Настройка брандмауэра ISA для поддержки аутентификации EAP-TLS на основе сертификатов (часть 3)

Выдача сертификата клиентскому компьютеру VPN

Следующим шагом является выдача сертификата компьютера клиентскому компьютеру VPN. В этом примере клиентский компьютер VPN не является членом домена. Вам потребуется запросить сертификат компьютера с помощью веб-сайта регистрации ЦС предприятия, а затем вручную поместить сертификат ЦС предприятия в хранилище сертификатов компьютеров доверенных корневых центров сертификации клиента. Самый простой способ выполнить эту задачу — сделать так, чтобы клиентская машина VPN запрашивала сертификат при подключении по каналу PPTP.

Примечание:
В производственной среде ненадежным клиентам не следует выдавать сертификаты компьютеров. Только управляемые компьютеры, являющиеся членами домена, должны иметь право устанавливать сертификаты компьютеров. Члены домена являются управляемыми клиентами и поэтому находятся под административным контролем организации. Сертификат компьютера является принципом безопасности и не предназначен для предоставления бесплатного доступа всем клиентам, желающим подключиться через VPN.

Существует несколько способов получить сертификат от ЦС. В этом примере мы опубликуем веб-сайт регистрации ЦС и получим сертификат с веб-сайта регистрации.

Выполните следующие действия, чтобы опубликовать веб-сайт регистрации ЦС предприятия:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера и щелкните узел Политика брандмауэра.
2. В области задач щелкните вкладку Задачи. На вкладке Задачи щелкните ссылку Опубликовать веб-сервер.

фигура 1

3. Введите имя правила веб-публикации на странице Добро пожаловать в мастер создания нового правила веб-публикации. В этом примере мы введем имя Web Enrollment Site в текстовое поле имени правила веб-публикации. Нажмите «Далее».
4. Выберите параметр «Разрешить» на странице «Выбор действия правила».
5. На странице «Определить веб-сайт для публикации» введите IP-адрес веб-сайта ЦС предприятия в текстовом поле «Имя компьютера или IP-адрес». В этом примере IP-адрес — 10.0.0.2, поэтому мы введем это значение в текстовое поле. В текстовом поле Папка введите /*. Нажмите «Далее».

фигура 2

6. На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в поле списка Принять запрос на. В текстовом поле Общедоступное имя введите IP-адрес внешнего интерфейса брандмауэра. В этом примере внешний адрес брандмауэра ISA Server 2004 главного офиса — 192.168.1.70, поэтому мы введем это значение в текстовое поле. Введите /* в текстовое поле Путь (необязательно). Нажмите «Далее».

Рисунок 3

7. На странице «Выбрать веб-прослушиватель» нажмите кнопку «Создать».
8. На странице «Добро пожаловать в новый веб-прослушиватель» введите имя правила в текстовом поле «Имя веб-прослушивателя». В этом примере мы назовем прослушиватель Listener70, чтобы указать IP-адрес, который слушатель прослушивает. Нажмите «Далее».
9. На странице IP-адреса поставьте галочку в поле Внешний и нажмите Далее.

Рисунок 4

10. На странице Спецификация порта примите настройки по умолчанию. Убедитесь, что в поле «Включить HTTP» установлен флажок, а в текстовом поле «Порт HTTP» указано значение 80. Нажмите «Далее».

Рисунок 5

11. Нажмите «Готово» на странице «Завершение работы мастера создания нового веб-прослушивателя».
12. Нажмите «Далее» на странице «Выбор веб-прослушивателя».

Рисунок 6

13. Примите настройку по умолчанию All Users на странице User Sets и нажмите Next.
14. Нажмите «Готово» на странице «Завершение работы мастера создания правила веб-публикации».
15. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
16. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Выполните следующие шаги на клиентском компьютере VPN, чтобы запросить сертификат компьютера и установить сертификат ЦС в хранилище сертификатов доверенных корневых центров сертификации на клиентском компьютере VPN:

1. Откройте Internet Explorer. В адресной строке введите http://192.168.1.70/certsrv и нажмите OK.
2. В диалоговом окне «Введите сетевой пароль» введите « Администратор » в текстовом поле «Имя пользователя » и введите пароль администратора в текстовом поле «Пароль». Нажмите ОК.
3. Щелкните ссылку Запросить сертификат на странице приветствия.
4. На странице запроса сертификата щелкните ссылку расширенного запроса сертификата.
5. На странице «Расширенный запрос сертификата» нажмите ссылку «Создать и отправить запрос в этот ЦС».
6. На странице «Расширенный запрос сертификата» выберите сертификат администратора из списка «Шаблон сертификата». Установите флажок « Хранить сертификат в хранилище сертификатов локального компьютера». Щелкните Отправить.
7. Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев».
8. На странице Сертификат выдан нажмите ссылку Установить этот сертификат.
9. Нажмите «Да» на странице «Потенциальное нарушение сценариев».
10. Закройте браузер после просмотра страницы «Сертификат установлен».
11. Нажмите «Пуск», а затем нажмите « Выполнить ». Введите mmc в текстовое поле «Открыть» и нажмите «ОК».
12. В консоли Console1 откройте меню «Файл» и выберите команду «Добавить/удалить оснастку».
13. Нажмите «Добавить » в диалоговом окне «Добавить/удалить оснастку».
14. Выберите запись «Сертификаты» в списке «Доступные автономные оснастки» в диалоговом окне «Добавить автономную оснастку». Щелкните Добавить.
15. Выберите параметр «Учетная запись компьютера» на странице оснастки «Сертификаты».
16. Выберите параметр «Локальный компьютер» на странице «Выбрать компьютер».
17. Нажмите «Закрыть » в диалоговом окне «Добавить автономную оснастку».
18. Нажмите «ОК» в диалоговом окне «Добавить/удалить оснастку».
19. В левой панели консоли разверните узел Сертификаты (локальный компьютер) и разверните узел Личный. Щелкните узел PersonalCertificates. Дважды щелкните сертификат администратора на правой панели консоли.
20. В диалоговом окне Сертификат щелкните вкладку Путь сертификации. В верхней части иерархии сертификатов, видимой во фрейме Certification path, находится корневой сертификат CA. Щелкните сертификат EXCHANGE2003BE вверху списка. Нажмите кнопку Просмотреть сертификат.
21. В диалоговом окне сертификата CA щелкните вкладку Details. Нажмите кнопку Копировать в файл.
22. 22. Нажмите «Далее» на странице «Добро пожаловать в мастер экспорта сертификатов ».
23. На странице «Формат файла экспорта» выберите параметр «Стандарт синтаксиса криптографических сообщений — сертификаты PKCS #7 (.P7B)» и нажмите «Далее».
24. На странице «Файл для экспорта» введите c:cacert в текстовом поле «Имя файла». Нажмите «Далее».
25. Нажмите «Готово» на странице «Завершение работы мастера экспорта сертификатов».
26. Нажмите «ОК» в диалоговом окне «Мастер экспорта сертификатов».
27. Нажмите OK в диалоговом окне Сертификат. Нажмите OK еще раз в диалоговом окне Сертификат.
28. В левой панели консоли разверните узел Доверенные корневые центры сертификации и щелкните узел Сертификаты. Щелкните правой кнопкой мыши узел Доверенные корневые центры сертификацииСертификаты, выберите Все задачи и щелкните Импорт.
29. Нажмите «Далее» на странице «Добро пожаловать в мастер импорта сертификатов».
30. На странице «Файл для импорта» нажмите кнопку «Обзор», чтобы найти сертификат ЦС, сохраненный на локальном жестком диске, и нажмите «Далее».
31. На странице «Хранилище сертификатов» примите настройки по умолчанию и нажмите «Далее».
32. Нажмите «Готово» на странице «Завершение работы мастера импорта сертификатов».
33. Нажмите «ОК» в диалоговом окне «Мастер импорта сертификатов», информируя вас об успешном импорте.

Теперь, когда клиентский компьютер VPN имеет сертификат компьютера, следующим шагом будет получение сертификата пользователя, который клиент VPN может предоставить серверу VPN. Для получения сертификата пользователя выполните следующие действия:

1. Откройте Internet Explorer и в адресной строке введите URL-адрес http://192.168.1.70/certsrv и нажмите клавишу ВВОД.
2. Введите «Администратор» в текстовое поле «Имя пользователя ». Введите пароль администратора в текстовое поле « Пароль». Нажмите ОК.
3. На странице приветствия веб-сайта регистрации ЦС щелкните ссылку Запросить сертификат.
4. На странице Запрос сертификата щелкните ссылку Сертификат пользователя.
5. Нажмите «Отправить» на странице «Сертификат пользователя — идентифицирующая информация».
6. Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев», информируя о том, что веб-узел запрашивает новый сертификат от вашего имени.
7. На странице Сертификат выдан нажмите ссылку Установить этот сертификат.
8. Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев», информируя о том, что веб-сайт добавляет один или несколько сертификатов.
9. Закройте Internet Explorer.

Проверка подключения L2TP/IPSec VPN

Теперь, когда и брандмауэр ISA Server 2004, и компьютеры VPN-клиентов имеют сертификаты компьютеров, вы можете протестировать защищенное VPN-подключение клиента удаленного доступа к брандмауэру. Первый шаг — перезапустить службу маршрутизации и удаленного доступа, чтобы она зарегистрировала новый сертификат.

Выполните следующие действия, чтобы перезапустить службу маршрутизации и удаленного доступа:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера и щелкните узел Мониторинг.
2. В области сведений щелкните вкладку Службы. Щелкните правой кнопкой мыши запись службы удаленного доступа и нажмите «Остановить».

Рисунок 7

3. Щелкните правой кнопкой мыши запись службы удаленного доступа еще раз и нажмите «Пуск».

Рисунок 8

Следующим шагом является запуск подключения VPN-клиента:

1. В окне «Удаленный доступ и сетевые подключения» клиента внешней сети создайте новый коннектоид VPN. Настройте коннектоид на использование IP-адреса 192.168.1.70 в качестве адреса VPN-сервера.
2. Когда вы завершите работу мастера подключения, вы увидите диалоговое окно Connect. Нажмите кнопку Свойства.
3. В диалоговом окне «Свойства коннектоида» щелкните вкладку «Безопасность». На вкладке «Безопасность» выберите параметр «Дополнительно (пользовательские настройки)». Щелкните Настройки.

Рисунок 9

4. В диалоговом окне «Дополнительные параметры безопасности» выберите параметр «Использовать расширяемый протокол аутентификации (EAP)». Нажмите кнопку Свойства.

Рисунок 10

5. В диалоговом окне «Свойства смарт-карты или другого сертификата» выберите параметр « Использовать сертификат на этом компьютере». Поставьте галочку в поле Проверить сертификат сервера. Поставьте галочку в поле Подключаться, только если имя сервера заканчивается на, и введите доменное имя сервера аутентификации в текстовое поле. В этом примере доменное имя нашего контроллера домена Active Directory (который является сервером аутентификации в сертификате) — msfirewall.org, поэтому мы введем это имя в текстовое поле. В списке Доверенный корневой центр сертификации выберите имя ЦС, выдавшего сертификаты. В этом примере имя ЦС EXCHANGE2003BE, поэтому мы выберем этот вариант. Нажмите кнопку «ОК» в диалоговом окне «Свойства смарт-карты или другого сертификата».

Рисунок 11

6. Нажмите «ОК» в диалоговом окне «Дополнительные параметры безопасности».
7. Нажмите OK в свойствах коннекоида. диалоговое окно.
8. Появится диалоговое окно Connect, содержащее имя сертификата пользователя, полученного от центра сертификации. Нажмите ОК.

Рисунок 12

9. Нажмите OK в диалоговом окне Connection Complete, информирующем вас о том, что соединение установлено.
10. Дважды щелкните значок подключения на панели задач.
11. В диалоговом окне ISA VPN Status щелкните вкладку Details. Вы увидите запись для Шифрование IPSEC, указывающую на успешное подключение L2TP/IPSec.

Рисунок 13

12. Нажмите «Закрыть» в диалоговом окне «Статус ISA VPN».

Мониторинг VPN-клиентов

Брандмауэр ISA Server 2004 позволяет вам отслеживать соединения VPN-клиентов. Выполните следующие шаги, чтобы увидеть, как вы можете просматривать подключения от VPN-клиентов:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя компьютера на левой панели консоли и щелкните узел Виртуальные частные сети (VPN). В Панели задач щелкните вкладку Задачи. Щелкните ссылку Мониторинг VPN-клиентов.

Рисунок 14

2. Вы перейдете на вкладку Сеансы в узле Мониторинг. Здесь вы можете видеть, что сеансы были отфильтрованы, чтобы отображались только подключения VPN-клиента.

Рисунок 15

3. Нажмите на вкладку «Панель инструментов». Здесь вы можете увидеть на панели «Сеансы» подключения удаленного клиента VPN.

Рисунок 16

4. Вы также можете использовать функцию ведения журнала в реальном времени, чтобы видеть подключения, сделанные клиентами VPN. Щелкните вкладку Ведение журнала, а затем щелкните вкладку Задачи на панели задач. Щелкните ссылку Начать запрос. Здесь вы видите все коммуникации, проходящие через брандмауэр. Вы можете использовать возможности фильтра, чтобы сосредоточиться на конкретных клиентах VPN или только на сети клиентов VPN.

Рисунок 17

Проверка соединения PPTP VPN-клиента

Имеются все элементы для поддержки аутентификации RADIUS на основе сертификатов EAP для клиентов PPTP VPN. Вы можете настроить VPN-клиент на использование PPTP вместо L2TP/IPSec, настроив программное обеспечение VPN-клиента на принудительное подключение PPTP. В следующем пошаговом руководстве вы принудительно установите PPTP-соединение, продолжая использовать аутентификацию пользователя на основе сертификата EAP.

Выполните следующие шаги, чтобы подключиться к VPN-серверу через аутентификацию пользователя на основе сертификата PPTP с использованием RADIUS:

1. В окне «Сетевые и коммутируемые подключения» щелкните правой кнопкой мыши созданный ранее VPN-коннектоид и выберите «Свойства».
2. В диалоговом окне «Свойства» коннектоида щелкните вкладку «Сеть». В списке Тип VPN-сервера, на который я звоню, выберите параметр Протокол точка-точка (PPTP). Нажмите OK в диалоговом окне свойств коннектоида.
3. Дважды щелкните коннектоид VPN. Имя пользователя в сертификате отображается в списке Имя пользователя или сертификат. Нажмите ОК.

Рисунок 18

4. Нажмите OK в диалоговом окне, информирующем вас о том, что VPN-подключение установлено.
5. Дважды щелкните значок VPN-подключения на панели задач. В диалоговом окне Состояние виртуального частного подключения нажмите кнопку Подробности. Обратите внимание, что тип аутентификации — EAP.

Рисунок 19

6. На компьютере с контроллером домена нажмите «Пуск» и выберите «Администрирование». Щелкните Просмотр событий.
7. В средстве просмотра событий щелкните узел Система на левой панели консоли. Дважды щелкните запись информации с источником как IAS.

Рисунок 20

8. В диалоговом окне «Свойства события» вы увидите описание журнала по запросу. Эта информация указывает на то, что сервер RADIUS аутентифицировал запрос, и включает в себя специальную информацию RADIUS, отправленную на контроллер домена. Просмотрите эту информацию и закройте диалоговое окно «Свойства события».

Рисунок 21

9. На машине брандмауэра/VPN-сервера ISA Server 2004 вы можете увидеть записи файла журнала, относящиеся к этому VPN-подключению. Обратите внимание на соединение PPTP и RADIUS.

Рисунок 22

10. На брандмауэре/VPN-сервере ISA Server 2004 вы можете увидеть сеанс VPN-клиента на вкладке Sessions в узле Monitoring консоли управления Microsoft Internet Security and Acceleration Server 2004.

Рисунок 23

На клиентском компьютере VPN отключите VPN-подключение.

Вывод

В этой статье мы завершили серию из трех частей о том, как включить аутентификацию сертификата пользователя EAP-TLS на VPN-сервере ISA Firewall. Я надеюсь, что вы сможете использовать эту информацию для настройки вашего брандмауэра ISA для высокозащищенных VPN-соединений. Спасибо! -Том.