Виртуальные частные сети (VPN)
способны обеспечить высокий уровень адаптируемости, масштабируемости
и контроля над работоспособностью сети. Помимо повышенной
безопасности, эти сети способы значительно сократить уровень
затрат
на обычные подключения типа
«точка-точка». Плюс ко всему они обеспечивают гибкость.
Существует много типов сетей VPN. Некоторые из
них используются для подключения мобильных пользователей к
корпоративной сети, другие для связи двух географически разделенных
сетей. Используемые такими сетями VPN-протоколы и обеспечиваемые ими
функциональные возможности также различны. Одни сети предлагают
функции защиты, например проверку подлинности и шифрование, в то
время как другие могут быть совсем лишены таких возможностей. И
очевидно, что какие-то сети проще в настройке и управлении, чем
другие.
В этой статье я расскажу о возможностях внедрения
сети VPN при помощи сервера Internet Security and Acceleration (ISA)
Server 2006. В частности, я постараюсь сделать основной упор на
использование функциональных возможностей ISA для VPN на основе
типичных примеров: VPN для удаленного доступа пользователей и
VPN-подключение типа «сеть-сеть». Оба варианта предусматривают
реализацию функций безопасности, гарантирующих конфиденциальность
данных и обеспечивающих защиту внутренних сетевых ресурсов.
По первому варианту (VPN-подключение для
удаленного доступа) удаленный клиент инициирует VPN-подключение к
серверу ISA Server через Интернет. Затем ISA Server подключает
удаленного клиента к внутренней сети, предоставляя ему простой
доступ к внутренним сетевым ресурсам, включая данные и приложения.
Второй вариант VPN-подключения типа «сеть-сеть» является немного
более сложным, поскольку здесь используется маршрутизатор, в роли
которого может выступать сам сервер ISA. Но такое подключение
позволяет тесно связывать различные офисы или филиалы друг с другом
или центральным офисом.
Использование ISA Server 2006 для реализации
VPN-подключения дает ряд дополнительных преимуществ. Одно из
наиболее значимых преимуществ связано с интегрированностью сервера
ISA Server, что означает возможность слаженной работы функций VPN и
брандмауэра. К тому же, сервер ISA Server включает возможность
карантина VPN с функцией Network Access Quarantine Control на
Windows Server® 2003 для помещения
удаленного компьютера в карантин до проверки его конфигурации
сценарием сервера. Это дает дополнительный уровень защиты, позволяя
выполнять проверку состояния баз антивирусных программ и локальных
политик брандмауэра на удаленном компьютере, прежде чем он получит
доступ к внутренним сетевым ресурсам.
Основные преимущества администрирования,
предлагаемые сервером ISA Server и VPN-подключением, включают
централизованное управление политиками, мониторинг, протоколирование
и отчетность. При выполнении повседневных задач эти возможности
могут оказаться неоценимыми. В частности, мониторинг в реальном
времени и фильтрация журнала дают детальное представление трафика и
подключений через ISA Server.
Протоколы VPN
Основные протоколы туннелирования, используемые в
VPN-подключении через ISA, обеспечивают первую линию защиты для
безопасных подключений. ISA Server поддерживает три протокола:
протокол L2TP через IPsec, протокол PPTP и туннельный режим IPSec.
Последний протокол поддерживается только подключениями типа
«сеть-сеть» и главным образом используется для обеспечения
взаимодействия между маршрутизаторами и другими операционными
системами, не поддерживающими L2TP или PPTP.
Протокол L2TP совмещен с IPsec, поскольку в L2TP
отсутствует собственный механизм защиты данных. Такое сочетание с
туннелированием через IPsec, обеспечивающим надежные методы проверки
подлинности и шифрования, образует превосходное решение. Протокол
PPTP работает совместно с протоколом MS CHAP версии 2 или EAP-TLS
для обеспечения проверки подлинности, и MPPE — как вы уже догадались
— для шифрования.
Выбор протокола L2TP через IPsec или PPTP часто
зависит от специфичных для организации факторов. Протокол L2TP через
IPsec позволит применить более сложные и совершенные методы
шифрования, а также поддерживает большее число сетей (включая IP,
X.25, Frame Relay и ATM). Однако протокол PPTP проще реализовать и
он, как правило, предъявляет меньше требований. И все-таки, в
случаях, когда организационные ограничения отсутствуют, лучшим
вариантом считается использование протокола L2TP через
IPsec.
VPN-подключение
типа «сеть-сеть»
Выход ISA Server версии 2006 ознаменовал
значительный прорыв в упрощении настройки VPN-подключения типа
«сеть-сеть». В прежних версиях настройка включала гораздо большее
число шагов. В этом примере мы рассмотрим одну удаленную сеть,
подключенную к центральному офису по протоколу L2TP через IPsec и
ISA Server в обеих точках. Сначала необходимо выполнить настройку
сервера ISA Server в центральном офисе, а затем — на удаленном
компьютере.
Первым делом нужно настроить локальные учетные
записи пользователей на обоих серверах ISA Server. Подобное
удостоверение пользователей обеспечит безопасную среду для
подключения удаленного или основного сервера ISA Server. Имя такой
учетной записи должно совпадать с именем VPN-подключения,
создаваемого в консоли администрирования ISA. Например, в рамках
соглашения об именовании хорошим именем пользователя будет «Site
VPN» на сервере ISA Server в головном офисе (с указанием на
удаленную сеть) и «HQ VPN» на удаленном сервере ISA Server. После
того, как эти действия будут выполнены, откройте свойства учетной
записи, перейдите на вкладку «Dial In» (Удаленное подключение), и
установите флажок «Allow Access» (Разрешить доступ).
Следующим шагом после создания локальной учетной
записи пользователя будет создание сертификата инфраструктуры
открытых ключей (PKI), который будет использоваться для проверки
подлинности между двумя сетями. Можно также использовать
предварительный ключ, но использование сертификата всегда более
предпочтительно. Самый простой способ установки сертификата для
VPN-подключения заключается в непосредственном подключении к центру
сертификации предприятия и запросе сертификата через веб-узел
сервера сертификатов. Но для этого может потребоваться создание
правила доступа, разрешающего подключение вашего сервера ISA Server
к серверу сертификатов через HTTP.
Если вы работали в предыдущих версиях ISA Server,
то заметите, что интерфейс ISA Server 2006 (см. рис. 1) намного более интуитивно понятен. Если
выделить VPN-подключение в левой панели, то в центральной и правой
областях открываются контекстные параметры конфигурации и задач.
Рис.
1 ISA Server 2006 имеет более
интуитивно понятный интерфейс
Запустите мастер создания сетей VPN типа
«сеть-сеть», щелкнув задачу «Создать VPN-подключение типа
"сеть-сеть"» в правой панели. В окне запущенного мастера введите имя
сети типа «сеть-сеть». Это имя должно совпадать с именем учетной
записи пользователя, созданной ранее. После ввода имени нажмите
кнопку «Далее». В следующем окне (см. рис.
2) выберите VPN-протокол — в нашем примере это L2TP через
IPsec. Нажмите кнопку «Далее» и мастер предупредит, что должно быть
доступным сопоставление учетной записи пользователя с именем сети.
Так как это мы уже учли, можно просто нажать кнопку «ОК», чтобы
перейти к следующему экрану.
Рис.
2 Выберите необходимый
VPN-протокол
Теперь нужно создать пул IP-адресов. Здесь можно
пойти двумя путями. Можно создать пул статических адресов на сервере
ISA Server, или же использовать существующий DHCP-сервер для
выполнения назначения адресов. Поскольку можно принять оба способа,
ваше решение должно зависеть от политики компании по отношению к
конкретному варианту. В открывшемся окне теперь необходимо ввести
имя удаленного сервера. Укажите полное доменное имя (FQDN)
удаленного сервера и затем введите учетные данные пользователя для
подключения. Помните, что указываемые данные должны соответствовать
учетной записи пользователя, созданной на удаленном сервере ISA
Server. В нашем примере это будет учетная запись пользователя HQ VPN
(см. рис. 3.
Рис.
3 Введите полное доменное имя
(FQDN) на удаленном сервере
В следующем окне, выберите метод исходящей
проверки подлинности. (Как сказано выше, лучше всего всегда
использовать сертификат.) Затем укажите диапазон IP-адресов,
используемый для удаленной внутренней сети.
После этого, в версии ISA Server 2006 Enterprise
Edition, мастер позволит настроить балансировку сетевой нагрузки по
назначенным IP-адресам удаленной сети. В версии ISA Server 2006
Standard Edition, пропустите шаг настройки балансировки сетевой
нагрузки и перейдите непосредственно к следующему экрану (см. рис. 4), и создайте сетевое правило для
маршрутизации трафика от удаленной сети в локальную сеть.
Рис.
4 Создайте сетевое правило для
маршрутизации трафика
Также, в следующем окне необходимо создать
правило доступа. При настройке этого правила будут доступны три
варианта использования протоколов: можно разрешить весь исходящий
трафик, весь исходящий трафик за исключением выбранного по
определенному протоколу или только трафик по выбранным протоколам. В
большинстве случаев потребуется разрешить весь исходящий трафик.
Теперь почти все готово. На этом этапе мастер
представит сводку настроек, и после нажатия кнопки «Готово»
VPN-подключение типа «сеть-сеть» будет создано. Откроется диалоговое
окно с предложением включения правил системной политики для загрузки
списка отзыва сертификатов, где нужно нажать кнопку «Да», чтобы
включить это правило. Затем мастер выводит сведения о любых
дополнительных шагах настройки, которые могут потребоваться. По
завершении настройки сервера ISA Server для основной сети, нужно
проделать все те же шаги для настройки удаленной сети. После этого
пользователи обеих сетей смогут связываться по сети VPN.
VPN-подключения для удаленного
доступа
Настройка VPN-подключения для клиентского доступа
намного проще (см. рис. 5). В левой
панели консоли администрирования ISA щелкните VPN-подключение. Затем
выберите пункт «Включить доступ VPN-клиентов» в правой панели.
Откроется окно с предупреждением о том, что применение этих настроек
может привести к перезагрузке службы маршрутизации и удаленного
доступа. (Так как в связи с этим могут возникнуть проблемы сети,
возможно, вы решите выполнить эти изменения во время
запланированного обслуживания.) Нажмите «ОК», чтобы закрыть окно с
предупреждением. Сервер ISA Server применяет системную политику,
разрешающую трафик VPN-клиентов через ISA Server. Чтобы просмотреть
это правило, в консоли администрирования ISA Server выберите
«Политика межсетевого экрана» и затем задачу «Отображать правила
системной политики».
Рис.
5 Настройка VPN-подключения для
удаленного доступа
Также применяется сетевое правило по умолчанию,
разрешающее маршрутизацию между внутренней сетью и двумя VPN-сетями
(VPN-клиенты и VPN-клиенты, помещенные в карантин). Чтобы
просмотреть или изменить это сетевое правило, выберите пункт «Сети»
в левой панели и перейдите на вкладку «Сетевые правила» в
центральной области.
Теперь нужно настроить доступ VPN-клиентов. Здесь
необходимо задать три дополнительных параметра: группы безопасности
Windows, которым разрешен доступ, протоколы, доступные клиентам и
сопоставление пользователей. Диалоговое окно для настройки этих
параметров показано на рис. 6.
Рис. 6 Настройка доступ VPN-клиентов
На вкладке «Группы» нужно просто выбрать группы
Windows, которым будет разрешен удаленный доступ через VPN. С точки
зрения администрирования, мне кажется разумным создание одной
группы, которой будет присвоено разрешение. Управление удаленным
доступом в этом случае будет очень простым.
На вкладке «Протоколы» по умолчанию включен
только протокол PPTP. Абсолютно точно нужно включить протокол L2TP
через IPsec, если это вообще возможно в вашей среде.
На вкладке «Сопоставление пользователей»
необходимо сопоставить учетные записи пользователей из областей
имен, таких как RADIUS (Remote Authentication Dial-In User Service),
с учетными записями Windows, чтобы гарантировать правильное
применение политик доступа. После того как эти параметры настройки
будут заданы и применены на сервере ISA Server, можно считать, что
все готово. Теперь клиенты должны иметь возможность свободного
доступа к данным и приложениям внутренней сети по VPN.
Усовершенствования в ISA Server
2006
В ISA Server 2006 представлен ряд
усовершенствований, обеспечивающих расширенные возможности и
повышенную производительность по сравнению с предыдущими версиями.
Новые функции (среди которых сжатие HTTP, поддержка фоновой
интеллектуальной службы передачи (BITS) и качество обслуживания
(QoS)) дают различные возможности оптимизации использования сети.
Безусловно, несмотря на эти возможности, не следует отказываться от
использования привычных технологий оптимизации пропускной
способности, образующих основу ISA Server, а также кэширования.
Сжатие HTTP поддерживается различными продуктами
Microsoft уже на протяжении определенного времени. Оно было
реализовано в обозревателе Internet Explorer®, начиная с версии 4, и Windows Server с
версии Windows® 2000. Однако поддержка
сжатия HTTP (включая отраслевые стандарты GZIP и алгоритмы Deflate)
была впервые реализована в этой версии ISA Server.
Что это значит? Благодаря сжатию HTTP, любой
веб-обозреватель, поддерживающий стандарт HTTP 1.1, может получать
сжатое содержимое с любого веб-узла. Однако следует помнить, что
сжимается только входящий трафик — сжатие для исходящих подключений
не используется.
Сжатие HTTP представляет собой общие параметры
HTTP-политик, действующие для всего HTTP-трафика, проходящего через
ISA Server, и не может ассоциироваться с определенным сетевым
правилом. Тем не менее существует возможность включения сжатия HTTP
для каждого прослушивателя. Это можно настроить в мастере
веб-прослушивателя.
Сжатие HTTP, настроить которое можно в области
параметров «Общие» в левой панели, по умолчанию включено. Но, как
видно на рис. 7, необходимо задать
элементы сети, для которых будет использоваться сжатие. Если
говорить о примере настройки VPN-подключения типа «сеть-сеть», то
здесь необходимо перейти на вкладку «Возвращать сжатые данные» и
добавить элемент сети VPN, созданный ранее. Кроме того, можно также
настроить тип сжимаемого содержимого. ISA Server 2006 уже включает
список стандартных типов содержимого, но вы можете добавить другие
типы содержимого на панели задач «Политики межсетевого экрана» на
вкладке «Инструментарий». Помните, что на вкладке «Возвращать сжатое
содержимое» сжатие содержимого сервером ISA Server можно настроить
для данных, прежде чем они будут возвращены клиенту. Сжатие
веб-сервером данных до их отправки на ISA Server можно задать на
вкладке «Запрашивать сжатые данные».
Рис.
7 Настройте сжатие HTTP
Фоновая интеллектуальная система передачи
представляет собой службу асинхронной передачи файлов для HTTP и
HTTPS-трафика. Windows Server 2003 включает службу BITS версии 1.5,
в которой реализована поддержка загрузки и отправки, хотя для
отправки необходимы службы IIS версии 5.0 или выше. Являясь
интеллектуальной службой передачи файлов, служба BITS способна
анализировать сетевой трафик и использовать только свободную часть
пропускной способности сети. Кроме того, передача файлов
осуществляется динамически и служба BITS реагирует на «всплески»
сетевого трафика, сокращая собственную нагрузку на сеть. Служба BITS
в этом случае дает возможность загрузки или отправки файлов большого
размера, что не скажется негативно на использовании другой сети. Для
администратора это означает меньшее число обращений с жалобами на
низкую производительность сети. А это хорошо!
У службы BITS также есть другие плюсы: она
гарантирует удобство работы пользователей и положительно влияет на
производительность сети. Например, служба BITS передает файлы в виде
двоичных данных, что означает возможность возобновления передачи
(без необходимости запуска загрузки с начала), которая была прервана
в результате перебоев в сети. А еще в ISA Server 2006 реализована
встроенная поддержка функции кэширования для центра обновлений
Microsoft, которая использует кэширование BITS для оптимизации
обновлений.
Протокол дифференцированных служб (DiffServ)
обеспечивает приоритезацию пакетов (или QoS) для HTTP и
HTTPS-трафика. Другими словами, в зависимости от настроек в ISA
Server, приоритет будет отдаваться определенному типу трафика. Эта
функция полезна для сетей с ограничением пропускной способности,
например по объему трафика или скорости сети. По спецификации
инженерной группы по развитию Интернета (IETF), протокол DiffServ
представляет собой механизм управления трафиком на основе классов.
Таким образом, протокол DiffServ способен различать трафик по типам
и осуществлять соответствующее управление, отдавая предпочтение в
первую очередь трафику с высоким приоритетом.
Для реализации этой возможности ISA Server
работает совместно с маршрутизаторами, поддерживающими QoS. Важно
обеспечить, чтобы биты DiffServ в ISA Server соответствовали
приоритетам, заданным для маршрутизаторов, если необходимо, чтобы
пакеты передавались с одинаковой приоритезацией.
Будучи реализованным в ISA Server, этот тип
приоритезации пакетов представляет собой общие параметры
HTTP-политик, которые применяются ко всему HTTP-трафику, проходящему
через ISA Server 2006 с помощью веб-фильтра DiffServ. Это означает,
что ISA Server не поддерживает DiffServ для других протоколов и
фактически может пропускать существующие биты DiffServ в отличном от
HTTP трафике.
Как показано на рис.
8, службы DiffServ реализованы в виде веб-фильтра, который
можно выбрать в поле «Надстройки» в левой панели. Важно не изменять
настройки по умолчанию или порядок приоретизиации фильтра DiffServ,
поскольку серверу ISA Server необходимо измерять запрос или ответ в
момент обработки.
Рис.
8 Вид веб-фильтра DiffServ
Если внимательно посмотреть на рис. 8, можно заметить, что фильтр DiffServ по
умолчанию отключен. Чтобы включить фильтр, просто щелкните «Включить
выбранные фильтры» на панели задач и затем настройте фильтр.
Поскольку приоритезация пакетов DiffServ в ISA Server основана на
определенных URL-адресах или доменах, эти сведения необходимо
добавить в настройки DiffServ. Для этого в левой панели консоли
управления перейдите на закладку «Общие», а затем в области «Общие
параметры HTTP-политики» выберите «Указать настройки DiffServ».
После изменения настроек определите приоритеты, а также URL-адреса и
домены для приоритезации. ISA Server 2006 включает новые мощные
возможности настройки удаленного доступа VPN-клиентов или создания
сетей VPN типа «сеть-сеть». Это решение должно стать первым
кандидатом на использование при реализации сетей VPN.