Создание IPSec в туннельном режиме Site-to-Site VPN с брандмауэрами ISA Server 2004

Создание IPSec в туннельном режиме Site-to-Site VPN с брандмауэрами ISA Server 2004

Томас Шиндер, доктор медицины

Одной из вещей, которая сводила многих из нас с ума по поводу брандмауэров ISA Server 2000, было отсутствие поддержки соединений VPN в режиме туннеля IPSec. Это было серьезной проблемой для многих администраторов брандмауэра ISA и потенциальных администраторов брандмауэра ISA, которые хотели внедрить ISA в корпоративную сеть, разместив ее в филиале. Эти администраторы брандмауэра полагали, что если они смогут установить брандмауэр ISA в филиале, они смогут продемонстрировать его надежную фильтрацию на уровне приложений и аутентификацию на основе пользователей/групп, а затем они смогут установить брандмауэры ISA в главный офис. офис.

Отсутствие поддержки IPSec в туннельном режиме VPN между сайтами не позволяло брандмауэрам ISA филиалов подключаться к большинству сторонних VPN-серверов (иногда называемых «концентраторами»). В то время как ISA Server 2000 поддерживал стандартные отраслевые VPN-подключения PPTP и L2TP/IPSec, сторонние поставщики VPN-серверов и шлюзов извлекли выгоду из поддержки Microsoft отраслевых стандартов и создали свои собственные сетевые схемы IPSec site-to-site VPN. К сожалению, это лишило Microsoft доступа ко многим магазинам, которые в противном случае могли бы воспользоваться брандмауэрами ISA в филиалах.

Хорошей новостью является то, что ISA Server 2004 исправляет эту проблему и полностью поддерживает связи между сайтами с использованием туннельного режима IPSec с брандмауэрами сторонних производителей. Microsoft протестировала эту функцию с несколькими популярными поставщиками брандмауэров. Это хорошая новость для поклонников брандмауэра ISA, так как это означает, что вы можете легко установить брандмауэр ISA Server 2004 в филиал и продемонстрировать его превосходные возможности и функциональность брандмауэра. Позже вы можете перенести брандмауэр ISA Server 2004 и VPN-сервер в главный офис и использовать более безопасный протокол VPN site-to-site, такой как L2TP/IPSec с аутентификацией EAP/TLS.

Вы правильно поняли. Туннельный режим IPSec — это не решение с высоким уровнем безопасности, это решение для обеспечения совместимости. Сторонние методы туннельного режима IPSec между сайтами не так безопасны, как стандартные отраслевые L2TP/IPsec ссылки между сайтами. Вот почему вы хотите установить этот брандмауэр ISA Server 2004 в филиале, а затем, после того, как он зарекомендует себя, внедрить брандмауэр ISA Server 2004/VPN-шлюзы в главный офис, чтобы усилить безопасность ваших ссылок между сайтами.

Туннельный режим IPSec подвержен атакам «человек посередине». IPSec не предназначен для выполнения функций, подобных PPP, которые являются частью процесса установления соединения с виртуальной сетью. Для обработки функций протокола «точка-точка» (PPP), таких как подтверждение учетных данных входа в систему и управление зашифрованными сеансами, туннели IPSec используют агрессивный режим IKE и такие функции, как XAUTH/MODCFG, которые подвержены хорошо известным атакам «человек посередине».

Еще одна проблема с туннельным режимом IPSec заключается в том, что он не представлен в виде логического сетевого интерфейса, по которому можно маршрутизировать пакеты; маршруты не могут быть назначены для использования канала туннельного режима IPSec, а протоколы маршрутизации не работают через туннели IPSec. Вместо этого для выбора маршрута используются загадочные и сложные в управлении и аудите политики IPSec. Эти существенные ограничения являются убедительными причинами, по которым вам следует использовать туннельный режим IPSec только для обеспечения совместимости более ранних версий со сторонними VPN-серверами и шлюзами.

Теперь, когда я отучил вас от туннельного режима IPSec для связи между сайтами, я собираюсь показать вам, как настроить два брандмауэра ISA Server 2004 в качестве VPN-шлюзов, использующих туннельный режим IPSec для связи между сайтами. Это только для демонстрационных целей. Если вы имеете удовольствие использовать брандмауэры ISA Server 2004 в главном офисе и филиале, вам всегда следует использовать L2TP/IPSec в качестве протокола VPN для подключения к сетям.

На рисунке ниже показана топология сети, с которой мы работаем в обсуждаемом сегодня примере.

Мы подробно рассмотрим следующие процедуры, необходимые для создания туннельного режима IPSec, связывающего сайт с сайтом, который подключается к сетям с использованием брандмауэров ISA Server 2004 на каждой стороне:

Создание удаленной сети в главном офисе

Первым шагом является создание удаленной сети, представляющей сеть в филиале. Брандмауэр ISA Server 2004 главного офиса будет использовать сеть удаленных сайтов филиала в правилах маршрутизации и доступа.

Выполните следующие шаги, чтобы создать удаленную сеть в главном офисе:

1. В главном офисе с брандмауэром ISA Server 2004 откройте консоль управления Microsoft Internet Security and Acceleration Server 2004 и разверните имя сервера. Щелкните узел Виртуальные частные сети (VPN).
   
2. В области сведений щелкните вкладку Удаленные узлы. Перейдите на вкладку «Задачи» на панели задач. Щелкните ссылку Добавить сеть удаленного сайта.

3. На странице Добро пожаловать на страницу мастера создания сети введите имя удаленной сети в текстовом поле Имя сети. В этом примере мы будем вызывать сетевую ветвь удаленного сайта. Нажмите «Далее».
   
4. На странице VPN Protocol выберите параметр режима туннеля протокола IP Security (IPSec) и нажмите Next.

5. На странице «Параметры подключения» введите IP-адрес VPN-шлюза удаленного сайта в текстовом поле IP-адрес удаленного VPN-шлюза. В этом примере адрес VPN-шлюза удаленного сайта — 192.168.1.71, поэтому мы введем это значение в текстовое поле. Выберите IP-адрес на внешнем интерфейсе ISA-сервера главного офиса в списке IP-адресов локального VPN-шлюза. В этом примере внешний адрес — 192.168.1.70, поэтому мы выберем этот вариант. Нажмите «Далее».

6. На странице Аутентификация IPSec выберите параметр Использовать общий ключ для аутентификации. Введите предварительно общий ключ в текстовое поле. Это должно быть сложное значение с буквами смешанного регистра, цифрами и не буквенно-цифровыми символами. Обратите внимание, что у вас также есть возможность использовать сертификат компьютера. Мы рассмотрим этот вариант в следующей статье, но я полагаю, что большинство людей будут использовать предварительный общий ключ для упрощения развертывания. Обратите внимание, что предварительные общие ключи — это вариант с низким уровнем безопасности; Вот почему L2TP/IPSec всегда предпочтительнее туннельного режима IPSec. В этом примере мы введем 123 для предварительного общего ключа только в демонстрационных целях. Нажмите «Далее».

7. На странице «Сетевые адреса» нажмите кнопку «Добавить». Введите диапазон адресов, включенных в удаленную сеть. В этом примере филиал использует IP-адреса 10.0.1.0-10.0.1.255, поэтому мы введем эти значения в текстовые поля «Начальный адрес» и «Конечный адрес» в диалоговом окне «Свойства диапазона IP-адресов» и нажмем «ОК». Кроме того, мы введем IP-адрес на внешнем интерфейсе брандмауэра удаленной сети, чтобы клиенты веб-прокси могли получить доступ к сети. В этом примере IP-адрес удаленной сети — 192.168.1.71, поэтому мы введем это значение в текстовые поля «Начальный адрес» и «Конечный адрес» в диалоговом окне «Свойства диапазона IP-адресов» и нажмем «ОК». Нажмите «Далее».

8. Нажмите «Готово» на странице «Завершение работы мастера создания сети».

Создайте сетевое правило в главном офисе

Брандмауэру ISA Server 2004 необходимо знать отношения маршрутизации, которые вы хотите использовать между сайтами главного и удаленного офисов. Вы можете выбрать либо маршрут, либо отношение NAT. В целом отношение NAT считается более безопасным, а отношение маршрута считается более доступным. Связь маршрута более доступна, потому что не все сетевые приложения работают должным образом при использовании связи маршрута.

Выполните следующие шаги, чтобы создать сетевое правило, определяющее отношения маршрутизации между главным офисом и филиалом:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера, а затем разверните узел Конфигурация. Нажмите на узел Сети.
   
2. В области сведений щелкните вкладку Сетевые правила. В области задач щелкните вкладку Задачи. Щелкните ссылку Создать новое сетевое правило.

3. На странице Добро пожаловать в мастер создания нового сетевого правила введите имя правила в текстовом поле Имя сетевого правила. В этом примере мы будем называть правило MainBranch. Нажмите «Далее».
   
4. На странице Источники сетевого трафика нажмите кнопку Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните « Внутренняя сеть». Щелкните Закрыть. Нажмите «Далее» на странице «Источники сетевого трафика ».
   
5. На странице Источники сетевого трафика нажмите кнопку Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните филиальную сеть. Щелкните Закрыть. Нажмите «Далее» на странице «Назначения сетевого трафика ».
   
6. На странице «Сетевые отношения» выберите параметр «Маршрут». Нажмите «Далее».

7. Нажмите «Готово» на странице «Завершение работы мастера создания нового сетевого правила».

Создайте правила доступа в главном офисе

Правила доступа контролируют, какой трафик перемещается между сайтами главного офиса и филиала. Если Правил доступа нет, то между сайтами не будет проходить трафик, независимо от того, что вы создали Сеть удаленного сайта и Сетевое правило. В этом примере мы разрешим весь трафик перемещаться из главного офиса в филиал, а весь трафик — из филиала в главный офис. В производственной сети вы должны заблокировать трафик, который может перемещаться между сайтами, и установить строгий контроль доступа на основе пользователей/групп. Я расскажу, как вы можете управлять доступом на основе пользователей/групп, в следующей статье, посвященной VPN-сети site-to-site.

Обратите внимание, что этот надежный контроль доступа на основе пользователей/групп недоступен в других популярных брандмауэрах, которые в настоящее время считаются лидерами отрасли!

Выполните следующие действия, чтобы создать Правила доступа, разрешающие трафик между Главным офисом и Филиалом:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 щелкните узел «Политика брандмауэра» на левой панели. Перейдите на вкладку «Задачи» в области задач, а затем нажмите ссылку «Создать новое правило доступа».

3. На странице Вас приветствует мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило Main to Branch. Нажмите «Далее».
   
4. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
   
5. На странице «Протоколы» выберите параметр «Все исходящие протоколы» в списке «Это правило применяется к» и нажмите «Далее».

6. На странице Источники правил доступа щелкните Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети». а затем дважды щелкните по внутренней сети. Щелкните Закрыть. Нажмите «Далее» на странице «Источники правил доступа».
   
7. На странице «Назначения правил доступа» нажмите «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети». а затем дважды щелкните по филиальной сети. Щелкните Закрыть. Нажмите «Далее» на странице «Назначения правил доступа».
   
8. На странице User Sets используйте выбор по умолчанию All Users и нажмите Next.
   
9. Нажмите «Готово» на странице «Завершение работы мастера нового правила доступа».

Нам нужно создать еще одно правило, разрешающее трафик из удаленной сети (в данном примере — филиала) в главный офис. Вместо того, чтобы снова проходить Мастер создания правила доступа, я покажу вам прием, который может ускорить создание нового правила доступа:

1. Щелкните правой кнопкой мыши правило Main to Branch и выберите Copy. Еще раз щелкните правило правой кнопкой мыши и выберите Вставить.
   
2. Щелкните правой кнопкой мыши правило Main to Branch (1) и выберите Properties.

3. В диалоговом окне Main to Branch (1) Properties щелкните вкладку General и введите имя Branch to Main в текстовом поле Name.
   
4. Щелкните вкладку От. Нажмите Внутренняя сеть и нажмите Удалить. Щелкните Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните «Ветвь». Щелкните Закрыть.

5. Щелкните вкладку Кому. Щелкните Сеть филиалов и щелкните Удалить. Щелкните Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните «Внутренние». Щелкните Закрыть.

6. Нажмите «Применить», а затем нажмите «ОК».
   
7. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.

Создание удаленной сети в филиале

Теперь нам нужно отразить настройки, которые мы создали в Главном офисе. Все процедуры такие же, за исключением того, что мы меняем настройки для поддержки связи между филиалом и главным офисом.

Выполните следующие шаги для создания удаленной сети в филиале:

1. На компьютере с брандмауэром ISA Server 2004 в филиале откройте консоль управления Microsoft Internet Security and Acceleration Server 2004 и разверните имя сервера. Щелкните узел Виртуальные частные сети (VPN).
   
2. В области сведений щелкните вкладку Удаленные узлы. Перейдите на вкладку «Задачи» на панели задач. Щелкните ссылку Добавить сеть удаленного сайта.

3. На странице Добро пожаловать на страницу мастера создания сети введите имя удаленной сети в текстовом поле Имя сети. В этом примере мы будем называть Remote Site Network Main. Нажмите «Далее».
   
4. На странице «Протокол VPN» выберите параметр режима туннеля протокола IP Security (IPSec) и нажмите «Далее».

5. На странице «Параметры подключения» введите IP-адрес VPN-шлюза удаленного сайта в текстовом поле IP-адрес удаленного VPN-шлюза. В этом примере адрес VPN-шлюза удаленного сайта — 192.168.1.70, поэтому мы введем это значение в текстовое поле. Выберите IP-адрес на внешнем интерфейсе ISA-сервера главного офиса в списке IP-адресов локального VPN-шлюза. В этом примере внешний адрес — 192.168.1.71, поэтому мы выберем этот вариант. Нажмите «Далее».

6. На странице Аутентификация IPSec выберите параметр Использовать общий ключ для аутентификации. Введите предварительно общий ключ в текстовое поле. Это должно быть сложное значение с буквами смешанного регистра, цифрами и не буквенно-цифровыми символами. Обратите внимание, что у вас также есть возможность использовать сертификат компьютера. Мы рассмотрим этот вариант в следующей статье, но я полагаю, что большинство людей будут использовать предварительный общий ключ для упрощения развертывания. Обратите внимание, что предварительные общие ключи — это вариант с низким уровнем безопасности; Вот почему L2TP/IPSec всегда предпочтительнее туннельного режима IPSec. В этом примере мы введем 123 для предварительного общего ключа только в демонстрационных целях. Нажмите «Далее».

7. На странице «Сетевые адреса» нажмите кнопку «Добавить». Введите диапазон адресов, включенных в удаленную сеть. В этом примере главный офис использует IP-адреса 10.0.0.0-10.0.0.255, поэтому мы введем эти значения в текстовые поля «Начальный адрес» и «Конечный адрес» в диалоговом окне «Свойства диапазона IP-адресов» и нажмем «ОК». Кроме того, мы введем IP-адрес на внешнем интерфейсе брандмауэра удаленной сети, чтобы клиенты веб-прокси могли получить доступ к сети. В этом примере IP-адрес удаленной сети — 192.168.1.70, поэтому мы введем это значение в текстовые поля «Начальный адрес» и «Конечный адрес» в диалоговом окне «Свойства диапазона IP-адресов» и нажмем «ОК». Нажмите «Далее».

8. Нажмите «Готово» на странице «Завершение работы мастера создания сети».

Создайте сетевое правило в филиале

Выполните следующие шаги, чтобы создать сетевое правило, определяющее отношения маршрутизации между главным офисом и филиалом:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера, а затем разверните узел Конфигурация. Нажмите на узел Сети.
   
2. В области сведений щелкните вкладку Сетевые правила. В области задач щелкните вкладку Задачи. Щелкните ссылку Создать новое сетевое правило.

3. На странице Добро пожаловать в мастер создания нового сетевого правила введите имя правила в текстовом поле Имя сетевого правила. В этом примере мы будем вызывать правило BranchMain. Нажмите «Далее».
   
4. На странице Источники сетевого трафика нажмите кнопку Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните « Внутренняя сеть». Щелкните Закрыть. Нажмите «Далее» на странице «Источники сетевого трафика ».
   
5. На странице Источники сетевого трафика нажмите кнопку Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните « Основная сеть». Щелкните Закрыть. Нажмите «Далее» на странице «Назначения сетевого трафика ».
   
6. На странице «Сетевые отношения» выберите параметр «Маршрут». Нажмите «Далее».

7. Нажмите «Готово» на странице «Завершение работы мастера создания нового сетевого правила».

Создание правил доступа в филиале

Выполните следующие действия, чтобы создать Правила доступа, управляющие трафиком между филиалом и главным офисом:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 щелкните узел «Политика брандмауэра» на левой панели. Перейдите на вкладку «Задачи» в области задач, а затем нажмите ссылку «Создать новое правило доступа».

2. На странице Вас приветствует мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило Branch to Main. Нажмите «Далее».
   
3. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
   
4. На странице «Протоколы» выберите параметр «Все исходящие протоколы» в списке «Это правило применяется к» и нажмите «Далее».

5. На странице «Источники правил доступа» нажмите «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети». а затем дважды щелкните Внутренняя сеть. Щелкните Закрыть. Нажмите «Далее» на странице «Источники правил доступа».
   
6. На странице «Назначения правил доступа» нажмите «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети». а затем дважды щелкните по основной сети. Щелкните Закрыть. Нажмите «Далее» на странице «Назначения правил доступа».
   
7. На странице User Sets используйте выбор по умолчанию All Users и нажмите Next.
   
8. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».

Нам нужно создать еще одно правило, которое разрешает трафик из удаленной сети (в данном примере из главного офиса) в филиал. Выполните следующие шаги, чтобы создать правило:

1. Щелкните правой кнопкой мыши правило Branch to Main и выберите Copy. Щелкните правой кнопкой мыши правило еще раз и выберите Вставить.
   
2. Щелкните правой кнопкой мыши правило Branch to Main (1) и выберите Properties.

3. В диалоговом окне Свойства ответвления к основному (1) щелкните вкладку Общие и введите имя От главного к ответвлению в текстовом поле Имя.
   
4. Щелкните вкладку От. Нажмите Внутренняя сеть и нажмите Удалить. Щелкните Добавить. В диалоговом окне Add Network Entities щелкните папку Networks и дважды щелкните Main. Щелкните Закрыть.

5. Щелкните вкладку Кому. Нажмите «Основная сеть» и нажмите «Удалить». Щелкните Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните «Внутренние». Щелкните Закрыть.

6. Нажмите «Применить», а затем нажмите «ОК».
   
7. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.

Резюме

В этой статье мы рассмотрели процедуры, необходимые для создания VPN-канала site-to-site между двумя брандмауэрами ISA Server 2004 с использованием туннельного режима IPSec. Мы также обсудили проблемы безопасности с туннельным режимом IPSec и почему никогда не следует использовать подключения туннельного режима IPSec для ссылок между сайтами, за исключением случаев, когда это необходимо для подключения к сторонним VPN-серверам. В следующих статьях мы обсудим процедуры, необходимые для настройки ссылок между сайтами с использованием туннельного режима IPSec с брандмауэрами сторонних поставщиков, и как использовать строгий контроль доступа на основе пользователей/групп, чтобы ограничить доступ пользователей по ссылке.

Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить в своей собственной сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=30;t=000025 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том