Portal Zarządzających Bezpieczeństwem

Źródło: www.microsoft.com
Tłumaczenie: Małgorzata Kotlińska, Rzeszów

W skrócie:

• Protokoły VPN
• Konfiguracja połączenia VPN typu „site-to-site”
• Konfiguracja połączenia zdalnego dostępu VPN
• Nowe funkcje w ISA Server 2006

Istnieje wiele typów VPN. Niektórych używa się do połączenia użytkownika komputera przenośnego do sieci firmowej, a innych do połączenia dwóch sieci, które mają inną lokalizację. Różne są protokoły używane przez poszczególne VPN oraz funkcje, które one oferują. Niektóre dostarczają zabezpieczeń, takich jak uwierzytelnienie i szyfrowanie, inne nie oferują żadnych wbudowanych funkcji zabezpieczeń. Oczywiście, niektóre są łatwiejsze w instalacji i obsłudze, a inne trudniejsze.

W tym artykule przyglądnę się jak wdrożyć VPN przy użyciu Internet Security and Acceleration (ISA) Server 2006. W szczególności skupię się na tym w jaki sposób można użyć funkcjonalności ISA VPN, aby skierować się w stronę dwóch powszechnych scenariuszy: sposób dostarczenia użytkownikom połączeń zdalnego dostępu VPN oraz dostarczenia połączeń VPN typu „site-to-site”. Oba wdrożenia zawierają funkcje zabezpieczeń, aby zapewnić prywatność danych oraz zabezpieczyć materiały źródłowe sieci wewnętrznej.

W przypadku pierwszego scenariusza – połączenie zdalnego dostępu VPN – zdalny klient inicjuje połączenie VPN do Twojego ISA Servera przez Internet. Następnie ISA Server łączy zdalnego klienta do Twojej sieci wewnętrznej, dostarczając użytkownikowi płynnego dostępu do materiałów źródłowych sieci wewnętrznej, w tym do danych oraz aplikacji. Drugi scenariusz – połączenia VPN typu „site-to-site” – jest trochę bardziej skomplikowany, ponieważ korzysta z routera, który sam w sobie może być ISA. Jednak ten rodzaj połączenia umożliwia płynne przyłączenie różnych lokalizacji biur czy filii do siebie nawzajem lub do biura centralnego.

Istnieje wiele dodatkowych korzyści wynikających z użycia ISA Server 2006 do wdrożenia VPN. Jednym z najistotniejszych jest zintegrowana natura ISA Servera, co oznacza, że funkcjonalności VPN oraz zapory sieciowej współpracują ze sobą. Dodatkowo, ISA Server dostarcza funkcję kwarantanny VPN, która wykorzystuje funkcję Network Access Quarantine Control Windows Server^® 2003, aby poddać kwarantannie komputer zdalnego dostępu do momentu aż jego konfiguracja zostanie sprawdzona przez skrypt serwerowy. Dodaje to kolejną warstwę zabezpieczenia poprzez dostarczenie sposobu na sprawdzenie takich rzeczy jak status definicji antywirusowych oraz strategia lokalnej zapory sieciowej na zdalnym komputerze zanim zezwoli się na dostęp do materiałów źródłowych sieci wewnętrznej.

Podstawowe korzyści administracyjne oferowane przez ISA Server jako rozwiązanie VPN to scentralizowane zarządzanie strategiami, monitorowanie, rejestrowanie oraz raportowanie. Te możliwości mogą okazać się bezcenne przy codziennych obowiązkach administracyjnych. W szczególności możliwość monitorowania w czasie rzeczywistym oraz filtrowania logów, dadzą Ci wgląd do ruchu w sieci oraz połączeń przechodzących przez ISA Server.

Protokoły typu core tunneling w połączeniu ISA VPN dostarczają pierwszej linii obrony dla zabezpieczenia połączeń. ISA Server obsługuje trzy protokoły: Layer 2 Tunneling Protocol (L2TP) przez IPsec, Point-to-Point Tunneling Protocol (PPTP) oraz IPsec tunnel mode. Ostatni z nich obsługiwany jest tylko dla połączeń typu „site-to-site” i jest głównie używany do współpracy z routerami i innymi systemami operacyjnymi, które nie obsługują L2TP ani PPTP.

L2TP jest połączony z IPsec, ponieważ L2TP nie ma sam w sobie mechanizmu dostarczenia prywatności danych. Razem z IPsec – oferującym solidne metody uwierzytelnienia i szyfrowania – kombinacja ta zapewnia fantastyczne rozwiązanie. PPTP korzysta albo z drugiej wersji Microsoft^® Challenge Handshake Authentication Protocol (MS CHAP), albo z Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) przy uwierzytelnianiu i z Microsoft Point-to-Point Encryption (MPPE) przy – jak się łatwo domyślić – szyfrowaniu.

Wybór korzystania z L2TP przez IPsec czy PPTP często zależy od szczególnych czynników danej firmy. L2TP przez IPsec pozwoli na korzystanie z bardziej złożonego i wyszukanego szyfrowania oraz obsługuje więcej rodzajów sieci (w tym IP, X.25, Frame Relay oraz ATM). Natomiast PPTP jest łatwiej wdrożyć i zazwyczaj ma mniejsze wymagania. W sytuacjach, gdy nie ma ograniczeń organizacyjnych, zaleca się wdrożenie L2TP over IPsec.

Połączenie VPN typu „site-to-site”

ISA Server 2006 poczynił niesamowity postęp w uproszczeniu konfiguracji VPN typu „site-to-site”. We wcześniejszych wersjach potrzebnych było wiele etapów. Dla przykładu przedstawię pojedynczą, zdalną lokalizację, podłączaną do biura centralnego za pomocą L2TP przez IPsec przy użyciu ISA Server dla obu lokalizacji. Proces ten wymaga skonfigurowania biura centralnego ISA Server zanim nastąpi konfiguracja lokalizacji zdalnej.

Pierwszym krokiem w tym procesie jest konfiguracja kont lokalnych użytkowników, które są wymagane na obu ISA Serverach. Taka tożsamość użytkownika zapewnia kontekst bezpieczeństwa, pod którym dokonane zostanie podłączenie do zdalnego lub głównego ISA Servera. Nazwa tego konta powinna odpowiadać nazwie połączenia VPN, które tworzysz w konsoli ISA. Na przykład: dobrą konwencją nazewnictwa byłoby ustawienie nazwy użytkownika „Site VPN” na ISA Serverze zlokalizowanym w centrali (wskazując na zdalną lokalizację) oraz „HQ VPN” na zdalnej lokalizacji ISA Servera. Gdy już stworzysz te konta, musisz wejść do właściwości konta, otworzyć zakładkę Dial In i upewnić się, że wybrana została opcja Allow Access.

Po utworzeniu konta lokalnego użytkownika, następnym krokiem jest stworzenie certyfikatu infrastruktury publicznego klucza (PKI - public key infrastructure), który będzie używany do uwierzytelniania pomiędzy tymi dwoma lokalizacjami. Masz możliwość używania klucza typu „pre-shared key”, ale korzystanie z certyfikatu jest zawsze lepszą metodą. Najprostrzym sposobem, aby zainstalować certyfikat dla połączenia VPN jest podłączenie się bezpośrednio do certyfikatu autoryzacji przedsiębiorstwa i żądanie certyfikatu poprzez stronę WWW serwera certyfikatu. Aby to zrobić, możesz potrzebować stworzyć regułę dostępu, zezwalającą, aby ISA Server mógł się połączyć z serwerem certyfikatu poprzez HTTP.

Jeśli znasz poprzednie wersje ISA Servera, zauważysz, że interfejs ISA Server 2006, pokazany na rys.1, jest dużo bardziej intuicyjny. Gdy wybierzesz VPN po lewej stronie pola, konfiguracja kontekstowa oraz opcje zadań pojawiają się w śroku i po prawej stronie pola.

Rys. 1 ISA Server 2006 posiada bardziej intuicyjny interfejs

Uruchom kreatora VPN typu „site-to-site”, klikając na Create VPN Site-to-Site Connection w zakładce „tasks” po prawej stronie pola. Kiedy kreator zostanie uruchomiony, zapyta o nazwę sieci „site-to-site”; nazwa ta powinna odpowiadać nazwie konta użytkownika, utworzonego wcześniej. Po wpisaniu nazwy, kliknij przycisk „next”. Na następnym ekranie (rys.2), wybierz protokół VPN, który ma być użyty – w moim przykładzie jest to L2TP over IPsec. Kliknij „next”, a kreator w pomocny sposób ostrzeże Cię, że konto użytkownika odpowiadające nazwie sieci musi być dostępne – jeśli byłeś na tyle dokładny, że to zrobiłeś, możesz kliknąć „OK” i przejść do kolejnego ekranu.

Rys. 2 Wybierz protokół VPN, który chcesz użyć

Teraz musisz stworzyć pulę adresów IP. Możesz wybrać: stworzenie statycznej puli adresów na ISA Serverze albo możesz skorzystać z istniejącego serwera DHCP, który obsłuży przypisanie adresów. Ponieważ obie metody są dobre, decyzja powinna być zależna od procedur firmy i tego, jaki mają związek przy poszczególnej opcji. Teraz ekran poprosi Cię o wprowadzenie nazwy zdalnego serwera. Wprowadź pełną nazwę domeny (FQDN – fully qualified domain name) zdalnego serwera, a następnie wprowadź uwierzytelnienie użytkownika dla tego połączenia. Pamiętaj, że musisz wpisać informację o koncie użytkownika, którego utworzyłeś na zdalnym ISA Server. W tym przykładzie, będzie to konto użytkownika HQ VPN, jak pokazuje rys.3.

Rys. 3 Wprowadź FQDN zdalnego serwera

Na ekranie wybierz metodę uwierzytelniania wychodzącego. (Jak już wcześniej wspomniałem, zawsze lepiej jest użyć certyfikatu.) Następnie wprowadź zakres adresów IP, który jest używany w sieci wewnętrznej w zdalnej lokalizacji.

Potem – jeśli używasz ISA Server 2006 Enterprise Edition – kreator pozwoli Ci skonfigurować delegowane adresy IP zdalnej lokalizacji Network Load Balancing. Jeśli używasz ISA Server 2006 Standard Edition, pomiń krok „load-balancing” (rozkładania obciążenia) i przejdź bezpośrednio do następnego ekranu (rys.4), gdzie utworzysz regułę sieci kierującą ruchem od zdalnej lokalizacji do sieci lokalnej.

Rys. 4 Utwórz regułę sieci kierującą ruchem

Musisz także utworzyć regułę dostępu, co jest następnym krokiem w tym procesie. Gdy skonfigurujesz regułę dostępu, do wyboru są trzy opcje dopuszczenia protokołów: możesz wybrać cały ruch wychodzący, cały ruch wychodzący z wyjątkiem pewnych protokołów lub tylko niektóre protokoły. W większości sytuacji będziesz chciał wybrać opcję całego ruchu wychodzącego.

Już prawie skończyłeś. W tym miejscu kreator pokaże Ci podsumowanie Twojej konfiguracji i gdy tylko przyciśniesz „Finish”,połączenie VPN typu „site-to-site” zostanie utworzone. Zobaczysz okno dialogowe, mówiące, że reguła strategii systemu musi być aktywna, aby można było załadować Certificate Revocation List – wciśnij „Yes”, aby uaktywnić tę regułę. Kreator dostarczy Ci informacji o dodatkowych krokach konfiguracji, które mogą być potrzebne. Po skończeniu konfiguracji ISA Servera na głównej lokalizacji, musisz przejść te same kroki, aby skonfigurować lokalizację zdalną. Gdy już oba kroki są ukończone, użytkownicy dwóch lokalizacji będą w stanie komunikować się poprzez VPN.

Konfiguracja zdalnego dostępu połączenia VPN dla dostępu klienta jest o wiele prostrze (rys.5). Pierwszy krok to wybór VPN po lewej stronie pola konsoli administracyjnej ISA Server. Następnie wybierz zadanie „Enable VPN Client Access” po prawej stronie pola. Ostrzymasz ostrzeżenie, iż może to spowodować zrestartowanie usługi „Routing and Remote Access”. (Ponieważ może to spowodować problemy z połączeniem, możesz zechcieć wdrożyć tę zmianę w czasie zaplanowanej konserwacji okna.) Kliknij OK, aby przejść przez to ostrzeżenie; ISA Server aktywuje strategię systemu, która pozwala, aby ruch VPN klienta dostał się do ISA Servera. Możesz zobaczyć tę regułę, wybierając Firewall Policy na konsoli administracyjnej ISA Server, a następnie wybierając zadanie Show System Policy Rules (Pokaż Reguły Strategii Systemu).

Rys. 5 Skonfiguruj połączenie VPN zdalnego dostępu

Domyślna reguła sieci jest także aktywna, aby możliwe było kierowanie ruchem między siecią wewnętrzną a dwoma VPN sieciami (VPN Clients oraz Quarantined VPN Clients). Tę regułę sieci można przeglądać i edytować, wybierając Networks w lewym polu, a następnie otwierając zakładkę Network Rules na środku pola.

Teraz musisz skonfigurować dostęp klienta VPN. Trzy dodatkowe parametry muszą zostać skonfigurowane: Windows Security Groups – grupy, które mają zezwolenie dostępu, Protocols – protokoły, które mogą być używane przez klienta oraz User Mapping. Okno dialogowe dla konfiguracji tych parametrów pokazane jest na rys.6.

Rys. 6 Skonfiguruj dostęp klienta VPN

Zakładka „Groups” wymaga tylko wyboru, które grupy Windows powinny mieć zapewniony dostęp zdalny poprzez VPN. Z perspektywy administracji uważam, że dobrym pomysłem jest stworzenie pojedynczej grupy, której daje się takie pozwolenie. Ułatwia to w dużym stopniu zarządzanie zdalnym dostępie.

Zakładka „Protocols” pokazuje, że tylko PPTP aktywowany jest domyślnie. Niewątpliwie powinieneś aktywować L2TP over IPsec, jeżeli da się to wykonać w Twoim środowisku.

User Mapping pozwala odwzorować (map) konta użytkownika od obszarów nazw – takich jak Remote Authentication Dial-In User Service (RADIUS) – do kont Windows, w celu zapewnienia, że strategie dostępu mają poprawne zastosowanie. Gdy już zakończysz te opcje konfiguracji i zastosujesz zmiany dla ISA Server, zadanie skończone. Klienci powinni mieć teraz płynny dostęp do danych i aplikacji Twojej wewnętrznej sieci przy użyciu połączenia VPN.

Rozszerzenia ISA Server 2006

ISA Server 2006 wprowadza wiele rozszerzeń, które wzmacniają jego siłę oraz wydajność w porównaniu z poprzednimi wersjami. Te funkcje – a wśród nich kompresja http, wsparcie Background Intelligent Transfer Service (BITS) oraz Quality of Service (QoS) – dostarczają różnych technik, aby zoptymalizować używanie sieci. Oczywiście nawet z tymi technikami, nadal powinno się korzystać z technologii optymalizacji przepustowości, które są jądrem ISA Server, zawierającym buforowanie.

Kompresja HTTP jest obsługiwana w wielu produktach Microsoftu od jakiegoś czasu – istnieje w Internet Explorer^® od 4-tej wersji i w Windows Server od Windows^® 2000. Jednak to jest pierwsza wersja ISA Server, która obsługuje kompresję http jak również standard branżowy GZIP oraz algorytmy Deflate.

Co to oznacza? Z obsługą dla kompresji HTTP, przeglądarka stosująca HTTP 1.1, może zażądać skompresowanej zawartości z jakiejkolwiek strony WWW. Pamiętaj jednak, że tylko odpowiedzi są skompresowane, a nie początkowe połączenia wychodzące od klienta.

Kompresja HTTP jest globalnym ustawieniem strategii HTTP, które ma zastosowanie dla całego ruchu HTTP, który przechodzi przez ISA Server, a nie jest powiązany z konkretną regułą sieciową. Masz jednak opcję wdrożenia kompresji HTTP na zasadach per-listener, a konfiguracja następuje poprzez kreatora Web Listener.

Kompresja HTTP, do której wchodzi się przez opcję „General” po lewej stronie, jest aktywowana domyślnie. Lecz – jak pokazuje rys.7 – musisz skonfigurować elementy sieci, w których kompresja powinna być używana. Kontynując przykład VPN typu „site-to-site”, musisz wybrać zakładkę „Return Compressed Data” i dodać element sieci „Site VPN”, który utworzyłeś wcześniej. Na tym etapie masz również opcję skonfigurowania które rodzaje zawartości powinny być skompresowane. ISA Server 2006 ma listę standarowych rodzajów zawartości, ale możesz dodać własne rodzaje zawartości poprzez pole zadania Firewall Policy w zakładce Toolbox. Pamiętaj, że zakładka Return Compressed Data odnosi się do ISA Servera kompresującego dane zanim wrócą one do klienta. Musisz użyć zakładki Return Compressed Data, aby otrzymać żądanie ISA Server, mówiące, że serwer sieciowy obsługuje kompresję danych zanim dane są wysłane do ISA Servera.

Rys. 7 Skonfiguruj kompresję HTTP

Background Intelligent Transfer System jest usługą asynchronicznego przesyłu plików dla ruchu HTTP i HTTPS. Windows Server 2003 zawiera wersję 1.5 usługi BITS, która obsługuje ściąganie i wysyłanie, z tym że wysyłanie wymaga także wersji 5.0 lub wyższej Internet Information Services (IIS). Jako usługa inteligentnego przesyłu plików, BITS ma możliwość sprawdzania ruchu w sieci oraz korzystania tylko z tej części przepustowości sieci, która akurat jest bezczynna. Dodatkowo, przesył pliku jest dynamiczny, a BITS odpowie na szczyty w normalnym ruchu poprzez zatrzymanie swojego kozystania z sieci. Zaletą jest tutaj fakt, że BITS zapewnia, że ściąganie i wysyłanie dużych plików nie będzie miało negatywnego wpływu na pozostałe korzystanie z sieci. Z perspektywy administratora oznacza to, że powinieneś otrzymywać o wiele mniej skarg na słabe działanie sieci. Dobre wieści!

BITS oferuje inne korzyści, które mogą poprawić wrażenie na użytkowniku i sprawić, że działanie sieci będzie lepsze. Na przykład przesył pliku, który korzysta z BITS jest binarny, co oznacza, że BITS może wznowić transfery pliku (bez potrzeby rozpoczynania od samego początku), które zostały przerwane przez takie czynniki jak awaria sieci. Także ISA Server posiada wbudowane wsparcie dla Microsoft Update przechowując w pamięci podręcznej funkcje, które używają buforowania podręcznego BITS do optymalizacji aktualizacji.

Protokół Differentiated Services (DiffServ) aktywuje kolejkowanie pakietów (lub QoS) dla HTTP i HTTPS. Innymi słowy, w zależności od własnej konfiguracji ISA Servera, pewne pakiety będą miały pierwszeństwo. Jest to użyteczne w sieciach, które mają limitowaną przepustowość z powodu nasilenia ruchu albo szybkości połączenia. Zgodnie z Internet Engineering Task Force (IETF), DiffServ jest mechanizmem klasowym, zarządzającym ruchem w sieci. Dlatego też DiffServ może rozróżniać typy ruchu i odpowiednio nimi zarządzać, zapewniając przy tym, że transfer o wysokim priorytecie otrzymuje pierwszeństwo.

Aby zapewnić tę funkcję, ISA Server pracuje spójnie z routerami, które obsługują QoS. Ważne jest, aby bity ISA Server DiffServ odpowiadały priorytetom na Twoich routerach, jeśli chcesz, aby pakiety były przesyłane z takim samym priorytetem.

Tak jak wdrożone w ISA Serverze, taki typ kolejkowania pakietów jest ustawieniem strategii HTTP, które jest globalne i ma zastosowanie przy każdym ruchu HTTP, który przechodzi przez ISA Server 2006, używając filtra sieci DiffServ. Oznacza to, że ISA Server nie obsługuje DiffServ dla innych protokołów i może przerzucić istniejące bity DiffServ na ruch inny niż HTTP.

Jak pokazuje rys. 8, DiffServ jest wdrożony jako Web filter, a dostęp do niego jest możliwy przez wybranie „Add Ins” w lewym polu. Istotne jest, aby nie zmieniać ustawień domyślnych ani porządku priorytetów filtra DiffServ, ponieważ ISA Server musi sprawdzić wielkość prośby/odpowiedzi w czasie procesu.

Rys. 8 Filtr DiffServ Web

Jeśli spojrzysz dokładniej na rys.8, możesz zauważyć, że filtr DiffServ nie jest domyślnie włączony. Aby aktywować filtr, po prostu wybierz „Enable Selected Filters” w polu „Tasks”, a następnie skonfiguruj filtr. Ponieważ kolejkowanie pakietów DiffServer w ISA Server opiera się albo na konkretnych adresach URL, albo domenach, musisz dodać tę informację do ustawień DiffServer. Aby to zrobić, wybierz „General” w lewym polu konsoli zarządzania, a potem pod „Global HTTP Policy Settings”, wybierz „Specify DiffServ Preferences”. Kiedy określisz te ustawienia, musisz również zdefiniować priorytety, adresy URL i domeny, które powinny mieć pierwszeństwo. ISA Server 2006 dostarcza nowe, potężne możliwości dla ustawień zdalnego dostępu dla klientów VPN oraz dla tworzenia „site-to-site” VPNów . Powinien on być na samym szczycie Twojej listy, kiedy będziesz rozważał, które rozwiązanie VPN zastosować.