Внедрение безопасного удаленного доступа с помощью PPTP и Forefront Threat Management Gateway (TMG) 2010 (часть 1)
Введение
В качестве интегрированного пограничного шлюза безопасности Forefront TMG 2010 можно развернуть для предоставления услуг виртуальной частной сети (VPN), позволяющих удаленным пользователям безопасно подключаться к корпоративной сети, когда они находятся вне офиса. Протоколы VPN, поддерживаемые TMG, включают протокол туннелирования второго уровня (L2TP/IPsec), протокол туннелирования защищенных сокетов (SSTP) и протокол двухточечной связи (PPTP). Судя по моему опыту, PPTP на сегодняшний день является наиболее широко используемым протоколом VPN на TMG и его предшественнике, сервере ISA. Скорее всего, это связано с тем, что настройка PPTP для подключения к VPN проста и понятна, а PPTP широко поддерживается клиентами. Однако недавно обнаруженные недостатки в протоколе должны заставить вас дважды подумать, прежде чем использовать PPTP в конфигурации по умолчанию. В этой статье я покажу, как более безопасно развернуть PPTP VPN. Кроме того, я кратко расскажу о безопасных альтернативах PPTP.
Проблемы безопасности с PPTP
Проблема безопасности PPTP связана не с самим протоколом. Скорее, проблема связана с протоколом аутентификации MS-CHAPv2, который является методом аутентификации по умолчанию, используемым, когда PPTP VPN включен на брандмауэре TMG. Ранее в этом году исследования в области безопасности продемонстрировали метод взлома протокола аутентификации MS-CHAPv2 со 100-процентной вероятностью успеха. С общедоступными инструментами для автоматизации процесса взлома MS-CHAPv2 связь PPTP с использованием MS-CHAPv2 следует считать незашифрованной. Если PPTP развернут для удаленного доступа к VPN-соединению, администраторы безопасности должны принять меры для повышения безопасности своей среды. Варианты включают в себя отключение использования MS-CHAPv2 и использование расширяемого протокола аутентификации (EAP) со смарт-картами или сертификатами или переключение на другой протокол, например L2TP/IPsec или SSTP.
Предварительные требования EAP для PPTP VPN
Замена аутентификации MS-CHAPv2 на PPTP в пользу EAP со смарт-картами или сертификатами — нетривиальная задача. Для многих будет проще просто переключиться на другой протокол для обеспечения безопасного удаленного доступа вместо реализации EAP с PPTP. Для использования EAP потребуется работающая инфраструктура открытых ключей (PKI), что может стать препятствием для входа в систему для некоторых организаций. PKI требуется для выдачи машинных сертификатов каждому серверу TMG, предоставляющему услуги VPN, а также для предоставления клиентских сертификатов или смарт-карт для каждого пользователя, которому требуется доступ к VPN. Включение EAP также потребует внесения изменений на стороне клиента. Это может быть сделано индивидуально пользователем или автоматизировано с помощью пакета администрирования диспетчера подключений (CMAK) или групповой политики. В этой статье предполагается, что вы выполнили эти требования и у вас уже есть рабочая конфигурация PPTP VPN.
Предоставление сертификата сервера
Перед настройкой аутентификации EAP с помощью PPTP на брандмауэре TMG нам сначала нужно получить сертификат компьютера для брандмауэра TMG и сертификат пользователя для нашего клиента удаленного доступа. Настройка PKI выходит за рамки этой статьи, но в своей тестовой лаборатории я использую корпоративный центр сертификации (ЦС) Windows Server 2008 R2, интегрированный с Active Directory. В этом сценарии, прежде чем мы сможем получить сертификат машины от ЦС предприятия, нам сначала нужно настроить политику брандмауэра TMG, чтобы разрешить выполнение этого запроса. Обычно процесс запроса сертификата прост на машине Windows, но здесь он усложняется тем, что процесс запроса сертификата использует DCOM, который не поддерживается брандмауэром TMG. Чтобы включить запрос сертификата, вы можете выполнить эту процедуру, которая требует настройки CA для использования статического порта и создания правила брандмауэра на TMG, использующего пользовательский протокол. Поскольку этот процесс необходимо выполнить только один раз (или очень редко, в зависимости от политики выдачи ЦС на срок действия сертификата), я предлагаю создать ВРЕМЕННОЕ правило доступа, разрешающее весь исходящий трафик от брандмауэра TMG к ЦС. После того, как вы успешно завершили запрос сертификата, вы можете безопасно отключить или удалить правило. Вам также необходимо отключить параметр, чтобы обеспечить строгое соответствие RPC для связи RPC. Это можно сделать, щелкнув правой кнопкой мыши узел «Политика брандмауэра» в консоли управления TMG и выбрав «Все задачи | Системная политика | Изменить системную политику. Выделите Active Directory в папке Authentication Services и снимите флажок рядом с Enforce strict RPC Compliance.
фигура 1
В брандмауэре TMG откройте новую консоль управления Microsoft (MMC), щелкнув Пуск | Запускаем и вводим mmc.exe. В раскрывающемся меню выберите Файл | Добавить/удалить оснастку. Выделите сертификаты в столбце «Доступные оснастки» и нажмите «Добавить». Выберите «Учетная запись компьютера» и нажмите «Далее», выберите «Локальный компьютер» (компьютер, на котором запущена эта консоль), а затем нажмите «Готово » и «ОК». Разверните узел Сертификаты в дереве навигации и выделите личную папку. Щелкните правой кнопкой мыши в любом месте центральной панели и выберите «Все задачи | Запросить новый сертификат. Нажмите «Далее», когда запустится мастер регистрации, затем выберите «Политика регистрации Active Directory» и нажмите «Далее». Установите флажок рядом с «Компьютер» и нажмите «Зарегистрировать», чтобы завершить процесс.
фигура 2
Для корпоративных массивов повторите эти шаги для каждого брандмауэра TMG в массиве. Не забудьте отключить или удалить временное правило доступа, которое вы создали, чтобы разрешить весь исходящий трафик от брандмауэра TMG к ЦС, и снова включите строгое соблюдение RPC в системной политике!
Предоставление клиентского сертификата
Чтобы предоставить сертификат пользователя на стороне клиента, щелкните Пуск | Запустите и введите mmc.exe. В раскрывающемся меню выберите Файл | Добавить/удалить оснастку. Выделите сертификаты в столбце «Доступные оснастки» и нажмите «Добавить». Выберите «Моя учетная запись пользователя» и нажмите «Готово» и «ОК». Разверните Сертификаты — Текущий пользователь в дереве навигации и выделите личную папку. Щелкните правой кнопкой мыши в любом месте центральной панели и выберите «Все задачи | Запросите новый сертификат и нажмите «Далее», а затем выберите «Политика регистрации Active Directory» и нажмите «Далее». Установите флажок рядом с «Пользователь» и нажмите «Зарегистрировать».
Рисунок 3
Настройка TMG PPTP VPN для EAP
В консоли управления TMG выделите узел «Политика удаленного доступа (VPN)» в дереве навигации, затем на панели «Задачи» нажмите ссылку «Выбрать методы аутентификации».
Рисунок 4
Снимите флажок рядом с Зашифрованная проверка подлинности Майкрософт версии 2 (MS-CHAPv2) и установите флажок Расширяемый протокол проверки подлинности (EAP) со смарт-картой или другим сертификатом.
Рисунок 5
Примечание:
Если вы включили интеграцию NAP с TMG для VPN-клиентов, EAP необходимо настроить на сервере политик сети (NPS). Щелкните ссылку configuring EAP в диалоговом окне для получения дополнительной информации. Когда вы выбираете параметр для включения EAP, вам предоставляется информационное диалоговое окно, указывающее, что пользователи, прошедшие проверку подлинности EAP, принадлежат к пространству имен RADIUS и не являются частью пространства имен Windows. Чтобы применить к этим пользователям правило доступа на основе пользователей, вы можете либо определить для них набор пользователей RADIUS, либо использовать сопоставление пользователей, чтобы сопоставить этих пользователей с пространством имен Windows (для этого требуется, чтобы брандмауэр TMG был присоединен к домену). Если сопоставление пользователей включено, правила доступа, применяемые к пользователям и группам Windows, будут применяться к пользователям, прошедшим проверку подлинности EAP.
Рисунок 6
Выберите «ОК», затем сохраните и примените конфигурацию.
Настройка VPN-клиента с EAP
На стороне клиента откройте Центр управления сетями и общим доступом и нажмите Изменить параметры адаптера. Щелкните правой кнопкой мыши существующее VPN-подключение PPTP и выберите «Свойства». Перейдите на вкладку «Безопасность», затем выберите параметр « Использовать расширяемый протокол аутентификации (EAP)». В раскрывающемся списке выберите Смарт-карта или другой сертификат (с включенным шифрованием).
Рисунок 7
Нажмите кнопку «Свойства» и, если вы используете клиентские сертификаты, установленные на локальном компьютере, а не смарт-карты, выберите параметр « Использовать сертификат на этом компьютере ». Затем введите внутреннее имя хоста брандмауэра TMG в текстовом поле Подключиться к этим серверам. Это имя должно совпадать с именем в сертификате компьютера, выданном брандмауэру TMG. Для корпоративных массивов TMG введите имя каждого брандмауэра в массиве, разделенное точкой с запятой. Наконец, выберите доверенные корневые центры сертификации, выдавшие сертификат для брандмауэра TMG, и нажмите «ОК». После завершения вы сможете установить безопасный сеанс VPN с использованием PPTP, аутентифицированного с помощью клиентского сертификата или смарт-карты, выданной пользователю.
Рисунок 8
Альтернативные протоколы удаленного доступа
Если реализация аутентификации EAP с помощью PPTP кажется сложной задачей, существуют альтернативные протоколы удаленного доступа, которые можно использовать для обеспечения безопасного удаленного доступа, не имеющего проблем с безопасностью, присущих PPTP. Например, TMG поддерживает протокол L2TP/IPsec, который считается очень безопасным. В идеале протокол L2TP/IPsec также должен использовать сертификаты для аутентификации, но он поддерживает использование общего секрета, который, если соблюдать осторожность, может обеспечить высокий уровень защиты при удаленном доступе. Если вы решите использовать общие секреты вместо сертификатов, обязательно используйте очень длинный и сложный пароль и часто меняйте его. Другой отличной альтернативой является использование SSTP. SSTP использует SSL/TLS для шифрования связи между клиентом и сервером удаленного доступа, и его легко настроить на брандмауэре TMG. Дополнительным преимуществом SSTP является то, что он очень дружелюбен к брандмауэрам, поскольку исходящий доступ через TCP-порт 443 является повсеместным. Единственным недостатком SSTP является то, что он поддерживается только клиентами Windows Vista SP1 и более поздних версий. Если вам по-прежнему необходимо поддерживать клиентов удаленного доступа Windows XP, вам придется продолжать полагаться на PPTP или L2TP/IPsec. Конечно, DirectAccess — это еще одно решение, которое смягчает проблемы безопасности PPTP VPN. DirectAccess использует сертификаты и IPsec для установки безопасного удаленного доступа для управляемых клиентов (подключенных к домену) под управлением Windows 7 Корпоративная или Максимальная или Windows 8 Корпоративная. DirectAccess может быть реализован с помощью Windows Server 2008 R2 (и расширен с помощью Forefront UAG 2010) или с Windows Server 2012.
Резюме
Forefront TMG и ISA Server — широко распространенные решения для удаленного доступа. Наиболее распространенным протоколом, используемым в этих развертываниях, несомненно, является PPTP из-за его простой настройки и широкой клиентской поддержки. Тем не менее, PPTP долгое время считался слабым протоколом, а недавние открытия и новые инструменты автоматического взлома угрожают сделать PPTP таким же безопасным, как протокол Wired Equivalent Privacy (WEP). Большим и малым организациям рекомендуется внести изменения в существующую конфигурацию PPTP VPN или рассмотреть возможность перехода на другой более безопасный протокол для защиты удаленного доступа. Настройка аутентификации EAP с помощью смарт-карт или сертификатов снижает проблемы безопасности PPTP, но для многих требование PKI может стать препятствием для внедрения. В качестве альтернативы TMG поддерживает дополнительные безопасные протоколы, такие как L2TP/IPsec и SSTP, оба из которых обеспечивают гораздо большую безопасность, чем конфигурация PPTP по умолчанию.