Использование брандмауэра ISA для настройки детального контроля доступа для VPN-клиентов (часть 1)

.

Использование брандмауэра ISA для настройки детального контроля доступа для VPN-клиентов (часть 1)

Томас Шиндер, доктор медицинских наук, MVP

Одной из функций брандмауэра ISA, которой не уделяется должного внимания, является компонент сервера удаленного доступа VPN. VPN-сервер брандмауэра ISA может обеспечить необычайно высокий уровень безопасности для ваших VPN-подключений удаленного доступа, поскольку он применяет к VPN-подключениям те же надежные функции проверки пакетов и приложений с отслеживанием состояния, что и к любому другому подключению к брандмауэру ISA или через него. Это отличает компонент сервера удаленного доступа VPN брандмауэра ISA от типичного брандмауэра с отслеживанием состояния только для проверки пакетов, где пользователи VPN имеют тот же уровень доступа к корпоративной сети, что и хост, напрямую подключенный к сети.

Есть много преимуществ использования компонента сервера удаленного доступа VPN брандмауэра ISA, позволяющего удаленным пользователям получать доступ к ресурсам в корпоративной сети. Некоторые из этих преимуществ включают в себя:

• Превосходное решение для обеспечения удаленного доступа к общим файловым и веб-ресурсам Наиболее распространенная причина, по которой организации предоставляют пользователям VPN-подключения, — предоставление им доступа к файловым серверам в корпоративной сети. Включение прямых подключений к общим файловым ресурсам SMB/CIFS из Интернета повсеместно считается плохой практикой безопасности. Брандмауэр ISA может быть настроен для обеспечения безопасного удаленного доступа к файловым ресурсам для каждого пользователя/группы, и вы можете ограничить доступ пользователей только к тем файловым серверам, к которым им нужен доступ, для каждого пользователя/группы. Это не позволяет пользователям VPN, которым не разрешено использовать SMB/CIFS, использовать этот протокол для подключения к неавторизованным серверам, а пользователям, которым разрешено использовать SMB/CIFS, — подключаться к серверам, отличным от тех, к которым им разрешено подключаться.
• Обеспечивает удаленный доступ к протоколам, не поддерживающим NAT. Многие приложения не полностью поддерживают соединения NAT между исходной и целевой сетями. Приложения VoIP являются хорошим примером ограниченной поддержки сетевых отношений с NAT. По этой причине вам нужна связь маршрута между источником и пунктом назначения. VPN-клиенты, подключающиеся к брандмауэру ISA, извлекают выгоду из сетевого правила, определяющего отношения маршрутизации между членами сети VPN-клиентов и корпоративной сетью.
• Принудительная проверка подлинности пользователей для протоколов, которые вы в противном случае создали бы. Правила публикации сервера, которые не поддерживают предварительную проверку подлинности пользователей. Правила публикации сервера позволяют предоставлять удаленный доступ к невеб-протоколам. Примеры распространенных не-веб-протоколов включают RPC, SQL, SMTP, POP3, RDP, IMAP4 и Telnet. В отличие от правил веб-публикации для веб-протоколов, вы не можете применять предварительную аутентификацию на брандмауэре ISA для протоколов, опубликованных с помощью правил публикации сервера. VPN-соединения с удаленным доступом обеспечивают идеальную инфраструктуру для предварительной аутентификации пользователей, прежде чем им будет разрешен доступ к протоколам, которые в противном случае вы разрешили бы анонимный доступ (по крайней мере, на брандмауэре ISA) через правила публикации сервера. Пользователи VPN с удаленным доступом аутентифицируются на брандмауэре ISA, и им разрешено подключаться к серверам с использованием определенных протоколов, только если пользователь авторизован для подключения к определенному серверу с использованием определенного протокола.
• Уменьшает поверхность атаки на брандмауэре ISA и на вышестоящих серверах (серверах, расположенных в корпоративной сети) за счет уменьшения количества правил веб-публикации и серверных публикаций, которые необходимо создать для удаленного доступа. По умолчанию брандмауэр ISA представляет собой сетевой блок. После завершения установки никакие подключения к брандмауэру ISA или через него запрещены. Никакие соединения не допускаются к брандмауэру ISA или из него, за исключением разрешенных системной политикой, которую вы можете настроить для дополнительной блокировки устройства брандмауэра ISA, и никакие соединения через брандмауэр ISA не разрешены, пока вы не создадите либо правила доступа, либо правила публикации.
• Карантин VPN с удаленным доступом В брандмауэр ISA включена тесно интегрированная поддержка карантина VPN с удаленным доступом. Удаленный доступ VPN Карантин VPN позволяет размещать VPN-клиентов в настраиваемой сети карантина VPN до тех пор, пока клиенты не пройдут тесты работоспособности клиентов для определения конфигурации безопасности устройства VPN-клиента. К сожалению, для выполнения этой работы вам необходимо обладать продвинутыми навыками написания сценариев или программирования. Кроме того, высокой планкой, созданной этими требованиями к разработке приложений, является время, необходимое для исследования проблем и требований к конфигурации, связанных с внедрением жизнеспособного решения для карантина удаленного доступа. Например, попробуйте выяснить, как ваша любимая антивирусная программа регистрирует номер своей версии и статус обновления — вы обнаружите, что это непростая задача. В настоящее время я считаю компонент карантина удаленного доступа брандмауэра ISA выпуском «точка-один», который представляет собой скорее платформу разработки, чем «полностью испеченную» функцию глубокоэшелонированной защиты. Однако, если вас интересует полностью разработанное решение, использующее встроенную поддержку карантина удаленного доступа в брандмауэре ISA, ознакомьтесь с Quarantine Security Suite (QSS) Фредерика Эснуфа по адресу http://www.esnouf.net/qss_main.htm.

Обзор сценария удаленного доступа VPN, обсуждаемого в этой статье

Сценарий, обсуждаемый в этой серии статей, будет включать следующие ключевые особенности:

• Брандмауэр ISA является членом домена. Мое твердое и взвешенное мнение заключается в том, что брандмауэр ISA, присоединенный к домену, является гораздо более безопасной конфигурацией, чем автономный брандмауэр ISA, установленный в рабочей группе. По этой причине я рекомендую вам всегда устанавливать брандмауэр ISA как член домена, исключением из этого правила будет случай, когда членство в домене не дает никаких преимуществ, например, когда брандмауэр ISA используется в качестве внешнего брандмауэра в обратная конфигурация брандмауэра, а сегмент между брандмауэрами представляет собой DMZ с анонимным доступом. Существуют реальные, воспроизводимые, применимые и постоянно демонстрируемые причины, по которым член домена брандмауэра ISA значительно повышает уровень безопасности, который может обеспечить брандмауэр ISA, в то время как есть только теоретические причины, доказательства которых не могут предоставить даже самые опытные консультанты по безопасности в отрасли. концепции, чтобы сделать брандмауэр ISA членом рабочей группы (за исключением сценария, который я упомянул с внешним брандмауэром ISA). Брандмауэр ISA сможет использовать встроенную аутентификацию Windows для аутентификации и авторизации доступа пользователей VPN к VPN-серверу, серверам и службам в корпоративной сети.
• Группе VPN-пользователей RDP разрешен RDP-доступ к терминальному серверу Мы создадим группу RDP-пользователей на брандмауэре ISA и используем эту группу в правиле доступа, которое разрешает доверенным администраторам RDP-доступ к корпоративной сети.
• Группе VPN File Shares разрешен доступ к файловому ресурсу на файловом сервере. Мы создадим группу File Shares на брандмауэре ISA и используем эту группу в правиле доступа, которое разрешит пользователям, которым мы хотим иметь доступ к файловому серверу, используя протоколы общего доступа к файлам Windows.
• Группе администраторов VPN UNIX разрешен Telnet-доступ к серверу UNIX Мы создадим группу администраторов Unix на брандмауэре ISA и используем эту группу в правиле доступа, которое разрешает этим пользователям доступ к серверу UNIX в корпоративной сети с использованием протокола Telnet.
• Группе пользователей VPN Outlook MAPI разрешен полный доступ клиента Outlook MAPI к серверу Exchange. Мы создадим группу Outlook MAPI на брандмауэре ISA и используем эту группу в правиле доступа, которое разрешает этим пользователям доступ к этому протоколу для подключения к серверу Exchange.
• Создайте четырех пользователей: user1, user2, user3 и user4. Назначьте каждого из этих пользователей в одну из вышеупомянутых групп

Обратите внимание, что когда мы создаем каждое из правил доступа, пользователям будет разрешен доступ к определенным протоколам, и они смогут использовать эти протоколы только при подключении к определенным серверам. Если пользователь попытался получить доступ к протоколу, который ему не разрешено использовать, то в соединении будет отказано. Если пользователю разрешен доступ к протоколу, но он пытается использовать этот протокол для подключения к серверу, с которым пользователь не имеет права использовать этот протокол, то в подключении будет отказано.

Еще одна важная вещь, о которой следует помнить, это то, что вы можете помещать пользователей домена в настраиваемые группы брандмауэра ISA. Например, вы можете создать группу брандмауэра ISA под названием « Пользователи общего доступа к файлам VPN» на брандмауэре ISA, а затем добавить членов домена в эту группу. Кроме того, вы можете создать глобальную группу на контроллере домена под названием «Пользователи VPN-файлов общего доступа», добавить пользователей в эту глобальную группу, а затем добавить эту группу в группу «Пользователи VPN-файлов общего доступа» брандмауэра ISA. Преимущество использования групп брандмауэра ISA заключается в том, что вам не нужны разрешения для создания глобальной группы для создания группы брандмауэра ISA. Это большое преимущество, когда группа сетевой инфраструктуры (которая управляет брандмауэром ISA) не имеет прав на управление пользователями и группами в Active Directory.

На рисунке ниже представлен общий обзор машин, включенных в пример сети, используемый в этой статье.

фигура 1

В этой статье мы выполним следующие процедуры для достижения наших целей детального контроля доступа для пользователей VPN:

• Включите компонент сервера VPN на брандмауэре ISA. Компонент сервера VPN по умолчанию не включен на брандмауэре ISA. Сначала нам нужно включить и настроить VPN-сервер брандмауэра ISA, прежде чем будут приняты VPN-подключения удаленного доступа.
• Создание детальных правил доступа на брандмауэре ISA После включения и настройки компонента VPN-сервера на брандмауэре ISA следующим шагом будет создание детальных правил доступа на основе пользователей/групп/протоколов/серверов на брандмауэре ISA. Целями этих правил являются: 1. Требовать аутентификацию на брандмауэре ISA, прежде чем будет разрешен доступ к сетевому серверу и сервису и 2. Предоставить пользователям VPN доступ только к тем ресурсам, которые им нужны при подключении к VPN-серверу. Это воплощение принципа наименьших привилегий. Вы всегда должны помнить о наименьших привилегиях при настройке любой политики брандмауэра.
• Установите CMAK и создайте профиль CMAK для распространения среди пользователей Пакет администрирования диспетчера подключений позволяет создавать пакеты диспетчера подключений, которые вы развертываете для своих пользователей и которые содержат все необходимые параметры конфигурации VPN-клиента. Пользователям никогда не нужно понимать, как настроить параметры VPN-клиента или знать о протоколах или адресах VPN. Просто попросите их загрузить исполняемый файл диспетчера соединений, который вы для них создали, и все, что им нужно сделать, это дважды щелкнуть файл. Поскольку мы знаем, что у пользователей никогда не возникает проблем с двойным нажатием на брандмауэры, установка VPN-клиента не составит труда. Все, что нужно ввести пользователю, это его имя пользователя и пароль.
• Распространение профиля CMAK и установка профиля на клиентские компьютеры VPN После создания профиля CMAK мы распространим его среди пользователей посредством загрузки с веб-сайта. Затем пользователи могут установить файл оттуда
• Протестируйте решение и просмотрите лог-файлы брандмауэра ISA. Мы закончим статью тестированием соединений и просмотром лог-файлов брандмауэра ISA, чтобы увидеть, что происходит, когда разные пользователи пытаются получить доступ к разным ресурсам, используя разные протоколы.

Включите компонент VPN-сервера на брандмауэре ISA.

Первым шагом является включение компонента VPN-сервера брандмауэра ISA. Выполните следующие шаги, чтобы включить VPN-сервер брандмауэра ISA:

По умолчанию компонент VPN-сервера отключен. Первым шагом является включение функции VPN-сервера и настройка компонентов VPN-сервера.

Выполните следующие шаги, чтобы включить и настроить VPN-сервер ISA Server 2004:

1. В консоли брандмауэра ISA разверните имя сервера. Щелкните узел Виртуальные частные сети (VPN).
2. Нажмите на вкладку «Задачи» на панели задач. Щелкните ссылку Включить доступ к VPN-клиенту.

фигура 2

3. Щелкните ссылку Настроить доступ к VPN-клиенту.
4. На вкладке «Общие» измените значение параметра «Максимальное количество VPN-клиентов» с 5 на 10. Я использую значение 10 только в качестве примера. Вы можете ввести значение до 1000, что является пределом VPN-соединений, принимаемых ISA Server 2004 Standard Edition. ISA Server 2004 Enterprise Edition поддерживает неограниченное количество VPN-соединений (в зависимости от пропускной способности и аппаратных ограничений).

Рисунок 3

5. Нажмите на вкладку Группы. На вкладке «Группы» нажмите кнопку «Добавить».
6. В диалоговом окне «Выбор групп» нажмите кнопку «Местоположения». В диалоговом окне Locations щелкните запись msfirewall.org и нажмите OK.
7. В диалоговом окне «Выбрать группу» введите «Пользователи домена» в текстовом поле «Введите имена объектов для выбора ». Нажмите кнопку Проверить имена. Имя группы будет подчеркнуто, если оно будет найдено в Active Directory. Это значение используется в условиях политики удаленного доступа, управляемых устройством брандмауэра ISA. Это потенциально сбивающий с толку вариант, поскольку подразумевает, что если вы введете группу в это диалоговое окно, им будет разрешен удаленный доступ к брандмауэру ISA. Это не обязательно так. Этим пользователям будет разрешено устанавливать VPN-подключение к брандмауэру ISA только в том случае, если их учетные записи настроены на включение удаленного доступа через политику удаленного доступа. Это параметр по умолчанию для домена в режиме Windows Server 2003 или собственном режиме Windows 2000. Однако если вы работаете на более низком функциональном уровне для своего домена, вам потребуется настроить учетные записи по отдельности, чтобы предоставить им разрешение на удаленный доступ (Dial-in). Если вы работаете в смешанном режиме Windows 2000, параметры на вкладке «Группы» не будут действовать, если вы не настроите вручную учетные записи для управления разрешениями на удаленный доступ с помощью политики удаленного доступа. Нажмите ОК.

Рисунок 4

8. Перейдите на вкладку Протоколы. На вкладке «Протоколы» установите флажок «Включить L2TP/IPSec». Обратите внимание, что вам нужно будет выдать сертификат машины брандмауэру ISA и подключающимся VPN-клиентам, прежде чем вы сможете использовать L2TP/IPSec. Альтернативой является использование общего ключа для согласования безопасности IPSec, но это не предпочтительный вариант, менее безопасный и менее масштабируемый. Когда оба флажка включены, пользователи могут подключаться к VPN-серверу брандмауэра ISA, используя либо PPTP, либо L2TP/IPSec. Нажмите Применить.

Рисунок 5

9. Щелкните вкладку Сопоставление пользователей. Мы не будем вносить никаких изменений на вкладке «Сопоставление пользователей», поскольку мы используем встроенную проверку подлинности Windows. Сопоставление пользователей потенциально полезно только в том случае, если вы используете аутентификацию EAP или RADIUS. Нажмите ОК.

Рисунок 6

10. На вкладке Задачи щелкните ссылку Выбрать сети доступа.

Рисунок 7

11. В диалоговом окне «Свойства виртуальных частных сетей (VPN)» щелкните вкладку Сети доступа. Обратите внимание, что флажок Внешний установлен по умолчанию. Это указывает на то, что внешний интерфейс прослушивает входящие клиентские соединения VPN с исходными адресами, определенными как находящиеся во внешней сети по умолчанию. Вы можете выбрать другие интерфейсы, такие как DMZ или интерфейсы экстрасети, если хотите предоставлять выделенные услуги VPN для доверенных хостов и сетей. Не вносите никаких изменений на вкладке Сети доступа.

Рисунок 8

12. Перейдите на вкладку Назначение адреса. Выберите внутренний интерфейс из списка в списке Использовать следующую сеть для получения служб DHCP, DNS и WINS. Это критический параметр, так как он определяет сеть, в которой осуществляется доступ к DHCP-серверу. Обратите внимание, что в этом примере мы используем DHCP-сервер во внутренней сети по умолчанию для назначения адресов VPN-клиентам. Сервер DHCP не будет назначать параметры DHCP клиентам VPN , если вы не установите агент DHCP Relay Agent на устройстве брандмауэра ISA. У вас есть возможность создать статический пул IP-адресов, которые будут назначаться клиентам VPN. Если вы решите использовать статический пул адресов, вы не сможете назначать параметры DHCP для этих хостов. Кроме того, если вы решите использовать статический пул адресов, вам следует использовать идентификатор сети вне подсети. Если вы не используете идентификатор сети вне подсети, вам нужно будет удалить адреса из определения сети брандмауэра ISA для сети в подсети. См. статью Стефана Поуселе о настройке адресов вне подсети по адресу http://isaserver.org/articles/How_to_Implement_VPN_OffSubnet_IP_Addresses.html.

Рисунок 9

13. Нажмите на вкладку Аутентификация. Обратите внимание, что по умолчанию включена только шифрованная проверка подлинности Майкрософт версии 2 (MS-CHAPv2). Вам следует использовать этот параметр по умолчанию, если у вас нет клиентов, которые не поддерживают этот протокол аутентификации. У вас также есть возможность использовать аутентификацию пользователя EAP, но мы не будем обсуждать этот вариант в этой статье. Обратите внимание на флажок Разрешить пользовательскую политику IPSec для подключения L2TP. Если вы не хотите создавать инфраструктуру открытого ключа или находитесь в процессе ее создания, но еще не закончили, вы можете установить этот флажок, а затем ввести предварительно общий ключ. Клиенты VPN должны быть настроены на использование одного и того же предварительного общего ключа. Обратите внимание, что общий ключ хранится в пользовательском интерфейсе в виде открытого текста и виден всем, у кого есть доступ к консоли брандмауэра ISA. Кроме того, предварительный общий ключ хранится в виде открытого текста в реестре машины, и вы также можете просмотреть его в консоли ipsecmon MMC, когда соединение L2TP/IPSec активно. Я настоятельно рекомендую вам использовать машинные сертификаты для поддержки соединений L2TP/IPSec VPN.

Рисунок 10

14. Щелкните вкладку РАДИУС. Здесь вы можете настроить VPN-сервер брандмауэра ISA Server 2004 на использование RADIUS для аутентификации пользователей VPN. Используйте аутентификацию RADIUS, когда вы вынуждены не подключать брандмауэр ISA к домену. Ознакомьтесь с моей статьей об использовании аутентификации RADIUS для VPN-клиентов удаленного доступа по адресу http://isaserver.org/articles/2004vpnradius.html. Поскольку в этой статье мы следуем передовым методам брандмауэра ISA, мы присоединили брандмауэр ISA к домену и не вынуждены сталкиваться с компрометациями, присущими аутентификации RADIUS.

Рисунок 11

15. Нажмите «Применить» в диалоговом окне «Свойства виртуальной частной сети (VPN)», а затем нажмите «ОК».
16. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
17. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».
18. Перезапустите брандмауэр ISA.

Аппарат получит блок IP-адресов от DHCP-сервера во внутренней сети по умолчанию (где находится наш DHCP-сервер) при перезапуске. Обратите внимание, что в производственной сети, где DHCP-сервер расположен в сегменте сети, удаленном от брандмауэра ISA, все промежуточные маршрутизаторы должны иметь включенную ретрансляцию BOOTP или DHCP, чтобы запросы DHCP от брандмауэра ISA могли достигать удаленных DHCP-серверов.

Резюме

В части 1 этой серии статей о том, как максимизировать безопасность VPN с помощью исключительного компонента VPN-сервера удаленного доступа брандмауэра ISA, мы начали с обсуждения того, как VPN-сервер брандмауэра ISA обеспечивает более высокую безопасность для VPN-соединений, чем обычный брандмауэр с отслеживанием состояния, предназначенный только для проверки пакетов. /VPN-серверы. Статья заканчивалась подробным описанием того, как включить компоненты VPN брандмауэра ISA. Во второй части этой серии мы рассмотрим детализированные правила доступа, необходимые для блокировки пользователей удаленного доступа VPN, подключающихся к корпоративной сети.

Использование брандмауэра ISA для настройки детального управления доступом для VPN-клиентов (часть 2).