Настройка VPN-клиента и сервера для поддержки аутентификации PPTP EAP-TLS на основе сертификатов — часть 2

В первой части их статьи, состоящей из двух частей, мы рассмотрели принцип управления уровнем безопасности, предоставляемым для соединений L2TP/IPSec и PPTP. Вы видели, что L2TP/IPSec обеспечивает высочайший уровень безопасности для алгоритма шифрования, используемого протоколом VPN. Однако мы также обнаружили, что основная проблема безопасности с PPTP связана со сложностью пароля, и проблемы со сложностью пароля можно устранить, используя аутентификацию на основе сертификатов EAP/TLS.

Процедуры, необходимые для того, чтобы все это заработало, включают:

• Установите ISA Server 2000 на компьютер с Windows Server 2003.
• Установите IIS 6.0 и ЦС предприятия на Windows Server 2003.
• Установите и настройте сервер IAS и создайте политику удаленного доступа.
• Настройте брандмауэр ISA/VPN-сервер для поддержки аутентификации EAP-TLS.
• Назначение сертификата VPN-клиенту
• Настройте VPN-клиент для использования аутентификации EAP-TLS на основе сертификатов.
• Вы можете перейти по адресу http://isaserver.org/tutorials/installon2003.html и получить инструкции по установке ISA 2000 на Windows Server 2003. На прошлой неделе в первой части этой статьи мы установили IIS 6.0 и ЦС предприятия на контроллер домена во внутренней сети. Мы также установили сервер RADIUS. На этой неделе мы закончим созданием политики удаленного доступа VPN, настроим брандмауэр ISA/VPN-сервер для использования RADIUS для аутентификации, выдадим клиентский сертификат VPN-клиенту и настроим VPN-клиент для использования аутентификации EAP/TLS на основе сертификатов..

  Давайте продолжим сборку нашей инфраструктуры аутентификации EAP/TLS на основе сертификатов PPTP.

  Создание политики RRAS на сервере RADIUS

  Выполните следующие шаги, чтобы создать политику RRAS, хранящуюся на сервере IAS:

  1. Последним шагом в настройке IAS-сервера является создание политики удаленного доступа для клиентов VPN. Мы будем использовать мастер политики удаленного доступа, чтобы помочь нам с этой задачей. В консоли службы проверки подлинности в Интернете щелкните правой кнопкой мыши узел «Политики удаленного доступа» и выберите команду «Новая политика удаленного доступа».
  2. Нажмите «Далее» на странице «Добро пожаловать на страницу мастера создания новой политики удаленного доступа».
  3. На странице «Метод настройки политики» выберите параметр «Использовать мастер для настройки типичной политики для стандартного сценария». В текстовом поле Имя политики введите имя политики. В этом примере мы назовем ее политикой доступа к VPN. Нажмите «Далее».
  4. Выберите параметр VPN на странице «Метод доступа». Нажмите «Далее».
  5. Вы можете предоставить доступ к VPN-серверу на основе пользователя или группы. Наилучший метод управления доступом — для каждой группы, поскольку им проще управлять и он требует меньших административных издержек. Вы можете создать группу, например «Пользователи VPN», и разрешить им доступ или доступ всем вашим пользователям. Это зависит от того, кому вы хотите получить доступ к сети через VPN. В этом примере мы выберем параметр «Группа» и нажмем кнопку «Добавить». Откроется диалоговое окно «Выбрать группы». Введите имя группы в текстовое поле ввода имени объекта для выбора и нажмите кнопку Проверить имена, чтобы подтвердить правильность ввода имени. Нажмите «ОК» в диалоговом окне «Выбрать группы», а затем нажмите «Далее».
  6. Вы можете выбрать разрешенные методы аутентификации пользователя на странице «Методы аутентификации». Возможно, вы захотите разрешить как Microsoft Encrypted Authentication версии 2, так и Extensible Authentication Protocol (EAP). В этом примере мы разрешим только EAP, так как хотим запустить высокозащищенную среду, и мы можем назначить всем нашим клиентам сертификаты использования. Установите флажок Extensible Authentication Protocol (EAP), а затем щелкните стрелку вниз в раскрывающемся списке Тип (на основе метода доступа и конфигурации сети) и выберите смарт-карту или другой открытый сертификат. Нажмите кнопку Настроить. В диалоговом окне Смарт-карта или другие свойства сертификата вы можете выбрать сертификат, который сервер должен использовать для идентификации себя для клиентов VPN. Самоподписанный сертификат появится в раскрывающемся списке Сертификат, выданный для. Этот сертификат будет использоваться для идентификации сервера. Нажмите «ОК» в диалоговом окне «Свойства смарт-карты или другого сертификата», а затем нажмите «Далее».
  7. Выберите уровень (уровни) шифрования, который вы хотите применить для VPN-соединений. Большинство сред теперь поддерживают 128-битное шифрование для PPTP, поэтому в этом примере мы выберем этот вариант. Если все ваши клиенты не поддерживают 128-битное шифрование, выберите более низкие уровни. Нажмите «Далее».
  8. Проверьте настройки на странице «Завершение работы мастера создания новой политики удаленного доступа» и нажмите «Готово».

  Настройка брандмауэра ISA/VPN-сервера для использования RADIUS для аутентификации

  Теперь, когда у нас есть сервер IAS и политика RAS на сервере IAS, вы можете настроить брандмауэр ISA Server и сервер VPN для использования аутентификации RADIUS и EAP/TLS. Выполните следующие шаги для настройки VPN-сервера брандмауэра ISA Server:

  1. Убедитесь, что вы включили брандмауэр ISA Server в качестве VPN-сервера.
  2. В консоли Microsoft Firewall and VPN for Appliances 2003 Management разверните узел VPN и маршрутизация на левой панели консоли, а затем щелкните правой кнопкой мыши узел Маршрутизация и удаленный доступ. Нажмите на команду «Свойства».
  3. В диалоговом окне «Свойства маршрутизации и удаленного доступа» перейдите на вкладку «Безопасность». На вкладке «Безопасность» щелкните стрелку вниз в раскрывающемся списке «Поставщик аутентификации» и выберите «Аутентификация RADIUS ». Нажмите на кнопку «Методы аутентификации». В диалоговом окне Методы аутентификации установите флажок Расширяемый протокол аутентификации (EAP) и снимите флажки с флажков Зашифрованная проверка подлинности Майкрософт версии 2 (MS-CHAP v2) и Зашифрованная проверка подлинности Майкрософт (MS-CHAP). Нажмите «ОК» в диалоговом окне «Методы аутентификации».
  4. Нажмите кнопку «Настроить», расположенную справа от раскрывающегося списка «Поставщик аутентификации». В диалоговом окне Аутентификация RADIUS нажмите кнопку Добавить. В диалоговом окне Добавить сервер RADIUS введите полное доменное имя или IP-адрес вашего сервера IAS во внутренней сети. Убедитесь, что VPN-сервер брандмауэра ISA Server может преобразовать полное доменное имя IAS-сервера в правильный IP-адрес. Если вы не уверены, что VPN-сервер брандмауэра ISA Server может правильно разрешить полное доменное имя VPN-сервера брандмауэра ISA Server, вместо этого используйте IP-адрес. Нажмите кнопку «Изменить», которая находится справа от текстового поля «Секрет». Введите общий секрет, который вы настроили на сервере IAS, а затем подтвердите общий секрет. Поставьте галочку в поле Всегда использовать аутентификатор сообщений пользователя. Нажмите «ОК» в диалоговом окне «Изменить секрет», затем нажмите «ОК» в диалоговом окне «Аутентификация RADIUS ». Нажмите «Применить», а затем нажмите «ОК» в диалоговом окне «Свойства маршрутизации и удаленного доступа».
  5. Нажмите «Нет» в диалоговом окне «Маршрутизация и удаленный доступ», которое информирует вас о том, что вы выбрали один или несколько методов проверки подлинности и хотели бы просмотреть раздел справки.
  6. Нажмите «ОК» в диалоговом окне «Маршрутизация и удаленный доступ», в котором сообщается, что необходимо перезапустить «Маршрутизацию и удаленный доступ».
  7. Нажмите OK в диалоговом окне Свойства маршрутизации и удаленного доступа.
  8. Щелкните правой кнопкой мыши узел «Маршрутизация и удаленный доступ» в левой панели консоли, выберите команду «Все задачи» и щелкните команду « Перезапустить ».

  Выдача сертификата пользователя VPN-клиенту

  Последним шагом является назначение VPN-клиенту пользовательского сертификата и настройка VPN-коннектоида для использования пользовательского сертификата. Существует несколько способов получить сертификат пользователя с сервера сертификатов Windows Server 2003, но веб-сайт регистрации является наиболее доступным. В этом примере мы получим сертификат пользователя с компьютера под управлением Windows 2000, работающего под управлением Internet Explorer 6.0.

  Для получения сертификата пользователя выполните следующие действия:

  1. Откройте Internet Explorer и введите http://<IP_АДРЕС>/certsrv в адресную строку, где IP-адрес сервера сертификатов во внутренней сети. Щелкните Перейти.
  2. Введите свои учетные данные в диалоговое окно «Введите сетевой пароль» и нажмите «ОК».
  3. Щелкните ссылку Запросить сертификат на странице приветствия служб сертификации Microsoft.
  4. Нажмите ссылку «Сертификат пользователя» на странице «Запрос сертификата».
  5. Если появится диалоговое окно с предупреждением системы безопасности, в котором вас спросят, хотите ли вы установить и запустить контроль регистрации сертификатов Microsoft, нажмите Да. Повторите, если вы увидите это диалоговое окно во второй раз. Нажмите кнопку «Отправить» на странице «Сертификат пользователя — идентифицирующая информация». Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев», которое предупреждает вас о том, что веб-сайт запрашивает новый сертификат от вашего имени и что вы должны разрешать это только в том случае, если вы доверяете этому сайту.
  6. Нажмите ссылку «Установить этот сертификат» на странице «Сертификат выдан». Нажмите кнопку «Да» на странице «Потенциальное нарушение сценариев», которая предупредит вас о том, что веб-узел добавляет один или несколько сертификатов на ваш компьютер. Нажмите «Да» в диалоговом окне «Корневое хранилище сертификатов», где вас спросят, хотите ли вы добавить сертификат в корневое хранилище.
  7. Закройте браузер после того, как увидите страницу установки сертификата.

  Создание VPN-коннектоида

  Вам необходимо создать коннектоид удаленного доступа к сети (коннектоид DUN) для подключения к брандмауэру ISA/VPN-серверу. Выполните следующие шаги, чтобы создать коннектоид VPN на клиентском компьютере VPN.

  Примечание. В этом примере мы создадим коннектоид VPN на компьютере с Windows 2000 Professional:

  1. Щелкните правой кнопкой мыши значок «Мое сетевое окружение» на рабочем столе и выберите команду «Свойства».
  2. Дважды щелкните значок «Создать новое подключение» в диалоговом окне «Сетевые и удаленные подключения».
  3. Нажмите «Далее» на странице «Добро пожаловать в мастер сетевых подключений».
  4. На странице Тип сетевого подключения выберите параметр Подключиться к частной сети через Интернет. Нажмите «Далее».
  5. На странице Адрес назначения введите IP-адрес или полное доменное имя VPN-сервера. Нажмите «Далее».
  6. На странице «Доступность подключения» выберите параметр «Только для себя». Это наиболее безопасный вариант, поскольку учетная запись пользователя, вошедшего в систему, должна войти в систему, прежде чем можно будет получить доступ к этому коннектоиду VPN. Нажмите «Далее».
  7. Не включайте общий доступ к подключению к Интернету на странице общего доступа к подключению к Интернету. Чего вы определенно не хотите, так это того, чтобы один из ваших пользователей делился частной VPN-ссылкой со всеми в своей домашней сети. Нажмите «Далее».
  8. Нажмите «Готово» на странице «Завершение работы мастера сетевого подключения».
  9. Теперь нам нужно привязать сертификат пользователя к коммутируемому VPN-коннектоиду. Появится диалоговое окно Подключить виртуальное частное соединение. Нажмите кнопку Свойства.
  10. В диалоговом окне «Виртуальное частное подключение» перейдите на вкладку «Безопасность». Выберите опцию «Дополнительно» и нажмите кнопку «Настройки».
  11. В диалоговом окне «Дополнительные параметры безопасности» выберите параметр «Использовать расширяемый протокол аутентификации (EAP)». Убедитесь, что в раскрывающемся списке выбран параметр Смарт-карта или другой сертификат (с включенным шифрованием). Нажмите кнопку Свойства.
  12. В диалоговом окне «Свойства смарт-карты или другого сертификата» имеется ряд полезных параметров. Поскольку для аутентификации мы используем сертификат пользователя вместо имени пользователя и пароля, выберите параметр « Использовать сертификат на этом компьютере». Мы можем повысить безопасность, выбрав параметр «Проверить сертификат сервера». Когда вы выберете эту опцию, клиент проверит, истек ли срок действия сертификата сервера в процессе обмена сертификатами (клиент VPN представляет свой сертификат серверу VPN, а сервер VPN [в данном случае сервер RADIUS] представляет свой сертификат VPN-клиент). Поставьте галочку в поле Подключаться, только если имя сервера заканчивается флажком. Это заставит VPN-клиент подтвердить, что правильное доменное имя включено в сертификат VPN-сервера. Если сертификат VPN-сервера не содержит имя домена, которое вы вводите в это текстовое поле, попытка подключения завершится ошибкой. Щелкните стрелку вниз в раскрывающемся списке Доверенный корневой центр сертификации и выберите ЦС, предоставивший сертификат пользователя VPN-клиенту. Это повышает безопасность, поскольку вы явно указываете, какой ЦС является доверенным в качестве корневого ЦС для этого VPN-подключения. Нажмите «ОК» в диалоговом окне «Смарт-карта других свойств сертификата».
  13. Нажмите «ОК» в диалоговом окне «Дополнительные параметры безопасности», а затем нажмите «ОК» в диалоговом окне «Виртуальное частное подключение».
  14. Появится усеченное диалоговое окно «Подключить виртуальное частное соединение». Обратите внимание, что это диалоговое окно подключения не позволяет вам вводить имя пользователя или пароль. Причина в том, что вам это не нужно! Пользователь уже получил сертификат, подтверждающий его личность. Даже если кто-то узнает имя пользователя и пароль этого пользователя, это не поможет этому человеку, потому что, если вы принудительно используете аутентификацию EAP/TLS на основе сертификата на сервере VPN, имя пользователя и пароль не принесут этому пользователю никакой пользы.
  15. Нажмите OK, и вы установите соединение. Вы можете видеть, что в этом примере соединение является соединением L2TP/IPSec. Важно отметить, что если вы хотите использовать L2TP/IPSec, вы должны назначить сертификат компьютера VPN-клиенту и VPN-серверу брандмауэра ISA Server.. Важно понимать, что хотя у ЦС есть сертификат машины, а у VPN-клиента есть сертификат пользователя, этих сертификатов недостаточно для создания соединения L2TP/IPSec. Однако вы добьетесь успеха

  Вывод

  Хотя L2TP/IPSec — это волна VPN будущего, я подозреваю, что PPTP будет продолжать существовать еще довольно долго. Теперь вы можете сделать ваше VPN-подключение PPTP максимально безопасным, используя аутентификацию на основе сертификатов EAP/TLS. В этой статье из двух частей мы рассмотрели все шаги, необходимые для этого. Я настоятельно рекомендую вам настроить тестовую лабораторию и убедиться, что аутентификация на основе сертификатов EAP/TLS работает для VPN-клиентов. Затем вы можете развернуть инфраструктуру EAP/TLS PPTP после того, как она заработает в лаборатории. Удачи и дайте мне знать, если у вас есть какие-либо вопросы или проблемы.

  Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить к своей сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001620 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том