Защита информации в инфокоммуникационных системах и сетях

В консоли управления Microsoft Internet Security and Acceleration Server

2004 разверните имя сервера и щелкните мышью Firewall Policy (Политика брандмауэра).

В узле Firewall Policy (Политика брандмауэра) щелкните мышью вкладку

Tasks (Задачи) на панели задач. На панели задач щелкните мышью Create a New Access Rule (Создать новое правило доступа).

На странице Welcome to the New Access Rule Wizard (Вас приветствует

мастер создания нового правила доступа) введите All Open (Все открыто)

в текстовое поле

Access Rule name (Имя правила доступа). Нажмите кнопку Next (Далее).

На странице Rule Action (Действие правила) выберите Allow

(Разрешающее) и нажмите кнопку Next (Далее).

На странице Protocols (Протоколы) выберите вариант All outbound traffic

(Ко всему исходящему трафику) из списка This rule applies to (Это правило применяется) и нажмите кнопку Next (Далее).

Нажмите кнопку Next (Далее) на странице Protocols (Протоколы).

На странице Access Rule Sources (Источники для правила доступа)

нажмите кнопку Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью папку Networks (Сети). Дважды щелкните мышью

Internal (Внутренняя) и нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Sources (Источники для правила доступа).

Нажмите кнопку Add (Добавить) на странице Access Rule Destinations

(Адресаты правила доступа).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью папку Networks (Сети) и дважды щелкните мышью

External (Внешняя). Нажмите кнопку Close (Закрыть).

301

Нажмите кнопку Next (Далее) на странице Access Rule Destinations

(Адресаты правила доступа).

На странице User Sets (Подмножества пользователей) оставьте значение по умолчанию All Users (Все пользователи) и нажмите кнопку Next (Далее).

На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) проверьте настройки и нажмите кнопку Finish (Готово).

Правило доступа должно выглядеть, как на рис. 6.28. В данном случае не нужно менять порядок правил. При создании расширенных правил доступа для контроля исходящего и входящего доступа, возможно,

потребуется изменить порядок правил, чтобы добиться желаемых результатов.

Конфигурирование компьютеров внутренней сети

Компьютеры внутренней сети настраиваются как клиенты SecureNAT ISA Server. Клиент SecureNAT — это компьютер, адрес основного шлюза которого настроен как IP-адрес сетевого устройства, маршрутизирующего запросы из Интернета на внутренний IP-адрес брандмауэра ISA Server 2004.

Когда компьютеры внутренней сети имеют тот же идентификатор сети,

что и внутренний интерфейс брандмауэра ISA, основной шлюз компьютеров внутренней сети настраивается как внутренний IP-адрес на компьютере брандмауэра ISA. Так настраивается область DHCP на DHCP-сервере,

расположенном на брандмауэре ISA.

В этом разделе описывается конфигурирование компьютеров внутренней сети, имеющих тот же идентификатор сети, что и внутренний интерфейс брандмауэра ISA Server 2004, и клиентов, которые могут иметь другой идентификатор сети. Чаще всего второй случай встречается в крупных сетях, в

которых для внутренней сети есть более одного идентификатора сети.

302

Настройка клиентов внутренней сети как DHCP-клиентов

DHCP-клиенты запрашивают информацию об IP-адресах с DHCP-сервера.

В этом разделе описывается, как настроить клиент Windows 2000 (Server или

Professional) как DHCP-клиент. Эта процедура схожа для всех клиентов на базе

Windows. Для того чтобы настроить клиент внутренней сети как DHCP-клиент,

выполните следующие действия:

Правой кнопкой мыши щелкните значок My Network Places (Сетевое окружение) на рабочем столе и в контекстном меню выберите пункт

Properties (Свойства).

В окне Network Connections (Сетевые подключения) правой кнопкой мыши щелкните внешний сетевой интерфейс и выберите пункт Properties

(Свойства).

В диалоговом окне Properties (Свойства) сетевого интерфейса щелкните мышью запись Internet Protocol (TCP/IP) (Протокол Интернета, TCP/IP) и

щелкните мышью пункт меню Properties (Свойства).

В диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокол Интернета TCP/IP) (рис. 6.29) выберите Obtain an IP-address automatically

(Получить IP-адрес автоматически).

Выберите Use the following DNS server addresses (Использовать следующие адреса DNS-серверов). Введите IP-адрес внутреннего интерфейса в текстовое поле Preferred DNS server (Предпочитаемый DNS-сервер).

Нажмите кнопку ОК в диалоговом окне Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета TCP/IP).

VPN-соединение

Обзор использования VPN межсетевым экраном ISA

Постоянный рост популярности виртуальных частных сетей (VPN)

превратил их в стандарт для компаний, имеющих надомных работников,

администраторов и продавцов, которым необходим доступ к сети вне офиса, а

303

также партнеров и клиентов, нуждающихся в доступе к ресурсам корпоративной сети. Задача VPN – разрешить удаленный доступ к ресурсам корпоративной сети, которые в противном случае могут быть доступными только при непосредственном подключении пользователя к локальной сети. С помощью

VPN-соединения пользователь получает «виртуальное», конфигурации узел-в-

узел соединение удаленного VPN-пользователя с корпоративной сетью.

Пользователь может работать так, как будто он (она) находится в офисе;

приложения и сервисы, выполняющиеся на компьютерах пользователей,

интерпретируют VPN-линию связи как типичное соединение Ethernet. Интернет,

через который клиент соединяется с корпоративной сетью, полностью скрыт от пользователей и приложений (прозрачен для них).

Одно из главных преимуществ применения VPN-соединения по сравнению с клиент-серверным Web-приложением заключается в том, что VPN-

пользователи, находящиеся далеко от локальной сети, могут получить доступ ко всем протоколам и серверам корпоративной сети. Программное обеспечение

VPN-клиента встроено во все современные операционные системы Windows.

VPN-пользователю не нужны никакие специальные программные средства для подключения к любому из этих сервисов и нет необходимости создавать специальные приложения прокси, разрешающие вашим пользователям подсоединяться к этим ресурсам.

ISA Server 2000 был первым брандмауэром корпорации Microsoft,

обеспечивающим тесную интеграцию VPN и управление ими. В состав ISA Server 2000 были включены удобные мастера, упрощающие создание VPN-

соединений удаленного доступа и межшлюзовых.или узел-в-узел VPN-

соединений с брандмауэром ISA Server 2000/VPN-cepвepoм. Но сформированную структуру все еще можно было улучшить. VPN-сервер брандмауэра ISA Server 2000 требовал от администратора брандмауэра значительных затрат времени на точную настройку конфигурации VPN-сервера

304

с помощью консоли сервиса Routing and Remote Access (маршрутизация и уда-

ленный доступ).

В ISA Server 2006 существенно усовершенствованы VPN-компоненты,

которые включены в состав брандмауэра из сервиса Routing and Remote Access

(RRAS) операционных систем Windows 2000 и Windows Server 2003. Теперь администратор имеет возможность конфигурировать VPN-сервер и шлюзовые компоненты и управлять ими непосредственно на консоли управления брандмауэра ISA Server 2006, не переключаясь между консолью управления ISA MMC и консолью управления RRAS ММС. Вам очень редко понадобится консоль сервиса маршрутизации и удаленного доступа для конфигурирования

VPN-компонентов.

К другим усовершенствованиям функциональных возможностей использования VPN в ISA Server 2006 можно отнести следующие:

политику брандмауэра, применяемую к соединениям VPN-клиентов;

политику брандмауэра, применяемую к VPN-соединениям конфигурации узел-в-узел;

VPN-карантин или временную изоляцию;

отображение пользователей для VPN-клиентов;

поддержку клиентов SecureNAT для VPN-соединений;

виртуальную частную сеть конфигурации «узел-в-узел» с

применением туннельного режима протокола IPSec;

публикацию VPN-серверов по протоколу РРТР (Point-to-Point

Tunneling Protocol, сквозной туннельный протокол);

поддержку аутентификации секретным ключом Pre-shared Key для

VPN-соединений по протоколу IPSec;

улучшенная работа сервера имен для VPN-клиентов;

мониторинг соединений VPN-клиентов.

305

Эти новые свойства VPN-сервера и шлюза делают ISA 2006 одной из наиболее мощных реализаций как VPN, так и брандмауэров, представленных сегодня на рынке.

Создание VPN-сервера удаленного доступа по протоколу PPTP

VPN-сервер удаленного доступа принимает VPN-вызовы от компьютеров

VPN-клиентов. Он разрешает отдельным компьютерам клиента и пользователям получать доступ к сетевым ресурсам после того, как установлено VPN-

соединение. VPN-шлюз, напротив, соединяет целые сети друг с другом и разрешает многочисленным хостам в каждой сети соединяться с другими сетями с помощью VPN-канала типа узел-в-узел.

Для соединения с VPN-сервером можно использовать любое клиентское программное обеспечение, поддерживающее протоколы РРТР или L2TP/IPSec.

Идеальным выбором может служить VPN-клиент Microsoft, входящий в состав всех версий ОС Windows. Но если вы хотите использовать протокол L2TP/IPSec

с секретными ключами (pre-shared keys), обходящий NAT (NAT traversal),

следует загрузить и установить обновленный клиент L2TP/IPSec с сайта загрузки корпорации Microsoft.

В этом разделе мы рассмотрим процедуры, необходимые для создания на брандмауэре ISA VPN-сервера удаленного доступа по протоколу РРТР.

Выполним следующие конкретные шаги:

активизируем компонент VPN-сервера брандмауэра ISA;

создадим правило доступа, разрешающее VPN-клиентам доступ к внутренней сети;

разрешим удаленный доступ по телефонной линии (Dial-in) для учетных записей пользователей VPN;

протестируем VPN-соединение по протоколу РРТР.

306

Включение VPN-сервера

Необходимо включить компонент VPN-сервера, так как он по умолчанию отключен. Первый шаг – активизация функции VPN-сервера и конфигурирование его компонентов. Делается это на консоли управления

Microsoft Internet Security and Acceleration Server 2006 (Сервер защищенного быстрого доступа к сети Интернет 2006), а не на консоли сервиса RRAS.

Большая часть проблем конфигурации VPN брандмауэра ISA была связана с применением неопытными администраторами брандмауэра ISA консоли сервиса RRAS (Routing and Remote Access Services, сервис маршрутизации и удаленного доступа) для настройки VPN-компонентов. Несмотря на то, что возможны ситуации, в которых нам понадобится эта консоль, подавляющая часть конфигурирования VPN-сервера брандмауэра ISA и VPN-шлюза выполняется на консоли управления Microsoft Internet Security and Acceleration

Server 2006 (Сервер защищенного быстрого доступа к сети Интернет 2006).

Выполните следующие шаги для включения и настройки VPN-сервера ISA

2006:

Откройте консоль управления Microsoft Internet Security and Acceleration

Server 2006 (Сервер защищенного быстрого доступа к сети Интернет 2006)

и раскройте окно, связанное с именем сервера.

Щелкните кнопкой мыши узел Virtual Private Networks (VPN) (Виртуальные частные сети).

Щелкните мышью вкладку Tasks (Задачи) на панели задачи.

Щелкните кнопкой мыши ссылку Enable VPN Client Access (Включить доступ VPN-клиентов).

Щелкните мышью кнопку Apply (Применить) для сохранения изменений обновления политики брандмауэра.

Щелкните мышью кнопку ОК в диалоговом окне Apply New Configuration (Сохранение изменений конфигурации).

307

На вкладке Tasks (Задачи) щелкните кнопкой мыши ссылку Configure VPN Client Access (Настроить доступ VPN-клиентов).

На вкладке General (Общие) в диалоговом окне VPN Clients Properties (Свойства: VPN-клиенты) измените значение параметра Maximum number of VPN clients allowed (Максимальное разрешенное количество VPN-

клиентов) с 5 на 10. Версия Standard Edition брандмауэра ISA

поддерживает до 1000 параллельных VPN-соединений. Это жестко заданный предел, и он не меняется независимо от количества VPN-

соединений, поддерживаемых операционной системой Windows, в

которой установлен брандмауэр ISA. У версии Enterprise edition бранд-

мауэра ISA нет жестко заданного лимита и количество поддерживаемых

VPN-соединений определяется базовой операционной системой. Точно число неизвестно, но если брандмауэр ISA установлен в ОС Windows Server 2003 версии Enterprise, вы можете создать к брандмауэру ISA 16 000

VPN-подключений по протоколу РРТР и 30 000 – по протоколу

L2TP/IPSec.

Рис.11. Вкладка «Общие (General)»

308

Убедитесь, что имеется количество IP-адресов для VPN-клиентов, по меньшей мере, равное числу, указанному в текстовом поле Maximum number of VPN clients allowed (Максимальное разрешенное количество VPN-клиентов).

Определите количество VPN-клиентов, которые необходимо соединить с брандмауэром ISA, а затем добавьте единицу для самого брандмауэра ISA. Это и будет число, которое нужно ввести в данное текстовое поле.

Щелкните кнопкой мыши вкладку Groups (Группы). На этой вкладке щелкните мышью кнопку Add (Добавить).

В диалоговом окне Select Groups (Выбор: «Группы») щелкните мышью кнопку Locations (Размещение). В диалоговом окне Locations (Размещение) щелкните кнопкой мыши адрес USER-9E55B268E1, а

затем кнопку ОК.

В диалоговом окне Select Groups (Выбор: «Группы») в текстовое поле Enter the object names to select (Введите имена выбираемых объектов) введите VPN-клиенты. Щелкните мышью кнопку Check Names (Проверить имена). Как только имя группы будет найдено в базе данных Active Directory, оно будет подчеркнуто. Щелкните мышью кнопку ОК.

Щелкните кнопкой мыши вкладку Protocols (Протоколы). На этой вкладке установите флажок Enable PPTP (Разрешить протокол PPTP)

(рис. 12)

309