Настройка VPN-клиента и сервера для поддержки аутентификации PPTP EAP-TLS на основе сертификатов — часть 1

Опубликовано: 14 Апреля, 2023

Настройка VPN-клиента и сервера для поддержки аутентификации PPTP EAP-TLS на основе сертификатов


Часть 1


Томас Шиндер, доктор медицины


L2TP/IPSec считается более безопасным, чем PPTP. Если у вас когда-либо будет возможность выбирать между L2TP/IPSec и PPTP, вам следует использовать L2TP/IPSec. Однако бывают случаи, когда вы можете отказаться от использования L2TP/IPSec. Наиболее распространенная причина предпочтения PPTP перед L2TP/IPSec — это когда VPN-клиентам необходимо подключиться к вашему брандмауэру ISA Server/VPN-серверу, когда клиент находится за устройством NAT.



Устройства NAT «нарушат» IPSec, если не будут приняты специальные меры для инкапсуляции пакета IPSec. Инкапсуляция пакетов IPSec с заголовком UDP или TCP называется «обходом IPSec NAT» или NAT-T. Проблема в том, что NAT-T реализуется по-разному. Многие поставщики используют собственные реализации NAT-T. Windows Server 2003 и клиент Microsoft L2TP/IPSec VPN поддерживают рекомендации IETF NAT-T, которые, как ожидается, в ближайшем будущем станут полными стандартами RFC для Интернета.


ПРИМЕЧАНИЕ:


Подробную информацию о IPSec и NAT-T и о том, как они влияют на ваши VPN-клиенты и сервер, можно найти в статье Стефана Пуселе на эту тему по адресу http://isaserver.org/articles/IPSec_Passthrough.html.


Многие комментаторы считают PPTP небезопасным протоколом VPN. Это заблуждение связано с проблемами, связанными с первоначальным выпуском PPTP (версия PPTP 1). Проблемы с первоначальным выпуском PPTP были связаны не столько с самим протоколом VPN, сколько с протоколом аутентификации PPP — MS-CHAP версии 1. Текущая версия PPTP зарекомендовала себя как достаточно безопасная при использовании сложных паролей. И Windows 2000, и Windows Server 2003 поддерживают протокол PPTP версии 2, основанный на MS-CHAP версии 2.


ПРИМЕЧАНИЕ:


Проверитьhttp://www.counterpane.com/pptpv2-paper.html для получения дополнительной информации о PPTP и потенциальных недостатках, присущих протоколу.


Уровень безопасности, обеспечиваемый PPTP, сильно зависит от сложности пароля. В идеальном мире у всех наших пользователей будут очень сложные пароли, которые они меняют каждый день. Мы живем не в идеальном мире, и даже когда вы навязываете политики паролей, поощряющие использование сложных паролей, пользователи находят способы их обойти.


Например, политика паролей по умолчанию в Windows Server 2003 позволяет пользователям использовать следующий пароль: [email protected] Этот пароль содержит комбинацию букв верхнего и нижнего регистра, цифр и символов. Но относительно простой перебор или атака по словарю сможет взломать этот пароль, потому что знак @ является обычной заменой буквы «А».


EAP-TLS позволяет обойти проблему сложности пароля. EAP-TLS является расширением традиционных протоколов аутентификации PPP и позволяет поставщикам «подключать» более продвинутые методы аутентификации PPP. EAP-TLS позволяет вашим пользователям входить в систему, не требуя имени пользователя или пароля. Пользователи VPN получают сертификат пользователя и используют этот сертификат для входа в VPN. Сертификат может находиться даже на «смарт-карте» или на компьютере пользователя.


ПРИМЕЧАНИЕ:


Несмотря на то, что мы можем использовать аутентификацию EAP-TLS для повышения безопасности соединений PPTP, избегая простых паролей, вы также можете использовать аутентификацию EAP-TLS для аутентификации пользователей для соединений L2TP/IPSec.


Есть несколько способов заставить это работать с вашим брандмауэром ISA/VPN-сервером. Следующие методы обеспечивают высочайший уровень безопасности корпоративного брандмауэра:



  • Установите брандмауэр ISA/VPN-сервер в рабочей группе — брандмауэр ISA не является членом какого-либо домена внутренней сети.
  • Во внутренней сети есть контроллер домена Windows 2000/Windows Server 2003. Windows Server 2003 по своей природе более безопасен и является предпочтительным решением.
  • IIS и ЦС предприятия установлены во внутренней сети — гораздо проще управлять учетными записями пользователей внутренней сети в среде на основе домена.
  • Сервер службы проверки подлинности в Интернете (IAS-сервер) расположен на рядовом сервере во внутренней сети. Сервер IAS также может быть расположен на контроллере домена, если требуется или предпочтительна консолидация серверов. Политики маршрутизации и удаленного доступа создаются на сервере IAS для поддержки аутентификации EAP-TLS.
  • Настройте VPN-сервер для поддержки аутентификации RADIUS и EAP-TLS.
  • VPN-клиенту назначается пользовательский сертификат, а пользовательский сертификат привязывается к VPN-соединению, используемому для установления VPN-соединения с брандмауэром ISA/VPN-сервером.

    • Для того, чтобы описанный выше сценарий работал, необходимы следующие процедуры:



  • Установите ISA Server 2000 на компьютер с Windows Server 2003.
  • Установите IIS 6.0 и ЦС предприятия на Windows Server 2003.
  • Установите и настройте сервер IAS и создайте политику удаленного доступа.
  • Настройте брандмауэр ISA/VPN-сервер для поддержки аутентификации EAP-TLS.
  • Назначение сертификата VPN-клиенту
  • Настройте VPN-клиент для использования аутентификации EAP-TLS на основе сертификатов.


    • Установка и настройка ЦС предприятия на Windows Server 2003


    Начнем с установки IIS и ЦС предприятия на контроллере домена Windows Server 2003. Этот контроллер домена находится во внутренней сети. Если вы только начинаете работать с Windows Server 2003, первое, что вы действительно заметите, это то, что IIS не установлен по умолчанию. Я не могу сказать вам, сколько раз я устанавливал службы, зависящие от IIS, но забывал сначала установить IIS, потому что он всегда был установлен по умолчанию в Windows 2000.


    Нам нужно, чтобы веб-сайт регистрации был установлен вместе с сервером IAS, поэтому сначала мы должны установить веб-службы IIS:



    1. Нажмите «Пуск», выберите «Панель управления» и нажмите «Установка и удаление программ».
    2. Нажмите кнопку «Добавить/удалить компоненты Windows» в окне «Установка и удаление программ».
    3. В диалоговом окне «Компоненты Windows» выберите запись «Сервер приложений» и нажмите кнопку «Подробности».



    1. Выберите запись Информационных служб Интернета (IIS) и нажмите кнопку «Подробности».



    1. В диалоговом окне Internet Information Services (IIS) установите флажок в поле World Wide Web Services. При этом автоматически устанавливаются флажки в пунктах Internet Information Services Manager и Common Files. Нажмите кнопку ОК в диалоговом окне Информационных служб Интернета (IIS). Нажмите OK в диалоговом окне Сервер приложений. Нажмите «Далее» в диалоговом окне «Компоненты Windows».



    1. Вас могут попросить вставить компакт-диск Windows Server 2003. Вам нужно указать программе установки папку i386. Эта папка может находиться на исходном компакт-диске, на локальном жестком диске или в сетевой папке. Укажите установщику правильное место и продолжите установку.
    2. Нажмите «Готово» на странице «Завершение работы мастера компонентов Windows ».


    Сайт IIS позволяет нам запускать систему веб-регистрации сервера сертификатов. Теперь, когда веб-служба IIS установлена, мы можем установить службы корневого сервера сертификатов предприятия:



    1. Нажмите «Пуск» и выберите «Установка и удаление программ».
    2. В окне «Установка и удаление программ» нажмите кнопку «Установка и удаление компонентов Windows».
    3. В окне «Компоненты Windows» установите флажок «Службы сертификации». Появится диалоговое окно Microsoft Certificate Services, информирующее вас о том, что компьютер не может изменить свое имя или членство в домене, выступая в качестве сервера сертификатов. Нажмите Да, чтобы подтвердить этот факт. Нажмите «Далее» в диалоговом окне «Компоненты Windows».



    1. Выберите параметр Корневой ЦС предприятия на странице Тип ЦС. Нажмите «Далее».



    1. Введите имя для этого центра сертификации в текстовом поле Общее имя для этого ЦС. Обычное имя ЦС — это NetBIOS или DNS-имя хоста машины. В нашем текущем примере имя компьютера — WIN2003DC, поэтому мы введем WIN2003DC в текстовом поле «Общее имя» для этого ЦС. Суффикс отличительного имени вводится автоматически, и вы не должны изменять его, если у вас нет для этого особой причины. Вам также следует оставить срок действия на уровне 5 лет, если у вас нет особой причины для его изменения. Нажмите Далее, чтобы продолжить.



    1. Оставьте настройки по умолчанию на странице настроек базы данных сертификатов, если у вас нет особых причин для их изменения. Нажмите «Далее». Нажмите «Да» в диалоговом окне «Службы сертификатов Microsoft», которое информирует вас о необходимости временной остановки информационных служб Интернета.



    1. Вас могут попросить вставить компакт-диск Windows Server 2003. Вам нужно указать программе установки папку i386. Эта папка может находиться на исходном компакт-диске, на локальном жестком диске или в сетевой папке. Укажите установщику правильное место и продолжите установку.
    2. Нажмите «Да» в диалоговом окне Microsoft Certificate Services, которое информирует вас о том, что страницы Active Service Pages должны быть включены, чтобы веб-сайт регистрации работал.



    1. Нажмите «Готово» на странице «Завершение работы мастера компонентов Windows ».

    Установка сервера интернет-аутентификации (RADIUS-сервера)


    Теперь мы можем установить сервер IAS. Выполните следующие шаги, чтобы установить и настроить сервер IAS:



    1. Нажмите «Пуск», выберите «Панель управления» и нажмите «Установка и удаление программ».
    2. Нажмите кнопку «Добавить/удалить компоненты Windows» в окне «Установка и удаление программ».
    3. В диалоговом окне «Компоненты Windows» выберите запись «Сетевые службы» и нажмите кнопку «Подробности».



    1. В диалоговом окне «Сетевые службы» установите флажок «Служба проверки подлинности в Интернете» и нажмите «ОК». Нажмите «Далее» в диалоговом окне «Компоненты Windows».



    1. Нажмите кнопку «Готово» на странице «Завершение работы мастера компонентов Windows ».
    2. Теперь мы внесем некоторые базовые изменения в конфигурацию IAS-сервера. Нажмите «Пуск», выберите «Администрирование» и нажмите «Службы проверки подлинности в Интернете ».
    3. В консоли Internet Authentication Services щелкните правой кнопкой мыши узел Internet Authentication Service (Local) на левой панели и выберите команду Register Server in Active Directory. Это позволит серверу IAS аутентифицировать пользователей в домене Active Directory. Нажмите «ОК» в диалоговом окне «Зарегистрировать сервер интернет-аутентификации в Active Directory ». Нажмите «ОК» в диалоговом окне «Сервер зарегистрирован: ». Это диалоговое окно информирует вас о том, что сервер IAS был зарегистрирован в определенном домене и что, если вы хотите, чтобы этот сервер IAS считывал свойства входящих звонков пользователей из других доменов, вам необходимо ввести этот сервер в группу серверов RAS/IAS в тот другой домен.






    1. Щелкните правой кнопкой мыши узел «Клиенты RADIUS» на панели консоли и выберите команду «Новый клиент RADIUS».
    2. В диалоговом окне New RADIUS Client введите простое имя для идентификации брандмауэра ISA Server/VPN-сервера. Вы можете использовать любое имя, которое вам нравится. Обратите внимание, что сервер RAS (или, в таком случае, сервер VPN, который является типом сервера RAS) является клиентом RADIUS. В этом примере мы будем использовать имя хоста сервера. Введите либо полное доменное имя, либо IP-адрес VPN-сервера брандмауэра ISA Server в диалоговом окне Адрес клиента (IP или DNS). Не вводите полное доменное имя, если ваш брандмауэр ISA Server и VPN-сервер не зарегистрировали свой внутренний IP-адрес в DNS. Вы можете использовать кнопку «Проверить», чтобы проверить, может ли IAS-сервер разрешить полное доменное имя. Нажмите «Далее».



    1. На странице «Дополнительная информация» оставьте запись «Стандарт RADIUS» в раскрывающемся списке «Клиент-поставщик». Ваш VPN-сервер брандмауэра ISA Server соответствует этому параметру. Введите сложный общий секрет в тексте общего секрета и подтвердите его в текстовом поле Подтвердить общий секрет. Общий секрет должен быть сложной строкой, состоящей из букв верхнего и нижнего регистра, цифр и символов. Думайте об общем секрете как о пароле, который необходимо использовать для безопасного обмена данными между IAS-сервером и VPN-сервером. Поставьте галочку в поле Запрос должен содержать атрибут Message Authenticator. Этот параметр повышает безопасность сообщений, передаваемых между брандмауэром/VPN-сервером ISA Server и сервером RADIUS. Нажмите Готово.


    Настройка IAS-сервера — это только начало. Одним из основных преимуществ использования Microsoft IAS Server является то, что он позволяет централизовать политику RRAS. Хотя здесь мы фокусируемся на сценарии малого бизнеса с одним сервером RRAS, вы можете извлечь выгоду из использования политик RRAS при использовании всего двух серверов RRAS. Вы можете применить одну и ту же политику ко всем серверам RRAS или только к подмножеству серверов RRAS. Сервер IAS упрощает эту задачу.



    Резюме


    В этой статье мы рассмотрели некоторые ключевые различия между PPTP и L2TP/IPSec. Хотя L2TP/IPSec является предпочтительным протоколом VPN, иногда вы не можете его использовать. Вы можете сделать PPTP очень безопасным, если используете сложные пароли или аутентификацию сертификата пользователя. Мы установили ЦС предприятия и сервер RADIUS. Во второй части этой статьи мы создадим политики удаленного доступа и выдадим сертификат пользователя VPN-клиенту. Тогда увидимся!


    Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить в своей собственной сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001620 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том.

    Кибер-безопасность

    РЕКОМЕНДУЕМЫЕ СТАТЬИ

    Информационная безопасность и системная IT-интеграция
    27 Июня, 2024
    Брандмауэр в ИТ-системе
    15 Апреля, 2023
    Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
    15 Апреля, 2023
    Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
    15 Апреля, 2023
    Виртуальная частная сеть
    15 Апреля, 2023
    Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
    15 Апреля, 2023
    Стратегия Microsoft в отношении .NET
    15 Апреля, 2023
    SSH
    15 Апреля, 2023