Шлюз Microsoft Forefront Threat Management предоставляет защищенные подключения VPN типа «сеть-сеть» и безопасный доступ VPN-клиента.
Виртуальные частные сети
Виртуальная частная сеть (VPN) расширяет частную сеть, выполняя подключение через общедоступные сети (например Интернет). Виртуальная частная сеть позволяет двум компьютерам или двум сетям обмениваться данными через общедоступную сеть с имитацией частного подключения «точка-точка». Работа с виртуальной частной сетью связана с ее созданием и настройкой.
Чтобы эмулировать подключение «точка-точка», данные инкапсулируются в заголовок, содержащий сведения о маршрутизации, которые позволяют данным проходить через общедоступную сеть и достигать конечного места назначения. Чтобы эмулировать частное подключение, данные шифруются в целях конфиденциальности. Данные, которые перехватываются в общедоступных сетях, невозможно расшифровать без ключей шифрования. Подключение, в котором происходит инкапсуляция и шифрование данных, является VPN-подключением.
Пользователи, которые работают дома или в дороге, могут применять VPN-подключения для удаленного соединения с сервером организации с использованием инфраструктуры общедоступной сети (например Интернета). С точки зрения пользователя это подключение выглядит как соединение с сетью предприятия, причем процесс взаимодействия через общедоступную инфраструктуру не принимается во внимание. Конкретная инфраструктура общедоступной сети не имеет значения, поскольку логически данные передаются через выделенное частное подключение.
Организации могут также использовать VPN-подключения для установки маршрутизируемых соединений между другими организациями или офисами филиалов через общедоступные сети (например Интернет) с поддержкой безопасной связи (например, между географически разделенными подразделениями). Маршрутизированные VPN-подключения через Интернет логически выглядят как выделенные подключения через глобальную сеть. Эти подключения выполнены через Интернет с помощью VPN-подключения типа «сеть-сеть» Компании стараются не использовать арендованные линии со стандартным Интернет-подключением, поскольку их развертывание связано с большими расходами, трудностями обслуживания и значительными временными затратами на их установку.
С помощью Forefront TMG можно настроить защищенную сеть VPN, которая будет доступна клиентам удаленного доступа и удаленных сетей в соответствии с требованиями организации. Использование компьютера Forefront TMG в качестве сервера VPN дает преимущества при защите корпоративной сети от вредоносных VPN-подключений. Поскольку VPN-сервер интегрирован в межсетевой экран, пользователи VPN попадают под действие политики межсетевого экрана Forefront TMG.
VPN-подключения
Существуют два типа VPN-подключений:
- VPN-подключение удаленного доступа;
- VPN-подключение типа «сеть-сеть»
VPN-подключение удаленного доступа
Клиент удаленного доступа выполняет VPN-подключение к VPN-серверу, который соединяет этого клиента с частной сетью. Forefront TMG обеспечивает доступ ко всей сети, к которой подключен VPN-сервер. Сведения о настройке VPN-подключений удаленного доступа см. в разделе Настройка удаленного доступа к клиенту виртуальной частной сети.
Используя компьютер Forefront TMG в качестве VPN-сервера, можно управлять доступом VPN-клиента к корпоративной сети. Forefront TMG может поместить VPN-клиенты в сеть VPN-клиентов, помещенных в карантин. Эти клиенты будут находиться там до тех пор, пока не будет проверено их соответствие требованиям корпоративной политики безопасности; после этого они могут быть перемещены в сеть VPN-клиентов. Обе эти сети VPN-клиентов попадают под действие политики доступа межсетевого экрана Forefront TMG, поэтому можно контролировать доступ VPN-клиентов к сетевым ресурсам. Например, помещенным в карантин клиентам можно разрешить доступ только к ресурсам, необходимым для восстановления их соответствия политике безопасности, например доступ к обновлениям для антивирусного ПО или к серверу обновления Windows.
Все VPN-подключения к компьютеру Forefront TMG регистрируются в журнале межсетевого экрана, таким образом можно контролировать VPN-подключения.
Forefront TMG обеспечивает доступ VPN-клиента с помощью либо протокола L2TP через IPsec, либо протокола PPTP, обычно используемого VPN-серверами. Рекомендуется использовать L2TP через IPsec. С точки зрения безопасности L2TP через IPsec имеет преимущество перед PPTP, поскольку для защиты подключения используется проверка подлинности сертификатов.
Управление карантином
Управление карантином обеспечивает поэтапный сетевой доступ для удаленных (VPN) клиентов за счет их помещения в режим карантина перед тем, как они смогут получить доступ к сети. После того как конфигурация клиентского компьютера приведена в соответствие с определенными карантинными ограничениями организации, к подключению применяется стандартная политика VPN, соответствующая типу указанного карантина. При подключении к сети организации карантинные ограничения могут требовать, например, установки и запуска конкретного антивирусного ПО. Управление карантином не защищает от атак злоумышленников, однако позволяет проверить и при необходимости исправить настройку компьютеров авторизованных пользователей, прежде чем предоставить им доступ к сети. Можно также настроить таймер, позволяющий задать время, по истечении которого подключение разрывается, если клиент не удовлетворяет требованиям конфигурации.
Forefront TMG позволяет выбрать способ включения режима карантина.
- Включение режима карантина с помощью маршрутизации и удаленного
доступа. Если выбирается параметр Помещать в карантин в
соответствии с политиками RADIUS-сервера, то при попытке
VPN-клиента выполнить подключение служба маршрутизации и удаленного
доступа определяет, следует ли помещать его в карантин. После
выхода клиента из карантина он, безусловно, входит в состав сети
VPN-клиентов.
- Включение режима карантина с помощью Forefront TMG. Если
выбирается параметр Помещать VPN-клиентов в карантин в
соответствии с политиками Forefront TMG, то при попытке
VPN-клиента выполнить подключение служба маршрутизации и удаленного
доступа, безусловно, передает запрос компьютеру Forefront TMG.
Forefront TMG определяет, следует ли помещать клиента в карантин.
После выхода из карантина клиент, безусловно, входит в состав сети
VPN-клиентов.
Режим карантина можно также отключить. По умолчанию управление карантином отключено и включается в сети VPN-клиентов, помещенных в карантин. Дополнительные сведения о настройке управления карантином см. в разделе Настройка управления карантином на основе RQS/RQC и Настройка карантина на основе защиты доступа к сети (NAP).
Учетные данные VPN-клиента
Учетные данные, полученные Forefront TMG при подключении через VPN-клиента, могут зависеть от сценария подключения.
Если пользователь устанавливает VPN-подключение с клиентского компьютера, Forefront TMG сопоставляет эти учетные данные с подключением. Следует обратить внимание на то, что, если этим подключением пользуются другие пользователи, Forefront TMG не получит их учетные данные, однако будет продолжать связывать трафик с учетными данными, которые использовались для установки соединения, что чревато угрозой безопасности. Это может произойти в случае, если подключение к клиентскому компьютеру осуществляется с помощью служб терминалов, а запросы выполняются через VPN-подключение. Другой пример: клиентский компьютер настроен как устройство NAT, предоставляя доступ к VPN-подключению большому количеству пользователей других компьютеров.
Если на компьютере, поддерживающем подключение VPN-клиента, или на других компьютерах правильно установлен и настроен клиент межсетевого экрана, то эти компьютеры войдут в состав сети VPN-клиентов, однако Forefront TMG получит учетные данные каждого пользователя, а не учетные данные ведомого компьютера.
VPN-клиенты, зараженные вирусами
На компьютерах с VPN-клиентом, зараженных вирусами, не выполняется автоматическая блокировка от переполнения компьютера Forefront TMG (или защищаемой им сети) большим количеством запросов. Для предотвращения подобных случаев можно использовать средства мониторинга для обнаружения аномалий, таких как большое количество оповещений или необычные пиковые моменты в передаче трафика, и настроить уведомления, отправляемые по электронной почте. При обнаружении зараженного компьютера с VPN-клиентом выполните одно из следующих действий.
- Установите ограничения для VPN-доступа по имени пользователя.
Для этого с помощью политики удаленного доступа исключите
пользователя, соединение с которыми запрещено, из списка
VPN-клиентов.
- Установите ограничения для VPN-доступа по IP-адресам. Для этого
создайте новую сеть, в которой будут содержаться внешние
заблокированные IP-адреса, и переместите IP-адрес зараженного
клиента из внешней сети в новую сеть. Это возможно только в случае,
если пользователь постоянно выполняет подключения с одного и того
же IP-адреса. Если при каждом подключении к общедоступной сети
клиентскому компьютеру назначаются разные адреса, рекомендуется
ограничить доступ на основе имени пользователя.
VPN-подключение типа «сеть-сеть»
VPN-подключение типа «сеть-сеть» подразумевает установку соединения между двумя отдельными сетями. Forefront TMG обеспечивает подключение к сети, с которой связан Forefront TMG. В этом документе представлены сведения о VPN-подключениях типа «сеть-сеть».
Для подключений типа «сеть-сеть» существуют три VPN-протокола.
- PPTP
- L2TP через IPsec
- Туннельный режим IPsec
PPTP
Протокол PPTP - это сетевой протокол, позволяющий осуществлять безопасную передачу данных с удаленного клиента на частный, корпоративный сервер путем создания VPN-подключения в TCP/IP-сетях передачи данных. PPTP поддерживает работу предоставляемой по требованию и использующей несколько протоколов виртуальной частной сети, которая позволяет выполнять подключение через общедоступные сети (например Интернет). Благодаря PPTP IP-трафик шифруется, а затем инкапсулируется в IP-заголовок для передачи в корпоративной IP-сети или общедоступной сети, такой как Интернет.
L2TP через IPsec
Протокол L2TP - это стандартный отраслевой туннельный протокол, обеспечивающий инкапсуляцию для отправки кадров протокола PPP через пакетно-ориентированные сети. L2TP обеспечивает шифрование IP-трафика и последующую его отправку посредством любой передающей среды, поддерживающей доставку датаграмм «точка-точка» (например IP). Для защиты потока данных, передающегося с одного VPN-сервера на другой, используется шифрование IPsec, являющееся реализацией корпорацией Майкрософт протокола L2TP. Туннельный режим IPsec обеспечивает шифрование IP-трафика и его инкапсуляцию в IP-заголовок для передачи в корпоративной IP-сети или общедоступной сети, такой как Интернет.
PPTP-подключения требуют лишь проверки подлинности на уровне пользователя с использованием протокола проверки подлинности на основе PPP. Для подключений L2TP через IPsec требуется та же самая проверка подлинности на уровне пользователя, дополнительно к которой выполняется проверка на уровне компьютера с использованием сертификатов или предварительного ключа.
Важно. |
---|
При выборе протокола для VPN-подключений типа «сеть-сеть» - PPTP или L2TP через IPsec - следует учитывать следующие моменты. |
- PPTP может использоваться для VPN-подключения типа «сеть-сеть»
для серверов под управлением Microsoft Windows Server 2003 или
Windows 2000 Server со службой маршрутизации и удаленного доступа
или Windows NT Server 4.0 со службой маршрутизации и удаленного
доступа (RRAS). Для PPTP не требуется инфраструктура открытого
ключа (PKI) для выдачи сертификатов компьютеров. Благодаря
технологии шифрования VPN-подключения на основе протокола PPTP
обеспечивают конфиденциальность данных. Расшифровать перехваченные
данные можно только с помощью ключа шифрования. Однако
VPN-подключения на основе PPTP не обеспечивают целостность данных
(проверку на отсутствие изменений в данных при передаче) или
проверку подлинности источника данных (проверку отправки данных
авторизованным пользователем).
- L2TP может использоваться для серверов, на которых установлены
ОС Windows Server 2003 или Windows 2000 Server. При работе и с тем,
и с другим сервером для выдачи сертификатов компьютеров всем
маршрутизаторам требуется PKI. Серверы, работающие под управлением
ОС Windows Server 2003, дополнительно поддерживают единый
предварительный ключ, настроенный на отвечающем сервере и на всех
вызывающих серверах. Благодаря IPsec VPN-подключения на основе L2TP
через IPsec обеспечивают конфиденциальность и целостность данных, а
также проверку подлинности их источника.
Туннельный режим IPsec
При использовании протокола IPsec в туннельном режиме сам протокол IPsec обеспечивает инкапсуляцию только IP-трафика. Основной причиной использования туннельного режима IPsec является возможность взаимодействия с другими маршрутизаторами, шлюзами или оконечными системами, которые не поддерживают VPN-туннелирование на основе PPTP или L2TP через IPsec. Сведения о взаимодействии представлены на веб-узле консорциума VPN.
Туннелирование - это процесс, включающий инкапсуляцию, маршрутизацию и последующее удаление инкапсуляции. Туннелирование подразумевает заключение или инкапсуляцию исходного пакета в новый. Новый пакет может иметь новые адресные и маршрутные данные, позволяющие осуществлять его передачу по сети. При комбинации туннелирования и конфиденциальности данных исходные данные пакета (а также исходный адрес и место назначения) не выявляются при прослушивании трафика в сети. После того как инкапсулированные пакеты достигают своего места назначения, инкапсуляция удаляется и для передачи пакета в конечный пункт используется заголовок исходного пакета.
Сам туннель представляет собой логический путь данных, по которому передаются инкапсулированные пакеты. Для одноранговых узлов источника и места назначения туннель обычно прозрачен и отображается в сетевом пути как подключение типа «точка-точка». Узлы не могут определить маршрутизаторы, коммутаторы, прокси-серверы или другие шлюзы безопасности между начальной и конечной точками туннеля. Комбинация туннелирования и конфиденциальности данных может применяться для создания VPN.
Инкапсулированные пакеты передаются в сети через туннель. В данном примере сетью является Интернет. В качестве шлюза может выступать пограничный шлюз, расположенный между Интернетом и частной сетью. Пограничным шлюзом может быть маршрутизатор, межсетевой экран, прокси-сервер или другой шлюз безопасности. Кроме того, для защиты трафика в ненадежных частях сети можно использовать два шлюза, расположенных в рамках виртуальной частной сети.
Дополнительные сведения о туннельном режиме IPsec см. в техническом справочнике «IPSec Technical Reference» веб-узле на веб-узле Microsoft TechNet.
Примечание. |
---|
При создании удаленной сети, использующей туннельный протокол IPsec, служба межсетевого экрана Майкрософт изменяет фильтры IPsec после своего перезапуска. В зависимости от количества подсетей, включенных в диапазоны адресов для сети, этот процесс может занять несколько минут. Для снижения эффекта рекомендуется определить диапазоны IP-адресов, которые находятся на границах подсети. |
Проверка подлинности
Для проверки подлинности входящих VPN-подключений туннельный режим IPsec или L2TP через IPsec может использовать либо предварительные ключи, либо сертификаты. Поскольку сертификаты более безопасны, чем предварительные ключи, проверку подлинности VPN-подключений в туннельном режиме L2TP через IPsec и IPsec рекомендуется выполнять с помощью сертификатов.
Важно. |
---|
В целях безопасности рекомендуется использовать специальный личный центр сертификации (ЦС) для сертификатов, которые будут использоваться для проверки подлинности IPsec. Причина в том, что IPsec не устанавливает соответствие между именем сертификата и именем веб-узла. Для выполнения проверки подлинности достаточно того, что сертификаты выдаются одним и тем же ЦС. Дополнительные сведения о вопросах безопасности, связанных с VPN-подключениями типа «сеть-сеть», см. в руководстве «Security Hardening and Administration Guide» на веб-узле Microsoft TechNet. |