Organizacijama je potrebano da se udaljenim korisnicima obezbedi siguran pristup internoj mreži. Mnogim organizacijama takođe trebaju sigurni načini povezivanja višestrukih lokacija. Implementacija Vitrual Private Network (VPN) solucije je solucija za oba ova zahteva. Microsoft Internet Security and Acceleration Server (ISA) 2004 nudi VPN solucije koje daju potpune VPN funkcionalnosti u kombinaciji sa Firewall Security filterisanjem.

 

Davanje solucija za udaljeni pristup udaljenih ili mobilnih klijenata je jedan od najčešćih scenarija VPN-ova. VPN je ne toliko skupa i veoma sigurna alternativna solucija za korišćenje Dial-up umrežavanja i mnoge kompanije ka uveliko koriste. Ova lekcija opisuje kako se omogućuje VPN za udaljene klijente koristeći ISA Server 2004.

 

Konfiguracione opcije za VPN klijentski pristup

Da bi omogućili pristup udaljenim klijentima u internu mrežu koristeći VPN, moramo da konfigurišemo VPN klijenske postavke na ISA Server.

Kada konfigurišemo VPN klijentski pristup, moramo da konfigurišemo sledeće komponente:

  • Enable VPN Client access  - Po defаult-u, VPN pristup je onemogućen na ISA Serveru. Da bi udaljenim klijentima omogućili da koriste VPN, moramo da omogućimo ovu opciju
  • Configure the user accounts to the network using a VPN - ISA server podržava Windows-based autentifikacije i RADIUS autentifikaciju. Moramo da konfigurišemo koje grupe u aktivnom direktorijumu ili koji RADIUS server će se koristiti za dodeljivanje dozvola za udaljeni pristup (remote access permissions). Za korisnike koji ne koriste Windows autentifikaciju, možemo takođe da konfigurišemo User mapping.
  • Configure VPN protocols - ISA Server podržava PPTP i L2TP/IPSec protokole za udaljeni pristup. Možemo da konfigurišemo jedan ili oba protokola.
  • Configure the remote access configuration - Možemo da konfigurišemo mreže na kojima će ISA Server slušati i čekati VPN konekcije, kako će ISA Server dodeljivati IP adrese VPN klijentima i koje opcije za autentifikaciju ćemo omogućiti korisnicima.
  • Configure network rules - Možemo takođe da konfigurišemo mrežna pravila za mrežne odnose između VPN mreže klijenata i interne ili eksterne mreže.
  • Configure Firewall access rules for VPN Clients network - Svi VPN klijenti se smeštaju u VPN clients mrežu. Možemo da iskoristimo jedino pravilo pristupa između VPN mreže klijenata i interne mreže da bi ograničili pristup korisnika internim mrežnim resursima. Možemo takođe da konfigurišemo Firewall pravila pristupa da konfigurišemo VPN korisnicima pristup internetu.

 

Omogućavanje i konfiguracija VPN pristupa klijentima

Pre nego što bilo koji korisnik može da pristupi ISA Serveru koristeći VPN, moramo da omogućimo VPN klijetski pristup. Kada omogućimo ovu opciju na ISA Serveru, ISA Server omogućava VPN pristup koristeći defaultnu konfiguraciju koju možemo da modifikujemo da bi ispunili zahteve naše organizacije.

Većinom VPN konfiguracija za klijentski pristup upravljamo koristeći Configure VPN Client Access boks u ISA Server Management-u. Da bi pristupili ovom dijalog boksu, potrebno je da otvorimo ISA Server Management i kliknemo na Virtual Private Networks (VPN).

Da bi omogućili VPN klijentski pristup, potrebno je da kliknemo na Enable VPN Client Access u Tasks panelu, i nakon toga klikenemo na Apply da bi postavili i primenili promene u ISA Server konfiguraciji.

 

User Mapping

User Mapping se koristi da mapiramo VPN klijente koji se konektuju na ISA server koristeći autentifikacioni metod koji nije Windows-Based "Windows authentification" (kao što su na primer RADIUS ili EAP autentifikacije) u Windows namespace-u. Kada je korisničko mapiranje omogućeno i konfigurisano, Firewall polisa pravila pristupa određuje set korisnika za Windows korisnike i grupe i takođe se postavlja za autentifikovane korisnike koji ne koriste Windows autentifikaciju. Ukoliko nismo definisali User mapping za korisnike koji ne koriste Windows, defaultna Firewall polisa pravila pristupa neće biti postavljana za te korisnike.

User mapping nam dozvoljava da koristimo Radius autentifikaciju domenskih korisnika i postavljanje user-group kontrole pristupa za VPN klijente koji su se autentifikovali koristeći RADIUS.

Kada je User-Mapping omogućen i korisnik pokuša da kreira VPN konekciju, od korisnika se traže podaci o identitetu (credentials). Podaci se dalje šalju ka RADIUS serveru i korisničko ime i domen koje je dostavio klijent se mapira u isto ime i domen u aktivnom direktorijumu i korisnik je autentifikovan kao da su prezentovani Windows podaci o identitetu.

 

Default-na VPN konfiguracija za pristup klijenata

Kada omogućimo VPN klijentski pristup, primenjuju se sledeće default-ne postavke:

  • System policy rules - Kada je omogućen VPN klijentski pristup, omogućeno je System Policy pravilo koje se naziva Allow VPN client traffic to ISA Server. U zavisnoti od toga koji protokoli su konfigurisani za pristup udaljenih klijenata, System policy pravilo dozvoljava korišćenje PPTP, L2TP ili oba ova protokola, od eksterne mreže do kompjutera na kojem je instaliran ISA Server (local host network).
  • VPN access network - Po default-u, ISA server će osluškivati dolazeće VPN klijentske konekcije samo na eksternoj mreži. Ova postavka može da se modifikuje. Kada smo modifikovali ovu postavku, pravilo sistemske polise je promenjeno automatski da bi se primenilo na dodatnu ili na drugu mrežu.
  • VPN protocol - Po default-u, samo PPTP je omogućen za VPN klijentski klijentski pristup. Ovu postavku možemo da modifikujemo i dodamo L2TP-IPSec ili da konfigurišemo da se koristi samo L2TP-IPSec protokol. Kada smo modifikovali ovu postavku, System Policy pravilo se ažurira da bi omogućilo odgovarajući protokol.
  • Network rules - Omogućavanje VPN klijentskog pristupa ne modifikuje mrežna pravila koja su konfigurisana na ISA Serveru. Kada instaliramo ISA Server, dva mrežna pravila su kreirana i ona uključuju VPN Clients mrežu, jedno pravilo u kojem je konfigurisan rurtirajući odnos (route relationship) između VPN Clients mreže i interne mreže, i drugo koje određuje NAT odnos (NAT relationship) između VPN Clients mreže i eksterne mreže. Drugo pravilo je deo internet access pravila koje takođe definiše odnose između interne i eksterne mreže.
  • Firewall access rules - Po defaultu, klijenti na VPN klijentskoj mreži ne mogu da pristupe resursima na bilo kojoj drugoj mreži. Možemo ručno da konifurišemo Firewall pravilo pristupa koje će omogućiti pristup, ili možemo da koristimo mrežne šablone da konfigurišemo pravilo. Ako koristimo mrežni šablon, kreira se Firewall pravilo pristupa pod imenom VPN Clients to internal Network. Ovo pravilo dozvoljava pristup iz VPN klijentske mreže na internu mrežu koristeći sve protokole. VPN klijentska mreža je takođe uključena u svako pravilo za dodeljivanje pristupa internetu koje kreiramo koristeći mrežne šablone. Na primer, ako koristimo mrežne šablone da bi omogućili pristup internetu koristeći sve protokole, klijenti koji se nalaze u VPN klijentskoj mreži će biti u mogućnosti da pristupe internetu koristeći ovo pravilo.
  • Remote access policy - Kada omogućavamo VPN klijentski pristup na ISA Serveru, Remote access policy (polisa za udaljeni pristup) koja se naziva ISA Server Default policy je kreirana u RRAS (Routhing and Remote Access). Ova default-na polisa zabranjuje pristup svim VPN konekcijama osim onih koje su eksplicitno dozvoljene kroz Remote access profile. Profil udaljenog pristupa (remote access profile) za defaultnu polisu omogućava MS-CHAPv2 autentifikaciju i zahteva autentifikaciju za sve VPN konekcije.

 

Konfiguracija dodeljivanja IP adresa za VPN klijente

Kada se VPN klijenti konektuju na VPN server, potrebno je da im se dodeli i konfiguriše IP adresa koja im omogućava pristup resursima na internoj mreži ili drugim mrežama. ISA Server može da se konfiguriše da dodeljuje IP konfiguraciju direktno, ili koristeći DHCP   server.

 

IP adresiranje za VPN klijente

U većini slučajeva, VPN klijentima se dodeljuje IP adresa koja je deo interne mrežne podmreže. Prednost ovakvog tipa adresiranja je, da administratori ne moraju da kreiraju specijalne zapise u ruting tabele da bi podržali VPN klijente. Svi VPN klijenti će automatski biti u mogućnosti da pristupe internoj mreži i internetu (koristeći protokol koji je određen u pravilu pristupa). U ovoj konfiguraciji, ISA server se ponaša kao Address Resolution Protocol (ARP) proxy za VPN klijente. Na primer, kada su adrese koje su dodeljene VPN klijentskoj mreži pripadaju internom mrežnom segmentu, kompjuteri sa interne mreže će poslati ARP zahteve ka VPN klijentima. ISA Server presreće upite i odgovara umesto VPN klijenta.

 

Dodeljivanje IP adresa VPN klijentima

Kada se VPN klijenti konektuju na ISA Server, klijentu je potrebna IP adresa. Postoje dva načina na koja ISA Server može VPN klijentu dodeliti IP adresu:

  • Dynamic address assignment - Da bi omogućili dinamičko (automatsko) dodeljivanje IP adresa, DHCP server mora biti dostupan sa kompjutera na kojem radi ISA Server. Svaki kompjuter na kojem je instaliran Windows Server 2003 operativni sistem može da se konfiguriše kao DHCP server. Ako koristimo DHCP server za dodeljivanje IP adresa, ISA Server uzima grupu dozvoljenih IP adresa od DHCP servera. Kada se konektuje VPN klijent, ISA Server dodeljuje jednu od tih adresa VPN klijentu. Kao deo dodeljivanja IP adresa, ISA Server takođe dodeljuje druge TCP-IP postavke kao što su Domain Name System (DNS) servere, Windows Internet Naming Service (WINS) servere. IP adresa koja je dodeljena klijentu se automatski pomera sa interne mreže na VPN klijentsku mrežu (ili karantiranu VPN klijentsku mrežu ako je karantin omogućen i klijenti koji se konektuju na VPN server se smeštaju u karantin).
  • Static IP address assignment - Administrator takođe može da konfiguriše na ISA Serveru  statički skup adresa koje će se po redu dodeljivati VPN klijentima. U ovoj konfiguraciji, nije nam potreban DHCP server, već konfigurišemo IP adrese na kompjuteru na kojem radi ISA Server. Kada se klijent konektuje, ISA Server mu dodeljuje jednu od IP adresa. Ako koristimo dodeljivanje statičkog skupa adresa (static address pool), adrese koje želimo da dodelimo skupu prvo moraju da se uklone sa drugih definisanih mreža, iz razloga što dodeljivanje identičnih IP adresa između mreža nije dozvoljeno i može da prouzrokuje ozbiljne greške. Takođe, moramo da obezbedimo jednu više IP adresu u skupu adresa od adresa koliko nam je potrebno za dodeljivanje VPN klijentima iz razloga što VPN interfejs na ISA Serveru zahteva IP adresu.

 

Konfiguracija VPN autentifikacije

ISA Server podržava nekoliko autentifikacionih protokola za VPN klijente. Možemo da omogućimo jedan ili sve autentifikacione protokole. Kao najbolje rešenje, trebali bi da omogućimo samo najsigurnije protokole koje podržavaju naši Remote access klijenti (udaljeni klijenti).

 

Konfiguracija autentifikacije koristeći RADIUS

Kao što ISA Server može da se konfiguriše da koristi RADIUS da omogući autentifikaciju za web pravila objavljivanja, takođe možemo da konfigurišemo ISA Server da koristi RADIUS za autentikaciju VPN klijenata. ISA Server može da koristi IAS servere ili bilo koji drugi kompatibilni RADIUS server.

Windows Server 2000 i Windows Server 2003 uključuju Internet Authentification Service, koji je RADIUS kompatibilni server. Kada je ISA Server konfigurisan da koristi IAS server za autentifikaciju, VPN server komponent prosleđuje autentifikacione informacije koje je dobio od VPN klijenata ka IAS serveru na internoj mreži. IAS server prosleđuje ove informacije ka domenskom kontoleru koji autentifikuje korisnika.

Jedna od najvećih prednosti korišćenja RADIUS za autentifikaciju VPN klijenata je, da možemo da koristimo domenske informacije za autentifikaciju kada server na kojem radi ISA Server nije član domena aktivnog direktorijuma. Ovo dodaje sloj sigurnosti u ISA Server Firewall-VPN server soluciju iz razloga što, ako je Firewall onemogućen na bilo koji način, domensko članstvo mašina ne može biti kompromitovano da bi se napala interna mreža.

 

Konfiguracija domenskih korisničkih naloga za VPN pristup

Kao dodatak konfiguraciji ISA Servera da omogući VPN konekcije, moramo takođe konfigurisati Domenske korisničke naloge da omogućavaju Dial-in dozvole za te naloge. Dok se nalozi ne konfigurišu, nijedan korisnik neće moći da se konektuje na ISA Server koristeći VPN. Default-na konfiguracija korisničkih naloga varira u zavisnosti od domena koji se koristi za autentifikaciju korisnika.

  • U Windows 2000 mixed-mode domenima, ili u Windows Server 2003 domenima koji rade u Windows 2000 mixed funkcionalnom nivou, svi korisnički nalozi imaju Dial-in pristup koji je onemogućen po default-u. Moramo da omogućimo Dial-in pristup na svakom korisničkom nalogu u domenu aktivnog direktorijuma.
  • U Windows 2000 native mode domenima, ili u Windows Server 2003 domenima koji rade u Windows 2000 native funkcionalnom nivou, svi korisnički nalozi imaju Dial-in pristup kontrolisan polisom udaljenog pristupa. Kontrolišemo Dial-in pristup modifikovanjem remote access polise.
  • Windows NT 4.0 domeni uvek imaju Dial-in pristup koji se kontroliše postavkama na korisničkim nalozima.

 

Konfiguracija VPN konekcija na klijentskim kompjuterima

Nakon konfiguracije ISA Servera da omogućava VPN klijentski pristup, moramo da konfigurišemo VPN konekcije na udaljenim klijentima. Tačni koraci koje bi trebali da odradimo da bi konfigurisali VPN klijentski kompjuter da omogućava VPN konekcije variraju u zavisnosti od klijentskog operativnog sistema.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Konfiguracija VPN-a za udaljene klijente 1
  • Konfiguracija VPN-a za udaljene klijente 2
  • Konfiguracija VPN-a za udaljene klijente 3
  • Konfiguracija VPN-a za udaljene klijente 4
  • Konfiguracija VPN-a za udaljene klijente 5
  • Konfiguracija VPN-a za udaljene klijente 6
  • Konfiguracija VPN-a za udaljene klijente 7