Tre ditë dhe tre netë kam rënë me SSL VPN duke kërkuar mundësi të qartësisë së softuerit. Dhe madje gjeti një lloj versioni të shkëlqyeshëm të hiperteve, duke pozicionuar veten.

Por kur lexoni një shtojcë në Sourceforge, propozimi u fal që emrat nuk nxiten në konsideratë për të hyrë në qasjen në shfletuesin. Pra, ky është një VPN SSL që vepron në nivelin e aplikacionit, por, për fat të keq, në bazë të klientit të saj, i cili përdoret për të punuar motorin Java dhe për të transportuar një widget të veçantë që inicion lidhjen. Por kur vlerësohet thjeshtësia, ajo nuk funksionon në një klik dhe për të konfiguruar lidhjet që duhet të Tinker, t.ch. të gjithë avantazhin kryesor të klientit është se ajo do të thyejë në portin 443 të serverit VPN, e vetmja mund të përdoret brenda ndonjë infrastrukture të rraskapitur, ku administratorët janë paranas të gjitha portet e prodhimit.

Është në një version shumë të lirë të 1.1 të ofruar në versionin e Sourceforge dhe Komercial 2.0.5, i cili është dhënë nga jashtë. Site në formën e Trialks të plotë për 30 ditë. Dhe kjo pyetje nuk është e qartë për mua plotësisht, sepse nuk kam gjetur çmimet në vend fare. Kjo është, ata me sa duket e rrokullisni atë kur ju jeni ngritur dhe të lidhur, kështu që ju nuk e refuzoni menjëherë produktin e tyre.

Para fillimit të instalimit, është e nevojshme për të paraqitur një shkollë konvikt, sepse unë nuk i gjej kërkesat, por versioni 1.1 ha në instalimin e parazgjedhur prej rreth 450MB, dhe unë nuk mund të kuptoj pse serveri ishte i mbingarkuar vazhdimisht në letrën e Diemanskaya në çdo ndryshim. Kur kujtesa në 1GB, gjithçka ka jetuar tashmë jashtëzakonisht të qëndrueshme dhe pa një pushim të vetëm. Versioni i dytë ha pothuajse 600MB RAM.

Është vendosur elment, me përjashtim të vallëzimit standard me Oracle Java. , ne i përshkruajmë të gjitha shtigjet e nevojshme, pas së cilës tashmë mund të shtrëngoheni nga servaku i lirë nga viti 2015:
# Do të jetë https://sourceforge.net/projects/hypersocket-vpn/files/1.1.0-269/hypersocket-vpn-gpl-linux-1.1.0-269.rpm/download

ose ne humbasim dhe të merrni një hiperetë-një-linux-2.0.5-3110.rpm

Pas kësaj instaloni paketën
# Rpm -i hiperetë-one-linux-2.0.5-3110.rpm

Pas kësaj, ose filloni versionin e parë të paketës
Fillimi i hiperteve të shërbimit.
Dhe lidheni me https: // ip: 443 c login admin: admin ku menjëherë të shkojnë në punë

ose sekondë
Hiperetë-një-tastierë
Ose në HTTPS: // IP: 443 Së fundi instaloni instalimin e uebit, vendosni fjalëkalimet e sistemit dhe ushqeni skedarin e licencës së para-shkarkuar

Pas kësaj, ju mund të hyni brenda dhe të konfiguroni qasjen dhe kështu me radhë. Versioni i dytë, sipas mendimit tim, postpart dhe pak mendoi së pari.

Ky servak \u200b\u200bVPN, siç thashë, nuk më përshtatet shumë, sepse unë supozoj praninë e një klienti në anën e përdoruesit të largët, por në të njëjtën kohë ka një bandë të të gjitha llojeve të karakteristikave interesante, si qasja në Dosjet e sistemit të skedarëve virtuale përmes të cilave mund të arrini topa të dritareve, përmbajtjen FTP, vëllimet e NFS, skedarët HTTP dhe të tjera; Faqet e internetit të botuesit për shoferin e largët të internetit; një bandë e të gjitha llojeve të sigurisë nga kodet PIN në fjalëkalime të disponueshme; Menaxhimi i përdoruesit përmes Muscul, AS400, Google Business, LDAP.

Aktualisht ka dy lloje të VPN-ve të personalizuara:
SSL VPN. dhe Ipsec VPN. Dhe secili prej tyre ka avantazhet dhe disavantazhet e tij.

Avantazhi kryesor i VPN SSL është thjeshtësia e zbatimit të tij: të gjithë shfletuesit mbështesin SSL, të gjithë ofruesit kalojnë dhe nuk kufizojnë SSL.
Disa lloje të qasjes përmes SSL VPN mund të kryhen fjalë për fjalë nga çdo shfletues dhe në çdo platformë.

IPSEC VPN konsiderohet një protokoll më i sigurt.

SSL dhe TLS.

Shumë shpesh në literaturën teknike ju mund të përmbushni konceptet e SSL dhe TLS.

Të dy protokollet janë protokollet kriptografikeSigurimi i transmetimit të sigurt të të dhënave në internet (e-mail, shfletim në internet, mesazhe të menjëhershme).
Protokollet ofrojnë konfidencialitet, integritet, shërbime të vërtetimit.
SSL dhe TLS punojnë në nivel Shtresa e sesionit. Modelet os ose më të larta.
Protokollet mund të përdorin infrastruktura kryesore publike (PKI) Si dhe certifikatat për vërtetimin dhe transferimin në çdo çelës të tjerë simetrik.
Si dhe IPsec për të encrypt të dhënat, ata përdorin çelësat simetrike.

Programet më të sigurta të shfletuesit janë bërë nëpërmjet SSL ose TLS.
Fillimisht, u shfaq SSL, u zhvillua Netscape.
TLS është zhvillimi i mëtejshëm i SSL, si dhe standardi i zhvilluar nga Task Forca e Inxhinierisë së Internetit (IETF).
Për shembull, TLS 1.0 bazohet në SSL3.0.
Çfarë specifikisht për të përdorur SSL ose TLS zgjidhur vetë shfletuesit: TLS është e preferuar, por është e mundur të kaloni në SSL.

Kështu, është e rëndësishme të kuptohet se përdorimi i termit SSL, ne nënkuptojmë SSL ose TLS.
Për shembull, Cisco SSL VPN aktualisht përdor TLS.

Operacionet SSL

Pra, SSL përdoret në shumicën e shërbimeve online që kërkojnë siguri.
Le të shqyrtojmë hap pas hapi, i cili po ndodh kur klienti lidhet me serverin e bankës duke përdorur SSL:

• Klienti fillon lidhjen me serverin në adresën e saj IP dhe portin 443. Klienti dhe porti i klientit dhe portit përdoren si burim, respektivisht.
• Ekziston një lidhje standarde e procesit TCP duke përdorur shtrëngim duarsh me tre drejtime
• Klienti dhuron lidhjen SSL dhe serveri përgjigjet duke dërguar certifikatën e tij digjitale, e cila përmban Çelësi publik. Ky server.
• Duke marrë një certifikatë, klienti duhet të vendosë: të besojë këtë certifikatë apo jo.
  Mekanizmat e PKI fillojnë të punojnë këtu.
  Nëse certifikata digjitale është nënshkruar nga AK, të cilën klienti trusts + certifikatë të vlefshme sipas datës + certifikata serial nuk është e shënuar në lista e revokimit të certifikatave (CRL) - Klienti mund t'i besojë certifikatës dhe përdorimit Çelësi publik. Kjo certifikatë.
• Klienti gjeneron një çelës simetrik sekreti i përbashkët.e cila do të përdoret për të encrypt të dhënat midis klientit dhe serverit. Tjetra, klienti është i koduar sekreti i përbashkët. duke përdorur Çelësi publik. Dhe e transferon këtë në server.
• Server duke përdorur tuajin Çelësi privat., decrypts çelësin simetrik që rezulton sekreti i përbashkët..
• Të dyja palët tani e dinë sekreti i përbashkët. Dhe mund të encrypt seancën SSL.

Llojet SSL VPN.

SSL VPN mund të ndahet në dy lloje:

• Clientless SSL VPN. - Gjithashtu i quajtur Web VPN.. Nuk kërkon instalimin e klientit. Mundësi të kufizuara.
• Cisco e plotë Anyconnect Secure Mobility Client SSL VPN Client - Klienti i plotë SSL që kërkon instalim në një softuer të klientit që siguron qasje të plotë në rrjetin e korporatës

Vendosja e VPN-së SSL.

1. Kopjoni skedarin PKG në çdocong.
   Në rastin tonë, ajo Çdo koncert-win-3.1.08009-k9.pkg
2. Ne specifikojmë skedarin PKG, dhe të kthehet në shërbimin e shërbimit të Webvpn ndonjë shërbim.
   

   webvpn ndonjë imazhin e veprimit në internet: /anyconnect-win-3.1.08009-k9.pkg 1 Aktivizo jashtë2 çdo aktivitet

3. Përveç (përjashtuar) SSL WebPN Traffic nga Checks On jashtë interface acl. Ne duhet të bëjmë rregullat e lejes në ACL, ose të përdorim komandën:
   

   mSK-ASA-01 (config) leja e lidhjes Sysopt-VPN

4. Për lehtësi, rregulloni ridrejtimin nga 80 në 443:
   

   http redirect jashtë2 80

5. Krijoj Pishina e adresës IP.. Këto adresa do të lëshohen për përdoruesit e largët.
   

   pishinë IP vpnpool_pool 192.168.93.10-192.168.93.254 Maskë 255.255.255.0

6. Krijoj Përjashtimi i NAT Për trafikun midis Rrjet lan dhe vpnpool rrjet. Ne e bëjmë këtë përjashtim, pasi që trafiku i koduar nuk duhet të kalojë përmes NAT. Ky hap është i nevojshëm nëse ky nat është konfiguruar në ASA.
   Rrjeti i objektit vpnpool_obj.

   Rrjeti i objektit VPNPOOL_OBJ SUPNNET 192.168.25.0 Rrjeti i grupit RFC1918_OBJG Rrjeti i Rrjetit 192.168.0 255.255.0.0 Rrjeti-Object 172.16.0 255.240.0 NATE-objekt 10.0.0.0 NAT (brenda, jashtë) burim statik Rfc1918_objg rfc1918_objg destinacion statik vpnpool_obj vpnpool_obj no-proxy-arp-lookup

7. Krijo SPLITNEL ACL ACL, ky cilësim do të lejojë përdoruesit kur të lidhen nëpërmjet VPN në të njëjtën kohë përdorin internetin. Pa këtë cilësim, të gjithë trafiku do të mbështetet në tunel.
   

   leja standarde e ndarjes së aksesit të ndarë-tunel_acl 192.168.10.0 255.255.255.0

   Ky cilësim do të mbështetet në tunel vetëm trafiku në rrjetin e të njëjtit RFC1918.

8. Krijoj Politika e grupit.
   Ne mund të krijojmë një politikë të shumëfishtë të grupit dhe në çdo atributet të konfigurimit të rrjetit të tilla si adresat e serverit DNS, cilësimet e ndarjes së tunelit, domenin e parazgjedhur, protokollin (SSL ose IPSEC) etj.

   politika e grupit të secilit prej aktorit të grupit të grupit të grupit të secilit konkluzivë. VPN-tunel-Client-Client-Client-Tunnel-Tunnel-Politika-Politika TunnelSpecified Split-tunel-Network-lista Vlera e ndarjes SNOP-TUNNEL_ACL WEBPNNNECT COPECTECT Instaluar ndonjë klient për intervalin e PDD-së 20 Sidoqoftë, askush nuk pyesni ndonjë koncept

9. Krijoj Grupi i tunelit..
   Grupi i tunelit në ndërfaqen e ASDM quhet profilin e lidhjes.
   Grupi i tunelit duhet të përfshijë një politikë të konfiguruar të grupit dhe e kombinon atë me një pishinë të adresave IP.
   Ne mund të krijojmë disa grupe të tilla, dhe përdoruesin kur të hyni mund të zgjidhni për veten tuaj grupin e dëshiruar të tunelit me të gjitha karakteristikat e nevojshme: parametrat e trashëguar nga Politika e Grupit + Pishina e adresave

   tunnel-Group VPN-Users_TG Lloji i tunelit të tunelit të largët VPN-Users_TG Gjeneral-atributet adresa-Pishina VPNPOOL_POOL_GP Tunnel-Group VPN-Users_TG WebPN-Atributet Grupi-Alias \u200b\u200bVPN_USERS-ALIAS Aktivizo grupin e tunelit të WebVPN-it. Lista mundëson

   Komanda e fundit lejon përdoruesit të zgjedhin grupin e tunelit.
   Për përdoruesit, ky grup do të duket me emrin "VPN_USERS-ALIAS"

Çdoconnect duhet të fitojë tashmë, - ju mund të shkoni nën kontabilitetin e administratorit.

Monitorimi i VPN-së SSL.

• ASDM: Monitorimi\u003e VPN\u003e Statistikat VPN\u003e Sesionet
• Nga CLI:
  

  vPN # trego Uauth. Përdoruesit e autentifikuara më të vërteta 1 1 Authen në progres 0 0 Remote Access VPN Përdorues "VPN_VIDEO_USER1" në 192.168.92.25, lista e aksesit të vërtetuar # ACSACL # -Ip-Video_DACL-54DDC377 (*)

  vPN # trego Listën e Qasjes Access-list Cached Flukset e regjistrit ACL: Gjithsej 0, mohuar 0 (Deny-flow-max 4096) Alert-Interval 300 lista e aksesit Split-tunnel_acl; 1 elemente; Emri Hash: 0xB6FB0e Access-List Split-tunnel_ACL Linja 1 Leja standarde 192.168.10.0 255.255.255.0 (Hitcnt \u003d 0) 0x13482529 Listës së aksesit # ACSACL # -P-Video_DACL-54DDC377; 1 elemente; Emri Hash: 0x6C7D7B7F (Dinamik) Listën e qasjes # ACSACL # -Ip-Video_DACL-54DDC357 Linja 1 Leja e zgjeruar IP Any4 Host 192.168.10.45 (Hitcnt \u003d 0) 0x4ce5Deb8

  Ne shikojmë në sllavinen

  trego përmbledhjen VPN-sesiond

  sHOW VPN-sessiond ndonjë koncert

  Hidhe një përdorues nga VPN:

  vPN-SesioniDB Emri i Logoff Langemakj

Rrjetet VPN hynë në jetën tonë shumë seriozisht, dhe unë mendoj për një kohë të gjatë. Kjo teknologji përdoret si në organizata për të kombinuar zyrat në një subnet të vetëm ose për të siguruar qasje në informacionin e brendshëm të përdoruesve të telefonisë celulare dhe në shtëpi kur hyjnë në internet përmes ofruesit. Mund të thuhet me besim se secili prej administratorëve ishte domosdoshmërisht i angazhuar në konfigurimin e një VPN, si çdo përdorues kompjuteri me qasje në internet e përdori këtë teknologji.

Në fakt, teknologjia VPN e IPSEC është shumë e zakonshme. Shumë artikuj të ndryshëm të të dyve teknike dhe mbikqyrës dhe analitike janë të shkruara për këtë. Por teknologjia VPN e SSL u shfaq relativisht kohët e fundit, e cila tani është shumë e popullarizuar në kompanitë perëndimore, por në Rusi nuk i kanë kushtuar vëmendje të veçantë asaj. Në këtë artikull, unë do të përpiqem të përshkruaj atë që IPSEC VPN ndryshon nga SSL VPN dhe cilat avantazhet përdorin SSL VPN brenda organizatës.

Ipsec.VPN - avantazhet dhe disavantazhet e tij

Në pjesën e parë unë do të doja të tërheq vëmendjen në përkufizimin e VPN, "VPN më e zakonshme është një teknologji që kombinon rrjetet, nyjet dhe përdoruesit e besuar përmes rrjeteve të hapura që nuk janë besim" (© Check Pown Software Technologies).

Në të vërtetë, në rast të nyjeve të besueshme, aplikimi i IPSEC VPN është mënyra më ekonomike. Për shembull, për të lidhur zyrat e largëta në një rrjet të vetëm të korporatës, kërkohet një copë litari ose me qira e linjave të zgjedhura, dhe interneti është përdorur. Si rezultat i ndërtimit të tuneleve të mbrojtura midis rrjeteve të besueshme, formohet një hapësirë \u200b\u200be vetme IP.

Por kur organizon qasje të largët në punonjësit e IPSEC, zgjidhjet përdoren për të kufizuar vetëm pajisjet e besuara, siç janë laptopët e korporatave të përdoruesve. Për të aplikuar IPSEC VPN, shërbimi IT duhet të instalojë dhe konfigurojë çdo pajisje të besuar (që ju doni të ofroni qasje të largët) një klient VPN dhe të ruani funksionimin e kësaj kërkese. Gjatë instalimit të zgjidhjeve të IPSEC, është e nevojshme të merret parasysh kostoja e tyre "e fshehur" që lidhet me mbështetjen dhe mbështetjen, pasi për çdo lloj të klientit celular (laptop, PDA, etj.) Dhe çdo lloj mjedisi rrjeti (qasja nëpërmjet ofruesit të internetit , Qasja nga rrjeti i kompanisë -Clin, qasja duke përdorur përkthimin e adresave) kërkon konfigurimin origjinal të klientit IPSEC.

Përveç mbështetjes, ka disa probleme shumë të rëndësishme:

• Jo për të gjitha pajisjet e besueshme të përdorura në kompani ka klientë VPN;
• Në subnete të ndryshme, të cilat qasje (për shembull, një rrjet korporativ i një partneri ose klienti), portet e kërkuara mund të mbyllen dhe të kërkohet koordinimi shtesë i hapjes së tyre.

Nuk ka probleme të tilla kur përdorin VPN SSL.

SSL.VPN - Algoritmi i punës së përdoruesit

Supozoni se jeni në një udhëtim biznesi, nuk mund t'ju jepni një kompjuter portativ gjatë kompanisë suaj. Por ju duhet:

• Gjatë mungesës suaj në zyrë, mos bini nga rrjedha e punës;
• Transmetoni dhe merrni email;
• Përdorni të dhëna nga çdo sistem biznesi që veprojnë në kompaninë tuaj.

Në dorën tuaj, në të mirë, kompjuter në rrjetin e organizatës, ku arriti në një udhëtim biznesi, me qasje në internet vetëm në protokollin HTTP / HTTPS, në rastin më të keq - kafene e zakonshme në hotelin tuaj.

SSL VPN zgjidh me sukses të gjitha këto detyra, dhe niveli i sigurisë do të jetë i mjaftueshëm për të punuar me informacionin kritik nga kafene e internetit ...
Në fakt, ju kryeni veprimet e mëposhtme:

• Ju duhet vetëm një shfletues interneti (Internet Explorer, Firefox, etj.);
• Në shfletuesin e internetit, shkruani adresën e adresës SSL VPN;
• Next automatikisht shkarkon dhe shkon Java Applet ose Komponenti ActiveX, i cili ju ofron të vërtetuar;
• Pas autentifikimit, politikat e duhura të sigurisë aplikohen automatikisht:
  • kontrolli për kodin me qëllim të keq (në rast të zbulimit që është bllokuar);
  • Është krijuar një mjedis i mbyllur i përpunimit të informacionit - të gjitha të dhënat (duke përfshirë skedarët e përkohshëm) të transmetuar nga rrjeti i brendshëm, pas përfundimit të seancës, do të fshihen nga kompjuteri nga i cili është bërë qasja;
  • Gjithashtu gjatë procesit të seancës përdoren mjete shtesë për mbrojtje dhe kontroll;
• Pas procedurave të suksesshme të sigurisë, të gjitha lidhjet e nevojshme "në një klikim të miut" po bëhen të disponueshme:
  • Qasja në serverat e skedarëve me aftësinë për të transferuar skedarë në server;
  • Qasja në aplikacionet e internetit të kompanisë (për shembull, portali i brendshëm, qasja në internet, etj.);
  • Qasja e terminalit (MS, Citrix);
  • Mjetet e administratorit (për shembull, tastierë SSH);
  • Dhe, natyrisht, mundësinë e një VPN të plotë VPN nëpërmjet protokollit të HTTPS (pa nevojën e para instalimit dhe të krijojë një VPN të klientit) - konfigurimi transmetohet direkt nga zyra, në përputhje me të dhënat e vërtetimit.

Kështu, përdorimi i VPN SSL zgjidh disa detyra:

• Thjeshtësim i rëndësishëm i procesit të administratës dhe mbështetjes së përdoruesit;
• Organizimi i qasjes së mbrojtur në informacionin kritik nga nyjet e pabesueshme;
• Mundësia e aplikimit në çdo pajisje të lëvizshme, si dhe në çdo kompjuter (duke përfshirë kioska të internetit) me qasje në internet (pa cilësime paraprake dhe cilësime të veçanta të softuerit).

SSL.VPN - Prodhuesit dhe Mundësitë

Tregu SSL VPN dominon zgjidhjet hardware. Ndër ofruesit e zgjidhjeve VPN SSL janë të gjithë prodhuesit e njohur të pajisjeve të rrjetit aktiv:

• Cisco.
• Huawai.
• Dëllinjë.
• Nokia.
• Etj.

Ndër implementimet e softuerit, specialistët e alatusit ndajnë një vendim në bazë të SSL Explorer. Kompanitë 3SP Ltd.të cilat më së shumti përputhen me kërkesat e konsumatorëve.

Unë gjithashtu do të doja të jepja një tabelë që krahason aftësitë e IPSEC VPN dhe SSL VPN:

SSL VPN në Rusi

Deri më sot, një numër mjaft i madh projektesh tashmë janë zbatuar në Rusi, për zbatimin e qasjes në distancë të bazuar në teknologjinë VPN SSL. Por siç u përmend më herët, derisa kjo teknologji në Rusi të ketë fituar popullaritetin e saj, ndërsa vendimet e prodhuesve të të dhënave raportojnë kërkesa shumë të larta për ta midis kompanive perëndimore.

Në pjesën e parë të kësaj serie të artikujve për konfigurimin e Windows Server 2008 si një server VPN SSL, kam biseduar për disa fakte të historisë së serverëve të Microsoft VPN dhe protokolleve VPN. Ne kemi përfunduar artikullin e mëparshëm me një përshkrim të shembullit të rrjetit, i cili do të përdoret në këtë dhe pjesët e mëvonshme të serisë VPN-to-konfigurimit që mbështet lidhjen SSTP me klientët Vista SP1.

Para se të fillojmë, duhet të pranoj se unë e di për praninë e një manuali hap pas hapi për krijimin e lidhjeve SSTP për Windows Server 2008, e cila është e vendosur në faqen e internetit www.microsoft.com. Më dukej se ky artikull nuk pasqyron një mjedis të vërtetë që përdoret në organizata për të caktuar certifikata. Kjo është arsyeja pse, dhe për shkak të disa pikave të problemeve që nuk u prekën në Manualin e Microsoft, vendosa të shkruaja këtë artikull. Unë besoj se ju do të mësoni pak të ri nëse më ndiqni në këtë artikull.

Unë nuk do të shqyrtoj të gjitha hapat që nga bazat. Unë guxoj të supozoj se keni instaluar kontrolluesin e domenit dhe aktivizuar DHCP, DNS dhe shërbimet e shërbimeve të certifikatës në këtë server. Lloji i certifikimit të serverit duhet të jetë ndërmarrje, dhe ju keni CA në rrjetin tuaj. Serveri VPN duhet të jetë i lidhur me domenin para se të vazhdojë të kryejë hapat e mëposhtëm. Para fillimit, ju duhet të instaloni paketën e përditësimit të SP1 për klientin Vista.

Ne duhet të përmbushim procedurat e mëposhtme në mënyrë që zgjidhja jonë të punojë:

• Instaloni IIS në serverin VPN
• Kërkoni një certifikatë të serverit VPN duke përdorur certifikatën e certifikatës IIS Wizard Certifikata Wizards
• Vendosni rolin e rras në serverin VPN
• Aktivizoni Serverin e Ras dhe konfiguroni atë për të punuar si një server VPN dhe NAT
• Konfiguro serverin e NAT për të publikuar CRL
• Konfiguro llogarinë (llogaria e përdoruesit) për të përdorur lidhjet dial-up
• Konfiguro IIS në serverin e certifikatës për të lejuar lidhjet HTTP për dosjen CRL
• Konfiguro skedarin e hosts për klientin VPN
• Përdorni PPTP për të komunikuar me një server VPN
• Merrni Certifikatën CA nga Ndërmarrja CA
• Konfiguro klientin për të përdorur SSTP dhe duke u lidhur me një server VPN duke përdorur SSTP

Instalimi i IIS në një server VPN

Ndoshta do të duket e çuditshme që ne të fillojmë me këtë procedurë, pasi që unë rekomandoj që kurrë të instaloni një server web në sigurinë e rrjetit. Lajm i mirë është se ne nuk duhet të ruajmë një server të serverit VPN, do të nevojitet për ne vetëm për një kohë. Arsyeja qëndron në faktin se faqja e regjistrimit e përfshirë në serverin e certifikatës së Windows Server 2008 nuk është më i dobishëm për një kërkesë të certifikatës kompjuterike. Në fakt, ai është përgjithësisht i padobishëm. Interesante, nëse ende vendosni të përdorni faqen e regjistrimit për të marrë një certifikatë kompjuterike, gjithçka do të duket si certifikata është marrë dhe instaluar, por në fakt nuk është kështu, certifikata nuk është vendosur.

Për të zgjidhur këtë problem, ne përdorim avantazhin e përdorimit të ndërmarrjes ca. Kur përdorni ndërmarrjen CA, ju mund të dërgoni një kërkesë në një server certifikimi interaktiv. Një kërkesë interaktive për një certifikatë kompjuterike është e mundur kur përdorni Certifikatën e IIS Certifikatës Wizard Wizard dhe kërkoni atë që tani quhet Certifikata e Domain Certifikatës Domain. Kjo është e mundur vetëm nëse makina kërkuese i përket të njëjtës fushë si ndërmarrje ca.
Për të instaluar serverin e IIS Web në serverin VPN, ndiqni këto hapa:

1. Hapni Windows 2008. Menaxheri i serverit.
2. Në pjesën e majtë të tastierës, klikoni në skedën Rol.

1. Kliko në menu Shtoni një rol Në anën e djathtë të panelit të djathtë.
2. Zhmem. Me tutje Në faqe Para se të filloni.
3. Vendosni një shenjë në frontin e vargut Web Server (IIS) Në faqe Zgjidh rolet e serverit. Zhmem. Me tutje.

1. Ju mund të lexoni informacionin në faqe. Web Server (IIS)Nese ju deshironi. Ky është një informacion mjaft i dobishëm për përdorimin e IIS 7 si një server web, por pasi që nuk do të përdorim serverin e IIS Web në serverin VPN, ky informacion nuk është tërësisht i zbatueshëm në situatën tonë. Zhmem. Me tutje.
2. Në faqe Zgjidhni rolin e roleve Disa opsione janë zgjedhur tashmë. Megjithatë, nëse përdorni opsionet e parazgjedhur, nuk do të jeni në gjendje të përdorni Wizard Wizard Wizard Certifikatë. Të paktën ishte kur testova sistemin. Nuk ka rol të shërbimit për Wizard Certifikata Master Certifikata, kështu që unë u përpoqa të vendos Ticks përballë çdo opsion SigurinëDhe, duket, ka punuar. Bëni të njëjtën gjë në veten tuaj dhe klikoni Me tutje.

1. Kontrolloni informacionin në faqe Konfirmoni përzgjedhjen e instalimeve dhe shtypni Vendos.
2. Kliko Mbyll Në faqe Rezultatet e instalimit.

Kërkesa e certifikatës së makinës për serverin VPN me kërkesën e certifikatës IIS Wizard Wizard

Hapi tjetër është të kërkosh një certifikatë certifikatë për një server VPN. Një server VPN kërkon një certifikatë të makinës për të krijuar një lidhje VPN SSL me një kompjuter të klientit VPN SSL. Emri i përgjithshëm i certifikatës duhet të përshtatet emri që klienti VPN do të përdorë për t'u lidhur me kompjuterin porta të SSL VPN. Kjo do të thotë që ju do të duhet të krijoni një hyrje publike DNS për emrin në një certifikatë që do të lejojë adresën e jashtme IP të serverit VPN, ose adresën IP adresa NAT para serverit VPN që do të ridrejtohen në lidhjen me SSL Server VPN.

Për të kërkuar certifikatën e makinës në serverin VPN SSL, ndiqni këto hapa:

1. NË Menaxheri i serverit.Vendosni skedën Rol në panelin e majtë, dhe pastaj vendosni skedën Web Server (IIS). Shtypni.

1. Në konsol Shërbimet e Informacionit të Internetit (IIS)Kjo do të shfaqet në të djathtë në panelin e majtë, klikoni në emrin e serverit. Në këtë shembull, emri i serverit do të jetë W2008RC0-VPNGW.. Kliko në ikonën Certifikatat e serverit Në panelin e duhur të tastierës IIS.

1. Në panelin e duhur të tastierës, klikoni në linkun Krijo një certifikatë domaine.

1. Shkruani informacionin në faqe Emri i vetive të caktuara. Objekti më i rëndësishëm këtu do të jetë Emer i perbashket. Ky është emri që klientët VPN do të përdorin për t'u lidhur me serverin VPN. Ju gjithashtu do të duhet një hyrje publike DNS për këtë emër në mënyrë që të njohin ndërfaqen e jashtme të serverit VPN, ose adresën publike të pajisjes NAT para serverit VPN. Në këtë shembull, ne përdorim emrin e përbashkët sstp.msfirewall.org.. Më vonë ne do të krijojmë një skedar rekord për një kompjuter VPN të klientit në mënyrë që të mund të njohë këtë emër. Zhmem. Me tutje.

1. Në faqen e katranit Zgjedh. Në kutinë e dialogut Zgjidh certifikatat e burimitKliko në emrin e emrit CA dhe klikoni NE RREGULL.. Ne kemi një emër miqësor në vargun Emri miqësor.. Në këtë shembull, kemi përdorur emrin CERT SSTPTë dish se përdoret për portën e SSTP VPN.

1. Zhmem. Përfundoj Në faqe Burimi interaktiv i certifikatave.

1. Magjistari do të nisë, dhe pastaj do të zhduket. Pas kësaj, do të shihni se si do të shfaqet certifikata në tastierën e IIS. Klikoni dy herë në një certifikatë dhe shikoni emrin e përbashkët në seksionin Të emëruar për tëDhe tani kemi një çelës privat që përputhet me certifikatën. Zhmem. NE RREGULL.për të mbyllur kutinë e dialogut Certifikatë.

Tani që kemi një certifikatë, ne mund të vendosim rolin e rolit të serverit RRA. Vini re se është shumë e rëndësishme instaloni certifikatën Para vendosjes së rolit të rolit të serverit RRA. Nëse nuk e bëni këtë, ju do të dëmtoni veten dhimbje koke të mëdha, sepse ju duhet të përdorni një rutinë mjaft të komplikuar të linjave të komandës për të lidhur një certifikatë me klientin VPN SSL.

Instalimi i rolit të rolit të serverit RRA në një server VPN

Për të instaluar rolin e rolit të serverit RRA, ju duhet të kryeni hapat e mëposhtëm:

1. NË Menaxheri i serverit.Kliko në skedën Rol Në pjesën e majtë të tastierës.
2. Në seksionin Rolet e përgjithshme Kliko lidhjen Shtoni një rol.
3. Kliko Me tutje Në faqe Para se të filloni.
4. Në faqe Zgjidh rolet e serverit Vendosni kutinë e zgjedhjes para vargut. Kliko Me tutje.

1. Lexoni informacionin në faqe. Politika e Rrjetit dhe Shërbimi i Qasjes. Pjesa më e madhe e saj ka të bëjë me serverin e politikës së rrjetit (i cili më parë u quajt server i autentifikimit të internetit dhe ishte në thelb një server radius) dhe NAP, asnjë nga elementet nuk aplikohet në rastin tonë. Shtyp Me tutje.
2. Në faqe Zgjidhni një shërbim roli vendosni një shenjë në frontin e vargut Routing dhe Remote Access Services. Si rezultat, artikujt do të zgjidhen Shërbimet e qasjes në distancë dhe Rutinë. Zhmem. Me tutje.

1. Zhmem. Vendos në dritare Konfirmoni cilësimet e përzgjedhura.
2. Zhmem. Mbyll Në faqe Rezultatet e instalimit.

Aktivizimi i serverit RRA dhe konfigurimi i tij si një server VPN dhe NAT

Tani që është instaluar roli i Rastit, ne duhet të aktivizojmë shërbimet e Ras, si dhe kemi bërë në versionet e mëparshme të Windows. Ne duhet të aktivizojmë serverin VPN dhe shërbimet e NAT. Me aktivizimin e komponentit VPN të serverit, gjithçka është e qartë, por mund të pyesni pse duhet të aktivizoni serverin NAT. Arsyeja për aktivizimin e serverit të NAT qëndron në faktin se klientët e jashtëm mund të kenë qasje në serverin e certifikatës për t'u lidhur me CRL. Nëse klienti VPN i SSTP nuk mund të ngarkojë CRL, lidhja VPN e SSTP nuk do të funksionojë.

Në mënyrë që të hapni qasjen në CRL, ne do të konfigurojmë serverin VPN si një server NAT dhe të publikojmë një CRL duke përdorur një NAT të kthyeshme. Në mjedisin e rrjetit të kompanive, ju do të keni më shumë gjasa të keni firewalls, të tilla si Isa Firewall, para serverit të certifikimit, kështu që ju mund të publikoni CRL me ndihmën e firewalls. Megjithatë, në këtë shembull, firewall i vetëm që do të përdorë është Firewall Windows Firewall në serverin VPN, kështu që në këtë shembull ne duhet të konfigurojmë serverin VPN si NAT të një serveri.

Për të aktivizuar shërbimet e Ras, ndiqni këto hapa:

1. NË Menaxheri i serverit. Zgjeroni skedën Rol Në pjesën e majtë të tastierës. Zgjeroni skedën Politika e Rrjetit dhe Shërbimi i Qasjes Dhe klikoni në skedën. Djathtas-klikoni në tab dhe klikoni Konfiguro dhe aktivizoni kursin dhe qasjen e largët.

1. Kliko Me tutje në dritare Mirë se vini në kursin dhe magjistarin e serverit të qasjes në distancë.
2. Në faqe Konfigurim Zgjidhni opsionin Qasja në rrjetet virtuale private dhe nat dhe shtypni Me tutje.

1. Në faqe Lidhja VPN Zgjidh NIC në seksionin Ndërfaqet e rrjetite cila përfaqëson një ndërfaqe të jashtme të serverit VPN. Pastaj klikoni Me tutje.

1. Në faqe Caktimi i adresave IP Zgjidhni opsionin Automatikisht. Ne mund të zgjedhim këtë opsion sepse ne kemi një server DHCP në kontrolluesin e domain-it për serverin VPN. Nëse nuk keni një server DHCP, atëherë do t'ju duhet të zgjidhni opsionin Nga një listë specifike adresashDhe pastaj shtoni një listë të adresave që klientët VPN do të jenë në gjendje të përdorin kur janë të lidhura me rrjetin nëpërmjet një portë VPN. Zhmem. Me tutje.

1. Në faqe Menaxhimi i serverëve të shumëfishta të qasjes në distancë Zgjedh Jo, përdorni drejtimin dhe qasjen e largët për lidhjet e vërtetuara. Ne e përdorim këtë opsion kur NPS ose serverët e rrezeve nuk janë në dispozicion. Meqenëse serveri VPN është anëtar i domenit, ju mund të vërtetoni përdoruesit duke përdorur llogaritë e domenit. Nëse një server VPN nuk është i përfshirë në domen, atëherë mund të përdoren vetëm llogaritë lokale të serverit VPN, përveç nëse vendosni të përdorni serverin e NPS. Unë do të shkruaj një artikull mbi përdorimin e serverit të NPS në të ardhmen. Zhmem. Me tutje.

1. Lexoni informacionin e përgjithshëm në faqe. Kompletimi i kursit të magjistarit dhe magjistarit të qasjes në distancë dhe shtypni Përfundoj.
2. Kliko NE RREGULL. Në kutinë e dialogut Routing dhe qasje të largëtKjo ju tregon se shpërndarja e mesazheve të DHCP kërkon një agjent të shpërndarjes DHCP.
3. Në panelin e majtë të majtë, zgjeroni skedën Routing dhe qasje të largët dhe pastaj klikoni në tab Portet. Në panelin e mesëm, do të shihni se lidhjet e miniportave të WAN për SSTP tani janë në dispozicion.

Vendosja e serverit të NAT për të publikuar CRL

Siç thashë më parë, klienti VPN SSL duhet të jetë në gjendje të ngarkojë CRL për të konfirmuar se certifikata e serverit në serverin VPN nuk është dëmtuar ose kujtuar. Për ta bërë këtë, konfiguroni pajisjen përpara serverit të certifikimit për të dërguar kërkesat e vendndodhjes së CRL HTTP në serverin e certifikimit.

Si të gjeni për të cilën URL duhet të lidhë një VPN SSL për klientin për të shkarkuar CRL? Ky informacion gjendet në vetë certifikatën. Nëse së pari shkoni në serverin VPN dhe klikoni dy herë mbi certifikatën në tastierë IIS, si më parë, mund ta gjeni këtë informacion.

Klikoni mbi butonin Detaj në certifikatën dhe fletë poshtë për të shkruar Pikat e shpërndarjes CRL, pastaj klikoni mbi këtë rekord. Paneli i fundit tregon pikat e ndryshme të shpërndarjes bazuar në protokollin e përdorur për të fituar qasje në këto pika. Certifikata e treguar në figurën më poshtë tregon se ne kemi nevojë për të hapur qasje në klientin VPN SSL në CRL nëpërmjet URL:

http://win2008rc0-dc.msfirewall.org/certenroll/win2008rc0-dc.msfirewall.org.cl.

Kjo është arsyeja pse ju duhet të krijoni shënime publike DNS për këtë emër në mënyrë që klientët e jashtëm VPN të mund të tërheqin këtë emër në adresën IP ose pajisjen që do të kryejnë një natyrë të kthyeshme ose një prokurë të kthyeshme për të hyrë në faqen e internetit të certifikimit të certifikimit. Në këtë shembull, ne duhet të lidhim win2008rc0-dc.msfirewall.org. Me adresën IP në ndërfaqen e jashtme të serverit VPN. Kur lidhja arrin ndërfaqen e jashtme të serverit VPN, serverin VPN përcjellin lidhjen NAT me serverin e certifikimit.

Nëse jeni duke përdorur një firewall të zgjeruar, të tilla si Isa Firewall, ju mund të bëni vende botuese CRL më të sigurt, duke hapur qasje. vetëm për CRL, jo për të gjithë vendin. Megjithatë, në këtë artikull, ne e kufizojmë veten mundësinë e një pajisje të thjeshtë NAT, të tilla që siguron RRA NAT.

Duhet të theksohet se përdorimi i faqes së default CRL mund të jetë më pak opsion i sigurt sepse zbulon emrin e kompjuterit privat në internet. Ju mund të krijoni një CDP me porosi (Pika e Shpërndarjes CRL) për të shmangur këtë nëse mendoni se zbulimi i emrit privat të AK-së në regjistrin publik DNS krijon një kërcënim të sigurisë.

Për të konfiguruar Ras NAT për të dërguar kërkesa HTTP në serverin e certifikimit, ndiqni këto hapa:

1. Në panelin e majtë Menaxheri i serverit. Zgjeroni skedën Routing dhe qasje të largëtdhe pastaj vendosni skedën IPv4.. Kliko në skedën Nat..
2. Në skedën Nat. Klikoni butonin e duhur në ndërfaqen e jashtme në panelin e mesëm të tastierës. Në këtë shembull, emri i ndërfaqes së jashtme ishte Lidhja e zonës lokale.. Shtyp Vetitë.

1. Në kutinë e dialogut, kontrolloni kutinë e kundërt Web Server (http). Kjo do të shkaktojë një kuti dialogu. Shërbimi i redaktimit. Në një varg teksti Adresë private Shkruani adresën IP të serverit të certifikimit në rrjetin e brendshëm. Kliko NE RREGULL..

1. Kliko NE RREGULL. Në kutinë e dialogut Pronat e lidhjes lokale të zonës.

Tani që serveri NAT është i instaluar dhe konfiguruar, ne mund të transferojmë vëmendjen tonë në ngritjen e serverit të AK dhe klientit të VPN SSTP.

Përfundim

Në këtë artikull, ne vazhduam të flasim për konfigurimin e serverit VPN SSL duke përdorur Windows Server 2008. Ne shikuar në instalimin e IIS në serverin VPN, kërkesën dhe instalimin e certifikatës së serverit, instalimin dhe konfigurimin e shërbimeve RRA dhe NAT serverin VPN. Në artikullin vijues, ne do të përfundojmë të shqyrtojmë cilësimin e klientit të serverit të AK dhe SSTP VPN. Shihemi! Tom.

| Në listën e botimeve

Siguroi qasje të largët nëpërmjet SSL VPN

Boris Borisenko, ekspert

Teknologji VPN ka fituar të përhapur si një mjet që siguron qasje të sigurt të punonjësve në një rrjet lokal të një ndërmarrjeje nga disa pika fizikisht të largëta. Rrjetet VPN me bazë në SSL u zhvilluan si teknologji ndihmëse dhe alternative për qasje të largët nëpërmjet IPSEC VPN. Megjithatë, kostoja dhe besueshmëria e organizimit të kanaleve të komunikimit të sigurt e bënë teknologjinë SSL VPN. SSL VPN Hubs janë opsionale (krahasuar me pajisjet tradicionale VPN) aftësitë. Shumica e firewalls ofrojnë aplikime botuese në internet në internet përmes porteve, adresave të rrjetit të transmetimit (NAT) dhe drejtimit të rrjetit, por nuk mbrojtje të të dhënave kriptografike gjatë nivelit të ofruar nga aplikacionet. Përdoruesit e IPSEC VPN mund të krijojnë komunikim me një rrjet të korporatës me analogji me lidhje të drejtpërdrejtë me rrjetin lokal. Në këtë rast, të gjitha të dhënat e transmetuara në mes të serverit VPN dhe klientit janë të koduara. Megjithatë, për shumicën e pajisjeve VPN kërkojnë një program të veçantë të klientit. Në SSL VPN-Hubs, shfletuesi përdoret për të hyrë në punonjës të largët jo vetëm për faqet e internetit të brendshme, por edhe aplikacionet dhe serverët e skedarëve. Konsideroni disa nga zgjidhjet më interesante për organizimin e qasjes në distancë duke përdorur VPN SSL.

Zywall SSL 10.

Kjo është një portë virtuale private e rrjetëzimit me mbështetjen e encryption SSL, e cila ju lejon të organizoni një qasje të sigurt në distancë në rrjetet dhe aplikacionet nëpërmjet një lidhje VPN pa e parapërgatitur pjesën e klientit. Pajisja ofrohet për rrjete të vogla dhe të mesme të biznesit.

Për t'u lidhur me internetin ose DMZ ka një ndërfaqe WAN, një kaloni në katër porte LAN, porti i Rs 232 DB9 është të kontrollojë përmes konsolës (ka më pak mundësi në këtë pajisje sesa në të njëjtën zywall 1050). Zywall SSL 10 mbështet jo vetëm qasje të drejtpërdrejtë në bazat e të dhënave të përdoruesve, por edhe të punojnë me Microsoft Active Directory, LDAP dhe rreze. Përveç kësaj, është e mundur të përdoret autentifikimi me dy faktorë (duke përdorur Zywall OTP Brave).

Qasja e drejtpërdrejtë në burimet e rrjetit të korporatës ofrohet nga përdoruesit e largët të Secuextender nga kompjuterët e klientit. Pas kësaj, me lejen e administratorëve në kategori të caktuara të përdoruesve, do të jetë e lehtë për të organizuar tunelet e rrjetit nëpërmjet IPsec. Administratorët gjithashtu mund të konfigurojnë politikat e sigurisë për grupet e përdoruesve, adresat e rrjetit ose aplikacione të ndryshme.

Zywall SSL 10 mbështet 10 seanca të mbrojtura të njëkohshme me aftësinë për të rritur 25 seanca SSL. Në rrjet, pajisja mund të përdoret ose për portën ekzistuese (Fig. 2) ose si një portë e re (Fig. 3). Në rastin e parë, Zywall SSL 10 mund të lidhet me portin DMZ. Në të dytin është një modem, dhe web server është në zywall. Trafiku nga serveri i uebit në përdoruesin e largët kalon përmes tunelit VPN.

Ndër opsionet e mbështetura, ju mund të përmendni protokollin TLS, encryption, certifikatat - 256-bit AES, ide, RSA, hashing - MD5, SHA-1. Një tipar interesant është një përzgjedhje mjaft e madhe e nozzles për prizën e energjisë (për çdo bazat dhe rrjetet).

Concentrator NetGear Prosafe SSL VPN SSL312

Pajisja ju lejon të punoni njëkohësisht me një rrjet të korporatës deri në 25 klientë të largët. Lidhja është bërë duke përdorur komponentët ActiveX që mund të shkarkohen dhe instalohen direkt nga pajisja.

Megjithatë, klienti duhet të ketë qasje në privilegjet e administratorit për të instaluar komponentët përkatës ActiveX. Përveç kësaj, cilësimet duhet të instalohen në shfletuesin duke lejuar komponentët ActiveX. Ju gjithashtu mund të duhet të instaloni përditësimet e Windows. Hardware përfshin dy porte LAN dhe një port serial. Kur hyni në sistem, opsioni i legalizimit është zgjedhur: Baza e të dhënave të përdoruesit, domain Windows NT, LDAP, Microsoft Active Directory, Radius (Pap, Chap, Mschap, Mscapv2). Kur hyni në një server të largët, ky i fundit duhet të jetë i disponueshëm dhe kursimi i trafikut duhet të konfigurohet.

Nëse shuma e kujtesës së dramit është e njëjtë dhe Netgear SSL312, dhe në Zywall SSL 10, atëherë kujtesa flash Netgear është qartë inferiore (16 kundër 128 MB). Procesori Net-Gear SSL312 gjithashtu humbet Zywall (200 kundrejt 266 me një përshpejtues kriptografik). Ndryshe nga Netgear SSL312, Zywall mbështet versionin 2.0 SSL protokoll.

Ka dy opsione për përdorimin e pajisjes. Në rastin e parë, nga dy portet ethernet netgear SSL312 përdor vetëm një. Gateway duhet të hyjë në NetGear SSL312 nga HTTPS. Një tjetër opsion i përdorimit do të përdorë të dy portat Ethernet Netgar SSL312, ndërsa trafiku SSL nuk kalon nëpër firewall. Një port Ethernet i pajisjes i është caktuar një adresë IP e hapur, dhe e dyta është adresa e brendshme IP e rrjetit të brendshëm. Duhet të theksohet se NetGear SSL312 nuk kryen funksionet NAT dhe ITU dhe nuk i zëvendëson ato.

Për të punuar me shërbimet e rrjetit, një rrjet lokal i largët ka dy opsione: tuneli VPN, i cili është themeluar midis përdoruesit dhe pajisjes, ose përcjelljes së porteve (Port Forwarding). Të dyja metodat kanë avantazhe dhe disavantazhe. Tuneli VPN ju lejon të organizoni një lidhje të plotë me një rrjet të largët lokal, por nuk lejon cilësimet individuale për secilin shërbim. Redirection Port ju lejon të punoni vetëm me lidhjet TCP (UDP dhe protokollet e tjera IP nuk mbështeten), rregullat për secilën aplikim përcaktohen veçmas.
DNS dinamike në NetGear SSL312 nuk mbështetet, e cila është gjithashtu një disavantazh.

SSL VPN Rrjetet Juniper Secure Access 700

Një zgjidhje e largët e qasjes duke përdorur SSL VPN është projektuar gjithashtu për kompanitë e vogla dhe të mesme. Ndërfaqja si një përdorues dhe administrator është i organizuar si një shfletues web. Instalimi i një klienti VPN në një kompjuter të largët nuk është i nevojshëm. Ka dy porte Ethernet RJ-45 dhe një port serial. Juniper Sa 700 kontrollon automatikisht kompjuterin e largët dhe, në varësi të rezultateve të softuerit të instaluar, cakton të drejta të ndryshme të qasjes.

Është e aftë të ruajë jo më shumë se 25 përdorues të punës në të njëjtën kohë. Në mesin e autentifikimit dhe autorizimit janë opsionet e mëposhtme: Microsoft Active Directory / Windows NT, LDAP, Nish, Radius, RSA, SAML, certifikatë server. Pajisja siguron qasje në burimet e skedarëve të Win-dows / SMB, Unix / NFS, aplikacionet e internetit, duke përfshirë përdorimin e JavaScript, XML, Flash; Kontrollet mbështeten nga protokollet Telnet dhe SSH. Qasja në email-in e korporatës organizohet në bazë të një klienti të rregullt të postës, i cili është konfiguruar në një lidhje të sigurt nëpërmjet protokollit SSL në Juniper SA 700. Megjithatë, kjo do të kërkojë licencën "Core Clientless Access Client Access".

Juniper SA 700 ofron kontrolle automatike të një kompjuteri të largët nëse ka instaluar softuer antivirus, ITU personale, programe të tjera që ofrojnë siguri. Të gjitha shkarkimet e serverëve proxy dhe skedarët e përkohshëm të kërkuar gjatë seancës fshihen pas përfundimit të seancës.