Прерывание VPN соединения перед ISA Firewall

Включение нового ISA Firewall в вашу сеть может быть сопряжено с проблемами. С одной стороны, вы хотите получить новые возможности и преимущества в защищенности, предоставляемые новым брандмауэром, но с другой стороны, вы не хотите дезорганизовать вашу сетевую инфраструктуру, так как подобные действия несут в себе потенциальную угрозу прерывания работы служб.

Пожалуй наиболее легким способом установить новый брандмауэр является метод Rip and Replace (Удалить и Заменить), когда вы настраиваете новый брандмауэр так же, как и предыдущий, после чего удаляете более старый и устанавливаете новый. Хоть это может показаться легким на бумаге, в реальности организации часто несут «невозместимые издержки», связанные с брандмауэрами и хотят, чтобы текущая инфраструктура окупила себя до своей замены.

Еще одним важным соображением является то, что новый брандмауэр может задействовать совсем другие методы управления и политику, которая может не согласоваться с тем, что было ранее.

По этим и другим причинам я часто рекомендую при установке нового ISA firewall использовать преимущества имеющейся инфраструктуры вместо подхода Rip and Replace (Удалить и Заменить). Хотя есть несколько возможных решений, которые вы можете использовать, наиболее защищенный вариант – использовать для брандмауэров конфигурацию «back to back».

В подобном случае компания сохраняет свой текущий брандмауэр как внешний и помещает ISA Firewall позади него. Таким образом, брандмауэр ISA будет размещен наиболее близко к тем ресурсам, для защиты которых он предназначен.

Установка ISA Firewall на заданную инфраструктуру сети VPN с удаленным доступом

Я часто сталкиваюсь с подобным дизайном инфраструктуры и проблемами настройки, связанными с ним. Часто поднимающимся вопросом является следующий – что делать с соединениями удаленного доступа к корпоративной сети клиентов VPN? Большинство компаний с уже существующей инфраструктурой начинают использовать старый брандмауэр как сервер VPN и иногда пользуются особой, несовместимой с RFC программой-клиентом VPN, что подключается исключительно к брандмауэру поставщика. Эти компании желают сохранить их существующую инфраструктуру VPN, но при этом хотят разрешить VPN клиентам доступ к ресурсам, расположенным в корпоративной сети под защитой ISA Firewall.

Другим весьма распространенным случаем является такой, когда при уже существующем сервере VPN с удаленным доступом компания использует какое-либо «широкополосное» NAT устройство для подключения к Интернет, и хочет поставить ISA Firewall как внутренний брандмауэр. Наиболее часто встречающиеся ситуации для данного типа конфигурации таковы - компания должна использовать PPPoE для подключения к сети DSL, или же использовать DHCP для того, чтобы получить открытый адрес кабельной сети.

Во втором случае, где устройство NAT находится перед ISA Firewall, часто используется SBS 2003 Service Pack 1 с брандмауэром ISA, установленным на нем, а сервер SBS присоединяется к нескольким физическим линиям. Хоть я никогда не видел в этом особого смысла, пользователи часто хотят прерывать свои VPN соединения к устройству NAT, расположенному перед сервером SBS, но все еще хотят иметь доступ к ресурсам, расположенным на компьютерах под управлением SBS и к ресурсам, расположенными в корпоративной сети за сервером SBS.

В обоих случаях, и с SBS/внешним устройством NAT, и с корпоративным внешним брандмауэром, компания хочет прервать соединение удаленного доступа VPN на устройстве перед ISA Firewall, а не в ISA Firewall, и каким-либо образом разрешить удаленным клиентам VPN доступ к ресурсам, расположенным позади внутреннего ISA Firewall. Это именно то, на что о чем я буду говорить в этой серии статей.

ПРИМЕЧАНИЕ:
Хоть положения и процедуры, что я обсуждаю в этой серии статей и относятся к SBS 2003 Service Pack 1 с используемым ISA 2004, я не буду подробно описывать все шаги, необходимые для работы данной конфигурации в таком окружении. Оставим подробности профессионалам SBS.

В этой статье мы сосредоточим наше внимание на следующих вопросах:

• Прерывание VPN соединения у внешнего брандмауэра. Возможные проблемы, нуждающиеся в рассмотрении, при прерывании соединений удаленного доступа клиентов VPN перед ISA Firewall
• Настройка IP адресации для VPN клиентов внешнего VPN сервера. Для VPN клиентов должна быть назначена IP адресация, позволяющая им подключаться к зоне DMZ между внешним брандмауэром или устройством NAT и ISA Firewall, и разрешающая подключения к корпоративной сети, расположенной за ISA Firewall.
• Настройка ISA Firewall. Настройка ISA Firewall будет включать в себя также настройку новой сети ISA Firewall Network для зоны DMZ между брандмауэрами, настройку правила Network Rule и политики Access Policy, контролирующих трафик, проходящий через ISA Firewall к удаленным VPN клиентам и от них.
• Создание сети FE DMZ Network. Мы создадим новую сеть ISA Firewall Network из диапазона адресов с сетевым идентификатором для сегмента сети между внешним брандмауэром и внутренним ISA Firewall.
• Настройка правила Network Rule для пространства между внутренней сетью и сетью FE DMZ Network. После того, как новая сеть ISA Firewall Network создана, мы создадим маршрут между зоной DMZ и внутренней сетью, расположенной за ISA Firewall.
• Настройка политики ISA Firewall для FE DMZ VPN клиентов. Должна быть настроена политика брандмауэра, контролирующая, какой трафик может проходить сквозь ISA Firewall к удаленным VPN клиентам и от них. Также необходимы правила DNS для разрешения имен для удаленных клиентов VPN.
• Настройка программы-клиента VPN. Программа-клиент должна быть настроена для VPN соединения удаленного доступа. При необходимости это означает и настройку VPN протокола и поддержку раздельного туннелирования. Возможно, что удаленный VPN клиент может выступать в качестве одного или нескольких типов клиентов ISA Firewall во время соединения.
• Поддержка Web Proxy. Удаленный VPN клиент может поддерживать подключения Web proxy клиента к брандмауэру ISA Firewall во время VPN сеанса. Мы посмотрим, какие затруднения тут могут встретиться, и рассмотрим образец конфигурации.
• Поддержка клиента брандмауэра. В этом случае, подобная поддержка недоступна. Мы изучим спорные вопросы и увидим, что вы теряете в плане безопасности при обрыве соединения у внешнего брандмауэра вместо ISA Firewall.
• Поддержка SecureNAT. Удаленные VPN клиенты де-факто являются SecureNAT клиентами брандмауэра ISA Firewall. Мы обсудим достоинства и недостатки такой ситуации.
• Проверка соединений. Все проверяется на практике. В этой части мы изучим, что происходит во время подключений удаленных VPN клиентов, когда они получают доступ к Интернет и ресурсам в корпоративной сети позади ISA Firewall (или же на самом ISA Firewall).

Прерывание VPN соединения у внешнего брандмауэра или NAT устройства

Прежде чем углубляться в подробности конфигурации, связанные с установкой VPN с удаленным доступом и пунктом прерывания перед ISA Firewall, вы должны иметь общее представление о сетевой архитектуре, маршрутизации и путях запроса/отклика для различных типов соединений, создаваемых при удаленном VPN подключении.

На рисунке 1 продемонстрирована основная сетевая структура, при которой удаленный VPN клиент прерывает VPN соединение у брандмауэра или устройства NAT, размещенного перед ISA Firewall. Зеленой линией на рисунке показано удаленное VPN подключение к брандмауэру или внешнему интерфейсу NAT устройства.

Внутренний интерфейс внешнего брандмауэра или устройства NAT подключен к общему хабу или свитчу, с которым соединен внешний интерфейс ISA Firewall. Вы также можете использовать этот сегмент сети для подключения веб, FTP или других серверов, к которым вы предоставляете анонимный доступ из Интернет.

Внешний интерфейс ISA Firewall подключен к общему хабу/свитчу, с которым соединен внутренний интерфейс внешнего брандмауэра или устройства NAT, равно как и другие серверы, которые могут быть помещены в зону DMZ. Заметьте, что независимый свитч или хаб не понадобится. У многих брандмауэров и устройств NAT есть множество LAN портов. В таком случае, вы можете присоединить внешний интерфейс к одному из LAN портов устройства и а также подключить любой сервер с анонимным доступом к тому же устройству.

ВНИМАНИЕ:
Весьма важно не допускать прямых соединений из защищенной сети позади ISA firewall и сети DMZ или Интернет. ISA Firewall должен быть подключен, чтобы контролировать весь входящий и исходящий трафик корпоративной сети. Чуть позже в этой статье я расскажу о том, что я называю кошмарным сценарием, где это требование не соблюдено.

Причиной, по которой в зоне DMZ между внешним интерфейсом ISA Firewall и внешним брандмауэром или устройством NAT стоит размещать лишь серверы с анонимным доступом, является то, что вы полностью зависите от защиты, обеспечиваемой устройством NAT или простым брандмауэром, чтобы защитить линии связи, ведущие внутрь сегмента DMZ и из него.

По этой причине не нужно размещать важные корпоративные ресурсы в этой зоне DMZ. Для этого принципа можно сделать исключение, если использовать два брандмауэра ISA Firewall, внешний и внутренний. Или же если вы используете брандмауэр с высоким уровнем защиты, схожим с ISA Firewall, как например Check Point c технологией «Application intelligence».

Рисунок 1

Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT

Ключевым для этого решения является понимание отношений маршрутизации для коммуникации с удаленным VPN клиентом. На рисунке 2 показаны отношения маршрутизации между различными сетями:

• Отношения ROUTE между внутренней сетью позади ISA Firewall и сегментом DMZ между ISA Firewall и брандмауэром/устройством NAT. Это позволяет нам создавать и правила публикации и правила доступа для контроля трафика между удаленными клиентами VPN и корпоративной сетью
• Отношения ROUTE между внутренней сетью, размещенной позади ISA Firewall, и Интернет. Правило Network Rule, устанавливающее отношения маршрутизации между внутренней сетью и внешней создается автоматически, когда вы устанавливаете ISA Firewall на устройство, подключенное к нескольким линиям связи, также вводятся в действие отношения ROUTE между внутренней сетью и Интернет
• Отношения ROUTE между удаленным клиентом VPN и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. ISA Firewall не осведомлен об этом и не должен быть, так как это не влияет на его настройки
• Отношения ROUTE между внутренней сетью и удаленным клиентом VPN. Причиной этому служит то, что мы должны провести маршрут между внутренней сетью и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. Поскольку для удаленного клиента VPN будет назначен IP адрес с тем же самым сетевым идентификатором, что используется в сегменте DMZ, отношения маршрутизации между внутренней сетью позади ISA Firewall и удаленными клиентами VPN будут такими же, как и отношения маршрутизации между внутренней сетью и зоной DMZ, то есть ROUTE.

Рисунок 2

Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT и отношения маршрутизации между сетями

Теперь, когда вы знаете о ключевых отношениях маршрутизации для всех линий связи, относящихся к подключениям удаленных клиентов VPN, следующим шагом в понимании того, как именно работает данное решение, будет обзор путей запроса/отклика касательно линий связи для удаленных клиентов VPN.

На рисунке 3 показаны четыре пути запроса/отклика:

1. Это путь запроса/отклика для соединений между удаленными клиентами VPN и внутренней сетью под защитой ISA Firewall. Отношения маршрутизации, управляющие этими соединениями, позволяют вам использовать и правила доступа и правила публикации для контроля уровня доступа удаленных клиентов при подключении к внутренней сети позади ISA Firewall.
2. Это путь запроса/отклика для соединений между удаленными клиентами VPN и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. Контроль уровня доступа для подключений клиентов VPN определяется возможностями внешнего брандмауэра/устройства NAT. Если у вас нечто более продвинутое, вы сможете осуществлять контроль доступа с фильтрацией пакетов или даже контроль пользователей. Если же у вас лишь простой брандмауэр с поточной проверкой трафика или устройство NAT вы почти не будете контролировать, к чему удаленные клиенты VPN получают доступ в сети DMZ.
3. Это путь запроса/отклика для подключений к ресурсам Интернет. Это один из двух случаев, зависящих от возможностей вашего внешнего брандмауэра или устройства NAT. Если он не поддерживает обратную передачу в Интернет, чтобы позволить удаленным клиентам VPN подключение к ресурсам Интернет, тогда вы можете настроить программу удаленного доступа VPN для включения раздельного туннелирования. Хотя раздельное туннелирование обычно считается рискованным с точки зрения безопасности, это единственная возможность предоставить удаленным клиентам VPN доступ к Интернет, если ваш внешний брандмауэр или устройство NAT не поддерживает обратную передачу через внешний интерфейс.
4. Это путь запроса/отклика для подключений к Интернет ресурсам. Это второй случай, где ваш внешний брандмауэр или устройство NAT позволяет удаленным VPN клиентам доступ к Интернет ресурсам путем обратной передачи через устройство. Это устраняет необходимость включения раздельного туннелирования и заодно предоставляет вам потенциальную возможность ввести какой-либо вид корпоративной политики брандмауэра для удаленных клиентов VPN при подключении к VPN серверу. Подобная конфигурация имеет свои преимущества в предотвращении проблем защищенности, связанных с раздельным туннелированием, но ее недостатком является то, что удаленные клиенты VPN используют пропускную способность корпоративной сети при подключении к Интернет.

Рисунок 3

Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT и пути запроса/отклика для корпоративной сети и подключений Web Proxy к Интернет

На рисунке 4 показаны пути запроса/отклика, доступные, если использовать конфигурацию, при которой удаленные VPN клиенты используют ISA Firewall как устройство Web proxy при подключении к удаленному серверу VPN:

1. Этот путь запроса/отклика используется для всех не-HTTP/HTTPS соединений, если внешний брандмауэр не поддерживает обратную передачу через устройство для подключения к Интернет.
2. Этот путь запроса/отклика используется для всех не-HTTP/HTTPS соединений, если внешний брандмауэр поддерживает обратную передачу через устройство для подключения к Интернет.
3. Этот путь запроса/отклика используется для всех HTTP/HTTPS/HTTP туннелированных FTP запросов, если удаленный клиент VPN настроен для использования ISA Firewall как сервер Web proxy server при подключении к серверу VPN. Возможность это сделать зависит от вашей программы-клиента VPN и ее интеграции с Windows.

Например, если вы используете «родную» программу-клиент VPN, которая поставляется вместе с Windows XP Service Pack 2, вы можете подключиться к внешнему брандмауэру или устройству NAT, используя VPN протоколы PPTP, L2TP/IPSec и L2TP/IPSec NAT-T. После этого вы можете настроить клиент VPN для использования ISA Firewall как устройства Web proxy при подключении к серверу VPN, расположенному перед ISA Firewall. Это позволит вам ввести политику ISA Firewall policy и фильтрацию содержимого для удаленного клиента VPN при подключении к серверу VPN.

Эта конфигурация также позволяет вам вести всеобъемлющие записи обо всех сайтах и их содержанию, к которым получил доступ пользователь, включая имя пользователя в файлах записей, которое может быть использовано в отчетах об активности пользователя в Интернете. Настройка клиента Web proxy автоматически останавливается, когда клиент отключается от VPN сервера, размещенного перед ISA Firewall. Поддержка настройки клиента Web proxy зависит от программы-клиента VPN, которую вы используете.

Рисунок 4

Кошмарный сценарий

На рисунке 5 показано то, что я называю кошмарным сценарием (nightmare scenario), и то, что чаще всего вижу в SBS сети, установленной кем-либо, кто незнаком с моделью безопасности ISA Firewall и сетевой безопасностью вообще. Я также наблюдал попытки сделать подобное у пользователей, незнающих о сетях TCP/IP.

В данном случае есть способ, позволяющий подключения между корпоративной сетью, зоной DMZ и Интернет, минующие ISA Firewall. Наиболее часто люди получают подобный вариант, поставив между хаб или свитч между внешним интерфейсом ISA Firewall и внешним брандмауэром/устройством NAT и подключив внешний интерфейс ISA Firewall и внутренний интерфейс внешнего брандмауэра/устройства NAT к одному и тому же хабу/свитчу. В дополнение к этому, они подключают этот хаб/свитч к другому, расположенному внутри корпоративной сети. Это обеспечивает обходной маршрут мимо ISA Firewall.

Этот сценарий я назвал кошмарным по следующим причинам:

1. Он предоставляет обходной маршрут, который позволяет злонамеренным пользователям обойти ISA Firewall.
2. Он не будет работать. Внутренний и внешний интерфейсы ISA Firewall должны быть в сетях с разными идентификаторами. Внешний интерфейс должен быть в той же самой сети, что и LAN интерфейс внешнего брандмауэра/устройства NAT. Поскольку внешний интерфейс ISA Firewall должен находиться в разных сетях с внутренним интерфейсом, LAN интерфейс внешнего брандмауэра/устройства NAT должен быть подключен не к той сети, где находится внутренний интерфейс ISA Firewall, что, как минимум, означает, что хосты, расположенные в подсетях внутренней сети, размещены не в той сети, к которой подключен LAN интерфейс внешнего брандмауэра/устройства NAT.

Конечно, вы можете схитрить и изменить IP адрес и шлюз, принадлежащий хосту во внутренней сети, так, что этот IP адрес будет в сети с тем же самым идентификатором, что и та сеть, куда подключен LAN интерфейс внешнего брандмауэра/устройства NAT, а потом настроить шлюз клиента под IP адрес LAN интерфейса внешнего брандмауэра/устройства NAT. Это позволит злонамеренному пользователю полностью обойти ISA Firewall, чтобы подключиться к Интернет, а злонамеренному внешнему пользователю получить доступ к корпоративной сети.

Вы играете с огнем, когда позволяете пользователям обходить ISA Firewall, как им вздумается. По этой причине, название кошмарный вполне подходит этого сценария.

Рисунок 5

В этой статье мы обсудили вопросы внедрения ISA Firewall в уже существующую инфраструктуру брандмауэра и сети VPN с удаленным доступом. Есть несколько вариантов, и наиболее защищенные из них принуждают все подключения внутрь и извне корпоративной сети проходить через ISA Firewall. Чтобы получить более глубокое представление о том, как работает данное решение, мы изучили используемые отношения маршрутизации, а также пути запроса/отклика для удаленных клиентов VPN. Во второй части этой серии статей, мы перейдем к деталям конфигурации и рассмотрим особенности каждой опции настройки.