Защищенный удаленный доступ посредством SSL VPN. Защищенный удаленный доступ посредством SSL VPN Зачем использовать новый VPN протокол

В первой части этой серии статей, посвященных настройке Windows Server 2008 в качестве сервера SSL VPN, я рассказывал о некоторых фактах истории серверов Microsoft VPN и протоколов VPN. Мы закончили предыдущую статью описанием примера сети, которую будем использовать в этой и последующих частях серии по настройке VPN шлюза, поддерживающего SSTP соединения с клиентами Vista SP1.

Прежде чем мы начнем, должен признаться, что знаю о наличии пошагового руководства по созданию SSTP соединений для Windows Server 2008, которое находится на www.microsoft.com веб-сайте. Мне показалось, что эта статья не отражает реально существующее окружение, которое используется в организациях для назначения сертификатов. Именно поэтому, и из-за некоторых проблемных моментов, которые не были затронуты в руководстве Microsoft, я решил написать эту статью. Я считаю, что вы узнаете немного нового, если будет следовать за мной в этой статье.

Я не собираюсь рассматривать все шаги, начиная с самых основ. Смею предположить, что вы установили контроллер домена и активировали DHCP, DNS и Certificate Services роли на этом сервере. Тип сертификации сервера должен быть Enterprise, и вы имеете CA в вашей сети. Сервер VPN должен быть подключен к домену, прежде чем продолжать выполнять следующие шаги. Прежде чем начинать, нужно установить пакет обновления SP1 для клиента Vista.

Нам нужно выполнить следующие процедуры для того, чтобы наше решение работало:

  • Установить IIS на VPN сервер
  • Запросить сертификат машины для сервера VPN, используя мастера запроса сертификатов IIS Certificate Request Wizard
  • Установить роль RRAS на сервере VPN
  • Активировать RRAS Server и настроить его на работу в качестве VPN и NAT сервера
  • Настроить NAT сервер на публикацию CRL
  • Настроить учетную запись (User Account) на использование dial-up соединений
  • Настроить IIS на Certificate Server, чтобы разрешить HTTP соединения для директории CRL
  • Настроить HOSTS файл для VPN клиента
  • Использовать PPTP для связи с VPN сервером
  • Получить CA Certificate из Enterprise CA
  • Настроить клиента на использование SSTP и соединение с сервером VPN с помощью SSTP

Установка IIS на VPN сервер

Возможно, вам покажется странным, что мы начинаем именно с этой процедуры, так как я рекомендую никогда не устанавливать вебсервер на устройство безопасности сети. Хорошая новость заключается в том, что нам не придется хранить вебсервер на VPN сервере, он понадобится нам лишь на некоторое время. Причина кроется в том, что регистрационный сайт, включенный в Windows Server 2008 Certificate Server, более не является полезным для запроса сертификатов компьютера. На самом деле он вообще бесполезен. Интересно то, что если вы все же решите использовать регистрационный сайт для получения сертификата компьютера, все будет выглядеть так, словно сертификат получен и установлен, однако на самом деле это не так, сертификат не установлен.

Для решения этой проблемы мы воспользуемся преимуществом того, что используем enterprise CA. При использовании Enterprise CA, можно посылать запрос на интерактивный сервер сертификации. Интерактивный запрос на получение сертификата компьютера возможен, когда вы используете мастера IIS Certificate Request Wizard и запрашиваете то, что теперь называется сертификатом домена ‘Domain Certificate’. Это возможно только в том случае, если запрашивающая машина принадлежит тому же домену, что и Enterprise CA.
Для установки роли IIS Web server на сервере VPN выполните следующие шаги:

  1. Откройте Windows 2008 Server Manager.
  2. В левой панели консоли кликните на вкладке Роли .
  1. Жмем в меню Добавить роли с правой стороны правой панели.
  2. Жмем Далее на странице Прежде чем начать .
  3. Ставим галочку напротив строкиWeb Server (IIS) на странице Выбрать роли сервера . Жмем Далее .

  1. Можете прочесть информацию на странице Web Server (IIS) , если пожелаете. Это довольно полезная общая информация об использовании IIS 7 в качестве вебсервера, но поскольку мы не собираемся использовать IIS вебсервер на VPN сервере, эта информация не совсем применима в нашей ситуации. Жмем Далее .
  2. На странице Выбрать службы ролей несколько опций уже выбраны. Однако если вы используете опции по умолчанию, вы не сможете воспользоваться мастером Certificate Request Wizard. По крайней мере, так было, когда я тестировал систему. Нет службы роли для мастера Certificate Request Wizard, поэтому я пытался ставить галочки напротив каждой опции Безопасность , и, кажется, сработало. Сделайте то же самое у себя и нажмите Далее .

  1. Просмотрите информацию на странице Подтвердить выбор установок и нажмите Установить .
  2. Нажмите Закрыть на странице Результаты установки .

Запрос сертификата машины (Machine Certificate) для VPN сервера с помощью мастера IIS Certificate Request Wizard

Следующий шаг – это запрос сертификата машины для VPN сервера. VPN серверу требуется сертификат машины для создания SSL VPN соединения с компьютером клиента SSL VPN. Общее название сертификата должно соответствовать имени, которое VPN клиент будет использовать для соединения с компьютером шлюза SSL VPN. Это означает, что вам нужно будет создать публичную DNS запись для имени на сертификате, который будет разрешать внешний IP адрес VPN сервера, или IP адрес NAT устройства перед VPN сервером, которое будет переадресовывать соединение на SSL VPN сервер.

Для запроса сертификата машины на сервер SSL VPN выполните следующие шаги:

  1. В Server Manager , разверните вкладку Роли в левой панели, а затем разверните вкладку Web Server (IIS) . Нажмите на .

  1. В консоли Internet Information Services (IIS) Manager , которая появится справа в левой панели, нажмите на имени сервера. В этом примере имя сервера будет W2008RC0-VPNGW . Нажмите на иконку Сертификаты сервера в правой панели консоли IIS.

  1. В правой панели консоли жмем на ссылку Создать сертификат домена .

  1. Введите информацию на странице Определенные свойства имени . Самым важным объектом здесь будет Общее имя . Это то имя, которое VPN клиенты будут использовать для соединения с VPN сервером. Вам также понадобится публичная DNS запись для этого имени с тем, чтобы распознавать внешний интерфейс VPN сервера, или публичный адрес NAT устройства перед VPN сервером. В этом примере мы используем общее имя sstp.msfirewall.org . Позже мы создадим записи HOSTS файла на компьютере VPN клиента, чтобы он мог распознавать это имя. Жмем Далее .

  1. На странице жмем кнопку Выбрать . В диалоговом окне Выбрать источник сертификатов , жмем на имени Enterprise CA и нажимаем OK . Вводим дружественное имя в строке Friendly name . В этом примере мы использовали имя SSTP Cert , чтобы знать, что оно используется для шлюза SSTP VPN.

  1. Жмем Закончить на странице Интерактивный источник сертификатов .

  1. Мастер будет запущен, а затем исчезнет. После этого вы увидите, как появится сертификат в консоли IIS. Кликнем дважды на сертификате и увидим общее имя в секции Назначен для , и теперь у нас есть частный ключ, соответствующий сертификату. Жмем OK , чтобы закрыть диалоговое окно Сертификат .

Теперь, когда у нас есть сертификат, мы можем установить роль RRAS Server Role. Обратите внимание на то, что очень важно установить сертификат до того, как устанавливать роль RRAS Server Role. Если вы этого не сделаете, вы наживете себе большие головные боли, поскольку вам придется использовать довольно сложную рутину командных строк, чтобы связать сертификат с клиентом SSL VPN.

Установка роли RRAS Server Role на VPN сервере

Для установки роли RRAS Server Role нужно выполнить следующие шаги:

  1. В Server Manager , нажмите на вкладку Роли в левой панели консоли.
  2. В секции Общие сведения ролей нажмите на ссылку Добавить роли .
  3. Нажмите Далее на странице Прежде чем начать .
  4. На странице Выбрать роли сервера поставьте галочку напротив строки . Нажмите Далее .

  1. Прочтите информацию на странице Политика сети и службы доступа . Большая ее часть касается Network Policy Server (который ранее назывался Internet Authentication Server и по сути был RADIUS сервером) и NAP, ни один из элементов не применим в нашем случае. Нажимаем Далее .
  2. На странице Выбрать службы роли ставим галочку напротив строки Маршрутизация и службы удаленного доступа . В результате этого будут выбраны пункты Службы удаленного доступа и Маршрутизация . Жмем Далее .

  1. Жмем Установить в окне Подтвердить выбранные установки .
  2. Жмем Закрыть на странице Результаты установки .

Активация RRAS Server и его настройка в качестве VPN и NAT сервера

Теперь, когда роль RRAS установлена, нам нужно активировать сервисы RRAS, также как мы делали это в предыдущих версиях Windows. Нам нужно активировать функцию VPN сервера и сервисы NAT. С активацией компонента VPN сервера все понятно, но вы можете поинтересоваться, зачем нужно активировать NAT сервер. Причина активации сервера NAT кроется в том, что внешние клиенты могут получать доступ к серверу сертификации (Certificate Server), чтобы соединяться с CRL. Если клиент SSTP VPN не сможет загрузить CRL, SSTP VPN соединение работать не будет.

Для того, чтобы открыть доступ к CRL, мы настроим VPN сервер в качестве NAT сервера и опубликуем CRL, используя обратимый NAT. В сетевом окружении компаний у вас, скорее всего, будут брандмауэры, например ISA Firewall, перед сервером сертификации, поэтому вы сможете публиковать CRL с помощью брандмауэров. Однако в этом примере единственный брандмауэр, которым будем пользоваться, это брандмауэр Windows Firewall на сервере VPN, поэтому в этом примере нам нужно настроить VPN сервер в качестве NAT сервера.

Для активации сервисов RRAS выполните следующие шаги:

  1. В Server Manager разверните вкладку Роли в левой панели консоли. Разверните вкладку Политика сети и Службы доступа и кликните по вкладке . Правой клавишей кликните по вкладке и нажмите Настроить и активировать маршрутизацию и удаленный доступ .

  1. Нажмите Далее в окне Welcome to the Routing and Remote Access Server Setup Wizard .
  2. На странице Конфигурация выберите опцию Доступ к виртуальным частным сетям и NAT и нажмите Далее .

  1. На странице VPN соединение выберите NIC в секции Интерфейсы сети , которая представляет внешний интерфейс VPN сервера. Затем нажмите Далее .

  1. На странице Назначение IP адресов выберите опцию Автоматически . Мы можем выбрать эту опцию, потому что у нас установлен DHCP сервер на контроллере домена за VPN сервером. Если у вас нет DHCP сервера, тогда вам нужно будет выбрать опцию Из определенного списка адресов , а затем внести список адресов, которые VPN клиенты смогут использовать при подключении к сети через шлюз VPN. Жмем Далее .

  1. На странице Управление удаленным доступом нескольких серверов выбираем Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов соединения . Эту опцию мы используем, когда недоступны NPS или RADIUS серверы. Поскольку VPN сервер является членом домена, можно аутентифицировать пользователей, используя учетные записи домена. Если VPN сервер не входит в домен, тогда только локальные учетные записи VPN сервера можно использовать, если только вы не решите использовать NPS сервер. Я напишу статью об использовании NPS сервера в будущем. Жмем Далее .

  1. Прочтите общую информацию на странице Завершение работы мастера настройки маршрутизации и удаленного доступа и нажмите Закончить .
  2. Нажмите OK в диалоговом окне Маршрутизация и удаленный доступ , которое говорит вам о том, что распределение DHCP сообщений требует агента распределения DHCP.
  3. В левой панели консоли разверните вкладку Маршрутизация и удаленный доступ и затем нажмите на вкладке Порты . В средней панели вы увидите, что WAN Miniport соединения для SSTP теперь доступны.

Настройка NAT сервера для публикации CRL

Как я говорил ранее, клиент SSL VPN должен иметь возможность загружать CRL для подтверждения того, что сертификат сервера на сервере VPN не был поврежден или отозван. Для этого нужно настроить устройство перед сервером сертификации для направления HTTP запросов о расположении CRL на Сервер сертификации.

Как узнать, к какому URL нужно подключиться SSL VPN клиенту, чтобы загрузить CRL? Эта информация содержится в самом сертификате. Если вы снова перейдете на VPN сервер и дважды кликните на сертификате в IIS консоли, как делали прежде, вы сможете найти эту информацию.

Жмем на кнопку Детали на сертификате и листаем вниз до записи Точки распределения CRL , затем жмем на эту запись. В нижней панели показаны различные точки распределения, основанные на протоколе, используемом для получения доступа к этим точкам. В сертификате, показанном на рисунке ниже, видно, что нам нужно открыть доступ клиенту SSL VPN к CRL через URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Именно поэтому нужно создавать публичные записи DNS для этого имени, чтобы внешние VPN клиенты смогли относить это имя к IP адресу или устройству, которое будет выполнять обратимый NAT или обратимый proxy для получения доступа к вебсайту сервера сертификации. В этом примере нам нужно связать win2008rc0-dc.msfirewall.org с IP адресом на внешнем интерфейсе VPN сервера. Когда соединение достигает внешнего интерфейса VPN сервера, VPN сервер перенаправит NAT соединение на сервер сертификации.

Если вы используете расширенный брандмауэр, например ISA Firewall, вы можете сделать публикацию CRL сайтов более безопасной, открывая доступ только к CRL, а не ко всему сайту. Однако в этой статье мы ограничим себя возможностью простого NAT устройства, такого, которое обеспечивает RRAS NAT.

Следует отметить, что использование имени CRL сайта по умолчанию может быть менее безопасной опцией, поскольку оно раскрывает частное имя компьютера в Интернете. Вы можете создавать пользовательскую CDP (CRL Distribution Point), чтобы этого избежать, если считаете, что раскрытие частного имени вашей CA в публичной DNS записи создает угрозу безопасности.

Для настройки RRAS NAT для направления HTTP запросов на сервер сертификации выполните следующие шаги:

  1. В левой панели Server Manager разверните вкладку Маршрутизация и удаленный доступ , а затем разверните вкладку IPv4 . Кликните по вкладке NAT .
  2. Во вкладке NAT кликните правой клавишей на внешнем интерфейсе в средней панели консоли. В данном примере имя внешнего интерфейса было Local Area Connection . Нажмите на Свойства .

  1. В диалоговом окне поставьте галочку напротив Web Server (HTTP) . Это вызовет диалоговое окно Служба редактирования . В текстовой строке Частный адрес введите IP адрес сервера сертификации во внутренней сети. Нажмите OK .

  1. Нажмите OK в диалоговом окне Свойства Local Area Connection .

Теперь, когда NAT сервер установлен и настроен, мы можем перенести наше внимание на настройку сервера CA и клиента SSTP VPN.

Заключение

В этой статье мы продолжили разговор о настройке сервера SSL VPN, используя Windows Server 2008. Мы рассмотрели установку IIS на VPN сервер, запрос и установку сертификата сервера, установку и настройку сервисов RRAS и NAT на VPN сервере. В следующей статье мы закончим рассматривать настройку CA сервера и SSTP VPN клиента. До встречи! Том.

VPN сети вошли в нашу жизнь очень серьезно, и я думаю, надолго. Данная технология используется как в организациях для объединения офисов в единую подсеть или для обеспечения доступа к внутренней информации мобильных пользователей, так и дома при выходе в интернет через провайдера. Можно с уверенностью сказать, что каждый из администраторов обязательно занимался настройкой VPN, как и каждый пользователь компьютера с выходом в интернет использовал данную технологию.

Фактически, в настоящий момент, очень сильно распространена технология IPSec VPN. Про нее написано много различных статей как технических, так и обзорно-аналитических. Но сравнительно недавно появилась технология SSL VPN, которая сейчас очень популярна в западных компаниях, но в России на нее пока не обратили пристального внимания. В этой статье я постараюсь описать, чем отличается IPSec VPN от SSL VPN и какие преимущества дает применение SSL VPN в рамках организации.

IPSec VPN - его преимущества и недостатки

В первую очередь хотелось бы обратить внимание на определение VPN, наиболее распространенное – «VPN - это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия» (©Check Point Software Technologies).

И действительно, в случае доверенных узлов применение IPsec VPN – это наиболее экономичный путь. Например, для соединения сетей удаленных офисов в единую корпоративную сеть не требуется прокладка или аренда выделенных линий, а используется сеть Интернет. В результате построения защищенных туннелей между доверяемыми сетями образуется единое IP-пространство.

А вот при организации удаленного доступа сотрудников IPsec-решения используются для ограниченного количества только доверенных устройств, например для ноутбуков корпоративных пользователей. Для применения IPsec VPN ИТ-служба должна установить и настроить на каждое доверенное устройство (с которого требуется обеспечить удаленный доступ) VPN-клиент, и поддерживать работу этого приложения. При инсталляции IPsec-решений необходимо учитывать их «скрытую» стоимость, связанную с поддержкой и сопровождением, так как для каждого типа мобильного клиента (ноутбук, PDA и др.) и каждого типа сетевого окружения (доступ через интернет-провайдера, доступ из сети компании-клиента, доступ с использованием адресной трансляции) требуется оригинальная конфигурация IPsec-клиента.

Помимо поддержки есть несколько очень важных проблем:

  • Не для всех доверенных мобильных устройств, используемых в компании есть VPN клиенты;
  • В различных подсетях, из которых производится доступ (например, корпоративная сеть партнера или заказчика) необходимые порты могут быть закрыты и требуется дополнительное согласование их открытия.

Таких проблем не возникает при использовании SSL VPN.

SSL VPN – алгоритм работы пользователя

Предположим, вы находитесь в командировке, в вашей компании вам не смогли предоставить на время командировки ноутбук. Но вам необходимо:

  • Во время вашего отсутствия в офисе не выпадать из рабочего процесса;
  • Передавать и получать электронную почту;
  • Использовать данные из каких-либо бизнес систем, которые функционирую в вашей компании.

У вас под рукой в лучшем случае компьютер в сети организации, куда вы приехали в командировку, с доступом в Интернет только по протоколу http/https, в худшем случае – обычное Интернет-кафе в вашей гостинице.

SSL VPN успешно решает все эти задачи, причем уровень обеспечения безопасности будет достаточным, для работы с критичной информацией из Интернет кафе…
Фактически вы выполняете следующие действия:

  • Вам нужен только Интернет-обозреватель (Internet Explorer, FireFox и т.п.);
  • В Интернет-обозревателе набираете адрес SSL VPN устройства;
  • Далее автоматически скачивается и запускается Java апплет или ActiveX компонент, который предлагает вам аутентифицироваться;
  • После аутентификации автоматически применяются соответствующие политики безопасности:
    • выполняется проверка на вредоносный код (в случае обнаружения который блокируется);
    • создается замкнутая среда обработки информации – все данные (включая временные файлы), переданные из внутренней сети, после завершения сеанса будут удалены с компьютера, с которого осуществлялся доступ;
    • Также в процессе сеанса используются дополнительные средства защиты и контроля;
  • После успешного прохождения процедур безопасности вам становятся доступны все необходимые ссылки «в один клик мышкой»:
    • Доступ к файловым серверам с возможностью передачи файлов на сервер;
    • Доступ к Web-приложениям компании (например, внутренний портал, Outlook Web Access и т.п.);
    • Терминальный доступ (MS, Citrix);
    • Инструменты для администраторов (например, ssh консоль);
    • И, конечно, возможность полноценного VPN через https протокол (без необходимости предварительной установки и настройки VPN клиента) – конфигурация передается напрямую из офиса, в соответствии с аутентификационными данными.

Таким образом, применение SSL VPN решает несколько задач:

  • Значительное упрощение процесса администрирования и поддержки пользователей;
  • Организация защищенного доступа к критичной информации с недоверенных узлов;
  • Возможность применения на любых мобильных устройствах, а так же на любых компьютерах (включая интернет киоски) с выходом в Интернет (без предварительных установок и настроек специального программного обеспечения).

SSL VPN – производители и возможности

На рынке SSL VPN доминируют аппаратные решения. Среди поставщиков решений SSL VPN – все известные производители активного сетевого оборудования:

  • Cisco
  • Huawai
  • Juniper
  • Nokia
  • И т.д.

Среди программных реализаций специалисты компании «Алатус» выделяют решение на базе SSL Explorer компании 3SP Ltd , которое наиболее точно соответствует требованиям заказчиков.

Так же хотелось бы привести таблицу сравнения возможностей IPSec VPN и SSL VPN:

Характеристика

IPSec VPN

Поддержка приложений

Поддержка бизнес приложений

Поддержка HTTP приложений

Поддержка доступа к файловым серверам

Поддержка терминального доступа

Сетевая архитектура

Корпоративный ПК

Мобильный ПК

Работа из сторонней сети (за межсетевым экраном)

-
(Требует открытия портов)

+
(Работа через https)

Публичный компьютер (интернет-кафе)

-
(Требует установки клиента)

КПК, коммуникатор

-+
(Для устройства должен быть VPN клиент)

Обеспечение защиты

Возможность строгой аутентификации

+ (В большинстве случаев)

Web single sign-on

-

Автоматическое применение политик безопасности в зависимости от типа объекта и пользователя

-
(Требует дополнительных решений)

Дополнительно

Безклиентная технология

+
(достаточно Internet Explorer)

Легкость внедрения

Зависит от решения

Легкость конфигурирования

Зависит от решения

Легкость поддержки

Зависит от решения

SSL VPN в России

На сегодняшний день в России уже реализовано достаточно большое количество проектов, по внедрению в компаниях удаленного доступа на базе технологии SSL VPN. Но как уже говорилось ранее, пока данная технология в России не набрала своей популярности, в то время как производители данных решений сообщают об очень высоком спросе на них среди западных компаний.

| К списку публикаций

Защищенный удаленный доступ посредством SSL VPN

Борис Борисенко, эксперт

ТЕХНОЛОГИЯ VPN получила широкое распространение как средство, обеспечивающее безопасный доступ сотрудника к локальной сети предприятия из некоторой физически удаленной точки. Сети VPN на основе SSL разрабатывались как вспомогательная и альтернативная технология для удаленного доступа посредством IPsec VPN. Однако стоимость и надежность организации безопасных каналов связи сделали SSL VPN весьма привлекательной технологией. SSL VPN-концентраторы располагают дополнительными (по сравнению с традиционными VPN-устройствами) возможностями. Большинство межсетевых экранов обеспечивают публикацию Веб-приложений в Интернет через порты, трансляцию сетевых адресов (NAT) и сетевую маршрутизацию, но не осуществляют криптографическую защиту данных сверх уровня, обеспечиваемого приложениями. Пользователи IPsec VPN могут установить связь с корпоративной сетью по аналогии с прямым подключением к локальной сети. При этом шифруются все данные, передаваемые между VPN-сервером и клиентом. Однако для большинства VPN устройств требуется специальная клиентская программа. В SSL VPN-концентраторах браузер используется для доступа удаленных сотрудников не только к внутренним Веб-узлам, но и приложениям и файловым серверам. Рассмотрим некоторые наиболее интересные решения по организации удаленного доступа с использованием SSL VPN.

ZyWALL SSL 10

Это шлюз виртуальных частных сетей с поддержкой SSL-шифрования, позволяющий организовать безопасный удаленный доступ к сетям и приложениям через VPN-соединение без предварительной установки клиентской части. Устройство предлагается для сетей малого и среднего бизнеса.

Для подключения к Интернету или DMZ предусмотрен WAN-интерфейс, коммутатор на четыре порта LAN, порт RS 232 DB9 - для управления через консоль (в данном устройстве предоставляется меньше возможностей, чем в том же ZyWALL 1050). ZyWALL SSL 10 поддерживает не только прямое обращение к внутрисетевым базам данных пользователей, но и работу с Microsoft Active Directory, LDAP и RADIUS. Кроме того, возможно использование двухфакторной аутентификации (с помощью брел-ков ZyWALL OTP).

Прямой доступ к ресурсам корпоративной сети обеспечивается загружаемым на компьютеры удаленных пользователей клиентом SecuExtender. После этого с разрешения администраторов определенным категориям пользователей можно будет легко организовать сетевые туннели посредством IPsec. Также администраторы могут конфигурировать политики безопасности для групп пользователей, диапазонов сетевых адресов или различных приложений.

ZyWALL SSL 10 поддерживает 10 одновременных защищенных сессий с возможностью увеличения до 25 SSL-сессий. В сети устройство можно использовать либо за существующим шлюзом (рис. 2), либо в качестве нового шлюза (рис. 3). В первом случае ZyWALL SSL 10 для повышения безопасности можно подключить к порту DMZ. Во втором -к модему, а Веб-сервер - к ZyWALL. Трафик от Веб-сервера к удаленному пользователю проходит через VPN-туннель.

Среди поддерживаемых опций можно упомянуть протокол TLS, шифрование, сертификаты - 256-битный AES, IDEA, RSA, хэширование - MD5, SHA-1. Интересной особенностью является достаточно большой выбор насадок для вилки электропитания (для любых розеток и сетей).

Netgear ProSafe SSL VPN Concentrator SSL312

Устройство позволяет одновременно работать с корпоративной сетью до 25 удаленных клиентов. Соединение производится при помощи ActiveX-компонентов, которые могут быть загружены и установлены непосредственно с устройства.

Однако клиент должен иметь доступ в систему с привилегиями администратора для установки соответствующих ActiveX-компонентов. Кроме того, в браузере должны быть установлены настройки, разрешающие использование компонентов ActiveX. Также может потребоваться установка обновлений Windows. Аппаратное обеспечение включает два порта LAN и один серийный порт. При входе в систему выбирается вариант аутентификации: база данных пользователей, домен Windows NT, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). При доступе через удаленный сервер последний должен быть доступен и до него должна быть настроена маршрутизация трафика.

Если объем DRAM-памяти одинаков и у Netgear SSL312, и у ZyWALL SSL 10, то flash-память Netgear явно уступает (16 против 128 Мб). Процессор Net-gear SSL312 также проигрывает ZyWALL (200 против 266 с криптографическим акселератором). В отличие от Netgear SSL312, ZyWALL поддерживает версию 2.0 протокола SSL.

Возможны два варианта использования устройства. В первом случае из двух Ethernet-портов Netgear SSL312 используется только один. Шлюз при этом должен осуществлять доступ к Netgear SSL312 по HTTPS. Другой вариант использования задействует оба Ethernet-порта Netgear SSL312, при этом SSL-трафик не проходит через межсетевой экран. Одному Ethernet-порту устройства назначается открытый IP-адрес, а второму - закрытый IP-адрес внутренней сети. Следует заметить, что Netgear SSL312 не выполняет функции NAT и МСЭ и не заменяет их.

Для работы с сетевыми сервисами удаленной локальной сети предусмотрено два варианта: VPN-туннель, который устанавливается между пользователем и устройством, или перенаправление портов (Port Forwarding). Оба способа имеют преимущества и недостатки. VPN-туннель позволяет организовать полноценную связь с удаленной локальной сетью, но при этом не позволяет производить отдельных настроек для каждого сервиса. Перенаправление портов позволяет работать только с TCP-соеди-нениями (UDP и другие IP-протоколы не поддерживаются), правила для каждого приложения задаются отдельно.
Динамический DNS в Netgear SSL312 не поддерживается, что также является недостатком.

SSL VPN Juniper Networks Secure Access 700

Решение для удаленного доступа при помощи SSL VPN также разработано для малых и средних компаний. Интерфейс как пользователя, так и администратора организован в виде Веб-браузера. Установка VPN-клиента на удаленный компьютер не требуется. Предусмотрены два порта RJ-45 Ethernet и один серийный порт. Juniper SA 700 автоматически проверяет удаленный компьютер и, в зависимости от результатов установленного программного обеспечения, присваивает различные права доступа.

Способен поддерживать не более 25 одновременно работающих пользователей. Среди аутентификации и авторизации возможны следующие варианты: Microsoft Active Directory/Windows NT, LDAP, NIS, RADIUS, RSA, SAML, сервер сертификатов. Устройством обеспечивается доступ к файловым ресурсам Win-dows/SMB, Unix/NFS, Веб-приложениям, в том числе использующим JavaScript, XML, Flash; поддерживаются обращения по протоколам Telnet и SSH. Доступ к корпоративной электронной почте организуется на базе обычного почтового клиента, который настраивается на безопасное подключение по протоколу SSL к Juniper SA 700. Однако для этого потребуется лицензия "Core Clientless Web Access".

Juniper SA 700 предусматривает автоматическую проверку удаленного компьютера, если на нем установлены антивирусное ПО, персональный МСЭ, другие программы, обеспечивающие безопасность. Все загрузки прокси-сервера и временные файлы, необходимые во время сессии, удаляются после окончания сеанса.

Технология SSL VPN-Plus позволяет предоставить доступ удаленным сотрудникам к Вашему облачному ЦОДу. При этом сотрудники получают защищенный доступ только к тем ресурсам, которые считаются необходимыми для этих сотрудников, даже если доступ производится с общедоступной машины, которая находится вне контроля компании и рассматривается как «ненадежная».

В данной статье представлена информация по настройке SSL VPN-Plus .

Используемая топология:

  1. В разделе «Administration» переходим в нужный ЦОД. В появившемся меню настроек переходим во вкладку «Edge Gateways» . Выбираем нужный «vShield Edge». Нажимаем правой кнопкой мыши и в появившемся меню выбираем опцию «Edge Gateway Services» .
  1. Открываем вкладку SSL VPN-Plus , переходим на вкладку Server Settings и активируем SSL VPN server, нажав тумблер Enabled .

Затем выбираем IP адрес vShield, port – 443, отмечаем галочками все алгоритмы шифрования.

  1. На вкладке Client Configuration проверяем, что выбран Tunneling mode – Split



  1. На вкладке Users для каждого подключающегося сотрудника создаем реквизиты для подключения.

  1. На вкладке IP Pools создаем диапазон ip адресов, которые будут назначаться подключающимся компьютерам



  1. На вкладке Installation Packages создаем параметры установочного пакета клиентской программы. При обращении к IP адресу Gateway (vShield) будет происходить скачивание клиентской программы SSL VPN-Plus.


Галочками выбираем типы операционных систем, с которых будут происходить подключения. Это необходимо для предварительного формирования установочных пакетов.

  1. На вкладке Private Networks мы задаем диапазоны сетей облачного ЦОД, к которым подключаемый сотрудник будет иметь доступ

  1. На этом настройка закончена . Теперь, перейдя по ссылке https://195.211.5.130/sslvpn-plus/ и авторизовавшись, вы сможете скачать клиентскую программу SSL VPN-plus и подключиться к облачному ЦОД.

В настоящее время существует два типа пользовательских VPN:
SSL VPN и IPSec VPN и каждая из них имеет свои преимущества и недостатки.

Основное преимущество SSL VPN есть простота его внедрения: все браузеры поддерживают SSL, все провайдеры пропускают и не ограничивают SSL.
Некоторые виды доступа через SSL VPN можно осуществить буквально любым браузером и на любой платформе.

IPSec VPN считается более безопасным протоколом.

SSL и TLS

Очень часто в технической литературе можно встретить понятия SSL и TLS.

Оба протокола являются cryptographic protocols , обеспечивающие безопасную передачу данных поверх интернет(e-mail, web browsing, instant messaging).
Протоколы обеспечивают confidentiality, integrity, authentication services.
SSL и TLS работают на уровне Session Layer модели OSI или выше.
Протоколы могут использовать public key infrastructure (PKI) а также сертификаты для аутентификации и передачи друг другу симметричных ключей.
Также как и IPSec для шифрования данных они используют симметричные ключи.

Большинство безопасных передач на браузере производятся через SSL или TLS.
Изначально появился SSL, его разработала компания Netscape.
TLS является дальнейшим развитием SSL, а также стандартом, разработанным Internet Engineering Task Force (IETF) .
Например TLS 1.0 основан на SSL3.0.
Что конкретно использовать SSL или TLS решают сами браузеры: предпочтителен TLS но возможно переключение и на SSL.

Таким образом, важно понимать, что используя термин SSL мы подразумеваем SSL или TLS.
К примеру Cisco SSL VPN реально использует TLS.

Операции SSL

Итак, SSL используется в большинстве онлайновых сервисах, требующих безопасности.
Давайте рассмотрим пошагово, что происходит когда клиент подключается к банковскому серверу, использующему SSL:

  • Клиент инициализирует подключение к серверу на его IP адрес и порт 443. В качестве источника используется соответственно IP клиента и порт выше чем 1023
  • Происходит стандартный процесс TCP подключения, использующий three-way handshake
  • Клиент запращивает подключение по SSL и сервер отвечает высылая свой digital certificate, который содержит public key этого сервера.
  • Получив сертификат, клиент должен решить: доверять этому сертификату или нет.
    Здесь начинают работать механизмы PKI.
    Если digital certificate подписан CA, которой клиент доверяет + сертификат валидный по дате + серийник сертификата не числится в certificate revocation list (CRL) - клиент может доверять сертификату и использовать public key этого сертификата.
  • Клиент генерирует симметричный ключ shared secret , который будет использоваться для шифрования данных между клиентом и сервером. Далее клиент шифрует shared secret с использованием public key и передает это серверу.
  • Сервер, используя свой private key , расшифровывает полученный симметричный ключ shared secret .
  • Обе стороны теперь знают shared secret и могут шифровать SSL Session.

Типы SSL VPN

SSL VPN можно разделить на два вида:

  • Clientless SSL VPN - также называется Web VPN . Не требует установки клиента. Ограниченные возможности.
  • Full Cisco AnyConnect Secure Mobility Client SSL VPN Client - полноценный SSL клиент, требующий установки на клиента ПО, обеспечивающее полноценный доступ к корпоративной сети

Настройка SSL VPN

  1. Копируем файл Anyconnect PKG.
    В нашем случае это anyconnect-win-3.1.08009-k9.pkg
  2. Указываем на файл pkg, и включаем сервис Webvpn Anyconnect service.
    webvpn anyconnect image disk0:/anyconnect-win-3.1.08009-k9.pkg 1 enable outside2 anyconnect enable
  3. Исключаем (exempt) трафик SSL WebVPN от проверок на outside interface ACL . Нам нужно либо сделать в ACL правила permit, либо использовать команду:
    msk-asa-01(config)# sysopt connection permit-vpn
  4. Для удобства настроим перенаправление с 80 на 443:
    http redirect outside2 80
  5. Создадим IP address pool . Эти адреса будут выдаваться удалённым пользователям.
    ip local pool vpnpool_pool 192.168.93.10-192.168.93.254 mask 255.255.255.0
  6. Создаём NAT exemption для трафика между LAN Network и сетью vpnpool. Мы делаем данное исключение, поскольку шифрованный трафик не должен проходить через NAT. Данный шаг необходим в случае если на ASA настроен этот NAT.
    object network vpnpool_obj
    object network vpnpool_obj subnet 192.168.92.0 255.255.255.0 object-group network RFC1918_objg network-object 192.168.0.0 255.255.0.0 network-object 172.16.0.0 255.240.0.0 network-object 10.0.0.0 255.0.0.0 nat (inside,outside) source static RFC1918_objg RFC1918_objg destination static vpnpool_obj vpnpool_obj no-proxy-arp route-lookup
  7. Создаём Split-Tunnel ACL, данная настройка позволит пользователям при подключении по VPN одновременно пользоваться интернетом. Без этой настройки в туннель будет заворачиваться весь трафик.
    access-list split-tunnel_acl standard permit 192.168.10.0 255.255.255.0

    Данная настройка будет заворачивать в туннель только трафик в сети той же RFC1918.

  8. Создаём Group Policy .
    Мы можем создать несколько Group Policy, и в каждой настроить сетевые атрибуты типа DNS server addresses, split-tunneling settings, default domain, протокол(SSL или IPSec) и т.д.
    group-policy anyconnect_gp internal group-policy anyconnect_gp attributes dns-server value 192.168.10.5 vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel_acl webvpn anyconnect keep-installer installed anyconnect dpd-interval client 20 anyconnect ask none default anyconnect
  9. Создадим Tunnel Group .
    Tunnel Group в интерфейсе ASDM называется как Connection Profile.
    Tunnel Group должна в себя включать только что нами настроенную Group Policy и объединяет её с IP address pool.
    Мы можем создать несколько таких групп, а пользователь при логине может выбрать для себя нужную Tunnel Group со всеми нужными характеристиками: наследуемые параметры из Group Policy + address-pool
    tunnel-group vpn-users_tg type remote-access tunnel-group vpn-users_tg general-attributes address-pool vpnpool_pool default-group-policy anyconnect_gp tunnel-group vpn-users_tg webvpn-attributes group-alias vpn_users-alias enable webvpn tunnel-group-list enable

    Последняя команда позволяет пользователям выбирать для себя tunnel-group.
    Для пользователей данная группа будет выглядеть с именем "vpn_users-alias"

Anyconnect уже должно заработать, - можно заходить под админской учёткой.

Мониторинг SSL VPN

  • ASDM: Monitoring > VPN > VPN Statistics > Sessions
  • Из CLI:
    vpn# show uauth Current Most Seen Authenticated Users 1 1 Authen In Progress 0 0 remote access VPN user "vpn_video_user1" at 192.168.92.25, authenticated access-list #ACSACL#-IP-video_dacl-54ddc357 (*)
    vpn# show access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list split-tunnel_acl; 1 elements; name hash: 0xb6fb0e access-list split-tunnel_acl line 1 standard permit 192.168.10.0 255.255.255.0 (hitcnt=0) 0x13482529 access-list #ACSACL#-IP-video_dacl-54ddc357; 1 elements; name hash: 0x6c7d7b7f (dynamic) access-list #ACSACL#-IP-video_dacl-54ddc357 line 1 extended permit ip any4 host 192.168.10.45 (hitcnt=0) 0x4ce5deb8

    Смотрим кто залогинен

    show vpn-sessiond summary
    show vpn-sessiond anyconnect

    Выкинуть юзера из впн:

    vpn-sessiondb logoff name langemakj