Настройка VPN-клиента и сервера для поддержки аутентификации PPTP EAP-TLS на основе сертификатов — часть 2
В первой части их статьи, состоящей из двух частей, мы рассмотрели принцип управления уровнем безопасности, предоставляемым для соединений L2TP/IPSec и PPTP. Вы видели, что L2TP/IPSec обеспечивает высочайший уровень безопасности для алгоритма шифрования, используемого протоколом VPN. Однако мы также обнаружили, что основная проблема безопасности с PPTP связана со сложностью пароля, и проблемы со сложностью пароля можно устранить, используя аутентификацию на основе сертификатов EAP/TLS.
Процедуры, необходимые для того, чтобы все это заработало, включают:
- Установите ISA Server 2000 на компьютер с Windows Server 2003.
- Установите IIS 6.0 и ЦС предприятия на Windows Server 2003.
- Установите и настройте сервер IAS и создайте политику удаленного доступа.
- Настройте брандмауэр ISA/VPN-сервер для поддержки аутентификации EAP-TLS.
- Назначение сертификата VPN-клиенту
- Настройте VPN-клиент для использования аутентификации EAP-TLS на основе сертификатов.
- Вы можете перейти по адресу http://isaserver.org/tutorials/installon2003.html и получить инструкции по установке ISA 2000 на Windows Server 2003. На прошлой неделе в первой части этой статьи мы установили IIS 6.0 и ЦС предприятия на контроллер домена во внутренней сети. Мы также установили сервер RADIUS. На этой неделе мы закончим созданием политики удаленного доступа VPN, настроим брандмауэр ISA/VPN-сервер для использования RADIUS для аутентификации, выдадим клиентский сертификат VPN-клиенту и настроим VPN-клиент для использования аутентификации EAP/TLS на основе сертификатов..
Давайте продолжим сборку нашей инфраструктуры аутентификации EAP/TLS на основе сертификатов PPTP.
Создание политики RRAS на сервере RADIUS
Выполните следующие шаги, чтобы создать политику RRAS, хранящуюся на сервере IAS:
- Последним шагом в настройке IAS-сервера является создание политики удаленного доступа для клиентов VPN. Мы будем использовать мастер политики удаленного доступа, чтобы помочь нам с этой задачей. В консоли службы проверки подлинности в Интернете щелкните правой кнопкой мыши узел «Политики удаленного доступа» и выберите команду «Новая политика удаленного доступа».
- Нажмите «Далее» на странице «Добро пожаловать на страницу мастера создания новой политики удаленного доступа».
- На странице «Метод настройки политики» выберите параметр «Использовать мастер для настройки типичной политики для стандартного сценария». В текстовом поле Имя политики введите имя политики. В этом примере мы назовем ее политикой доступа к VPN. Нажмите «Далее».
- Выберите параметр VPN на странице «Метод доступа». Нажмите «Далее».
- Вы можете предоставить доступ к VPN-серверу на основе пользователя или группы. Наилучший метод управления доступом — для каждой группы, поскольку им проще управлять и он требует меньших административных издержек. Вы можете создать группу, например «Пользователи VPN», и разрешить им доступ или доступ всем вашим пользователям. Это зависит от того, кому вы хотите получить доступ к сети через VPN. В этом примере мы выберем параметр «Группа» и нажмем кнопку «Добавить». Откроется диалоговое окно «Выбрать группы». Введите имя группы в текстовое поле ввода имени объекта для выбора и нажмите кнопку Проверить имена, чтобы подтвердить правильность ввода имени. Нажмите «ОК» в диалоговом окне «Выбрать группы», а затем нажмите «Далее».
- Вы можете выбрать разрешенные методы аутентификации пользователя на странице «Методы аутентификации». Возможно, вы захотите разрешить как Microsoft Encrypted Authentication версии 2, так и Extensible Authentication Protocol (EAP). В этом примере мы разрешим только EAP, так как хотим запустить высокозащищенную среду, и мы можем назначить всем нашим клиентам сертификаты использования. Установите флажок Extensible Authentication Protocol (EAP), а затем щелкните стрелку вниз в раскрывающемся списке Тип (на основе метода доступа и конфигурации сети) и выберите смарт-карту или другой открытый сертификат. Нажмите кнопку Настроить. В диалоговом окне Смарт-карта или другие свойства сертификата вы можете выбрать сертификат, который сервер должен использовать для идентификации себя для клиентов VPN. Самоподписанный сертификат появится в раскрывающемся списке Сертификат, выданный для. Этот сертификат будет использоваться для идентификации сервера. Нажмите «ОК» в диалоговом окне «Свойства смарт-карты или другого сертификата», а затем нажмите «Далее».
- Выберите уровень (уровни) шифрования, который вы хотите применить для VPN-соединений. Большинство сред теперь поддерживают 128-битное шифрование для PPTP, поэтому в этом примере мы выберем этот вариант. Если все ваши клиенты не поддерживают 128-битное шифрование, выберите более низкие уровни. Нажмите «Далее».
- Проверьте настройки на странице «Завершение работы мастера создания новой политики удаленного доступа» и нажмите «Готово».
Настройка брандмауэра ISA/VPN-сервера для использования RADIUS для аутентификации
Теперь, когда у нас есть сервер IAS и политика RAS на сервере IAS, вы можете настроить брандмауэр ISA Server и сервер VPN для использования аутентификации RADIUS и EAP/TLS. Выполните следующие шаги для настройки VPN-сервера брандмауэра ISA Server:
- Убедитесь, что вы включили брандмауэр ISA Server в качестве VPN-сервера.
- В консоли Microsoft Firewall and VPN for Appliances 2003 Management разверните узел VPN и маршрутизация на левой панели консоли, а затем щелкните правой кнопкой мыши узел Маршрутизация и удаленный доступ. Нажмите на команду «Свойства».
- В диалоговом окне «Свойства маршрутизации и удаленного доступа» перейдите на вкладку «Безопасность». На вкладке «Безопасность» щелкните стрелку вниз в раскрывающемся списке «Поставщик аутентификации» и выберите «Аутентификация RADIUS ». Нажмите на кнопку «Методы аутентификации». В диалоговом окне Методы аутентификации установите флажок Расширяемый протокол аутентификации (EAP) и снимите флажки с флажков Зашифрованная проверка подлинности Майкрософт версии 2 (MS-CHAP v2) и Зашифрованная проверка подлинности Майкрософт (MS-CHAP). Нажмите «ОК» в диалоговом окне «Методы аутентификации».
- Нажмите кнопку «Настроить», расположенную справа от раскрывающегося списка «Поставщик аутентификации». В диалоговом окне Аутентификация RADIUS нажмите кнопку Добавить. В диалоговом окне Добавить сервер RADIUS введите полное доменное имя или IP-адрес вашего сервера IAS во внутренней сети. Убедитесь, что VPN-сервер брандмауэра ISA Server может преобразовать полное доменное имя IAS-сервера в правильный IP-адрес. Если вы не уверены, что VPN-сервер брандмауэра ISA Server может правильно разрешить полное доменное имя VPN-сервера брандмауэра ISA Server, вместо этого используйте IP-адрес. Нажмите кнопку «Изменить», которая находится справа от текстового поля «Секрет». Введите общий секрет, который вы настроили на сервере IAS, а затем подтвердите общий секрет. Поставьте галочку в поле Всегда использовать аутентификатор сообщений пользователя. Нажмите «ОК» в диалоговом окне «Изменить секрет», затем нажмите «ОК» в диалоговом окне «Аутентификация RADIUS ». Нажмите «Применить», а затем нажмите «ОК» в диалоговом окне «Свойства маршрутизации и удаленного доступа».
- Нажмите «Нет» в диалоговом окне «Маршрутизация и удаленный доступ», которое информирует вас о том, что вы выбрали один или несколько методов проверки подлинности и хотели бы просмотреть раздел справки.
- Нажмите «ОК» в диалоговом окне «Маршрутизация и удаленный доступ», в котором сообщается, что необходимо перезапустить «Маршрутизацию и удаленный доступ».
- Нажмите OK в диалоговом окне Свойства маршрутизации и удаленного доступа.
- Щелкните правой кнопкой мыши узел «Маршрутизация и удаленный доступ» в левой панели консоли, выберите команду «Все задачи» и щелкните команду « Перезапустить ».
Выдача сертификата пользователя VPN-клиенту
Последним шагом является назначение VPN-клиенту пользовательского сертификата и настройка VPN-коннектоида для использования пользовательского сертификата. Существует несколько способов получить сертификат пользователя с сервера сертификатов Windows Server 2003, но веб-сайт регистрации является наиболее доступным. В этом примере мы получим сертификат пользователя с компьютера под управлением Windows 2000, работающего под управлением Internet Explorer 6.0.
Для получения сертификата пользователя выполните следующие действия:
- Откройте Internet Explorer и введите http://<IP_АДРЕС>/certsrv в адресную строку, где IP-адрес сервера сертификатов во внутренней сети. Щелкните Перейти.
- Введите свои учетные данные в диалоговое окно «Введите сетевой пароль» и нажмите «ОК».
- Щелкните ссылку Запросить сертификат на странице приветствия служб сертификации Microsoft.
- Нажмите ссылку «Сертификат пользователя» на странице «Запрос сертификата».
- Если появится диалоговое окно с предупреждением системы безопасности, в котором вас спросят, хотите ли вы установить и запустить контроль регистрации сертификатов Microsoft, нажмите Да. Повторите, если вы увидите это диалоговое окно во второй раз. Нажмите кнопку «Отправить» на странице «Сертификат пользователя — идентифицирующая информация». Нажмите «Да» в диалоговом окне «Потенциальное нарушение сценариев», которое предупреждает вас о том, что веб-сайт запрашивает новый сертификат от вашего имени и что вы должны разрешать это только в том случае, если вы доверяете этому сайту.
- Нажмите ссылку «Установить этот сертификат» на странице «Сертификат выдан». Нажмите кнопку «Да» на странице «Потенциальное нарушение сценариев», которая предупредит вас о том, что веб-узел добавляет один или несколько сертификатов на ваш компьютер. Нажмите «Да» в диалоговом окне «Корневое хранилище сертификатов», где вас спросят, хотите ли вы добавить сертификат в корневое хранилище.
- Закройте браузер после того, как увидите страницу установки сертификата.
Создание VPN-коннектоида
Вам необходимо создать коннектоид удаленного доступа к сети (коннектоид DUN) для подключения к брандмауэру ISA/VPN-серверу. Выполните следующие шаги, чтобы создать коннектоид VPN на клиентском компьютере VPN.
Примечание. В этом примере мы создадим коннектоид VPN на компьютере с Windows 2000 Professional:
- Щелкните правой кнопкой мыши значок «Мое сетевое окружение» на рабочем столе и выберите команду «Свойства».
- Дважды щелкните значок «Создать новое подключение» в диалоговом окне «Сетевые и удаленные подключения».
- Нажмите «Далее» на странице «Добро пожаловать в мастер сетевых подключений».
- На странице Тип сетевого подключения выберите параметр Подключиться к частной сети через Интернет. Нажмите «Далее».
- На странице Адрес назначения введите IP-адрес или полное доменное имя VPN-сервера. Нажмите «Далее».
- На странице «Доступность подключения» выберите параметр «Только для себя». Это наиболее безопасный вариант, поскольку учетная запись пользователя, вошедшего в систему, должна войти в систему, прежде чем можно будет получить доступ к этому коннектоиду VPN. Нажмите «Далее».
- Не включайте общий доступ к подключению к Интернету на странице общего доступа к подключению к Интернету. Чего вы определенно не хотите, так это того, чтобы один из ваших пользователей делился частной VPN-ссылкой со всеми в своей домашней сети. Нажмите «Далее».
- Нажмите «Готово» на странице «Завершение работы мастера сетевого подключения».
- Теперь нам нужно привязать сертификат пользователя к коммутируемому VPN-коннектоиду. Появится диалоговое окно Подключить виртуальное частное соединение. Нажмите кнопку Свойства.
- В диалоговом окне «Виртуальное частное подключение» перейдите на вкладку «Безопасность». Выберите опцию «Дополнительно» и нажмите кнопку «Настройки».
- В диалоговом окне «Дополнительные параметры безопасности» выберите параметр «Использовать расширяемый протокол аутентификации (EAP)». Убедитесь, что в раскрывающемся списке выбран параметр Смарт-карта или другой сертификат (с включенным шифрованием). Нажмите кнопку Свойства.
- В диалоговом окне «Свойства смарт-карты или другого сертификата» имеется ряд полезных параметров. Поскольку для аутентификации мы используем сертификат пользователя вместо имени пользователя и пароля, выберите параметр « Использовать сертификат на этом компьютере». Мы можем повысить безопасность, выбрав параметр «Проверить сертификат сервера». Когда вы выберете эту опцию, клиент проверит, истек ли срок действия сертификата сервера в процессе обмена сертификатами (клиент VPN представляет свой сертификат серверу VPN, а сервер VPN [в данном случае сервер RADIUS] представляет свой сертификат VPN-клиент). Поставьте галочку в поле Подключаться, только если имя сервера заканчивается флажком. Это заставит VPN-клиент подтвердить, что правильное доменное имя включено в сертификат VPN-сервера. Если сертификат VPN-сервера не содержит имя домена, которое вы вводите в это текстовое поле, попытка подключения завершится ошибкой. Щелкните стрелку вниз в раскрывающемся списке Доверенный корневой центр сертификации и выберите ЦС, предоставивший сертификат пользователя VPN-клиенту. Это повышает безопасность, поскольку вы явно указываете, какой ЦС является доверенным в качестве корневого ЦС для этого VPN-подключения. Нажмите «ОК» в диалоговом окне «Смарт-карта других свойств сертификата».
- Нажмите «ОК» в диалоговом окне «Дополнительные параметры безопасности», а затем нажмите «ОК» в диалоговом окне «Виртуальное частное подключение».
- Появится усеченное диалоговое окно «Подключить виртуальное частное соединение». Обратите внимание, что это диалоговое окно подключения не позволяет вам вводить имя пользователя или пароль. Причина в том, что вам это не нужно! Пользователь уже получил сертификат, подтверждающий его личность. Даже если кто-то узнает имя пользователя и пароль этого пользователя, это не поможет этому человеку, потому что, если вы принудительно используете аутентификацию EAP/TLS на основе сертификата на сервере VPN, имя пользователя и пароль не принесут этому пользователю никакой пользы.
- Нажмите OK, и вы установите соединение. Вы можете видеть, что в этом примере соединение является соединением L2TP/IPSec. Важно отметить, что если вы хотите использовать L2TP/IPSec, вы должны назначить сертификат компьютера VPN-клиенту и VPN-серверу брандмауэра ISA Server.. Важно понимать, что хотя у ЦС есть сертификат машины, а у VPN-клиента есть сертификат пользователя, этих сертификатов недостаточно для создания соединения L2TP/IPSec. Однако вы добьетесь успеха
Вывод
Хотя L2TP/IPSec — это волна VPN будущего, я подозреваю, что PPTP будет продолжать существовать еще довольно долго. Теперь вы можете сделать ваше VPN-подключение PPTP максимально безопасным, используя аутентификацию на основе сертификатов EAP/TLS. В этой статье из двух частей мы рассмотрели все шаги, необходимые для этого. Я настоятельно рекомендую вам настроить тестовую лабораторию и убедиться, что аутентификация на основе сертификатов EAP/TLS работает для VPN-клиентов. Затем вы можете развернуть инфраструктуру EAP/TLS PPTP после того, как она заработает в лаборатории. Удачи и дайте мне знать, если у вас есть какие-либо вопросы или проблемы.
Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить к своей сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001620 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том