Accesul la distanță protejat prin SSL VPN. Accesul la distanță protejat prin SSL VPN De ce să utilizați noul protocol VPN

În prima parte a acestei serii de articole privind configurarea Windows Server 2008 ca server SSL VPN, am vorbit despre unele fapte ale istoriei serverelor Microsoft VPN și a protocoalelor VPN. Am finalizat articolul anterior printr-o descriere a exemplului de rețea, care va fi utilizată în aceste părți ale seriei VPN-to-Configuration, care acceptă conexiunea SSP cu clienții Vista SP1.

Înainte de a începe, trebuie să recunosc că știu despre prezența unui manual pas cu pas pentru crearea conexiunilor SSTP pentru Windows Server 2008, care este situată pe site-ul www.microsoft.com. Mi se părea că acest articol nu reflectă un mediu real care este utilizat în organizațiile să atribuie certificate. De aceea, și din cauza unor puncte problematice care nu au fost afectate în Manualul Microsoft, am decis să scriu acest articol. Cred că veți învăța un pic nou dacă mă urmați în acest articol.

Nu voi lua în considerare toți pașii de la elementele de bază. Îndrăznesc să presupun că ați instalat controlerul de domeniu și rolurile activate DHCP, DNS și Services Services pe acest server. Tipul de certificare a serverului trebuie să fie întreprinderea și aveți CA în rețeaua dvs. Serverul VPN trebuie să fie conectat la domeniu înainte de a continua să efectueze pașii următori. Înainte de a începe, trebuie să instalați pachetul de actualizare SP1 pentru clientul Vista.

Trebuie să îndeplinim următoarele proceduri pentru soluționarea noastră:

  • Instalați IIS pe serverul VPN
  • Solicitați un certificat de server VPN utilizând Wizard Certificat de Certificat IIS Certificat
  • Setați rolul RRAS pe serverul VPN
  • Activați serverul RRAS și configurați-l să funcționeze ca un server VPN și NAT
  • Configurați serverul NAT pentru a publica CRL
  • Configurați contul (contul de utilizator) pentru a utiliza conexiuni dial-up
  • Configurați IIS pe serverul de certificate pentru a permite conexiunile HTTP pentru directorul CRL
  • Configurați fișierul gazde pentru clientul VPN
  • Utilizați PPTP pentru a comunica cu un server VPN
  • Obțineți certificatul CA de la Enterprise CA
  • Configurați clientul să utilizeze SSTP și să conecteze la un server VPN utilizând SSTP

Instalarea IIS pe un server VPN

Poate că va părea ciudat că începem cu această procedură, deoarece vă recomand să nu instalați niciodată un server web pe securitatea rețelei. Vestea bună este că nu trebuie să stocăm un server Web Server VPN, va fi necesar pentru noi doar pentru o vreme. Motivul constă în faptul că site-ul de înregistrare inclus în serverul de certificate Windows Server 2008 nu mai este util pentru o solicitare de certificate de calculator. De fapt, el este în general inutil. Interesant, dacă încă decideți să utilizați site-ul de înregistrare pentru a primi un certificat de calculator, totul va arăta ca certificatul este obținut și instalat, dar de fapt nu este așa, certificatul nu este setat.

Pentru a rezolva această problemă, folosim avantajul utilizării întreprinderii CA. Când utilizați Enterprise CA, puteți trimite o solicitare unui server interactiv de certificare. O solicitare interactivă pentru un certificat de calculator este posibilă atunci când utilizați expertul Wizard de solicitare a certificatelor IIS și solicitați ce se numește acum certificatul de domeniu al certificatului de domeniu. Acest lucru este posibil numai dacă aparatul solicitant aparține aceluiași domeniu ca și întreprinderea CA.
Pentru a instala serverul Web IIS de pe serverul VPN, urmați acești pași:

  1. Deschideți Windows 2008. Server manager.
  2. În panoul din stânga al consolei, faceți clic pe fila Rol.
  1. Faceți clic pe meniu Adăugați un rol În partea dreaptă a panoului din dreapta.
  2. Zhmem. Mai departe Pe pagina Inainte sa incepi.
  3. Puneți o bifă în fața șirului Server Web (IIS) Pe pagina Selectați rolurile serverului. Zhmem. Mai departe.

  1. Puteți citi informațiile de pe pagină. Server Web (IIS)Daca doresti. Aceasta este o informație generală destul de utilă despre utilizarea IIS 7 ca server web, dar din moment ce nu vom folosi serverul Web IIS de pe serverul VPN, aceste informații nu sunt în întregime aplicabile în situația noastră. Zhmem. Mai departe.
  2. Pe pagina Alegeți rolul rolurilor Mai multe opțiuni sunt deja selectate. Cu toate acestea, dacă utilizați opțiunile implicite, nu veți putea utiliza expertul Wizard pentru solicitarea certificatului. Cel puțin a fost când am testat sistemul. Nici un rol de serviciu pentru expertul de solicitare a certificatului principal, așa că am încercat să pun căpușe în fața fiecărei opțiuni SiguranțăȘi se pare, a lucrat. Faceți același lucru la dvs. și faceți clic pe Mai departe.

  1. Verificați informațiile de pe pagină Confirmați selecția instalațiilor și apăsați pe A stabilit.
  2. Clic Închide Pe pagina Rezultatele instalării.

Cererea certificatului de mașină pentru serverul VPN cu Wizard Wizard Wizard pentru solicitarea certificatului IIS

Următorul pas este să solicitați un certificat de certificat pentru un server VPN. Un server VPN necesită un certificat de mașină pentru a crea o conexiune SSL VPN cu un computer client SSL VPN. Numele general al certificatului trebuie să corespundă numelui că clientul VPN va folosi pentru a vă conecta la computerul Gateway SSL VPN. Aceasta înseamnă că va trebui să creați o intrare publică DNS pentru numele pe un certificat care va permite adresa IP externă a serverului VPN sau a dispozitivului IP Address NAT înainte de serverul VPN care va fi redirecționat către conexiunea la SSL Serverul VPN.

Pentru a interoga certificatul aparatului la serverul SSL VPN, urmați acești pași:

  1. ÎN Server manager.Implementați fila Rol în panoul din stânga, apoi implementați fila Server Web (IIS). Presa .

  1. În consola Servicii de informații despre Internet (IIS) ManagerAcest lucru va apărea în partea dreaptă în panoul din stânga, faceți clic pe numele serverului. În acest exemplu, numele serverului va fi W2008RC0-VPNGW.. Faceți clic pe pictogramă Certificatele de servere În panoul din dreapta al consolei IIS.

  1. În panoul din dreapta al consolei, faceți clic pe link Creați un certificat de domeniu.

  1. Introduceți informațiile de pe pagină Anumite nume de proprietăți. Cel mai important obiect aici va fi Denumirea comună. Acesta este numele pe care clienții VPN le vor folosi pentru a se conecta la serverul VPN. De asemenea, veți avea nevoie de o intrare publică DNS pentru acest nume pentru a recunoaște interfața serverului VPN extern sau adresa publică a dispozitivului NAT înainte de serverul VPN. În acest exemplu, folosim numele comun sstp.msfirewall.org.. Ulterior vom crea o înregistrare a gazdei de fișiere pe un computer VPN client, astfel încât să poată recunoaște acest nume. Zhmem. Mai departe.

  1. Pe pagina de pitch Alege. În caseta de dialog Selectați certificatele sursăFaceți clic pe numele întreprinderii CA și faceți clic pe O.K.. Introducem un nume prietenos în șir Nume prietenos.. În acest exemplu, am folosit numele SSTP CERT.Să știți că este folosit pentru gateway-ul SSP VPN.

  1. Zhmem. finalizarea Pe pagina Sursa interactivă de certificate.

  1. Vrăjitorul va fi lansat și apoi dispar. După aceea, veți vedea cum va apărea certificatul în consola IIS. Faceți clic de două ori pe un certificat și consultați numele comun din secțiune Numit pentruȘi acum avem o cheie privată care se potrivește cu certificatul. Zhmem. O.K.Pentru a închide caseta de dialog Certificat.

Acum că avem un certificat, putem stabili rolul rolului serverului RRAS. Rețineți că este foarte important instalați certificatul Înainte de a stabili rolul rolului serverului RRAS. Dacă nu faceți acest lucru, vă veți afecta durerile de cap mari, deoarece trebuie să utilizați o rutină destul de complicată a liniilor de comandă pentru a asocia un certificat cu clientul SSL VPN.

Instalarea rolului rolului RRAS Server pe un server VPN

Pentru a instala rolul rolului serverului RRAS, trebuie să efectuați pașii următori:

  1. ÎN Server manager.Faceți clic pe fila Rol În panoul din stânga al consolei.
  2. În secțiunea. Roluri generale dă click pe link Adăugați un rol.
  3. Clic Mai departe Pe pagina Inainte sa incepi.
  4. Pe pagina Selectați rolurile serverului Puneți caseta de selectare în fața șirului. Clic Mai departe.

  1. Citiți informațiile de pe pagină. Politica de rețea și serviciul de acces. Majoritatea se referă la serverul de politici de rețea (care a fost numit anterior serverul de autentificare pe Internet și a fost în esență un server de rază) și NAP, nici unul dintre elemente nu se aplică în cazul nostru. presa Mai departe.
  2. Pe pagina Alegeți un serviciu de rol Puneți o bifă în fața șirului Servicii de rutare și acces la distanță. Ca rezultat, elementele vor fi selectate Servicii de acces la distanță și Rutarea. Zhmem. Mai departe.

  1. Zhmem. A stabilit La fereastră Confirmați setările selectate.
  2. Zhmem. Închide Pe pagina Rezultatele instalării.

Activarea serverului RRAS și configurația sa ca un server VPN și NAT

Acum că rolul RRAS este instalat, trebuie să activăm serviciile RRAS, precum și noi în versiunile anterioare ale Windows. Trebuie să activăm serviciile VPN server și NAT. Cu activarea componentei VPN a serverului, totul este clar, dar vă puteți întreba de ce trebuie să activați serverul NAT. Motivul pentru activarea serverului NAT constă în faptul că clienții externi pot accesa serverul de certificate pentru a se conecta la CRL. Dacă clientul SSTP VPN nu poate încărca CRL, conexiunea SSTP VPN nu va funcționa.

Pentru a deschide accesul la CRL, vom configura serverul VPN ca server NAT și vom publica un CRL utilizând un Nat reversibil. În mediul de rețea al companiilor, veți avea cel mai probabil firewall-uri, cum ar fi firewall-ul ISA, înainte de serverul de certificare, astfel încât să puteți publica CRL cu ajutorul firewall-urilor. Cu toate acestea, în acest exemplu, singurul firewall care va folosi este firewall-ul Firewall Windows de pe serverul VPN, astfel încât în \u200b\u200bacest exemplu trebuie să configuram serverul VPN ca NAT de server.

Pentru a activa serviciile RRAS, urmați acești pași:

  1. ÎN Server manager. Extindeți fila Rol În panoul din stânga al consolei. Extindeți fila Politica de rețea și serviciul de acces Și faceți clic pe fila. Faceți clic dreapta pe fila și faceți clic pe Configurați și activați rutarea și accesul la distanță.

  1. Clic Mai departe La fereastră Bine ați venit la Expertul de configurare a serverului de rutare și de acces la distanță.
  2. Pe pagina Configurare Selectați opțiunea Accesul la rețelele virtuale private și NAT și apăsați pe Mai departe.

  1. Pe pagina Conexiune VPN. Selectați NIC în secțiunea Interfețe de rețeacare reprezintă o interfață externă de server VPN. Apoi apasa Mai departe.

  1. Pe pagina Atribuirea adreselor IP Selectați opțiunea Automat. Putem alege această opțiune deoarece avem un server DHCP pe controlerul de domeniu pentru serverul VPN. Dacă nu aveți un server DHCP, atunci va trebui să alegeți opțiunea Dintr-o listă de adrese specificeApoi adăugați o listă de adrese pe care clienții VPN vor putea să le utilizeze când sunt conectați la rețea printr-un gateway VPN. Zhmem. Mai departe.

  1. Pe pagina Gestionarea accesului la distanță a mai multor servere Alege Nu, utilizați rutarea și accesul la distanță pentru a autentifica conexiunile. Utilizăm această opțiune atunci când serverele NP sau radius nu sunt disponibile. Deoarece serverul VPN este membru al domeniului, puteți autentifica utilizatorii utilizând conturi de domenii. Dacă un server VPN nu este inclus în domeniu, se pot utiliza numai conturile locale ale serverului VPN, cu excepția cazului în care decideți să utilizați serverul NPS. Voi scrie un articol despre utilizarea serverului NPS în viitor. Zhmem. Mai departe.

  1. Citiți informațiile generale de pe pagină. Finalizarea Expertului de rutare a expertului și a accesului la distanță și apăsați pe finalizarea.
  2. Clic O.K. În caseta de dialog Rotarea și accesul la distanțăAcest lucru vă spune că distribuția mesajelor DHCP necesită un agent de distribuție DHCP.
  3. În panoul de cantol din stânga, extindeți fila Rotarea și accesul la distanță și apoi faceți clic pe fila Porturi. În panoul mediu, veți vedea că sunt disponibile acum conexiunile miniport WAN pentru SSTP.

Setarea serverului NAT pentru a publica CRL

Așa cum am spus mai devreme, clientul SSL VPN ar trebui să poată încărca CRL pentru a confirma că certificatul de pe serverul VPN nu a fost deteriorat sau retras. Pentru a face acest lucru, configurați dispozitivul din fața serverului de certificare pentru a trimite cererile de locație HTTP CRL la serverul de certificare.

Cum să aflați la ce adresă URL trebuie să conecteze un SSL VPN la client pentru a descărca CRL? Aceste informații sunt conținute în certificatul în sine. Dacă mergeți mai întâi la serverul VPN și faceți dublu clic pe certificatul din consola IIS, ca mai sus, puteți găsi aceste informații.

Faceți clic pe buton Detalii pe certificat și frunze în jos pentru a scrie Puncte de distribuție CRL., apoi faceți clic pe această înregistrare. Panoul de jos prezintă diferitele puncte de distribuție bazate pe protocolul utilizat pentru a avea acces la aceste puncte. Certificatul prezentat în figura de mai jos arată că trebuie să deschidem accesul la clientul SSL VPN la CRL prin intermediul URL:

http://win2008rc0-dc.msfirewall.org/certenroll/win2008rc0-dc.msfirewall.org.cr.

De aceea, trebuie să creați intrări publice de DNS pentru acest nume, astfel încât clienții externi ai VPN să poată atrage acest nume la adresa sau dispozitivul IP care va efectua un produs reversibil NAT sau un proxy reversibil pentru a accesa site-ul web al serverului de certificare. În acest exemplu, trebuie să le legăm win2008rc0-dc.msfirewall.org. Cu adresa IP pe interfața externă a serverului VPN. Când conexiunea ajunge la interfața externă a serverului VPN, serverul VPN redirecționează conexiunea NAT la serverul de certificare.

Dacă utilizați un firewall extins, cum ar fi firewall-ul ISA, puteți face site-uri de publicare CRL mai sigure, deschiderea accesului. numai la CRL, nu la tot site-ul. Cu toate acestea, în acest articol, ne limităm la posibilitatea unui simplu dispozitiv NAT, astfel încât să ofere RRAS NAT.

Trebuie remarcat faptul că utilizarea site-ului CRL implicit poate fi o opțiune mai puțin sigură, deoarece dezvăluie numele computerului privat de pe Internet. Puteți crea un CDP personalizat (punctul de distribuție CRL) pentru a evita acest lucru, dacă credeți că dezvăluirea numelui privat al CA în recordul public DNS creează o amenințare de securitate.

Pentru a configura RRAS NAT pentru a trimite cereri HTTP la serverul de certificare, urmați acești pași:

  1. În panoul din stânga Server manager. Extindeți fila Rotarea și accesul la distanțăși apoi implementați fila IPv4.. Faceți clic pe fila Nat..
  2. În tabelul Nat. Faceți clic pe tasta din dreapta de pe interfața externă din panoul mediu al consolei. În acest exemplu, numele interfeței externe a fost Conexiune locală. presa Proprietăți.

  1. În caseta de dialog, verificați caseta opusă Server Web (http). Aceasta va cauza o casetă de dialog. Editarea serviciului. Într-un șir de text Adresa privată Introduceți adresa IP a serverului de certificare din rețeaua internă. Clic O.K..

  1. Clic O.K. În caseta de dialog Proprietăți de conectare la zona locală.

Acum că serverul NAT este instalat și configurat, ne putem transfera atenția la configurarea serverului CA și a clientului SSP VPN.

Concluzie

În acest articol, am continuat să vorbim despre configurarea serverului SSL VPN utilizând Windows Server 2008. Ne-am uitat la instalarea IIS pe serverul VPN, solicitarea și instalarea certificatului de server, instalarea și configurarea serviciilor RRAS și NAT serverul VPN. În următorul articol, vom încheia să luăm în considerare stabilirea clientului CA Server și SSTP VPN. Te văd! Tom.

VPN Networks a intrat în viața noastră foarte în serios și cred că de mult timp. Această tehnologie este utilizată atât în \u200b\u200borganizații pentru a combina birourile într-un singur subteran, fie pentru a oferi acces la informațiile interne ale utilizatorilor mobili și la domiciliu atunci când intră pe Internet prin intermediul furnizorului. Se poate spune cu încredere că fiecare dintre administratori a fost în mod necesar angajat în configurarea unui VPN, ca și fiecare utilizator de computer cu acces la internet, a folosit această tehnologie.

De fapt, tehnologia IPSec VPN este foarte frecventă. Multe articole diferite de tehnice și de supraveghere și analitice sunt scrise despre aceasta. Dar tehnologia SSL VPN a apărut relativ recent, care este acum foarte populară în companiile occidentale, dar în Rusia nu au acordat o atenție deosebită acestuia. În acest articol, voi încerca să descriu ceea ce diferă IPSEC VPN de la SSL VPN și ce avantaje utilizează SSL VPN în cadrul organizației.

IPSec.VPN - avantajele și dezavantajele sale

În prima parte aș dori să atrag atenția asupra definiției VPN, cea mai comună - "VPN este o tehnologie care combină rețelele de încredere, nodurile și utilizatorii prin intermediul rețelelor deschise care nu sunt încredere" (© Tehnologii Software Point Point).

Într-adevăr, în cazul nodurilor de încredere, aplicarea IPSec VPN este cea mai economică modalitate. De exemplu, pentru a conecta birourile la distanță la o singură rețea corporativă, este necesară o garnitură sau o închiriere de linii selectate, iar Internetul este utilizat. Ca urmare a construirii tunelurilor protejate între rețelele de încredere, se formează un singur spațiu IP.

Dar atunci când organizați acces la distanță la angajații IPSEC, soluțiile sunt utilizate pentru a limita numai dispozitive de încredere, cum ar fi laptopurile de utilizatori corporative. Pentru a aplica IPSec VPN, serviciul IT trebuie să instaleze și să configureze fiecare dispozitiv de încredere (pe care doriți să-l oferiți la distanță) un client VPN și să vă mențineți funcționarea acestei aplicații. La instalarea soluțiilor IPSEC, este necesar să se țină seama de costul lor "ascuns" asociat cu sprijinul și suportul, deoarece pentru fiecare tip de client mobil (laptop, PDA etc.) și fiecare tip de mediu de rețea (acces prin intermediul furnizorului de Internet , Accesul din rețeaua companiei, accesul utilizând traducerea adresei) necesită configurația clientului IPSEC original.

În plus față de sprijin, există mai multe probleme foarte importante:

  • Nu pentru toate dispozitivele mobile de încredere utilizate în companie există clienți VPN;
  • În diverse subrețe, care acces (de exemplu, o rețea corporativă a unui partener sau client), porturile necesare pot fi închise și este necesară o coordonare suplimentară a deschiderii acestora.

Nu există astfel de probleme atunci când utilizați SSL VPN.

SSL.VPN - Algoritmul de lucru al utilizatorului

Să presupunem că sunteți într-o călătorie de afaceri, nu v-ați putut oferi un laptop în timpul companiei dvs. Dar aveți nevoie de:

  • În timpul absenței dvs. în birou, nu cădeți din fluxul de lucru;
  • Transmiteți și primiți e-mail;
  • Utilizați date din orice sisteme de afaceri care operează în compania dvs.

La mâna dvs., în cel mai bun caz, computerul din rețeaua organizației, unde ați ajuns într-o călătorie de afaceri, cu acces la Internet numai pe protocolul HTTP / HTTPS, în cel mai rău caz - cafeaua de Internet obișnuită din hotelul dvs.

SSL VPN rezolvă cu succes toate aceste sarcini, iar nivelul de siguranță va fi suficient pentru a lucra cu informații critice din Internet Cafe ...
De fapt, efectuați următoarele acțiuni:

  • Aveți nevoie doar de un browser de internet (Internet Explorer, Firefox etc.);
  • În browserul de Internet, introduceți adresa SSL VPN;
  • Apoi descărcați automat și rulează componenta Java Applet sau ActiveX, care vă oferă autentificată;
  • După autentificare, se aplică automat politici de securitate adecvate:
    • verificarea codului rău intenționat (în caz de detectare blocată);
    • este creat un mediu de prelucrare a informațiilor închise - toate datele (inclusiv fișierele temporare) transmise din rețeaua internă, după terminarea sesiunii, vor fi șterse de la computerul din care a fost efectuat accesul;
    • De asemenea, în timpul procesului de sesiune, sunt utilizate mijloace suplimentare de protecție și control;
  • După procedurile de siguranță de succes, toate legăturile necesare "într-un singur click" devin disponibile:
    • Accesați serverele de fișiere cu capacitatea de a transfera fișiere pe server;
    • Accesul la aplicațiile web ale companiei (de exemplu, portalul intern, accesul la rețeaua web etc.);
    • Acces terminal (MS, Citrix);
    • Instrumente de administrator (de exemplu, consola SSH);
    • Și, bineînțeles, posibilitatea unui VPN cu drepturi depline prin intermediul protocolului HTTPS (fără a fi necesară preinstalarea și configurarea unui client VPN) - configurația este transmisă direct de la birou, în conformitate cu datele de autentificare.

Astfel, utilizarea SSL VPN rezolvă mai multe sarcini:

  • Simplificarea semnificativă a procesului de administrare și a suportului utilizatorului;
  • Organizarea accesului protejat la informații critice de la noduri nesupravegheate;
  • Posibilitatea de a aplica pe orice dispozitive mobile, precum și pe orice computere (inclusiv chioșcuri de internet) cu acces la Internet (fără setări anterioare și setări software speciale).

SSL.VPN - producători și oportunități

Piața SSL VPN domină soluțiile hardware. Printre furnizorii de soluții SSL VPN sunt toți producătorii cunoscuți de echipamente active de rețea:

  • Cisco.
  • Huawai.
  • Ienupăr
  • Nokia.
  • Etc.

Printre implementările software, specialiștii Alatus alocă o decizie pe baza SSL Explorer. Companii 3SP Ltd.care respectă cel mai precoce cu cerințele clienților.

Aș dori, de asemenea, să dau un tabel care să compară capabilitățile IPSEC VPN și SSL VPN:

Caracteristică

IPSec VPN.

Suport aplicatie

Suport pentru aplicații de afaceri

Suporta aplicațiile HTTP

Suportați accesul la serverele de fișiere

Accesul terminalului de susținere

Arhitectura rețelei

PC-ul corporativ.

PC-ul mobil

Lucrați dintr-o rețea terță parte (pentru un firewall)

-
(Necesită porturi de deschidere)

+
(Lucrați prin HTTPS)

Calculator public (Internet Cafenes)

-
(Necesită instalare client)

PCC, comunicator

-+
(Pentru dispozitivul ar trebui să fie un client VPN)

Furnizarea de protecție

Abilitatea de autentificare strictă

+ (În majoritatea cazurilor)

Web Single Sign-on

-

Aplicarea automată a politicilor de securitate în funcție de tipul de obiect și de utilizator

-
(Necesită decizii suplimentare)

În plus

Șterge Tehnologie

+
(Destul de explorator de Internet)

Implementare ușoară

Depinde de soluție

Configurare ușoară

Depinde de soluție

Ușurința de sprijin

Depinde de soluție

SSL VPN în Rusia

Până în prezent, un număr suficient de mare de proiecte au fost deja implementate în Rusia, privind implementarea accesului la distanță bazat pe tehnologia SSL VPN. Dar după cum sa menționat mai devreme, până când această tehnologie din Rusia și-a câștigat popularitatea, în timp ce deciziile producătorilor de date raportează o cerere foarte mare pentru ei în rândul companiilor occidentale.

| La lista publicațiilor

Accesul la distanță securizat prin SSL VPN

Boris Borisenko, expert

TEHNOLOGIE VPN a câștigat pe scară largă ca un mijloc care oferă acces sigur la angajat la o rețea locală a unei întreprinderi dintr-un punct fizic îndepărtat. Rețelele VPN bazate pe SSL au fost dezvoltate ca tehnologie auxiliară și alternativă pentru accesul la distanță prin IPSec VPN. Cu toate acestea, costul și fiabilitatea organizării canalelor de comunicare sigure au făcut tehnologii SSL VPN foarte atractive. Hub-urile SSL VPN sunt opționale (comparativ cu dispozitivele tradiționale VPN). Cele mai multe firewall-uri oferă aplicații web de publicare pe Internet prin porturi, adrese de rețea de difuzare (NAT) și rutare de rețea, dar nu protecția datelor criptografice asupra nivelului furnizat de aplicații. Utilizatorii IPSec VPN pot stabili comunicarea cu o rețea corporativă prin analogie cu conexiunea directă cu rețeaua locală. În acest caz, toate datele transmise între serverul VPN și client sunt criptate. Cu toate acestea, pentru majoritatea dispozitivelor VPN necesită un program special pentru clienți. În Hub-urile SSL VPN, browserul este utilizat pentru a accesa angajații la distanță nu numai la site-urile web interne, ci și aplicații și servere de fișiere. Luați în considerare unele dintre cele mai interesante soluții pentru organizarea de acces la distanță utilizând SSL VPN.

Zywall SSL 10.

Acesta este un gateway virtual de rețea privată cu suport de criptare SSL, care vă permite să organizați un acces securizat la distanță la rețele și aplicații printr-o conexiune VPN fără a preinstalarea părții clientului. Dispozitivul este oferit pentru rețelele de afaceri mici și mijlocii.

Pentru a vă conecta la Internet sau DMZ există o interfață WAN, un comutator la patru porturi LAN, portul Rs 232 DB9 este de a controla consola (există mai puține posibilități în acest dispozitiv decât în \u200b\u200bacelași Zywall 1050). Zywall SSL 10 suportă nu numai accesul direct la bazele de date ale utilizatorilor, ci și lucrați cu Microsoft Active Directory, LDAP și RADIUS. În plus, este posibilă utilizarea autentificării cu două factori (utilizând ZyWall OTP curajos).

Accesul direct la resursele rețelei corporative este furnizat de utilizatorii de la distanță SECUXTENDER de către clientile computerelor. După aceasta, cu permisiunea administratorilor către anumite categorii de utilizatori, va fi ușor să organizați tuneluri de rețea prin intermediul IPsec. Administratorii pot configura, de asemenea, politici de securitate pentru grupurile de utilizatori, adresele de rețea sau diverse aplicații.

Zywall SSL 10 suportă 10 sesiuni protejate simultane, cu capacitatea de a crește la 25 de sesiuni SSL. În rețea, dispozitivul poate fi utilizat fie pentru gateway-ul existent (fig.2) sau ca un nou gateway (fig.3). În primul caz, Zywall SSL 10 poate fi conectat la portul DMZ. În al doilea este un modem, iar serverul web este la Zywall. Traficul de pe serverul web la utilizatorul de la distanță trece prin tunelul VPN.

Printre opțiunile acceptate, puteți menționa protocolul TLS, criptarea, certificatele - 256 de biți AES, IDEA, RSA, Hashing - MD5, SHA-1. O caracteristică interesantă este o selecție destul de mare de duze pentru fișa de alimentare (pentru orice prize și rețele).

NETGEAR PROSAFE SSL VPN concentrator SSL312

Dispozitivul vă permite să lucrați simultan cu o rețea corporativă la 25 de clienți la distanță. Conexiunea se face folosind componente ActiveX care pot fi descărcate și instalate direct de pe dispozitiv.

Cu toate acestea, clientul trebuie să aibă acces la privilegii de administrator pentru a instala componentele ActiveX corespunzătoare. În plus, setările trebuie instalate în browser, permițând componentelor ActiveX. De asemenea, este posibil să aveți nevoie să instalați actualizări Windows. Hardware-ul include două porturi LAN și un port serial. Când se înregistrează sistemul, se selectează opțiunea de autentificare: baza de date a utilizatorului, domeniul Windows NT, LDAP, Microsoft Active Directory, Radius (PAP, CHAP, MSCHAP, MSCAPV2). Când accesează un server de la distanță, acesta din urmă trebuie să fie disponibil și rutarea de trafic trebuie să fie configurată.

Dacă cantitatea de memorie DRAM este aceeași și NETGEAR SSL312 și la Zywall SSL 10, atunci memoria flash netgear este evidentă (16 față de 128 MB). Procesorul Net-Gear SSL312 pierde, de asemenea, Zywall (200 față de 266 cu un accelerator criptografic). Spre deosebire de Netgear SSL312, Zywall suportă protocolul versiunii 2.0 SSL.

Există două opțiuni pentru utilizarea dispozitivului. În primul caz, din două porturi Ethernet Netgear SSL312 utilizează numai unul. Gateway-ul ar trebui să acceseze Netgear SSL312 de către HTTPS. O altă opțiune de utilizare va utiliza atât porturile Ethernet Netgear SSL312, în timp ce traficul SSL nu trece prin firewall. Un port Ethernet al dispozitivului i se atribuie o adresă IP deschisă, iar cea de-a doua este adresa IP interioară a rețelei interne. Trebuie remarcat faptul că Netgear SSL312 nu efectuează funcțiile NAT și ITU și nu le înlocuiește.

Pentru a lucra cu servicii de rețea, o rețea locală la distanță are două opțiuni: tunelul VPN, care este stabilit între utilizator și dispozitiv sau redirecționarea porturilor (portul de redirecționare). Ambele metode au avantaje și dezavantaje. Tunelul VPN vă permite să organizați o conexiune deplină cu o rețea locală la distanță, dar nu permite setările individuale pentru fiecare serviciu. Redirecționarea portului vă permite să lucrați numai cu conexiunile TCP (UDP și alte protocoale IP nu sunt acceptate), regulile pentru fiecare aplicație sunt setate separat.
DNS dinamic în Netgear SSL312 nu este acceptată, care este, de asemenea, un dezavantaj.

SSL VPN Juniper Rețele securizate 700

O soluție de acces la distanță utilizând SSL VPN este, de asemenea, proiectată pentru companiile mici și mijlocii. Interfața ca utilizator și administrator este organizată ca browser web. Instalarea unui client VPN la un computer la distanță nu este necesară. Există două porturi Ethernet RJ-45 și un port serial. Juniper SA 700 verifică automat computerul la distanță și, în funcție de rezultatele software-ului instalat, atribuie diferite drepturi de acces.

Este capabil să mențină nu mai mult de 25 de utilizatori de lucru simultan. Printre autentificarea și autorizația sunt următoarele opțiuni: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, Server de certificate. Dispozitivul oferă acces la resursele de fișiere Win-Dows / SMB, UNIX / NFS, aplicații web, inclusiv utilizând JavaScript, XML, Flash; Controalele sunt susținute de protocoalele Telnet și SSH. Accesul la e-mailul corporativ este organizat pe baza unui client de poștă electronică, care este configurat pe o conexiune securizată prin intermediul Protocolului SSL către Juniper SA 700. Cu toate acestea, acest lucru va necesita licența "Core Client fără acces Web".

Juniper SA 700 oferă verificări automate ale unui computer la distanță dacă a instalat software antivirus, personal ITU, alte programe care oferă securitate. Toate descărcările de servere proxy și fișierele temporare necesare în timpul sesiunii sunt șterse după încheierea sesiunii.

Tehnologia SSL VPN-PLUS Vă permite să oferiți acces la angajații la distanță la regoma dvs. de cloud. În același timp, angajații primesc acces securizat numai la resursele care sunt considerate necesare pentru acești angajați, chiar dacă accesul se face dintr-o mașină disponibilă publică, care este în afara controlului companiei și este considerată "nesigure".

Acest articol oferă informații de configurare. SSL VPN-PLUS.

Topologie folosită:

  1. În capitolul. "Administrare" Mergeți la centrul de date dorit. În meniul Setări care apare, mergeți la fila. "Gateways". Alegeți marginea dorită "VSHIELD" dorită. Apăsați butonul din dreapta al mouse-ului și selectați opțiunea din meniu "Servicii de gateway Edge".
  1. Deschideți fila SSL VPN-PLUS, Du-te la fila Setări server. și activați serverul SSL VPN prin apăsarea tabelului Activat..

Apoi selectați adresa IP Vshield, Port - 443, marcați toate algoritmii de criptare.

  1. Pe tab-ul Configurarea clientului. Verificați selectat Modul tuneling - Split



  1. Pe tab-ul Utilizatori. Pentru fiecare angajat conectat, creați detalii pentru conectare.

  1. Pe tab-ul Piscine IP. Creați o gamă de adrese IP care vor fi atribuite computerelor conectate.



  1. Pe tab-ul Pachete de instalare. Creați setările pachetului de instalare al programului client. Când accesează gateway-ul adresei IP (VSHILD), programul client SSL VPN-PLUS va fi descărcat.


Ticks Selectați tipurile de sisteme de operare din care vor apărea conexiuni. Acest lucru este necesar pentru pachetele de instalare pre-formare.

  1. Pe tab-ul Rețele private. Am stabilit intervalele de rețele de date cloud la care angajatul conectat va avea acces

  1. Pe aceasta configurarea finalizată. Acum, făcând clic pe https://195.211.5.130/sslvpn-plus/ și conectați, puteți descărca programul client SSL VPN-plus și puteți conecta la codul tulbure.

În prezent există două tipuri de VPN-uri personalizate:
SSL VPN. și IPSec VPN. Și fiecare dintre ele are avantajele și dezavantajele sale.

Principalul avantaj al SSL VPN este simplitatea implementării sale: toate browserele suportă SSL, toți furnizorii trec și nu limitează SSL.
Unele tipuri de acces prin SSL VPN pot fi efectuate literalmente de orice browser și pe orice platformă.

IPSec VPN este considerat un protocol mai sigur.

SSL și TLS.

Foarte adesea în literatura tehnică puteți întâlni conceptele de SSL și TLS.

Ambele protocoale sunt protocoalele criptograficeFurnizarea transmisiei de date securizate pe Internet (e-mail, navigare pe web, mesagerie instantanee).
Protocoalele oferă confidențialitate, integritate, servicii de autentificare.
SSL și TLS lucrează la nivel Stratul de sesiune. Modelele OSI sau mai mari.
Protocoalele pot folosi infrastructura cheie cheie (PKI) Precum și certificatele pentru autentificare și transferare către fiecare dintre celelalte taste simetrice.
Pe lângă IPSec pentru criptarea datelor, folosesc chei simetrice.

Cele mai multe programe de browser securizate sunt realizate prin SSL sau TLS.
Inițial, a apărut SSL, a fost dezvoltată Netscape.
TLS este dezvoltarea ulterioară a SSL, precum și standardul dezvoltat de Grupul de lucru de inginerie Internet (IETF).
De exemplu, TLS 1.0 se bazează pe SSL3.0.
Ceea ce să utilizați SSL sau TLS rezolvând browserele în sine: TLS este preferat, dar este posibil să treceți la SSL.

Astfel, este important să înțelegeți că utilizarea termenului SSL, implicăm SSL sau TLS.
De exemplu, Cisco SSL VPN utilizează de fapt TLS.

Operațiunile SSL

Deci, SSL este utilizat în majoritatea serviciilor online care necesită securitate.
Să luăm în considerare pasul cu pas, ceea ce se întâmplă atunci când clientul se conectează la serverul bancar utilizând SSL:

  • Clientul inițializează conexiunea la server la adresa IP și portul 443. Clientul și portul clientului și portului sunt utilizate ca sursă, respectiv.
  • Există o conexiune standard a procesului TCP utilizând handshake cu trei căi
  • Clientul donează conexiunea SSL și serverul răspunde prin trimiterea certificatului său digital, care conține cheia publică. Acest server.
  • După ce a primit un certificat, clientul trebuie să decidă: să aibă încredere în acest certificat sau nu.
    Mecanismele PKI încep să lucreze aici.
    Dacă certificatul digital este semnat de CA, pe care Clientul are încredere + certificat valabil după data de certificat nu este listat în lista de revocare a certificatelor (CRL) - Clientul poate avea încredere în certificatul și utilizarea cheia publică. Acest certificat.
  • Clientul generează o cheie simetrică secret împărtășit.care vor fi utilizate pentru criptarea datelor între client și server. Apoi, clientul este criptat secret împărtășit. folosind. cheia publică. Și transferă acest lucru la server.
  • Server folosind dvs. cheie privată., decriptează cheia simetrică rezultată secret împărtășit..
  • Ambele părți știu acum secret împărtășit. Și poate cripta sesiunea SSL.

Tipuri SSL VPN.

SSL VPN poate fi împărțită în două tipuri:

  • Clientless SSL VPN. - numit si Web VPN.. Nu necesită instalarea clientului. Oportunități limitate.
  • Complet Cisco AnyConnect Sigure Mobility client SSL VPN client - Clientul Full SSL care necesită instalare pe un software client care oferă acces complet la rețeaua corporativă

Configurarea SSL VPN.

  1. Copiați fișierul Anyconnect PKG.
    În cazul nostru, anyConnect-Win-3.1.08009-K9.PKG
  2. Specificăm fișierul PKG și activați serviciul WebVPN AnyConnect Service.
    webVPN AnyConnect Image Disk0: /anConnect-win-3.1.08009-k9.pkg 1 Activați în afara sistemului ORICE ORICE CONTROLNECT
  3. Cu excepția traficului SSL SSL din cadrul verificărilor interfața exterioară ACL.. Avem nevoie fie să facem reguli de permis în ACL, fie să folosim comanda:
    mSK-ASA-01 (config) conexiune Sysopt-VPN
  4. Pentru comoditate, ajustați redirecționarea de la 80 la 443:
    http redirecționează în afara2 80
  5. Crea Priza de adrese IP.. Aceste adrese vor fi emise utilizatorilor de la distanță.
    iP Pool local VPNPOOL_POOL 192.168.93.10-192.168.93.254 Masca 255.255.255.0
  6. Crea Scutirea NAT. Pentru traficul între Rețeaua LAN. și rețeaua vpnpool. Facem această excepție, deoarece traficul criptat nu ar trebui să treacă prin NAT. Acest pas este necesar dacă acest NAT este configurat pe ASA.
    Obiect rețea vpnpool_obj.
    Rețeaua de obiecte VPNPOOL_OBJ Subnet 192.168.92.0 255.25.255.0 Rețeaua de obiecte RFC1918_OBJG Rețeaua-obiect 192.168.0.0 255.255.0.0 Rețeaua-obiect 172.16.0.0 255.240.0.0 Rețeaua-obiect 10.0.0.0 255.0.0.0 NAT (în interior, în afara) Sursa statică RFC1918_OBJG RFC1918_OBJG Destinație statică vpnpool_obj vpnpool_obj No-proxy-ARP Căutare de căutare
  7. Creați ACL Split-Tunel, această setare va permite utilizatorilor când este conectat simultan prin VPN. Fără această setare, tot traficul va fi înfășurat în tunel.
    listă de acces Split-Tunnel_ACIL permis standard 192.168.10.0 255.255.255.0

    Această setare va fi înfășurată în tunel numai traficul din rețeaua aceluiași RFC1918.

  8. Crea Politica de grup.
    Putem crea o politică multiplă de grup, iar în fiecare atribute de rețea de configurare, cum ar fi adresele serverului DNS, setările de tunel, domeniile implicite, protocolul (SSL sau IPSec) etc.
    politica de grup AnyConnect_gp Politică de grup AnyConnect_GP atribute Valoarea serverului DNS 192.168.10.5 VPN-tunel-protocol SSL-client-client-tunel-tunel-tunel-tunel-tunel-tunel-tunel-listă de rețea Valoare Split-tunel_acl webvpn AnyConnect Păstrați-Installer Instalat AnyConnect DPD-interval Client 20 AnyConnect Adresați-vă niciun implicit nimănui
  9. Crea Grupul de tunel..
    Grupul de tunel din interfața ASDM se numește atât profil de conectare.
    Grupul de tunel ar trebui să includă o politică de grup configurată și o combină cu o piscină de adrese IP.
    Putem crea mai multe astfel de grupuri, iar utilizatorul când vă conectați poate alege pentru dvs. grupul de tunel dorit cu toate caracteristicile necesare: parametrii moșteniți din politica de grup + bazinul de adrese
    tunnel-Group Group VPN-Users_TG Tip de acces la distanță VPN-Users_TG General-Atribute Adresă-Pool VPNPOOL_POOL Politica implicită-Politică AnyConnect_GP Grupul de tunel VPN-Users_TG WebVPN-Atributes Group-Alias \u200b\u200bVPN_Users-alias Activați WebVPN Grupul de tunel- Lista de activare

    Ultima comandă permite utilizatorilor să aleagă grupul de tunel.
    Pentru utilizatori, acest grup va arăta cu numele "VPN_Users-alias"

AnyConnect trebuie să câștige deja, - puteți merge sub contabilitatea administratorului.

Monitorizarea SSL VPN.

  • ASDM: Monitorizare\u003e VPN\u003e Statistici VPN\u003e Sesiuni
  • Din CLI:
    vPN # arată uauth. Cei mai cunoscuți utilizatori autentificați 1 1 Authen în Progress 0 0 Acces la distanță Utilizator VPN "VPN_Video_user1" la 192.168.92.25, Listă de acces autentificată # ACSACL #Ip-VIDEO_DACL-54DDC357 (*)
    vPN # afișați lista de acces Lista de acces cache ACL Fluxuri de jurnal: Total 0, deniesed 0 (Deny-Flow-max 4096) Alert-Interval 300 Lista de acces Split-Tunnel_aCL; 1 elemente; Nume Hash: 0xB6FB0E Lista de acces Split-Tunnel_ACIL LINE 1 Permis standard 192.168.10.0 255.255.255.0 (Hitcnt \u003d 0) 0x13482529 Listă de acces # Acsacl # -p-Video_DaCL-54DDC357; 1 elemente; Nume Hash: 0x6C7D7B7F (Dynamic) Listă de acces # ACSACL #Ip-VIDEL_DACL-54DDC357 Linia 1 Permisul extins IP Any4 Host 192.168.10.45 (Hitcnt \u003d 0) 0x4CE5Deb8

    Ne uităm la slavină

    afișați rezumatul VPN-sesiuni
    afișați VPN-Sedsiond AnyConnect

    Aruncați un utilizator de la VPN:

    vPN-SESSEDB Nume de logoff LANGEMAKJ