Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Защита информации в инфокоммуникационных системах и сетях

..pdf
Скачиваний:
43
Добавлен:
05.02.2023
Размер:
7.89 Mб
Скачать

Рис. 13. Вкладка «Сопоставление пользователей (User Mapping)»

Щелкните мышью кнопки Apply (Применить) и ОК. Вы увидите диалоговое окно Microsoft Internet Security and Acceleration Server

2006 (Сервер защищенного быстрого доступа к сети Интернет 2006),

информирующее вас о том, что необходимо перезапустить компьютер для ввода в действие установленных параметров. Если так, щелкните мышью кнопку ОК в диалоговом окне.

На вкладке Tasks (Задачи) щелкните кнопкой мыши строку Select

Access Networks (Выбрать сети доступа).

В диалоговом окне Virtual Private Networks (VPN) Properties (Свойства: Виртуальные частные сети) (рис. 5.2.1.4) щелкните кнопкой мыши вкладку Access Networks (Сети доступа). Обратите внимание на то, что установлен флажок External (Внешняя). Это означает, что внешний интерфейс ожидает входящие соединения от

VPN-клиентов. Если вы хотите внутренних пользователей под-

ключить к брандмауэру ISA, выберите флажок Internal (Внутренняя)

311

Есть также варианты, разрешающие VPN-подключения из All Networks (and Local Host Network) (Все сети, и локальный компьютер) и All Protected Networks (Все защищенные сети).

Рис. 14. Выбор сетей доступа

Возможность выбора VPN-соединений из разных сетей может быть полезна, если у вас есть небезопасные сети, расположенные за брандмауэром

ISA. Предположим, что у вас есть трехадаптерный брандмауэр ISA, имеющий внешний интерфейс, внутренний интерфейс и интерфейс WLAN (Wireless Local

Area Network, беспроводная локальная сеть). Интерфейс WLAN применяется для пользователей портативных компьютеров (laptop), которые не управляются вашей организацией. Вы можете потребовать также и от пользователей управляемых компьютеров использовать сегмент WLAN, когда они приносят портативные компьютеры, которые перемещаются между корпоративной сетью и сетями, не заслуживающими доверия.

Вы настраиваете правила доступа на брандмауэре ISA, запрещающие соединения из сегмента WLAN. Но вы формируете правила доступа,

312

разрешающие VPN-соединения с интерфейсом WLAN для подключения к ресурсам корпоративной внутренней сети. В этом случае никто из пользователей, соединяющихся с сегментом WLAN, не способен получить доступ к ресурсам в корпоративной внутренней сети, за исключением тех корпоративных пользователей, кто может установить VPN-соединение с интерфейсом WLAN на брандмауэре ISA и предоставить соответствующие верительные данные для завершения VPN-соединения. Другой сценарий, в

котором вы можете разрешить VPN-соединение с брандмауэром ISA, –

функционирование брандмауэра ISA как внешнего (front-end) брандмауэра. В

этом случае вы, возможно, не захотите разрешать прямые соединения по протоколу RDP (Remote Desktop Protocol, протокол удаленного рабочего стола)

или удаленные соединения ММС с брандмауэром ISA. У вас есть возможность разрешить RDP-соединения только от VPN-клиентов и затем разрешить VPN-

клиентам доступ по протоколу RDP к сети локального хоста (Local Host Network). В этом случае пользователь должен установить защищенное VPN-

соединение с внешним брандмауэром ISA, прежде чем может быть установлено

RDP-соединение. Хостам, соединяющимся с помощью любых других средств,

запрещается доступ к RDP-протоколам.

Щелкните кнопкой мыши вкладку Address Assignment (Назначение адресов) (рис. 5.2.1.5). Выберите в раскрывающемся списке Use the following network to obtain DHCP, DNS and WINS services

(Использовать следующую сеть для получения доступа к службам

DHCP, DNS и WINS) элемент Internal (Внутренняя). Это важная установка, поскольку она определяет сеть, в которой осуществляется доступ к сервису DHCP.

313

Рис. 15. Вкладка «Назначение адресов (Address Assignment)»

Заметьте, что это не единственно возможный выбор. Можно выбрать любой из адаптеров брандмауэра ISA в списке Use the following network to obtain DHCP, DNS and WINS services (Использовать следующую сеть для получения сервисов DHCP, DNS и WINS). Ключевой вывод заключается в том, что вы выбираете адаптер, на котором есть корректная информация сервера имен и наиболее вероятный кандидат – внутренний интерфейс брандмауэра ISA. У вас также есть возможность использовать Static address pool (Пул статических адресов) для назначения адресов VPN-клиентам. Проблема применения пула статических адресов заключается в том, что при назначении адресов из подсети

(адреса в сети с тем же сетевым идентификатором (ID), что и один из ин-

терфейсов брандмауэра ISA) необходимо удалять эти адреса из сети, к которой подсоединен брандмауэр ISA.

Предположим, что у брандмауэра ISA есть два сетевых интерфейса:

внешний и внутренний. Внутренний интерфейс соединен с вашей внутренней сетью по умолчанию и ее сетевой идентификатор – 192.168.1.0/24. Если вы хотите назначить адреса VPN-клиентам из диапазона адресов внутренней сети,

314

используя пул статических адресов, например 192.168.1.200/211 (всего 10

адресов), вам нужно будет вручную удалить эти адреса из определения внутренней сети, прежде чем вы сможете создать из них пул статических адресов. Если вы попытаетесь создать пул статических адресов с сохранением этих адресов в подсети (on subnet), то увидите сообщение об ошибке.

Щелкните кнопкой мыши вкладку Authentication (Проверка подлинности). Отметьте, что установлен только флажок Microsoft encrypted authentication version 2 (MS-CHAPv2) (Шифрованная аутентификация версии 2, Протокол проверки подлинности запроса-

подтверждения Microsoft версии 2).

Рис.16. Вкладка «Проверка подлинности (Authentication)»

Щелкните кнопкой мыши вкладку Протокол RADIUS (Remote

Authentication Dial-In User Service, служба аутентификации удаленного дозванивающегося (коммутируемого) пользователя). На этой вкладке можно настроить VPN-сервер брандмауэра ISA 2006

для применения аутентификации VPN-пользователей с помощью сервиса RADIUS. Преимущество подтверждения подлинности

315

средствами RADIUS заключается в том, что можно привлечь базу данных пользователей службы Active Directory (или других каталогов) для аутентификации пользователей без обязательного членства в домене брандмауэра ISA.

В диалоговом окне Virtual Private Networks (VPN) Properties

(Свойства: Виртуальные частные сети) щелкните мышью кнопку

Apply (Применить) и затем кнопку ОК.

Щелкните мышью кнопку Apply (Применить) для сохранения изменений и обновления политики брандмауэра

Щелкните мышью кнопку ОК в диалоговом окне Apply New Configuration (Применить новую конфигурацию).

Перезапустите машину с брандмауэром ISA.

Создание правила доступа, предоставляющего VPN-клиентам доступ

к разрешенным ресурсам

Брандмауэр ISA после перезапуска компьютера сможет принимать входящие VPN-соединения. Но VPN-клиенты не получат доступ к ресурсам,

поскольку нет правил доступа, разрешающих им получать что-либо. Следует создать правила доступа, разрешающие членам сети VPN-клиентов обращаться к ресурсам, которые вы захотите им предоставить. Этот вариант значительно отличается от других комбинированных решений брандмауэра/VPN-cepвepa, в

которых применяются отслеживающие состояние соединений фильтрация и проверка на прикладном уровне всех соединений VPN-клиентов.

В следующем примере создается правило доступа, разрешающее любому трафику проходить из сети VPN-клиентов во внутреннюю сеть. В

производственной среде вам пришлось бы создавать более строгие правила доступа, для того чтобы пользователи сети VPN-клиентов получали доступ только к тем ресурсам, которые им необходимы.

316

Выполните следующие шаги для создания правила доступа,

обеспечивающего неограниченный доступ для VPN-клиентов.

На консоли управления The Microsoft Internet Security and

Acceleration Server 2006 (Сервер защищенного быстрого доступа к сети Интернет 2004) раскройте окно, связанное с именем сервера, и

щелкните кнопкой мыши узел Firewall Policy (Политика межсетевого экрана). Щелкните правой кнопкой мыши узел Firewall Policy (Политика брандмауэра), укажите левой кнопкой мыши команду New (Создать) и затем Access Rule (Правило доступа).

На странице New Access Rule Wizard (Мастер создания правила доступа) введите название правила в текстовое поле Access Rule name (Имя правила доступа). В данном примере – VPN Client to

Internal. Щелкните мышью кнопку Next (Далее).

На странице Rule Action (Действие правила) выберите вариант Allow (Разрешить) и щелкните мышью кнопку Next (Далее).

На странице Protocols (Протоколы) выберите вариант All outbound protocols (Весь исходящий трафик) в списке This rule applies to (Данное правило применяется к). Щелкните мышью кнопку Next (Далее).

На странице Access Rule Sources (Источники правил доступа)

щелкните мышью кнопку Add (Добавить). В диалоговом окне Add

Network Entities (Добавление сетевых сущностей) щелкните кнопкой мыши папку Networks (Сети) и дважды щелкните мышью узел VPN

Clients (VPN-клиенты). Щелкните мышью кнопку Close (Закрыть).

Щелкните мышью кнопку Next (Далее) на странице Access Rule Sources (Источники правил доступа).

На странице Access Rule Destinations (Пункты назначения правил доступа) щелкните мышью кнопку Add (Добавить). В диалоговом

317

окне Add Network Entities (Добавление сетевых сущностей)

щелкните кнопкой мыши папку Networks (Сети) и дважды щелкните мышью узел Internal (Внутренняя) и Local Computer (Локальный компьютер). Щелкните мышью кнопку Close (Закрыть).

На странице User Sets (Наборы учетных записей) согласитесь с установкой по умолчанию All Users (Все пользователи) и щелкните мышью кнопку Next (Далее).

Щелкните кнопку Finish (Готово) на странице Completing the New Access Rule Wizard (Завершение мастера создания Правило доступа).

Щелкните мышью кнопку Apply (Применить) для сохранения изменений и обновления политики брандмауэра.

Щелкните мышью кнопку ОК в диалоговом окне Apply New Configuration (Применить новую конфигурацию). Политика VPN-

клиента теперь отражена в верхнем правиле доступа, приведенном в списке политики доступа.

Сэтого момента VPN-клиенты, успешно подтвердившие свою подлинность и имеющие разрешение на соединение по телефонной линии,

имеют возможность доступа ко всем ресурсам внутренней сети с помощью любого протокола.

Разрешение удаленного доступа по телефонной линии

В доменах Active Directory, находящихся в неосновном режиме (non-native mode), для всех учетных записей пользователей по умолчанию удаленный доступ по телефонной линии (dial-in) запрещен. Вы должны разрешить такой доступ, основываясь на учетных записях для этих доменов Active Directory,

находящихся в неосновном режиме. Напротив, в доменах Active Directory,

находящихся в основном режиме (native mode), по умолчанию удаленный доступ по телефонной линии управляется политикой удаленного доступа

318

(Remote Access Policy). В доменах ОС Windows NT 4.0 удаленный доступ по телефонной линии управляется посредством учетных записей пользователя.

Выполните следующие шаги на контроллере домена для разрешения удаленного доступа по телефонной линии для учетной записи Administrator.

Щелкните мышью кнопку Start (Пуск) и строку Administrative Tools

(Администрирование). Щелкните мышью оснастку Active Directory Users and Computers (Active Directory – пользователи и компьютеры).

В оснастке Active Directory Users and Computers (Active Directory –

пользователи и компьютеры) щелкните мышью узел Users (Пользователи) на левой панели. Дважды щелкните кнопкой мыши учетную запись Administrator на правой панели оснастки.

Щелкните кнопкой мыши вкладку Dial-in (Соединение по телефонной линии). В области Remote Access Permission (Dial-in or VPN) (Разрешение удаленного доступа, по модему или через сеть

VPN) выберите переключатель Allow access (Разрешить доступ).

Щелкните мышью кнопку Apply (Применить) и затем кнопку ОК.

Закройте оснастку Active Directory Users and Computers (Active Directory – пользователи и компьютеры).

Другой вариант – создать группы на самом брандмауэре ISA и поместить их в группы. Этот метод позволит применить установочные параметры по умолчанию в учетных записях пользователей, созданных на брандмауэре, для которых по умолчанию выбран для удаленного доступа по телефонной линии

Control access via Remote Access Policy (Контроль доступа с помощью политики удаленного доступа).

Несмотря на то, что этот вариант не слишком хорошо регулируется, он вполне жизнеспособен в тех организациях, у которых ограниченное количество

VPN-пользователей и которые не хотят применять подтверждения подлинности с помощью системы RADIUS или не имеют RADIUS-сервера для использования.

319

Выполните следующие шаги для создания группы пользователей,

имеющих доступ к VPN-серверу брандмауэра ISA.

На рабочем столе брандмауэра ISA щелкните правой кнопкой пиктограмму My Computer (Мой компьютер) и щелкните левой кнопкой мыши команду Manage (Управление).

На консоли Computer Management (Управление компьютера)

раскройте узел System Tools (Служебные программы) и затем узел

Local Users and Groups (Локальные пользователи и группы).

Щелкните правой кнопкой мыши папку Groups (Группы) и левой кнопкой мыши щелкните команду New Group (Новая группа).

В диалоговом окне New Group (Новая группа) введите имя группы в текстовое поле Group Name (Имя группы). В данном примере мы назовем группу VPN Users. Щелкните мышью кнопку Add (Добавить).

В диалоговом окне Select: users (Выбор: пользователи) щелкните мышью кнопку Advanced (Дополнительно).

В диалоговом окне Select: users (Выбор: пользователи) выберите пользователей или группы, которые вы хотите сделать членами группы VPN-Клиенты. В этом примере мы выберем Authenticated Users (Аутентифицированные пользователи). Щелкните мышью кнопку ОК. Щелкните мышью кнопку ОК в диалоговом окне Select: users (Выбор: пользователи).

Щелкните мышью кнопку Create (Создать), а затем кнопку Close

(Закрыть).

Теперь настроим компонент VPN-сервера брандмауэра ISA для

разрешения доступа членам группы VPN-Клиенты.

На консоли управления Microsoft Internet Security and Acceleration Server 2004 (Сервер защищенного быстрого доступа к сети Интернет

320