Завершение VPN-соединений перед брандмауэром ISA (Часть 2)

В первой части этой серии из двух частей о том, как настроить брандмауэр ISA для поддержки VPN-клиентов удаленного доступа, заканчивающихся на внешнем брандмауэре или устройстве NAT, я обсуждал основные аспекты проектирования инфраструктуры, которые учитываются при создании рабочего решения. В этой статье обсуждались сетевая архитектура, отношения маршрутизации и параметры управления доступом. Если у вас еще не было возможности прочитать часть 1, ознакомьтесь с ней в разделе Прекращение VPN-подключения перед брандмауэром ISA (Часть 1).

В этой статье я продолжу обсуждение, но на этот раз остановлюсь на конкретных деталях конфигурации и включу обсуждение некоторых ключевых проблем конфигурации и последствий, которые они могут иметь для вашей сети. Мы рассмотрим следующие процедуры:

• Настройте интерфейсный брандмауэр/устройство NAT с информацией об IP-адресации для VPN-клиентов удаленного доступа. Клиентам удаленного доступа VPN требуется действительный адрес, который позволит им получить доступ к хостам в сети DMZ и корпоративной сети, расположенной за брандмауэром ISA.
• Создайте сеть DMZ брандмауэра ISA Брандмауэр ISA использует сети брандмауэра ISA для определения отношения маршрута между исходным и конечным хостом. Мы создадим сеть DMZ брандмауэра ISA, представляющую идентификатор сети в DMZ между внешним интерфейсом брандмауэра ISA и интерфейсом LAN внешнего брандмауэра/устройства NAT.
• Создание сетевого правила устанавливает отношения маршрутизации между внутренней сетью по умолчанию и сетью DMZ. Следующим шагом после определения сети DMZ брандмауэра ISA является создание сетевого правила, устанавливающего отношения маршрутизации между внутренней сетью по умолчанию и сетью DMZ брандмауэра ISA. Это повысит нашу гибкость в создании средств управления доступом к тем ресурсам, к которым могут получить доступ VPN-клиенты удаленного доступа в корпоративной сети, расположенной за брандмауэром ISA.

В следующей статье мы завершим проектирование, обсудив правила брандмауэра ISA, которые необходимо создать для поддержки этого сценария, процедуры настройки различных типов клиентов и тестирование конфигурации.

Мы должны изучить пример сети, использованный в их статье, прежде чем переходить к деталям конфигурации. Пример сети показан на рисунке 1.

фигура 1

Во внутренней сети по умолчанию находится контроллер домена, на котором также установлен DNS-сервер, который может разрешать как внутренние, так и внешние имена. Брандмауэр ISA использует этот DNS-сервер для разрешения имен от имени клиентов веб-прокси и брандмауэра, а также использует этот DNS-сервер для выполнения прямого и обратного поиска, чтобы обеспечить соблюдение контроля доступа на основе сайта. Этот DC во внутренней сети брандмауэра ISA по умолчанию использует IP-адрес внутреннего интерфейса брандмауэра ISA в качестве шлюза по умолчанию.

Брандмауэр ISA устанавливается на компьютер с двумя сетевыми интерфейсами: внутренний интерфейс во внутренней сети по умолчанию и внешний интерфейс в сети DMZ за брандмауэром ISA и компьютер RRAS NAT перед брандмауэром ISA. Брандмауэр ISA является членом домена, так что в будущем мы сможем в полной мере использовать строгий контроль доступа на основе пользователей/групп, используя конфигурацию веб-прокси и клиента брандмауэра.

В качестве внешнего брандмауэра/устройства NAT, используемого в этом сценарии, используется служба Windows Server 2003 RRAS NAT. Хотя я понимаю, что RRAS NAT в Windows Server 2003 не является наиболее часто используемым внешним брандмауэром/устройством NAT, используемым в корпоративных сетях, я решил, что это может быть лучшим решением для демонстрации принципов, обсуждаемых в этой серии статей, потому что каждый имеет доступ по крайней мере к демонстрационной версии Windows Server 2003, на которой они могут протестировать этот сценарий, а затем вы можете экстраполировать решения о конфигурации, принятые на сервере RRAS NAT в этом примере, на аналогичные параметры конфигурации, которые вы можете выполнить самостоятельно. конечное устройство брандмауэра/NAT.

Компьютер RRAS NAT имеет два сетевых интерфейса: один интерфейс в демилитаризованной зоне между ним и брандмауэром ISA и внешний интерфейс, подключенный к Интернету, или сеть, обеспечивающая путь к Интернету. Так как я демонстрирую эту конфигурацию в моей действующей сети, есть брандмауэр ISA, предоставляющий шлюз в Интернет, который находится перед сервером RRAS NAT, используемым в этом сценарии.

Соответствующая информация об IP-адресации для примера сети показана на рисунке 1.

Настройте IP-адресацию внешнего VPN-сервера для VPN-клиентов.

Внешнее устройство брандмауэра/NAT должно иметь возможность предоставлять действительную информацию об IP-адресации клиентам VPN, когда они подключаются к серверу VPN. В большинстве случаев следует назначать адреса VPN-клиентов удаленного доступа, которые находятся в подсети с интерфейсом LAN внешнего брандмауэра/устройства NAT. Например, если внутренний интерфейс устройства NAT находится в сети с идентификатором 10.0.1.0/24, вам следует назначить адреса VPN-клиентов в этом диапазоне адресов.

VPN-клиентам также должен быть назначен адрес DNS-сервера, который позволит им разрешать имена в корпоративной сети. Это необходимо сделать, поскольку DNS-сервер, назначенный внешнему клиенту, может разрешать только имена хостов в Интернете, а не имена хостов вашей внутренней сети. Что я обычно делаю, так это назначаю этим VPN-клиентам удаленного доступа IP-адрес DNS-сервера в корпоративной сети за брандмауэром ISA, а затем создаю правило доступа, которое позволяет VPN-клиентам удаленного доступа выполнять DNS-запросы к этому DNS-серверу.

Внешнему брандмауэру/устройству NAT потребуется запись в таблице маршрутизации, информирующая о правильном шлюзе в корпоративную сеть. Без этой записи в таблице маршрутизации интерфейсный брандмауэр/устройство NAT, выступающее в роли VPN-сервера, не сможет правильно направить запрос, и попытки подключения будут неудачными.

Подводя итог нашим требованиям к конфигурации внешнего брандмауэра/устройства NAT:

• VPN-клиентам должны быть назначены адреса внутри подсети внутреннего/LAN-интерфейса внешнего брандмауэра/устройства NAT.
• VPN-клиентам должен быть назначен адрес DNS-сервера, который может разрешать как внутренние, так и внешние сетевые имена.
• Запись в таблице маршрутизации должна быть настроена на внешнем брандмауэре/устройстве NAT, что позволит ему найти шлюз для всех сетевых идентификаторов, расположенных за брандмауэром ISA.

В следующих процедурах показано, как настроить Windows Server 2003 RRAS NAT и создать запись в таблице маршрутизации на компьютере с RRAS NAT. Если вы хотите воспроизвести эту конфигурацию в своей тестовой сети или если вы используете RRAS NAT для внешнего VPN-шлюза, эти инструкции применимы к вам. Если вы используете что-то другое в качестве внешнего устройства и не хотите воспроизводить эту конфигурацию в тестовой лаборатории, вы можете перейти к следующему разделу, озаглавленному «Настройка брандмауэра ISA ».

Выполните следующие действия на компьютере под управлением Windows Server 2003, который будет выступать в качестве VPN-сервера удаленного доступа и устройства NAT:

1. Нажмите «Пуск», а затем выберите «Администрирование». Щелкните Маршрутизация и удаленный доступ.
2. Служба маршрутизации и удаленного доступа установлена по умолчанию, но не включена. Чтобы включить его, в консоли «Маршрутизация и удаленный доступ» щелкните правой кнопкой мыши имя сервера на левой панели консоли и выберите «Настроить и включить маршрутизацию и удаленный доступ».
3. Нажмите «Далее» на странице «Добро пожаловать на страницу мастера настройки сервера маршрутизации и удаленного доступа».
4. На странице «Конфигурация» выберите доступ к виртуальной частной сети (VPN) и параметр NAT и нажмите «Далее».

фигура 2

5. На странице VPN-подключение выберите сетевой интерфейс, через который VPN-сервер подключается к Интернету. В этом примере интерфейс с именем WAN является внешним интерфейсом, и мы выберем его. Оставьте галочку Включить безопасность на выбранном интерфейсе, настроив Basic Firewall. Это настраивает сервер RRAS для разрешения входящих VPN-подключений, выполняя проверку пакетов с отслеживанием состояния и блокируя все другие входящие соединения. Нажмите «Далее».

Рисунок 3

6. На странице Network Selection выберите сетевой интерфейс, представляющий внутренний интерфейс сервера RRAS NAT. В этом примере интерфейс с именем LAN является внутренним интерфейсом сервера RRAS NAT. Нажмите «Далее».

Рисунок 4

7. На странице «Назначение IP-адреса» выберите параметр « Из указанного диапазона адресов» и нажмите «Далее». Причина, по которой мы выбираем эту опцию, заключается в том, что у нас нет DHCP-сервера в сети DMZ, и у нас нет агента DHCP-ретрансляции, установленного на брандмауэре ISA для поддержки DHCP-серверов, которые могут быть расположены во внутренней сети по умолчанию, расположенной за брандмауэром ISA.
8. На странице «Назначение диапазона адресов» нажмите кнопку «Создать». В диалоговом окне «Новый диапазон адресов» введите начальный IP-адрес и конечный IP-адрес для вашего диапазона адресов. В этом примере я введу диапазон, включающий 21 адрес. Один из адресов используется VPN-интерфейсом сервера RRAS NAT, а остальные 20 доступны для назначения VPN-клиентам удаленного доступа. Нажмите ОК.

Рисунок 5

9. Нажмите «Далее» на странице «Назначение диапазона адресов ».
10. Настройка VPN-сервера завершена, и теперь мы выбираем параметры, применимые к службе NAT. На странице «Выбор сети» выберите сетевой интерфейс, с которого вы хотите разрешить исходящие подключения NAT. В этом примере мы хотим разрешить исходящий NAT из внутреннего интерфейса сервера RRAS NAT. Интерфейс LAN — это внутренний интерфейс сервера RRAS NAT, поэтому мы выберем его и нажмем «Далее».

Рисунок 6

11. На странице Управление несколькими серверами удаленного доступа выберите параметр Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение. В этом сценарии мы не используем аутентификацию RADIUS, хотя это всегда жизнеспособный вариант, если вы хотите использовать RADIUS в своем собственном развертывании. Если вы решите использовать аутентификацию RADIUS, единственное, что вам нужно сделать на брандмауэре ISA, — это создать правило доступа, которое разрешает исходящие порты RADIUS на сервер RADIUS в корпоративной сети. Нажмите «Далее».
12. Нажмите «Готово» на странице «Завершение работы мастера настройки сервера маршрутизации и удаленного доступа». Нажмите OK в диалоговом окне с информацией об агенте DHCP-ретрансляции.

На этом этапе вы увидите, что значок сервера на левой панели консоли показывает зеленую стрелку, указывающую вверх. На этом этапе мы можем проверить пару ключевых параметров конфигурации VPN-сервера и настроить запись в таблице маршрутизации:

1. Щелкните правой кнопкой мыши имя сервера в левой панели консоли и выберите Свойства.
2. В диалоговом окне свойств сервера щелкните вкладку IP.
3. На вкладке IP проверьте настройку в раскрывающемся списке Адаптер. Это сетевой интерфейс, для которого создаются настройки для назначения DNS-сервера VPN-клиентам удаленного доступа. Нам нужно назначить VPN-клиентам удаленного доступа адрес DNS-сервера, который позволит им разрешать как общедоступные, так и частные имена хостов, и этот сервер, скорее всего, установлен в корпоративной сети, расположенной за брандмауэром ISA. По этой причине нам необходимо настроить внутренний интерфейс серверов RRAS NAT для использования внутреннего DNS-сервера. В этом примере внутренний интерфейс этого сервера RRAS NAT настроен на использование 10.0.0.2 в качестве DNS-сервера. Нажмите ОК.

Рисунок 7

4. Теперь нам нужно установить запись в таблице маршрутов. В левой панели консоли разверните узел IP-маршрутизация, затем щелкните правой кнопкой мыши узел Static Routes и выберите New Static Route.
5. В диалоговом окне «Статический маршрут» введите идентификатор внутренней сети в текстовом поле «Назначение». В нашем примере сети внутренняя сеть по умолчанию расположена в сети с идентификатором 10.0.0.0/24, поэтому мы введем 10.0.0.0 в текстовое поле «Назначение». Введите маску сети в текстовое поле. В нашем примере сети маска подсети — 255.255.255.0. В текстовом поле Шлюз введите адрес шлюза, который будет направлять соединение в сеть назначения. В нашем примере шлюзом в корпоративную сеть является IP-адрес внешнего интерфейса брандмауэра ISA. В нашем примере сети IP-адрес внешнего интерфейса брандмауэра ISA — 10.0.1.2. Мы можем использовать метрику по умолчанию в этом примере сети. Нажмите «ОК».

Рисунок 8

6. Закройте консоль маршрутизации и удаленного доступа.

Настройте брандмауэр ISA

Теперь, когда настройка внешнего NAT-устройства завершена, мы можем начать работу с внутренним брандмауэром ISA. Нам необходимо выполнить три ключевые процедуры брандмауэра ISA:

• Создайте внешнюю DMZ-сеть брандмауэра ISA.
• Настройте сетевое правило между внутренней сетью по умолчанию и сетью FE DMZ.
• Настройка политики брандмауэра ISA для VPN-клиентов удаленного доступа

Создайте сеть FE DMZ

Сеть брандмауэра ISA — это сетевой объект брандмауэра ISA, который вы можете использовать для управления отношениями маршрутизации между исходным и целевым хостами. Сети брандмауэра ISA определяются как все IP-адреса, доступные определенному сетевому интерфейсу брандмауэра ISA, где сетевой интерфейс представляет собой «корень» конкретной сети брандмауэра ISA. Для получения более подробной информации о сети брандмауэра ISA и о том, как брандмауэр ISA их использует, посетите http://www.isaserver.org/articles/2004isanetworks.html и http://www.isaserver.org/articles/2004isafirewallnetworks.html.

Мы хотим определить сегмент DMZ между внешним интерфейсом брандмауэра ISA и интерфейсом LAN внешнего брандмауэра/устройства NAT как собственную сеть брандмауэра ISA. Это позволит использовать для определения отношения маршрута между внутренней сетью по умолчанию за брандмауэром ISA и сетью DMZ перед брандмауэром ISA. Когда между этими сетями определено отношение маршрута, мы сможем использовать либо правила доступа, либо правила публикации для управления трафиком между сетью DMZ (где расположены VPN-клиенты удаленного доступа) и внутренней сетью по умолчанию за ISA. брандмауэр.

В примере сети, используемом в этой серии статей, мы определим Сеть брандмауэра ISA, используя все адреса в сетевом идентификаторе 10.0.1.0/24. Клиентам удаленного доступа VPN назначаются адреса в рамках этого идентификатора сети, поэтому они будут автоматически включены в определение сети DMZ брандмауэра ISA.

Выполните следующие шаги, чтобы создать сеть брандмауэра ISA для DMZ:

1. В консоли брандмауэра ISA разверните имя сервера в левой панели консоли, а затем разверните узел Конфигурация. Щелкните узел Сеть.
2. Нажмите ссылку «Создать новую сеть» на вкладке «Задачи» панели задач.
3. В окне Добро пожаловать в Мастер создания сети введите имя сети брандмауэра ISA в текстовое поле Имя сети. В этом примере мы назовем DMZ брандмауэра ISA Network FE DMZ и нажмем Next.
4. На странице Тип сети выберите параметр Сеть периметра. Обратите внимание, что с функциональной точки зрения параметр «Сеть периметра» ничем не отличается от параметра «Интернет-сеть» или «Внешняя сеть». Нажмите «Далее».

Рисунок 9

5. На странице «Сетевые адреса» нажмите кнопку «Добавить».
6. В диалоговом окне IP Address Range Properties введите диапазон IP-адресов, определяющих сеть FE DMZ брандмауэра ISA. В этом примере FE DMZ определяется идентификатором всей сети 10.0.1.0/24, поэтому мы вводим 10.0.1.0 в качестве начального адреса и 10.0.1.255 в качестве конечного адреса. Нажмите ОК.

Рисунок 10

7. Нажмите «Далее» на странице «Сетевые адреса».
8. Нажмите «Готово» на странице «Завершение работы мастера создания сети».

В этот момент новая сеть брандмауэра ISA появится на вкладке «Сети» в средней панели консоли брандмауэра ISA. Следующим шагом является настройка этой сети для поддержки клиентских соединений веб-прокси. Это дает нам возможность сделать VPN-клиентов удаленного доступа клиентами веб-прокси брандмауэра ISA, когда они подключены к внешнему брандмауэру/устройству NAT.

1. Дважды щелкните запись FE DMZ в списке сетей брандмауэра ISA на вкладке Networks.
2. В диалоговом окне «Свойства FE DMZ» щелкните вкладку «Веб-прокси». На вкладке Веб-прокси установите флажок Включить клиенты веб-прокси.

Рисунок 11

3. Нажмите кнопку Аутентификация. В диалоговом окне аутентификации вы увидите, что параметр аутентификации по умолчанию — Integrated. Эта опция будет работать для прозрачной аутентификации, если пользователи вошли в учетную запись домена, а брандмауэр ISA является членом домена Active Directory. Если пользователи не вошли в учетную запись домена, а брандмауэр ISA является членом домена, то вам следует включить опцию обычной аутентификации, чтобы пользователи могли вводить информацию об имени пользователя и пароле. Если брандмауэр ISA не является членом домена, вы можете создавать пользователей в локальной базе данных SAM брандмауэра ISA и зеркалировать эти учетные записи на рабочих станциях пользователей; это позволит вам использовать интегрированную аутентификацию, которая является прозрачной и не требует от пользователей ввода имени пользователя и пароля. В примере сети, использованном в этой статье, брандмауэр ISA является членом домена, а внешний пользователь входит в систему с кэшированными учетными данными домена.

   Однако мы включим опцию базовой аутентификации для поддержки пользователей, не являющихся доменами, которые хотят явно войти в систему. Обратите внимание, что эти учетные данные передаются в открытом виде и что любой, кто может перехватывать пакеты в демилитаризованной зоне, сможет получить доступ к информация об учетной записи пользователя легко. После установки флажка в поле «Основные» нажмите «Да» в диалоговом окне, информирующем вас о том, что учетные данные передаются в виде открытого текста. Нажмите «ОК» в диалоговом окне «Аутентификация». (Примечание: эти настройки устанавливают только поддерживаемый тип аутентификации – если ваше правило не требует аутентификации, фильтр веб-прокси брандмауэра ISA не будет запрашивать аутентификацию).
   
   

Рисунок 12

4. Нажмите OK в диалоговом окне FE DMZ Properties.

Настройте сетевое правило между внутренней сетью по умолчанию и сетью FE DMZ.

Сетевые правила управляют отношением маршрута между источником и пунктом назначения. Вы можете создать отношения NAT или ROUTE, используя сетевые правила. Связь ROUTE является двунаправленной. Двунаправленная связь означает, что если существует связь ROUTE между источником и пунктом назначения, то существует также связь ROUTE между пунктом назначения и источником. С другой стороны, если между источником и местом назначения существует отношение NAT, между местом назначения и источником нет отношения NAT, и вам необходимо создать правила публикации (обратный NAT), чтобы разрешить соединения между местом назначения и источником.

Мы хотим создать отношение маршрутизации между внутренней сетью по умолчанию и сетью FE DMZ брандмауэра ISA. Это позволяет нам использовать как правила доступа, так и правила публикации для управления трафиком между этими сетями.

Преимущество этой конфигурации заключается в том, что вы можете использовать правила доступа, чтобы разрешать подключения к не-веб-протоколам, и вы можете использовать правила веб-публикации для соединений с веб-серверами, если хотите. Причина, по которой вы можете захотеть использовать правила веб-публикации, заключается в том, что вы не хотите настраивать своих VPN-клиентов удаленного доступа в качестве клиентов веб-прокси и хотите, чтобы они аутентифицировались на брандмауэре ISA, прежде чем разрешить им доступ к веб-ресурсам на корпоративная сеть.

Например, предположим, что у вас очень высокие требования к безопасности, и вы не хотите разрешать подключения к серверу OWA, не требуя предварительного подключения VPN. Или, возможно, вы не хотите внедрять PKI и будете использовать ссылку VPN в качестве зашифрованного канала вместо ссылки SSL. В этих сценариях вы можете аутентифицировать своих VPN-клиентов удаленного доступа на брандмауэре ISA, прежде чем разрешать подключения к сайту OWA. Предварительная аутентификация гарантирует, что даже если целостность вашей демилитаризованной зоны будет нарушена, злоумышленники не смогут использовать анонимные подключения к сайту OWA и должны будут сначала предоставить учетные данные на брандмауэре ISA.

Обратите внимание, что для правил доступа и правил публикации сервера у вас нет опции предварительной аутентификации, но в этих обстоятельствах вы можете использовать управление доступом на основе исходного IP-адреса. Это одно из ограничений разрыва VPN-подключения на устройстве перед брандмауэром ISA. Если бы мы разорвали VPN-соединение на брандмауэре ISA, вы могли бы применить контроль доступа на основе пользователей/групп как для доступа в Интернет, так и для доступа к корпоративной сети для всех VPN-клиентов.

Выполните следующие шаги, чтобы создать сетевое правило:

1. Нажмите на узел Networks в левой панели консоли брандмауэра ISA. Щелкните вкладку «Сетевые правила» в средней панели консоли, а затем щелкните ссылку «Создать новое сетевое правило» на вкладке «Задачи» в области задач.
2. На странице Добро пожаловать в новое сетевое правило введите имя правила в текстовом поле Имя сетевого правила. В этом примере мы назовем правило Internal to DMZ и нажмем Next.
3. На странице Источники сетевого трафика нажмите кнопку Добавить. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните « Внутренняя сеть». Щелкните Закрыть.
4. Нажмите «Далее» на странице «Источники сетевого трафика ».
5. На странице «Назначения сетевого трафика» нажмите кнопку «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните запись FE DMZ. Щелкните Закрыть.
6. Нажмите «Далее» на странице «Назначения сетевого трафика ».
7. На странице «Сетевые отношения» выберите параметр «Маршрут» и нажмите «Далее».

Рисунок 13

8. Нажмите «Готово» на странице «Завершение работы мастера создания нового сетевого правила».
9. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
10. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Резюме

В этой статье мы продолжили обсуждение того, как завершать клиентские подключения удаленного доступа VPN на устройстве перед брандмауэром ISA. Мы рассмотрели процедуры, связанные с настройкой внешнего VPN-устройства, созданием DMZ-сети брандмауэра ISA и созданием сетевого правила, управляющего отношениями маршрутизации между сетями. В следующей и последней статье этой серии мы создадим правила доступа, необходимые для предоставления VPN-клиентам доступа к ресурсам в корпоративной сети.