VPN с удаленным доступом и опасность раздельного туннелирования

Опубликовано: 13 Апреля, 2023

VPN с удаленным доступом и опасность раздельного туннелирования

Томас Шиндер, доктор медицинских наук, MVP

Есть вопросы по статье?
Спросите их на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=30;t=000775.

Если вы не знакомы с раздельным туннелированием и что это такое, вы можете задаться вопросом, в чем же дело. Раздельное туннелирование позволяет VPN-клиенту удаленного доступа подключаться к корпоративной сети через VPN-связь и подключаться к Интернету через интерфейс, через который было установлено VPN-подключение (а не через сам VPN-канал).

Например, предположим, что у вас есть VPN-клиент удаленного доступа, подключающийся к корпоративной сети через беспроводную сеть отеля. Пользователь с включенным раздельным туннелированием может подключаться к файловым серверам, серверам баз данных, почтовым серверам и другим серверам в корпоративной сети через VPN-подключение. Напротив, когда пользователь подключается к Интернет-ресурсам (веб-сайтам, FTP-сайтам и т. д.), запрос на подключение не проходит через VPN-связь, он проходит через беспроводное соединение и выходит через шлюз, предоставляемый гостиничной сетью.

Раздельное туннелирование включается в клиенте Microsoft VPN путем снятия флажка в диалоговом окне «Свойства сети» клиента VPN для параметра «Использовать шлюз по умолчанию в удаленной сети». Обратите внимание, что Microsoft использует эту конфигурацию по умолчанию, так как они понимают проблемы безопасности, связанные с раздельным туннелированием.

Проблема заключается в том, что когда VPN-клиент удаленного доступа подключается как к Интернету, так и к корпоративной сети, у него есть маршруты, которые позволяют машине VPN-клиента получить доступ к обеим сетям. Это создает возможность того, что злоумышленник в Интернете может использовать ссылку VPN-клиента на корпоративную сеть для доступа к ресурсам в локальной сети компании через аутентифицированное VPN-подключение. Это возможно, если на клиентском компьютере VPN включена IP-маршрутизация. IP-маршрутизация включается на компьютерах под управлением Windows XP путем установки параметра

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersIPEnableRouter

Запись реестра на 1 (тип данных REG_DWORD )

Раздельное туннелирование было проблемой с брандмауэром ISA Server 2000, потому что VPN-клиенты удаленного доступа, которые не были настроены в качестве клиентов брандмауэра и/или веб-прокси, не могли получить доступ в Интернет через тот же брандмауэр ISA, с которым они установили свою VPN-связь. Администраторы и пользователи брандмауэра ISA пытались обойти эту проблему, включив раздельное туннелирование на клиентах вместо того, чтобы идти по пути безопасности, настроив VPN-клиенты удаленного доступа в качестве клиентов брандмауэра и веб-прокси.

Хорошая новость заключается в том, что для брандмауэра ISA Server 2004 вам не нужно включать раздельное туннелирование. Клиенты, не являющиеся веб-прокси/брандмауэрами, могут подключаться к VPN-серверу брандмауэра ISA и получать доступ к Интернету без проблем, и вы даже можете реализовать управление доступом на основе пользователей/групп, используя учетные данные, которые пользователь использовал для входа на VPN-сервер. Типичная проблема раздельного туннелирования больше не является проблемой с новым брандмауэром ISA, и вам никогда не потребуется настраивать VPN-клиенты, чтобы разрешить раздельное туннелирование для доступа в Интернет.

Есть вопросы по статье?
Спросите их по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=30;t=000775.

Новый взгляд на риски раздельного туннелирования VPN

Однако есть «изюминка» в вопросе раздельного туннелирования, который все еще может представлять проблему. Помните, что проблема раздельного туннелирования заключается в том, что VPN-клиент может одновременно получать доступ к корпоративной сети и другой сети. Этот поворот заключается в том, что проблема раздельного туннелирования существует, даже если вы оставляете параметр «Использовать шлюз по умолчанию в удаленной сети» включенным. Этот вариант раздельного туннелирования связан с функцией Windows Internet Connection Sharing (ICS).

Когда на VPN-канале включен общий доступ к подключению к Интернету, клиентский компьютер удаленного доступа VPN становится маршрутизатором NAT между любой сетью, к которой в данный момент подключен VPN-клиент, и корпоративной сетью.

Например, клиентский компьютер VPN может быть компьютером с Windows XP в домашней локальной сети или локальной сети отеля, и на нем может быть установлен один адаптер Ethernet. Компьютер с Windows XP имеет действительный адрес в этой сети и подключается к корпоративной сети через VPN-коннектоид в окне «Сетевые подключения». На этом этапе любой хост, который устанавливает в качестве шлюза по умолчанию IP-адрес компьютера с Windows XP, теперь может получить доступ к корпоративным сетевым ресурсам.

На рисунке ниже показано диалоговое окно свойств VPN-коннектоида. Когда вы ставите галочку в поле Разрешить другим пользователям сети подключаться через интернет-соединение этого компьютера и нажимаете OK, компьютер становится маршрутизатором NAT для хостов, которые устанавливают этот компьютер в качестве своего шлюза по умолчанию.

Рассмотрим конфигурацию сети на рисунке ниже. В этом примере сотрудник включает ICS на канале VPN. Пользователь устанавливает VPN-соединение с корпоративной сетью. Машины в домашней локальной сети пользователя настроены на использование IP-адреса компьютера Windows XP с включенным ICS в качестве шлюза по умолчанию (возможно, у них есть WAP в домашней локальной сети, назначающий информацию об IP-адресации хостам в домашней локальной сети). Теперь все нелокальные подключения (подключения к любым ресурсам, не расположенным в идентификаторе домашней сети LAN) маршрутизируются через компьютер с Windows XP в корпоративную сеть.

Все соединения, направляемые в корпоративную сеть, проходят через NAT из домашней локальной сети, поэтому единственный исходный IP-адрес, видимый в корпоративной сети, — это IP-адрес удаленного доступа к клиентскому компьютеру VPN, который установил начальное соединение, независимо от того, какой узел в домашней локальной сети инициирует соединение.. Кроме того, все соединения с хостов, расположенных за компьютером Windows XP с включенным ICS, выполняются в контексте безопасности пользователя, вошедшего на VPN-сервер. Контроль доступа на брандмауэре ISA применяется на основе учетной записи пользователя, вошедшего на VPN-сервер.

Последствия такой конфигурации для безопасности должны быть очевидны. Любой хост в домашней локальной сети может получить доступ к ресурсам корпоративной сети (или Интернета) в контексте безопасности пользователя VPN. На ноутбуке в домашней локальной сети, на котором установлено программное обеспечение P2P, наверняка установлены черви, вирусы, шпионское ПО и троянские приложения. Исходящие соединения будут переадресовываться в корпоративную сеть. «Друг семьи» (с намерением стать хакером), который подключает свой ноутбук к домашней локальной сети, может использовать соединение для проверки своих неоперившихся хакерских навыков на устройствах в корпоративной сети.

Есть вопросы по статье?
Спросите их по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=30;t=000775.

Решение проблемы раздельного туннелирования ICS

Решение этой проблемы заключается в отключении общего доступа к подключению к Интернету на всех устройствах, которым разрешено подключение к корпоративной сети через VPN-соединение удаленного доступа, или если вы разрешаете неуправляемым машинам подключаться к корпоративной сети через VPN-подключение удаленного доступа., то у вас должен быть механизм, который проверяет, включен ли ICS на вызывающем клиентском устройстве VPN, и отбрасывает попытки VPN-подключения с хостов с включенным ICS.

Как вы выполняете эту задачу? Некоторые варианты включают в себя:

  • Используйте комплект администрирования диспетчера подключений (CMAK) для развертывания коннектоидов VPN-клиентов.
  • Используйте групповую политику для отключения ICS на управляемых компьютерах
  • Используйте какой-либо метод для проверки состояния клиентского устройства удаленного доступа VPN, прежде чем разрешить ему доступ к корпоративной сети.
  • CMAK — это очень эффективный и действенный метод настройки и распределения клиентских подключений VPN среди ваших пользователей. Пользователи не смогут изменить настройки, которые вы настраиваете в распространяемом вами коннектоиде CMAK VPN. Однако, если пользователи являются локальными администраторами на своих машинах, они смогут создавать свои собственные коннектоиды VPN для подключения к корпоративной сети.

    Вы можете настроить групповую политику Windows Active Directory для отключения ICS. Это хорошо работает для машин, находящихся под вашим административным контролем. Однако если вы разрешите неуправляемым машинам подключаться к корпоративной сети через VPN, то групповая политика не будет особенно полезна для управления настройками ICS на этих машинах.

    Использование какого-либо метода для тестирования VPN-клиентов удаленного доступа на соответствие конфигурации является лучшим решением, поскольку его можно применять как к членам домена, так и к членам, не входящим в домен. Брандмауэр ISA поставляется со встроенной поддержкой карантина и контроля VPN удаленного доступа (VPN-Q). Проблема со встроенной функцией VPN-Q заключается в том, что, хотя установить клиентскую и серверную части относительно легко, сценарии конфигурации для обеспечения ее функциональности требуют наличия в штате либо программистов, либо опытных специалистов по написанию сценариев. И даже если у вас есть эти ресурсы, с вашей стороны требуется значительный объем исследований, чтобы выяснить, что именно должно быть включено в сценарии.

    Лучшим решением является то, которое имеет тот же уровень функциональности, что и VPN-Q брандмауэра ISA, но также обеспечивает уровень удобства использования, который не требует такого же уровня административных затрат и накладных расходов на кодирование. Я нашел одно решение, которое не требует получения докторской степени в области карантина клиентов удаленного доступа через VPN, — это Quarantine Security Suite (QSS) Фредерика Эснуфа. Фредерик — ISA Server MVP и мой друг, и я могу сказать вам, что его продукт очень удобен, очень прост в использовании и выполняет свою работу, не требуя от вас быть программистом или гуру сценариев.

    Есть вопросы по статье?
    Спросите их по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=30;t=000775.

    Я настоятельно рекомендую, если вы используете брандмауэр ISA для обеспечения безопасного удаленного доступа VPN-подключений к вашей корпоративной сети, и у вас нет времени разбираться со встроенной функцией VPN-Q, вы должны взглянуть на QSS Фредерика.. Проверьте и загрузите пробную версию на http://fesnouf.online.fr/qss_main.htm.

    Если вы хотите, чтобы мы уведомляли вас по электронной почте, когда Том Шиндер выпустит новую статью на ISAserver.org, подпишитесь на наше «Обновление статей в реальном времени», нажав здесь. Обратите внимание, что мы НЕ продаем и не сдаем в аренду адреса электронной почты, принадлежащие нашим подписчикам; мы уважаем вашу конфиденциальность