Настройка брандмауэра ISA для поддержки аутентификации EAP-TLS на основе сертификатов (часть 2)

Если вы пропустили другие части этой серии статей, прочтите:

• Настройка брандмауэра ISA для поддержки аутентификации EAP-TLS на основе сертификатов (часть 1)
• Настройка брандмауэра ISA для поддержки аутентификации EAP-TLS на основе сертификатов (часть 3)

В первой статье этой серии об использовании проверки подлинности сертификата EAP-TLS для клиентских подключений VPN мы начали обсуждение с настройки сервера RADIUS и закончили настройкой политик удаленного доступа и изменением функционального уровня домена. В этой статье мы рассмотрим, как настроить VPN-сервер ISA Firewall для поддержки наших клиентских подключений EAP/TLS VPN, а затем запросим сертификат для ISA Firewall.

Включите VPN-сервер на брандмауэре ISA Server 2004 и настройте поддержку RADIUS.

После настройки RADIUS и политик удаленного доступа мы можем приступить к настройке VPN-сервера ISA Server 2004. Сначала мы включим VPN-сервер, а затем настроим VPN-сервер для поддержки аутентификации RADIUS.

Выполните следующие шаги, чтобы включить VPN-сервер и настроить его для поддержки RADIUS:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера и щелкните узел Виртуальные частные сети (VPN).
2. Перейдите на вкладку «Задачи» на панели задач. Щелкните ссылку Включить доступ к VPN-клиенту.

фигура 1

3. Щелкните ссылку Настроить доступ к VPN-клиенту.
4. В диалоговом окне «Свойства VPN-клиентов» щелкните вкладку «Группы». На вкладке «Группы» нажмите кнопку «Добавить».
5. В диалоговом окне «Выбор групп» нажмите кнопку «Местоположения». В диалоговом окне Locations щелкните запись msfirewall.org и нажмите OK.
6. В диалоговом окне « Выбор групп » введите «Пользователи домена» в диалоговом окне «Введите имена объектов для выбора ». Нажмите кнопку Проверить имена. Группа будет подчеркнута, когда она будет найдена в Active Directory. Нажмите ОК.

фигура 2

7. Группа домена появится на вкладке Группа.

Рисунок 3

8. Перейдите на вкладку Протоколы. Поставьте галочку в поле Включить L2TP/IPSec.

Рисунок 4

9. Щелкните страницу сопоставления пользователей. Поставьте галочку в поле «Включить сопоставление пользователей». Поставьте галочку в поле Если имя пользователя не содержит домен, использовать этот домен. В текстовом поле Имя домена введите домен внутренней сети msfirewall.org. Нажмите «Применить», а затем нажмите «ОК».

Рисунок 5

10. Нажмите ссылку «Указать конфигурацию RADIUS» на вкладке «Задачи».

Рисунок 6

11. На вкладке RADIUS установите флажок Использовать RADIUS для аутентификации.

Рисунок 7

12. Нажмите кнопку Серверы RADIUS. В диалоговом окне RADIUS нажмите кнопку «Добавить».

Рисунок 8

13. В диалоговом окне «Добавить сервер RADIUS» введите имя сервера IAS в текстовом поле «Имя сервера ». В этом примере имя сервера IAS — EXCHANGE2003BE.msfirewall.org. Введите описание сервера в текстовое поле Описание сервера. В этом примере введите описание IAS Server. Нажмите кнопку Изменить.

Рисунок 9

14. В диалоговом окне общего секрета введите Новый секрет, а затем Подтвердите новый секрет. Убедитесь, что это тот же секрет, который вы ввели в конфигурации сервера IAS на сервере IAS. Нажмите ОК.

Рисунок 10

15. Нажмите OK в диалоговом окне Добавить сервер RADIUS.
16. Нажмите OK в диалоговом окне Серверы RADIUS.

Рисунок 11

17. Перейдите на вкладку «Аутентификация» в диалоговом окне «Свойства виртуальных частных сетей (VPN)». Снимите флажок с флажка Зашифрованная проверка подлинности Майкрософт версии 2 (MS-CHAPv2). Установите флажок Расширяемый протокол аутентификации (EAP) со смарт-картой или другим сертификатом.

Рисунок 12

18. Нажмите «Применить» в диалоговом окне «Свойства виртуальной частной сети (VPN)». Нажмите OK в диалоговом окне ISA Server 2004, информируя вас о том, что служба маршрутизации и удаленного доступа может быть перезапущена. Нажмите «ОК» в диалоговом окне «Свойства виртуальной частной сети (VPN)».
19. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
20. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».
21. Перезапустите компьютер с брандмауэром ISA Server 2004 и войдите в систему как администратор.

Создайте правило доступа, разрешающее VPN-клиентам доступ к внутренней сети

Брандмауэр ISA Server 2004 сможет принимать входящие VPN-подключения после перезапуска. Однако клиенты VPN не могут получить доступ ни к каким ресурсам во внутренней сети, поскольку нет правил доступа, разрешающих такой доступ. Вы должны создать правило доступа, которое разрешает членам сети VPN-клиентов доступ к внутренней сети. В отличие от других комбинированных VPN-серверов с брандмауэром, VPN-сервер с брандмауэром ISA Server 2004 применяет средства управления доступом для сетевого доступа к VPN-клиентам.

В этом примере вы создадите правило доступа, позволяющее всему трафику проходить из сети VPN-клиентов во внутреннюю сеть. В производственной среде вы должны создать более строгие правила доступа, чтобы пользователи в сети VPN-клиентов имели доступ только к тем ресурсам, которые им необходимы.

Выполните следующие шаги, чтобы создать правило доступа VPN-клиентов с неограниченным доступом:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера и щелкните узел Политика брандмауэра. Щелкните правой кнопкой мыши узел «Политика брандмауэра», выберите « Создать» и щелкните «Правило доступа».
2. На странице Добро пожаловать на страницу мастера нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило VPN Client to Internal. Нажмите «Далее».
3. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
4. На странице Протоколы выберите параметр Все исходящие протоколы в списке Это правило применяется к. Нажмите «Далее».

Рисунок 13

5. На странице «Источники правил доступа» нажмите кнопку «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните VPN-клиенты. Щелкните Закрыть.

Рисунок 14

6. Нажмите «Далее» на странице «Источники правил доступа».
7. На странице «Назначения правил доступа» нажмите кнопку «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните «Внутренние». Щелкните Закрыть.
8. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее».

Рисунок 15

9. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».
10. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
11. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию». Политика клиента VPN теперь является первым правилом доступа в списке политики доступа.

Рисунок 16

Выдача сертификатов брандмауэру ISA Server 2004 и VPN-клиентам

Вы можете значительно повысить уровень безопасности вашего VPN-подключения, используя протокол L2TP/IPSec VPN. Протокол шифрования IPSec обеспечивает ряд преимуществ в плане безопасности по сравнению с протоколом Microsoft Point-to-Point Encryption (MPPE), используемым для защиты соединений PPTP. Хотя VPN брандмауэра ISA Server 2004 поддерживает использование предварительного общего ключа для поддержки процесса шифрования IPSec, это следует рассматривать как вариант с низким уровнем безопасности, и его следует по возможности избегать. Безопасное решение IPSec заключается в использовании компьютерных сертификатов на VPN-сервере и VPN-клиентах.

По умолчанию брандмауэр ISA Server 2004 заблокирован с помощью строгого контроля доступа. Вам потребуется включить правило системной политики, которое позволяет внутреннему брандмауэру обмениваться данными с ЦС предприятия во внутренней сети.

Выполните следующие шаги, чтобы включить правило системной политики на внутреннем брандмауэре ISA Server 2004:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера и щелкните узел Политика брандмауэра.
2. Щелкните правой кнопкой мыши узел «Политика брандмауэра», выберите « Просмотр» и выберите «Показать правила системной политики».
3. В списке «Правила системной политики» дважды щелкните «Разрешить HTTP от ISA Server ко всем сетям для загрузки CRL».

Рисунок 17

4. В диалоговом окне «Редактор системной политики» установите флажок «Включить» на вкладке «Общие». Нажмите ОК.

Рисунок 18

5. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.

Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Выпуск сертификата для брандмауэра/VPN-сервера ISA Server 2004

Следующим шагом является выдача сертификата компьютера VPN-серверу брандмауэра ISA Server 2004. Выполните следующие шаги на брандмауэре ISA Server 2004, чтобы запросить сертификат от центра сертификации предприятия во внутренней сети:

1. Откройте Internet Explorer. В адресной строке введите http://10.0.0.2/certsrv и нажмите OK.
2. В диалоговом окне «Введите сетевой пароль» введите « Администратор» в текстовом поле «Имя пользователя » и введите пароль администратора в текстовом поле «Пароль». Нажмите ОК.
3. Щелкните ссылку Запросить сертификат на странице приветствия.
4. На странице Запрос сертификата щелкните ссылку расширенного запроса сертификата.
5. На странице «Расширенный запрос сертификата» нажмите ссылку «Создать и отправить запрос в этот ЦС».
6. На странице «Расширенный запрос сертификата» выберите сертификат администратора из списка «Шаблон сертификата». Установите флажок « Хранить сертификат в хранилище сертификатов локального компьютера». Щелкните Отправить.
7. Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев».
8. На странице Сертификат выдан щелкните ссылку Установить этот сертификат.
9. Нажмите «Да» на странице «Потенциальное нарушение сценариев».
10. Закройте браузер после просмотра страницы «Сертификат установлен».
11. Нажмите «Пуск», а затем нажмите « Выполнить ». Введите mmc в текстовое поле «Открыть» и нажмите «ОК».
12. В консоли Console1 откройте меню «Файл» и выберите команду «Добавить/удалить оснастку».
13. Нажмите «Добавить » в диалоговом окне «Добавить/удалить оснастку».
14. Выберите запись «Сертификаты» в списке «Доступные автономные оснастки» в диалоговом окне «Добавить автономную оснастку». Щелкните Добавить.
15. Выберите параметр «Учетная запись компьютера» на странице оснастки «Сертификаты».
16. Выберите параметр «Локальный компьютер» на странице «Выбрать компьютер».
17. Нажмите «Закрыть » в диалоговом окне «Добавить автономную оснастку».
18. Нажмите «ОК» в диалоговом окне «Добавить/удалить оснастку».
19. В левой панели консоли разверните узел Сертификаты (локальный компьютер), а затем разверните узел Личный. Щелкните узел PersonalCertificates. Дважды щелкните сертификат администратора на правой панели консоли.
20. В диалоговом окне Сертификат щелкните вкладку Путь сертификации. В верхней части иерархии сертификатов, видимой во фрейме Certification path, находится корневой сертификат CA. Щелкните сертификат EXCHANGE2003BE вверху списка. Нажмите кнопку Просмотреть сертификат.
21. В диалоговом окне Сертификат сертификата ЦС щелкните вкладку Сведения. Нажмите кнопку Копировать в файл.
22. Нажмите «Далее» на странице «Добро пожаловать в мастер экспорта сертификатов».
23. На странице «Формат файла экспорта» выберите параметр «Стандарт синтаксиса криптографических сообщений — сертификаты PKCS #7 (.P7B)» и нажмите «Далее».
24. На странице «Файл для экспорта» введите c:cacert в текстовом поле «Имя файла». Нажмите «Далее».
25. Нажмите «Готово» на странице «Завершение работы мастера экспорта сертификатов».
26. Нажмите «ОК» в диалоговом окне «Мастер экспорта сертификатов».
27. Нажмите OK в диалоговом окне Сертификат. Нажмите OK еще раз в диалоговом окне Сертификат.
28. В левой панели консоли разверните узел Доверенные корневые центры сертификации и щелкните узел Сертификаты. Щелкните правой кнопкой мыши узел Доверенные корневые центры сертификацииСертификаты, выберите Все задачи и щелкните Импорт.
29. Нажмите «Далее» на странице «Добро пожаловать в мастер импорта сертификатов».
30. На странице «Файл для импорта» используйте кнопку «Обзор», чтобы найти сертификат ЦС, сохраненный на локальном жестком диске, и нажмите «Далее».
31. На странице «Хранилище сертификатов» примите настройки по умолчанию и нажмите «Далее».
32. Нажмите «Готово» на странице «Завершение работы мастера импорта сертификатов».
33. Нажмите «ОК» в диалоговом окне «Мастер импорта сертификатов», информируя вас об успешном импорте.

Примечание:
Вам не потребуется вручную копировать корпоративный сертификат ЦС в хранилище сертификатов доверенных корневых центров сертификации брандмауэра ISA Server 2004, поскольку сертификат ЦС автоматически устанавливается на членов домена. Если брандмауэр не является членом домена, вам потребуется вручную поместить сертификат ЦС в хранилище сертификатов доверенных корневых центров сертификации.

Резюме

В этой статье мы продолжили нашу серию статей о том, как использовать аутентификацию EAP-TLS для клиентских подключений VPN с удаленным доступом. Мы начали с настройки брандмауэра ISA для использования сервера RADIUS. Затем мы настроили клиент-сервер удаленного доступа VPN брандмауэра ISA и создали правила доступа для поддержки VPN-клиентов. Затем мы закончили, запросив сертификат для брандмауэра ISA и установив сертификат в хранилище сертификатов компьютера брандмауэра ISA. На следующей неделе мы завершим установку сертификатов на VPN-клиенты и тестирование соединений L2TP/IPSec и PPTP.

• Настройка брандмауэра ISA для поддержки аутентификации EAP-TLS на основе сертификатов (часть 1)
• Настройка брандмауэра ISA для поддержки аутентификации EAP-TLS на основе сертификатов (часть 3)