Включение нового ISA Firewall в вашу сеть может быть
сопряжено с проблемами. С одной стороны, вы хотите получить
новые возможности и преимущества в защищенности,
предоставляемые новым брандмауэром, но с другой стороны, вы не
хотите дезорганизовать вашу сетевую инфраструктуру, так как
подобные действия несут в себе потенциальную угрозу прерывания
работы служб.
Пожалуй наиболее легким способом установить новый
брандмауэр является метод Rip and Replace (Удалить и
Заменить), когда вы настраиваете новый брандмауэр так же,
как и предыдущий, после чего удаляете более старый и
устанавливаете новый. Хоть это может показаться легким на
бумаге, в реальности организации часто несут «невозместимые
издержки», связанные с брандмауэрами и хотят, чтобы текущая
инфраструктура окупила себя до своей замены.
Еще одним важным соображением является то, что новый
брандмауэр может задействовать совсем другие методы управления
и политику, которая может не согласоваться с тем, что было
ранее.
По этим и другим причинам я часто рекомендую при установке
нового ISA firewall использовать преимущества имеющейся
инфраструктуры вместо подхода Rip and Replace (Удалить и
Заменить). Хотя есть несколько возможных решений, которые вы
можете использовать, наиболее защищенный вариант –
использовать для брандмауэров конфигурацию «back to back».
В подобном случае компания сохраняет свой текущий
брандмауэр как внешний и помещает ISA Firewall позади него.
Таким образом, брандмауэр ISA будет размещен наиболее близко к
тем ресурсам, для защиты которых он предназначен.
Установка ISA Firewall на заданную инфраструктуру сети VPN
с удаленным доступом
Я часто сталкиваюсь с подобным дизайном инфраструктуры и
проблемами настройки, связанными с ним. Часто поднимающимся
вопросом является следующий – что делать с соединениями
удаленного доступа к корпоративной сети клиентов VPN?
Большинство компаний с уже существующей инфраструктурой
начинают использовать старый брандмауэр как сервер VPN и
иногда пользуются особой, несовместимой с RFC
программой-клиентом VPN, что подключается
исключительно к брандмауэру поставщика. Эти компании
желают сохранить их существующую инфраструктуру VPN, но при
этом хотят разрешить VPN клиентам доступ к ресурсам,
расположенным в корпоративной сети под защитой ISA
Firewall.
Другим весьма распространенным случаем является такой,
когда при уже существующем сервере VPN с удаленным доступом
компания использует какое-либо «широкополосное» NAT устройство
для подключения к Интернет, и хочет поставить ISA Firewall как
внутренний брандмауэр. Наиболее часто встречающиеся ситуации
для данного типа конфигурации таковы - компания должна
использовать PPPoE для подключения к сети DSL, или же
использовать DHCP для того, чтобы получить открытый адрес
кабельной сети.
Во втором случае, где устройство NAT находится перед ISA
Firewall, часто используется SBS 2003 Service Pack 1 с
брандмауэром ISA, установленным на нем, а сервер SBS
присоединяется к нескольким физическим линиям. Хоть я никогда
не видел в этом особого смысла, пользователи часто хотят
прерывать свои VPN соединения к устройству NAT, расположенному
перед сервером SBS, но все еще хотят иметь доступ к ресурсам,
расположенным на компьютерах под управлением SBS и к ресурсам,
расположенными в корпоративной сети за сервером SBS.
В обоих случаях, и с SBS/внешним устройством NAT, и с
корпоративным внешним брандмауэром, компания хочет прервать
соединение удаленного доступа VPN на устройстве перед
ISA Firewall, а не в ISA Firewall, и каким-либо
образом разрешить удаленным клиентам VPN доступ к ресурсам,
расположенным позади внутреннего ISA Firewall. Это именно то,
на что о чем я буду говорить в этой серии статей.
ПРИМЕЧАНИЕ:
Хоть положения и процедуры, что я обсуждаю в
этой серии статей и относятся к SBS 2003 Service Pack 1 с
используемым ISA 2004, я не буду подробно описывать все шаги,
необходимые для работы данной конфигурации в таком окружении.
Оставим подробности профессионалам SBS.
В этой статье мы сосредоточим наше внимание на следующих
вопросах:
- Прерывание VPN соединения у внешнего
брандмауэра. Возможные проблемы, нуждающиеся в
рассмотрении, при прерывании соединений удаленного доступа
клиентов VPN перед ISA Firewall
- Настройка IP адресации для VPN клиентов внешнего
VPN сервера. Для VPN клиентов должна быть назначена
IP адресация, позволяющая им подключаться к зоне DMZ между
внешним брандмауэром или устройством NAT и ISA Firewall, и
разрешающая подключения к корпоративной сети, расположенной
за ISA Firewall.
- Настройка ISA Firewall. Настройка ISA
Firewall будет включать в себя также настройку новой сети
ISA Firewall Network для зоны DMZ между брандмауэрами,
настройку правила Network Rule и политики Access Policy,
контролирующих трафик, проходящий через ISA Firewall к
удаленным VPN клиентам и от них.
- Создание сети FE DMZ Network. Мы
создадим новую сеть ISA Firewall Network из диапазона
адресов с сетевым идентификатором для сегмента сети между
внешним брандмауэром и внутренним ISA Firewall.
- Настройка правила Network Rule для пространства
между внутренней сетью и сетью FE DMZ Network.
После того, как новая сеть ISA Firewall Network создана, мы
создадим маршрут между зоной DMZ и внутренней сетью,
расположенной за ISA Firewall.
- Настройка политики ISA Firewall для FE DMZ VPN
клиентов. Должна быть настроена политика
брандмауэра, контролирующая, какой трафик может проходить
сквозь ISA Firewall к удаленным VPN клиентам и от них. Также
необходимы правила DNS для разрешения имен для удаленных
клиентов VPN.
- Настройка программы-клиента VPN.
Программа-клиент должна быть настроена для VPN соединения
удаленного доступа. При необходимости это означает и
настройку VPN протокола и поддержку раздельного
туннелирования. Возможно, что удаленный VPN клиент может
выступать в качестве одного или нескольких типов клиентов
ISA Firewall во время соединения.
- Поддержка Web Proxy. Удаленный VPN
клиент может поддерживать подключения Web proxy клиента к
брандмауэру ISA Firewall во время VPN сеанса. Мы посмотрим,
какие затруднения тут могут встретиться, и рассмотрим
образец конфигурации.
- Поддержка клиента брандмауэра. В этом
случае, подобная поддержка недоступна. Мы изучим спорные
вопросы и увидим, что вы теряете в плане безопасности при
обрыве соединения у внешнего брандмауэра вместо ISA
Firewall.
- Поддержка SecureNAT. Удаленные VPN
клиенты де-факто являются SecureNAT клиентами брандмауэра
ISA Firewall. Мы обсудим достоинства и недостатки такой
ситуации.
- Проверка соединений. Все проверяется на
практике. В этой части мы изучим, что происходит во время
подключений удаленных VPN клиентов, когда они получают
доступ к Интернет и ресурсам в корпоративной сети позади ISA
Firewall (или же на самом ISA Firewall).
Прерывание VPN соединения у внешнего брандмауэра или NAT
устройства
Прежде чем углубляться в подробности конфигурации,
связанные с установкой VPN с удаленным доступом и пунктом
прерывания перед ISA Firewall, вы должны иметь общее
представление о сетевой архитектуре, маршрутизации и путях
запроса/отклика для различных типов соединений, создаваемых
при удаленном VPN подключении.
На рисунке 1 продемонстрирована основная сетевая структура,
при которой удаленный VPN клиент прерывает VPN соединение у
брандмауэра или устройства NAT, размещенного перед ISA
Firewall. Зеленой линией на рисунке показано удаленное VPN
подключение к брандмауэру или внешнему интерфейсу NAT
устройства.
Внутренний интерфейс внешнего брандмауэра или устройства
NAT подключен к общему хабу или свитчу, с которым соединен
внешний интерфейс ISA Firewall. Вы также можете использовать
этот сегмент сети для подключения веб, FTP или других
серверов, к которым вы предоставляете анонимный доступ из
Интернет.
Внешний интерфейс ISA Firewall подключен к общему
хабу/свитчу, с которым соединен внутренний интерфейс внешнего
брандмауэра или устройства NAT, равно как и другие серверы,
которые могут быть помещены в зону DMZ. Заметьте, что
независимый свитч или хаб не понадобится. У многих
брандмауэров и устройств NAT есть множество LAN портов. В
таком случае, вы можете присоединить внешний интерфейс к
одному из LAN портов устройства и а также подключить любой
сервер с анонимным доступом к тому же устройству.
ВНИМАНИЕ:
Весьма важно не допускать прямых
соединений из защищенной сети позади ISA firewall и сети DMZ
или Интернет. ISA Firewall должен быть подключен, чтобы
контролировать весь входящий и исходящий трафик корпоративной
сети. Чуть позже в этой статье я расскажу о том, что я называю
кошмарным сценарием, где это требование не соблюдено.
Причиной, по которой в зоне DMZ между внешним интерфейсом
ISA Firewall и внешним брандмауэром или устройством NAT стоит
размещать лишь серверы с анонимным доступом, является то, что
вы полностью зависите от защиты, обеспечиваемой устройством
NAT или простым брандмауэром, чтобы защитить линии связи,
ведущие внутрь сегмента DMZ и из него.
По этой причине не нужно размещать важные корпоративные
ресурсы в этой зоне DMZ. Для этого принципа можно сделать
исключение, если использовать два брандмауэра ISA Firewall,
внешний и внутренний. Или же если вы используете брандмауэр с
высоким уровнем защиты, схожим с ISA Firewall, как например
Check Point c технологией «Application intelligence».
Рисунок 1
Прерывание VPN соединения у простого брандмауэра с
поточной проверкой трафика или устройства NAT
Ключевым для этого решения является понимание отношений
маршрутизации для коммуникации с удаленным VPN клиентом. На
рисунке 2 показаны отношения маршрутизации между различными
сетями:
- Отношения ROUTE между внутренней сетью позади ISA
Firewall и сегментом DMZ между ISA Firewall и
брандмауэром/устройством NAT. Это позволяет нам создавать и
правила публикации и правила доступа для контроля трафика
между удаленными клиентами VPN и корпоративной сетью
- Отношения ROUTE между внутренней сетью, размещенной
позади ISA Firewall, и Интернет. Правило Network Rule,
устанавливающее отношения маршрутизации между внутренней
сетью и внешней создается автоматически, когда вы
устанавливаете ISA Firewall на устройство, подключенное к
нескольким линиям связи, также вводятся в действие отношения
ROUTE между внутренней сетью и Интернет
- Отношения ROUTE между удаленным клиентом VPN и зоной
DMZ, расположенной между ISA Firewall и внешним
брандмауэром/устройством NAT. ISA Firewall не осведомлен об
этом и не должен быть, так как это не влияет на его
настройки
- Отношения ROUTE между внутренней сетью и удаленным
клиентом VPN. Причиной этому служит то, что мы должны
провести маршрут между внутренней сетью и зоной DMZ,
расположенной между ISA Firewall и внешним
брандмауэром/устройством NAT. Поскольку для удаленного
клиента VPN будет назначен IP адрес с тем же самым сетевым
идентификатором, что используется в сегменте DMZ, отношения
маршрутизации между внутренней сетью позади ISA Firewall и
удаленными клиентами VPN будут такими же, как и отношения
маршрутизации между внутренней сетью и зоной DMZ, то есть
ROUTE.
Рисунок 2
Прерывание VPN соединения у простого брандмауэра с
поточной проверкой трафика или устройства NAT и отношения
маршрутизации между сетями
Теперь, когда вы знаете о ключевых отношениях маршрутизации
для всех линий связи, относящихся к подключениям удаленных
клиентов VPN, следующим шагом в понимании того, как именно
работает данное решение, будет обзор путей запроса/отклика
касательно линий связи для удаленных клиентов VPN.
На рисунке 3 показаны четыре пути запроса/отклика:
- Это путь запроса/отклика для соединений между удаленными
клиентами VPN и внутренней сетью под защитой ISA Firewall.
Отношения маршрутизации, управляющие этими соединениями,
позволяют вам использовать и правила доступа и правила
публикации для контроля уровня доступа удаленных клиентов
при подключении к внутренней сети позади ISA Firewall.
- Это путь запроса/отклика для соединений между удаленными
клиентами VPN и зоной DMZ, расположенной между ISA Firewall
и внешним брандмауэром/устройством NAT. Контроль уровня
доступа для подключений клиентов VPN определяется
возможностями внешнего брандмауэра/устройства NAT. Если у
вас нечто более продвинутое, вы сможете осуществлять
контроль доступа с фильтрацией пакетов или даже контроль
пользователей. Если же у вас лишь простой брандмауэр с
поточной проверкой трафика или устройство NAT вы почти не
будете контролировать, к чему удаленные клиенты VPN получают
доступ в сети DMZ.
- Это путь запроса/отклика для подключений к ресурсам
Интернет. Это один из двух случаев, зависящих от
возможностей вашего внешнего брандмауэра или устройства NAT.
Если он не поддерживает обратную передачу в Интернет, чтобы
позволить удаленным клиентам VPN подключение к ресурсам
Интернет, тогда вы можете настроить программу удаленного
доступа VPN для включения раздельного
туннелирования. Хотя раздельное туннелирование обычно
считается рискованным с точки зрения безопасности, это
единственная возможность предоставить удаленным клиентам VPN
доступ к Интернет, если ваш внешний брандмауэр или
устройство NAT не поддерживает обратную передачу через
внешний интерфейс.
- Это путь запроса/отклика для подключений к Интернет
ресурсам. Это второй случай, где ваш внешний брандмауэр или
устройство NAT позволяет удаленным VPN клиентам
доступ к Интернет ресурсам путем обратной передачи через
устройство. Это устраняет необходимость включения
раздельного туннелирования и заодно предоставляет вам
потенциальную возможность ввести какой-либо вид
корпоративной политики брандмауэра для удаленных клиентов
VPN при подключении к VPN серверу. Подобная конфигурация
имеет свои преимущества в предотвращении проблем
защищенности, связанных с раздельным туннелированием, но ее
недостатком является то, что удаленные клиенты VPN
используют пропускную способность корпоративной сети при
подключении к Интернет.
Рисунок 3
Прерывание VPN соединения у простого брандмауэра с поточной
проверкой трафика или устройства NAT и пути запроса/отклика
для корпоративной сети и подключений Web Proxy к Интернет
На рисунке 4 показаны пути запроса/отклика, доступные, если
использовать конфигурацию, при которой удаленные VPN клиенты
используют ISA Firewall как устройство Web proxy при
подключении к удаленному серверу VPN:
- Этот путь запроса/отклика используется для всех
не-HTTP/HTTPS соединений, если внешний брандмауэр не
поддерживает обратную передачу через устройство для
подключения к Интернет.
- Этот путь запроса/отклика используется для всех
не-HTTP/HTTPS соединений, если внешний брандмауэр
поддерживает обратную передачу через устройство для
подключения к Интернет.
- Этот путь запроса/отклика используется для всех
HTTP/HTTPS/HTTP туннелированных FTP запросов, если удаленный
клиент VPN настроен для использования ISA Firewall как
сервер Web proxy server при подключении к серверу VPN.
Возможность это сделать зависит от вашей программы-клиента
VPN и ее интеграции с Windows.
Например, если вы используете «родную» программу-клиент
VPN, которая поставляется вместе с Windows XP Service Pack 2,
вы можете подключиться к внешнему брандмауэру или устройству
NAT, используя VPN протоколы PPTP, L2TP/IPSec и L2TP/IPSec
NAT-T. После этого вы можете настроить клиент VPN для
использования ISA Firewall как устройства Web proxy при
подключении к серверу VPN, расположенному перед ISA Firewall.
Это позволит вам ввести политику ISA Firewall policy и
фильтрацию содержимого для удаленного клиента VPN при
подключении к серверу VPN.
Эта конфигурация также позволяет вам вести всеобъемлющие
записи обо всех сайтах и их содержанию, к которым получил
доступ пользователь, включая имя пользователя в файлах
записей, которое может быть использовано в отчетах об
активности пользователя в Интернете. Настройка клиента Web
proxy автоматически останавливается, когда клиент отключается
от VPN сервера, размещенного перед ISA Firewall. Поддержка
настройки клиента Web proxy зависит от программы-клиента VPN,
которую вы используете.
Рисунок 4
Кошмарный сценарий
На рисунке 5 показано то, что я называю кошмарным
сценарием (nightmare scenario), и то, что чаще всего
вижу в SBS сети, установленной кем-либо, кто незнаком с
моделью безопасности ISA Firewall и сетевой безопасностью
вообще. Я также наблюдал попытки сделать подобное у
пользователей, незнающих о сетях TCP/IP.
В данном случае есть способ, позволяющий подключения между
корпоративной сетью, зоной DMZ и Интернет, минующие ISA
Firewall. Наиболее часто люди получают подобный вариант,
поставив между хаб или свитч между внешним интерфейсом ISA
Firewall и внешним брандмауэром/устройством NAT и подключив
внешний интерфейс ISA Firewall и внутренний интерфейс внешнего
брандмауэра/устройства NAT к одному и тому же хабу/свитчу. В
дополнение к этому, они подключают этот хаб/свитч к другому,
расположенному внутри корпоративной сети. Это обеспечивает
обходной маршрут мимо ISA Firewall.
Этот сценарий я назвал кошмарным по следующим причинам:
- Он предоставляет обходной маршрут, который позволяет
злонамеренным пользователям обойти ISA Firewall.
- Он не будет работать. Внутренний и внешний интерфейсы
ISA Firewall должны быть в сетях с разными
идентификаторами. Внешний интерфейс должен быть в той
же самой сети, что и LAN интерфейс внешнего
брандмауэра/устройства NAT. Поскольку внешний интерфейс ISA
Firewall должен находиться в разных сетях с внутренним
интерфейсом, LAN интерфейс внешнего брандмауэра/устройства
NAT должен быть подключен не к той сети, где находится
внутренний интерфейс ISA Firewall, что, как минимум,
означает, что хосты, расположенные в подсетях внутренней
сети, размещены не в той сети, к которой подключен LAN
интерфейс внешнего брандмауэра/устройства NAT.
Конечно, вы можете схитрить и изменить IP адрес и шлюз,
принадлежащий хосту во внутренней сети, так, что этот IP адрес
будет в сети с тем же самым идентификатором, что и та сеть,
куда подключен LAN интерфейс внешнего брандмауэра/устройства
NAT, а потом настроить шлюз клиента под IP адрес LAN
интерфейса внешнего брандмауэра/устройства NAT. Это позволит
злонамеренному пользователю полностью обойти ISA Firewall,
чтобы подключиться к Интернет, а злонамеренному внешнему
пользователю получить доступ к корпоративной сети.
Вы играете с огнем, когда позволяете пользователям обходить
ISA Firewall, как им вздумается. По этой причине, название
кошмарный вполне подходит этого сценария.
Рисунок 5
В этой статье мы обсудили вопросы внедрения ISA Firewall в
уже существующую инфраструктуру брандмауэра и сети VPN с
удаленным доступом. Есть несколько вариантов, и наиболее
защищенные из них принуждают все подключения внутрь и извне
корпоративной сети проходить через ISA Firewall. Чтобы
получить более глубокое представление о том, как работает
данное решение, мы изучили используемые отношения
маршрутизации, а также пути запроса/отклика для удаленных
клиентов VPN. Во второй части этой серии статей, мы перейдем к
деталям конфигурации и рассмотрим особенности каждой опции
настройки.