Настройка удаленного VPN-доступа в ISA Server 2006

Виртуальные личные сети (VPN)
способны обеспечить высочайший уровень адаптируемости, масштабируемости
и контроля над работоспособностью сети. Кроме завышенной
безопасности, эти сети методы существенно уменьшить уровень
издержек

на обыденные подключения типа
«точка-точка». Плюс ко всему они обеспечивают упругость.

Существует много типов сетей VPN. Некие из
их употребляются для подключения мобильных юзеров к
корпоративной сети, другие для связи 2-ух географически разбитых
сетей. Применяемые такими сетями VPN-протоколы и обеспечиваемые ими
многофункциональные способности также различны. Одни сети предлагают
функции защиты, к примеру проверку подлинности и шифрование, в то
время как другие могут быть совершенно лишены таких способностей. И
разумеется, что какие-то сети проще в настройке и управлении, чем
другие.

В этой статье я расскажу о способностях внедрения
сети VPN с помощью сервера Internet Security and Acceleration (ISA)
Server 2006. А именно, я постараюсь сделать основной упор на
внедрение многофункциональных способностей ISA для VPN на базе
обычных примеров: VPN для удаленного доступа юзеров и
VPN-подключение типа «сеть-сеть». Оба варианта предугадывают
реализацию функций безопасности, гарантирующих конфиденциальность
данных и обеспечивающих защиту внутренних сетевых ресурсов.

По первому варианту (VPN-подключение для
удаленного доступа) удаленный клиент инициирует VPN-подключение к
серверу ISA Server через Веб. Потом ISA Server подключает
удаленного клиента к внутренней сети, предоставляя ему обычный
доступ к внутренним сетевым ресурсам, включая данные и приложения.
2-ой вариант VPN-подключения типа «сеть-сеть» является незначительно
более сложным, так как тут употребляется маршрутизатор, в роли
которого может выступать сам сервер ISA. Но такое подключение
позволяет тесновато связывать разные кабинеты либо филиалы вместе
либо центральным кабинетом.

Внедрение ISA Server 2006 для реализации
VPN-подключения дает ряд дополнительных преимуществ. Одно из
более важных преимуществ связано с интегрированностью сервера
ISA Server, что значит возможность слаженной работы функций VPN и
брандмауэра. К тому же, сервер ISA Server включает возможность
карантина VPN с функцией Network Access Quarantine Control на
Windows Server® 2003 для помещения
удаленного компьютера в карантин до проверки его конфигурации
сценарием сервера. Это дает дополнительный уровень защиты, позволяя
делать проверку состояния баз антивирусных программ и локальных
политик брандмауэра на удаленном компьютере, до того как он получит
доступ к внутренним сетевым ресурсам.

Главные достоинства администрирования,
предлагаемые сервером ISA Server и VPN-подключением, включают
централизованное управление политиками, мониторинг, протоколирование
и отчетность. При выполнении ежедневных задач эти способности
возможно окажутся бесценными. А именно, мониторинг в реальном
времени и фильтрация журнальчика дают детализированное представление трафика и
подключений через ISA Server.

Протоколы VPN

Главные протоколы туннелирования, применяемые в
VPN-подключении через ISA, обеспечивают первую линию защиты для
неопасных подключений. ISA Server поддерживает три протокола:
протокол L2TP через IPsec, протокол PPTP и туннельный режим IPSec.
Последний протокол поддерживается только подключениями типа
«сеть-сеть» и приемущественно употребляется для обеспечения
взаимодействия меж маршрутизаторами и другими операционными
системами, не поддерживающими L2TP либо PPTP.

Протокол L2TP совмещен с IPsec, так как в L2TP
отсутствует свой механизм защиты данных. Такое сочетание с
туннелированием через IPsec, обеспечивающим надежные способы проверки
подлинности и шифрования, образует потрясающее решение. Протокол
PPTP работает вместе с протоколом MS CHAP версии 2 либо EAP-TLS
для обеспечения проверки подлинности, и MPPE — как вы уже додумались
— для шифрования.

Выбор протокола L2TP через IPsec либо PPTP нередко
находится в зависимости от специфичных для организации причин. Протокол L2TP через
IPsec позволит применить более сложные и совершенные способы
шифрования, также поддерживает большее число сетей (включая IP,
X.25, Frame Relay и ATM). Но протокол PPTP проще воплотить и
он, обычно, предъявляет меньше требований. И все-же, в
случаях, когда организационные ограничения отсутствуют, наилучшим
вариантом считается внедрение протокола L2TP через
IPsec.

VPN-подключение
типа «сеть-сеть»

Выход ISA Server версии 2006 ознаменовал
значимый прорыв в упрощении опции VPN-подключения типа
«сеть-сеть». В прежних версиях настройка включала еще большее
число шагов. В этом примере мы разглядим одну удаленную сеть,
присоединенную к центральному кабинету по протоколу L2TP через IPsec и
ISA Server в обеих точках. Поначалу нужно выполнить настройку
сервера ISA Server в центральном кабинете, а потом — на удаленном
компьютере.

Сперва необходимо настроить локальные учетные
записи юзеров на обоих серверах ISA Server. Схожее
удостоверение юзеров обеспечит неопасную среду для
подключения удаленного либо основного сервера ISA Server. Имя таковой
учетной записи должно совпадать с именованием VPN-подключения,
создаваемого в консоли администрирования ISA. К примеру, в рамках
соглашения об именовании неплохим именованием юзера будет «Site
VPN» на сервере ISA Server в головном кабинете (с указанием на
удаленную сеть) и «HQ VPN» на удаленном сервере ISA Server. После
того, как эти деяния будут выполнены, откройте характеристики учетной
записи, перейдите на вкладку «Dial In» (Удаленное подключение), и
установите флаг «Allow Access» (Разрешить доступ).

Последующим шагом после сотворения локальной учетной
записи юзера будет создание сертификата инфраструктуры
открытых ключей (PKI), который будет употребляться для проверки
подлинности меж 2-мя сетями. Можно также использовать
подготовительный ключ, но внедрение сертификата всегда более
желательно. Самый обычной метод установки сертификата для
VPN-подключения заключается в конкретном подключении к центру
сертификации предприятия и запросе сертификата через веб-узел
сервера сертификатов. Но для этого может потребоваться создание
правила доступа, разрешающего подключение вашего сервера ISA Server
к серверу сертификатов через HTTP.

Если вы работали в прошлых версиях ISA Server,
то заметите, что интерфейс ISA Server 2006 (см. рис. 1) намного более интуитивно понятен. Если
выделить VPN-подключение в левой панели, то в центральной и правой
областях открываются контекстные характеристики конфигурации и задач.

Настройка удаленного VPN-доступа в ISA Server 2006
Рис.
1 ISA Server 2006 имеет более
интуитивно понятный интерфейс

Запустите мастер сотворения сетей VPN типа
«сеть-сеть», щелкнув задачку «Создать VPN-подключение типа
«сеть-сеть»» в правой панели. В окне запущенного мастера введите имя
сети типа «сеть-сеть». Это имя должно совпадать с именованием учетной
записи юзера, сделанной ранее. После ввода имени нажмите
кнопку «Далее». В последующем окне (см. рис.
2) изберите VPN-протокол — в нашем примере это L2TP через
IPsec. Нажмите кнопку «Далее» и мастер предупредит, что должно быть
легкодоступным сравнение учетной записи юзера с именованием сети.
Потому что это мы уже учли, можно просто надавить кнопку «ОК», чтоб
перейти к последующему экрану.

Настройка удаленного VPN-доступа в ISA Server 2006
Рис.
2 Изберите нужный
VPN-протокол

Сейчас необходимо сделать пул Айпишников. Тут можно
пойти 2-мя способами. Можно сделать пул статических адресов на сервере
ISA Server, либо же использовать имеющийся DHCP-сервер для
выполнения предназначения адресов. Так как можно принять оба метода,
ваше решение должно зависеть от политики компании по отношению к
определенному варианту. В открывшемся окне сейчас нужно ввести
имя удаленного сервера. Укажите полное доменное имя (FQDN)
удаленного сервера и потом введите учетные данные юзера для
подключения. Помните, что указываемые данные должны соответствовать
учетной записи юзера, сделанной на удаленном сервере ISA
Server. В нашем примере это будет учетная запись юзера HQ VPN
(см. рис. 3.

Настройка удаленного VPN-доступа в ISA Server 2006
Рис.
3 Введите полное доменное имя
(FQDN) на удаленном сервере

В последующем окне, изберите способ исходящей
проверки подлинности. (Как сказано выше, идеальнее всего всегда
использовать сертификат.) Потом укажите спектр Айпишников,
применяемый для удаленной внутренней сети.

После чего, в версии ISA Server 2006 Enterprise
Edition, мастер позволит настроить балансировку сетевой нагрузки по
назначенным Айпишникам удаленной сети. В версии ISA Server 2006
Standard Edition, пропустите шаг опции балансировки сетевой
нагрузки и перейдите конкретно к последующему экрану (см. рис. 4), и сделайте сетевое правило для
маршрутизации трафика от удаленной сети в локальную сеть.

Настройка удаленного VPN-доступа в ISA Server 2006
Рис.
4 Сделайте сетевое правило для
маршрутизации трафика

Также, в последующем окне нужно сделать
правило доступа. При настройке этого правила будут доступны три
варианта использования протоколов: можно разрешить весь исходящий
трафик, весь исходящий трафик кроме избранного по
определенному протоколу либо только трафик по избранным протоколам. В
большинстве случаев будет нужно разрешить весь исходящий трафик.

Сейчас практически все готово. На этом шаге мастер
представит сводку опций, и после нажатия кнопки «Готово»
VPN-подключение типа «сеть-сеть» будет сотворено. Раскроется диалоговое
окно с предложением включения правил системной политики для загрузки
перечня отзыва сертификатов, где необходимо надавить кнопку «Да», чтоб
включить это правило. Потом мастер выводит сведения о всех
дополнительных шагах опции, которые могут потребоваться. По
окончании опции сервера ISA Server для основной сети, необходимо
сделать все те же шаги для опции удаленной сети. После чего
юзеры обеих сетей сумеют связываться по сети VPN.

VPN-подключения для удаленного
доступа

Настройка VPN-подключения для клиентского доступа
намного проще (см. рис. 5). В левой
панели консоли администрирования ISA щелкните VPN-подключение. Потом
изберите пункт «Включить доступ VPN-клиентов» в правой панели.
Раскроется окно с предупреждением о том, что применение этих опций
может привести к перезагрузке службы маршрутизации и удаленного
доступа. (Потому что в связи с этим могут появиться препядствия сети,
может быть, вы решите выполнить эти конфигурации во время
запланированного обслуживания.) Нажмите «ОК», чтоб закрыть окно с
предупреждением. Сервер ISA Server применяет системную политику,
разрешающую трафик VPN-клиентов через ISA Server. Чтоб просмотреть
это правило, в консоли администрирования ISA Server изберите
«Политика межсетевого экрана» и потом задачку «Отображать правила
системной политики».

Настройка удаленного VPN-доступа в ISA Server 2006
Рис.
5 Настройка VPN-подключения для
удаленного доступа

Также применяется сетевое правило по дефлоту,
разрешающее маршрутизацию меж внутренней сетью и 2-мя VPN-сетями
(VPN-клиенты и VPN-клиенты, помещенные в карантин). Чтоб
просмотреть либо поменять это сетевое правило, изберите пункт «Сети»
в левой панели и перейдите на вкладку «Сетевые правила» в
центральной области.

Сейчас необходимо настроить доступ VPN-клиентов. Тут
нужно задать три дополнительных параметра: группы безопасности
Windows, которым разрешен доступ, протоколы, доступные клиентам и
сравнение юзеров. Диалоговое окно для опции этих
характеристик показано на рис. 6.

Настройка удаленного VPN-доступа в ISA Server 2006
Рис. 6 Настройка доступ VPN-клиентов

На вкладке «Группы» необходимо просто избрать группы
Windows, которым будет разрешен удаленный доступ через VPN. С точки
зрения администрирования, мне кажется разумным создание одной
группы, которой будет присвоено разрешение. Управление удаленным
доступом в данном случае будет очень обычным.

На вкладке «Протоколы» по дефлоту включен
только протокол PPTP. Полностью точно необходимо включить протокол L2TP
через IPsec, если это вообщем может быть в вашей среде.

На вкладке «Сопоставление пользователей»
нужно сравнить учетные записи юзеров из областей
имен, таких как RADIUS (Remote Authentication Dial-In User Service),
с учетными записями Windows, чтоб гарантировать правильное
применение политик доступа. После того как эти характеристики опции
будут заданы и использованы на сервере ISA Server, можно считать, что
все готово. Сейчас клиенты обязаны иметь возможность свободного
доступа к данным и приложениям внутренней сети по VPN.

Усовершенствования в ISA Server
2006

В ISA Server 2006 представлен ряд
усовершенствований, обеспечивающих расширенные способности и
завышенную производительность по сопоставлению с прошлыми версиями.
Новые функции (посреди которых сжатие HTTP, поддержка фоновой
умственной службы передачи (BITS) и качество обслуживания
(QoS)) дают разные способности оптимизации использования сети.
Непременно, невзирая на эти способности, не следует отрешаться от
использования обычных технологий оптимизации пропускной
возможности, образующих базу ISA Server, также кэширования.

Сжатие HTTP поддерживается разными продуктами
Microsoft уже в протяжении определенного времени. Оно было
реализовано в обозревателе Internet Explorer®, начиная с версии 4, и Windows Server с
версии Windows® 2000. Но поддержка
сжатия HTTP (включая отраслевые эталоны GZIP и методы Deflate)
была в первый раз реализована в этой версии ISA Server.

Что это означает? Благодаря сжатию HTTP, хоть какой
веб-обозреватель, поддерживающий эталон HTTP 1.1, может получать
сжатое содержимое с хоть какого веб-узла. Но следует держать в голове, что
сжимается только входящий трафик — сжатие для исходящих подключений
не употребляется.

Сжатие HTTP представляет собой общие характеристики
HTTP-политик, действующие для всего HTTP-трафика, проходящего через
ISA Server, и не может ассоциироваться с определенным сетевым
правилом. Все же существует возможность включения сжатия HTTP
для каждого прослушивателя. Это можно настроить в мастере
веб-прослушивателя.

Сжатие HTTP, настроить которое можно в области
характеристик «Общие» в левой панели, по дефлоту включено. Но, как
видно на рис. 7, нужно задать
элементы сети, для которых будет употребляться сжатие. Если
гласить о примере опции VPN-подключения типа «сеть-сеть», то
тут нужно перейти на вкладку «Возвращать сжатые данные» и
добавить элемент сети VPN, сделанный ранее. Не считая того, можно также
настроить тип сжимаемого содержимого. ISA Server 2006 уже включает
перечень стандартных типов содержимого, но вы сможете добавить другие
типы содержимого на панели задач «Политики межсетевого экрана» на
вкладке «Инструментарий». Помните, что на вкладке «Возвращать сжатое
содержимое» сжатие содержимого сервером ISA Server можно настроить
для данных, до того как они будут возвращены клиенту. Сжатие
веб-сервером данных до их отправки на ISA Server можно задать на
вкладке «Запрашивать сжатые данные».

Настройка удаленного VPN-доступа в ISA Server 2006
Рис.
7 Настройте сжатие HTTP

Фоновая умственная система передачи
представляет собой службу асинхронной передачи файлов для HTTP и
HTTPS-трафика. Windows Server 2003 включает службу BITS версии 1.5,
в какой реализована поддержка загрузки и отправки, хотя для
отправки нужны службы IIS версии 5.0 либо выше. Являясь
умственной службой передачи файлов, служба BITS способна
рассматривать сетевой трафик и использовать только свободную часть
пропускной возможности сети. Не считая того, передача файлов
осуществляется динамически и служба BITS реагирует на «всплески»
сетевого трафика, сокращая свою нагрузку на сеть. Служба BITS
в данном случае дает возможность загрузки либо отправки файлов огромного
размера, что не скажется плохо на использовании другой сети. Для
админа это значит наименьшее число воззваний с жалобами на
низкую производительность сети. А это отлично!

У службы BITS также есть другие плюсы: она
гарантирует удобство работы юзеров и благоприятно влияет на
производительность сети. К примеру, служба BITS передает файлы в виде
двоичных данных, что значит возможность возобновления передачи
(без необходимости пуска загрузки с начала), которая была прервана
в итоге перебоев в сети. А еще в ISA Server 2006 реализована
интегрированная поддержка функции кэширования для центра обновлений
Microsoft, которая употребляет кэширование BITS для оптимизации
обновлений.

Протокол дифференцированных служб (DiffServ)
обеспечивает приоритезацию пакетов (либо QoS) для HTTP и
HTTPS-трафика. Другими словами, зависимо от опций в ISA
Server, ценность будет отдаваться определенному типу трафика. Эта
функция полезна для сетей с ограничением пропускной возможности,
к примеру по объему трафика либо скорости сети. По спецификации
инженерной группы по развитию Веба (IETF), протокол DiffServ
представляет собой механизм управления трафиком на базе классов.
Таким макаром, протокол DiffServ способен различать трафик по типам
и производить соответственное управление, отдавая предпочтение в
первую очередь трафику с высочайшим ценностью.

Для реализации этой способности ISA Server
работает вместе с маршрутизаторами, поддерживающими QoS. Принципиально
обеспечить, чтоб биты DiffServ в ISA Server соответствовали
ценностям, данным для маршрутизаторов, если нужно, чтоб
пакеты передавались с схожей приоритезацией.

Будучи реализованным в ISA Server, этот тип
приоритезации пакетов представляет собой общие характеристики
HTTP-политик, которые используются ко всему HTTP-трафику, проходящему
через ISA Server 2006 при помощи веб-фильтра DiffServ. Это значит,
что ISA Server не поддерживает DiffServ для других протоколов и
практически может пропускать имеющиеся биты DiffServ в отличном от
HTTP трафике.

Как показано на рис.
8, службы DiffServ реализованы в виде веб-фильтра, который
можно избрать в поле «Надстройки» в левой панели. Принципиально не изменять
опции по дефлоту либо порядок приоретизиации фильтра DiffServ,
так как серверу ISA Server нужно определять запрос либо ответ в
момент обработки.

Настройка удаленного VPN-доступа в ISA Server 2006
Рис.
8 Вид веб-фильтра DiffServ

Если пристально поглядеть на рис. 8, можно увидеть, что фильтр DiffServ по
умолчанию отключен. Чтоб включить фильтр, просто щелкните «Включить
избранные фильтры» на панели задач и потом настройте фильтр.
Так как приоритезация пакетов DiffServ в ISA Server базирована на
определенных URL-адресах либо доменах, эти сведения нужно
добавить в опции DiffServ. Для этого в левой панели консоли
управления перейдите на закладку «Общие», а потом в области «Общие
характеристики HTTP-политики» изберите «Указать опции DiffServ».
После конфигурации опций обусловьте ценности, также URL-адреса и
домены для приоритезации. ISA Server 2006 включает новые массивные
способности опции удаленного доступа VPN-клиентов либо сотворения
сетей VPN типа «сеть-сеть». Это решение должно стать первым
кандидатом на внедрение при реализации сетей VPN.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.