Drei Tage und drei Nächte sorgte ich mit SSL VPN auf der Suche nach Software-Clarity-Optionen. Und sogar eine Art exzellenter Version von Hyperocket gefunden, die sich selbst positioniert.

Beim Lesen eines Anbusses auf SourceForge wurde der Vorschlag vergeben, dass die Namen nicht berücksichtigt werden, um auf den Zugriff auf den Browser zuzugreifen. Dies ist also ein SSL-VPN, der auf der Ebene der Anwendung tätig ist, aber leider auf der Grundlage des Clients, der zur Arbeit der Java-Engine verwendet wird, und den Versand eines separaten Widgets initialisiert die Verbindung. Wenn jedoch die Einfachheit geschätzt wird, funktioniert es nicht an einem Klick und um die Verbindungen zu konfigurieren, die Sie Tinker, T.ch. Alle Hauptvorteile des Clients, ist, dass der 443-Port des VPN-Servers, der einzige Can Innerhalb einer der erschöpften Infrastruktur verwendet werden, in der die Admins paranen alle Ausgabehäfen sind.

Es ist in einer sehr kostenlosen Version von 1.1 an der SourceForge und der kommerziellen Version 2.0.5, die von Off angeboten wird. Standort in Form von voll ausgestatteten Trialkufen für 30 Tage. Und diese Frage ist mir nicht klar, weil ich die Preise auf der Website überhaupt nicht gefunden habe. Das heißt, sie rollen es anscheinend heraus, wenn Sie bereits eingerichtet und angeschlossen sind, sodass Sie ihr Produkt nicht sofort ablehnen.

Bevor Sie die Installation starten, ist es notwendig, ein Internat einzulegen, denn ich habe die Anforderungen nicht gefunden, aber Version 1.1 isst in der Standardinstallation von ca. 450 MB, und ich konnte nicht verstehen, warum der Server auf dem Diemanskaya-I-Brief ständig überlastet wurde in irgendwelchen Änderungen. Beim Speicher in 1 GB hat alles bereits extrem stabil und ohne einen einzigen Pause gelebt. Die zweite Version isst fast 600 MB RAM.

Es ist angeordnet, mit Ausnahme des Standardtanzens mit Oracle Java. , wir verschreiben alle erforderlichen Pfade, wonach Sie bereits ab 2015 von Free SERVAK angezogen werden können:
# Wget https://sourceforge.net/projects/hyperocket-vpn/files/1.1.0-2269/hyperocket-vpn-gpl-inux-1.1.0-2269.rpm/download.

entweder verlieren wir ab und bekommen einen Hyperocket-One-Linux-2.0.5-3110.rpm

Danach installieren Sie das Paket
# RPM -i Hyperocket-One-Linux-2.0.5-3110.rpm

Starten Sie danach die erste Version des Pakets
Service-Hyperocket-Start.
und herstellen Sie eine Verbindung zu https: // IP: 443 c login admin: admin, wo sofort zur arbeit gehen

entweder Zweiter
Hyperocket-One-Console
Entweder bei HTTPS: // IP: 443 Installieren Sie schließlich die Webinstallation, setzen Sie die Kennwörter des Systems ein und füttern Sie die vorab heruntergeladene Lizenzdatei

Danach können Sie in das Innere eingeben und den Zugriff konfigurieren und so weiter. Die zweite Version, meiner Meinung nach nachteilig und ein bisschen nachgedacht.

In diesem VPN-Servak \u200b\u200bpasst ich, wie ich sagte, nicht viel, weil ich das Vorhandensein eines Clients an der Seite des entfernten Benutzers anzunehmen, aber gleichzeitig hat es ein Bündel aller Art interessanter Merkmale, wie der Zugang zum Virtuelle Dateisystemdateien, über die Sie die Windows-Bälle, den FTP-Inhalt, die NFS-Volumes, HTTP-Dateien und andere erreichen können; Publisher-Webseiten für Remote-Web-Treiber; ein Bündel aller Sicherheit von PIN-Codes bis zu Einwegkennwörtern; Benutzerverwaltung über Muscul, AS400, Google Business, LDAP.

Derzeit gibt es zwei Arten von benutzerdefinierten VPNs:
SSL VPN. und Ipsec vpn. Und jeder von ihnen hat seine Vor- und Nachteile.

Der Hauptvorteil des SSL-VPN ist die Einfachheit seiner Implementierung: Alle Browser unterstützen SSL, alle Anbieter bestehen und beschränken die SSL nicht.
Einige Arten von Zugriff über SSL VPN können wörtlich von jedem Browser und auf jeder Plattform durchgeführt werden.

IPSec VPN gilt als sichereres Protokoll.

SSL und TLS.

Sehr oft in der technischen Literatur können Sie die Konzepte von SSL und TLS erfüllen.

Beide Protokolle sind kryptographische ProtokolleBereitstellung der sicheren Datenübertragung über das Internet (E-Mail, Web-Browsing, Instant Messaging).
Protokolle bieten Vertraulichkeit, Integrität, Authentifizierungsdienste.
SSL und TLS arbeiten auf der Ebene Sitzungsschicht. Modelle OSI oder höher.
Protokolle können verwenden. Öffentliche Schlüsselinfrastruktur (PKI) Sowie Zertifikate zur Authentifizierung und Übertragung an einen anderen symmetrischen Tasten.
Neben IPSec zum Verschlüsseln von Daten verwenden sie symmetrische Tasten.

Die meisten sicheren Browserprogramme werden über SSL- oder TLS erstellt.
Zunächst erschien SSL, Netscape wurde entwickelt.
TLS ist die Weiterentwicklung von SSL sowie der von entwickelte Standard Internet Engineering Task Force (IETF).
Beispielsweise basiert TLS 1.0 auf SSL3.0.
Was speziell, um SSL oder TLs zu verwenden, löst die Browser selbst: TLS ist bevorzugt, es ist jedoch möglich, auf SSL umzuschalten.

Somit ist es wichtig zu verstehen, dass wir mit dem SSL-Begriff SSL oder TLS implizieren.
Beispielsweise verwendet Cisco SSL VPN tatsächlich TLS.

SSL-Operationen

SSL wird also in den meisten Online-Services verwendet, die Sicherheit erfordern.
Betrachten wir Schritt für Schritt, was passiert, wenn der Client mit SSL mit dem Bankserver herstellt:

• Der Client initialisiert die Verbindung zum Server an seine IP-Adresse und den Port 443. Der Client und der Port des Clients und des Ports werden als Quelle verwendet.
• Es gibt eine Standard-TCP-Prozessverbindung mit drei-Wege-Handshake
• Der Client spendet die SSL-Verbindung und der Server antwortet, indem er sein digitales Zertifikat sendet, das enthält Öffentlicher Schlüssel. Dieser Server.
• Nachdem Sie ein Zertifikat erhalten haben, muss der Kunde entscheiden: Um diesem Zertifikat zu vertrauen oder nicht.
  PKI-Mechanismen arbeiten hier an.
  Wenn ein digitales Zertifikat von CA unterzeichnet wird, das der Client Trusts + Gültiges Zertifikat nach Datum + Zertifikat seriell seriell aufgelistet ist zertifikat-Widerrufsliste (CRL) - Der Kunde kann dem Zertifikat vertrauen und verwenden Öffentlicher Schlüssel. Dieses Zertifikat.
• Der Client erzeugt einen symmetrischen Schlüssel geteiltes Geheimnis.Welcher verwendet wird, um Daten zwischen dem Client und dem Server zu verschlüsseln. Als nächstes ist der Client verschlüsselt geteiltes Geheimnis. verwendet Öffentlicher Schlüssel. Und überträgt diese auf den Server.
• Server mit Ihrem privat Schlüssel., entschlüsselt den resultierenden symmetrischen Schlüssel geteiltes Geheimnis..
• Beide Seiten wissen jetzt geteiltes Geheimnis. Und kann SSL-Session verschlüsseln.

Typen SSL VPN.

SSL VPN kann in zwei Typen unterteilt werden:

• Clientless SSL VPN. - auch genannt Web VPN.. Erfordert keine Clientinstallation. Begrenzte Möglichkeiten.
• Full Cisco AnyConnect Secure Mobility Client SSL VPN Client - Voller SSL-Client, der Installation auf einer Client-Software erfordert, die einen vollwertigen Zugriff auf das Corporate Network bietet

SSL-VPN einrichten.

1. Kopieren Sie die AnyConnect PKG-Datei.
   In unserem Fall, es anyConnect-Win-3.1.08009-K9.PKG
2. Wir legen die PKG-Datei an und schalten den WebvPN AnyConnect Service Service ein.
   

   webvPN AnyConnect Image disk0: /anyconnect-win-3.1.08009-k9.pkg 1 Aktivieren von Outsidild2 AnyConnect-Aktivieren

3. Außer (ausgenommen) SSL-WebvPN-Datenverkehr von Schecks auf außende Schnittstelle ACL.. Wir müssen entweder die Genehmigungsregeln in ACL erstellen oder den Befehl verwenden:
   

   mSK-ASA-01 (CONFIG) sYSOPT-Verbindung Erlaubnis-VPN

4. Passen Sie zur Bequemlichkeit die Umleitung von 80 bis 443 an:
   

   http umleiten außerhalb2 80

5. Erstellen IP-Adresspool.. Diese Adressen werden an Remote-Benutzer ausgegeben.
   

   iP LOKAL POOL VPNPOOL_POOL 192.168.93.10-192.168.93.254 Maske 255.255.255.0

6. Erstellen NAT-Befreiung Für den Verkehr zwischen LAN-Netzwerk. und VPnpool-Netzwerk. Wir machen diese Ausnahme, da der verschlüsselte Verkehr nicht durch NAT passieren sollte. Dieser Schritt ist erforderlich, wenn dieses NAT auf ASA konfiguriert ist.
   Objektnetz VPNPOOL_OBJ.

   Objekt-Netzwerk VPNPOOL_OBJ Subnetz 192.168.92.0 255.255.255.0 Objekt-Gruppen-Netzwerk RFC1918_OBJG-Netzwerk-Objekt 192.168.0.0 255.255.0.0 Network-Object 172.16.0.0 255.240.0.0 Netzwerk-Objekt 10.0.0.0 255.0.0.0 NAT (innen, außen) Quelle statisch RFC1918_OBJG RFC1918_OBJG Ziel statischer vpnpool_obj vpnpool_obj no-proxy-arp route-lookup

7. Split-Tunnel-ACL erstellen, diese Einstellung ermöglicht Benutzern, wenn Benutzer über VPN gleichzeitig das Internet verwenden. Ohne diese Umgebung werden alle Verkehr in den Tunnel eingewickelt.
   

   zugangsliste Split-Tunnel_ACL Standarderlaubnis 192.168.10.0 255.255.255.0

   Diese Einstellung wird im Tunnel nur Verkehr auf dem Netzwerk derselben RFC1918 eingewickelt.

8. Erstellen Gruppenrichtlinie.
   Wir können mehrere Gruppenrichtlinien erstellen, und in jedem Konfigurieren von Netzwerkattributen wie DNS-Serveradressen, Split-Tunneling-Einstellungen, Standarddomänen, Protokoll (SSL oder IPSec) usw.

   gruppenrichtlinie AnyConnect_GP Interne Gruppenrichtlinie AnyConnect_GP Attribute DNS-Server-Wert 192.168.10.5 VPN-Tunnel-Protokoll SSL-Client SSL-Clientless Split-Tunnel-Richtlinie Tunnelspezifizierter Split-Tunnel-Network-List-Wert Split-Tunnel_ACL WebVPN AnyConnect Heep-Installer Installiert AnyConnect DPD-Intervall-Client 20 AnyConnect Bitten Sie keine Standardeinstellung AnyConnect

9. Erstellen Tunnelgruppe..
   Tunnelgruppe in der ASDM-Schnittstelle wird sowohl Verbindungsprofil bezeichnet.
   Tunnelgruppe sollte eine konfigurierte Gruppenrichtlinie enthalten und kombiniert es mit einem IP-Adresspool.
   Wir können mehrere solche Gruppen erstellen, und der Benutzer, wenn Sie sich anmelden, können Sie die gewünschte Tunnelgruppe mit allen erforderlichen Merkmalen auswählen: Parameter von Gruppenrichtlinien + Adresspool erbten

   tunnelgruppen VPN-Users_TG Typ Remote-Zugriff Tunnel-Gruppe VPN-User_tg Allgemeine Attribute Adresspool VPNPOOL_POOL Standard-Gruppen-Richtlinie AnyConnect_GP Tunnel-Gruppe VPN-Users_TG WebVPN-Attribute Group-Alias \u200b\u200bVPN_USERS-Alias \u200b\u200bAktivieren Sie die WebvPN-Tunnel-Gruppe. Listenfreigabe

   Mit dem letzten Befehl können Benutzer die Tunnelgruppe auswählen.
   Für Benutzer sucht diese Gruppe mit dem Namen "VPN_USERS-Alias".

AnyConnect muss bereits verdienen, - Sie können unter die Administratorrechnung gehen.

Überwachung der SSL-VPN.

• ASDM: Überwachung\u003e VPN\u003e VPN-Statistiken\u003e Sitzungen
• Von cli:
  

  vpn # show uAuth Aktuelle am meisten gesehen authentifizierte Anwender 1 1 Authentat in Bearbeitung 0 0 Remote Access VPN Benutzer "VPN_Video_USER1" um 192.168.92.25, authentifizierte Zugangsliste # ACSACL # -IP-Video_DACL-54DDC357 (*)

  vpn # zugriffsliste anzeigen Zugriffsliste zwischengelisteten ACL-Protokollflows: Gesamt 0, abgelehnt 0 (DENY-FLOW-MAX 4096) Alert-Intervall 300 Zugriffsliste Split-Tunnel_ACL; 1 Elemente; Name Hash: 0xb6fb0e Zugriffsliste Split-Tunnel_ACL Line 1 Standardgenehmigung 192.168.10.0 255.255.255.0 (HITCNT \u003d 0) 0x13482529 Zugangsliste # ACSACL # -P-video_dacl-54DDC357; 1 Elemente; Name Hash: 0x6c7d7b7f (dynamische) Zugriffsliste # ACSACL # -Ip-video_dacl-54DDC357 Zeile 1 Erweiterte Genehmigung IP Any4 Host 192.168.10.45 (HITCNT \u003d 0) 0x4ce5deb8

  Wir betrachten die Slawinen

  show VPN-SessionD-Zusammenfassung

  show VPN-Sessiond AnyConnect

  Werfen Sie einen Benutzer von VPN:

  vPN-SessionDB-Logoff Name Langemakj

VPN-Netzwerke betraten unser Leben sehr ernst, und ich denke schon lange. Diese Technologie wird sowohl in Organisationen verwendet, um Büros in einem einzelnen Subnetz zu kombinieren oder den Zugriff auf interne Informationen von mobilen Benutzern und zu Hause bei der Eingabe des Internets durch den Anbieter zu bieten. Es kann jedoch gesagt werden, dass jeder der Administratoren notwendigerweise mit der Konfiguration eines VPN eingesetzt wurde, wie jeder Computerbenutzer mit Internetzugang diese Technologie verwendete.

Tatsächlich ist die IPSec-VPN-Technologie sehr verbreitet. Viele verschiedene Artikel von technischer und Überwachung und Analyse werden darüber geschrieben. Die SSL-VPN-Technologie erschien jedoch relativ kürzlich, was jetzt in westlichen Unternehmen sehr beliebt ist, aber in Russland haben sie jedoch nicht genau darauf geachtet. In diesem Artikel werde ich versuchen, zu beschreiben, was der IPSec-VPN von SSL VPN unterscheidet, und welche Vorteile verwenden SSL VPN innerhalb der Organisation.

Ipsec.VPN - Seine Vor- und Nachteile

Im ersten Teil ich möchte auf die Definition von VPN aufmerksam machen, das häufigste - "VPN ist eine Technologie, die vertrauenswürdige Netzwerke, Knoten und Benutzer durch offene Netzwerke kombiniert, die nicht Vertrauen sind" (© Check Point Software-Technologien).

Bei vertrauenswürdigen Knoten ist der Antrag von IPSec VPN in der Tat der wirtschaftlichste Weg. Um beispielsweise entfernte Büros an ein einzelnes Unternehmensnetzwerk anzusetzen, ist eine Dichtung oder Vermietung ausgewählter Zeilen erforderlich, und das Internet wird verwendet. Infolge des Aufbaus geschützter Tunnel zwischen vertrauenswürdigen Netzwerken wird ein einzelner IP-Raum gebildet.

Bei der Organisation von Remote-Zugriff auf IPSec-Mitarbeiter werden die Lösungen verwendet, um nur vertrauenswürdige Geräte wie Corporate-Benutzer-Laptops zu begrenzen. Um IPSec VPN anzuwenden, muss der IT-Dienst jedes vertrauenswürdige Gerät installieren und konfigurieren (das Sie den Fernzugriff angeben möchten) einen VPN-Client und den Betrieb dieser Anwendung aufrechterhalten. Bei der Installation von IPSec-Lösungen ist es erforderlich, ihre "versteckten" Kosten mit Unterstützung und Support zu berücksichtigen, da für jeden Mobiltyp (Laptop, PDA usw.) und jeder Art der Netzwerkumgebung (Zugriff über den Internetanbieter , Zugang vom Netzwerk des Unternehmens -Clin, der Zugriff mit der Adressübersetzung) erfordert die ursprüngliche IPSec-Client-Konfiguration.

Neben der Unterstützung gibt es mehrere sehr wichtige Probleme:

• Nicht für alle vertrauenswürdigen mobilen Geräte, die in der Firma verwendet werden, gibt es VPN-Clients;
• In verschiedenen Subnetzen, denen der Zugriff (z. B. ein Unternehmensnetzwerk eines Partners oder eines Kunden), können die erforderlichen Ports geschlossen und eine zusätzliche Koordination ihrer Öffnung erforderlich.

Bei der Verwendung von SSL VPN gibt es keine solchen Probleme.

Ssl.VPN - Benutzerarbeitsalgorithmus

Angenommen, Sie sind auf Geschäftsreise, Sie könnten Ihnen während Ihres Unternehmens keinen Laptop geben. Aber du brauchst:

• Fallen während Ihrer Abwesenheit im Büro nicht aus dem Workflow;
• E-Mail senden und empfangen;
• Verwenden Sie Daten aus allen Geschäftssystemen, die in Ihrem Unternehmen tätig sind.

An der Hand, am besten, der Computer im Netzwerk der Organisation, in dem Sie auf einer Geschäftsreise angekommen sind, mit Internetzugang nur auf dem HTTP / HTTPS-Protokoll, im schlimmsten Fall - dem üblichen Internetcafé in Ihrem Hotel.

SSL VPN löst erfolgreich alle diese Aufgaben, und die Sicherheitsniveau reicht aus, um mit kritischen Informationen aus dem Internet Cafe zu arbeiten ...
In der Tat führen Sie die folgenden Aktionen aus:

• Sie benötigen nur einen Internetbrowser (Internet Explorer, Firefox usw.);
• Geben Sie im Internetbrowser das Adress-SSL-VPN-Gerät ein;
• Als nächstes lädt die Java-Applet- oder ActiveX-Komponente automatisch herunter, die Sie authentifiziert bietet;
• Nach der Authentifizierung gilt entsprechende Sicherheitsrichtlinien automatisch:
  • Überprüfung auf böswilliger Code (bei erkennender Erkennung, der blockiert ist);
  • eine geschlossene Iwird erstellt - Alle Daten (einschließlich temporären Dateien), die vom internen Netzwerk übertragen werden, nachdem die Sitzung abgeschlossen ist, wird vom Computer gelöscht, aus dem der Zugang getätigt wurde.
  • Auch während des Sitzungsprozesses werden zusätzliche Schutz- und Kontrollermittel verwendet;
• Nach erfolgreichen Sicherheitsverfahren werden alle erforderlichen Links "in einem Mausklick" verfügbar:
  • Zugriff auf Dateiserver mit der Möglichkeit, Dateien auf den Server übertragen zu können;
  • Zugriff auf Unternehmens-Webanwendungen (z. B. internes Portal, Outlook-Webzugriff usw.);
  • Terminalzugriff (MS, Citrix);
  • Administrator-Tools (zum Beispiel SSH-Konsole);
  • Natürlich die Möglichkeit eines vollwertigen VPN über das HTTPS-Protokoll (ohne das Bedarf an der Installation und Einrichtung eines Clients VPN) - die Konfiguration wird in Übereinstimmung mit den Authentifizierungsdaten direkt aus dem Büro übermittelt.

Somit löst die Verwendung von SSL-VPN mehrere Aufgaben:

• Signifikante Vereinfachung des Verwaltungsverfahrens und des Benutzersupports;
• Organisation von geschützten Zugang zu kritischen Informationen von nicht vertrauenswürdigen Knoten;
• Die Möglichkeit, sich auf irgendwelchen mobilen Geräten sowie auf allen Computern (einschließlich Internetkiosks) mit Internetzugang (ohne vorherige Einstellungen und spezielle Softwareeinstellungen) zu beantragen.

Ssl.VPN - Hersteller und Chancen

Der SSL-VPN-Markt dominiert Hardwarelösungen. Unter SSL-VPN-Lösungsanbietern sind alle bekannten Herstellern von aktiven Netzwerkgeräten:

• Cisco.
• Huawai.
• Wacholder
• Nokia.
• Usw.

Bei den Software-Implementierungen weisen Alatus-Spezialisten auf der Grundlage von SSL Explorer. Unternehmen 3SP Ltd.was am besten an den Kundenanforderungen entspricht.

Ich möchte auch einen Tisch geben, der die Funktionen von IPSec VPN und SSL VPN vergleicht:

SSL VPN in Russland

Bislang wurde bereits in Russland eine ausreichend große Anzahl von Projekten zur Implementierung von Remote-Zugriff auf Basis der SSL-VPN-Technologie umgesetzt. Wie bereits erwähnt, bis diese Technologie in Russland seine Popularität gewonnen hat, berichten jedoch die Entscheidungen des Datenherstellers sehr hohe Nachfrage nach westlichen Unternehmen.

Im ersten Teil dieser Reihe von Artikeln zum Konfigurieren von Windows Server 2008 als SSL-VPN-Server sprach ich über einige Fakten der Historie von Microsoft VPN-Servern und VPN-Protokollen. Wir haben den vorherigen Artikel um eine Beschreibung des Netzwerkbeispiels abgeschlossen, das in diesem und nachfolgenden Teilen der VPN-to-Configuration-Serie verwendet wird, die die SSTP-Verbindung mit Vista SP1-Clients unterstützt.

Bevor wir beginnen, muss ich zugeben, dass ich über das Vorhandensein eines Schritt-für-Schritt-Handbuchs kenne, um SSTP-Verbindungen für Windows Server 2008 zu erstellen, die sich auf www.microsoft.com-Website befindet. Es schien mir, dass dieser Artikel keine reale Umgebung widerspiegelt, die in Organisationen verwendet wird, um Zertifikate zuzuordnen. Deshalb, und wegen einiger Problempunkte, die im Microsoft-Handbuch nicht betroffen waren, entschied ich mich, diesen Artikel zu schreiben. Ich glaube, dass Sie ein wenig neu lernen, wenn Sie mir in diesem Artikel folgen.

Ich werde nicht alle Schritte seit den Grundlagen berücksichtigen. Ich wage es, anzunehmen, dass Sie den Domänencontroller installiert haben, und aktivierte DHCP-, DNS- und Zertifikat-Services-Rollen auf diesem Server. Der Server-Zertifizierungstyp muss Enterprise sein, und Sie haben CA in Ihrem Netzwerk. Der VPN-Server muss an die Domäne angeschlossen sein, bevor Sie weiterhin die folgenden Schritte ausführen. Vor dem Start müssen Sie das SP1-Update-Paket für den Vista-Client installieren.

Wir müssen die folgenden Verfahren erfüllen, damit unsere Lösung für unsere Lösung funktioniert:

• Installieren Sie IIS auf VPN-Server
• Fordern Sie ein VPN-Server-Zertifikat anfordern mit iIS-Zertifikatanfragen Assistentenzertifikat-Assistenten
• Legen Sie die Rolle der RRAS auf dem VPN-Server fest
• Aktivieren Sie den RRAS-Server und konfigurieren Sie es, um als VPN- und NAT-Server zu arbeiten
• Konfigurieren Sie den NAT-Server, um CRL zu veröffentlichen
• Konfigurieren Sie das Konto (Benutzerkonto), um DFÜ-Verbindungen zu verwenden
• Konfigurieren Sie IIS auf dem Zertifikatserver, um HTTP-Verbindungen für das CRL-Verzeichnis zuzulassen
• Konfigurieren Sie Hosts-Datei für den VPN-Client
• Verwenden Sie PPTP, um mit einem VPN-Server zu kommunizieren
• Erhalten Sie CA-Zertifikat von Enterprise CA
• Konfigurieren Sie den Client, um SSTP zu verwenden und mit einem SSTP an einen VPN-Server herzustellen

IIS-Installation auf einem VPN-Server

Vielleicht erscheint es seltsam, dass wir mit diesem Verfahren beginnen, da ich empfehle, einen Webserver niemals in der Netzwerksicherheit zu installieren. Gute Nachrichten ist, dass wir keinen VPN-Server-Webserver speichern müssen, es wird nur für eine Weile für uns benötigt. Der Grund liegt in der Tatsache, dass die in Windows Server 2008-Zertifikatserver enthaltene Registrierungssort für eine Computerzertifikatanforderung nicht mehr nützlich ist. In der Tat ist er im Allgemeinen nutzlos. Wenn Sie sich immer noch entscheiden, dass Sie die Registrierungsstelle verwenden, um ein Computerzertifikat zu erhalten, wird alles aussehen, wie das Zertifikat erhalten und installiert wird, aber in der Tat ist es nicht so, dass das Zertifikat nicht so eingestellt ist.

Um dieses Problem zu lösen, nutzen wir den Vorteil, was Enterprise CA verwenden. Bei Verwendung von Enterprise CA können Sie eine Anfrage an einen interaktiven Zertifizierungsserver senden. Eine interaktive Anforderung für ein Computerzertifikat ist möglich, wenn Sie den Assistenten-Assistenten des IIS-Zeverwenden und anfordern, was nun als Domänenzertifikat-Domänenzertifikat bezeichnet wird. Dies ist nur möglich, wenn die anforNende Maschine zur gleichen Domäne wie Enterprise CA gehört.
Gehen Sie folgendermaßen vor, um den IIS-Webserver auf dem VPN-Server installieren zu können:

1. Öffnen Sie Windows 2008. Server Administrator.
2. Klicken Sie im linken Bereich der Konsole auf die Registerkarte Rolle.

1. Klicken Sie auf das Menü Eine Rolle hinzufügen Auf der rechten Seite des rechten Panels.
2. Zhmem. Des Weiteren Auf der Seite Bevor du anfängst.
3. Setzen Sie ein Zeckern vor der Zeichenfolge Webserver (IIS) Auf der Seite Wählen Sie Server-Rollen aus. Zhmem. Des Weiteren.

1. Sie können die Informationen auf der Seite lesen. Webserver (IIS)Wenn Sie wünschen. Dies ist eine ziemlich nützliche allgemeine Informationen zur Verwendung von IIS 7 als Webserver, da wir jedoch den IIS-Webserver nicht auf dem VPN-Server verwenden, diese Informationen sind in unserer Situation nicht vollständig anwendbar. Zhmem. Des Weiteren.
2. Auf der Seite Rollenrolle auswählen Es werden bereits mehrere Optionen ausgewählt. Wenn Sie jedoch die Standardoptionen verwenden, können Sie den Zertifikatanfragen-Assistenten-Assistenten nicht verwenden. Zumindest war es, als ich das System getestet habe. Keine Service-Rolle für den Assistenten des Master-Zertifikatsanforderungs-Assistenten, also habe ich versucht, Zecken mit jeder Option zu setzen SicherheitUnd es scheint, funktionierte. Machen Sie dasselbe bei sich selbst und klicken Sie auf Des Weiteren.

1. Überprüfen Sie die Informationen auf der Seite Bestätigen Sie die Auswahl der Installationen und drücke einstellen.
2. Klicken Schließen Auf der Seite Installationsergebnisse..

Maschinenzertifikatanfrage für VPN-Server mit IIS-Zertifikatanfragen Wizard-Assistenten

Der nächste Schritt besteht darin, ein Zertifizierungszertifikat für einen VPN-Server anzufordern. Ein VPN-Server erfordert ein Machine-Zertifikat, um eine SSL-VPN-Verbindung mit einem SSL-VPN-Client-Computer zu erstellen. Der allgemeine Name des Zertifikats muss den Namen anpassen, den der VPN-Client zum Verbinden mit dem SSL-VPN-Gateway-Computer herstellt. Dies bedeutet, dass Sie einen öffentlichen DNS-Eintrag für den Namen in einem Zertifikat erstellen müssen, mit dem die externe IP-Adresse des VPN-Servers oder das IP-Adresse NAT-Gerät vor dem VPN-Server, der an die Verbindung zum SSL umgeleitet wird, ermöglicht wird VPN-Server.

Gehen Sie folgendermaßen vor, um das Zertifikat des Geräts an den SSL-VPN-Server abzufragen:

1. IM Server Administrator.Bereitstellen Sie die Registerkarte Rolle Im linken Bereich und dann die Registerkarte bereitstellen Webserver (IIS). Drücken Sie .

1. In der Konsole Internet Information Services (IIS) ManagerDas wird im linken Bereich rechts angezeigt, klicken Sie auf den Servernamen. In diesem Beispiel wird der Servername sein W2008RC0-Vpngw.. Klicken Sie auf das Symbol Serverzertifikate Im rechten Bereich der IIS-Konsole.

1. Klicken Sie im rechten Bereich der Konsole auf den Link Erstellen Sie ein Domänenzertifikat.

1. Geben Sie die Informationen auf der Seite ein Bestimmter Eigenschaftenname. Das wichtigste Objekt hier wird sein Gemeinsamen Namen. Dies ist der Name, den VPN-Clients zum Verbinden mit dem VPN-Server verwenden werden. Sie benötigen auch einen öffentlichen DNS-Eintrag für diesen Namen, um die externe VPN-Serveroberfläche oder die öffentliche Adresse des NAT-Geräts vor dem VPN-Server zu erkennen. In diesem Beispiel verwenden wir den gewöhnlichen Namen sstp.msfirewall.org.. Später erstellen wir einen Datei-Hosts-Datensatz auf einem Client-VPN-Computer, damit er diesen Namen erkennen kann. Zhmem. Des Weiteren.

1. Auf der Pitch-Seite Wählen. Im Dialogfeld Quellzertifikate auswählen.Klicken Sie auf den Namen Enterprise CA und klicken Sie auf OK.. Wir geben einen freundlichen Namen in die Zeichenfolge ein Freundlicher Name. In diesem Beispiel haben wir den Namen benutzt Sstp cert.Zu wissen, dass es für das SSTP-VPN-Gateway verwendet wird.

1. Zhmem. Fertig Auf der Seite Interaktive Zertifikatequelle.

1. Der Assistent wird gestartet und dann verschwinden. Danach sehen Sie, wie das Zertifikat in der IIS-Konsole angezeigt wird. Klicken Sie in einem Zertifikat auf zweimal und sehen Sie den Common-Name in der Sektion Für ernenanntUnd jetzt haben wir einen privaten Schlüssel, der dem Zertifikat entspricht. Zhmem. OK.So schließen Sie das Dialogfeld Zertifikat.

Wenn wir jetzt ein Zertifikat haben, können wir die Rolle der RARS-Serverrolle einstellen. Beachten Sie, dass es sehr wichtig ist zertifikat installieren. Bevor Sie die Rolle der RRAS-Serverrolle festlegen. Wenn Sie dies nicht tun, schaden Sie sich mit großen Kopfschmerzen, da Sie eine ziemlich komplizierte Routine von Befehlszeilen verwenden müssen, um ein Zertifikat mit dem SSL-VPN-Client zuzuordnen.

Installieren der RRAS-Server-Rollenrolle auf einem VPN-Server

Um die Rollenrolle der RRAS-Server zu installieren, müssen Sie die folgenden Schritte ausführen:

1. IM Server Administrator.Klicken Sie auf die Registerkarte Rolle Im linken Bereich der Konsole.
2. Im Bereich Allgemeine Rollen klicken Sie auf den Link Eine Rolle hinzufügen.
3. Klicken Des Weiteren Auf der Seite Bevor du anfängst.
4. Auf der Seite Wählen Sie Server-Rollen aus Setzen Sie das Kontrollkästchen vor die Zeichenfolge. Klicken Des Weiteren.

1. Lesen Sie die Informationen auf der Seite. Netzwerkrichtlinie und Zugangsdienst. Der größte Teil davon betrifft den Netzwerkrichtlinienserver (der zuvor als Internetauthentifizierungsserver bezeichnet wurde, und war im Wesentlichen ein RADIUS-Server) und ein Nickerchen, keines der Elemente gelten in unserem Fall. Drücken Sie Des Weiteren.
2. Auf der Seite Wählen Sie einen Rollenservice Setzen Sie ein Zeckern vor der Zeichenfolge Routing- und Remote-Zugriffsdienste. Infolgedessen werden Elemente ausgewählt Remote-Zugangsdienste. und Routing. Zhmem. Des Weiteren.

1. Zhmem. einstellen im Fenster Bestätigen Sie die ausgewählten Einstellungen.
2. Zhmem. Schließen Auf der Seite Installationsergebnisse..

Aktivierung des RRAS-Servers und seiner Konfiguration als VPN- und NAT-Server

Da die Rolle von RRAS installiert ist, müssen wir RRAS-Dienste aktivieren, sowie wir haben in früheren Windows-Versionen durchgeführt. Wir müssen den VPN-Server- und NAT-Diensten aktivieren. Mit der Aktivierung der VPN-Komponente des Servers ist alles klar, aber Sie können fragen, warum Sie den NAT-Server aktivieren müssen. Der Grund für die Aktivierung des NAT-Servers liegt in der Tatsache, dass externe Clients auf den Zertifikatserver zugreifen können, um eine Verbindung zum CRL herzustellen. Wenn der SSTP-VPN-Client CRL nicht laden kann, funktioniert die SSTP-VPN-Verbindung nicht.

Um den Zugriff auf CRL zu öffnen, konfigurieren wir den VPN-Server als NAT-Server und veröffentlichen eine CRL mit einem reversiblen NAT. In der Netzwerkumgebung von Unternehmen haben Sie höchstwahrscheinlich Firewalls, z. B. ISA-Firewall, vor dem Zertifizierungsserver, so dass Sie CRL mit Hilfe von Firewalls veröffentlichen können. In diesem Beispiel ist jedoch die einzige Firewall, die verwendet wird, die Windows-Firewall-Firewall auf dem VPN-Server, also müssen wir in diesem Beispiel den VPN-Server als Server-NAT konfigurieren.

Gehen Sie folgendermaßen vor, um RRAS-Dienste zu aktivieren:

1. IM Server Administrator. Erweitern Sie die Registerkarte Rolle Im linken Bereich der Konsole. Erweitern Sie die Registerkarte Netzwerkrichtlinie und Zugangsdienst Und klicken Sie auf die Registerkarte. Klicken Sie mit der rechten Maustaste auf die Registerkarte und klicken Sie auf Routing und Remote-Zugriff konfigurieren und aktivieren.

1. Klicken Des Weiteren im Fenster Willkommen auf dem Routing- und Remote Access-Server-Setup-Assistenten.
2. Auf der Seite Aufbau Wählen Sie die Option aus Zugriff auf virtuelle private Netzwerke und NAT und drücke Des Weiteren.

1. Auf der Seite VPN-Verbindung Wählen Sie in Abschnitt NIC aus Netzwerk Schnittstellenwas eine externe VPN-Server-Schnittstelle darstellt. Dann klick Des Weiteren.

1. Auf der Seite IP-Adressen zuordnen. Wählen Sie die Option aus Automatisch. Wir können diese Option auswählen, da wir über einen DHCP-Server auf dem Domänencontroller für den VPN-Server verfügen. Wenn Sie keinen DHCP-Server haben, müssen Sie die Option auswählen Von einer bestimmten Adressliste ausUnd fügen Sie dann eine Liste von Adressen hinzu, die VPN-Clients verwenden können, wenn Sie über ein VPN-Gateway mit dem Netzwerk verbunden sind. Zhmem. Des Weiteren.

1. Auf der Seite Verwalten von RAS-Zugriff auf mehrere Server Wählen Nein, Verwenden Sie Routing und Fernzugriff auf die Authentifizierung von Verbindungen. Wir verwenden diese Option, wenn NPS- oder Radiusserver nicht verfügbar sind. Da der VPN-Server ein Mitglied der Domäne ist, können Sie Benutzer mit den Domänenkonten authentifizieren. Wenn ein VPN-Server nicht in der Domäne enthalten ist, können nur lokale VPN-Serverkonten verwendet werden, es sei denn, Sie entscheiden, den NPS-Server zu verwenden. Ich werde in der Zukunft einen Artikel zur Verwendung des NPS-Servers schreiben. Zhmem. Des Weiteren.

1. Lesen Sie die allgemeinen Informationen auf der Seite. Abschluss des Assistenten-Routing- und RAS-Assistenten und drücke Fertig.
2. Klicken OK. Im Dialogfeld Routing und Remote-ZugriffDas sagt Ihnen, dass die Verteilung von DHCP-Nachrichten ein DHCP-Distributionsmittel erfordert.
3. Erweitern Sie in der linken Kantolplatte die Registerkarte Routing und Remote-Zugriff und klicken Sie dann auf die Registerkarte Häfen. Im mittleren Panel sehen Sie, dass WAN-Miniport-Verbindungen für SSTP jetzt verfügbar sind.

Festlegen des NAT-Servers, um CRL zu veröffentlichen

Wie bereits gesagt, sollte der SSL-VPN-Client CRL hochladen können, um zu bestätigen, dass das Serverzertifikat auf dem VPN-Server nicht beschädigt wurde oder abgerufen wurde. Konfigurieren Sie dazu das Gerät vor dem Zertifizierungsserver, um HTTP CRL-Standortanfragen an den Zertifizierungsserver zu senden.

Wie erfahren Sie, auf welche URL einen SSL-VPN an den Client anschließen muss, um CRL herunterzuladen? Diese Informationen sind im Zertifikat selbst enthalten. Wenn Sie zum ersten Mal zum VPN-Server gehen und in der IIS-Konsole auf das Zertifikat in der IIS-Konsole doppelklicken, finden Sie diese Informationen.

Klicken Sie auf die Schaltfläche Einzelheiten auf dem Zertifikat und Blatt zum Schreiben CRL-DistributionspunkteKlicken Sie dann auf diesen Datensatz. Das untere Panel zeigt die verschiedenen Verteilerpunkte, die auf dem Protokoll basieren, das verwendet wird, um Zugriff auf diese Punkte zu erhalten. Das in Abbildung dargestellte Zertifikat zeigt, dass wir den Zugriff auf den SSL-VPN-Client an CRL über die URL öffnen müssen:

http://win2008rc0-dc.msfirewall.org/certenroll/win2008rc0-dc.msfirewall.org.crl.

Deshalb müssen Sie öffentliche DNS-Einträge für diesen Namen erstellen, damit externe VPN-Clients diesen Namen an die IP-Adresse oder das Gerät anziehen können, die einen reversiblen NAT- oder Reversible-Proxy ausführen, um auf die Zugriff auf die Zertifizierungsserver-Website zuzugreifen. In diesem Beispiel müssen wir binden win2008rc0-dc.msfirewall.org. Mit IP-Adresse auf der externen VPN-Serverschnittstelle. Wenn die Verbindung die externe Schnittstelle des VPN-Servers erreicht, leitet der VPN-Server die NAT-Verbindung zum Zertifizierungsserver um.

Wenn Sie eine erweiterte Firewall verwenden, z. B. ISA Firewall, können Sie CRL-Publishing-Sites sicherer erstellen, den Zugang öffnen. nur CRL, nicht an die gesamte Site. In diesem Artikel beschränken wir uns jedoch die Möglichkeit eines einfachen NAT-Geräts, so dass RRAS NAT erstellt.

Es ist zu beachten, dass die Verwendung der Standard-CRL-Site weniger sicher sein kann, da er den privaten Computernamen im Internet offenbart. Sie können einen benutzerdefinierten CDP (CRL-Distributionspunkt) erstellen, um dies zu vermeiden, wenn Sie der Meinung sind, dass die Offenlegung des privaten Namen Ihrer CA im öffentlichen DNS-Datensatz eine Sicherheitsbedrohung erstellt.

Gehen Sie folgendermaßen vor, um HTTP-Anforderungen an den Zertifizierungsserver zu konfigurieren, um HTTP-Anforderungen an den Zertifizierungsserver zu senden:

1. Im linken Panel Server Administrator. Erweitern Sie die Registerkarte Routing und Remote-Zugriffund dann die Registerkarte bereitstellen IPv4.. Klicken Sie auf die Registerkarte Nat..
2. Auf der Registerkarte Nat. Klicken Sie auf die rechte Taste auf der externen Schnittstelle im mittleren Bereich der Konsole. In diesem Beispiel war der Name der externen Schnittstelle LAN-Verbindung.. Drücken Sie Eigenschaften.

1. Überprüfen Sie im Dialogfeld das nebenstehende Kästchen Webserver (http). Dies führt zu einem Dialogfeld. Service bearbeiten.. In einer Textzeichenfolge Privatadresse Geben Sie die IP-Adresse des Zertifizierungsservers in das interne Netzwerk ein. Klicken OK..

1. Klicken OK. Im Dialogfeld Local Area Connection-Eigenschaften.

Da der NAT-Server nun installiert und konfiguriert ist, können wir unsere Aufmerksamkeit auf das Einrichten des CA-Servers und des SSTP-VPN-Clients übertragen.

Fazit

In diesem Artikel haben wir weiterhin darüber gesprochen, den SSL-VPN-Server mit Windows Server 2008 zu konfigurieren. Wir haben uns die IIS-Installation auf dem VPN-Server, der Anforderung und Installation des Serverzertifikats, der Installation und Konfiguration der RRAS- und NAT-Dienste angenommen haben der VPN-Server. Im nächsten Artikel werden wir enden, um die Einstellung des CA-Servers und des SSTP-VPN-Clients zu berücksichtigen. Bis dann! Tom.

| Zur Liste der Publikationen

Gesicherter Remote-Zugriff über SSL VPN

Boris Borisenko, Experte

TECHNOLOGIE VPN hat als Mittel weit verbreitet gewonnen, die sichere Mitarbeiterzugriff auf ein lokales Netzwerk eines Unternehmens von einem physisch entfernten Punkt anbietet. SSL-basierte VPN-Netzwerke wurden als Hilfs- und Alternative Technologie für den Fernzugriff über IPSec VPN entwickelt. Die Kosten und Zuverlässigkeit der Organisation sicherer Kommunikationskanäle machten jedoch SSL VPN sehr attraktive Technologie. SSL-VPN-Hubs sind optional (im Vergleich zu herkömmlichen VPN-Geräten) Funktionen. Die meisten Firewalls bieten Publishing-Webanwendungen an das Internet über Ports, Rundfunknetzadressen (NAT) und Netzwerkrouting, aber kryptografischer Datenschutz nicht über dem von Anwendungen bereitgestellten Niveau. IPSec VPN-Benutzer können Kommunikation mit einem Unternehmensnetzwerk anhand von Analogie mit direkter Verbindung zum lokalen Netzwerk herstellen. In diesem Fall werden alle zwischen dem VPN-Server und dem Client übertragenen Daten verschlüsselt. Für die meisten VPN-Geräte erfordern jedoch ein spezielles Client-Programm. In SSL-VPN-Hubs wird der Browser verwendet, um nicht nur auf interne Websites, sondern auch Anwendungen und Dateiserver auf Remote-Mitarbeiter zuzugreifen. Betrachten Sie einige der interessantesten Lösungen für die Organisation von Remote-Zugriff über SSL VPN.

Zywall SSL 10.

Dies ist ein virtuelles privates Netzwerk-Gateway mit SSL-Verschlüsselungsunterstützung, mit dem Sie einen sicheren Remote-Zugriff auf Netzwerke und Anwendungen über eine VPN-Verbindung organisieren können, ohne den Client-Teil vorinstallieren zu können. Das Gerät wird für kleine und mittlere Geschäftsnetze angeboten.

Um eine Verbindung zum Internet oder DMZ herzustellen, gibt es eine WAN-Schnittstelle, einen Wechsel in vier LAN-Anschlüsse, der RS \u200b\u200b232 DB9-Anschluss ist die Steuerung durch die Konsole (in diesem Gerät gibt es weniger Möglichkeiten als in derselben Zywall 1050). ZyWall SSL 10 unterstützt nicht nur den direkten Zugriff auf Benutzerdatenbanken, sondern funktionieren auch mit Microsoft Active Directory, LDAP und Radius. Darüber hinaus ist es möglich, eine Zwei-Faktor-Authentifizierung (unter Verwendung des ZyWall OTP Brave) zu verwenden.

Der direkte Zugriff auf die Ressourcen des Corporate Network erfolgt von den SECUEXTENDER Remote-Benutzern von den Kundencomputern. Danach ist es mit der Erlaubnis der Administratoren auf bestimmte Kategorien von Benutzern leicht, Netzwerktunnel über IPSec zu organisieren. Administratoren können auch Sicherheitsrichtlinien für Benutzergruppen, Netzwerkadressen oder verschiedene Anwendungen konfigurieren.

Zywall SSL 10 unterstützt 10 simultane geschützte Sitzungen mit der Fähigkeit, auf 25 SSL-Sitzungen zu steigen. Im Netzwerk kann das Gerät entweder für das vorhandene Gateway (Abb. 2) oder als neues Gateway verwendet werden (Abb. 3). Im ersten Fall kann Zywall SSL 10 an den DMZ-Anschluss angeschlossen werden. In der zweiten ist ein Modem, und der Webserver ist zu ZyWall. Der Verkehr vom Webserver an den Remote-Benutzer übergibt den VPN-Tunnel.

Bei den unterstützten Optionen können Sie das TLS-Protokoll, die Verschlüsselung, die Zertifikate - 256-Bit-AES, Idee, RSA, Hash - MD5, SHA-1 erwähnen. Eine interessante Merkmale ist eine ziemlich große Auswahl an Düsen für den Netzstecker (für Steckdosen und Netzwerke).

Netgear ProSafe SSL VPN Konzentrator SSL312

Mit dem Gerät können Sie gleichzeitig mit einem Unternehmensnetzwerk auf 25 Remote-Kunden zusammenarbeiten. Die Verbindung erfolgt mit ActiveX-Komponenten, die direkt vom Gerät heruntergeladen und installiert werden können.

Der Client muss jedoch Zugriff auf die Administratorrechte haben, um die entsprechenden ActiveX-Komponenten zu installieren. Darüber hinaus müssen die Einstellungen im Browser installiert werden, die ActiveX-Komponenten ermöglichen. Möglicherweise müssen Sie auch Windows-Updates installieren. Die Hardware umfasst zwei LAN-Anschlüsse und einen seriellen Anschluss. Bei der Anmeldung in das System wird die Authentifizierungsoption ausgewählt: Benutzerdatenbank, Domain Windows NT, LDAP, Microsoft Active Directory, Radius (PAP, CHAP, MSCHAP, MSCAPV2). Bei dem Zugriff auf einen Remote-Server muss der letztere verfügbar sein und das Verkehrsrouting muss konfiguriert sein.

Wenn die Menge an DRAM-Speicher derselbe und netgear SSL312 ist, und bei Zywall SSL 10 ist der NetGear-Flash-Speicher eindeutig minderwertig (16 gegen 128 MB). Der Net-Getriebe SSL312-Prozessor verliert auch Zywall (200 gegen 266 mit einem kryptographischen Beschleuniger). Im Gegensatz zu Netgear SSL312 unterstützt ZyWall Version 2.0-SSL-Protokoll.

Es gibt zwei Optionen für die Verwendung des Geräts. Im ersten Fall verwendet NetGear SSL312 von zwei Ethernet-Ports nur einen. Das Gateway sollte auf NetGear SSL312 von HTTPS zugreifen. Eine andere Option verwenden wird beide Ethernet-Ports NetGear SSL312 verwendet, während der SSL-Traffic nicht durch die Firewall passiert. Ein Ethernet-Anschluss des Geräts wird eine offene IP-Adresse zugewiesen, und die zweite ist die IP-Adresse des Innenbereichs des internen Netzwerks. Es sei darauf hingewiesen, dass NetGear SSL312 die NAT- und ITU-Funktionen nicht durchführt und sie nicht ersetzt.

Um mit Netzwerkdiensten zu arbeiten, hat ein lokales lokales lokales Netzwerk zwei Optionen: Der VPN-Tunnel, der zwischen dem Benutzer und dem Gerät oder dem Portweiterleitung (Portweiterleitung) etabliert ist. Beide Methoden haben Vor- und Nachteile. Mit dem VPN-Tunnel können Sie eine vollwertige Verbindung mit einem Remote-lokalen Netzwerk organisieren, jedoch keine individuellen Einstellungen für jeden Dienst zulässt. Durch die Anschlussleitung können Sie nur mit TCP-Verbindungen arbeiten (UDP und andere IP-Protokolle werden nicht unterstützt), die Regeln für jede Anwendung werden separat eingestellt.
Dynamische DNS in Netgear SSL312 wird nicht unterstützt, was ebenfalls ein Nachteil ist.

SSL VPN Juniper Networks Secure Access 700

Eine Fernzugriffslösung mit SSL VPN ist auch für kleine und mittlere Unternehmen konzipiert. Die Schnittstelle als Benutzer und Administrator ist als Webbrowser organisiert. Die Installation eines VPN-Clients an einen Remote-Computer ist nicht erforderlich. Es gibt zwei RJ-45-Ethernet-Ports und einen seriellen Anschluss. JuniPer SA 700 prüft automatisch den Remote-Computer und weist abhängig von den Ergebnissen der installierten Software verschiedene Zugriffsrechte zu.

Es kann nicht mehr als 25 gleichzeitig funktionierende Benutzer aufrechterhalten werden. Unter der Authentifizierung und Autorisierung sind folgende Optionen: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, Zertifikatserver. Das Gerät bietet Zugriff auf Win-Dows / SMB, UNIX / NFS-Dateiressourcen, Webanwendungen, einschließlich JavaScript, XML, Flash; Die Steuerungen werden von Telnet- und SSH-Protokollen unterstützt. Der Zugang zu Unternehmens-E-Mails ist auf Basis eines regulären E-Mail-Clients organisiert, der auf eine sichere Verbindung über das SSL-Protokoll an JuniPer SA 700 konfiguriert ist. Dies erfordert jedoch die Lizenz "Core Clientless Web Access".

JuniPer SA 700 bietet automatische Überprüfungen eines Remote-Computers, wenn es Antivirensoftware, persönliche ITU, andere Programme installiert hat, die Sicherheit bieten. Alle Downloads von Proxy-Servern und temporären Dateien, die während der Sitzung erforderlich sind, werden nach Ende der Sitzung gelöscht.