Прерывание VPN соединения перед ISA Firewall

В первой части этой серии из двух статей, посвященной настройке ISA Firewall для поддержки удаленных клиентов VPN, прерываемых у внешнего брандмауэра или устройства NAT, я рассказывал о принципах дизайна основной инфраструктуры, важных для работоспособности этого решения. В той статье обсуждались сетевая архитектура, отношения маршрутизации и условия контроля доступа.

В данной статье я продолжу обсуждение, но на этот раз уделю особое внимание конкретным деталям настройки, а также расскажу о некоторых наиболее серьезных затруднениях и осложнениях, которые могут возникнуть с вашей сетью. Мы рассмотрим следующие действия:

• Настройка внешнего брандмауэра/устройства NAT с помощью IP адресации для удаленных клиентовVPN Удаленным VPN клиентам необходим допустимый адрес, позволяющий им получить доступ к хостам, расположенным в сети DMZ и в корпоративной сети под защитой ISA Firewall
• Создание сети DMZ ISA Firewall Network Брандмауэр ISA Firewall использует ISA Firewall Networks для определения отношений маршрутизации между источником запроса и местом назначения. Мы создадим сеть DMZ ISA Firewall Network, с идентификатором сети DMZ, расположенной между внешним интерфейсом ISA Firewall и LAN интерфейсом внешнего брандмауэра/устройства NAT
• Создание набора правил Network Rule для отношения Route между внутренней сетью и сетью DMZ Следующим шагом после установки сети DMZ ISA Firewall Network будет создание набора правил Network Rule для отношения Route между внутренней сетью и сетью DMZ ISA firewall Network. Это даст нам больше возможностей при контроле, к каким ресурсам, размещенным в корпоративной сети под защитой ISA Firewall, удаленные клиенты VPN могут получить доступ

В следующей статье мы закончим рассказ о данном дизайне обсуждением правил ISA Firewall, которые вам необходимо создать для этого сценария, процессов настройки различных типов клиентов и тестированием конфигурации.

Прежде чем переходить к деталям настройки, изучим пример сети, использованный в статье. Он показан на рисунке 6.

Рисунок 6

В нашей внутренней сети расположен контроллер домена, который также является DNS сервером, установленным так, что он может разрешать и внешние и внутренние имена. ISA Firewall использует этот сервер как для разрешения имен клиентов Интернет и брандмауэра, так и для выполнения DNS просмотров, в том числе обратных, чтобы удостовериться в том, что введены настройки доступа с фильтрацией по сайтам. Этот контроллер домена, расположенный во внутренней сети под защитой ISA Firewall, использует IP адрес внутреннего интерфейса ISA Firewall в качестве шлюза по умолчанию.

ISA Firewall установлен на компьютер с двумя сетевыми интерфейсами: внутренний для внутренней сети и внешний для сети DMZ за пределами ISA Firewall и компьютера RRAS NAT, расположенного перед ISA Firewall. ISA Firewall является членом домена, так что в будущем у нас будет возможность использовать строгий контроль доступа по пользователям/группам с максимальной эффективностью, воспользовавшись настройками клиента Web proxy или брандмауэра.

Внешний брандмауэр/устройство NAT, используемый в этом сценарии – это служба Windows Server 2003 RRAS NAT. Я понимаю, что Windows Server 2003 RRAS NAT не самый распространенный брандмауэр/устройство NAT для корпоративных сетей, однако я решил, что это будет лучшее решение для демонстрации изложенного в этих статьях, поскольку каждый может позволить себе по меньшей мере демо-версию Windows Server 2003, с помощью которой можно протестировать этот сценарий, и после вы можете применить решения, использованные в этом примере для сервера RRAS NAT, для похожей конфигурации вашего внешнего брандмауэра/устройства NAT.

У компьютера с RRAS NAT есть два сетевых интерфейса: один интерфейс подключен к зоне DMZ, расположенной между ним и ISA Firewall и внешний интерфейс, подключенный к Интернет или сети, которая обеспечивает доступ к Интернет. Поскольку я показываю эту конфигурацию на примере моей реальной сети, доступ к Интернет идет через ISA Firewall, расположенный перед сервером RRAS NAT, используемом в этом сценарии.

Соответствующие IP адреса для сети, взятой для примера, показаны на рисунке 6.

Настройка IP адресации внешнего сервера VPN для удаленных VPN клиентов

Внешний брандмауэр/устройство NAT должен иметь возможность передавать допустимые IP адресы VPN клиентам при их подключении к VPN серверу. В большинстве случаев, вам нужно назначить удаленным клиентам VPN те адреса, что находятся в подсети с LAN интерфейсом внешнего брандмауэра/устройства NAT. Например, если внутренний интерфейс устройства NAT имеет сетевой идентификатор 10.0.1.0/24, вам нужно назначать адреса VPN клиентов в этом диапазоне.

Для клиентов VPN также должен быть назначен адрес DNS сервера, позволяющего им разрешать имена в корпоративной сети. Это необходимо сделать, поскольку DNS сервер, закрепленный за внешними клиентами, может разрешать лишь имена хостов в Интернет, но не в вашей внутренней сети. Обычно я закрепляю за этими удаленными клиентами VPN IP адрес DNS сервера, расположенного в корпоративной сети под защитой ISA Firewall, после чего создаю правило доступа, позволяющее удаленным клиентам VPN осуществлять DNS запросы, обращенные к этому DNS серверу.

Внешний брандмауэр/устройство нуждается в записи в таблице маршрутизации, информирующей его о корректном шлюзе в корпоративную сеть. Без подобной записи внешний брандмауэр/устройство NAT, используемый как сервер VPN, будет неспособен правильно маршрутизировать запрос, и попытки соединения будут безуспешны.

Подведем итоги под нашими требованиями к внешнему брандмауэру/устройству NAT:

• Для клиентов VPN должны быть назначены адреса, находящиеся в одной подсети с внутренним/LAN интерфейсом внешнего брандмауэра/устройства NAT
• Для клиентов VPN должен быть назначен адрес DNS сервера, разрешающего и имена внутренних хостов, и внешних
• Должна быть настроена запись в таблице маршрутизации на внешнем брандмауэре/устройстве NAT, позволяющая ему найти шлюз для всех сетевых идентификаторов, расположенных под защитой ISA Firewall

Следующие процедуры покажут вам, как настроить Windows Server 2003 RRAS NAT и создать запись в таблице маршрутизации на компьютере RRAS NAT. Если вы хотите скопировать эту конфигурацию в вашей тестовой сети, или если вы используете RRAS NAT в качестве внешнего шлюза VPN, эта инструкция подойдет вам. Если же вы используете в качестве внешнего устройства что-то другое и не хотите менять эту конфигурацию вашей тестовой сети, можете продолжить чтение со следующего параграфа, озаглавленного Настройка ISA Firewall.

Выполните следующие действия на компьютере с установленным Windows Server 2003, что будет использоваться как сервер сети VPN с удаленным доступом и устройство NAT:

1. Нажмите Start, затем на Administrative Tools. Щелкните на Routing and Remote Access.
2. Служба Routing and Remote Access Service установлена по умолчанию, но не включена. Чтобы включить ее, в консоли Routing and Remote Access щелкните правой кнопкой на имени сервера, расположенном на левой панели и нажмите Configure and Enable Routing and Remote Access.
3. Нажмите Next на странице мастера установки Welcome to the Routing and Remote Access Server Setup Wizard.
4. На странице Configuration выберите опцию Virtual Private Network (VPN) access and NAT и нажмите Next.
5. Рисунок 7
6. На странице VPN Connection выберите сетевой интерфейс, соединяющий сервер VPN с Интернет. В этом примере интерфейс под именем WAN является внешним, и мы выберем его. Отметим поле Enable security on the selected interface by setting up Basic Firewall. Это настроит сервер RRAS так, что он будет допускать входящие VPN соединения с поточной проверкой трафика и блокировать все другие входящие подключения. Нажмите Next.
7. Рисунок 8
8. На странице Network Selection, выберите сетевой интерфейс, представляющий собой внутренний интерфейс сервера RRAS NAT. В этом примере им будет интерфейс под именем LAN. Нажмите Next.
9. Рисунок 9
10. На странице IP Address Assignment отметьте опцию From a specified range of addresses и нажмите Next. Причина, по которой мы выбрали эту опцию, в том, что у нас нет DHCP сервера в сети DMZ, и программа DHCP Relay Agent для поддержки DHCP серверов, расположенных во внутренней сети, не установлена на ISA Firewall.
11. На странице Address Range Assignment нажмите кнопку New. В диалоговом окне New Address Range введите начальный IP адрес (Start IP address) и конечный IP адрес (End IP address) для вашего диапазона адресов. В этом примере я ввел диапазон, содержащий 21 адрес. Один из них используется VPN интерфейсом сервера RRAS NAT, а остальные 20 свободны для прикрепления к удаленным клиентам VPN. Нажмите OK.
12. Рисунок 10
13. На странице Address Range Assignment нажмите Next.
14. Настройка VPN сервера завершена, и теперь мы выбираем опции, касающиеся сервиса NAT. На странице Network Selection, выберите сетевой интерфейс, который должен позволять исходящие NAT соединения. В этом примере, мы хотим разрешить исходящие NAT соединения с внутреннего интерфейса сервера RRAS NAT. Этим интерфейсом будет LAN, так что мы выберем его и нажмем Next.
15. Рисунок 11
16. На странице Managing Multiple Remote Access Servers отметьте опцию No, use Routing and Remote Access to authenticate connection requests. В этом сценарии мы не используем авторизацию RADIUS, но если вы захотите использовать данный метод в своей конфигурации, это вполне осуществимо. Если вы выбрали опцию с использованием авторизации RADIUS, единственное, что вам нужно сделать на компьютере, где установлен ISA Firewall, это создать правило доступа, позволяющее RADIUS принимать исходящие подключения с сервера RADIUS в корпоративной сети. Нажмите Next.
17. На странице Completing Routing and Remote Access Server Setup Wizard нажмите Finish. В диалоговом окне, информирующем вас о программе DHCP Relay Agent, нажмите OK.

На этом этапе вы увидите, как на иконке сервера, расположенного на левой панели, появится зеленая стрелка, указывающая вверх. Проверим ключевые параметры конфигурации VPN сервера и настроим запись в таблице маршрутизации:

1. Щелкните правой кнопкой на имени сервера на левой панели и нажмите Properties.
2. В диалоговом окне Properties выберите вкладку IP.
3. На вкладке IP проверьте параметры в раскрывающемся списке Adapter. Нам нужно назначить для удаленных клиентов VPN DNS сервер, способный разрешать для них имена и открытых и приватных хостов, и это сервер по всей вероятности установлен в корпоративной сети под защитой ISA Firewall. По этой причине нам нужно настроить внутренний интерфейс сервера RRAS NAT для использования внутреннего DNS сервера. В этом примере, внутренний интерфейс сервера RRAS NAT использует адрес 10.0.0.2 как DNS сервер. Нажмите OK.
4. Рисунок 12
5. Теперь нам нужно сделать запись в таблице маршрутизации. Раскройте список IP Routing на левой панели, нажмите правой кнопкой на строку Static Routes и выберите New Static Route.
6. В диалоговом окне Static Route введите идентификатор внутренней сети в поле Destination. В нашей сети, взятой для примера, внутренняя сеть имеет идентификатор 10.0.0.0/24, так что введем 10.0.0.0 в поле Destination. Заполним и поле Network mask. В нашей сети маской подсети будет 255.255.255.0. В поле Gateway введите адрес шлюза, ведущего соединение к нужной сети. В нашем примере, шлюзом к корпоративной сети будет IP адрес внешнего интерфейса ISA Firewall. В данном случае, это 10.0.1.2. В этой сети, взятой для примера, мы можем использовать цифровые значения, данные по умолчанию. Нажмите OK.
7. Рисунок 13
8. Закройте консоль Routing and Remote Access.

Настройка ISA Firewall

Теперь, когда настройка внешнего устройства NAT завершена, мы можем начать работать над внутренним брандмауэром ISA Firewall. Есть три ключевых процедуры по настройке ISA Firewall, которые нам необходимо выполнить:

• Создать внешнюю сеть DMZ ISA firewall Network
• Настроить правило сети между Default Internal Network FE DMZ Network
• Настроить политику ISA Firewall для удаленных клиентов VPN

Создание сети FE DMZ Network

Сеть ISA firewall Network – это объект, который вы можете использовать для контроля отношений маршрутизации между источником запроса и хостом-местом назначения. Сетью ISA Firewall Network являются все IP адреса, доступные с заданного интерфейса ISA Firewall, где сетевой интерфейс представляет собой «root» отдельной сети ISA Firewall Network. Для получения более детальной информации о ISA Firewall Network и о том, как эту сеть использует ISA Firewall, зайдите на http://www.isaserver.org/articles/2004isanetworks.html и http://www.isadocs.ru/articles/understanding_isa_firewall_networks_v1-1.php

Мы хотим выделить сегмент DMZ, расположенный между внешним интерфейсом ISA Firewall и LAN интерфейсом внешнего брандмауэра/устройства NAT и сделать его сетью ISA Firewall Network. Это позволит нам задать отношения маршрутизации между внутренней сетью, находящейся под защитой ISA Firewall и сетью DMZ, расположенной перед ISA Firewall. С заданным отношением Route между этими сетями мы сможем использовать либо правила доступа, либо правила публикации для контроля трафика между сетью DMZ (где расположены удаленные клиенты VPN) и внутренней сетью под защитой ISA Firewall.

В сети, взятой в качестве примера для этой серии статей, сеть ISA Firewall Network использует все адреса с сетевым идентификатором 10.0.1.0/24. Для удаленных клиентов VPN назначаются адреса внутри этого диапазона, так что они будут автоматически включены в определение сети DMZ ISA Firewall Network.

Выполните следующие действия для создания сети ISA Firewall Network для сегмента DMZ:

1. В консоли ISA Firewall, раскройте строчку с именем сервера на левой панели и затем раскройте список Configuration. Нажмите на Network.
2. Нажмите на строчку Create a New Network на вкладке Tasks панели задач.
3. В окне Welcome to the New Network Wizard введите имя сети ISA Firewall Network в поле Network name. В этом примере мы назовем ее FE DMZ. Нажмите Next.
4. На странице Network Type выберите опцию Perimeter Network. Замечу, что по своим функциям опция Perimeter Network не отличается от опций Internet Network или External Network. Нажмите Next.
5. Рисунок 14
6. На странице Network Addresses, нажмите кнопку Add.
7. В диалоговом окне IP Address Range Properties, введите диапазон IP адресов, определяющий сеть FE DMZ ISA Firewall Network. В этом примере the FE DMZ определяется идентификатором все сети 10.0.1.0/24, так что мы вводим 10.0.1.0 в поле Starting address и 10.0.1.255 в поле Ending address. Нажмите OK.
8. Рисунок 15
9. Нажмите Next на странице Network Addresses.
10. Нажмите Finish на странице Completing the New Network Wizard.

На данном этапе на вкладке Networks на средней панели консоли ISA Firewall появится новый список ISA Firewall Network. Следующим шагом будет настройка этой сети для того, чтобы она поддерживала подключения клиента Web proxy. Это даст нам возможность сделать удаленных клиентов VPN клиентами Web proxy брандмауэра ISA Firewall при их подключении к внешнему брандмауэру/устройству NAT.

1. Дважды щелкните на запись FE DMZ в списке сетей ISA Firewall Networks на вкладке Networks.
2. В диалоговом окне FE DMZ Properties выберите вкладку Web proxy. Оставаясь на ней, отметьте поле Enable Web proxy clients.
3. Рисунок 16
4. Нажмите кнопку Authentication. В диалоговом окне Authentication вы увидите, что опцией авторизации, выставленной по умолчанию, является Integrated. Эта опция будет обеспечивать прозрачную авторизацию в том случае, если пользователи отмечены в учетной записи домена, а ISA Firewall является членом домена Active Directory. Если пользователи не отмечены в учетной записи домена, но ISA Firewall является членом домена, вам следует включить опцию авторизации Basic, чтобы пользователи имели возможность ввести свое имя и пароль. Если ISA Firewall не является членом домена, вы можете создать учетные записи в его локальной базе данных SAM и скопировать их на рабочие станции пользователей; это позволит вам использовать интегрированную авторизацию, прозрачную и не требующую от пользователей ввода имени и пароля. В нашей сети, использованной для примера в этой статье, ISA Firewall является членом домена, и внешний пользователь входит в систему с помощью кэшированных параметров доступа домена.

   Однако мы включим обычную (basic) авторизацию для поддержки пользователей не из данного домена, желающих войти в систему. Заметьте, что эти параметры доступа передаются в незашифрованном виде, и каждый, кто может перехватывать пакеты в зоне DMZ сможет с легкостью получить доступ к информации об учетной записи пользователя. После того, как вы отметите поле Basic, нажмите Yes в диалоговом окне, информирующем о том, что параметры доступа передаются в незашифрованном виде. В диалоговом окне Authentication нажмите OK. (Эти параметры влияют лишь на тип поддерживаемой авторизации – если ваше правило не требует авторизации, фильтр Web proxy брандмауэра ISA Firewall не будет ее запрашивать).

   
5. Рисунок 17
6. В диалоговом окне FE DMZ Properties нажмите OK.

Настройка правила Network Rule между внутренней сетью и сетью FE DMZ

Правила Network Rules контролируют отношения маршрутизации между источником и пунктом назначения. С помощью правил Network Rules вы можете создать либо отношение NAT, либо отношение ROUTE. Отношение ROUTE является двусторонним. Двустороннее отношение означает, что если есть отношение ROUTE между источником и пунктом назначения, также есть и отношение ROUTE между пунктом назначения и источником. С другой стороны, если имеется отношение NAT между источником и пунктом назначения, то между пунктом назначения и источником ничего подобного нет, так что вам придется создавать правила публикации (обратный NAT) чтобы разрешить соединения между пунктом назначения и источником.

Мы хотим создать отношение ROUTE между внутренней сетью и сетями FE DMZ ISA Firewall Networks. Это позволит нам использовать и правила доступа и правила публикации для контроля трафика между этими сетями.

Преимущество этой конфигурации в том, что вы, если хотите, можете использовать правила доступа для контроля подключений к не-Интернет протоколам и правила веб-публикации для подключений к веб-серверам. Вы можете использовать правила веб-публикации, если вы не хотите делать ваших удаленных клиентов VPN клиентами Web proxy, но хотите чтобы они проходили авторизацию у ISA Firewall, прежде чем давать им доступ к ресурсам Интернет или корпоративной сети.

Например, предположим, что у вас очень высокие требования к безопасности, и вы не хотите позволять подключения к вашему серверу OWA без предварительного подключения VPN. Или же вы не хотите внедрять инфраструктуру открытых ключей (PKI), и будете использовать канал связи VPN в качестве шифруемого, вместо канала SSL. В этих случаях вы можете сделать так, чтобы удаленные клиенты VPN проходили авторизацию у ISA Firewall, прежде чем получать доступ к странице OWA. Пре-авторизация гарантирует, что даже если безопасность вашей зоны DMZ нарушена, атакующие не смогут воспользоваться анонимными подключениями к странице OWA – им сперва придется предоставить параметры доступа брандмауэру ISA Firewall.

Заметьте что для правил доступа и публикации сервера у вас нет опции для пре-авторизации, но в этих обстоятельствах вы можете использовать контроль доступа на базе IP адресов. Это один из недостатков прерывания VPN соединений к устройству, расположенному перед ISA Firewall. Если мы прервем VPN соединение у самого брандмауэра ISA Firewall, вы сможете ввести контроль доступа к Интернет и корпоративной сети по пользователям/группам для всех клиентов VPN.

Выполните следующие действия для создания правила Network Rule:

1. Нажмите на список Networks, расположенный на левой панели консоли ISA Firewall. Выберите вкладку Network Rules на средней панели, затем на вкладке Tasks щелкните на строчку Create a New Network Rule.
2. На странице Welcome to the New Network Rule введите имя правила в поле Network rule name. В этом примере мы назовем правило Internal to DMZ. Нажмите Next.
3. На странице Network Traffic Sources нажмите кнопку Add. В диалоговом окне Add Network Entities раскройте папку Networks и дважды щелкните на сеть Internal. Нажмите Close.
4. На странице Network Traffic Sources нажмите Next.
5. На странице Network Traffic Destinations нажмите кнопку Add. В диалоговом окне Add Network Entities раскройте папку Networks и дважды щелкните за запись FE DMZ. Нажмите Close.
6. На странице Network Traffic Destinations нажмите Next.
7. На странице Network Relationship выберите опцию Route и нажмите Next.
8. Рисунок 18
9. На странице Completing the New Network Rule Wizard нажмите Finish.
10. Нажмите Apply, чтобы сохранить изменения и обновить политику брандмауэра.
11. В диалоговом окне Apply New Configuration нажмите OK.

Заключение

В этой статье мы продолжили обсуждение того, как прерывать удаленные VPN соединения у устройства, расположенного перед ISA Firewall. Мы поговорили о действиях, связанных с настройкой внешнего брандмауэра/устройства NAT, созданием сети DMZ ISA Firewall Network, и созданием правила Network Rule, контролирующего отношения маршрутизации между сетями. В следующей и заключительной статье этой серии мы создадим правила доступа, необходимые для предоставления удаленным клиентам VPN доступа к ресурсам, расположенным в корпоративной сети.