SSL VPN, VPN teknolojisinde bir adım ileridir. SSL VPN – kullanıcı algoritması

SSL VPN-Plus teknolojisi uzaktaki çalışanların bulut veri merkezinize erişmesini sağlamanıza olanak tanır. Bu, erişim şirketin kontrolü dışında olan ve "güvenilmez" olarak kabul edilen bir kamu makinesinden olsa bile, çalışanların yalnızca bu çalışanlar için gerekli görülen kaynaklara güvenli erişime sahip olmasını sağlar.

Bu makalede kurulum hakkında bilgi verilmektedir SSL VPN-Artı.

Kullanılan topoloji:

1. Bölümde "Yönetim"İstediğiniz veri merkezine gidin. Görünen ayarlar menüsünde sekmeye gidin "Kenar Ağ Geçitleri". İstediğiniz “vShield Edge”i seçin. Sağ tıklayın ve beliren menüden seçeneği seçin "Edge Gateway Hizmetleri".

1. Sekmeyi aç SSL VPN-Artı, sekmeye git Sunucu Ayarları ve geçiş anahtarına basarak SSL VPN sunucusunu etkinleştirin Etkinleştirilmiş.

Ardından vShield IP adresini, bağlantı noktası – 443'ü seçin ve tüm şifreleme algoritmalarının kutularını işaretleyin.

1. Sekmede İstemci Yapılandırması seçili olup olmadığını kontrol edin Tünel açma modu – Bölünmüş

1. Sekmede Kullanıcılar Bağlanan her çalışan için bağlantı ayrıntıları oluşturuyoruz.

1. Sekmede IP Havuzları bağlanan bilgisayarlara atanacak bir dizi IP adresi oluşturun

1. Sekmede Kurulum Paketleri istemci programı kurulum paketi için parametreler oluşturun. Gateway (vShield) IP adresine erişirken SSL VPN-Plus istemci programı indirilecektir.

Kutuları işaretleyerek türleri seçin işletim sistemleri, hangi bağlantıların gerçekleşeceği. Bu, kurulum paketlerinin ön oluşturulması için gereklidir.

1. Sekmede Özel Ağlar bağlı çalışanın erişebileceği bulut veri merkezi ağlarının aralıklarını belirliyoruz

1. Bu konuda kurulum tamamlandı. Artık https://195.211.5.130/sslvpn-plus/ bağlantısını takip edip giriş yaparak SSL VPN-plus istemci programını indirebilir ve bulut veri merkezine bağlanabilirsiniz.

Bu makale serisinin önceki bölümlerini kaçırdıysanız lütfen okuyun:

Bu makale serisinin ilk iki bölümünde, SSL VPN sunucusunun nasıl oluşturulacağı anlatılmaktadır. Windows tabanlı Server 2008'de VPN ağları oluşturmanın bazı temellerini ele aldık ve ardından sunucu yapılandırmasını tartıştık. Bu noktada bazı küçük konfigürasyon değişikliklerini tamamlamaya hazırız. Aktif Dizin ve CA web sitesinde. Bu değişiklikleri yaptıktan sonra VPN istemci yapılandırmasına odaklanacağız ve son olarak SSL VPN bağlantısını oluşturacağız.

Kullanıcı hesabını Çevirmeli bağlantıları kullanacak şekilde yapılandırma

Kullanıcı hesaplarının bağlanabilmesi için önce çevirmeli erişim izinleri gerekir Windows sunucusu Active Directory etki alanının parçası olan VPN. En en iyi yol bunu yapmak için Ağ İlkesi Sunucusunu (NPS) ve ayrıca izni kullanmak gerekir hesap NPS politikasına göre uzaktan erişime izin veren varsayılan kullanıcı. Ancak bizim durumumuzda bir NPS sunucusu kurmadığımız için kullanıcının dışarıdan erişim iznini manuel olarak yapılandırmamız gerekecek.

Bir sonraki makalede, SSL VPN sunucusuyla bağlantı oluşturmak için NPS sunucusunu ve EAP Kullanıcı Sertifikası kimlik doğrulamasını kullanmaya odaklanacağım.

Belirli bir kullanıcı hesabının arayarak bağlanma erişiminin bir SSL VPN sunucusuna bağlanmasına izin vermek için aşağıdaki adımları tamamlamanız gerekir. Bu örnekte, varsayılan etki alanı yöneticisi hesabı için arayarak erişim iznini etkinleştireceğiz:

CRL Dizini için HTTP bağlantılarına izin vermek üzere Sertifika Sunucusunda IIS'yi yapılandırma

Bazı nedenlerden dolayı kurulum sihirbazı, Sertifika Hizmetleri web sitesini yüklediğinde, CRL dizinini bir SSL bağlantısı isteyecek şekilde yapılandırır. Bu, güvenlik açısından oldukça iyi bir fikir gibi görünse de sorun, sertifikadaki Tekdüzen Kaynak Tanımlayıcısının (URI) SSL kullanacak şekilde yapılandırılmamış olmasıdır. Sertifikanın SSL kullanabilmesi için kendiniz bir CDP kaydı oluşturabileceğinizi tahmin ediyorum, ancak Microsoft'un bu sorundan hiçbir yerde bahsetmediğine bahse girerim. Bu yazıda kullandığımızdan beri standart parametreler CDP için, CRL dizini yolu için CA web sitesindeki SSL gereksinimini devre dışı bırakmamız gerekir.

Bir CRL dizini için SSL gereksinimini devre dışı bırakmak için şu adımları izleyin:

Bir VPN istemcisi için HOSTS dosyası kurma

Artık tüm dikkatimizi VPN istemcisine verebiliriz. İstemciyle yapmamız gereken ilk şey, genel bir DNS altyapısını simüle edebilmemiz için bir HOSTS dosyası kurmaktır. HOSTS dosyasına girmemiz gereken iki isim var (aynı şeyin public için de yapılması gerekiyor) DNS sunucusu a, üretim ağlarında kullanacağınız). İlk ad, SSL VPN sunucusuyla ilişkilendirdiğimiz sertifikanın ortak/konu adına göre belirlenen VPN sunucusunun adıdır. HOSTS dosyasına (ve genel DNS sunucusuna) girmemiz gereken ikinci ad, sertifikada bulunan CDP URL adıdır. Bu serinin 2. bölümünde CDP bilgilerinin konumuna baktık.

Bu örnekte HOSTS dosyasına girilmesi gereken iki ad şöyle olacaktır:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Yapılandırmak için HOSTS dosyası Vista SP1 VPN istemcisi için şu prosedürleri izleyin:

1. Dosyayı kapatın ve seçeneği seçin değişiklikleri kaydet.

Bir VPN sunucusuna bağlanmak için PPTP kullanma

SSL VPN bağlantısı oluşturmaya yavaş yavaş yaklaşıyoruz! Bir sonraki adım, Vista SP1 istemcisinde, VPN sunucusuna ilk VPN bağlantısı oluşturmamıza olanak sağlayacak bir VPN konektörü oluşturmaktır. Bizim durumumuzda istemci bilgisayar etki alanının üyesi olmadığı için bunun yapılması gerekiyor. Makine bir etki alanının üyesi olmadığından, CA sertifikası Güvenilen Kök Sertifika Yetkilileri deposuna otomatik olarak yüklenmeyecektir. Makine bir etki alanının parçasıysa, otomatik kayıt Enterprise CA'yı kurduğumuzdan beri bu sorunu bizim için çözebilirdi.

Bu adımı tamamlamanın en kolay yolu Vista SP1 VPN istemcisinden bir PPTP bağlantısı oluşturmaktır. Windows Sunucusu 2008 VPN sunucusu. Varsayılan olarak VPN sunucusu PPTP bağlantılarını destekleyecektir ve istemci, L2TP/IPSec ve SSTP'yi denemeden önce PPTP'yi deneyecektir. Bunu yapmak için bir VPN Bağlayıcısı veya bağlantı nesnesi oluşturmamız gerekiyor.

VPN istemcisinde bağlayıcı oluşturmak için şu adımları izleyin:

Kurumsal CA'dan CA Sertifikası Alma

SSL VPN istemcisi, VPN sunucusu tarafından kullanılan sertifikayı veren CA'ya güvenmelidir. Bu güveni oluşturmak için VPN sunucusuna sertifika veren CA'ya bir CA sertifikası yüklememiz gerekiyor. Bunu, dahili ağdaki CA kayıt web sitesine bağlanarak ve VPN istemcisinin sertifikasını Güvenilen Kök Sertifika Yetkilileri deposuna yükleyerek yapabiliriz.

Kayıt sitesinden sertifika almak için şu adımları izleyin:

1. Tıklamak Kapalı iletişim kutusunda.
2. Kapanış İnternet Explorer.

Şimdi CA sertifikasını VPN istemci makinesinin Güvenilen Kök Sertifika Yetkilileri Sertifika Deposuna yüklememiz gerekiyor. Bunu yapmak için aşağıdakileri yapmanız gerekir:

1. MMC konsolunu kapatın.

İstemciyi SSTP kullanacak şekilde yapılandırma ve VPN sunucusuna SSTP aracılığıyla bağlanma

Ve şimdi her şey neredeyse hazır! Şimdi VPN bağlantısını kesmemiz ve VPN istemcisini VPN protokolü için SSTP kullanacak şekilde yapılandırmamız gerekiyor. Üretim ortamında, kullanıcı için SSTP kullanan bir istemci içeren bir VPN bağlantı nesnesi oluşturmak amacıyla Bağlantı Yöneticisi Yönetim Seti'ni kullanacağınızdan veya yalnızca SSTP bağlantı noktalarını yapılandıracağınızdan, kullanıcılar için bu adımı kullanmanıza gerek kalmayacaktır. VPN sunucusunda.

Siz sertifikaları yüklerken kullanıcıların bir süre PPTP kullanabilmesi için zamanı planlamanız gerektiğinden, her şey ortam yapılandırmanıza bağlıdır. Elbette CA sertifikalarını çevrimdışı olarak, yani bir web sitesinden indirerek veya e-posta bu durumda PPTP kullanıcılarına izin vermenize gerek kalmayacaktır. Ancak bazı istemciler SSTP'yi desteklemiyorsa PPTP'yi veya L2TP/IPSec'i etkinleştirmeniz gerekir ve SSTP olmayan tüm bağlantı noktalarını devre dışı bırakamazsınız. Böyle bir durumda güvenmek zorunda kalacaksınız manuel ayar veya güncellenmiş CMAK paketine.

Buradaki diğer bir seçenek de SSTP istemcisini RRAS sunucusundaki belirli bir IP adresine bağlamak olacaktır. Bu durumda, yalnızca gelen SSTP bağlantıları için ağı dinleyen SSL VPN sunucusundaki IP adresine başvuran özel bir CMAK paketi oluşturabilirsiniz. SSTP VPN sunucusundaki diğer adresler, PPTP ve/veya L2TP/IPSec bağlantıları için ağı dinleyecektir.

PPTP oturumunu devre dışı bırakmak ve VPN istemci bağlantı nesnesini SSTP kullanacak şekilde yapılandırmak için şu adımları izleyin:

Şekil 29

Çözüm

Windows Server 2008 kullanarak bir SSL VPN sunucusunun nasıl oluşturulacağına ilişkin serimizin bu son bölümünde, bir kullanıcı hesabı, bir web sitesi CRL'si ve bir SSL VPN istemcisi oluşturmayı tamamladık. SSTP bağlantısını oluşturmayı da tamamladık ve başarılı olduğunu doğruladık. Teşekkür ederim

Kaynak www.windowsecurity.com

Okuyucu Yorumları (Yorum yok)

Değişim 2007

Birlikte çalışmaya başladığımızdan bu yana bir yıldan fazla zaman geçti . Açıklanan konfigürasyonun kullanılmasıyla ilgili bir miktar deneyim birikmiş, artıları ve eksileri belirlenmiş ve belirli sonuçlar çıkarılmıştır. Bu sonuçlara dayanarak, bu notta güvenli kurulum konusunu geliştirmeye devam edeceğiz. VPN bağlantıları ve protokolü kullanarak çalışma yeteneğini organize etmek için gerekli adımları göz önünde bulundurun SSTP (Güvenli Soket Tünel Protokolü).

Kullanım deneyimi L2TP/IPsec VPN, bağlantı için adım adım açık talimatlar varsa çoğu kullanıcının böyle bir VPN bağlantısını herhangi bir sorun yaşamadan kendi başına kurabildiğini göstermiştir. Ancak yine de, bu gibi durumlarda bile hata yapmayı başaran kişiler her zaman vardır ve bu nedenle, bir VPN bağlantısı oluşturma sürecini basitleştirme ihtiyacı fikri her zaman bir yerlerde parlamıştır. arka plan. Ayrıca bazı durumlarda, İnternet sağlayıcıları düzeyinde tespit edilen L2TP/IPsec VPN için gerekli bazı bağlantı noktalarının engellenmesi sorunuyla da karşılaştık. Üstelik bazen işler saçmalık noktasına kadar ulaşıyordu; aynı internet sağlayıcısı L2TP/IPsec trafiğini şehrin bir ucunda hiçbir engel olmadan iletirken şehrin diğer ucunda engelleniyordu. Hatta kendimiz için farklı İnternet sağlayıcılarının bölgelerini, L2TP/IPsec VPN'in kusursuz çalışacağı segmentlere ve kesinlikle sorunların olacağı bölgelere ayırdık ve yerel kurumsal ağ kaynaklarına erişim için alternatif seçenekler hakkında düşünmemiz gerekecek. . Ayrıca, iş seyahatinde olanların ve tatilcilerin "otel interneti" üzerinden uzaktan bağlanmaya çalışırken, gerekli bağlantı noktalarının engellenmesiyle ilgili aynı sorunlar nedeniyle sorunlar yaşadıkları durumlar da vardı. Elbette, L2TP/IPsec VPN'i kullanıma sunmadan önce tüm bu risklerin farkındaydık ve sorunlu durumların büyük çoğunluğunda bir tür geçici çözüm vardı, ancak bu tür durumların her birinin "ağızda kalan tadı" tatsız olmaya devam etti.

Seçimimin neden daha önce L2TP/IPsec'e düştüğünü hatırlamaya başladım. İki belirleyici faktör vardı: kabul edilebilir bir güvenlik düzeyi ve daha geniş bir istemci işletim sistemi yelpazesi için destek. O zamanlar protokolle ilgilendiğimi hatırlıyorum SSTP ama beni bu teknolojiden uzaklaştıran birkaç faktör vardı. Birincisi, o zamanlar hâlâ yeterli sayıda müşterimiz vardı. Microsoft Windows XP ve bu işletim sisteminde bildiğiniz gibi SSTP protokolü desteklenmiyor. İkincisi, kamu sertifikasını kurumsal olarak kullanamadım. alan adları SSTP bağlantılarını korumak için ve bunu dahili bir özel CA'dan gelen bir sertifikayla değiştirme isteği yoktu, çünkü bu, kök sertifikasının İnternet istemcilerine dağıtılması ve bir sertifika iptal listesi yayınlanmasıyla ilgili sorunları beraberinde getiriyordu ( Sertifika İptal Listesi – CRL) İnternette.

Ancak zaman geçtikçe, Windows XP'ye sahip istemcilerin sayısı çok daha az oldu (kurumsal bilgi güvenliği politikasının güçlendirilmesi ve agresif reklamlar). Microsoftİşletim sisteminin güncellenmesi işi başardı) ve artık genel bir sertifikayla çalışma fırsatım var. Ayrıca Linux gibi OC'lerde bilgiyle karşılaştım ve elma Mac'i SSTP bağlantılarını destekleyen istemci yazılımı OS X, bir zamanlar bu protokolün özel yapısı nedeniyle "Win'den yalıtılmış" olduğu tahmin edilmesine rağmen, uzun süredir oldukça başarılı bir şekilde kullanılıyor.

Bu nedenle, SSTP'nin tüm avantajlarını, özellikle de HTTPS protokolü (TCP 443) aracılığıyla standart bir İnternet bağlantısı kullanmanın mümkün olduğu hemen hemen her ortamda çalışabilme yeteneğini pratikte deneyimlememizin kesinlikle zamanı geldi. Yani, SSTP kullanırken teorik olarak sorun yaşamamalısınız. VPN bağlantısı, evden değil (her türlü NAT'ı ve İnternet sağlayıcılarının yerel ağ ekipmanının her türlü çarpık ayarını kullansanız bile) veya bir otelde (proxy kullansanız bile) veya başka bir yerde değil. Ek olarak, istemci sisteminde SSTP kullanarak bir VPN bağlantısı kurma prosedürü inanılmaz derecede basitleştirilmiştir ve dijital sertifikaların manipülasyonunu içermez (sunucu tarafında genel bir sertifika kullanılması şartıyla).

Temel Gereksinimler istemcilere ve kurulumlarına

İşletim sistemine dayalı istemci sistemlerinden bahsediyorsak Microsoft Windows, o zaman SSTP'nin aşağıdaki sistemlerde çalıştığını dikkate almanız gerekir: Windows Vista SP1 ve daha sonra. Halen "yaşayan mamutlar" biçiminde olanlar da dahil olmak üzere Windows Vista SP1'in altındaki istemci sistemleri için Windows XP, daha önce olduğu gibi, protokolün kullanılacağı varsayılmaktadır. L2TP/IPsec yukarıda bahsettiğim tüm koşullarla birlikte. Protokolü kullanmaktan PPTP uzun süredir tehlikeye atıldığı için, tamamen terk edilmesi öneriliyor. Windows istemci işletim sistemlerinde SSTP bağlantısı kurmaya yönelik güncellenmiş talimatların bağlantıları bu makalenin sonunda bulunabilir.

İşletim sistemi tabanlı istemci sistemleri için Linux açık bir proje kaynak kodu. Zaten hazırladım adım adım talimatlar Linux sistemlerinde özellikle deneyimli olmayan kullanıcılar için yapılandırma örneğini kullanarakUbuntuLinux 14.04 Ve 15.04 /15.10 .

İşletim sistemi tabanlı istemci sistemleriyle ilgili olarak Apple MacOS'u Henüz anlaşılır bir şey söyleyemem çünkü elimde değiller. Mevcut yüzeysel bilgilere dayanarak şunları kullanabilirsiniz: (konsol seçeneği olarak) veya buna göre oluşturulmuş bir paketi kullanabilirsiniziSSTP üzerinden kontrol ile GUI. Umarım yakın gelecekte Vitaly Jacob bizi uygun kullanıcı talimatlarıyla memnun edecektir.

Tüm istemciler için ortak bir gereksinim, SSTP VPN istemcisinin, VPN sunucusu tarafından sağlanan sertifikanın iptal edilmediğinden emin olmak için sertifika iptal listelerini (CRL'ler) kontrol edebilmesidir. Bu tür bir kontrol istemci tarafında devre dışı bırakılabilir ancak güvenlik açısından bu en iyi çözüm değildir ve yalnızca son çare olarak kullanılmalıdır.

Bir VPN sunucusu ve yapılandırması için temel gereksinimler

Bizim durumumuzda VPN bağlantısının sunucu kısmı bir uzantı olacaktır. VPN sunucuları tabanlı Windows Sunucusu 2012 R2 rolüyle Uzaktan Erişim.

Bir VPN sunucusunun ana gereksinimlerinden biri, muhtemelen yukarıdakilerin hepsinden de anlaşılacağı gibi, üzerinde yüklü bir sertifikanın bulunmasıdır. Böyle bir sertifikayı halka açık CA'lardan alabilirsiniz ve kural olarak bu tür sertifikalar çok paraya mal olur. Ancak ücretsiz seçenekler de var, örneğin WoSign Ücretsiz SSL Sertifikaları . Benim henüz böyle bir CA ile iletişim kurma deneyimim olmadı ve bu nedenle bu konudaki yorumlarınızı duymak ilginç olacak.

VPN sunucusu sertifikası gereksinimleri

SSTP için önemli olan şey, üçüncü taraf bir genel CA'dan sertifika almak için bir istek oluştururken, istenen sertifikanın bir uygulama politikasına sahip olması gerektiğini hatırlamanız gerektiğidir ( Genişletilmiş Anahtar Kullanımı, EKU) - Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1 ). Elbette böyle bir sertifika için özel anahtarın dışa aktarımına izin verilmelidir, çünkü örneğin bir küme yapılandırması kullanılıyorsa sertifikayı birden fazla VPN sunucusuna yüklememiz gerekebilir.

Ortaya çıkan sertifika için zorunlu bir gereklilik aynı zamanda sertifika iptal listesinin ( CRL SSTP bağlantısı oluşturmanın en başında olduğundan, sertifikada belirtilen) İnternet üzerinden erişilebilir olmalıdır. istemci bilgisayar VPN sunucusu tarafından sağlanan sertifikanın iptal edilip edilmediğini kontrol etmeye çalışacaktır. Kullanılabilir CRL olmayacak - SSTP bağlantısı olmayacak.

Ortaya çıkan sertifika, sertifika deposundaki VPN sunucusuna yüklenir Yerel Bilgisayar\Kişisel ve bağlantılı olması gerekir özel anahtar bu sertifika.

Ayrıca, sertifikayı veren CA'ya yalnızca VPN sunucularımız tarafından değil, aynı zamanda SSTP protokolünü kullanarak bu sunuculara bağlanacak tüm harici İnternet istemcilerimiz tarafından da güvenilmesi gerektiğini söylemeye gerek yok. Yani, sertifika deposundaki tüm bilgisayarlarda kök sertifikanın (birkaç tane olabilir) bulunması gerekir. Yerel Bilgisayar\Güvenilir Kök Sertifika Yetkilileri. Bu gereksinimlerle ilgili bilgileri makalede bulabilirsiniz.TechNet Kitaplığı - RRAS'yi Bilgisayar Kimlik Doğrulama Sertifikasıyla Yapılandırma . Çoğu modern istemci işletim sisteminde, İnternet'e sürekli bir bağlantı olduğunda genel kök sertifikaların toplanması otomatik olarak güncellenir.

Uzaktan Erişim rolünü ayarlama

Sertifika VPN sunucusuna yüklendikten sonra ek bileşeni açın Yönlendirme ve Uzaktan Erişim ve özelliklerde VPN sunucuları sekmede Güvenlik bölümünde SSTP için bu sertifikayı seçin SSL Sertifika Bağlama

Bu seçeneğin değiştirilmesi sizden RRAS hizmetlerini otomatik olarak yeniden başlatmanızı isteyecektir. Hizmetleri yeniden başlatmayı kabul ediyoruz.

Bölümün devamında Limanlar bağlantı noktası ekle SSTP. Örneğimizde bağlantı noktalarının çoğu SSTP bağlantıları için ayrılmıştır ve bağlantı noktalarının küçük bir kısmı Windows XP gibi SSTP desteği olmayan istemciler için ayrılmıştır. PPTP üzerinden bağlanma özelliğini tamamen devre dışı bırakıyoruz.

PPTP bağlantısının düzgün şekilde nasıl devre dışı bırakılacağına ilişkin bilgileri makalede bulabilirsiniz.Yönlendirme Nasıl Yapılır?PPTP veya L2TP bağlantı noktaları ekleme . Ekran görüntüsündeki örnek:

Değişiklikler yapıldıktan sonra VPN sunucumuzda çalışan TCP Dinleyicileri kontrol edeceğiz. Bunlar arasında, VPN sunucusunun SSTP protokolü aracılığıyla istemci bağlantılarını kabul edeceği 443 numaralı bağlantı noktası için bir dinleyici görünmelidir:

Uzaktan Erişim rolünü kurup yapılandırdıktan sonra zaten var olan kuralı etkinleştirerek güvenlik duvarını yapılandırmayı unutmayın. Güvenli Soket Tünel Protokolü (SSTP-Girişi)

Ayrıca gelenler için izin verme kuralını devre dışı bırakabilirsiniz. PPTP- port başına bağlantılar TCP1723(varsayılan konfigürasyonda bu kurala " Yönlendirme ve Uzaktan Erişim (PPTP Girişi)")

VPN sunucumuz üye olduğundan NLB-küme, bağlantı noktası dengelemeye izin veren ek bir kural oluşturmamız gerekecek TCP443.

Yapılan ayarlar VPN sunucumuzun SSTP bağlantılarını başarıyla kabul edebilmesi için oldukça yeterlidir.

VPN istemci bağlantısını kontrol etme

Bağlantı noktası 443 üzerinden İnternet'e doğrudan erişimi olan bir istemci makinede bir test VPN bağlantısı kurun ve bağlanın...

Sunucu tarafında ise istemcinin daha önce oluşturduğumuz ücretsiz SSTP portlarından birini kullandığından emin oluyoruz...

Kullanıcılar için talimatlar

Daha önce de belirtildiği gibi, internetten kurumsal VPN sunucularına bağlanan kullanıcılar için adım adım anlaşılır talimatlar geliştirilmelidir. Aşağıdaki işletim sistemlerinin bir parçası olarak VPN bağlantılarını test edebildim (ve aynı zamanda kullanıcılar için adım adım talimatlar geliştirebildim):

• Windows XP 32 bit RU SP3
  (Talimatlar, L2TP/IPsec kullanımı dikkate alınarak, ancak çalışan bir PPTP bulunmadığı dikkate alınarak yeniden yazılmıştır. Sertifikanın isteği ve kurulumu, farklı komut dosyaları kullanılarak iki aşamada gerçekleştirilir)
• Windows Vista İşletme 32 bit RU SP2 (SSTP)
• Windows 7 Profesyonel 32 bit RU SP1 (SSTP)
• Windows 8.1 Pro 64 bit RU (SSTP)
• Ubuntu Masaüstü Linux 14.04 64 bit (SSTP)
• Ubuntu Masaüstü Linux 15.04 64 bit (SSTP)
• Ubuntu Masaüstü Linux 14.10 64 bit (SSTP)

İstenirse ortamınıza uyarlayabileceğiniz DOCX formatındaki talimatlar (ve gerekli yürütülebilir dosyalar) adresinden indirilebilir. bağlantı . Talimatların bir kısmı çevrimiçi görüntüleme ve tartışma için mevcuttur .

| Yayınlar listesine

SSL VPN ile güvenli uzaktan erişim

Boris Borisenko, uzman

TEKNOLOJİ VPN, bir kuruluşun yerel ağına fiziksel olarak uzak bir noktadan güvenli çalışan erişimi sağlamanın bir yolu olarak yaygınlaştı. SSL tabanlı VPN'ler tamamlayıcı ve alternatif bir teknoloji olarak geliştirildi. uzaktan erişim IPsec VPN aracılığıyla. Ancak güvenli iletişim kanallarını düzenlemenin maliyeti ve güvenilirliği SSL VPN'i oldukça çekici bir teknoloji haline getirmiştir. SSL VPN yoğunlaştırıcılarının ek yetenekleri vardır (geleneksel VPN cihazlarıyla karşılaştırıldığında). Çoğu güvenlik duvarı, Web uygulamalarının bağlantı noktaları aracılığıyla İnternet'te yayınlanmasını sağlar. ağ adresleri(NAT) ve ağ yönlendirmeyi destekler, ancak uygulamalar tarafından sağlanan seviyenin ötesinde kriptografik veri koruması sağlamaz. IPsec VPN kullanıcıları bağlanabilir kurumsal ağ yerel bir ağa doğrudan bağlantıya benzer. Bu, VPN sunucusu ile istemci arasında iletilen tüm verileri şifreler. Ancak çoğu VPN cihazı özel bir istemci programı gerektirir. SSL VPN yoğunlaştırıcıları, tarayıcıyı uzaktaki çalışanların yalnızca dahili Web sitelerine değil aynı zamanda uygulamalara ve uygulamalara erişmesine izin vermek için kullanır. dosya sunucuları. SSL VPN kullanarak uzaktan erişimi organize etmek için en ilginç çözümlerden bazılarına bakalım.

ZyWALL SSL 10

Bu, SSL şifreleme desteğine sahip bir sanal özel ağ ağ geçididir; bu, önce istemci kısmını kurmadan bir VPN bağlantısı aracılığıyla ağlara ve uygulamalara güvenli uzaktan erişim düzenlemenize olanak tanır. Cihaz, küçük ve orta ölçekli işletme ağları için sunulmaktadır.

İnternete veya DMZ'ye bağlanmak için bir WAN arayüzü, dört LAN bağlantı noktasına sahip bir anahtar, konsol aracılığıyla yönetim için bir RS 232 DB9 bağlantı noktası (içinde bu cihaz aynı ZyWALL 1050'ye göre daha az özellik sağlanır). ZyWALL SSL 10 yalnızca intranet kullanıcı veritabanlarına doğrudan erişimi desteklemekle kalmaz, aynı zamanda Microsoft Active Directory, LDAP ve RADIUS ile de çalışır. Ayrıca şunu kullanmak mümkündür: iki faktörlü kimlik doğrulama(ZyWALL OTP anahtarlıklarını kullanarak).

Kurumsal ağ kaynaklarına doğrudan erişim, uzak kullanıcıların bilgisayarlarına indirilen SecuExtender istemcisi tarafından sağlanır. Bundan sonra yöneticilerin izniyle belirli kullanıcı kategorileri IPsec kullanarak ağ tünellerini kolayca düzenleyebilir. Yöneticiler ayrıca kullanıcı grupları, ağ adresi aralıkları veya farklı uygulamalar için güvenlik politikalarını da yapılandırabilir.

ZyWALL SSL 10, 25 SSL oturumuna genişletilebilen 10 eşzamanlı güvenli oturumu destekler. Bir ağda cihaz, mevcut bir ağ geçidinin arkasında (Şekil 2) veya yeni bir ağ geçidi (Şekil 3) olarak kullanılabilir. İlk durumda, güvenliği artırmak için ZyWALL SSL 10 DMZ bağlantı noktasına bağlanabilir. İkincisinde - modeme ve Web sunucusuna - ZyWALL'a. Web sunucusundan uzaktaki kullanıcıya giden trafik VPN tünelinden geçer.

Desteklenen seçenekler arasında TLS protokolü, şifreleme, sertifikalar - 256 bit AES, IDEA, RSA, karma - MD5, SHA-1 bulunur. İlginç özellik Elektrik fişleri için oldukça geniş bir ataşman seçeneği vardır (herhangi bir priz ve ağ için).

Netgear ProSafe SSL VPN Yoğunlaştırıcı SSL312

Cihaz, 25'e kadar uzak istemcinin kurumsal ağ ile aynı anda çalışmasına olanak tanır. Bağlantı, doğrudan cihazdan indirilip kurulabilen ActiveX bileşenleri kullanılarak yapılır.

Ancak istemcinin uygun ActiveX bileşenlerini kurabilmesi için sisteme yönetici erişiminin olması gerekir. Ayrıca tarayıcınızın ActiveX bileşenlerinin kullanımına izin verecek şekilde yapılandırılması gerekir. Ayrıca yüklemeniz gerekebilir Windows güncellemeleri. Donanım iki LAN bağlantı noktası ve bir seri bağlantı noktası içerir. Oturum açarken kimlik doğrulama seçeneği seçilir: kullanıcı veritabanı, Windows alanı NT, LDAP, Microsoft Active Directory, RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2). Uzak bir sunucu üzerinden erişirken, ikincisinin erişilebilir olması ve trafik yönlendirmesinin buna göre yapılandırılması gerekir.

DRAM belleği miktarı hem Netgear SSL312 hem de ZyWALL SSL 10 için aynıysa, Netgear flash belleği açıkça daha düşüktür (16'ya karşı 128 MB). Net-gear SSL312 işlemcisi de ZyWALL'a yenildi (kriptografik hızlandırıcıyla 200'e karşı 266). Netgear SSL312'den farklı olarak ZyWALL, SSL protokolünün 2.0 sürümünü destekler.

Cihazı kullanmak için iki olası seçenek vardır. İlk durumda, iki Netgear SSL312 Ethernet bağlantı noktasından yalnızca biri kullanılır. Ağ geçidinin HTTPS üzerinden Netgear SSL312'ye erişmesi gerekir. Başka bir kullanım durumu, SSL trafiği olmadan her iki Netgear SSL312 Ethernet bağlantı noktasını kullanır güvenlik duvarı. Cihazın Ethernet bağlantı noktalarından birine genel bir IP adresi, ikincisine ise dahili ağın özel bir IP adresi atanır. Netgear SSL312'nin NAT veya güvenlik duvarı işlevlerini gerçekleştirmediğini ve bunların yerine geçmediğini belirtmek gerekir.

Uzak bir yerel ağdaki ağ hizmetleriyle çalışmak için iki seçenek vardır: kullanıcı ile cihaz arasında kurulan bir VPN tüneli veya bağlantı noktası iletme. Her iki yöntemin de avantajları ve dezavantajları vardır. VPN tüneli, uzaktan kumandayla tam iletişimi düzenlemenizi sağlar yerel ağ, ancak her servis için ayrı ayar yapmanıza izin vermez. Bağlantı noktası iletme yalnızca TCP bağlantılarıyla çalışmanıza olanak tanır (UDP ve diğer IP protokolleri desteklenmez); her uygulama için kurallar ayrı olarak ayarlanır.
Netgear SSL312'de dinamik DNS desteklenmemektedir, bu da bir dezavantajdır.

SSL VPN Juniper Ağları Güvenli Erişim 700

SSL VPN kullanan uzaktan erişim çözümü de küçük ve orta ölçekli şirketler için tasarlanmıştır. Hem kullanıcı hem de yönetici için arayüz bir Web tarayıcısı biçiminde düzenlenmiştir. Uzak bilgisayara bir VPN istemcisi yüklemenize gerek yoktur. İki adet RJ-45 Ethernet bağlantı noktası ve bir seri bağlantı noktası vardır. Juniper SA 700, uzaktaki bilgisayarı otomatik olarak kontrol eder ve kurulu sistemin sonuçlarına bağlı olarak yazılım, çeşitli erişim haklarını atar.

En fazla 25 eşzamanlı kullanıcıyı destekleyebilir. Kimlik doğrulama ve yetkilendirme arasında aşağıdaki seçenekler mümkündür: Microsoft Active Directory/Windows NT, LDAP, NIS, RADIUS, RSA, SAML, sertifika sunucusu. Cihaz, JavaScript, XML, Flash kullananlar da dahil olmak üzere Windows/SMB, Unix/NFS ve Web uygulamaları dosya kaynaklarına erişim sağlar; Telnet ve SSH protokolleri desteklenmektedir. Kurumsal e-postaya erişim düzenli olarak düzenlenir posta istemcisi Juniper SA 700'e SSL üzerinden güvenli bir şekilde bağlanacak şekilde yapılandırılmıştır. Ancak bunun için "Çekirdek İstemcisiz Web Erişimi" lisansı gerekir.

Juniper SA 700 şunları sağlar otomatik kontrol uzak bilgisayar, eğer anti-virüs yazılımı, kişisel güvenlik duvarı ve diğer güvenlik programları yüklüyse. Oturum sırasında gereken tüm proxy indirmeleri ve geçici dosyalar, oturum sona erdikten sonra silinir.

Şu anda iki tür özel VPN vardır:
SSL VPN'i Ve IPSec VPN'i ve her birinin kendine göre avantajları ve dezavantajları vardır.

SSL VPN'in temel avantajı uygulama kolaylığıdır: tüm tarayıcılar SSL'yi destekler, tüm sağlayıcılar SSL'ye izin verir ve SSL'yi kısıtlamaz.
SSL VPN aracılığıyla bazı erişim türleri, kelimenin tam anlamıyla herhangi bir tarayıcıyla ve herhangi bir platformda gerçekleştirilebilir.

IPSec VPN daha güvenli bir protokol olarak kabul edilir.

SSL ve TLS

Teknik literatürde sıklıkla SSL ve TLS kavramlarıyla karşılaşabilirsiniz.

Her iki protokol de kriptografik protokoller, İnternet üzerinden güvenli veri aktarımının sağlanması (e-posta, web'de gezinme, anlık mesajlaşma).
Protokoller gizlilik, bütünlük ve kimlik doğrulama hizmetleri sağlar.
SSL ve TLS düzeyinde çalışır Oturum Katmanı OSI modeli veya üstü.
Protokoller kullanabilir genel anahtar altyapısı (PKI) kimlik doğrulaması ve simetrik anahtarların birbirine aktarılması için sertifikaların yanı sıra.
Tıpkı IPSec gibi verileri şifrelemek için simetrik anahtarlar kullanırlar.

Çoğu güvenli tarayıcı aktarımı SSL veya TLS üzerinden yapılır.
SSL ilk olarak Netscape tarafından geliştirilmiştir.
TLS, SSL'nin daha da geliştirilmiş halidir ve aynı zamanda tarafından geliştirilen bir standarttır. İnternet Mühendisliği Görev Gücü (IETF).
Örneğin TLS 1.0, SSL3.0'ı temel alır.
Tarayıcıların kendisi SSL mi yoksa TLS mi kullanılacağına karar verir: TLS tercih edilir, ancak SSL'ye geçiş de mümkündür.

Bu nedenle SSL terimini kullandığımızda SSL veya TLS'yi kastettiğimizi anlamak önemlidir.
Örneğin, Cisco SSL VPN aslında TLS kullanıyor.

SSL İşlemleri

Dolayısıyla güvenlik gerektiren çoğu çevrimiçi hizmette SSL kullanılır.
Bir istemci, SSL kullanarak bir bankacılık sunucusuna bağlandığında ne olacağına adım adım bakalım:

• İstemci, sunucunun IP adresine ve 443 numaralı bağlantı noktasına bağlantı başlatır. Kaynak olarak sırasıyla istemcinin IP'si ve 1023'ten büyük bağlantı noktası kullanılır.
• Standart süreç gerçekleşir TCP bağlantıları, kullanarak üç yönlü el sıkışma
• İstemci bir SSL bağlantısı ister ve sunucu, aşağıdakileri içeren dijital sertifikasını göndererek yanıt verir: genel anahtar bu sunucu.
• Sertifikayı aldıktan sonra istemcinin bu sertifikaya güvenip güvenmeyeceğine karar vermesi gerekir.
  PKI mekanizmalarının devreye girdiği yer burasıdır.
  Dijital sertifika istemcinin güvendiği bir CA tarafından imzalanmışsa + sertifika tarihe göre geçerliyse + sertifika seri numarası burada listelenmiyorsa sertifika iptal listesi (CRL)- müşteri sertifikaya güvenebilir ve kullanabilir genel anahtar bu sertifika.
• İstemci simetrik bir anahtar oluşturur paylaşılan sırİstemci ile sunucu arasındaki verileri şifrelemek için kullanılacaktır. Daha sonra istemci şifreler paylaşılan sır kullanarak genel anahtar ve bunu sunucuya iletir.
• Sunucu onu kullanıyor özel anahtar, ortaya çıkan simetrik anahtarın şifresini çözer paylaşılan sır.
• Artık her iki taraf da biliyor paylaşılan sır ve SSL Oturumunu şifreleyebilir.

SSL VPN Türleri

SSL VPN iki türe ayrılabilir:

• İstemcisiz SSL VPN- aynı zamanda denir Web VPN'i. İstemci kurulumu gerektirmez. Sınırlı seçenekler.
• Tam Cisco AnyConnect Güvenli Mobilite İstemcisi SSL VPN İstemcisi- kurumsal ağa tam erişim sağlayan yazılımın istemciye yüklenmesini gerektiren tam teşekküllü bir SSL istemcisi

SSL VPN kurma

1. Anyconnect PKG dosyasını kopyalayın.
   Bizim durumumuzda öyle anyconnect-win-3.1.08009-k9.pkg
2. Pkg dosyasını işaret edip Webvpn Anyconnect hizmetini etkinleştiriyoruz.
   

   webvpn anyconnect görüntü disk0:/anyconnect-win-3.1.08009-k9.pkg 1 dışarıda etkinleştir2 anyconnect etkinleştir

3. SSL WebVPN trafiğini kontrollerden hariç tutuyoruz (muaf tutuyoruz) dış arayüz ACL. ACL'de izin kuralları oluşturmamız veya şu komutu kullanmamız gerekiyor:
   

   msk-asa-01(yapılandırma)# sysopt bağlantı izni-vpn

4. Kolaylık sağlamak için 80'den 443'e yönlendirmeyi ayarlayalım:
   

   http dışarıya yönlendirme2 80

5. Haydi yaratalım IP adresi havuzu. Bu adresler uzaktaki kullanıcılara verilecektir.
   

   ip yerel havuz vpnpool_pool 192.168.93.10-192.168.93.254 maske 255.255.255.0

6. Biz yaratıyoruz NAT muafiyeti arasındaki trafik için LAN Ağı ve VPNpool ağı. Şifrelenmiş trafiğin NAT'tan geçmemesi gerektiği için bu istisnayı yapıyoruz. Bu adım bu NAT ASA'da yapılandırılmışsa gereklidir.
   nesne ağı vpnpool_obj

   nesne ağı vpnpool_obj alt ağ 192.168.92.0 255.255.255.0 nesne grubu ağı RFC1918_objg ağ-nesnesi 192.168.0.0 255.255.0.0 ağ-nesnesi 172.16.0.0 255.240.0.0 ağ-nesnesi 10.0.0.0 5.0.0.0 nat (iç, dış) kaynak statik RFC1918_objg RFC1918_objg hedef statik vpnpool_obj vpnpool_obj proxy-arp olmayan rota arama

7. Bir Bölünmüş Tünel ACL oluşturuyoruz; bu ayar, kullanıcıların VPN aracılığıyla bağlandıklarında aynı anda İnternet'i kullanmalarına olanak tanır. Bu ayar olmadan tüm trafik tünele çevrilecektir.
   

   erişim listesi split-tunnel_acl standart izni 192.168.10.0 255.255.255.0

   Bu ayar yalnızca aynı RFC1918'in ağındaki trafiği tünele saracaktır.

8. Biz yaratıyoruz Grup İlkesi.
   Çeşitli Grup İlkeleri oluşturabilir ve aşağıdaki gibi ağ özelliklerini yapılandırabiliriz: DNS sunucusu adresler, bölünmüş tünel ayarları, varsayılan etki alanı, protokol (SSL veya IPSec), vb.

   grup ilkesi anyconnect_gp dahili grup ilkesi anyconnect_gp öznitelikleri dns-sunucu değeri 192.168.10.5 vpn-tünel-protokolü ssl-istemci ssl-istemcisiz bölünmüş-tünel-politikası tünelbelirtilen bölünmüş-tünel-ağ-listesi değeri split-tunnel_acl webvpn anyconnect keep-installer yüklü anyconnect dpd-interval client 20 anyconnect sor hiçbiri varsayılan anyconnect

9. Haydi yaratalım Tünel Grubu.
   ASDM arayüzündeki Tünel Grubuna Bağlantı Profili adı verilir.
   Tünel Grubu, az önce yapılandırdığımız Grup Politikasını içermeli ve onu IP adres havuzuyla birleştirmelidir.
   Bu tür birkaç grup oluşturabiliriz ve kullanıcı oturum açarken tümünü içeren istenen Tünel Grubunu seçebilir. gerekli özellikler: Grup İlkesi + adres havuzundan devralınan ayarlar

   tünel grubu vpn-users_tg türü uzaktan erişim tüneli grubu vpn-users_tg genel öznitelikler adres havuzu vpnpool_pool varsayılan-grup ilkesi anyconnect_gp tünel-grup vpn-users_tg webvpn-öznitelikler grup-takma ad vpn_users-takma ad webvpn tünel grubunu etkinleştirir- liste etkinleştirme

   Son komut kullanıcıların kendileri için bir tünel grubu seçmesine olanak tanır.
   Kullanıcılar için bu grup "vpn_users-alias" gibi görünecek

Anyconnect'in zaten çalışıyor olması gerekir; bir yönetici hesabı kullanarak giriş yapabilirsiniz.

SSL VPN İzleme

• ASDM: İzleme > VPN > VPN İstatistikleri > Oturumlar
• CLI'den:
  

  vpn# uauth'u göster Güncel En Çok Görülen Kimliği Doğrulanmış Kullanıcılar 1 1 Kimlik Doğrulaması Devam Ediyor 0 0 192.168.92.25 adresindeki uzaktan erişim VPN kullanıcısı "vpn_video_user1", kimliği doğrulanmış erişim listesi #ACSACL#-IP-video_dacl-54ddc357 (*)

  vpn# erişim listesini göster erişim listesi önbelleğe alınmış ACL günlük akışları: toplam 0, reddedildi 0 (deny-flow-max 4096) uyarı aralığı 300 erişim listesi split-tunnel_acl; 1 element; ad karması: 0xb6fb0e erişim listesi split-tunnel_acl satır 1 standart izni 192.168.10.0 255.255.255.0 (hitcnt=0) 0x13482529 erişim listesi #ACSACL#-IP-video_dacl-54ddc357; 1 element; ad karması: 0x6c7d7b7f (dinamik) erişim listesi #ACSACL#-IP-video_dacl-54ddc357 satır 1 genişletilmiş izin ip any4 ana bilgisayarı 192.168.10.45 (hitcnt=0) 0x4ce5deb8

  Bakalım kimler giriş yapmış

  vpn oturumu özetini göster

  vpn-sessiond anyconnect'i göster

  Kullanıcıyı VPN'den at:

  vpn-sessiondb oturumu kapatma adı langemakj