Настройка VPN-клиента и сервера для поддержки аутентификации PPTP EAP-TLS на основе сертификатов — часть 1
Настройка VPN-клиента и сервера для поддержки аутентификации PPTP EAP-TLS на основе сертификатов
Часть 1
Томас Шиндер, доктор медицины
L2TP/IPSec считается более безопасным, чем PPTP. Если у вас когда-либо будет возможность выбирать между L2TP/IPSec и PPTP, вам следует использовать L2TP/IPSec. Однако бывают случаи, когда вы можете отказаться от использования L2TP/IPSec. Наиболее распространенная причина предпочтения PPTP перед L2TP/IPSec — это когда VPN-клиентам необходимо подключиться к вашему брандмауэру ISA Server/VPN-серверу, когда клиент находится за устройством NAT.
Устройства NAT «нарушат» IPSec, если не будут приняты специальные меры для инкапсуляции пакета IPSec. Инкапсуляция пакетов IPSec с заголовком UDP или TCP называется «обходом IPSec NAT» или NAT-T. Проблема в том, что NAT-T реализуется по-разному. Многие поставщики используют собственные реализации NAT-T. Windows Server 2003 и клиент Microsoft L2TP/IPSec VPN поддерживают рекомендации IETF NAT-T, которые, как ожидается, в ближайшем будущем станут полными стандартами RFC для Интернета.
ПРИМЕЧАНИЕ:
Подробную информацию о IPSec и NAT-T и о том, как они влияют на ваши VPN-клиенты и сервер, можно найти в статье Стефана Пуселе на эту тему по адресу http://isaserver.org/articles/IPSec_Passthrough.html.
Многие комментаторы считают PPTP небезопасным протоколом VPN. Это заблуждение связано с проблемами, связанными с первоначальным выпуском PPTP (версия PPTP 1). Проблемы с первоначальным выпуском PPTP были связаны не столько с самим протоколом VPN, сколько с протоколом аутентификации PPP — MS-CHAP версии 1. Текущая версия PPTP зарекомендовала себя как достаточно безопасная при использовании сложных паролей. И Windows 2000, и Windows Server 2003 поддерживают протокол PPTP версии 2, основанный на MS-CHAP версии 2.
ПРИМЕЧАНИЕ:
Проверитьhttp://www.counterpane.com/pptpv2-paper.html для получения дополнительной информации о PPTP и потенциальных недостатках, присущих протоколу.
Уровень безопасности, обеспечиваемый PPTP, сильно зависит от сложности пароля. В идеальном мире у всех наших пользователей будут очень сложные пароли, которые они меняют каждый день. Мы живем не в идеальном мире, и даже когда вы навязываете политики паролей, поощряющие использование сложных паролей, пользователи находят способы их обойти.
Например, политика паролей по умолчанию в Windows Server 2003 позволяет пользователям использовать следующий пароль: [email protected] Этот пароль содержит комбинацию букв верхнего и нижнего регистра, цифр и символов. Но относительно простой перебор или атака по словарю сможет взломать этот пароль, потому что знак @ является обычной заменой буквы «А».
EAP-TLS позволяет обойти проблему сложности пароля. EAP-TLS является расширением традиционных протоколов аутентификации PPP и позволяет поставщикам «подключать» более продвинутые методы аутентификации PPP. EAP-TLS позволяет вашим пользователям входить в систему, не требуя имени пользователя или пароля. Пользователи VPN получают сертификат пользователя и используют этот сертификат для входа в VPN. Сертификат может находиться даже на «смарт-карте» или на компьютере пользователя.
ПРИМЕЧАНИЕ:
Несмотря на то, что мы можем использовать аутентификацию EAP-TLS для повышения безопасности соединений PPTP, избегая простых паролей, вы также можете использовать аутентификацию EAP-TLS для аутентификации пользователей для соединений L2TP/IPSec.
Есть несколько способов заставить это работать с вашим брандмауэром ISA/VPN-сервером. Следующие методы обеспечивают высочайший уровень безопасности корпоративного брандмауэра:
Для того, чтобы описанный выше сценарий работал, необходимы следующие процедуры:
Установка и настройка ЦС предприятия на Windows Server 2003
Начнем с установки IIS и ЦС предприятия на контроллере домена Windows Server 2003. Этот контроллер домена находится во внутренней сети. Если вы только начинаете работать с Windows Server 2003, первое, что вы действительно заметите, это то, что IIS не установлен по умолчанию. Я не могу сказать вам, сколько раз я устанавливал службы, зависящие от IIS, но забывал сначала установить IIS, потому что он всегда был установлен по умолчанию в Windows 2000.
Нам нужно, чтобы веб-сайт регистрации был установлен вместе с сервером IAS, поэтому сначала мы должны установить веб-службы IIS:
- Нажмите «Пуск», выберите «Панель управления» и нажмите «Установка и удаление программ».
- Нажмите кнопку «Добавить/удалить компоненты Windows» в окне «Установка и удаление программ».
- В диалоговом окне «Компоненты Windows» выберите запись «Сервер приложений» и нажмите кнопку «Подробности».
- Выберите запись Информационных служб Интернета (IIS) и нажмите кнопку «Подробности».
- В диалоговом окне Internet Information Services (IIS) установите флажок в поле World Wide Web Services. При этом автоматически устанавливаются флажки в пунктах Internet Information Services Manager и Common Files. Нажмите кнопку ОК в диалоговом окне Информационных служб Интернета (IIS). Нажмите OK в диалоговом окне Сервер приложений. Нажмите «Далее» в диалоговом окне «Компоненты Windows».
- Вас могут попросить вставить компакт-диск Windows Server 2003. Вам нужно указать программе установки папку i386. Эта папка может находиться на исходном компакт-диске, на локальном жестком диске или в сетевой папке. Укажите установщику правильное место и продолжите установку.
- Нажмите «Готово» на странице «Завершение работы мастера компонентов Windows ».
Сайт IIS позволяет нам запускать систему веб-регистрации сервера сертификатов. Теперь, когда веб-служба IIS установлена, мы можем установить службы корневого сервера сертификатов предприятия:
- Нажмите «Пуск» и выберите «Установка и удаление программ».
- В окне «Установка и удаление программ» нажмите кнопку «Установка и удаление компонентов Windows».
- В окне «Компоненты Windows» установите флажок «Службы сертификации». Появится диалоговое окно Microsoft Certificate Services, информирующее вас о том, что компьютер не может изменить свое имя или членство в домене, выступая в качестве сервера сертификатов. Нажмите Да, чтобы подтвердить этот факт. Нажмите «Далее» в диалоговом окне «Компоненты Windows».
- Выберите параметр Корневой ЦС предприятия на странице Тип ЦС. Нажмите «Далее».
- Введите имя для этого центра сертификации в текстовом поле Общее имя для этого ЦС. Обычное имя ЦС — это NetBIOS или DNS-имя хоста машины. В нашем текущем примере имя компьютера — WIN2003DC, поэтому мы введем WIN2003DC в текстовом поле «Общее имя» для этого ЦС. Суффикс отличительного имени вводится автоматически, и вы не должны изменять его, если у вас нет для этого особой причины. Вам также следует оставить срок действия на уровне 5 лет, если у вас нет особой причины для его изменения. Нажмите Далее, чтобы продолжить.
- Оставьте настройки по умолчанию на странице настроек базы данных сертификатов, если у вас нет особых причин для их изменения. Нажмите «Далее». Нажмите «Да» в диалоговом окне «Службы сертификатов Microsoft», которое информирует вас о необходимости временной остановки информационных служб Интернета.
- Вас могут попросить вставить компакт-диск Windows Server 2003. Вам нужно указать программе установки папку i386. Эта папка может находиться на исходном компакт-диске, на локальном жестком диске или в сетевой папке. Укажите установщику правильное место и продолжите установку.
- Нажмите «Да» в диалоговом окне Microsoft Certificate Services, которое информирует вас о том, что страницы Active Service Pages должны быть включены, чтобы веб-сайт регистрации работал.
- Нажмите «Готово» на странице «Завершение работы мастера компонентов Windows ».
Установка сервера интернет-аутентификации (RADIUS-сервера)
Теперь мы можем установить сервер IAS. Выполните следующие шаги, чтобы установить и настроить сервер IAS:
- Нажмите «Пуск», выберите «Панель управления» и нажмите «Установка и удаление программ».
- Нажмите кнопку «Добавить/удалить компоненты Windows» в окне «Установка и удаление программ».
- В диалоговом окне «Компоненты Windows» выберите запись «Сетевые службы» и нажмите кнопку «Подробности».
- В диалоговом окне «Сетевые службы» установите флажок «Служба проверки подлинности в Интернете» и нажмите «ОК». Нажмите «Далее» в диалоговом окне «Компоненты Windows».
- Нажмите кнопку «Готово» на странице «Завершение работы мастера компонентов Windows ».
- Теперь мы внесем некоторые базовые изменения в конфигурацию IAS-сервера. Нажмите «Пуск», выберите «Администрирование» и нажмите «Службы проверки подлинности в Интернете ».
- В консоли Internet Authentication Services щелкните правой кнопкой мыши узел Internet Authentication Service (Local) на левой панели и выберите команду Register Server in Active Directory. Это позволит серверу IAS аутентифицировать пользователей в домене Active Directory. Нажмите «ОК» в диалоговом окне «Зарегистрировать сервер интернет-аутентификации в Active Directory ». Нажмите «ОК» в диалоговом окне «Сервер зарегистрирован: ». Это диалоговое окно информирует вас о том, что сервер IAS был зарегистрирован в определенном домене и что, если вы хотите, чтобы этот сервер IAS считывал свойства входящих звонков пользователей из других доменов, вам необходимо ввести этот сервер в группу серверов RAS/IAS в тот другой домен.
- Щелкните правой кнопкой мыши узел «Клиенты RADIUS» на панели консоли и выберите команду «Новый клиент RADIUS».
- В диалоговом окне New RADIUS Client введите простое имя для идентификации брандмауэра ISA Server/VPN-сервера. Вы можете использовать любое имя, которое вам нравится. Обратите внимание, что сервер RAS (или, в таком случае, сервер VPN, который является типом сервера RAS) является клиентом RADIUS. В этом примере мы будем использовать имя хоста сервера. Введите либо полное доменное имя, либо IP-адрес VPN-сервера брандмауэра ISA Server в диалоговом окне Адрес клиента (IP или DNS). Не вводите полное доменное имя, если ваш брандмауэр ISA Server и VPN-сервер не зарегистрировали свой внутренний IP-адрес в DNS. Вы можете использовать кнопку «Проверить», чтобы проверить, может ли IAS-сервер разрешить полное доменное имя. Нажмите «Далее».
- На странице «Дополнительная информация» оставьте запись «Стандарт RADIUS» в раскрывающемся списке «Клиент-поставщик». Ваш VPN-сервер брандмауэра ISA Server соответствует этому параметру. Введите сложный общий секрет в тексте общего секрета и подтвердите его в текстовом поле Подтвердить общий секрет. Общий секрет должен быть сложной строкой, состоящей из букв верхнего и нижнего регистра, цифр и символов. Думайте об общем секрете как о пароле, который необходимо использовать для безопасного обмена данными между IAS-сервером и VPN-сервером. Поставьте галочку в поле Запрос должен содержать атрибут Message Authenticator. Этот параметр повышает безопасность сообщений, передаваемых между брандмауэром/VPN-сервером ISA Server и сервером RADIUS. Нажмите Готово.
Настройка IAS-сервера — это только начало. Одним из основных преимуществ использования Microsoft IAS Server является то, что он позволяет централизовать политику RRAS. Хотя здесь мы фокусируемся на сценарии малого бизнеса с одним сервером RRAS, вы можете извлечь выгоду из использования политик RRAS при использовании всего двух серверов RRAS. Вы можете применить одну и ту же политику ко всем серверам RRAS или только к подмножеству серверов RRAS. Сервер IAS упрощает эту задачу.
Резюме
В этой статье мы рассмотрели некоторые ключевые различия между PPTP и L2TP/IPSec. Хотя L2TP/IPSec является предпочтительным протоколом VPN, иногда вы не можете его использовать. Вы можете сделать PPTP очень безопасным, если используете сложные пароли или аутентификацию сертификата пользователя. Мы установили ЦС предприятия и сервер RADIUS. Во второй части этой статьи мы создадим политики удаленного доступа и выдадим сертификат пользователя VPN-клиенту. Тогда увидимся!
Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить в своей собственной сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001620 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том.