.png "ISA Server")
Konfiguracja zdalnego dostępu w sieci VPN za pomocą ISA Server 2006 .png "Udostępnij na: Facebook")
Opublikowano: 7 stycznia 2008
Zawartość strony
.gif){kind=icon} |
Wstęp |
|
Protokoły VPN |
|
Połączenie VPN typu site-to-site |
|
Połączenie VPN typu remote Access |
|
Usprawnienia w ISA Server 2006 |
Wstęp
Wirtualne sieci prywatne (VPN) charakteryzują się wysokim poziomem możliwości ich dostosowywania, skalowalności i kontrolowania realizowanych w nich połączeń. Poza poprawą bezpieczeństwa pozwalają one również na znaczące obniżenie kosztów w porównaniu z tradycyjnymi, dedykowanymi połączeniami typu site-to-site. Sieć VPN jest ponadto rozwiązaniem elastycznym.
Istnieje wiele rodzajów wirtualnych sieci prywatnych VPN. Niektóre z nich używane są do połączenia użytkowników mobilnych z siecią korporacyjną, inne np. do połączenia dwóch sieci odseparowanych geograficznie. Sieci te różnią się stosowanymi w nich protokołami i realizują różne funkcje. Niektóre oferują dodatkowe możliwości w zakresie bezpieczeństwa – takie, jak uwierzytelnianie i szyfrowanie, podczas gdy inne nie zawierają żadnych wbudowanych funkcji zabezpieczenia połączeń. Tym samym, co oczywiste, niektóre sieci są łatwiejsze w konfiguracji i zarządzaniu od innych.
W prezentowanym artykule omówiono metody implementacji rozwiązań VPN przy użyciu Internet Security and Acceleration (ISA) Server 2006. W szczególności, skoncentrujemy się na możliwości wykorzystania funkcjonalności ISA VPN w przypadku dwóch scenariuszy: tworzenia połączenia VPN typu remote access oraz połączenia typu site-to-site. Oba przypadki zawierają funkcje bezpieczeństwa, zapewniające ochronę danych prywatnych oraz wewnętrznych zasobów sieci.
W przypadku pierwszego scenariusza – połączenia VPN typu remote access — zdalny klient inicjuje połączenie VPN do serwera ISA użytkownika za pośrednictwem Internetu. Serwer ISA łączy następnie zdalnego klienta z wewnętrzną siecią użytkownika, umożliwiając bezproblemowy dostęp do zasobów sieci, włącznie z dostępem do danych i aplikacji. Drugi scenariusz – połączenie VPN typu site-to-site – jest nieco bardziej skomplikowany z uwagi na wykorzystanie routera, którym może być serwer ISA. Takie rozwiązanie pozwala jednak na bezproblemowe połączenie, ze sobą lub z centralą, biur i oddziałów położonych w różnych miejscach.
Wykorzystanie ISA Server 2006 do zestawienia połączeń VPN przynosi szereg dodatkowych korzyści. Jedna z najbardziej znaczących zalet wynika z zintegrowanej natury serwera ISA, co oznacza ścisłe współdziałanie funkcji VPN z funkcjami zapory sieciowej. Dodatkowo, serwer ISA pozwala na wykorzystanie w VPN funkcji kwarantanny, opartej na Network Access Quarantine Control stosowanej w Windows Server® 2003. Umożliwia to utrzymanie dostępu łączącego się zdalnie komputera w kwarantannie do czasu jego uwiarygodnienia za pomocą odrębnego skryptu. Stanowi to dodatkową warstwę ochronną dzięki możliwości sprawdzenia statusu definicji antywirusowych i lokalnych zapór sieciowych w zdalnym komputerze, zanim udzielone zostanie pozwolenie na dostęp do wewnętrznych zasobów naszej sieci.
Główną korzyścią – z punktu widzenia administracji – oferowaną przez serwer ISA przy połączeniach VPN – jest scentralizowane zarządzanie działaniem systemu, monitorowaniem, rejestrowaniem procesów oraz raportowaniem. Dla osoby odpowiedzialnej za codzienne administrowanie, takie funkcje mogą być bezcenne. W szczególności, monitorowanie i filtrowanie rejestracji w czasie rzeczywistym stwarzają nowe możliwości nadzoru nad ruchem w sieci i połączeniami przechodzącymi przez serwer ISA.
.gif){kind=icon}
Do początku strony
Protokoły VPN
Główne protokoły wykorzystywane w połączeniach ISA VPN tworzą pierwszą linię ochrony w zabezpieczeniu połączeń. Serwer ISA obsługuje trzy protokoły: Layer 2 Tunneling Protocol (L2TP) over IPsec, Point-to-Point Tunneling Protocol (PPTP) i protokół IPsec. Ostatni z wymienionych protokołów ma zastosowanie tylko w połączeniach typu site-to-site i jest wykorzystywany głównie do współdziałania z routerami i systemami operacyjnymi, które nie obsługują L2TP lub PPTP.
Protokół L2TP jest wykorzystywany wraz z IPsec, ponieważ L2TP nie posiada sam w sobie możliwości zapewnienia prywatności danych. W połączeniu z IPsec, który oferuje mocny mechanizm uwierzytelniania oraz szyfrowania, taka kombinacja tworzy wzajemnie uzupełniające się rozwiązanie. PPTP do uwierzytelniania wykorzystuje Microsoft® Challenge Handshake Authentication Protocol (MS CHAP) w wersji 2 lub Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), a do szyfrowania – Microsoft Point-to-Point Encryption (MPPE).
Wybór protokołu pomiędzy L2TP over IPsec i PPTP zależy często od specyficznych czynników, właściwych dla konkretnej organizacji. L2TP over IPsec pozwala na bardziej złożone, wyrafinowane szyfrowanie i obsługuje sieci większości typów (w tym IP, X.25, Frame Relay i ATM). PPTP jest jednak łatwiejszy do wdrożenia i ma zwykle mniejsze wymagania. W sytuacji, kiedy organizacja nie musi kierować się określonymi ograniczeniami, lepszym rozwiązaniem jest zastosowanie L2TP over IPsec.
Do początku strony
Połączenie VPN typu site-to-site
ISA Server 2006 stanowi wyraźny postęp w uproszczeniu konfiguracji połączeń VPN typu site-to-site. W wersjach wcześniejszych konieczne było wykonanie o znacznie większej ilości działań konfiguracyjnych. W omawianym przykładzie przedstawiona została pojedyncza zdalna lokalizacja, połączona do centralnego biura za pośrednictwem protokołu L2TP over IPsec. W obu lokalizacjach zastosowano serwer ISA. Przed przystąpieniem do konfiguracji punktu zdalnego konieczne jest skonfigurowanie serwera ISA w biurze centralnym.
Pierwszy krok polega na utworzeniu i skonfigurowaniu kont użytkowników lokalnych. Konta są wymagane przez oba serwery ISA. Tak określona tożsamość użytkownika będzie odpowiadała za warunki bezpieczeństwa, przy których dokonywane jest połączenie z serwerem zdalnym lub głównym. Nazwa konta powinna odpowiadać nazwie połączenia VPN, tworzonego w konsoli administracyjnej ISA. Przy nadawaniu nazw zalecane jest stosowanie konwencji identyfikującej strony połączenia, np. „Punkt VPN” na serwerze ISA w biurze centralnym (nazwa wskazująca na punkt zdalny, którym będzie nawiązywane połączenie) oraz np. „Biuro centralne” na zdalnym serwerze ISA. Po utworzeniu kont, należy zapewnić dostęp do ich właściwości. W tym celu otwieramy zakładkę Dial In i upewniamy się, że zaznaczona jest opcja Allow Access.
Po skonfigurowaniu konta lokalnego użytkownika należy utworzyć certyfikat infrastruktury klucza publicznego (PKI), który będzie używany do uwierzytelniania połączeń nawiązywanych pomiędzy stronami. Można używać klucza współdzielonego, jednak zawsze zalecane jest korzystanie z certyfikatu. Najprostszym sposobem zainstalowania certyfikatu dla połączeń VPN jest bezpośrednie połączenie się z odpowiedzialnym za to biurem we własnej firmie i zwrócenie się, za pośrednictwem strony WWW serwera certyfikatów, z prośbą o wydanie certyfikatu. Realizacja tego zamierzenia wymaga jednak ustanowienia zasad dostępu, które pozwolą na połączenie serwera ISA z serwerem certyfikatów poprzez HTTP.
Jeżeli użytkownik miał okazję poznać wcześniejsze wersje serwera ISA, to zauważy, że interfejs ISA Server 2006, pokazany na rysunku 1., jest o wiele bardziej intuicyjny. Po wybraniu VPN w lewym panelu, w oknie środkowym i prawym wyświetlane są odpowiednio informacje na temat konfiguracji i opcje zadań.
.png)
Rys. 1. ISA Server 2006 posiada bardziej intuicyjny interfejs.
Po kliknięciu w prawym panelu pozycji „Create VPN Site-to-Site Connection” uruchomiony zostanie kreator połączenia VPN site-to-site. Kreator prosi o podanie nazwy sieci site-to-site (powinna ona odpowiadać nazwie, wcześniej utworzonego konta użytkownika). Po wprowadzeniu nazwy, należy nacisnąć przycisk Next. W następnym oknie (patrz rys. 2.), należy wybrać odpowiedni protokół VPN – w omawianym przykładzie wybrano L2TP over IPsec. Po naciśnięciu Next, kreator wyświetli ostrzeżenie, że nazwa konta użytkownika musi być zgodna z nazwą sieci – jeżeli tak właśnie jest, użytkownik może nacisnąć OK, aby przejść do kolejnego okna.
.png)
Rys. 2. Wybór protokołu VPN.
Teraz należy utworzyć zbiór adresów IP. Mamy dwie opcje do wyboru: możemy utworzyć statyczny zbiór adresów na serwerze ISA lub wykorzystać istniejący serwer DHCP do obsługi przydziału adresów. Obie opcje są akceptowane, więc należy kierować się procedurami stosowanymi w firmie i podjąć decyzję najbardziej z nimi zgodną. Następnie pojawi się zaproszenie o podanie nazwy zdalnego serwera. Należy wprowadzić pełną, kwalifikowaną nazwę (FQDN) zdalnego serwera i następnie wprowadzić informacje uwierzytelniające użytkownika przy połączeniu. Należy podać informacje o koncie użytkownika utworzonym na zdalnym serwerze ISA. W omawianym tutaj przykładzie będzie to konto HQ VPN, jak pokazano na rys. 3.
.png)
Rys. 3. Wprowadzenie nazwy zdalnego serwera.
Na następnym ekranie należy wybrać metodę uwierzytelnienia połączenia wychodzącego (jak wspomniano wcześniej, zalecane jest korzystanie z certyfikatu). Następnie wprowadzamy zakres adresów IP używanych w sieci wewnętrznej w zdalnej lokalizacji.
W kolejnym kroku, jeżeli użytkownik korzysta z ISA Server 2006 Enterprise Edition, kreator pozwala na skonfigurowanie dedykowanych adresów IP dla zdalnej lokalizacji, z zastosowaniem technologii Network Load Balancing. Jeżeli korzystamy z ISA Server 2006 Standard Edition, należy pominąć ten krok i przejść bezpośrednio do następnego okna (patrz rysunek 4.), w którym tworzymy zasadę sieci, według której kierowany będzie ruch z lokalizacji zdalnej do sieci lokalnej.
.png)
Rys. 4. Tworzenie zasad kierowania ruchem w sieci.
W kolejnym kroku musimy utworzyć zasadę dostępu z uwzględnieniem różnych protokołów. Mamy do wyboru trzy opcje – możemy zezwolić na cały wychodzący ruch, cały wychodzący ruch z wyjątkiem określonych protokołów lub dopuścić tylko wybrane protokoły. W większości sytuacji wybieramy opcję zezwalającą na cały wychodzący ruch.
Zbliżamy się do końca procesu konfiguracji. W tym momencie kreator przedstawi podsumowanie wybranych ustawień, a kiedy użytkownik wciśnie przycisk Finish, połączenie VPN site-to-site zostanie utworzone. Pokaże się okno dialogowe informujące, że powinniśmy udostępnić do pobrania listę unieważnionych certyfikatów (Certificate Revocation List) — należy nacisnąć przycisk Yes. Kreator poinformuje o ewentualnych dodatkowych działaniach konfiguracyjnych, jeżeli takie są potrzebne. Po zakończeniu konfiguracji serwera ISA w głównej lokalizacji, należy całą operację powtórzyć, aby skonfigurować serwer w lokalizacji zdalnej. Z chwilą ustawienia serwerów po obu stronach, użytkownicy w obu lokalizacjach mogą nawiązywać połączenia za pośrednictwem VPN.
Do początku strony
Połączenie VPN typu remote Access
Konfiguracja połączenia remote access VPN, umożliwiająca dostęp klienta do sieci, jest zadaniem znacznie prostszym (patrz rys. 5.). W pierwszym kroku należy wybrać pozycję VPN w lewym panelu konsoli administracyjnej serwera ISA. Następnie, zaznaczyć opcję Enable VPN Client Access w panelu prawym. Pojawi się ostrzeżenie, że może spowodować to ponowne uruchomienie usługi Routing and Remote Access. (Ponieważ może to wpłynąć na połączenia, użytkownik może odłożyć wdrożenie tych zmian w do czasu planowanego okresu serwisowego). Aby przejść dalej, należy kliknąć OK. Serwer ISA aktywuje systemową zasadę bezpieczeństwa, co umożliwia klientowi VPN dostęp do serwera ISA. Użytkownik może obejrzeć zastosowane reguły, wybierając Firewall Policy w lewym panelu konsoli administracyjnej serwera ISA i następnie Show System Policy Rules w zakładce Tasks.
.png)
Rys. 5. Konfigurowanie połączenia VPN typu remote Access.
Uaktywniana jest także domyślna reguła sieci, co pozwala na kierowanie ruchu pomiędzy siecią wewnętrzną i dwiema sieciami VPN (VPN Clients i Quarantined VPN Clients). Tę regułę można obejrzeć lub edytować poprzez wybranie pozycji Networks w lewym panelu i następnie otwarcie zakładki Network Rules w oknie środkowym.
Teraz należy skonfigurować właściwości dostępu klienta VPN. Musimy skonfigurować trzy dodatkowe parametry: Windows Security Groups – grupy posiadające uprawniony dostęp, Protocols – protokoły, które mogą być stosowane przez klientów i User Mapping – odwzorowanie użytkowników. Okno dialogowe umożliwiające konfigurację tych parametrów pokazano na rys. 6.
.png)
Rys. 6. Konfiguracja dostępu klienta VPN.
W zakładce Groups należy po prostu wybrać grupy Windows, które powinny posiadać zdalny dostęp za pośrednictwem VPN. Z punktu widzenia administratora, dobrym rozwiązaniem jest utworzenie pojedynczej grupy, której przyznane zostaną takie uprawnienia. Bardzo ułatwia to zarządzanie zdalnym dostępem.
W zakładce Protocols domyślnie zaznaczony jest jedynie protokół PPTP. Zalecane jest uaktywnienie protokołu L2TP over IPsec, jeżeli jest to możliwe w środowisku, w którym działamy.
User Mapping pozwala na odwzorowanie kont użytkowników z przestrzeni nazw takich, jak Remote Authentication Dial-In User Service (RADIUS), do kont Windows. Ma to zapewnić prawidłowe stosowanie zasad dostępu. Po wybraniu powyższych opcji konfiguracyjnych i zastosowaniu zmian w serwerze ISA, proces jest zakończony. Klienci powinni teraz bez problemu mieć dostęp za pośrednictwem połączenia VPN do danych i aplikacji w naszej sieci wewnętrznej.
Do początku strony
Usprawnienia w ISA Server 2006
W ISA Server 2006 wprowadzono szereg zmian, które poprawiają działanie w porównaniu z wersjami wcześniejszymi. Nowe funkcje – w tym, kompresja HTTP, obsługa Background Intelligent Transfer Service (BITS) i Quality of Service (QoS) – reprezentują różne techniki pozwalające na optymalizację wykorzystania sieci. Oczywiście, nawet dysponując tymi rozwiązaniami, należy nadal korzystać ze znanych i sprawdzonych technologii optymalizacji pasma – takich, jak np. buforowanie podręczne (caching), które mają kluczowe znaczenie dla działania serwera ISA.
Kompresja HTTP jest od pewnego czasu obsługiwana przez szereg produktów Microsoft —m.in. przez Internet Explorer®, począwszy od wersji 4 i przez Windows Server od wydania Windows® 2000. Tym niemniej, w przypadku serwera ISA jest to pierwsza wersja obsługująca kompresję HTTP, podobnie jak standard kompresji GZIP i algorytm Deflate.
Co to oznacza? Przy obsłudze kompresji HTTP przeglądarka WWW, która jest zgodna z protokołem HTTP 1.1, może odwoływać się do skompresowanej zawartości na dowolnej stronie WWW. Należy przy tym pamiętać, że skompresowane są jedynie odpowiedzi, a nie zainicjowane, wychodzące od klienta połączenie.
Kompresja HTTP jest elementem globalnej polityki w zakresie HTTP, która ma zastosowanie do całej transmisji HTTP przechodzącej przez serwer ISA i nie jest związana z żadną specyficzną zasadą obowiązującą w sieci. Użytkownik ma jednak możliwość stosowania kompresji HTTP w odniesieniu do każdego z odbiorców; opcja ta może być konfigurowana przy pomocy kreatora Web Listener.
Kompresja HTTP, do której mamy dostęp z poziomu głównych opcji w lewym panelu, jest uaktywniona domyślnie. Jak pokazano na rys. 7. użytkownik musi skonfigurować elementy sieci, dla których kompresja ma być stosowana. Wyjaśnimy to, wracając do przykładu połączenia VPN typu site-to-site. Należy wybrać zakładkę Return Compressed Data i dodać utworzony wcześniej element sieci VPN.
W tym momencie mamy również opcję konfiguracji, pozwalającą na określenie, jakiego typu zawartość ma być poddawana kompresji. ISA Server 2006 zawiera listę standardowych typów zawartości, ale użytkownik, za pośrednictwem panelu zadań Firewall Policy w zakładce Toolbox, może dodać typ według własnego uznania. Należy pamiętać, że zakładka Return Compressed Data odnosi się do kompresji danych na serwerze ISA, zanim zostaną one zwrócone do klienta. Aby serwer ISA żądał kompresji danych na serwerze WWW przed tym, jak zostaną one wysłane do serwera ISA, należy użyć zakładki Request Compressed Data.
.png)
Rys. 7. Konfiguracja kompresji HTTP.
Background Intelligent Transfer System jest usługą asynchronicznego transferu plików dla transmisji HTTP i HTTPS. Windows Server 2003 zawiera wersję BITS 1.5, która obsługuje pobieranie i wysyłanie, jednak wysyłanie wymaga dodatkowo obecności Internet Information Services (IIS) w wersji 5.0 lub wyższej.
Jak przystało na inteligentną usługę transferu plików, BITS ma zdolność analizowania ruchu w sieci i wykorzystuje do transferu jedynie niewykorzystane części pasma. Transfer plików jest ponadto dynamiczny - BITS reaguje na szczyty w sieci i dopasowuje poziom wykorzystania pasma. Zaletą tego rozwiązania jest pewność, że w przypadku pobierania i wysyłania dużych plików, BITS nie pozwoli na negatywny wpływ tego transferu na ruch w sieci. Z perspektywy administratora oznacza to znacznie mniej pretensji ze strony użytkowników dotyczących kiepskiego działania sieci. To jest dobra wiadomość!
BITS oferuje inne korzyści, które mogą usprawnić działanie użytkownika i poprawić efektywność sieci. Transfer plików z użyciem BITS odbywa się w trybie binarnym, co oznacza, że BITS jest w stanie przywrócić transmisję pliku, która została przerwana z powodu np. przerwy w działaniu sieci, bez rozpoczynania procesu od początku. Ponadto, ISA Server 2006 zawiera wbudowaną obsługę funkcji buforowania dla Microsoft Update, która wykorzystuje buforowanie BITS do optymalizacji uaktualnień.
Protokół Differentiated Services (DiffServ) umożliwia priorytetyzację pakietów (lub QoS) dla transmisji HTTP i HTTPS. Inaczej mówiąc, w zależności od konfiguracji serwera ISA, określona transmisja może posiadać status priorytetowy. Jest to przydatne w sieciach o ograniczonym paśmie, w przypadkach dużej ilości transmisji lub wolnych połączeń. Zgodnie z opinią Internet Engineering Task Force (IETF), protokół DiffServ jest obiektowo zorientowanym mechanizmem zarządzania transmisją. Jest on w stanie rozróżniać różne typy transmisji i odpowiednio nimi zarządzać, zapewniając, że transmisja o wysokim priorytecie traktowana jest preferencyjnie.
Realizując te funkcje serwer ISA współpracuje z routerami, które obsługują technologię QoS. Jeżeli chcemy, aby pakiety przekazywane były z takim samym priorytetem, to musimy zapewnić, że przekaz z użyciem protokołu DiffServ serwera ISA jest dopasowany do ustawień priorytetów dla routerów.
Ten rodzaj priorytetyzacji, zastosowany w serwerze ISA, jest elementem polityki o charakterze globalnym w odniesieniu do transmisji HTTP i jest stosowany przy każdej transmisji przechodzącej przez ISA Server 2006 z użyciem filtru DiffServ sieci WWW. Oznacza to, że ISA Server 2006 nie obsługuje DiffServ dla innych protokołów i może w rzeczywistości „gubić” bity DiffServ w przypadku transmisji innej niż HTTP.
Na rys. 8. pokazano DiffServ implementowany jako filtr WWW. Jest on dostępny w lewym panelu, po wybraniu pozycji Add Ins. Nie należy zmieniać domyślnych ustawień lub kolejności priorytetów filtra DiffServ, ponieważ serwer ISA musi sprawdzać rozmiar zapytań/odpowiedzi w czasie, gdy proces trwa.
.png)
Rys. 8. Filtr WWW DiffServ.
Przy bliższym spojrzeniu na rys. 8., można zauważyć, że filtr DiffServ nie jest uaktywniony domyślnie. Aby go włączyć, należy wybrać Enable Selected Filters w panelu Tasks i następnie skonfigurować filtr. Ponieważ priorytetyzacja pakietów DiffServ na serwerze ISA jest oparta na określonych URL lub domenach, należy dodać te informacje do właściwości DiffServ. Aby to zrobić, w lewym panelu konsoli zarządzania należy wybrać pozycję General i następnie Specify DiffServ Preferences w Global HTTP Policy Settings. Po określeniu preferencji konieczne jest zdefiniowanie priorytetów i adresów URL lub domen, do których mają mieć zastosowanie. ISA Server 2006 oferuje szereg istotnych, nowych możliwości w konfigurowaniu zdalnego dostępu klientów do VPN lub przy tworzeniu sieci VPN typu site-to-site. Kiedy zastanawiamy się nad tym, jakiego rodzaju sieć VPN chcielibyśmy wdrożyć, ISA Server 2006 powinien znajdować się na szczycie listy możliwych rozwiązań.
| Do początku strony |