Прерывание VPN соединения перед ISA Firewall

Включение нового ISA Firewall в вашу сеть может быть
связано с неуввязками. С одной стороны, вы желаете получить
новые способности и достоинства в защищенности,
предоставляемые новым брандмауэром, но с другой стороны, вы не
желаете дезорганизовать вашу сетевую инфраструктуру, потому что
подобные деяния несут внутри себя потенциальную опасность прерывания
работы служб.

Пожалуй более легким методом установить новый
брандмауэр является способ Rip and Replace (Удалить и
Поменять), когда вы настраиваете новый брандмауэр так же,
как и предшествующий, после этого удаляете более старенькый и
устанавливаете новый. Хоть это может показаться легким на
бумаге, в действительности организации нередко несут «невозместимые
издержки», связанные с брандмауэрами и желают, чтоб текущая
инфраструктура окупила себя до собственной подмены.

Еще одним принципиальным суждением будет то, что новый
брандмауэр может использовать совершенно другие способы управления
и политику, которая может не согласоваться с тем, что было
ранее.

По этим и другим причинам я нередко рекомендую при установке
нового ISA firewall использовать достоинства имеющейся
инфраструктуры заместо подхода Rip and Replace (Удалить и
Поменять). Хотя есть несколько вероятных решений, которые вы
сможете использовать, более защищенный вариант –
использовать для брандмауэров конфигурацию «back to back».

В схожем случае компания сохраняет собственный текущий
брандмауэр как наружный и помещает ISA Firewall сзади него.
Таким макаром, брандмауэр ISA будет расположен более близко к
тем ресурсам, для защиты которых он предназначен.

Установка ISA Firewall на заданную инфраструктуру сети VPN
с удаленным доступом

Я нередко сталкиваюсь с схожим дизайном инфраструктуры и
неуввязками опции, связанными с ним. Нередко поднимающимся
вопросом является последующий – что делать с соединениями
удаленного доступа к корпоративной сети клиентов VPN?
Большая часть компаний с уже имеющейся инфраструктурой
начинают использовать старенькый брандмауэр как сервер VPN и
время от времени пользуются особенной, несопоставимой с RFC
программой-клиентом VPN, что подключается
только к брандмауэру поставщика. Эти компании
хотят сохранить их существующую инфраструктуру VPN, но при
этом желают разрешить VPN клиентам доступ к ресурсам,
размещенным в корпоративной сети под защитой ISA
Firewall.

Другим очень всераспространенным случаем является таковой,
когда при уже существующем сервере VPN с удаленным доступом
компания употребляет какое-либо «широкополосное» NAT устройство
для подключения к Веб, и желает поставить ISA Firewall как
внутренний брандмауэр. Более распространенные ситуации
для данного типа конфигурации таковы – компания должна
использовать PPPoE для подключения к сети DSL, либо же
использовать DHCP для того, чтоб получить открытый адресок
кабельной сети.

Во 2-м случае, где устройство NAT находится перед ISA
Firewall, нередко употребляется SBS 2003 Service Pack 1 с
брандмауэром ISA, установленным на нем, а сервер SBS
присоединяется к нескольким физическим линиям. Хоть я никогда
не лицезрел в этом особенного смысла, юзеры нередко желают
прерывать свои VPN соединения к устройству NAT, расположенному
перед сервером SBS, но все еще желают иметь доступ к ресурсам,
размещенным на компьютерах под управлением SBS и к ресурсам,
расположенными в корпоративной сети за сервером SBS.

В обоих случаях, и с SBS/наружным устройством NAT, и с
корпоративным наружным брандмауэром, компания желает оборвать
соединение удаленного доступа VPN на устройстве перед
ISA Firewall, а не в ISA Firewall, и любым
образом разрешить удаленным клиентам VPN доступ к ресурсам,
размещенным сзади внутреннего ISA Firewall. Это конкретно то,
на что о чем я буду гласить в этой серии статей.

ПРИМЕЧАНИЕ:
Хоть положения и процедуры, что я обсуждаю в
этой серии статей и относятся к SBS 2003 Service Pack 1 с
применяемым ISA 2004, я не буду тщательно обрисовывать все шаги,
нужные для работы данной конфигурации в таком окружении.
Оставим подробности экспертам SBS.

В этой статье мы сосредоточим наше внимание на последующих
вопросах:

Прерывание VPN соединения у наружного
брандмауэра
. Вероятные задачи, нуждающиеся в
рассмотрении, при прерывании соединений удаленного доступа
клиентов VPN перед ISA Firewall
Настройка IP адресации для VPN клиентов наружного
VPN сервера
. Для VPN клиентов должна быть назначена
IP адресация, позволяющая им подключаться к зоне DMZ меж
наружным брандмауэром либо устройством NAT и ISA Firewall, и
разрешающая подключения к корпоративной сети, расположенной
за ISA Firewall.
Настройка ISA Firewall. Настройка ISA
Firewall будет включать в себя также настройку новейшей сети
ISA Firewall Network для зоны DMZ меж брандмауэрами,
настройку правила Network Rule и политики Access Policy,
контролирующих трафик, проходящий через ISA Firewall к
удаленным VPN клиентам и от их.
Создание сети FE DMZ Network. Мы
сделаем новейшую сеть ISA Firewall Network из спектра
адресов с сетевым идентификатором для сектора сети меж
наружным брандмауэром и внутренним ISA Firewall.
Настройка правила Network Rule для места
меж внутренней сетью и сетью FE DMZ Network
.
После того, как новенькая сеть ISA Firewall Network сотворена, мы
сделаем маршрут меж зоной DMZ и внутренней сетью,
расположенной за ISA Firewall.
Настройка политики ISA Firewall для FE DMZ VPN
клиентов
. Должна быть настроена политика
брандмауэра, контролирующая, какой трафик может проходить
через ISA Firewall к удаленным VPN клиентам и от их. Также
нужны правила DNS для разрешения имен для удаленных
клиентов VPN.
Настройка программы-клиента VPN.
Программа-клиент должна быть настроена для VPN соединения
удаленного доступа. По мере надобности это значит и
настройку VPN протокола и поддержку раздельного
туннелирования. Может быть, что удаленный VPN клиент может
выступать в качестве 1-го либо нескольких типов клиентов
ISA Firewall во время соединения.
Поддержка Web Proxy. Удаленный VPN
клиент может поддерживать подключения Web proxy клиента к
брандмауэру ISA Firewall во время VPN сеанса. Мы поглядим,
какие затруднения здесь могут повстречаться, и разглядим
эталон конфигурации.
Поддержка клиента брандмауэра. В этом
случае, схожая поддержка недосягаема. Мы изучим спорные
вопросы и увидим, что вы теряете в плане безопасности при
обрыве соединения у наружного брандмауэра заместо ISA
Firewall.
Поддержка SecureNAT. Удаленные VPN
клиенты де-факто являются SecureNAT клиентами брандмауэра
ISA Firewall. Мы обсудим плюсы и недочеты таковой
ситуации.
Проверка соединений. Все проверяется на
практике. В этой части мы изучим, что происходит во время
подключений удаленных VPN клиентов, когда они получают
доступ к Веб и ресурсам в корпоративной сети сзади ISA
Firewall (либо же на самом ISA Firewall).

Прерывание VPN соединения у наружного брандмауэра либо NAT
устройства

До того как углубляться в подробности конфигурации,
связанные с установкой VPN с удаленным доступом и пт
прерывания перед ISA Firewall, вы обязаны иметь общее
представление о сетевой архитектуре, маршрутизации и путях
запроса/отклика для разных типов соединений, создаваемых
при удаленном VPN подключении.

На рисунке 1 продемонстрирована основная сетевая структура,
при которой удаленный VPN клиент прерывает VPN соединение у
брандмауэра либо устройства NAT, расположенного перед ISA
Firewall. Зеленоватой линией на рисунке показано удаленное VPN
подключение к брандмауэру либо наружному интерфейсу NAT
устройства.

Внутренний интерфейс наружного брандмауэра либо устройства
NAT подключен к общему хабу либо свитчу, с которым соединен
наружный интерфейс ISA Firewall. Вы также сможете использовать
этот сектор сети для подключения интернет, FTP либо других
серверов, к которым вы предоставляете анонимный доступ из
Веб.

Наружный интерфейс ISA Firewall подключен к общему
хабу/свитчу, с которым соединен внутренний интерфейс наружного
брандмауэра либо устройства NAT, равно как и другие серверы,
которые могут быть помещены в зону DMZ. Заметьте, что
независящий свитч либо хаб не пригодится. У многих
брандмауэров и устройств NAT есть огромное количество LAN портов. В
таком случае, вы сможете присоединить наружный интерфейс к
одному из LAN портов устройства и также подключить хоть какой
сервер с анонимным доступом к тому же устройству.

ВНИМАНИЕ:
Очень принципиально не допускать прямых
соединений из защищенной сети сзади ISA firewall и сети DMZ
либо Веб. ISA Firewall должен быть подключен, чтоб
держать под контролем весь входящий и исходящий трафик корпоративной
сети. Чуток позднее в этой статье я расскажу о том, что я называю
кошмарным сценарием, где это требование не соблюдено.

Предпосылкой, по которой в зоне DMZ меж наружным интерфейсом
ISA Firewall и наружным брандмауэром либо устройством NAT стоит
располагать только серверы с анонимным доступом, будет то, что
вы вполне зависите от защиты, обеспечиваемой устройством
NAT либо обычным брандмауэром, чтоб защитить полосы связи,
ведущие вовнутрь сектора DMZ и из него.

По этой причине не надо располагать принципиальные корпоративные
ресурсы в этой зоне DMZ. Для этого принципа можно сделать
исключение, если использовать два брандмауэра ISA Firewall,
наружный и внутренний. Либо же если вы используете брандмауэр с
высочайшим уровнем защиты, похожим с ISA Firewall, как к примеру
Check Point c технологией «Application intelligence».

Прерывание VPN соединения перед ISA Firewall

Набросок 1

Прерывание VPN соединения у обычного брандмауэра с
поточной проверкой трафика либо устройства NAT

Главным для этого решения является осознание отношений
маршрутизации для коммуникации с удаленным VPN клиентом. На
рисунке 2 показаны дела маршрутизации меж разными
сетями:

Дела ROUTE меж внутренней сетью сзади ISA
Firewall и сектором DMZ меж ISA Firewall и
брандмауэром/устройством NAT. Это позволяет нам создавать и
правила публикации и правила доступа для контроля трафика
меж удаленными клиентами VPN и корпоративной сетью
Дела ROUTE меж внутренней сетью, размещенной
сзади ISA Firewall, и Веб. Правило Network Rule,
устанавливающее дела маршрутизации меж внутренней
сетью и наружной создается автоматом, когда вы
устанавливаете ISA Firewall на устройство, присоединенное к
нескольким линиям связи, также вводятся в действие дела
ROUTE меж внутренней сетью и Веб
Дела ROUTE меж удаленным клиентом VPN и зоной
DMZ, расположенной меж ISA Firewall и наружным
брандмауэром/устройством NAT. ISA Firewall не ознакомлен об
этом и не должен быть, потому что это не оказывает влияние на его
опции
Дела ROUTE меж внутренней сетью и удаленным
клиентом VPN. Предпосылкой этому служит то, что мы должны
провести маршрут меж внутренней сетью и зоной DMZ,
расположенной меж ISA Firewall и наружным
брандмауэром/устройством NAT. Так как для удаленного
клиента VPN будет назначен IP адресок с этим же самым сетевым
идентификатором, что употребляется в секторе DMZ, дела
маршрутизации меж внутренней сетью сзади ISA Firewall и
удаленными клиентами VPN будут такими же, как и дела
маршрутизации меж внутренней сетью и зоной DMZ, другими словами
ROUTE.

Прерывание VPN соединения перед ISA Firewall

Набросок 2

Прерывание VPN соединения у обычного брандмауэра с
поточной проверкой трафика либо устройства NAT и дела
маршрутизации меж сетями

Сейчас, когда вы понимаете о главных отношениях маршрутизации
для всех линий связи, относящихся к подключениям удаленных
клиентов VPN, последующим шагом в осознании того, как конкретно
работает данное решение, будет обзор путей запроса/отклика
касательно линий связи для удаленных клиентов VPN.

На рисунке 3 показаны четыре пути запроса/отклика:

Это путь запроса/отклика для соединений меж удаленными
клиентами VPN и внутренней сетью под защитой ISA Firewall.
Дела маршрутизации, управляющие этими соединениями,
позволяют вам использовать и правила доступа и правила
публикации для контроля уровня доступа удаленных клиентов
при подключении к внутренней сети сзади ISA Firewall.
Это путь запроса/отклика для соединений меж удаленными
клиентами VPN и зоной DMZ, расположенной меж ISA Firewall
и наружным брандмауэром/устройством NAT. Контроль уровня
доступа для подключений клиентов VPN определяется
способностями наружного брандмауэра/устройства NAT. Если у
вас нечто более продвинутое, вы можете производить
контроль доступа с фильтрацией пакетов либо даже контроль
юзеров. Если же у вас только обычной брандмауэр с
поточной проверкой трафика либо устройство NAT вы практически не
будете держать под контролем, к чему удаленные клиенты VPN получают
доступ в сети DMZ.
Это путь запроса/отклика для подключений к ресурсам
Веб. Это один из 2-ух случаев, зависящих от
способностей вашего наружного брандмауэра либо устройства NAT.
Если он не поддерживает оборотную передачу в Веб, чтоб
позволить удаленным клиентам VPN подключение к ресурсам
Веб, тогда вы сможете настроить программку удаленного
доступа VPN для включения раздельного
туннелирования. Хотя раздельное туннелирование обычно
считается рискованным исходя из убеждений безопасности, это
единственная возможность предоставить удаленным клиентам VPN
доступ к Веб, если ваш наружный брандмауэр либо
устройство NAT не поддерживает оборотную передачу через
наружный интерфейс.
Это путь запроса/отклика для подключений к Веб
ресурсам. Это 2-ой случай, где ваш наружный брандмауэр либо
устройство NAT позволяет удаленным VPN клиентам
доступ к Веб ресурсам методом оборотной передачи через
устройство. Это избавляет необходимость включения
раздельного туннелирования и заодно предоставляет вам
потенциальную возможность ввести какой-нибудь вид
корпоративной политики брандмауэра для удаленных клиентов
VPN при подключении к VPN серверу. Схожая конфигурация
имеет свои достоинства в предотвращении заморочек
защищенности, связанных с раздельным туннелированием, но ее
недочетом будет то, что удаленные клиенты VPN
употребляют пропускную способность корпоративной сети при
подключении к Веб.

Прерывание VPN соединения перед ISA Firewall

Набросок 3

Прерывание VPN соединения у обычного брандмауэра с поточной
проверкой трафика либо устройства NAT и пути запроса/отклика
для корпоративной сети и подключений Web Proxy к Веб

На рисунке 4 показаны пути запроса/отклика, доступные, если
использовать конфигурацию, при которой удаленные VPN клиенты
употребляют ISA Firewall как устройство Web proxy при
подключении к удаленному серверу VPN:

Этот путь запроса/отклика употребляется для всех
не-HTTP/HTTPS соединений, если наружный брандмауэр не
поддерживает оборотную передачу через устройство для
подключения к Веб.
Этот путь запроса/отклика употребляется для всех
не-HTTP/HTTPS соединений, если наружный брандмауэр
поддерживает оборотную передачу через устройство для
подключения к Веб.
Этот путь запроса/отклика употребляется для всех
HTTP/HTTPS/HTTP туннелированных FTP запросов, если удаленный
клиент VPN настроен для использования ISA Firewall как
сервер Web proxy server при подключении к серверу VPN.
Возможность это сделать находится в зависимости от вашей программы-клиента
VPN и ее интеграции с Windows.

К примеру, если вы используете «родную» программу-клиент
VPN, которая поставляется вкупе с Windows XP Service Pack 2,
вы сможете подключиться к наружному брандмауэру либо устройству
NAT, используя VPN протоколы PPTP, L2TP/IPSec и L2TP/IPSec
NAT-T. После чего вы сможете настроить клиент VPN для
использования ISA Firewall как устройства Web proxy при
подключении к серверу VPN, расположенному перед ISA Firewall.
Это позволит вам ввести политику ISA Firewall policy и
фильтрацию содержимого для удаленного клиента VPN при
подключении к серверу VPN.

Эта конфигурация также позволяет вам вести всеобъятные
записи обо всех веб-сайтах и их содержанию, к которым получил
доступ юзер, включая имя юзера в файлах
записей, которое может быть применено в отчетах об
активности юзера в Вебе. Настройка клиента Web
proxy автоматом останавливается, когда клиент отключается
от VPN сервера, расположенного перед ISA Firewall. Поддержка
опции клиента Web proxy находится в зависимости от программы-клиента VPN,
которую вы используете.

Прерывание VPN соединения перед ISA Firewall

Набросок 4

Кошмарный сценарий

На рисунке 5 показано то, что я называю кошмарным
сценарием (nightmare scenario)
, и то, что в большинстве случаев
вижу в SBS сети, установленной кем-либо, кто незнаком с
моделью безопасности ISA Firewall и сетевой безопасностью
вообщем. Я также следил пробы сделать схожее у
юзеров, незнающих о сетях TCP/IP.

В этом случае есть метод, позволяющий подключения меж
корпоративной сетью, зоной DMZ и Веб, минующие ISA
Firewall. Более нередко люди получают схожий вариант,
поставив меж хаб либо свитч меж наружным интерфейсом ISA
Firewall и наружным брандмауэром/устройством NAT и подключив
наружный интерфейс ISA Firewall и внутренний интерфейс наружного
брандмауэра/устройства NAT к одному и тому же хабу/свитчу. В
дополнение к этому, они подключают этот хаб/свитч к другому,
расположенному снутри корпоративной сети. Это обеспечивает
обходной маршрут мимо ISA Firewall.

Этот сценарий я именовал кошмарным по последующим причинам:

Он предоставляет обходной маршрут, который позволяет
злостным юзерам обойти ISA Firewall.
Он не будет работать. Внутренний и наружный интерфейсы
ISA Firewall должны быть в сетях с различными
идентификаторами. Наружный интерфейс должен быть в той
же самой сети, что и LAN интерфейс наружного
брандмауэра/устройства NAT. Так как наружный интерфейс ISA
Firewall должен находиться в различных сетях с внутренним
интерфейсом, LAN интерфейс наружного брандмауэра/устройства
NAT должен быть подключен не к той сети, где находится
внутренний интерфейс ISA Firewall, что, как минимум,
значит, что хосты, расположенные в подсетях внутренней
сети, расположены не в той сети, к которой подключен LAN
интерфейс наружного брандмауэра/устройства NAT.

Естественно, вы сможете схитрить и поменять IP адресок и шлюз,
принадлежащий хосту во внутренней сети, так, что этот IP адресок
будет в сети с этим же самым идентификатором, что и та сеть,
куда подключен LAN интерфейс наружного брандмауэра/устройства
NAT, а позже настроить шлюз клиента под IP адресок LAN
интерфейса наружного брандмауэра/устройства NAT. Это позволит
злостному юзеру стопроцентно обойти ISA Firewall,
чтоб подключиться к Веб, а злостному наружному
юзеру получить доступ к корпоративной сети.

Вы играете с огнем, когда позволяете юзерам обходить
ISA Firewall, как им вздумается. По этой причине, заглавие
кошмарный полностью подходит этого сценария.

Прерывание VPN соединения перед ISA Firewall

Набросок 5

В этой статье мы обсудили вопросы внедрения ISA Firewall в
уже существующую инфраструктуру брандмауэра и сети VPN с
удаленным доступом. Есть несколько вариантов, и более
защищенные из их заставляют все подключения вовнутрь и снаружи
корпоративной сети проходить через ISA Firewall. Чтоб
получить более глубочайшее представление о том, как работает
данное решение, мы исследовали применяемые дела
маршрутизации, также пути запроса/отклика для удаленных
клиентов VPN. Во 2-ой части этой серии статей, мы перейдем к
деталям конфигурации и разглядим особенности каждой функции
опции.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.