Завершение VPN-соединений перед брандмауэром ISA (Часть 1)
Внедрение нового брандмауэра ISA Firewall в вашу сеть иногда может быть сложным. С одной стороны, вы хотите воспользоваться функциями и преимуществами безопасности, предоставляемыми новым брандмауэром ISA, но, с другой стороны, вы не хотите нарушать свою текущую сетевую инфраструктуру, поскольку такие сбои могут привести к перебоям в обслуживании.
Обсудить эту статью |
Вероятно, самый простой подход к включению нового брандмауэра в микс — это использовать метод копирования и замены, когда вы настраиваете новый брандмауэр с той же информацией IP-адресации, что и предыдущий брандмауэр, а затем вытаскиваете старый брандмауэр и устанавливаете новый.. Хотя на бумаге это может показаться простым, в действительности организации часто несут большие «невозвратные затраты» в своей текущей инфраструктуре брандмауэра и хотят, чтобы эта текущая инфраструктура окупилась, прежде чем полностью заменить ее.
Еще одно важное соображение заключается в том, что новый брандмауэр может использовать совершенно другую модель управления и политики, которая может соответствовать или не соответствовать тому, что использовалось ранее в организации.
По этим и другим причинам я часто рекомендую, когда вы устанавливаете новый брандмауэр ISA в компании, вы используете текущую инфраструктуру вместо того, чтобы использовать подход «Разорвать и заменить». Несмотря на то, что вы можете использовать несколько возможных схем, наиболее безопасным вариантом является использование конфигурации брандмауэра «спина к спине».
В конфигурации брандмауэра «спина к спине» компания сохраняет свой текущий брандмауэр на границе Интернета в качестве внешнего брандмауэра и размещает брандмауэр ISA за ним. Это помещает самый безопасный брандмауэр, брандмауэр ISA, ближе всего к активам, для защиты которых предназначены брандмауэры.
Внедрение брандмауэра ISA в уже существующую инфраструктуру удаленного доступа VPN
Я часто сталкиваюсь с этими проблемами проектирования и настройки инфраструктуры, и одна из часто возникающих проблем заключается в том, как работать с подключениями VPN-клиентов удаленного доступа к корпоративной сети. Большинство компаний с существующей инфраструктурой брандмауэра уже настроили клиентские соединения VPN удаленного доступа для использования текущего брандмауэра в качестве VPN-сервера и, возможно, уже развернули проприетарное клиентское программное обеспечение VPN, не совместимое с RFC, которое подключается только к брандмауэру этого поставщика. Эти компании хотят сохранить свою текущую инфраструктуру удаленного доступа VPN, но также хотят предоставить VPN-клиентам доступ к ресурсам в корпоративной сети, расположенным за брандмауэром ISA.
Еще один очень распространенный сценарий, когда уже имеется VPN-сервер удаленного доступа, — это когда компания использует какой-либо тип «широкополосного» устройства NAT для подключения к Интернету, но хочет установить брандмауэр ISA в качестве внутреннего ISA-сервера. брандмауэр. Наиболее распространенные ситуации для этого типа конфигурации — это когда компания должна использовать PPPoE для подключения к сети DSL или когда она должна использовать DHCP для получения общедоступного адреса для кабельной сети.
Последний сценарий, когда перед брандмауэром ISA находится устройство NAT, обычно встречается с SBS 2003 Service Pack 1 с установленным на нем брандмауэром ISA, а блок SBS настроен как многосетевой сервер. Хотя для меня это никогда не имело особого смысла, часто пользователи хотят разорвать свои VPN-соединения удаленного доступа на устройстве NAT перед блоком SBS, но при этом хотят получить доступ к ресурсам, расположенным на компьютерах SBS, и к ресурсам, расположенным в корпоративной сети. за сервером SBS.
Как в сценариях с SBS/интерфейсным устройством NAT, так и в сценариях инфраструктуры корпоративного внешнего сетевого брандмауэра компания хочет разорвать соединение удаленного доступа VPN на устройстве перед брандмауэром ISA, а не на брандмауэре ISA , и ей нужен метод чтобы разрешить VPN-клиентам удаленного доступа доступ к ресурсам, расположенным за внутренним брандмауэром ISA. Именно на этом сценарии я сосредоточу свое внимание в этой серии статей.
ПРИМЕЧАНИЕ:
Хотя принципы и процедуры, которые я обсуждаю в этой серии статей, могут быть применены к SBS 2003 с пакетом обновления 1 при развертывании ISA 2004, я не буду подробно описывать пошаговые процедуры, необходимые для того, чтобы настройка работала в этой среде. Я оставлю это на усмотрение SBS MVP, чтобы они предоставили этот уровень детализации своему сообществу.
В этой серии статей мы сосредоточимся на следующих вопросах и процедурах:
- Прекращение VPN-подключения на внешнем брандмауэре Проблемы, которые необходимо решить при разрыве клиентских VPN-подключений удаленного доступа перед брандмауэром ISA
- Настройка IP-адресации внешнего VPN-сервера для VPN-клиентов VPN-клиентам должна быть назначена информация об IP-адресации, позволяющая им подключаться к демилитаризованной зоне между внешним брандмауэром или устройством NAT и брандмауэром ISA, а также разрешать соединения с расположенной корпоративной сетью. за брандмауэром ISA.
- Настройка брандмауэра ISA Настройка брандмауэра ISA будет включать в себя настройку новой сети брандмауэра ISA для DMZ между брандмауэрами, настройку сетевого правила и политики доступа, контролирующих трафик через брандмауэр ISA к и от клиентов VPN удаленного доступа.
- Создание сети FE DMZ Мы создадим новую сеть брандмауэра ISA из диапазона адресов, используемого идентификатором сети, используемым в сегменте сети между внешним брандмауэром и брандмауэром ISA на внутреннем.
- Настройка сетевого правила между внутренней сетью по умолчанию и сетью FE DMZ После создания новой сети брандмауэра ISA мы создадим отношение маршрута между DMZ и внутренней сетью по умолчанию, расположенной за брандмауэром ISA.
- Настройка политики брандмауэра ISA для VPN-клиентов FE DMZ Должна быть настроена политика брандмауэра, контролирующая, какой трафик может проходить через брандмауэр ISA к VPN-клиентам удаленного доступа и от них. Правила DNS также могут быть созданы для включения разрешения имен для VPN-клиентов удаленного доступа.
- Настройка программного обеспечения VPN-клиента Программное обеспечение VPN-клиента должно быть настроено для удаленного доступа к VPN-соединению. Это включает в себя протокол VPN и поддержку раздельного туннелирования, если это необходимо. Клиент VPN удаленного доступа может иметь возможность действовать как один или несколько типов клиентов брандмауэра ISA во время подключения клиента VPN удаленного доступа.
- Поддержка клиента веб-прокси VPN-клиент удаленного доступа может поддерживать соединения клиента веб-прокси с брандмауэром ISA во время сеанса VPN. Мы увидим, какие проблемы здесь возникают, и пример конфигурации.
- Поддержка клиента брандмауэра В этом сценарии поддержка клиента брандмауэра недоступна. Мы рассмотрим здесь проблемы и объясним, что вы теряете с точки зрения безопасности, когда завершаете соединение на внешнем брандмауэре, а не на брандмауэре ISA.
- Поддержка клиентов SecureNAT VPN-клиенты удаленного доступа де-факто являются клиентами SecureNAT брандмауэра ISA. Мы обсудим последствия и ограничения этой ситуации.
- Тестирование соединений Доказательство пудинга в еде, и в этом разделе мы рассмотрим, что происходит во время соединений удаленного доступа VPN-клиентов, когда они получают доступ к Интернету и ресурсам в корпоративной сети за брандмауэром ISA (или даже на самого брандмауэра ISA).
Завершение VPN-подключения на внешнем брандмауэре или устройстве NAT
Прежде чем углубляться в детали конфигурации, связанные с настройкой решения VPN для удаленного доступа с точкой завершения перед брандмауэром ISA, вы должны иметь некоторое базовое представление об архитектуре сети, отношениях маршрутизации и путях запроса/ответа для различных типов соединений. осуществляется через VPN-подключение удаленного доступа.
На Рисунке 1 показана базовая сетевая архитектура решения VPN с удаленным доступом, где VPN-клиент удаленного доступа завершает соединение VPN на брандмауэре или устройстве NAT, расположенном перед брандмауэром ISA. На рисунке зеленая линия представляет собой VPN-канал удаленного доступа к брандмауэру или внешнему интерфейсу устройства NAT.
Внутренний интерфейс внешнего брандмауэра/устройства NAT подключен к общему концентратору или коммутатору, к которому подключен внешний интерфейс брандмауэра ISA. Вы также можете использовать этот сегмент сети для подключения Web, FTP и других серверов анонимного доступа, к которым вы хотите разрешить анонимный доступ для клиентов в Интернете.
Внешний интерфейс брандмауэра ISA подключен к общему концентратору/коммутатору, к которому подключен внутренний интерфейс внешнего брандмауэра или устройства NAT, а также любые серверы, которые могут быть размещены в DMZ. Обратите внимание, что независимый концентратор/коммутатор не требуется. Многие брандмауэры и устройства NAT имеют несколько портов LAN. В этом случае вы можете подключить внешний интерфейс брандмауэра ISA к одному из портов LAN устройства, и вы можете подключить любые серверы анонимного доступа к тому же устройству.
ПРЕДУПРЕЖДЕНИЕ:
Крайне важно, чтобы вы не разрешали никаких прямых подключений из защищенной сети за брандмауэром ISA и сетью DMZ или Интернетом. Брандмауэр ISA должен быть встроенным, чтобы контролировать весь входящий и исходящий трафик в корпоративную сеть и из нее. Чуть позже в этой статье я нарисую то, что я называю Сценарием Кошмара, нарушающим это требование безопасности.
Причина, по которой я заявляю, что вы должны разрешать только анонимные серверы доступа в DMZ между внешним интерфейсом брандмауэра ISA и устройством брандмауэра/NAT перед брандмауэром ISA, заключается в том, что вы полностью зависите от безопасности, обеспечиваемой брандмауэром ISA. устройство NAT или простой брандмауэр с контролем состояния перед брандмауэром ISA для защиты коммуникаций, входящих и исходящих из DMZ-сегмента.
По этой причине не следует размещать в этой демилитаризованной зоне важные корпоративные активы. Исключением из этого правила безопасности может быть ситуация, когда вы используете конфигурацию внешнего/внутреннего брандмауэра ISA или если вы используете брандмауэр, обеспечивающий высокий уровень безопасности, аналогичный брандмауэру ISA, например, брандмауэр Check Point. с интеллектуальными приложениями.
фигура 1
Завершение VPN-подключения на устройстве NAT или простом брандмауэре с проверкой пакетов с отслеживанием состояния
Понимание взаимосвязей маршрутизации для связи с VPN-клиентом удаленного доступа и от него является ключевым компонентом работы этого решения. На рис. 2 показаны отношения маршрутизации между различными сетями:
- Существует отношение ROUTE между внутренней сетью по умолчанию за брандмауэром ISA и сегментом DMZ между брандмауэром ISA и устройством брандмауэра/NAT перед брандмауэром ISA. Это позволяет нам создавать как правила публикации , так и правила доступа для управления трафиком между VPN-клиентами удаленного доступа и корпоративной сетью.
- Существует отношение ROUTE между внутренней сетью по умолчанию за брандмауэром ISA и Интернетом. Сетевое правило, которое устанавливает отношение маршрута между внутренней сетью по умолчанию и внешней сетью по умолчанию, создается автоматически, когда вы устанавливаете брандмауэр ISA на многосетевом устройстве, и обеспечивает это отношение МАРШРУТИЗАЦИЯ между внутренней сетью и Интернетом.
- Существует связь ROUTE между VPN-клиентом удаленного доступа и DMZ между брандмауэром ISA и внешним брандмауэром/устройством NAT. Брандмауэр ISA не знает об этом и не должен знать об этом, так как это не влияет на конфигурацию брандмауэра ISA.
- Существует отношение ROUTE между внутренней сетью по умолчанию и VPN-клиентом удаленного доступа. Причина этого в том, что мы должны установить отношение маршрутизации между внутренней сетью по умолчанию и DMZ между брандмауэром ISA и внешним брандмауэром/устройством NAT. Поскольку VPN-клиенту удаленного доступа будет назначен IP-адрес с тем же идентификатором сети, который используется в сегменте DMZ, отношение маршрута между внутренней сетью по умолчанию за брандмауэром ISA и VPN-клиентом удаленного доступа будет таким же, как отношение маршрута между Внутренняя сеть по умолчанию и DMZ — ROUTE.
фигура 2
Завершение VPN-подключения на устройстве NAT или простом брандмауэре с проверкой пакетов с отслеживанием состояния и маршрутными отношениями между сетями.
Обсудить эту статью |
Теперь, когда вы понимаете ключевые отношения маршрутов для всех взаимодействий, связанных с подключениями VPN-клиентов удаленного доступа, следующим шагом к пониманию того, как работает решение, является рассмотрение путей запроса/ответа для обмена данными с VPN-клиентами удаленного доступа и обратно.
На рисунке 3 описаны четыре пути запроса/ответа:
- Это путь запроса/ответа для соединений между VPN-клиентами удаленного доступа и внутренней сетью по умолчанию за брандмауэром ISA. Существует отношение маршрутизации, управляющее этими соединениями, что позволяет вам использовать как правила доступа, так и правила публикации для управления уровнем доступа удаленного доступа к VPN-клиентам при подключении к корпоративной сети за брандмауэром ISA.
- Это путь запроса/ответа для соединений между VPN-клиентами удаленного доступа и DMZ между брандмауэром ISA и внешним брандмауэром/устройством NAT. Управление доступом через подключения клиентов VPN к демилитаризованной зоне определяется возможностями внешнего брандмауэра/устройства NAT. Если у вас есть устройство более высокого уровня на внешнем интерфейсе, вы можете использовать контроль доступа на основе пакетного фильтра или даже контроль на основе пользователя. Если у вас есть только простой брандмауэр с проверкой пакетов с отслеживанием состояния или устройство NAT, у вас не будет большого контроля над тем, к чему могут получить доступ VPN-клиенты удаленного доступа в сети DMZ.
- Это путь запроса/ответа для подключения к интернет-ресурсам. Это один из двух вариантов, в зависимости от возможностей вашего внешнего брандмауэра или устройства NAT. Если ваш внешний брандмауэр/устройство NAT не поддерживает обратную связь с Интернетом, чтобы разрешить VPN-клиентам удаленного доступа подключаться к интернет-ресурсам, вы можете настроить программное обеспечение VPN-клиента удаленного доступа, чтобы разрешить раздельное туннелирование. Хотя раздельное туннелирование обычно считается угрозой безопасности, это ваш единственный вариант, если ваш интерфейсный брандмауэр/устройство NAT не поддерживает обратную петлю через свой внешний интерфейс, чтобы разрешить VPN-клиентам удаленного доступа доступ к Интернету.
- Это путь запроса/ответа для подключения к интернет-ресурсам. Это второй вариант, когда внешний брандмауэр или устройство NAT позволяют VPN-клиенту удаленного доступа проходить через устройство для подключения к интернет-ресурсам. Это избавляет от необходимости включать раздельное туннелирование на VPN-клиенте удаленного доступа, а также потенциально дает вам возможность применять некоторую форму политики корпоративного брандмауэра на VPN-клиенте удаленного доступа, когда он подключен к VPN-серверу. Преимущество этой конфигурации в том, что она предотвращает проблемы безопасности, связанные с раздельным туннелированием, но она страдает от пропускной способности, которую несут VPN-клиенты, подключающиеся к Интернету через корпоративное интернет-соединение.
Рисунок 3
Завершение VPN-подключения на устройстве NAT или простом брандмауэре с проверкой пакетов с отслеживанием состояния и путях запросов/ответов для подключений к корпоративной сети и Интернет-прокси через веб-прокси
На рис. 4 показаны пути запроса/ответа, доступные при настройке VPN-клиента удаленного доступа для использования брандмауэра ISA в качестве веб-прокси-устройства при подключении к VPN-серверу удаленного доступа:
- Этот путь запроса/ответа используется для всех соединений, отличных от HTTP/HTTPS, когда интерфейсный брандмауэр/устройство NAT не поддерживает обратную связь через устройство для подключения к Интернету.
- Этот путь запроса/ответа используется для всех подключений, отличных от HTTP/HTTPS, когда интерфейсный брандмауэр/устройство NAT поддерживает обратную связь через устройство для доступа в Интернет.
- Этот путь запроса/ответа используется для всех туннелируемых FTP-запросов HTTP/HTTPS/HTTP, когда VPN-клиент удаленного доступа настроен на использование брандмауэра ISA в качестве веб-прокси-сервера при подключении к VPN-серверу. Возможность сделать это зависит от используемого вами программного обеспечения VPN-клиента и его интеграции с Windows.
Например, если вы используете собственное программное обеспечение VPN-клиента, поставляемое с пакетом обновления 2 (SP2) для Windows XP, вы можете подключиться к интерфейсному брандмауэру/устройству NAT, используя протоколы PPTP, L2TP/IPSec и L2TP/IPSec NAT-T VPN. Затем вы можете настроить клиентскую машину VPN на использование брандмауэра ISA в качестве устройства веб-прокси при подключении к серверу VPN перед брандмауэром ISA. Это позволяет вам применять политику брандмауэра ISA и фильтрацию содержимого на VPN-клиенте удаленного доступа, когда он подключен к VPN-серверу.
Эта конфигурация также позволяет вам всесторонне регистрировать все сайты и контент, к которым обращаются эти пользователи, и включает имя пользователя в файлы журналов, которые можно использовать в отчетах об активности пользователя в Интернете при подключении к VPN-серверу. Конфигурация клиента веб-прокси автоматически останавливается, когда клиент отключается от сервера VPN перед брандмауэром ISA. Поддержка конфигурации клиента веб-прокси зависит от программного обеспечения VPN-клиента, которое вы выберете.
Рисунок 4
Кошмарный сценарий
На рис. 5 показано то, что я называю « кошмарным сценарием», и то, что я вижу в основном при настройке сетей SBS кем-то, кто не знаком с моделью безопасности брандмауэра ISA и сетевой безопасностью в целом. Я также вижу, что это пытались сделать пользователи, незнакомые с сетями TCP/IP.
В Кошмарном Сценарии есть путь, который позволяет соединениям между корпоративной сетью и DMZ и Интернетом обходить брандмауэр ISA. Люди чаще всего пытаются добиться этого, помещая концентратор/коммутатор между внешним интерфейсом брандмауэра ISA и устройством брандмауэра/NAT и подключая внешний интерфейс брандмауэра ISA и внутренний интерфейс внешнего брандмауэра/устройства NAT в одно и то же соединение. концентратор/коммутатор. Кроме того, они подключают этот концентратор/коммутатор к другому концентратору/коммутатору, расположенному в корпоративной сети. Это обеспечивает обходной путь от брандмауэра ISA.
Это кошмарный сценарий, потому что:
- Он предоставляет обходной маршрут, который позволяет злоумышленникам обходить брандмауэр ISA.
- Это не сработает. Внутренний и внешний интерфейсы брандмауэра ISA должны иметь разные сетевые идентификаторы. Внешний интерфейс брандмауэра ISA должен иметь тот же идентификатор сети, что и интерфейс LAN внешнего брандмауэра/устройства NAT. Так как внешний интерфейс брандмауэра ISA должен иметь идентификатор сети, отличный от внутреннего интерфейса брандмауэра ISA, то интерфейс LAN на внешнем брандмауэре/устройстве NAT должен иметь идентификатор сети, отличный от внутреннего интерфейса брандмауэра ISA, что помещает по крайней мере хосты в подсети во внутреннюю сеть по умолчанию с другим идентификатором сети в качестве интерфейса LAN внешнего брандмауэра/устройства NAT.
Конечно, вы можете пойти на хитрость и изменить IP-адрес и шлюз по умолчанию хоста во внутренней сети по умолчанию, чтобы IP-адрес находился в том же идентификаторе сети, что и интерфейс LAN внешнего брандмауэра/устройства NAT, а затем настроить шлюз клиента по умолчанию в качестве IP-адреса на интерфейсе LAN внешнего брандмауэра/устройства NAT. Это позволит злоумышленнику полностью обойти брандмауэр ISA для подключения к Интернету, а злонамеренному внешнему пользователю — обойти брандмауэр ISA для доступа к содержимому в корпоративной сети.
Вы играете в опасную игру, когда позволяете пользователям по своему желанию обходить брандмауэр ISA. По этой причине прозвище Nightmare Scenario вполне заслужено.
Рисунок 5: Кошмарный сценарий: Предоставление пути в обход брандмауэра ISA
Обсудить эту статью |
Резюме
В этой статье мы обсудили варианты внедрения брандмауэра ISA в установленный брандмауэр и инфраструктуру удаленного доступа VPN. Доступно несколько вариантов инфраструктуры, наиболее безопасные из которых требуют, чтобы все подключения к корпоративной сети и из корпоративной сети проходили через брандмауэр ISA. Чтобы лучше понять, как работает решение, мы рассмотрели отношения маршрутов между различными сетями, составляющими решение, и пути запросов/ответов к VPN-клиентам удаленного доступа и от них. Во второй части этой серии мы рассмотрим детали конфигурации и обсудим обоснование каждого параметра конфигурации.