SSL VPN-oplossing. De client configureren om SSTP te gebruiken en via SSTP verbinding maken met de VPN-server

Als je de vorige delen van deze artikelenreeks hebt gemist, lees dan:

In de eerste twee delen van deze serie over het bouwen van een SSL VPN-server op Windows Server 2008 hebben we enkele basisbeginselen van het bouwen van VPN-netwerken besproken en daarna het instellen van de server besproken. Op dit punt zijn we klaar om enkele kleine wijzigingen in de Active Directory-configuratie en de CA-website door te voeren. Zodra we deze wijzigingen hebben aangebracht, zullen we ons concentreren op de VPN-clientconfiguratie en uiteindelijk de SSL VPN-verbinding tot stand brengen.

Een gebruikersaccount configureren om inbelverbindingen te gebruiken

Voor gebruikersaccounts zijn machtigingen voor inbeltoegang vereist voordat ze verbinding kunnen maken met een Windows VPN-server die deel uitmaakt van een Active Directory-domein. De beste manier om dit te doen is door de Network Policy Server (NPS) te gebruiken, evenals de standaard gebruikersaccounttoestemming, die externe toegang mogelijk maakt op basis van het NPS-beleid. In ons geval hebben we echter geen NPS-server geïnstalleerd, dus we zullen de inbeltoegangsrechten van de gebruiker handmatig moeten configureren.

In het volgende artikel zal ik me concentreren op het gebruik van de NPS-server en EAP-geom verbindingen te maken met een SSL VPN-server.

Om een ​​specifiek gebruikersaccount inbeltoegang toe te staan ​​verbinding te maken met een SSL VPN-server, moet u de volgende stappen uitvoeren. In dit voorbeeld schakelen we de inbeltoegangsmachtiging in voor het:

Configureren van IIS op de certificaatserver om HTTP-verbindingen voor de CRL-directory toe te staan

Om de een of andere reden configureert de installatiewizard de CRL-directory wanneer deze de Certificate Services-website installeert om een ​​SSL-verbinding aan te vragen. Hoewel dit vanuit beveiligingsperspectief een redelijk goed idee lijkt, is het probleem dat de Uniform Resource Identifier (URI) op het certificaat niet is geconfigureerd om SSL te gebruiken. Ik neem aan dat je zelf een CDP-record voor het certificaat kunt maken, zodat het SSL kan gebruiken, maar ik durf te wedden dat Microsoft dit probleem nergens heeft genoemd. Omdat we in dit artikel de standaardinstellingen voor CDP gebruiken, moeten we de SSL-vereiste op de CA-website voor het directory-CRL-pad uitschakelen.

Volg deze stappen om de SSL-vereiste voor een CRL-directory uit te schakelen:

Een HOSTS-bestand instellen voor een VPN-client

Nu kunnen we onze volledige aandacht besteden aan de VPN-client. Het eerste dat we met de client moeten doen, is een HOSTS-bestand opzetten, zodat we een openbare DNS-infrastructuur kunnen simuleren. Er zijn twee namen die we in het HOSTS-bestand moeten invoeren (hetzelfde moet worden gedaan voor de openbare DNS-server die u in productienetwerken gaat gebruiken). De voornaam is de naam van de VPN-server, zoals bepaald door de algemene/onderwerpnaam van het certificaat dat we aan de SSL VPN-server hebben gekoppeld. De tweede naam die we in het HOSTS-bestand (en de openbare DNS-server) moeten invoeren, is de CDP-URL-naam, die op het certificaat staat. We hebben gekeken naar de locatie van CDP-informatie in deel 2 van deze serie.

De twee namen die in dit voorbeeld in het HOSTS-bestand moeten worden ingevoerd, zijn:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Volg deze procedures om het HOSTS-bestand voor de Vista SP1 VPN-client te configureren:

1. Sluit het bestand en selecteer de optie wijzigingen opslaan.

PPTP gebruiken om verbinding te maken met een VPN-server

We komen stilaan dichter bij het creëren van een SSL VPN-verbinding! De volgende stap is het maken van een VPN-connector op de Vista SP1-client, waarmee we een eerste VPN-verbinding met de VPN-server kunnen maken. In ons geval moet dit worden gedaan omdat de clientcomputer geen lid is van het domein. Omdat de machine geen lid is van een domein, wordt het CA-certificaat niet automatisch geïnstalleerd in het Trusted Root Certificate Authorities-archief. Als de machine deel uitmaakte van een domein, zou automatische registratie dit probleem voor ons hebben opgelost sinds we de Enterprise CA hadden geïnstalleerd.

De eenvoudigste manier om deze stap te voltooien is door een PPTP-verbinding tot stand te brengen tussen de Vista SP1 VPN-client en de Windows Server 2008 VPN-server. Standaard ondersteunt de VPN-server PPTP-verbindingen en probeert de client eerst PPTP voordat hij L2TP/IPSec en SSTP probeert. Om dit te doen, moeten we een VPN Connector of verbindingsobject maken.

Volg deze stappen om een ​​connector op de VPN-client te maken:

Een CA-certificaat verkrijgen van een Enterprise CA

De SSL VPN-client moet de CA vertrouwen die het certificaat heeft uitgegeven dat door de VPN-server wordt gebruikt. Om dit vertrouwen te creëren, moeten we een CA-certificaat installeren op de CA die het certificaat voor de VPN-server heeft uitgegeven. We kunnen dit doen door verbinding te maken met de CA-registratiewebsite op het interne netwerk en het certificaat van de VPN-client te installeren in de Trusted Root Certification Authorities-winkel.

Om een ​​certificaat van de registratiesite te verkrijgen, volgt u deze stappen:

1. Klik Dichtbij in het dialoogvenster.
2. Sluiten Internet Explorer.

Nu moeten we het CA-certificaat installeren in het Trusted Root Certification Authorities Certificate Store van de VPN-clientmachine. Om dit te doen, moet u het volgende doen:

1. Sluit de MMC-console.

De client configureren om SSTP te gebruiken en via SSTP verbinding maken met de VPN-server

En nu is alles bijna klaar! Nu moeten we de VPN-verbinding verbreken en de VPN-client configureren om SSTP te gebruiken voor het VPN-protocol. In een productieomgeving hoeft u deze stap niet voor gebruikers te gebruiken, omdat u de Connection Manager Administration Kit gebruikt om een ​​VPN-verbindingsobject voor de gebruiker te maken dat een client bevat die SSTP gebruikt, of u alleen SSTP-poorten configureert. op de VPN-server.

Het hangt allemaal af van uw omgevingsconfiguratie, omdat u de tijd moet plannen zodat gebruikers enige tijd PPTP kunnen gebruiken terwijl u de certificaten installeert. Natuurlijk kunt u CA-certificaten offline installeren, dat wil zeggen door ze te downloaden vanaf een website of via e-mail. In dat geval hoeft u geen PPTP-gebruikers toe te staan. Maar als sommige clients SSTP niet ondersteunen, moet u PPTP of L2TP/IPSec inschakelen en kunt u niet alle niet-SSTP-poorten uitschakelen. In dit geval zult u moeten vertrouwen op handmatige configuratie of een bijgewerkt CMAK-pakket.

Een andere optie hier zou zijn om de SSTP-client te binden aan een specifiek IP-adres op de RRAS-server. In dit geval kunt u een aangepast CMAK-pakket maken dat alleen verwijst naar het IP-adres op de SSL VPN-server die naar het netwerk luistert voor inkomende SSTP-verbindingen. Andere adressen op de SSTP VPN-server luisteren naar het netwerk voor PPTP- en/of L2TP/IPSec-verbindingen.

Volg deze stappen om de PPTP-sessie uit te schakelen en het VPN-clientverbindingsobject te configureren om SSTP te gebruiken:

Figuur 29

Conclusie

In dit laatste deel van onze serie over het samenstellen van een SSL VPN-server met Windows Server 2008 zijn we klaar met het instellen van een gebruikersaccount, een website-CRL en een SSL VPN-client. We hebben ook het maken van de SSTP-verbinding voltooid en bevestigd dat deze succesvol was. Bedankt

Bron www.windowsecurity.com

Reacties van lezers (geen reacties)

Wissel 2007

Drie dagen en drie nachten heb ik met SSL VPN gerommeld, op zoek naar clientloze software-opties. En ik vond zelfs een prachtige versie van Hypersocket, die zichzelf positioneerde als .

Maar toen ik de samenvatting op Sourceforge las, klikte ik op een zin waarin stond dat oprichters niet onder druk worden gezet om toegang te verlenen vanuit de browser. Dit is dus een SSL VPN die werkt op applicatieniveau, maar helaas gebaseerd op een eigen client, die de Java-engine gebruikt om te werken en is geladen met een aparte widget die de verbinding initialiseert. Maar ondanks zijn schijnbare eenvoud werkt het niet met één klik en moet je sleutelen aan het opzetten van verbindingen, omdat het belangrijkste voordeel van de client is dat hij poort 443 van de VPN-server binnendringt en binnen elke gemartelde infrastructuur kan worden gebruikt. waar paranoïde beheerders alle uitvoerpoorten hacken.

Het is beschikbaar in een volledig gratis versie 1.1 aangeboden op Sourceforge en een commerciële versie 2.0.5 die off-site wordt aangeboden in de vorm van een volledig functionele proefperiode van 30 dagen. En deze vraag is mij niet helemaal duidelijk, aangezien ik helemaal geen prijzen op de site heb gevonden. Dat wil zeggen, ze rollen het blijkbaar uit als je alles al hebt geconfigureerd en aangesloten, zodat je hun product niet meteen verlaat.

Voordat je met de installatie begint, moet je verbaasd zijn over het dressoir, omdat ik de vereisten niet heb gevonden, maar versie 1.1 eet ongeveer 450 MB in de standaardinstallatie, dus ik kon niet begrijpen waarom ik op de goedkope VPS voor 200 roebel mijn server had werd voortdurend overladen met eventuele veranderingen. Met 1Gb geheugen was alles al extreem stabiel en zonder enige onderbreking. De tweede versie gebruikt bijna 600 MB RAM.

Het wordt eenvoudig geïnstalleerd, behalve de standaarddansen met Oracle Java. , registreren we alle benodigde paden, waarna we óf een gratis server uit 2015 installeren:
# wget https://sourceforge.net/projects/hypersocket-vpn/files/1.1.0-2269/hypersocket-vpn-gpl-linux-1.1.0-2269.rpm/download

of registreer u op de officiële website en ontvang hypersocket-one-linux-2.0.5-3110.rpm

Vervolgens installeren wij het pakket
# rpm -i hypersocket-one-linux-2.0.5-3110.rpm

Hierna starten we ofwel de eerste versie van het pakket
service hypersocket starten
en maak verbinding met https://IP:443 met login admin:admin waar we meteen aan de slag gaan

of de tweede
hypersocket-één-console
of op https://IP:443 voltooien we de webinstallatie, stellen we wachtwoorden in voor het systeem en voeren we het vooraf gedownloade licentiebestand in

Daarna kunt u naar binnen gaan en toegangen instellen enzovoort. De tweede versie is naar mijn mening sneller en iets doordachter dan de eerste.

Deze VPN-server is, zoals ik al zei, niet bijzonder geschikt voor mij, omdat hij uitgaat van de aanwezigheid van een client aan de kant van de externe gebruiker, maar tegelijkertijd een heleboel interessante extra functies heeft, zoals toegang tot virtuele bestandssysteembestanden waarmee u Windows-delen, ftp-inhoud, NFS-volumes, HTTP-bestanden, enz. kunt bereiken; webpagina-uitgever voor externe webservers; een heleboel allerlei beveiligingsfuncties, van pincodes tot eenmalige wachtwoorden; gebruikersbeheer via Muscle, AS400, Google Business, LDAP.

In het eerste deel van deze serie over het instellen van Windows Server 2008 als SSL VPN-server heb ik een deel van de geschiedenis van Microsoft VPN-servers en VPN-protocollen besproken. We sloten het vorige artikel af met een beschrijving van het voorbeeldnetwerk dat we in deze en volgende delen van de serie zullen gebruiken om een ​​VPN-gateway te configureren die SSTP-verbindingen met Vista SP1-clients ondersteunt.

Voordat we beginnen moet ik bekennen dat ik weet dat er een stapsgewijze handleiding bestaat voor het maken van SSTP-verbindingen voor Windows Server 2008, die zich op de website www.microsoft.com bevindt. Het leek mij dat dit artikel niet de werkelijke omgeving weergeeft die organisaties gebruiken om certificaten toe te wijzen. Dat is de reden waarom, en vanwege een aantal problematische problemen die niet in de Microsoft-handleiding aan bod kwamen, besloot ik dit artikel te schrijven. Ik geloof dat je iets nieuws zult leren als je mij door dit artikel volgt.

Ik ga niet alle stappen bespreken, beginnend bij de basis. Ik durf aan te nemen dat u een domeincontroller hebt geïnstalleerd en de rollen DHCP, DNS en Certificate Services op deze server hebt ingeschakeld. Het servercertificeringstype moet Enterprise zijn en u heeft een CA op uw netwerk. De VPN-server moet verbonden zijn met het domein voordat u doorgaat met de volgende stappen. Voordat u begint, moet u SP1 voor de Vista-client installeren.

We moeten de volgende procedures volgen om onze oplossing te laten werken:

• Installeer IIS op de VPN-server
• Vraag een machinecertificaat aan voor de VPN-server met behulp van de IIS Certificate Request Wizard
• Installeer de RRAS-rol op de VPN-server
• Activeer RRAS Server en configureer deze zodat deze werkt als VPN- en NAT-server
• Configureer een NAT-server om CRL te publiceren
• Stel een gebruikersaccount in om inbelverbindingen te gebruiken
• Configureer IIS op de certificaatserver om HTTP-verbindingen voor de CRL-directory toe te staan
• Configureer het HOSTS-bestand voor VPN-client
• Gebruik PPTP om met de VPN-server te communiceren
• Verkrijg een CA-certificaat van Enterprise CA
• Configureer de client om SSTP te gebruiken en maak verbinding met de VPN-server via SSTP

IIS installeren op een VPN-server

Misschien vindt u het vreemd dat we met deze procedure beginnen, aangezien ik aanbeveel nooit een webserver op een netwerkbeveiligingsapparaat te installeren. Het goede nieuws is dat we de webserver niet op de VPN-server hoeven op te slaan, maar slechts een tijdje nodig hebben. De reden hiervoor is dat de inschrijvingssite die bij Windows Server 2008 Certificate Server wordt geleverd, niet langer bruikbaar is voor het aanvragen van computercertificaten. In feite is het volkomen nutteloos. Het interessante is dat als u besluit de registratiesite te gebruiken om een ​​computercertificaat te verkrijgen, het lijkt alsof het certificaat is ontvangen en geïnstalleerd, maar dat is in werkelijkheid niet het geval: het certificaat is niet geïnstalleerd.

Om dit probleem op te lossen, zullen we profiteren van het feit dat we een enterprise CA gebruiken. Wanneer u Enterprise CA gebruikt, kunt u een verzoek naar een online certificaatserver sturen. Een interactief verzoek om een ​​computercertificaat is mogelijk wanneer u de IIS Certificate Request Wizard gebruikt en een zogenaamd Domeincertificaat aanvraagt. Dit is alleen mogelijk als de aanvragende machine tot hetzelfde domein behoort als de Enterprise CA.
Volg deze stappen om de IIS-webserverrol op de VPN-server te installeren:

1. Open Windows 2008 Serverbeheerder.
2. Klik in het linkerpaneel van de console op het tabblad Rollen.

1. Klik op het menu Rollen toevoegen aan de rechterkant van het rechterpaneel.
2. Klik Volgende op de pagina Voordat je begint.
3. Plaats een vinkje naast de regel Webserver (IIS) op de pagina Selecteer serverrollen. Klik Volgende.

1. U kunt de informatie op de pagina lezen Webserver (IIS), als je dat wenst. Dit is best nuttige algemene informatie over het gebruik van IIS 7 als webserver, maar aangezien we de IIS-webserver niet op een VPN-server gaan gebruiken, is deze informatie in onze situatie niet helemaal van toepassing. Klik Volgende.
2. Op de pagina Selecteer rolservices Er zijn al verschillende opties geselecteerd. Als u echter de standaardopties gebruikt, kunt u de wizard Certificaataanvraag niet gebruiken. Zo was het tenminste toen ik het systeem testte. Er is geen rolservice voor de wizard Certificaataanvraag, dus ik heb geprobeerd de vakjes naast elke optie aan te vinken Veiligheid, en het lijkt te hebben gewerkt. Doe hetzelfde voor jezelf en klik Volgende.

1. Controleer de informatie op de pagina Bevestig de selectie van de instellingen en druk op Installeren.
2. Klik Dichtbij op de pagina Installatieresultaten.

Vraag een machinecertificaat aan voor een VPN-server met behulp van de IIS-certificaataanvraagwizard

De volgende stap is het aanvragen van een machinecertificaat voor de VPN-server. De VPN-server heeft een machinecertificaat nodig om een ​​SSL VPN-verbinding tot stand te brengen met de computer van de SSL VPN-client. De algemene naam van het certificaat moet overeenkomen met de naam die de VPN-client zal gebruiken om verbinding te maken met de SSL VPN-gatewaycomputer. Dit betekent dat u een openbaar DNS-record moet maken voor de naam op het certificaat dat zal worden omgezet naar het externe IP-adres van de VPN-server, of het IP-adres van het NAT-apparaat vóór de VPN-server die de verbinding zal doorsturen naar de SSL VPN-server.

Volg deze stappen om een ​​machinecertificaat aan te vragen bij de SSL VPN-server:

1. IN Serverbeheerder, vouw het tabblad uit Rollen in het linkerdeelvenster en vouw vervolgens het tabblad uit Webserver (IIS). Klik op .

1. In de console Beheerder van internetinformatiediensten (IIS). die rechts in het linkerpaneel verschijnt, klik op de servernaam. In dit voorbeeld zou de servernaam zijn W2008RC0-VPNGW. Klik op het pictogram Servercertificaten in het rechterdeelvenster van de IIS-console.

1. Klik in het rechterpaneel van de console op de link Maak een domeincertificaat.

1. Voer informatie in op de pagina Gedefinieerde naameigenschappen. Het belangrijkste object hier zal zijn Algemene naam. Dit is de naam die VPN-clients zullen gebruiken om verbinding te maken met de VPN-server. Voor deze naam hebt u ook een openbaar DNS-record nodig om de externe interface van de VPN-server of het openbare NAT-adres van het apparaat vóór de VPN-server te herkennen. In dit voorbeeld gebruiken we de algemene naam sstp.msfirewall.org. Later zullen we HOSTS-bestandsvermeldingen op de computer van de VPN-client aanmaken, zodat deze deze naam kan herkennen. Klik Volgende.

1. Klik op de knop op de pagina Kiezen. In het dialoogvenster Selecteer certificaatbron, klik op de naam van de Enterprise CA en klik op OK. Voer een beschrijvende naam in de regel in Vriendelijke naam. In dit voorbeeld hebben we de naam gebruikt SSTP-certificaat om te weten dat het wordt gebruikt voor de SSTP VPN-gateway.

1. Klik Finish op de pagina Online certificaatbron.

1. De wizard start en verdwijnt vervolgens. U ziet het certificaat vervolgens verschijnen in de IIS-console. Dubbelklik op het certificaat en bekijk de algemene naam in de sectie Benoemd tot, en nu hebben we de privésleutel die overeenkomt met het certificaat. Klik OK om het dialoogvenster te sluiten Certificaat.

Nu we het certificaat hebben, kunnen we de RRAS-serverrol installeren. Let op wat heel belangrijk is certificaat installeren voordat u de RRAS-serverrol installeert. Als u dit niet doet, krijgt u grote kopzorgen omdat u een vrij complexe opdrachtregelroutine moet gebruiken om het certificaat aan de SSL VPN-client te koppelen.

De RRAS-serverrol installeren op de VPN-server

Om de RRAS-serverrol te installeren, moet u de volgende stappen uitvoeren:

1. IN Serverbeheerder, klik op het tabblad Rollen in het linkerpaneel van de console.
2. In sectie Rollenoverzicht klik op de link Rollen toevoegen.
3. Klik Volgende op de pagina Voordat je begint.
4. Op de pagina Selecteer serverrollen vink het vakje naast de regel aan. Klik Volgende.

1. Lees de informatie op de pagina Netwerkbeleid en toegangsservices. Het meeste betreft Network Policy Server (die voorheen Internet Authentication Server heette en in wezen een RADIUS-server was) en NAP, geen van de elementen is in ons geval van toepassing. Klik Volgende.
2. Op de pagina Selecteer rolservices plaats een vinkje naast de regel Routering en externe toegang. Als gevolg hiervan worden de items geselecteerd Diensten voor externe toegang En Routering. Klik Volgende.

1. Klik Installeren in het raam Bevestig de geselecteerde instellingen.
2. Klik Dichtbij op de pagina Installatieresultaten.

RRAS Server activeren en configureren als VPN- en NAT-server

Nu de RRAS-rol is geïnstalleerd, moeten we RRAS-services inschakelen, net zoals we deden in eerdere versies van Windows. We moeten de VPN-serverfunctie en NAT-services activeren. Het activeren van de VPN-servercomponent is allemaal duidelijk, maar u vraagt ​​zich misschien af ​​waarom u de NAT-server moet activeren. De reden voor het inschakelen van de NAT-server is dat externe clients toegang kunnen krijgen tot de Certificaatserver om verbinding te maken met de CRL. Als de SSTP VPN-client de CRL niet kan downloaden, werkt de SSTP VPN-verbinding niet.

Om de toegang tot de CRL te openen, zullen we de VPN-server configureren als een NAT-server en de CRL publiceren met behulp van omkeerbare NAT. In een bedrijfsnetwerkomgeving heeft u waarschijnlijk firewalls, zoals de ISA Firewall, vóór de certificaatserver, zodat u CRL's kunt publiceren met behulp van de firewalls. In dit voorbeeld is de enige firewall die we gaan gebruiken echter de Windows Firewall op de VPN-server, dus in dit voorbeeld moeten we de VPN-server configureren als een NAT-server.

Volg deze stappen om RRAS-services te activeren:

1. IN Serverbeheerder vouw het tabblad uit Rollen in het linkerpaneel van de console. Vouw het tabblad uit Netwerkbeleid en toegangsservices en klik op het tabblad. Klik met de rechtermuisknop op het tabblad en klik Configureer en schakel routering en externe toegang in.

1. Klik Volgende in het raam Welkom bij de installatiewizard voor de routerings- en RAS-server.
2. Op de pagina Configuratie optie selecteren Toegang tot virtuele particuliere netwerken en NAT en druk op Volgende.

1. Op de pagina VPN-verbinding selecteer NIC in sectie Netwerkinterfaces, die de externe interface van de VPN-server vertegenwoordigt. Klik vervolgens Volgende.

1. Op de pagina Toewijzing van IP-adressen optie selecteren Automatisch. We kunnen deze optie selecteren omdat we een DHCP-server hebben geïnstalleerd op de domeincontroller achter de VPN-server. Als u geen DHCP-server heeft, moet u deze optie selecteren Van een specifieke adreslijst en voer vervolgens een lijst met adressen in die VPN-clients kunnen gebruiken wanneer ze verbinding maken met het netwerk via de VPN-gateway. Klik Volgende.

1. Op de pagina Beheer van externe toegang tot meerdere servers kiezen Nee, gebruik routering en externe toegang om verbindingsverzoeken te verifiëren. We gebruiken deze optie wanneer NPS- of RADIUS-servers niet beschikbaar zijn. Omdat de VPN-server lid is van een domein, kunt u gebruikers verifiëren met behulp van domeinaccounts. Als de VPN-server geen onderdeel is van een domein, kunnen alleen lokale VPN-serveraccounts worden gebruikt, tenzij u ervoor kiest een NPS-server te gebruiken. Ik zal in de toekomst een artikel schrijven over het gebruik van een NPS-server. Klik Volgende.

1. Lees de algemene informatie op de pagina De configuratiewizard Routering en RAS voltooien en druk op Finish.
2. Klik OK in het dialoogvenster Routering en toegang op afstand die u vertelt dat voor de distributie van DHCP-berichten een DHCP-distributieagent vereist is.
3. Vouw het tabblad uit in het linkerdeelvenster van de console Routering en toegang op afstand en klik vervolgens op het tabblad Poorten. In het middelste venster ziet u dat WAN Miniport-verbindingen voor SSTP nu beschikbaar zijn.

Een NAT-server configureren voor CRL-publicatie

Zoals ik al eerder zei, moet de SSL VPN-client een CRL kunnen downloaden om te verifiëren dat het servercertificaat op de VPN-server niet beschadigd of ingetrokken is. Om dit te doen, moet u het apparaat vóór de certificeringsserver configureren om HTTP-verzoeken voor de locatie van de CRL naar de certificaatserver te verzenden.

Hoe weet ik met welke URL de SSL VPN-client verbinding moet maken om de CRL te downloaden? Deze informatie is opgenomen in het certificaat zelf. Als u teruggaat naar de VPN-server en dubbelklikt op het certificaat in de IIS-console zoals u eerder deed, zou u deze informatie moeten kunnen vinden.

Klik op de knop Details op het certificaat en scroll naar beneden naar de vermelding CRL-distributiepunten en klik vervolgens op dit item. Het onderste paneel toont de verschillende distributiepunten op basis van het protocol dat wordt gebruikt om toegang te krijgen tot die punten. In het certificaat dat in de onderstaande afbeelding wordt weergegeven, kunnen we zien dat we de SSL VPN-client toegang moeten geven tot de CRL via een URL:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

Daarom moet u openbare DNS-records voor deze naam maken, zodat externe VPN-clients deze naam kunnen toewijzen aan een IP-adres of apparaat dat een reverse NAT of reverse proxy uitvoert om toegang te krijgen tot de website van de certificaatserver. In dit voorbeeld moeten we binden win2008rc0-dc.msfirewall.org met een IP-adres op de externe interface van de VPN-server. Wanneer de verbinding de externe interface van de VPN-server bereikt, stuurt de VPN-server de NAT-verbinding door naar de certificaatserver.

Als u een geavanceerde firewall gebruikt, zoals de ISA Firewall, kunt u de CRL's van publicatiesites veiliger maken door toegang toe te staan alleen naar de CRL, niet naar de hele site. In dit artikel beperken we ons echter tot de mogelijkheid van een eenvoudig NAT-apparaat, zoals eentje dat RRAS NAT levert.

Opgemerkt moet worden dat het gebruik van de standaard CRL-naam van de site een minder veilige optie kan zijn, omdat hierdoor de privénaam van de computer op internet wordt onthuld. U kunt een aangepast CDP (CRL Distribution Point) maken om dit te voorkomen als u denkt dat het openbaar maken van de privénaam van uw CA in een openbaar DNS-record een veiligheidsrisico met zich meebrengt.

Volg deze stappen om RRAS NAT te configureren om HTTP-aanvragen naar de certificaatserver te routeren:

1. In het linkerpaneel Serverbeheerder vouw het tabblad uit Routering en toegang op afstand en vouw vervolgens het tabblad uit IPv4. Klik op het tabblad NAT.
2. Op het tabblad NAT klik met de rechtermuisknop op de externe interface in het middenpaneel van de console. In dit voorbeeld was de naam van de externe interface Lokale verbinding. Klik op Eigenschappen.

1. Vink in het dialoogvenster het vakje naast aan Webserver (HTTP). Er verschijnt een dialoogvenster Redactieservice. In een tekstregel Privé adres Voer het IP-adres van de certificeringsserver op het interne netwerk in. Klik OK.

1. Klik OK in het dialoogvenster Eigenschappen van LAN-verbinding.

Nu de NAT-server is geïnstalleerd en geconfigureerd, kunnen we onze aandacht richten op het configureren van de CA-server en SSTP VPN-client.

Conclusie

In dit artikel vervolgden we het gesprek over het opzetten van een SSL VPN-server met behulp van Windows Server 2008. We hebben gekeken naar het installeren van IIS op de VPN-server, het aanvragen en installeren van een servercertificaat, het installeren en configureren van RRAS- en NAT-services op de VPN-server. In het volgende artikel zullen we het opzetten van een CA-server en SSTP VPN-client afronden. Tot snel! Volume.

VPN-netwerken zijn heel serieus in ons leven terechtgekomen, en ik denk al heel lang. Deze technologie wordt zowel in organisaties gebruikt om kantoren in één subnet te verenigen of om toegang te bieden tot interne informatie voor mobiele gebruikers, als thuis bij toegang tot internet via een provider. Het is veilig om te zeggen dat elk van de beheerders er zeker van was dat ze een VPN hadden opgezet, net zoals elke computergebruiker met internettoegang deze technologie gebruikte.

Op dit moment is IPSec VPN-technologie zelfs wijdverspreid. Er zijn veel verschillende artikelen over geschreven, zowel technisch als review-analytisch. Maar relatief recent verscheen SSL VPN-technologie, die nu erg populair is bij westerse bedrijven, maar in Rusland hebben ze er nog niet veel aandacht aan besteed. In dit artikel zal ik proberen te beschrijven hoe IPSec VPN verschilt van SSL VPN en welke voordelen het gebruik van SSL VPN biedt binnen een organisatie.

IPSecVPN - de voor- en nadelen ervan

Allereerst Ik zou de aandacht willen vestigen op de definitie van VPN, de meest voorkomende is “VPN is een technologie die vertrouwde netwerken, hosts en gebruikers met elkaar verbindt via open netwerken die niet vertrouwd worden” (© Check Point Software Technologies).

In het geval van vertrouwde hosts is het gebruik van een IPsec VPN inderdaad de meest kosteneffectieve manier. Om bijvoorbeeld netwerken van externe kantoren met elkaar te verbinden in één enkel bedrijfsnetwerk, is het niet nodig om speciale lijnen aan te leggen of te huren, maar hoeft u eerder gebruik te maken van internet. Als gevolg van het bouwen van veilige tunnels tussen vertrouwde netwerken wordt één enkele IP-ruimte gevormd.

Maar bij het organiseren van externe toegang voor werknemers worden IPsec-oplossingen gebruikt voor een beperkt aantal uitsluitend vertrouwde apparaten, bijvoorbeeld voor laptops van zakelijke gebruikers. Om IPsec VPN te kunnen gebruiken, moet de IT-dienst op elk vertrouwd apparaat (waarvan externe toegang vereist is) een VPN-client installeren en configureren en de werking van deze applicatie ondersteunen. Bij het installeren van IPsec-oplossingen moet rekening worden gehouden met de “verborgen” kosten die verband houden met ondersteuning en onderhoud, aangezien voor elk type mobiele client (laptop, PDA, enz.) en elk type netwerkomgeving (toegang via een internetprovider , toegang vanaf het bedrijfsnetwerk -client, toegang via adresvertaling) vereist de originele IPsec-clientconfiguratie.

Naast ondersteuning zijn er verschillende zeer belangrijke problemen:

• Niet alle vertrouwde mobiele apparaten die door het bedrijf worden gebruikt, hebben VPN-clients;
• In de verschillende subnetten van waaruit toegang wordt verkregen (bijvoorbeeld het bedrijfsnetwerk van een partner of klant), kunnen de benodigde poorten worden gesloten en is aanvullende goedkeuring voor het openen ervan vereist.

Dergelijke problemen doen zich niet voor bij het gebruik van een SSL VPN.

SSLVPN – gebruikersalgoritme

Stel dat u op zakenreis bent en dat uw bedrijf u tijdens de zakenreis geen laptop ter beschikking kan stellen. Maar je hebt nodig:

• Val tijdens uw afwezigheid op kantoor niet uit het werkproces;
• E-mail verzenden en ontvangen;
• Gebruik gegevens uit alle bedrijfssystemen die binnen uw bedrijf actief zijn.

Binnen handbereik is in het beste geval een computer op het netwerk van de organisatie waar u op zakenreis bent, met internettoegang alleen via het http/https-protocol; in het slechtste geval een gewoon internetcafé in uw hotel.

SSL VPN lost al deze problemen met succes op, en het beveiligingsniveau zal voldoende zijn om met kritieke informatie uit een internetcafé te werken...
In essentie doe je het volgende:

• U heeft enkel een internetbrowser nodig (Internet Explorer, FireFox, enz.);
• Typ in de internetbrowser het SSL VPN-apparaatadres;
• Vervolgens wordt automatisch een Java-applet of ActiveX-component gedownload en gestart, waarbij u wordt gevraagd zich te authenticeren;
• Na authenticatie wordt automatisch het juiste beveiligingsbeleid toegepast:
  • er wordt gecontroleerd op kwaadaardige code (indien gedetecteerd, wordt deze geblokkeerd);
  • er wordt een gesloten informatieverwerkingsomgeving gecreëerd - alle gegevens (inclusief tijdelijke bestanden) die vanaf het interne netwerk worden overgedragen, worden verwijderd van de computer waarvandaan toegang werd verkregen nadat de sessie is beëindigd;
  • Ook tijdens de sessie wordt gebruik gemaakt van aanvullende beschermings- en controlemiddelen;
• Nadat u de beveiligingsprocedures succesvol heeft doorlopen, zijn alle benodigde links “in één klik” voor u beschikbaar:
  • Toegang tot bestandsservers met de mogelijkheid om bestanden naar de server over te dragen;
  • Toegang tot bedrijfswebapplicaties (bijvoorbeeld intern portaal, Outlook Web Access, enz.);
  • Terminaltoegang (MS, Citrix);
  • Tools voor beheerders (bijvoorbeeld ssh-console);
  • En natuurlijk de mogelijkheid van een volwaardige VPN via het https-protocol (zonder de noodzaak om vooraf een VPN-client te installeren en te configureren) - de configuratie wordt rechtstreeks vanuit kantoor overgedragen, in overeenstemming met authenticatiegegevens.

Het gebruik van SSL VPN lost dus verschillende problemen op:

• Aanzienlijke vereenvoudiging van het beheer- en gebruikersondersteuningsproces;
• Het organiseren van veilige toegang tot kritieke informatie vanaf niet-vertrouwde knooppunten;
• Mogelijkheid tot gebruik op alle mobiele apparaten, maar ook op alle computers (inclusief internetkiosken) met internettoegang (zonder voorafgaande installaties en instellingen van speciale software).

SSLVPN - fabrikanten en mogelijkheden

De SSL VPN-markt wordt gedomineerd door hardwareoplossingen. Onder de aanbieders van SSL VPN-oplossingen bevinden zich alle bekende fabrikanten van actieve netwerkapparatuur:

• Cisco
• Huawei
• Jeneverbes
• Nokia
• Enz.

Onder de software-implementaties benadrukken de specialisten van Alatus een oplossing gebaseerd op SSL-verkenner bedrijven 3SP Ltd, die het beste aansluit bij de eisen van de klant.

Ik zou ook graag een tabel willen geven waarin de mogelijkheden van IPSec VPN en SSL VPN worden vergeleken:

SSL-VPN in Rusland

Tot op heden zijn er in Rusland al een groot aantal projecten geïmplementeerd om toegang op afstand op basis van SSL VPN-technologie bij bedrijven te introduceren. Maar zoals eerder vermeld is deze technologie nog niet populair geworden in Rusland, terwijl fabrikanten van deze oplossingen melden dat er onder westerse bedrijven een zeer grote vraag naar is.

Er zijn momenteel twee soorten aangepaste VPN's:
SSL-VPN En IPSec-VPN en elk van hen heeft zijn eigen voor- en nadelen.

Het belangrijkste voordeel van SSL VPN is het implementatiegemak: alle browsers ondersteunen SSL, alle providers staan ​​SSL toe en beperken deze niet.
Sommige soorten toegang via SSL VPN kunnen met letterlijk elke browser en op elk platform worden bereikt.

IPSec VPN wordt als een veiliger protocol beschouwd.

SSL en TLS

Heel vaak kom je in de technische literatuur de concepten SSL en TLS tegen.

Beide protocollen zijn dat cryptografische protocollen, voor veilige gegevensoverdracht via internet (e-mail, surfen op het web, instant messaging).
Protocollen bieden vertrouwelijkheid, integriteit en authenticatiediensten.
SSL en TLS werken op het niveau Sessielaag OSI-model of hoger.
Protocollen kunnen gebruiken publieke sleutelinfrastructuur (PKI) evenals certificaten voor authenticatie en overdracht van symmetrische sleutels aan elkaar.
Net als IPSec gebruiken ze symmetrische sleutels om gegevens te versleutelen.

De meeste veilige browsertransmissies vinden plaats via SSL of TLS.
SSL is oorspronkelijk ontwikkeld door Netscape.
TLS is een doorontwikkeling van SSL en is eveneens een standaard ontwikkeld door Internet Engineering Task Force (IETF).
TLS 1.0 is bijvoorbeeld gebaseerd op SSL3.0.
De browsers beslissen zelf of ze SSL of TLS gebruiken: TLS heeft de voorkeur, maar overstappen naar SSL kan ook.

Het is dus belangrijk om te begrijpen dat wanneer we de term SSL gebruiken, we SSL of TLS bedoelen.
Cisco SSL VPN maakt bijvoorbeeld feitelijk gebruik van TLS.

SSL-bewerkingen

SSL wordt dus gebruikt in de meeste online diensten die beveiliging vereisen.
Laten we stap voor stap bekijken wat er gebeurt als een client via SSL verbinding maakt met een bankserver:

• De client initieert een verbinding met de server via zijn IP-adres en poort 443. Het IP-adres van de client en poort hoger dan 1023 worden respectievelijk als bron gebruikt.
• Het standaard TCP-verbindingsproces vindt plaats met behulp van handdruk in drie richtingen
• De client vraagt ​​om een ​​SSL-verbinding en de server reageert door zijn digitale certificaat te verzenden, dat dit bevat openbare sleutel deze server.
• Na ontvangst van een certificaat moet de klant beslissen of hij dit certificaat wel of niet vertrouwt.
  Dit is waar PKI-mechanismen een rol gaan spelen.
  Als het digitale certificaat is ondertekend door een CA die de klant vertrouwt + het certificaat geldig is op datum + het serienummer van het certificaat niet wordt vermeld in certificaatintrekkingslijst (CRL)- de klant kan het certificaat vertrouwen en gebruiken openbare sleutel dit certificaat.
• De client genereert een symmetrische sleutel gedeeld geheim, die zal worden gebruikt om gegevens tussen de client en de server te coderen. Vervolgens codeert de client gedeeld geheim gebruiken openbare sleutel en geeft deze door aan de server.
• Server gebruikt zijn privé sleutel, decodeert de resulterende symmetrische sleutel gedeeld geheim.
• Beide partijen weten het nu gedeeld geheim en kan SSL-sessie coderen.

Soorten SSL VPN

SSL VPN kan in twee typen worden verdeeld:

• Clientloze SSL VPN- ook wel genoemd Web-VPN. Vereist geen clientinstallatie. Beperkte opties.
• Volledige Cisco AnyConnect Secure Mobility-client SSL VPN-client- een volwaardige SSL-client waarvoor de installatie van software op de client vereist die volledige toegang tot het bedrijfsnetwerk biedt

Een SSL-VPN instellen

1. Kopieer het Anyconnect PKG-bestand.
   In ons geval wel anyconnect-win-3.1.08009-k9.pkg
2. We verwijzen naar het pkg-bestand en schakelen de Webvpn Anyconnect-service in.
   

   webvpn anyconnect image disk0:/anyconnect-win-3.1.08009-k9.pkg 1 buiten inschakelen2 anyconnect inschakelen

3. Wij sluiten (vrijgesteld) SSL WebVPN-verkeer uit van controles op externe interface ACL. We moeten ofwel vergunningsregels maken in de ACL, of de opdracht gebruiken:
   

   msk-asa-01(config)# sysopt-verbindingsvergunning-vpn

4. Laten we voor het gemak de omleiding van 80 naar 443 instellen:
   

   http-omleiding buiten2 80

5. Laten we creëren IP-adrespool. Deze adressen worden uitgegeven aan externe gebruikers.
   

   ip lokale pool vpnpool_pool 192.168.93.10-192.168.93.254 masker 255.255.255.0

6. Wij creëren NAT-vrijstelling voor verkeer tussen LAN-netwerk en het VPNpool-netwerk. We maken deze uitzondering omdat versleuteld verkeer niet via NAT mag gaan. Deze stap is nodig als deze NAT op de ASA is geconfigureerd.
   objectnetwerk vpnpool_obj

   object netwerk vpnpool_obj subnet 192.168.92.0 255.255.255.0 objectgroep netwerk RFC1918_objg netwerk-object 192.168.0.0 255.255.0.0 netwerk-object 172.16.0.0 255.240.0.0 netwerk-object 10.0.0.0 25 5. 0,0,0 nat (binnen,buiten) bron statisch RFC1918_objg RFC1918_objg bestemming statisch vpnpool_obj vpnpool_obj geen-proxy-arp route-lookup

7. We creëren een Split-Tunnel ACL; met deze instelling kunnen gebruikers tegelijkertijd internet gebruiken wanneer ze verbonden zijn via VPN. Zonder deze instelling wordt al het verkeer de tunnel in geleid.
   

   toegangslijst split-tunnel_acl standaardvergunning 192.168.10.0 255.255.255.0

   Deze instelling tunnelt alleen verkeer op hetzelfde RFC1918-netwerk.

8. Wij creëren Groepsbeleid.
   We kunnen verschillende groepsbeleidsregels maken en in elk ervan netwerkkenmerken configureren, zoals DNS-serveradressen, split-tunneling-instellingen, standaarddomein, protocol (SSL of IPSec), enz.

   groepsbeleid anyconnect_gp intern groepsbeleid anyconnect_gp attributen dns-serverwaarde 192.168.10.5 vpn-tunnel-protocol ssl-client ssl-clientloos split-tunnel-policy tunnelgespecificeerde split-tunnel-netwerklijstwaarde split-tunnel_acl webvpn anyconnect keep-installer anyconnect dpd-interval client 20 geïnstalleerd anyconnect vragen geen standaard anyconnect

9. Laten we creëren Tunnelgroep.
   De Tunnelgroep in de ASDM-interface heet Verbindingsprofiel.
   De Tunnelgroep moet het groepsbeleid bevatten dat we zojuist hebben geconfigureerd en combineren met de IP-adrespool.
   We kunnen meerdere van dergelijke groepen maken, en de gebruiker kan bij het inloggen de gewenste Tunnelgroep selecteren met alle noodzakelijke kenmerken: overgenomen parameters van Groepsbeleid + adrespool

   tunnelgroep vpn-gebruikers_tg type tunnelgroep vpn-gebruikers_tg algemene kenmerken adrespool vpnpool_pool standaardgroepsbeleid anyconnect_gp tunnelgroep vpn-gebruikers_tg webvpn-attributen groepalias vpn_gebruikers-alias webvpn tunnelgroep inschakelen lijst inschakelen

   Met het laatste commando kunnen gebruikers zelf een tunnelgroep kiezen.
   Voor gebruikers ziet deze groep er als "vpn_users-alias" uit

Anyconnect zou al moeten werken - u kunt inloggen met een beheerdersaccount.

SSL VPN-bewaking

• ASDM: Controle > VPN > VPN-statistieken > Sessies
• Van de CLI:
  

  vpn# toon uaut Huidige meest geziene geverifieerde gebruikers 1 1 Authenticatie bezig 0 0 VPN-gebruiker voor externe toegang "vpn_video_user1" op 192.168.92.25, geverifieerde toegangslijst #ACSACL#-IP-video_dacl-54ddc357 (*)

  vpn# toon toegangslijst toegangslijst in cache opgeslagen ACL-logstromen: totaal 0, geweigerd 0 (deny-flow-max 4096) waarschuwingsinterval 300 toegangslijst split-tunnel_acl; 1 elementen; naam hash: 0xb6fb0e toegangslijst split-tunnel_acl regel 1 standaardvergunning 192.168.10.0 255.255.255.0 (hitcnt=0) 0x13482529 toegangslijst #ACSACL#-IP-video_dacl-54ddc357; 1 elementen; naam hash: 0x6c7d7b7f (dynamisch) toegangslijst #ACSACL#-IP-video_dacl-54ddc357 regel 1 uitgebreide vergunning ip any4 host 192.168.10.45 (hitcnt=0) 0x4ce5deb8

  Laten we eens kijken wie er is ingelogd

  toon vpn-sessiesamenvatting

  toon vpn-sessiond anyconnect

  Gebruiker verwijderen van VPN:

  vpn-sessiondb afmeldingsnaam langemakj