Внедрение ISA 2004 PPTP VPN на основе смарт-карт EAP и аутентификации RADIUS без превращения брандмауэра ISA в член домена

Когда мы говорим о безопасном механизме аутентификации, старая мода — «имя пользователя и пароль» не имеет значения и выходит за рамки безопасности при планировании и создании защищенного дизайна.

В следующей статье описывается, как настроить аутентификацию EAP на основе PPTP VPN на сервере ISA 2004 Server без необходимости членства сервера ISA 2004 в домене.

В этой статье я выбираю смарт-карту Aladdin eToken, но вы можете выбрать, какую смарт-карту вам удобнее заполнить.

Этот сценарий очень прост:

• VPN-клиент открывает сеанс PPTP на ISA-сервере и представляет пользовательский сертификат, содержащийся на смарт-карте.
• Брандмауэр ISA перенаправляет запрос на сервер IAS (RADIUS), расположенный в локальной сети; IAS-сервер является членом домена
• Перед авторизацией IAS-сервера выполните следующие действия:

  • Сеанс PPTP
  • Подтвердите аутентификацию EAP
  • Пользователь является членом определенной группы в AD.

  Вот шаги, которые нам нужно выполнить:

  
  

• Установите Aladdin RTE (среда выполнения) или, если вы решите использовать любую другую смарт-карту, установите соответствующий драйвер.
• Создайте группу в Active Directory под названием «Группа доступа к VPN», затем добавьте в эту группу соответствующих пользователей.
• Включите опцию Dial-In на вкладке свойств пользователя в AD.
• Настройте ЦС (центр сертификации) для «регистрации от имени другого пользователя с помощью регистрации сертификата смарт-карты».
• Создайте и зарегистрируйте сертификат пользователя на токене.
• Настройте компонент VPN-сервера брандмауэра ISA 2004 для использования аутентификации EAP и RADIUS.
• Создайте подходящие правила для VPN-доступа в базе правил брандмауэра ISA 2004.
• Настройка сервера RADIUS для аутентификации EAP.

После стольких разговоров давайте приступим к интересным вещам, давайте отправимся в путешествие!

1. Прежде всего, нам необходимо загрузить и установить RTE (среду выполнения) с веб-сайта Aladdin: http://www.aladdin.com/etoken/downloads/rte.asp.
2. Установка очень проста и имеет «чувство и вид» Microsoft.
3. Чтобы создать группу в Active Directory, на контроллере домена выберите Пуск->Выполнить, введите dsa.msc и нажмите Enter.
4. Откроется MMC — Пользователи и компьютеры Active Directory, перейдите в раздел « Пользователи », щелкните правой кнопкой мыши -> «Создать» -> «Группа».
5. Чтобы включить опцию Dial-In, на контроллере домена выберите Пуск->Выполнить, введите dsa.msc и нажмите клавишу ввода. Перейдите в раздел «Пользователи » и выберите пользователя, которому вы хотите разрешить доступ, щелкните правой кнопкой мыши этого пользователя -> вкладка «Входящие звонки» -> «Разрешить доступ».

6. Чтобы настроить ЦС (центр сертификации) для включения функции « Запросить сертификат для смарт-карты от имени другого пользователя с помощью станции регистрации сертификатов смарт-карт », выполните следующие действия:

Первая проблема:

При переходе в ЦС — http://localhost/certsrv выберите Запросить сертификат->расширенный запрос сертификата->

Запросите сертификат для смарт-карты от имени другого пользователя, используя станцию регистрации сертификатов смарт-карты,

тогда вы увидите следующую страницу:

Фигура 1:



Вы увидите, что у вас нет шаблона для ЦС и сертификата подписи администратора. Чтобы сначала включить эти параметры, нам нужно добавить 2 шаблона:

1. Регистрационный агент
2. Вход со смарт-карты

Открыть Пуск

-> Запустите и напишите «certsrv.msc»

Фигура 2:

Щелкните правой кнопкой мыши «Шаблоны сертификатов» и выберите « Создать» -> «Шаблон сертификата для выпуска».

Рисунок 3:

Выберите «Агент регистрации» и нажмите «ОК».

Рисунок 4:

Повторите рисунок 3, затем выберите «Вход со смарт-картой» и нажмите OK.

Рисунок 5:

После выполнения этих шагов перейдите на http://localhost/certsrv и выберите «Запросить сертификат».

-> расширенный запрос сертификата -> Создать и отправить запрос в этот ЦС

Выберите шаблон «Администратор», затем выберите « Отправить», а затем «Установить этот сертификат».

Рисунок 6:

Вернитесь на 2 страницы назад и выберите шаблон «Enrollment Agent», затем выберите «Отправить».

затем установите этот сертификат

Рисунок 7:

• Теперь нам нужно создать и зарегистрировать сертификат пользователя на смарт-карте eToken. После выполнения этих шагов снова перейдите на http://localhost/certsrv, но теперь выберите «Запросить сертификат».

-> расширенный запрос сертификата -> Запрос сертификата для смарт-карты от имени другого пользователя с помощью станции регистрации сертификатов смарт-карт.

Рисунок 8:

Следующим шагом является создание и регистрация сертификата пользователя, это страница, которую вы должны увидеть после выполнения всех вышеперечисленных этапов:

Рисунок 9:

Комментарий

:
Мы выбираем «Вход со смарт-картой», потому что этот шаблон содержит как аутентификацию клиента, так и вход со смарт-картой. Пожалуйста нажмите на опцию «Выбрать пользователя» и выберите пользователя из Active Directory, на которую вы хотите зарегистрировать сертификат.

Рисунок 10:

После выбора пользователя из Active Directory нам нужно вставить внутрь нашего USB смарт-карту eToken и нажать Enroll

Рисунок 11:

6. Включение и настройка VPN-сервера брандмауэра ISA 2004

После выполнения всех приведенных выше инструкций мы готовы включить и настроить VPN-сервер брандмауэра ISA 2004. Мы собираемся включить доступ VPN-клиентов на основе аутентификации EAP и RADIUS. В разделе «Виртуальные частные сети (VPN)» выберите параметр «Проверить», чтобы включить доступ VPN-клиента.

Рисунок 12:

В этом разделе выберите опцию « Включить доступ к VPN-клиентам» и правильное количество ваших VPN-клиентов, которым разрешено подключение, не выбирайте астрономическое число! Это может привести к нарушению безопасности!

Рисунок 13:

После включения доступа к VPN-клиенту требуется перезагрузка.

Рисунок 14:

Теперь на той же странице выберите ссылку RADIUS Server.

Рисунок 15:

Выберите следующие 2 параметра, а затем выберите параметры RADIUS-серверов.

Рисунок 16:

В этих окнах серверов RADIUS выберите Добавить

Рисунок 17:

В разделе «Имя сервера» укажите IP-адрес IAS-сервера, расположенного в вашей сети.

Рисунок 18:

Для получения дополнительной информации об аутентификаторе сообщений, пожалуйста, см. раздел «Конфигурация IAS» ниже!

Выберите надежный секретный ключ, который подходит для секретного ключа на сервере IAS.

Рисунок 19:

После применения всех этих изменений вы увидите следующее сообщение: Нажмите OK.

Рисунок 20:

После настройки свойств RADIUS в разделе VPN нам необходимо настроить доступ RADIUS в правилах системной политики. Откройте системную политику, щелкнув правой кнопкой мыши узел «Политика брандмауэра» на левой панели консоли и выбрав «Редактировать системную политику».

Рисунок 21:

Теперь вам нужно убедиться, что флажок « Включить» отмечен

Рисунок 22:

Теперь перейдите на вкладку Кому и удалите Внутренний объект, вместо него поместите внутренний объект IAS (из соображений безопасности)

Рисунок 23:

На странице Виртуальные частные сети (VPN) выберите Свойства VPN.

Рисунок 24:

Включите только опцию PPTP!

Рисунок 25:

На странице Виртуальные частные сети (VPN) выберите Конфигурация удаленного доступа.

Рисунок 26:

Выберите внешний интерфейс, к которому разрешены подключения VPN-клиента (в этом сценарии).

Рисунок 26:



Перейдите на вкладку «Назначение адресов» и выберите «Статический пул адресов » или «Протокол динамической конфигурации хоста» (DHCP), которые я не рекомендую в этом сценарии.

Рисунок 27:

Перейдите в раздел Аутентификация и выберите Расширяемый протокол аутентификации (EAP) со смарт-картой или другим сертификатом, даже если брандмауэр ISA не является частью домена!

Рисунок 28:

После выбора опции EAP вы увидите следующее сообщение, нажмите OK и продолжите.

Рисунок 29:

После выполнения всех вышеперечисленных шагов нам нужно создать правило доступа для доступа VPN-клиентов.

Щелкните правой кнопкой мыши политику брандмауэра, выберите «Создать».

-> Правило доступа и следуйте инструкциям ниже. Всегда выбирайте значимое имя правила! Нажмите «Далее».

Рисунок 30:

Выберите параметр «Разрешить» и нажмите «Далее».

Рисунок 31:

Всегда выбирайте определенный протокол для VPN-доступа, нажмите «Добавить» и выберите правильный протокол для вашего сценария, для этого сценария я выбираю RDP. Нажмите Далее, чтобы продолжить.

Рисунок 32:

Добавьте объект VPN-клиенты в исходный раздел и нажмите «Далее».

Рисунок 33:

Всегда выбирайте целевой сервер в правилах VPN-доступа! Нажмите «Далее», чтобы продолжить.

Рисунок 34:

По моему опыту, почти каждый ИТ-менеджер или менеджер брандмауэра настраивает правила доступа к VPN из любого источника в любое место назначения в Any service Allow. Это неправильно, ребята!

Обратите внимание на следующее правило! Правило доступа к VPN должно выглядеть так.

Рисунок 35:



Настройка IAS (службы интернет-аутентификации)

1. На компьютере с IAS-сервером нажмите «Пуск» и выберите «Администрирование». Щелкните Служба проверки подлинности в Интернете.
2. Щелкните правой кнопкой мыши «Служба проверки подлинности в Интернете (локальная)» и выберите «Зарегистрировать сервер в Active Directory».




Рисунок 36:

3. При выборе этой опции вы увидите это сообщение, нажмите OK и перейдите к следующему этапу.

Рисунок 37:



4. В консоли Internet Authentication Service щелкните правой кнопкой мыши узел RADIUS Clients на левой панели консоли и выберите New RADIUS Client.




Рисунок 38:



5. На странице «Имя и адрес» введите понятное имя для брандмауэра ISA. В этом примере понятное имя будет ISA Firewall. Введите IP-адрес внутреннего интерфейса брандмауэра ISA в текстовом поле Адрес клиента (IP или DNS). Нажмите «Далее».

Рисунок 39:

 

6. На странице «Дополнительная информация» убедитесь, что для параметра «Клиент-вендор» установлено значение «Стандарт RADIUS». Введите пароль в текстовое поле Общий секрет и подтвердите пароль в текстовом поле Подтвердить общий секрет. Сделайте пароль сложным, состоящим из более чем 8 символов и состоящим из прописных и строчных букв, цифр и символов. Поставьте галочку в поле Запрос должен содержать атрибут Message Authenticator. Нажмите Готово.

*Для получения дополнительной информации об атрибуте проверки подлинности сообщений перейдите по следующей ссылке:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_ias_messauth.asp


Рисунок 40:

 

7. Удалите 2 политики по умолчанию в политиках удаленного доступа IAS.

Рисунок 41:

8. Вам нужно создать 3 правила политики. Щелкните правой кнопкой мыши Политики удаленного доступа и выберите Новая политика удаленного доступа.

Рисунок 42:

9. Нажмите «Далее» и сделайте шаг вперед

Рисунок 43:

10. Всегда выбирайте понятное имя политики и нажимайте «Далее».

Рисунок 44:

11. В этом окне нужно выбрать 3 атрибута:
• Тип аутентификации = EAP
• Tunnel-Type = Туннельный протокол точка-точка
• Windows-Group = VPN Access Group (в нашем сценарии)

  Рисунок 45:

12. В этом окне нужно увидеть 3 выбранных вами атрибута, нажать Next.

Рисунок 46:

13. В этом окне вам нужно выбрать опцию «Предоставить разрешение на удаленный доступ» и нажать «Далее».

Рисунок 47:

14. Нажмите «Далее» и завершите процесс.