სამი დღისა და სამი ღამის განმავლობაში მე დავამატებ უახლეს უკლიენტო პროგრამულ ვარიანტებს SSL VPN-დან. და მე ვიცი, რა შესანიშნავი ვარიანტია Hypersocket, რომელსაც ის განიხილავს.

ასევე, Sourceforge-ზე ანოტაციის წაკითხვისას დააწკაპუნეთ წინადადებაზე, რაც ნიშნავს, რომ FOUNDER არ არის იძულებული დაუშვას წვდომა ბრაუზერიდან. ასე რომ, ეს SSL VPN მუშაობს როგორც დანამატი, მაგრამ, სამწუხაროდ, მისი კლიენტის საფუძველზე, რომელიც იყენებს Java ძრავას სამუშაოდ და იტვირთება იმავე ვიჯეტით, კავშირი ინიცირებულია. მიუხედავად აშკარა სიმარტივისა, ის მაშინვე არ მუშაობს და კავშირის დასაყენებლად მოგიწევთ დალაგება, რადგან კლიენტის მთავარი უპირატესობა ის არის, რომ ის ვერ ახერხებს VPN სერვერის 443 პორტში შეღწევას, ასე რომ, მას შეუძლია ჩაერთოს ნებისმიერი მსხვერპლის ინფრასტრუქტურის შუაგულში, ნება მიეცით პარანოიდულმა ადმინისტრატორებმა შეწყვიტონ ყველა გამომავალი პორტი.

ის გამოდის სრულიად უფასო ვერსიაში 1.1, რომელიც შეიძლება შემოწმდეს Sourceforge-ზე და კომერციულ ვერსიაში 2.0.5, რომელიც ხელმისაწვდომია ოფისიდან სრულად ფუნქციონალური საცდელი 30 დღის განმავლობაში. და კვების ღერძი ჩემთვის აბსოლუტურად გასაგები არ არის, მე არასოდეს ვიცოდი ფასები საიტზე. მაშინ შეიძლება სურნელი გაქრეს, თუ უკვე მოაწესრიგეთ და დააკავშირეთ ყველაფერი, რათა მაშინვე არ დაიღალოთ მათი პროდუქტით.

სანამ ინსტალაციას დაიწყებთ, თქვენ უნდა იზრუნოთ გვერდითა დაფაზე, რადგან ალბათ არ ვიცი, მაგრამ ვერსია 1.1 არის ნაგულისხმევი ინსტალაცია დაახლოებით 450 მბ, ასე რომ, ვერ ვხვდები, რატომ ვარ იაფი vpsk 200 რუბლზე. მუდმივად იცვლება ერვაკიდან რაიმე ცვლილების შემთხვევაში. 1 გბ მეხსიერებით, ყველაფერი მაინც ძალიან სტაბილურად და ერთი ავარიის გარეშე ცხოვრობდა. სხვა ვერსიას აქვს 600 მბ-მდე ოპერატიული მეხსიერება.

ეს ძალიან ძირითადი ნაბიჯია, ვიდრე Oracle Java-ს სტანდარტული ცეკვების გათვალისწინება. , ჩვენ ვწერთ ყველა საჭირო ნაბიჯს, რის შემდეგაც უკვე შეგვიძლია შევადგინოთ უფასო სერვერი 2015 წლიდან:
# Wget https://sourceforge.net/projects/hypersocket-vpn/files/1.1.0-2269/hypersocket-vpn-gpl-linux-1.1.0-2269.rpm/download

ან Regal ოფიციალურ ვებსაიტზე და მათგან ვიღებთ hypersocket-one-linux-2.0.5-3110.rpm

ამის შემდეგ ჩვენ ვამონტაჟებთ პაკეტს
# Rpm -i hypersocket-one-linux-2.0.5-3110.rpm

ამის შემდეგ ჩვენ ვიწყებთ პაკეტის პირველ ვერსიას
სერვისის ჰიპერსოკეტის დაწყება
და ჩვენ ვუკავშირდებით https: // IP: 443 შესვლის ადმინისტრატორით: admin და სასწრაფოდ მივდივართ სამსახურში

ან მეგობარი
ჰიპერსოკეტი-ერთი კონსოლი
ან მისამართზე https: // IP: 443 ასრულებს ვებ ინსტალაციას, აყენებს სისტემის პაროლებს და აწვდის ლიცენზიის ფაილს ჩამოტვირთვის წინ

ამის შემდეგ შეგიძლიათ შიგნით შეხვიდეთ და დააყენოთ წვდომა და სხვა რამ. მეორე ვერსია, ჩემი აზრით, ჯერ უცნაური და გააზრებულია.

დანიის VPN სერვერი, როგორც უკვე ვთქვი, არ არის განსაკუთრებით შესაფერისი ჩემთვის, რადგან ის გადასცემს კლიენტის იდენტურობას დისტანციური კლიენტის მხარეს და ამავე დროს, მას აქვს მთელი რიგი დამატებითი ფუნქციები, რომლებიც წვდომის საშუალებას იძლევა. ვირტუალური ფაილური სისტემის ფაილებზე როგორ შეგიძლიათ მიაღწიოთ Windows გაზიარებას? , ftp ნაცვლად, NFS ტომები, HTTP ფაილები და სხვა; ვებ გვერდების გამომცემელი დისტანციური ვებ სერვერებისთვის; უსაფრთხოების სხვადასხვა ფუნქციების თაიგული PIN კოდებიდან ერთჯერად პაროლებამდე; კლიენტების მართვა Myazi, AS400, Google Business, LDAP-ის საშუალებით.

ამჟამად არსებობს ორი ტიპის კომერციული VPN:
SSL VPNі IPSec VPNდა მათგან კანს აქვს თავისი დადებითი და ნაკლოვანებები.

SSL VPN-ის მთავარი უპირატესობა მისი განხორციელების სიმარტივეა: ყველა ბრაუზერი მხარს უჭერს SSL-ს, ყველა პროვაიდერი იძლევა საშუალებას და არ აკავშირებს SSL-ს.
SSL VPN-ის საშუალებით ყველა სახის წვდომა შეიძლება განხორციელდეს სიტყვასიტყვით ნებისმიერ ბრაუზერში და ნებისმიერ პლატფორმაზე.

IPSec VPN ითვლება უფრო უსაფრთხო პროტოკოლად.

SSL და TLS

ხშირად შესაძლებელია ტექნიკურ ლიტერატურაში SSL და TLS ცნებების გაგება.

წყენა ოქმში კრიპტოგრაფიული პროტოკოლებიმონაცემთა ინტერნეტით უსაფრთხო გადაცემის უზრუნველსაყოფად (ელ. ფოსტა, ვებ-გვერდების დათვალიერება, მყისიერი მესიჯინგი).
პროტოკოლები უზრუნველყოფენ კონფიდენციალურობას, მთლიანობას, ავთენტიფიკაციის სერვისებს.
SSL და TLS მუშაობს თანაბარ პირობებში სესიის ფენა OSI მოდელები ან უფრო მაღალი.
პროტოკოლები შეიძლება ვიკორიზირებული იყოს საჯარო გასაღების ინფრასტრუქტურა (PKI)ასევე სერთიფიკატები ავთენტიფიკაციისა და სიმეტრიული გასაღებების ერთმანეთისთვის გადაცემისთვის.
ისევე, როგორც IPSec, თქვენ იყენებთ სიმეტრიულ გასაღებებს მონაცემთა დაშიფვრისთვის.

ყველაზე უსაფრთხო ბრაუზერის გადარიცხვები ხდება SSL ან TLS საშუალებით.
როდესაც SSL პირველად გამოჩნდა, ის შეფერხდა Netscape-ის მიერ.
TLS არის SSL-ის შემდგომი განვითარება და ასევე სტანდარტი, რომელიც დაყოფილია ინტერნეტ ინჟინერიის სამუშაო ჯგუფი (IETF).
მაგალითად, TLS 1.0 დაფუძნებულია SSL3.0-ზე.
კონკრეტულად რა უნდა აირჩიოთ SSL ან TLS გამოსაყენებლად თავად ბრაუზერებში: მოკლე TLS ან გადართვა SSL-ზე.

აქედან გამომდინარე, მნიშვნელოვანია გვესმოდეს, რომ ტერმინი SSL გამოიყენება SSL ან TLS-თან ერთად.
მაგალითად, Cisco SSL VPN ნამდვილად არის vikory TLS.

SSL ოპერაციები

ასევე, SSL გამოიყენება უმეტეს ონლაინ სერვისებში, რომლებიც საჭიროებენ უსაფრთხოებას.
მოდით გადავხედოთ რა ხდება, როდესაც კლიენტი უკავშირდება საბანკო სერვერს, რომელიც იყენებს SSL-ს:

• კლიენტი იწყებს კავშირს სერვერთან მის IP მისამართზე და პორტზე 443. როგორც წესი, კლიენტის IP და პორტი 1023-ზე მაღალია.
• გამოიყენება სტანდარტული TCP კავშირის პროცესი, რაც არის სამმხრივი ხელის ჩამორთმევა
• კლიენტი ითხოვს კავშირს SSL-ის საშუალებით და სერვერი აძლევს საკუთარ ციფრულ სერთიფიკატს, რომელიც საჯარო გასაღებივისი სერვერი.
• სერთიფიკატის გაუქმების შემდეგ, კლიენტი უნდა ენდოს სერტიფიკატს.
  სწორედ აქ იწყებს მუშაობას PKI მექანიზმები.
  თუ ციფრულ სერთიფიკატს ხელს აწერს CA, რომელსაც კლიენტი ენდობა + სერტიფიკატი მოქმედებს თარიღით + სერტიფიკატის სერიული ნომერი არ შედის სერთიფიკატის გაუქმების სია (CRL)- კლიენტს შეუძლია ენდოს სერტიფიკატს და გამოიყენოს საავტორო უფლებები საჯარო გასაღებირომლის მოწმობა.
• კლიენტი ქმნის სიმეტრიულ გასაღებს გაზიარებული საიდუმლო, რომელიც გამოყენებული იქნება კლიენტსა და სერვერს შორის მონაცემების დასაშიფრად. შემდეგ კლიენტი შიფრავს გაზიარებული საიდუმლო s vicoristannyam საჯარო გასაღებიის გადასცემს სერვერის ინფორმაციას.
• სერვერი, vikorystyuchi მისი პირადი გასაღები, შიფრავს სიმეტრიულ გასაღებს გაზიარებული საიდუმლო.
• მხარეთა უკმაყოფილება უკვე ცნობილია გაზიარებული საიდუმლოშემიძლია SSL სესიის დაშიფვრა.

Tipi SSL VPN

SSL VPN შეიძლება დაიყოს ორ ტიპად:

• უკლიენტო SSL VPN- ასევე დაუძახა ვებ VPN. არ საჭიროებს კლიენტის ინსტალაციას. შესაძლებლობის შეზღუდვა.
• სრული Cisco AnyConnect Secure Mobility Client SSL VPN Client- სრულფასოვანი SSL კლიენტი, რომელიც მოითხოვს კლიენტზე პროგრამული უზრუნველყოფის ინსტალაციას, რაც უზრუნველყოფს კორპორატიულ ქსელში სრულ წვდომას

SSL VPN-ის დაყენება

1. Anyconnect PKG ფაილის კოპირება.
   ჩვენს ვიპადკას ეს აქვს anyconnect-win-3.1.08009-k9.pkg
2. მიუთითეთ pkg ფაილზე და ჩართეთ Webvpn Anyconnect სერვისი.
   

   webvpn anyconnect image disk0: /anyconnect-win-3.1.08009-k9.pkg 1 ჩართეთ გარეთ2 anyconnect ჩართეთ

3. ჩართეთ (გამორიცხული) SSL WebVPN ტრაფიკი შემოწმებისას გარე ინტერფეისი ACL. ჩვენ უნდა შევქმნათ ნებართვის წესები ACL-ში, ან გამოვიყენოთ ბრძანება:
   

   msk-asa-01 (კონფიგურაცია) # sysopt კავშირის ნებართვა-vpn

4. სიცხადისთვის, ჩვენ შეგვიძლია დავაყენოთ გადამისამართება 80-დან 443-მდე:
   

   http გადამისამართება გარეთ2 80

5. ხსნადი IP მისამართების აუზი. ეს მისამართები ხილული იქნება შორეული მოვაჭრეებისთვის.
   

   ip ლოკალური აუზი vpnpool_pool 192.168.93.10-192.168.93.254 ნიღაბი 255.255.255.0

6. ჩვენ ვქმნით NAT გათავისუფლებაშორის მოძრაობისთვის LAN ქსელიდა VPNpool ქსელი. სხვათა შორის, ბმულების დაშიფვრის ფრაგმენტები არ არის საჭირო NAT-ის გავლით. ეს ინფორმაცია საჭიროა ASA-ზე NAT ქსელების დაყენებისას.
   ობიექტის ქსელი vpnpool_obj

   ობიექტის ქსელი vpnpool_obj ქვექსელი 192.168.92.0 255.255.255.0 ობიექტი-ჯგუფი ქსელი RFC1918_objg ქსელი-ობიექტი 192.168.0.0 255.255.0.0 ქსელი-ობიექტი 172.16.002.250.02. 55 .0.0.0 nat (შიგნით, გარეთ) წყარო სტატიკური RFC1918_objg RFC1918_objg დანიშნულების ადგილი სტატიკური vpnpool_obj vpnpool_obj no-proxy-arp route-lookup

7. Split-Tunnel ACL-ის შექმნისას მოცემულია პარამეტრი, რომელიც საშუალებას აძლევს მომხმარებლებს მყისიერად შევიდნენ ინტერნეტში VPN-ით დაკავშირებისას. ამ კონფიგურაციის გარეშე, მთელი მოძრაობა გადამისამართდება გვირაბში.
   

   დაშვების სია split-tunnel_acl სტანდარტული ნებართვა 192.168.10.0 255.255.255.0

   ეს ინსტალაცია გადასცემს მხოლოდ ტრაფიკს გვირაბში იმავე RFC1918-ში.

8. ჩვენ ვქმნით ჯგუფის პოლიტიკა.
   ჩვენ შეგვიძლია შევქმნათ ჯგუფური პოლიტიკის ქსელი და ინდივიდუალურად დავაკონფიგურიროთ ქსელის ატრიბუტები, როგორიცაა DNS სერვერის მისამართები, გაყოფილი გვირაბის პარამეტრები, ნაგულისხმევი დომენი, პროტოკოლი (SSL ან IPSec) და ა.შ.

   group-policy anyconnect_gp შიდა ჯგუფის პოლიტიკა anyconnect_gp ატრიბუტები dns-server მნიშვნელობა 192.168.10.5 vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy tunnelspecified split-tunnel-network-vunnelnplista any. დაინსტალირებული anyconnect dpd-interval კლიენტი 20 anyconnect სთხოვეთ არცერთი ნაგულისხმევი anyconnect

9. ხსნადი გვირაბის ჯგუფი.
   გვირაბის ჯგუფს ASDM ინტერფეისში ჰქვია კავშირის პროფილი.
   გვირაბის ჯგუფი პასუხისმგებელია მხოლოდ ჩვენ მიერ კონფიგურირებული ჯგუფის პოლიტიკის და IP მისამართების აუზთან კავშირზე.
   ჩვენ შეგვიძლია შევქმნათ არაერთი ასეთი ჯგუფი და შესვლისას მომხმარებელს შეუძლია აირჩიოს საჭირო გვირაბის ჯგუფი ყველა საჭირო მახასიათებლით: შემცირებული პარამეტრები Group Policy + მისამართების ფონდიდან

   tunnel-group vpn-users_tg ტიპი დისტანციური წვდომის tunnel-group vpn-users_tg ზოგადი-ატრიბუტები მისამართი-პლუა vpnpool_pool ნაგულისხმევი-ჯგუფი-პოლიტიკა anyconnect_gp tunnel-group vpn-users_tg webvpn-ატრიბუტები group-users-alias-vpnaps სიის ჩართვა

   დარჩენილი ბრძანება საშუალებას აძლევს მომხმარებლებს აირჩიონ გვირაბის ჯგუფი საკუთარი თავისთვის.
   უცხოელებისთვის ჯგუფი ხილული იქნება სახელწოდებით "vpn_users-alias"

ნებისმიერი კავშირის მოთხოვნა უკვე შესაძლებელია - შეგიძლიათ შეხვიდეთ ადმინისტრატორის ანგარიშიდან.

SSL VPN მონიტორინგი

• ASDM: მონიტორინგი>VPN>VPN სტატისტიკა>სესიები
• 3 CLI:
  

  VPN # აჩვენე შენამჟამინდელი ყველაზე ნახული ავტორიზებული მომხმარებლები 1 + 1 ავტორიზაცია მიმდინარეობს 0 0 დისტანციური წვდომა VPN მომხმარებელი "vpn_video_user1" 192.168.92.25-ზე, ავტორიზებული წვდომის სია # ACSACL # -IP-video_dacl-54ddc357 (*)

  VPN # წვდომის სიის ჩვენებაწვდომის სიაში შენახული ACL ჟურნალის ნაკადები: სულ 0, უარყოფილი 0 (უარი-flow-max 4096) alert-interval 300 access-list split-tunnel_acl; 1 ელემენტი; სახელის ჰეში: 0xb6fb0e დაშვების სია split-tunnel_acl ხაზი 1 სტანდარტული ნებართვა 192.168.10.0 255.255.255.0 (hitcnt = 0) 0x13482529 დაშვების სია # ACSACL # -IP-57d_dcl3 1 ელემენტი; სახელის ჰეში: 0x6c7d7b7f (დინამიური) წვდომის სია # ACSACL # -IP-video_dacl-54ddc357 ხაზი 1 გაფართოებული ნებართვა ip any4 ჰოსტი 192.168.10.45 (hitcnt = 0) 0x4ce5deb8

  მაინტერესებს ვინ დაიჭირეს

  vpn-სესიის შეჯამების ჩვენება

  აჩვენე vpn-sessiond anyconnect

  ვიკინუტის მომხმარებელი VPN-ით:

  vpn-sessiondb გამოსვლის სახელი langemakj

VPN ბარიერები უფრო სერიოზულად შემოვიდა ჩვენს ცხოვრებაში და ვფიქრობ, სამუდამოდ. ეს ტექნოლოგია ვითარდება როგორც ორგანიზაციებში ოფისების ერთ ერთეულში გაერთიანების მიზნით, ან მობილური კლიენტებისთვის შიდა ინფორმაციაზე წვდომის უზრუნველსაყოფად, ასევე სახლში, პროვაიდერის საშუალებით ინტერნეტში წვდომისას. წარმატებით შეიძლება ითქვას, რომ ყველა ადმინისტრატორს უწევს საქმე VPN-ის დაყენებასთან, ისევე როგორც ყველა კომპიუტერი ინტერნეტით სარგებლობს ამ ტექნოლოგიაზე.

სინამდვილეში, IPSec VPN ტექნოლოგია ახლა მნიშვნელოვნად გაფართოვდა. მის შესახებ ბევრი სხვადასხვა სტატია დაიწერა, როგორც ტექნიკური, ასევე ანალიტიკური. თუმცა ცოტა ხნის წინ გამოჩნდა SSL VPN ტექნოლოგია, რომელიც უკვე ძალიან პოპულარულია უცხოურ კომპანიებში, მაგრამ რუსეთში მას ჯერ კიდევ არ მიუღია დიდი პატივისცემა. ამ სტატიაში შევეცდები აღვწერო, თუ როგორ განსხვავდება IPSec VPN SSL VPN-სგან და რა უპირატესობებს იძლევა SSL VPN-ის ინსტალაცია ორგანიზაციაში.

IPSecVPN - მისი დადებითი და უარყოფითი მხარეები

პირველი რაც პირველია მსურს გამოვხატო პატივისცემა VPN-ის მნიშვნელობის მიმართ, ფართო გაგებით - „VPN არის ტექნოლოგია, რომელიც აერთიანებს ნდობას ქსელებს, კვანძებსა და პარტნიორებს შორის არასანდო ქსელების მეშვეობით“ (© Check Point Software Technologies).

და ის მუშაობს, სანდო კვანძების რაოდენობის მიხედვით, IPsec VPN-ის გამოყენება ყველაზე ეკონომიური გზაა. მაგალითად, დისტანციური ოფისების ქსელის ერთ კორპორატიულ ქსელში დასაკავშირებლად, არ არის საჭირო ხედვის ხაზების გაყვანა ან დაქირავება, არამედ ინტერნეტ ქსელის გამოყენება. კავშირებზე დაყრდნობილ სისტემებს შორის გვირაბების გატაცების შედეგად იქმნება ერთი IP სივრცე.

თანამგზავრებზე დისტანციური წვდომის ორგანიზებისას, IPsec გადაწყვეტილებები გამოიყენება შეზღუდული რაოდენობის სანდო მოწყობილობებისთვის, მაგალითად, კორპორატიული კლიენტების ლეპტოპებისთვის. IPsec VPN-ის განსახორციელებლად, IT სერვისმა უნდა დააინსტალიროს და დააკონფიგურიროს სანდო მოწყობილობა მოწყობილობაზე (დისტანციური წვდომის უზრუნველსაყოფად) VPN კლიენტი და მხარი დაუჭიროს ამ აპლიკაციის მუშაობას. IPsec გადაწყვეტის ინსტალაციისას აუცილებელია გამოიყენოთ მისი „მიღებული“ ვერსია, რომელიც დაკავშირებულია მხარდაჭერასთან და მხარდაჭერასთან, როგორც კონკრეტული ტიპის მობილური კლიენტისთვის (ლეპტოპი, PDA და ა.შ.) და კონკრეტული ტიპის მოწყობილობა. სპეციფიკური (წვდომა მეშვეობით ინტერნეტ პროვაიდერი, წვდომა კომპანია-კლიენტის ქსელებიდან, წვდომა მისამართების სამაუწყებლო არხებით) საჭიროა IPsec კლიენტის ორიგინალური კონფიგურაცია.

დამხმარე კრემი მოიცავს უამრავ ძალიან მნიშვნელოვან პრობლემას:

• ეს არ არის ყველა სანდო მობილური მოწყობილობისთვის, რომელსაც კომპანია იყენებს როგორც VPN კლიენტებს;
• სხვადასხვა ქვექსელებისთვის, სადაც წვდომა შეზღუდულია (მაგალითად, პარტნიორის ან მოადგილის კორპორატიული ქსელი), შეიძლება დაიხუროს არასაჭირო პორტები და საჭირო გახდეს დამატებითი მხარდაჭერა მათ გასააქტიურებლად.

Vikoristan SSL VPN-ს ასეთი პრობლემები არ აქვს.

SSLVPN - რობოტული კორისტუვაჩის ალგორითმი

ვთქვათ, რომ ხართ დატვირთულ ადგილას, თქვენი კომპანია ვერ მოგცემთ ლეპტოპს ერთი საათის განმავლობაში. ალე გჭირდება:

• ოფისში ყოფნისას არ ჩაერიოთ სამუშაო პროცესში;
• გაგზავნეთ და მიიღეთ ელექტრონული ფოსტით;
• გაანალიზეთ მონაცემები ნებისმიერი ბიზნეს სისტემისგან, რომელიც ფუნქციონირებს თქვენს კომპანიაში.

თქვენს ხელთაა, უარეს შემთხვევაში, არის კომპიუტერი ორგანიზაციაში, სადაც მიხვედით სამსახურში, ინტერნეტში წვდომით მხოლოდ http / https პროტოკოლით, უარეს შემთხვევაში - ინტერნეტ კაფე თქვენს სასტუმროში.

SSL VPN წარმატებით უმკლავდება ყველა დავალებას და უსაფრთხოების დონე საკმარისი იქნება ინტერნეტ კაფედან კრიტიკულ ინფორმაციასთან მუშაობისთვის...
სინამდვილეში, თქვენ ასრულებთ მომავალ მოქმედებებს:

• გჭირდებათ მხოლოდ ინტერნეტ ბრაუზერი (Internet Explorer, FireFox და ა.შ.);
• ინტერნეტ ბრაუზერში აკრიფეთ მოწყობილობის SSL VPN მისამართი;
• შემდეგ Java აპლეტი ან ActiveX კომპონენტი, რომელიც მოგთხოვთ ავთენტიფიკაციას, ავტომატურად ჩამოიტვირთება და გაშვებულია;
• ავთენტიფიკაციის შემდეგ, უსაფრთხოების შემდეგი წესები ავტომატურად დაყენდება:
  • არასწორი კოდის შემოწმება დასრულებულია (ასეთის აღმოჩენის შემთხვევაში დაბლოკილია);
  • ინფორმაციის დამუშავების შუა ნაწილი დახურულია - შიდა ქსელებიდან გადაცემული ყველა მონაცემი (დროის ფაილების ჩათვლით) წაიშლება კომპიუტერიდან, საიდანაც წვდომა მიენიჭა სესიის დასრულების შემდეგ;
  • ასევე სესიის განმავლობაში შემუშავებულია დამატებითი დაცვისა და კონტროლის ფუნქციები;
• უსაფრთხოების პროცედურების წარმატებით დასრულების შემდეგ, ყველა საჭირო შეტყობინება თქვენთვის ხელმისაწვდომი გახდება „მაუსის ერთი დაწკაპუნებით“:
  • ფაილების სერვერებზე წვდომა ფაილების სერვერზე გადატანის შესაძლებლობით;
  • კომპანიის ვებ გაფართოებებზე წვდომა (მაგალითად, შიდა პორტალი, Outlook Web Access და ა.შ.);
  • ტერმინალზე წვდომა (MS, Citrix);
  • ინსტრუმენტები ადმინისტრატორებისთვის (მაგალითად, ssh კონსოლი);
  • და, რა თქმა უნდა, სრულფასოვანი VPN-ის შესაძლებლობა https პროტოკოლის საშუალებით (პირველ რიგში VPN კლიენტის ინსტალაციისა და კონფიგურაციის საჭიროების გარეშე) - კონფიგურაცია გადადის პირდაპირ ოფისიდან, მონაცემთა ავთენტიფიკაციის ჩათვლით.

ამრიგად, SSL VPN-ის დანერგვა მთავარი ამოცანაა:

• ეს ნიშნავს ადმინისტრირების პროცესის გამარტივებას და თანამშრომლების მხარდაჭერას;
• არასანდო კვანძებიდან კრიტიკულ ინფორმაციაზე უსაფრთხო წვდომის ორგანიზება;
• ინსტალაციის შესაძლებლობა ნებისმიერ მობილურ მოწყობილობაზე, ასევე ნებისმიერ კომპიუტერზე (ინტერნეტ კიოსკების ჩათვლით) ინტერნეტით (წინასწარი ინსტალაციისა და სპეციალური პროგრამული უზრუნველყოფის დაყენების გარეშე).

SSLVPN - ბრაუზერები და შესაძლებლობები

SSL VPN ბაზარზე დომინირებს ტექნიკის გადაწყვეტილებები. SSL VPN-ის უახლეს გადაწყვეტილებებს შორის - უსაფრთხოების აქტიური კონტროლის ყველა შემდეგი მაგალითი:

• Cisco
• Huawei
• ღვია
• Nokia
• მე და ა.შ.

პროგრამის განხორციელებებს შორის კომპანია Alatus ხედავს გადაწყვეტილებებს SSL Explorerკომპანიები შპს 3SP, რაც ყველაზე ზუსტად შეესაბამება დეპუტატების შეღავათებს.

ასე რომ, მინდა მოგცეთ ცხრილი IPSec VPN და SSL VPN შესაძლებლობების დონის შესახებ:

SSL VPN რუსეთში

დღეისათვის რუსეთში უკვე განხორციელდა უამრავი პროექტი SSL VPN ტექნოლოგიის საფუძველზე დისტანციური წვდომის განსახორციელებლად კომპანიებში. მაგრამ როგორც უკვე ითქვა, ამ ტექნოლოგიამ ჯერ კიდევ არ მოიპოვა პოპულარობა რუსეთში, რა დროსაც ამ გადაწყვეტილებების მწარმოებლები აცნობებენ მათზე ძალიან მაღალ მოთხოვნას განვითარებად კომპანიებს შორის.

ამ სტატიების სერიის პირველ ნაწილში, რომელიც ეძღვნება Windows Server 2008, როგორც SSL VPN სერვერის დაყენებას, გავიგე ფაქტები Microsoft VPN და VPN სერვერების ისტორიის შესახებ. ჩვენ დავასრულეთ პირველი სტატია იმ მაგალითის აღწერით, რომელსაც შევისწავლით სერიის ამ და შემდეგ ნაწილებში VPN კარიბჭის დაყენებით, რომელიც მხარს უჭერს SSTP კავშირებს Vista SP1 კლიენტებთან.

უპირველეს ყოვლისა, ვწუხვარ, რომ ვაღიარებ, რომ ვიცი დეფექტის არსებობის შესახებ SSTP კავშირების შექმნისას Windows Server 2008-ისთვის, რომელიც მდებარეობს www.microsoft.com ვებსაიტზე. მეჩვენება, რომ ეს სტატია ნამდვილად არ ასახავს იმ სიცხადეს, რასაც ორგანიზაციებში ეძებენ სერტიფიკატების აღიარებისთვის. სწორედ ამიტომ, და გარკვეული პრობლემური საკითხების გამო, რომლებიც არ იყო განხილული Microsoft-ის ვებსაიტზე, გადავწყვიტე დამეწერა ეს სტატია. ვაფასებ, რომ ცოტა ახალს სწავლობ, როცა მიყვები ამ მხრივ.

მე არ ვაპირებ ყველა დეტალს შევხედო, დაწყებული საფუძვლებიდან. მე ვივარაუდებ, რომ თქვენ დააინსტალირეთ დომენის კონტროლერი და გაააქტიურეთ DHCP, DNS და სერთიფიკატის სერვისების როლები თქვენს სერვერზე. სერვერის სერტიფიცირების ტიპი არის Enterprise და თქვენ გაქვთ CA თქვენს ქსელში. VPN სერვერი პასუხისმგებელია დომენთან დაკავშირებაზე, უპირველეს ყოვლისა, ყოველგვარი შეფერხების თავიდან ასაცილებლად. სანამ დაიწყებთ, თქვენ უნდა დააინსტალიროთ SP1 განახლების პაკეტი Vista კლიენტისთვის.

იმისათვის, რომ ჩვენი გადაწყვეტილება იმუშაოს, ჩვენ უნდა განვახორციელოთ შემდეგი პროცედურები:

• დააინსტალირეთ IIS VPN სერვერზე
• მოითხოვეთ მანქანის სერთიფიკატი VPN სერვერისთვის IIS Certificate Request Wizard-ის გამოყენებით.
• დააინსტალირეთ RRAS როლი VPN სერვერზე
• გაააქტიურეთ RRAS სერვერი და დააკონფიგურირეთ VPN და NAT სერვერზე მუშაობისთვის
• NAT სერვერის კონფიგურაცია CRL-ის გამოსაქვეყნებლად
• დააყენეთ მომხმარებლის ანგარიში თქვენს dial-up კავშირზე
• დააკონფიგურირეთ IIS სერტიფიკატის სერვერზე, რათა დაუშვას HTTP კავშირები CRL დირექტორიაში
• დააყენეთ HOSTS ფაილი VPN კლიენტისთვის
• Vikoristovati PPTP VPN სერვერთან კომუნიკაციისთვის
• მიიღეთ CA სერთიფიკატი Enterprise CA-სგან
• დააკონფიგურირეთ კლიენტი SSTP VPN-ისთვის და დაუკავშირდით VPN სერვერს დამატებითი SSTP-ისთვის

IIS-ის ინსტალაცია VPN სერვერზე

შეიძლება გაგიკვირდეთ, რომ სწორედ ამ პროცედურისგან ვიწყებთ, რადგან გირჩევთ არასოდეს დააინსტალიროთ ვებ სერვერი უსაფრთხოების მოწყობილობაზე. კარგი ამბავი ის არის, რომ ჩვენ ვერ შევძლებთ ვებ სერვერის შენახვას VPN სერვერზე, ის მხოლოდ კარგი საათის განმავლობაში დაგვჭირდება. მიზეზი ის არის, რომ Windows Server 2008 Certificate Server-ში შემავალი სარეგისტრაციო საიტი აღარ გამოდგება კომპიუტერის სერთიფიკატების შესანახად. ფაქტობრივად, ღვინო არ არის საჭირო. ასე რომ, თუ კომპიუტერის სერთიფიკატის მისაღებად მაინც ეყრდნობით სარეგისტრაციო საიტს, ყველაფერი ასე გამოიყურება: სერთიფიკატი ამოღებულია და დაინსტალირებულია, მაგრამ სინამდვილეში ასე არ არის, სერთიფიკატი არ არის დაინსტალირებული.

ამ პრობლემის გადასაჭრელად, ჩვენ სწრაფად ვიყენებთ იმ ფაქტს, რომ ვიყენებთ საწარმოს CA-ს. თუ აირჩევთ Enterprise CA-ს, შეგიძლიათ აიძულოთ მოთხოვნა ინტერაქტიული სერტიფიკატის სერვერზე. კომპიუტერის სერთიფიკატის მოპოვების ინტერაქტიული მოთხოვნა შესაძლებელია, თუ იყენებთ IIS Certificate Request Wizard-ს და მოითხოვთ იმას, რასაც ახლა „დომენის სერთიფიკატი“ ეწოდება. ეს შესაძლებელია მხოლოდ იმ შემთხვევაში, თუ მხარე, სადაც მანქანა იკვებება, ეკუთვნის იმავე დომენს, როგორც Enterprise CA.
VPN სერვერზე IIS ვებ სერვერის როლის დასაყენებლად, მიჰყევით ამ ნაბიჯებს:

1. განბლოკეთ Windows 2008 სერვერის მენეჯერი.
2. კონსოლის მარცხენა პანელში დააწკაპუნეთ ჩანართზე როლები.

1. მენიუზე ამოტვიფრული როლების დამატებამარჯვენა პანელის მარჯვენა მხრიდან.
2. ჭედური შორსგვერდზე პერშ ნიჟ დაწყება.
3. მწკრივის საპირისპიროდ დავდებთ ტკიპს ვებ სერვერი (IIS)გვერდზე აირჩიეთ სერვერის როლები. ჭედური შორს.

1. შეგიძლიათ წაიკითხოთ ინფორმაცია გვერდზე ვებ სერვერი (IIS), შენ მამხიარულებ. არსებობს რამდენიმე საინტერესო ინფორმაცია ვებ სერვერზე IIS 7-ის გამოყენების შესახებ, რადგან ჩვენ არ ვირჩევთ IIS ვებ სერვერის გამოყენებას VPN სერვერზე, ეს ინფორმაცია სრულებით არ არის აქტუალური ჩვენს სიტუაციაში. ჭედური შორს.
2. გვერდზე Vibrati როლური სერვისებირამდენიმე ვარიანტი უკვე შერჩეულია. თუმცა, თუ იყენებთ შემდეგ ვარიანტებს, ვერ შეძლებთ სწრაფად შეხვიდეთ სერტიფიკატის მოთხოვნის ოსტატზე. ყოველ შემთხვევაში, ასე მოხდა, როდესაც სისტემა გამოვცადე. არ არსებობს სერვისის როლი სერთიფიკატის მოთხოვნის ოსტატისთვის, ამიტომ მინდოდა მომემოწმებინა ველები კანის ოფციის გვერდით Უსაფრთხოება, ეტყობა ვიკითხე. იგივე აიღე შენგან და დააჭირე შორს.

1. გადახედეთ ინფორმაციას გვერდზე დაადასტურეთ პარამეტრების არჩევანიდა დააჭირეთ დაინსტალირება.
2. დაჭერა Მოკეტეგვერდზე ინსტალაციის შედეგები.

მოითხოვეთ მანქანის სერთიფიკატი VPN სერვერისთვის IIS Certificate Request Wizard-ის გამოყენებით

შემდეგი ნაბიჯი ითხოვს მანქანის სერთიფიკატს VPN სერვერისთვის. VPN სერვერი მოითხოვს მანქანის სერთიფიკატს SSL VPN კლიენტის კომპიუტერთან SSL VPN კავშირის შესაქმნელად. სერტიფიკატის სახელი პასუხისმგებელია იმ სახელზე, რომელსაც VPN კლიენტი გამოიყენებს კომპიუტერთან დასაკავშირებლად SSL VPN კარიბჭის მეშვეობით. ეს ნიშნავს, რომ თქვენ უნდა შექმნათ საჯარო DNS ჩანაწერი სახელისთვის სერტიფიკატზე, რომელიც საშუალებას მისცემს VPN სერვერის გარე IP მისამართს, ან NAT IP მისამართები იქნება დამაგრებული VPN სერვერის წინ, რომელიც გადასცემს კავშირს. SSL VPN სერვერზე.

აპარატის სერტიფიკატის SSL VPN სერვერზე ასატვირთად, შეასრულეთ შემდეგი ნაბიჯები:

1. IN სერვერის მენეჯერი, განათება ჩანართი როლებიმარცხენა პანელში და შემდეგ გააფართოვეთ ჩანართი ვებ სერვერი (IIS). Დააკლიკეთ .

1. კონსოლში ინტერნეტ საინფორმაციო სერვისების (IIS) მენეჯერი, მარცხენა პანელში მარჯვნივ რომ გამოჩნდეთ, დააწკაპუნეთ სერვერის სახელზე. რომლის აპლიკაციასაც ექნება სერვერის სახელი W2008RC0-VPNGW. დააწკაპუნეთ ხატულაზე სერვერის სერთიფიკატები IIS კონსოლის მარჯვენა პანელში.

1. კონსოლის მარჯვენა პანელზე ასოა ამოტვიფრული შექმენით დომენის სერთიფიკატი.

1. შეიყვანეთ ინფორმაცია გვერდზე სახელის ძალის სიმღერები. აქ ყველაზე მნიშვნელოვანი ობიექტი იქნება ზაგალნა იმია. მათ, ვინც არიან VPN კლიენტები, მოეთხოვებათ VPN სერვერთან დაკავშირება. თქვენ ასევე დაგჭირდებათ საჯარო DNS ჩანაწერი ამ მიზნით, რათა ამოიცნოთ VPN სერვერის გარე ინტერფეისი, ან VPN სერვერის წინ მიმაგრებული იქნება საჯარო NAT მისამართი. რომლის კონდახსაც ვიკორისტული სახელი აქვს sstp.msfirewall.org. მოგვიანებით, ჩვენ შევქმნით HOSTS ჩანაწერს ფაილისთვის VPN კლიენტის კომპიუტერზე, რათა მან შეძლოს მისი სახელის ამოცნობა. ჭედური შორს.

1. გვერდიდან ღილაკს მოვაჭედავთ ვიბრაცია. დიალოგურ ფანჯარაში აირჩიეთ მეტი სერთიფიკატი, რელიეფური სახელწოდებით Enterprise CA და დაჭერით კარგი. ზედიზედ შეიყვანეთ მეგობრული სახელები მეგობრული სახელი. რომლის სახელიც ვიკორიზებული იყო SSTP სერთიფიკატითქვენ უნდა იცოდეთ რა არის არასწორი SSTP VPN კარიბჭეში.

1. ჭედური დასრულებაგვერდზე სერთიფიკატების ინტერაქტიული საცავი.

1. ოსტატი უგულებელყოფილი იქნება, შემდეგ კი გაქრება. ამის შემდეგ ნახავთ, თუ როგორ გამოჩნდება სერთიფიკატი IIS კონსოლში. დააწკაპუნეთ ორზე სერთიფიკატზე და მეტი ინფორმაცია განყოფილებაში ენიჭება, ახლა კი გვაქვს სერტიფიკატის შესაბამისი პირადი გასაღები. ჭედური კარგი, დიალოგური ფანჯრის დასახურად სერტიფიკატი.

ახლა, თუ გვაქვს სერთიფიკატი, შეგვიძლია დავაყენოთ RRAS სერვერის როლი. პატივისცემა დაუბრუნეთ მათ, ვინც კიდევ უფრო მნიშვნელოვანია დააინსტალირეთ სერტიფიკატი RRAS სერვერის როლის დაყენებამდე. თუ ამას არ გააკეთებთ, თქვენ მოგიწევთ ბევრი თავის ტკივილი და თქვენ მოგიწევთ ბრძანების ხაზების რთული რუტინის გავლა, რათა დააკავშიროთ სერთიფიკატი SSL VPN კლიენტთან.

RRAS სერვერის როლის დაყენება VPN სერვერზე

RRAS სერვერის როლის დასაყენებლად, თქვენ უნდა შეიყვანოთ შემდეგი ნაბიჯები:

1. IN სერვერის მენეჯერი, დააწკაპუნეთ ჩანართზე როლებიკონსოლის მარცხენა პანელში.
2. განყოფილებაში როლების საიდუმლო სიადააჭირეთ პოსტს როლების დამატება.
3. დაჭერა შორსგვერდზე პერშ ნიჟ დაწყება.
4. გვერდზე აირჩიეთ სერვერის როლებიშეამოწმეთ ყუთი მწკრივის მოპირდაპირე მხარეს. დაჭერა შორს.

1. წაიკითხეთ ინფორმაცია გვერდზე უსაფრთხოების პოლიტიკა და წვდომის სერვისები. მისი უმეტესი ნაწილი შედგება ქსელის პოლიტიკის სერვერისგან (ადრე ეწოდებოდა ინტერნეტ ავთენტიფიკაციის სერვერს და ძირითადად RADIUS სერვერს) და NAP-ს, რომლებიც არ შედის ჩვენს სიაში. წნეხის ქვეშ შორს.
2. გვერდზე აირჩიეთ სერვისის როლებიდააყენეთ ტიკი მწკრივის საპირისპიროდ მარშრუტიზაციის და დისტანციური წვდომის სერვისები. შედეგად, ნივთები შეირჩევა დისტანციური წვდომის სერვისებიі მარშრუტიზაცია. ჭედური შორს.

1. ჭედური დაინსტალირებაფანჯარასთან დაადასტურეთ პარამეტრების არჩევანი.
2. ჭედური Მოკეტეგვერდზე ინსტალაციის შედეგები.

RRAS სერვერის გააქტიურება და მისი კონფიგურაცია VPN და NAT სერვერზე

ახლა, თუ RRAS როლი დაინსტალირებულია, ჩვენ უნდა გავააქტიუროთ RRAS სერვისები, ისევე როგორც Windows-ის წინა ვერსიებში. ჩვენ უნდა გავააქტიუროთ VPN სერვერი და NAT სერვისის ფუნქციები. VPN სერვერის კომპონენტის გააქტიურების შემდეგ, ყველაფერი ნათელია, მაგრამ შეიძლება მაინც დაგჭირდეთ NAT სერვერის გააქტიურება. NAT სერვერის ჩართვის მიზეზი არის ის, რომ გარე კლიენტებს შეუძლიათ უარი თქვან წვდომაზე სერტიფიკატის სერვერზე CRL-თან დასაკავშირებლად. თუ SSTP VPN კლიენტი ვერ მიიღებს CRL-ს, SSTP VPN კავშირი არ დამუშავდება.

CRL-ზე წვდომის დასაშვებად, ჩვენ ვაკონფიგურირებთ VPN სერვერს NAT სერვერის ბირთვში და ვაქვეყნებთ CRL-ს, რომელიც გამოიყენება NAT-ის შებრუნებისთვის. უმეტეს კომპანიებში, თქვენ ალბათ გექნებათ ფეიერვოლები, როგორიცაა ISA Firewall, სერტიფიკატის სერვერის წინ, ასე რომ თქვენ შეგიძლიათ გამოაქვეყნოთ CRL-ები ამ ფეიერვოლების უკან. თუმცა, რომელ აპლიკაციაში გამოვიყენებთ ერთადერთ ბუხარს, არის Windows Firewall VPN სერვერზე, რომელ აპლიკაციაში გვჭირდება VPN სერვერის კონფიგურაცია NAT სერვერზე.

RRAS სერვისების გასააქტიურებლად გამოიყენეთ შემდეგი ინსტრუქციები:

1. IN სერვერის მენეჯერიგანათება ჩანართი როლებიკონსოლის მარცხენა პანელში. განათება ჩანართი უსაფრთხოების პოლიტიკა და წვდომის სერვისებიდა დააჭირეთ წვლილს. დააწკაპუნეთ მარჯვენა ღილაკით ჩანართზე და დააჭირეთ დააყენეთ და გაააქტიურეთ მარშრუტიზაცია და დისტანციური წვდომა.

1. დაჭერა შორსფანჯარასთან კეთილი იყოს თქვენი მობრძანება მარშრუტიზაციის და დისტანციური წვდომის სერვერის დაყენების ოსტატში.
2. გვერდზე კონფიგურაციააირჩიეთ ვარიანტი წვდომა ვირტუალურ კერძო ქსელებზე და NAT-ზედა დააჭირეთ შორს.

1. გვერდზე VPN კავშირიაირჩიეთ NIC განყოფილებაში ქსელის ინტერფეისები, ეს წარმოადგენს VPN სერვერის გარე ინტერფეისს. შემდეგ დააჭირეთ შორს.

1. გვერდზე მინიჭებული IP მისამართიაირჩიეთ ვარიანტი ავტომატურად. ჩვენ შეგვიძლია ავირჩიოთ ეს პარამეტრი, რადგან ჩვენ დავაინსტალირეთ DHCP სერვერი დომენის კონტროლერზე VPN სერვერის უკან. თუ არ გაქვთ DHCP სერვერი, თქვენ უნდა აირჩიოთ ვარიანტი ზონგის სიის მისამართიდა შემდეგ შეიყვანეთ მისამართების სია, რომლებზეც VPN კლიენტებს შეუძლიათ წვდომა VPN კარიბჭესთან დაკავშირებისას. ჭედური შორს.

1. გვერდზე მრავალ სერვერზე დისტანციური წვდომის მართვააირჩიე არა, გამოიყენეთ მარშრუტიზაცია და დისტანციური წვდომა კავშირის მოთხოვნების ავთენტიფიკაციისთვის. ეს პარამეტრი გამორთულია, თუ NPS ან RADIUS სერვერები მიუწვდომელია. ვინაიდან VPN სერვერი არის დომენის წევრი, შესაძლებელია დომენის მომხმარებლების, გამარჯვებულების და დომენის ჩანაწერების ავთენტიფიკაცია. თუ VPN სერვერი არ არის დომენის ნაწილი, მაშინ შეიძლება დაირღვეს VPN სერვერის მხოლოდ ლოკალური ღრუბლოვანი ჩანაწერები, თუ არ აირჩევთ NPS სერვერის დარღვევას. მომავალში დავწერ სტატიას Wikoristan NPS სერვერის შესახებ. ჭედური შორს.

1. წაიკითხეთ დამალული ინფორმაცია გვერდზე დაასრულა მარშრუტიზაციისა და დისტანციური წვდომის კონფიგურაციის ოსტატიდა დააჭირეთ დასრულება.
2. დაჭერა კარგიდიალოგურ ფანჯარაში მარშრუტიზაცია და დისტანციური წვდომა, როგორ გითხრათ მათ შესახებ, ვინც გაუგზავნა DHCP განყოფილება DHCP განყოფილების აგენტს.
3. კონსოლის მარცხენა პანელში გახსენით ჩანართი მარშრუტიზაცია და დისტანციური წვდომადა შემდეგ დააწკაპუნეთ დეპოზიტზე გააფუჭებს. შუა პანელში ნახავთ, რომ WAN Miniport კავშირი SSTP-სთვის ახლა უკვე ხელმისაწვდომია.

NAT სერვერის დაყენება CRL-ის გამოსაქვეყნებლად

როგორც ადრე ვთქვი, SSL VPN კლიენტი პასუხისმგებელია CRL-ის მოპოვების შესაძლებლობაზე, რათა დაადასტუროს, რომ სერვერის სერტიფიკატი VPN სერვერზე არ არის დაზიანებული ან არასწორი. ამ მიზნით, თქვენ უნდა დააყენოთ მოწყობილობა სერტიფიკაციის სერვერის წინ, რათა გაგზავნოს HTTP მოთხოვნები CRL-ის გადანაწილებისთვის სერტიფიკატის სერვერზე.

როგორ იცით, რომელ URL-თან უნდა დაუკავშირდეს SSL VPN კლიენტი CRL-ის დასაცავად? ეს ინფორმაცია მოცემულია თავად სერთიფიკატში. თუ დაბრუნდებით VPN სერვერზე და დააწკაპუნეთ სერთიფიკატზე IIS კონსოლში, როგორც ეს გააკეთეთ ადრე, შეგიძლიათ იპოვოთ ეს ინფორმაცია.

ღილაკზე ამოტვიფრული დეტალებისერტიფიკატზე და გადადის ქვემოთ ჩანაწერამდე ქულების სია CRL, შემდეგ მას ამ ჩანაწერზე გავაფორმებთ. ქვედა პანელი აჩვენებს გაყოფის სხვადასხვა წერტილს, პროტოკოლის საფუძველზე, რომელიც გამოიყენება ამ ადგილებზე წვდომისთვის. ქვემოთ ნაჩვენები სერთიფიკატი აჩვენებს, რომ ჩვენ უნდა მივცეთ SSL VPN კლიენტის წვდომა CRL-ზე URL-ის მეშვეობით:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

თქვენ ასევე დაგჭირდებათ ამ სახელის საჯარო DNS ჩანაწერების შექმნა, რათა გარე VPN კლიენტებმა გადასცენ ის IP მისამართს ან მოწყობილობას, რომელიც გარდაქმნის საპირისპირო NAT-ს ან უკუ პროქსის, რათა უარყოს წვდომა სერტიფიკატის სერვერის ვებსაიტზე tsії. ვის განაცხადს უნდა დავუკავშირდეთ? win2008rc0-dc.msfirewall.org IP მისამართით VPN სერვერის გარე ინტერფეისზე. როდესაც კავშირი მიაღწევს VPN სერვერის გარე ინტერფეისს, VPN სერვერი გადამისამართებს NAT კავშირს სერტიფიკატის სერვერზე.

თუ იყენებთ firewall-ის გაფართოებებს, როგორიცაა ISA Firewall, შეგიძლიათ უსაფრთხოდ გამოაქვეყნოთ CRL-ები საიტებზე, ხოლო წვდომის ნებართვა მხოლოდ CRL-ზე და არა მთელ საიტზე. თუმცა, ამ მხრივ, ჩვენ შემოიფარგლება მარტივი NAT მოწყობილობის შესაძლებლობით, როგორიცაა RRAS NAT.

გთხოვთ გაითვალისწინოთ, რომ CRL სახელის გაზიარება საიტთან კულისებში შეიძლება ნაკლებად უსაფრთხო ვარიანტი იყოს, რადგან ის ავლენს თქვენი კომპიუტერის კონფიდენციალურობას ინტერნეტში. თქვენ შეგიძლიათ შექმნათ CDP (CRL Distribution Point) თქვენი მომხმარებლისთვის, რათა დარწმუნდეთ, რომ თქვენ უნიკალური ხართ, რადგან იცით, რომ თქვენი CA-ს პირადი სახელის გამჟღავნება საჯარო DNS ჩანაწერში შეიძლება ზიანი მიაყენოს.

RRAS NAT-ის კონფიგურაციისთვის HTTP მოთხოვნების სერტიფიკატის სერვერზე გადასატანად, შეასრულეთ შემდეგი ნაბიჯები:

1. მარცხენა პანელზე სერვერის მენეჯერიგანათება ჩანართი მარშრუტიზაცია და დისტანციური წვდომა, და შემდეგ გახსენით ჩანართი IPv4. დააწკაპუნეთ დეპოზიტზე NAT.
2. დეპოზიტზე NATდააწკაპუნეთ მარჯვენა ღილაკით გარე ინტერფეისზე კონსოლის შუა პანელზე. ამ აპლიკაციაში იყო გარე ინტერფეისი ლოკალური კავშირი. Დააკლიკეთ ძალა.

1. დიალოგურ ფანჯარაში მონიშნეთ საპირისპირო ველი ვებ სერვერი (HTTP). ეს არის დიალოგის ფანჯარა რედაქტირების სერვისი. ტექსტის რიგში პირადი მისამართებიშეიყვანეთ სერტიფიცირების სერვერის IP მისამართი შიდა ქსელში. დაჭერა კარგი.

1. დაჭერა კარგიდიალოგურ ფანჯარაში ხელისუფლების ადგილობრივი ტერიტორიის კავშირი.

ახლა, როდესაც NAT სერვერი დაინსტალირებული და კონფიგურირებულია, ჩვენ შეგვიძლია ყურადღება მივაქციოთ CA სერვერის კონფიგურაციას და SSTP VPN კლიენტს.

ვისნოვოკი

ამ სტატიაში გავაგრძელეთ როზმოვასთან SSL VPN სერვერის დაყენების შესახებ Windows Server 2008-ის გამოყენებით. ჩვენ განვიხილეთ VPN სერვერზე IIS-ის დაყენება, სერვერის სერტიფიკატის დაყენება, RRAS და NAT სერვისების ინსტალაცია და დაყენება VPN სერვერზე. ამ სტატიაში ჩვენ საბოლოოდ განვიხილავთ CA სერვერის და SSTP VPN კლიენტის დაყენებას. Მალე გნახავ! მოცულობა.

| პუბლიკაციების სიაში

დისტანციური წვდომის ქურდობა SSL VPN-ის საშუალებით

ბორის ბორისენკო, ექსპერტი

ტექნოლოგია VPN შეიქმნა ფართო სპექტრის გზებით, რაც უზრუნველყოფს ქსელის პროვაიდერს უსაფრთხო წვდომას ადგილობრივ ქსელში ფიზიკურად დისტანციური წერტილიდან. SSL-ზე დაფუძნებული VPN სერვისები შემუშავებულია, როგორც დამატებითი და ალტერნატიული ტექნოლოგია IPsec VPN-ის მიღმა დისტანციური წვდომისთვის. თუმცა, უსაფრთხო საკომუნიკაციო არხების ორგანიზების მოქნილობა და საიმედოობა განაპირობებს SSL VPN-ს, როგორც ძალიან მიმზიდველ ტექნოლოგიას. SSL VPN კონცენტრატორებს აქვთ საკუთარი მოწინავე შესაძლებლობები (ტრადიციულ VPN მოწყობილობებთან შედარებით). სასაზღვრო ეკრანების უმეტესობა უზრუნველყოფს ინტერნეტში ვებ-დანამატების გამოქვეყნებას პორტების, ქსელის მისამართის თარგმნისა (NAT) და საზღვრების მარშრუტის მეშვეობით, ვიდრე მონაცემთა კრიპტოგრაფიული დაცვა ინტერნეტში, რაც უზრუნველყოფს დამატებითი დანამატების არსებობას. IPsec VPN პროვაიდერებს შეუძლიათ დაამყარონ კავშირი კორპორატიულ ქსელთან ისევე, როგორც პირდაპირი კავშირები ადგილობრივ ქსელთან. ამ შემთხვევაში, VPN სერვერსა და კლიენტს შორის გადაცემული ყველა მონაცემი დაშიფრულია. ამასთან, VPN მოწყობილობების უმეტესობას სჭირდება სპეციალური კლიენტის პროგრამა. SSL VPN კონცენტრატორებში ბრაუზერი გამოიყენება დისტანციურ ბრაუზერებს წვდომისათვის არა მხოლოდ შიდა ვებსაიტებზე, არამედ დანამატებსა და ფაილურ სერვერებზე. მოდით გადავხედოთ SSL VPN ქსელებზე დისტანციური წვდომის ორგანიზების ყველაზე გავრცელებულ გადაწყვეტილებებს.

ZyWALL SSL 10

ეს არის ვირტუალური კერძო ქსელების კარიბჭე, რომელიც მხარდაჭერილია SSL დაშიფვრით, რომელიც საშუალებას გაძლევთ მოაწყოთ უსაფრთხო დისტანციური წვდომა სერვისებსა და დანამატებზე VPN კავშირის საშუალებით, კლიენტის ნაწილის წინასწარი ინსტალაციის გარეშე. მოწყობილობა შემოთავაზებულია მცირე და საშუალო ბიზნესისთვის.

ინტერნეტთან ან DMZ გადაცემებთან დასაკავშირებლად, WAN ინტერფეისი, LAN პორტის ჩამრთველი, RS 232 DB9 პორტი - კონსოლის მეშვეობით კონტროლისთვის (ამ მოწყობილობაში, მათ შორის ZyWALL 1050-ის ჩათვლით, ხელმისაწვდომია ნაკლები შესაძლებლობები). ZyWALL SSL 10 მხარს უჭერს არა მხოლოდ უშუალო წვდომას ვაჭრების შიდა მონაცემთა ბაზებზე, არამედ მუშაობს Microsoft Active Directory-თან, LDAP-თან და RADIUS-თან. გარდა ამისა, შესაძლებელია ორფაქტორიანი ავთენტიფიკაცია (ZyWALL OTP შესვლების გამოყენებით).

კორპორატიული ქსელის რესურსებზე პირდაპირი წვდომა უზრუნველყოფილია SecuExtender კლიენტით, რომელიც ჩამოტვირთულია დისტანციურ კომპიუტერებზე. ამიტომ, ადმინისტრატორების ნებართვით, შესაძლებელი იქნება კიდეების გვირაბების მარტივად ორგანიზება IPsec-ის გამოყენებით. ადმინისტრატორებს ასევე შეუძლიათ უსაფრთხოების პოლიტიკის კონფიგურაცია კლიენტთა ჯგუფებისთვის, ქსელის მისამართების დიაპაზონისთვის ან სხვა დანამატებისთვის.

ZyWALL SSL 10 მხარს უჭერს 10 ერთსაათიან გატაცებულ სესიას 25 SSL სესიამდე გაზრდის შესაძლებლობით. ამავდროულად, მოწყობილობები შეიძლება დამონტაჟდეს როგორც არსებული კარიბჭის უკან (ნახ. 2), ასევე ახალი კარიბჭის სივრცეში (ნახ. 3). პირველ ვერსიაზე, ZyWALL SSL 10 შეიძლება დაუკავშირდეს DMZ ​​პორტს უსაფრთხოების გაზრდისთვის. მეორე მიდის მოდემზე, ხოლო ვებ სერვერი მიდის ZyWALL-ზე. ტრაფიკი ვებ სერვერიდან დისტანციურ სერვერზე გადის VPN გვირაბში.

მხარდაჭერილ ვარიანტებს შორის შეგიძლიათ აირჩიოთ TLS პროტოკოლი, დაშიფვრა, სერთიფიკატები - 256-ბიტიანი AES, IDEA, RSA, ჰეშინგი - MD5, SHA-1. ეს ფუნქცია მოიცავს დანართების ფართო არჩევანს ელექტრო შტეფსელისთვის (ნებისმიერი სოკეტებისა და სქემებისთვის).

Netgear ProSafe SSL VPN კონცენტრატორი SSL312

მოწყობილობა საშუალებას გაძლევთ ერთდროულად დაამუშავოთ 25-მდე დისტანციური კლიენტი კორპორატიული ქსელიდან. მას მხარს უჭერს დამატებითი ActiveX კომპონენტები, რომლებიც შეიძლება იყოს ინტეგრირებული და დაინსტალირებული პირდაპირ მოწყობილობაზე.

თუმცა, კლიენტს მოეთხოვება წვდომა სისტემაზე ადმინისტრატორის პრივილეგიებით, რათა დააინსტალიროს გაფართოებული ActiveX კომპონენტები. გარდა ამისა, ბრაუზერს უნდა ჰქონდეს პარამეტრები, რომლებიც საშუალებას იძლევა გამოიყენოს ActiveX კომპონენტები. შესაძლოა დაგჭირდეთ განახლებული Windows-ის დაყენება. აპარატურა მოიცავს ორ LAN პორტს და ერთ სერიულ პორტს. სისტემაში შესვლისას არჩეულია ავტორიზაციის ვარიანტი: მომხმარებელთა მონაცემთა ბაზა, Windows NT დომენი, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). დისტანციური სერვერების საშუალებით წვდომისას, დარჩენილი სერვერი უნდა დარჩეს ხელმისაწვდომი და ტრაფიკის მარშრუტი ჯერ კიდევ უნდა იყოს კონფიგურირებული.

ვინაიდან Netgear SSL312 და ZyWALL SSL 10 იყენებენ DRAM მეხსიერებას, Netgear ფლეშ მეხსიერება აშკარად დაზიანებულია (16 წინააღმდეგ 128 მბ). Net-gear SSL312 პროცესორი ასევე მუშაობს ZyWALL (200 vs. 266 კრიპტოგრაფიული ამაჩქარებლით). Netgear SSL312-ის საშუალებით, ZyWALL მხარს უჭერს SSL პროტოკოლის 2.0 ვერსიას.

ინსტალაციის ორი შესაძლო ვარიანტი არსებობს. პირველ შემთხვევაში, ორი Netgear SSL312 Ethernet პორტით, მხოლოდ ერთი გამოიყენება. კარიბჭე პასუხისმგებელია Netgear SSL312-ზე წვდომის უზრუნველყოფაზე HTTPS-ით. კიდევ ერთი ვარიანტია Netgear SSL312 Ethernet პორტის გამოყენება, რომელშიც SSL ტრაფიკი არ გადის სასაზღვრო ეკრანზე. მოწყობილობის ერთი Ethernet პორტი ენიჭება ღია IP მისამართს, ხოლო მეორე ენიჭება შიდა ქსელის დახურულ IP მისამართს. გთხოვთ გაითვალისწინოთ, რომ Netgear SSL312 არ ცვლის ან ცვლის NAT და MCE ფუნქციებს.

დისტანციურ ლოკალურ ქსელზე ქსელის სერვისებთან მუშაობისთვის, არსებობს ორი ვარიანტი: VPN გვირაბი, რომელიც დამონტაჟებულია სერვერსა და მოწყობილობას შორის, ან პორტის გადამისამართება. წყენის ორი გზა არსებობს, წარმატებებიც და ნაკლოვანებებიც. VPN გვირაბი საშუალებას გაძლევთ მოაწყოთ სრულფასოვანი კავშირები დისტანციურ ლოკალურ ქსელთან, მაგრამ არ გაძლევთ საშუალებას ვიბრირება სხვა პარამეტრების თითოეული სერვისისთვის. პორტის გადამისამართება საშუალებას გაძლევთ იმუშაოთ მხოლოდ TCP კავშირებთან (UDP და სხვა IP პროტოკოლები არ არის მხარდაჭერილი), თითოეული პროგრამის წესები მითითებულია ცალკე.
Netgear SSL312-ში დინამიური DNS არ არის მხარდაჭერილი, რაც ასევე არ არის საკმარისი.

SSL VPN Juniper Networks Secure Access 700

SSL VPN-ის საშუალებით დისტანციური წვდომის გადაწყვეტა ასევე ხელმისაწვდომია მცირე და საშუალო ზომის კომპანიებისთვის. ინტერფეისი არის როგორც ანგარიშის მენეჯერისთვის, ასევე ორგანიზაციის ადმინისტრატორისთვის ვებ ბრაუზერის სახით. არ არის საჭირო VPN კლიენტის დაყენება დისტანციურ კომპიუტერზე. გადატანილია ორი RJ-45 Ethernet პორტი და ერთი სერიული პორტი. Juniper SA 700 ავტომატურად სკანირებს დისტანციურ კომპიუტერებს და, დაინსტალირებული პროგრამული უზრუნველყოფის შედეგების საფუძველზე, ანიჭებს სხვადასხვა წვდომის უფლებას.

შენობა ერთდროულად ემსახურება არაუმეტეს 25 მომუშავე კლიენტს. ავთენტიფიკაციისა და ავტორიზაციისთვის ხელმისაწვდომია შემდეგი პარამეტრები: Microsoft Active Directory / Windows NT, LDAP, NIS, RADIUS, RSA, SAML, სერტიფიკატის სერვერი. მოწყობილობა უზრუნველყოფს წვდომას ფაილურ რესურსებზე Windows / SMB, Unix / NFS, ვებ დანამატებზე, მათ შორის JavaScript, XML, Flash; მხარდაჭერა Telnet და SSH პროტოკოლების მეშვეობით. კორპორატიულ ელფოსტაზე წვდომა ორგანიზებულია პირველადი ელ.ფოსტის კლიენტის საფუძველზე, რომელიც კონფიგურირებულია უსაფრთხო კავშირისთვის SSL-ის მეშვეობით Juniper SA 700-თან. თუმცა, ეს მოითხოვს „Core Clientless Web Access“ ლიცენზიას.

Juniper SA 700 ავტომატურად ასკანირებს დისტანციურ კომპიუტერს, რომელსაც აქვს ანტივირუსული პროგრამული უზრუნველყოფა, პირადი MSE და სხვა პროგრამები დაინსტალირებული უსაფრთხოების უზრუნველსაყოფად. სესიის დროს საჭირო ყველა პროქსი სერვერი და დროის ფაილი იშლება სესიის დასრულების შემდეგ.