При использовании Шлюз Microsoft Forefront Threat Management в качестве VPN-сервера необходимо использовать современные методы обеспечения безопасности. Ниже приведены рекомендации по обеспечению безопасности компьютера Forefront TMG, выполняющего роль VPN-сервера.
- Указанные ниже рекомендации помогут вам правильно выбрать
методы проверки подлинности.
- Используйте такие методы проверки подлинности, которые
обеспечат приемлемый уровень безопасности. Наиболее безопасным
методом проверки подлинности является проверка подлинности по
протоколу EAP-TLS в сочетании со смарт-картами. Несмотря на
трудности, возникающие при развертывании использования протокола
EAP-TLS и смарт-карт (эти трудности связаны с необходимостью
создания инфраструктуры открытых ключей), данный метод считается
наиболее надежным средством проверки подлинности.
- Для проверки подлинности удаленных VPN-клиентов вместо
протоколов PAP и CHAP можно использовать более надежные протоколы
проверки подлинности, например протокол EAP.
- Протоколы PAP, SPAP и CHAP использовать не рекомендуется. По
умолчанию данные протоколы проверки подлинности выключены.
- По умолчанию протокол EAP-TLS отключен в профиле политики
удаленного доступа. При использовании протокола проверки
подлинности EAP-TLS необходимо установить сертификат компьютера на
IAS-сервер. Для проверки подлинности клиента и пользователя можно
установить сертификат на компьютер клиента или использовать
смарт-карты. Перед развертыванием сертификатов необходимо
разработать сертификат с необходимыми требованиями.
- Используйте такие методы проверки подлинности, которые
обеспечат приемлемый уровень безопасности. Наиболее безопасным
методом проверки подлинности является проверка подлинности по
протоколу EAP-TLS в сочетании со смарт-картами. Несмотря на
трудности, возникающие при развертывании использования протокола
EAP-TLS и смарт-карт (эти трудности связаны с необходимостью
создания инфраструктуры открытых ключей), данный метод считается
наиболее надежным средством проверки подлинности.
- Для обеспечения наиболее стойкого шифрования рекомендуется
использовать подключения L2TP через IPSec.
- Рекомендуется реализовать и принудительно применять политику
использования надежных паролей. Это позволит снизить риск,
возникающий при атаках перебором по словарю. В случае реализации
данной политики блокировку учетных записей можно отключить. Таким
образом, снижается вероятность того, что злоумышленник сможет
инициировать блокировку учетных записей.
- Разработайте требования, касающиеся использоваться определенных
операционных систем (таких как Microsoft Windows Server 2003,
Windows 2000 Server, Windows XP или Windows Vista) на удаленных
VPN-клиентах. Не все операционные системы имеют одинаковые уровни
безопасности в своих файловых системах и в системе учетных записей
пользователей. Кроме того, не во всех операционных системах
поддерживаются одинаковые возможности удаленного доступа.
- Чтобы организовать поэтапный сетевой доступ для удаленных
VPN-клиентов, воспользуйтесь функцией управления карантином
Forefront TMG. При использовании данной функции клиенты, прежде чем
получить доступ к сети, должны некоторое время работать в режиме
карантина. Функция управления карантином не обеспечивает защиту от
атак злоумышленников, но, тем не менее, она позволяет проверить и
при необходимости исправить настройку компьютеров авторизованных
пользователей, прежде чем им будет предоставлен доступ к сети.
- Функция карантина не обеспечивает защиту от
пользователей-злоумышленников, находящихся в сети VPN-клиентов.
- Компьютеры с VPN-клиентом, зараженные вирусами, не блокируются
автоматически от переполнения компьютера Forefront TMG или
защищаемой им сети большим количеством запросов. Для предотвращения
подобных случаев можно использовать средства наблюдения, которые
позволяют обнаруживать аномальные явления (например, чрезмерно
большое количество оповещений или необычные скачки сетевой
нагрузки) и настроить уведомления, отправляемые по электронной
почте. При обнаружении зараженного компьютера с VPN-клиентом
выполните одно из следующих действий.
- Установите ограничения для VPN-доступа по имени пользователя.
Для этого с помощью политики удаленного доступа исключите данного
пользователя из списка VPN-клиентов, которым разрешено
подключение.
- Установите ограничения для VPN-доступа по IP-адресам. Для этого
создайте новую сеть, в которой будут содержаться внешние
заблокированные IP-адреса, и переместите IP-адрес зараженного
клиента из внешней сети в новую сеть.
- Установите ограничения для VPN-доступа по имени пользователя.
Для этого с помощью политики удаленного доступа исключите данного
пользователя из списка VPN-клиентов, которым разрешено
подключение.
- Для VPN-клиентов под управлением операционных систем Windows
Server 2008 и Windows Vista рассмотрите возможность принудительного
использования защиты доступа к сети. Защита доступа к сети
позволяет создавать и принудительно использовать политики состояния
работоспособности, в которых задаются требования к программному
обеспечению и системной конфигурации компьютеров, подключающихся к
вашей сети. В рамках защиты доступа к сети требования к
работоспособности компьютеров реализуются посредством проверки и
оценки состояния работоспособности клиентских компьютеров. После
выполнения такой проверки ограничивается сетевой доступ для
компьютеров, которые были признаны как несоответствующие
требованиям защиты доступа к сети, и выполняется исправление
настройки этих клиентских компьютеров с целью предоставления им
неограниченного доступа. Подробнее о развертывании защиты доступа к
сети см. в разделе Настройка карантина на
основе защиты доступа к сети (NAP)