Важно следовать рекомендациям по безопасности при использовании
Microsoft ISA Server 2006 в качестве VPN-сервера. Ниже приведен список рекомендаций по
обеспечению безопасности компьютера ISA Server, выступающего в роли
VPN-сервера:
Следуйте данным требованиям при определении, какие методы
проверки подлинности включить:
Используйте методы проверки подлинности, которые обеспечивают
адекватную безопасность. Наиболее безопасный метод проверки
подлинности - это протокол расширенной проверки
подлинности-безопасности на транспортном уровне (EAP-TLS),
используемый одновременно со смарт-картами. Несмотря на сложности
при развертывании EAP-TLS и смарт-карт, что требует наличия
инфраструктуры открытого ключа (PKI), данный метод считается
наиболее безопасным методом проверки подлинности.
Если используется проверка подлинности на основе пароля,
включите в сети политику надежных паролей, чтобы сделать более
сложным осуществление атак перебором по словарю.
Следует требовать от удаленных VPN-клиентов проверки
подлинности с использованием более безопасных протоколов
проверки подлинности, таких как Microsoft Challenge Handshake
Authentication Protocol версии 2 (MS-CHAP v2) или протокол
расширенной проверки подлинности (EAP), а не таких, которые
позволяют использовать такие протоколы, как Password Authentication
Protocol (PAP), Shiva Password Authentication Protocol (SPAP) и
протокол проверки пароля CHAP.
Настоятельно рекомендуется отключить протоколы PAP, SPAP и
CHAP. Протоколы PAP, SPAP и CHAP отключены по умолчанию.
Включите протокол EAP-TLS, который отключен по умолчанию в
профиле политики удаленного доступа. При использовании протокола
проверки подлинности EAP-TLS необходимо установить сертификат
компьютера на сервере службы проверки подлинности в Интернете. Для
проверки подлинности клиентов и пользователей можно установить
сертификат на клиентский компьютер или использовать смарт-карты.
Перед установкой сертификатов необходимо создать сертификат с
правильными требованиями.
Для использования устойчивого шифрования рекомендуются
подключения протокола L2TP/IPsec.
Рекомендуется реализовать и включить политику надежного пароля,
снизив тем самым вероятность атаки перебором по словарю. При
реализации такой политики можно отключить блокирование учетной
записи, снизив, тем самым, вероятность того, что злоумышленник
заблокирует учетную запись.
Следует требовать от удаленных VPN-клиентов использования
определенных операционных систем (таких как Microsoft
Windows Server™ 2003, Windows® 2000 Server или
Windows XP). Не все операционные системы имеют одинаковые
уровни безопасности файловых систем и учетных записей
пользователей. Также не все функции удаленного доступа доступны для
всех операционных систем.
Используйте функцию управления карантином ISA Server для
обеспечения поэтапного доступа к сети для удаленных VPN-клиентов.
При помощи управления карантином клиенты переводятся в ограниченный
режим карантина перед разрешением доступа к сети. Хотя управление
карантином не защищает от атак, перед разрешением доступа к сети
конфигурация компьютера может быть проверена и, при необходимости,
исправлена.
Функция карантина не защищает от вредоносных пользователей в
сети VPN-клиента.
Компьютеры VPN-клиента, зараженные вирусом, не блокируются
автоматически при попытке Flood-атаки на компьютер ISA Server или
защищенные им сети. Для предотвращения таких атак регулярно
используйте функции наблюдения для обнаружения аномалий (например
оповещения или необычные пики нагрузки трафика) и настройте
отправку оповещений по электронной почте. Если обнаружен
инфицированный компьютер VPN-клиента:
Ограничьте VPN-доступ по имени пользователя при помощи политики
удаленного доступа, чтобы исключить этого пользователя из группы
VPN-клиентов, которым разрешено подключаться.
Ограничьте VPN-доступ по IP-адресу. Сделайте это, создав новую
сеть, содержащую заблокированные внешние IP-адреса, и переместив
IP-адрес данного клиента из внешней сети в новую сеть.
Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server.
Отправить замечания или отзыв об этой странице.