Три дні і три ночі я довбати з SSL VPN шукаючи програмні безкліентние варіанти. І навіть знайшов якийсь прекрасний варіант Hypersocket, який позиціонує себе.

Але при читанні анотации на Sourceforge проклацувати пропозицію, з якого випливає що ФАУНДЕР не заганяти на рахунок того, щоб доступ надавався з браузера. Так що це SSL VPN працює на рівні додатку, але, на жаль, на базі свого клієнта, юзающего для роботи движок Java і грузящегося окремим віджетом, ініціалізувалися з'єднання. Але при уявній простоті, він працює не по клацанню і для настройки з'єднань доводиться повозитися, т.ч все основна перевага клієнта в тому, що він ломиться на 443 порт VPN сервера, т.ч може використовуватися всередині будь-якої вимученої інфраструктури, де адміни параноїки рубають всі вихідні порти.

Він є в зовсім халявної версії 1.1 що пропонуються на Sourceforge і комерційної версії 2.0.5 яку дають з офф.сайта у вигляді повнофункціональної тріалкі на 30 днів. І ось це питання мені не ясний абсолютно, оскільки цін на сайті я взагалі не знайшов. Тобто вони мабуть її викочують коли ти вже все налаштував і підключив, щоб ти відразу не відмовився від їхнього продукту.

Перед початком установки треба замислитися сервантом, бо вимог я не знайшов, але версія 1.1 їсть в дефолтной установці порядку 450Mb, т.ч я ніяк не міг зрозуміти, чому на дешманской впске за 200 рублів у мене постійно перевантажувався сервак при будь-яких змінах. При пам'яті в 1Gb все вже жило вкрай стабільно і без єдиного розриву. Друга версія їсть майже 600Mb оперативки.

Ставиться він елментарно, якщо не брати до уваги стандартних танців з Oracle Java. , Прописуємо всі потрібні шляхи, після чого вже або стягуємо халявний сервак від 2015 року:
# Wget https://sourceforge.net/projects/hypersocket-vpn/files/1.1.0-2269/hypersocket-vpn-gpl-linux-1.1.0-2269.rpm/download

або Регал на офф.сайте і получіваем у них hypersocket-one-linux-2.0.5-3110.rpm

Після чого інсталяем пакет
# Rpm -i hypersocket-one-linux-2.0.5-3110.rpm

Після цього або стартуємо першу версію пакету
service hypersocket start
і підключаємося до https: // IP: 443 c логіном admin: admin де відразу переходимо до роботи

або другу
hypersocket-one-console
або за адресою https: // IP: 443 довершує веб-установку, задаємо паролі системі і скармливаем попередньо скачаний ліцензійний файл

Після чого можна заходити всередину і налаштовувати доступи та інше. Друга версія, на мій погляд, спритніші й чуйна продумано першої.

Даний VPN Сервак, як я вже сказав, мені особливо не підходить, т.к передбачає наявність клієнта на стороні віддаленого користувача, але при цьому має купу всяких цікавих додаткових фіч, на кшталт доступу до файлів віртуальної файлової системи через яку можна достукатися до віндовий шарінгом, ftp вмісту, NFS томів, HTTP файлів і іншого; публікатор веб-сторінок для віддалених вебсервер; купу всяких фіч безпеки від PIN кодів до одноразових паролів; управління користувачами через м'язи, AS400, Google Business, LDAP.

В даний час існує два типи користувальницьких VPN:
SSL VPNі IPSec VPNі кожна з них має свої переваги і недоліки.

Основна перевага SSL VPN є простота його впровадження: всі браузери підтримують SSL, всі провайдери пропускають і не обмежують SSL.
Деякі види доступу через SSL VPN можна здійснити буквально будь-яким браузером і на будь-якій платформі.

IPSec VPN вважається більш безпечним протоколом.

SSL і TLS

Дуже часто в технічній літературі можна зустріти поняття SSL і TLS.

Обидва протоколу є cryptographic protocols, Що забезпечують безпечну передачу даних поверх інтернет (e-mail, web browsing, instant messaging).
Протоколи забезпечують confidentiality, integrity, authentication services.
SSL і TLS працюють на рівні Session Layerмоделі OSI або вище.
Протоколи можуть використовувати public key infrastructure (PKI)а також сертифікати для аутентифікації і передачі один одному симетричних ключів.
Також як і IPSec для шифрування даних вони використовують симетричні ключі.

Більшість безпечних передач на браузері виробляються через SSL або TLS.
Спочатку з'явився SSL, його розробила компанія Netscape.
TLS є подальшим розвитком SSL, а також стандартом, розробленим Internet Engineering Task Force (IETF).
Наприклад TLS 1.0 заснований на SSL3.0.
Що конкретно використовувати SSL або TLS вирішують самі браузери: кращий TLS але можливо переключення і на SSL.

Таким чином, важливо розуміти, що використовуючи термін SSL ми маємо на увазі SSL або TLS.
Наприклад Cisco SSL VPN реально використовує TLS.

операції SSL

Отже, SSL використовується в більшості онлайнових сервісах, які потребують безпеки.
Давайте розглянемо покроково, що відбувається коли клієнт підключається до банківського сервера, що використовує SSL:

• Клієнт инициализирует підключення до сервера на його IP адреса і порт 443. Як джерело використовується відповідно IP клієнта і порт вище ніж 1023
• Відбувається стандартний процес TCP підключення, який використовує three-way handshake
• Клієнт запращівает підключення по SSL і сервер відповідає висилаючи свій digital certificate, який містить public keyцього сервера.
• Отримавши сертифікат, клієнт повинен вирішити: довіряти цьому сертифікату чи ні.
  Тут починають працювати механізми PKI.
  Якщо digital certificate підписаний CA, якій клієнт довіряє + сертифікат валідний за датою + серійний номер сертифіката не числиться в certificate revocation list (CRL)- клієнт може довіряти сертифікату і використовувати public keyцього сертифіката.
• Клієнт генерує симетричний ключ shared secret, Який буде використовуватися для шифрування даних між клієнтом і сервером. Далі клієнт шифрує shared secretз використанням public keyі передає це сервера.
• Сервер, використовуючи свій private key, Розшифровує отриманий симетричний ключ shared secret.
• Обидві сторони тепер знають shared secretі можуть шифрувати SSL Session.

Типи SSL VPN

SSL VPN можна розділити на два види:

• Clientless SSL VPN- також називається Web VPN. Не вимагає установки клієнта. Обмежені можливості.
• Full Cisco AnyConnect Secure Mobility Client SSL VPN Client- повноцінний SSL клієнт, що вимагає установки на клієнта ПО, що забезпечує повноцінний доступ до корпоративної мережі

Налаштування SSL VPN

1. Копіюємо файл Anyconnect PKG.
   У нашому випадку це anyconnect-win-3.1.08009-k9.pkg
2. Вказуємо на файл pkg, і включаємо сервіс Webvpn Anyconnect service.
   

   webvpn anyconnect image disk0: /anyconnect-win-3.1.08009-k9.pkg 1 enable outside2 anyconnect enable

3. Виключаємо (exempt) трафік SSL WebVPN від перевірок на outside interface ACL. Нам потрібно або зробити в ACL правила permit, або використовувати команду:
   

   msk-asa-01 (config) # sysopt connection permit-vpn

4. Для зручності налаштуємо перенаправлення з 80 на 443:
   

   http redirect outside2 80

5. створимо IP address pool. Ці адреси будуть видаватися віддаленим користувачам.
   

   ip local pool vpnpool_pool 192.168.93.10-192.168.93.254 mask 255.255.255.0

6. створюємо NAT exemptionдля трафіку між LAN Networkі мережею vpnpool. Ми робимо цей виняток, оскільки зашифрований зв'язок не повинен проходити через NAT. Даний крок необхідний в разі якщо на ASA налаштований цей NAT.
   object network vpnpool_obj

   object network vpnpool_obj subnet 192.168.92.0 255.255.255.0 object-group network RFC1918_objg network-object 192.168.0.0 255.255.0.0 network-object 172.16.0.0 255.240.0.0 network-object 10.0.0.0 255.0.0.0 nat (inside, outside) source static RFC1918_objg RFC1918_objg destination static vpnpool_obj vpnpool_obj no-proxy-arp route-lookup

7. Створюємо Split-Tunnel ACL, дана настройка дозволить користувачам при підключенні по VPN одночасно користуватися інтернетом. Без цієї настройки в тунель буде завертатися весь трафік.
   

   access-list split-tunnel_acl standard permit 192.168.10.0 255.255.255.0

   Ця установка буде загортати в тунель тільки трафік в мережі тій же RFC1918.

8. створюємо Group Policy.
   Ми можемо створити кілька Group Policy, і в кожної налаштувати мережеві атрибути типу DNS server addresses, split-tunneling settings, default domain, протокол (SSL або IPSec) і т.д.

   group-policy anyconnect_gp internal group-policy anyconnect_gp attributes dns-server value 192.168.10.5 vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel_acl webvpn anyconnect keep-installer installed anyconnect dpd-interval client 20 anyconnect ask none default anyconnect

9. створимо Tunnel Group.
   Tunnel Group в інтерфейсі ASDM називається як Connection Profile.
   Tunnel Group повинна в себе включати тільки що нами налаштовану Group Policy і об'єднує її з IP address pool.
   Ми можемо створити кілька таких груп, а користувач при логін може вибрати для себе потрібну Tunnel Group з усіма потрібними характеристиками: успадковані параметри з Group Policy + address-pool

   tunnel-group vpn-users_tg type remote-access tunnel-group vpn-users_tg general-attributes address-pool vpnpool_pool default-group-policy anyconnect_gp tunnel-group vpn-users_tg webvpn-attributes group-alias vpn_users-alias enable webvpn tunnel-group- list enable

   Остання команда дозволяє користувачам вибирати для себе tunnel-group.
   Для користувачів дана група буде виглядати з ім'ям "vpn_users-alias"

Anyconnect вже має запрацювати, - можна заходити під адмінській учеткой.

Моніторинг SSL VPN

• ASDM: Monitoring> VPN> VPN Statistics> Sessions
• З CLI:
  

  vpn # show uauth Current Most Seen Authenticated Users 1 + 1 Authen In Progress 0 0 remote access VPN user "vpn_video_user1" at 192.168.92.25, authenticated access-list # ACSACL # -IP-video_dacl-54ddc357 (*)

  vpn # show access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list split-tunnel_acl; 1 elements; name hash: 0xb6fb0e access-list split-tunnel_acl line 1 standard permit 192.168.10.0 255.255.255.0 (hitcnt = 0) 0x13482529 access-list # ACSACL # -IP-video_dacl-54ddc357; 1 elements; name hash: 0x6c7d7b7f (dynamic) access-list # ACSACL # -IP-video_dacl-54ddc357 line 1 extended permit ip any4 host 192.168.10.45 (hitcnt = 0) 0x4ce5deb8

  Дивимося хто залягання

  show vpn-sessiond summary

  show vpn-sessiond anyconnect

  Викинути юзера з ВПН:

  vpn-sessiondb logoff name langemakj

VPN мережі увійшли в наше життя дуже серйозно, і я думаю, надовго. Дана технологія використовується як в організаціях для об'єднання офісів в єдину підмережу або для забезпечення доступу до внутрішньої інформації мобільних користувачів, так і вдома при виході в інтернет через провайдера. Можна з упевненістю сказати, що кожен з адміністраторів обов'язково займався налаштуванням VPN, як і кожен користувач комп'ютера з виходом в інтернет використовував дану технологію.

Фактично, зараз, дуже сильно поширена технологія IPSec VPN. Про неї написано багато різних статей як технічних, так і оглядово-аналітичних. Але порівняно недавно з'явилася технологія SSL VPN, яка зараз дуже популярна в західних компаніях, але в Росії на неї поки не звернули пильну увагу. У цій статті я постараюся описати, чим відрізняється IPSec VPN від SSL VPN і які переваги дає застосування SSL VPN в рамках організації.

IPSecVPN - його переваги та недоліки

В першу очер їдь хотілося б звернути увагу на визначення VPN, найбільш поширене - «VPN - це технологія, яка об'єднує довірені мережі, вузли і користувачів через відкриті мережі, яким немає довіри» (© Check Point Software Technologies).

І дійсно, в разі довірених вузлів застосування IPsec VPN - це найбільш економічний шлях. Наприклад, для з'єднання мереж віддалених офісів в єдину корпоративну мережу не потрібно прокладка або оренда виділених ліній, а використовується мережа Інтернет. В результаті побудови захищених тунелів між системами, що довіряють мережами утворюється єдине IP-простір.

А ось при організації віддаленого доступу співробітників IPsec-рішення використовуються для обмеженої кількості тільки довірених пристроїв, наприклад для ноутбуків корпоративних користувачів. Для застосування IPsec VPN ІТ-служба повинна встановити і налаштувати на кожне довірена пристрій (з якого потрібно забезпечити віддалений доступ) VPN-клієнт, і підтримувати роботу цього додатка. При інсталяції IPsec-рішень необхідно враховувати їх «приховану» вартість, пов'язану з підтримкою і супроводом, так як для кожного типу мобільного клієнта (ноутбук, PDA і ін.) І кожного типу мережного оточення (доступ через інтернет-провайдера, доступ з мережі компанії -клієнтів, доступ з використанням адресного трансляції) потрібно оригінальна конфігурація IPsec-клієнта.

Крім підтримки є кілька дуже важливих проблем:

• Чи не для всіх довірених мобільних пристроїв, що використовуються в компанії є VPN клієнти;
• У різних подсетях, з яких виробляється доступ (наприклад, корпоративна мережа партнера або замовника) необхідні порти можуть бути закриті і потрібне додаткове узгодження їх відкриття.

Таких проблем не виникає при використанні SSL VPN.

SSLVPN - алгоритм роботи користувача

Припустимо, ви перебуваєте у відрядженні, у вашій компанії вам не змогли надати на час відрядження ноутбук. Але вам необхідно:

• Під час вашої відсутності в офісі не випадати з робочого процесу;
• Передавати і отримувати електронну пошту;
• Використовувати дані з будь-яких бізнес систем, які функціоную у вашій компанії.

У вас під рукою в кращому випадку комп'ютер в мережі організації, куди ви приїхали у відрядження, з доступом в Інтернет тільки по протоколу http / https, в гіршому випадку - звичайне Інтернет-кафе у вашому готелі.

SSL VPN успішно вирішує всі ці завдання, причому рівень забезпечення безпеки буде достатнім, для роботи з критичною інформацією з Інтернет кафе ...
Фактично ви виконуєте наступні дії:

• Вам потрібен тільки Інтернет-оглядач (Internet Explorer, FireFox і т.п.);
• В Інтернет-браузері набираєте адресу SSL VPN пристрою;
• Далі автоматично скачується і запускається Java аплет або ActiveX компонент, який пропонує вам аутентифицироваться;
• Після аутентифікації автоматично застосовуються відповідні політики безпеки:
  • виконується перевірка на шкідливий код (у разі виявлення який блокується);
  • створюється замкнута середовище обробки інформації - всі дані (включаючи тимчасові файли), передані з внутрішньої мережі, після завершення сеансу будуть видалені з комп'ютера, з якого здійснювався доступ;
  • Також в процесі сеансу використовуються додаткові засоби захисту і контролю;
• Після успішного проходження процедур безпеки вам стають доступні всі необхідні посилання «в один клік мишкою»:
  • Доступ до файлових серверів з можливістю передачі файлів на сервер;
  • Доступ до Web-додатків компанії (наприклад, внутрішній портал, Outlook Web Access і т.п.);
  • Термінальний доступ (MS, Citrix);
  • Інструменти для адміністраторів (наприклад, ssh консоль);
  • І, звичайно, можливість повноцінного VPN через https протокол (без необхідності попередньої установки і настройки VPN клієнта) - конфігурація передається безпосередньо з офісу, відповідно до аутентифікаційних даними.

Таким чином, застосування SSL VPN вирішує кілька завдань:

• Значне спрощення процесу адміністрування та підтримки користувачів;
• Організація захищеного доступу до критичної інформації з недовірених вузлів;
• Можливість застосування на будь-яких мобільних пристроях, а так само на будь-яких комп'ютерах (включаючи інтернет кіоски) з виходом в Інтернет (без попередніх установок і налаштувань спеціального програмного забезпечення).

SSLVPN - виробники і можливості

На ринку SSL VPN домінують апаратні рішення. Серед постачальників рішень SSL VPN - всі відомі виробники активного мережного обладнання:

• Cisco
• Huawai
• Juniper
• Nokia
• І т.д.

Серед програмних реалізацій фахівці компанії «Алатус» виділяють рішення на базі SSL Explorerкомпанії 3SP Ltd, Яке найбільш точно відповідає вимогам замовників.

Так само хотілося б привести таблицю порівняння можливостей IPSec VPN і SSL VPN:

SSL VPN в Росії

На сьогоднішній день в Росії вже реалізовано досить велика кількість проектів, щодо впровадження в компаніях віддаленого доступу на базі технології SSL VPN. Але як уже говорилося раніше, поки дана технологія в Росії не набрала своєї популярності, в той час як виробники даних рішень повідомляють про дуже високий попит на них серед західних компаній.

У першій частині цієї серії статей, присвячених налаштування Windows Server 2008 в якості сервера SSL VPN, я розповідав про деякі факти історії серверів Microsoft VPN і VPN. Ми закінчили попередню статтю описом прикладу мережі, яку будемо використовувати в цій та наступних частинах серії з налаштування VPN шлюзу, підтримує SSTP з'єднання з клієнтами Vista SP1.

Перш ніж ми почнемо, повинен зізнатися, що знаю про наявність покрокового керівництва по створенню SSTP з'єднань для Windows Server 2008, яке знаходиться на www.microsoft.com веб-сайті. Мені здалося, що ця стаття не відображає реально існуюче оточення, яке використовується в організаціях для призначення сертифікатів. Саме тому, і з-за деяких проблемних моментів, які не були порушені в керівництві Microsoft, я вирішив написати цю статтю. Я вважаю, що ви дізнаєтеся трохи нового, якщо буде слідувати за мною в цій статті.

Я не збираюся розглядати всі кроки, починаючи з самих основ. Смію припустити, що ви встановили контролер домену і активували DHCP, DNS і Certificate Services ролі на цьому сервері. Тип сертифікації сервера повинен бути Enterprise, і ви маєте CA у вашій мережі. Сервер VPN повинен бути підключений до домену, перш ніж продовжувати виконувати наступні кроки. Перш ніж починати, потрібно встановити пакет оновлень SP1 для клієнта Vista.

Нам потрібно виконати наступні процедури для того, щоб наше рішення працювало:

• Встановити IIS на VPN сервер
• Запросити сертифікат машини для сервера VPN, використовуючи майстра запиту сертифікатів IIS Certificate Request Wizard
• Встановити роль RRAS на сервері VPN
• Активувати RRAS Server і налаштувати його на роботу в якості VPN і NAT сервера
• Налаштувати NAT сервер на публікацію CRL
• Налаштувати обліковий запис (User Account) на використання dial-up з'єднань
• Налаштувати IIS на Certificate Server, щоб дозволити HTTP з'єднання для директорії CRL
• Налаштувати HOSTS файл для VPN клієнта
• Використовувати PPTP для зв'язку з VPN сервером
• Отримати CA Certificate з Enterprise CA
• Налаштувати клієнта на використання SSTP і з'єднання з сервером VPN за допомогою SSTP

Установка IIS на VPN сервер

Можливо, вам здасться дивним, що ми починаємо саме з цієї процедури, так як я рекомендую ніколи не встановлювати вебсервер на пристрій безпеки мережі. Гарна новина полягає в тому, що нам не доведеться зберігати вебсервер на VPN сервері, він знадобиться нам лише на деякий час. Причина криється в тому, що реєстраційний сайт, включений в Windows Server 2008 Certificate Server, більш не є корисним для запиту сертифікатів комп'ютера. Насправді він взагалі не потрібен. Цікаво те, що якщо ви все ж вирішите використовувати реєстраційний сайт для отримання сертифікату комп'ютера, все буде виглядати так, немов сертифікат отримано і встановлено, проте насправді це не так, сертифікат не встановлено.

Для вирішення цієї проблеми ми скористаємося перевагою того, що використовуємо enterprise CA. При використанні Enterprise CA, можна надсилати запит на інтерактивний сервер сертифікації. Інтерактивний запит на отримання сертифіката комп'ютера можливий, коли ви використовуєте майстра IIS Certificate Request Wizard і запитуєте те, що тепер називається сертифікатом домену 'Domain Certificate'. Це можливо тільки в тому випадку, якщо Сторона, яка запитує машина належить тому ж домену, що і Enterprise CA.
Для установки ролі IIS Web server на сервері VPN виконайте наступні кроки:

1. Відкрийте Windows 2008 Server Manager.
2. У лівій панелі консолі клікніть на вкладці ролі.

1. Тиснемо в меню Додати роліз правого боку правій панелі.
2. тиснемо даліна сторінці Перш ніж почати.
3. Ставимо галочку навпроти рядка Web Server (IIS)на сторінці Вибрати ролі сервера. тиснемо далі.

1. Можете прочитати інформацію на сторінці Web Server (IIS), Якщо забажаєте. Це досить корисна загальна інформація про використання IIS 7 в якості веб-сервера, але оскільки ми не збираємося використовувати IIS вебсервер на VPN сервері, ця інформація не зовсім застосовна в нашій ситуації. тиснемо далі.
2. На сторінці Вибрати служби ролейкілька опцій вже обрані. Однак якщо ви використовуєте опції за замовчуванням, ви не зможете скористатися майстром Certificate Request Wizard. По крайней мере, так було, коли я тестував систему. Немає служби ролі для майстра Certificate Request Wizard, тому я намагався ставити галочки навпроти кожної опції Безпека, І, здається, спрацювало. Зробіть те ж саме у себе і натисніть далі.

1. Перегляньте інформацію на сторінці Підтвердити вибір установокі натисніть встановити.
2. натисніть Закритина сторінці результати установки.

Запит сертифіката машини (Machine Certificate) для VPN сервера за допомогою майстра IIS Certificate Request Wizard

Наступний крок - це запит сертифіката машини для VPN сервера. VPN серверу потрібна сертифікат машини для створення SSL VPN з'єднання з комп'ютером клієнта SSL VPN. Загальна назва сертифіката повинна відповідати імені, яке VPN клієнт буде використовувати для з'єднання з комп'ютером шлюзу SSL VPN. Це означає, що вам потрібно буде створити публічну DNS запис для імені на сертифікаті, який буде дозволяти зовнішній IP адреса VPN сервера, або IP адреса NAT пристрою перед VPN сервером, яке буде переадресовувати з'єднання на SSL VPN сервер.

Для запиту сертифікату машини на сервер SSL VPN виконайте наступні кроки:

1. В Server Manager, Розгорніть вкладку ролів лівій панелі, а потім розгорніть вкладку Web Server (IIS). Натисніть на .

1. В консолі Internet Information Services (IIS) Manager, Яка з'явиться праворуч в лівій панелі, натисніть на імені сервера. У цьому прикладі ім'я сервера буде W2008RC0-VPNGW. Натисніть на іконку сертифікати серверав правій панелі консолі IIS.

1. У правій панелі консолі тиснемо на посилання Створити сертифікат домену.

1. Введіть інформацію на сторінці Певні властивості імені. Найважливішим об'єктом тут буде Загальна ім'я. Це те ім'я, яке VPN клієнти будуть використовувати для з'єднання з VPN сервером. Вам також знадобиться публічна DNS запис для цього імені з тим, щоб розпізнавати зовнішній інтерфейс VPN сервера, або публічний адресу NAT пристрою перед VPN сервером. У цьому прикладі ми використовуємо загальне ім'я sstp.msfirewall.org. Пізніше ми створимо записи HOSTS файлу на комп'ютері VPN клієнта, щоб він міг розпізнавати це ім'я. тиснемо далі.

1. На сторінці тиснемо кнопку вибрати. У діалоговому вікні Вибрати джерело сертифікатів, Тиснемо на імені Enterprise CA і натискаємо OK. Вводимо дружнє ім'я в рядку Friendly name. У цьому прикладі ми використовували ім'я SSTP Cert, Щоб знати, що воно використовується для шлюзу SSTP VPN.

1. тиснемо закінчитина сторінці Інтерактивний джерело сертифікатів.

1. Майстер буде запущений, а потім зникне. Після цього ви побачите, як з'явиться сертифікат в консолі IIS. Кликнемо двічі на сертифікаті і побачимо загальне ім'я в секції призначено для, І тепер у нас є приватний ключ, відповідний сертифікату. тиснемо OK, Щоб закрити діалогове вікно сертифікат.

Тепер, коли у нас є сертифікат, ми можемо встановити роль RRAS Server Role. Зверніть увагу на те, що дуже важливо встановити сертифікатдо того, як встановлювати роль RRAS Server Role. Якщо ви цього не зробите, ви наживете собі великі головні болі, оскільки вам доведеться використовувати досить складну рутину командних рядків, щоб зв'язати сертифікат з клієнтом SSL VPN.

Установка ролі RRAS Server Role на VPN сервері

Для установки ролі RRAS Server Role потрібно виконати наступні кроки:

1. В Server Manager, Натисніть на вкладку ролів лівій панелі консолі.
2. У секції Загальні відомості ролейнатисніть на посилання Додати ролі.
3. натисніть даліна сторінці Перш ніж почати.
4. На сторінці Вибрати ролі серверапоставте галочку навпроти рядка. натисніть далі.

1. Прочитайте інформацію на сторінці Політика мережі і служби доступу. Більша її частина стосується Network Policy Server (який раніше називався Internet Authentication Server і по суті був RADIUS сервером) і NAP, жоден з елементів не застосуємо в нашому випадку. натискаємо далі.
2. На сторінці Вибрати служби роліставимо галочку навпроти рядка Маршрутизація і служби віддаленого доступу. В результаті цього будуть обрані пункти Служби віддаленого доступуі маршрутизація. тиснемо далі.

1. тиснемо встановитиу вікні Підтвердити вибрані установки.
2. тиснемо Закритина сторінці результати установки.

Активація RRAS Server і його налаштування в якості VPN і NAT сервера

Тепер, коли роль RRAS встановлена, нам потрібно активувати сервіси RRAS, також як ми робили це в попередніх версіях Windows. Нам потрібно активувати функцію VPN сервера і сервіси NAT. З активацією компонента VPN сервера все зрозуміло, але ви можете поцікавитися, навіщо потрібно активувати NAT сервер. Причина активації сервера NAT криється в тому, що зовнішні клієнти можуть отримувати доступ до сервера сертифікації (Certificate Server), щоб з'єднуватися з CRL. Якщо клієнт SSTP VPN не зможе завантажити CRL, SSTP VPN з'єднання працювати не буде.

Для того, щоб відкрити доступ до CRL, ми налаштуємо VPN сервер в якості NAT сервера і опублікуємо CRL, використовуючи оборотний NAT. У мережевому оточенні компаній у вас, швидше за все, будуть брандмауери, наприклад ISA Firewall, перед сервером сертифікації, тому ви зможете публікувати CRL за допомогою брандмауерів. Однак в цьому прикладі єдиний брандмауер, яким будемо користуватися, це брандмауер Windows Firewall на сервері VPN, тому в цьому прикладі нам потрібно налаштувати VPN сервер в якості NAT сервера.

Для активації сервісів RRAS виконайте наступні кроки:

1. В Server Managerрозгорніть вкладку ролів лівій панелі консолі. розгорніть вкладку Політика мережі і Служби доступуі клікніть по вкладці. Правою клавішею клікніть по вкладці і натисніть Налаштувати і активувати маршрутизацію і віддалений доступ.

1. натисніть даліу вікні Welcome to the Routing and Remote Access Server Setup Wizard.
2. На сторінці конфігураціявиберіть опцію Доступ до віртуальних приватних мереж і NATі натисніть далі.

1. На сторінці VPN з'єднаннявиберіть NIC в секції інтерфейси мережі, Яка представляє зовнішній інтерфейс VPN сервера. потім натисніть далі.

1. На сторінці Призначення IP адресвиберіть опцію автоматично. Ми можемо вибрати цю опцію, тому що у нас встановлений DHCP сервер на контролері домену за VPN сервером. Якщо у вас немає DHCP сервера, тоді вам потрібно буде вибрати опцію З певного списку адрес, А потім внести список адрес, які VPN клієнти зможуть використовувати при підключенні до мережі через шлюз VPN. тиснемо далі.

1. На сторінці Управління віддаленим доступом декількох серверіввибираємо Ні, використовувати маршрутизацію та віддалений доступ для аутентифікації запитів з'єднання. Цю опцію ми використовуємо, коли недоступні NPS або RADIUS сервери. Оскільки VPN сервер є членом домена, можна аутентифицировать користувачів, використовуючи облікові записи домену. Якщо VPN сервер не входить в домен, тоді тільки локальні облікові записи VPN сервера можна використовувати, якщо тільки ви не вирішите використовувати NPS сервер. Я напишу статтю про використання NPS сервера в майбутньому. тиснемо далі.

1. Прочитайте загальну інформацію на сторінці Завершення роботи майстра настройки маршрутизації і віддаленого доступуі натисніть закінчити.
2. натисніть OKв діалоговому вікні Маршрутизація та віддалений доступ, Яке говорить вам про те, що розподіл DHCP повідомлень вимагає агента розподілу DHCP.
3. У лівій панелі консолі розгорніть вкладку Маршрутизація та віддалений доступі потім натисніть на вкладці порти. У середній панелі ви побачите, що WAN Miniport з'єднання для SSTP тепер доступні.

Налаштування NAT сервера для публікації CRL

Як я говорив раніше, клієнт SSL VPN повинен мати можливість завантажувати CRL для підтвердження того, що сертифікат сервера на сервері VPN не пошкоджено або відкликаний. Для цього потрібно налаштувати пристрій перед сервером сертифікації для направлення HTTP запитів про розташування CRL на Сервер сертифікації.

Як дізнатися, до якого URL потрібно підключитися SSL VPN клієнта, щоб завантажити CRL? Ця інформація міститься в самому сертифікаті. Якщо ви знову перейдете на VPN сервер і двічі клікніть на сертифікаті в IIS консолі, як робили раніше, ви зможете знайти цю інформацію.

Тиснемо на кнопку деталіна сертифікаті і перегортаємо вниз до запису Точки розподілу CRL, Потім тиснемо на цю запис. У нижній панелі показані різні точки розподілу, засновані на протоколі, використовуваному для отримання доступу до цих крапок. У сертифікаті, показаному на малюнку нижче, видно, що нам потрібно відкрити доступ клієнту SSL VPN до CRL через URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Саме тому потрібно створювати публічні записи DNS для цього імені, щоб зовнішні VPN клієнти змогли відносити це ім'я до IP адресою або пристрою, який буде виконувати оборотний NAT або оборотний proxy для отримання доступу до вебсайту сервера сертифікації. У цьому прикладі нам потрібно зв'язати win2008rc0-dc.msfirewall.orgз IP адресою на зовнішньому інтерфейсі VPN сервера. Коли з'єднання досягає зовнішнього інтерфейсу VPN сервера, VPN сервер перенаправляє NAT з'єднання на сервер сертифікації.

Якщо ви використовуєте розширений брандмауер, наприклад ISA Firewall, ви можете зробити публікацію CRL сайтів безпечнішою, відкриваючи доступ тількидо CRL, а не до всього сайту. Однак в цій статті ми обмежимо себе можливістю простого NAT пристрою, такого, яке забезпечує RRAS NAT.

Слід зазначити, що використання імені CRL сайту за замовчуванням може бути менш безпечною опцією, оскільки воно розкриває приватне ім'я комп'ютера в Інтернеті. Ви можете створювати для користувача CDP (CRL Distribution Point), щоб цього уникнути, якщо вважаєте, що розкриття приватного імені вашої CA в публічній DNS записи може мати небезпечні наслідки.

Для настройки RRAS NAT для направлення HTTP запитів на сервер сертифікації виконайте наступні кроки:

1. У лівій панелі Server Managerрозгорніть вкладку Маршрутизація та віддалений доступ, А потім розгорніть вкладку IPv4. Клацніть по вкладці NAT.
2. у вкладці NATклікніть правою клавішею на зовнішньому інтерфейсі в середній панелі консолі. В даному прикладі ім'я зовнішнього інтерфейсу було Local Area Connection. Натисніть на властивості.

1. У діалоговому вікні поставте галочку навпроти Web Server (HTTP). Це викличе діалогове вікно служба редагування. В текстовому рядку приватний адресавведіть IP адресу сервера сертифікації у внутрішній мережі. натисніть OK.

1. натисніть OKв діалоговому вікні Властивості Local Area Connection.

Тепер, коли NAT сервер встановлений і налаштований, ми можемо перенести нашу увагу на налаштування сервера CA і клієнта SSTP VPN.

висновок

У цій статті ми продовжили розмову про налаштування сервера SSL VPN, використовуючи Windows Server 2008. Ми розглянули установку IIS на VPN сервер, запит і установку сертифіката сервера, встановлення та налаштування сервісів RRAS і NAT на VPN сервері. У наступній статті ми закінчимо розглядати настройку CA сервера і SSTP VPN клієнта. До зустрічі! Том.

| До списку публікацій

Захищений віддалений доступ за допомогою SSL VPN

Борис Борисенко, експерт

ТЕХНОЛОГІЯ VPN набула широкого поширення як засіб, що забезпечує безпечний доступ співробітника до локальної мережі підприємства з деякою фізично віддаленої точки. Мережі VPN на основі SSL розроблялися як допоміжна і альтернативна технологія для віддаленого доступу за допомогою IPsec VPN. Однак вартість і надійність організації безпечних каналів зв'язку зробили SSL VPN вельми привабливою технологією. SSL VPN-концентратори мають у своєму розпорядженні додатковими (у порівнянні з традиційними VPN-пристроями) можливостями. Більшість міжмережевих екранів забезпечують публікацію Веб-додатків в Інтернет через порти, трансляцію мережевих адрес (NAT) і мережеву маршрутизацію, але не здійснюють криптографічний захист даних понад рівень, що забезпечується додатками. Користувачі IPsec VPN можуть встановити зв'язок з корпоративною мережею по аналогії з прямим підключенням до локальної мережі. При цьому шифруються всі дані, що передаються між VPN-сервером і клієнтом. Однак для більшості VPN пристроїв потрібна спеціальна клієнтська програма. В SSL VPN-концентратори браузер використовується для доступу віддалених співробітників не тільки до внутрішніх Веб-сайти, а й додатків і файлових серверів. Розглянемо деякі найбільш цікаві рішення по організації віддаленого доступу з використанням SSL VPN.

ZyWALL SSL 10

Це шлюз віртуальних приватних мереж з підтримкою SSL-шифрування, що дозволяє організувати безпечний віддалений доступ до мереж і додатків через VPN-з'єднання без попередньої установки клієнтської частини. Пристрій пропонується для мереж малого і середнього бізнесу.

Для підключення до Інтернету або DMZ передбачений WAN-інтерфейс, комутатор на чотири порти LAN, порт RS 232 DB9 - для управління через консоль (в даному пристрої надається менше можливостей, ніж в тому ж ZyWALL 1050). ZyWALL SSL 10 підтримує не тільки пряме звернення до внутрішньомережевих баз даних користувачів, а й роботу з Microsoft Active Directory, LDAP і RADIUS. Крім того, можливе використання двофакторної аутентифікації (за допомогою брів-ков ZyWALL OTP).

Прямий доступ до ресурсів корпоративної мережі забезпечується завантажуваних на комп'ютери віддалених користувачів клієнтом SecuExtender. Після цього з дозволу адміністраторів окремим категоріям користувачів можна буде легко організувати мережеві тунелі за допомогою IPsec. Також адміністратори можуть конфігурувати політики безпеки для груп користувачів, діапазонів мережевих адрес або різних додатків.

ZyWALL SSL 10 підтримує 10 одночасних захищених сесій з можливістю збільшення до 25 SSL-сесій. У мережі пристрій можна використовувати або за існуючим шлюзом (рис. 2), або в якості нового шлюзу (рис. 3). У першому випадку ZyWALL SSL 10 для підвищення безпеки можна підключити до порту DMZ. У другому -до модему, а Веб-сервер - до ZyWALL. Трафік від Веб-сервера до віддаленому користувачеві проходить через VPN-тунель.

Серед підтримуваних опцій можна згадати протокол TLS, шифрування, сертифікати - 256-бітний AES, IDEA, RSA, хешування - MD5, SHA-1. Цікавою особливістю є досить великий вибір насадок для вилки електроживлення (для будь-яких розеток і мереж).

Netgear ProSafe SSL VPN Concentrator SSL312

Пристрій дозволяє одночасно працювати з корпоративною мережею до 25 віддалених клієнтів. Поєднання виробляється за допомогою ActiveX-компонентів, які можуть бути завантажені і встановлені безпосередньо з пристрою.

Однак клієнт повинен мати доступ до системи з привілеями адміністратора для установки відповідних ActiveX-компонентів. Крім того, в браузері повинні бути встановлені настройки, що дозволяють використання компонентів ActiveX. Також може знадобитися установка оновлень Windows. Апаратне забезпечення включає два порти LAN і один серійний порт. При вході в систему вибирається варіант аутентифікації: база даних користувачів, домен Windows NT, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). При доступі через віддалений сервер останній повинен бути доступний і до нього повинна бути налаштована маршрутизація трафіку.

Якщо обсяг DRAM-пам'яті однаковий і у Netgear SSL312, і у ZyWALL SSL 10, то flash-пам'ять Netgear явно поступається (16 проти 128 Мб). Процесор Net-gear SSL312 також програє ZyWALL (200 проти 266 з криптографічним акселератором). На відміну від Netgear SSL312, ZyWALL підтримує версію 2.0 протоколу SSL.

Можливі два варіанти використання пристрою. У першому випадку з двох Ethernet-портів Netgear SSL312 використовується тільки один. Шлюз при цьому повинен здійснювати доступ до Netgear SSL312 по HTTPS. Інший варіант використання задіює обидва Ethernet-порту Netgear SSL312, при цьому SSL-трафік не проходить через міжмережевий екран. Одному Ethernet-порту пристрою призначається відкритий IP-адреса, а другого - закритий IP-адреса внутрішньої мережі. Слід зауважити, що Netgear SSL312 не виконує функції NAT і МСЕ і не замінює їх.

Для роботи з мережевими сервісами віддаленої локальної мережі передбачено два варіанти: VPN-тунель, який встановлюється між користувачем і пристроєм, або перенаправлення портів (Port Forwarding). Обидва способи мають переваги і недоліки. VPN-тунель дозволяє організувати повноцінну зв'язок з віддаленої локальною мережею, але при цьому не дозволяє виробляти окремих налаштувань для кожного сервісу. Перенаправлення портів дозволяє працювати тільки з TCP-соеди-нениями (UDP і інші IP-протоколи не підтримуються), правила для кожної програми задаються окремо.
Динамічний DNS в Netgear SSL312 не підтримується, що також є недоліком.

SSL VPN Juniper Networks Secure Access 700

Рішення для віддаленого доступу за допомогою SSL VPN також розроблено для малих і середніх компаній. Інтерфейс як користувача, так і адміністратора організований у вигляді Веб-браузера. Установка VPN-клієнта на віддалений комп'ютер не потрібно. Передбачені два порти RJ-45 Ethernet і один серійний порт. Juniper SA 700 автоматично перевіряє віддалений комп'ютер і, в залежності від результатів встановленого програмного забезпечення, привласнює різні права доступу.

Здатний підтримувати не більше 25 одночасно працюючих користувачів. Серед аутентифікації і авторизації можливі наступні варіанти: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, сервер сертифікатів. Пристроєм забезпечується доступ до файлових ресурсів Win-dows / SMB, Unix / NFS, Веб-додатків, в тому числі використовують JavaScript, XML, Flash; підтримуються звернення по протоколам Telnet і SSH. Доступ до корпоративної електронної пошти організовується на базі звичайного поштового клієнта, який налаштовується на безпечне підключення по протоколу SSL до Juniper SA 700. Однак для цього потрібна ліцензія "Core Clientless Web Access".

Juniper SA 700 передбачає автоматичну перевірку віддаленого комп'ютера, якщо на ньому встановлено антивірусне ПЗ, персональний МСЕ, інші програми, що забезпечують безпеку. Все завантаження проксі-сервера і тимчасові файли, необхідні під час сесії, видаляються після закінчення сеансу.