالج شهادات شهادة IIS
  • اضبط دور RRAS على خادم VPN
  • تنشيط خادم RRAS وتكوينه للعمل كخادم VPN و NAT
  • تكوين خادم NAT لنشر CRL
  • تكوين الحساب (حساب المستخدم) لاستخدام اتصالات الطلب الهاتفي
  • قم بتكوين IIS على خادم الشهادات للسماح باتصالات HTTP ل Directory CRL
  • تكوين ملف المضيفين لعميل VPN
  • استخدم PPTP للتواصل مع خادم VPN
  • احصل على شهادة CA من Enterprise CA
  • قم بتكوين العميل لاستخدام SSTP والاتصال بخادم VPN باستخدام SSTP

تثبيت IIS على خادم VPN

ربما يبدو الأمر غريبا أن نبدأ بهذا الإجراء، حيث أن أوصي أبدا بتثبيت خادم ويب على أمان الشبكة. الأخبار الجيدة هي أنه ليس لدينا لتخزين خادم ويب خادم VPN، وسوف تكون هناك حاجة لنا فقط لفترة من الوقت. السبب يكمن في حقيقة أن موقع التسجيل المضمن في خادم شهادة Windows Server 2008 لم يعد مفيدا لطلب شهادة الكمبيوتر. في الواقع، هو عموما عديمة الفائدة. ومن المثير للاهتمام، إذا كنت لا تزال تقرر استخدام موقع التسجيل لتلقي شهادة كمبيوتر، فسيظهر كل شيء كما تم الحصول على الشهادة وتثبيتها، ولكن في الواقع ليست كذلك، لم يتم تعيين الشهادة.

لحل هذه المشكلة، نستخدم ميزة ما استخدام المشاريع CA. عند استخدام Enterprise CA، يمكنك إرسال طلب إلى خادم شهادات تفاعلية. من الممكن طلب تفاعلي لشهادة الكمبيوتر عند استخدام معالج معالج طلب شهادة IIS وطلب ما يسمى الآن شهادة مجال شهادة المجال. هذا ممكن فقط إذا كان الجهاز الطالب ينتمي إلى نفس المجال مثل Enterprise Ca.
لتثبيت خادم الويب IIS على خادم VPN، اتبع الخطوات التالية:

  1. افتح Windows 2008. مدير الخادم.
  2. في الجزء الأيمن من وحدة التحكم، انقر فوق علامة التبويب دور.
  1. انقر فوق القائمة أضف دورا على الجانب الأيمن من اللوحة اليمنى.
  2. زميم. إضافه على على الصفحة قبل ان تبدا.
  3. ضع علامة أمام السلسلة خادم الويب (IIS) على الصفحة حدد أدوار الخادموبعد زميم. إضافه على.

  1. يمكنك قراءة المعلومات على الصفحة. خادم الويب (IIS)لو كنت تريد. هذه معلومات عامة مفيدة إلى حد ما حول استخدام IIS 7 كخادم ويب، ولكن نظرا لأننا لن نستخدم خادم الويب IIS على خادم VPN، فإن هذه المعلومات غير قابلة للتطبيق بالكامل في وضعنا. زميم. إضافه على.
  2. على الصفحة اختيار أدوار دور يتم تحديد العديد من الخيارات بالفعل. ومع ذلك، إذا كنت تستخدم الخيارات الافتراضية، فلن تتمكن من استخدام معالج معالج طلب الشهادة. على الأقل كان عندما اختبر النظام. لا يوجد دور خدمة لمعالج طلب الشهادة الرئيسية، لذلك حاولت وضع القراد مقابل كل خيار أمانويبدو، عملت. افعل نفس الشيء في نفسك وانقر إضافه على.

  1. تحقق من المعلومات على الصفحة تأكيد اختيار المنشآت و اضغط جلس.
  2. انقر يغلق على الصفحة نتائج التركيب.

طلب شهادة آلة خادم VPN مع معالج طلب شهادة IIS

الخطوة التالية هي طلب شهادة شهادة لخادم VPN. يتطلب خادم VPN شهادة آلة لإنشاء اتصال SSL VPN مع جهاز كمبيوتر عميل SSL VPN. يجب أن يصلح الاسم العام للشهادة إلى الاسم الذي سيستخدم عميل VPN للاتصال بجهاز كمبيوتر Gateway SSL VPN. هذا يعني أنك ستحتاج إلى إنشاء إدخال DNS عام للاسم في الشهادة التي ستسمح بعنوان IP الخارجي لخادم VPN أو عنوان IP NAT قبل خادم VPN الذي سيتم إعادة توجيهه إلى الاتصال ب SSL خادم VPN.

للاستعلام عن شهادة الجهاز إلى خادم SSL VPN، اتبع الخطوات التالية:

  1. في مدير الخادم.نشر علامة التبويب دور في الجزء الأيمن، ثم نشر علامة التبويب خادم الويب (IIS)وبعد صحافة .

  1. في وحدة التحكم مدير خدمات معلومات الإنترنت (IIS)سيظهر ذلك على اليمين في الجزء الأيمن، انقر فوق اسم الخادم. في هذا المثال، سيكون اسم الخادم W2008RC0-VPNGW.وبعد انقر على الأيقونة شهادات الخادم في اللوحة اليمنى لوحدة التحكم في IIS.

  1. في الجزء الأيسر من وحدة التحكم، انقر على الرابط إنشاء شهادة المجال.

  1. أدخل المعلومات على الصفحة اسم الخصائص معينةوبعد الشيء الأكثر أهمية هنا سيكون اسم شائعوبعد هذا هو الاسم الذي سيستخدمه عملاء VPN للاتصال بخادم VPN. ستحتاج أيضا إلى إدخال DNS عام لهذا الاسم من أجل التعرف على واجهة خادم VPN الخارجية، أو العنوان العام لجهاز NAT قبل خادم VPN. في هذا المثال، نستخدم الاسم الشائع sstp.msfirewall.org.وبعد في وقت لاحق سنقوم بإنشاء سجل مضيفي ملف على كمبيوتر عميل VPN بحيث يمكنه التعرف على هذا الاسم. زميم. إضافه على.

  1. في صفحة الملعب إختروبعد في مربع الحوار حدد مصدر الشهاداتانقر على اسم Enterprise CA والنقر نعم.وبعد ندخل اسما وديا في السلسلة اسم ودود.وبعد في هذا المثال، استخدمنا الاسم SSTP سيرتلمعرفة أنه يتم استخدامه لبوابة SSTP VPN.

  1. زميم. ينهي على الصفحة مصدر تفاعلي للشهادات.

  1. سيتم إطلاق المعالج، ثم تختفي. بعد ذلك، سترى كيف ستظهر الشهادة في وحدة التحكم في IIS. انقر مرتين في شهادة وشاهد الاسم الشائع في القسم عين لوالآن لدينا مفتاح خاص يطابق الشهادة. زميم. نعم.لإغلاق مربع الحوار شهادة.

الآن بعد أن لدينا شهادة، يمكننا ضبط دور دور خادم RRAS. لاحظ أنه مهم جدا تثبيت شهادة قبل إنشاء دور خادم خادم RRAS. إذا لم تقم بذلك، فسوف تضر بنفسك الصداع الكبيرة، لأنه يتعين عليك استخدام روتين معقد إلى حد ما من أسطر الأوامر لربط شهادة مع عميل SSL VPN.

تثبيت دور دور خادم RRAS على خادم VPN

لتثبيت دور دور خادم RRAS، تحتاج إلى تنفيذ الخطوات التالية:

  1. في مدير الخادم.انقر فوق علامة التبويب دور في الجزء الأيمن من وحدة التحكم.
  2. في القسم الأدوار العامة اضغط على الرابط أضف دورا.
  3. انقر إضافه على على الصفحة قبل ان تبدا.
  4. على الصفحة حدد أدوار الخادم ضع مربع الاختيار أمام السلسلة. انقر إضافه على.

  1. قراءة المعلومات على الصفحة. سياسة الشبكة وخدمة الوصولوبعد يتعلق الأمر معظمها بخادم سياسة الشبكة (والذي تم تسميته مسبقا بخادم مصادقة الإنترنت وكان أساسا خادم RADIUS) و NAP، لا يتم تطبيق أي من العناصر في علمنا. صحافة إضافه على.
  2. على الصفحة اختيار دور الخدمة ضع علامة أمام السلسلة خدمات التوجيه والوصول عن بعدوبعد نتيجة لذلك، سيتم اختيار العناصر خدمات الوصول عن بعد و توجيهوبعد زميم. إضافه على.

  1. زميم. جلس فى الشباك تأكيد الإعدادات المحددة.
  2. زميم. يغلق على الصفحة نتائج التركيب.

تنشيط خادم RRAS وتكوينه كخادم VPN و NAT

الآن تم تثبيت دور RRAS، نحتاج إلى تنشيط خدمات RRAS، وكذلك فعلنا في الإصدارات السابقة من Windows. نحتاج إلى تنشيط خادم VPN وخدمات NAT. مع تنشيط مكون VPN للخادم، كل شيء واضح، ولكن يمكنك أن تسأل لماذا تحتاج إلى تنشيط خادم NAT. يقع سبب تنشيط خادم NAT في حقيقة أن العملاء الخارجيين يمكنهم الوصول إلى خادم الشهادات للاتصال ب CRL. إذا كان عميل SSTP VPN لا يمكن تحميل CRL، فلن يعمل اتصال SSTP VPN.

من أجل فتح الوصول إلى CRL، سنقوم بتكوين خادم VPN كخادم NAT ونشر CRL باستخدام NAT يمكن عكسها. في بيئة الشبكة للشركات، من المحتمل أن يكون لديك جدران جدران جدران، مثل جدار حماية ISA، قبل خادم الشهادة، حتى تتمكن من نشر CRL بمساعدة جدران الحماية. ومع ذلك، في هذا المثال، فإن جدار الحماية الوحيد الذي سيستخدم هو جدار حماية جدار حماية Windows على خادم VPN، لذلك في هذا المثال، نحتاج إلى تكوين خادم VPN ك NAT للخادم.

لتنشيط خدمات RRAS، اتبع الخطوات التالية:

  1. في مدير الخادم. توسيع علامة التبويب دور في الجزء الأيمن من وحدة التحكم. توسيع علامة التبويب سياسة الشبكة وخدمة الوصول وانقر على علامة التبويب. انقر بزر الماوس الأيمن فوق علامة التبويب وانقر تكوين وتفعيل التوجيه والوصول عن بعد.

  1. انقر إضافه على فى الشباك مرحبا بك في معالج إعداد خادم التوجيه والوصول عن بعد.
  2. على الصفحة إعدادات حدد الخيار الوصول إلى الشبكات الخاصة الافتراضية و NAT و اضغط إضافه على.

  1. على الصفحة اتصال VPN حدد NIC في القسم واجهات الشبكةالذي يمثل واجهة خادم VPN الخارجية. ثم اضغط إضافه على.

  1. على الصفحة تعيين عناوين IP حدد الخيار تلقائياوبعد يمكننا اختيار هذا الخيار لأن لدينا خادم DHCP على وحدة تحكم المجال لخادم VPN. إذا لم يكن لديك خادم DHCP، فستحتاج إلى اختيار الخيار من قائمة عناوين محددةثم قم بإضافة قائمة بالعناوين التي سيتمكن عملاء VPN من استخدامها عند الاتصال بالشبكة عبر بوابة VPN. زميم. إضافه على.

  1. على الصفحة إدارة الوصول عن بعد خوادم متعددة إختر لا، استخدم التوجيه والوصول عن بعد إلى توصيل اتصالاتوبعد نستخدم هذا الخيار عند عدم توفر خوادم NPS أو RADIUS. نظرا لأن خادم VPN هو عضو في المجال، يمكنك مصادقة المستخدمين باستخدام حسابات المجال. إذا لم يتم تضمين خادم VPN في المجال، فيمكن استخدام حسابات خادم VPN فقط، إلا إذا قررت استخدام خادم NPS. سأكتب مقالة عن استخدام خادم NPS في المستقبل. زميم. إضافه على.

  1. اقرأ المعلومات العامة عن الصفحة. إكمال معالج توجيه المعالج والوصول عن بعد و اضغط ينهي.
  2. انقر نعم. في مربع الحوار التوجيه والوصول عن بعديخبرك أن توزيع رسائل DHCP يتطلب وكيل توزيع DHCP.
  3. في لوحة كانتول اليسرى، قم بتوسيع علامة التبويب التوجيه والوصول عن بعد ثم انقر فوق علامة التبويب الموانئوبعد في اللوحة الوسطى، سترى أن اتصالات WAN Miniport الخاصة ب SSTP متاحة الآن.

إعداد خادم NAT لنشر CRL

كما قلت سابقا، يجب أن يكون عميل SSL VPN قادرا على تحميل CRL لتأكيد أن شهادة الخادم على خادم VPN لم تكن تالفة أو تتذكرها. للقيام بذلك، قم بتكوين الجهاز أمام خادم الشهادات لإرسال طلبات موقع HTTP CRL إلى خادم الشهادة.

كيفية معرفة أي عنوان URL بحاجة إلى توصيل SSL VPN للعميل لتنزيل CRL؟ وترد هذه المعلومات في الشهادة نفسها. إذا انتقلت أولا إلى خادم VPN وانقر نقرا مزدوجا فوق الشهادة في وحدة التحكم IIS، كما كان من قبل، يمكنك العثور على هذه المعلومات.

انقر على الزر تفاصيل على الشهادة والورق إلى أسفل للكتابة نقاط توزيع CRL، ثم انقر فوق هذا السجل. تظهر اللوحة السفلية نقاط التوزيع المختلفة بناء على البروتوكول المستخدم للوصول إلى هذه النقاط. تظهر الشهادة الموضحة في الشكل أدناه أننا نحتاج إلى فتح الوصول إلى عميل SSL VPN إلى CRL عبر عنوان URL:

http://win2008rc0-dc.msfirewall.org/certenroll/win2008rc0-dc.msfirewall.org.crl.

هذا هو السبب في أنك تحتاج إلى إنشاء إدخالات DNS العامة لهذا الاسم بحيث يمكن لعملاء VPN الخارجي جذب هذا الاسم إلى عنوان IP أو الجهاز الذي سيقوم بإجراء وكيل NAT أو قابلة للانعكاس قابل للعكسين للوصول إلى موقع خادم الشهادات. في هذا المثال، نحتاج إلى التعادل win2008rc0-dc.msfirewall.org. مع عنوان IP على واجهة خادم VPN الخارجية. عندما يصل الاتصال إلى الواجهة الخارجية لخادم VPN، إعادة توجيه خادم VPN اتصال NAT إلى خادم الشهادة.

إذا كنت تستخدم جدار حماية ممتد، مثل جدار حماية ISA، فيمكنك إجراء مواقع نشر CRL أكثر أمانا، وفتح الوصول. فقط إلى CRL، وليس لجميع الموقع. ومع ذلك، في هذه المقالة، نحد أنفسنا إمكانية جهاز NAT بسيط، بحيث يوفر RRAS NAT.

تجدر الإشارة إلى أن استخدام موقع CRL الافتراضي يمكن أن يكون خيارا أقل أمانا لأنه يكشف عن اسم الكمبيوتر الخاص على الإنترنت. يمكنك إنشاء نقطة مخصصة CDP (نقطة توزيع CRL) لتجنب ذلك إذا كنت تعتقد أن الكشف عن الاسم الخاص ل CA في CA في سجل DNS العام يخلق تهديدا أمنيا.

لتكوين RRAS NAT لإرسال طلبات HTTP إلى خادم الشهادة، اتبع الخطوات التالية:

  1. في اللوحة اليسرى مدير الخادم. توسيع علامة التبويب التوجيه والوصول عن بعدثم نشر علامة التبويب IPv4.وبعد انقر فوق علامة التبويب NAT..
  2. في علامة التبويب NAT. انقر فوق المفتاح الأيمن على الواجهة الخارجية في الجزء الأوسط من وحدة التحكم. في هذا المثال، كان اسم الواجهة الخارجية اتصال محلي.وبعد صحافة الخصائص.

  1. في مربع الحوار، حدد المربع المعاكس خادم الويب (HTTP)وبعد سيؤدي هذا إلى مربع حوار. خدمة التحريروبعد في سلسلة نصية عنوان خاص أدخل عنوان IP لخادم الشهادات في الشبكة الداخلية. انقر نعم..

  1. انقر نعم. في مربع الحوار خصائص اتصال المنطقة المحلية.

الآن بعد أن تم تثبيت خادم NAT وتكوينه، يمكننا نقل اهتمامنا بإعداد خادم CA وعميل SSTP VPN.

استنتاج

في هذه المقالة، واصلنا التحدث عن تكوين خادم SSL VPN باستخدام Windows Server 2008. بحثنا في تثبيت IIS على خادم VPN وطلب وشهادة الخادم وتركيب وتكوين خدمات RRAS و NAT على خادم VPN. في المقالة التالية، سننتهي للنظر في إعداد عميل CA Server و SSTP VPN. أرك لاحقا! توم.

دخلت شبكات VPN حياتنا بجدية للغاية، وأعتقد لفترة طويلة. يتم استخدام هذه التكنولوجيا في كل من المنظمات في دمج المكاتب في شبكة فرعية واحدة أو لتوفير الوصول إلى المعلومات الداخلية لمستخدمي الأجهزة المحمولة وفي المنزل عند دخول الإنترنت من خلال المزود. يمكن القول بثقة أن كل من المسؤولين يشاركون بالضرورة في تكوين VPN، مثل كل مستخدم كمبيوتر يستخدم الوصول إلى الإنترنت هذه التكنولوجيا.

في الواقع، تكنولوجيا IPSec VPN شائعة جدا. تتم كتابة العديد من المواد المختلفة من كل من التقنية والمراقبة والتحليلية حول هذا الموضوع. لكن تقنية SSL VPN ظهرت مؤخرا نسبيا، والتي أصبحت الآن تحظى بشعبية كبيرة في الشركات الغربية، ولكن في روسيا لم تدفع اهتماما وثيقا به. في هذه المقالة، سأحاول وصف ما يختلف IPSec VPN من SSL VPN وما هي المزايا التي تستخدم SSL VPN داخل المنظمة.

IPSec.VPN - مزاياها وعيوبها

في الجزء الأول أود أن ألفت الانتباه إلى تعريف VPN، الأكثر شيوعا - "VPN هي تقنية تجمع بين الشبكات الموثوقة والعقد والمستخدمين من خلال الشبكات المفتوحة التي لا تظن" (© Check Point Software Technologies).

في الواقع، في حالة العقد الموثوقة، فإن تطبيق IPSec VPN هو الطريقة الأكثر اقتصادا. على سبيل المثال، توصيل المكاتب عن بعد إلى شبكة شركة واحدة، مطلوب حشية أو استئجار خطوط محددة، ويستخدم الإنترنت. نتيجة لبناء الأنفاق المحمية بين الشبكات الموثوقة، يتم تشكيل مساحة IP واحدة.

ولكن عند تنظيم الوصول عن بعد لموظفي IPSec، يتم استخدام الحلول للحد من الأجهزة الموثوقة فقط، مثل أجهزة الكمبيوتر المحمولة من مستخدمي الشركات. لتطبيق IPSec VPN، يجب أن تقوم خدمة تكنولوجيا المعلومات بتثبيت وتكوين كل جهاز موثوق به (الذي تريد توفير الوصول عن بعد) عميل VPN والحفاظ على تشغيل هذا التطبيق. عند تثبيت حلول IPSec، من الضروري مراعاة تكلفة "المخفية" المرتبطة بالدعم والدعم، نظرا لكل نوع من عميل المحمول (الكمبيوتر المحمول، PDA، إلخ) وكل نوع من بيئة الشبكة (الوصول عبر مزود الإنترنت ، يتطلب الوصول من شبكة الشركة، والوصول باستخدام ترجمة العنوان) إلى تكوين عميل IPSec الأصلي.

بالإضافة إلى الدعم، هناك العديد من المشاكل المهمة للغاية:

  • ليس لجميع الأجهزة المحمولة الموثوقة المستخدمة في الشركة هناك عملاء VPN؛
  • في العديد من الشبكات الفرعية، ما هو الوصول (على سبيل المثال، شبكة مؤسسية لشريك أو عميل)، يمكن إغلاق المنافذ المطلوبة وتنسيق إضافي من فتحها.

لا توجد مثل هذه المشاكل عند استخدام SSL VPN.

SSL.VPN - خوارزمية عمل المستخدم

لنفترض أنك في رحلة عمل، لا يمكنك أن تعطيك كمبيوتر محمول أثناء شركتك. لكنك تحتاج:

  • أثناء غيابك في المكتب، لا تسقط من سير العمل؛
  • نقل واستلام البريد الإلكتروني؛
  • استخدم البيانات من أي أنظمة تجارية تعمل في شركتك.

في يدك، في أحسن الأحوال، الكمبيوتر في شبكة المنظمة، حيث وصلت إلى رحلة عمل، مع الوصول إلى الإنترنت فقط على بروتوكول HTTP / HTTPS، في أسوأ الحالات - مقهى الإنترنت المعتاد في فندقك.

يحل SSL VPN بنجاح كل هذه المهام، وسيكون مستوى السلامة كافيا للعمل مع المعلومات الهامة من مقهى الإنترنت ...
في الواقع، تقوم بإجراء الإجراءات التالية:

  • تحتاج فقط إلى متصفح الإنترنت (Internet Explorer، Firefox، إلخ)؛
  • في متصفح الإنترنت، اكتب عنوان جهاز SSL VPN؛
  • التالي التنزيلات تلقائيا ويتم تشغيل Java Applet أو مكون ActiveX، والذي يوفر لك مصادقة؛
  • بعد المصادقة، تنطبق سياسات الأمان المناسبة تلقائيا:
    • التحقق من التعليمات البرمجية الضارة (في حالة الكشف المحظورة)؛
    • يتم إنشاء بيئة مغلقة لمعالجة المعلومات - جميع البيانات (بما في ذلك الملفات المؤقتة) التي يتم إرسالها من الشبكة الداخلية، بعد اكتمال الجلسة، سيتم حذفها من الكمبيوتر الذي تم الوصول إليه؛
    • أيضا خلال عملية الجلسة، تستخدم وسيلة إضافية للحماية والسيطرة؛
  • بعد إجراءات السلامة الناجحة، أصبحت جميع الروابط اللازمة "في نقرة واحدة من الماوس" متاحة:
    • الوصول إلى خوادم الملفات مع القدرة على نقل الملفات إلى الخادم؛
    • الوصول إلى تطبيقات الويب للشركة (على سبيل المثال، البوابة الداخلية، Outlook Web Access، إلخ)؛
    • الوصول المحطة (MS، سيتريكس)؛
    • أدوات المسؤول (على سبيل المثال، وحدة التحكم SSH)؛
    • وبالطبع، فإن إمكانية إمكانية بروتوكول VPN الكامل عبر بروتوكول HTTPS (دون الحاجة إلى تثبيت مسبق وإعداد عميل VPN) - يتم إرسال التكوين مباشرة من Office، وفقا لبيانات المصادقة.

وبالتالي، فإن استخدام SSL VPN يحل عدة مهام:

  • تبسيط كبير لعملية الإدارة ودعم المستخدم؛
  • تنظيم الوصول المحمي إلى المعلومات الهامة من العقد غير الموثوق بها؛
  • إمكانية التقديم على أي أجهزة محمولة، وكذلك على أي أجهزة كمبيوتر (بما في ذلك أكشاك الإنترنت) مع الوصول إلى الإنترنت (بدون إعدادات مسبقة وإعدادات البرامج الخاصة).

SSL.VPN - المصنعين والفرص

يهيمن سوق SSL VPN على حلول الأجهزة. بين مقدمي حلول SSL VPN جميع الشركات المصنعة المعروفة لمعدات الشبكة النشطة:

  • سيسكو.
  • هوواي.
  • العرعر.
  • نوكيا.
  • إلخ.

من بين تطبيقات البرامج، تخصيص أخصائيي Alatus قرارا على أساس SSL مستكشف. شركات 3SP المحدودةالتي تتوافق بدقة مع متطلبات العملاء.

أود أيضا أن أعطي طاولة مقارنة بقدرات IPSec VPN و SSL VPN:

صفة مميزة

IPSec VPN.

دعم التطبيق

دعم تطبيق الأعمال

دعم تطبيقات HTTP.

دعم الوصول إلى خوادم الملفات

دعم المحطة الطرفية

هندسة الشبكات

كمبيوتر شخصي

كمبيوتر محمول

اعمل من شبكة تابعة لجهة خارجية (جدار الحماية)

-
(يتطلب فتح المنافذ)

+
(العمل عبر HTTPS)

الكمبيوتر العام (مقهى الإنترنت)

-
(يتطلب تثبيت العميل)

CCP، Communicator

-+
(بالنسبة للجهاز، يجب أن يكون هناك عميل VPN)

توفير الحماية

القدرة على المصادقة الصارمة

+ (في معظم الحالات)

تسجيل الدخول واحد

-

التطبيق التلقائي لسياسات الأمان اعتمادا على نوع الكائن والمستخدم

-
(يتطلب قرارات إضافية)

بالإضافة إلى ذلك

التكنولوجيا واضحة

+
(يكفي Internet Explorer)

من السهل التنفيذ

يعتمد على الحل

سهل التكوين

يعتمد على الحل

سهولة الدعم

يعتمد على الحل

SSL VPN في روسيا

حتى الآن، تم بالفعل تنفيذ عدد كبير بما فيه الكفاية من المشاريع في روسيا، بشأن تنفيذ الوصول عن بعد بناء على تكنولوجيا SSL VPN. ولكن كما ذكرنا سابقا، حتى اكتسبت هذه التكنولوجيا في روسيا شعبيتها، في حين أن قرارات شركات تصنيع البيانات تقرر طلبا كبيرا للغاية بالنسبة لهم بين الشركات الغربية.

| إلى قائمة المنشورات

آمن الوصول عن بعد عبر SSL VPN

بوريس بوريسينكو، خبير

تقنية اكتسبت VPN واسعة الانتشار كوسيلة توفر موظفا آمنا وصول إلى شبكة محلية من المؤسسة من بعض النقطة البعيدة البدنية. تم تطوير شبكات VPN مقرها SSL كتقنية مساعدة وبديلة للوصول عن بعد عبر IPSec VPN. ومع ذلك، فإن تكلفة وموثوقية تنظيم قنوات الاتصال الآمنة جعلت SSL VPN تكنولوجيا جذابة للغاية. محاور SSL VPN اختيارية (مقارنة مع إمكانيات أجهزة VPN التقليدية). توفر معظم جدران الحماية تطبيقات نشر تطبيقات الإنترنت على الإنترنت من خلال المنافذ وعناوين شبكة البث (NAT) وتوجيه الشبكة، ولكن لا تقوم بحماية البيانات المشفوفة على المستوى المقدم من التطبيقات. يمكن لمستخدمي IPSec VPN إنشاء اتصال مع شبكة الشركات عن طريق القياس مع الاتصال المباشر بالشبكة المحلية. في هذه الحالة، يتم تشفير جميع البيانات المرسلة بين خادم VPN والعميل. ومع ذلك، لأن معظم أجهزة VPN تتطلب برنامج عميل خاص. في SSL VPN-Hubs، يتم استخدام المتصفح للوصول إلى الموظفين عن بعد ليس فقط على مواقع الويب الداخلية، ولكن أيضا تطبيقات وخوادم الملفات. النظر في بعض الحلول الأكثر إثارة للاهتمام لتنظيم الوصول عن بعد باستخدام SSL VPN.

Zywall SSL 10.

هذه عبارة عن بوابة الشبكات الخاصة الافتراضية مع دعم تشفير SSL، والذي يسمح لك بتنظيم الوصول عن بعد آمن إلى الشبكات والتطبيقات عبر اتصال VPN دون تثبيت جزء العميل مسبقا. يتم تقديم الجهاز لشبكات الأعمال الصغيرة والمتوسطة.

للاتصال بالإنترنت أو DMZ، هناك واجهة WAN، مفتاح إلى أربعة منافذ LAN، ميناء RS 232 DB9 هو التحكم في وحدة التحكم (هناك إمكانيات أقل في هذا الجهاز أكثر من نفس Zywall 1050). يدعم Zywall SSL 10 فقط الوصول المباشر فقط إلى قواعد بيانات المستخدم، ولكن أيضا العمل مع Microsoft Active Directory، LDAP وقافة نصف قطرها. بالإضافة إلى ذلك، من الممكن استخدام مصادقة عامين (باستخدام Zywall OTP الشجاعة).

يتم توفير الوصول المباشر إلى موارد شبكة الشركة بواسطة المستخدمين عن بعد SecuExtender من قبل أجهزة كمبيوتر العميل. بعد ذلك، بإذن من المسؤولين في فئات معينة من المستخدمين، سيكون من السهل تنظيم أنفاق الشبكة عبر IPSec. يمكن للمسؤولين أيضا تكوين سياسات الأمان لمجموعات المستخدمين وعناوين الشبكة أو التطبيقات المختلفة.

يدعم Zywall SSL 10 10 جلسات محمية في وقت واحد مع القدرة على الزيادة إلى 25 جلسات SSL. في الشبكة، يمكن استخدام الجهاز إما بالنسبة للبوابة الموجودة (الشكل 2) أو كعبارة جديدة (الشكل 3). في الحالة الأولى، يمكن توصيل Zywall SSL 10 بمنفذ DMZ. في الثانية هو مودم، وخادم الويب هو zywall. تمر حركة المرور من خادم الويب إلى المستخدم البعيد عبر نفق VPN.

من بين الخيارات المدعومة، يمكنك ذكر بروتوكول TLS، التشفير، الشهادات - AES 256 بت، الفكرة، RSA، Hashing - MD5، SHA-1. ميزة مثيرة للاهتمام هي مجموعة مختارة كبيرة إلى حد ما من الفوهات لمكونات الطاقة (لأي مآخذ وشبكات).

Netgear Prosafe SSL VPN المكثف SSL312

يتيح لك الجهاز العمل في وقت واحد مع شبكة الشركات إلى 25 عملية نائية. يتم إجراء الاتصال باستخدام مكونات ActiveX التي يمكن تنزيلها وتثبيتها مباشرة من الجهاز.

ومع ذلك، يجب أن يكون لدى العميل الوصول إلى امتيازات المسؤول لتثبيت مكونات ActiveX المقابلة. بالإضافة إلى ذلك، يجب تثبيت الإعدادات في المستعرض الذي يسمح بمكونات ActiveX. قد تحتاج أيضا إلى تثبيت تحديثات Windows. تتضمن الأجهزة منفذين LAN وميناء تسلسلي واحد. عند تسجيل الدخول إلى النظام، يتم تحديد خيار المصادقة: قاعدة بيانات المستخدم، والمجال Windows NT، LDAP، Microsoft Active Directory، دائرة نصف قطرها (PAP، الفصل، MSCHAP، MSCAPV2). عند الوصول إلى خادم بعيد، يجب أن يكون الأخير متاحا ويجب تكوين توجيه حركة المرور.

إذا كان مقدار ذاكرة DRAM هو نفسه و Netgear SSL312، وفي Zywall SSL 10، فإن ذاكرة Netgear Flash منخفضة أدنى (16 مقابل 128 ميغابايت). يفقد معالج NET-GEAR SSL312 أيضا ZYWALL (200 مقابل 266 مع مسرع تشفير). بخلاف Netgear SSL312، يدعم Zywall بروتوكول SSL 2.0 الإصدار.

هناك خياران لاستخدام الجهاز. في الحالة الأولى، من اثنين من منافذ إيثرنت Netgear SSL312 يستخدم واحد فقط. يجب أن تصل البوابة إلى Netgear SSL312 بواسطة HTTPS. سيستخدم خيار الاستخدام آخر كلا من منافذ Ethernet Netgear SSL312، في حين أن حركة مرور SSL لا تمر عبر جدار الحماية. يتم تعيين عنوان IP مفتوح في جهاز إيثرنت واحد، والثاني هو عنوان IP الداخلي للشبكة الداخلية. تجدر الإشارة إلى أن NETGEAR SSL312 لا يؤدي وظائف NAT و ITU ولا يحل محلها.

للعمل مع خدمات الشبكة، تحتوي شبكة محلية عن بعد عن خيارين: نفق VPN، الذي تم إنشاؤه بين المستخدم والجهاز، أو إعادة توجيه المنفذ (ميناء الشحن). كلتا الطريقتين لها مزايا وعيوب. يتيح لك Tunnel VPN تنظيم اتصال كامل مع شبكة محلية عن بعد، لكنه لا يسمح بإعدادات فردية لكل خدمة. يتيح لك إعادة توجيه المنفذ العمل العمل فقط مع اتصالات TCP (UDP وغيرها من بروتوكولات IP غير مدعومة)، يتم تعيين قواعد كل تطبيق بشكل منفصل.
DNS الديناميكي في Netgear SSL312 غير مدعوم، وهو أيضا عيب.

SSL VPN Juniper Networks Access Access 700

كما تم تصميم محلول الوصول عن بعد باستخدام SSL VPN للشركات الصغيرة والمتوسطة الحجم. يتم تنظيم الواجهة كمستخدم ومسؤول كمسصف ويب. تثبيت عميل VPN إلى جهاز كمبيوتر بعيد غير مطلوب. هناك اثنين من موانئ Ethernet RJ-45 وميناء تسلسلي واحد. يتحقق Juniper SA 700 تلقائيا الكمبيوتر البعيد، ويعتمد على نتائج البرامج المثبتة، وتعين حقوق الوصول المختلفة.

إنه قادر على الحفاظ على أكثر من 25 مستخدمين يعملون في وقت واحد. من بين المصادقة والترخيص هي الخيارات التالية: Microsoft Active Directory / Windows NT، LDAP، NIS، RADIUS، RSA، SAML، خادم الشهادات. يوفر الجهاز إمكانية الوصول إلى موارد الملفات / SMB أو UNIX / NFS، وتطبيقات الويب، بما في ذلك استخدام JavaScript، XML، Flash؛ يتم دعم الضوابط بواسطة بروتوكولات Telnet و SSH. يتم تنظيم الوصول إلى بريد إلكتروني للشركات على أساس عميل بريد عادي، تم تكوينه لاتصال آمن عبر بروتوكول SSL إلى Juniper SA 700. ومع ذلك، سيتطلب هذا رخصة "Aral Corpless Web Access".

يوفر Juniper SA 700 شيكات تلقائية للكمبيوتر البعيد إذا قام بتثبيت برنامج مكافحة الفيروسات، والاتحاد الشخصي للاتحاد الشخصي، والبرامج الأخرى التي توفر الأمان. يتم حذف جميع تنزيلات الخوادم الوكيل والملفات المؤقتة المطلوبة أثناء الجلسة بعد نهاية الجلسة.

SSL VPN-Plus Technology يسمح لك بتوفير الوصول إلى الموظفين عن بعد إلى Regoma السحابية الخاصة بك. في الوقت نفسه، يحصل الموظفون على وصول آمن فقط إلى الموارد التي تعتبر ضرورية لهؤلاء الموظفين، حتى لو تم الوصول إلى سيارة متاحة للجمهور، والتي هي خارج عن السيطرة على الشركة وتعتبر "غير موثوق بها".

توفر هذه المقالة معلومات التكوين. SSL VPN-Plus.

طوبولوجيا المستخدمة:

  1. في الفصل "الادارة" انتقل إلى مركز البيانات المطلوب. في قائمة الإعدادات التي تظهر، انتقل إلى علامة التبويب. "بوابات الحافة"وبعد اختيار "حافة vshield" المرغوبة. اضغط على زر الماوس الأيمن وحدد الخيار في القائمة "خدمات البوابة الحافة".
  1. افتح علامة التبويب SSL VPN-Plus، انتقل إلى علامة التبويب اعدادات الخادم وتفعيل خادم SSL VPN عن طريق الضغط على الجدول ممكن..

ثم حدد عنوان Vshield، Port - 443 IP، بمناسبة جميع خوارزميات التشفير.

  1. في علامة التبويب تكوين العميل. تحقق من تحديدها وضع النفق - انقسام



  1. في علامة التبويب المستخدمين. لكل موظف متصل، قم بإنشاء تفاصيل للاتصال.

  1. في علامة التبويب تجمعات بروتوكول الإنترنت. إنشاء مجموعة من عناوين IP التي سيتم تعيينها لأجهزة الكمبيوتر المتصلة.



  1. في علامة التبويب حزم التثبيت. قم بإنشاء إعدادات حزمة التثبيت في برنامج العميل. عند الوصول إلى بوابة عنوان IP (VSHIELD)، سيتم تنزيل برنامج عميل SSL VPN-Plus.


حدد القراد أنواع أنظمة التشغيل التي سيحدث منها الاتصالات. هذا ضروري لحزم التثبيت مسبقا.

  1. في علامة التبويب شبكات خاصة. وضعنا نطاقات شبكات البيانات السحابية التي سيحصل عليها الموظف المتصل

  1. على هذا الانتهاء من الإعدادوبعد الآن، من خلال النقر على https://195.21.5.130/sslvpn-plus/ وقم بتسجيل الدخول، يمكنك تنزيل برنامج عميل SSL VPN PLUS والاتصال بالتعريف الغائم.

يوجد حاليا نوعان من VPNS مخصص:
SSL VPN. و IPSec VPN. ولكل منهم لديه مزاياه وعيوبه.

الميزة الرئيسية ل SSL VPN هي بساطة تنفيذه: جميع المتصفحات تدعم SSL، يمر جميع مقدمي الخدمات ولا تحد من SSL.
يمكن إجراء بعض أنواع الوصول عبر SSL VPN حرفيا بأي متصفح وعلى أي نظام أساسي.

يعتبر IPSec VPN بروتوكول أكثر أمانا.

SSL و TLS.

في كثير من الأحيان في الأدب الفني، يمكنك تلبية مفاهيم SSL و TLS.

كلا البروتوكولات بروتوكولات التشفيرتوفير انتقال بيانات آمن عبر الإنترنت (البريد الإلكتروني، تصفح الويب، المراسلة الفورية).
توفر البروتوكولات سرية، سلامة، خدمات المصادقة.
SSL و TLS العمل على المستوى طبقة الجلسة. نماذج OSI أو أعلى.
البروتوكولات يمكن استخدامها البنية التحتية الرئيسية العامة (PKI) بالإضافة إلى شهادات المصادقة والنقل إلى مفاتيح أخرى متماثلة.
بالإضافة إلى IPSec لتشفير البيانات، يستخدمون مفاتيح متماثلة.

تصنع معظم برامج المتصفح الأكثر أمانا عبر SSL أو TLS.
في البداية، ظهر SSL، تم تطوير Netscape.
TLS هو تطوير SSL الإضافي، وكذلك المعيار الذي تم تطويره بواسطة فرقة عمل هندسة الإنترنت (IETF).
على سبيل المثال، يعتمد TLS 1.0 على SSL3.0.
ما على وجه التحديد لاستخدام SSL أو TLS حل المتصفحات نفسها: TLS يفضل، ولكن من الممكن التبديل إلى SSL.

وبالتالي، من المهم أن نفهم أن استخدام مصطلح SSL، فنحن يعني أن SSL أو TLS.
على سبيل المثال، يستخدم Cisco SSL VPN في الواقع TLS.

عمليات SSL.

لذلك، يتم استخدام SSL في معظم الخدمات عبر الإنترنت التي تتطلب الأمان.
دعونا نعتبر خطوة بخطوة، والتي تحدث عندما يتصل العميل بخادم البنك باستخدام SSL:

  • تهيئة العميل الاتصال بالخادم إلى عنوان IP الخاص به والمنفذ 443. يتم استخدام عميل ومنفذ العميل والمنفذ كمصدر، على التوالي.
  • هناك اتصال عملية TCP القياسي باستخدام ثلاثة طريقة المصافحة
  • يتبرع العميل في اتصال SSL ويستجيب الخادم بإرسال الشهادة الرقمية، والذي يحتوي على المفتاح العمومي هذا الخادم.
  • بعد تلقي شهادة، يجب أن يقرر العميل: أن تثق بهذه الشهادة أم لا.
    آليات PKI تبدأ العمل هنا.
    إذا تم توقيع الشهادة الرقمية CA، والتي يثق بها العميل + شهادة صالحة حسب التاريخ + الشهادة المسلسل غير مدرج في قائمة إبطال الشهادة (CRL) - يمكن للعميل أن يثق في الشهادة واستخدامها المفتاح العمومي هذه الشهادة.
  • يقوم العميل بإنشاء مفتاح متماثل سر مشترك.والتي سيتم استخدامها لتشفير البيانات بين العميل والخادم. بعد ذلك، يتم تشفير العميل سر مشترك. استخدام المفتاح العمومي وينقل هذا إلى الخادم.
  • خادم باستخدام الخاص بك مفتاح سري.، فك تشفير المفتاح المتماثل الناتج سر مشترك..
  • كلا الجانبين يعرفون الآن سر مشترك. ويمكن تشفير جلسة SSL.

أنواع SSL VPN.

يمكن تقسيم SSL VPN إلى نوعين:

  • SSL VPN بلا عمل. - وتسمى أيضا شبكة الإنترنت VPN.وبعد لا يتطلب تثبيت العميل. فرص محدودة.
  • كامل Cisco AnyConnect عميل التنقل الآمن عميل SSL VPN - عميل SSL الكامل الذي يتطلب التثبيت على برنامج عميل يوفر وصول كامل إلى شبكة الشركة

إعداد SSL VPN.

  1. نسخ ملف pkg anyconnect.
    في حالتنا، هذا anyConnect-Win-3.1.08009-k9.pkg
  2. نحدد ملف PKG، وتشغيل خدمة WebVPN AnyConnect خدمة الخدمة.
    webVPN AnyConnect Image Disk0: / NanyConnect-Win-3.1.08009-k9.pkg 1 تمكين Outside2 Anyconnect تمكين
  3. باستثناء (معفاة) SSL WebVPN حركة المرور من الشيكات واجهة خارجية ACL.وبعد نحتاج إما إلى قواعد تصاريح في ACL، أو استخدم الأمر:
    mSK-ASA-01 (التكوين) اتصال اتصال SYSOPT-VPN
  4. للراحة، اضبط إعادة التوجيه من 80 إلى 443:
    hTTP إعادة توجيه الخارج 2 80
  5. يخلق IP عنوان بركة.وبعد سيتم إصدار هذه العناوين للمستخدمين البعيدين.
    بركة بريد إلكتروني محلية VPNPool_Pool 192.168.93.10-192.168.93.254 قناع 255.255.255.0
  6. يخلق exemption nat لحركة المرور بين شبكة LAN. وشبكة VPNPool. ونحن نوجه هذا استثناء، منذ حركة المرور المشفرة لا ينبغي أن تمر عبر NAT. هناك حاجة إلى هذه الخطوة إذا تم تكوين هذا NAT على ASA.
    شبكة كائن VPNPool_OBJ.
    كائن شبكة VPNPool_obj الشبكة الفرعية 192.168.92.0 255.255.255.0 كائن المجموعة شبكة-كائن RFC1918_Objg الشبكة 192.168.0.0 255.255.0.0 شبكة-كائن 172.16.0.0 255.240.0.0 شبكة-كائن 10.0.0.0 255.0.0.0 نات (داخل، خارج) المصدر ثابت RFC1918_OBJG RFC1918_OBJG الوجهة الثابتة vpnpool_obj vpnpool_obj no-proxy-arp route
  7. إنشاء ACL SPLIT-TUNNAL، سيسمح هذا الإعداد للمستخدمين عند الاتصال عبر VPN استخدام الإنترنت في وقت واحد. بدون هذا الإعداد، سيتم لف جميع حركة المرور في النفق.
    قائمة الوصول SPLIT-TUNNAL_ACL تصريح قياسي 192.168.10.0 255.255.255.0

    سيتم لف هذا الإعداد في نفق حركة المرور فقط على شبكة نفس rfc1918.

  8. يخلق سياسة المجموعة.
    يمكننا إنشاء سياسة مجموعة متعددة، وفي كل سمات شبكة تكوين مثل عناوين خادم DNS أو إعدادات تقسيم الأندلين أو المجال الافتراضي أو البروتوكول (SSL أو IPSec)، إلخ.
    group-Policy OnConnect_GP Group-Particents INNONNNECT_GP قيمة خادم DNS-Server 192.168.10.5 Protocol Protocol SSL-Client SSL-Clintless SSL-Clientless SSL-Cliness-Tunnel-Network-Tunnel-Tunnel-Tunnel-Tunnel-Tunnel_ACL WebVPN AnyConnect تم تثبيت عميل OnConnect DPD-الفاصل الزمني 20 AnyConnect اسأل لا شيء افتراضي AnyConnect
  9. يخلق مجموعة النفق..
    تسمى مجموعة النفق في واجهة ASDM كلا اتصال الاتصال.
    يجب أن تتضمن مجموعة Tunnel سياسة مجموعة تكوينها ويجمع مع تجمع عنوان IP.
    يمكننا إنشاء العديد من هذه المجموعات، والمستخدم عند تسجيل الدخول يمكن أن تختار لنفسك مجموعة النفق المرغوبة مع جميع الخصائص الضرورية: المعلمات الموروثة من نهج المجموعة + بركة العنوان
    tunnel-Group Assisters_TG نوع Assisters VPN-Accier_TG Accession-Users VPN-Userse_TG General-Pool-Pool VPNPool_Pool Tail-Group-Group-Group-Group-Group Onconnect_GP Tunnect_GP Tunnel-Upday_TG WebVPN-Attesibutes Group-Aliassers VPN_USERS-ALIAS تمكين Group WebVPN Tunnel-Group- قائمة تمكين

    يتيح الأمر الأخير للمستخدمين اختيار مجموعة الأنفاق.
    بالنسبة للمستخدمين، ستبحث هذه المجموعة باسم "VPN_USERS-ALIAS"

يجب أن تكسب AnyConnect بالفعل، - يمكنك الذهاب تحت محاسبة المسؤول.

مراقبة SSL VPN.

  • ASDM: مراقبة\u003e VPN\u003e إحصاءات VPN\u003e جلسات
  • من CLI:
    vPN # عرض uauth. المستخدمون الحاليين الأكثر شووح للمصادقة 1 1 Authen قيد التقدم 0 0 Access Access مستخدم VPN "VPN_VIDEO_USER1" في 192.168.92.25، قائمة الوصول المصادق عليها # ACSACL # -IP-VIDEO_DACL-54DDC357 (*)
    vPN # إظهار قائمة الوصول تدفقات سجل ACL Cached List: إجمالي 0، تم رفض 0 (Deny-Flow-Max 4096) تنبيه - فاصل الفاصل، قائمة الوصول إلى Tunnel_ACL؛ 1 عناصر؛ اسم التجزئة: 0xb6fb0e قائمة الوصول سبليت Tunnel_acl Line 1 تصريح قياسي 192.168.10.0 255.255.255.0 (Hitcnt \u003d 0) 0x13482529 قائمة الوصول # ACSACL # -P-VIDEO_DACL-54DDC357؛ 1 عناصر؛ الاسم التجزئة: 0x6c7d7b7f (Dynamic) قائمة الوصول # ACSACL # -IP-VIDECE_DACL-54DDC357 خط 1 تسمح مدد IP IP Any4 Host 192.168.10.45 (HITCNT \u003d 0) 0x4CE5DEB8

    نحن ننظر إلى سلافينين

    عرض ملخص جلسات VPN
    عرض VPN Sessiond AnyConnect

    رمي مستخدم من VPN:

    اسم تسجيل الخروج VPN SessionDB Langemakj