Настройка брандмауэра ISA для поддержки аутентификации EAP-TLS на основе сертификатов (часть 1)

Примечание:
Хотя в этой статье показан интерфейс настройки ISA 2004, те же самые процедуры применяются к настройке брандмауэров ISA 2006 для безопасных удаленных клиентских подключений VPN с использованием аутентификации EAP/TLS.

Бывают случаи, когда вы можете не захотеть присоединять брандмауэр ISA к домену. Хотя присоединение брандмауэра ISA к домену является лучшей практикой безопасности брандмауэра ISA, существуют сценарии, когда вам не нужно присоединять брандмауэр ISA к домену. Например, когда вы используете параллельную конфигурацию ISA Firewall, нет особых причин присоединять интерфейсный ISA Firewall к домену. Вместо этого внешний брандмауэр ISA представляет собой автономную машину, в то время как внутренний брандмауэр ISA выполняет тяжелую работу по обеспечению безопасности и присоединен к пользовательскому домену. Это позволяет вам использовать все функции безопасности, ведения журналов и отчетов ISA Firewall. Другой сценарий, когда вы можете не захотеть присоединять брандмауэр ISA к домену, — это когда вы используете брандмауэр ISA в качестве выделенного VPN-сервера или шлюза VPN параллельно с вашим брандмауэром ISA Firewall для управления исходящим доступом.

Брандмауэры ISA, которые не являются членами пользовательского домена, должны использовать механизм, отличный от аутентификации Windows, для идентификации и аутентификации пользователей домена. ISA Firewall может аутентифицировать пользователей VPN, используя протокол RADIUS (Remote Access Dial In User Service). Протокол RADIUS позволяет брандмауэру ISA пересылать учетные данные пользователя сервера RADIUS во внутренней сети. Затем сервер RADIUS отправляет запрос проверки подлинности на сервер проверки подлинности, такой как контроллер домена Active Directory, для проверки подлинности.

Помимо аутентификации пользователей, IAS-сервер можно использовать для централизации политики удаленного доступа во всей организации. Например, если в вашей сети есть 6 серверов брандмауэра ISA/VPN, вы можете применить одну и ту же политику удаленного доступа ко всем этим машинам, настроив ее один раз на сервере IAS.

ISA Firewall поддерживает все типы серверов RADIUS. RADIUS-сервер Microsoft — это сервер Internet Authentication Services (IAS). Сервер Microsoft IAS включен во все серверные продукты семейства Windows 2000 и Windows Server 2003.

Вы можете значительно повысить уровень безопасности, применяемый к решению удаленного доступа VPN, используя аутентификацию пользователя на основе сертификата EAP. EAP (Extensible Authentication Protocol) позволяет расширить количество методов аутентификации пользователей, доступных для VPN-сервера. Сервер Microsoft RADIUS (IAS) также поддерживает EAP. Примерами методов аутентификации пользователей EAP, которые вы можете использовать с сервером ISA Firewall/VPN и RADIUS, являются аутентификация с помощью сертификата пользователя и аутентификация с помощью смарт-карты. Аутентификация с помощью смарт-карты требует дополнительного оборудования и программного обеспечения, не включенного в базовые продукты Windows или ISA Firewall.

Вы можете использовать встроенный сервер сертификатов Microsoft, входящий в состав продуктов семейства Windows 2000 и Windows Server 2003, для назначения пользовательских сертификатов пользователям в вашей организации. Затем пользователи могут настроить свое клиентское программное обеспечение VPN для предоставления сертификата пользователя для аутентификации на сервере VPN. Проверка подлинности сертификата пользователя более безопасна, поскольку имя пользователя и пароль не передаются через Интернет. Кроме того, сертификат должен быть установлен на компьютере пользователя, поэтому VPN-подключения, требующие проверки подлинности сертификата пользователя, не могут выполняться с ненадежных компьютеров, на которых не установлен сертификат пользователя.

В этой двухчастной статье серии мы обсудим процедуры, необходимые для того, чтобы клиенты VPN могли использовать аутентификацию RADIUS для аутентификации в домене Active Directory внутренней сети. Затем мы настроим сервер ISA Firewall/VPN для принятия аутентификации сертификата. Наконец, мы выдадим сертификат VPN-клиенту и настроим VPN-клиент для предоставления сертификата для аутентификации.

Конкретные процедуры, обсуждаемые в этом документе, включают:

• Настройка IAS-сервера
• Создайте политику удаленного доступа VPN-клиентов
• Настройка разрешений удаленного доступа и функционального уровня домена
• Включите VPN-сервер на брандмауэре ISA Server 2004 и настройте поддержку RADIUS.
• Создайте правило доступа к VPN-клиенту
• Выдача сертификатов брандмауэру ISA Server 2004 и VPN-клиентам
• Установите соединение с VPN-клиента L2TP/IPSec.
• Установите соединение с VPN-клиента PPTP.

Требуемые машины:

• EXCHANGE2003BE — это контроллер домена и сервер RADIUS.
• ISALOCAL — это сервер ISA Firewall/VPN.
• EXTERNALCLIENT — это внешний клиентский компьютер VPN.

Настройка сервера служб проверки подлинности в Интернете (RADIUS)

Первое, что вам нужно сделать, это установить сервер IAS. Вы можете сделать это в апплете «Установка и удаление программ» в Панели управления.

После установки сервера IAS выполните следующие шаги для настройки сервера IAS:

1. Нажмите «Пуск», выберите «Администрирование» и нажмите «Службы проверки подлинности в Интернете ».
2. В консоли Internet Authentication Services щелкните правой кнопкой мыши узел Internet Authentication Service (Local) на левой панели консоли. Щелкните команду Зарегистрировать сервер в Active Directory.

фигура 1

3. Этот параметр позволяет серверу IAS аутентифицировать пользователей в домене Active Directory. Нажмите «ОК» в диалоговом окне «Зарегистрировать сервер интернет-аутентификации в Active Directory ».
4. Нажмите «ОК» в диалоговом окне «Сервер зарегистрирован: ». Это диалоговое окно информирует вас о том, что сервер IAS был зарегистрирован в определенном домене, и если вы хотите, чтобы этот сервер IAS считывал свойства удаленного доступа пользователей из других доменов, вам необходимо ввести этот сервер в группу серверов RAS/IAS в этот домен.
5. Щелкните правой кнопкой мыши узел «Клиенты RADIUS» на левой панели консоли и выберите команду «Новый клиент RADIUS».

фигура 2

6. В диалоговом окне New RADIUS Client введите Понятное имя для ISA Firewall/VPN-сервера. Вы можете использовать любое имя, которое вам нравится. В этом примере мы будем использовать DNS-имя хоста брандмауэра/VPN-сервера ISA Server, то есть ISALOCAL. Введите либо полное доменное имя, либо IP-адрес брандмауэра ISA/VPN-сервера в диалоговом окне Адрес клиента (IP или DNS). Не вводите полное доменное имя, если ваш брандмауэр ISA Server/VPN-сервер не зарегистрировал IP-адрес своего внутреннего интерфейса на вашем внутреннем DNS-сервере. С помощью кнопки «Проверить» можно проверить, может ли IAS-сервер разрешать полное доменное имя. Нажмите «Далее».

Рисунок 3

7. На странице «Дополнительная информация» оставьте запись «Стандарт RADIUS» в раскрывающемся списке «Клиент-поставщик». Ваш брандмауэр/VPN-сервер ISA Server будет использовать эту настройку. Введите сложный общий секрет в тексте общего секрета и подтвердите его в текстовом поле Подтвердить общий секрет. Общий секрет должен быть сложной строкой, состоящей из букв верхнего и нижнего регистра, цифр и символов. Поставьте галочку в поле Запрос должен содержать атрибут Message Authenticator. Этот параметр повышает безопасность сообщений RADIUS, передаваемых между брандмауэром ISA Server/VPN и серверами IAS. Нажмите Готово.

Рисунок 4

Создайте политику удаленного доступа VPN-клиентов

Вы готовы создать политику удаленного доступа на сервере IAS. Политики удаленного доступа, настроенные на IAS-сервере, применяются к VPN-клиентам, которые обращаются к ISA Firewall/VPN-серверу. IAS-сервер Windows Server 2003 имеет мастер политики удаленного доступа, который упрощает создание защищенной политики удаленного доступа VPN-клиента.

Выполните следующие шаги, чтобы создать политику удаленного доступа VPN-клиента на IAS-сервере:

1. В консоли службы проверки подлинности в Интернете щелкните правой кнопкой мыши узел «Политики удаленного доступа» и выберите команду «Новая политика удаленного доступа».

Рисунок 5

2. Нажмите «Далее» на странице «Добро пожаловать на страницу мастера создания новой политики удаленного доступа».
3. На странице «Метод настройки политики» выберите параметр «Использовать мастер для настройки типичной политики для стандартного сценария». В текстовом поле Имя политики введите имя политики. В этом примере мы назовем ее политикой доступа к VPN. Нажмите «Далее».

Рисунок 6

4. Выберите параметр VPN на странице «Метод доступа». Эта политика используется для всех VPN-соединений. У вас также есть возможность создать отдельные политики для каналов PPTP и L2TP/IPSec VPN. Однако для создания отдельных политик для подключений PPTP и L2TP/IPSec необходимо вернуться в мастере назад и создать две настраиваемые политики. В этом примере мы применим одну и ту же политику ко всем VPN-подключениям. Нажмите «Далее».

Рисунок 7

5. Вы можете предоставить доступ к VPN-серверу на основе пользователя или группы. Наилучший метод управления доступом — для каждой группы, поскольку он требует меньше административных издержек. Вы можете создать группу, например «Пользователи VPN», и разрешить им доступ или доступ всем вашим пользователям. Это зависит от того, кому вы хотите предоставить VPN доступ к сети. В этом примере мы выберем параметр «Группа» и нажмем кнопку «Добавить». Откроется диалоговое окно «Выбрать группы». Введите имя группы в текстовое поле Введите имя объекта для выбора и нажмите кнопку Проверить имена, чтобы убедиться, что вы ввели правильное имя. В этом примере мы будем использовать группу «Пользователи домена». Нажмите «ОК» в диалоговом окне «Выбор групп», а затем нажмите « Далее» в диалоговом окне «Пользовательский или групповой доступ».

Рисунок 8

6. Вы можете выбрать разрешенные методы аутентификации пользователя на странице «Методы аутентификации». Возможно, вы захотите разрешить как Microsoft Encrypted Authentication версии 2, так и Extensible Authentication Protocol (EAP). Проверка подлинности EAP и MS-CHAP версии 2 является безопасной, поэтому мы установим флажки для Extensible Authentication Protocol (EAP) и Microsoft Encrypted Authentication версии 2 (MS-CHAPv2). Щелкните стрелку вниз в раскрывающемся списке Тип (на основе метода доступа и конфигурации сети) и выберите параметр Смарт-карта или другой сертификат, затем нажмите кнопку Настроить. В диалоговом окне «Свойства смарт-карты или другого сертификата» выберите сертификат, который сервер должен использовать для идентификации себя для клиентов VPN. Самоподписанный сертификат появится в раскрывающемся списке Сертификат, выданный для. Этот сертификат используется для идентификации сервера, когда клиенты VPN настроены на подтверждение действительности сервера. Нажмите «ОК» в диалоговом окне «Свойства смарт-карты или другого сертификата», а затем нажмите «Далее».

Рисунок 9

Рисунок 10

Примечание:
Если вы не видите сертификат в диалоговом окне Смарт-карта или другое окно свойств сертификата, перезапустите сервер RADIUS и начните заново. Сертификат появится в диалоговом окне после перезагрузки.

7. Выберите уровень (уровни) шифрования, который вы хотите использовать для VPN-соединений. Все клиенты Microsoft поддерживают самый надежный уровень шифрования. Если у вас есть клиенты, которые не поддерживают 128-битное шифрование, выберите более низкие уровни, но помните, что вы снижаете уровень безопасности, обеспечиваемый методом шифрования, используемым протоколом VPN. В этом примере мы выберем только самое сильное шифрование (IPSec Triple DES или MPPE 128-bit). Нажмите «Далее».

Рисунок 11

8. Проверьте настройки на странице «Завершение работы мастера создания новой политики удаленного доступа» и нажмите «Готово».

Разрешения удаленного доступа и функциональный уровень домена

Новая политика удаленного доступа требует, чтобы соединение было «виртуальным» или VPN-соединением. Протокол VPN может быть либо PPTP, либо L2TP/IPSec. Для аутентификации необходимо использовать MS-CHAP v2 или EAP-TLS, а клиент должен поддерживать самый высокий уровень шифрования, доступный для протокола VPN, который он использует для подключения. Пользователь должен принадлежать к группе «Пользователи домена» в домене, указанном в Политике удаленного доступа.

Следующим шагом является настройка разрешений удаленного доступа. Разрешения на удаленный доступ отличаются от политик удаленного доступа. Когда пользователь вызывает брандмауэр/VPN-сервер ISA Server, параметры соединения сравниваются с политикой удаленного доступа или политиками, определенными на сервере IAS. Политики удаленного доступа представляют собой иерархический список. Сначала оценивается политика в верхней части списка, затем применяется вторая из перечисленных политик, затем третья и так далее.

Параметры VPN-подключения сравниваются с условиями политики. В политике, которую мы создали выше, было два условия: тип подключения — виртуальное подключение и пользователь — член группы «Пользователи домена». Если запрос на подключение соответствует обоим этим условиям, то определяется разрешение на удаленный доступ для входа в учетную запись. Разрешения на удаленный доступ определяются по-разному в зависимости от типа домена, к которому принадлежит учетная запись пользователя.

Домены Windows Server 2003 не используют обозначения смешанного и основного режима, с которыми вы, возможно, знакомы в доменах Windows 2000. Windows Server 2003 поддерживает домены различных функциональных уровней. Если все контроллеры домена в вашем домене работают под управлением Windows Server 2003, функциональным уровнем по умолчанию является смешанный Windows 2000. Всем учетным записям пользователей по умолчанию запрещен доступ к VPN (удаленный доступ) на функциональном уровне Windows 2000 Mixed Mode. В смешанном режиме Windows 2000 необходимо настроить каждую учетную запись пользователя так, чтобы она имела разрешение на вход на сервер VPN. Причина в том, что разрешения учетной записи пользователя переопределяют разрешения политики удаленного доступа в доменах смешанного режима.

Если вы хотите контролировать разрешения на удаленный доступ с помощью политики удаленного доступа, вы должны повысить функциональный уровень домена Windows 2000 Native или Windows Server 2003. Разрешение на удаленный доступ по умолчанию в доменах Windows 2000 и Windows Server 2003 — Управление доступом с помощью политики удаленного доступа. Как только вы сможете использовать политику удаленного доступа для назначения разрешения на доступ к VPN, вы сможете воспользоваться членством в группе, чтобы разрешить или запретить доступ к серверу VPN.

Когда запрос на подключение соответствует условиям в политике удаленного доступа, и пользователю предоставляется доступ либо через настройки удаленного доступа учетной записи пользователя, либо через политику удаленного доступа, параметры подключения сравниваются с рядом настроек, определенных профилем удаленного доступа. Если входящее соединение не соответствует параметрам в профиле удаленного доступа, то к соединению применяется следующая политика удаленного доступа. Если никакая политика не соответствует параметрам входящего подключения, запрос на подключение к брандмауэру ISA Server/VPN-серверу отбрасывается.

Созданная ранее политика удаленного доступа VPN включает все параметры, необходимые для безопасного подключения VPN. Теперь ваше решение зависит от того, как вы хотите управлять разрешениями удаленного доступа:

• Разрешить удаленный доступ для каждой группы: для этого требуется, чтобы вы работали на функциональном уровне Windows 2000 Native или Windows Server 2003.
• Разрешить удаленный доступ для каждого пользователя: поддерживается функциональными уровнями Windows 2000 Native, Windows 2000 Mixed и Windows Server 2003.
• Разрешить удаленный доступ как для каждого пользователя, так и для группы: для этого требуется функциональный уровень Windows 2000 Native или Windows Server 2003; детальный контроль доступа на основе пользователей, переопределяющий контроль доступа на основе групп, осуществляется для каждого пользователя.
• Процедуры, необходимые для разрешения доступа для отдельных пользователей и групп, включают:
• Измените разрешения удаленного доступа для учетной записи пользователя в Active Directory, чтобы управлять разрешениями удаленного доступа для каждого пользователя.
• Измените функциональный уровень домена для поддержки разрешений удаленного доступа на основе политики удаленного доступа.
• Измените параметры разрешений в политике удаленного доступа.

Изменение прав удаленного доступа для учетной записи пользователя

Вы можете включить разрешения на телефонный звонок для каждой учетной записи или создать политики удаленного доступа, которые можно настроить для включения разрешений на телефонный звонок для целых групп.

Выполните следующие шаги, если вы хотите контролировать доступ для каждого пользователя:

1. Нажмите «Пуск», выберите «Администрирование» и щелкните «Пользователи и компьютеры Active Directory».
2. В консоли «Пользователи и компьютеры Active Directory» разверните имя своего домена и щелкните узел «Пользователь».
3. Дважды щелкните Администратор учетную запись на правой панели консоли. В диалоговом окне «Свойства учетной записи пользователя» щелкните вкладку «Входящие звонки». Настройкой по умолчанию для учетной записи является Запретить доступ. Вы можете разрешить VPN-доступ для учетной записи, выбрав параметр Разрешить доступ. Настройка учетной записи пользователя переопределяет разрешения, установленные в политике удаленного доступа. Обратите внимание, что параметр «Управление доступом через политику удаленного доступа» отключен. Этот параметр доступен, только если домен находится на функциональном уровне Windows 2000 или Windows Server 2003. Пока не вносите никаких изменений в настройки учетной записи.

Рисунок 12

4. Щелкните Отмена, чтобы закрыть это диалоговое окно.

Изменение функционального уровня домена

Если вы хотите контролировать доступ для каждой группы, вам потребуется изменить функциональный уровень домена по умолчанию. Выполните следующие шаги, чтобы изменить функциональный уровень домена:

1. На контроллере домена в вашем домене откройте консоль Active Directory Domains and Trusts. Нажмите «Пуск», выберите «Администрирование» и щелкните «Домены и доверительные отношения Active Directory ».
2. В консоли «Домены и доверительные отношения Active Directory» щелкните правой кнопкой мыши свой домен и выберите команду «Повысить функциональный уровень домена».

Рисунок 13

3. В диалоговом окне Повышение функционального уровня домена щелкните стрелку вниз в раскрывающемся списке Выберите доступный функциональный уровень домена и выберите Windows 2000 Native или Windows Server 2003 в зависимости от типа доменного функционального уровня, который может поддерживать ваша сеть. В этом примере мы выберем вариант Windows Server 2003. Нажмите кнопку «Поднять» после того, как сделаете свой выбор.

Рисунок 14

4. Нажмите «ОК» в диалоговом окне «Повысить функциональный уровень домена ». В этом диалоговом окне объясняется, что изменение влияет на весь домен, и после внесения изменения его нельзя отменить.
5. Нажмите «ОК» в диалоговом окне «Поднять функциональный уровень домена», информируя вас об успешном повышении функционального уровня. Обратите внимание, что вам не нужно перезагружать компьютер, чтобы изменения вступили в силу. Однако разрешение на удаленный доступ по умолчанию не изменится для учетных записей пользователей до завершения репликации Active Directory. В этом примере мы перезагрузим компьютер. Перезагрузите компьютер сейчас и войдите в систему как администратор.
6. Вернитесь в консоль «Пользователи и компьютеры Active Directory» и дважды щелкните учетную запись пользователя. Нажмите на вкладку Dial-in в диалоговом окне свойств пользователя. Обратите внимание, что параметр «Управление доступом через политику удаленного доступа» включен и выбран по умолчанию.

Рисунок 15

Управление разрешениями на удаленный доступ с помощью политики удаленного доступа

Теперь, когда у вас есть возможность управлять доступом с помощью политики удаленного доступа, давайте посмотрим, как выполняется управление доступом к VPN с помощью политики удаленного доступа:

1. Нажмите «Пуск», выберите «Администрирование» и нажмите «Служба проверки подлинности в Интернете ».
2. Щелкните узел Политики удаленного доступа на левой панели консоли. Вы увидите созданную политику доступа VPN и две другие встроенные политики удаленного доступа. Вы можете удалить эти другие политики удаленного доступа, если вам требуются только VPN-подключения к вашему брандмауэру ISA Server/VPN-серверу. Щелкните правой кнопкой мыши политику удаленного доступа «Подключения к другим серверам доступа» и нажмите «Удалить». Повторите эти действия с политикой удаленного доступа к подключению к серверу маршрутизации и удаленного доступа Майкрософт.

Рисунок 16

3. Дважды щелкните политику доступа к VPN на правой панели консоли. В диалоговом окне «Свойства политики доступа к VPN» есть два параметра, которые управляют разрешениями на доступ на основе политики удаленного доступа:

   - Запретить удаленный доступ
   - Предоставить разрешение на удаленный доступ

   Обратите внимание, что это диалоговое окно информирует вас о том, что параметры учетной записи пользователя переопределяют параметры разрешений на удаленный доступ: Если в профиле пользователя не указаны индивидуальные разрешения на доступ, эта политика управляет доступом к сети. Выберите разрешение на удаленный доступ, чтобы разрешить членам группы «Пользователи домена» доступ к VPN-серверу.
   
   
   
   
   

Рисунок 17

4. Нажмите «Применить», а затем нажмите «ОК» в диалоговом окне «Свойства политики доступа к VPN», чтобы сохранить изменения.

Резюме

В этой статье мы начали обсуждение того, как настроить брандмауэр ISA для поддержки безопасной аутентификации EAP/TLS для клиентских подключений VPN с удаленным доступом. Мы начали с настройки сервера RADIUS и закончили настройкой политик удаленного доступа и изменением функционального уровня домена. В следующей статье мы рассмотрим, как настроить VPN-сервер ISA Firewall для поддержки наших клиентских подключений EAP/TLS VPN. Тогда увидимся! -Том.