Внедрение безопасного удаленного доступа с помощью PPTP и Forefront Threat Management Gateway (TMG) 2010 (часть 2)

Опубликовано: 7 Апреля, 2023

Введение

В прошлом месяце, в первой части этой серии, посвященной внедрению безопасного удаленного доступа с помощью PPTP и Forefront Threat Management Gateway (TMG) 2010, я подробно объяснил, как вы все еще можете использовать PPTP для удаленного доступа к VPN, но сделать это намного безопаснее, чем по умолчанию. конфигурация позволяет использовать протокол расширенной аутентификации (EAP) и сертификаты. Здесь, во второй части, я собираюсь продемонстрировать еще один способ обеспечить дополнительный уровень защиты для PPTP, настроив защищенный расширяемый протокол аутентификации (PEAP) с аутентификацией клиентского сертификата, а также интегрировав и применяя защиту доступа к сети (NAP) с карантином VPN-клиента.

Требования и предположения

Детали конфигурации, изложенные в этой статье, предполагают, что вы настроили брандмауэр TMG и клиент Windows 7, как показано в моей предыдущей статье. Кроме того, для реализации карантина NAP для клиентов, не прошедших проверку работоспособности, требуется сервер с установленной ролью Network Policy Server (NPS). Если у вас есть один брандмауэр TMG, можно использовать существующий NPS, установленный на сервере TMG. Однако, если у вас есть массив серверов TMG или вы хотите использовать NPS для других точек принудительного применения (DHCP, 802.1x и т. д.), рекомендуется настроить отдельный выделенный сервер, на котором работает NPS. Кроме того, конфигурация NAP, описанная в этой статье, относится только к этому сценарию развертывания, то есть к VPN удаленного доступа PPTP с использованием PEAP. Если вы хотите настроить NAP для базовых сценариев VPN, дополнительные сведения см. в этой статье. Наконец, подробное объяснение того, как настроить сервер NPS, выходит за рамки этой статьи. Более подробную информацию об этом можно найти здесь.

Конфигурация TMG

В консоли управления TMG выделите узел «Политика удаленного доступа (VPN)» в дереве навигации, затем нажмите «Указать конфигурацию RADIUS» на панели «Задачи».

Изображение 23104
фигура 1

Выберите параметры «Использовать RADIUS для проверки подлинности» и «Использовать RADIUS для учета (ведения журнала)», а затем нажмите «Серверы RADIUS».

Изображение 23105
фигура 2

Нажмите «Добавить», затем введите имя хоста или IP-адрес сервера политики сети и, при необходимости, укажите описание. Нажмите кнопку «Изменить» и введите общий секрет, который будет использоваться с сервером NPS. Обязательно используйте длинный и сложный пароль для оптимальной безопасности. Оставьте параметры порта аутентификации и времени ожидания (в секундах) по умолчанию и выберите параметр Всегда использовать аутентификатор сообщений.

Изображение 23106
Рисунок 3

Затем на панели «Задачи» нажмите «Настроить доступ к VPN-клиенту» и выберите вкладку «Карантин». Выберите «Включить контроль карантина» и выберите вариант «Поместить в карантин» в соответствии с политиками сервера RADIUS. После завершения сохраните и примените конфигурацию.

Изображение 23107
Рисунок 4

Конфигурация NPS

На сервере NPS откройте консоль управления Network Policy Server, выбрав Пуск | Административные инструменты | Сервер сетевой политики. В дереве навигации разверните узел Защита доступа к сети, затем Средства проверки работоспособности системы и Средство проверки работоспособности безопасности Windows. Выделите «Настройки», затем щелкните правой кнопкой мыши «Конфигурация по умолчанию» в центральном окне и выберите «Свойства». Выберите проверки работоспособности безопасности, которые вы хотите применить, и нажмите «ОК».

Изображение 23108
Рисунок 5

Затем разверните узел Политики в дереве навигации. Щелкните правой кнопкой мыши «Политики работоспособности» и выберите «Создать». Назовите первую новую политику здоровья Compliant. Укажите, что клиент прошел все проверки SHV, выберите средство проверки работоспособности Windows Security Health Validator и нажмите кнопку «ОК».

Изображение 23109
Рисунок 6

Повторите эти шаги и создайте новую политику работоспособности с именем Несоответствующая. Укажите, что клиент не прошел одну или несколько проверок SHV, выберите средство проверки работоспособности безопасности Windows и нажмите кнопку «ОК».

Изображение 23110
Рисунок 7

Щелкните правой кнопкой мыши узел «Сетевые политики» и выберите «Создать». Назовите политику Compliant — Full Access и нажмите Next.

Изображение 23111
Рисунок 8

Нажмите «Добавить», затем выберите «Политики работоспособности» и нажмите «Добавить».

Изображение 23112
Рисунок 9

Выберите «Соответствует» и нажмите «ОК» и «Далее».

Изображение 23113
Рисунок 10

Выберите «Доступ предоставлен» и нажмите «Далее».

Изображение 23114
Рисунок 11

Нажмите «Добавить» и выберите «Microsoft: Protected EAP (PEAP)», затем нажмите «Изменить». В разделе «Типы EAP» удалите «Защищенный пароль» (EAP-MSCHAPv2), затем нажмите «Добавить» и выберите «Смарт-карта» или другой сертификат.

Изображение 23115
Рисунок 12

Нажмите «Далее» три раза, а затем нажмите «Готово». Повторите этот процесс, на этот раз назвав политику Noncompliant — No Access. Выберите «Несовместимо» для политики работоспособности и выберите «Отказано в доступе».

Изображение 23116
Рисунок 13

Снова нажмите «Добавить» и выберите «Microsoft: Protected EAP (PEAP)», затем нажмите «Изменить». В разделе «Типы EAP» удалите «Защищенный пароль» (EAP-MSCHAPv2), затем нажмите «Добавить» и выберите «Смарт-карта» или другой сертификат. Дважды нажмите «Далее», затем выделите «Применение NAP» и выберите «Разрешить ограниченный доступ».

Изображение 23117
Рисунок 14

Нажмите «Далее», а затем «Готово». Затем щелкните правой кнопкой мыши «Политики запросов на подключение» и выберите «Создать». Назовите политику TMG VPN и выберите Сервер удаленного доступа (VPN-Dial-up) в качестве Типа сервера доступа к сети.

Изображение 23118
Рисунок 15

Нажмите «Добавить», затем выделите «IPv4-адрес клиента» и нажмите «Добавить».

Изображение 23119
Рисунок 16

Введите IP-адрес вашего сервера TMG и нажмите «ОК».

Изображение 23120
Рисунок 17

Дважды нажмите «Далее», а затем выберите параметр «Переопределить параметры проверки подлинности сетевой политики ». Нажмите «Добавить» и выберите «Microsoft: Protected EAP (PEAP)», затем нажмите «Изменить». В разделе «Типы EAP» удалите «Защищенный пароль» (EAP-MSCHAPv2), затем нажмите «Добавить» и выберите «Смарт-карта» или другой сертификат. Нажмите «Далее» и «Готово».

Изображение 23121
Рисунок 18

Наконец, разверните Клиенты и серверы RADIUS в дереве навигации, затем щелкните правой кнопкой мыши Клиенты RADIUS и выберите Создать. Дайте клиенту имя и укажите имя хоста или IP-адрес сервера TMG и введите тот же общий секрет в конфигурации для сервера RADIUS в консоли управления TMG.

Изображение 23122
Рисунок 19

Перейдите на вкладку «Дополнительно» и выберите параметры. Сообщения Access-Request должны содержать атрибут Message-Authenticator, а клиент RADIUS должен поддерживать NAP.

Изображение 23123
Рисунок 20

Конфигурация клиента

В клиенте Windows 7 перейдите в меню Пуск | Запустите (или Winkey + R) и введите napclcfg.msc и нажмите Enter. Выделите узел Enforcement Clients в дереве навигации, затем щелкните правой кнопкой мыши EAP Quarantine Enforcmenet Client в центральном окне и выберите Enable.

Изображение 23124
Рисунок 21

Затем откройте консоль «Службы» и измените тип запуска для агента защиты доступа к сети на «Автоматически», а затем запустите службу.

Изображение 23125
Рисунок 22

Это также можно настроить в командной строке с повышенными привилегиями, введя следующую команду:

sc config napagent start= auto && sc start napagent

Щелкните правой кнопкой мыши VPN-подключение и выберите «Свойства». Выберите вкладку «Безопасность» и измените параметр «Использовать расширяемый протокол аутентификации (EAP)» на «Microsoft: защищенный EAP (PEAP) (шифрование включено)», а затем нажмите «Свойства».

Изображение 23126
Рисунок 23

Выберите параметры Проверить сертификат сервера и Подключиться к этим серверам:. Здесь введите имя сервера NPS, на использование которого настроен TMG, и выберите соответствующие доверенные корневые центры сертификации для вашей организации. Выберите параметр Принудительно применять защиту доступа к сети, а в качестве метода аутентификации выберите Смарт-карту или другой сертификат из раскрывающегося списка и выберите Настроить.

Изображение 23127
Рисунок 24

Выберите вариант Использовать сертификат на этом компьютере и Использовать простой выбор сертификата (рекомендуется). Также выберите Проверить сертификат сервера. Введите имя хоста NPS-сервера, на использование которого настроен TMG, и выберите соответствующие доверенные корневые центры сертификации для вашей организации.

Изображение 23128
Рисунок 25

Тестирование

При тестировании этого VPN-подключения вас не должны запрашивать учетные данные, поскольку мы настроили аутентификацию PEAP для использования сертификата, выданного пользователю. Пока все требования безопасности соблюдены, мы сможем успешно установить VPN-подключение. Чтобы убедиться в этом, временно отключите брандмауэр Windows и попытайтесь установить VPN-подключение. Если NAP настроен правильно и работает правильно, нам должно быть отказано в доступе и представлено сообщение о том, что наше соединение было предотвращено из-за политики, настроенной на сервере RAS/VPN.

Резюме

Хотя протокол PPTP имеет свои проблемы и ограничения с точки зрения безопасности, его широкое распространение означает, что администраторам брандмауэра Forefront TMG может потребоваться его поддержка для удаленного доступа к VPN-подключению в течение достаточно долгого времени. Ключом к безопасной поддержке PPTP является защита обмена учетными данными в процессе аутентификации. В первой части этой серии я продемонстрировал, как это сделать с помощью расширяемого протокола аутентификации (EAP) с сертификатами. В этой последующей статье я описал, как использовать защищенный расширяемый протокол аутентификации (PEAP) с сертификатами и защиту доступа к сети (NAP) с карантином клиента в Forefront TMG для дальнейшего повышения общей безопасности решения. Интеграция NAP предоставляет администратору безопасности мощный инструмент, который можно использовать для обеспечения соблюдения корпоративной политики безопасности удаленного доступа путем ограничения или отказа в доступе для пользователей VPN на основе их текущей конфигурации безопасности. Если вы вынуждены обеспечивать постоянную поддержку пользователей удаленного доступа PPTP VPN, рассмотрите возможность использования EAP или PEAP с сертификатами, чтобы обеспечить максимально возможный уровень защиты для ваших пользователей удаленного доступа.

разделу Реализация безопасного удаленного доступа с помощью PPTP и Forefront Threat Management Gateway (TMG) 2010 (часть 1)

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023