Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 2)

Если вы хотите прочитать другие части этой серии статей, перейдите по ссылке:

• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 1)
• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 3)

В первой части этой серии из трех частей о том, как опубликовать сервер Windows Server 2008 SSTP SSL VPN, мы начали с обсуждения проблем удаленного доступа VPN из мест в отелях и того, как протокол SSTP помогает решить эти проблемы, позволяя VPN соединения должны осуществляться через SSL-соединение через TCP-порт 443, который разрешен для всех брандмауэров в этих средах. Затем мы установили службы сертификации на VPN-сервере, чтобы получить сертификат компьютера. После установки сертификата на сервер SSL VPN мы установили службы RRAS VPN и NAT на шлюз VPN. В завершение мы настроили NAT-сервер на VPN-шлюзе для переадресации входящих HTTP-соединений, перенаправленных брандмауэром ISA Firewall, на завершение в ЦС, на котором размещен CDP.

В этой, второй части серии статей, мы настроим учетную запись пользователя, чтобы разрешить коммутируемый доступ, а затем настроим CDP, чтобы разрешить анонимные соединения HTTP. Затем мы закончим настройкой брандмауэра ISA, чтобы разрешить необходимые подключения к VPN-серверу и веб-сайту CDP.

Настройте учетную запись пользователя, чтобы разрешить коммутируемые подключения

Учетным записям пользователей требуется разрешение на коммутируемый доступ, прежде чем они смогут подключиться к серверу Windows VPN, который является членом домена Active Directory. Лучший способ сделать это — использовать сервер политики сети (NPS) и использовать разрешение учетной записи пользователя по умолчанию, которое разрешает удаленный доступ на основе политики NPS. Однако в этом сценарии мы не устанавливали NPS-сервер, поэтому нам придется вручную настраивать разрешение пользователя на подключение.

В следующей статье я напишу, как вы можете использовать сервер NPS и аутентификацию сертификата пользователя EAP для установки соединения с сервером SSL VPN.

Выполните следующие шаги, чтобы включить разрешение на телефонный доступ для учетной записи пользователя, которую вы хотите подключить к серверу SSL VPN. В этом примере мы включим телефонный доступ для учетной записи администратора домена по умолчанию:

1. На контроллере домена откройте консоль «Пользователи и компьютеры Active Directory» из меню «Администрирование».
2. В левой панели консоли разверните имя домена и щелкните узел Пользователи. Дважды щелкните Администратор учетная запись.
3. Нажмите на вкладку Dial-in. По умолчанию установлено значение «Управление доступом через сетевую политику NPS ». Поскольку в этом сценарии у нас нет NPS-сервера, мы изменим параметр на Разрешить доступ, как показано на рисунке ниже. Нажмите ОК.

фигура 1

Настройте IIS на сервере сертификатов, чтобы разрешить HTTP-соединения для каталога CRL.

По какой-то причине, когда мастер установки устанавливает веб-сайт служб сертификации, он настраивает каталог CRL так, чтобы требовалось соединение SSL. Хотя это кажется хорошей идеей с точки зрения безопасности, проблема заключается в том, что URI сертификата не настроен на использование SSL. Я полагаю, вы могли бы создать пользовательскую запись CDP для сертификата, чтобы он использовал SSL, но вы можете поспорить на доллары с пончиками, что Microsoft нигде не документировала эту проблему. Поскольку в этой статье мы используем настройки CDP по умолчанию, нам необходимо отключить требование SSL на веб-сайте ЦС для пути к каталогу CRL.

Выполните следующие шаги, чтобы отключить требование SSL для каталога CRL:

1. В меню «Администрирование» откройте диспетчер информационных служб Интернета (IIS).
2. На левой панели консоли IIS разверните имя сервера, а затем разверните узел Сайты. Разверните узел Веб-сайт по умолчанию и щелкните узел CertEnroll, как показано на рисунке ниже.

фигура 2

3. Если вы посмотрите на среднюю панель консоли, то увидите, что CRL находится в этом виртуальном каталоге, как показано на рисунке ниже. Чтобы увидеть содержимое этого виртуального каталога, вам нужно нажать кнопку «Просмотр содержимого» в нижней части средней панели.

Рисунок 3

4. Нажмите кнопку «Просмотр функций» в нижней части средней панели. В нижней части средней панели дважды щелкните значок Настройки SSL.

Рисунок 4

5. На средней панели появится страница настроек SSL. Снимите галочку с поля Требовать SSL. Нажмите ссылку «Применить» на правой панели консоли.

Рисунок 5

6. Закройте консоль IIS после того, как увидите сообщение Изменения были успешно сохранены.

Рисунок 6

Настройте брандмауэр ISA с VPN-сервером PPTP, VPN-сервером SSL и правилами веб-публикации CDP.

Теперь мы готовы настроить ISA Firewall. Нам нужно создать три правила публикации для поддержки решения:

• Правило веб-публикации, которое разрешает доступ SSL VPN к точке распространения CRL (CDP).
• Правило публикации сервера, которое разрешает входящие соединения SSL с сервером SSTP, что позволяет устанавливать соединение SSTP с сервером VPN.
• Публикация сервера, которая разрешает PPTP для VPN-сервера, чтобы VPN-клиент мог получить доступ к сертификату ЦС с веб-сайта регистрации в сети за VPN-сервером.

После того, как ваши клиенты получили сертификаты, вы можете отключить правило PPTP. Или вы можете оставить правило PPTP или использовать L2TP/IPSec вместо PPTP для более безопасного соединения. Причина, по которой может потребоваться оставить включенным альтернативный протокол VPN, заключается в том, что только клиенты Windows Vista с пакетом обновления 1 (SP1) поддерживают SSTP. Windows XP с пакетом обновления 3 (SP3) может его поддерживать, но сейчас это не так, поскольку я установил релиз-кандидат Windows XP с пакетом обновления 3 (SP3), и нет доказательств поддержки SSTP в его VPN-клиенте.

Прежде чем мы приступим к процедуре, вы можете спросить себя, почему мы используем правило публикации сервера для соединения SSTP. В конце концов, если бы мы использовали правило веб-публикации вместо правила публикации сервера, мы могли бы контролировать доступ к серверу SSTP на основе пути и общедоступного имени. Возможно, мы даже сможем ужесточить правило, настроив фильтр безопасности HTTP. К сожалению, я не нашел способ заставить это работать.

Однако это не означает, что он не может работать. Из того, что я прочитал о SSTP в блоге команды RRAS, по крайней мере теоретически возможно завершить соединение SSL на брандмауэре ISA и перенаправить соединение на шлюз SSTP VPN. Однако, когда я попытался сделать это, я увидел в файлах журнала ISA Firewall, что соединение было установлено, а затем немедленно разорвано ISA Firewall.

Если вы хотите попробовать, вы должны попытаться расшифровать инструкции в файле блога команды RRAS о том, как заставить мост SSL-HTTP работать с брандмауэром ISA. В то время как SSL для SSL был бы более безопасным, я был бы рад увидеть, возможно ли заставить работать даже мост SSL для HTTP. Для получения дополнительной информации ознакомьтесь с: Настройка VPN-сервера на основе SSTP за терминатором SSL (или обратным прокси-сервером HTTP).

Мы начнем с правила веб-публикации для CDP:

1. В консоли брандмауэра ISA щелкните узел «Политика брандмауэра». Перейдите на вкладку «Задачи» на панели задач и щелкните ссылку «Опубликовать веб-сайты».
2. На странице Вас приветствует мастер создания нового правила веб-публикации введите имя правила в текстовом поле Имя правила веб-публикации. В этом примере мы назовем правило CDP Site. Нажмите «Далее».
3. На странице «Выбор действия правила» выберите параметр «Разрешить» и нажмите «Далее».

Рисунок 7

4. На странице «Тип публикации» выберите параметр «Опубликовать один веб-сайт или балансировщик нагрузки» и нажмите «Далее».

Рисунок 8

5. На странице Безопасность подключения к серверу выберите параметр Использовать незащищенное подключение для подключения к опубликованному веб-серверу или ферме серверов. Мы выбираем этот вариант, поскольку клиент SSTP VPN не использует SSL для подключения к CDP. Нажмите «Далее».

Рисунок 9

6. На странице «Сведения о внутренней публикации» введите имя веб-сайта CDP в текстовом поле «Имя внутреннего сайта». Поскольку мы используем HTTP, не имеет значения, какое имя мы вводим в это текстовое поле. Если бы это было правило публикации SSL, нам пришлось бы ввести имя в сертификате веб-сайта, связанном с сайтом. Установите флажок Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу, а затем введите IP-адрес внешнего интерфейса VPN-сервера. В этом случае IP-адрес на внешнем интерфейсе VPN-сервера — 10.10.10.2. Это позволит серверу NAT на сервере VPN перенаправить HTTP-соединение на веб-сайт CDP. Нажмите «Далее».

Рисунок 10

7. Когда клиент SSTP VPN запрашивает CRL, он будет использовать адрес, указанный в сертификате. Как мы видели в первой части этой серии статей, URL-адрес сертификата для CRL — http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl. Чтобы сделать наше правило веб-публикации более безопасным, мы можем ограничить пути, по которым внешние клиенты могут получить доступ через это правило веб-публикации. Поскольку мы хотим предоставить доступ только к CRL, мы введем путь /CertEnroll/WIN2008RC0-DC.msfirewall.org.crl. Это предотвращает «оглядывание» внешних пользователей по разным путям на нашем сервере сертификатов. Нам не нужно беспокоиться о пересылке заголовка хоста, поскольку мы не используем никаких элементов управления заголовком хоста на веб-сайте сервера сертификатов. Нажмите «Далее».

Рисунок 11

8. Мы можем дополнительно заблокировать это правило, убедившись, что только клиенты, которые вводят правильное имя хоста, могут подключаться через это правило веб-публикации. Имя хоста указано в разделе CDP сертификата, в данном случае это win2008rc0-dc.msfirewall.org. На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в раскрывающемся списке Принимать запросы на. В текстовом поле Общедоступное имя введите win2008rc0-dc.msfirewall.org. Нам не нужно вносить никаких изменений в путь, так как мы настроили путь на последней странице мастера. Нажмите «Далее».

Рисунок 12

9. Нажмите кнопку «Создать» на странице «Выбрать веб-прослушиватель».
10. На странице Добро пожаловать в мастер создания нового веб-прослушивателя введите имя веб-прослушивателя в текстовом поле Имя веб-прослушивателя. В этом примере мы назовем Web Listener HTTP. Нажмите «Далее».
11. На странице «Безопасность клиентских подключений» выберите параметр « Не требовать защищенных SSL-соединений с клиентами». Причина этого в том, что клиент SSTP не использует SSL для получения доступа к CDP. Нажмите «Далее».

Рисунок 13

12. На странице «IP-адреса веб-прослушивателя» установите флажок « Внешний». Нам не нужно выбирать IP-адреса, так как в этом примере у нас есть только один IP-адрес на внешнем интерфейсе брандмауэра ISA. Вы можете оставить флажок в поле ISA Server, который будет сжимать контент, отправляемый клиентам через этот веб-прослушиватель, если клиенты, запрашивающие контент, поддерживают сжатие. Нажмите «Далее».

Рисунок 14

13. На странице «Настройки аутентификации» выберите параметр «Нет аутентификации» в раскрывающемся списке «Выберите, как клиенты будут предоставлять учетные данные для ISA Server». Клиент SSTP не может пройти аутентификацию при доступе к CDP, поэтому мы не должны включать аутентификацию на этом прослушивателе. Что ж, вы можете включить аутентификацию, если хотите, если вам нужно использовать этот прослушиватель для других правил веб-публикации, но мы должны убедиться, что доступ разрешен всем пользователям, и в этом случае аутентификация не выполняется. Нажмите «Далее».

Рисунок 15

14. Нажмите «Далее» на странице «Параметры единого входа».
15. Нажмите «Готово» на странице «Завершение работы мастера создания нового веб-прослушивателя».
16. Нажмите «Далее» на странице «Выбор веб-прослушивателя».

Рисунок 16

17. На странице «Делегирование аутентификации» выберите параметр «Нет делегирования, и клиент не может аутентифицироваться напрямую» в раскрывающемся списке «Выбрать метод, используемый ISA Server для аутентификации на опубликованном веб-сервере ». Поскольку в этом соединении не выполняется аутентификация, нет причин разрешать аутентификацию. Нажмите «Далее». 

Рисунок 17

18. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи » и нажмите «Далее».
19. Нажмите «Готово» на странице «Завершение работы мастера создания правила веб-публикации».

Теперь давайте создадим правило публикации сервера для сервера PPTP:

1. В консоли брандмауэра ISA щелкните узел «Политика брандмауэра ». Перейдите на вкладку «Задачи» на панели задач и нажмите «Опубликовать протоколы, отличные от веб-сервера ».
2. На странице Вас приветствует мастер нового правила публикации сервера введите имя правила в текстовом поле Имя правила публикации сервера. В этом примере мы назовем правило PPTP VPN. Нажмите «Далее».
3. На странице Select Server введите IP-адрес внешнего интерфейса VPN-сервера. В этом примере внешний интерфейс VPN-сервера — 10.10.10.2, поэтому мы введем его в текстовое поле IP-адрес сервера. Нажмите «Далее».

Рисунок 18

4. На странице «Выбор протокола» выберите параметр «Сервер PPTP» в раскрывающемся списке «Выбранный протокол». Нажмите «Далее».

Рисунок 19

5. На странице «IP-адреса сетевого прослушивателя» установите флажок « Внешний». Нажмите «Далее».

Рисунок 20

6. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового сервера».

Теперь мы закончим наши правила публикации, создав правило публикации сервера для протокола SSTP, которое на самом деле является правилом публикации сервера HTTPS:

1. В консоли брандмауэра ISA щелкните узел «Политика брандмауэра» на левой панели консоли. Перейдите на вкладку «Задачи» на панели задач и нажмите «Опубликовать не-веб-сервер».
2. На странице Вас приветствует мастер создания нового правила публикации сервера введите имя правила публикации сервера в текстовом поле Имя правила публикации сервера. В этом примере мы назовем правило SSTP Server. Нажмите «Далее».
3. На странице Выбор сервера введите IP-адрес внешнего интерфейса VPN-сервера в текстовом поле IP-адрес сервера. В этом примере мы введем 10.10.10.2. Нажмите «Далее».
4. На странице «Выбор протокола» выберите параметр «Сервер HTTPS» в раскрывающемся списке «Выбранный протокол». Нажмите «Далее».

Рисунок 21

5. На странице «IP-адреса сетевого прослушивателя» установите флажок « Внешний». Нажмите «Далее».
6. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового сервера».
7. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра. Нажмите «ОК» в диалоговом окне «Сохранение изменений конфигурации ».

Резюме

В этой, второй части нашей серии статей о публикации сервера Windows Server 2008 SSTP SSL VPN, мы начали с настройки разрешений для удаленного доступа для учетной записи пользователя. Затем мы перешли на веб-сервер CDP, чтобы к нему можно было установить анонимное HTTP-соединение. Затем мы обратились к брандмауэру ISA, чтобы создать два правила публикации сервера и одно правило веб-публикации, которые необходимы для подключения к VPN-серверу и точке распространения CRL. В следующей и последней части серии мы настроим VPN-клиент для подключения к SSL VPN-серверу и подтвердим соединения, просмотрев информацию о клиенте, VPN-сервере и брандмауэре ISA.

Если вы хотите прочитать другие части этой серии статей, перейдите по ссылке:

• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 1)
• Публикация сервера Windows Server 2008 SSL VPN с использованием брандмауэров ISA 2006 (часть 3)