Zaštićeni daljinski pristup putem SSL VPN. Zaštićeni daljinski pristup putem SSL VPN Zašto koristiti novi VPN protokol

U prvom dijelu ove serije članaka o konfiguriranju sustava Windows Server 2008 kao SSL VPN poslužitelj, razgovarao sam o nekim činjenicama o povijesti Microsoft VPN poslužitelja i VPN protokola. Dovršili smo prethodni članak opisom primjera mreže, koji će se koristiti u ovom i naknadnim dijelovima serije VPN-to-konfiguracija koji podržava SSTP vezu s Vista SP1 klijentima.

Prije nego što počnemo, moram priznati da znam o prisutnosti priručnika korak-po-korak za izradu SSTP veza za Windows Server 2008, koji se nalazi na www.microsoft.com web stranice. Činilo mi se da ovaj članak ne odražava stvarno okruženje koje se koristi u organizacijama za dodjeljivanje certifikata. Zato, i zbog nekih problema točaka koje nisu bile pogođene u Microsoftovom priručniku, odlučio sam napisati ovaj članak. Vjerujem da ćete naučiti malo novo ako me slijedite u ovom članku.

Neću razmotriti sve korake od osnova. Usuđujem se pretpostaviti da ste instalirali kontroler domene i aktivirali DHCP, DNS i usluge certifikata uloga na ovom poslužitelju. Vrsta certificiranja poslužitelja mora biti poduzeće, a imate CA na mreži. VPN poslužitelj mora biti povezan s domenom prije nastavka izvršavanja sljedećih koraka. Prije početka morate instalirati paket ažuriranja SP1 za Vista klijenta.

Moramo ispuniti sljedeće postupke kako bismo naše rješenje za rad:

  • Instalirajte IIS na VPN poslužitelju
  • Zatražite potvrdu VPN poslužitelja pomoću čarobnjaka Certifikat Certifikat Wizard Certifikat
  • Postavite ulogu RRAS na VPN poslužitelju
  • Aktivirajte RRAS poslužitelj i konfigurirajte ga za rad kao VPN i NAT poslužitelj
  • Konfigurirajte NAT poslužitelj za objavljivanje CRL-a
  • Konfigurirajte račun (korisnički račun) za korištenje dial-up veze
  • Konfigurirajte iis na poslužitelju certifikata da biste omogućili HTTP veze za CRL katalog
  • Konfigurirajte hosts datoteku za VPN klijent
  • Koristite PPTP za komunikaciju s VPN poslužiteljem
  • Nabavite CA certifikat od Enterprise CA
  • Konfigurirajte klijenta za korištenje SSTP-a i povezivanje s VPN poslužiteljem pomoću SSTP-a

IIS instalacija na VPN poslužitelju

Možda će se činiti čudno da počnemo s ovim postupkom, jer preporučujem da nikada ne instalirate web-poslužitelj na mrežnu sigurnost. Dobra vijest je da ne moramo pohraniti web poslužitelj VPN poslužitelja, to će biti potrebno samo neko vrijeme. Razlog leži u činjenici da je site registracija uključena u poslužitelj certifikata sustava Windows Server 2008 više nije korisno za zahtjev za certifikat računala. Zapravo, on je općenito beskoristan. Zanimljivo, ako i dalje odlučite koristiti web-lokaciju za registraciju za primanje certifikata računala, sve će izgledati kao certifikat se dobiva i instalira, ali u stvari to nije tako, certifikat nije postavljen.

Da bismo riješili ovaj problem, koristimo prednost u korištenju poduzeća ca. Kada koristite Enterprise CA, možete poslati zahtjev za interaktivni certifikacijski poslužitelj. Interaktivni zahtjev za računalni certifikat moguć je kada koristite čarobnjak za čarobnjaka za potvrdu i zahtjev i zatražite ono što se sada naziva certifikatom certifikata domene. To je moguće samo ako stroj za traženje pripada istoj domeni kao i poduzeće ca.
Da biste instalirali IIS web-poslužitelj na VPN poslužitelju, slijedite ove korake:

  1. Otvorite Windows 2008. Upravitelj poslužitelja.
  2. U lijevom oknu konzole kliknite na karticu Uloga.
  1. Kliknite na izbornik Dodati ulogu Na desnoj strani desne ploče.
  2. Zhmem. Unaprijediti Na stranici Prije početka.
  3. Stavite oznaku ispred niza Web poslužitelj (IIS) Na stranici Odaberite uloge poslužitelja, Zhmem. Unaprijediti.

  1. Informacije možete pročitati na stranici. Web poslužitelj (IIS)Ako želite. Ovo je prilično korisna opća informacija o korištenju IIS 7 kao web poslužitelja, ali budući da nećemo koristiti IIS web-poslužitelj na VPN poslužitelju, te informacije nisu u potpunosti primjenjive u našoj situaciji. Zhmem. Unaprijediti.
  2. Na stranici Odaberite ulogu uloga Nekoliko je opcija već odabrano. Međutim, ako koristite zadane opcije, nećete moći koristiti čarobnjak za čarobnjaka zahtjeva za potvrdom. Barem je bilo kad sam testirao sustav. Nema uloga usluga za Master Certifikat zahtjev čarobnjaka, pa sam pokušao staviti krpelje nasuprot svake opcije SigurnostI čini se, radila. Učinite isto i kliknite Unaprijediti.

  1. Provjerite informacije na stranici Potvrdite odabir instalacija i pritisnite Namjestiti.
  2. Klik Zatvoriti Na stranici Rezultati ugradnje.

Zahtjev za strojarnog certifikata za VPN poslužitelj s IIS zahtjevom čarobnjaka čarobnjaka

Sljedeći korak je zatražiti potvrdu o certifikatu za VPN poslužitelj. VPN poslužitelj zahtijeva certifikat stroj za stvaranje SSL VPN veze s SSL VPN klijentskom računalom. Opće ime certifikata mora odgovarati imenu da će VPN klijent koristiti za povezivanje s SSL VPN gateway računalom. To znači da ćete morati stvoriti unos javnog DNS za ime na certifikatu koji će omogućiti vanjsku IP adresu VPN poslužitelja ili IP adresu NAT uređaja prije VPN poslužitelja koji će biti preusmjeren na vezu s SSL-om VPN poslužitelj.

Da biste upitali potvrdu o stroju na SSL VPN poslužitelju, slijedite ove korake:

  1. U Upravitelj poslužitelja.Implementirati karticu Uloga u lijevom oknu, a zatim aktivirajte karticu Web poslužitelj (IIS), Pritisnite.

  1. U konzoli Upravitelj internetskih informacija (IIS)koji će se pojaviti na desnoj strani u lijevom oknu, kliknite na naziv poslužitelja. U ovom primjeru naziv poslužitelja će biti W2008rc0-vpngw., Kliknite na ikonu Certifikati poslužitelja Na desnoj ploči IIS konzole.

  1. U desnom oknu konzole kliknite na vezu Stvorite certifikat domene.

  1. Unesite podatke na stranici Naziv određenih svojstava, Najvažniji objekt ovdje će biti Uobičajeno ime, Ovo je ime koje VPN klijenti će se koristiti za povezivanje s VPN poslužiteljem. Također ćete trebati unos javnog DNS-a za ovo ime kako biste prepoznali vanjsko VPN poslužitelj sučelje ili javnu adresu NAT uređaja prije VPN poslužitelja. U ovom primjeru koristimo zajedničko ime sstp.msfirewall.org., Kasnije ćemo stvoriti datoteku hosts snimanje na klijent VPN računalo tako da može prepoznati ovo ime. Zhmem. Unaprijediti.

  1. Na stranici Odabrati, U dijaloškom okviru Odaberite Potvrde o izvoruKliknite na ime Enterprise CA i kliknite U REDU., Upisujemo prijateljsko ime u nizu Prijateljsko ime., U ovom primjeru koristili smo ime SSTP CERT.Znati da se koristi za SSTP VPN gateway.

  1. Zhmem. Završi Na stranici Interaktivni izvor certifikata.

  1. Čarobnjak će biti lansiran, a zatim nestao. Nakon toga vidjet ćete kako će se certifikat pojaviti u IIS konzoli. Kliknite dvaput na certifikatu i pogledajte uobičajeno ime u odjeljku Imenovan zaA sada imamo privatni ključ koji odgovara certifikatu. Zhmem. U REDU.Za zatvaranje dijaloškog okvira Potvrda.

Sada kada imamo potvrdu, možemo postaviti ulogu uloge RRAS poslužitelja. Imajte na umu da je vrlo važno instalirajte certifikat Prije uspostavljanja uloge uloge RRAS poslužitelja. Ako to ne učinite, vi ćete se naštetiti velikim glavoboljama, jer morate koristiti prilično kompliciranu rutinu naredbenih linija kako biste povezali certifikat s SSL VPN klijentom.

Ugradnja uloge u ulogu RRAS poslužitelja na VPN poslužitelju

Da biste instalirali ulogu u ulogu RRAS poslužitelja, morate izvršiti sljedeće korake:

  1. U Upravitelj poslužitelja.Kliknite na karticu Uloga U lijevom oknu konzole.
  2. U odjeljku Opće uloga Kliknite vezu Dodati ulogu.
  3. Klik Unaprijediti Na stranici Prije početka.
  4. Na stranici Odaberite uloge poslužitelja Stavite potvrdni okvir ispred niza. Klik Unaprijediti.

  1. Pročitajte informacije na stranici. Usluga mrežne politike i pristupa, Većina se odnosi na poslužitelj mrežne politike (koji je prethodno bio nazvan Internet autentifikacijski poslužitelj i bio je u biti bio radijus poslužitelj) i dremka, niti jedan od elemenata ne primjenjuje se u našem slučaju. Pritisnuti Unaprijediti.
  2. Na stranici Odaberite službu uloga Stavite oznaku ispred niza Usluge usmjeravanja i udaljenog pristupa, Kao rezultat toga, odabrane su stavke Usluge daljinskog pristupa i Usmjeravanje, Zhmem. Unaprijediti.

  1. Zhmem. Namjestiti u prozoru Potvrdite odabrane postavke.
  2. Zhmem. Zatvoriti Na stranici Rezultati ugradnje.

Aktivacija RRAS poslužitelja i njegove konfiguracije kao VPN i NAT poslužitelja

Sada kada je instalirana uloga RRAS, moramo aktivirati RRAS usluge, kao i u prethodnim verzijama sustava Windows. Moramo aktivirati VPN poslužitelj i NAT usluge. Uz aktiviranje VPN komponente poslužitelja, sve je jasno, ali možete pitati zašto morate aktivirati NAT poslužitelj. Razlog za aktivaciju NAT poslužitelja leži u činjenici da vanjski klijenti mogu pristupiti poslužitelju certifikata za povezivanje s CRL-om. Ako SSTP VPN klijent ne može učitati CRL, SSTP VPN veza neće funkcionirati.

Da bismo otvorili pristup CRL-u, konfigurirat ćemo VPN poslužitelj kao NAT poslužitelj i objaviti CRL koristeći reverzibilni NAT. U mrežnom okruženju tvrtki, najvjerojatnije ćete imati vatrozid, kao što je ISA firewall, prije certifikacijskog poslužitelja, tako da možete objaviti CRL uz pomoć vatrozida. Međutim, u ovom primjeru jedini vatrozid koji će koristiti je vatrozid vatrozida za Windows na VPN poslužitelju, tako da u ovom primjeru treba konfigurirati VPN poslužitelj kao NAT poslužitelja.

Da biste aktivirali RRAS usluge, slijedite ove korake:

  1. U Upravitelj poslužitelja. Proširite karticu Uloga U lijevom oknu konzole. Proširite karticu Usluga mrežne politike i pristupa I kliknite na karticu. Desnom tipkom miša kliknite karticu i kliknite Konfigurirajte i aktivirajte usmjeravanje i daljinski pristup.

  1. Klik Unaprijediti u prozoru Dobrodošli na čarobnjak za postavljanje poslužitelja usmjeravanja i daljinskog pristupa.
  2. Na stranici Konfiguracija Odaberite opciju Pristup virtualnim privatnim mrežama i NAT-u i pritisnite Unaprijediti.

  1. Na stranici VPN veza Odaberite NIC u odjeljku Mrežna sučeljašto predstavlja vanjski VPN poslužitelj sučelje. Zatim kliknite Unaprijediti.

  1. Na stranici Dodjeljivanje IP adresa Odaberite opciju Automatski, Možemo odabrati ovu opciju jer imamo DHCP poslužitelj na kontroleru domene za VPN poslužitelj. Ako nemate DHCP poslužitelja, morat ćete odabrati opciju S određenog popisa adresaI zatim dodajte popis adresa koje će VPN klijenti moći koristiti kada je spojen na mrežu putem VPN gatewaya. Zhmem. Unaprijediti.

  1. Na stranici Upravljanje udaljenim pristupom Višestrukim poslužiteljima Odabrati Ne, koristite usmjeravanje i daljinski pristup autentifikaciji veza, Koristimo ovu opciju kada NPS ili radijus poslužitelji nisu dostupni. Budući da je VPN poslužitelj član domene, korisnike možete provjeriti autentičnost pomoću računa domene. Ako VPN poslužitelj nije uključen u domenu, mogu se koristiti samo lokalni VPN poslužiteljski računi, osim ako ne odlučite koristiti NPS poslužitelj. Napisat ću članak o korištenju NPS poslužitelja u budućnosti. Zhmem. Unaprijediti.

  1. Pročitajte opće informacije o stranici. Dovršavanje čarobnjaka za usmjeravanje čarobnjaka i udaljenog pristupa i pritisnite Završi.
  2. Klik U REDU. U dijaloškom okviru Usmjeravanje i daljinski pristupTo vam govori da raspodjela DHCP poruka zahtijeva DHCP distribucijskog agenta.
  3. U lijevoj ploči s lijeve strane proširite karticu Usmjeravanje i daljinski pristup a zatim kliknite na karticu Luke, U srednjoj ploči vidjet ćete da su sada dostupne WAN MiniPort veze za SSTP.

Postavljanje NAT poslužitelja za objavljivanje CRL-a

Kao što sam rekao ranije, SSL VPN klijent bi trebao biti u mogućnosti učitati CRL za potvrdu da je certifikat poslužitelja na VPN poslužitelju nije oštećen ili opozvan. Da biste to učinili, konfigurirajte uređaj ispred certifikacijskog poslužitelja da biste poslali zahtjeve HTTP CRL-a na poslužitelju certificiranja.

Kako pronaći na koji URL trebate povezati SSL VPN klijentu da biste preuzeli CRL? Te su informacije sadržane u samom certifikatu. Ako prvi put idite na VPN poslužitelj i dvaput kliknite potvrdu u IIS konzoli, kao i prije, možete pronaći te informacije.

Kliknite na gumb Detalje na certifikatu i listu na pisanje CRL distribucijske točke, zatim kliknite ovaj zapis. Donja ploča prikazuje različite točke distribucije na temelju protokola koji se koristi za pristup tim točkama. Potvrda prikazana na slici ispod pokazuje da trebamo otvoriti pristup SSL VPN klijentu na CRL putem URL-a:

http://win2008rc0-dc.msfirewall.org/certenroll/win2008rc0-dc.m.m.m.sc.crl

To je razlog zašto trebate stvoriti javne DNS unose za to ime tako da vanjski VPN klijenti mogu privući ovo ime na IP adresu ili uređaj koji će izvršiti reverzibilni NAT ili reverzibilni proxy za pristup web-mjestu certifikacijskog poslužitelja. U ovom primjeru moramo vezati win2008rc0-dc.msfirewall.org. S IP adresom na vanjskom sučelju VPN poslužitelja. Kada veza dosegne vanjsko sučelje VPN poslužitelja, VPN poslužitelj preusmjeravanje NAT veze s certifikacijskim poslužiteljem.

Ako koristite prošireni vatrozid, kao što je ISA firewall, možete napraviti web-lokacije CRL-a sigurnije, otvaranje pristupa. samo na CRL, ne na sve stranice. Međutim, u ovom članku ograničavamo se mogućnost jednostavnog NAT uređaja, tako da pruža RRAS NAT.

Treba napomenuti da korištenje zadane CRL stranice može biti manje sigurna opcija jer otkriva ime privatno računalo na internetu. Možete stvoriti prilagođeni CDP (CRL distribucijska točka) kako biste izbjegli to ako mislite da je otkriće privatnog naziva vašeg CA u javnom DNS zapisu stvara sigurnosnu prijetnju.

Da biste konfigurirali RRAS NAT za slanje HTTP zahtjeva na poslužitelj certificiranja, slijedite ove korake:

  1. Na lijevoj ploči Upravitelj poslužitelja. Proširite karticu Usmjeravanje i daljinski pristupi zatim implementirati karticu IPv4., Kliknite na karticu Nat..
  2. Na kartici Nat. Kliknite desnu tipku na vanjskom sučelju u srednjem oknu konzole. U ovom primjeru, ime vanjskog sučelja bilo je Veza lokalnog područja, Pritisnuti Svojstva.

  1. U dijaloškom okviru označite okvir nasuprot Web poslužitelj (http), To će uzrokovati dijaloški okvir. Usluga uređivanja, U tekstualnom nizu Privatna adresa Unesite IP adresu poslužitelja certificiranja u internu mrežu. Klik U REDU..

  1. Klik U REDU. U dijaloškom okviru Svojstva priključka lokalnog područja.

Sada kada je NAT poslužitelj instaliran i konfiguriran, možemo prebaciti našu pozornost na postavljanje CA poslužitelja i SSTP VPN klijenta.

Zaključak

U ovom članku, nastavili smo razgovarati o konfiguriranju SSL VPN poslužitelja pomoću sustava Windows Server 2008. Pogledali smo IIS instalaciju na VPN poslužitelju, zahtjev i ugradnju certifikata poslužitelja, instalacije i konfiguracije RRAS-a i NAT usluga na VPN poslužitelj. U sljedećem članku završit ćemo za razmatranje postavke CA poslužitelja i SSTP VPN klijenta. Vidimo se! Tom.

VPN mreže ušle su na naše živote vrlo ozbiljno, i mislim dugo vremena. Ova se tehnologija koristi iu organizacijama za kombiniranje ureda u jednu podmrežu ili osigurati pristup interne informacije mobilnih korisnika i kod kuće prilikom ulaska u internet putem pružatelja usluga. Može se reći s povjerenjem da je svaki od administratora nužno uključen u konfiguriranje VPN-a, kao što je svaki korisnik računala s pristupom internetu koristio ovu tehnologiju.

Zapravo, IPSec VPN tehnologija je vrlo česta. Mnogi različiti članci tehničkog i nadzora i analitičkog pisani su o tome. No, SSL VPN tehnologija pojavila se relativno nedavno, koja je sada vrlo popularna u zapadnim tvrtkama, ali u Rusiji nisu se posvetili pozornost na njega. U ovom članku pokušat ću opisati što se IPSec VPN razlikuje od SSL VPN-a i koje prednosti koriste SSL VPN unutar organizacije.

IPSec.VPN - njezine prednosti i nedostaci

U prvom dijelu Želio bih skrenuti pozornost na definiciju VPN-a, najčešći - "VPN je tehnologija koja kombinira pouzdane mreže, čvorove i korisnike kroz otvorene mreže koje nisu samopouzdanje" (© Check Point Software Technologies).

Doista, u slučaju pouzdanih čvorova, primjena IPSec VPN je najisplatičniji način. Na primjer, za povezivanje udaljenih ureda u jednu korporativnu mrežu potrebna je brtva ili najam odabranih linija, a internet se koristi. Kao rezultat izgradnje zaštićenih tunela između pouzdanih mreža, formira se jedan IP prostor.

No, kada organizira daljinski pristup zaposlenicima IPSeca, rješenja se koriste za ograničavanje samo pouzdanih uređaja, kao što su prijenosna računala poduzeća. Da biste primijenili IPSec VPN, IT usluga mora instalirati i konfigurirati svaki pouzdani uređaj (koji želite dati daljinski pristup) VPN klijent i održavati rad ove aplikacije. Prilikom instaliranja IPSec rješenja, potrebno je uzeti u obzir svoje "skrivene" cijene povezane s podrškom i podrškom, jer za svaku vrstu mobilnog klijenta (laptop, PDA, itd.) I svaku vrstu mrežnog okruženja (pristup putem internetskih usluga) , Pristup mreži tvrtke -Clin, pristup pomoću adresa prijevoda) zahtijeva izvornu konfiguraciju IPSec klijenta.

Osim podrške, postoji nekoliko vrlo važnih problema:

  • Ne za sve pouzdane mobilne uređaje koji se koriste u tvrtki postoje VPN klijenti;
  • U različitim podmrežama, koji pristup (na primjer, korporativna mreža partnera ili kupaca), potrebne su potrebne portove i potrebna je dodatna koordinacija njihovog otvaranja.

Kada koristite SSL VPN, nema takvih problema.

SSL.VPN - Korisnički rad Algoritam

Pretpostavimo da ste na poslovnom putu, ne možete vam dati prijenosno računalo tijekom vaše tvrtke. Ali trebate:

  • Tijekom odsutnosti u uredu nemojte ispadati iz tijeka rada;
  • Prijenos i primanje e-pošte;
  • Koristite podatke iz bilo kojeg poslovnog sustava koji rade u vašoj tvrtki.

U vašoj ruci, u najboljem slučaju, računalo u mreži organizacije, gdje ste stigli na poslovno putovanje, s pristupom internetu samo na HTTP / HTTPS protokolu, u najgorem slučaju - uobičajeni internet caffe u vašem hotelu.

SSL VPN uspješno rješava sve te zadatke, a razina sigurnosti će biti dovoljna za rad s kritičnim informacijama iz internetskog kafića ...
Zapravo, izvršite sljedeće radnje:

  • Trebate samo internet preglednik (Internet Explorer, Firefox itd.);
  • U internetskom pregledniku upišite adresu SSL VPN uređaj;
  • Zatim automatski preuzima i pokreće Java Applet ili ActiveX komponentu, koji vam nudi ovjerene;
  • Nakon provjere autentičnosti automatski se primjenjuju odgovarajuće sigurnosne politike:
    • provjera zlonamjernog koda (u slučaju otkrivanja koja je blokirana);
    • stvoreno je zatvoreno okruženje za obradu informacija - svi podaci (uključujući privremene datoteke) koji se prenose s unutarnje mreže, nakon završetka sesije, bit će izbrisani s računala iz kojeg je pristup bio;
    • Također tijekom postupka sjednice koriste se dodatna sredstva za zaštitu i kontrolu;
  • Nakon uspješnih sigurnosnih postupaka, sve potrebne veze "u jednom klikom miša" postaju dostupni:
    • Pristup datotečnim poslužiteljima s mogućnošću prijenosa datoteka na poslužitelj;
    • Pristup web aplikacijama tvrtke (na primjer, unutarnji portal, Outlook Web pristup itd.);
    • Pristup terminal (MS, Citrix);
    • Administratorski alati (na primjer, SSH Console);
    • I, naravno, mogućnost potpune VPN putem HTTPS protokola (bez potrebe za ugradnjom i postavljanjem klijenta VPN) - konfiguracija se prenosi izravno iz ureda, u skladu s podacima o autentičnosti.

Dakle, korištenje SSL VPN rješava nekoliko zadataka:

  • Značajno pojednostavljenje upravljanja procesu i korisničke podrške;
  • Organizacija zaštićenog pristupa kritičnim informacijama od nepouzdanih čvorova;
  • Mogućnost primjene na bilo koji mobilni uređaji, kao i na bilo kojim računalima (uključujući internet kioske) s pristupom internetu (bez prethodnih postavki i posebnih postavki softvera).

SSL.VPN - Proizvođači i mogućnosti

SSL VPN tržište dominira hardverske rješenja. Među pružateljima usluga SSL VPN rješenja su svi poznati proizvođači aktivne mrežne opreme:

  • Cisco.
  • Huawai.
  • Smreka.
  • Nokia.
  • Itd

Među softverskim implementacijama, Alatus stručnjaci dodjeljuju odluku na temelju SSL Explorer Tvrtke 3SP dookoji najtočnije u skladu s zahtjevima kupaca.

Također bih volio dati tablicu u usporedbi s mogućnostima IPSec VPN i SSL VPN:

Karakterističan

IPSec VPN.

Podrška za prijavu

Podrška za poslovnu aplikaciju

Podrška HTTP aplikacija

Podrška pristup datotekama poslužitelja

Pristup za podršku

Arhitektura mreže

Korporativno računalo

Mobilno računalo

Rad iz mreže treće strane (za vatrozid)

-
(Zahtijeva otvaranje portova)

+
(Rad putem HTTPS-a)

Javno računalo (Internet Caffe)

-
(Zahtijeva instalaciju klijenta)

Ccp, komunikator

-+
(Za uređaj bi trebao biti VPN klijent)

Pružanje zaštite

Sposobnost strogog autentičnosti

+ (U većini slučajeva)

Web pojedinačni znak

-

Automatska primjena sigurnosnih politika ovisno o vrsti objekta i korisnika

-
(Zahtijeva dodatne odluke)

Dodatno

Jasna tehnologija

+
(Dosta Internet Explorer)

Jednostavna provedba

Ovisi o rješenju

Jednostavna konfiguracija

Ovisi o rješenju

Jednostavnost podrške

Ovisi o rješenju

SSL VPN u Rusiji

Do danas, u Rusiji je već proveden dovoljno velik broj projekata, na provedbi daljinskog pristupa temeljene na SSL VPN tehnologiji. No, kao što je već spomenuto, sve dok ova tehnologija u Rusiji je stekla svoju popularnost, dok odluke proizvođača podataka izvješćuju vrlo visoku potražnju za njima među zapadnim tvrtkama.

| Na popis publikacija

Osiguran daljinski pristup putem SSL VPN

Boris Borisenko, stručnjak

TEHNOLOGIJA VPN je dobila rasprostranjena kao sredstvo pružanje sigurnog pristupa zaposlenicima lokalnoj mreži poduzeća od neke fizički udaljene točke. SSL-temeljene VPN mreže razvijene su kao pomoćna i alternativna tehnologija za daljinski pristup putem IPSec VPN. Međutim, trošak i pouzdanost organizacije sigurnih komunikacijskih kanala napravio je SSL VPN vrlo atraktivnu tehnologiju. SSL VPN HUBS su opcionalni (u usporedbi s tradicionalnim VPN uređajima). Većina vatrozida pruža objavljivanje web aplikacija na internet kroz luke, emitiranje mrežnih adresa (NAT) i mrežnog usmjeravanja, ali ne kriptografske zaštite podataka na razini koje pružaju aplikacije. Korisnici IPSec VPN mogu uspostaviti komunikaciju s korporativnom mrežom analogno izravnom vezom s lokalnom mrežom. U tom slučaju, svi podaci koji se prenose između VPN poslužitelja i klijenta su šifrirani. Međutim, za većinu VPN uređaja zahtijeva poseban program klijenta. U SSL VPN-HUBS-u, preglednik se koristi za pristup udaljenim zaposlenicima ne samo na interne web-lokacije, već i aplikacije i poslužitelje datoteka. Razmotrite neka od najzanimljivijih rješenja za organiziranje daljinskog pristupa pomoću SSL VPN.

Zywall SSL 10.

Ovo je virtualni privatni mrežni pristupnik s SSL enkripcijskim podrškom, koji vam omogućuje da organizirate siguran daljinski pristup mrežama i aplikacijama putem VPN veze bez predinstaliranja dijela klijenta. Uređaj se nudi za male i srednje poslovne mreže.

Za povezivanje s internetom ili DMZ-om postoji WAN sučelje, prekidač na četiri LAN priključka, RS 232 DB9 priključak je da kontrolira kroz konzolu (u ovom uređaju ima manje mogućnosti nego u istom Zywallu 1050). Zywall SSL 10 podržava ne samo izravan pristup korisničkim bazama podataka, već i rad s Microsoft Active Directory, LDAP i RADIUS. Osim toga, moguće je koristiti autentifikaciju dva faktora (pomoću Zywall OTP hrabri).

Izravan pristup resursima korporativne mreže pružaju daljinski korisnici tvrtke Secuextender od strane korisničkih računala. Nakon toga, uz dopuštenje administratora na određene kategorije korisnika, lako će organizirati mrežne tunele putem IPSec. Administratori također mogu konfigurirati sigurnosne politike za grupe korisnika, mrežne adrese ili razne aplikacije.

Zywall SSL 10 podržava 10 simultanih zaštićenih sesija s mogućnošću povećanja na 25 SSL sesija. U mreži se uređaj može koristiti ili za postojeći pristupnik (sl. 2) ili kao novi pristupnik (sl. 3). U prvom slučaju, Zywall SSL 10 može se spojiti na DMZ port. U drugom je modem, a web poslužitelj je za Zywall. Promet s web poslužitelja do udaljenog korisnika prolazi kroz VPN tunel.

Među podržanim opcijama možete spomenuti TLS protokol, šifriranje, certifikati - 256-bitni AES, Ideja, RSA, Hashing - MD5, SHA-1. Zanimljiva značajka je prilično veliki izbor mlaznica za utikač za napajanje (za sve utičnice i mreže).

NETGEAR PROSAFE SSL VPN koncentrator SSL312

Uređaj vam omogućuje istovremeno raditi s korporativnom mrežom do 25 udaljenih kupaca. Veza se izrađuje pomoću ActiveX komponente koje se mogu preuzeti i instalirati izravno s uređaja.

Međutim, klijent mora imati pristup administratorskim privilegijama kako bi instalirao odgovarajuće ActiveX komponente. Osim toga, postavke moraju biti instalirane u preglednik koji omogućuje ActiveX komponente. Možda ćete morati instalirati Windows ažuriranja. Hardver uključuje dva LAN priključka i jedan serijski port. Kada se prijavite u sustav, odabrana je opcija autentifikacije: Korisnička baza podataka, domene Windows NT, LDAP, Microsoft Active Directory, radijus (PAP, CHAP, MSCAPV2). Prilikom pristupa udaljenom poslužitelju, ona mora biti dostupna i prometno usmjeravanje mora biti konfiguriran.

Ako je količina dram memorije iste i netgear SSL312, a na Zywallu SSL 10, onda je netgear flash memorija jasno inferiorna (16 protiv 128 MB). Procesor NET-Gear SSL312 također gubi Zywall (200 protiv 266 s kriptografskim akceleratorom). Za razliku od Netgear SSL312, Zywall podržava verziju 2.0 SSL protokol.

Postoje dvije opcije za korištenje uređaja. U prvom slučaju, iz dvije Ethernet portove Netgear SSL312 koristi samo jednu. Gateway bi trebao pristupiti Netgear SSL312 od HTTPS-a. Druga mogućnost korištenja će koristiti i Ethernet Ports Netgear SSL312, dok SSL promet ne prolazi kroz vatrozid. Jedan Ethernet priključak uređaja dodijeljen je otvorenu IP adresu, a drugi je unutarnja IP adresa unutarnje mreže. Treba napomenuti da NETGear SSL312 ne izvodi NAT i ITU funkcije i ne zamjenjuje ih.

Da biste radili s mrežnim uslugama, udaljena lokalna mreža ima dvije opcije: VPN tunel, koji se uspostavlja između korisnika i uređaja ili presvlačenja porta (prosljeđivanje porta). Obje metode imaju prednosti i nedostatke. VPN tunel omogućuje vam da organizirate punopravnu vezu s udaljenom lokalnom mrežom, ali ne dopušta pojedinačne postavke za svaku uslugu. Preusmjeravanje luka omogućuje vam rad samo s TCP vezama (UDP i drugi IP protokoli nisu podržani), pravila za svaku aplikaciju se postavljaju zasebno.
Dinamički DNS u Netgear SSL312 nije podržan, što je također nepovoljan položaj.

SSL VPN Juniper Networks siguran pristup 700

Rješenje za daljinsko pristupanje pomoću SSL VPN je također dizajniran za mala i srednja poduzeća. Sučelje kao korisnik i administrator organizirano je kao web-preglednik. Instaliranje VPN klijenta na udaljeno računalo nije potrebno. Postoje dva RJ-45 Ethernet priključka i jedan serijski port. Juniper SA 700 automatski provjerava udaljeno računalo i, ovisno o rezultatima instaliranog softvera, dodjeljuje različita prava pristupa.

Sposoban je zadržati ne više od 25 istovremenih radnih korisnika. Među autentifikacijom i autorizacijom su sljedeće mogućnosti: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, Server certifikata. Uređaj omogućuje pristup datotekama Win-Dows / SMB, UNIX / NFS datoteka, web aplikacije, uključujući korištenje JavaScript, XML, Flash; Kontrole su podržane od strane Telnet i SSH protokoli. Pristup korporativnoj e-pošti organizira se na temelju redovnog klijenta za mail, koji je konfiguriran za sigurnu vezu putem SSL protokola do Juniper SA 700. Međutim, to će zahtijevati licencu "Core Expecless Web Access".

Juniper SA 700 osigurava automatske provjere udaljenog računala ako je instaliran antivirusni softver, osobni ITU, druge programe koji pružaju sigurnost. Sva preuzimanja proxy poslužitelja i privremenih datoteka potrebnih tijekom sesije brišu se nakon završetka sjednice.

SSL VPN-plus tehnologija Omogućuje vam da omogućite pristup udaljenim zaposlenicima vašem oblaku Regoma. U isto vrijeme, zaposlenici dobivaju siguran pristup samo resursima koji se smatraju potrebnim za te zaposlenike, čak i ako je pristup izrađen od javno dostupnog automobila, koji je izvan kontrole tvrtke i smatra se "nepouzdanim".

Ovaj članak osigurava informacije o konfiguraciji. SSL VPN-plus.

Korištena topologija:

  1. U poglavlju "Administracija" Idite na željeni podatkovni centar. U izborniku Postavke se pojavljuje, idite na karticu. "Edge Gateways", Odaberite željeni "vshield rub". Pritisnite desnu tipku miša i odaberite opciju u izborniku "Edge Gateway usluge".
  1. Otvorite karticu SSL VPN-plus, idite na karticu Postavke poslužitelja i aktivirajte SSL VPN poslužitelj pritiskom na tablicu Omogućeno..

Zatim odaberite VShield, Port - 443 IP adresa, označite sve algoritme šifriranja.

  1. Na kartici Konfiguracija klijenta. Provjerite odabran Način tuneliranja - Split



  1. Na kartici Korisnici. Za svaki zaposlenik povezan, stvorite pojedinosti za povezivanje.

  1. Na kartici IP bazenima. Stvorite raspon IP adresa koje će biti dodijeljene povezanim računalima.



  1. Na kartici Instalacijski paketi. Stvorite postavke instalacijskog paketa klijentskog programa. Prilikom pristupa IP adresi pristupnika (VShield), SSL VPN-plus klijentski program će se preuzeti.


Krpelji Odaberite vrste operacijskih sustava iz koje će se pojaviti veze. To je potrebno za pre-formiranje instalacijskih paketa.

  1. Na kartici Privatne mreže. Postavili smo raspone mreže oblaka na koje će priključeni zaposlenik imati pristup

  1. Na ovo postavljanje dovršeno, Sada, klikom na https://195.211.5.130/sslvpn-plus/ i prijavljen, možete preuzeti SSL VPN-plus klijentski program i povezati se s oblačnim kodom.

Trenutno postoje dvije vrste prilagođenih VPN-ova:
SSL VPN. i IPSec VPN. I svaki od njih ima svoje prednosti i nedostatke.

Glavna prednost SSL VPN je jednostavnost njegove provedbe: svi preglednici podržavaju SSL, svi pružatelji usluga prolaze i ne ograničavaju SSL.
Neke vrste pristupa putem SSL VPN-a mogu se izvršiti doslovno bilo kojim preglednikom i na bilo kojoj platformi.

IPSec VPN se smatra sigurnijim protokolom.

SSL i TLS.

Vrlo često u tehničkoj literaturi možete zadovoljiti koncepte SSL-a i TLS-a.

Oba protokola su kriptografski protokoliPružanje sigurnog prijenosa podataka putem Interneta (e-mail, web pregledavanje, instant poruke).
Protokoli pružaju povjerljivost, integritet, autentifikacije usluge.
SSL i TLS rade na razini Sloj sesije. Modeli osi ili više.
Protokoli mogu koristiti infrastruktura javnog ključa (PKI) Kao i certifikate za provjeru autentičnosti i prijenos jedni drugima simetrične tipke.
Osim IPSec za šifriranje podataka, koriste simetrične ključeve.

Većina sigurnijih programa preglednika izrađuje se putem SSL-a ili TLS-a.
U početku se pojavio SSL, netscape je razvijen.
TLS je daljnji razvoj SSL-a, kao i standard koji je razvio Internet Engineering Radna skupina (IETF).
Na primjer, TLS 1.0 temelji se na SSL3.0.
Što konkretno koristiti SSL ili TLS rješava sebe preglednike: TLS je poželjan, ali je moguće prebaciti na SSL.

Dakle, važno je razumjeti da koristite SSL pojam, podrazumijevamo SSL ili TLS.
Na primjer, Cisco SSL VPN zapravo koristi TLS.

SSL operacije

Dakle, SSL se koristi u većini online usluga koje zahtijevaju sigurnost.
Razmotrimo korak po korak, što se događa kada se klijent poveže s bankovnim poslužiteljem pomoću SSL:

  • Klijent inicijalizira vezu s poslužiteljem na svoju IP adresu i priključak 443. Klijent i luka klijenta i luke koriste se kao izvor.
  • Postoji standardna TCP procesna veza pomoću trosmjerno rukovanje
  • Klijent donira SSL vezu i poslužitelj odgovara slanjem digitalnog certifikata koji sadrži javni ključ Ovaj poslužitelj.
  • Nakon što je primio potvrdu, klijent mora odlučiti: vjerovati ovom potvrdu ili ne.
    PKI mehanizmi počinju raditi ovdje.
    Ako je digitalni certifikat potpisani CA, koji klijent vjeruje + važeći certifikat po datumu + serijski certifikat nije naveden u popis opoziva svjedodžbe (CRL) - Klijent može vjerovati certifikatu i koristiti javni ključ Ovaj certifikat.
  • Klijent generira simetrični ključ zajednička tajna.koji će se koristiti za šifriranje podataka između klijenta i poslužitelja. Zatim je klijent šifriran zajednička tajna. upotreba javni ključ I prenosi ovo na poslužitelj.
  • Poslužitelj koristeći svoj privatni ključ., dešifrira rezultirajući simetrični ključ zajednička tajna..
  • Obje strane sada znaju zajednička tajna. I može šifrirati SSL sesiju.

Vrste SSL VPN.

SSL VPN se može podijeliti u dvije vrste:

  • SSL VPN bez klijenta. - Također se zove Web VPN., Ne zahtijeva instalaciju klijenata. Ograničene mogućnosti.
  • Full Cisco AnyConnect Secure Mobility Client SSL VPN klijent - Full SSL klijent koji zahtijeva instalaciju na klijentski softver koji pruža punopravni pristup korporativnoj mreži

Postavljanje SSL VPN.

  1. Kopirajte bilo koju datoteku AnyConnect.
    U našem slučaju, to anyConnect-win-3.1.08009-K9.pkg
  2. Naveli smo PKG datoteku i uključite WebVpn AnyConnect servis.
    webVpn Anyconnect Image Disk0: /AyNonnect-win- 3.1.08009-k9.pkg 1 Omogućite vanjski 2 AnyConnect Enable
  3. Osim (izuzeti) SSL WebVPN promet od provjere vanjsko sučelje ACL, Moramo ili pravila dozvole u ACL-u ili koristiti naredbu:
    mSK-ASA-01 (Config) sYSOPT Connection Dopust-VPN
  4. Radi lakšeg snalaženja, podešavanje preusmjeravanje od 80 do 443:
    hTTP preusmjeravanje izvan 2 80
  5. Stvoriti IP adresni bazen., Ove adrese bit će izdane udaljenim korisnicima.
    iP lokalni bazen vpnpool_pool 192.168.93.10-192.168.93.254 Mask 255.255.255.0
  6. Stvoriti Nat Oslobođenje Za promet između LAN mreže. i VPNpool mreže. Mi bi tu iznimku, jer je kriptirana u prometu ne smije proći kroz NAT. Ovaj korak je potreban ako je ovaj NAT konfiguriran na ASA.
    Objektna mreža vpnpool_obj.
    Object Network VPNPOOL_OBJ podmređivač 192.168.92.0 255.255.255.0 Mreža za objekti grupe RFC1918_OBGG Mreža-objekt 192.168.0.0 255.255.0.0 Mrežni-objekt 172.16.0.0 255.240.0.0 Network-objekt 10.0.0.0 255.0.0.0 NAT (unutar, izvana) RFC1918_OBJG RFC1918_OBJG odredište Statički vpnpool_obj vpnpool_obj No-proxy-arp ruta-lookup
  7. Stvorite split-tunel ACL, ova postavka omogućit će korisnicima kada su povezani preko VPN-a istovremeno koriste internet. Bez ove postavke, sav promet će biti omotan u tunelu.
    pristupni list Split-Tunnel_Acl Standardna dozvola 192.168.10.0 255.255.255.0

    Ova postavka bit će omotana u tunel samo promet na mreži istog RFC1918.

  8. Stvoriti Pravila grupe.
    Možemo stvoriti više pravila grupe, au svakoj konfigurirati mrežu atribute kao što su DNS adrese poslužitelja, Splitsko-tuneliranje Postavke zadanoj domeni, protokol SSL (ili IPsec), itd
    grupa-politika anyconnect_gp unutarnje grupe politika anyconnect_gp atributa DNS-poslužitelj vrijednost 192.168.10.5 VPN-tunel-protokola SSL-klijent SSL-clientless Split-tunel-politika tunnelspecified Split-tunel-mreža-lista vrijednost podijeljeni tunnel_acl webvpn Anyconnect bi-instalater Instaliran AnyConnect DPD-Interval klijent 20 AnyConnect Aytion Aytion Ništa Neuspjeh AnyConnect
  9. Stvoriti Grupa tunela..
    Grupa tunela u ASDM sučelju naziva se i profil veze.
    Tunel grupa treba sadržavati konfiguriran pravila grupe i to kombinira s IP adresa bazen.
    Možemo stvoriti nekoliko takvih skupina, a korisnik kada se logirate možete odabrati za sebe željeni tunela grupi sa svim potrebnim karakteristikama: naslijedio parametara iz pravila grupe +-adresa Internetu
    tunel-grupa VPN-utorg_tg tipa daljinsko pristupiti tunel-grupu VPN-users_tg_TG općenito-atributi adresa-bazen vpnpool_pool zadano-grupno-politike Anyconnect_gp tunel-grupa VPN-users_tg webVpn-atributi grupe-alias-alias-alias Popis omogućiti

    Posljednja naredba omogućuje korisnicima da odaberu tunelsku skupinu.
    Za korisnike ova grupa će izgledati s imenom "vpn_users-Alias"

Anyconnect mora već zaraditi, - možete ići pod administratorski računovodstvo.

Praćenje SSL VPN.

  • ASDM: Praćenje\u003e VPN\u003e VPN statistika\u003e Sjednice
  • Od CLI:
    vpn # prikaži Uuth. Trenutno Najgledanije ovlaštene korisnike 1 1 Authen u tijeku 0 0 Remote Access VPN korisnik "VPN_Video_user1" na 192.168.92.25, ovjereni pristupni popis # ACSACL # -IP-VIDEO_DACL-54DDC357 (*)
    vpn # prikaži pristupni popis Pristupni popis CACHEED ACL LOG TLOČA: Ukupno 0, odbijen 0 (Deny-Flow-MAX 4096) Alert-Interval 300 pristupni popis Split-Tunnel_Acl; 1 elemenata; Naziv Hash: 0xB6FB0e Pristupni list Split-Tunnel_Acl Redak 1 Standardna dozvola 192.168.10.0 255.255.255.0 (HitCNT \u003d 0) 0x13482529 Pristupni popis # ACSACL # -P-VIDEO_DACL-54DDC357; 1 elemenata; Naziv Hash: 0x6c7d7b7f (dinamički) pristupni popis # ACSACL # -IP-VIDEO_DACL-54DDC357 Redak 1 Proširena dozvola IP Any4 Host 192.168.10.45 (Hitcnt \u003d 0) 0x4ce5deb8

    Gledamo Slavinen

    prikaži VPN-sesdd Sažetak
    prikaži VPN-sessidd AnyConnect

    Baciti korisnika iz VPN-a:

    vPN-sessedb logoff ime Langemekj