Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Другое Развертывание виртуальных частных сетей удаленного доступа Приложение А. Конфигурация VPN-сервера Windows 2000 и брандмауэров RSS

Приложение А. Конфигурация VPN-сервера Windows 2000 и брандмауэров

Текущий рейтинг: 4.75 (проголосовало 4)
 Посетителей: 4488 | Просмотров: 6265 (сегодня 0)  Шрифт: - +

На этой странице

  VPN-сервер включен перед брандмауэром
  VPN-сервер включен за брандмауэром
  VPN-сервер включен между брандмауэрами

VPN-сервер включен перед брандмауэром

Чтобы защитить VPN-сервер от отправки или получения всех видов трафика на его интерфейс Интернета, за исключением VPN-трафика, Вам необходимо настроить фильтры входа и выхода PPTP или L2TP/IPSec на интерфейсе, подключенному к сети Интернет. Так как на внешнем интерфейсе разрешена IP-маршрутизация, в случае, если на данном интерфейсе не будут настроены фильтры PPTP или L2TP/IPSec, любые данные, полученные на интерфейс Интернета будут маршрутизированы, что может привести к нежелательному Интернет-трафику в Вашей интрасети.

Входящий трафик после расшифровки туннелированных данных VPN-сервером передается на брандмауэр. Брандмауэр в данной конфигурации действует в роли фильтра для трафика интрасети и может предотвращать доступ к определенным ресурсам, препятствовать распространению вирусов, определять попытки вторжения, а также выполнять другие функции. Поскольку весь Интернет-трафик, разрешенный в интрасети, должен проходить через VPN-сервер, это означает, что пользователи Интернета, не являющиеся пользователями VPN, не смогут получить общий доступ к протоколу FTP или к веб-ресурсам интрасети.

На рисунке 3 показана схема включения VPN-сервера перед брандмауэром. 

Рисунок 3 – VPN-сервер включен перед брандмауэром

В соответствии с политиками безопасности Вашей сети, Брандмауэр настраивается при помощи правил для трафика интрасети, который принимается и передается VPN-клиентами.

Настройте следующие фильтры входа и выхода для интерфейса Интернета VPN-сервера при помощи оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). Для этого нужно запустить оснастку, раскрыть узел IP-маршрутизация (IP Routing), выбрать элемент Общие (General) и открыть свойства нужного интерфейса. Данные фильтры настраиваются автоматически мастером установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) в Windows 2000 с пакетом обновления 2 (SP2) и выше.

Фильтры пакетов для протокола PPTP 
Настройте следующие фильтры входа, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):

В качестве IP-адреса сети назначения укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – TCP, порт назначения – 1723.

Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – Другой, номер протокола – 47.

Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – TCP [установлено] (TCP [established]), исходный порт – 1723.

Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении «маршрутизатор-маршрутизатор». Трафик протокола TCP [установлено] принимается только в том случае, если TCP-подключение инициировано VPN-сервером.

Настройте следующие фильтры выхода, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):

В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – TCP, исходный порт – 1723.

Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – Другой, номер протокола – 47.

Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – TCP [установлено], порт назначения – 1723.

Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении «маршрутизатор-маршрутизатор». Трафик протокола TCP [установлено] передается только в том случае, если TCP-подключение инициировано VPN-сервером.

Фильтры пакетов для протокола L2TP/IPSec 
Настройте следующие фильтры входа, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):

В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, порт назначения – 500.

Данный фильтр разрешает IKE-трафик (Internet Key Exchange –обмен ключами в Интернете) к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, порт назначения – 1701.

Данный фильтр разрешает передачу L2TP-трафика к VPN-серверу.

Настройте следующие фильтры выхода, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):

В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, исходный порт – 500.

Данный фильтр разрешает IKE-трафик от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, исходный порт – 1701.

Данный фильтр разрешает передачу L2TP-трафика от VPN-сервера.

ESP-трафик (ESP, Encapsulating Security Protocol) с номером протокола 50 не требует фильтров. Заголовок ESP удаляется компонентами IPSec до того, как L2TP-пакет передается службе маршрутизации и удаленного доступа.

Наверх страницы

VPN-сервер включен за брандмауэром

В более распространенной конфигурации к Интернету подключается брандмауэр, а VPN-сервер является ресурсом интрасети, подключенным к сети периметра, также известной как демилитаризованная зона (demilitarized zone, DMZ) или экранированная подсеть. Сеть периметра представляет собой сегмент сети, содержащий ресурсы, доступные пользователям Интернета, такие как веб-серверы или FTP-серверы. У VPN-сервера имеется интерфейс сети периметра, и интерфейс интрасети. В этой конфигурации на внешнем интерфейсе брандмауэра должны быть настроены фильтры входа и выхода, разрешающие передачу к VPN-серверу обслуживающего трафика туннеля и туннелированных данных. Дополнительные фильтры могут разрешать передачу трафика на веб-серверы, FTP-серверы и серверы других типов в сети периметра. Для обеспечения дополнительной безопасности на VPN-сервере можно также настроить фильтры пакетов PPTP или L2TP/IPSec на интерфейсе сети периметра.

Брандмауэр в данной конфигурации выступает в роли фильтра Интернет-трафика и может предоставлять доступ к определенным ресурсам сети периметра, определять попытки вторжения, защиту от DoS-атак (DoS, denial of service – отказ в обслуживании), а также выполнять другие функции.

Поскольку брандмауэр не содержит ключей шифрования для каждого VPN-подключения, он может фильтровать только обычные текстовые заголовки туннелированных данных. Другими словами, все туннелированные данные передаются через брандмауэр. Однако это не угрожает безопасности, так как VPN-подключения требуют проверки подлинности, что предотвращает несанкционированный доступ за пределы VPN-сервера.

На рисунке 4 показана схема включения VPN-сервера за брандмауэром в сети периметра. 

Рисунок 4 - VPN-сервер включен за брандмауэром в сети периметра

Для обоих интерфейсов брандмауэра — интерфейса Интернета и интерфейса сети периметра — настройте следующие фильтры входа и выхода с помощью программы настройки брандмауэра.

Фильтры пакетов для протокола PPTP 
Для интерфейса Интернета и интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.

Фильтры для интерфейса Интернета 
Настройте для интерфейса Интернета брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).

Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).

Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).

Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части «VPN-сервер включен перед брандмауэром» этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Настройте для интерфейса Интернета брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).

Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).

Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).

Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части «VPN-сервер включен перед брандмауэром» этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу от TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Фильтры для интерфейса сети периметра 
Настройте для интерфейса сети периметра брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).

Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).

Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).

Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части «VPN-сервер включен перед брандмауэром» этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу от TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Настройте для интерфейса сети периметра брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, порт назначения – 1723 (0x6BB).

Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 47 (0x2F).

Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – TCP, исходный порт – 1723 (0x6BB).

Данный фильтр необходим только в том случае, если VPN-сервер работает как VPN-клиент (вызывающий маршрутизатор) в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только в сочетании с фильтрами пакетов протокола PPTP, описанными в части «VPN-сервер включен перед брандмауэром» этого раздела и настроенными на интерфейсе сети периметра VPN-сервера. Разрешение всего трафика к VPN-серверу от TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт.

Фильтры пакетов для протокола L2TP/IPSec 
Для интерфейса Интернета и интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.

Фильтры для интерфейса Интернета 
Настройте для интерфейса Интернета брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – UDP, порт назначения – 500 (0x1F4).

Данный фильтр разрешает передачу IKE-трафика к VPN-серверу.

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 50 (0x32).

Данный фильтр разрешает передачу ESP-трафика протокола IPSec к VPN-серверу.

Настройте для интерфейса Интернета брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – UDP, исходный порт – 500 (0x1F4).

Данный фильтр разрешает трафик передачу IKE-трафика от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 50 (0x32).

Данный фильтр разрешает передачу ESP-трафика протокола IPSec от VPN-сервера.

Для L2TP-трафика на UDP-порт 1701 фильтры не требуются. Весь L2TP-трафик, включая обслуживающий трафик туннеля и туннелированные данные, шифруется как полезные данные ESP протокола IPSec.

Фильтры для интерфейса сети периметра 
Настройте для интерфейса сети периметра брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – UDP, исходный порт – 500 (0x1F4).

Данный фильтр разрешает передачу IKE-трафика от VPN-сервера.

В качестве IP-адреса исходной сети укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 50 (0x32).

Данный фильтр разрешает передачу ESP-трафика протокола IPSec от VPN-сервера.

Настройте для интерфейса сети периметра брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – UDP, порт назначения – 500 (0x1F4).

Данный фильтр разрешает передачу IKE-трафика к VPN-серверу.

В качестве IP-адреса сети назначения укажите адрес интерфейса сети периметра VPN-сервера. Протокол – Другой, номер протокола – 50 (0x32).

Данный фильтр разрешает передачу ESP-трафика протокола IPSec к VPN-серверу.

Для L2TP-трафика на UDP-порт 1701 фильтры не требуются. Весь L2TP-трафик, включая обслуживающий трафик туннеля и туннелированные данные, шифруется как полезные данные ESP протокола IPSec.

Наверх страницы

VPN-сервер включен между брандмауэрами

Существует другая конфигурация, при которой VPN-сервер подключен к сети периметра между двумя брандмауэрами. Брандмауэр Интернета (находящийся между Интернетом и VPN-сервером) фильтрует весь трафик Интернета ото всех клиентов находящихся в сети Интернет. Брандмауэр интрасети (находящийся между VPN-сервером и интрасетью) фильтрует трафик интрасети от VPN-клиентов.

На рисунке 5 показана схема включения VPN-сервера между двумя брандмауэрами в сети периметра. 

Рисунок 5 - VPN-сервер включен между двумя брандмауэрами в сети периметра

В данной конфигурации:

Настройте брандмауэр Интернета и VPN-сервер при помощи фильтров пакетов, описанных в части «VPN-сервер включен перед брандмауэром» этого раздела.
Настройте брандмауэр интрасети при помощи правил обработки входящего и исходящего трафика VPN-клиентов в соответствии с политиками безопасности Вашей сети.

 

Наверх страницы
Автор: (переведено с англ.) Microsoft Technet  •  Иcточник: Артем Васьков aka Fanzuga  •  Опубликована: 03.09.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.