Новости

Віддалений доступ по L2TP

  1. Надійні засоби аутентифікації для віртуальної приватної мережі
  2. Вдосконалені протоколи з шифруванням
  3. Створення конфігурації VPN на базі протоколу L2TP
  4. Налаштування центру сертифікатів і IAS в домені Windows 2000
  5. Установка сервера VPN
  6. Захист сервера VPN
  7. Налаштування базового брандмауера Windows 2003
  8. Реалізація засоби захисту домену та локального комп'ютера
  9. Кілька порад з діагностики
Надійні засоби аутентифікації для віртуальної приватної мережі

Довгий час в якості протоколу дистанційного доступу для віртуальних приватних мереж (Virtual Private Networks, VPN) я використав PPTP - незважаючи на його недоліки в тому, що стосується забезпечення захисту даних. Коли в продаж надійшла Windows 2000, я з нетерпінням чекав можливості використовувати в цій же якості протокол L2TP (Layer Two Tunneling Protocol), проте незабаром мені довелося з прикрістю переконатися, що в разі спільного використання L2TP і служби трансляції мережевих адрес (Network Address Translation, NAT) виникають певні проблеми, - втім, про це пізніше.

На базі протоколу L2TP можна створити повністю керовану і добре захищену VPN з віддаленим доступом, здатну взаємодіяти з клієнтами Windows 95 і пізніших версій. Але при цьому адміністратору доводиться вирішувати ряд проблем, пов'язаних з обслуговуванням віддалених користувачів, які розташовані за захисним екраном NAT, з налаштуванням клієнтів і сертифікатів, з аутентифікацією і з забезпеченням безпеки всієї системи. До речі, мушу зауважити, що в процесі підготовки цієї статті я користувався бета-версією системи Windows Server 2003; Зараз же доступна її остаточна версія. Давайте почнемо з L2TP як базового компонента VPN з захищеним дистанційним доступом.

Вдосконалені протоколи з шифруванням

Як відомо, PPTP не забезпечує захисту від атак через посередника, здатних викликати порушення цілісності даних і підміну адресата. Але головний недолік цього протоколу в тому, що він дає можливість виконувати процедури аутентифікації, засновані лише на одному критерії (а саме на знанні користувачем пароля). Іншими словами, якщо зловмисник викраде чи розгадає пароль службовця, він зможе отримати доступ до мережі компанії. Подолати бар'єр двофакторної аутентифікації, в ході якої використовуються як якісь знання користувача (скажімо, пароль), так і предмети (припустимо, карта з захищеною ключем або сертифікат), вже набагато складніше. У середовищі Windows XP і пізніших версіях Windows існує можливість замінити паролі для користувача сертифікатами, для чого поряд з PPTP застосовується протокол Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). Але комбінація PPTP і EAP-TLS забезпечує лише Однофакторні аутентифікацію і не усуває уразливості PPTP в мережевому середовищі. Крім того, не можна забувати, що сертифікати не стерпні. А значить, якщо користувачеві знадобиться запозичити ноутбук колеги або буде потрібно замінити що вийшов з ладу мобільний комп'ютер знаходиться у від'їзді співробітника, ускладнень не уникнути, адже для того, щоб користувач міг підключитися до VPN і увійти в мережу компанії, доведеться попередньо встановити на його машині сертифікат, створений саме для цього користувача.

За останні роки розробники Microsoft доклали чимало зусиль, щоб утримати PPTP «на плаву». Однак зрозуміло, що L2TP спочиває на набагато більш міцному і сумісному з загальноприйнятими стандартами фундаменті: це і посилена двухфакторная аутентифікація, і шифрування, і цілісність даних. Коли за допомогою протоколу L2TP виконується підключення до сервера VPN, для аутентифікації систем цей протокол використовує сертифікати клієнтських і серверних машин. Після успішного завершення процедури аутентифікації L2TP встановлює з'єднання по протоколу IP Security (IPSec) в режимі Encapsulating Security Payload (ESP). До цього моменту L2TP зашифровував всі дані, що проходять через VPN в Internet, захистив з'єднання від «атак через посередника» і завершив перший рівень аутентифікації. Якщо перспектива забезпечувати всі комп'ютери мережі сертифікатами не викликає у вас ентузіазму, рекомендую скористатися одним з чудових засобів, розроблених фахівцями Microsoft для вирішення цієї проблеми, а також багатьох інших завдань, пов'язаних з розгортанням VPN промислового рівня з дистанційним доступом (скажімо, Group Policy для автоматизації реєстрації сертифікатів або Connection Manager Administration Kit - CMAK - для автоматизації розгортання клієнтів VPN).

Далі, L2TP забезпечує аутентифікацію користувачів. Можна вибрати будь-який з методів, але зараз я пропоную розглянути варіант, пов'язаний із застосуванням пароля мережевий облікового запису користувача. Нам доведеться також вибрати протокол аутентифікації, на який L2TP покладе завдання верифікації пароля. На перший погляд може здатися, що це питання не має великого значення, оскільки ми вже використовуємо протокол IPSec. Але не будемо забувати про те, що сервер VPN, який здійснює аутентифікацію на рівні користувача, може успішно виконати це завдання лише в тому випадку, якщо попередньо вступить у взаємодію з контролером домену. Звідси випливає, що протокол аутентифікації може стати важливим фактором, який забезпечує захист призначених для користувача паролів від посягань з боку любителів чужих ключів, що працюють у внутрішній мережі. Після успішного завершення аутентифікації користувача засобами протоколу L2TP ми отримуємо захищений тунель для передачі даних по Internet в нашу мережу; цей тунель забезпечить такий же доступ до мережі, який надає локальне з'єднання, хіба що швидкість передачі буде трохи нижче. Звістка про те, що Windows 2000 оснащена засобами для роботи з протоколом L2TP, свого часу дуже мене порадувало, але скоро я зіткнувся з однією проблемою. Після настройки L2TP мені вдалося встановити з'єднання з сервером VPN в дорозі, коли я підключився до Internet через канал свого глобального провайдера. Але коли я підключив ноутбук до локальної мережі одного з клієнтів і спробував отримати з'єднання з сервером VPN, L2TP не зміг його встановити, і я отримав повідомлення про помилку з кодом 791: The L2TP connection attempt failed because security policy for the connection was not found. Проблема виникла через те, що для приховування внутрішньої мережі від цікавих поглядів з Internet мій клієнт, як і системи багатьох інших компаній, використовує службу NAT. А треба сказати, що при передачі пакетів між Internet і корпоративною мережею NAT змінює номери портів TCP і UDP, тому L2TP не може виконати перевірку цілісності даних засобами IPSec. Саме через це обмеження багато компаній не мають змоги використовувати L2TP в якості надійного протоколу дистанційного доступу, оскільки і мережі ділових партнерів, і домашні мережі, у тому числі багато віддалені користувачі з'єднуються з корпоративними мережами, як правило, оснащені засобами NAT.

Щоб вирішити цю проблему, провідні компанії галузі, в тому числі Microsoft, Nortel Networks, F-Secure і Cisco Systems, розробили специфікацію NAT-Transversal (NAT-T). Документ з описом нового стандарту можна знайти на Web-сайті Internet Internet Engineering Task Force (IETF) за адресою http://www.ietf.org/internet-drafts/ draft-ietf-ipsec-udp-encaps-06.txt . За допомогою засобів NAT-T два комп'ютери отримують можливість виявити наявність одного або декількох розташованих між ними NAT-пристроїв і потім перейти на інкапсуляцію звичайних пакетів IPSec в пакети UDP з портом 4500. За даними, якими я володію сьогодні, Microsoft планує вбудувати в Windows 98 і в більш пізні версії Windows клієнти VPN на базі протоколу L2TP і стандарту NAT-T. Так що можна сміливо використовувати клієнти більш ранніх версій, а також контролери доменів і центри сертифікації рівня Windows 2000, але сервер VPN повинен функціонувати під Windows 2003.

Створення конфігурації VPN на базі протоколу L2TP

Щоб розібратися в особливостях формування VPN на базі L2TP, розглянемо приклад. Припустимо для початку, що контролери нашого домену функціонують під управлінням Windows 2000, а в число клієнтів, розташованих в одному сегменті мережі, входять, як показано на малюнку, комп'ютери Windows XP, Windows NT і Windows 9x. Для надання віддаленим користувачам доступу на базі засобів L2TP / NAT-T необхідно додати сервер Windows 2003. Як відомо, всі редакції Windows 2003 - за винятком Windows 2003 Web Edition - дозволяють одночасно встановлювати не менше 1000 VPN-з'єднань. У цьому прикладі VPN-сервер Windows 2003 безпосередньо підключається до Internet. Сервер VPN можна встановлювати як перед брандмауером, так і всередині демілітаризованої зони (Demilitarized Zone, DMZ) - Microsoft надає інформацію про те, як здійснюється настройка встановлених на брандмауері і сервері VPN фільтрів для обробки пакетів в кожному зі згаданих випадків. Мало того, брандмауер і сервер VPN можуть навіть розміщуватися на одному і тому ж комп'ютері. У нашому прикладі сервер VPN підключається ще і до внутрішньої мережі, тому нам доведеться ретельно захистити цей сервер, щоб хакери не змогли проникнути у внутрішню мережу. Поряд з VPN-сервером Windows 2003 нам потрібно буде встановити на одному з існуючих контролерів домену Windows 2000 службу Internet Authentication Service (IAS), яка є не що інше, як Microsoft-версія сервера Remote Authentication Dial-In User Service (RADIUS). Це робиться для того, щоб сервер VPN міг засобами сервера RADIUS здійснювати аутентифікацію віддалених користувачів по їх облікових записів в домені Windows 2000. Нарешті, нам необхідно встановити останній серверний компонент - службу сертифікатів Certificate Services; з її допомогою ми будемо надавати комп'ютерні сертифікати сервера VPN і машинам віддалених клієнтів. Для клієнтів Windows XP і Windows 2000 буде потрібно встановити оновлену версію IPSec NAT-T. Треба сказати, що системи Windows XP і Windows 2000 вже наділені засобами для роботи з протоколами L2TP і IPSec, тому дане оновлення містить лише виправлення для IPSec в NAT-T. Для забезпечення функціонування клієнтів Windows NT і Windows 9x необхідно встановити програму L2TP / IPSec VPN Client. Її можна отримати за адресою http://www.microsoft.com/windows2000/server/ evaluation / news / bulletins / l2tpclient.asp .

Налаштування центру сертифікатів і IAS в домені Windows 2000

Нам належить налаштувати сервер VPN, але спочатку необхідно створити центр сертифікації (Certificate Authority, CA). Служба сертифікатів може встановлювати або автономний центр сертифікації, або центр сертифікації рівня підприємства. Якщо створюється центр сертифікації рівня підприємства, то комп'ютери, що функціонують під управлінням Windows 2000 і пізніших версій, за замовчуванням довіряють сертифікатами, виданими цим центром сертифікації. Крім того, даний режим дозволяє автоматично призначати ці сертифікати комп'ютерів Windows 2003, Windows XP і Windows 2000. В нашій демонстраційній мережі ми встановимо службу сертифікатів на контролері домену ad1, як показано на малюнку.

Установка служби сертифікатів виконується так. Потрібно зареєструватися на відповідному сервері, відкрити оснастку Add / Remove Programs і запустити майстер Windows Component Wizard (для цього слід вибрати елемент Add / Remove Components). Потрібно встановити прапорець Certificate Services і клацати на кнопці Next до тих пір, поки не відкриється вікно Certification Authority Type. В якості першого центру потрібно вибрати Enterprise Root CA і далі дотримуватися всіх вказівок майстра. Служба сертифікатів може функціонувати лише при наявності сервера Microsoft IIS. Якщо даний пакет ще не встановлено, його встановить система Windows 2000. Через декілька годин після створення центру сертифікатів рівня підприємства кожен функціонуючий під управлінням Windows 2000 і пізніших версій Windows комп'ютер домену автоматично додасть в сховище сертифікатів Trusted Root Certification Authorities самоподпісанний сертифікат. Тим самим всі ці комп'ютери засвідчать довірливе ставлення до всіх сертифікатів, наданим іншими машинами та підписаним вашим центром сертифікації.

Далі потрібно встановити сертифікати на клієнтських комп'ютерах, які будуть підключатися до мережі через VPN; це необхідно для того, щоб клієнти могли встановлювати з сервером VPN початкове з'єднання по протоколу IPSec. Розгортання сертифікатів на вхідних в домен комп'ютерах з Windows 2000 і більш пізніми версіями Windows можна здійснювати за допомогою Group Policy. Слід відкрити оснастку Active Directory Users and Computers консолі Microsoft Management Console (MMC), вибрати кореневої каталог домену та встановити сертифікат на кожному комп'ютері домену. При бажанні можна вибрати організаційну одиницю, в якій зберігається інформація про всі віддалених комп'ютерах. Правою кнопкою миші потрібно клацнути на імені домена, вибрати пункт меню Properties. Відкриється вікно кореневого каталогу домену. Слід перейти на закладку Group Policy, клацнути на елементі Default domain Policy Group Policy Object (GPO) і перейти до елементу Computer ConfigurationWindows SettingsSecurity SettingsPublic Key Policies. Правою кнопкою миші потрібно клацнути на Automatic Certificate Request Settings, вибрати пункт New і далі - Automatic Certificate Request. Відкриється вікно майстра Automatic Certificate Request Setup Wizard з пропозицією вказати, який шаблон сертифікату і центр сертифікатів ви хочете використовувати. Слід вибрати шаблон сертифікату Computer certificate, вибрати новий центр сертифікатів і завершити роботу з майстром. Таким чином, процес додавання нового запиту до локального центру сертифікатів буде закінчений. Тепер кожного застосовує даний об'єкт GPO комп'ютер буде автоматично запитувати сертифікат у центру сертифікатів - без будь-яких нагадувань. Центр сертифікатів буде автоматично санкціонувати надійшов запит, так як відповідно до стандартних дозволами шаблону сертифіката Computer контролери доменів мають право запитувати сертифікат, а відповідний комп'ютер може автоматично звертатися в центр сертифікатів по протоколу Kerberos - адже обидва комп'ютера входять до складу одного і того ж домена.

Для розгортання сертифікатів на комп'ютерах, що функціонують під управлінням більш ранніх, ніж Windows 2000, версій Windows, а також на комп'ютерах, що застосовуються для дистанційного доступу до мережі, в кожному разі доведеться вручну направляти запит і встановлювати сертифікат відповідного клієнтського комп'ютера, а також сертифікат відповідного центру сертифікатів. Для виконання такого запиту можна скористатися Web-сайтом сервера сертифікатів, розташованим за адресою computernamecertserv.

Далі необхідно встановити на контролері домену службу IAS, яка буде обробляти запити на аутентифікацію, що надходять від оснащеного службою RADIUS сервера VPN. Слід знову відкрити вікно оснащення Add / Remove Programs і вибрати елемент Add / Remove Components. На цей раз потрібно вибрати пункт Networking Services, а потім - пункт Details. Необхідно встановити прапорець Internet Authentication Service і далі виконувати всі вказівки майстра. Після установки служби IAS потрібно налаштувати її так, щоб служба приймала запити RADIUS з сервера VPN, який є клієнтом сервера IAS. Відкрийте вікно оснащення Internet Authentication Service, правою кнопкою миші на папці Clients, потім виберіть пункт New Client. Далі потрібно ввести ім'я сервера VPN (в даному прикладі я ввів ім'я testras), потім клацнути на кнопці Next. Отримавши запрошення, слід додати ім'я клієнта в діалоговому вікні RADIUS Client (в нашому прикладі я ввів ім'я tastras.ad.local), змінити значення параметра Client-Vendor на Microsoft, а потім ввести рядок символів, яку належить використовувати в якості загального ключа (shared secret). Загальні ключі дадуть можливість обробляти лише ті запити на аутентифікацію, які будуть надходити від повноправного сервера VPN, де потрібно встановити той же загальний ключ для аутентифікації в домені. До речі, цей ключ буде використовувати і Windows 2000 - в цілях шифрування і підтвердження цілісності даних, що пересилаються між сервером VPN і сервером RADIUS. Загальний ключ захищає від несанкціонованого доступу конфіденційний RADIUS-трафік в межах внутрішньої мережі. Microsoft рекомендує застосовувати загальні ключі довжиною не менше 22 символів; вони повинні складатися з великих і малих літер, а також з цифр і символів. Закінчивши введення загального ключа, слід завершити виконання майстра клацанням на кнопці Finish.

Тепер контролер домену готовий до прийому запитів від сервера VPN, але перед тим, як перевіряти це на практиці, потрібно відкоригувати параметр безпеки, не врахований майстром IAS. Необхідно відкрити оснастку Internet Authentication Service, потім вибрати папку Clients. Слід виконати подвійне клацання на записи клієнта; сервер VPN відкриє діалогове вікно сервера Properties, показане на екрані 1. Тепер потрібно встановити прапорець Client must always send the signature attribute in the request. Тим самим ми ставимо перед системою Windows завдання забезпечувати максимальний рівень захисту трафіку RADIUS при проходженні по внутрішній мережі. Операційна система буде вимагати від клієнта аутентифікації при передачі кожного запиту і забезпечить сервера RADIUS можливість переконатися в тому, що запит не був змінений в процесі пересилання.

Установка сервера VPN

После встановлення центру Сертифікатів и служби IAS можна брати за установку сервера VPN. У ньом повінні буті две мережеві плати. Одну слід з'єднати з внутрішньою Мережа, а іншу Залишити непідключеної - з міркувань безпеки ми Не будемо підключаті другий адаптер до Internet до тих пір, поки НЕ забезпечімо сервер. Необходимо Встановити Windows 2003 зі стандартними настройками (їх ми підкорігуємо пізніше) и захістіті локальних обліковій Запис Administrator таким Довгим паролем, Який НЕ зможу Швидко розгадаті зловміснік. Нехай в ході установки сервер получит адресою DHCP. После цього комп'ютер можна прієднуваті до домену. За завершенні установки нужно зареєструватіся в системе під обліковим записом адміністратора домену. Слід Відкрити папку Network Connections и дати мережевих адаптерів Нові імена, щоб мати можлівість розрізняті з'єднання з Internet и з внутрішньою Мережа. Далі потрібно призначити для з'єднання з внутрішньою мережею статичний IP-адресу, а також відповідну підмережа, DNS і шлюз за замовчуванням. VPN-сервера внутрішньої мережі можна привласнити DHCP-адресу, але в цьому випадку процес зміни буде складніше, так що фахівці Microsoft рекомендують використовувати статичний адресу. Потім відповідно до інструкцій провайдера необхідно призначити для з'єднання з Internet відповідний IP-адресу, підмережа і шлюз за замовчуванням. При бажанні можна підключити до зовнішнього адаптера сервера VPN концентратор і з'єднати його ще з одним комп'ютером: він буде імітувати комп'ютер з Internet. Якщо привласнити цього комп'ютера будь-яку адресу всередині тієї ж підмережі, в якій знаходиться сервер VPN, можна використовувати даний комп'ютер як тестовий і виконувати сканування портів сервера VPN або перевірку його вразливих місць як останній тест перед підключенням сервера до Internet.

Після встановлення мережевих адаптерів потрібно встановити службу Routing and Remote Access. Слід відкрити оснастку Routing and Remote Access, натиснути правою кнопкою миші на імені сервера, який був обраний для установки Routing and Remote Access, і запустити майстер Routing And Remote Access Server Setup Wizard (для цього потрібно вибрати пункт Configure and Enable Routing and Remote Access) . Клацніть на елементі Remote access (dial-up or VPN) і далі - на кнопці Next. У вікні Remote Access слід встановити прапорець VPN, скинути прапорець Dial-up і натиснути Next. У вікні VPN Connection, показаному на екрані 2, потрібно вибрати з'єднання з Internet, встановити прапорець Enable security on the selected interface by setting up static packet filters і натиснути Next. У вікні IP Address Assignment потрібно вказати, яким чином сервер VPN буде призначати пацієнтам VPN IP-адреси внутрішньої мережі. Можна зробити так, щоб сервер VPN отримував довільну адресу від сервера DHCP, або призначати IP-адреса з тих адрес, які виділені в мережі для клієнтів VPN. Найпростіше скористатися послугами сервера DHCP. Але не виключено, що ви захочете використовувати зарезервований діапазон адрес. Прийти до такого рішення змушують дві обставини. По-перше, в цьому випадку можна з легкістю ідентифікувати весь клієнтський трафік VPN у внутрішній мережі, бо в вашому розпорядженні будуть вихідні IP-адреси (тоді як при використанні адрес, наданих сервером DHCP, адреси клієнтів VPN йтимуть упереміш з адресами локальних клієнтів) . По-друге, щоб забезпечити додатковий захист містить конфіденційні дані серверів внутрішньої мережі, які не обов'язково повинні бути доступні віддаленим користувачам, що ввійшли в мережу по каналах VPN, можна буде налаштувати фільтри цих комп'ютерів на блокування пакетів з адресами відправників, що входять в діапазон адрес клієнтів VPN . І тоді, якщо який-небудь хакер зможе використовувати сервер VPN для успішного вторгнення у внутрішню мережу, він не зможе безпосередньо атакувати сервери з конфіденційними даними. Зробивши відповідний вибір, потрібно клацнути Next.

Якщо ви віддали перевагу призначення адрес з зарезервованого діапазону, майстер запропонує ввести межі цього діапазону; в іншому випадку він запропонує вказати, чи бажаєте ви здійснювати аутентифікацію засобами Routing and Remote Access або засобами сервера RADIUS. У процесі підготовки цієї статті я спочатку вибрав пункт Routing and Remote Access - не хотілося перевантажувати статтю великою кількістю варіантів. Але це спричинило за собою кілька помилок у процедурі аутентифікації, які відразу ж зникли, як тільки я перейшов на використання сервера RADIUS. Отже, слід вибрати пункт RADIUS і натиснути Next. Майстер запропонує ввести DNS-ім'я сервера RADIUS і загальний ключ. У нашому прикладі я використовував ім'я контролера домену ad1.ad.local (т. Е. Ім'я машини, на якій була встановлена ​​служба IAS) і загальний ключ, який я ввів раніше на сервері IAS. Щоб застрахуватися від збоїв в роботі VPN, які можуть послідувати за виходом з ладу одного з контролерів домену, можна встановити і конфігурувати службу IAS на іншому контролері домену і позначити даний контролер домену як альтернативний сервер служби RADIUS. Потрібно клацнути Next і переглянути зведені дані, пропоновані майстром. При натисканні на кнопку Finish система Windows 2000 запустить службу Routing and Remote Access.

Захист сервера VPN

Отже, наш сервер готовий до встановлення VPN-з'єднань, але перед підключенням до Internet його слід було б убезпечити. В консолі Routing and Remote Access потрібно відкрити діалогове вікно Properties сервера VPN і скинути прапорець Router. Потім потрібно перейти на закладку Security і клацнути на елементі Configure, розташованому поруч зі списком Authentication provider. Коли на екрані з'явиться діалогове вікно RADIUS Authentication, слід вибрати ім'я свого сервера RADIUS і клацнути на кнопці Edit. Стандартні настройки сервера VPN припускають застосування сервера RADIUS, але прапорець Always use message authenticator за замовчуванням не виставляється. Саме з цієї причини Windows, можливо, не буде використовувати загальний ключ, який був введений раніше при налаштуванні служби RADIUS на даному сервері і служби IAS на контролері домену. Встановивши цей прапорець, ми забезпечимо максимальний рівень захисту від посягань на трафік VPN і IAS. Далі слід перейти на закладку Logging діалогового вікна Properties і активізувати функцію реєстрації всіх подій, що дасть можливість відстежувати статистику використання каналів VPN.

Клацніть на кнопці OK і перезапустіть оснащення Routing and Remote Access. Правою кнопкою миші потрібно клацнути на папці Ports у вікні цієї оснастки і в контекстному меню вибрати пункт Properties. Відкриється діалогове вікно Ports Properties, показане на екрані 4.

Потім потрібно буде захистити всі вихідні або вхідні VPN-з'єднання, крім віддаленого доступу по протоколу L2TP. У діалоговому вікні Ports Properties слід відкрити властивості WAN Miniport (PPPOE), скинути прапорець Demand-dial routing connections (outbound only) і натиснути OK. Далі необхідно відкрити вікно WAN Miniport (PPTP), скинути прапорець Demand-dial routing, connections (outbound only), а також прапорець Remote access connections (inbound only) і натиснути OK. Виконаємо ті ж дії для Direct Parallel. Тепер підібратися до сервера VPN можна тільки через віддалене з'єднання по протоколу L2TP. У діалоговому вікні Ports Properties слід відкрити WAN Miniport (L2TP) і скинути прапорець Demand-dial-routing connections (outbound only). Визначте, яка кількість з'єднань ви хочете підтримувати одночасно, і виділіть відповідне максимальну кількість портів, після чого двічі натисніть OK. Потрібно переміститися назад в консоль Routing and Remote Access і правою кнопкою миші клацнути на папці IP Routing. У контекстному меню слід вибрати пункт Properties. Це дозволить переглянути властивості інтерфейсу в Internet. Звідси можна буде досліджувати фільтри для вхідних і вихідних пакетів, які блокують проходження несанкціонованого трафіку через сервер VPN.

Налаштування базового брандмауера Windows 2003

Можливо, ви захочете підвищити рівень захищеності системи від атак з Internet і з цією метою активізувати базовий брандмауер Windows 2003. Після активізації служби Routing and Remote Access кошти Internet Connection Firewall (ICF) і Internet Connection Sharing (ICS) стають недоступними. Замість цього для забезпечення таких функцій, як дослідження вмісту пакетів за технологією перевірки пакетів і трансляції мережевих адрес, служба Routing and Remote Access передбачає поєднання NAT / базовий брандмауер. Щоб скористатися цією можливістю, правою кнопкою миші потрібно клацнути на папці IP Routing, в меню, що розкрилося вибрати пункт Properties, перейти на закладку General і далі вибрати елемент New Routing Protocol. У діалоговому вікні New Routing Protocol слід вибрати елемент NAT / Basic Firewall і потім натиснути OK. Всередині папки IP Routing буде створена нова папка NAT / Basic Firewall. Правою кнопкою миші слід клацнути на елементі NAT / Basic Firewall і в контекстному меню вибрати пункт New Interface. У списку, що розкрився необхідно виділити елемент Internet interface, після чого клацнути на кнопці OK. На екрані з'явиться діалогове вікно Network Address Translation Properties (воно показано на екрані 5 ). У цьому вікні потрібно вибрати елемент Basic firewall only - адже ми не хочемо, щоб клієнти внутрішньої мережі виходили в Internet через сервер VPN. Далі слід клацнути на елементі Inbound Filters і видалити всі фільтри, що мають відношення до порту 47 (GRE) або до порту 1723 TCP (PPTP). Обидва порти сумісні з протоколом PPTP, і хоча ми відключили PPTP в налаштуваннях Routing and Remote Access, базовий брандмауер за замовчуванням все ще пропускає трафік за цим протоколом. У діалоговому вікні Network Address Translations Properties потрібно клацнути на елементі Outbound Filters і видалити ті ж записи. Далі необхідно перейти на закладку Services and Ports. На цій закладці можна вказати, які типи трафіку буде пропускати базовий брандмауер. Встановіть прапорець VPN Gateway (L2TP / IPSec - running on this server) і натисніть на кнопку Edit. У діалоговому вікні Edit Service слід ввести адресу внутрішнього мережевого адаптера сервера VPN. Після встановлення базового брандмауера натисніть OK.

Реалізація засоби захисту домену та локального комп'ютера

Тепер ваш сервер надійно захищений від атак з глобальної мережі; сервер VPN повинен реагувати тільки на трафік по протоколу IPSec. Цю реакцію можна перевірити шляхом сканування портів за допомогою такого засобу, як Nmap (його можна отримати на сайті Insecure.org). Тепер майже все готово до підключення сервера VPN до Internet. Але перш варто прийняти деякі заходи для захисту домену і локальних комп'ютерів. На щастя, стандартні параметри безпеки системи Windows 2003 набагато сильніше, ніж в Windows 2000. І тим не менше варто зробити деякі кроки по загальному посиленню сервера VPN. Потрібно активізувати функцію аудиту і налаштувати засоби захисту таким чином, щоб можна було відстежувати події в області безпеки. Важливо переконатися, що облікові записи локальних користувачів не передбачають можливості віддаленого доступу по комутованих з'єднань.

Крім того, потрібно встановити строгі правила блокування облікових записів. Локальна обліковий запис Administrator повинна бути захищена надійним паролем, а облікові записи Guest і інші локальні облікові записи, потреба в яких неочевидна, слід відключити. Має сенс деактивувати і всі непотрібні служби. Я рекомендую вносити перераховані зміни не шляхом безпосередньої настройки, а за допомогою об'єкта GPO; при цьому всі параметри будуть збережені, навіть якщо в разі розширення масштабів VPN буде замінений існуючий сервер або розгорнуто кілька серверів.

На рівні домену слід активізувати комутований доступ RAS тільки для тих користувачів, яким дійсно потрібна дистанційний доступ, і забезпечити застосування цими користувачами надійних паролів. Аутентифікація віддалених користувачів на сервері VPN здійснюється за тими ж облікових записів, за якими вони локально реєструються в офісі, так що зломщики можуть спробувати використовувати атаки Denial of Service (DoS) для блокування однієї або декількох облікових записів шляхом зриву спроб реєстрації на сервері VPN. У середовищі Windows зі спробами блокувати облікові записи віддалених користувачів можна розбиратися окремо, тому що діють по той бік брандмауера зломщики не можуть блокувати облікові записи домену локальної мережі; замість цього вони самі відсікаються від сервера VPN. Ці особливі засоби боротьби зі спробами блокування доступу з боку віддалених користувачів можна активізувати за допомогою настройки HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesRemoteAccess ParametersAccountLockout (більш докладно настройка цього параметра описується в документації Windows, за адресою asp?%20url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/sag_rras-ch1_74.asp> http://www.microsoft.com/technet/treeview/default.asp? url = / technet / prodtechnol / windowsserver2003 / proddocs / datacenter / sag_rras-ch1_74.asp ).

Після підключення сервера VPN можна спробувати встановити з'єднання з ним з різних клієнтів. Я рекомендую почати з з'єднання з таким клієнтом, який встановлює з'єднання, що комутується безпосередньо з провайдером, минаючи NAT-пристрої. Важливо не забути модернізувати свої клієнтські машини: якщо вони функціонують під управлінням операційних систем, випущених до появи Windows 2000, то на них потрібно встановити VPN-клієнти Microsoft L2TP / IPSec, а якщо вони працюють під Windows 2000 або більш пізньої версією Windows, слід розгорнути на них систему IPSec NAT-T. Крім того, необхідно упевнитися в тому, що на клієнтах встановлені сертифікати комп'ютерів і що сертифікат центру сертифікатів знаходиться в папці Trusted Root Certification Authorities. Слід відкрити вікно Network Connections і створити з'єднання з сервером VPN за допомогою майстра New Connection Wizard. Це з'єднання потрібно налаштувати на використання протоколу L2TP і випробувати його за допомогою доменної облікового запису, якій дозволений доступ по комутованих лініях. Якщо встановити з'єднання вдасться, можна спробувати домогтися того ж результату через NAT-пристрої (скажімо, через брандмауера домашньої мережі або з офісу партнера).

Кілька порад з діагностики

Всякий раз, коли в конфігурацію служби Routing and Remote Access або IAS вносяться зміни, я рекомендую перезапускати відповідну службу; це призведе до того, що зміни будуть застосовані негайно. Для з'ясування причин проблем зі зв'язком, якщо такі виникнуть, можна скористатися журналами реєстрації Security і System клієнта і сервера VPN, а також журналами реєстрації служби IAS і сервера IAS (вони зберігаються в каталозі \% winroot% system32logfiles). Реєстраційні файли IAS починаються з IN; їх найкраще переглядати за допомогою засобу IASParse, яке входить до складу комплекту Servier Resource Kit. Бажаю всім нашим читачам успіху в створенні двухфакторного механізму аутентифікації для VPN з дистанційним доступом, здатного долати бар'єри NAT.

Ренді Франклін Сміт - редактор Windows & .NET Magazine і президент компанії Monterey Technology Group, яка займається навчанням і консалтингом в області захисту Windows NT. Зв'язатися з ним можна за адресою: [email protected]

Asp?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции