Настройка TMG Beta 3 для подключений SSTP VPN (часть 1)

Если вы новичок в области Forefront Edge, либо просто не уделяли внимания моему блогу, вы, возможно, не понимаете, что пограничная безопасность в Forefront поменялась. В прошедшем мы привыкли к тому, что брандмауэр ISA воспринимался, как предпочитаемое решение пограничной безопасности, и мы использовали его в качестве VPN сервера удаленного доступа, шлюза VPN по типу веб-сайт – веб-сайт, также решения оборотного интернет прокси и неопасного сервера публикации. Благодаря хорошей функции осмотра прикладного уровня и многогранного контроля доступа на базе юзеров/групп, которыми был обустроен этот брандмауэр, ISA был предпочитаемым решением для удаленного доступа.

Это было тогда. С грядущим выходом Threat Management Gateway RTM (я называю его RTM для контраста с TMG MBE, включенного в EBS, который, на самом деле, представляет собой ISA 2006 R2 для 64 битных платформ) и Unified Access Gateway (UAG, новенькая версия IAG), TMG будет восприниматься, в главном, как решение исходящего доступа Unified Threat Management (UTM), а UAG будет употребляться для решений входящего доступа.

И это совсем не гласит о том, что способности входящего доступа, включенные в ISA, были убраны из TMG. Все они будут включены в TMG, но не думаю, что в функции и способности входящего доступа в TMG RTM и следующие версии будет вложено много средств и внесено много конфигураций. В оборотном входящем прокси нет никаких конфигураций, нет ничего нового и в функции сервера публикации, также ничего увлекательного в VPN по типу веб-сайт – веб-сайт (хотя считать VPN по типу веб-сайт – веб-сайт входящим доступом будет не совершенно верно).

Если вы ожидаете новых умопомрачительных функций и способностей входящего доступа, то вам лучше направить внимание на UAG. Новенькая версия IAG будет включать усовершенствованные способности оборотного интернет прокси и существенно усовершенствованный осмотр прикладного уровня для ряда интернет приложений Microsoft и других производителей. UAG также будет обустроен сетевым коннектором (Network Connector) для SSL VPN сетевого уровня, но он также будет поддерживать другие VPN протоколы, такие как: PPTP, L2TP/IPsec и новый протокол SSTP VPN, который был вначале представлен в Windows Server 2008 и Vista SP1. Может быть, самой приметной новейшей функцией входящего удаленного доступа в UAG будет полная поддержка DirectAccess, включая усовершенствованные способности NLB, также DNS64 и NAT64, потому, если ваша текущая сетевая инфраструктура не стопроцентно поддерживает IPv6, вы стремительно можете настроить и использовать DirectAccess.

Хотя UAG будет решением для удаленного входящего доступа, это не значит, что вы не можете использовать брандмауэр TMG в качестве решения для входящего доступа. UAG, вероятнее всего, будет предназначен для огромных и средних компаний, и цены будут соответствовать этому сектору рынка. Из-за сравнимо высочайшей цены UAG брандмауэр TMG остается достаточно пользующимся популярностью посреди средних и малых компаний. Если ваша организация относится к компаниям малого и среднего сектора рынка, то вам будут увлекательны те способности, которые будет предлагать новенькая версия TMG.

Отменная новость состоит в том, что в область управления входящим доступом не было вложено много усилий в брандмауэре TMG, есть один очень приметный момент, о котором необходимо знать. Этот момент заключается в полной поддержке VPN подключений удаленного доступа при помощи SSTP. Благодаря тому, что SSTP был добавлен в набор инструментов VPN в брандмауэре TMG, у вас будет выбор из PPTP, L2TP/IPsec либо SSTP для подключений удаленного доступа VPN клиентов.

Для чего использовать протокол Secure Socket Tunneling Protocol (SSTP)?

Для чего использовать новый VPN протокол? PPTP и L2TP/IPsec были с нами в протяжении долгого времени и в большей части отлично служили нам. Оба протокола работали с Windows RRAS и ISA в протяжении последнего десятилетия, и мы привыкли к ним. Мы знаем, как их настраивать, юзеры знают, как создавать подключения либо использовать подключения, которые мы предоставляем им в пакетах CMAK, и мы знаем о дилеммах поддержки, у нас также есть правила работы с VPN фактически для всех ситуаций.

Беря во внимание весь опыт работы с PPTP и L2TP/IPsec, должно быть естественным, для чего нам нужен новый VPN протокол. Как нередко ваши юзеры, находясь за пределами компании, могли использовать для исходящего доступа только HTTP и HTTPS? Либо, может быть, вам самим пришлось столкнуться с этим. Что вы делали? Если неувязка заключалась в почтовом доступе, большая часть из нас переходили на OWA. Если требовался сетевой доступ, жизнь становилась малость сложнее, и время от времени не было других вариантов, не считая как поменять место положения и надежды, что там у нас будет более размеренное подключение. Это достаточно дорогая, накладная по времени и просто раздражающая ситуация.

Вот почему SSTP является таким даром для админов брандмауэра TMG. SSTP (Secure Socket Tunnel Protocol), прячет в туннели PPP подключения при помощи зашифрованных SSL HTTP подключений. Так как транспортировка прикладного уровня – это HTTP, его можно передавать по туннелю через брандмауэры, которые разрешают только TCP порты 80 и 443 для исходящего доступа, либо когда исходящий интернет прокси является единственным вариантом доступа к вебу. Да, SSTP будет работать через интернет прокси. Но устройство интернет прокси перед SSTP VPN клиентом не должно добиваться проверки подлинности, так как нет метода опции SSTP VPN клиента на отправку учетных данных на интернет прокси-сервер.

SSTP имеет несколько требований:

SSTP работает только с Vista SP1 и поболее поздними клиентскими операционными системами (включая Vista SP2 и Windows 7)
Windows Server 2008 и Windows Server 2008 R2 также может действовать в качестве SSTP VPN клиента
SSTP не поддерживает VPN подключений от веб-сайта к веб-сайту
SSTP VPN серверы, включая брандмауэр TMG, требуют привязки сертификатов интернет веб-сайта к интернет приемникам SSTP Web Listener
Клиент SSTP VPN обязан иметь возможность инспектировать списки отзыва сертификатов (Certificate Revocation List – CRL) для доказательства того, что сертификат интернет веб-сайта, привязанный к SSTP Web Listener, не был отозван (CRL проверка может быть отключена на клиенте, но это не самая успешная идея для производственных сред)
Брандмауэр TMG также обязан иметь возможность инспектировать CRL для сертификатов интернет веб-сайта, применяемых интернет приемником SSTP Web Listener. Существует правило системной политики (System Policy Rule), позволяющее это. До момента выхода RTM версии брандмауэра TMG будет непонятно, будет ли данная функции включена по дефлоту, потому необходимо проверить.
Только Windows Server 2008 и Windows Server 2008 R2 могут работать в качестве серверов SSTP VPN. Это не будет неувязкой для админов TMG RTM, так как TMG RTM будет работать только под управлением Windows Server 2008 либо Windows Server 2008 R2 64 битной платформы

Принципиальным моментом для админов брандмауэра TMG будет то, что при настройке брандмауэра на прием SSTP подключений вы, на самом деле, создаете интернет приемник для приема подключений. Этот интернет приемник настраивается на разрешение анонимных подключений. Вам будет нужно выделить IP адресок для интернет приемника, так как это SSL подключение с сертификатом, изданным для этого приемника. Если вы желаете опубликовать любые другие веб-сайты SSL, используя тот же брандмауэр TMG, вам потребуются дополнительные IP адреса для поддержки этих подключений. Вы не можете использовать тот же интернет приемник, если желаете настроить брандмауэр на общественных интернет серверах с подготовительной аутентификацией. Беря во внимание тот факт, что фактически все общественные SSL веб-сайты должны быть защищены подготовительной аутентификацией, вам будет нужно более 1-го IP адреса на наружном интерфейсе брандмауэра TMG, если вы желаете поддерживать SSTP и правила интернет публикации SSL с подготовительной аутентификацией.

Как на счет VPN Reconnect?

Брандмауэр TMG будет поддерживать три протокола VPN, поддерживаемых Windows Server 2008 и Windows Server 2008 R2 RRAS:

PPTP
L2TP/IPsec
SSTP

Если гласить поточнее, TMG обеспечивает интегрированную поддержку для этих 3-х VPN протоколов, а это значит, что подключения, использующие эти протоколы и настроенные в консоли брандмауэра TMG, будут проходить осмотр пакетов и прикладного уровня, и при всем этом можно создавать правила политики брандмауэра для обеспечения надежного контроля доступа на базе источника/пт предназначении/юзеров/групп. Подключения VPN клиентов будут так же неопасны, как любые другие подключения к брандмауэру либо через него.

В Windows Server 2008, RRAS будет поддерживать другой VPN протокол под заглавием VPN Reconnect. VPN Reconnect употребляет IPsec режим туннеля с Internet Key Exchange версии 2 (IKEv2), которая описана в RFC 4306, используя мобильность IKEv2 и расширение с поддержкой нескольких интернет узлов (multi-homing extension (MOBIKE)), описанное в RFC 4555.

VPN Reconnect по сути является хорошим и очень полезным VPN протоколом. Хотя многие из нас захочут установить DirectAccess как можно резвее, есть несколько проблем IPv6 на пути DirectAccess, которые могут перевоплотить ваши мечты DirectAccess в сетевые кошмары и попортить вам все воспоминания от DirectAccess. Если вы не готовы к использованию DirectAccess, не стоит спешить. Есть еще время набраться подходящей инфы о IPv6 и приготовить свою сеть. А пока используйте VPN Reconnect. Он дает вам некие свойства прозрачности, которые предоставляет DirectAccess, но не связан с трудностями IPv6.

Протокол VPN Reconnect был сотворен, чтоб упростить жизнь тем, кто употребляет WWAN подключения, время от времени именуемые ‘air cards’ либо ‘wireless broadband’. Представьте, что вы используете WWAN подключение в поезде либо метро. Вы подключились через VPN к собственной корпоративной сети и без заморочек используете электрическую почту, подключаетесь к веб-сайтам интрасети и делает остальные вещи, которые обычно делаете при подключении к корпоративной сети через VPN. Потом, бах! Вы въезжаете в туннель, и VPN подключение обрывается. Естественно, VPN подключение настроено на автоматический повторный набор, но вы видите диалоговое окно и таймер отсчета, а это можно следить пару раз во время попыток восстановления соединения.

Благодаря VPN reconnect система лицезреет подключение как «прерванное», а не отключенное. И когда вы выезжаете из туннеля, данные опять начинают передаваться, но система никогда не принимает подключение как оборванное. Это обеспечивает более комфортную и приятную работу по сопоставлению с PPTP, L2TP/IPsec и SSTP VPN подключениями.

VPN Reconnect применяется в роли службы RRAS роли Network Policy and Access Services (NPAS) компьютера под управлением Windows Server 2008 R2. Требования инфраструктуры включают все то же, что и для NPAS и RRAS. Клиентские компы должны работать под управлением Windows 7, чтоб иметь возможность пользоваться VPN Reconnect.

Но брандмауэр TMG не включает встроенной поддержки протокола VPN Reconnect. Это не значит, что вы не можете использовать его с брандмауэром TMG, но у вас не будет такого же уровня безопасности, который вы получаете с вставленными протоколами VPN. Я напишу отдельную статью о VPN Reconnect в дальнейшем тут на http://www.windowsnetworking.com/.

Как работает SSTP?

Процесс подключения SSTP достаточно прост. Дальше описан механизм работы подключений SSTP:

Клиент SSTP VPN делает TCP подключение к шлюзу SSTP VPN меж случайным портом TCP источника на SSTP VPN клиенте и TCP портом 443 на шлюзе SSTP VPN.
Клиент SSTP VPN посылает SSL Client-Hello сообщение, говорящее о том, что SSTP VPN клиент пробует сделать SSL сеанс с SSTP VPN шлюзом.
SSTP VPN шлюз посылает сертификат собственного компьютера клиенту SSTP VPN.
Клиент SSTP VPN инспектирует сертификат компьютера методом проверки хранилища сертификатов доверенного корневого центра сертификации (Trusted Root Certification Authorities), чтоб убедиться, что CA сертификат, подписавший сертификат сервера, находится в хранилище. Потом SSTP VPN клиент определяет способ шифрования сеанса SSL, генерирует SSL ключ сеанса и шифрует его при помощи общественного ключа шлюза SSTP VPN, а потом посылает зашифрованный ключ сеанса SSL на шлюз SSTP VPN.
Шлюз SSTP VPN расшифровывает зашифрованный ключ сеанса SSL при помощи личного ключа собственного личного ключа сертификата компьютера. Весь следующий обмен данными меж SSTP VPN клиентом и SSTP VPN шлюзом зашифрован средством согласованного способа шифрования и ключа сеанса SSL.
Клиент SSTP VPN посылает сообщение запроса HTTP через SSL (HTTPS) на шлюз SSTP VPN.
Клиент SSTP VPN согласовывает SSTP туннель с SSTP VPN шлюзом.
Клиент SSTP VPN согласовывает PPP подключение с SSTP сервером. Это согласование включает проверку подлинности учетных данных юзера при помощи стандартного способа PPP аутентификации (либо даже EAP аутентификации) и настраивает характеристики для IPv4 либо IPv6 трафика.
SSTP клиент начинает отправку IPv4 либо IPv6 трафика через PPP соединение.

Те, кому увлекательны свойства архитектуры протокола VPN, могут направить внимание на набросок ниже. Направьте внимание, что SSTP содержит дополнительный заголовок по сопоставлению с 2-мя другими протоколами VPN. Они содержатся там благодаря HTTPS инкапсуляции вприбавок к SSTP заголовку. L2TP и PPTP не содержат заголовков прикладного уровня, инкапсулирующих обмен данными.

Настройка TMG Beta 3 для подключений SSTP VPN (часть 1)
Прирастить

Набросок 1

Тестовая среда

Как гласит заглавие статьи, этот цикл посвящен настройке TMG Beta 3 в испытательной среде. Это значит, что я буду обучаться этим настройкам по мере написания статьи, чтоб вы в свою очередь смогли узреть допущенные мною ошибки, те вопросы, которые у меня появились, и общие пробы и ошибки, которые встречаются у админов TMG, любящих все испытывать и пробовать до того, как читать управление по эксплуатации. Естественно, я буду читать управление, когда что-то не будет работать, и буду отмечать те моменты, в каких чтение управления не посодействовало, либо вообщем все ухудшило!

Тестовая среда достаточно ординарна. В ней есть только три компьютера, как показано на рисунке ниже.

Настройка TMG Beta 3 для подключений SSTP VPN (часть 1)

Набросок 2

Контроллер домена представляет собой виртуальную машину Windows Server 2003, действующую в качестве DC, DHCP и DNS сервера и сервера сертификатов. Вы, может быть, спросите, почему я использовал Windows Server 2003 заместо Windows Server 2008. Ответ состоит в том, что у меня уже была виртуальная машина Windows Server 2003, и мне не хотелось растрачивать время на установку и настройку контроллера домена Windows Server 2008. Все будет работать с Windows Server 2008 и Windows Server 2008 R2, потому если вы желаете использовать данные ОС для ваших контролеров домена (DC), пожалуйста. Я использую VMware Workstation 6.5.x, а контроллер домена размещен на VMNet2.

Виртуальная машина брандмауэра TMG имеет две сетевые карты. Внутренний интерфейс находится на VMNet2, а наружный интерфейс размещен на сетевом адаптере, присоединенном в режиме моста, и имеет действительный IP адресок в реальной сети. TMG beta 3 работает под управлением Windows Server 2008 64 bit, который был вполне обновлен перед установкой ПО TMG. Процесс установки TMG, в целом, улучшен по сопоставлению с установкой ISA, но я не буду говорить о нем в этой статье. Я покажу вам процесс установки TMG в одной из собственных последующих статей.

Наружный SSTP клиент представляет собой виртуальную машину с ОС Window 7 и обустроен одним сетевым адаптером, присоединенным в режиме моста с реальным IP адресом в реальной сети. Этот VPN клиент является членом рабочей группы, и не является членом внутреннего домена. Я избрал такую конфигурацию, так как члены домена, вероятнее всего, будут использовать DirectAccess, а не SSTP, потому я избрал конкретно тот сценарий, который, на мой взор, является самым животрепещущим.

Заключение

В последующей части мы разглядим процесс конфигурации. Мы начнем с сотворения сертификата, применяемого интернет приемником SSTP Web Listener, потом импортируем сертификат в хранилище сертификатов машины брандмауэра TMG. После этого мы опубликуем CRL веб-сайт и незначительно побеседуем о дилеммах CRL. Потом мы настроим SSTP VPN характеристики и, в конце концов, завершим опции клиентской стороны и сделаем VPN соединение, чтоб проверить его работоспособность.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.